应急响应概述及重要性

2016-03-15

网络安全和信息化 2016年7期

应急响应通常是指一个组织为了应对各种意外事件的发生所做的准备工作，以及在事件发生后所采取的措施。应急响应在各个领域均属于一个重要的研究方向，并且具有行业领域的独特性。本文介绍的是信息安全领域的应急响应，是指应急响应组织根据事先对各种可能出现突发状况的准备，在信息安全事件发生后，进行响应、处理、恢复、跟踪的方法及过程。下面将阐述信息安全应急响应的对象、作用、行为和必要性。

应急响应的对象

本文信息安全事件应急响应的对象泛指针对计算机和网络所处理信息的所有安全事件，事件的主体可能是自然灾害、人为操作、故障或者病毒与木马等。除了传统的针对保密性、完整性和可用性的分类外，应急响应的对象广义上还包括扫描、渗透等所有违反安全政策的事件，它们也称为应急响应的客体。

一般的应急响应流程中会出现至少三种角色，包括事件发起者、事件受害者和进行应急响应的人员，简称为“入侵者”、“受害者”和“响应者”。入侵者泛指一切造成事件发生的角色。受害者是承受事件的一方，在事件中也是受保护的对象。响应者有可能是与受害者同属一个实体，但更多情况下，响应者来自专业的响应组织，比如网络管理人员、安全厂商等。

应急响应的作用和行为

应急响应的作用主要体现在事前的充分准备和安全事件发生后所采取的措施这两个方面。

首先是事前的充分准备，这方面在管理上包括安全培训、制定安全政策和应急预案以及风险分析等，在技术上则需要增加系统安全性，如数据备份、打补丁、升级系统和软件等，有条件的还应该部署防火墙、防毒墙、入侵防御系统（IPS）和杀毒软件等。

其次是安全事件发生后所采取的抑制、根除和恢复等措施，其目的在于尽可能减少损失或者尽快恢复系统的正常运行。一般的措施包括收集系统特征，检测病毒、木马等恶意代码，隔离、限制或关闭网络服务，系统恢复，反击，跟踪总结等。

事前准备和事后措施这两个方面是互为补充的关系。事前的准备为事件发生后的响应动作提供了指导框架，否则，事后的响应措施将会陷入混乱，而这些毫无章法的响应措施很可能造成比事件本身更大的损失。其次，事后的响应可以发现事前计划的不足，吸取经验教训，从而进一步完善信息安全防护计划，避免以后类似的安全事件发生。

应急响应的必要性

实施应急响应机制的目的就是尽可能地减少和控制信息安全事件的损失，并努力防止安全事件的再度发生。但是，应急响应本质上是一种被动性的安全体系，它是持续运行并需要由一定条件触发的体系。与此相反，加密、认证等行为则具备更多的主动性，那么为什么业界要对这种被动性的体系投入越来越多的精力呢？

首先，历史经验证明，绝大多数发生过的信息安全事件都容易造成惊人的损失并显示出巨大的危害性，而且随着系统和软件功能的多样化发展，软件架构变得越来越复杂，再加上软件行业的不规范以及整体的发展滞后，这些问题造就了目前软件系统漏洞百出的现状。同时，网络发展日新月异，网络架构愈发复杂，边界愈发模糊，带宽迅速增加，这都为恶意代码的传播创造了便利条件，人们可以随意下载攻击工具，而使用这些攻击工具并不需要专业的计算机知识，“小白”用户即可轻松使用，比如网上随意可以下载的端口扫描软件，这样就放大了来自网络的非法入侵的效应。

但与此对应的是，入侵防御系统（IPS）还远没有设想的成功，虽然现在的IPS系统已经在企业网络安全体系中发挥着重要作用，但是截至到目前为止，IPS的实现与运行原理仍然存在若干不现实性，这就限制了IPS从设想到实现的脚步，漏报、误报一直是IPS所无法克服的问题。

其实安全是相对的，没有绝对的安全，所有的安全产品，包括杀毒软件、防火墙、防毒墙、Web防护等，都达不到能够完全保证目标安全的效果。而且从安全管理的角度上考虑，并非所有的企业都有足够的实力进行安全的网络管理，因此，作为补救性的应急响应是必不可少的，可以说，应急响应是信息安全防护的最后一道防线。另外，从法律角度讲，应急响应也是将安全事件诉诸法律的必要途径。

与应急响应相关的关键技术

应急响应涉及到信息安全学科内几乎所有的技术，下面介绍一些与应急响应密切相关的关键技术。

1.入侵检测

应急响应是由信息安全事件所触发，而事件的触发主要依靠检测手段，入侵检测技术则是目前最主要的检测手段。当前应急响应领域研究的热点之一就是自动入侵响应，目标就是使入侵检测系统（IDS）具备自动响应的能力。

2.事件隔离与快速恢复

对于安全性和保密性要求高的环境，在检测和收集信息的基础上，尤其是确定了事件类型和攻击源之后，应该及时隔离攻击源，这是制止事件影响进一步恶化的有效措施。另一方面，对于对外提供不可中断服务的环境，如门户网站等，应急响应过程就应该侧重考虑尽快恢复系统的正常运行，或是最小限度的正常运行，这其中也可能涉及到事件优先级认定、完整性检测和域名切换等技术。