網(wǎng)絡(luò)與信息安全事件應(yīng)急響應(yīng)體系層次結(jié)構(gòu)與聯(lián)動(dòng)探索

　　1、應(yīng)急響應(yīng)的基本內(nèi)容

　　1.1 應(yīng)急響應(yīng)應(yīng)急響應(yīng)是指一個(gè)組織為了應(yīng)對(duì)各種安全事件的發(fā)生而在事發(fā)前所做的準(zhǔn)備工作和在事件發(fā)生后所采取的緊急措施，其目的是為了保護(hù)關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施免遭攻擊、降低網(wǎng)絡(luò)的脆弱性、縮短網(wǎng)絡(luò)攻擊發(fā)生后的破壞時(shí)間和恢復(fù)時(shí)間。

　　應(yīng)急響應(yīng)包括管理、準(zhǔn)備、響應(yīng)、分析與服務(wù)五個(gè)環(huán)節(jié)。管理是對(duì)組織間的職責(zé)進(jìn)行劃分;準(zhǔn)備是針對(duì)不同類型的安全事件制定相應(yīng)的應(yīng)急預(yù)案;響應(yīng)包括檢測(cè)、遏制、根除和恢復(fù)，在安全事件發(fā)生后，以快速、有序、有效地響應(yīng)確保信息系統(tǒng)的弱點(diǎn)能夠及時(shí)溝通，采取糾正措施保護(hù)人員，保護(hù)敏感資料，保護(hù)重要的數(shù)據(jù)資源，防止系統(tǒng)被破壞，將信息系統(tǒng)遭受的損失降至最低，恢復(fù)系統(tǒng)運(yùn)行;分析為安全策略調(diào)整提供依據(jù);服務(wù)保證對(duì)可用資源的調(diào)用。

　　1.2 信息安全事件一般來(lái)講，信息安全事件是指信息系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別狀態(tài)的發(fā)生，它可能是對(duì)信息安全策略的違反或防護(hù)措施的失效，或未預(yù)知的不安全狀況。事件強(qiáng)調(diào)的是系統(tǒng)狀態(tài)的改變，更具有一般性。

　　信息安全事故就是能導(dǎo)致信息資產(chǎn)丟失與損害的任何信息安全事件。 事故強(qiáng)調(diào)的是損害的發(fā)生，更具特殊性。事故的認(rèn)定需要按照一定的程序進(jìn)行，一般需要較長(zhǎng)的時(shí)間。在應(yīng)急響應(yīng)體系中，為保證快速響應(yīng)，本文使用事件一詞，雖然更多的時(shí)候它確指的是事故。

　　信息安全事件一般具有因果性、偶然性、必然性、規(guī)律性，潛在性、再現(xiàn)性、可預(yù)測(cè)性的特點(diǎn)，事件的發(fā)展一般包含孕育、生長(zhǎng)和損失三個(gè)階段。這些特點(diǎn)決定了信息安全事件的預(yù)防是可行的，而且是首先要解決的問題。應(yīng)急響應(yīng)則是作為在事件發(fā)生后減少損失的重要手段。

　　按照事件的性質(zhì)，信息安全事件可分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、內(nèi)容安全事件、設(shè)備故障、基礎(chǔ)設(shè)施故障、災(zāi)害性事件和網(wǎng)絡(luò)戰(zhàn)爭(zhēng)八類 。綜合信息安全事件的影響范圍、破壞程度以及資產(chǎn)損失情況，一般將網(wǎng)絡(luò)信息安全事件分為四級(jí)：特別重大(I級(jí))、重大(Ⅱ級(jí))、較大(m級(jí))、一般(1w級(jí))。

　　1.3 應(yīng)急晌應(yīng)體系的總體架構(gòu)應(yīng)急響應(yīng)體系通常劃分為兩個(gè)中心和兩個(gè)組，兩個(gè)中心分別是信息共享與分析中心和應(yīng)急響應(yīng)中心，兩個(gè)組分別是應(yīng)急管理組和專業(yè)應(yīng)急組。

　　應(yīng)急響應(yīng)指揮協(xié)調(diào)中心處于系統(tǒng)的最高層，它一方面負(fù)責(zé)協(xié)調(diào)體系的正常運(yùn)行，維護(hù)信息共享與分析中心平臺(tái)，另一方面也是系統(tǒng)聯(lián)動(dòng)的控制中心，管理并協(xié)調(diào)各個(gè)應(yīng)急響應(yīng)組。

　　信息共享與分析中心(ISAC)是整個(gè)架構(gòu)的核心，它負(fù)責(zé)與各級(jí)組織進(jìn)行信息共享和交換。其主要功能包括信息收集整理、事件跟蹤、預(yù)警發(fā)布等。

　　應(yīng)急響應(yīng)中心體現(xiàn)了整個(gè)應(yīng)急響應(yīng)體系的核心任務(wù)，如信息安全事件分類、應(yīng)急響應(yīng)、預(yù)案管理等。

　　應(yīng)急管理組是整個(gè)體系及聯(lián)動(dòng)運(yùn)作的總協(xié)調(diào)機(jī)構(gòu)，包括技術(shù)研發(fā)與策略制定組、專家咨詢組等。

　　專業(yè)應(yīng)急組(CERT)以直接應(yīng)對(duì)安全事件為目標(biāo)，客戶是面對(duì)安全事件的最直接的實(shí)體。客戶一方面可通過查看ISAC提供的信息實(shí)施必要的防范措施，必要時(shí)與其它實(shí)體進(jìn)行聯(lián)動(dòng)，并接受CERT提供的服務(wù)，另一方面也要及時(shí)上報(bào)所遇到的安全事件信息。

　　應(yīng)急響應(yīng)體系的層次結(jié)構(gòu)通過上述對(duì)應(yīng)急響應(yīng)體系總體架構(gòu)的分析，我們對(duì)其目標(biāo)、作用、組織結(jié)構(gòu)和實(shí)施流程有了較為清晰的認(rèn)識(shí)。但在具體應(yīng)急響應(yīng)工作中，應(yīng)突出事件和應(yīng)急體系的聯(lián)動(dòng)，顯然圖1所示的結(jié)構(gòu)缺乏說(shuō)明力。本文提出一個(gè)“8641”應(yīng)急響應(yīng)體系層次結(jié)構(gòu)。

　　“8641”應(yīng)急響應(yīng)體系可以簡(jiǎn)單地概括為：“八方威脅，六面防護(hù)，四位一體，應(yīng)急響應(yīng)”。六面、四位、一體分別構(gòu)成應(yīng)急響應(yīng)的預(yù)防體系、組織體系和響應(yīng)體系三個(gè)層次，對(duì)外應(yīng)對(duì)八方安全事件，對(duì)內(nèi)保護(hù)核心資產(chǎn)安全。

　　十八方組成應(yīng)急響應(yīng)體系的對(duì)象— —安全事件。八類事件的嚴(yán)重程度依類別編號(hào)上升：1類為有害程序事件，程度最輕;8類為網(wǎng)絡(luò)戰(zhàn)爭(zhēng)，程度最為嚴(yán)重。安全事件往往不是孤立的，而是緊密聯(lián)系的，網(wǎng)絡(luò)戰(zhàn)爭(zhēng)則是多種安全事件的聯(lián)合攻擊行動(dòng)。

　　六面組成應(yīng)急響應(yīng)體系的最外層——技術(shù)防御層。由風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)、人侵檢測(cè)、網(wǎng)絡(luò)監(jiān)審、事件跟蹤和預(yù)防指南六個(gè)方面組成綜合技術(shù)防御體系。

　　四位組成應(yīng)急響應(yīng)體系的次外層—— 組織保障層。由指揮協(xié)調(diào)機(jī)構(gòu)、監(jiān)測(cè)預(yù)警機(jī)構(gòu)、應(yīng)急小組和專家顧問組共同組成應(yīng)急響應(yīng)的組織保障體系。

　　一體組成應(yīng)急響應(yīng)體系的核心層—— 響應(yīng)實(shí)施層。一體有三個(gè)含義：一是指一個(gè)應(yīng)急響應(yīng)功能實(shí)體，二是指一個(gè)目標(biāo)，三是指一個(gè)容災(zāi)備份中心。應(yīng)急響應(yīng)功能實(shí)體由事件分類、預(yù)警發(fā)布、應(yīng)急響應(yīng)、信息發(fā)布、恢復(fù)重建和應(yīng)急管理六個(gè)模塊組成，執(zhí)行應(yīng)急響應(yīng)的核心任務(wù)。應(yīng)急響應(yīng)的目標(biāo)是指保證核心資產(chǎn)安全，即重要應(yīng)用網(wǎng)絡(luò)和重要應(yīng)用信息系統(tǒng)的安全 容災(zāi)備份可以視為整個(gè)應(yīng)急響應(yīng)體系的細(xì)胞核，它是重要信息系統(tǒng)恢復(fù)重建的DNA庫(kù)，具有最高的安全級(jí)別。

　　2、應(yīng)急響應(yīng)體系的聯(lián)動(dòng) 一應(yīng)急響應(yīng)體系的生命在于各層內(nèi)實(shí)體和層間實(shí)體的聯(lián)動(dòng)，正如安全攻擊為了保證攻擊效果需要多個(gè)安全事件聯(lián)動(dòng)攻擊一樣。沒有實(shí)體間的聯(lián)動(dòng)，應(yīng)急響應(yīng)體系的功能也就無(wú)法發(fā)揮。層級(jí)結(jié)構(gòu)圖越接近圓形 標(biāo)識(shí)其層內(nèi)實(shí)體問的聯(lián)系越緊密，聯(lián)動(dòng)活躍度越高。由外層、次外層到核心層，區(qū)域越來(lái)越小，功能越來(lái)越復(fù)雜，層間的聯(lián)動(dòng)活躍度也越高。

　　安全事件間的聯(lián)動(dòng)最少，除非有組織的大規(guī)模的網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)戰(zhàn)爭(zhēng)發(fā)生;技術(shù)防御層的六個(gè)實(shí)體間的聯(lián)動(dòng)主妻依賴彼此問的因果關(guān)系傳遞;組織保障層的四個(gè)實(shí)體間的聯(lián)動(dòng)緊密 信息交互共享實(shí)時(shí)雙向傳遞，必要時(shí)也可點(diǎn)到點(diǎn)直接傳遞;響應(yīng)實(shí)施層內(nèi)的六個(gè)功能實(shí)體聯(lián)動(dòng)最為緊密，通常表現(xiàn)為一體。

　　2.1 技術(shù)防御層的聯(lián)動(dòng)由“風(fēng)險(xiǎn)評(píng)估”給出安全需求，并以此確定“等級(jí)保護(hù)”;由“等級(jí)保護(hù)”給出保護(hù)措施，并以此確定“入侵檢測(cè)”;由“入侵檢測(cè)”發(fā)現(xiàn)威脅、漏洞，并以此確定“網(wǎng)絡(luò)監(jiān)審”;由“網(wǎng)絡(luò)監(jiān)審”發(fā)現(xiàn)安全事件，并以此進(jìn)行“事件跟蹤”;由“事件跟蹤 進(jìn)行行為分析，并由此確定“預(yù)防指南”的調(diào)整;由“預(yù)防指南”分析技術(shù)防御的有效性，系統(tǒng)殘余風(fēng)險(xiǎn)的可控性，并由此決定是否對(duì)系統(tǒng)的“風(fēng)險(xiǎn)評(píng)估”進(jìn)行修改。

　　“風(fēng)險(xiǎn)評(píng)估”是技術(shù)防御首先要解決的問題，技術(shù)防御的強(qiáng)度取決于系統(tǒng)的安全風(fēng)險(xiǎn)，安全風(fēng)險(xiǎn)值需要通過風(fēng)險(xiǎn)評(píng)估得出。

　　風(fēng)險(xiǎn)評(píng)估通過對(duì)系統(tǒng)的資產(chǎn)、威脅、脆弱性三個(gè)基本要素的分析，得出系統(tǒng)的安全風(fēng)險(xiǎn)值，從而導(dǎo)出系統(tǒng)的安全需求。

　　“入侵檢測(cè)”是應(yīng)急響應(yīng)體系的核心支撐實(shí)體，它容納并聯(lián)合了其它安全防護(hù)設(shè)備，如防火墻、網(wǎng)絡(luò)隔離、漏洞掃描、外聯(lián)檢測(cè)、拓?fù)浒l(fā)現(xiàn)等設(shè)備。

　　2.2 組織保障層的聯(lián)動(dòng)專家顧問組、應(yīng)急小組、監(jiān)測(cè)預(yù)警機(jī)構(gòu)和指揮協(xié)調(diào)機(jī)構(gòu)問的聯(lián)動(dòng)，既依賴安全事件，也依賴安全策略的調(diào)整和安全管理職責(zé)的變更。聯(lián)動(dòng)響應(yīng)工作流程可以是應(yīng)急預(yù)案中的規(guī)定流程，也可能是指揮協(xié)調(diào)機(jī)構(gòu)的臨時(shí)指令。聯(lián)動(dòng)的目的是保證應(yīng)急響應(yīng)工作的有序、有效、高效地運(yùn)行。

　　指揮協(xié)調(diào)機(jī)構(gòu)負(fù)責(zé)應(yīng)急響應(yīng)的指揮、協(xié)調(diào)工作。指揮監(jiān)測(cè)預(yù)警機(jī)構(gòu)、應(yīng)急小組和專家顧問組對(duì)突發(fā)的網(wǎng)絡(luò)信息安全事件進(jìn)行應(yīng)急處置;協(xié)調(diào)各組織制訂、修訂相關(guān)的應(yīng)急預(yù)案;組織應(yīng)急預(yù)案演練;負(fù)責(zé)安全宣傳教育與培訓(xùn)。

　　監(jiān)測(cè)預(yù)警機(jī)構(gòu)負(fù)責(zé)監(jiān)測(cè)預(yù)警和風(fēng)險(xiǎn)評(píng)估控制、隱患排查整改工作，為整個(gè)組織提供實(shí)時(shí)監(jiān)測(cè)及預(yù)警信息共享服務(wù)。

　　應(yīng)急小組承擔(dān)應(yīng)急值守和事件收集、分析、上報(bào)工作，按照預(yù)案和指揮協(xié)調(diào)機(jī)構(gòu)的指令執(zhí)行系統(tǒng)升級(jí)、遏制、杜絕、恢復(fù)重建等處理工作。

　　專家顧問組根據(jù)指揮協(xié)調(diào)機(jī)構(gòu)的要求為應(yīng)急響應(yīng)提供政策、法律、技術(shù)等方面的咨詢與建議，提供安全教育、人員培訓(xùn)等服務(wù)。根據(jù)監(jiān)測(cè)預(yù)警機(jī)構(gòu)的事件報(bào)告，分析事件的發(fā)展趨勢(shì)，為應(yīng)急小組提供處置措施和恢復(fù)方案。

　　2.3 響應(yīng)實(shí)施層聯(lián)動(dòng)“事件分級(jí)”、“預(yù)警發(fā)布”、“應(yīng)急響應(yīng)”三者的聯(lián)動(dòng)中，I級(jí)(特別重大)事件與紅色預(yù)警和I級(jí)響應(yīng)聯(lián)動(dòng)，Ⅱ級(jí)(重大)事件與橙色預(yù)警和Ⅱ級(jí)響應(yīng)聯(lián)動(dòng)，Ⅲ級(jí)(較大)事件與黃色預(yù)警和Ⅲ級(jí)響應(yīng)聯(lián)動(dòng)，Ⅳ級(jí)(一般)事件與藍(lán)色預(yù)警和Ⅳ級(jí)響應(yīng)聯(lián)動(dòng)。

　　“信息發(fā)布”跟蹤事件響應(yīng)進(jìn)展情況，對(duì)事件處理進(jìn)程進(jìn)行報(bào)道。“恢復(fù)重建”對(duì)事件跟蹤分析，提供恢復(fù)方案，對(duì)重建系統(tǒng)進(jìn)行測(cè)試，保證消除事件所造成的威脅。“應(yīng)急管理”除負(fù)責(zé)日常的人員培訓(xùn)、專家?guī)旖ㄔO(shè)、應(yīng)急預(yù)案管理工作外，在應(yīng)急響應(yīng)聯(lián)動(dòng)中跟蹤事件，協(xié)調(diào)應(yīng)急資源，管理應(yīng)急工作。

　　2.4 以事件為中心的層間聯(lián)動(dòng)安全事件應(yīng)是應(yīng)急響應(yīng)體系層間聯(lián)動(dòng)的唯一驅(qū)動(dòng)機(jī)制(應(yīng)急響應(yīng)預(yù)案演練是人為假設(shè)的安全事件)。

　　一個(gè)安全事件的發(fā)生，意味著威脅已經(jīng)或可能穿透了技術(shù)防御層、組織保障層，核心資產(chǎn)已受到或正面臨著危險(xiǎn)，應(yīng)當(dāng)適時(shí)啟動(dòng)應(yīng)急響應(yīng)預(yù)案，這～過程我們稱為事件驅(qū)動(dòng)。

　　通過應(yīng)急響應(yīng)，發(fā)現(xiàn)應(yīng)急預(yù)防體系、安全策略體系存在的可被利用的安全漏洞，進(jìn)行修復(fù)，消除事件威脅，這一過程我們稱之為事件反饋。

　　技術(shù)防御層、組織保障層、響應(yīng)實(shí)施層都圍繞“核心資產(chǎn)”

　　作變角矢量旋轉(zhuǎn)運(yùn)動(dòng)，一般情況下，響應(yīng)實(shí)施層最快，技術(shù)防御層最慢。某一時(shí)刻，三層上的不同實(shí)體位于同一個(gè)角矢量上，這時(shí)，我們可認(rèn)為三個(gè)實(shí)體問可以產(chǎn)生層間聯(lián)動(dòng)。對(duì)于圖2所示的層次結(jié)構(gòu)，可能的層間聯(lián)動(dòng)應(yīng)該有6×4×6=144種，顯然這144種層間聯(lián)動(dòng)發(fā)生的頻次是不一樣的。技術(shù)防御層中的一個(gè)重要實(shí)體是“3入侵檢測(cè)”，組織保障層中的一個(gè)重要實(shí)體是“2監(jiān)測(cè)預(yù)警機(jī)構(gòu)”，響應(yīng)實(shí)施層中的一個(gè)重要實(shí)體是“3應(yīng)急響應(yīng)”，由這3個(gè)實(shí)體構(gòu)成的“323層問聯(lián)動(dòng)”是事件驅(qū)動(dòng)的一個(gè)頻次較高的層間聯(lián)動(dòng)過程。同樣，由響應(yīng)實(shí)施層中的“6應(yīng)急管理”、組織保障層中的“1指揮協(xié)調(diào)機(jī)構(gòu)”和技術(shù)防御層中的“1風(fēng)險(xiǎn)評(píng)估”3個(gè)實(shí)體構(gòu)成的“611層間聯(lián)動(dòng)”是事件反饋的一個(gè)頻次較高的層間聯(lián)動(dòng)過程。

　　聯(lián)動(dòng)響應(yīng)包含了安全事件應(yīng)對(duì)的規(guī)劃準(zhǔn)備、應(yīng)急響應(yīng)和事后跟進(jìn)的全過程動(dòng)態(tài)管理，融人了以安全策略為中心的安全生命周期的各個(gè)關(guān)鍵要素，體現(xiàn)了“風(fēng)險(xiǎn)評(píng)估一預(yù)防措施一實(shí)時(shí)檢測(cè)一應(yīng)急響應(yīng)一風(fēng)險(xiǎn)評(píng)估”安全生命的周期循環(huán)。

　　3、結(jié) 語(yǔ)

　　由于自然、技術(shù)和人為的因素，網(wǎng)絡(luò)漏洞必然存在，網(wǎng)絡(luò)信息安全事件的發(fā)生不可避免。應(yīng)急響應(yīng)是積極防御和縱深防御體系中的最后一道防線，是保障網(wǎng)絡(luò)信息可生存性的必要手段和措施。

　　應(yīng)急響應(yīng)體系的建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程，應(yīng)急響應(yīng)體系的生命在于各種安全措施的聯(lián)動(dòng)，因此首先必須全面了解其層次結(jié)構(gòu)，其次要明確解決的主要問題。

　　應(yīng)急響應(yīng)體系十分復(fù)雜和龐大，本文圖2所示的層次結(jié)構(gòu)雖較為清晰地描述了應(yīng)急響應(yīng)的對(duì)象、目標(biāo)、主體、功能實(shí)體及之間的聯(lián)動(dòng)關(guān)系，但對(duì)主體和功能實(shí)體的縱深結(jié)構(gòu)表示不足，尚待改進(jìn)。

【網(wǎng)絡(luò)與信息安全事件應(yīng)急響應(yīng)體系層次結(jié)構(gòu)與聯(lián)動(dòng)探索】相關(guān)文章：

提高網(wǎng)絡(luò)與信息安全編程能力的實(shí)踐探索論文09-02

企業(yè)實(shí)施信息安全保障體系的探索和實(shí)踐論文09-25

數(shù)據(jù)中心網(wǎng)絡(luò)的體系結(jié)構(gòu)分析09-10

淺談關(guān)于網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案的研究與實(shí)踐10-17

高校校園網(wǎng)絡(luò)與信息安全管理工作探索論文10-03

對(duì)網(wǎng)絡(luò)信息化英語(yǔ)教學(xué)探索09-07

民航空管網(wǎng)絡(luò)與信息安全管理體系的構(gòu)建論文07-03

科技論文的結(jié)構(gòu)和層次編排09-13

會(huì)計(jì)信息體系結(jié)構(gòu)的發(fā)展08-02

淺析網(wǎng)絡(luò)信息中介商在網(wǎng)絡(luò)營(yíng)銷體系中的作用09-06