网络安全应急响应流程图

一、网络安全应急响应建设的背景和现状

当前,许多地区和单位已经初步建立了网络安全预警机制,实现了对一般网络安全事件的预警和处置。但是,由于网络与信息安全技术起步相对较晚,发展时间较短,与其他行业领域相比,其专项应急预案、应急保障机制和相关的技术支撑平台都还在不断发展中。各政府机构、企业也根据自身情况,设计了服务于自身的网络与信息安全应急预案,建立有相应的制度流程和保障队伍,但相关的应急流程和保障措施普遍存在有自动化程度低、与实践脱节等共性问题。在面对重大网络与信息安全事件时,现有机制还是凸显出一定的不足:机制尚显薄弱,难以有效整合资源,或是难以实现从预警到评判再到应急处置的快速反应处置机制。

基于现实困境,在充分运用既有研究、建设成果的基础上,应当进一步实现信息汇聚、信息分析、联合研判、辅助决策、应急指挥、应急演练、预案管理等核心处置流程,确保一旦发生重大信息安全事件,能够迅速研判,形成预案,迅速指挥调度相关部门执行应急预案,做好应对措施,避免给国家和社会造成重大影响和损失,防止威胁国家安全的情况发生。

二、网络安全应急响应体系的要素

建立良好的网络安全应急保障体系,使其能够真正有效地服务于网络安全保障工作,应该重点加强以下几方面的能力。

(一)综合分析与汇聚能力

网络安全领域的应急保障,有其自身较为明显的特点,其对象灵活多变、信息复杂海量,难以完全靠人力进行综合分析决策,需要依靠自动化的现代分析工具,实现对不同来源海量信息的自动采集、识别和关联分析,形成态势分析结果,为指挥机构和专家提供决策依据。完整、高效、智能化,是满足现实需求的必然选择。因此,应有效建立以信息汇聚(采集、接入、过滤、范化、归并)、管理(存储、利用、管理)、分析(基础分析、统计分析、业务关联性分析、技术关联性分析)、发布(多维展现)等为核心的完整能力体系,在重大信息安全事件发生时,能够迅速汇集各类最新信息,形成易于辨识的态势分析结果,最大限度地为应急指挥机构提供决策参考依据。

(二)综合管理能力

伴随着互联网的飞速发展,网络安全领域相关的技术手段不断翻新,对应急指挥的能力、效率、准确程度要求更高。在实现网络与信息安全应急指挥业务的过程中,应注重用信息化手段建立完整的业务流程,注重建立集网络安全综合管理、动态监测、预警、应急响应为一体的网络安全综合管理能力。

要切实认识到数据资源管理的重要性,结合日常应急演练和管理工作,做好应急资源库、专家库、案例库、预案库等重要数据资源的整合、管理工作,在应急处理流程中,能够依托自动化手段,针对具体事件的研判处置推送关联性信息,不断丰富数据资源。

(三)处理网络安全日常管理与应急响应关系的能力

网络安全日常管理与应急响应有较为明显的区别,其主要体现在以下3个方面。

1、业务类型不同。日常管理工作主要包括对较小的信息安全事件进行处置,组织开展应急演练工作等,而应急响应工作一般面对较严重的信息安全事件,需要根据国家政策要求,进行必要的上报,并开展或配合开展专家联合研判、协同处置、资源保障、应急队伍管理等工作。

2、响应流程不同。日常管理工作中,对较小事件的处理在流程上要求简单快速,研判、处置等工作由少量专业人员完成即可。而应急响应工作,需要有信息上报、联合审批、分类下发等重要环节,响应流程较为复杂。

3、涉及范围不同。应急响应工作状态下,严重的网络安全事件波及范围广,需要较多的涉事单位、技术支撑机构和个人进行有效协同,也需要调集更多的应急资源进行保障,其涉及范围远大于日常工作状态。

然而,网络安全日常管理与应急工作不可简单割裂。例如,两者都需要建立在对快速变化的信息进行综合分析、研判、辅助决策的基础之上,拥有很多相同的信息来源和自动化汇聚、分析手段。同时,日常工作中的应急演练管理、预案管理等工作,本身也是应急响应能力建设的一部分。因此,在流程机制设计、自动化平台支撑等方面,应充分考虑2种工作状态的联系,除对重大突发网络安全事件应急响应业务进行能力设计实现外,还应注重强化对日常业务的支撑能力,以能够最大限度地发挥管理机构能力和效力。

(四)协同作战能力

研判、处置重大网络信息安全事件,需要多个单位、部门和应急队伍进行支撑和协调,需要建设良好的通信保障基础设施,建立顺畅的信息沟通机制,并通过经常开展应急演练工作,使各单位、个人能够在面对不同类型的事件时,熟悉所承担的应急响应角色,熟练开展协同保障工作。

三、网络安全事件的应急响应流程

随着国家信息化建设进程的加速,计算机信息系统和网络已经成为重要的基础设施。随着网络安全组件的不断增多,网络边界不断扩大,网络安全管理的难度日趋增大,各种潜在的网络信息危险因素与日俱增。虽然网络安全的保障技术也在快速发展,但实践证明,现实中再完备的安全保护也无法抵御所有危险。因此,完善的网络安全体系要求在保护体系之外必须建立相应的应急响应体系。

(一)网络安全应急响应六大阶段

为最大限度科学、合理、有序地处置网络安全事件,采纳了业内通常使用的PDCERF方法学(最早由 1987 年美国宾夕法尼亚匹兹堡软件工程研究所在关于应急响应的邀请工作会议上提出),将应急响应分成准备(Preparation)、检测(Detection)、抑制(Containment)、根除(Eradication)、恢复(Recovery)、跟踪(Follow-up)6个阶段的工作,并根据网络安全应急响应总体策略对每个阶段定义适当的目的,明确响应顺序和过程。应急响应PDCERF模型如图1所示。

                                                       图1 应急响应PDCERF模型

(二)网络安全事件分阶段响应流程

1、准备阶段

选择、安装和熟悉响应过程中的协助工具及有助于收集和维护与入侵相关数据的工具,为所有的应用软件和操作系统创建启动盘或随机器发行的介质库。用初始可靠的启动盘(或CD−ROM)使机器以已知的预先设定的配置重新启动,这在相当程度上能保证被入侵后的文件、程序以及数据不会加载到系统中。

为了防止不可预期的变化,在试验机器上安装可信任版本的系统;为了避免有意或无意的破坏,所有的介质应该处于硬件写保护状态。

建立一个包含所有应用程序和不同版本的操作系统的安全补丁库。确保备份程序足够从任何损害中恢复。建立资源工具包并准备相关硬件设备资源工具包,包含在响应过程中可能要使用的所有工具。确保测试系统正确配置且可用在任何分析或测试中,使用被入侵的系统都可能导致这些系统进一步地暴露和损害。已被入侵的系统产生的任何结果都是不可靠的。此外,采用这样的系统或许会由于恶意程序而暴露正在进行的测试。使用物理和逻辑上与任何运行的系统和网络隔离的测试系统和测试网络。选择将被入侵的系统移到测试网络中,并且部署新安装的打过补丁的安全系统,以便继续运行。在完成分析后,清除所有的磁盘,这样可以确保任何残留文件或恶意程序不影响将来的分析,或任何正在测试系统上进行的工作,或无意中被传到其他运行系统中。这在测试系统还有其他用途时是很关键的。备份所有被分析的系统以及保护分析结果,以备将来进一步分析。

2、检测阶段

检测阶段的主要任务有发现可疑迹象或问题发生后进行的一系列初步处理工作,分析所有可能得到的信息来确定入侵行为的特征。

一旦被入侵检测机制或另外可信的站点警告已经检测到了入侵,需要确定系统和数据被入侵到了什么程度。需要权衡收集尽可能多信息的价值和入侵者发现他们的活动被发现的风险之间的关系。一些入侵者会惊慌并试图删除他们活动的所有痕迹,进一步破坏准备拯救的系统。这会使分析无法进行下去。

备份并“隔离”被入侵的系统,进一步查找其他系统上的入侵痕迹。检查防火墙、网络监视软件以及路由器的日志,确定攻击者的入侵路径和方法,以及入侵者进入系统后都做了什么。

在当前缺少安全预警机制的情况下,网络安全的应急响应活动主要还是立足于事中或事后的确认,而且,即使是在事中或事后,也不一定可以发现存在的安全问题,往往都是在已经造成了破坏之后,才发生了对系统可用性、完整性和保密性造成明显破坏的行为或者有了用户投诉后才会去了解发生的安全问题。

一般典型的事故现象包括:

(1)账号被盗用;

(2)骚扰性的垃圾信息;

(3)业务服务功能失效;

(4)业务内容被明显篡改;

(5)系统崩溃、资源不足。

3、抑制阶段

抑制阶段的主要任务是限制事件扩散和影响的范围。抑制举措往往会对合法业务流量造成影响,最有效的抑制方式是尽可能地靠近攻击的发起端实施抑制。但是,一般情况下攻击包都会伪造源IP地址,在Internet这样的大型网络环境中难以确定攻击流的真正来源,因此,要靠近攻击发起端实施面向 Internet 全网的抑制操作在当前技术上依然不成熟。

抑制采用的方式可能有多种,常见的包括:

(1)关掉已受害的系统;

(2)断开网络;

(3)修改防火墙或路由器的过滤规则;

(4)封锁或删除被攻破的登录账号;

(5)关闭可被攻击利用的服务功能。

4、根除阶段

根除阶段的主要任务是通过事件分析查明事件危害的方式,并且给出清除危害的解决方案。

对事件的确认仅是初步的事件分析过程。事件分析的目的是找出问题出现的根本原因。在事件分析的过程中主要有主动和被动2种方式。

主动方式是采用攻击诱骗技术,通过让攻击方去侵入一个受监视存在漏洞的系统,直接观察到攻击方所采用的攻击方法。

被动方式是根据系统的异常现象去追查问题的根本原因。被动方式会综合用到以下的多种方法。

(1)系统异常行为分析:这是在维护系统及其环境特征白板的基础上,通过与正常情况做比较,找出攻击者的活动轨迹以及攻击者在系统中植下的攻击代码。

(2)日志审计:日志审计是通过检查系统及其环境的日志信息和告警信息来分析是否有攻击者做了哪些违规行为。

(3)入侵监测:对于还在进行的攻击行为,入侵监测方式通过捕获并检测进出系统的数据流,利用入侵监测工具所带的攻击特征数据库,可以在事件分析过程中帮助定位攻击的类型。

(4)安全风险评估:无论是利用系统漏洞进行的网络攻击还是感染病毒,都会对系统造成破坏,通过漏洞扫描工具或者是防病毒软件等安全风险评估工具扫描系统的漏洞或病毒可以有效地帮助定位攻击事件。

但是,在实际的事件分析过程中,往往会综合采用被动和主动的事件分析方法。特别是对于在网上自动传播的攻击行为,当采用被动方式难以分析出事件根本原因的时候,采用主动方式往往会很有效。

最后,改变全部可能受到攻击的系统的口令、重新设置被入侵系统、消除所有的入侵路径包括入侵者已经改变的方法、从最初的配置中恢复可执行程序(包括应用服务)和二进制文件、检查系统配置、确定是否有未修正的系统和网络漏洞并改正、限制网络和系统的暴露程度以改善保护机制、改善探测机制使它在受到攻击时得到较好的报告。

5、恢复阶段

恢复阶段的主要任务是把被破坏的信息彻底地还原到正常运作状态。确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据、打开系统和应用服务、恢复系统网络连接、验证恢复系统、观察其他的扫描、探测等可能表示入侵者再次侵袭的信号。一般来说,要成功地恢复被破坏的系统,需要维护干净的备份系统,编制并维护系统恢复的操作手册,而且在系统重装后需要对系统进行全面的安全加固。

6、跟踪阶段

跟踪阶段的主要任务是回顾并整合应急响应过程的相关信息,进行事后分析总结、修订安全计划、政策、程序并进行训练以防止再次入侵,基于入侵的严重性和影响,确定是否进行新的风险分析、给系统和网络资产制定一个新的目录清单、如果需要,参与调查和起诉。这一阶段的工作对于准备阶段工作的开展起到重要的支持作用。

跟踪阶段的工作主要包括3个方面的内容。

(1)形成事件处理的最终报告。

(2)检查应急响应过程中存在的问题,重新评估和修改事件响应过程。

(3)评估应急响应人员相互沟通在事件处理上存在的缺陷,以促进事后进行有针对性的培训。

四、结语

当今时代,互联网的飞速发展使各国面临的信息安全形势日趋严峻。在复杂多变的网络与信息安全形势下,必须从经济发展、社会稳定、国家安全、公共利益的高度,充分认识网络与信息安全应急保障工作的重要性,高度重视并切实做好应急准备工作。

较大的网络与信息安全事件时有发生,重大、特别重大的网络与信息安全事件也随时有可能发生。必须做好应急准备工作,建设快速有效的现代化应急协同机制,确保一旦发生重大网络与信息安全事件,能够快速根据相关信息,组织研判,迅速指挥调度相关部门执行应急预案,做好应对,避免给国家和社会造成重大影响和重大损失。

为最大限度科学、合理、有序地处置网络安全事件,采纳了业界经典的PDCERF方法学,将应急响应分成准备、检测、抑制、根除、恢复、总结6个阶段的工作。

__EOF__

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/888557.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

2024 阿里云Debian12.8安装apach2【图文讲解】

1. 更新系统,确保您的系统软件包是最新的 sudo apt update sudo apt upgrade -y 2. 安装 Apache Web 服务器 apt install apache2 -y 3. 安装 PHP 及常用的扩展 apt install php libapache2-mod-php -y apt install php-mysql php-xml php-mbstring php-curl php…

本地windows环境下,在vscode里将go项目打成docker镜像,并运行访问

此处只展示一个简单go代码实例. #前提:需要装好docker和golang环境,本地docker启动且配置好镜像源地址: # 容器镜像加速服务-云港网络 1.首先在vscode中写一个简单输出的demo go mod init +go mod tidy编译一下,命令运行如下: 2.使用命令生成Dockerfile文件 $ g…

GIT的使用方法以及汉化方法

1.下载git软件,可以从官网下载 下载后默认安装即可。 2.找到一个文件夹,或者直接打开gitbash gitbash可以使用cd指令切换目录的 打开后输入 git clone https:[git仓库的网页]即可克隆仓库 就是这个地址 克隆后即可使用代码 如果忘记了命令可以使用 -…

前缀和(四)除自身以外数组的乘积

238. 除自身以外数组的乘积 给你一个整数数组 nums,返回 数组 answer ,其中 answer[i] 等于 nums 中除 nums[i] 之外其余各元素的乘积 。 题目数据 保证 数组 nums之中任意元素的全部前缀元素和后缀的乘积都在 32 位 整数范围内。 请 不要使用除法&…

图解RabbitMQ七种工作模式生产者消费者模型的补充

文章目录 1.消费者模型2.生产者-消费者模型注意事项2.1资源释放顺序问题2.2消费者的声明问题2.3虚拟机和用户的权限问题 3.七种工作模式3.1简单模式3.2工作模式3.3发布/订阅模式3.4路由模式3.5通配符模式3.6RPC通信3.7发布确认 1.消费者模型 之前学习的这个消息队列的快速上手…

头歌 Linux之线程管理

第1关:创建线程 任务描述 通常我们编写的程序都是单进程,如果在一个进程中没有创建新的线程,则这个单进程程序也就是单线程程序。本关我们将介绍如何在一个进程中创建多个线程。 本关任务:学会使用C语言在Linux系统中使用pthrea…

BioDeepAV:一个多模态基准数据集,包含超过1600个深度伪造视频,用于评估深度伪造检测器在面对未知生成器时的性能。

2024-11-29, 由罗马尼亚布加勒斯特大学创建BioDeepAV数据集,它专门设计来评估最先进的深度伪造检测器在面对未见过的深度伪造生成器时的泛化能力,这对于提高检测器的鲁棒性和适应性具有重要意义。 数据集地址:biodeep 一、研究背景&#xff1…

工业—使用Flink处理Kafka中的数据_ChangeRecord1

使用 Flink 消费 Kafka 中 ChangeRecord 主题的数据,当某设备 30 秒状态连续为 “ 预警 ” ,输出预警 信息。当前预警信息输出后,最近30

Flink四大基石之State(状态) 的使用详解

目录 一、有状态计算与无状态计算 (一)概念差异 (二)应用场景 二、有状态计算中的状态分类 (一)托管状态(Managed State)与原生状态(Raw State) 两者的…

opencv-android编译遇到的相关问题处理

1、opencv-android sdk下载 下载地址:https://opencv.org/releases/ 下载安卓SDK即可 2、解压下载好的SDK 3、导入opencv的SDK到安卓项目中 导入步骤在/OpenCV-android-sdk/sdk/build.gradle文件的注释中写的非常详细,大家可安装官方给出的步骤导入。…

OpenSSH-9.9p1 OpenSSL-3.4.0 升级步骤详细

前言 收到漏洞扫描通知 OpenSSH 安全漏洞(CVE-2023-38408) OpenSSH 安全漏洞(CVE-2023-51385) OpenSSH 安全漏洞(CVE-2023-51384) OpenSSH 安全漏洞(CVE-2023-51767) OpenSSH 安全漏洞(CVE-2023-48795) OpenSSH(OpenBSD SecureShell)是加拿大OpenBSD计划…

Python毕业设计选题:基于Flask的医疗预约与诊断系统

开发语言:Python框架:flaskPython版本:python3.7.7数据库:mysql 5.7数据库工具:Navicat11开发软件:PyCharm 系统展示 系统首页 疾病信息 就诊信息 个人中心 管理员登录界面 管理员功能界面 用户界面 医生…

sql删除冗余数据

工作或面试中经常能遇见一种场景题:删除冗余的数据,以下是举例介绍相应的解决办法。 举例: 表结构: 解法1:子查询 获取相同数据中id更小的数据项,再将id不属于其中的数据删除。-- 注意:mysql中…

数据链路层(四)---PPP协议的工作状态

1 PPP链路的初始化 通过前面几章的学习,我们学了了PPP协议帧的格式以及组成,那么对于使用PPP协议的链路是怎么初始化的呢? 当用户拨号上网接入到ISP后,就建立起了一条个人用户到ISP的物理链路。这时,用户向ISP发送一…

基于“微店 Park”模式下 2+1 链动模式商城小程序的创新发展与应用研究

摘要:本文以“微店 Park”从“开店工具”向“众创平台”的转型为背景,深入探讨 21 链动模式商城小程序在该平台情境下的应用潜力与创新发展路径。通过剖析“微店 Park”的运营模式,包括灵活承租、低成本入驻、多元流量引流等特点,…

《船舶物资与市场》是什么级别的期刊?是正规期刊吗?能评职称吗?

问题解答 问:《船舶物资与市场》是不是核心期刊? 答:不是,是知网收录的正规学术期刊。 问:《船舶物资与市场》级别? 答:国家级。主管单位:中国船舶集团有限公司 主办单…

2024年认证杯SPSSPRO杯数学建模B题(第一阶段)神经外科手术的定位与导航解题全过程文档及程序

2024年认证杯SPSSPRO杯数学建模 B题 神经外科手术的定位与导航 原题再现: 人的大脑结构非常复杂,内部交织密布着神经和血管,所以在大脑内做手术具有非常高的精细和复杂程度。例如神经外科的肿瘤切除手术或血肿清除手术,通常需要…

ElementUI 问题清单

1、form 下面只有一个 input 时回车键刷新页面 原因是触发了表单默认的提交行为&#xff0c;给el-form 加上submit.native.prevent就行了。 <el-form inline submit.native.prevent><el-form-item label"订单号"><el-inputv-model"query.order…

vulnhub靶场之momentum-2

前言 靶机采用virtual box虚拟机&#xff0c;桥接网卡 攻击采用VMware虚拟机&#xff0c;桥接网卡 靶机&#xff1a;momentum-2 192.168.1.40 攻击&#xff1a;kali 192.168.1.16 主机发现 使用arp-scan -l扫描 信息收集 使用namp扫描 这里的命令对目标进行vulner中的漏…

Python语法基础---正则表达式

&#x1f308;个人主页&#xff1a;羽晨同学 &#x1f4ab;个人格言:“成为自己未来的主人~” 我们这个文章所讲述的&#xff0c;也是数据分析的基础文章&#xff0c;正则表达式 首先&#xff0c;我们在开始之前&#xff0c;引出一个问题。也是我们接下来想要解决的问题。…