事件前充分准备,事件中应对,事件后应急处置
应急响应事件分类分类:
分类分级依据:GB/Z 20986-2007
类型:7个
1、有害程序--木马,病毒,流氓软件
2、网络攻击--Dos攻击、探测、扫描、劫持
3、信息破坏--网页篡改为随机乱码
4、信息内容安全--反动言论、谣言
5、设施设备故障--电力中断
6、灾难性--地震,火山,海啸,台风
7、其他信息安全事件--诈骗,盗版,社工攻击
分级:4级
根据信息系统的重要程度、系统损失、社会影响判断
I级特大事件---红色
II级重大事件---橙色
III级较大事件---黄色
IV级一般事件---蓝色
应急响应组织
国际:CERT美国主导
国家:CNCERT中央网信部门
行业:公安、交通、电力
地方:北京,四川网新运营
组织:某国有企业应急部门
组织架构:领导组,专家组,实施组,日常运行组,技术保障组(决策,咨询,处理,实施,保障)
应急响应预案
分析突发事件后果和应急能力基础上,预先制定的行动计划或对策
计划---什么事,什么地方,谁负责,有什么资源,什么时间内处理
预案---怎么做,遇到大事谁处理,遇到小事谁处理,
分类---计划和预案可以合并,可以分开
要求---适用性,可行性,高效性,便捷性,变通性
内容---参考处理,不是操作手册
应急演练级响应
检验预案有效性,完善性,提升响应能力适应性和协同性
演练方式:练习,训练,演练,演习
可以参考CB/T 38645-2020 信息安全技术网络安全事件应急演练指南
演练过程:准备,实施,评估预总结,成果应用
响应流程:准备,检测,遏制,根除,恢复,跟踪总结
准备---预防为主
检测---主动检测确认发生事件的严重性、性质和影响---4级中哪级7类中哪类--责任人--影响范围
遏制---防止范围扩大损失上升---平衡时间空间---断网,封锁
根除---根源解决,标本兼治,避免在发生
恢复---恢复系统,业务,消除部分影响
跟踪总结---总结经验教训,标志应急响应报告,进入司法程序调查
计算机取证
原则:
合法,充分授权,优先保护,全程监督,存档(短,长,永久)
真实性,完整性,可验证性,可追溯性
程序文件:立案文件,授权数,介绍信,交接文件
取证流程:准备,保护,提取,分析,报告
操作需要第三方在场监督或全程录像
遵循最小干扰原则
证据做好保管和保护
取证顺序:先动态证据,后静态证据;先有形证据,后无形证据。
保存固定:证据要生成2个及以上的副本,并都生成哈希值进行校验,证据保护起来。