31、网络安全事件响应与业务连续性规划全解析

网络安全事件响应与业务连续性规划全解析

1. 网络安全事件响应概述

网络安全事件响应旨在帮助组织以冷静、可重复的方式应对安全问题。当组织的安全政策出现已知、疑似或迫在眉睫的违规情况时，就会发生安全事件。此时，组织应启动计算机安全事件响应团队（CSIRT）。

1.1 事件响应流程阶段

• 准备阶段 ：组织需确保 CSIRT 具备适当的政策基础、有效的操作程序，接受适当培训，并做好应对事件的准备。
• 检测与分析阶段 ：组织要留意安全事件的迹象，包括监控警报、日志、公开信息以及内部和外部人员关于安全异常的报告。
• 遏制、根除和恢复阶段 ：当怀疑发生安全事件时，进入此阶段，旨在限制损害并尽快恢复正常运营。
• 事件后活动阶段 ：事件结束后，组织有机会通过经验教训审查来反思事件，并按政策保留证据以供未来使用。

1.2 安全事件与安全事件指标

安全事件是可能升级为安全事故的事件。安全事件指标包括警报、日志、公开信息和人员报告。警报来自入侵检测和预防系统、安全信息和事件管理系统等；日志由操作系统、服务、应用程序等生成；公开信息涉及新发现的漏洞和攻击手段；人员可报告可疑活动。

1.3 事件响应的指导文件

• 政策 ：事件响应政策是组织事件响应计划的基石，应从高层次指导工作并赋予响应权力。