应急响应描述
随着国家信息化建设进程的加速,计算机信息系统和网络已经成为重要的基础设施。随着网络安全组件的不断增多,网络边界不断扩大,网络安全管理的难度日趋增大,各种潜在的网络信息危险因素与日俱增。虽然网络安全的保障技术也在快速发展,但实践证明,现实中再完备的安全保护也无法抵御所有危险。因此,完善的网络安全体系要求在保护体系之外必须建立相应的应急响应体系。
采纳了业内通常使用的PDCERF方法学,结合《中华人民共和国网络安全法》、 《国家网络安全事件应急预案》、 《信息安全技术信息安全事件分类分级指南》等规定。
应急响应介绍
现场应急响应:应急响应小组根据客户需求,到客户突发现场进行应急处置。需注意相关操作必须获得用户授权,并对操作过程进行记录。
远程应急响应:应急响应小组远程通过电话、邮件等方式指导用户进行应急处置。
应急响应流程
为最大限度科学、合理、有序地处置网络安全事件,采纳了业内通常使用的PDCERF方法学(最早由1987 年美国宾夕法尼亚匹兹堡软件工程研究所在关于应急响应的邀请工作会议上提出),将应急响应分成准备(Preparation)、检测(Detection)、抑制(Containment)、根除(Eradication)、恢复(Recovery)、跟踪(Follow-up)6个阶段的工作,并根据网络安全应急响应总体策略对每个阶段定义适当的目的,明确响应顺序和过程。
应急响应准备阶段
准备阶段需要及时和客户确认事件背景、相关负责人联系方式、确定我方参与此次应急响应人员、根据客户描述,初步判定事件响应策略,携带应急响应工具包前往客户现场。
应急响应检测阶段
检测阶段确认入侵事件是否发生,如真发生了入侵事件,评估造成的危害、范围以及发展的速度,事件会不会进一步升级。然后根据评估结果通知相关的人员进入救火的流程
。
1.恶意程序事件
计算机病毒事件,蠕虫事件,特洛伊木马事件,僵尸网络事件,混合攻击程序事件,网页内嵌恶意代码事件,其他有害程序事件。
。
2.信息内容安全事件
违反宪法和法律,行政法规的信息安全事件、针对社会事项进行讨论评论形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件、组织串联,煽动集会游行的信息安全事件、其他安全事件。
3.设备设施故障事件
软硬件自身故障、外围保障设施故障、人为破坏事故、其他设备设施故障。
4.灾害性事件
由于不可抗力对信息系统造 成物理破坏而导致的信息安全事件。
5.信息破坏事件
信息篡改事件,信息假冒事件,信息泄露事件,信息窃取事件,信息丢失事件,其他信息破坏事件
6.网络攻击事件
拒绝服务器攻击事件,后门攻击事件,漏洞攻击事件,网络扫描窃听事件,网络钓鱼事件,干扰事件,其他网络攻击事件。
应急响应遏制阶段
采用针对性的安全措施降低事件损失、避免安全事件的扩散和安全事件对受害系统的持续性破坏。
应急响应根除阶段
根除阶段的主要任务是通过事件分析查明事件危害的方式,并且给出清除危害的解决方案。
应急响应恢复阶段
恢复系统的运行过程,就是把受影响系统、设备、软件和应用服务还原到正常的工作状态;系统恢复、网络恢复、用户恢复、数据恢复以及重新部署。
应急响应跟踪阶段
在业务系统恢复后,需要整理一份详细的事件总结报告,包括事件发生及各部门介入处理的时间线,事件可能造成的损失,为客户提供安全加固优化建议。
公众号后台回复:Linux应急工具获取linux系统应急工具包
win应急获取windows系统应急工具包
--------------------------
嘿,如果您喜欢今天的分享,
请在文末【分享-点赞-在看】,
让大明有更多动力分享优质内容,
谢谢您!
本文始发于微信公众号(黑云信息安全):浅谈应急响应
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论