彭勇:国家应急体系建设
【IT168 资讯】中国信息安全测评中心检查评估实验室主任彭勇先生做了主题为国家应急体系建设的精彩演讲:各位领导专家早上好,我今天我介绍的题目是国家信息安全应急体系介绍,应急工作是灾难恢复最迫切的需要,而在应急工作里面,灾难性事件的预防和应急工作在灾备是一个重要的保障之一。在前面王主任已经说了我们中心在这方面做的工作2008年10月20日正式发布了国家网络和信息安全应急预案,这个预案里面明确规定中国信息安全中心是五支国家技术队伍中之一,今天我主要讲一下灾难恢复的背景和网络安全信息事件的理解,再介绍一下我们中心在应急方面的一些经验和体会。
在整个国家灾难恢复里面最早从27号文开始,信息办在05年发布了指南,信息安全规范2009年成为了正式标准,在这里面我们首先看看27号文件里面关于加强信息安全文件的要求,制定和不断完善信息安全应急处置预案,加强信息安全资源应急队伍建设,鼓励社会力量参与灾难备份设备建设和提供技术服务,提高信息安全应急响应能力,从这个文件里面可以看到灾难恢复和应急响应是密不可分的,而且通过灾难恢复建设可以提高应急响应的能力。那么中心从灾难恢复一开始就参与了相应的工作,包括参与当年灾难恢复指南的工作,另外灾难恢复规范国家标准是全国信息办安全标准化委员会正式下达由中心承担的项目,2007年成为了正式标准。
那么在完成了国家标准的编制之后,我们中心继续在信息安全服务知识和人员培训上面继续开展工作,包括我们给信息安全服务资质里面有测评准则机制,还编写了灾难恢复人员的大纲和内容,近期我们可能还会有一本专门的针对灾难恢复的一本教材会出版,在这个方面中国信息安全测评中心做了大量的工作。
同发达国家相比,中国目前的灾难恢复工作还处于起步阶段,以灾难恢复为支持的应急响应是目前的灾难恢复的重点之一。从灾难恢复本身来看灾难恢复的管理也是我们应急响应工作当中应对灾难性事件的重要手段。国家已经建立了比较完善的应急管理体系,首先它会有法律的基础,国家应急管理体系是由2007年的69号主席令发布了中华人民共和国突发事件应对法,中华人民共和国的突发法是应对所有信息安全和所有国家的管理法律基础,国家成立了四个级别的国家突发公共事件预案体系,包括第一个级别是国家总体应急预案,第二是国家的专项应急预案,第三个级别是国务院部门的应急预案,第四个级别是地方应急预案。这里需要指出的是,原先只发布了在国家专项应急预案,只有一个通信保障国家应急预案,去年年底正式发布了网络和信息系统事件应急预案,作为在第二个层次里面是第27个优异应急预案,那么这对我们开展应急管理工作还有对我们开展灾难恢复工作将会起到很好的推动作用。
那这个文件里面实际上规范了一个范围,网络和信息安全的应急和处理工作,通信保障和通信恢复有另外一个专项,中国信息安全测评中心是在文件里面是明确作为国家网络和信息安全的技术支撑队伍之一。下面我们从技术方面介绍一下国家应急预案的内容,整个预案分成八个部分,总则组织机构与职责,预防预警,如何进行应急处置,后期处理,还有第六点是国家游网络的保障措施,其中明确指出了作为优异别的信息支撑队伍,同时在这里面强调了宣传、教育培训和言论等内容。
国内外有很多技术标准和技术指南,在中国实际上已经做了大量的工作,目前已经成为国家表标准的包括信息安全事件管理指南,分类指南以及应急响应的规划。在国外ISO也做了各方面的工作,ISO已经成为事件信息管理以及其他相关工作,都会给灾难恢复应急响应做了很多标准和指南的工作。
下面可以看一下从国家标准里面看一个技术的分类。在GB/Z20986—2007信息安全事件分类指南已经把我们国家网络和信息安全事件分为七个事件,四个级别,七个基本事件包括有害程序网络攻击信息破坏信息内容安全设备设施故障,灾难性事件,其他信息安全事件,而对灾难性事件应急作为灾备很重要的一个技术保障和支撑力量。同时,在这个国家标准里面分成四个级别,特别重大、重大和一般、较大的四个级别。从议案和国家标准来比较可以看出,在国家网络和信息安全的预案基本采用了技术标准里面技术分类的说法,也就是说在这里面技术分类里面其中包括灾难性事件的事件分类,分级上面从原则上同优异标准是一样的,分成特别重大网络信息安全事件,重大网络信息安全事件二级,较大网络信息安全事件三级,网络信息安全事件四级,这里面有一点,除了在国标里面定性的分级以外还有定量的分级的原则,除了定性的描述性事件还有一些灾难性事件,特别重大里面只要满足一条,信息系统中断两小时以上,造成10亿元以上人民币经济损失,这一类的事件,一级二级包括三级类似的事件实际上也是我们灾难恢复所要重点研究和保障的一些事件。
国家应急预案的保障措施里面提出要作为一个国家的技术支撑队伍,另外每年要组织应急预案的演练,这个工作我们在做灾难恢复服务知识评审的时候会发现这个问题,我们中心做风险评估和信息安全相关的工作中发现,灾难恢复里面已经建立了不少,但是最大的问题就是练,有一个完整的演练,有一个规则的演练,这才是我们在面对突发事件的时候完全有信心而不是停留在一个纸面上灾难恢复的设施、场地这上面的东西,所以中心在服务资质的测评除了注重看基础设施之外,回头还要看演练实际上的成绩和实际的工作。
那么,作为国家信息安全的国家队,中国信息安全测评中心已经长期从事信息安全的风险评估、漏洞分析和测评工作。我们工作从三方面来看:第一作为优异的应急资质,每年两会工作,奥运的工作上面我们都承担了相应的国家任务,直接参与一线的信息安全应急工作;第二我们也为各部委提供重大事件的人事支持,包括国税部;另外在重要事件期间一些技术支持,还有一些专项的应急支持工作,在这方面我们中心有丰富的实践经验。给大家举一个例子去年奥运我们中心参与了承担了各项奥运支持工作,我自己参与了中心在奥运中的一个部分工作,包括给北京网络和信息安全应急预案,我们编制的,编制完成了之后直接参与奥运一线的应急工作和相关的内容。
那么中国信息安全测评它一个应急体系的建设经过这几年的磨合和锻炼已经形成了一个比较完整的体系。第一个是组织牵头,我们中心因为长期从事系统测评,产品测评按,风险评估各个领域我们积累了很多专业的技术力量,那么我们在奥运期间也好,国家任务也好都组织了应急小分队,这次在十七大两会和奥运期间发挥了重要的作用,得到了国家和部委的赞赏。下面一个是预案体系作为技术力量而言,我们针对了在应急预案里面还有各种各样的安全事件编制了各种各样的应急预案,然后建立应对基础,同时通过演练不断加强应急能力,在这里面应对应急相应的灾难性事件,灾难恢复性等相应工作实际上都是作为我们中心的应急预案的一部分工作。
我们中心现在的技术特长和能力主要集中在信息安全的检测,风险评估,漏洞分析工作,还有为各部委提供安全服务,为我们开展相关的工作奠定了基础。这里面可以看到我们中心在做应急和日常工作中具有专业的装备,包括我们到现场的应急工具箱,U盘,取证设备等所有的设备形成一个比较完善的装备保障。
第二,有几张示例图是我们中心某次或者某些应急工作中详细的流程和详细的工作,包括内网、外网各种各样的分析和研究,包括我们在用户现场提供各样各样的内容,今天我就讲到这里亿,谢谢大家!


