信息安全-网络安全应急响应技术原理与应用(一)
一、网络安全应急响应概述
1.1 网络安全应急响应概念
网络安全应急响应:是指为应对网络安全事件,相关人员或组织机构对网络安全事件进行监测、预警、分析、响应和恢复等工作
1.2 网络安全应急响应发展
美国,1988年,美国发生了“小莫里斯网络蠕虫”安全事件,导致上千台计算机受到了影响,促使美国政府成立了世界上第一个计算机安全应急组织CERT
国际,FIRST 国际性网络安全应急响应组织:其目标是成为全球公认的应急响应领导者。加入FIRST的成员能够得到最佳实践、工具和可信的交流,使得安全应急响应更加有效
国内,目前,国内已经建立了国家计算机网络应急技术处理协调中心,简称“国家互联网应急中心”,英文简称为CNCERT或CNCERT/CC,该中心成立于2002年9月
CNCERT的主要职责:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展中国互联网上网络安全事件的预防、发现、预警和协调处置等工作,以维护中国公共互联网环境的安全,保障关键信息基础设施的安全运行
1.3 网络安全应急响应相关要求
| 《中华人民共和国网络安全法》关于网络安全应急响应的要求 | |
| 法律条文 | 具体要求 |
| 第五十二条 | 负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息 |
| 第五十三条 | 国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施 |
| 第五十五条 | 发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息 |
二、网络安全应急响应组织建立与工作机制
2.1 网络安全应急响应组织建立
一般来说,网络安全应急响应组织主要由应急领导组和应急技术支撑组构成
- 领导组的主要职责:领导和协调突发事件与自然灾害的应急指挥、协调等工作
- 技术支撑组的职责:主要是解决网络安全事件的技术问题和现场操作处理安全事件
网络安全应急响应组织的成员通常由管理、业务、技术、行政后勤等人员组成,成员按照网络安全应急工作的需要,承担不同的应急响应工作
网络安全应急响应组织的工作主要包括如下几个方面:
|
|
2.2 网络安全应急响应组织工作机制
网络安全应急响应组织是
- 对组织机构的网络安全事件进行处理、协调或提供支持的团队
- 负责协调组织机构的安全紧急事件,为组织机构提供计算机网络安全的监测、预警、响应、防范等安全服务和技术支持
- 及时收集、核实、汇总、发布有关网络安全的权威性信息,并与国内外计算机网络安全应急响应组织进行合作和交流
2.3 网络安全应急响应组织类型
根据资金的来源、服务的对象等多种因素,应急响应组分成以下几类
1.公益性应急响应组
这类响应组由政府和公益性机构资助,对社会所有用户提供公共服务
公益性的应急响应组织一般提供如下服务:
- 对计算机系统和网络安全事件的处理提供技术支持和指导
- 网络安全漏洞或隐患信息的通告、分析
- 网络安全事件统计分析报告
- 网络安全事件处理相关的培训
2.内部应急响应组
由一个组织机构创建和资助,服务对象仅限于本组织内部的客户群
内部响应组可以提供现场的事件处理、分发安全软件和漏洞补丁、培训和技术支持等服务,另外还可以参与组织安全政策的制定、审查等
3.商业性应急响应组
根据客户的需要,为客户提供技术、程序、调查、法律支持等服务
商业服务的特点:在于服务质量保障,在突发的安全事件发生时及时响应,应急响应组甚至提供7x24小时的服务,现场处理事件等
4.厂商应急响应组
一般只为自己的产品提供应急响应服务,同时也为公司内部成员提供安全事件处理和技术支持
三、网络安全应急响应预案内容与类型
3.1 网络安全事件类型与分级
2017年中央网信办发布《国家网络安全事件应急预案》其中把网络信息安全事件:分为恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类
根据网络安全事件对国家安全、社会秩序、经济建设和公众利益的影响程度,可以将网络安全事件分为四级:
| 网络安全事件级别 | 网络安全事件特征描述 |
| 特别重大网络安全事件 | 符合下列情形之一:
|
| 重大网络安全事件 | 符合下列情形之一且未达到特别重大网络安全事件的
|
| 较大网络安全事件 | 符合下列情形之一且未达到重大网络安全事件的
|
| 一般网络安全事件 | 对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件 |
3.2 网络安全应急响应预案内容
网络安全应急响应预案:是指在突发紧急情况下,按事先设想的安全事件类型及意外情形,制定处理安全事件的工作步骤
基本内容如下
- 详细列出系统紧急情况的类型及处理措施
- 事件处理基本工作流程
- 应急处理所要采取的具体步骤及操作顺序
- 执行应急预案有关人员的姓名、住址、电话号码以及有关职能部门的联系方法。
3.3 网络安全应急响应预案类型
按照网络安全应急响应预案覆盖的管理区域,可以分为国家级、区域级、行业级、部门级等网络安全事件应急预案
- 不同级别的网络安全应急响应预案规定的具体要求不同
- 管理层级高的预案偏向指导
- 层级较低的预案侧重于网络安全事件的处置操作规程
下面给出核心业务系统、门户网站、外部电源中断、黑客入侵等应急处置程序参考模板
1.核心业务系统中断或硬件设备故障时的应急处置程序(I级)
事件触发:当发现核心业务系统中断或硬件设备故障时,启动I级处置程序
具体应急操作如下:
- 迅速判断故障节点,启用备用设备或线路
- 如防火墙发生故障,将防火墙最近一次配置备份文件导入备用防火墙中,然后将故障设备替换为备用设备,设备替换完成之后,首先检查网络的连通性,确认能够正常访问业务系统,然后再检查防火墙的状态及策略是否正常
- 如因交换机发生故障,启用备用设备,将故障交换机的备份配置文件导入备用设备,然后检查各用户的网络访问是否正常
- 如发生属于上级信息网络管理部门的网络故障,立即向上级信息网络管理部门报障,要求尽快恢复网络运行
2.门户网站及托管系统遭到完整性破坏时的应急处置程序(I级)
事件触发:当发现门户网站或本单位在互联网上运行的其他业务网站内容被篡改或遭破坏性攻击
(包括严重病毒)时,启动I级处置程序
具体应急操作如下:
- 立即断开网站与互联网的连接,并停止系统运行
- 首先将被攻击(或被病毒感染)的服务器等设备从网络中隔离出来,保护好现场
- 由网站及相关业务系统人员负责恢复与重建被攻击或被破坏的系统,恢复系统数据
- 追查非法信息来源,向上级主管部门或公安部门报警
3.外网系统遭遇黑客入侵攻击时的应急处置程序(II级)
事件触发:当发现门户网站、电子邮件系统等遭遇黑客入侵攻击时,启动II级处置程序
具体应急操作如下:
- 立即断开网站和相关系统与互联网的连接
- 使用防火墙对攻击来源进行封堵
- 记录当前连接情况,保存相关日志
- 向上级主管部门或网监部门报警
- 在强化安全防范措施的基础上,修复网站或相关系统后,将其重新投入使用
4.外网系统遭遇拒绝服务攻击时的应急处置程序(II级)
事件触发:当发现门户网站、电子邮件系统等互联网业务网站遭遇拒绝服务攻击时,启动II级处置
程序
具体应急操作如下:
- 使用防火墙对攻击来源进行封堵
- 更改DNS解析,将拒绝服务攻击分流
- 记录当前连接情况,保存相关日志
- 通过以上程序仍无法解决时,即断开网站与互联网的连接,并向上级主管部门或公安部门报警
- 在互联网管理部门和公安部门的协助下解决此项应急工作
5.外部电源中断后的应急处置程序( II级)
事件触发:当发现外部电源中断故障时,启动II级处置程序
具体应急操作如下:
- 手动切换至备用供电线路
- 立即查明断电原因
- 如因局内部线路故障,迅速联系物业管理部门恢复供电
- 预计停电1小时以内,由UPS供电(适用无备用供电线路的情况)
- 停电超过1小时,关闭网络设备、服务器、精密空调、UPS电源设备和配电柜总开关等设备,并关闭机房所有设备
四、常见网络安全应急事件场景与处理流程
4.1 常见网络安全应急处理场景
1.恶意程序事件
通常会导致计算机系统响应缓慢、网络流量异常,主要包括计算机病毒、网络蠕虫、特洛伊木马、僵尸网络
对恶意程序破坏性蔓延的,由应急响应组织进行处置,可以协调外部组织进行技术协助,分析有害程序,保护现场,必要时切断相关网络连接
2.网络攻击事件
- 安全扫描器攻击:黑客利用扫描器对目标系统进行漏洞探测
- 暴力破解攻击:对目标系统账号密码进行暴力破解,获取后台管理员权限
- 系统漏洞攻击:利用操作系统/应用系统中存在的漏洞进行攻击
3.网站及Web应用安全事件
- 网页篡改:网站页面内容非授权篡改或错误操作
- 网页挂马:利用网站漏洞,制作网页木马
- 非法页面:存在赌博、色情、钓鱼等不良网页
- Web漏洞攻击:通过SQL注入漏洞、上传漏洞、XSS漏洞、越权访问漏洞等各种Web漏洞进行攻击
- 网站域名眼务劫持:网站域名服务信息遭受破坏,使得网站域名服务解析指向恶意的网站
4.拒绝服务事件
- DDoS:攻击者利用TCP/IP协议漏洞及服务器网络带宽资源的有限性,发起分布式拒绝服务攻击
- DoS:服务器存在安全漏洞,导致网站和服务器无法访问,业务中断,用户无法访问
4.2 网络安全应急处理流程
应急事件处理一般包括以下步骤
- 安全事件报警:发生紧急情况时,由值班工作人员及时报告。报警人员要准确描述安全事件,并做书面记录。根据安全事件的类型,各安全事件按呈报条例依次报告1-值班人员、2-应急工作组长、3-应急领导小组
- 安全事件确认:应急工作组长和应急领导小组接到安全报警之后,首先应当判断安全事件的类型,然后确定是否启动应急预案
- 启动应急预案:应急预案是充分考虑各种安全事件后,制定的应急处理措施,以便在紧急情况下,及时有效地应付各类安全事件。必须避免在紧急情况下,找不到应急预案,或无法启动应急预案的情况
- 安全事件处理:安全事件处理是一件复杂的工作,要求至少两人参加,所处理的工作主要包括如下内容:
- 准备工作:通知相关人员,交换必要的信息
- 检测工作:对现场做快照,保护一切可能作为证据的记录(包括系统事件、事故处理者所采取的行动、与外界沟通的情况等)
- 抑制工作:采取围堵措施,尽量限制攻击涉及的范围
- 根除工作:解决问题,根除隐患,分析导致事故发生的系统脆弱点,并采取补救措施。需要注意的是,在清理现场时,一定要采集保存所有必要的原始信息,对事故进行存档
- 恢复工作:恢复系统,使系统正常运行
- 总结工作:提交事故处理报告
- 撰写安全事件报告:根据事件处理工作记录和所搜集到的原始数据,结合专家的安全知识,完成安全事件报告的撰写。安全事件报告包括如下内容:①安全事件发生的日期②参加人员③事件发现的途径④事件类型⑤事件涉及的范围⑥现场记录⑦事件导致的损失和影响⑧事件处理的过程⑨从本次事故中应该吸取的经验与教训
- 应急工作总结:召开应急工作总结会议,回顾应急工作过程中所遇到的问题,分析问题引起的原因,并找出相应的解决方法
4.3 网络安全事件应急演练
是对假定的网络安全事件出现情况进行模拟响应,以确认应急响应工作机制及网络安全事件预案的有效性
网络安全事件应急演练的一般流程:
- 制定应急演练工作计划
- 编写应急演练具体方案
- 组织实施应急演练方案
- 最后评估和总结应急演练工作,优化改进应急响应机制及应急预案
网络安全事件应急演练的类型如表所示:
| 划分依据 | 演练类型 | 简述 |
| 组织形式 | 桌面应急演练 | 是指参演人员利用地图、沙盘、流程图、计算机模拟、视频会议等辅助手段,针对事先假定的演练情景,讨论和推演应急决策及现场处置的过程,从而促进相关人员掌握应急预案中所规定的职责和程序,提高指挥决策和协同配合能力。桌面应急演练通常在室内完成 |
| 实战应急演练 | 是指参演人员利用应急处置涉及的设备和物资,针对事先设置的突发网络安全事件情景及其后续的发展情景,通过实际决策、行动和操作,完成真实应急响应的过程,从而检验和提高相关人员的临场组织指挥、队伍调动、应急处置技能和后勤保障等应急能力。实战应急演练通常要在特定场所完成 | |
| 内容 | 单项应急演练 | 是指只涉及应急预案中特定应急响应功能或现场处置方案中一系列应急响应功能的演练活动。注重针对演练单位(岗位)的特定环节和功能进行检验 |
| 综合应急演练 | 是指涉及应急预案中多项或全部应急响应功能的演练活动。注重对多个环节和功能进行检验,特别是对不同单位之间应急机制和联合应对能力的检验 | |
| 目的与作用 | 检验性应急演练 | 是指为检验应急预案的可行性、应急准备的充分性、应急机制的协调性及相关人员的应急处置能力而组织的演练 |
| 示范性应急演练 | 是指为向观摩人员展示应急能力或提供示范教学,严格按照应急预案规定开展的示范性演练 | |
| 研究性应急演练 | 是指为研究和解决突发事件应急处置的重点、难点问题,试验新方案、新技术、新装备而组织的演练 |
个人导航:http://xqnav.top/