已经有计划了,但是没有完成,要一篇WAF,一篇杀伤链,今天呢,说说网络安全中的应急响应。
凡事预则立,不预则废。网络安全应急响应就是要对网络安全有清晰认识,有所预估和准备,从而在一旦发生突发网络安全事件时,有序应对、妥善处理。
中央网络安全和信息化领导小组办公室,2017年1月10日,印发了《国家网络安全事件应急预案》,里面有编制目的,依据,适用范围,事件分级等。有必要可以网上搜索。我就简单粗暴的讲大白话了。
应急响应或者应急预案是用来处理系统运行中的突发事件,进而降低危害和影响,整个可以理解为一套规范的操作流程或指南。
事件分类:应急预案是针对一些特定的信息事件,这些事件可分为网络攻击事件、信息破坏事件、恶意软件攻击事件、网络故障事件、软件系统故障事件、灾难性事情、其他事件等八类事件。(这个是一般分法)。所以应急响应的预案一般也是有针对的制定和进行,比如针对网络攻击事件是一套预案,针对软件系统故障事件是一套预案,等等。
事件分级:按照造成信息系统的中断运行时间和影响,将信息系统突发事件级别划分为特别重大(I级)、重大(II级)、较大(III级)、一般(IV级)。所以呢,也可以想到的就是,不同等级的事件处理的流程会有不同,就像大风有蓝色,橙色,黄色预警一样。
一般呢,对于应急响应工作,会有专门的组织机构和工作职责,负责处理相关工作和流程。
接下来呢,最重要的工作就是应急响应的流程。就是按照什么样的流程做什么事情。看下下面的流程图,这个各行业,各家单位都会有些差异,大同小异,有些的流程写的更细致一些。最后一个是应急响应总结。
不同的事件,处理预案是不同的,所以如果做应急响应演练,内容和方式也会有不同,我们就举2个例子吧。
(1)网络攻击事件应急预案:
1.当发现网络被非法入侵、网页内容被篡改,应用服务器的数据被非法拷贝、修改、删除,或有黑客正在进行攻击等现象时,使用者或管理者应断开网络,并立即报告应急工作小组。
2.应急工作小组立即切断相关服务器网络或关闭服务器,封锁或删除被攻破的登陆账号,阻断可疑用户进入网络的通道,并及时清理系统、恢复数据和程序,尽快将系统和网络恢复正常。
(2)恶意软件攻击事件应急预案:
1.当发现网络病毒或蠕虫攻击时,系统使用人员立即断开网线,终止网络病毒或蠕虫传播,并报告应急工作小组。
2.应急工作小组根据情况通告局域网内所有计算机用户,隔离网络,指导各计算机操作人员进行杀毒处理、清除恶意软件及受感染文件,直至网络处于安全状态。
这是两种预案,可以看出内容或者说侧重点还是不同的,所以一般发生信息系统相关事件,先要进行断网处理,评定事件类型和影响,就是事件是哪个严重级别,上报相关领导,同事积极处理善后工作,一般要保留相关痕迹,事后溯源,最终要写总结报告。
看一个完整的演练方案吧。一般按照如下框架来充实内容。
XXX网络安全应急演练方案
一、指导思想
二、组织机构
1,演练指挥部
2,演练工作组
三、演练方案
1、演练时间
2、演练内容
(1),网络通信故障及排除
(2),计算机病毒排除
(3),网站篡改处理
(4),网络舆情处理与报送
3,演练目的
加强协助,防范事故,统一指挥,协调有序。。。通过演练,是员工。。。,明确分工职责,提高意识能力,,,。
四、演练的准备阶段
1,学习教育
2,印发《。。。。应急演练实施方案》
3,演练组与相关单位做好准备。。。
五、应急演练阶段
1,讲解参与人员注意事项
2,按照时间表逐项通知
3,参与人员认真对待
4,演练程序
(3),网站篡改处理
故障情节: XX月X日,WHO发现了单位网站篡改。
处理程序:工作人员报告管理网络安全管理人员。管理员查看,取证,分析,查找原因。对相关信息删除,更改密码。工作组人员对其他站点进行排查,追溯源头。上报指挥部。指挥部上报上级。故障排除后,管理员想指挥部汇报故障原因及处理结果,做好记录。。。。
六、演练要求
1,加强领导,确保达到目的。
2,认真组织,确保人员到位。
七、总结汇报
演练结束后,对演练工作反思,整改,吸取教训,总结经验,完善预案。。。
关于应急预案,是不是大概了解了,总体来说,就是要有个脚本,就是方案,然后按照这个脚本来进行演习。所以这个脚本的好坏很重要哈。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
