企业怎样做好计算机应急响应工作
答案:2 悬赏:70 手机版
解决时间 2021-03-05 23:32
- 提问者网友:你给我的爱
- 2021-03-04 23:03
企业怎样做好计算机应急响应工作
最佳答案
- 五星知识达人网友:空山清雨
- 2021-03-04 23:57
当企业的网络中出现安全漏洞时,公司的核心商业信息和业务的机密信息会被盗窃。
随着电子商务和在线交易已经成为当今商业社会的一部分,越来越多的公司被发现网络中存在安全隐患而遭受计算机罪犯勒索。当企业的网络中出现安全漏洞时,公司的核心商业信息和业务的机密信息会被盗窃。另外与在线银行有关的诈骗也逐渐增加,零售商的后台数据库被攻击,信用卡信息被盗窃。越来越多的公司因受到拒绝服务攻击的不断增加而丢失利润和生产力。
通常来说,应急响应泛指安全技术人员在遇到突发事件后所采取的措施和行为。而突发事件则是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题,也包括网络范畴内的问题,例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。
应急处理的两个根本性目标:确保恢复、追究责任。
除非是“事后”处理的事件,否则应急处理人员首先要解决的问题是如何确保受影响的系统恢复正常的功能。在确保恢复的工作中,应急处理人员需要保存各种必要的证据,以供将来其他工作使用。追究责任涉及到法律问题,一般用户单位或第三方支援的应急处理人员主要起到配合分析的作用,因为展开这样的调查通常需要得到司法许可。
多数企业都建立了应急响应的独立团队,通常称为计算机安全应急响应小组(Computer SecurityIncidentResponseTeam,CSIRT),以响应计算机安全事件。应急响应涉及多门学科,要求多种能力:通常要求从公司的不同部分获取资源。人力资源部人员、法律顾问、技术专家、安全专家、公共安全官员、商业管理人员、最终用户、技术支持人员和其他涉及计算机安全应急响应的人员。当然这些人员大部分是兼职的,需要在应急响应工作中进行配合。
根据应急响应的PDCERF方法,我们分为六个阶段来处理,分别是准备(Pretion)、检测(Detection)、遏制(Containment)、根除(Eradication)、恢复(Recovery)、跟踪(Follow-up)。如下所示: 第一阶段:准备(Pretion)
此阶段以预防为主。主要工作涉及识别公司的风险,建立安全政策,建立协作体系和应急制度;按照安全政策配置安全设备和软件,为应急响应与恢复准备主机。通过网络安全措施,为网络进行一些准备工作,比如扫描、风险分析、打补丁,如有条件且得到许可,建立监控设施,建立数据汇总分析的体系和能力;制订能够实现应急响应目标的策略和规程,建立信息沟通渠道和通报机制,有关法律法规的制定;创建能够使用的响应工作包;建立能够集合起来处理突发事件的CSIRT。
第二阶段:检测(Detection)
第三阶段:遏制(Containment)
及时采取行动遏制事件发展。初步分析,重点确定适当的遏制方法,如隔离网络,修改所有防火墙和路由器的过滤规则,删除攻击者的登录账号,关闭被利用的服务或者关闭主机等;咨询安全政策;确定进一步操作的风险,控制损失保持最小;列出若干选项,讲明各自的风险,应该由服务对象来做决定。确保封锁方法对各网业务影响最小;通过协调争取各网一致行动,实施隔离;汇总数据,估算损失和隔离效果。
第四阶段:根除(Eradication)
彻底解决问题隐患。分析原因和漏洞;进行安全加固;改进安全策略。加强宣传,公布危害性和解决办法,呼吁用户解决终端问题;加强检测工作,发现和清理行业与重点部门的问题。
第五阶段:恢复(Recovery)
被攻击的系统由备份来恢复;做一个新的备份;对所有安全上的变更作备份;服务重新上线并持续监控。持续汇总分析,解各网的运行情况;根据各网的运行情况判断隔离措施的有效性;通过汇总分析的结果判断仍然受影响的终端的规模;发现重要用户及时通报解决;适当的时候解除封锁措施。
第六阶段:跟踪(Follow-up)
关注系统恢复以后的安全状况,特别是曾经出问题的地方;建立跟踪文档,规范记录跟踪结果;对响应效果给出评估;对进入司法程序的事件,进行进一步的调查,打击违法犯罪活动。
以上就是企业在发生应急响应时应该参照的响应方法,具体业务相关的,可以进一步细化响应过程。
随着电子商务和在线交易已经成为当今商业社会的一部分,越来越多的公司被发现网络中存在安全隐患而遭受计算机罪犯勒索。当企业的网络中出现安全漏洞时,公司的核心商业信息和业务的机密信息会被盗窃。另外与在线银行有关的诈骗也逐渐增加,零售商的后台数据库被攻击,信用卡信息被盗窃。越来越多的公司因受到拒绝服务攻击的不断增加而丢失利润和生产力。
通常来说,应急响应泛指安全技术人员在遇到突发事件后所采取的措施和行为。而突发事件则是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题,也包括网络范畴内的问题,例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。
应急处理的两个根本性目标:确保恢复、追究责任。
除非是“事后”处理的事件,否则应急处理人员首先要解决的问题是如何确保受影响的系统恢复正常的功能。在确保恢复的工作中,应急处理人员需要保存各种必要的证据,以供将来其他工作使用。追究责任涉及到法律问题,一般用户单位或第三方支援的应急处理人员主要起到配合分析的作用,因为展开这样的调查通常需要得到司法许可。
多数企业都建立了应急响应的独立团队,通常称为计算机安全应急响应小组(Computer SecurityIncidentResponseTeam,CSIRT),以响应计算机安全事件。应急响应涉及多门学科,要求多种能力:通常要求从公司的不同部分获取资源。人力资源部人员、法律顾问、技术专家、安全专家、公共安全官员、商业管理人员、最终用户、技术支持人员和其他涉及计算机安全应急响应的人员。当然这些人员大部分是兼职的,需要在应急响应工作中进行配合。
根据应急响应的PDCERF方法,我们分为六个阶段来处理,分别是准备(Pretion)、检测(Detection)、遏制(Containment)、根除(Eradication)、恢复(Recovery)、跟踪(Follow-up)。如下所示: 第一阶段:准备(Pretion)
此阶段以预防为主。主要工作涉及识别公司的风险,建立安全政策,建立协作体系和应急制度;按照安全政策配置安全设备和软件,为应急响应与恢复准备主机。通过网络安全措施,为网络进行一些准备工作,比如扫描、风险分析、打补丁,如有条件且得到许可,建立监控设施,建立数据汇总分析的体系和能力;制订能够实现应急响应目标的策略和规程,建立信息沟通渠道和通报机制,有关法律法规的制定;创建能够使用的响应工作包;建立能够集合起来处理突发事件的CSIRT。
第二阶段:检测(Detection)
第三阶段:遏制(Containment)
及时采取行动遏制事件发展。初步分析,重点确定适当的遏制方法,如隔离网络,修改所有防火墙和路由器的过滤规则,删除攻击者的登录账号,关闭被利用的服务或者关闭主机等;咨询安全政策;确定进一步操作的风险,控制损失保持最小;列出若干选项,讲明各自的风险,应该由服务对象来做决定。确保封锁方法对各网业务影响最小;通过协调争取各网一致行动,实施隔离;汇总数据,估算损失和隔离效果。
第四阶段:根除(Eradication)
彻底解决问题隐患。分析原因和漏洞;进行安全加固;改进安全策略。加强宣传,公布危害性和解决办法,呼吁用户解决终端问题;加强检测工作,发现和清理行业与重点部门的问题。
第五阶段:恢复(Recovery)
被攻击的系统由备份来恢复;做一个新的备份;对所有安全上的变更作备份;服务重新上线并持续监控。持续汇总分析,解各网的运行情况;根据各网的运行情况判断隔离措施的有效性;通过汇总分析的结果判断仍然受影响的终端的规模;发现重要用户及时通报解决;适当的时候解除封锁措施。
第六阶段:跟踪(Follow-up)
关注系统恢复以后的安全状况,特别是曾经出问题的地方;建立跟踪文档,规范记录跟踪结果;对响应效果给出评估;对进入司法程序的事件,进行进一步的调查,打击违法犯罪活动。
以上就是企业在发生应急响应时应该参照的响应方法,具体业务相关的,可以进一步细化响应过程。
全部回答
- 1楼网友:鱼忧
- 2021-03-05 01:28
局域网。广域网。
我要举报
如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
点此我要举报以上问答信息
大家都在看
推荐资讯