1、應急響應的基本內容
1.1 應急響應應急響應是指一個組織為了應對各種安全事件的發生而在事發前所做的準備工作和在事件發生後所採取的緊急措施,其目的是為了保護關鍵網路基礎設施免遭攻擊、降低網路的脆弱性、縮短網路攻擊發生後的破壞時間和恢復時間。
應急響應包括管理、準備、響應、分析與服務五個環節。管理是對組織間的職責進行劃分;準備是針對不同型別的安全事件制定相應的應急預案;響應包括檢測、遏制、根除和恢復,在安全事件發生後,以快速、有序、有效地響應確保資訊系統的弱點能夠及時溝通,採取糾正措施保護人員,保護敏感資料,保護重要的資料資源,防止系統被破壞,將資訊系統遭受的損失降至最低,恢復系統執行;分析為安全策略調整提供依據;服務保證對可用資源的呼叫。
1.2 資訊保安事件一般來講,資訊保安事件是指資訊系統、服務或網路的一種可識別狀態的發生,它可能是對資訊保安策略的違反或防護措施的失效,或未預知的不安全狀況。事件強調的是系統狀態的改變,更具有一般性。
資訊保安事故就是能導致資訊資產丟失與損害的任何資訊保安事件。 事故強調的是損害的發生,更具特殊性。事故的認定需要按照一定的程式進行,一般需要較長的時間。在應急響應體系中,為保證快速響應,本文使用事件一詞,雖然更多的時候它確指的是事故。
資訊保安事件一般具有因果性、偶然性、必然性、規律性,潛在性、再現性、可預測性的特點,事件的發展一般包含孕育、生長和損失三個階段。這些特點決定了資訊保安事件的預防是可行的,而且是首先要解決的問題。應急響應則是作為在事件發生後減少損失的重要手段。
按照事件的性質,資訊保安事件可分為有害程式事件、網路攻擊事件、資訊破壞事件、內容安全事件、裝置故障、基礎設施故障、災害性事件和網路戰爭八類 。綜合資訊保安事件的影響範圍、破壞程度以及資產損失情況,一般將網路資訊保安事件分為四級:特別重大(I級)、重大(Ⅱ級)、較大(m級)、一般(1w級)。
1.3 應急晌應體系的總體架構應急響應體系通常劃分為兩個中心和兩個組,兩個中心分別是資訊共享與分析中心和應急響應中心,兩個組分別是應急管理組和專業應急組。
應急響應指揮協調中心處於系統的最高層,它一方面負責協調體系的正常執行,維護資訊共享與分析中心平臺,另一方面也是系統聯動的控制中心,管理並協調各個應急響應組。
資訊共享與分析中心(ISAC)是整個架構的核心,它負責與各級組織進行資訊共享和交換。其主要功能包括資訊收集整理、事件跟蹤、預警釋出等。
應急響應中心體現了整個應急響應體系的核心任務,如資訊保安事件分類、應急響應、預案管理等。
應急管理組是整個體系及聯動運作的總協調機構,包括技術研發與策略制定組、專家諮詢組等。
專業應急組(CERT)以直接應對安全事件為目標,客戶是面對安全事件的最直接的實體。客戶一方面可通過檢視ISAC提供的資訊實施必要的防範措施,必要時與其它實體進行聯動,並接受CERT提供的服務,另一方面也要及時上報所遇到的安全事件資訊。
應急響應體系的層次結構通過上述對應急響應體系總體架構的分析,我們對其目標、作用、組織結構和實施流程有了較為清晰的認識。但在具體應急響應工作中,應突出事件和應急體系的聯動,顯然圖1所示的結構缺乏說明力。本文提出一個“8641”應急響應體系層次結構。
“8641”應急響應體系可以簡單地概括為:“八方威脅,六面防護,四位一體,應急響應”。六面、四位、一體分別構成應急響應的預防體系、組織體系和響應體系三個層次,對外應對八方安全事件,對內保護核心資產安全。
十八方組成應急響應體系的物件— —安全事件。八類事件的嚴重程度依類別編號上升:1類為有害程式事件,程度最輕;8類為網路戰爭,程度最為嚴重。安全事件往往不是孤立的,而是緊密聯絡的,網路戰爭則是多種安全事件的聯合攻擊行動。
六面組成應急響應體系的最外層——技術防禦層。由風險評估、等級保護、人侵檢測、網路監審、事件跟蹤和預防指南六個方面組成綜合技術防禦體系。
四位組成應急響應體系的次外層—— 組織保障層。由指揮協調機構、監測預警機構、應急小組和專家顧問組共同組成應急響應的組織保障體系。
一體組成應急響應體系的核心層—— 響應實施層。一體有三個含義:一是指一個應急響應功能實體,二是指一個目標,三是指一個容災備份中心。應急響應功能實體由事件分類、預警釋出、應急響應、資訊釋出、恢復重建和應急管理六個模組組成,執行應急響應的核心任務。應急響應的目標是指保證核心資產安全,即重要應用網路和重要應用資訊系統的安全 容災備份可以視為整個應急響應體系的細胞核,它是重要資訊系統恢復重建的DNA庫,具有最高的安全級別。
2、應急響應體系的聯動 一應急響應體系的生命在於各層內實體和層間實體的聯動,正如安全攻擊為了保證攻擊效果需要多個安全事件聯動攻擊一樣。沒有實體間的聯動,應急響應體系的功能也就無法發揮。層級結構圖越接近圓形 標識其層內實體問的聯絡越緊密,聯動活躍度越高。由外層、次外層到核心層,區域越來越小,功能越來越複雜,層間的聯動活躍度也越高。
安全事件間的聯動最少,除非有組織的大規模的網路攻擊或網路戰爭發生;技術防禦層的六個實體間的聯動主妻依賴彼此問的因果關係傳遞;組織保障層的四個實體間的聯動緊密 資訊互動共享實時雙向傳遞,必要時也可點到點直接傳遞;響應實施層內的六個功能實體聯動最為緊密,通常表現為一體。
2.1 技術防禦層的聯動由“風險評估”給出安全需求,並以此確定“等級保護”;由“等級保護”給出保護措施,並以此確定“入侵檢測”;由“入侵檢測”發現威脅、漏洞,並以此確定“網路監審”;由“網路監審”發現安全事件,並以此進行“事件跟蹤”;由“事件跟蹤 進行行為分析,並由此確定“預防指南”的調整;由“預防指南”分析技術防禦的有效性,系統殘餘風險的可控性,並由此決定是否對系統的“風險評估”進行修改。
“風險評估”是技術防禦首先要解決的問題,技術防禦的強度取決於系統的安全風險,安全風險值需要通過風險評估得出。
風險評估通過對系統的資產、威脅、脆弱性三個基本要素的分析,得出系統的安全風險值,從而匯出系統的安全需求。
“入侵檢測”是應急響應體系的核心支撐實體,它容納並聯合了其它安全防護裝置,如防火牆、網路隔離、漏洞掃描、外聯檢測、拓撲發現等裝置。
2.2 組織保障層的聯動專家顧問組、應急小組、監測預警機構和指揮協調機構問的聯動,既依賴安全事件,也依賴安全策略的調整和安全管理職責的變更。聯動響應工作流程可以是應急預案中的規定流程,也可能是指揮協調機構的`臨時指令。聯動的目的是保證應急響應工作的有序、有效、高效地執行。
指揮協調機構負責應急響應的指揮、協調工作。指揮監測預警機構、應急小組和專家顧問組對突發的網路資訊保安事件進行應急處置;協調各組織制訂、修訂相關的應急預案;組織應急預案演練;負責安全宣傳教育與培訓。
監測預警機構負責監測預警和風險評估控制、隱患排查整改工作,為整個組織提供實時監測及預警資訊共享服務。
應急小組承擔應急值守和事件收集、分析、上報工作,按照預案和指揮協調機構的指令執行系統升級、遏制、杜絕、恢復重建等處理工作。
專家顧問組根據指揮協調機構的要求為應急響應提供政策、法律、技術等方面的諮詢與建議,提供安全教育、人員培訓等服務。根據監測預警機構的事件報告,分析事件的發展趨勢,為應急小組提供處置措施和恢復方案。
2.3 響應實施層聯動“事件分級”、“預警釋出”、“應急響應”三者的聯動中,I級(特別重大)事件與紅色預警和I級響應聯動,Ⅱ級(重大)事件與橙色預警和Ⅱ級響應聯動,Ⅲ級(較大)事件與黃色預警和Ⅲ級響應聯動,Ⅳ級(一般)事件與藍色預警和Ⅳ級響應聯動。
“資訊釋出”跟蹤事件響應進展情況,對事件處理程序進行報道。“恢復重建”對事件跟蹤分析,提供恢復方案,對重建系統進行測試,保證消除事件所造成的威脅。“應急管理”除負責日常的人員培訓、專家庫建設、應急預案管理工作外,在應急響應聯動中跟蹤事件,協調應急資源,管理應急工作。
2.4 以事件為中心的層間聯動安全事件應是應急響應體系層間聯動的唯一驅動機制(應急響應預案演練是人為假設的安全事件)。
一個安全事件的發生,意味著威脅已經或可能穿透了技術防禦層、組織保障層,核心資產已受到或正面臨著危險,應當適時啟動應急響應預案,這~過程我們稱為事件驅動。
通過應急響應,發現應急預防體系、安全策略體系存在的可被利用的安全漏洞,進行修復,消除事件威脅,這一過程我們稱之為事件反饋。
技術防禦層、組織保障層、響應實施層都圍繞“核心資產”
作變角向量旋轉運動,一般情況下,響應實施層最快,技術防禦層最慢。某一時刻,三層上的不同實體位於同一個角向量上,這時,我們可認為三個實體問可以產生層間聯動。對於圖2所示的層次結構,可能的層間聯動應該有6×4×6=144種,顯然這144種層間聯動發生的頻次是不一樣的。技術防禦層中的一個重要實體是“3入侵檢測”,組織保障層中的一個重要實體是“2監測預警機構”,響應實施層中的一個重要實體是“3應急響應”,由這3個實體構成的“323層問聯動”是事件驅動的一個頻次較高的層間聯動過程。同樣,由響應實施層中的“6應急管理”、組織保障層中的“1指揮協調機構”和技術防禦層中的“1風險評估”3個實體構成的“611層間聯動”是事件反饋的一個頻次較高的層間聯動過程。
聯動響應包含了安全事件應對的規劃準備、應急響應和事後跟進的全過程動態管理,融人了以安全策略為中心的安全生命週期的各個關鍵要素,體現了“風險評估一預防措施一實時檢測一應急響應一風險評估”安全生命的週期迴圈。
3、結 語
由於自然、技術和人為的因素,網路漏洞必然存在,網路資訊保安事件的發生不可避免。應急響應是積極防禦和縱深防禦體系中的最後一道防線,是保障網路資訊可生存性的必要手段和措施。
應急響應體系的建設是一項複雜的系統工程,應急響應體系的生命在於各種安全措施的聯動,因此首先必須全面瞭解其層次結構,其次要明確解決的主要問題。
應急響應體系十分複雜和龐大,本文圖2所示的層次結構雖較為清晰地描述了應急響應的物件、目標、主體、功能實體及之間的聯動關係,但對主體和功能實體的縱深結構表示不足,尚待改進。