其他
网络安全应急响应流程,你想知道的这里都有
国家网信办6月27日印发《国家网络安全事件应急预案》(下称《预案》),包括勒索病毒在内的有害程序事件被明确为网络安全事件的种类之一,针对事件的监测预警、应急处置、调查评估均设置了具体机制。
据了解,《预案》确定了在中央网信领导小组领导下,中央网信办、工信部、公安部、国家保密局等部门分工负责的领导机制,必要时成立国家网络安全事件应急指挥部。此外,《预案》还规定了中央和国家机关各部门、各省级网信部门的职责。
网络安全应急响应是十分重要的,在网络安全事件层出不穷、事件危害损失巨大的时代,应对短时间内冒出的网络安全事件,根据应急响应组织事先对各自可能情况的准备演练,在网络安全事件发生后,尽可能快速、高效的跟踪、处置与防范,确保网络信息安全。就目前的网络安全应急监测体系来说,其应急处理工作可分为以下几个流程:
01、准备工作
此阶段以预防为主,在事件真正发生前为应急响应做好准备。主要包括以下几项内容:
制定用于应急响应工作流程的文档计划,并建立一组基于威胁态势的合理防御措施;
制定预警与报警的方式流程,建立一组尽可能高效的事件处理程序;
建立备份的体系和流程,按照相关网络安全政策配置安全设备和软件;
建立一个支持事件响应活动的基础设施,获得处理问题必备的资源和人员,进行相关的安全培训,可以进行应急反映事件处理的预演方案;
02、事件检测
识别和发现各种网络安全紧急事件。一旦被入侵检测机制或另外可信的站点警告已经检侧到了入侵,需要确定系统和数据被入侵到了什么程度。入侵响应需要管理层批准,需要决定是否关闭被破坏的系统及是否继续业务,是否继续收集入侵者活动数据(包括保护这些活动的相关证据)。通报信息的数据和类型,通知什么人。主要包括以下几种处理方法:
布局入侵检测设备、全局预警系统,确定网络异常情况;
预估事件的范围和影响的严重程度,来决定启动相应的应急响应的方案;
事件的风险危害有多大,涉及到多少网络,影响了多少主机,情况危急程度;
确定事件责任人人选,即指定一个责任人全权处理此事件并给予必要资源;
攻击者利用的漏洞传播的范围有多大,通过汇总,确定是否发生了全网的大规模入侵事件;
03、抑制处置
在入侵检测系统检测到有安全事件发生之后,抑制的目的在于限制攻击范围,限制潜在的损失与破坏,在事件被抑制以后,应该找出事件根源并彻底根除;然后就该着手系统恢复,把所有受侵害的系统、应用、数据库等恢复到它们正常的任务状态。
收集入侵相关的所有资料,收集并保护证据,保证安全地获取并且保存证据;
确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据和应用服务;
通过对有关恶意代码或行为的分析结果,找出事件根源明确相应的补救措施并彻底清除,并对攻击源进行准确定位并采取措施将其中断;
清理系统、恢复数据、程序、服务,把所有被攻破的系统和网络设备彻底还原到正常的任务状态。
总之,信息安全应急响应体系应该从以上几个方面来更加完善,统一规范事件报告格式,建立及时堆确的安全事件上报体系,在分类的基础上,进一步研究针对各类安全事件的响应对策,从而建立一个应急决策专家系统,建立网络安全事件数据库,这项工作对于事件应急响应处置过程具有十分重要的意义。