信息安全應(yīng)急響應(yīng)(相關(guān)知識)

時間：2022-10-10 22:30:01 | 來源：信息時代

時間：2022-10-10 22:30:01 來源：信息時代

    信息安全應(yīng)急響應(yīng) : 一個組織為了應(yīng)對各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的安全保障措施。應(yīng)急響應(yīng)的開始是由于“事件”的發(fā)生。所謂“事件”或“安全事件”在信息安全領(lǐng)域特指那些影響計算機系統(tǒng)和網(wǎng)絡(luò)安全的不當(dāng)行為。系統(tǒng)或網(wǎng)絡(luò)安全事件造成的損失往往是巨大的,而且多在較短的時間內(nèi)發(fā)生,故應(yīng)對事件的關(guān)鍵是速度與效率。
應(yīng)急響應(yīng)過程主要涵蓋三種角色:①事件發(fā)起者,簡稱為“入侵者”,泛指一切造成事件發(fā)生的角色。②事件受害者,簡稱為“受害者”,是承受事件的一方,在事件中也是保護的對象。③進行應(yīng)急響應(yīng)的人員,簡稱為“響應(yīng)者”,有可能是與受害者同屬一個實體的,但更多情況下,響應(yīng)者來自專業(yè)的響應(yīng)組織。
1988年11月,莫里斯蠕蟲(Morris worm)事件后一周,美國成立了全球最早的信息安全應(yīng)急響應(yīng)組織——計算機應(yīng)急響應(yīng)工作組(Computer Emergency Response Team,CERT),對計算機安全方面的事件做出反應(yīng)、采取行動,并作為國際應(yīng)急響應(yīng)的骨干組織成立了計算機事件響應(yīng)與安全工作組論壇(Forum of Incident Response and Security Teams,FIRST),積極開展相關(guān)培訓(xùn)工作。自此,不僅美國各有關(guān)部門紛紛成立自己的計算機安全事件處理組織,世界上其他國家和地區(qū)也紛紛成立應(yīng)急組織。1999年9月,中國國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC)成立,2002年8月成為計算機事件響應(yīng)與安全工作組論壇正式會員,逐步形成了一個涵蓋全國的網(wǎng)絡(luò)安全監(jiān)測中心、預(yù)警中心和應(yīng)急中心。
應(yīng)急響應(yīng)的作用主要表現(xiàn)在未雨綢繆和亡羊補牢兩個方面:一方面是事先的充分準(zhǔn)備。這方面在管理上包括安全培訓(xùn)、制定安全政策和應(yīng)急預(yù)案以及風(fēng)險分析等,技術(shù)上則要增加系統(tǒng)安全性,如備份、打補丁(Patch)、升級系統(tǒng)與軟件,有條件的可以安裝防火墻(Firewalls)、入侵檢測系統(tǒng)(IDS)和殺毒工具(Antivirus)等。另一方面是事件發(fā)生后采取的抑制、根除和恢復(fù)等措施。其目的在于盡可能地減少損失或盡快恢復(fù)正常運行。如收集系統(tǒng)特征,檢測病毒、后門等惡意代碼,隔離、限制或關(guān)閉網(wǎng)絡(luò)服務(wù),系統(tǒng)恢復(fù),反擊,跟蹤總結(jié)等活動。
應(yīng)急響應(yīng)的重要性不僅體現(xiàn)在它是整個安全防御體系中一個不可或缺的環(huán)節(jié),更重要的是一個有效的應(yīng)急響應(yīng)機制對于事件發(fā)生后穩(wěn)定局勢往往起到至關(guān)重要的作用,是發(fā)生事件后使局面避免陷入失控狀態(tài)的有力保證。