網(wǎng)絡(luò )與信息安全事件應急響應體系層次結構與聯(lián)動(dòng)探索
1 應急響應的基本內容
1.1 應急響應應急響應是指一個(gè)組織為了應對各種安全事件的發(fā)生而在事發(fā)前所做的準備工作和在事件發(fā)生后所采取的緊急措施,其目的是為了保護關(guān)鍵網(wǎng)絡(luò )基礎設施免遭攻擊、降低網(wǎng)絡(luò )的脆弱性、縮短網(wǎng)絡(luò )攻擊發(fā)生后的破壞時(shí)間和恢復時(shí)間。
應急響應包括管理、準備、響應、分析與服務(wù)五個(gè)環(huán)節。管理是對組織間的職責進(jìn)行劃分;準備是針對不同類(lèi)型的安全事件制定相應的應急預案;響應包括檢測、遏制、根除和恢復,在安全事件發(fā)生后,以快速、有序、有效地響應確保信息系統的弱點(diǎn)能夠及時(shí)溝通,采取糾正措施保護人員,保護敏感資料,保護重要的數據資源,防止系統被破壞,將信息系統遭受的損失降至最低,恢復系統運行;分析為安全策略調整提供依據;服務(wù)保證對可用資源的調用。
1.2 信息安全事件一般來(lái)講,信息安全事件是指信息系統、服務(wù)或網(wǎng)絡(luò )的一種可識別狀態(tài)的發(fā)生,它可能是對信息安全策略的違反或防護措施的失效,或未預知的不安全狀況。事件強調的是系統狀態(tài)的改變,更具有一般性。
信息安全事故就是能導致信息資產(chǎn)丟失與損害的任何信息安全事件。 事故強調的是損害的發(fā)生,更具特殊性。事故的認定需要按照一定的程序進(jìn)行,一般需要較長(cháng)的時(shí)間。在應急響應體系中,為保證快速響應,本文使用事件一詞,雖然更多的時(shí)候它確指的是事故。
信息安全事件一般具有因果性、偶然性、必然性、規律性,潛在性、再現性、可預測性的特點(diǎn),事件的發(fā)展一般包含孕育、生長(cháng)和損失三個(gè)階段。這些特點(diǎn)決定了信息安全事件的預防是可行的,而且是首先要解決的問(wèn)題。應急響應則是作為在事件發(fā)生后減少損失的重要手段。
按照事件的性質(zhì),信息安全事件可分為有害程序事件、網(wǎng)絡(luò )攻擊事件、信息破壞事件、內容安全事件、設備故障、基礎設施故障、災害性事件和網(wǎng)絡(luò )戰爭八類(lèi) 。綜合信息安全事件的影響范圍、破壞程度以及資產(chǎn)損失情況,一般將網(wǎng)絡(luò )信息安全事件分為四級:特別重大(I級)、重大(Ⅱ級)、較大(m級)、一般(1w級)。
1.3 應急晌應體系的總體架構應急響應體系通常劃分為兩個(gè)中心和兩個(gè)組,兩個(gè)中心分別是信息共享與分析中心和應急響應中心,兩個(gè)組分別是應急管理組和專(zhuān)業(yè)應急組。
應急響應指揮協(xié)調中心處于系統的最高層,它一方面負責協(xié)調體系的正常運行,維護信息共享與分析中心平臺,另一方面也是系統聯(lián)動(dòng)的控制中心,管理并協(xié)調各個(gè)應急響應組。
信息共享與分析中心(ISAC)是整個(gè)架構的核心,它負責與各級組織進(jìn)行信息共享和交換。其主要功能包括信息收集整理、事件跟蹤、預警發(fā)布等。
應急響應中心體現了整個(gè)應急響應體系的核心任務(wù),如信息安全事件分類(lèi)、應急響應、預案管理等。
應急管理組是整個(gè)體系及聯(lián)動(dòng)運作的總協(xié)調機構,包括技術(shù)研發(fā)與策略制定組、專(zhuān)家咨詢(xún)組等。
2、專(zhuān)業(yè)應急組(CERT)以直接應對安全事件為目標,客戶(hù)是面對安全事件的最直接的實(shí)體?蛻(hù)一方面可通過(guò)查看ISAC提供的信息實(shí)施必要的防范措施,必要時(shí)與其它實(shí)體進(jìn)行聯(lián)動(dòng),并接受CERT提供的服務(wù),另一方面也要及時(shí)上報所遇到的安全事件信息。
應急響應體系的層次結構通過(guò)上述對應急響應體系總體架構的分析,我們對其目標、作用、組織結構和實(shí)施流程有了較為清晰的認識。但在具體應急響應工作中,應突出事件和應急體系的聯(lián)動(dòng),顯然圖1所示的結構缺乏說(shuō)明力。本文提出一個(gè)“8641”應急響應體系層次結構。
“8641”應急響應體系可以簡(jiǎn)單地概括為:“八方威脅,六面防護,四位一體,應急響應”。六面、四位、一體分別構成應急響應的預防體系、組織體系和響應體系三個(gè)層次,對外應對八方安全事件,對內保護核心資產(chǎn)安全。
十八方組成應急響應體系的對象— —安全事件。八類(lèi)事件的嚴重程度依類(lèi)別編號上升:1類(lèi)為有害程序事件,程度最輕;8類(lèi)為網(wǎng)絡(luò )戰爭,程度最為嚴重。安全事件往往不是孤立的,而是緊密聯(lián)系的,網(wǎng)絡(luò )戰爭則是多種安全事件的聯(lián)合攻擊行動(dòng)。
六面組成應急響應體系的最外層——技術(shù)防御層。由風(fēng)險評估、等級保護、人侵檢測、網(wǎng)絡(luò )監審、事件跟蹤和預防指南六個(gè)方面組成綜合技術(shù)防御體系。
四位組成應急響應體系的次外層—— 組織保障層。由指揮協(xié)調機構、監測預警機構、應急小組和專(zhuān)家顧問(wèn)組共同組成應急響應的組織保障體系。
一體組成應急響應體系的核心層—— 響應實(shí)施層。一體有三個(gè)含義:一是指一個(gè)應急響應功能實(shí)體,二是指一個(gè)目標,三是指一個(gè)容災備份中心。應急響應功能實(shí)體由事件分類(lèi)、預警發(fā)布、應急響應、信息發(fā)布、恢復重建和應急管理六個(gè)模塊組成,執行應急響應的核心任務(wù)。應急響應的目標是指保證核心資產(chǎn)安全,即重要應用網(wǎng)絡(luò )和重要應用信息系統的安全 容災備份可以視為整個(gè)應急響應體系的細胞核,它是重要信息系統恢復重建的DNA庫,具有最高的安全級別。
3. 應急響應體系的聯(lián)動(dòng)
應急響應體系的生命在于各層內實(shí)體和層間實(shí)體的聯(lián)動(dòng),正如安全攻擊為了保證攻擊效果需要多個(gè)安全事件聯(lián)動(dòng)攻擊一樣。沒(méi)有實(shí)體間的聯(lián)動(dòng),應急響應體系的功能也就無(wú)法發(fā)揮。層級結構圖越接近圓形 標識其層內實(shí)體問(wèn)的聯(lián)系越緊密,聯(lián)動(dòng)活躍度越高。由外層、次外層到核心層,區域越來(lái)越小,功能越來(lái)越復雜,層間的聯(lián)動(dòng)活躍度也越高。
安全事件間的聯(lián)動(dòng)最少,除非有組織的大規模的網(wǎng)絡(luò )攻擊或網(wǎng)絡(luò )戰爭發(fā)生;技術(shù)防御層的六個(gè)實(shí)體間的聯(lián)動(dòng)主妻依賴(lài)彼此問(wèn)的因果關(guān)系傳遞;組織保障層的四個(gè)實(shí)體間的聯(lián)動(dòng)緊密 信息交互共享實(shí)時(shí)雙向傳遞,必要時(shí)也可點(diǎn)到點(diǎn)直接傳遞;響應實(shí)施層內的六個(gè)功能實(shí)體聯(lián)動(dòng)最為緊密,通常表現為一體。
3.1 技術(shù)防御層的聯(lián)動(dòng)由“風(fēng)險評估”給出安全需求,并以此確定“等級保護”;由“等級保護”給出保護措施,并以此確定“入侵檢測”;由“入侵檢測”發(fā)現威脅、漏洞,并以此確定“網(wǎng)絡(luò )監審”;由“網(wǎng)絡(luò )監審”發(fā)現安全事件,并以此進(jìn)行“事件跟蹤”;由“事件跟蹤 進(jìn)行行為分析,并由此確定“預防指南”的調整;由“預防指南”分析技術(shù)防御的有效性,系統殘余風(fēng)險的可控性,并由此決定是否對系統的“風(fēng)險評估”進(jìn)行修改。
“風(fēng)險評估”是技術(shù)防御首先要解決的問(wèn)題,技術(shù)防御的強度取決于系統的安全風(fēng)險,安全風(fēng)險值需要通過(guò)風(fēng)險評估得出。
風(fēng)險評估通過(guò)對系統的資產(chǎn)、威脅、脆弱性三個(gè)基本要素的分析,得出系統的安全風(fēng)險值,從而導出系統的安全需求。
“入侵檢測”是應急響應體系的核心支撐實(shí)體,它容納并聯(lián)合了其它安全防護設備,如防火墻、網(wǎng)絡(luò )隔離、漏洞掃描、外聯(lián)檢測、拓撲發(fā)現等設備。
3.2 組織保障層的聯(lián)動(dòng)專(zhuān)家顧問(wèn)組、應急小組、監測預警機構和指揮協(xié)調機構問(wèn)的聯(lián)動(dòng),既依賴(lài)安全事件,也依賴(lài)安全策略的調整和安全管理職責的變更。聯(lián)動(dòng)響應工作流程可以是應急預案中的規定流程,也可能是指揮協(xié)調機構的臨時(shí)指令。聯(lián)動(dòng)的目的是保證應急響應工作的有序、有效、高效地運行。
指揮協(xié)調機構負責應急響應的指揮、協(xié)調工作。指揮監測預警機構、應急小組和專(zhuān)家顧問(wèn)組對突發(fā)的網(wǎng)絡(luò )信息安全事件進(jìn)行應急處置;協(xié)調各組織制訂、修訂相關(guān)的應急預案;組織應急預案演練;負責安全宣傳教育與培訓。
監測預警機構負責監測預警和風(fēng)險評估控制、隱患排查整改工作,為整個(gè)組織提供實(shí)時(shí)監測及預警信息共享服務(wù)。
應急小組承擔應急值守和事件收集、分析、上報工作,按照預案和指揮協(xié)調機構的指令執行系統升級、遏制、杜絕、恢復重建等處理工作。
專(zhuān)家顧問(wèn)組根據指揮協(xié)調機構的要求為應急響應提供政策、法律、技術(shù)等方面的咨詢(xún)與建議,提供安全教育、人員培訓等服務(wù)。根據監測預警機構的事件報告,分析事件的發(fā)展趨勢,為應急小組提供處置措施和恢復方案。
3.3 響應實(shí)施層聯(lián)動(dòng)“事件分級”、“預警發(fā)布”、“應急響應”三者的聯(lián)動(dòng)中,I級(特別重大)事件與紅色預警和I級響應聯(lián)動(dòng),Ⅱ級(重大)事件與橙色預警和Ⅱ級響應聯(lián)動(dòng),Ⅲ級(較大)事件與黃色預警和Ⅲ級響應聯(lián)動(dòng),Ⅳ級(一般)事件與藍色預警和Ⅳ級響應聯(lián)動(dòng)。
“信息發(fā)布”跟蹤事件響應進(jìn)展情況,對事件處理進(jìn)程進(jìn)行報道。“恢復重建”對事件跟蹤分析,提供恢復方案,對重建系統進(jìn)行測試,保證消除事件所造成的威脅。“應急管理”除負責日常的人員培訓、專(zhuān)家庫建設、應急預案管理工作外,在應急響應聯(lián)動(dòng)中跟蹤事件,協(xié)調應急資源,管理應急工作。
3.4 以事件為中心的層間聯(lián)動(dòng)安全事件應是應急響應體系層間聯(lián)動(dòng)的唯一驅動(dòng)機制(應急響應預案演練是人為假設的安全事件)。
一個(gè)安全事件的發(fā)生,意味著(zhù)威脅已經(jīng)或可能穿透了技術(shù)防御層、組織保障層,核心資產(chǎn)已受到或正面臨著(zhù)危險,應當適時(shí)啟動(dòng)應急響應預案,這~過(guò)程我們稱(chēng)為事件驅動(dòng)。
通過(guò)應急響應,發(fā)現應急預防體系、安全策略體系存在的可被利用的安全漏洞,進(jìn)行修復,消除事件威脅,這一過(guò)程我們稱(chēng)之為事件反饋。
技術(shù)防御層、組織保障層、響應實(shí)施層都圍繞“核心資產(chǎn)”
作變角矢量旋轉運動(dòng),一般情況下,響應實(shí)施層最快,技術(shù)防御層最慢。某一時(shí)刻,三層上的不同實(shí)體位于同一個(gè)角矢量上,這時(shí),我們可認為三個(gè)實(shí)體問(wèn)可以產(chǎn)生層間聯(lián)動(dòng)。對于圖2所示的層次結構,可能的層間聯(lián)動(dòng)應該有6×4×6=144種,顯然這144種層間聯(lián)動(dòng)發(fā)生的頻次是不一樣的。技術(shù)防御層中的一個(gè)重要實(shí)體是“3入侵檢測”,組織保障層中的一個(gè)重要實(shí)體是“2監測預警機構”,響應實(shí)施層中的一個(gè)重要實(shí)體是“3應急響應”,由這3個(gè)實(shí)體構成的“323層問(wèn)聯(lián)動(dòng)”是事件驅動(dòng)的一個(gè)頻次較高的層間聯(lián)動(dòng)過(guò)程。同樣,由響應實(shí)施層中的“6應急管理”、組織保障層中的“1指揮協(xié)調機構”和技術(shù)防御層中的“1風(fēng)險評估”3個(gè)實(shí)體構成的“611層間聯(lián)動(dòng)”是事件反饋的一個(gè)頻次較高的層間聯(lián)動(dòng)過(guò)程。
聯(lián)動(dòng)響應包含了安全事件應對的規劃準備、應急響應和事后跟進(jìn)的全過(guò)程動(dòng)態(tài)管理,融人了以安全策略為中心的安全生命周期的各個(gè)關(guān)鍵要素,體現了“風(fēng)險評估一預防措施一實(shí)時(shí)檢測一應急響應一風(fēng)險評估”安全生命的周期循環(huán)。
4. 結 語(yǔ)
由于自然、技術(shù)和人為的因素,網(wǎng)絡(luò )漏洞必然存在,網(wǎng)絡(luò )信息安全事件的發(fā)生不可避免。應急響應是積極防御和縱深防御體系中的最后一道防線(xiàn),是保障網(wǎng)絡(luò )信息可生存性的必要手段和措施。
應急響應體系的建設是一項復雜的系統工程,應急響應體系的生命在于各種安全措施的聯(lián)動(dòng),因此首先必須全面了解其層次結構,其次要明確解決的主要問(wèn)題。
應急響應體系十分復雜和龐大,本文圖2所示的層次結構雖較為清晰地描述了應急響應的對象、目標、主體、功能實(shí)體及之間的聯(lián)動(dòng)關(guān)系,但對主體和功能實(shí)體的縱深結構表示不足,尚待改進(jìn)。
【網(wǎng)絡(luò )與信息安全事件應急響應體系層次結構與聯(lián)動(dòng)探索】相關(guān)文章:
環(huán)境專(zhuān)業(yè)教學(xué)體系結構改革探索論文03-06
鋼結構住宅結構體系探究03-28
城市社區組織結構分析探索03-05
建立基層央行;層次養老保障體系的模式11-19
信息技術(shù)教學(xué)中滲透網(wǎng)絡(luò )道德教育的探索與嘗試03-29
信息體系審計難題及建議01-17
高中信息技術(shù)學(xué)科的層次教學(xué)11-18
“層次結構”教學(xué)法在大學(xué)英語(yǔ)教學(xué)中的運用11-21
- 相關(guān)推薦