信息系統(tǒng)安全應(yīng)急響應(yīng)處置

《信息系統(tǒng)安全應(yīng)急響應(yīng)處置》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。

1、信息系統(tǒng)安全應(yīng)急響應(yīng)處置介紹樊運(yùn)安協(xié)會(huì)專(zhuān)家組成員CISSPCISPCOBITITIL目錄應(yīng)急響應(yīng)體系應(yīng)急響應(yīng)案例其他應(yīng)急響應(yīng)定義1應(yīng)急響應(yīng)（Emergencyresponse）組織為了應(yīng)對(duì)突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，已及在事件發(fā)生后所采取的的措施?！ㄐ畔踩珣?yīng)急響應(yīng)計(jì)劃規(guī)范GB/T24363-2009）應(yīng)急響應(yīng)通常是指一個(gè)組織為了應(yīng)對(duì)各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。信息系統(tǒng)安全事件應(yīng)急響應(yīng)的對(duì)象是指針對(duì)信息系統(tǒng)所存儲(chǔ)、傳輸、處理的信息的安全事件。事件的主體可能來(lái)自自然界、系統(tǒng)自身故障、組織內(nèi)部或外部的人為攻擊等。按照

2、信息系統(tǒng)安全的三個(gè)特性，可以把安全事件定義為破壞信息或信息處理系統(tǒng)CIA的行為，即破壞保密性的安全事件、破壞完整性的安全事件和破壞可用性的安全事件等?！ㄐ畔⑾到y(tǒng)等保體系框架GA/T708-2007）應(yīng)急響應(yīng)的定義2信息安全響應(yīng)的定義3信息安全應(yīng)急響應(yīng)是指在計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)上的威脅安全的事件發(fā)生后采取的措施和行動(dòng)。這些措施和行動(dòng)通常是用來(lái)減小和阻止事件帶來(lái)的負(fù)面影響和破壞的后果。信息安全應(yīng)急響應(yīng)是解決網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題的有效安全服務(wù)手段之一。應(yīng)急處置定義應(yīng)急處置啟動(dòng)應(yīng)急響應(yīng)計(jì)劃后，應(yīng)立即采取相關(guān)措施抑制信息安全事件影響，避免造成更大損失。在確定有效控制了信息

3、安全事件影響后，開(kāi)始實(shí)施恢復(fù)操作?；謴?fù)階段的行動(dòng)集中于建立臨時(shí)業(yè)務(wù)處理能力、修復(fù)原系統(tǒng)的損害、在原系統(tǒng)或新設(shè)施中恢復(fù)運(yùn)行業(yè)務(wù)能力等應(yīng)急措施?！ㄐ畔踩珣?yīng)急響應(yīng)計(jì)劃規(guī)范GB/T24363-2009）信息安全應(yīng)急響應(yīng)產(chǎn)生的背景MorrisWorm1988年Morris蠕蟲(chóng)病毒事件爆發(fā)后，世界上第一個(gè)應(yīng)急響應(yīng)組織成立----CERT/CC2000年10月份成立“國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心”，簡(jiǎn)稱(chēng)“國(guó)家互聯(lián)網(wǎng)應(yīng)急中心”，在31個(gè)省成立分中心http://www.cert.org.cn/CNCERT/CC的職能CNCERT/CC(國(guó)家互聯(lián)網(wǎng)應(yīng)急中心)作為國(guó)

4、家級(jí)應(yīng)急組織，主要業(yè)務(wù)包括如下：我國(guó)信息安全應(yīng)急響應(yīng)管理體系信息安全應(yīng)急響應(yīng)法規(guī)標(biāo)準(zhǔn)信息安全應(yīng)急響應(yīng)要求—信息安全等級(jí)保護(hù)應(yīng)急預(yù)案管理a)應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容；b)應(yīng)從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障；c)應(yīng)對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次；d)應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期；e)應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實(shí)際情況更新的內(nèi)容，并按照?qǐng)?zhí)行。安全事

5、件處置a)應(yīng)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件，但任何情況下用戶(hù)均不應(yīng)嘗試驗(yàn)證弱點(diǎn)；b)應(yīng)制定安全事件報(bào)告和處置管理制度，明確安全事件的類(lèi)型，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)；c)應(yīng)根據(jù)國(guó)家相關(guān)管理部門(mén)對(duì)計(jì)算機(jī)安全事件等級(jí)劃分方法和安全事件對(duì)本系統(tǒng)產(chǎn)生的影響，對(duì)本系統(tǒng)計(jì)算機(jī)安全事件進(jìn)行等級(jí)劃分；d)應(yīng)制定安全事件報(bào)告和響應(yīng)處理程序，確定事件的報(bào)告流程，響應(yīng)和處置的范圍、程度，以及處理方法等；f)對(duì)造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不同的處理程序和報(bào)告程序。應(yīng)急響應(yīng)組織結(jié)構(gòu)應(yīng)急領(lǐng)導(dǎo)小組應(yīng)急專(zhuān)家小組應(yīng)急響應(yīng)技術(shù)保障小組應(yīng)急響應(yīng)日常運(yùn)行小組

6、應(yīng)急響應(yīng)實(shí)施小組1）組織開(kāi)展應(yīng)急響應(yīng)工作2）應(yīng)急響應(yīng)啟動(dòng)條件的決策3）應(yīng)急響應(yīng)所需資源的協(xié)調(diào)。。。。。。1）應(yīng)急響應(yīng)事件的咨詢(xún)2）應(yīng)急響應(yīng)事件的綜合評(píng)估。。。。。。1）應(yīng)急事件技術(shù)能力的支撐2）技術(shù)資源協(xié)調(diào)。。。。。。1）應(yīng)急事件的日常監(jiān)控2）應(yīng)急事件的響應(yīng)。。。。。。1）應(yīng)急事件的處理2）重要信息系統(tǒng)的業(yè)務(wù)能力恢復(fù)。。。。。。網(wǎng)絡(luò)釣魚(yú)事件網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件應(yīng)急事件類(lèi)型有害程序事件混合攻擊程序事件計(jì)算機(jī)病毒事件蠕蟲(chóng)事件特洛伊木馬事件僵尸網(wǎng)絡(luò)事件網(wǎng)絡(luò)攻擊事件網(wǎng)絡(luò)掃描竊聽(tīng)事件拒絕服務(wù)攻擊事件后門(mén)攻擊事件漏洞攻擊事件網(wǎng)絡(luò)釣魚(yú)事件干擾事件信息內(nèi)容安全事件信息破壞事

7、件信息丟失事件信息篡改事件信息假冒事件信息泄露事件信息竊取事件設(shè)備設(shè)施故障軟硬件自身故障外圍保障設(shè)施故障人為破壞事件災(zāi)害性事故自然災(zāi)害人為災(zāi)害應(yīng)急事件等級(jí)事件描述等級(jí)信息安全事件影響信息系統(tǒng)損害程度特別重大事件I級(jí)特別嚴(yán)重影響或破壞特別嚴(yán)重重大事件II級(jí)嚴(yán)重影響或破壞重大較大事件III級(jí)較嚴(yán)重影響或破壞較大一般事件IV級(jí)較小影響或破壞較小信息安全應(yīng)急響應(yīng)流程信息安全應(yīng)急響應(yīng)流程—準(zhǔn)備階段分析資產(chǎn)的風(fēng)險(xiǎn)1）明確信息系統(tǒng)網(wǎng)絡(luò)與系統(tǒng)架構(gòu)。2）明確信息系統(tǒng)的管理人員。3）明確信息系統(tǒng)的保護(hù)要求。4）計(jì)算損失和影響。風(fēng)險(xiǎn)加固1）根據(jù)風(fēng)險(xiǎn)建立防御/控制措施。2）安全管理

8、及安全技術(shù)層面要同時(shí)兼顧。編制應(yīng)急預(yù)案1）制定應(yīng)急處