网络安全应急响应灾备KB

目录

应急响应

定义

特点

国家相关标准和文件

事件分类与分级

应急响应组织

取证与保全

信息安全应急响应管理过程

灾备

关键词

灾备政策

灾备等级

灾备策略

受害恢复能力级别

灾难恢复管理过程


应急响应

定义:

指组织为了应对突发/重大信息安全管理事件的发生所作的准备,以及在事件后所采取的措施。

特点:

强突发性、强技术性、专业性、对知识经验的高依赖性、以及需要广泛的协调与合作。

国家相关标准和文件:

GB/T 24364-2009《信息安全技术 信息安全应急响应计划规划》、

GB/Z 20985-2007《信息技术 安全技术 信息安全事件管理指南》、

GB/Z 20986-2007《信息安全技术 信息安全事件分类分级指南》、

网信委《国家网络安全事件应急预案》、

工信部《工业控制系统信息安全事件应急管理工作指南》

《公共互联网网络安全突发事件应急预案》等。

事件分类与分级:

  • 事件分类:

分类依据:GB/Z 20986-2007 《信息安全技术 信息安全事件分类分级指南》

基本分类:有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其它信息安全事件7个基本类别。        基本分类包括若干子类,例如“网络攻击事件”包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其它网络攻击事件等子类。

  • 事件分级:

分级依据:GB/Z 20986-2007 《信息安全技术 信息安全事件分类分级指南》

分级程度特别重大事件、重大事件、较大事件、较小事件

*特别重大事件包括以下方面:全国范围内大量互联网用户无法正常上网、.CN国家级顶级域名系统解析效率大幅下降、1亿以上互联网用户信息泄露、网络病毒在全国范围大面积爆发、其它造成或可能造成特别重大危害或影响的网络安全事件。

分级三要素:信息系统的重要程度信息损失 社会影响

信息系统的重要程度(依赖程度):特别重要信息系统、重要信息系统和一般信息系统。

信息损失(事发组织损失和国家损失):特别严重的系统损失、严重的系统损失、较大的系统损失、较小的系统损失。

社会影响:特别重大的社会影响、重大的社会影响、较大的社会影响、较小的社会影响。

分类级别:

特别重大事件(一级):造成系统大面积瘫痪,丧失业务处理能力;或国家机密西信息、重要敏感信息和关键数据丢失或窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁;对其他国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

  • 使特别重要的信息系统系统遭受特别的系统损失。
  • 产生特别重大的社会影响。

重大事件(二级)

  • 会使特别重要的信息系统遭受严重的系统损失,或使重要的信息系统遭受特别严重的系统损失。
  • 产生重大的社会影响。

较大事件(三级)

  • 会使特别重要的信息系统遭受较大的系统损失,或使重要的信息系统遭受严重的系统损失、一般信息系统遭受特别严重的损失。
  • 产生较大的社会影响。

一般事件(四级)

  • 会使特别重要的信息系统遭受较小的系统损失,或使重要的信息系统遭受较大的系统损失、一般信息系统遭受严重或严重一下级别的系统损失。
  • 产生一般的社会影响

应急响应组织

常用名称:

        计算机网络安全事件应急组(Computer Network Security Emergency Response Teaam,CNSERT);

        计算机安全是事件响应组(Computer Security Incident Respond Team,CSIRT);

                信息安全事件响应组(Information Security Incident Respond Team,ISIRT);

事件响应组(Incident Respond Team,IRT);

(1)国际应急响应组织:

        世界上第一个信息安全响应组织是卡内基梅隆大学-计算机应急响应协调中心(Computer Emergency Response Team/Coordination Center,CERT/CC),协调处理整个互联网的信息安全应急响应。

        亚太地区计算机应急响应组(APCERT)

        欧洲计算机网络研究教育协会(TERENA)

(2)国内应急响应组织

        1995年5月,清华大学信息网络工程研究中心成立了中国第一个专门从事网络安全应急响应组织,即中国教育和科研计算机网应急响应组。1999年10月,东南大学网络中心成立了中国教育网华东(北)地区网络安全应急响应组

        中国电信:ChinaNet安全小组

        国家计算机网络与信息管理安全管理中心:国家计算机网络应急技术处理协调中心(CNCER/CC)

取证与保全:

1,准备阶段:

        获取授权-明确目标-准备工作-准备软件-准备介质(符合取证环境需要的干净的介质,并且有足够的容量)。

2,保护阶段:

        主要对目标环境进行保护,避免取证导致证据彻底丢失和数据进一步破坏。

        (1)保证数据安全性

        (2)保证数据完整性

3、提取阶段

4、分析阶段:对提取的数据进行详细的分析,从中发现攻击的痕迹或相关线索。

5、提交阶段

信息安全应急响应管理过程

1,准备:

        首先确定重要资产和风险,实施针对性防护措施。其次编制和管理应急响应计划(3个阶段:应急响应计划的编制准备,编制应急想用计划,应急响应计划的测试、培训和维护)。

2,检测:

        确认响应事件。确定事件类别和级别。初步动作和响应。

3,遏制:

        关闭系统;拔网线;调整防火墙策略;提高系统、服务和网络行为的监控级别;设置诱捕服务器作为陷阱;实施反击等。

4,根除:

        消除或阻断攻击源、找到并消除系统的脆弱性/漏洞、修改安全策略、加强防范措施、格式化被感染恶意程序的介质等。·

5,恢复:

        恢复相关人员的设备访问和地理区域的授权;获取所需的硬件部件;获取备份介质;恢复关键操作系统和应用软件等。

6,跟踪总结

灾备

关键词:

暂难恢复能力(Disaster Recover Capability,DRC),是在灾难发生后利用灾难恢复资源和灾难恢复预案及时恢复和继续运作的能力。

恢复时间目标(Recovery Time Objective,RTO),

恢复点目标(Recovery Point Objective,RPO)。

灾备政策:

        《灾难恢复中心建设与运维管理规范》

灾备等级:

国际:标准SHARE78,0-6级

        无异地备份(0级)简单异地备份(1级)热备中心备份(2级)电子传输备份(3级)自动定时备份(4级)实时数据备份(5级)数据零丢失(6级)

国内:《重要信息系统灾难恢复指南》,1-6级

        1级:基本支持        2级:备用场地支持        3级:电子传输和部分设备支持;        4级:电子传输及完整设备支持        5级:实时数据传输及完整设备支持;        6级:数据零丢失和远程集群支持

灾备策略:

(1)数据容灾:只有保证数据能够及时、完整地复制到灾备中心,才能在灾难发生时及时恢复受灾业务;

(2)系统容灾:实现灾难恢复地基础,要求信息系统本身具有容灾抗毁能力;包括冗余技术、集群技术、网络恢复技术等

(3)应用容灾:实现信息系统保持业务连续性、不间断服务的关键。

受害恢复能力级别

RTORPO恢复能力级别(国家标准)
48小时以上1~7天1
24~48小时1~7天2
12~24小时数小时~1天3
2~12小时数小时~1天4
30分钟~2小时0~30分钟5
小于30分钟06

灾难恢复管理过程

灾难恢复需求分析==>灾难恢复策略确定==>灾难恢复策略实现==>灾难恢复预案制定和管理

灾难恢复需求分析:

风险分析-->业务影响分析-->确定灾难恢复目标

        风险分析标识资产;标识威胁;标识脆弱性;标识现有控制;定量/定性风险分析

        业务影响分析:分析业务功能和相关资源配置;评估中断影响

        确定灾难恢复目标:关键业务功能及恢复优先级;RTO/RPO的范围

灾难恢复策略制定:

        制定恢复策略:确定灾难恢复资源获取方式;确定灾难恢复等级的要素要求;正式文档化

灾难恢复策略实现:

        灾难恢复策略的实现:灾难备份中心的选择和建设;灾备系统技术方案的实现;技术支持能力的实现;运行维护能力的实现。

灾难恢复预案制定和管理:

        灾难恢复预案的制定、落实和管理制定灾难恢复预案;灾难恢复预案的教育、培训和演练;灾难恢复预案的保存与分发。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/631323.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

canal server初始化源码分析

CanalLauncher类是canal server端启动的入口类,跟随代码进行深入。 在开始之前,我们可以先了解下, canal 配置方式 ManagerCanalInstanceGenerator: 基于manager管理的配置方式,实时感知配置并进行server重启Spring…

k8s---ingress对外服务(七层)

ingress 概念 k8s的对外服务,ingress service作用现在两个方面: 1、集群内部:不断跟踪的变化,更新endpoint中的pod对象,基于pod的ip地址不断变化的一种服务发现机制。 2、集群外部:类似于负载均衡器&a…

elasticsearch[二]-DSL查询语法:全文检索、精准查询(term/range)、地理坐标查询(矩阵、范围)、复合查询(相关性算法)、布尔查询

ES-DSL查询语法(全文检索、精准查询、地理坐标查询) 1.DSL查询文档 elasticsearch 的查询依然是基于 JSON 风格的 DSL 来实现的。 1.1.DSL 查询分类 Elasticsearch 提供了基于 JSON 的 DSL(Domain Specific Language)来定义查…

Python ddddocr 构建 exe 程序后运行报错:Failed Load model ... common_old.onnx

文章目录 ddddocr版本简单的 demo解决方案个人简介 ddddocr ddddocr是由sml2h3开发的专为验证码厂商进行对自家新版本验证码难易强度进行验证的一个python库,其由作者与kerlomz共同合作完成,通过大批量生成随机数据后进行深度网络训练,本身并…

qwen在vLLM下的长度外推简易方法

目的 在当前的版本vLLM中实现qwen的长度外推。 解决方法 在qwen的config.json中,增加如下内容: {"rope_scaling": { "type": "dynamic", "factor": 4.0} }dynamic:动态NTK factor:缩放因子,外推长…

虚拟环境中pip install不生效的解决方案

大家好,我是爱编程的喵喵。双985硕士毕业,现担任全栈工程师一职,热衷于将数据思维应用到工作与生活中。从事机器学习以及相关的前后端开发工作。曾在阿里云、科大讯飞、CCF等比赛获得多次Top名次。现为CSDN博客专家、人工智能领域优质创作者。喜欢通过博客创作的方式对所学的…

R语言【base】:interactive():R语言是否在交互状态下运行?

Package base version 4.2.0 Usage interactive() Details 交互式的 R 会话是指有一个虚拟的操作手与 R 交互,比如 R 可以针对错误的输入提示更正,或者也可以询问接下来如何处理,或者认为这是可以的并且进行下一步。 GUI 控制台将安排在交…

宏集干货丨探索物联网HMI的端口转发和NAT功能

来源:宏集科技 工业物联网 宏集干货丨探索物联网HMI的端口转发和NAT功能 原文链接:https://mp.weixin.qq.com/s/zF2OqkiGnIME6sov55cGTQ 欢迎关注虹科,为您提供最新资讯! #工业自动化 #工业物联网 #HMI 前 言 端口转发和NAT功…

vue 里 props 类型为 Object 时设置 default: () => {} 返回的是 undefined 而不是 {}?

问题 今天遇到个小坑&#xff0c;就是 vue 里使用 props 传参类型为 Object 的时候设置 default: () > {} 报错&#xff0c;具体代码如下 <template><div class"pre-archive-info"><template v-if"infoData.kaimo ! null">{{ infoD…

ubuntu系统(10):使用samba共享linux主机中文件

目录 一、samba安装步骤 1、Linux主机端操作 &#xff08;1&#xff09;安装sabma &#xff08;2&#xff09;修改samba配置文件 &#xff08;3&#xff09;为user_name用户设置samba访问的密码 &#xff08;4&#xff09;重启samba服务 2、Windows端 二、使用 1、代码…

K8s(四)Pod资源——pod生命周期、重启策略、容器钩子与容器探测

目录 Pod生命周期 Pod重启策略 初始化容器 容器钩子 容器探测 启动探测 存活探测 就绪探测 参考资料 Pod 的生命周期 | Kubernetes Init 容器 | Kubernetes Pod的生命周期可以分为以下几个阶段&#xff1a; Pending&#xff08;等待&#xff09;&#xff1a;在这个…

Linux系统文件类型简介

Linux中的文件类型 在Linux系统中&#xff0c;每个文件都有一个文件类型&#xff0c;用于表示文件的种类。常见的文件类型包括: -&#xff1a; 普通文件&#xff1b; d&#xff1a; 目录文件&#xff1b; b&#xff1a; 块设备文件&#xff1b; c&#xff1a; 字符设备文件&a…

掌上单片机实验室 – 低分辨率编码器测速方式完善(24)

一、背景 本以为“掌上单片机实验室”这一主题已告一段落&#xff0c;可最近在测试一批新做的“轮式驱动单元”时&#xff0c;发现原来的测速算法存在问题。 起因是&#xff1a;由于轮式驱动单元的连线较长&#xff0c;PCB体积也小&#xff0c;导致脉冲信号有干扰&#xff0c;加…

2. FPGA的电路结构概述

文章目录 1. 引言2. FPGA的一般结构2.1 概要2.2 FPGA三部分构成间的关系&#xff1a; 3. 小结 1. 引言 结构决定原理。原理未必决定结构。理解FPGA结构&#xff0c;进而能阐明其工作原理很有必要。FPGA产品的风云变换&#xff0c;其基本结构保持相对不变。 2. FPGA的一般结构…

使用 Postman 发送 get 请求的简易教程

在API开发与测试的场景中&#xff0c;Postman 是一种普遍应用的工具&#xff0c;它极大地简化了发送和接收HTTP请求的流程。要发出GET请求&#xff0c;用户只需设定正确的参数并点击发送即可。 如何使用 Postman 发送一个GET请求 创建一个新请求并将类型设为 GET 首先&#…

HCIP-BGP选路

选路规则 华为BGP选路规则 思科BGP选路规则 第0条 下一跳是否可达&#xff0c;如果不可达则不参与选路 BGP 向IBGP对等体发布import引入的IGP路由时&#xff0c; 将下一跳属性改为自身的接口地址&#xff0c;而非IGP中的下一跳地址。 peer next-hop-invariable命令有以下作…

CAN\CANFD数据记录仪汽车电子售后神器

随着汽车工业的快速发展&#xff0c;CAN总线已成为汽车电子控制网络的标准。因此&#xff0c;对CAN总线数据的记录和分析变得尤为重要。 CAN数据记录仪在汽车电子售后领域的应用主要包括以下几个方面&#xff1a; 故障诊断和排查&#xff1a;通过实时记录总线上的数据&#xf…

TCP的三次握手,四次挥手

三次握手 第一次握手&#xff1a;客户端发送SYN报文&#xff0c;井发送seq为x序列号给服务端&#xff0c;等待服务端的确认第二次握手&#xff1a;服务端发送SYNACK报文&#xff0c;并发送seq为Y的序列号&#xff0c;在确认序列号为x1第三次握手&#xff1a;客户端发送ACK报文&…

matlab读取pwm波数据,不用timer的方法,这里可以参考。Matlab/Simulink之STM32开发-编码器测速

这里提供了一个不用timer的方法&#xff0c;可以参考&#xff1a; https://blog.csdn.net/weixin_36967309/article/details/88699830 Matlab/Simulink之STM32开发-编码器测速

gateway和base包+Jdk17和Jdk8版本切换(总结)

gateway 一. Gateway和Base包二.Jdk版本升级启动Idea的问题一. Gateway和Base包 在开发过程中,可能研发团队会自己写好很多的工具包。这里需要注意的是,不能将自己开发的base包引入到gateway中,gateway的作用主要是为了转发控制。 因为在gateway中会有很多单独的过滤器链,…