YD/T 1826-2008
基本信息
标准号:
YD/T 1826-2008
中文名称:网络安全应急处理小组建设指南
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:385995
相关标签:
网络安全
应急
处理
建设
指南
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1826-2008.Network Security Emergency Handling Team Construct Guidelines.
1范围
YD/T 1826给出了网络安全应急处理小组的组建过程、职责定位、服务对象界定和小组间协作等方面的指南。
YD/T 1826适用于各类网络安全应急处理小组的组建,也可供己成立网络安全应急小组的组织参考。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文档的最新版本。凡是不注8期的引用文件,其最新版本适用于本标准。
YD/T 1827- -2008网络安全事件描述和交换格式
RFC2350 Expecrations for Computer Security Incident Response
ITU-T E.409 Incident Organisation and Secunity Incident Handling
3术语和缩略语
3.1 术语和定义
以下术语和定义适用于本标准。
3.1.1
网络安全应急处理小组
Network Security Emergency Handling Team
一种服务性组织,负责接收、验证计算机安全事件报告,并对其作出响应活动。在本标准中简称应急小组。
应急小组通常为一个确定的对象服务,该对象可以是某个国家或地区、政府部门、教育机构、公司或者是某个付费客户等。
3.1.2计算机安全事件 Computer Security Event
任何与计算机系统安全或计算机网络安全相关的真实或可疑的有害活动。
3.1.3安全事件处理Security Event Handling
一个应急小组为指定客户提供计算机安全事件监测、预警、分析、响应和恢复等服务。
标准内容
ICS33020
中华人民共和国通信行业标准
YD/T 1826-2008
网络安全应急处理小组建设指南Network Security Energency Handling Team Construct Guidelines2008-07-28发布
2008-11-01实施
中华人民共和国工业和信息化部发布前言·
范围·
2规范性引用文件…
3术语和缩略语
4网络安全应急处埋小组的简介
4.1概述:
4.2网络安金应急处理小组的种类5网络安会应急处理小组的建立·5.1概述
需求分析
制定方案并报告
5.4装得批准
5.5获联所需的资源….
正式运作:
与其他网络安全应急处理小组建立联系·5.7
6网络安全应急处理小组的职贵
职责分类
6.2职责范围的确定
6.3网络安全事件应急响应-
6.4网络安全事件预防·
6.5安含日常管埋-
网络安全应急处理小组的服务对象好
网络安全应急处理小组之间的协作8.1
8.2建立联系点(POC)网络
8.3建立有效信息共享机制
8.4保证信息共享安全性·
8.5协作进行事件处理和调查
-iiiKAoNiKAca
YD/T1826-2008
本标准是网络与信息安全应急处理系列标准。该系列标准的名称如下:1.YDT1826-2008网络安全应急处理小组建设指南:2. YD/T 1827-2008
网络安全事件描述和交换格式。本标准由牛国通信标准化协会提出并归口。YD/T 1826-2008
本标准起草单位:国家计算机网络应急技术处理协调中心、中国移动通信集团公司本标雅主要起草人:王营康、孙蔚敏、杨臻、周勇林、黄元飞、焦绪录、唐剑琪、刘楠、纪卡春、张冰、崔翔
-iiiKAoNiiKAca
YD/T1826-2008
成立网络安全应急处理小组,由其统一规划整个组织的网络安全架构,制定组织整体的网络安余事件处理流程和规范,并负责整个组织内网络安全策略的组织实施,是应对网络安全问题的有效途径之一。组建网络安全应急处理小组应有明确的工作目标和服务范围,需要全面考虑组织结构、经费筹集、对外联络和运作模式等多方面因素。本标准在参考国外相关标准的基础上,结合有关网络安全应急处理工作的实践,编写了网络安全应急处理小组建设指南。1范围
网络安全应急处理小组建设指南YD/T1826-2008
本标准给出了网络安全应急处理小组的组建过程、职责定位、服务对象界定和小组问协作等方面的指南。
本标准适用丁各类网络安全应急处理小组的组建,也可供已成立网络安全应急小组的组织参考。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓刷根据本标准达成协议的各方研究是否可使用这些文档的最新版本。凡是不江日期的引用文件,其最新版本适用于本标准。YT/T 1827-2008
RFC2350
ITU-T E.409
3术语和缩略语
3.1术语和定义
网络安全事件描述和交换格式
Expectations for Computer Security Incident ResponseIncident Orgunisation and Security Incident Handling以下术语和定义适用于本标准。3.1.1网络安全应急处理小组NetwarkSecurityEmergencyHandlingTeam,·种服务性组织,负责接收、验证计算机安全事件报告,并对其作出响应动。在本标准中简称应急小组。
应急小组通常为一个确定的对象服务,该对象可以是某个国家或地区,政府部门、教育机构、公司或者是某个付费客户等。
3.1.2计算机安全事件ComputerSecurityEvent任何与计算机系统安全或计算机网络安全关的真实或可紅的有害落动。3.1,3 安全事件处理Security Event Handling一个应急小组为指定客广提供计算机安个事件监测,预警、分析,响成和恢复等服务。3.1.4漏洞Vulnerability
软仆存在的缺陷,例如出于设计缺陷或执行错误,软件会导致意外的、不希望出现的事件发生,该事件可能危及系统、网络、应用甚至协议的安全。3.2缩略语
Common Vulnerability Scoring SystemIntrusion Detection System
Intrusion Frevention System
Memory of Understanding
通用漏洞评估体系
入侵检测系统
入侵防范系统
谅解备总录
YD/T 1826-2008
Public Key Infrastructure
Point Of Conlact
4网络安全应急处理小组的简介
4.1概述
公钒基础设施
联络点
-iKAoNhi'KAca-
网络安全应急处埋小组是一种服务性组织,负责接收,验证让党机安全事件报告并对其作出响应活动。它通常为某个国家或地区、政府部门、教育机构、公司或者足某个付费客户等对象服务。成立网络安全成急处理小组的目的是有效预防、应对计算机安全事件,在事件发生前、发生期问和发生后分别做好相应的预弊、分析和响应。恢复工作,尽可能减少亦件带来的损失4.2网络安全应急处理小组的种类网络安全应急处埋小组形式多样,规模不一,服务对象广泛。网络安全成急处理小组可以按照多种方式逃行分类。一般叫根握网络安全应总处理小组的日的、功能和服务对象班行如下分类)组织内的应急小组:负责为其所属的组级提供安全事件处理服务,该组织可以是企业,学校,科研院所或取机构等,
h)产品(软件、硬件)提供商的应急小组:负责处理与所经营产品相关的漏洞报告,并分析漏洞、开发计对性补丁战工具包,向客户或公众发布。)应急响应服务提供商的应急小组:把事件处理服务作为·种产品提供给其它机构。d)国家级应急小组:国家层面的网络安全应急组织,道带作为协调机构组织实施跨国、跨境、跨网、跨组织安全事作的处理工作。网络安应急处理小组还可以按照它们的构建方式分类如下。a)非常设应急小组:机构内未设置事件处理的专职部门,般山负责信息系统管理或维护的技术人员兼职处理安全球件:
b)分布式应急小组:应急小红分散在机构中,并且分布在不同的地理位置。通带由“名负资人负责监督和协调分布式小组的行动。心)中心化应急小组:成急小组渠中位丁个实际的地理位置,负责整个机构或服务对象的网安个事件应急处理工作。
d)复合型应急小组:分布式应急小组和中心化虑急小组的组合形式。它尽可能地利用整个机构内关键位置的现有人员,同时又具有专职小组的中心点协调能力。e)协调型应急小组:应急小一般是中心化的、位于一个实际的地理位置,发拆协调作用的实体负责协调各相关机构的安全事件处理工作。网络安全应急处理小组还可以按照其所属的部门或其服务对象所在的部门进行分类,如政府、教育、科研机构、商业组织的应忽小组,5网络安全应急处理小组的建立
5.1概述
网络安个应急处理小组的建,可以参照如下6个恶骤进行。5.2需求分析
YD/T1826-2008
网络安全应急小组的建立要从服务对象的网络安全需求出发,认真分析服务对象的网络安个现状和面脂的风险:
建立网络安全处理小组的清求王要包括(但不局限于):网络规模大,网络安全对服务对象的生存至关重要:属重要信息系统,是潜在的受攻击目标:一网络安个事件发牛后,组织的高层认为需要立应急组织一上级部门的统一要求;
一需要协调型的应急处理小组作为其他应急小组的心联辫点:一组织的网络安全总体策略需要:一中请相关网络信息安全资质的需要、5.3制定方案并报告
在明确了成立应急小组必要性的前提下,需妍究成立小组所面临的具休问题:这些间题1要包括小组的职贵(第6章)、服务对象(第7章)和小组间协作(第8章)等。应针对上述尚题设提出相成措施或解决方案,然后向L级主管部门报告该方案。5.4获得批准
方案通常需要经过讨论、修改后才能确定:如上级土管部门对方案所需的资源数量提山质疑,应总处小组的筹备人员负责予以解释,并根据讨论结果对方案进行必要的修订、完善,以使方案能够通过。5.5获取所需的资源
方案获批后,网络安全应急处理小组的筹备人员应尽快落实所需的资源,做好应急处理小组正式成立、运作的推备。
5.6正式运作
通过电视,报纸,网络等媒体宣布网络安全应急处理小组成立并正式运作,根越小组定位间适当的范围发布应急小组职责、服务对象、联系方式等信息。5.7与其他网络安全应急处理小组建立联系与其他相关的网络安全应急处理小组建立自常联系桃制,以便在必要时获得其配合和支持。6网络安全应急处理小组的职责
6.1职责分类
网络安全应急处班小组的职资人体上可为类a)网络安全再件应急响应:事件响应一般通过事件发现、班件报告或工单等方式触发,划如发现某台主机受到了攻击、恶意代码大范围扩散、入侵恰测报替、异常日志等。接到事件报告后进入事件分析阶段,即对事件性质、影响范国行研判,并决定采取何种恢复或缓解措施的过程。乐件响应则是基丁事件分析结果,采取具体挡施以消除事件影响、恢复系统功能的过程,主要包括协调处置、总结通报、后续整改加固等工作。应急啊是网终安全应急处理小组的核心工作:b)网络安企事件预防。件顶防是在班件末发生时通过完善制度、加强防护等工作来提高组织机构的网络安全防范水平,降低发生网络安金事件的可能,班件预防的途径包括制定应急总处理预案、发布预警信息、运行入检测系统等。)网络安全H常管理。网络安金用常管理开非计对特定安全事件而正展,它对网络安全事件处理3
YD/T1826-2008
-iiiKAoNiKAca-
的作用通常是长期的、间接的。网络安全口带管理通过风险分析。安全咨询、安全培训、安全演练和讲座等方式全面提高系统的安全保障水平,降低安企事件发生的概率。应急小组的三类职责包含的具体内容见表1。表1常见的网络安全应急处理小组服务列表网络安全事件应急响应
公告和预蓄
事件处理
一事件分折
一现场事件响应
一事件响应支持
一事件响应协调
安全漏洞处理
一安全漏洞分折
一安全漏润应
一安全漏洞响应协调
源意代码处理
一恶意代码分折
一恶意代码响应
一恶意代码响应协调
6,2职责范围的确定
网络安全事件预防
技术监测
安全审计评估
安全工具、应用程序、基础设施■的配置和维护
应急下具的开发,集成
入慢检测服务
超应急预案
网络安全应急处理小纽需要明确自身的职责范围。网络安全常管理
风险分析
服务持续性和灾雄恢复计划
安全咨询
建立安全意识
教育/培训
产品评估和认证
开展成急滨练
网络安全应急处理小组须担负至少个类别的事件处理职责,比如事件分析、现场事件响应、事件响应支持等。
在职责范围的确定过程中,需充分考完成职责所必备的资源条件(人力、技术、设备和基础设施)。6.3网络安全事件应急响应
网络安全应急处理小红应对收到的安全事件报告或主动发现的安全孕件作出响应。6.3.1事件告
问服务对象通报有关入慢攻市、安全漏洞、意代仍、网络的鱼等面的信息,并就如何保护系统利恢复受影响系统提出初步建议和实施方案:6.3.2事件处理
事件处理包括事件报告的接收、分类、分析、验证及解决方案制定等。这些响应如下:采取措施保护受影响的信息系统;提供解决方案或临时缓解措施的建议:搜集事件相关的数据和信息:关注车件发展动态;分析事件相关的数据:
重建或修复系统:
事件处理可以进行如下划分。
6.3.2.1事件分析
事件分析是对事件相关的所有信息,如安全漏洞、攻击代码、恶意软件、取证结果和可疑网络流量等,进行分析。净件分析的月的是判断事件的影响范围、可能造成的危害、事件的性质以及制定有效的4
解决方案等,
6.3.1.2现场事件响应
YD/T1826-2008
现场事件响应是应急处理小组在事件发生现场为服务对象提供直接支持,帮助其尽快从非1影中恢复。
6.3.1.3事件响应支持
应急处理小组通过电话、电子邮件、传真或即时通信等方式远程协助或指导受影响用户处埋安全事件,其体内容包括数据分析、取证方法、制定缓解或恢复策略等。6.3.1,4事件响应协调
当安全事件处现涉及多个组织机构或个人时,应急处理小纽在各方之间起协调作用。安全事件可能涉及到受影响用户、网络运营商、其它应急小组、主机托管机房网络管理员、域名注册商等多方人员和机构,函此事件响应协调是弃件处理的重要内容。体的协谢工作包括:收集联系信恐、告知各方可能会受到的响(攻击的受害方或攻击源),收集受影响机构的统计信息,为信息获取、交换和分析建立中间联络点,协调元展应急处置工作等。6.3.3安全漏洞处理
安全漏洞处理包括:跟踪或接收软硬件安全漏洞信息,分析安全漏洞的性质、机制和影响,制定检测和修夏安全润的策略咯、打法和工具。安全漏洞处埋可以接如下方式划分。6.3.3.1安全漏洞分析
应急处理小组对软硬件[的安全漏洞进行技术分析,判定漏润是衍克实存在、漏洞如何被利用以及利用难易度:结合漏洞的利用方式和难易度、影响用户范用、成功利用的后果等多种因素综合判断漏减危害等缀。
目前,般采用CVSS对漏洞危害等级进行量化评估,6.3.3.2安全漏洞响应
包括确定溺润的缓解策咯、提供漏洞补了下载,关注可疑的漏洞利用行为等。6.3.4恶意代码处理
恶意代码处理包括分析恶意代码的原理和危害,制定检测,清除和防御恶意代码的策略,恶意代码处理可进行如下划分。6.3.4.1恶意代码分析bzxz.net
应急处理小凯对得的恶意代码样本进行技术分析,确定恶意代码的功能和危活,研究恶意代码发现、缓解、清除利控制的方法等。6.3.4,2恶意代码响应
应急处理小纠通过网站公告、邮件列表或公文等发布道将分析结果或提出的防扩措施道知受影响用户或特定服务对。
6,4网络安全事件预院
网络安全事仆预防工作可以通过以下渠道开展,6.4.1安全公告
安全公告包括但不局限于入侵警报、安全漏洞警告和安全建议。应急处理小组通过发布安金漏洞5
YD/T1826-2008
-iiiKAoNiKAca-
预防措施和缓解策略等公告,提醒用户保护系统和网络,降低户受新出现的安全攻击影响的概率。6.4.2技术跟踪
应急处理小组需及时跟踪新兴的和热点的网络安仓技术发展动态:技术跟踪有助子判断未来网络政击的发展趋势及提前考虑应对措施。6.4.3安全审计和评估
安全审计和评估是根据种标准或策略,对特定服务对象的信息系统和网络进行审否和评估,以发现存在的安金隐患。
应急小组根据客户需要开展安全审计和评估,该工作仅作为专业审计和评估的有益补充,热行安企审计和评估通常需要获得相关管理部门的批准。审计或评估包括但不限于以下方式:基础设施审查
审查软硬件配置,包括路由器、防火墙、服务器和桌面设备的配置:符合性审查
判定特定服务对象的安全防护措施是否符合其整体安仑策略或某种标推:一扫描
扫描系统和网络存在哪些安全漏洞;渗透测试
在授权范围内对特定目标进行攻出以测试其安全性。6.4.4安全加固
应急小组需要对特定服务对象的安全设备和系统,如TDS、IPS、防火墙、防病毒软件、系统工具,邮件服务器,网页服务器、操作系统等,进行升级和加固,以增强安全性。6.4.5并发、集成应急工具
应急小组可以为特定服务对象开发、集成符合客户需求的应总专用工是。例如,客户便用的特定软件的安全补丁,受损害主机的修复程序或开发动化的补丁分发工,其等。6.4.6入侵检测服务
应急小组审查IDSH志、谢整DS策略、更新特征库及策略等。6.4.7与安全相关的信息的公告
应急小组为服务对象提供综合的、有助丁提高安全性的综舍信息,包括但不限于:—安全公告;
一有关当前最佳实例的文件:
一补丁信息;
网络服务提供商利软硬件提供商的联系信息:一事件报告的当前统计结果和发展趋势:一可以提高总体安全性的其他信意,6.4.8制定应急预案
应急处理小组应制定应急工作的专项预案,对应急下作的领导机构、应急体系,应急工作具体内容予以明确,从而保证应急工作的规范化、流程化。应急预案一般包括如下内容:6
目的、适用范用:
组织体系;
一安全事件定义、分级;
一预防预警机制:
一应急处置、救援;
一后期处置;
附则。
6.5安全日常管理
6.5.1风险分析
YD/T1826-2008
应急处埋小组可以提供风险分析和评估服务,有助于被评估对象更好地了辉当前面临的网络安全风险,从而制定更好的安全防护策略。6.5.2业务连续性和灾难恢复计划应急处埋小组应掌握灾难恢复技术和策略,以使服务对象遵遇灾难性的安全事件将损降至最小。避急处理小组应在风险分析之后提出灾难恢复计划,做好备份策略利临时对策,以保证业务连续性:6.5.3安全咨询
应急处理小组可以对客户业务运营的安全措施做出建议和指导,为客制定安全策略提供支持和帮助。
6.5.4培养安全意识
应急处晖小组可以通过宜传疏于防范造成危害的实际案例、常用的安全防护斐巧、提供倍息资源,解释最件安全实例等方式,提高客户的安全意识。6.5.5教育/培训
网络安企应急处理小组可以通过研讨会、专项培训或自学材科的形式,户提供斗第机网络安金方面的信息。包括:中件报告指南、事件响应方法、事作响应工具、办件预防措施以及其他的有关如何保护、检测、报告和响应计算机安全事伴的信息。6.5.6产品评价
提供此类服务的网络安全应急处理小组对工具,应用程序或其它服务进行产品评价,以保证产品是安全的、可靠的,
6.5.7开展应急演练
应急演练通过模拟应对网络安食事件可以有效检验应急小组应对突发网络安全事件的能力、应急工作的准备情况及应急小组与弃件相关单位的协同配合能力。应察小组应适时纠织开展应演练,不断提高白身的实战能力。
了网络安全应急处理小组的服务对象网络安全应急处理小红成立前应先明确白已的服务对象,服务对象可以随过不同的方式来确定。如:按照面向的对象可以分为全球互联网、本阔的公共互网、荣个组织的内部网络或者是某些付费用户等;也可以根据某些技术方面的条件进行划分,比如使用特定操作统的用户群体。
网络安全应急处理小组在成立后还可根据情况变化调整自已的服务对象。YD/T 1826-200B
-iiiKAoNiKAca-
在定义服务对象时,应急小组应明确为谁提供服务,并根据服务对象、事件类型、影响范围等因素确定事件优先级的定级标准。明确了服务对象和优光级,才能有重点地处理安全事件。不同网络安全应急处理小组的服务对象可能会有重叠,比如-一个ISP的应急处理小组问白已网内客户提供网络安全事件应急处理服务、一个国家级的应急处理小组会间本国所有ISP的用广提供事件应急处理服务,而系统软件提供商会向各国的用户提供软件方面的所急处理服务,三者的服务对象都是明确的,这时不同小组应该就如何有效地协同处理涉及共同客户的网络安全事件过行商,形成共识,这也正是协调型网络安全应急处理小组的董要职能之一。可以来用如下几种方式来定义应急处小组的服务对象:声明客户,小组宜称或希望为之服务的组织或个人;…签约客户:小组声明客广的子集,并签署了向小纽报告求作的协议;一报告客户:小组声明客户的子集,成该小纠报告安全守件未签订协议:一偶然客户:不属于小组声明客户,临时需要该小组的服务并报告事件。网络安全应急处理小组依据职责范用、能力和性质,可能有必要定义多个服务对象。这些服务对象可能有交叉,也可能一个对象是另一个对象的子集,或者被此完全独立。例如,某个应急处理小组可以通过公用Web站点向客户提供北产品的普通安全信息,还可以仅向这些客户的个了集(比如产品注用用户)提供高级的服务。
8网络安全应急处理小组之间的协作8.1概述
网络的发展是跨组织、跨地区,跨部门的,而网络安全事件的制造者、传播者、狄利者和受害者往往分布在不同的组织,基至是不同的国家和地区,任何“个网络安全应意处理小组不可能独自应对网络安全的挑战。因此,应急处理小组有必要灿强彼此间的交流与合作,以更加有效的方式处理网络安全事件,而应意小组之间合作的最基本要索就是迹行信总共字和跨地区的事件小调处理。应急处理小组之间在协作过程中,间以从以下4个方面着手。8.2建立联系点(POC)网络
网络安全应急处理小组要开展有效的协作,应当在彼此之间建立有效的工作联络机制,很多小组可以通过建立POC网络米和史多的小组进行联络:8.3建立有效信息共享机制
由于网络安全事件发生的频率越来越高,各应急处理小纽之间交换数括也就渐渐成为一-项日常性的工作,因此,需要建立有效的信息共享机制,提高信息共享的速度和效率。常见的共享机制有利用网站发布借息、通过FTP等方式实现大数据量的共享、通过邮件列表快速交流等。
对于安全事件的描述和交换,其格式可以参号YD/T1827-2008网络安全事件播述和交换格式》。8.4保证信思共享安全性
由丁网络安全应急处理小纠之问经带会交换一些缴感的信息,因此应急处理小组应保证交换信息的机密性、完整性、可用性和不可否认性可以利用PKI基础设施交换彼此的公钥信息。在行信息传递时,对必要的微感信息进行加密和签名。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。