最新文章專題視頻專題問答1問答10問答100問答1000問答2000關鍵字專題1關鍵字專題50關鍵字專題500關鍵字專題1500TAG最新視頻文章推薦1 推薦3 推薦5 推薦7 推薦9 推薦11 推薦13 推薦15 推薦17 推薦19 推薦21 推薦23 推薦25 推薦27 推薦29 推薦31 推薦33 推薦35 推薦37視頻文章20視頻文章30視頻文章40視頻文章50視頻文章60 視頻文章70視頻文章80視頻文章90視頻文章100視頻文章120視頻文章140 視頻2關鍵字專題關鍵字專題tag2tag3文章專題文章專題2文章索引1文章索引2文章索引3文章索引4文章索引5123456789101112131415文章專題3
問答文章1 問答文章501 問答文章1001 問答文章1501 問答文章2001 問答文章2501 問答文章3001 問答文章3501 問答文章4001 問答文章4501 問答文章5001 問答文章5501 問答文章6001 問答文章6501 問答文章7001 問答文章7501 問答文章8001 問答文章8501 問答文章9001 問答文章9501
當前位置: 首頁 - 生活 - 知識百科 - 正文

幼兒園網絡安全應急預案

來源:懂視網 責編:小采 時間:2022-03-23 19:26:09
文檔

幼兒園網絡安全應急預案

網絡安全應急預案是在特定網絡和系統(tǒng)面臨或已經遭突然攻擊行為時,進行快速應急反應,提出并實施應急方案。網絡安全應急預案涉及入侵檢測、事件診斷、攻擊隔離、快速恢復、網絡追蹤、計算機取證、自動響應等關鍵技術,對安全管理也提出更高的要求。應急預案分為準備、檢測、抑制、根除、恢復、跟進6個階段的工作。
推薦度:
導讀網絡安全應急預案是在特定網絡和系統(tǒng)面臨或已經遭突然攻擊行為時,進行快速應急反應,提出并實施應急方案。網絡安全應急預案涉及入侵檢測、事件診斷、攻擊隔離、快速恢復、網絡追蹤、計算機取證、自動響應等關鍵技術,對安全管理也提出更高的要求。應急預案分為準備、檢測、抑制、根除、恢復、跟進6個階段的工作。

網絡安全應急預案包括哪些呢?不知道的小伙伴來看看小編今天的分享吧!

網絡安全應急預案是在特定網絡和系統(tǒng)面臨或已經遭突然攻擊行為時,進行快速應急反應,提出并實施應急方案。作為一項綜合性工作,網絡安全應急預案不僅涉及入侵檢測、事件診斷、攻擊隔離、快速恢復、網絡追蹤、計算機取證、自動響應等關鍵技術,對安全管理也提出更高的要求。應急預案分為準備、檢測、抑制、根除、恢復、跟進6個階段的工作。

一、準備階段

準備(Preparation)階段是網絡安全事件響應的第一個階段,也屬于一個過渡階段,即橫跨在網絡安全事件真正發(fā)生前和有跡象將要發(fā)生的時間段上,大部分工作需要在應急響應之前就已做好準備。這一階段極為重要,因為事件發(fā)生時可能需要在短時間內處理較多事務,如果沒有足夠的準備,將無法準確地完成及時響應,導致難以意料的損失

準備階段的工作內容主要有2個,一是對信息網絡系統(tǒng)進行初始化快照。二是準備應急響應工具包。系統(tǒng)快照是指常規(guī)情況下,信息系統(tǒng)進程、賬號、服務端口和關鍵文件簽名等狀態(tài)信息的記錄。通過在系統(tǒng)初始化或發(fā)生重要狀態(tài)改變后,在確保系統(tǒng)未被入侵的前提下,立即制作并保存系統(tǒng)快照,并在檢測的時候將保存的快照與信息系統(tǒng)當前狀態(tài)進行對比,是后續(xù)“檢測”安全事件的一種重要途徑。

準備階段工作流程分:系統(tǒng)維護人員按照系統(tǒng)的初始化策略對系統(tǒng)進行安裝和配置加固。系統(tǒng)維護人員對安裝和配置加固后的系統(tǒng)進行自我檢查,確認是否加固完成。系統(tǒng)維護人員建立系統(tǒng)狀態(tài)快照。系統(tǒng)維護人員對快照信息進行完整性簽名,以防止快照被非法篡改。系統(tǒng)維護人員將快照保存在與系統(tǒng)分離的存儲介質上。

準備階段操作說明:

1、對系統(tǒng)的影響:操作不會對系統(tǒng)造成影響,在系統(tǒng)正常運行情況下執(zhí)行各個步驟。

2、操作的復雜度(容易/普通/復雜):容易。

3、操作效果:對執(zhí)行后的結果必須保存到不可更改的存儲介質。

4、操作人員:各操作系統(tǒng)、數據庫、網絡設備的系統(tǒng)維護人員。

二、檢測階段

講述檢測階段的網絡安全應急響應實施。結合準備階段生成的系統(tǒng)初始化狀態(tài)快照,這里概要介紹檢測安全事件(系統(tǒng)安全事件、網絡安全事件、數據庫安全事件)相關內容和技術。除對比系統(tǒng)初始化快照外,安全事件檢測手段還包括部署入侵檢測設備、流量監(jiān)控和防病毒系統(tǒng)集中監(jiān)控等。其中,入侵檢測系統(tǒng)通過偵聽網絡流量并與事先存在的攻擊特征匹配,實現對入侵事件的實時和自動發(fā)現。入侵檢測系統(tǒng)往往存在較高的誤報率。實際應用入侵檢測系統(tǒng)時,需要結合部署環(huán)境的實際情況定制檢測策略,以保證檢測的準確性。流量監(jiān)控的檢測方式對于發(fā)現有明顯流量特征的安全事件,如網絡蠕蟲十分有效。在事件檢測階段做到“及時發(fā)現”,必須合理利用各種已有的檢測手段,綜合分析發(fā)現安全事件的真實原因。

檢測階段工作內容:檢測階段是應急響應執(zhí)行過程中的關鍵一環(huán),在這個階段需要系統(tǒng)維護人員使用初級檢測技術進行檢測,確定系統(tǒng)是否出現異常。在發(fā)現異常情況后,形成安全事件報告,由安全技術人員和安全專業(yè)技術人員介入進行高級檢測來查找安全事件的真正原因,明確安全事件的特征、影響范圍并標識安全事件對受影響的系統(tǒng)所帶來的改變,最終形成安全事件的應急處理方案。

檢測階段工作流程:

第一步:系統(tǒng)維護人員或安全技術人員在執(zhí)行日常任務和檢測中發(fā)現系統(tǒng)異常。

第二步:發(fā)現異常情況后,形成安全事件報告。

第三步:安全技術人員、系統(tǒng)維護人員和第三方安全事件應急服務人員查找安全事件的原因。

第四步:安全技術人員、系統(tǒng)維護人員和第三方安全事件應急服務人員確定安全事件的原因、性質和影響范圍。

第五步:安全技術人員、系統(tǒng)維護人員和第三方安全事件應急服務人員確定安全事件的應急處理方案。

操作說明:檢測階段操作不會對系統(tǒng)造成影響,在系統(tǒng)正常運行情況下執(zhí)行各個步驟,但在事件驅動檢測方式中,確定有安全事件發(fā)生的情況下必須根據流程采取相應的措施,防止中斷系統(tǒng)或網絡的正常運行。初級檢測操作的復雜度為“普通”,高級檢測操作的復雜度為“復雜”。例行檢測是一種積極的方式,能預先發(fā)現系統(tǒng)和網絡存在的漏洞,可根據流程采取補救措施;事件驅動方式的檢測方法對安全事件能迅速響應,不會讓安全事件擴大。檢測階段的操作人員主要有:系統(tǒng)維護人員、安全技術人員、第三方安全事件應急服務人員、安全評估人員。

三、抑制和根除階段

介紹各類安全事件(拒絕服務類攻擊、系統(tǒng)漏洞及惡意代碼類攻擊、網絡欺騙類攻擊、網絡竊聽類攻擊、數據庫 SQL 注入類攻擊)相應的抑制或根方法和技術。

抑制和根除階段的工作內容:

首先,網絡安全攻擊事件的進行可以分為拒絕服務類攻擊、系統(tǒng)漏洞及惡意代碼類攻擊、網絡欺騙類攻擊、網絡竊聽類攻擊、數據庫SQL注入類攻擊,針對每一類攻擊事件都需提供抑制方法,以及可操作性的技術規(guī)范和指導。

抑制是對攻擊所影響的范圍、程度進行扼制,通過采取各種方法,控制、阻斷、轉移安全攻擊。抑制階段主要是針對前面檢測階段發(fā)現的攻擊特征,比如攻擊利用的端口、服務、攻擊源、攻擊利用系統(tǒng)漏洞等,采取有針對性的安全補救工作,以防止攻擊進一步加深和擴大。抑制階段的風險是可能對正常業(yè)務造成影響,如系統(tǒng)中了蠕蟲病毒后要拔掉網線,遭到DDoS 攻擊時會在網絡設備上做一些安全配置,由于簡單口令遭到入侵后要更改口令會對系統(tǒng)的業(yè)務造成中斷或延遲,所以在采取抑制措施時,必須充分考慮其風險。

根除階段是在抑制的基礎上,對引起該類安全問題的最終技術原因在技術上進行完全的杜絕,并對這類安全問題所造成的后果進行彌補和消除。在根除階段,采取措施最大的風險主要是在系統(tǒng)升級或補丁時可能造成系統(tǒng)故障,所以必須做好備份工作。在進入抑制和根除階段之前,應形成安全事件應急響應方案,并對方案的實施獲取必要的管理授權。

抑制和根除階段的工作流程:

第一步:應急處理方案獲得授權。

第二步:系統(tǒng)維護人員、安全技術人員和第三方安全事件應急服務人員共同測試應急處理方案驗證效果。

第三步:系統(tǒng)維護人員、安全技術人員和第三方安全事件應急服務人員共同測試應急處理方案是否影響系統(tǒng)運行,對系統(tǒng)的影響程度不可接受時返回檢測階段。

第四步:實施應急處理方案。

第五步:當實施應急處理方案失敗的情況下,采取應變和回退措施,并返回到檢測階段。

此階段工作中應注意以下兩點。

1、第三方安全事件應急服務人員僅在必要時參加。

2、測試工作根據實際情況可以選擇口頭演練、試驗室測試、現網局部測試3種方式進行。

 抑制和根除階段操作說明:應急處理方案由相關人員和第三方安全事件應急服務人員共同制定,根據流程需進行嚴格和充分的測試,但是由于抑制和根除操作需要對系統(tǒng)作相關設置,加上一些系統(tǒng)實際情況較為特殊和復雜,必須根據系統(tǒng)實際情況制定實施應急處理方案失敗的應變和回退措施。抑制和根除階段操作的復雜度為“復雜”。具體執(zhí)行操作人員包括系統(tǒng)維護人員、安全技術人員、第三方安全事件應急服務人員。

四、恢復階段

恢復階段是指通過采取一系列的措施將系統(tǒng)恢復到正常業(yè)務狀態(tài)。下面所闡述的內容未包含恢復階段的全部技術內容,尤其是與各個業(yè)務系統(tǒng)實際情況相結合的部分,有關此部分的內容應在各業(yè)務系統(tǒng)的應急預案和業(yè)務連續(xù)性計劃中體現。介紹的恢復方式包含2種。一是在應急處理方案中列明所有系統(tǒng)變化的情況下,直接刪除并恢復所有變化;二是在應急處理方案中未列明所有系統(tǒng)變化的情況下,重裝系統(tǒng)。

恢復階段工作內容:

主要內容是將系統(tǒng)恢復到正常的任務狀態(tài)。在系統(tǒng)遭到入侵后,攻擊者一定會對入侵的系統(tǒng)進行更改。同時,攻擊者還會想盡各種辦法使這種修改不被系統(tǒng)維護人員發(fā)現。從而達到隱藏自己的目的。在根除階段能徹底恢復配置和清除系統(tǒng)上的惡意文件,并且能夠確定系統(tǒng)在所有變化完全根除的情況下,通過直接恢復業(yè)務系統(tǒng)的方式來恢復系統(tǒng)。這種恢復方式的優(yōu)點是時間短、系統(tǒng)恢復快、系統(tǒng)維護人員工作量小和對業(yè)務的影響較小。在根除階段不能徹底恢復配置和清除系統(tǒng)上的惡意文件或不能肯定系統(tǒng)是否經過根除后已達干凈時,就一定要徹底地重裝系統(tǒng)。簡單地說,系統(tǒng)重裝往往是系統(tǒng)最可靠的系統(tǒng)恢復手段。

恢復階段工作流程:如果應急處理方案中列明所有系統(tǒng)變化,刪除并恢復所有變化,實施安全加固。如果存在應急處理方案中未列明所有的系統(tǒng)變化,備份重要數據,低級格式化磁盤。嚴格按照系統(tǒng)的初始化安全策略安裝和加固.

恢復階段操作說明:恢復階段操作對系統(tǒng)的影響較大,操作系統(tǒng)需要停止,安全加固后對系統(tǒng)再次快照,審計合格后方可上線運行。操作的復雜度為“普通”,但必須嚴格按照操作步驟執(zhí)行。操作人員一般僅為企業(yè)內部系統(tǒng)維護人員。

重裝系統(tǒng):

由于恢復階段可以采取重裝系統(tǒng)這一簡單有效的辦法達到初始運行狀態(tài),因此再介紹一下重裝系統(tǒng)的步驟和需要注意的事項。

1、重裝系統(tǒng)時應采取的步驟

(1)重新安裝操作系統(tǒng)之前要確定所有資料已經備份。備份的資料要保證是沒有被攻擊者改變的干凈的資料。

(2)低級格式化硬盤,確保所有磁盤分區(qū)為系統(tǒng)的安全分區(qū)。

(3)操作系統(tǒng)、Web主目錄、日志分別安裝在不同的分區(qū),注意權限配置。

(4)不要安裝不需要的軟件、協(xié)議和服務,盡量最小化安裝。

(5)安全加固請參閱安全配制文檔并打上所有的補丁。

(6)安裝應用軟件如IIS,應參照安全配置文檔進行配置。

(7)安裝操作系統(tǒng)和應用軟件的最新補丁。

(8)恢復備份的資料。

(9)恢復業(yè)務系統(tǒng)。

2、重裝系統(tǒng)時的注意事項

(1)為了徹底消除攻擊者可能留下的安全隱患,一定進行低級格式化。這樣做將刪除所有的資料并且沒有辦法再恢復,所以一定要做好備份工作。

(2)在重新安裝系統(tǒng)的時候要嚴格遵守系統(tǒng)安裝的各項規(guī)定。

(3)系統(tǒng)在安裝和安全配置沒有全部做好之前,嚴禁連接網絡。

(4)恢復系統(tǒng)的應用和數據的時候,要對應用和數據進行檢查。以免其中存在的漏洞隨著數據恢復被安裝在系統(tǒng)上。

安全加固及系統(tǒng)初始化:在系統(tǒng)重裝完畢后,正式上線以前,必須做好以下兩件事情。

1、安全加固進行系統(tǒng)的安全加固工作;尤其要注意對引發(fā)安全事件的漏洞的修復和加固的處理,如果手冊上沒有,要及時對手冊進行更新。

2、安全快照在進行安全加固后,按照第一階段介紹的方法做好系統(tǒng)的安全快照。

五、跟進階段

跟進階段的目的是通過對系統(tǒng)的審計(進行完整的檢測流程),確認系統(tǒng)有沒有被再入侵。在檢測過程中特別應該注意的是檢查抑制和根除階段的工作效果。同時回顧、總結并整合發(fā)生應急響應事件過程中的相關信息。提高事件處理人員技能,以應付將來發(fā)生的類似場景。提高安全事件應急響應的處理能力。

跟進的意義在于:

(1)基于吸取的教訓重新評估和修改安全事件應急響應相關措施;

(2)調整組織的安全技術策略;

(3)調整組織的安全管理策略和資源配置;

(4)促進安全事件應急響應能力和組織機構的建設。跟進階段對抑制或根除的效果進行審計,從而為確認系統(tǒng)沒有被再次入侵提供了幫助。

跟進階段工作內容:

跟進階段是應急響應的最后一個階段,主要是對抑制或根除的效果進行審計,確認系統(tǒng)沒有被再次入侵。下面將詳細說明跟進階段的工作要如何進行、在何時進行比較合適、具體的工作流程、要思考和總結的問題以及需要報告的內容。跟進階段的主要任務是確認系統(tǒng)有沒有被再入侵,確認系統(tǒng)有沒有被再入侵是通過對抑制或根除的效果進行審計完成的。這種審計是一個需要定期進行的過程。通常,第一次審計應該在一定期限之內進行,以后再進行復查,并輸出跟進階段的報告內容,包括安全事件的類型、時間、檢測方法、抑制方法、根除方法、事件影響范圍等。要在跟進階段報告中詳細記錄這些內容。

跟進階段還需對事件處理情況進行總結,吸取經驗教訓,對已有安全防護措施和安全事件應急響應預案進行改進。跟進階段是安全事件應急響應6個階段方法論的最后一個階段。跟進階段是6個階段中最可能被忽略的階段。但這一步也是非常關鍵的。該階段需要完成的原因有以下幾點。

1、有助于從安全事件中吸取經驗教訓,提高技能。

2、有助于評判應急響應組織的事件響應能力。

3、如果可能的話,可以在更大范圍推廣介紹事件處理經驗。

跟進階段工作流程:

第一步:執(zhí)行完整的檢測階段流程。

第二步:確認系統(tǒng)是否再次被入侵,如果有,請回到抑制和根除階段。

第三步:總結安全事件的處理過程和技能,調整安全策略,輸出總結文檔。

第四步:輸出跟進階段的報告內容。

第五步:安排再次審計。

跟進階段操作說明:

1、對系統(tǒng)的影響:不會對系統(tǒng)造成影響,在系統(tǒng)正常運行情況下執(zhí)行各個步驟。

2、操作的復雜度(容易/普通/復雜/):普通。

3、操作效果:確定系統(tǒng)狀態(tài),總結應急響應流程和技術。

4、操作人員:系統(tǒng)維護人員、安全技術人員、第三方安全事件應急服務人員、安全評估人員。

跟進階段的報告格式及模板:

跟進階段最重要的任務就是要記錄下整個應急響應的報告,要寫報告內容、包括安全事件的類型、時間、檢測方法、抑制方法、根除方法、事件影響范圍等。詳細記錄下這些內容備用。此處先介紹一下需要記錄的內容條目,然后給出跟進報告的模板。

跟進階段報告里需要寫清楚的內容條目如下。

1、事件類型:事件類型是對事件的定性,要包括的信息有攻擊的來源(內部/外部,國內/國外)、攻擊的方法、攻擊導致的后果等。

2、時間:不能簡單地記錄計算機的時間,還要記錄當前標準時間以及受攻擊的系統(tǒng)同標準時間的誤差。

3、檢測方法:記錄采用了什么檢測方法,檢測到了什么結果。

4、抑制方法:記錄采用了什么抑制方法,抑制的效果如何。

5、根除方法:記錄采用了什么根除方法,根除效果如何。

6、事件影響:估計和總結事件的影響范圍,總結在事件整個過程中的成功經驗。

以上就是小編今天的分享了,希望可以幫助到大家。

聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com

文檔

幼兒園網絡安全應急預案

網絡安全應急預案是在特定網絡和系統(tǒng)面臨或已經遭突然攻擊行為時,進行快速應急反應,提出并實施應急方案。網絡安全應急預案涉及入侵檢測、事件診斷、攻擊隔離、快速恢復、網絡追蹤、計算機取證、自動響應等關鍵技術,對安全管理也提出更高的要求。應急預案分為準備、檢測、抑制、根除、恢復、跟進6個階段的工作。
推薦度:
  • 熱門焦點

最新推薦

猜你喜歡

熱門推薦

專題
Top