网络与信息安全事件应急响应体系层次结构与联动探索
1 应急响应的基本内容
1.1 应急响应应急响应是指一个组织为了应对各种安全事件的发生而在事发前所做的准备工作和在事件发生后所采取的紧急措施,其目的是为了保护关键网络基础设施免遭攻击、降低网络的脆弱性、缩短网络攻击发生后的破坏时间和恢复时间。
应急响应包括管理、准备、响应、分析与服务五个环节。管理是对组织间的职责进行划分;准备是针对不同类型的安全事件制定相应的应急预案;响应包括检测、遏制、根除和恢复,在安全事件发生后,以快速、有序、有效地响应确保信息系统的弱点能够及时沟通,采取纠正措施保护人员,保护敏感资料,保护重要的数据资源,防止系统被破坏,将信息系统遭受的损失降至最低,恢复系统运行;分析为安全策略调整提供依据;服务保证对可用资源的调用。
1.2 信息安全事件一般来讲,信息安全事件是指信息系统、服务或网络的一种可识别状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或未预知的不安全状况。事件强调的是系统状态的改变,更具有一般性。
信息安全事故就是能导致信息资产丢失与损害的任何信息安全事件。 事故强调的是损害的发生,更具特殊性。事故的认定需要按照一定的程序进行,一般需要较长的时间。在应急响应体系中,为保证快速响应,本文使用事件一词,虽然更多的时候它确指的是事故。
信息安全事件一般具有因果性、偶然性、必然性、规律性,潜在性、再现性、可预测性的特点,事件的发展一般包含孕育、生长和损失三个阶段。这些特点决定了信息安全事件的预防是可行的,而且是首先要解决的问题。应急响应则是作为在事件发生后减少损失的重要手段。
按照事件的性质,信息安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、内容安全事件、设备故障、基础设施故障、灾害性事件和网络战争八类 。综合信息安全事件的影响范围、破坏程度以及资产损失情况,一般将网络信息安全事件分为四级:特别重大(I级)、重大(Ⅱ级)、较大(m级)、一般(1w级)。
1.3 应急晌应体系的总体架构应急响应体系通常划分为两个中心和两个组,两个中心分别是信息共享与分析中心和应急响应中心,两个组分别是应急管理组和专业应急组。
应急响应指挥协调中心处于系统的最高层,它一方面负责协调体系的正常运行,维护信息共享与分析中心平台,另一方面也是系统联动的控制中心,管理并协调各个应急响应组。
信息共享与分析中心(ISAC)是整个架构的核心,它负责与各级组织进行信息共享和交换。其主要功能包括信息收集整理、事件跟踪、预警发布等。
应急响应中心体现了整个应急响应体系的核心任务,如信息安全事件分类、应急响应、预案管理等。
应急管理组是整个体系及联动运作的总协调机构,包括技术研发与策略制定组、专家咨询组等。
2、专业应急组(CERT)以直接应对安全事件为目标,客户是面对安全事件的最直接的实体。客户一方面可通过查看ISAC提供的信息实施必要的防范措施,必要时与其它实体进行联动,并接受CERT提供的服务,另一方面也要及时上报所遇到的安全事件信息。
应急响应体系的层次结构通过上述对应急响应体系总体架构的分析,我们对其目标、作用、组织结构和实施流程有了较为清晰的认识。但在具体应急响应工作中,应突出事件和应急体系的联动,显然图1所示的结构缺乏说明力。本文提出一个“8641”应急响应体系层次结构。
“8641”应急响应体系可以简单地概括为:“八方威胁,六面防护,四位一体,应急响应”。六面、四位、一体分别构成应急响应的预防体系、组织体系和响应体系三个层次,对外应对八方安全事件,对内保护核心资产安全。
十八方组成应急响应体系的对象— —安全事件。八类事件的严重程度依类别编号上升:1类为有害程序事件,程度最轻;8类为网络战争,程度最为严重。安全事件往往不是孤立的,而是紧密联系的,网络战争则是多种安全事件的联合攻击行动。
六面组成应急响应体系的最外层——技术防御层。由风险评估、等级保护、人侵检测、网络监审、事件跟踪和预防指南六个方面组成综合技术防御体系。
四位组成应急响应体系的次外层—— 组织保障层。由指挥协调机构、监测预警机构、应急小组和专家顾问组共同组成应急响应的组织保障体系。
一体组成应急响应体系的核心层—— 响应实施层。一体有三个含义:一是指一个应急响应功能实体,二是指一个目标,三是指一个容灾备份中心。应急响应功能实体由事件分类、预警发布、应急响应、信息发布、恢复重建和应急管理六个模块组成,执行应急响应的核心任务。应急响应的.目标是指保证核心资产安全,即重要应用网络和重要应用信息系统的安全 容灾备份可以视为整个应急响应体系的细胞核,它是重要信息系统恢复重建的DNA库,具有最高的安全级别。
3. 应急响应体系的联动
应急响应体系的生命在于各层内实体和层间实体的联动,正如安全攻击为了保证攻击效果需要多个安全事件联动攻击一样。没有实体间的联动,应急响应体系的功能也就无法发挥。层级结构图越接近圆形 标识其层内实体问的联系越紧密,联动活跃度越高。由外层、次外层到核心层,区域越来越小,功能越来越复杂,层间的联动活跃度也越高。
安全事件间的联动最少,除非有组织的大规模的网络攻击或网络战争发生;技术防御层的六个实体间的联动主妻依赖彼此问的因果关系传递;组织保障层的四个实体间的联动紧密 信息交互共享实时双向传递,必要时也可点到点直接传递;响应实施层内的六个功能实体联动最为紧密,通常表现为一体。
3.1 技术防御层的联动由“风险评估”给出安全需求,并以此确定“等级保护”;由“等级保护”给出保护措施,并以此确定“入侵检测”;由“入侵检测”发现威胁、漏洞,并以此确定“网络监审”;由“网络监审”发现安全事件,并以此进行“事件跟踪”;由“事件跟踪 进行行为分析,并由此确定“预防指南”的调整;由“预防指南”分析技术防御的有效性,系统残余风险的可控性,并由此决定是否对系统的“风险评估”进行修改。
“风险评估”是技术防御首先要解决的问题,技术防御的强度取决于系统的安全风险,安全风险值需要通过风险评估得出。
风险评估通过对系统的资产、威胁、脆弱性三个基本要素的分析,得出系统的安全风险值,从而导出系统的安全需求。
“入侵检测”是应急响应体系的核心支撑实体,它容纳并联合了其它安全防护设备,如防火墙、网络隔离、漏洞扫描、外联检测、拓扑发现等设备。
3.2 组织保障层的联动专家顾问组、应急小组、监测预警机构和指挥协调机构问的联动,既依赖安全事件,也依赖安全策略的调整和安全管理职责的变更。联动响应工作流程可以是应急预案中的规定流程,也可能是指挥协调机构的临时指令。联动的目的是保证应急响应工作的有序、有效、高效地运行。
指挥协调机构负责应急响应的指挥、协调工作。指挥监测预警机构、应急小组和专家顾问组对突发的网络信息安全事件进行应急处置;协调各组织制订、修订相关的应急预案;组织应急预案演练;负责安全宣传教育与培训。
监测预警机构负责监测预警和风险评估控制、隐患排查整改工作,为整个组织提供实时监测及预警信息共享服务。
应急小组承担应急值守和事件收集、分析、上报工作,按照预案和指挥协调机构的指令执行系统升级、遏制、杜绝、恢复重建等处理工作。
专家顾问组根据指挥协调机构的要求为应急响应提供政策、法律、技术等方面的咨询与建议,提供安全教育、人员培训等服务。根据监测预警机构的事件报告,分析事件的发展趋势,为应急小组提供处置措施和恢复方案。
3.3 响应实施层联动“事件分级”、“预警发布”、“应急响应”三者的联动中,I级(特别重大)事件与红色预警和I级响应联动,Ⅱ级(重大)事件与橙色预警和Ⅱ级响应联动,Ⅲ级(较大)事件与黄色预警和Ⅲ级响应联动,Ⅳ级(一般)事件与蓝色预警和Ⅳ级响应联动。
“信息发布”跟踪事件响应进展情况,对事件处理进程进行报道。“恢复重建”对事件跟踪分析,提供恢复方案,对重建系统进行测试,保证消除事件所造成的威胁。“应急管理”除负责日常的人员培训、专家库建设、应急预案管理工作外,在应急响应联动中跟踪事件,协调应急资源,管理应急工作。
3.4 以事件为中心的层间联动安全事件应是应急响应体系层间联动的唯一驱动机制(应急响应预案演练是人为假设的安全事件)。
一个安全事件的发生,意味着威胁已经或可能穿透了技术防御层、组织保障层,核心资产已受到或正面临着危险,应当适时启动应急响应预案,这~过程我们称为事件驱动。
通过应急响应,发现应急预防体系、安全策略体系存在的可被利用的安全漏洞,进行修复,消除事件威胁,这一过程我们称之为事件反馈。
技术防御层、组织保障层、响应实施层都围绕“核心资产”
作变角矢量旋转运动,一般情况下,响应实施层最快,技术防御层最慢。某一时刻,三层上的不同实体位于同一个角矢量上,这时,我们可认为三个实体问可以产生层间联动。对于图2所示的层次结构,可能的层间联动应该有6×4×6=144种,显然这144种层间联动发生的频次是不一样的。技术防御层中的一个重要实体是“3入侵检测”,组织保障层中的一个重要实体是“2监测预警机构”,响应实施层中的一个重要实体是“3应急响应”,由这3个实体构成的“323层问联动”是事件驱动的一个频次较高的层间联动过程。同样,由响应实施层中的“6应急管理”、组织保障层中的“1指挥协调机构”和技术防御层中的“1风险评估”3个实体构成的“611层间联动”是事件反馈的一个频次较高的层间联动过程。
联动响应包含了安全事件应对的规划准备、应急响应和事后跟进的全过程动态管理,融人了以安全策略为中心的安全生命周期的各个关键要素,体现了“风险评估一预防措施一实时检测一应急响应一风险评估”安全生命的周期循环。
4. 结 语
由于自然、技术和人为的因素,网络漏洞必然存在,网络信息安全事件的发生不可避免。应急响应是积极防御和纵深防御体系中的最后一道防线,是保障网络信息可生存性的必要手段和措施。
应急响应体系的建设是一项复杂的系统工程,应急响应体系的生命在于各种安全措施的联动,因此首先必须全面了解其层次结构,其次要明确解决的主要问题。
应急响应体系十分复杂和庞大,本文图2所示的层次结构虽较为清晰地描述了应急响应的对象、目标、主体、功能实体及之间的联动关系,但对主体和功能实体的纵深结构表示不足,尚待改进。
【网络与信息安全事件应急响应体系层次结构与联动探索】相关文章: