简介:关于事件应急方面的论文题目、论文提纲、事件应急论文开题报告、文献综述、参考文献的相关大学硕士和本科毕业论文。
钱秀槟,刘海峰,刘国伟,李锦川,闫腾飞
(北京市政务信息安全应急处置中心,北京100101)
摘 要:信息安全事件应急处置过程实际上是对信息安全事件要素的识别,因此,对信息安全事件的分类不仅仅是应急管理的重要内容,也是开展信息安全事件应急处置的重要环节,本文结合典型事件的应急处置,针对信息安全事件分类提出了一种事件分类的思路.
关键词:信息安全;事件分类;应急处置
中图分类号:TP309 文献标识码:A
0引言
随着信息化的程度不断提高,信息安全已经越来越受到各级政府和各行业的高度重视,信息安全事件应急响应作为信息安全保障工作的最后手段也因此变得越来越重要.2007年,国家在网络与信息安全事件的应急响应方面先后制定发布了《信息安全事件分类分级指南》(GB/Z 20986-2007)、《国家网络与信息安全事件应急预案》等重要里程碑文件,为网络与信息安全事件应急管理工作奠定了坚实的基础,也为各地方政府、各行业信息安全应急响应工作的开展提供了重要依据.北京市为落实国家信息安全专项预案的要求,也编制发布了《北京市网络与信息安全事件应急预案》,并在奥运、国庆六十周年等重大活动期间的信息安全应急保障中进行了大量的实践,在信息安全事件分析、分类、应对等信息安全应急工作中也积累了一定的经验.
1.信息安全事件分类的要素
信息安全事件的技术处置是信息安全事件应急响应工作的重要环节,而事件的分析处置过程同时也就是对信息安全事件要素的识别.能够表征信息安全事件的要素很多,但结合事件的分析处置和应急管理,其中最为关键要素有四个方面,即事件的实施主体、事件发生的内在原因、事件实施的路径或方法以及事件所造成的后果等.
1.)事件主体,指制造网络与信息安全事件的外在因素,如自然灾害或攻击者.
2)事件结果,指事件发生后对可用性、完整性、保密性等关系到正常使用网络或信息系统所造成的不良影响,如系统服务中断(可用性)、网页篡改(完整性)和信息泄露(保密性)等.
3)事件原因,指造成网络与信息安全事件的内在原因,主要是指发生事件的网络或信息系统自身存在的管理和技术问题.事件原因从类别上又可区分为安全管理问题、配置问题、软件缺陷、物理问题等,事件原因是信息安全应急响应过程中需重点分析的重要内容.
4.)实施路径,指网络与信息安全事件实施的渠道或方法,如口令论文范文、分布式拒绝服务攻击、SQL注入、社会工程等.
根据信息安全事件的以上4个要素可分别将信息安全事件进行更细粒度的划分,例如按照信息安全事件所造成的后果可分为服务中断事件,数据破坏事件、数据泄露事件等,如图1所示.
突发事件应急预案:突发环境事件应急演练构筑库区水环境保护生命线
事件后果是信息安全事件的外在表征,是信息安全事件分类最常使用的要素,如常见的拒绝服务攻击事件、网页篡改事件、网页挂马事件、数据破坏事件、信息泄露事件等均是使用事件后果作为参考要素来界定的.事件后果用于识别信息安全事件虽然较为容易,但由于这种分类未基于全面认识信息安全事件,因此难以有力支撑信息安全事件的应急技术处置工作.
事件的内在原因是造成事件的关键要素,准确识别事件引发事件的内在原因是有针对性地开展有效的应急技术处置的前提.
事件的方法或路径是攻击者制造事件使用的攻击手段.在通常情况下’事件发生的方法或路径常与系统的安全漏洞(即事件的内在原因)有关,并会对可用性、完整性或保密性造成影响(即事件的后果).
事件的主体是指制造事件的人或物,识别事件的主体有助于事件责任的认定追究.
2.应急处置中的事件分类
2.1应急处置与事件识别
在信息安全事件的应急处置工作中,以网页篡改事件为例,网页内容被篡改是事件的具体表征,在确认事件发生后的第一时间内即可掌握.
在对网页篡改事件进行处置时,首先需要核查受害系统是真篡改还是假篡改,如图2所示.所谓真篡改是指受害网站的内容被未授权修改,假篡改是指虽然受害网站展现给用户的内容被修改但网站真实内容并未被修改.
对于假篡改,由于其真实的安全漏洞不在于受害系统本身,因此需要开展的应对措施也并不针对受害系统自身,例如发生在今年1月12日的百度网篡改事件.
对于真篡改,则需进一步确认是网页文件被修改还是数据库内容被修改.可能造成网页文件被修改的原因很多,例如管理人员滥用权限、网站所在主机的操作系统漏洞、网站后台管理系统的安全漏洞、网站后台*的弱口令等原因;可能造成数据库内容被修改的原因除了以上之外,还包括数据库管理系统的安全漏洞、动态脚本程序的SQL注入漏洞等等.
当应急人员通过对事件的逐步分析确定了造成事件发生的内在原因和实施路径后,才可能采取有针对性的应对措施,并彻底地根除事件,如图3所示.
从以上过程可见,在信息安全应急处置中,事件的结果表象与事件的内在原因是识别信息安全事件的最为关键的要素,也是事件分类的最重要要素.
2.2信息安全事件分类思路
在信息安全事件应急处置工作中,事件分类需要重点考虑两个方面,其一是易于判别,以便事发单位能够按照国家和地方信息安全专项应急预案的要求在第一时间确定事件类型并进行信息报送工作;其二是有利于事件的处置和防范,即可以由事件类别直接关联至该事件应对措施.
因此,信息安全事件可从两个层面进行分类,第一层为事件的表现、结果或其他易于识别的元素,如可用性破坏事件、完整性破坏事件、保密性破坏事件;第二层为事件的原因,如自然灾害、设备故障、环境故障、恶意程序、系统漏洞、配置漏洞、管理漏洞.事件结果与事件原因之间是多对多的关系,如自然灾害、环境故障、设备故障、恶意程序、系统漏洞、配置漏洞、管理漏洞等原因均能造成系统可用性受到影响的后果;恶意程序等原因也可造成系统可用性、完整性和保密性的丧失,如图4所示.
在具体的事件分类中,可将两层分类进一步细化,如完整性事件可根据具体的表现区分为网页篡改事件、网页挂马事件、其他数据未授权修改事件等;恶意程序事件可根据具体的类型区分为病毒事件、木马事件、蠕虫事件等.
3.结论
以事件结果和事件原因作为主要参考要素的分类方法,其分类结果既有助于应急响应人员能够在第一时间内识别事件并进行事件上报等工作,同时也与事件应急技术处置整个过程密切相关,是信息安全事件分类较为适合的方法.(责编岳逍远)
参考文献:
【1】《信息安全技术信息安全事件分类分级指南》 (GB/Z 20985-2007).
基金项目:北京市经济和信息化委员会资助经费项目《信息安全应急支援及装备能力提升》
作者简介:钱秀槟(1977-),男,副总工程师,硕士,主要研究方向:信息安全应急响应;刘海峰(1975-),男,副主任,副研究员,博士,主要研究方向:信息安全;刘国伟(1980-),男,工程师,硕士,主要研究方向:信息安全应急响应;李锦川(19 81-),男,工程师,本科,主要研究方向:信息安全应急响应;闫腾飞(1986-),男,工程师,本科,主要研究方向:信息安全应急响应.
总结:这是一篇与事件应急论文范文相关的免费优秀学术论文范文资料,为你的论文写作提供参考。
突发事件应急预案引用文献:
[1] 试论突发事件的媒体应对 论文大纲格式模板
[2] 群体性突发事件和时政在职毕业论文范文 关于群体性突发事件和时政相关毕业论文的格式范文2万字
[3] 群体性论文范文文献 群体性突发事件类毕业论文开题报告范文5000字
