一、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)建設(shè)的背景和現(xiàn)狀

當(dāng)前，許多地區(qū)和單位已經(jīng)初步建立了網(wǎng)絡(luò)安全預(yù)警機(jī)制，實(shí)現(xiàn)了對一般網(wǎng)絡(luò)安全事件的預(yù)警和處置。但是，由于網(wǎng)絡(luò)與信息安全技術(shù)起步相對較晚，發(fā)展時間較短，與其他行業(yè)領(lǐng)域相比，其專項(xiàng)應(yīng)急預(yù)案、應(yīng)急保障機(jī)制和相關(guān)的技術(shù)支撐平臺都還在不斷發(fā)展中。各政府機(jī)構(gòu)、企業(yè)也根據(jù)自身情況，設(shè)計了服務(wù)于自身的網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案，建立有相應(yīng)的制度流程和保障隊(duì)伍，但相關(guān)的應(yīng)急流程和保障措施普遍存在有自動化程度低、與實(shí)踐脫節(jié)等共性問題。在面對重大網(wǎng)絡(luò)與信息安全事件時，現(xiàn)有機(jī)制還是凸顯出一定的不足：機(jī)制尚顯薄弱，難以有效整合資源，或是難以實(shí)現(xiàn)從預(yù)警到評判再到應(yīng)急處置的快速反應(yīng)處置機(jī)制。

基于現(xiàn)實(shí)困境，在充分運(yùn)用既有研究、建設(shè)成果的基礎(chǔ)上，應(yīng)當(dāng)進(jìn)一步實(shí)現(xiàn)信息匯聚、信息分析、聯(lián)合研判、輔助決策、應(yīng)急指揮、應(yīng)急演練、預(yù)案管理等核心處置流程，確保一旦發(fā)生重大信息安全事件，能夠迅速研判，形成預(yù)案，迅速指揮調(diào)度相關(guān)部門執(zhí)行應(yīng)急預(yù)案，做好應(yīng)對措施，避免給國家和社會造成重大影響和損失，防止威脅國家安全的情況發(fā)生。

二、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系的要素

建立良好的網(wǎng)絡(luò)安全應(yīng)急保障體系，使其能夠真正有效地服務(wù)于網(wǎng)絡(luò)安全保障工作，應(yīng)該重點(diǎn)加強(qiáng)以下幾方面的能力。

（一）綜合分析與匯聚能力

網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)急保障，有其自身較為明顯的特點(diǎn)，其對象靈活多變、信息復(fù)雜海量，難以完全靠人力進(jìn)行綜合分析決策，需要依靠自動化的現(xiàn)代分析工具，實(shí)現(xiàn)對不同來源海量信息的自動采集、識別和關(guān)聯(lián)分析，形成態(tài)勢分析結(jié)果，為指揮機(jī)構(gòu)和專家提供決策依據(jù)。完整、高效、智能化，是滿足現(xiàn)實(shí)需求的必然選擇。因此，應(yīng)有效建立以信息匯聚（采集、接入、過濾、范化、歸并）、管理（存儲、利用、管理）、分析（基礎(chǔ)分析、統(tǒng)計分析、業(yè)務(wù)關(guān)聯(lián)性分析、技術(shù)關(guān)聯(lián)性分析）、發(fā)布（多維展現(xiàn)）等為核心的完整能力體系，在重大信息安全事件發(fā)生時，能夠迅速匯集各類最新信息，形成易于辨識的態(tài)勢分析結(jié)果，最大限度地為應(yīng)急指揮機(jī)構(gòu)提供決策參考依據(jù)。

（二）綜合管理能力

伴隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全領(lǐng)域相關(guān)的技術(shù)手段不斷翻新，對應(yīng)急指揮的能力、效率、準(zhǔn)確程度要求更高。在實(shí)現(xiàn)網(wǎng)絡(luò)與信息安全應(yīng)急指揮業(yè)務(wù)的過程中，應(yīng)注重用信息化手段建立完整的業(yè)務(wù)流程，注重建立集網(wǎng)絡(luò)安全綜合管理、動態(tài)監(jiān)測、預(yù)警、應(yīng)急響應(yīng)為一體的網(wǎng)絡(luò)安全綜合管理能力。

要切實(shí)認(rèn)識到數(shù)據(jù)資源管理的重要性，結(jié)合日常應(yīng)急演練和管理工作，做好應(yīng)急資源庫、專家?guī)臁咐龓?、預(yù)案庫等重要數(shù)據(jù)資源的整合、管理工作，在應(yīng)急處理流程中，能夠依托自動化手段，針對具體事件的研判處置推送關(guān)聯(lián)性信息，不斷豐富數(shù)據(jù)資源。

（三）處理網(wǎng)絡(luò)安全日常管理與應(yīng)急響應(yīng)關(guān)系的能力

網(wǎng)絡(luò)安全日常管理與應(yīng)急響應(yīng)有較為明顯的區(qū)別，其主要體現(xiàn)在以下3個方面。

1、業(yè)務(wù)類型不同。日常管理工作主要包括對較小的信息安全事件進(jìn)行處置，組織開展應(yīng)急演練工作等，而應(yīng)急響應(yīng)工作一般面對較嚴(yán)重的信息安全事件，需要根據(jù)國家政策要求，進(jìn)行必要的上報，并開展或配合開展專家聯(lián)合研判、協(xié)同處置、資源保障、應(yīng)急隊(duì)伍管理等工作。

2、響應(yīng)流程不同。日常管理工作中，對較小事件的處理在流程上要求簡單快速，研判、處置等工作由少量專業(yè)人員完成即可。而應(yīng)急響應(yīng)工作，需要有信息上報、聯(lián)合審批、分類下發(fā)等重要環(huán)節(jié)，響應(yīng)流程較為復(fù)雜。

3、涉及范圍不同。應(yīng)急響應(yīng)工作狀態(tài)下，嚴(yán)重的網(wǎng)絡(luò)安全事件波及范圍廣，需要較多的涉事單位、技術(shù)支撐機(jī)構(gòu)和個人進(jìn)行有效協(xié)同，也需要調(diào)集更多的應(yīng)急資源進(jìn)行保障，其涉及范圍遠(yuǎn)大于日常工作狀態(tài)。

然而，網(wǎng)絡(luò)安全日常管理與應(yīng)急工作不可簡單割裂。例如，兩者都需要建立在對快速變化的信息進(jìn)行綜合分析、研判、輔助決策的基礎(chǔ)之上，擁有很多相同的信息來源和自動化匯聚、分析手段。同時，日常工作中的應(yīng)急演練管理、預(yù)案管理等工作，本身也是應(yīng)急響應(yīng)能力建設(shè)的一部分。因此，在流程機(jī)制設(shè)計、自動化平臺支撐等方面，應(yīng)充分考慮2種工作狀態(tài)的聯(lián)系，除對重大突發(fā)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)業(yè)務(wù)進(jìn)行能力設(shè)計實(shí)現(xiàn)外，還應(yīng)注重強(qiáng)化對日常業(yè)務(wù)的支撐能力，以能夠最大限度地發(fā)揮管理機(jī)構(gòu)能力和效力。

（四）協(xié)同作戰(zhàn)能力

研判、處置重大網(wǎng)絡(luò)信息安全事件，需要多個單位、部門和應(yīng)急隊(duì)伍進(jìn)行支撐和協(xié)調(diào)，需要建設(shè)良好的通信保障基礎(chǔ)設(shè)施，建立順暢的信息溝通機(jī)制，并通過經(jīng)常開展應(yīng)急演練工作，使各單位、個人能夠在面對不同類型的事件時，熟悉所承擔(dān)的應(yīng)急響應(yīng)角色，熟練開展協(xié)同保障工作。

三、網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)流程

隨著國家信息化建設(shè)進(jìn)程的加速，計算機(jī)信息系統(tǒng)和網(wǎng)絡(luò)已經(jīng)成為重要的基礎(chǔ)設(shè)施。隨著網(wǎng)絡(luò)安全組件的不斷增多，網(wǎng)絡(luò)邊界不斷擴(kuò)大，網(wǎng)絡(luò)安全管理的難度日趨增大，各種潛在的網(wǎng)絡(luò)信息危險因素與日俱增。雖然網(wǎng)絡(luò)安全的保障技術(shù)也在快速發(fā)展，但實(shí)踐證明，現(xiàn)實(shí)中再完備的安全保護(hù)也無法抵御所有危險。因此，完善的網(wǎng)絡(luò)安全體系要求在保護(hù)體系之外必須建立相應(yīng)的應(yīng)急響應(yīng)體系。

（一）網(wǎng)絡(luò)安全應(yīng)急響應(yīng)六大階段

為最大限度科學(xué)、合理、有序地處置網(wǎng)絡(luò)安全事件，采納了業(yè)內(nèi)通常使用的PDCERF方法學(xué)（最早由 1987 年美國賓夕法尼亞匹茲堡軟件工程研究所在關(guān)于應(yīng)急響應(yīng)的邀請工作會議上提出），將應(yīng)急響應(yīng)分成準(zhǔn)備（Preparation）、檢測（Detection）、抑制（Containment）、根除（Eradication）、恢復(fù)（Recovery）、跟蹤（Follow-up）6個階段的工作，并根據(jù)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)總體策略對每個階段定義適當(dāng)?shù)哪康?，明確響應(yīng)順序和過程。應(yīng)急響應(yīng)PDCERF模型如圖1所示。

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?圖1 應(yīng)急響應(yīng)PDCERF模型

（二）網(wǎng)絡(luò)安全事件分階段響應(yīng)流程

1、準(zhǔn)備階段

選擇、安裝和熟悉響應(yīng)過程中的協(xié)助工具及有助于收集和維護(hù)與入侵相關(guān)數(shù)據(jù)的工具，為所有的應(yīng)用軟件和操作系統(tǒng)創(chuàng)建啟動盤或隨機(jī)器發(fā)行的介質(zhì)庫。用初始可靠的啟動盤（或CD?ROM）使機(jī)器以已知的預(yù)先設(shè)定的配置重新啟動，這在相當(dāng)程度上能保證被入侵后的文件、程序以及數(shù)據(jù)不會加載到系統(tǒng)中。

為了防止不可預(yù)期的變化，在試驗(yàn)機(jī)器上安裝可信任版本的系統(tǒng)；為了避免有意或無意的破壞，所有的介質(zhì)應(yīng)該處于硬件寫保護(hù)狀態(tài)。

建立一個包含所有應(yīng)用程序和不同版本的操作系統(tǒng)的安全補(bǔ)丁庫。確保備份程序足夠從任何損害中恢復(fù)。建立資源工具包并準(zhǔn)備相關(guān)硬件設(shè)備資源工具包，包含在響應(yīng)過程中可能要使用的所有工具。確保測試系統(tǒng)正確配置且可用在任何分析或測試中，使用被入侵的系統(tǒng)都可能導(dǎo)致這些系統(tǒng)進(jìn)一步地暴露和損害。已被入侵的系統(tǒng)產(chǎn)生的任何結(jié)果都是不可靠的。此外，采用這樣的系統(tǒng)或許會由于惡意程序而暴露正在進(jìn)行的測試。使用物理和邏輯上與任何運(yùn)行的系統(tǒng)和網(wǎng)絡(luò)隔離的測試系統(tǒng)和測試網(wǎng)絡(luò)。選擇將被入侵的系統(tǒng)移到測試網(wǎng)絡(luò)中，并且部署新安裝的打過補(bǔ)丁的安全系統(tǒng)，以便繼續(xù)運(yùn)行。在完成分析后，清除所有的磁盤，這樣可以確保任何殘留文件或惡意程序不影響將來的分析，或任何正在測試系統(tǒng)上進(jìn)行的工作，或無意中被傳到其他運(yùn)行系統(tǒng)中。這在測試系統(tǒng)還有其他用途時是很關(guān)鍵的。備份所有被分析的系統(tǒng)以及保護(hù)分析結(jié)果，以備將來進(jìn)一步分析。

2、檢測階段

檢測階段的主要任務(wù)有發(fā)現(xiàn)可疑跡象或問題發(fā)生后進(jìn)行的一系列初步處理工作，分析所有可能得到的信息來確定入侵行為的特征。

一旦被入侵檢測機(jī)制或另外可信的站點(diǎn)警告已經(jīng)檢測到了入侵，需要確定系統(tǒng)和數(shù)據(jù)被入侵到了什么程度。需要權(quán)衡收集盡可能多信息的價值和入侵者發(fā)現(xiàn)他們的活動被發(fā)現(xiàn)的風(fēng)險之間的關(guān)系。一些入侵者會驚慌并試圖刪除他們活動的所有痕跡，進(jìn)一步破壞準(zhǔn)備拯救的系統(tǒng)。這會使分析無法進(jìn)行下去。

備份并“隔離”被入侵的系統(tǒng)，進(jìn)一步查找其他系統(tǒng)上的入侵痕跡。檢查防火墻、網(wǎng)絡(luò)監(jiān)視軟件以及路由器的日志，確定攻擊者的入侵路徑和方法，以及入侵者進(jìn)入系統(tǒng)后都做了什么。

在當(dāng)前缺少安全預(yù)警機(jī)制的情況下，網(wǎng)絡(luò)安全的應(yīng)急響應(yīng)活動主要還是立足于事中或事后的確認(rèn)，而且，即使是在事中或事后，也不一定可以發(fā)現(xiàn)存在的安全問題，往往都是在已經(jīng)造成了破壞之后，才發(fā)生了對系統(tǒng)可用性、完整性和保密性造成明顯破壞的行為或者有了用戶投訴后才會去了解發(fā)生的安全問題。

一般典型的事故現(xiàn)象包括：

（1）賬號被盜用；

（2）騷擾性的垃圾信息；

（3）業(yè)務(wù)服務(wù)功能失效；

（4）業(yè)務(wù)內(nèi)容被明顯篡改；

（5）系統(tǒng)崩潰、資源不足。

3、抑制階段

抑制階段的主要任務(wù)是限制事件擴(kuò)散和影響的范圍。抑制舉措往往會對合法業(yè)務(wù)流量造成影響，最有效的抑制方式是盡可能地靠近攻擊的發(fā)起端實(shí)施抑制。但是，一般情況下攻擊包都會偽造源IP地址，在Internet這樣的大型網(wǎng)絡(luò)環(huán)境中難以確定攻擊流的真正來源，因此，要靠近攻擊發(fā)起端實(shí)施面向 Internet 全網(wǎng)的抑制操作在當(dāng)前技術(shù)上依然不成熟。

抑制采用的方式可能有多種，常見的包括：

（1）關(guān)掉已受害的系統(tǒng)；

（2）斷開網(wǎng)絡(luò)；

（3）修改防火墻或路由器的過濾規(guī)則；

（4）封鎖或刪除被攻破的登錄賬號；

（5）關(guān)閉可被攻擊利用的服務(wù)功能。

4、根除階段

根除階段的主要任務(wù)是通過事件分析查明事件危害的方式，并且給出清除危害的解決方案。

對事件的確認(rèn)僅是初步的事件分析過程。事件分析的目的是找出問題出現(xiàn)的根本原因。在事件分析的過程中主要有主動和被動2種方式。

主動方式是采用攻擊誘騙技術(shù)，通過讓攻擊方去侵入一個受監(jiān)視存在漏洞的系統(tǒng)，直接觀察到攻擊方所采用的攻擊方法。

被動方式是根據(jù)系統(tǒng)的異?，F(xiàn)象去追查問題的根本原因。被動方式會綜合用到以下的多種方法。

（1）系統(tǒng)異常行為分析：這是在維護(hù)系統(tǒng)及其環(huán)境特征白板的基礎(chǔ)上，通過與正常情況做比較，找出攻擊者的活動軌跡以及攻擊者在系統(tǒng)中植下的攻擊代碼。

（2）日志審計：日志審計是通過檢查系統(tǒng)及其環(huán)境的日志信息和告警信息來分析是否有攻擊者做了哪些違規(guī)行為。

（3）入侵監(jiān)測：對于還在進(jìn)行的攻擊行為，入侵監(jiān)測方式通過捕獲并檢測進(jìn)出系統(tǒng)的數(shù)據(jù)流，利用入侵監(jiān)測工具所帶的攻擊特征數(shù)據(jù)庫，可以在事件分析過程中幫助定位攻擊的類型。

（4）安全風(fēng)險評估：無論是利用系統(tǒng)漏洞進(jìn)行的網(wǎng)絡(luò)攻擊還是感染病毒，都會對系統(tǒng)造成破壞，通過漏洞掃描工具或者是防病毒軟件等安全風(fēng)險評估工具掃描系統(tǒng)的漏洞或病毒可以有效地幫助定位攻擊事件。

但是，在實(shí)際的事件分析過程中，往往會綜合采用被動和主動的事件分析方法。特別是對于在網(wǎng)上自動傳播的攻擊行為，當(dāng)采用被動方式難以分析出事件根本原因的時候，采用主動方式往往會很有效。

最后，改變?nèi)靠赡苁艿焦舻南到y(tǒng)的口令、重新設(shè)置被入侵系統(tǒng)、消除所有的入侵路徑包括入侵者已經(jīng)改變的方法、從最初的配置中恢復(fù)可執(zhí)行程序（包括應(yīng)用服務(wù)）和二進(jìn)制文件、檢查系統(tǒng)配置、確定是否有未修正的系統(tǒng)和網(wǎng)絡(luò)漏洞并改正、限制網(wǎng)絡(luò)和系統(tǒng)的暴露程度以改善保護(hù)機(jī)制、改善探測機(jī)制使它在受到攻擊時得到較好的報告。

5、恢復(fù)階段

恢復(fù)階段的主要任務(wù)是把被破壞的信息徹底地還原到正常運(yùn)作狀態(tài)。確定使系統(tǒng)恢復(fù)正常的需求和時間表、從可信的備份介質(zhì)中恢復(fù)用戶數(shù)據(jù)、打開系統(tǒng)和應(yīng)用服務(wù)、恢復(fù)系統(tǒng)網(wǎng)絡(luò)連接、驗(yàn)證恢復(fù)系統(tǒng)、觀察其他的掃描、探測等可能表示入侵者再次侵襲的信號。一般來說，要成功地恢復(fù)被破壞的系統(tǒng)，需要維護(hù)干凈的備份系統(tǒng)，編制并維護(hù)系統(tǒng)恢復(fù)的操作手冊，而且在系統(tǒng)重裝后需要對系統(tǒng)進(jìn)行全面的安全加固。

6、跟蹤階段

跟蹤階段的主要任務(wù)是回顧并整合應(yīng)急響應(yīng)過程的相關(guān)信息，進(jìn)行事后分析總結(jié)、修訂安全計劃、政策、程序并進(jìn)行訓(xùn)練以防止再次入侵，基于入侵的嚴(yán)重性和影響，確定是否進(jìn)行新的風(fēng)險分析、給系統(tǒng)和網(wǎng)絡(luò)資產(chǎn)制定一個新的目錄清單、如果需要，參與調(diào)查和起訴。這一階段的工作對于準(zhǔn)備階段工作的開展起到重要的支持作用。

跟蹤階段的工作主要包括3個方面的內(nèi)容。

（1）形成事件處理的最終報告。

（2）檢查應(yīng)急響應(yīng)過程中存在的問題，重新評估和修改事件響應(yīng)過程。

（3）評估應(yīng)急響應(yīng)人員相互溝通在事件處理上存在的缺陷，以促進(jìn)事后進(jìn)行有針對性的培訓(xùn)。

四、結(jié)語

當(dāng)今時代，互聯(lián)網(wǎng)的飛速發(fā)展使各國面臨的信息安全形勢日趨嚴(yán)峻。在復(fù)雜多變的網(wǎng)絡(luò)與信息安全形勢下，必須從經(jīng)濟(jì)發(fā)展、社會穩(wěn)定、國家安全、公共利益的高度，充分認(rèn)識網(wǎng)絡(luò)與信息安全應(yīng)急保障工作的重要性，高度重視并切實(shí)做好應(yīng)急準(zhǔn)備工作。

較大的網(wǎng)絡(luò)與信息安全事件時有發(fā)生，重大、特別重大的網(wǎng)絡(luò)與信息安全事件也隨時有可能發(fā)生。必須做好應(yīng)急準(zhǔn)備工作，建設(shè)快速有效的現(xiàn)代化應(yīng)急協(xié)同機(jī)制，確保一旦發(fā)生重大網(wǎng)絡(luò)與信息安全事件，能夠快速根據(jù)相關(guān)信息，組織研判，迅速指揮調(diào)度相關(guān)部門執(zhí)行應(yīng)急預(yù)案，做好應(yīng)對，避免給國家和社會造成重大影響和重大損失。

為最大限度科學(xué)、合理、有序地處置網(wǎng)絡(luò)安全事件，采納了業(yè)界經(jīng)典的PDCERF方法學(xué)，將應(yīng)急響應(yīng)分成準(zhǔn)備、檢測、抑制、根除、恢復(fù)、總結(jié)6個階段的工作。

?

?

?文章來源地址http://www.zghlxwxcb.cn/news/detail-743374.html

?

到了這里，關(guān)于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)流程圖的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！