数据安全：网络安全事件

第一、 建立负责安全事件应急的职能部门

  各组织机构或各单位、需要设立专门负责安全事件应急管理和响应的岗位，由相关人员落实数据安全工作责任制，把责任细化到具体部门、具体岗位和个人，并建立健全的应急工作机制，从而加快应急制度的建设和完善，规范应急处置的措施与操作流程，明确网络安全应急响应工作的角色和职责，实现应急响应工作的规范化、制度化和流程化。

第二、明确安全事件应急岗位的能力要求

  数据安全事件应急管理岗位的相关人员应能满足以下两个方面的能力要求。

具备对安全事件的判断能力:安全事件应急人员需要能够理解哪些突发事件属于数据安全事件，并能根据事件类型和当前影响明确判断其严重等级，以便进行不同级别的响应和操作。

具备对安全事件应急响应的实践能力:安全事件应急人员需要具备应急响应实战动手的能力，对于数据安全事件，要能根据事件的严重等级和影响范围，第一时间进行应急响应处置操作，以尽可能大地降低实际损失。

第三、 安全事件应急岗位的建设及人员能力的评估方法

  组织数据安全事件应急管理岗位的建设和对应人员实际执行能力的评估，可通过内部审计、外部审计的形式，以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。

3.1 调研访谈

   安全事件应急阶段的调研访谈，需要针对策略层、管理层和执行层各层级人员分别进行，具体访谈内容如下:

   访谈策略层、管理层和执行层各层级人员，确认组织机构是否已经设立了专职负责数据安全事件管理和应急响应的岗位，访谈上述岗位人员确认其是否具备安全事件判断能力并了解相关应急响应处置措施，确认相关岗位人员是否具有足够的能力胜任该工作。

3.2 问卷调查

   数据安全事件应急管理阶段的问卷调查，通常是采用以下两种方式来进行。

对负责数据安全事件管理和应急响应部门的相关人员进行问卷调查，调查内容主要侧重于考察相关人员是否具备足够的安全事件判断能力，并了解相关应急响应处置措施，确认其是否具备足够的能力胜任该工作。对安全事件应急管理阶段的调研访谈流程进行问卷化处理，并通过问卷调查来确认组织安全事件的应急流程与对应人员的能力要求是否相符。

  对各部门的领导层和基层员工进行问卷调查，调查内容包含确认部门是否会定期进行与日常数据安全事件应急相关的安全意识培训、测试相关演练的实际执行情况，确认数据安全事件应急流程是否真的能够进行定期测试和实践，是否符合组织的当前发展需求，是否合理且全面地覆盖了应急时应该关注的点，从而确认组织数据安全事件应急能力的实际执行情况。

3.3 流程观察

   数据安全事件应急阶段的流程观察方法比较特殊，通常是在组织内部进行安全事件应急响应演练的过程中，以中立的视角观察各岗位人员在演练过程中是否能够充分理解自身的职责，并能快速有效地完成相关职能工作，以确认组织实际安全应急响应能力是否存在效率低下、分工职责不明或预期规章流程实际无法实现等问题。

3.4 技术检测

   数据安全事件应急阶段的技术检测方法也比较特殊，通常是在组织内部进行安全事件应急响应演练的过程中，对演练项目目标系统的实时数据指标进行技术监控，记录安全事件发生前系统的正常流量、响应时间、吞吐量等实时数据指标，并在模拟事件触发和模拟演练过程中实时监测相关数据，确认从事件触发到应急响应的持续时间，以及应急响应过程中指标的恢复情况，应急响应的操作和方法对目标系统的止损和恢复是否能够实现预期期望，从而评价对应安全事件应急操作的可执行性。

第四、 制定应急预案与处理流程

   安全事件应急管理的内容具体包含制定应急预案与处理流程，以及确认应急预案对政策的符合性等，下面先来看看如何制定应急预案，以及相应的处理流程。

组织机构应制定（或在原有信息安全事件处置中新增）数据安全类事件的应急预案和处置流程，下面就来简单介绍几类较为常见的情况。

  黑客攻击或软件系统遭到破坏性攻击时的应急预案与处置流程具体如下。

 1、重要的软件系统平时必须要存有备份，与软件系统相对应的数据必须存有多日的备份，并将它们保存于安全之处。

 2、当管理员通过入侵监测系统发现有黑客正在进行攻击时，应立即向组织信息中心或相关职能部门报告。当软件遭到破坏性攻击（包括严重病毒感染）时，系统应停止运行。

 3、管理员首先要将被攻击（或病毒感染）的服务器等设备从网络中隔离出来，以保护现场，降低其他设备及数据的风险损失，并及时向组织或相关职能部门报告情况。

 4、组织应急响应相关部门需要负责恢复与重建被攻击或被破坏的系统，恢复系统数据，并及时追查非法信息来源。

  事态严重的，应立即向组织安全领导层报告，并向相关部门报告。
4.1、 数据库发生故障时的应急预案和处置流程具体如下。
 1、主要数据库系统应定时进行数据库备份。

 2、一旦发生数据库崩溃的问题，管理员应立即进行数据及系统修复，修复困难的，组织可向外包技术服务公司咨询，以取得相应的技术支持。

 3、无法修复的，应向组织信息安全领导层报告，在征得许可的情况下，可立即向软硬件提供商请求支援。

4.2、数据系统硬件设备发生故障时的应急预案和处置流程具体如下。

 工作终端、服务器等关键设备损坏后，应立即向组织相关职能部门报告。

组织相关职能部门负责人员应立即查明原因。

 1、如果能够自行恢复，则应立即用备件替换受损部件，以保护数据系统中数据的可用性和完整性。

 2、如果不能自行恢复，则应立即与设备提供商联系，请求提供商派维护人员前来维修。

 3、如果设备一时无法修复，则应及时向组织信息安全领导层报告，并告知涉及对应数据系统的各业务部门，暂缓上传上报数据或使用数据，直到故障排除、设备恢复正常之后再使用。

4.3、机房发生火灾时的应急预案和处置流程具体如下。

 1、对于机房发生火灾的意外情况，应遵循以下优先原则：首先保证人员安全；其次保证关键设备和数据的安全；最后保证一般设备的安全。

 2、人员灭火和疏散的流程如下：值班人员应首先切断所有电源，同时拨打119电话报警。值班人员应戴好防毒面具，从最近的位置取出灭火器进行灭火，其他人员应按照预先确定的路线，迅速从机房中有序撤出。

第五、 应急预案应符合政策要求

  组织机构设定的数据安全事件应急响应机制，应符合国家有关主管部门的政策文件要求。

2017年6月，中央网信办公布了《国家网络安全事件应急预案》。《中华人民共和国网络安全法》第五十三条要求，国家网信部门应协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。这里的预案制定便可参考《国家网络安全事件应急预案》相关内容。同时，《中华人民共和国网络安全法》要求，网络运营者应当制定网络安全事件应急预案；负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案。这些预案都要在《国家网络安全事件应急预案》的总体框架下分别制定。

  组织机构在建立应急响应机制时，应充分考虑上述要求并将其作为自身机制编制依据，以符合《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《国家突发公共事件总体应急预案》《突发事件应急预案管理办法》和《信息安全技术 信息安全事件分类分级指南》（GB/Z 20986-2007）等相关规定。

第六、使用技术工具

  信息安全事件是指由于自然或人为的，以及软、硬件本身缺陷或故障引起的，对信息系统造成危害的，或者在信息系统内发生的会对社会造成负面影响的事件。对信息安全事件进行有效的管理和响应，是组织机构安全战略的一部分。应急响应是指组织机构为了应对突发或重大信息安全事件所做的准备，以及在事件发生后所采取的措施。应急响应工作是我国信息安全保障工作的重点之一，所以组织应当建立统一的安全事件管理系统工具，以便在安全事件发生前、发生时或发生后对安全事件生命周期进行管理，同时辅助进行安全事件的分析和溯源等工作。

第七、 PDCERF模型

  PDCERF模型是由美国宾夕法尼亚匹兹堡软件工程研究所于1987年在关于应急响应的邀请工作会议上提出的。如图1所示，PDCERF模型将应急响应分成准备（Preparation）、检测（Detection）、抑制（Containment）、根除（Eradication）、恢复（Recovery）、跟踪（Follow-up）六个阶段的工作，并根据网络安全应急响应总体策略对每个阶段定义适当的目的，从而明确响应的顺序和过程。

准备阶段：该阶段主要是以预防为主。在准备阶段，组织机构需要制定与安全事件应急响应相关的制度文件和处理流程，组建应急响应小组并明确各岗位人员的职责，维护组织资产清单并明确各资产负责人，同时为应急响应过程提前准备所需要的资源。准备阶段的意义在于当安全事件发生时，可以以最快的速度安排人员根据制定好的流程进行应急响应工作。

检测阶段：该阶段主要是对捕获到的安全事件进行检测工作。检测工作包括对安全事件的确认，即确认安全事件是否已经发生；评估安全事件的危害和影响范围；对安全事件定级定性；调查安全事件发生的原因、取证追查、漏洞分析、后门检查、收集数据并分析等。例如，当主机发生CPU异常高使用率事件时，检测工作需要利用进程检测、网络连接检测等工具确定主机是否已感染病毒，并确定感染的主机数量，病毒是否已经进行横向攻击，以及病毒是利用何种漏洞进行攻击的，等等。

抑制阶段：该阶段的工作主要是控制安全事件的影响范围大小。中断安全事件的影响蔓延，以防止它影响到其他组织内的IT资产和业务环境。当发生勒索病毒、蠕虫病毒等安全事件时，受到感染的机器应及时从组织网络环境中下线。需要注意的是，抑制阶段需要综合考虑抑制效果与其对业务影响的平衡。

根除阶段：该阶段需要对检测阶段中找到的引起安全事件的漏洞或缺陷等进行修复，并对安全事件中遗留的攻击痕迹（如后门漏洞、病毒文件等）进行彻底清除。

恢复阶段：漏洞修补、痕迹清除等工作完成之后，受到影响的业务资产需要进行恢复上线的操作。恢复上线前应该对业务资产进行安全测试和复查等工作，防止因修复不完全而导致恢复上线后再次发生被攻击的安全事件。

跟踪阶段：该阶段通过工具、安全设备等手段监控安全事件是否已经得到有效的处置，确定是否存在其他的攻击行为和攻击向量。同时，跟踪阶段还应总结安全事件的处置流程，改进工作中存在缺陷的点，完善应急工作制度，并输出完善的安全事件应急响应报告。

  安全事件应急管理技术工具的设计需要遵循PDCERF模型的六个阶段来进行。

第八、态势感知技术

  态势感知技术是一种基于整体环境动态洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终都是为了更好地进行决策与行动，是安全能力的一种落实方式。态势感知的概念最早起源于军事领域，包含感知、理解和预测三个层次，如今随着网络的兴起而升级为“网络态势感知”。网络态势感知的目的是在大规模网络环境中对能够引起网络态势变化的安全要素进行获取、分析、显示；以及对最近发展趋势的顺延性进行预测，进而进行决策，并采取相应的行动。

  态势感知技术及相关的系统工具设计理念与PDCERF模型是切合的。态势感知技术的目的是让组织内的信息系统安全状况可视、可知、可控可防、可溯，这四点分别对应于安全事件应急PDCERF模型中的准备、检测、抑制、跟踪四个阶段。态势感知技术提供的功能包括但不限于：网络安全持续监控能力，及时发现各种攻击威胁与异常，特别是针对性攻击；威胁可视化及分析能力，对威胁的影响范围、攻击路径、目的、手段进行快速研判；风险通报和威胁预警机制，全面掌握攻击者的目的、技/战术和攻击工具等信息；利用掌握的攻击者的相关目的、技/战术和攻击工具等情报，完善防御体系等。

  态势感知技术是基于三级模型来展开的，即态势要素感知、态势理解和态势预测，这三级模型呈现了一种递进关系。态势要素感知是指依靠大数据技术，从海量数据中收集到所需要的信息。在安全事件中，态势要素感知主要用于从大量的网络流量中找到攻击者进行攻击的相关流量日志。态势理解则是指依靠机器学习、检测算法等技术对数据进行分析和理解。在安全事件中，态势理解主要用于从攻击者的攻击行为流量中检测出攻击者执行了哪些操作、获取了哪些信息。态势预测是指在态势要素感知和态势理解的基础之上进行数据建模，以预测状况的发展趋势。在安全事件中，态势预测主要用于预测当前网络中可能发生的安全事件，并对网络威胁的程度进行评估。

第九、技术工具的使用目标和工作流程

安全事件应急技术工具应能实现以下目标。

组织资产管理：统一管理组织IT资产，在安全事件发生时能够第一时间定位资产责任人。

流量检测分析：融入安全态势感知系统，对组织网络流量进行实时监测和分析，并能够对发现的安全事件进行告警，对日志进行记录。

自动联动处置：能够与其他安全设备进行联动，如防火墙、WAF等，能够自动对确认的安全事件进行阻断抑制。

可视化报告管理：可以实时可视化展示组织网络安全舆情，并输出直观的可视化报告。