文章目錄
NISP-信息安全事件與應急響應
1.信息安全事件
- 是指由於自然或人爲以及軟硬件故障或缺陷的原因,對信息系統造成危害或在信息系統內發生對社會造成負面影響的事件
- 至今尚沒有任何一種信息安全策略或防護措施,能夠對信息及信息系統提供絕對的保護,以完全避免信息安全事件的發生
- 對信息安全事件進行有效的管理和響應,最小化事件所造成的損失和負面影響是組織信息安全戰略的一部分
- 應急響應是信息安全事件的主要內容
2.信息安全事件分類
信息安全事件可以是故意,過失或人爲原因引起的可以分爲以下這七個基本分類:
- 有害程序事件
- 網絡攻擊事件
- 信息破壞事件
- 信貸內容安全事件
- 設備設施故障事件
- 災害性事件
- 其他信息安全事件
3.信息安全事件分級三要素
- 通常對信息安全事件的分級主要考慮以下三個要素:
-
- 信息系統的重要程度
- 系統損失
- 社會影響
信息系統重要程度
- 是指主要考慮信息系統所承載的業務對國家安全,經濟建設,社會生活的重要性以及業務對信息系統的依賴程度劃分爲特別重要,重要,一般信息系統
系統損失
- 指由於信息安全事件對信息系統的軟硬件功能的破壞,導致系統業務的中斷,從而造成對事發組織和國家造成的損失
- 其大小組要考慮恢復系統正常運行和消除安全事件負面影響所需要的代價
社會影響
- 是指信息安全事件對社會所造成影響的範圍程度
- 其大小主要考慮國家安全,社會秩序,經濟建設和公共利益等方面的影響
4.信息安全事件分級
根據信息安全事件分級的參考要素可以將信息安全事件劃分爲四個級別:
- 特別重大事件
- 重大事件
- 較大事件
- 一般事件
5.信息安全應急響應
- 是指一個組織爲了應對各種安全意外事件的發生所採取的防範措施(既包括預防性措施,也包括事件發生後的應對措施)
- 由於安全事件具有突發性,複雜性,所以需要建立信息安全系統,安全事件的快速響應機制
- 應急響應工作的主要任務:做好預先防範,安全事件發生後,儘快做出正確反應,及時阻止事件的繼續發展,並減少損失,使系統恢復正常運行,同時採取必要的手段追蹤攻擊者及必要的法律行動
6.應急響應的作用
應急響應的作用主要體現在兩個方面:
- 未雨綢繆:是指事先準備,管理上,開展安全培訓,制定安全策略和應急預案等,技術上,增加系統安全性,如備份,升級系統軟硬件,有條件的可以安裝防火牆入侵檢測系統,殺毒工具等
- 亡羊補牢:是指事件發生後,可以採取抑制,根除和恢復等措施,減少損失,並恢復正常運行。如:隔離,限制,關閉網絡服務,恢復系統機,更新追蹤,總結等
7.應急響應組織
- 計算機網絡安全事件應急組
- 計算機安全事件響應組(CSIRT)
- 信息安全事件響應組(ISIRT)
- 事件響應組(IRT)
- 通常應急組織由管理,業務,技術和行政後勤等人員組成
- 組織建立的內部應急響應組織應與外部的國內外應急響應組織相關管理部門,設備設施及服務提供商(如電力供應,通信服務),利益相關方和新聞媒體等保持聯繫和協作,以確保在發生信息安全事件時能及時通報準確的情況並獲得支持
中國:
- 國家計算機應急技術處理協調中心
- 國家計算機病毒應急處理中心
- 國家計算機網絡入侵防範中心
8.應急響應管理過程
應急響應辦法和過程並不是唯一的,但通常可以分爲以下6個階段:
- 準備
- 檢測
- 遏制
- 根除
- 恢復
- 跟蹤系統
準備
- 確定應急響應安全策略,安全事件檢測過程和響應過程
- 建立應急預案和支持平臺
- 準備應急人員和資源
- 更新策略和規程
檢測
- 是事件發生的第一個反應步驟
- 應急響應過程中,所有活動都依賴於檢測
- 檢測觸發應急事件響應
目的:
- 首先確認事件是否發生;接着判定事件發生的領域危害和影響範圍
常用安全事件的檢測方法:
- 系統和網絡行爲監視與檢查
- 可疑行爲審查和事件報告等
遏制
目的:
- 限制安全事件的影響範圍
- 降低潛在的損失
可採取的遏制措施包括:
- 關閉所有系統,斷開網絡連接
- 修改防火牆過濾規則
- 封鎖或刪除被攻擊賬號
- 關閉服務等
根除
目的:
- 查找問題根源,徹底解決安全事件
- 藉助準備階段提供的安全工具來完成本階段的工作
常用根除方法:
- 清除木馬和病毒
- 改變用戶口令
- 重新安裝操作系統,改進保護措施等
恢復
目的:
- 所有受到影響的系統或網絡環境恢復正常工作狀態。
- 必須使用可信的完整備份或增量備份來恢復系統
跟蹤總結
目的:
- 回顧並整理髮生安全事件的相關信息(包括安全事件的操作方法和步驟;事件文檔與證據的管理記錄內容)
- 形成一份事件過程文檔和損失報告