@南馆潇湘
2年前 提问
1个回答

安全事件的响应分为哪几个阶段

007bug
2年前

安全事件的响应分为以下几个阶段:

  1. 准备:此阶段主要为安全事件真正发生时的应急响应做好准备工作。主要包括以下几项内容:制定应急响应计划,包括人员组成及分工;应急处理的总目标以及各个阶段的目标;资源的分配;具体的实施方案和备用方案等;对重要的数据和系统进行备份处理;对参加人员进行相关的安全培训,进行应急响应事件处理的预演。

  2. 事件检测:此阶段主要检测并确认安全事件的发生。入侵检测与应急响应是紧密相关的,检测到对网络和系统的攻击才能触发响应的动作。同时估计安全事件的严重程度,如影响了多少主机、涉及多少网络、攻击者获得了什么样的权限等,以决定后续阶段使用什么级别的应急响应方案。

  3. 抑制:在确认安全事件发生后,此阶段采取措施抑制事件的进一步扩散,限制安全事件对系统造成损害的范围和程度。这些措施包括:阻断正在发生的攻击行为;在事件发生的第一时间内对故障系统或区域实施有效的隔离和处理;临时切换到备用系统;修改防火墙和路由器的过滤规则。

  4. 根除:在安全事件被抑制后,挖掘事件的根源并彻底清除。针对大规模爆发的带有蠕虫性质的病毒,应该在系统内部的各个主机上彻底清除;针对系统的入侵、非法授权访问等,应查找系统到底存在哪些漏洞,从而避免类似情况的再次发生。

  5. 恢复:在根除阶段完成后,需要完全恢复系统的运行,把所有受侵害或被破坏的系统、应用服务、数据库、网络设备等彻底地还原到它们正常的工作状态。恢复工作应十分小心,避免因误操作而导致数据丢失。

  6. 事后分析:这一阶段是应急响应过程中很重要的一步,也是常常被忽略的一步。事后分析工作包括:回顾并整理安全事件的各种相关信息,尽可能把所有情况记录到文档中;总结教训,分析导致事件发生的根本原因;评估系统遭受的损失;根据分析和评估结果对安全策略进行改进。