NISP 一级 | 7.3 信息安全事件与应急响应

关注这个证书的其他相关笔记：NISP 一级 —— 考证笔记合集-CSDN博客

0x01：信息安全事件

0x0101：信息安全事件的基础概念

信息安全事件是指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件。

至今尚没有任何一种信息安全策略或保护措施能够对信息及信息系统提供绝对的保护，以完全避免信息安全事件的发生。对信息安全事件进行有效管理和响应，最小化事件所造成的损失和负面影响，是组织信息安全战略的一部分。应急响应是信息安全事件管理的重要内容。

0x0102：信息安全事件的基本分类

信息安全事件可以是故意、过失或非人为原因引起的，可以分为以下七类：

1. 有害程序事件

2. 网络攻击事件

3. 信息破坏事件

4. 信息内容安全事件

5. 设备设施故障

6. 灾害性事件

7. 其他信息安全事件

0x0103：信息安全事件分级要素

通常对信息安全事件的分级主要考虑三个因素：信息系统的重要程度、系统损失和社会影响。

• 信息系统的重要程度，是指主要考虑信息系统所承载的业务对国家安全、经济建设、社会生活的重要性，以及业务对信息系统的依赖程度，划分为特别重要信息系统、重要信息系统和一般信息系统。

• 系统损失，是指由于信息安全事件对信息系统的软硬件功能及数据的破坏，导致系统业务中断，从而给事发组织和国家造成的损失，其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价。

• 社会影响是指信息安全事件对社会所造成影响的范围和程度，其大小主要考虑国家安全、社会秩序、经济建设和公众利益等方面的影响。

根据信息安全事件的分级参考要素，可以将信息安全事件划分为四个级别，特别重大事件（一级）、重大事件（二级）、较大事件（三级）和一般事件（四级）。

0x02：信息安全应急响应

信息安全应急响应是指一个组织为了应对各种安全意外事件的发生所采取的防范措施，既包括预防性措施，也包括事件发生后的应对措施。实践证明，现实中难以发现和抵御所有威胁，安全事件具有突发性、复杂性，所以需要建立信息系统安全事件的快速响应机制。应急响应工作的主要任务是做好预先防范，安全事件发生后，尽快做出正确反应，及时阻止事件的继续发展并减少损失，使系统恢复正常运行，同时采取追踪攻击者及必要的法律行动。

0x0201：应急响应的作用

应急响应的主要作用主要表现在以下两个方面：

1. 未雨绸缪： 未雨绸缪是指应该事先充分准备，管理上可开展安全培训、制定安全政策和应急预案等。技术上则要增加系统安全性，如备份、升级系统和软件，有条件的可以安装防火墙、入侵检测系统和杀毒工具等。

2. 亡羊补牢： 亡羊捕牢是指事件发生后，可以采取抑制、根除和恢复等措施，减少损失并恢复正常运行，如隔离、限制或关闭网络服务、恢复系统及跟踪总结等。

0x0202：应急响应组织

应急响应工作技术专业性、突发性强，人员应具备丰富的知识经验。应急响应组织是专门处理安全事件的组织，常用的名字是：

1. 计算机网络安全事件应急组

2. 计算机安全事件响应组（Computer Security Incident Response Team，CSIRT）

3. 信息安全事件响应组（Information security Incident Response Team，ISIRT）

4. 事件响应组（Incident Esponse Team，IRT）

通常，应急响应组由管理、业务、技术和行政、后勤等人员组成。组织建立的内部应急响应组织应与外部的国内外应急响应组织相关管理部门、设备设施及服务提供商，如电力供应、通信服务等利益相关方和新闻媒体等保持联系和协作，以确保在发生信息安全事件时能及时通报准确情况并获得支持。

目前，我国的应急响应组织有：

1. 国家计算机网络应急技术处理协调中心（National Computer Network Emergency Response Technical Team/Coordination Center of China，CN-CERT/CC）

2. 国家计算机病毒应急处理中心

3. 国家计算机网络入侵防范中心

0x03：信息安全应急响应管理过程

基于应急响应工作的特点，事先制定出事件应急响应方法和过程，有助于一个组织在事件发生时组组织混乱的发生，或是在混乱状态中迅速恢复控制，将损失和负面影响降至最低。应急响应方法和过程并不是唯一的，通常可以将应急响应管理过程分为以下六个阶段：

1. 准备： 安全事件发生前，应急响应工作人员对可能发生的各类事件做好必要的准备工作，主要包括确定应急响应安全策略、安全事件检测过程和响应过程，建立应急预案和支识平台，准备应急人员和资源更新策略和规程等。

2. 检测： 检测是事件发生后的第一个反应步骤，应急响应过程中所有的活动都依赖于检测，检测触发了应急事件的响应。该阶段要做好系统各种信息的收集以及初步动作和响应。与入侵检测不同，应急响应检测的目的首先是确认事件是否真的发生，接着判定问题发生的领域、危害和影响范围。常用安全事件检测方法有系统和网络行为监视与检查可疑行为、审查和事件报告等。

3. 遏制： 遏制的目的是限制安全事件的影响范围，降低潜在的损失。检测到安全事件发生后，抑制措施十分重要，如果不及时加以处置，事件危害可能迅速扩大。可采取的抑制措施一般包括，关闭所有系统、断开网络连接、修改防火墙过滤规则、封锁或删除被攻击的账号、关闭服务等抑制阶段的工作是短期行动，目的是尽快阻止安全事件的发展，避免对系统造成进一步破坏。

4. 根除： 事件被遏制后，需要查找问题根源，彻底解决安全事件，通常借助准备阶段预备的各种安全工具来完成这一阶段的任务。常用根除方法包括清除病毒和木马、改变用户口令、重新安装系统、改进保护措施等。

5. 恢复： 恢复的目的是把所有受到事件影响的系统和网络环境还原到正常工作状态。不同系统、网络环境以及安全事件的恢复过程有所不同。备份在恢复阶段发挥着重要作用，必须使用可信的完整备份或增量备份来恢复系统，按照制定的恢复指南文档执行操作过程。

6. 跟踪总结： 总结阶段也常称为回顾总结阶段或跟踪阶段，目的是回顾并整理发生事件的相关信息，包括安全事件的操作方法和步骤，事件文档与证据的管理记录等内容，总结经验教训。这项工作有助于提高应急人员的技术水平和应急处理能力，应对同类事件的发生。总结阶段的成果是今后应急工作开展的重要参考依据。通常应该形成一个事件过程文档和一份损失报告，重新评估系统安全风险并提出相应安全建议。

综上，需要注意的是，真实的事件应急响应过程从来不可能是以这种纯粹串行的方式发生的。本章只是描述了一个理想的应急响应过程。应急响应过程中各阶段任务的协调以及响应中人的关系的协调，永远是应急响应工作中两个同等重要的课题。同时，此六阶段的响应方法也不能确保事件处理成功。事件处理成功涉及到事件的性质、应急响应组织的能力、应急响应保障措施的落实等众多因素，但这种有序的响应过程确实是提高应急响应成功率的基础。