应急响应

1️⃣?简介?

标准:GB/T 24363-2009,GB/T 20988-2007 ,GB/Z 20985-2009 ,GB/Z 20986-2007 信息安全应急响应计划规范

⚪️信息安全事件
由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件。
⚪️ 应急响应
组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施。
⚪️ 信息安全事件响应组
由组织中具备适当技能且可信的成员组成的一个小组，负责处理与信息安全事件相关的全部工作，有时小组可能有外部专家加入
⚪️ CERT 计算机应急响应组
国际或国家公认的计算机应急响应组织

2️⃣ 安全事件分类??

⚪️参照GB/Z 20986-2007 进行分为

?:安全事件分类标准
  ⚪️网络等级法四大等级:

 ⚪️考虑三大因素

• 网络信息系统的重要程度
• 社会影响程度
• 系统遭受的损失

3️⃣应急响应预案制定?

针对可能发生的网络安全突发事件，为保证迅速、有序、有效地开展应急与救援行动、降低事故损失而预先制定的包括网络信息系统运行、维持、恢复在内的策略和规程，应急响应预案与应急响应实践是相互补充与促进的关系。

⚫️ ☁️ 关键运行机制
 1️⃣ 及时组建应急办
尽早建立网络安全应急响应办公室，做好组织保证，准备好预案，并定期演练，积累实战能力。应急办的负责人要具备过硬的协调能力，同时也需有足够的权力方能对组织内各业务线、职能部门等人财物资源加以调度，保障应急响应顺利执行。

 2️⃣ 充分调动组织内部资源，协力排查
应急响应部门下设的各技术线、组织机构内部各业务线的资源，包括设备、网络、数据、安全保障、软件技术等各方力量，都需有效参与，协同作战，梳理可用线索或应急响应实施的突破点，从而实现迅速排查、定位网络安全问题。

 3️⃣ 寻求外部支持
外部的支持，包括专业设备及服务供应商、相关的政府组织机构、业务合作方或关联方，都需要保持畅通的沟通，保证事件调查顺利推进。

 4️⃣ 应急办遇到重大敏感问题可通过领导小组决策
必要时，组建高层挂帅的领导小组。可视情况而定，例如事态发展超过应急响应办公室职能范围时，可设立网络安全应急响应工作领导小组，组长一般由组织最高层领导人员担任，从更高层面统筹网络安全应急响应工作的组织协调。例如，高层领导参与决策、提供优先资源和个别协调；此外，领导小组还可以就一些应急措施的风险评估做出权威决策，避免中层领导人员出现重大失误等。
 5️⃣顾问小组
顾问小组包括决策支持专家、业务管理专家、安全实践专家，他们可以帮助宏观把握一些应急措施的部署、大的外部形势的判断，优化个别问题的流程，甚至为一线人员直接提供建议、现场指导。
 6️⃣适时引入专业力量
专业技术顾问小组可以填补机构企业内部专业力量不足的缺点，毕竟内部设置高级安全人才的成本和管理都会有障碍，因此需要外部拥有丰富经验的专业网络安全人才加入，也能相应地调动、利用机构内部的技术人员团队，保证响应任务的高效推进。

4️⃣应急响应流程 ?:ice cream:

⚫️第一阶段:准备阶段 ?

• 进行调研分析
• 确定应急响应的目标
• 确定应急响应范围,
• 指定应急响应预案
• 指定应急响应方案,
• 签署应急承诺书,
• 应急响应工具准备及更新维护,
• 管理和实施团队
• 制定预防和预警机制

⚫️第二阶段：检测阶段?
检测事件是已经发生还是在进行中，以及事件产生的原因和性质。确定事件性质和影响的严重程度，预计采用什么样的专用资源来修复。选择检测工具，分析异常现象，提高系统或网络行为的监控级别，估计安全事件的范围。通过汇总，确定是否发生了全网的大规模事件；确定应急等级，决定启动哪一级应急方案。

• 确定检测对象及范围
• 判断是否为安全事件
• 确定应急处理方案
• 明确检测范围与检测行为规范
• 预测应急处理方案可能造成的影响

⚫️第三阶段：遏制阶段?
及时采取行动遏制事件发展。初步分析，重点确定适当的遏制方法，如隔离网络，修改所有防火墙和路由器的过滤规则，删除攻击者的登录账号，关闭被利用的服务或者关闭主机等；咨询安全政策；确定进一步操作的风险，控制损失保持最小；列出若干选项，讲明各自的风险，应该由服务对象来做决定。确保封锁方法对各网业务影响最小；通过协调争取各网一致行动，实施隔离；汇总数据，估算损失和隔离效果

• 应急抑制的目的是限制安全事件对受保护信息系统造成影响的范围和程度。应急抑制是信息安全应急响应工作中的重要环节，在信息安全事件发生的第一时间内对故障系统或区域实施有效的隔离和处理，或者根据所拥有的资源状况和事件的等级，采用临时切换到备份系统等措施降低事件损失、避免安全事件的扩散（例如蠕虫的大规模传播）和安全事件对受害系统的持续性破坏，有利于应急响应工作人员对安全事件做出迅速、准确的判断并采取正确的应对策略。
• 应急抑制过程中，重要的是确保业务连续性，应尽量保证在备份系统中完全运行原来的业务。如果出现资源紧张，应尽可能保证重要资产优先运行，维持最基本的业务能力。
• 将检测到的结果跟客户进行充分沟通，告知客户目前面临的主要问题，及处理方法。

⚫️第四阶段：根除阶段?

彻底解决问题隐患。分析原因和漏洞；进行安全加固；改进安全策略。加强宣传，公布危害性和解决办法，呼吁用户解决终端问题；加强检测工作，发现和清理行业与重点部门的问题。

⚫️第五阶段：恢复阶段?
被攻击的系统由备份来恢复；做一个新的备份；对所有安全上的变更作备份；服务重新上线并持续监控。持续汇总分析，解各网的运行情况；根据各网的运行情况判断隔离措施的有效性；通过汇总分析的结果判断仍然受影响的终端的规模；发现重要用户及

• 时通报解决；适当的时候解除封锁措施。
  明确风险、重建系统、数据备份、安装新操作系统、配置基线及访问控制、数据恢复、上线测试、应急演练。

⚫️第六阶段：跟踪阶段?
关注系统恢复以后的安全状况，特别是曾经出问题的地方；建立跟踪文档，规范记录跟踪结果；对响应效果给出评估；对进入司法程序的事件，进行进一步的调查，打击违法犯罪活动。

• 从安全事件中吸取经验教训非常关键，不停的自我完善的防护体系和策略才是最好的安全设计思路。
  将每次安全事故的表现和处理步骤发布在内部的信息安全发布站点上，方便以后内部出现同样攻击事件后处理。
  对于内部需要改善和做出调整的安全配置在内部网络中及时发布更新策略。

? ??