网络安全应急响应
一次性进群,长期免费索取教程,没有付费教程。
教程列表见微信公众号底部菜单
进微信群回复公众号:微信群;QQ群:16004488
微信公众号:计算机与网络安全
ID:Computer-network
凡事预则立,不预则废。网络安全应急响应就是要对网络安全有清晰认识,有所预估和准备,从而在一旦发生突发网络安全事件时,有序应对、妥善处理。在理解网络安全的应急响应之前,需要了解一般意义下的突发公共安全事件及其应急响应的体制机制。实际上,我国网络安全应急响应体系建设也是建立在原有应急响应体系基础上的,并经过实践不断改进完善。
一、网络安全应急响应基本情况
(一)网络安全的概念
网络安全已经深刻影响世界各个国家的经济社会发展,甚至涉及政治、社会稳定、军事、外交等众多领域,成为新兴安全研究的全球性课题。网络安全一词在学术和工业实践领域尚未达成一致的、科学严谨的定义,但其涉及的内容已经有较为清晰的认识,可以看作是对业内已认可的术语概念基础上的融合、扩展、深化。
从历史上看,信息安全(Information Security)一词使用最为广泛,并演变成为覆盖电子数字信息、计算机系统、网络系统(Network System)、电磁空间、网络空间(Cyberspace)各个领域安全问题的广义上的网络安全概念。
除了信息安全,计算机安全这个概念出现较早,并伴随着主机安全、信息系统安全、内联网安全、互联网安全、网络空间安全等概念不断变化演进。近几年来,网络安全一词在报纸、文章以及互联网新媒体上大量出现,而在 2014 年中央网络安全与信息化领导小组成立之后,更是在外交、内政各领域的官方媒体、公共舆论场里被广泛使用和引用。
1、计算机安全
根据国际标准化委员会的定义,计算机安全是指为数据处理系统而采取的技术和管理的安全保护,保护计算机硬件、软件、数据不因偶然或恶意的原因而遭到破坏、更改、显露。又根据我国公安部有关部门的定义:计算机安全是指计算机资产安全,即计算机信息系统资源和信息资源不受自然和人为有害因素的威胁和危害。
2、信息(系统)安全
狭义的信息安全是建立在密码论基础上的计算机安全领域,广义的信息安全从传统的计算机安全发展延伸,不再是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。在实践中,信息安全落实在信息系统或计算机网络系统的安全。信息系统安全包括4个层面:设备安全+数据安全+内容安全+行为安全。其关键是数据安全,确保信息数据的保密性、完整性、可用性;而终极目的是行为不危害数据秘密性、不危害数据完整性、行为的过程和目标可预期、行为具有可控性。
3、互联网安全
互联网又称因特网(Internet),于20世纪60年代兴起、90年代开启商用,并逐步推广至全球各个国家共同使用的基于 TCP/IP 等链接协议的全球性开放的信息网络。互联网安全从其本质上来讲就是互联网上的信息安全,凡是涉及互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域,涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科范畴。
4、专网安全(如工控网络安全)
专网是指为特定对象服务的网络,如铁路系统专网、公安系统专网、防汛专网、军用专网、工控网络等,一般只为该系统服务,不提供连接公网的接口。专网通信是对于公网通信的一种必要补充,在特定行业发挥着不可替代的作用。因此专网安全,例如工控网络安全,既存在内网安全隐患同时也存在可能的由外网间接引入的安全问题。
5、企业内网安全
企业内网安全是指企业内部网络信息系统的一系列安全策略和措施的总和。企业为满足内部网络安全需求,建立物理隔离或逻辑隔离的网络,并对来自外部、内部的访问加以严格控制和限制,从而形成企业内网安全策略方法。
6、网络空间安全/赛博空间安全
网络空间安全对应于外文文献中的赛博安全/赛博空间安全(Cyber Security/Cyberspace Security),近年来越来越多地受到国内专家学者的重视和使用。网络空间安全融合现实物理空间安全与虚拟信息空间安全,被称为“第二生存空间安全”,或者是关联海、陆、空、天(太空)安全的“第五空间安全”,业界对其认识尚未成型,总的来说,网络空间安全相对现实空间安全可用“融入其中、凌驾其上、控制其内”作概略理解。
7、网络安全
狭义的网络安全(Network Security)是指计算机局域网络或互联网环境下的网络信息系统的安全,而广义的网络安全则可以泛化为网络空间安全,涉及国家、社会、企业、个人等各个层面。例如舆论舆情、企业品牌声誉、个人隐私,以及虚拟物品资产安全、商业知识产权安全等,既有虚拟空间的安全,又有受关联、牵扯的实体空间的安全。
2014年2月27日,习总书记在中央网络安全与信息化领导小组成立的讲话中指出“没有网络安全,就没有国家安全”。习总书记的讲话说明,网络安全问题不再是简单的互联网技术领域的安全问题,而是和经济安全、社会安全,甚至军事、外交等关系国计民生的国家层面的战略问题。同时,中央网络安全与信息化领导小组的成立本身也表明,网络安全对经济发展的方方面面,对国家和社会各领域具有极其深刻的影响。网络安全一词的内涵实际已经超越了技术范畴,具备了融合个人安全、组织安全、社会安全以及国家安全的意义,网络安全外延已扩展到部分包含或整体包含计算机安全、信息系统安全、内网安全、互联网安全、内容安全、专用通信网络(工控网络)安全等。
综合来看,信息安全、网络安全、企业内网安全、互联网安全(Internet Security)、专网安全、网络空间安全,以及我国中文语境里使用较为普遍的计算机系统安全、网络与信息安全、网络安全等学界、业界使用的这些词汇,其内涵意义既各有侧重,又相互融合。从技术发展来看,存在诸多重叠交叉部分,不是简单的包含或被包含的关系,难以在严格意义上区分。
最简单的例子就是,某个企业内部计算机网络的安全问题,可能涉及内部攻击、外部攻击、互联网黑客攻击、甚至境外组织的威胁,即便是企业的内网不接入互联网,也难以摆脱高级别的安全隐患。
从应急响应实际问题处理流程可操作层面来讲,可以将网络安全相对狭义和通俗地定义为:在互联网以及移动互联网广泛应用、智能设备、大数据和云计算等新技术新应用等日益融合的大环境下,各类组织实体,通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性;同时,网络系统的硬件、软件及其系统中的数据受到保护,不因偶然或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
简单来讲,网络安全是以网络系统安全(Network Security & Internet Security)为核心的网络空间安全问题,兼顾网络自身安全与其中信息数据安全,其内涵主旨是网络系统安全、应用系统安全保障及相关安全业务管理。
因此,在上述限定意义下,网络安全的应急响应主要针对国家、部门、企业等组织机构,并需要在实践中从技术、管理、法律等各角度综合应用,保证突发网络安全事件应急处理有序、有效、有力,确保涉事机构企业损失降到最低,同时威慑肇事者。
(二)网络安全应急响应管理与相关法规
近20年来,Internet的重要性不断提高,同时,隐藏其中的危险也日益明显。虽然保护网络安全的技术迅速发展,但实践证明,现实中再昂贵的安全保护也无法发现和抵御所有的威胁。因此,完善的网络安全体系要求在保护体系之外必须建立应急响应体系。我国第一个网络安全事件响应组织——中国教育和科研计算机网紧急响应组成立于 1999 年 5 月;国家计算机网络应急技术处理协调中心(CNCERT/CC)也于2002年9月正式成立。除了政府部门和机构,一些大型国有企业组织、全国性跨地区办公企业、大型互联网企业等也建立了自己的应急响应组织部门。
1、网络安全应急响应体系
网络安全领域的应急响应(Cyber Security Emergency Response System)是指在突发重大网络安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略与规程。
网络应急响应的活动应该主要包括2个方面:
(1)未雨绸缪,即在事件发生前先做好准备,比如风险评估、制定安全计划、安全意识的培训,以发布安全通告的方式进行预警,以及各种防范措施;
(2)亡羊补牢,即在事件发生后采取的措施,其目的在于把事件造成的损失降到最低。这些行动措施可能来自人,也可能来自系统,比如事件发生后,系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。
以上2个方面的工作是相互补充的。首先,事前的计划和准备为事件发生后的响应动作提供了指导框架,否则,响应动作将陷入混乱,可能造成比事件本身更大的损失;其次,事后的响应可能发现事前计划的不足,从而吸取教训,进一步完善安全计划。因此,这2个方面应该形成一种正反馈的机制,逐步强化组织的安全防范体系。
目前的相关工作仍无法满足实际工作需求,突出表现在2个方面:一是网络安全应急标准体系不完善;二是公共安全应急基础性、通用性、综合性标准研制不足。
2、网络安全应急响应管理
网络安全应急响应体系的管理是一个周而复始、持续改进的过程,大致包含以下3个阶段。
(1)网络安全应急响应需求分析和应急响应策略的确定。
(2)编制网络安全应急响应计划文档。
(3)应急响应计划的测试、培训、演练和维护。
从管理角度看,网络安全应急响应的管理可分为事件报告、事件评估、应急启动、应急处置、后期处置,如下图所示。
网络安全应急响应管理流程
另外,上图主要针对国家部门或国有单位或企业,而对于企业网络安全应急响应来说,信息通报、上报、披露等环节可以根据实际情况选择。事件的分类、定级也可以按照企业自己制定的标准执行。
3、网络安全应急响应的专项法律法规及标准
目前,已正式发布并施行的《网络安全法律法规》(点链接查看)
(三)网络安全应急响应模型的探索与实践
1、应急响应模型探索
当前主流的应急模型响应方法有三类,包括基于应急资源数据映射算法的应急模型响应方法、基于蚁群算法(又称蚂蚁算法,是一种用来在图中寻找优化路径的机率型算法)的应急模型响应方法和基于归一化算法(归一化就是通过某种算法把需要处理的数据经过处理后限制在特定范围内)的应急模型响应方法等。
目前,最常用的是基于应急资源数据映射算法的应急模型响应方法。随着突发事件的种类不断增加,应急资源分类体系繁多,导致应急资源响应模型的结构描述不精确。有学者提出,为了避免上述缺陷,有必要建立一种基于响应模糊概率算法的应急模型响应方法,提取突发事件的特征,建立突发事件与响应模型特征之间的映射联系,通过运算获取不同种类应急模型响应的模糊概率,从而实现应急模型响应。
这些理论模型的算法研究主要出于科研机构的理论研究,在网络安全应急响应实践中不必要了解这些算法的具体内容,在实践过程中理解其基本的原理即可。
2、网络安全应急响应模型应用与探索
在网络信息安全领域,现实是网络安全事件应急响应联动系统目前尚未有被广泛接受的模型,但学术界、业界的实践探索也在持续深入。如何建立一个网络安全事件应急响应联动系统的基本模型,从而更好地应对各种网络安全事件、协调应急响应组织人力和信息资源,一直为业界不断探索与实践。
由于一般意义的应急响应组织有2个缺陷:一是应急响应组织受地理限制与Internet地理无关的矛盾依然存在;二是应对安全事件时的被动缺乏有效的合作,理想的大规模(Internet范围)的响应组织被普遍认为是改进事件响应最有效的措施,但其复杂性决定这种协作在现阶段很难实现。一种观点认为,目前最可行的趋势是应急响应组织的广泛协作。
在网络安全应急响应组织协调与社会联动系统的基础上,还有专家提出了一套网络安全事件应急响应联动系统的基本模型。它立足于充分协调地理分布的人力和信息等资源协同应对网络安全事件,是从应急响应组织及其协调中心发展起来的一套应急响应联动体系,属于应急响应组织发展后期的组织形式。其所包含的联动有3个含义:(1)组织间的协作;(2)功能上的统一;(3)网络安全策略上的联合。其目的是通过统一的组织结构和运作方式、统一的操作流程与软件平台、通用的信息共享和交换方式以及完整的安全策略,力争最大限度地在应对网络安全事件时互相提供有利于快速解决问题的方案。
综合来看,网络安全事件应急响应联动系统是协作的应急响应组织,也是安全信息的共享、交换和分析中心,更是完整的网络安全策略,具有重要的意义和实用价值。而构建这些,离不开良好的信息保障,以支持应急决策和响应任务的试验;离不开描述信息流的信息模型,以提高应急预案的实施效率;也离不开构建可计算的突发事件应急响应信息模型,以达到网络安全保障的目的。
二、网络安全应急响应分类与特点
(一)网络安全事件分类和分级
对网络安全事件进行分类和分级是网络安全事件管理的基础性工作。规范、合理的网络安全事件分类分级,有利于促进网络安全事件的信息共享和交流;提高其通报和应急响应的自动化程度;有利于在规范化的网络安全事件类别和级别基础上进行统计和分析,从而确定网络安全事件的严重、危害程度,进而为科学的应急处置做好准备。
目前,我国网络安全的分级分类多参照国家标准 GB/Z20986−2007《信息安全事件分类指南》。根据信息安全事件发生的原因、表现形式等,对网络/信息安全事件进行分类;根据遭遇危险的信息系统的重要程度、系统损失和社会影响,对网络/信息安全事件进行分级。
1、网络安全事件的分类
根据信息安全事件的起因、表现、结果等,信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类,每个基本分类包括若干个子类。
(1)恶意程序事件
恶意程序事件是指蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序,有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性,或影响信息系统的正常运行。有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其他有害程序事件等7个子类。
1)计算机病毒事件
此类信息安全事件是指蓄意制造、传播计算机病毒,或是因受到计算机病毒影响而导致的信息安全事件。计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码,它可以破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制并传播。
2)蠕虫事件
此类信息安全事件是指蓄意制造、传播蠕虫,或是因受到蠕虫影响而导致的信息安全事件。蠕虫是指除计算机以外,利用信息系统缺陷,通过网络自动复制并传播的有害程序。
3)特洛伊木马事件
此类信息安全事件是指蓄意制造、传播特洛伊木马程序,或是因受到特洛伊木马程序影响而导致的信息安全事件,特洛伊木马程序是指伪装在信息系统中的一种有害程序,具有控制该系统或进行信息窃取等对该信息系统有害的功能。
4)僵尸网络事件
此类信息安全事件是指利用僵尸工具软件,形成僵尸网络而导致的信息安全事件。僵尸网络是指网络上受到黑客集中控制的一群计算机,它可以被用于伺机发起网络攻击,进行信息窃取或传播木马、蠕虫等其他有害程序。
5)混合攻击程序事件
此类信息安全事件是指蓄意制造、传播混合攻击程序,或是因受到混合攻击程序影响而导致的信息安全事件。混合攻击程序是指利用多种方法传播和感染其他系统的有害程序,可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。混合攻击程序事件也可以是一系列有害程序综合作用的结果,例如,一个计算机病毒或蠕虫在侵入系统后安装木马程序等。
6)网页内嵌恶意代码事件
此类信息安全事件是指蓄意制造、传播网页内嵌恶意代码。
7)其他有害程序事件
此类信息安全事件是指不能包含在以上6个子类之中的有害程序事件。
(2)网络攻击事件
网络攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。
网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个子类,具体如下。
1)拒绝服务攻击事件
此类信息安全事件是指利用信息系统缺陷、或通过暴力攻击的手段,以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源,从而影响信息系统正常运行为目的的信息安全事件。
2)后门攻击事件
此类信息安全事件是指利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施攻击的信息安全事件。
3)漏洞攻击事件
此类信息安全事件是指除拒绝服务攻击事件和后门攻击事件之外,利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞,对信息系统实施攻击的信息安全事件。
4)网络扫描窃听事件
此类信息安全事件是指利用网络扫描或窃听软件,获取信息系统网络配置、端口、服务、存在的脆弱性等特征而导致的信息安全事件。
5)网络钓鱼事件
此类信息安全事件是指利用欺骗性的计算机网络技术,使用户泄露重要信息而导致的信息安全事件。例如,利用欺骗性电子邮件获取用户银行账号密码等。
6)干扰事件
此类信息安全事件是指通过技术手段对网络进行干扰,或对广播电视有线或无线传输网络进行插播,对卫星广播电视信号非法攻击等导致的信息安全事件。
7)其他网络攻击事件
此类信息安全事件是指不能被包含在以上6个子类之中的网络攻击事件。
(3)信息破坏事件
信息破坏事件是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄露、窃取等而导致的信息安全事件。
信息破坏事件包括信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件等6个子类,具体如下。
1)信息篡改事件
此类信息安全事件是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件,例如网页篡改等导致的信息安全事件。
2)信息假冒事件
此类信息安全事件是指通过假冒他人信息系统收发信息而导致的信息安全事件,例如网页假冒等导致的信息安全事件。
3)信息泄露事件
此类信息安全事件是指因误操作、软硬件缺陷或电磁泄露等因素导致信息系统中的保密、敏感、个人隐私等信息暴露于未经授权者而导致的信息安全事件。
4)信息窃取事件
此类信息安全事件是指未经授权用户利用可能的技术手段恶意主动获取信息系统中的信息而导致的信息安全事件。
5)信息丢失事件
此类信息安全事件是指因误操作、人为蓄意或软硬件缺陷等因素致使信息系统中的信息丢失而导致的信息安全事件。
6)其他信息破坏事件
此类信息安全事件是指不能被包含在以上5个子类之中的信息破坏事件。
(4)信息内容安全事件
信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益等内容的安全事件。信息内容安全事件包括以下4个子类。
1)违反宪法和法律、行政法规的信息安全事件。
2)针对社会事项进行讨论、评论形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件。
3)组织串连、煽动集会游行的信息安全事件。
4)其他信息内容安全事件。
(5)设备设施故障
设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件,以及人为地使用非技术手段有意或无意地造成信息系统破坏而导致的信息安全事件。
设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故、其他设备设施故障等4个子类,具体如下。
1)软硬件自身故障
此类信息安全事件是指因信息系统中硬件设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等而导致的信息安全事件。
2)外围保障设施故障
此类信息安全事件是指由于保障信息系统正常运行所必需的外部设施出现故障而导致的信息安全事件,例如电力故障、外围网络故障等导致的信息安全事件。
3)人为破坏事故
此类信息安全事件是指人为蓄意地对保障信息系统正常运行的硬件、软件等实施窃取、破坏造成的信息安全事件;或由于人为地遗失、误操作以及其他无意行为造成信息系统硬件、软件等遭到破坏,影响信息系统正常运行的信息安全事件。
4)其他设备设施故障
此类信息安全事件是指不能被包含在以上3个子类之中的设备设施故障而导致的信息安全事件。
(6)灾害性事件
灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等。
(7)其他信息安全事件
此类信息安全事件是指不能被包含在以上6类中的信息安全事件。
2、网络安全事件的分级
对信息安全事件进行必要分级,是做好应急响应工作的前提。信息安全事件分级要统筹考虑诸多因素,直观展示信息安全事件的风险程度,为后续处置工作提供重要参考。
(1)网络安全事件的分级要素
对网络安全事件的分级主要考虑3个要素:一是网络信息系统的重要程度;二是系统遭受的损失;三是信息安全事件造成的社会影响。
1)信息系统的重要程度
信息系统的重要程度主要考虑信息系统所承载的业务对国家安全、经济建设、社会生活的重要性以及业务对信息系统的依赖程度,主要划分为特别重要信息系统、重要信息系统和一般信息系统。
2)系统损失
系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏,导致系统业务中断,从而给事发组织所造成的损失,其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价,划分为特别严重的系统损失、严重的系统损失、较大的系统损失和较小的系统损失。
①特别严重的系统损失:造成系统大面积瘫痪,使其丧失业务处理能力,或系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大,对于事发组织是不可承受的。
②严重的系统损失:造成系统长时间中断或局部瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大,但对于事发组织是可承受的。
③较大的系统损失:造成系统中断,明显影响系统效率,使重要信息系统或一般信息系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大,但对于事发组织是完全可以承受的。
④较小的系统损失:造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。
3)社会影响
社会影响是指信息安全事件对社会所造成影响的范围和程度,其大小主要考虑国家安全、社会秩序、经济建设和公众利益等方面的影响,主要划分为特别重大的社会影响、重大的社会影响、较大的社会影响和一般的社会影响。
①特别重大的社会影响:波及一个或多个省市的大部分地区,极大地威胁国家安全,引起社会动荡,对经济建设有极其恶劣的负面影响,或者严重损害公众利益。
②重大的社会影响:波及一个或多个地市的大部分地区,威胁到国家安全,引起社会恐慌,对经济建设有重大的负面影响,或者损害到公众利益。
③较大的社会影响:波及一个或多个地市的部分地区,可能影响到国家安全,扰乱社会秩序,对经济建设有一定的负面影响,或者影响到公众利益。
④一般的社会影响:波及一个地市的部分地区,对国家安全、社会秩序、经济建设和公众利益基本没有影响,但对个别公民、法人或其他组织的利益会造成损害。
(2)信息安全事件的级别划分
根据信息安全事件的分级考虑要素,将信息安全事件划分为4个级别:特别重大事件、重大事件、较大事件和一般事件。
1)特别重大事件(Ⅰ级)
特别重大事件是指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:
①会使特别重要信息系统遭受特别严重的系统损失;
②产生特别重大的社会影响。
2)重大事件(Ⅱ级)
重大事件是指能够导致严重影响或破坏的信息安全事件,包括以下情况:
①会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失;
②产生的重大的社会影响。
3)较大事件(Ⅲ级)
较大事件是指能够导致较严重影响或破坏的信息安全事件,包括以下情况:
①会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失、一般信息系统遭受特别严重的系统损失;
②产生较大的社会影响。
4)一般事件(Ⅳ级)
一般事件是指不满足以上条件的信息安全事件,包括以下情况:
①会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失,一般信息系统遭受严重或严重以下级别的系统损失;
②产生一般的社会影响。
(二)网络安全应急响应特点
1、从国家层面来看,网络安全应急响应事件具备以下2个特点。
(1)针对中国中央政府的政策,或国家大政方针,具有主观对抗性质。
(2)由相关事件触发,而相关事件本身的起初的影响力可能很小,且其影响力扩大具有偶然性。
国家在做上述网络安全事件应急响应工作时表现出以下几个特征。
(1)设立全国性集中的应急响应机构,如国家互联网应急中心(CNCERT),负责网络安全应急响应机构的最高统筹工作。
(2)在一些复杂的网络安全事件中,由于牵涉到境外相关组织的国际合作,因此在技术合作、司法调查等领域加强跨国合作。
(3)通过与网络安全技术与服务企业密切合作,发挥企业特别是网络专业厂商在技术实战、攻防对抗、专业工具积累等方面的优势,统筹协调国内各方资源,力求及时有效控制网络安全事态。
2、大型活动项目期间网络安全应急响应。国家举办重大活动项目,如奥运会、国庆阅兵、全国两会、全国党代会换届选举,或承办国际重要会议如亚太经合组织(APEC)峰会、亚洲相互协作与信任措施会议、上海合作组织峰会、世界互联网大会乌镇峰会等,特定日期以内及相近日期里,网络安全黑客与攻击事件等突发事件概率上升,网络安全应急响应形势严峻。
大型活动项目期间网络安全应急响应需要有关部门制定系统性的网络安全服务保障预案,抽调精干组织协调力量,动员和协调有关部门、机构、网络安全应急响应专家、顾问、专业安全厂商、专业技术厂商等,为密切高效配合做好准备。
3、部门机构网络安全应急响应。针对(中央、地方)政府部门或机构的网站或者内部网络的渗透、入侵,造成内部网络的瘫痪、重要信息系统的故障、数据信息的泄露或丢失。此时,相关机构的应急响应工作,一般由该部门主导,影响范围在部门系统内,当然也可能是全国性的垂直系统,在行政区划上波及其他省市区域。
部门机构,主要指中央和省级政府部门,所面临的网络安全突发事件具备以下几个特点。
(1)带有政治性攻击企图。一些黑客行为致使政治性反动、恶意攻击信息内容在相关政府机构的公开信息渠道传播、扩散。
(2)高级可持续威胁(APT,Advanced Persistent Threat)攻击。近年来,政府部门APT攻击的案例已不鲜见,主要来源于境外政府组织、黑客组织甚至个人,其利用一些先进的工具和高级渗透手段,窃取政府机密信息或为谋求个人经济利益。其带来的潜在危害巨大,因为相关部门可能对于隐藏极深的APT攻击毫不知情。
(3)兼具跨地域破坏性。中央政府的部门机构,尤其是垂直管理的系统,拥有跨省区分布业务系统,因此,一旦攻破造成的影响具有跨地域的破坏性。即使攻击地方政府网站或内部信息系统,由于横向的信任关系,其影响也可能扩散至更多区域。
4、企业网络安全应急响应。 企业用户是互联网的关键主体用户之一,互联网环境下的不安全因素直接影响到企业的信息网络。同时,企业内网安全也会遭遇突发事件,如2015年5月某上市企业服务器“疑似数据库物理删除”,给企业带来严重的负面影响。
企业内部网络的安全对企业生死攸关的知识产权保护、商业机密管控有非常高要求,因此,如果出现重大突发网络安全事故而不能及时响应、妥善处理,将可能遭遇灭顶之灾。企业网络安全应急响应工作所面临的主要对象及特点有以下三点。
(1)企业网络安全应急首要关注漏洞。企业网络最关注的是系统或软件漏洞引发的网络与信息安全问题。漏洞是黑客入侵与渗透的主要“通道”之一,企业既面临程序开发导致的漏洞,也有协议架构或系统管理流程上的漏洞,还有硬件上的漏洞。
(2)还应关注其他网络攻击事件的应急响应,如信息泄露、分布式拒绝服务(DDoS, Distributed Denial of Service)攻击、病毒木马。
(3)对于跨区域大型企业,由于其内部网络的复杂度高,比如各地分部、分支办事机构之间的网络互联,将使企业网络安全应急响应复杂度、隐患排查难度大大提高。
5、无责任主体突发事件。一些网络安全突发事件并不涉及具体的责任主体,不是政府部门、社会组织机构或企业团体,但会使国家、政府、企业、社会组织实体等受到影响。此类无责任主体网络安全紧急事件和上述全国性网络安全应急响应事件类型有相似之处,但也存在其独特表现。
(1)全球性网络安全事件,导致中国也成为突发事件的受害方,影响国家、机构、企业、个人等使用开放的互联网或内部网络。
(2)此类网络安全事故偶然性更加明显,例如OpenSSL漏洞、境外黑客组织的DDoS攻击、Internet根域名服务器故障等冲击我国网络正常运行等。这类事件,虽不用我国承担主要的应急响应任务,但是跨国合作、内部督查、排除隐患的工作依然需要力行。
三、网络安全应急响应发展趋势
(一)“互联网+”时代的网络安全应急响应
2015 年两会期间,“互联网+”这一概念被国家正式提出。根据中国互联网络信息中心(CNNIC)统计的数据,截至2018年6月30日,我国网民规模达8.02亿,普及率为57.7%。其中,手机网民规模已达7.88亿,网民通过手机接入互联网的比例高达98.3%。计算机、PAD、手机都已成为工作、生活中的必备设备。我们已经进入“互联网+”时代,因此网络安全应急响应也呈现出新的趋势。
以往网络安全应急响应只和电信运营商、互联网企业和大众网民用户相关,但是随着“互联网+”时代到来,互联网成为很多社会生产的重要组成部分,而且越来越多的企事业单位采用网络化办公,网络安全应急响应已经不再局限在传统应急通信技术领域,也不再仅仅是国家公共安全管理部门的职责,而是成为各行各业企业、机构日常管理的一部分。
在“互联网+”各行各业的时代背景下,不论是商业贸易企业,还是生产制造企业,甚至大型农场合作社,都已经和互联网发生千丝万缕的联系,一旦网络安全出现问题,造成企业网络中断、运作失灵、知识产权泄密,有可能造成企业关门倒闭。即使企业没有致命的损失,也会造成企业声誉的不良影响。
同时,网络化的实体企业越来越多,他们各自行业背景不同,会产生定制化的应急响应服务需求。由于绝大多数企业本身不具备高级别的专业技术能力,而常备应急技术与人力资源也是成本负担,因此向外部寻求安全应急服务采购,成为企业法人处置网络安全重大事故的最佳选择。这也需要我国本土网络安全技术厂商成长壮大,达到与国际网络安全厂商看齐的技术与产品实力,在保障我国企业组织的网络安全发挥关键支撑作用。
因此,在“互联网+”的新时期,网络安全应急响应的规划与落实逐步成为大型企业的“必修课”。越来越多的大型企事业单位,特别是经营传统业务的大型企业、跨地区运营的公司,也在探索建立其内部办公网络、业务承载网络的安全应急响应工作机制。
综上所述,随着网络和信息化的普及应用,网络安全已经不仅影响我们在网络空间的虚拟“上网”生活(玩游戏、看电影、读新闻…),而且影响实际的生产经营企业,对实体企业的影响不限于断网,而是企业的核心资产和生存能力,并且未来在“互联网+”彻底覆盖我们日常生活方方面面的时候,网络安全的影响将迅速扩大到我们生活在网络和现实融合时空之内的绝大多数场景。如下表所示。
网络安全应急响应管理
(二)获取“威胁情报”成为网络安全应急前沿趋势
不论是企业还是机构,未来将面临的一个重要网络安全问题是,企业内网络安全的防护不再是孤立的,而是和整个互联网安全状况和突发网络安全事件紧密联合起来。例如,对企业而言,虽然内网的数据不允许向外流出,但一旦某类黑客攻击发生在同类型企业或者使用相同信息系统架构的企业或组织,那么该企业将很有可能面临被攻击。
威胁情报的概念也是基于上述情况而提出。因此出现较晚,业界对威胁情报概念的理解各不相同。例如,有人认为“样本库”可称为情报,也有人认为“黑名单”是情报,而一些公开资料中提到的网络安全信息共享也被认为是威胁情报的早期版本。
国际上也有网络安全研究机构给出“威胁情报”的专业定义(如 Gartner)。国内也有学者提出了威胁情报的六大要素(采集、关联、归类、整合、行动、分享)和4个阶段(广覆盖收集有效信息、分析处理与生产、行动实施、生态圈分享)。
对威胁情报的理解:依赖证据知识,包含情境、机制、影响和应对建议,威胁情报可以第一时间诊断出存在或者正在显露的威胁或危害资产的行为。威胁情报的目的就是实现“早、快、准、全”的安全隐患监测和警报。
如果企业能及早了解熟悉上述威胁情报信息,就可以为有效防范和采取应急措施赢得时间。而企业面对网络黑客攻击特别是一些严重的计算机犯罪行为,如能提前预知、提前响应,则可能避免系统崩溃、业务崩溃、高价值数据丢失等“灭顶之灾”。
目前,威胁情报的应用主要分为以下3个方面。
1、定位网络威胁行为
利用云端大数据分析平台,对数据和情报进行收集、处理,综合以后形成有效的威胁情报,通过产品的方式建立客户侧的轻量级数据平台,从而接收威胁情报推送,快速定位攻击行为。
2、获取网络安全舆情
通过对国内外知名的大众论坛(博客、Twitter)进行安全专项舆情监测,提前做到同类可疑安全问题的尽早防范。例如当有国外论坛讨论“泄露”怎么应用,以及对“某个漏洞是否好用”、“可以做免杀”等话题的讨论明显集中出现在某个“虚拟讨论区”,尽管国内还没有充分意识到这个问题,但可以通过威胁情报系统提前帮助机构或企业尽早部署预防。另外,大规模网络攻击(包括DDoS攻击,大规模Web攻击)的情况也可以实现舆情态势监测,帮助政府或企业了解关心的情况。
3、关联漏洞平台
由于机构或企业面临的漏洞威胁日益严重,因漏洞而导致的经济损失越来越大,所以获取的威胁情报的第三个价值就是关联漏洞平台,从而及时排查漏洞隐患、及时修补改进。企业和机构可以从威胁情报系统中得到包括漏洞安全播报、安全状况简报等信息内容。
全面、及时、准确获取威胁情报,将为大型项目网络安全应急响应提供坚实保障。比如承办奥运会、亚运会,召开APEC、亚信上合组织峰会,以及举行阅兵和全国两会会议期间的威胁情报可以让特定时期内网络安全应急响应工作有的放矢,保持最大的主动性。
根据当前网络安全业界的实践状况,已经有网络安全厂商提出“企业威胁情报”“态势感知”等概念,并已经开发出相应的技术和产品,投入生产实践。总体上看,威胁情报将会对未来国家、机构、企业、大型项目活动的网络安全应急响应产生显著影响,威胁情报也代表了网络安全应急响应技术与实践的方向和发展趋势。随着业界和机构、企业用户对威胁情报的认识和实践的理解不断加深,威胁情报理念对网络安全应急响应技术与实践的进一步完善和成熟将产生更大的促进作用。
四、结语
近几年来,不管是突发公共安全事件,还是网络安全事件,应急响应得到高度重视,并且为保障我国经济社会稳定、人民群众安居乐业发挥重要作用。在网络信息安全领域,网络安全应急响应逐步受到政府、机构组织、企业的重视。网络安全应急响应技术、应急响应设计平台在各个行业和各级政府不同层级上开始开发与建设。
首先对一般意义的应急响应做了概述,值得一提的是,我国2007年公布的《中华人民共和国突发事件应对法》标志着应急响应管理发展到了新的阶段。但网络安全应急响应具有其特殊的性质,且由于网络安全问题比较新、比较复杂,在实践中尚未形成公认一致的应急响应模型,但是业界也在不断探索,并取得了一定的应用成果。本文在对网络安全概念辨析、应急响应应用状况分析之后,介绍了现代网络安全应急响应技术,并对未来应急响应技术发展趋势做了分析。最后对国家或地区协同响应平台的一体化的建设进行了介绍,并对国家或地区协同响应案例做出了分析。
微信公众号:计算机与网络安全
ID:Computer-network
【推荐书籍】