应急响应:应急响应流程,常见应急事件及处置思路

「作者简介」:冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础著作 《网络安全自学教程》,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。

在这里插入图片描述

这一章节我们需要知道应急响应流程是什么,安全事件分类分级的概念,以及灾备的RPO和RTO标准。

应急响应是为了应对信息安全事件所做的准备,以及事件发生后采 取的措施。

应急响应

  • 1、安全事件分类分级
  • 2、应急响应组织架构
  • 3、应急响应流程
  • 4、灾备

1、安全事件分类分级

无论自然原因还是人为原因,故意还是非故意,只要影响了资产的安全属性CIA,都算安全事件。

不同的事件类型需要制定不同的应急预案,所以我们需要先知道安全事件分为哪几类。

GB-Z 20986-2007将安全事件分为7类:

  1. 有害程序事件:比如病毒、蠕虫、木马、僵尸网络、网页被插入恶意代码。
  2. 网络攻击事件:比如拒绝服务、后门、漏洞攻击、扫描嗅探、钓鱼、干扰网络。
  3. 信息破坏事件:比如信息篡改、假冒、泄露、窃取、丢失。
  4. 信息内容安全事件:比如煽动游行、炒作舆论热点到一定规模。
  5. 设备实施故障。
  6. 灾害性事件。
  7. 其他安全事件。

GB-Z 20986-2007按照信息系统的重要程度、系统损失、社会影响,将安全事件分为4个级别:

  1. 特别重大事件(Ⅰ级):信息系统中断2小时以上、影响人数100万人以上;或10亿以上经济损失;或对国家造成特别严重威胁。
  2. 重大事件(Ⅱ级):信息系统中断30分钟以上,影响人数10万人以上;或1亿以上经济损失;或对国家造成严重影响。
  3. 较大事件(Ⅲ级):信息系统中断;或1000万以上经济损失;或对国家造成较严重影响。
  4. 一般事件(Ⅳ级)

扩展:每个事件级别的三个条件,不需要同时满足所有条件,满足其中一个条件就行。实际执行时,可以根据企业情况修改事件分级的标准。

2、应急响应组织架构

如果企业没有单独的应急响应组织,那么应急响应就由安全人员承担,就比如安服兼任应急。

应急响应组织架构应包含以下5个部分:

  1. 应急响应领导组:协调资源,最终决策。
  2. 应急响应技术保障组:制定角色职责分工、协同调度方案、事件技术对应表并提供相应的技术支撑。
  3. 应急响应专家组:评估安全事件,提出建议。
  4. 应急响应实施组:分析并确定应急等级和策略,进场应急、总结并提交报告,组织应急演练。
  5. 应急响应日常运行组:系统日常运维、灾备,评估并控制事件损害,维护应急文档,参与应急演练。

在这里插入图片描述

3、应急响应流程

应急响应的流程分为准备、检测、遏制、根除、恢复、跟踪总结6个阶段:

  1. 准备:制定应急响应计划并演练,准备好相关人力物力资源。
  2. 检测:实时检测并报告,确定事件级别、类别并通告事件。
  3. 遏制:协调用户按照应急响应计划,限制事件影响的范围。
  4. 根除:分析、确定、消除原因,避免事件再次发生。
  5. 恢复:还原备份或直接恢复业务,将系统恢复到正常状态。
  6. 跟踪:分析、总结、完善应急响应计划,提交应急响应报告。

应急响应排查思路和具体知识点可以参考我的另一篇文章

Windows应急响应排查思路

在这里插入图片描述

Linux应急响应排查思路

在这里插入图片描述

4、灾备

灾备用来保证业务经历灾难后,仍然能够最大限度的提供服务。

灾备有两个标准:RPO 和 RTO。

  1. RPO是恢复点目标,是指灾难发生后,数据恢复到哪个时间点,也就是丢失了多少时间的数据。
  2. RTO是恢复时间目标,是指灾难发生后,恢复业务所需要的时间,也就是业务停顿了多少时间。

RPO和RTO从逻辑上可以为零,但实际项目中很完全实现。

灾备需要定时备份业务数据,用磁带或硬盘存储多个时间点的备份数据,备份方式有完整备份、增量备份、差异备份三种:

  1. 完整备份每次都备份全部的数据,备份速度最慢,但恢复速度最快,会清除备份标记。
  2. 增量备份只备份上次备份后改动的数据,备份速度最快,但恢复速度最慢,会清除备份标记。
  3. 差异备份只备份上一次完整备份后改动的数据,备份和恢复速度居中,不清除备份标记。

备份数据的存储,有DAS、NAS、SAN三种存储方式:

  1. DAS是直接附加存储,直连存储设备,可以理解为给服务器加硬盘,性能高、存储量大但占用服务器资源,不方便管理。
  2. NAS是网络附加存储,通过网络连接存储设备,不占用服务器资源,但会占用带宽,网络传输可能会泄露数据。
  3. SAN是存储区域网络,搭建专用网络存数据,效率高但成本也高。

存储数据的磁盘通常会做RAID(Redundant Arrays of Independent Disks),也就是冗余磁盘阵列,简单来说就是相同的数据存储在多个磁盘的不同位置。常用的有RAID 0、1、5这三种模式:

  • RAID 0:把多块磁盘串联成一个整体,多个磁盘可以同时读写数据,性能高但没有冗余能力,一块磁盘故障数据就被破坏。至少需要两块硬盘。
  • RAID 1:一个磁盘上写数据时,另一个磁盘上会生成镜像文件,磁盘利用率低,但有冗余能力,一块磁盘故障了数据也不会破坏。至少需要两块硬盘。
  • RAID 5:两块以上磁盘读写数据,第三块盘存奇偶校验信息,性能高并且有冗余能力,至少需要三块硬盘。

扩展:多块磁盘不做RAID时,写入数据会写入到同一块磁盘中,比如写入abcd,就直接在一块磁盘上一次写入a、b、c、d,读取的时候也只在一块磁盘上读,因为磁盘之间是独立存在的,即使我读取大量数据,这块磁盘全力运转快冒烟了,其他硬盘也会空闲,利用率就低。做了RAID 0,时,写入数据会同时写入到多个磁盘中,比如写入abcd,会在一盘写入a的时候,同时在二盘写入b,在一盘写入c的时候,同时在二盘写入d,读取的时候,会同时在一盘二盘读取,大家一起忙,谁都别想闲下来。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/38047.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

交通气象站:保障道路畅通的守护者

随着现代社会的飞速发展,交通网络日益密集,人们的出行越来越依赖于公路、铁路和航空等交通方式。然而,多变的天气条件常常给交通安全带来隐患,如大雾、雨雪、强风等恶劣天气不仅影响行车视线,还可能造成路面湿滑、结冰…

在我们实际使用中,线程池的大小配置多少合适?

线程池的大小配置是一个需要根据具体应用场景和资源情况来决定的问题。没有一个固定的数字适用于所有情况,但是可以遵循一些通用的原则和方法来确定合适的线程池大小,我们来看一下通用原则和方法都有哪几个维度。 通用原则和方法 1. CPU密集型任务&…

第十四届蓝桥杯省赛C++B组D题【飞机降落】题解(AC)

解题思路 这道题目要求我们判断给定的飞机是否都能在它们的油料耗尽之前降落。为了寻找是否存在合法的降落序列,我们可以使用深度优先搜索(DFS)的方法,尝试所有可能的降落顺序。 首先,我们需要理解题目中的条件。每架…

【MotionCap】pycharm 远程在wsl2 ubuntu20.04中root的miniconda3环境

pycharm wsl2 链接到pycharmsbin 都能看到内容,/root 下内容赋予了zhangbin 所有,pycharm还是看不到/root 下内容。sudo 安装了miniconda3 引发了这些问题 由于是在 root 用户安装的miniconda3 所以安装路径在/root/miniconda3 里 这导致了环境也是root用户的,会触发告警 WA…

冲击试样缺口拉刀V2U2U3U5

拉刀性能介绍 冲击试样缺口拉刀采用进口高速工具钢W18Cr4V材质,特殊工艺精密加工制造,硬度高,耐磨性好,使用寿命长,每把拉刀可加工试样达20,000多个。拉刀共54个齿(深度5mm缺口拉刀为74个齿&am…

抖音本地生活服务商条件太高怎么办?低门槛方法来了!

随着本地生活赛道的潜力不断显现,本地生活服务商的数量也在与日俱增。而在所有开通本地生活服务板块的互联网平台中,日活跃用户数约8亿的抖音往往是众多创业者优先考虑的对象,以抖音本地生活服务商如何申请为代表的相关问题也因此常出现在多个…

排序算法(1)之插入排序----直接插入排序和希尔排序

个人主页:C忠实粉丝 欢迎 点赞👍 收藏✨ 留言✉ 加关注💓本文由 C忠实粉丝 原创 排序之插入排序----直接插入排序和希尔排序(1) 收录于专栏【数据结构初阶】 本专栏旨在分享学习数据结构学习的一点学习笔记,欢迎大家在评论区交流讨…

页面加载503 Service Temporarily Unavailable异常

最近发现网页刷新经常503,加载卡主,刷新页面就正常了。 研究之后发现是页面需要的js文件等加载失败了。 再研究之后发现是nginx配置的问题。 我之前为了解决一个漏洞检测到目标主机可能存在缓慢的HTTP拒绝服务攻击 把nginx的连接设置了很多限制&#…

PHP传奇游戏推广信息发布站程序源码带会员发布

这是一个游戏导航网站程序。可以做任何一款游戏的推广发布,会员注册发布,后台审核通过,前台就可以展示,非常不错的游戏发布平台

一个项目学习Vue3---响应式基础

观察下面一段代码&#xff0c;学习响应式基础的全部内容 <template><div><div>将下面的msg属性放到上面来:{{ msg }}</div><button click"count">{{ count }}</button><button click"object.count.value">{{ o…

关于Autowired

Autowired 是 Spring Framework 中的一个注解&#xff0c;用于自动注入依赖对象。通过这个注解&#xff0c;Spring 可以自动将匹配的 bean 注入到所需的类中&#xff0c;从而实现控制反转&#xff08;IoC&#xff09;和依赖注入&#xff08;DI&#xff09;。 基本用法 Autowi…

javascript: void(0);用法和常见问题

在JavaScript中&#xff0c;void(0)是一个表达式&#xff0c;它用来获取一个特殊的值undefined&#xff0c;并且执行一个没有返回值的操作。这个表达式经常用于创建一个没有实际返回值的函数调用&#xff0c;或者在需要一个表达式的地方使用&#xff0c;但不希望有任何返回值。…

【Carsim】Carsim2019与Matlab2015b联合仿真测试

&#x1f60f;★,:.☆(&#xffe3;▽&#xffe3;)/$:.★ &#x1f60f; 这篇文章主要介绍Carsim2019与Matlab2015b联合仿真测试。 学其所用&#xff0c;用其所学。——梁启超 欢迎来到我的博客&#xff0c;一起学习&#xff0c;共同进步。 喜欢的朋友可以关注一下&#xff0c…

HTML基础知识学习指南

HTML基础知识学习指南 1. 介绍 HTML&#xff08;超文本标记语言&#xff09;是构建网页的基础。它是一种标记语言&#xff0c;用于定义网页的内容和结构。HTML由一系列元素组成&#xff0c;这些元素使用标签来表示。 2. HTML文档结构 HTML文档的基本结构包括以下部分&#…

AI作画工具深度剖析:Midjourney vs. Stable Diffusion (SD)

在人工智能技术的推动下&#xff0c;艺术创作的边界被不断拓宽&#xff0c;AI作画工具成为数字艺术家与创意人士的新宠。其中&#xff0c;Midjourney与Stable Diffusion&#xff08;SD&#xff09;作为当前领域的佼佼者&#xff0c;以其独特的算法机制、丰富的功能特性及高质量…

python-糖果俱乐部(赛氪OJ)

[题目描述] 为了庆祝“华为杯”的举办&#xff0c;校园中开展了许多有趣的热身小活动。小理听到这个消息非常激动&#xff0c;他赶忙去参加了糖果俱乐部的活动。 该活动的规则是这样的&#xff1a;摊位上有 n 堆糖果&#xff0c;第 i 堆糖果有 ai​ 个&#xff0c;参与的同学可…

面向工业化的多类电子元件自动计数系统测试报告

目录 1、项目描述 2、登录注册测试 2、主界面测试 2.1、在线计数测试 2.2、离线计数测试 2.3、浏览数据测试 1、项目描述 该系统利用机器视觉平台采集电子元件图像&#xff0c;设计并实现了适应不同形态分布的电子元件计数模型&#xff0c;能够快速且准确地进行计数和分类&…

0139__TCP协议

全网最详细TCP参数讲解&#xff0c;再也不用担心没有面试机会了_tcp的参数-CSDN博客 TCP协议详解-腾讯云开发者社区-腾讯云 TCP-各种参数 - 简书

【408考点之数据结构】树形查找

树形查找 树形查找是利用树这种数据结构进行查找操作的方法。树形查找的主要优势在于它能够通过层次结构有效地组织数据&#xff0c;使得查找、插入和删除操作都能够高效进行。以下是对树形查找的详细总结。 1. 二叉查找树&#xff08;Binary Search Tree, BST&#xff09; …

第4章:操作系统

第4章&#xff1a;操作系统 操作系统概述 进程管理 在有限的资源下&#xff0c;要保证系统不发生死锁&#xff0c;则可以按这种逻辑来分析。首先给每个进程分配所需资源数减1个资源&#xff0c;然后系统还有1个资源&#xff0c;则不可能发生死锁。 线程 存储管理 虚拟存储器的…