- 网络安全应急响应技术实战
- 李江涛等编著
- 899字
- 2021-01-05 18:12:41
第3章
网络安全应急响应实施的流程
根据应急响应的PDCERF模型可分为6个阶段来处理,分别是准备(Preparation)、检测(Detection)、遏制(Containment)、根除(Eradication)、恢复(Recovery)、跟踪(Follow-up)。
1. 准备
这个阶段以预防为主。主要工作涉及识别公司的风险,建立安全政策、协作体系和应急制度;按照安全政策配置安全设备和软件,为应急响应与恢复准备主机;通过网络安全措施为网络进行一些准备工作,如扫描、风险分析、打补丁,在有条件且得到许可时,建立监控设施、数据汇总分析体系的能力;制定能够实现应急响应目标的策略和规程,建立信息沟通渠道和通报机制;创建能够使用的响应工作包;建立能够集合起来处理突发事件的应急响应小组。
2. 检测
检测事件是已经发生还是在进行中,以及事件产生的原因和性质。确定事件的性质和影响的严重程度,预计采用什么样的专用资源来修复。选择检测工具,分析异常现象,提高系统或网络行为的监控级别,估计安全事件的范围。通过汇总确定是否发生了全网的大规模事件;确定应急等级,以决定启动哪一级应急方案。
3. 遏制
及时采取行动遏制事件发展。通过初步分析,重点确定遏制的方法,如隔离网络,修改所有防火墙和路由器的过滤规则,删除攻击者的登录账号,关闭被利用的服务器或关闭主机等;咨询安全政策;确定进一步操作的风险,以控制损失;列出若干选项,并说明各自的风险,由服务对象来做决定。确保封锁方法对各网业务影响最小;通过协调争取各网的一致行动,实施隔离;汇总数据估算损失和隔离效果。
4. 根除
彻底解决问题隐患。分析原因和漏洞;进行安全加固;改进安全策略,公布危害性和解决办法,呼吁用户解决终端问题;加强检测工作,发现和清理行业与重点部门的问题。
5. 恢复
用备份恢复被攻击的系统。做一个新的备份,对所有安全上的变更做备份;服务重新上线并持续监控进行汇总分析,了解各网的运行情况;根据各网的运行情况判断隔离措施的有效性;通过汇总分析的结果判断仍然受影响的终端规模;发现重要用户及时通报解决;在适当的时候解除封锁措施。
6. 跟踪
关注系统恢复后的安全状况,特别是曾经出现问题的地方;建立跟踪文档,规范记录跟踪结果;对响应效果给出评估;对进入司法程序的事件做进一步调查,以打击违法犯罪的活动。