❖ 了解国际和我国信息安全应急响应组织
❖ 了解计算机取证的概念和作用
❖ 了解计算机取证的原则、基本步骤、常用方法和
工具
2
基本概念
➢ 安全事件 而安全事件则是指影响一个系统正常工作的情
况。这里的系统包括主机范畴内的问题，也包括 网络范畴内的问题，例如黑客入侵、信息窃取、 拒绝服务攻击、网络流量异常等。 ➢ 应急响应（Emergency Response）
➢ 建立跟踪文档，规范记录跟踪结果
确认
➢ 对响应效果给出评估
➢ 对进入司法程序的事件，进行进一步的调查 遏制 ，打击违法犯罪活动
根除
恢复
跟踪
15
事件的归档与统计
➢ 处理人 ➢ 时间和时段 ➢ 地点 ➢ 工作量 ➢ 事件的类型 ➢ 对事件的处置情况 ➢ 代价 ➢ 细节
16
信息安全应急响应计划编制方法
•把所有安全上的变更作备份
确认
•服务重新上线
•持续监控
➢ 宏观：
遏制
•持续汇总分析，了解各网的运行情况
•根据各网的运行情况判断隔离措施的有效性 •通过汇总分析的结果判断仍然受影响的终端的规模 根除
•发现重要用户及时通报解决
•适当的时候解除封锁措施
恢复
跟踪
14
第六阶段—跟踪
➢ 关注系统恢复以后的安全状况，特别是曾经 准备 出问题的地方
➢ 应急响应领导小组 ➢ 应急响应技术保障小组 ➢ 应急响应专家小组 ➢ 应急响应实施小组 ➢ 应急响应日常运行小组
19
总则
角色及职 责
预防和预 警机制
应急响应 流程
应急响应 保障措施
附件
预防和预警机制
监测
预测
早发现 早报告 早处置
20
预警
总则
角色及职 责
预防和预 警机制
应急响应 流程
应急响应 保障措施
是指组织为了应对突发/重大信息安全事件的 发生所做的准备以及在事件发生后所采取的措施。
3
基本概念
➢ 应急响应计划（Emergency Response Plan） 是指在突发/重大信息安全事件后对包括计算机
运行在内的业务运行进行维持或恢复的策略和规 程。
信息安全应急响应计划的制定是一个周而复始、 持续改进的过程，包含以下几个阶段：
➢ 国家信息安全战略的近期目标：通过五年的努力 ，基本建成国家信息安全保障体系。
6
相关标准
➢ GB/T 24364-2009 《信息安全技术 信息安全应 急响应计划规范》
➢ GB/T 20988-2007 《信息安全技术 信息系统灾 难恢复规范》
➢ GB/Z 20985-2007 《信息技术 安全技术 信息安 全事件管理指南》
8
第一阶段—准备
➢ 预防为主
准备
➢ 微观（一般观点）：
帮助服务对象建立安全政策
确认
帮助服务对象按照安全政策配置安全设备和软件
扫描，风险分析，打补丁
如有条件且得到许可，建立监控设施
遏制
➢ 宏观：
建立协作体系和应急制度 建立信息沟通渠道和通报机制
根除
如有条件，建立数据汇总分析的体系和能力
有关法律法规的制定
恢复
跟踪
9
第一阶段—准备
➢ 制定应急响应计划
准备
➢ 资源准备
✓应急经费筹集
确认
✓人力资源
✓软硬件设备
✓现场备份
遏制
✓业务连续性保障
•系统容灾
根除
•搭建临时业务系统
恢复
跟踪
10
第二阶段—确认
➢ 确定事件性质和处理人
准备
➢ 微观（负责具体网络的CERT）：
确定事件的责任人
确认
指定一个责任人全权处理此事件
确认
•咨询安全政策
•确定进一步操作的风险
•损失最小化（最快最简单的方式恢复系统的基本功能，例
遏制
如备机启动）
•可列出若干选项，讲明各自的风险，由服务对象选择
➢ 宏观：
根除
•确保封锁方法对各网业务影响最小
•通过协调争取各网一致行动，实施隔离
•汇总数据，估算损失和隔离效果
恢复
跟踪
12
第四阶段—根除
➢ 长期的补救措施
信息安全事件管理与应急响应
知识子域： 信息安全事件管理与应急响应
❖ 理解信息安全事件管理和应急响应的基本概念
❖ 了解我国信息安全事件应急响应工作的进展情况 和政策要求
❖ 掌握信息安全应急响应阶段方法论
❖ 掌握信息安全应急响应计划编制方法
❖ 掌握应急响应小组的作用和建立方法
❖ 理解我国信息安全事件分级分类方法
附件
应急响应流程
信息通报 信息上报 信息批露
信息安全事件 信息安全事件通告 信息安全事件评估
➢ 总则 ➢ 角色及职责 ➢ 预防和预警机制 ➢ 应急响应流程 ➢ 应急响应保障措施 ➢ 附件
17
总则
角色及职 责
预防和预 警机制
应急响应 流程
应急响应 保障措施
附件
总则
➢ 编制目的 ➢ 编制依据 ➢ 适应范围 ➢ 工作原则
18
总则
角色及职 责
预防和预 警机制
应急响应 流程
应急响应 保障措施
附件
角色及职责
准备
➢ 微观：
•详细分析，确定原因，定义征兆
确认
•分析漏洞
•加强防范
•消除原因
遏制
•修改安全政策
➢ 宏观：
•加强宣传，公布危害性和解决办法，呼吁用户解决
根除
终端的问题；
•加强检测工作，发现和清理行业与重点部门的问题； 恢复
跟踪
13
第Байду номын сангаас阶段—恢复
➢ 微观：
准备
被攻击的系统恢复正常的工作状态
•作一个新的备份
（1）应急响应需求分析和应急响应策略的确定； （2）编制应急响应计划文档； （3）应急响应计划的测试、培训、演练和维护。
4
应急响应与应急响应计划的关系
应
急
应
响
急
应
响
计
应
划
5
政策要求
➢ 《关于加强信息安全保障工作的意见》（中办发 『2003』27号文）指出：“信息安全保障工作的 要点在于，实行信息安全等级保护制度，建设基 于密码技术的网络信任体系，建设信息安全监控 体系，重视信息安全应急处理工作，推动信息安 全技术研发与产业发展，建设信息安全法制与标 准”
给予必要的资源
确定事件的性质
误会？玩笑？还是恶意的攻击/入侵？
遏制
影响的严重程度
预计采用什么样的专用资源来修复？
根除
➢ 宏观（负责总体网络的CERT）：
通过汇总，确定是否发生了全网的大规模事件
确定应急等级，以决定启动哪一级应急方案
恢复
跟踪
11
第三阶段—遏制
➢ 即时采取的行动
准备
➢ 微观：
•防止进一步的损失，确定后果 •初步分析，重点是确定适当的封锁方法
➢ GB/Z 20986-2007 《信息安全技术 信息安全事 件分类分级指南》
7
应急响应六阶段
➢ 第一阶段：准备——让我们严阵以待 ➢ 第二阶段：确认——对情况综合判断 ➢ 第三阶段：遏制——制止事态的扩大 ➢ 第四阶段：根除——彻底的补救措施 ➢ 第五阶段：恢复——系统恢复常态 ➢ 第六阶段：跟踪——还会有第二次吗