网络安全应急响应技术原理与应用
1、网络安全应急响应概述
网络安全应急响应概念:为应对网络安全事件,相关人员或组织机构对网络安全事件进行监测、预警、分析、响应和恢复等工作;
CERT:美国成立的第一个计算机安全应急组织;
国家互联网应急中心:2002年9月,CNCERT或CNCERT/CC;方针:积极预防、及时发现、快速响应、力保恢复;
2、网络安全应急响应组织建立与工作机制
网络安全应急响应组织建立:
- 应急领导组:领导和协调突发事件与自然灾害的应急指挥、协调等工作;
- 应急技术支撑组:由管理、业务、技术、行政后期等人员组成;
网络安全应急响应组织类型:根据资金来源、服务的对象等多种因素分为:
- 公益性应急响应组:由政府和公益性机构资助,对社会所以用户提供公共服务;
- 内部应急响应组:由一个组织机构创建和资助,服务对象仅限于本组织内部的客户群;
- 商业应急响应组:为客户提供技术、程序、调查、法律支持等服务;
- 厂商应急响应组:只为自己的产品提供应急响应服务;
3、网络安全应急响应预案内容与类型
网络信息安全事件:恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件;
网络安全事件分级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件和一般网络安全事件;
网络安全应急响应预案内容:在突发紧急情况下,按事先设想的安全事件类型及意外情形,制定处理安全事件的工作步骤;
网络安全应急响应预案类型:可分为国家级、区域级、行业级、部门级;
4、常见网络安全应急事件场景与处理流程
网络安全应急处理流程:
- 安全事件报警:由值班工作人员及时报告;
- 安全事件确认:首先应当判断安全事件的类型;
- 启动应急预案:是充分考虑各种安全事件后,制定的应急处理措施;
- 安全事件处理:要求至少两人参加;
- 撰写安全事件报告
- 应急工作总结:回顾应急工作过程中所遇到的问题、分析问题引起的原因、并找出相应的解决方法;
5、网络安全应急响应技术与常见工具
常用的网络安全应急响应技术:
- 访问控制:技术手段有网络访问控制、主机访问控制、数据库访问控制、应用服务访问控制;
- 网络安全评估:对受害系统进行分析,获取受害系统的危害状况;
- 网络安全监测:对受害系统的网络活动或内部活动进行分析,获取受害系统的当前状态信息;
- 系统修复:将受害系统进行安全处理后,使其重新正常运行,尽量降低攻击造成的损失:系统紧急启动、恶意代码清除、系统漏洞修补、文件删除恢复、系统备份容灾;
六个灾难恢复等级和技术要求:
- 第1级-基本支持:至少每周做一次完全数据备份,并且备份介质场外存放;
- 第2级-备用场地支持:配备灾难发生后能在预定时间内调配使用的数据处理设备和通信线路以及相应的网络设备;
- 第3级-电子传输和部分设备支持:配置部分数据处理设备和部分通信线路及相应的网络设备;
- 第4级-电子传输及完整设备支持:配置灾难恢复所需的全部数据处理设备和通信线路及网络设备,并处于就绪状态;
- 第5级-实时数据传输及完整设备支持:远程数据复制技术,并利用通信网络将关键数据实时复制到备用场地;
- 第6级-数据零丢失和远程集群支持:数据远程实时备份,实现数据零丢失;
6、网络安全应急响应参考案例
“永恒之蓝”攻击的紧急处置:利用Windows系统的SMB漏洞可以获取系统最高权限,进而制作Wannacry勒索程序。紧急处理方式:
- 如果主机已经被感染:则将主机隔离或断网(拔网线)。若有该主机备份,则启动备份恢复程序;
- 如果主机未被感染:
- 安装免疫工具:如360提供的OnionWormlmmune.exe;
- 漏洞修补:安装MS17-010补丁;
- 系统安全加固:手工关闭445端口相关服务或启动主机防火墙;
- 阻断445端口网络通信:配置网络设备或安全设备的ACL,封堵445端口;
扫一扫
4143
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
