網絡與信息安全事件應急響應體系層次結構與聯動探索

網絡與信息安全事件應急響應體系層次結構與聯動探索

　　1、應急響應的基本內容

　　1.1 應急響應應急響應是指一個組織為了應對各種安全事件的發生而在事發前所做的準備工作和在事件發生后所采取的緊急措施，其目的是為了保護關鍵網絡基礎設施免遭攻擊、降低網絡的脆弱性、縮短網絡攻擊發生后的破壞時間和恢復時間。

　　應急響應包括管理、準備、響應、分析與服務五個環節。管理是對組織間的職責進行劃分;準備是針對不同類型的安全事件制定相應的應急預案;響應包括檢測、遏制、根除和恢復，在安全事件發生后，以快速、有序、有效地響應確保信息系統的弱點能夠及時溝通，采取糾正措施保護人員，保護敏感資料，保護重要的數據資源，防止系統被破壞，將信息系統遭受的損失降至最低，恢復系統運行;分析為安全策略調整提供依據;服務保證對可用資源的調用。

　　1.2 信息安全事件一般來講，信息安全事件是指信息系統、服務或網絡的一種可識別狀態的發生，它可能是對信息安全策略的違反或防護措施的失效，或未預知的不安全狀況。事件強調的是系統狀態的改變，更具有一般性。

　　信息安全事故就是能導致信息資產丟失與損害的任何信息安全事件。 事故強調的是損害的發生，更具特殊性。事故的認定需要按照一定的程序進行，一般需要較長的時間。在應急響應體系中，為保證快速響應，本文使用事件一詞，雖然更多的時候它確指的是事故。

　　信息安全事件一般具有因果性、偶然性、必然性、規律性，潛在性、再現性、可預測性的特點，事件的發展一般包含孕育、生長和損失三個階段。這些特點決定了信息安全事件的預防是可行的，而且是首先要解決的問題。應急響應則是作為在事件發生后減少損失的重要手段。

　　按照事件的性質，信息安全事件可分為有害程序事件、網絡攻擊事件、信息破壞事件、內容安全事件、設備故障、基礎設施故障、災害性事件和網絡戰爭八類 。綜合信息安全事件的影響范圍、破壞程度以及資產損失情況，一般將網絡信息安全事件分為四級：特別重大(I級)、重大(Ⅱ級)、較大(m級)、一般(1w級)。

　　1.3 應急晌應體系的總體架構應急響應體系通常劃分為兩個中心和兩個組，兩個中心分別是信息共享與分析中心和應急響應中心，兩個組分別是應急管理組和專業應急組。

　　應急響應指揮協調中心處于系統的最高層，它一方面負責協調體系的正常運行，維護信息共享與分析中心平臺，另一方面也是系統聯動的控制中心，管理并協調各個應急響應組。

　　信息共享與分析中心(ISAC)是整個架構的核心，它負責與各級組織進行信息共享和交換。其主要功能包括信息收集整理、事件跟蹤、預警發布等。

　　應急響應中心體現了整個應急響應體系的核心任務，如信息安全事件分類、應急響應、預案管理等。

　　應急管理組是整個體系及聯動運作的總協調機構，包括技術研發與策略制定組、專家咨詢組等。

　　專業應急組(CERT)以直接應對安全事件為目標，客戶是面對安全事件的最直接的實體。客戶一方面可通過查看ISAC提供的信息實施必要的防范措施，必要時與其它實體進行聯動，并接受CERT提供的服務，另一方面也要及時上報所遇到的安全事件信息。

　　應急響應體系的層次結構通過上述對應急響應體系總體架構的分析，我們對其目標、作用、組織結構和實施流程有了較為清晰的認識。但在具體應急響應工作中，應突出事件和應急體系的聯動，顯然圖1所示的結構缺乏說明力。本文提出一個“8641”應急響應體系層次結構。

　　“8641”應急響應體系可以簡單地概括為：“八方威脅，六面防護，四位一體，應急響應”。六面、四位、一體分別構成應急響應的預防體系、組織體系和響應體系三個層次，對外應對八方安全事件，對內保護核心資產安全。

　　十八方組成應急響應體系的對象— —安全事件。八類事件的嚴重程度依類別編號上升：1類為有害程序事件，程度最輕;8類為網絡戰爭，程度最為嚴重。安全事件往往不是孤立的，而是緊密聯系的，網絡戰爭則是多種安全事件的聯合攻擊行動。

　　六面組成應急響應體系的最外層——技術防御層。由風險評估、等級保護、人侵檢測、網絡監審、事件跟蹤和預防指南六個方面組成綜合技術防御體系。

　　四位組成應急響應體系的次外層—— 組織保障層。由指揮協調機構、監測預警機構、應急小組和專家顧問組共同組成應急響應的組織保障體系。

　　一體組成應急響應體系的核心層—— 響應實施層。一體有三個含義：一是指一個應急響應功能實體，二是指一個目標，三是指一個容災備份中心。應急響應功能實體由事件分類、預警發布、應急響應、信息發布、恢復重建和應急管理六個模塊組成，執行應急響應的核心任務。應急響應的目標是指保證核心資產安全，即重要應用網絡和重要應用信息系統的安全 容災備份可以視為整個應急響應體系的細胞核，它是重要信息系統恢復重建的DNA庫，具有最高的安全級別。

　　2、應急響應體系的聯動 一應急響應體系的生命在于各層內實體和層間實體的聯動，正如安全攻擊為了保證攻擊效果需要多個安全事件聯動攻擊一樣。沒有實體間的聯動，應急響應體系的功能也就無法發揮。層級結構圖越接近圓形 標識其層內實體問的聯系越緊密，聯動活躍度越高。由外層、次外層到核心層，區域越來越小，功能越來越復雜，層間的聯動活躍度也越高。

　　安全事件間的聯動最少，除非有組織的大規模的網絡攻擊或網絡戰爭發生;技術防御層的六個實體間的聯動主妻依賴彼此問的因果關系傳遞;組織保障層的四個實體間的聯動緊密 信息交互共享實時雙向傳遞，必要時也可點到點直接傳遞;響應實施層內的六個功能實體聯動最為緊密，通常表現為一體。

　　2.1 技術防御層的聯動由“風險評估”給出安全需求，并以此確定“等級保護”;由“等級保護”給出保護措施，并以此確定“入侵檢測”;由“入侵檢測”發現威脅、漏洞，并以此確定“網絡監審”;由“網絡監審”發現安全事件，并以此進行“事件跟蹤”;由“事件跟蹤 進行行為分析，并由此確定“預防指南”的調整;由“預防指南”分析技術防御的有效性，系統殘余風險的可控性，并由此決定是否對系統的“風險評估”進行修改。

　　“風險評估”是技術防御首先要解決的問題，技術防御的強度取決于系統的安全風險，安全風險值需要通過風險評估得出。

　　風險評估通過對系統的資產、威脅、脆弱性三個基本要素的分析，得出系統的安全風險值，從而導出系統的安全需求。

　　“入侵檢測”是應急響應體系的核心支撐實體，它容納并聯合了其它安全防護設備，如防火墻、網絡隔離、漏洞掃描、外聯檢測、拓撲發現等設備。

　　2.2 組織保障層的聯動專家顧問組、應急小組、監測預警機構和指揮協調機構問的聯動，既依賴安全事件，也依賴安全策略的調整和安全管理職責的變更。聯動響應工作流程可以是應急預案中的規定流程，也可能是指揮協調機構的臨時指令。聯動的目的是保證應急響應工作的有序、有效、高效地運行。

　　指揮協調機構負責應急響應的指揮、協調工作。指揮監測預警機構、應急小組和專家顧問組對突發的網絡信息安全事件進行應急處置;協調各組織制訂、修訂相關的應急預案;組織應急預案演練;負責安全宣傳教育與培訓。

　　監測預警機構負責監測預警和風險評估控制、隱患排查整改工作，為整個組織提供實時監測及預警信息共享服務。

　　應急小組承擔應急值守和事件收集、分析、上報工作，按照預案和指揮協調機構的指令執行系統升級、遏制、杜絕、恢復重建等處理工作。

　　專家顧問組根據指揮協調機構的要求為應急響應提供政策、法律、技術等方面的咨詢與建議，提供安全教育、人員培訓等服務。根據監測預警機構的事件報告，分析事件的發展趨勢，為應急小組提供處置措施和恢復方案。

　　2.3 響應實施層聯動“事件分級”、“預警發布”、“應急響應”三者的聯動中，I級(特別重大)事件與紅色預警和I級響應聯動，Ⅱ級(重大)事件與橙色預警和Ⅱ級響應聯動，Ⅲ級(較大)事件與黃色預警和Ⅲ級響應聯動，Ⅳ級(一般)事件與藍色預警和Ⅳ級響應聯動。

　　“信息發布”跟蹤事件響應進展情況，對事件處理進程進行報道。“恢復重建”對事件跟蹤分析，提供恢復方案，對重建系統進行測試，保證消除事件所造成的威脅。“應急管理”除負責日常的人員培訓、專家庫建設、應急預案管理工作外，在應急響應聯動中跟蹤事件，協調應急資源，管理應急工作。

　　2.4 以事件為中心的層間聯動安全事件應是應急響應體系層間聯動的唯一驅動機制(應急響應預案演練是人為假設的安全事件)。

　　一個安全事件的發生，意味著威脅已經或可能穿透了技術防御層、組織保障層，核心資產已受到或正面臨著危險，應當適時啟動應急響應預案，這～過程我們稱為事件驅動。

　　通過應急響應，發現應急預防體系、安全策略體系存在的可被利用的安全漏洞，進行修復，消除事件威脅，這一過程我們稱之為事件反饋。

　　技術防御層、組織保障層、響應實施層都圍繞“核心資產”

　　作變角矢量旋轉運動，一般情況下，響應實施層最快，技術防御層最慢。某一時刻，三層上的不同實體位于同一個角矢量上，這時，我們可認為三個實體問可以產生層間聯動。對于圖2所示的層次結構，可能的層間聯動應該有6×4×6=144種，顯然這144種層間聯動發生的頻次是不一樣的。技術防御層中的一個重要實體是“3入侵檢測”，組織保障層中的一個重要實體是“2監測預警機構”，響應實施層中的一個重要實體是“3應急響應”，由這3個實體構成的“323層問聯動”是事件驅動的一個頻次較高的層間聯動過程。同樣，由響應實施層中的“6應急管理”、組織保障層中的“1指揮協調機構”和技術防御層中的“1風險評估”3個實體構成的“611層間聯動”是事件反饋的一個頻次較高的層間聯動過程。

　　聯動響應包含了安全事件應對的規劃準備、應急響應和事后跟進的全過程動態管理，融人了以安全策略為中心的安全生命周期的各個關鍵要素，體現了“風險評估一預防措施一實時檢測一應急響應一風險評估”安全生命的周期循環。

　　3、結 語

　　由于自然、技術和人為的因素，網絡漏洞必然存在，網絡信息安全事件的發生不可避免。應急響應是積極防御和縱深防御體系中的最后一道防線，是保障網絡信息可生存性的必要手段和措施。

　　應急響應體系的建設是一項復雜的系統工程，應急響應體系的生命在于各種安全措施的聯動，因此首先必須全面了解其層次結構，其次要明確解決的主要問題。

　　應急響應體系十分復雜和龐大，本文圖2所示的層次結構雖較為清晰地描述了應急響應的對象、目標、主體、功能實體及之間的聯動關系，但對主體和功能實體的縱深結構表示不足，尚待改進。

【網絡與信息安全事件應急響應體系層次結構與聯動探索】相關文章：

提高網絡與信息安全編程能力的實踐探索論文09-02

企業實施信息安全保障體系的探索和實踐論文09-25

數據中心網絡的體系結構分析09-10

淺談關于網絡與信息安全應急預案的研究與實踐10-17

高校校園網絡與信息安全管理工作探索論文10-03

對網絡信息化英語教學探索09-07

民航空管網絡與信息安全管理體系的構建論文07-03

科技論文的結構和層次編排09-13

會計信息體系結構的發展08-02

淺析網絡信息中介商在網絡營銷體系中的作用09-06