• 在灾难来临前使相关人员了解熟悉恢复流 程
• 使应急响应预案得到理解并可以使用 • 促进应急响应预案活动、更新、实用 • 展示恢复的能力 • 达到法律和内部审计要求
34
演练与演习的类型
• 演练和演习的主要方式有： 参见应急演练脚本
– 桌面演练；
– 模拟演练；
– 实战演练等
• 根据演练和演习的深度，可分为：
宏观：
建立协作体系和应急制度 建立信息沟通渠道和通报机制 如有条件，建立数据汇总分析的体系和能力 有关法律法规的制定
10
第一阶段—准备
制定应急响应计划 资源准备
应急经费筹集 人力资源 软硬件设备 现场备份 业务连续性保障
•系统容灾 •搭建临时业务系统
11
人力资源准备
• ƒ指挥调度人员 • ƒ协作人员 • ƒ技术人员 • ƒ专家 • ƒ设备、系统和服务提供商
32
应急响应预案的制定
成功预案的特点
• 清楚、简洁 • 高级管理层支持/组织
承诺 • 不断改进和更新的恢
复策略 • 及时的更新维护
组织职责分工明确 保留、备份和异地存储计划 完整记录并定期演练 风险得到管理 弱点得到优先重视 灵活、可适应
33
应急响应预案的教育、培训和演练
14
建立事件报告的机制和要求
建立事件报告流 程和规范
15
第二阶段—确认
确定事件性质和处理人 微观（负责具体网络的CERT）：
确定事件的责任人
指定一个责任人全权处理此事件 给予必要的资源
确定事件的性质
误会？玩笑？还是恶意的攻击/入侵？ 影响的严重程度 预计采用什么样的专用资源来修复？
宏观（负责总体网络的CERT）：
• ƒ远程应急响应服务
– 在确认客户的应急响应请求后? 小时内，交与相关应急 响应人员进行处理。无论是否解决，进行处理的当天 必须返回响应情况的简报，直到此次响应服务结束。
• ƒ本地应急响应服务
– 对本地范围内的客户，？小时内到达现场；对异地的 客户，？小时加路途时间内到达现场。
22
应急响应SLA 矩阵
– 系统级演练；
– 应用级演练；
– 业务级演练等
• 根据演练和演习的准备情况，可分为：
– 计划内的演练和演习；
– 计划外的演练和演习等
35
预案维护管理
• 核对预案的功能性 • 验证预案文档的精确性和完整性 • 分发更新的文档
– 文档计划分发和发布流程 – 确保相关的团队收到更新的文档
• 依靠维护来改变管理流程 • 提供培训作为持续维护预案的一部分
• 关键人员的变化
• 硬件配置的变化 《应急预案管理制度》
• 使用新操作系统
• 预案审核和演练后
• 软件/应用软件的变化
• 新的法律或审计要求
• 定期审核和更新——如：每年两次
37
应急预案变更记录
页码
变化记录
变化备注
变化日期
签名
38
应急响应体系建设流程
应
风险评估
急
响 应
参见XXX应急体
计 划
业务影响分析
响应预案的问题提交、解决、更新、跟踪、发布的渠道和流 程。 – 第三，建立相关的保密管理规定，保证应急响应预案中涉及 的秘密信息得到保护。 – 第四，应急响应预案在内容管理方面应注意内容的分布和粒 度，可根据版本和内容的更新频度将应急响应的内容进行适 当的分布。 – 第五，建立合理的应急响应预案的保管制度，强调存放的安 全性和易取得性。
– 为与应急响应的相关人员开展定期培训，如：复习进修 课程或灾难备份研讨会
– 指派培训责任，如：部门经理要确保员工被送去参加培 训
• 完成时报告预案维护情况 • 毁掉旧应急响应预案的复印件或电子版本 36
。
预案变更管理
• 业务操作的增长或变化
– 如：新的分支、产品和业务功能的增加
• 公司所有权的变化
4
应急响应与应急响应体系的关系
5
政策要求
《关于加强信息安全保障工作的意见》（中办发 『2003』27号文）指出：“信息安全保障工作的 要点在于，实行信息安全等级保护制度，建设基 于密码技术的网络信任体系，建设信息安全监控 体系，重视信息安全应急处理工作，推动信息安 全技术研发与产业发展，建设信息安全法制与标 准”
• 什么是应急响应和应急响应体系
•
• 应急响应的六大阶段
•
• 应急预案的编制和管理
•
• 应急响应体系建立流程
•
• 典型应急响应体系建设案例
1
基本概念
安全事件（Security Accident） 而安全事件则是指影响一个系统正常工作的情况 。这里的系统包括主机范畴内的问题，也包括网 络范畴内的问题，例如黑客入侵、信息窃取、拒 绝服务攻击、网络流量异常等。
应急响应（Emergency Response） 是指组织为了应对突发/重大信息安全事件的发 生所做的准备以及在事件发生后所采取的措施。
应急响应是信息安全防护的最后一道防线！
2
基本概念
应急响应体系（Emergency Response System） 是指在突发/重大信息安全事件后对包括计算
– 确定风险场景 – 描述可能受到的业务影响 – 描述使用的预防性策略 – 描述应急响应策略 – 识别和排列关键应用系统 – 行动计划 – 团队和人员的职责 – 联络清单 – 所需资源配置
31
应急响应预案的制定
• 制定应急响应预案的原则
– 首先，必须集中管理应急响应预案的版本和发布。 – 其次，为了建立有效的版本控制体系，必须建立规范的应急
制事故）
– 解决方案的期限（例如：紧急事故工作区需在 4 小时内清除，临时工作区需在两周内清除， 25 永久的解决方案）。
例：基于DDOS 攻击的遏制策略
1. 基于攻击特征实施过滤。 2. 纠正正在被攻击的漏洞或弱点 3. 让ISP 实施过滤 4. 重定位目标 5. 攻击攻击者 6. 设定证据保留时间
事故当前或将来可 能的影响
Root级访问 非授权的数据修改 对敏感信息的非授 权访问 非授权的用户级访 问 服务不可用 骚扰
事故当前或将来可能影响的资源的重要性
高（例如：互联网 连接，公共Web服 务器，防火墙，客 户数据）
中（例如：系统管 理
员工作站，文件和 打 印服务器，XYZ 应用 数据）
低（例如：用户工 作 站）
正常的
端口扫描， 输出的，不
正常的
利用带宽高
利用电子邮 件
拒绝服务 低 低 中 高
低
高 中
恶意代码 中
非授权访问 不正确使用
高
低
中
低
高
中
中
低
低
中
低
高
中
低中低中来自高中中
20
事故优先级——服务水平协议
• ƒ服务水平协议（SLA ）
– 定义服务目标及双方的预期及责任
• ƒ服务水平协议指标
21
应急响应服务的指标
建立跟踪文档，规范记录跟踪结果 对响应效果给出评估 对进入司法程序的事件，进行进一步的调查
，打击违法犯罪活动
29
事件的归档与统计
处理人 时间和时段 地点 工作量 事件的类型 对事件的处置情况 代价 细节
30
应急响应预案的制定
• 应急响应预案的包括的主要内容
26
第四阶段—根除
长期的补救措施 微观：
•详细分析，确定原因，定义征兆 •分析漏洞 •加强防范 •消除原因 •修改安全政策
宏观：
•加强宣传，公布危害性和解决办法，呼吁用户解决 终端的问题； •加强检测工作，发现和清理行业与重点部门的问题；
27
第五阶段—恢复
微观：
被攻击的系统恢复正常的工作状态
12
软硬件设备准备
• ƒ硬件设备准备
数据保护设备
• 磁盘、磁带、光盘 • SAN
冗余设备
• ƒ网络链路、网络设备 • ƒ关键计算机设备
• Any else?
13
软硬件设备准备
• ƒ软件工具准备 • 备份软件 • 日志处理软件 • 系统软件 • 网络软件 • 应急启动盘 • Any else? • 病毒/ 恶意软件查杀软件
系_项目计划
的 编
_080821_C1
制
准
备
制定应急响应策略
编制应急响应计划文档
应急响应计划的测试、培 训、演练和维护
应急响应计划的测试 、培训和演练
应急响应计划的管理 和维护
39
信息安全应急响应计划编制方法
7
相关标准
GB/T 24364-2009 《信息安全技术 信息安全应 急响应计划规范》
GB/T 20988-2007 《信息安全技术 信息系统应急 响应规范》
GB/Z 20985-2007 《信息技术 安全技术 信息安 全事件管理指南》
GB/Z 20986-2007 《信息安全技术 信息安全事件 分类分级指南》
机运行在内的业务运行进行维持或恢复的各种技 术和管理策略和规程。
信息安全应急响应体系的制定是一个周而复 始、持续改进的过程，包含以下几个阶段：
（1）应急响应需求分析和应急响应策略的确定； （2）编制应急响应计划文档； （3）应急响应计划的测试、培训、演练和维护。
3
应急响应目的
• 应急响应服务的目的是尽可能地减小和控 制住网络安全事件的损失，提供有效的响 应和恢复指导，并努力防止安全事件的发 生。
8
应急响应六阶段
第一阶段：准备——让我们严阵以待 第二阶段：确认——对情况综合判断 第三阶段：遏制——制止事态的扩大 第四阶段：根除——彻底的补救措施 第五阶段：恢复——系统恢复常态 第六阶段：跟踪——还会有第二次吗