2024網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)概述

應(yīng)急響應(yīng)培訓(xùn)概述我們要做什么目錄contents相關(guān)法律法規(guī)應(yīng)急響應(yīng)概述1應(yīng)急響應(yīng)流程23應(yīng)急響應(yīng)綜述計(jì)算機(jī)安全事件是指由于自然或者人為，以及軟硬件本身缺陷或故障的原因，對(duì)信息系統(tǒng)造成危害，或者在信息系統(tǒng)內(nèi)發(fā)生對(duì)社會(huì)造成負(fù)面影響的事件。常見(jiàn)的一些計(jì)算機(jī)安全事件如：竊取商業(yè)機(jī)密垃圾郵件或郵件騷擾；對(duì)計(jì)算機(jī)系統(tǒng)的未授權(quán)訪問(wèn)或非法入侵；盜用；擁有或分發(fā)非法內(nèi)容（例如色情等）；拒絕服務(wù)（DoS、DDoS）攻擊；商業(yè)關(guān)系的侵權(quán)沖突；敲詐；不當(dāng)使用；其證據(jù)可存儲(chǔ)在計(jì)算機(jī)介質(zhì)中的任何非法行為（如欺騙、恐嚇）等。導(dǎo)致安全事件的原因大型企業(yè)的業(yè)務(wù)模式多，對(duì)外暴露的服務(wù)也多。由于對(duì)外暴露的服務(wù)多，導(dǎo)致被攻擊的面也會(huì)擴(kuò)大。黑產(chǎn)團(tuán)伙每天都會(huì)利用秒殺型漏洞批量掃描全網(wǎng)IP除了做黑產(chǎn)，還有可能會(huì)遇到APT……應(yīng)急響應(yīng)對(duì)應(yīng)的英文是IncidentResponse或EmergencyResponse”等，通常是指一個(gè)組織為了應(yīng)對(duì)各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。應(yīng)急響應(yīng)目標(biāo)目錄contents應(yīng)急響應(yīng)概述我們要做什么相關(guān)法律法規(guī)121應(yīng)急響應(yīng)流程3法律法規(guī)、政策要求（一）國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案（二）GB/Z

20985-2007信息技術(shù)

安全技術(shù)

信息安全事件管理指南（三）GB/T

20986-2007

信息安全技術(shù)

信息安全事件分類分級(jí)指南（四）GB/T

20988-2007信息安全技術(shù)

信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范（五）GB/T

24363-2009

信息安全技術(shù)

信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范（六）GBT

28517-2012

網(wǎng)絡(luò)安全事件描述和交換格式……法律法規(guī)、政策要求應(yīng)急事件分類計(jì)算機(jī)病毒事件：病毒指“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。蠕蟲事件：指網(wǎng)絡(luò)蠕蟲，其表現(xiàn)形式為，內(nèi)外網(wǎng)主機(jī)遭受惡意代碼破壞或從外網(wǎng)發(fā)起對(duì)網(wǎng)絡(luò)的蠕蟲感染。木馬事件：是指通過(guò)特定的程序（木馬程序）來(lái)控制另一臺(tái)計(jì)算機(jī)。木馬通常有兩個(gè)可執(zhí)行程序：一個(gè)是控制端，另一個(gè)是被控制端。僵尸網(wǎng)絡(luò)事件：是指采用一種或多種傳播手段，將大量主機(jī)感染bot程序（僵尸程序）病毒，從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)。域名劫持事件：是指通過(guò)攻擊域名解析服務(wù)器（DNS），或偽造域名解析服務(wù)器（DNS）的方法，把目標(biāo)網(wǎng)站域名解析到錯(cuò)誤的地址從而實(shí)現(xiàn)用戶無(wú)法訪問(wèn)目標(biāo)網(wǎng)站的目的。網(wǎng)絡(luò)仿冒事件：是指不法分子在互聯(lián)網(wǎng)上仿冒知名的電子交易站點(diǎn)（如銀行或拍賣網(wǎng)站）的網(wǎng)頁(yè)，誘使用戶訪問(wèn)假站點(diǎn)，騙取用戶的賬號(hào)和密碼等信息，從而竊取錢財(cái)。網(wǎng)頁(yè)篡改事件：是指攻擊者已經(jīng)獲取了網(wǎng)站的控制權(quán)限，將網(wǎng)頁(yè)篡改為非本網(wǎng)站的頁(yè)面。應(yīng)急事件分類網(wǎng)頁(yè)掛馬事件：是指攻擊者已經(jīng)獲取了網(wǎng)站的控制權(quán)限，在網(wǎng)站上插入惡意代碼，以實(shí)現(xiàn)針對(duì)所有訪問(wèn)者進(jìn)行木馬攻擊事件。拒絕服務(wù)攻擊事件：拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)，是黑客常用的攻擊手段之一。后門漏洞事件：是指攻擊者已經(jīng)獲取了網(wǎng)站或服務(wù)器權(quán)限，為實(shí)現(xiàn)長(zhǎng)久控制的目的，在網(wǎng)站或服務(wù)器上留下可再次進(jìn)入的后門程序。非授權(quán)訪問(wèn)事件：是指沒(méi)有預(yù)先經(jīng)過(guò)同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源，如有意避開(kāi)系統(tǒng)訪問(wèn)控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問(wèn)信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。垃圾郵件事件：是指未經(jīng)用戶許可（與用戶無(wú)關(guān)）就強(qiáng)行發(fā)送到用戶的郵箱中的任何電子郵件。其他網(wǎng)絡(luò)安全事件：其它未在上述定義的網(wǎng)絡(luò)安全事件。應(yīng)急事件分級(jí)對(duì)信息安全事件的分級(jí)主要考慮三個(gè)要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響。信息系統(tǒng)的重要程度主要考慮信息系統(tǒng)所承載的業(yè)務(wù)對(duì)國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活的重要性以及業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度，劃分為：特別重要信息系統(tǒng)重要信息系統(tǒng)一般信息系統(tǒng)應(yīng)急事件分級(jí)分級(jí)要素-系統(tǒng)損失對(duì)信息安全事件的分級(jí)主要考慮三個(gè)要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響。分級(jí)要素-社會(huì)影響對(duì)信息安全事件的分級(jí)主要考慮三個(gè)要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響。應(yīng)急事件分級(jí)目錄contents應(yīng)急響應(yīng)概述我們要做什么應(yīng)急響應(yīng)流程相關(guān)法律法規(guī)1231應(yīng)急響應(yīng)流程4、根除階段應(yīng)急響應(yīng)流程-準(zhǔn)備階段應(yīng)急響應(yīng)的準(zhǔn)備是整個(gè)應(yīng)急響應(yīng)過(guò)程有效性的保證。因此，在應(yīng)急響應(yīng)實(shí)施前，應(yīng)該：進(jìn)行調(diào)研分析；確定應(yīng)急響應(yīng)的目標(biāo)；確定應(yīng)急響應(yīng)范圍；制定應(yīng)急響應(yīng)預(yù)案；制定應(yīng)急服務(wù)方案；簽署應(yīng)急響應(yīng)服務(wù)承諾書；應(yīng)急響應(yīng)工具準(zhǔn)備及更新維護(hù)；組建適當(dāng)?shù)墓芾砼c實(shí)施團(tuán)隊(duì)；制定預(yù)防和預(yù)警機(jī)制；應(yīng)急響應(yīng)流程-檢測(cè)階段確定檢測(cè)對(duì)象及范圍判斷是否為安全事件確定應(yīng)急處理方案明確檢測(cè)范圍與檢測(cè)行為規(guī)范預(yù)測(cè)應(yīng)急處理方案可能造成的影響應(yīng)急響應(yīng)流程-抑制階段明確抑制處理的目的明確抑制處理帶來(lái)的風(fēng)險(xiǎn)抑制處理方案應(yīng)急抑制的目的是限制安全事件對(duì)受保護(hù)信息系統(tǒng)造成影響的范圍和程度。應(yīng)急抑制是信息安全應(yīng)急響應(yīng)工作中的重要環(huán)節(jié)。在信息安全事件發(fā)生的第一時(shí)間內(nèi)對(duì)故障系統(tǒng)或區(qū)域?qū)嵤┯行У母綦x和處理，或者根據(jù)所擁有的資源狀況和事件的等級(jí)，采用臨時(shí)切換到備份系統(tǒng)等措施降低事件損失、避免安全事件的擴(kuò)散（例如蠕蟲的大規(guī)模傳播）和安全事件對(duì)受害系統(tǒng)的持續(xù)性破壞，有利于應(yīng)急響應(yīng)工作人員對(duì)安全事件做出迅速、準(zhǔn)確的判斷并采取正確的應(yīng)對(duì)策略。應(yīng)急抑制過(guò)程中，重要的是確保業(yè)務(wù)連續(xù)性，應(yīng)盡量保證在備份系統(tǒng)中完全運(yùn)行原來(lái)的業(yè)務(wù)。如果出現(xiàn)資源緊張，應(yīng)盡可能保證重要資產(chǎn)優(yōu)先運(yùn)行，維持最基本的業(yè)務(wù)能力。將檢測(cè)到的結(jié)果跟客戶進(jìn)行充分溝通，告知客戶目前面臨的主要問(wèn)題，及處理方法。應(yīng)急響應(yīng)流程-根除階段確定根除方案明確風(fēng)險(xiǎn)事件根除記錄應(yīng)急響應(yīng)流程-恢復(fù)階段明確風(fēng)險(xiǎn)重建系統(tǒng)數(shù)據(jù)備份安裝新操作系統(tǒng)配置基線及訪問(wèn)控制數(shù)據(jù)恢復(fù)上線測(cè)試應(yīng)急演練應(yīng)急響應(yīng)流程-跟進(jìn)階