網(wǎng)絡與信息安全事件應急響應體系層次結構與聯(lián)動探索

　　1、應急響應的基本內(nèi)容

　　1.1 應急響應應急響應是指一個組織為了應對各種安全事件的發(fā)生而在事發(fā)前所做的準備工作和在事件發(fā)生后所采取的緊急措施，其目的是為了保護關鍵網(wǎng)絡基礎設施免遭攻擊、降低網(wǎng)絡的脆弱性、縮短網(wǎng)絡攻擊發(fā)生后的破壞時間和恢復時間。

　　應急響應包括管理、準備、響應、分析與服務五個環(huán)節(jié)。管理是對組織間的職責進行劃分;準備是針對不同類型的安全事件制定相應的應急預案;響應包括檢測、遏制、根除和恢復，在安全事件發(fā)生后，以快速、有序、有效地響應確保信息系統(tǒng)的弱點能夠及時溝通，采取糾正措施保護人員，保護敏感資料，保護重要的數(shù)據(jù)資源，防止系統(tǒng)被破壞，將信息系統(tǒng)遭受的損失降至最低，恢復系統(tǒng)運行;分析為安全策略調整提供依據(jù);服務保證對可用資源的調用。

　　1.2 信息安全事件一般來講，信息安全事件是指信息系統(tǒng)、服務或網(wǎng)絡的一種可識別狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護措施的失效，或未預知的不安全狀況。事件強調的是系統(tǒng)狀態(tài)的改變，更具有一般性。

　　信息安全事故就是能導致信息資產(chǎn)丟失與損害的任何信息安全事件。 事故強調的是損害的發(fā)生，更具特殊性。事故的認定需要按照一定的程序進行，一般需要較長的時間。在應急響應體系中，為保證快速響應，本文使用事件一詞，雖然更多的時候它確指的是事故。

　　信息安全事件一般具有因果性、偶然性、必然性、規(guī)律性，潛在性、再現(xiàn)性、可預測性的特點，事件的發(fā)展一般包含孕育、生長和損失三個階段。這些特點決定了信息安全事件的預防是可行的，而且是首先要解決的問題。應急響應則是作為在事件發(fā)生后減少損失的重要手段。

　　按照事件的性質，信息安全事件可分為有害程序事件、網(wǎng)絡攻擊事件、信息破壞事件、內(nèi)容安全事件、設備故障、基礎設施故障、災害性事件和網(wǎng)絡戰(zhàn)爭八類 。綜合信息安全事件的影響范圍、破壞程度以及資產(chǎn)損失情況，一般將網(wǎng)絡信息安全事件分為四級：特別重大(I級)、重大(Ⅱ級)、較大(m級)、一般(1w級)。

　　1.3 應急晌應體系的總體架構應急響應體系通常劃分為兩個中心和兩個組，兩個中心分別是信息共享與分析中心和應急響應中心，兩個組分別是應急管理組和專業(yè)應急組。

　　應急響應指揮協(xié)調中心處于系統(tǒng)的最高層，它一方面負責協(xié)調體系的正常運行，維護信息共享與分析中心平臺，另一方面也是系統(tǒng)聯(lián)動的控制中心，管理并協(xié)調各個應急響應組。

　　信息共享與分析中心(ISAC)是整個架構的核心，它負責與各級組織進行信息共享和交換。其主要功能包括信息收集整理、事件跟蹤、預警發(fā)布等。

　　應急響應中心體現(xiàn)了整個應急響應體系的核心任務，如信息安全事件分類、應急響應、預案管理等。

　　應急管理組是整個體系及聯(lián)動運作的總協(xié)調機構，包括技術研發(fā)與策略制定組、專家咨詢組等。

　　專業(yè)應急組(CERT)以直接應對安全事件為目標，客戶是面對安全事件的最直接的實體。客戶一方面可通過查看ISAC提供的信息實施必要的防范措施，必要時與其它實體進行聯(lián)動，并接受CERT提供的服務，另一方面也要及時上報所遇到的安全事件信息。

　　應急響應體系的層次結構通過上述對應急響應體系總體架構的分析，我們對其目標、作用、組織結構和實施流程有了較為清晰的認識。但在具體應急響應工作中，應突出事件和應急體系的聯(lián)動，顯然圖1所示的結構缺乏說明力。本文提出一個“8641”應急響應體系層次結構。

　　“8641”應急響應體系可以簡單地概括為：“八方威脅，六面防護，四位一體，應急響應”。六面、四位、一體分別構成應急響應的預防體系、組織體系和響應體系三個層次，對外應對八方安全事件，對內(nèi)保護核心資產(chǎn)安全。

　　十八方組成應急響應體系的對象— —安全事件。八類事件的嚴重程度依類別編號上升：1類為有害程序事件，程度最輕;8類為網(wǎng)絡戰(zhàn)爭，程度最為嚴重。安全事件往往不是孤立的，而是緊密聯(lián)系的，網(wǎng)絡戰(zhàn)爭則是多種安全事件的聯(lián)合攻擊行動。

　　六面組成應急響應體系的最外層——技術防御層。由風險評估、等級保護、人侵檢測、網(wǎng)絡監(jiān)審、事件跟蹤和預防指南六個方面組成綜合技術防御體系。

　　四位組成應急響應體系的次外層—— 組織保障層。由指揮協(xié)調機構、監(jiān)測預警機構、應急小組和專家顧問組共同組成應急響應的組織保障體系。

　　一體組成應急響應體系的核心層—— 響應實施層。一體有三個含義：一是指一個應急響應功能實體，二是指一個目標，三是指一個容災備份中心。應急響應功能實體由事件分類、預警發(fā)布、應急響應、信息發(fā)布、恢復重建和應急管理六個模塊組成，執(zhí)行應急響應的核心任務。應急響應的目標是指保證核心資產(chǎn)安全，即重要應用網(wǎng)絡和重要應用信息系統(tǒng)的安全 容災備份可以視為整個應急響應體系的細胞核，它是重要信息系統(tǒng)恢復重建的DNA庫，具有最高的安全級別。

　　2、應急響應體系的聯(lián)動 一應急響應體系的生命在于各層內(nèi)實體和層間實體的聯(lián)動，正如安全攻擊為了保證攻擊效果需要多個安全事件聯(lián)動攻擊一樣。沒有實體間的聯(lián)動，應急響應體系的功能也就無法發(fā)揮。層級結構圖越接近圓形 標識其層內(nèi)實體問的聯(lián)系越緊密，聯(lián)動活躍度越高。由外層、次外層到核心層，區(qū)域越來越小，功能越來越復雜，層間的聯(lián)動活躍度也越高。

　　安全事件間的聯(lián)動最少，除非有組織的大規(guī)模的網(wǎng)絡攻擊或網(wǎng)絡戰(zhàn)爭發(fā)生;技術防御層的六個實體間的聯(lián)動主妻依賴彼此問的因果關系傳遞;組織保障層的四個實體間的聯(lián)動緊密 信息交互共享實時雙向傳遞，必要時也可點到點直接傳遞;響應實施層內(nèi)的六個功能實體聯(lián)動最為緊密，通常表現(xiàn)為一體。

　　2.1 技術防御層的聯(lián)動由“風險評估”給出安全需求，并以此確定“等級保護”;由“等級保護”給出保護措施，并以此確定“入侵檢測”;由“入侵檢測”發(fā)現(xiàn)威脅、漏洞，并以此確定“網(wǎng)絡監(jiān)審”;由“網(wǎng)絡監(jiān)審”發(fā)現(xiàn)安全事件，并以此進行“事件跟蹤”;由“事件跟蹤 進行行為分析，并由此確定“預防指南”的調整;由“預防指南”分析技術防御的有效性，系統(tǒng)殘余風險的可控性，并由此決定是否對系統(tǒng)的“風險評估”進行修改。

　　“風險評估”是技術防御首先要解決的問題，技術防御的強度取決于系統(tǒng)的安全風險，安全風險值需要通過風險評估得出。

　　風險評估通過對系統(tǒng)的資產(chǎn)、威脅、脆弱性三個基本要素的分析，得出系統(tǒng)的安全風險值，從而導出系統(tǒng)的安全需求。

　　“入侵檢測”是應急響應體系的核心支撐實體，它容納并聯(lián)合了其它安全防護設備，如防火墻、網(wǎng)絡隔離、漏洞掃描、外聯(lián)檢測、拓撲發(fā)現(xiàn)等設備。

　　2.2 組織保障層的聯(lián)動專家顧問組、應急小組、監(jiān)測預警機構和指揮協(xié)調機構問的聯(lián)動，既依賴安全事件，也依賴安全策略的調整和安全管理職責的變更。聯(lián)動響應工作流程可以是應急預案中的規(guī)定流程，也可能是指揮協(xié)調機構的臨時指令。聯(lián)動的目的是保證應急響應工作的有序、有效、高效地運行。

　　指揮協(xié)調機構負責應急響應的指揮、協(xié)調工作。指揮監(jiān)測預警機構、應急小組和專家顧問組對突發(fā)的網(wǎng)絡信息安全事件進行應急處置;協(xié)調各組織制訂、修訂相關的應急預案;組織應急預案演練;負責安全宣傳教育與培訓。

　　監(jiān)測預警機構負責監(jiān)測預警和風險評估控制、隱患排查整改工作，為整個組織提供實時監(jiān)測及預警信息共享服務。

　　應急小組承擔應急值守和事件收集、分析、上報工作，按照預案和指揮協(xié)調機構的指令執(zhí)行系統(tǒng)升級、遏制、杜絕、恢復重建等處理工作。

　　專家顧問組根據(jù)指揮協(xié)調機構的要求為應急響應提供政策、法律、技術等方面的咨詢與建議，提供安全教育、人員培訓等服務。根據(jù)監(jiān)測預警機構的事件報告，分析事件的發(fā)展趨勢，為應急小組提供處置措施和恢復方案。

　　2.3 響應實施層聯(lián)動“事件分級”、“預警發(fā)布”、“應急響應”三者的聯(lián)動中，I級(特別重大)事件與紅色預警和I級響應聯(lián)動，Ⅱ級(重大)事件與橙色預警和Ⅱ級響應聯(lián)動，Ⅲ級(較大)事件與黃色預警和Ⅲ級響應聯(lián)動，Ⅳ級(一般)事件與藍色預警和Ⅳ級響應聯(lián)動。

　　“信息發(fā)布”跟蹤事件響應進展情況，對事件處理進程進行報道。“恢復重建”對事件跟蹤分析，提供恢復方案，對重建系統(tǒng)進行測試，保證消除事件所造成的威脅。“應急管理”除負責日常的人員培訓、專家?guī)旖ㄔO、應急預案管理工作外，在應急響應聯(lián)動中跟蹤事件，協(xié)調應急資源，管理應急工作。

　　2.4 以事件為中心的層間聯(lián)動安全事件應是應急響應體系層間聯(lián)動的唯一驅動機制(應急響應預案演練是人為假設的安全事件)。

　　一個安全事件的發(fā)生，意味著威脅已經(jīng)或可能穿透了技術防御層、組織保障層，核心資產(chǎn)已受到或正面臨著危險，應當適時啟動應急響應預案，這～過程我們稱為事件驅動。

　　通過應急響應，發(fā)現(xiàn)應急預防體系、安全策略體系存在的可被利用的安全漏洞，進行修復，消除事件威脅，這一過程我們稱之為事件反饋。

　　技術防御層、組織保障層、響應實施層都圍繞“核心資產(chǎn)”

　　作變角矢量旋轉運動，一般情況下，響應實施層最快，技術防御層最慢。某一時刻，三層上的不同實體位于同一個角矢量上，這時，我們可認為三個實體問可以產(chǎn)生層間聯(lián)動。對于圖2所示的層次結構，可能的層間聯(lián)動應該有6×4×6=144種，顯然這144種層間聯(lián)動發(fā)生的頻次是不一樣的。技術防御層中的一個重要實體是“3入侵檢測”，組織保障層中的一個重要實體是“2監(jiān)測預警機構”，響應實施層中的一個重要實體是“3應急響應”，由這3個實體構成的“323層問聯(lián)動”是事件驅動的一個頻次較高的層間聯(lián)動過程。同樣，由響應實施層中的“6應急管理”、組織保障層中的“1指揮協(xié)調機構”和技術防御層中的“1風險評估”3個實體構成的“611層間聯(lián)動”是事件反饋的一個頻次較高的層間聯(lián)動過程。

　　聯(lián)動響應包含了安全事件應對的規(guī)劃準備、應急響應和事后跟進的全過程動態(tài)管理，融人了以安全策略為中心的安全生命周期的各個關鍵要素，體現(xiàn)了“風險評估一預防措施一實時檢測一應急響應一風險評估”安全生命的周期循環(huán)。

　　3、結 語

　　由于自然、技術和人為的因素，網(wǎng)絡漏洞必然存在，網(wǎng)絡信息安全事件的發(fā)生不可避免。應急響應是積極防御和縱深防御體系中的最后一道防線，是保障網(wǎng)絡信息可生存性的必要手段和措施。

　　應急響應體系的建設是一項復雜的系統(tǒng)工程，應急響應體系的生命在于各種安全措施的聯(lián)動，因此首先必須全面了解其層次結構，其次要明確解決的主要問題。

　　應急響應體系十分復雜和龐大，本文圖2所示的層次結構雖較為清晰地描述了應急響應的對象、目標、主體、功能實體及之間的聯(lián)動關系，但對主體和功能實體的縱深結構表示不足，尚待改進。

【網(wǎng)絡與信息安全事件應急響應體系層次結構與聯(lián)動探索】相關文章：

提高網(wǎng)絡與信息安全編程能力的實踐探索論文09-02

企業(yè)實施信息安全保障體系的探索和實踐論文09-25

數(shù)據(jù)中心網(wǎng)絡的體系結構分析09-10

淺談關于網(wǎng)絡與信息安全應急預案的研究與實踐10-17

高校校園網(wǎng)絡與信息安全管理工作探索論文10-03

對網(wǎng)絡信息化英語教學探索09-07

民航空管網(wǎng)絡與信息安全管理體系的構建論文07-03

科技論文的結構和層次編排09-13

會計信息體系結構的發(fā)展08-02

淺析網(wǎng)絡信息中介商在網(wǎng)絡營銷體系中的作用09-06