第1章 网络安全应急响应技术概念
1.1 网络安全应急响应技术概述
1.1.1 网络安全应急响应含义
“未雨绸缪”“亡羊补牢”“吃一堑,长一智”,这三个成语很好地反映了应急响应的主要思想,一般来说,应急响应机制是由政府或组织推出的针对各类突发公共事件而设立的各种应急方案,目的是减少安全事件发生时所造成的损失。应急响应系统则是指为应对突发事件,将生产要素按一定的组织形式,以实现社会系统安全保障功能为目的而建立的整体系统。应急响应的主体通常是公共部门,如政府、大型机构、基础设施管理经营单位或企业等,而由于组织信息化的不断推进、网络系统本身的自治性特点,加之《中华人民共和国网络安全法》(以下简称《网络安全法》)等法律法规在网络安全方面的要求,目前网络安全方面的应急响应形成了国家、省级、行业、组织“统一领导、多级管理、自主负责”的体系。随着我国应急响应管理体制机制建设不断完善,应急管理和保障、应急技术和系统平台的应用逐步完备。
网络安全应急响应就是在对网络安全态势、组织的网络系统运行情况和面临的威胁有清楚的认识的情况下,在管理、技术和人员方面进行计划和准备,以便网络安全事件突发时,能够做到有序应对和妥善处理,降低组织的损失,并能够根据这些经验改进组织应对网络安全突发事件的对策和计划。网络安全具有整体性、动态性、开放性、相对性的特点。对于组织来讲,整体性是指网络安全保障与组织的业务形态、其他合作利益相关方的联结、组织的整体安全均有密切关系;动态性是指组织采用的信息技术和组织的业务系统本身均处于不断发展之中,网络安全的威胁来源和攻击手段不断变化;开放性是指互联网本身就是没有物理边界的,而且随着信息化的推进,以往隔离的网络也逐步在物理上或逻辑上与互联网联结;相对性是指由于计算机和信息系统本身的基因决定了没有绝对的安全,威胁源所能调动的资源和开展攻击的动机,组织能够接受的安全成本决定了安全的上限。网络安全应急响应工作正是在组织树立了这些正确的网络安全观后,采取合适的应对策略和措施,保障自身业务信息系统连续性的重要支撑。
总的来说,网络安全应急响应就是组织为了应对网络安全事件(威胁),事前采取的准备,事件发生时采取的反应和事件发生后进行的善后处置的活动总和。组织为了应对网络安全事件,事前应该准备什么,需要哪些资源,网络安全事件发生时如何快速发现和定位,应该采取什么样的处置方式,事后如何优化自己的网络安全应急工作,这三方面均有深刻的内涵,组织所面临的安全风险来自外部威胁和内部隐患,而事件的发生有可能是恶意的攻击,也可能是意外的误操作,因此,对自身的信息资产、信息资产对业务的支撑情况、网络安全威胁的演变和目前各类威胁的态势等均需有清楚的认识,并总结以往的经验和借鉴其他组织或自身的最佳实践,定义正确的总体安全策略,才能真正做好准备;网络安全事件发生时,如何尽早发现,保护机制是否完善,应急工作启动后的流程是否清晰,所采取的处置方式是否有技术系统支持,均决定了事件发生时的活动有效性;事后是否有完善的总结机制(包括对总结活动本身),能否对网络安全事件发生时的活动进行详细的回溯和判定,是改进工作计划和处置方式,形成网络安全应急响应闭环的关键工作;而应急演练则避免了纸上谈兵
,演练的目的和范围(验证新技术或检验整体工作)、所采用的形式(采用的是桌面推演方式还是红蓝军对抗)决定了演练的效果。
网络安全应急响应在很多国家被称为安全事件应急响应,因为所有威胁利用客体系统的脆弱点(漏洞)造成的损害均以安全事件的形式发生。本书所指的网络与《网络安全法》中的概念一致,并不是由连接设备和线路组成的数据传输系统,而是表示所有设备和数据、人员及这三者的交互关系整体域,即“网络空间”。而应急响应本身也有广义和狭义两种内涵,从广义上来讲,从风险分析、安全检查到安全体系的构建、灾难备份等都包含在事前工作中,安全事件的处置和事后的灾难恢复等所有工作均包含在应急响应概念中;从狭义上来讲,应急响应只是为应对网络安全事件所做的具体的准备,比如数据、工具、人力和计划方面的准备,以及事件发生时的处置和事后针对性的总结。本书默认只讨论狭义上的应急响应技术范畴。但也会在第1章对广义的应急响应概念所涉及的技术进行简介。另外,网络安全保障工作发展到今天,可以用三种不同的视角来看待网络安全应急响应:
(1)国家和政府的视角
重点关注应急响应的体系和相应的标准建立,指导各组织开展应急工作,对重大的安全事件和隐患进行通报。
(2)业务单位的视角
重点关系自身应急组织和流程的建立,部署相关技术系统和构建完善的管理体系,保障业务的正常运行。
(3)安全服务提供者的视角
为组织提供安全预警和监测服务,重点在于安全事件发生时的处置和报告工作,并为组织提供安全建议。
目前,各类重大活动的网络安全保障工作,可以看作将业务单位和安全服务者的视角进行融合,在特定的时间和地点,为特定的系统提供广义概念上的应急响应服务。
“没有网络安全就没有国家安全”“安全保发展,发展促安全”,随着《国家网络空间安全战略》的发布,加之近年来勒索病毒、数据泄露等网络安全事件频发,对组织带来的损害越发严重,网络安全应急响应工作得到国家层面、行业层面和组织层面越来越多的重视。
1.1.2 网络安全应急响应法律法规与标准
2003年7月,国家信息化领导小组根据国家信息化发展的客观需求和网络与信息安全工作的现实需要,制定出台了《关于加强信息安全保障工作的意见》(中办发27号文件),文件明确了“积极防御、综合防范”的国家安全保障工作方针。该意见指出“国家和社会各方面都要充分重视信息安全应急处理工作。要进一步完善国家信息安全应急处理协调机制,建立健全指挥调度机制和信息安全通报制度,加强信息安全事件的应急处置工作。”2016年12月,经中央网络安全和信息化领导小组批准,国家互联网信息办公室发布了《国家网络空间安全战略》,该战略指出“坚持技术和管理并重、保护和震慑并举,着眼识别、防护、检测、预警、响应、处置等环节,建立实施关键信息基础设施保护制度,从管理、技术、人才、资金等方面加大投入,依法综合施策,切实加强关键信息基础设施安全防护”,明确了“做好等级保护、风险评估、漏洞发现等基础性工作,完善网络安全监测预警和网络安全重大事件应急处置机制。”的重点任务。2017年6月1日开始施行的《网络安全法》第五章对监测预警与应急处置方面的组织机构、主体责任和工作机制做出了明确的法律规定。中央网信办随即下发了《国家网络安全事件应急预案》,对网络安全应急响应的组织机构与职责、监测与预警、应急处置、调查与评估及准备工作和保障措施均做了详细的规定。上述法律和规定体现了国家层面在网络安全应急响应方面的国家意志。为了构建国家网络安全应急体系和指导组织建立和完善网络安全应急机制,国家陆续出台了一系列标准。目前,与网络安全应急响应有直接关联的指南和国家标准主要包括:
·GB/Z 20985—2007《信息技术安全技术 信息安全事件管理指南》。该指南对安全事件相关术语、信息安全事件管理的目标和过程及关键问题进行了定义。
·GB/Z 20986—2007《信息安全技术 信息安全事件分类分级指南》。该指南对信息安全事件分类依据和方法、分级依据和具体级别给出了明确的指导。
·GB/T 20988—2007《信息安全技术 信息系统灾难恢复规范》。该标准对信息系统灾难恢复的策略制定和实现及其相关指示和方案做了具体的描述,是应急响应中的系统恢复工作的理论依据。
·GB/T 24363—2009《信息安全技术 信息安全应急响应计划规范》。该标准对信息安全应急响应计划的编制、计划中对组织机构、工作流程和保障措施提出了明确的要求。
·GB/T 28517—2012《信息安全技术 网络安全事件描述和交换格式》。该标准对网络安全事件描述和交换格式的基本数据类型、具体格式、扩展和实现进行了定义,并给出了具体实例。
2017年国家标准化管理委员会对2007年发布的《信息技术 安全技术 信息安全事件管理指南》进行了重新修订,成为指导性国家标准,并于2018年7月实施,等同采用了ISO/IEC的27035系列标准,对相关术语、流程和活动重新定义和调整,做到标准化的与时俱进。该标准包括三个部分:事件管理原理、事件响应规划和准备指南、事件响应操作指南,其中第2、3两部分的标准计划将于2020年左右发布(截至本书定稿时,第2、3两部分已发布征求意见稿)。其他与信息安全事件相关的标准(如信息安全事件调查方面)也在建立和完善之中。
另外,由于网络安全保障工作的整体性,其他与网络安全事件相关的标准,如GB/T 20984—2007《信息安全技术 信息安全风险评估规范》、GB/T 30276—2013《信息安全技术 信息安全漏洞管理规范》等,也对组织开展网络安全应急体系和机制的建设具有参照和指导作用,因篇幅有限,不做详细介绍。