网络安全应急响应流程图

一、网络安全应急响应建设的背景和现状

当前,许多地区和单位已经初步建立了网络安全预警机制,实现了对一般网络安全事件的预警和处置。但是,由于网络与信息安全技术起步相对较晚,发展时间较短,与其他行业领域相比,其专项应急预案、应急保障机制和相关的技术支撑平台都还在不断发展中。各政府机构、企业也根据自身情况,设计了服务于自身的网络与信息安全应急预案,建立有相应的制度流程和保障队伍,但相关的应急流程和保障措施普遍存在有自动化程度低、与实践脱节等共性问题。在面对重大网络与信息安全事件时,现有机制还是凸显出一定的不足:机制尚显薄弱,难以有效整合资源,或是难以实现从预警到评判再到应急处置的快速反应处置机制。

基于现实困境,在充分运用既有研究、建设成果的基础上,应当进一步实现信息汇聚、信息分析、联合研判、辅助决策、应急指挥、应急演练、预案管理等核心处置流程,确保一旦发生重大信息安全事件,能够迅速研判,形成预案,迅速指挥调度相关部门执行应急预案,做好应对措施,避免给国家和社会造成重大影响和损失,防止威胁国家安全的情况发生。

二、网络安全应急响应体系的要素

建立良好的网络安全应急保障体系,使其能够真正有效地服务于网络安全保障工作,应该重点加强以下几方面的能力。

(一)综合分析与汇聚能力

网络安全领域的应急保障,有其自身较为明显的特点,其对象灵活多变、信息复杂海量,难以完全靠人力进行综合分析决策,需要依靠自动化的现代分析工具,实现对不同来源海量信息的自动采集、识别和关联分析,形成态势分析结果,为指挥机构和专家提供决策依据。完整、高效、智能化,是满足现实需求的必然选择。因此,应有效建立以信息汇聚(采集、接入、过滤、范化、归并)、管理(存储、利用、管理)、分析(基础分析、统计分析、业务关联性分析、技术关联性分析)、发布(多维展现)等为核心的完整能力体系,在重大信息安全事件发生时,能够迅速汇集各类最新信息,形成易于辨识的态势分析结果,最大限度地为应急指挥机构提供决策参考依据。

(二)综合管理能力

伴随着互联网的飞速发展,网络安全领域相关的技术手段不断翻新,对应急指挥的能力、效率、准确程度要求更高。在实现网络与信息安全应急指挥业务的过程中,应注重用信息化手段建立完整的业务流程,注重建立集网络安全综合管理、动态监测、预警、应急响应为一体的网络安全综合管理能力。

要切实认识到数据资源管理的重要性,结合日常应急演练和管理工作,做好应急资源库、专家库、案例库、预案库等重要数据资源的整合、管理工作,在应急处理流程中,能够依托自动化手段,针对具体事件的研判处置推送关联性信息,不断丰富数据资源。

(三)处理网络安全日常管理与应急响应关系的能力

网络安全日常管理与应急响应有较为明显的区别,其主要体现在以下3个方面。

1、业务类型不同。日常管理工作主要包括对较小的信息安全事件进行处置,组织开展应急演练工作等,而应急响应工作一般面对较严重的信息安全事件,需要根据国家政策要求,进行必要的上报,并开展或配合开展专家联合研判、协同处置、资源保障、应急队伍管理等工作。

2、响应流程不同。日常管理工作中,对较小事件的处理在流程上要求简单快速,研判、处置等工作由少量专业人员完成即可。而应急响应工作,需要有信息上报、联合审批、分类下发等重要环节,响应流程较为复杂。

3、涉及范围不同。应急响应工作状态下,严重的网络安全事件波及范围广,需要较多的涉事单位、技术支撑机构和个人进行有效协同,也需要调集更多的应急资源进行保障,其涉及范围远大于日常工作状态。

然而,网络安全日常管理与应急工作不可简单割裂。例如,两者都需要建立在对快速变化的信息进行综合分析、研判、辅助决策的基础之上,拥有很多相同的信息来源和自动化汇聚、分析手段。同时,日常工作中的应急演练管理、预案管理等工作,本身也是应急响应能力建设的一部分。因此,在流程机制设计、自动化平台支撑等方面,应充分考虑2种工作状态的联系,除对重大突发网络安全事件应急响应业务进行能力设计实现外,还应注重强化对日常业务的支撑能力,以能够最大限度地发挥管理机构能力和效力。

(四)协同作战能力

研判、处置重大网络信息安全事件,需要多个单位、部门和应急队伍进行支撑和协调,需要建设良好的通信保障基础设施,建立顺畅的信息沟通机制,并通过经常开展应急演练工作,使各单位、个人能够在面对不同类型的事件时,熟悉所承担的应急响应角色,熟练开展协同保障工作。

三、网络安全事件的应急响应流程

随着国家信息化建设进程的加速,计算机信息系统和网络已经成为重要的基础设施。随着网络安全组件的不断增多,网络边界不断扩大,网络安全管理的难度日趋增大,各种潜在的网络信息危险因素与日俱增。虽然网络安全的保障技术也在快速发展,但实践证明,现实中再完备的安全保护也无法抵御所有危险。因此,完善的网络安全体系要求在保护体系之外必须建立相应的应急响应体系。

(一)网络安全应急响应六大阶段

为最大限度科学、合理、有序地处置网络安全事件,采纳了业内通常使用的PDCERF方法学(最早由 1987 年美国宾夕法尼亚匹兹堡软件工程研究所在关于应急响应的邀请工作会议上提出),将应急响应分成准备(Preparation)、检测(Detection)、抑制(Containment)、根除(Eradication)、恢复(Recovery)、跟踪(Follow-up)6个阶段的工作,并根据网络安全应急响应总体策略对每个阶段定义适当的目的,明确响应顺序和过程。应急响应PDCERF模型如图1所示。

                                                       图1 应急响应PDCERF模型

(二)网络安全事件分阶段响应流程

1、准备阶段

选择、安装和熟悉响应过程中的协助工具及有助于收集和维护与入侵相关数据的工具,为所有的应用软件和操作系统创建启动盘或随机器发行的介质库。用初始可靠的启动盘(或CD−ROM)使机器以已知的预先设定的配置重新启动,这在相当程度上能保证被入侵后的文件、程序以及数据不会加载到系统中。

为了防止不可预期的变化,在试验机器上安装可信任版本的系统;为了避免有意或无意的破坏,所有的介质应该处于硬件写保护状态。

建立一个包含所有应用程序和不同版本的操作系统的安全补丁库。确保备份程序足够从任何损害中恢复。建立资源工具包并准备相关硬件设备资源工具包,包含在响应过程中可能要使用的所有工具。确保测试系统正确配置且可用在任何分析或测试中,使用被入侵的系统都可能导致这些系统进一步地暴露和损害。已被入侵的系统产生的任何结果都是不可靠的。此外,采用这样的系统或许会由于恶意程序而暴露正在进行的测试。使用物理和逻辑上与任何运行的系统和网络隔离的测试系统和测试网络。选择将被入侵的系统移到测试网络中,并且部署新安装的打过补丁的安全系统,以便继续运行。在完成分析后,清除所有的磁盘,这样可以确保任何残留文件或恶意程序不影响将来的分析,或任何正在测试系统上进行的工作,或无意中被传到其他运行系统中。这在测试系统还有其他用途时是很关键的。备份所有被分析的系统以及保护分析结果,以备将来进一步分析。

2、检测阶段

检测阶段的主要任务有发现可疑迹象或问题发生后进行的一系列初步处理工作,分析所有可能得到的信息来确定入侵行为的特征。

一旦被入侵检测机制或另外可信的站点警告已经检测到了入侵,需要确定系统和数据被入侵到了什么程度。需要权衡收集尽可能多信息的价值和入侵者发现他们的活动被发现的风险之间的关系。一些入侵者会惊慌并试图删除他们活动的所有痕迹,进一步破坏准备拯救的系统。这会使分析无法进行下去。

备份并“隔离”被入侵的系统,进一步查找其他系统上的入侵痕迹。检查防火墙、网络监视软件以及路由器的日志,确定攻击者的入侵路径和方法,以及入侵者进入系统后都做了什么。

在当前缺少安全预警机制的情况下,网络安全的应急响应活动主要还是立足于事中或事后的确认,而且,即使是在事中或事后,也不一定可以发现存在的安全问题,往往都是在已经造成了破坏之后,才发生了对系统可用性、完整性和保密性造成明显破坏的行为或者有了用户投诉后才会去了解发生的安全问题。

一般典型的事故现象包括:

(1)账号被盗用;

(2)骚扰性的垃圾信息;

(3)业务服务功能失效;

(4)业务内容被明显篡改;

(5)系统崩溃、资源不足。

3、抑制阶段

抑制阶段的主要任务是限制事件扩散和影响的范围。抑制举措往往会对合法业务流量造成影响,最有效的抑制方式是尽可能地靠近攻击的发起端实施抑制。但是,一般情况下攻击包都会伪造源IP地址,在Internet这样的大型网络环境中难以确定攻击流的真正来源,因此,要靠近攻击发起端实施面向 Internet 全网的抑制操作在当前技术上依然不成熟。

抑制采用的方式可能有多种,常见的包括:

(1)关掉已受害的系统;

(2)断开网络;

(3)修改防火墙或路由器的过滤规则;

(4)封锁或删除被攻破的登录账号;

(5)关闭可被攻击利用的服务功能。

4、根除阶段

根除阶段的主要任务是通过事件分析查明事件危害的方式,并且给出清除危害的解决方案。

对事件的确认仅是初步的事件分析过程。事件分析的目的是找出问题出现的根本原因。在事件分析的过程中主要有主动和被动2种方式。

主动方式是采用攻击诱骗技术,通过让攻击方去侵入一个受监视存在漏洞的系统,直接观察到攻击方所采用的攻击方法。

被动方式是根据系统的异常现象去追查问题的根本原因。被动方式会综合用到以下的多种方法。

(1)系统异常行为分析:这是在维护系统及其环境特征白板的基础上,通过与正常情况做比较,找出攻击者的活动轨迹以及攻击者在系统中植下的攻击代码。

(2)日志审计:日志审计是通过检查系统及其环境的日志信息和告警信息来分析是否有攻击者做了哪些违规行为。

(3)入侵监测:对于还在进行的攻击行为,入侵监测方式通过捕获并检测进出系统的数据流,利用入侵监测工具所带的攻击特征数据库,可以在事件分析过程中帮助定位攻击的类型。

(4)安全风险评估:无论是利用系统漏洞进行的网络攻击还是感染病毒,都会对系统造成破坏,通过漏洞扫描工具或者是防病毒软件等安全风险评估工具扫描系统的漏洞或病毒可以有效地帮助定位攻击事件。

但是,在实际的事件分析过程中,往往会综合采用被动和主动的事件分析方法。特别是对于在网上自动传播的攻击行为,当采用被动方式难以分析出事件根本原因的时候,采用主动方式往往会很有效。

最后,改变全部可能受到攻击的系统的口令、重新设置被入侵系统、消除所有的入侵路径包括入侵者已经改变的方法、从最初的配置中恢复可执行程序(包括应用服务)和二进制文件、检查系统配置、确定是否有未修正的系统和网络漏洞并改正、限制网络和系统的暴露程度以改善保护机制、改善探测机制使它在受到攻击时得到较好的报告。

5、恢复阶段

恢复阶段的主要任务是把被破坏的信息彻底地还原到正常运作状态。确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据、打开系统和应用服务、恢复系统网络连接、验证恢复系统、观察其他的扫描、探测等可能表示入侵者再次侵袭的信号。一般来说,要成功地恢复被破坏的系统,需要维护干净的备份系统,编制并维护系统恢复的操作手册,而且在系统重装后需要对系统进行全面的安全加固。

6、跟踪阶段

跟踪阶段的主要任务是回顾并整合应急响应过程的相关信息,进行事后分析总结、修订安全计划、政策、程序并进行训练以防止再次入侵,基于入侵的严重性和影响,确定是否进行新的风险分析、给系统和网络资产制定一个新的目录清单、如果需要,参与调查和起诉。这一阶段的工作对于准备阶段工作的开展起到重要的支持作用。

跟踪阶段的工作主要包括3个方面的内容。

(1)形成事件处理的最终报告。

(2)检查应急响应过程中存在的问题,重新评估和修改事件响应过程。

(3)评估应急响应人员相互沟通在事件处理上存在的缺陷,以促进事后进行有针对性的培训。

四、结语

当今时代,互联网的飞速发展使各国面临的信息安全形势日趋严峻。在复杂多变的网络与信息安全形势下,必须从经济发展、社会稳定、国家安全、公共利益的高度,充分认识网络与信息安全应急保障工作的重要性,高度重视并切实做好应急准备工作。

较大的网络与信息安全事件时有发生,重大、特别重大的网络与信息安全事件也随时有可能发生。必须做好应急准备工作,建设快速有效的现代化应急协同机制,确保一旦发生重大网络与信息安全事件,能够快速根据相关信息,组织研判,迅速指挥调度相关部门执行应急预案,做好应对,避免给国家和社会造成重大影响和重大损失。

为最大限度科学、合理、有序地处置网络安全事件,采纳了业界经典的PDCERF方法学,将应急响应分成准备、检测、抑制、根除、恢复、总结6个阶段的工作。

__EOF__

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/888557.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

2024 阿里云Debian12.8安装apach2【图文讲解】

1. 更新系统,确保您的系统软件包是最新的 sudo apt update sudo apt upgrade -y 2. 安装 Apache Web 服务器 apt install apache2 -y 3. 安装 PHP 及常用的扩展 apt install php libapache2-mod-php -y apt install php-mysql php-xml php-mbstring php-curl php…

vue2播放视频和预览文件的组件以及使用方法

##文件预览组件 按照组件 解决展示pdf的问题 npm install pdfh5 npm install canvas2.8.0 --ignore-scripts npm install --save dommatrix npm install --save web-streams-polyfill解决excel和docx预览的问题 npm install vue-office/docx vue-demi0.14.6 npm inst…

本地windows环境下,在vscode里将go项目打成docker镜像,并运行访问

此处只展示一个简单go代码实例. #前提:需要装好docker和golang环境,本地docker启动且配置好镜像源地址: # 容器镜像加速服务-云港网络 1.首先在vscode中写一个简单输出的demo go mod init +go mod tidy编译一下,命令运行如下: 2.使用命令生成Dockerfile文件 $ g…

GIT的使用方法以及汉化方法

1.下载git软件,可以从官网下载 下载后默认安装即可。 2.找到一个文件夹,或者直接打开gitbash gitbash可以使用cd指令切换目录的 打开后输入 git clone https:[git仓库的网页]即可克隆仓库 就是这个地址 克隆后即可使用代码 如果忘记了命令可以使用 -…

【Linux】Linux安全与密钥登录指南

在使用Linux服务器时,确保服务器的安全至关重要。本文将为你介绍一些关键的Linux安全措施,包括开启密钥登录、查看登录日志、限制登录IP以及查看系统中能够登录的账号。以下内容适合小白用户,通过简单的操作就能有效提升服务器的安全性。 目录…

前缀和(四)除自身以外数组的乘积

238. 除自身以外数组的乘积 给你一个整数数组 nums,返回 数组 answer ,其中 answer[i] 等于 nums 中除 nums[i] 之外其余各元素的乘积 。 题目数据 保证 数组 nums之中任意元素的全部前缀元素和后缀的乘积都在 32 位 整数范围内。 请 不要使用除法&…

C# 13 中的新增功能

C# 12 中的新增功能C# 11 中的新增功能C# 10 中的新增功能C# 9.0 中的新增功能C# 8.0 中的新增功能C#7.0中有哪些新特性?C#6.0中10大新特性的应用和总结C# 5.0五大新特性 将C#语言版本升级为预览版 C# 13 包括一些新增功能。 可以使用最新的 Visual Stu…

图解RabbitMQ七种工作模式生产者消费者模型的补充

文章目录 1.消费者模型2.生产者-消费者模型注意事项2.1资源释放顺序问题2.2消费者的声明问题2.3虚拟机和用户的权限问题 3.七种工作模式3.1简单模式3.2工作模式3.3发布/订阅模式3.4路由模式3.5通配符模式3.6RPC通信3.7发布确认 1.消费者模型 之前学习的这个消息队列的快速上手…

如果模块把http改成了https请求,测试方案应该怎么制定

首先确定要测试的模块、接口、功能等,以及测试的目标,确保HTTPS请求能够正常进行、数据传输安全等。 1.功能测试 回归相应的功能模块以及业务逻辑,是否正常 2.兼容测试 测试不同浏览器和操作系统是否能够正常支持HTTPS连接。 验证模块在各种设…

编写按层次顺序(同一层自左至右)遍历二叉树的算法。或:按层次输出二叉树中所有结点;

解:思路:既然要求从上到下,从左到右,则利用队列存放各子树结点的指针是个好办法。 这是一个循环算法,用while语句不断循环,直到队空之后自然退出该函数。 技巧之处:当根结点入队后,会…

头歌 Linux之线程管理

第1关:创建线程 任务描述 通常我们编写的程序都是单进程,如果在一个进程中没有创建新的线程,则这个单进程程序也就是单线程程序。本关我们将介绍如何在一个进程中创建多个线程。 本关任务:学会使用C语言在Linux系统中使用pthrea…

Leetcode101. 对称二叉树(HOT100)

链接 我的错误代码: class Solution { public:bool isSymmetric(TreeNode* root) {if(!root)return true;if(!root->left&&!root->right)return true;if(!(root->left&&root->right))return false;if(root->left->val!root->…

Java 集合:强大的数据管理工具

在 Java 编程中,集合是一种非常重要的工具,它提供了一种方便的方式来存储和操作一组对象。本文将深入探讨 Java 集合框架,包括其主要类型、特点、用法以及一些最佳实践。 一、引言 在软件开发过程中,我们经常需要处理一组数据。…

qtcanpool 知 09:测试框架

文章目录 前言不满改进优化后语 前言 很久以前,作者写的代码都没有测试用例,最多就是写个 demo 验证一下,毕竟不是专业出身,也没经过大公司的洗礼。 后来,参与到一些项目才知道有专门的测试,而且开发也要测…

网络安全系列 之 SQL注入学习总结

目录 1. sql注入概述2. sql注入测试工具3. sql注入防御方法 3.1 问题来源3.2 防御方法4. SQL注入防御举例 4.1 使用JDBC时,SQL语句进行了拼接 1. 使用statement的executeQuery、execute、executeUpdate等函数时,传入的SQL语句拼接了来自外部的不可信参数…

《平衡之策:C++应对人工智能不平衡训练数据的数据增强方法》

在人工智能的广袤领域中,数据是驱动模型学习与成长的核心燃料。然而,不平衡的训练数据却如同一颗隐藏的暗礁,常常使模型的训练之船偏离正确航道,导致性能不佳与偏差增大。当我们聚焦于 C这一强大的编程语言时,又有哪些…

完整指南:在Ubuntu 20.04 ROS 1环境中配置和使用Orbbec SDK

完整指南:在Ubuntu 20.04 ROS 1环境中配置和使用Orbbec SDK 要在Ubuntu 20.04系统中使用ROS 1环境配置和使用Orbbec SDK,可以遵循以下详细且系统化的步骤。这些步骤将引导您从下载必要的工具和SDK到学习如何使用这些资源,确保您能有效地利用…

使用 Selenium 和 Python 爬取腾讯新闻:从基础到实践

使用 Selenium 和 Python 爬取腾讯新闻:从基础到实践 在这篇博客中,我们将介绍如何利用 Selenium 和 Python 爬取腾讯新闻的内容,并将结果保存到 CSV 文件中。本教程包含以下内容: 项目简介依赖安装实现功能的代码实现中的关键技…

element ui 自定义文件上传二进字流传值问题

1.封装的post请求 import axios from ./axios.js //引入axios文件 export function post (url, data) {return axios({method: post,url,data: {...data}}) }//修改后 正常了 export function post (url, data) {return axios({method: post,url,data: data}) } 2.api文件里面…

【设计模式系列】单例模式(二十)

一、什么是单例模式 单例模式(Singleton Pattern)是一种常用的软件设计模式,属于创建型模式。它的目的是确保一个类只有一个实例,并提供一个全局访问点来获取这个实例。 单例模式的主要特点包括: 唯一性&#xff1a…