我的《信息保卫战》读书笔记：安全事件响应

事件响应的幵始是因为有“事件”发生，所谓“事件”指的是那些影响企 业正常运转的不当行为，或者危害企业利益的破坏行为。企业安全事件造成的 损失往往是巨大的，而且往往是在很短的时间内造成的。因此，安全事件应急响应的关键是速度与效率。

安全事件响应是根据当前的安全事件监控，以及后续风险评估，及时调动 有关资源作出响成，降低潜在的安全威胁对企业网络与应用信息系统的负面影响，实现了安全事件监控从采集、处理、告警到人工运维处理的自动化和流程 化管理。对安全事件风险进行预警通知，并在安全事件响应模块里进行响应处 理，实现了安全风险与安全事件响应的紧密联系。

一、概述

所谓安全事件应急响应，通常指企业为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。在本节中，安全事件的应急响应指的是 应急响应组织根据事先对各种可能情况的准备，在安全事件发生后，响应、处 理、恢复、跟踪的方法及过程。下面依次简述安全事件应急响应的对象、作用、行为和必要性。

1. 安全事件应急响应的对象

安全事件应急响应的对象泛指针对计算机和网络所处理的信息的所有安全 事件，事件的主体可能来自人、故障、病毒与蠕虫或者自然灾害等。应急响应的对象广义上还包括扫描等所有违反安全政策的事件，它们也称为应急响应的 客体。对于企业一般的应急响应过程中会出现至少三种角色：事件发起者、事 件受害者和进行应急响应的人员，分别简称为“入侵者”、“受害者”和“响应者”。

2. 安全事件应急响应的作用和行为

安全事件应急响应的作用主要表现在事先的充分准备和事件发生后采取的措施两个方面。一方面是事先的充分准备，企业信息安全管理体系中的安全培 训、制定安全政策和应急预案以及风险分析等，安全技术上则要增加系统安全 性，如备份、部署安全产品等。另一方面是事后采取的抑制、根除和恢复等措施，其作用在于让企业尽可能地减少损失或尽快恢复正常运行。

3. 安全事件应急响应的必要性

安全事件应急响应是一种被动性的安全体系，是持续运行并由一定条件触发的体系。首先，发生过的安全事件已经给企业造成惊人的损失并显示出巨大 的危害性，而且随着企业对网络和业务系统的依赖性增加，安全事件给企业造 成的破坏也随之增大；其次，从企业信息安全管理的角度上考虑，并非所有的实体都有足够的实力进行信息安全管理。因此，作为补救性的安全事件应急响 应是必不可少的。

二、需求分析

对于信息系统的安全而言，我们追求的是防患于未然而不是亡羊补牢，只要有可能，我们就应该尽可能地去主动防止安全事件的发生。然而，我们不可 能预防所有的安全事件。一旦安全事件发生，我们首先要做的就是及时响应， 将安全事件的影响最小化。对于这一点，仅仅依靠安全防护产品的自动化防御是不够的。比如，安全防护产品无法防止由于人为错误导致的安全事件。

由于信息系统及相关系统的复杂性和互相关联，为了实现有效的安全事件 响应，必须考虑以下方面的工作制定安全事件响应计划、组建安全事件响应小 组、确定团队人员角色等。另外，安全事件响应本身还有着突发性强，对处理人员的综合技术和专业能力要求高等特点，这些都对企业信息系统的管理者提 出了不小的挑战。

企业在进行信息安全建设到一定阶段后，已经采购了大部分的安全产品并 部署，然而网络中仍然存在比较多的安全问题，而这些安全问题导致已有的安 全投资效果并不明显，无法解决企业网络中出现的安全事件，使得企业对安全事件应急响应建设有了一定的要求，主要从以下四个方面分析：

1. 如何快速响应突发的安全事件

企业部署的安全设备起不到应有的作用，无法全部解决网络中频繁出现的 安全事件，企业网络中一旦出现安全事件时，企业安全管理人员不能及时发现，也无法及时处理。

2. 如何建全响应措施，降低企业损失

企业安全管理人员无法全面了解整个企业网络中正在发生的内部越权访问 和外部攻击，新出现的网络蠕虫病毒造成了较大的损失，甚至造成工作和业务的停顿，但无法根除，也缺少必要措施应对。

3. 如何规范响应制度，实现响应专业化管理

在企业网络出现问题的情况下，企业安全管理人员无从下手或者手忙脚乱， 也没有相应的机制、制度指导该如何处理，无法迅速查明真正的原因。

4. 如何统筹全局，建立企业安全事件响应体系

企业各个单位各自为政，对遇到的安全问题无法进行统一考虑，导致同样 的安全问题多次出现，同时缺少统一规范的快速处理措施及流程。各自为政的单位的随意性，使得企业无法建立统筹全局的安全事件响应体系。

三、安全事件响应的具体工作

为了能够合理、有序地处理安全事件，将安全事件响应划分为六个阶段：准备、检测、抑制、根除、恢复、追踪，企业可以根据响应政策对每个阶段定 义适当的目的，明确响应顺序和过程。其中主要的响应步骤是抑制、根除和恢 复，抑制的目的在于限制攻击范围，限制潜在的损失与破坏，在安全事件被抑制以后，应该尽快找出安全事件根源并彻底根除；然后进行网络和业务系统恢 复，恢复的目的是把所有受侵害的业务系统、应用、数据库等恢复到正常的运 行状态。

1.安全事件响应小组的创建与管理

对于保障企业信息系统的安全来说，不存在单一的解决方案，而需要一种 多层次的安全管理策略。在这些安全层次当中，建立安全事件应急响应小组己 经成为必要的工作了。响应小组的创建和管理对安全事件响应工作是非常重要的，许多事件响应工作的失败就是因为在创建和管理应急响应小组方面出现了 问题。

2.  制定标准的安全事件响应措施与流程

企业需要通过专业信息安全咨询，规范、标准化所有安全事件响应措施，

以及安全事件响应流程，严格要求企业信息安全响应小组进行规范化的管理、运作。企业还需要统一规范安全事件报告格式，建立及时精确的安全事件上报 体系，并在此基础上，进一步研究针对各类安全事件的响应对策，从而建立一 个专业安全事件应急响应体系，完善安全事件应急响应知识库。

3.  安全事件响应的具体工作步骤

(1)记录日志：当发生安全事件时，企业首先需要对环境现场进行记录， 对事件的影响进行详细描述。安全事件日志对于安全事件的识别、处理和调查 非常重要，安全事件可能在其刚刚发生时就暴露，也可能在发生的过程中或发生以后才被发现，因此所有安全事件都应该有一份书面的经过调查证明足够客 观的日志，而且应该把日志妥善保存以免被修改。另一方面，在线日志很容易 被修改和删除，手工记录是很有必要的。

(2)分析确认：企业根据记录的安全事件描述，结合前期进行过的安全检 查、安全监控与审计，以及网络状况，进行分析和判断。也可以通过工具直接 进行测试，结合当前扫描、探测、实时监控和审计的结果进行分析，可以更容易定位出问题所在。

(3)事件处理：事件响应最主要的任务之一就是维持或恢复组织的运作。 因此，一旦发生意外事件，如何防止攻击或损害事件的扩大是其主要的目标， 相关人员在现场或者远程依照不同事件类型进行事件处理。事件处理过程中，要对每个处理的动作进行详细记录。

(4)系统恢复：在处理了事件以后，就要对系统进行恢复，使企业业务重 新运转。如果系统在故障点有备份，被攻击的系统就用备份来恢复；应该从系 统中彻底删除诸如受到感染的文件；如果调整了网络或安全产品，要把所有安全上的变更做记录。

事后分析与跟踪：在安全事件处理完毕，所有系统恢复正常以后，应该针对事件进行分析。集中企业所有相关人员来讨论所发生的安全事件以及得 到的经验教训，对现有的一些流程进行重新评审，并对不适宜的环节进行修 改。在安全事件处理后的一段时间内，企业应该密切关注系统恢复以后的安全状况，特别是曾经出问题的地方。