@时光机
3年前 提问
1个回答
如何处置信息泄露
趣能一姐
3年前
官方采纳
如何处置信息泄露,这里通过”互联网商城系统订单信息泄露事件”案例来具体介绍信息泄露处置过程。处置过程如下。
负责人员首先与公司领导进行面对面沟通,明确本次应急响应需要达成的关键目标和注意事项,公司应尽可能地安排专门接口人进行协助。
负责人员与网络运维人员进行沟通,梳理内部网络安全防护情况及对应服务器区域的防护级别,最好能获取整个内部网络的拓扑或能绘制并提供简单的拓扑,梳理可能的入侵路径,初步评估其难度。
负责人员与服务器管理员沟通,确认服务器开放的服务和端口(特别是已映射至互联网的),商城系统上线是否做过安全测试,是否开启了系统日志、Web访问日志和其他审计日志等,导出相关日志,以便后续分析使用。
负责人员与业务运营管理员进行沟通,梳理拥有访问订单数据权限的人员,确认系统是否有设置单独的审计人员,是否存在关联的业务系统或引用商城系统数据的情况。
负责人员与系统开发商沟通,确认商城系统是否有做过专业的软件测试和安全测试,相关服务是否使用了硬编码和弱密码。
通过汇总现场沟通素材,结合以往事件处置经验,可以得出一个数据泄露源头的初步结论,并进行汇报。
对导出的系统日志和Web访问日志进行全覆盖分析,对审计日志进行人工筛选审计,通过日志分析得出一个相对准确的结论,再结合现场得出的结论,进行判断。若分歧较大,则可考虑再次与存在明显分歧的人员沟通确认。
通过日志分析定位出异常访问的IP地址,若是内部网络,则请求网络运维人员协助调查IP地址在特定时段内的使用人员;若是外部网络且有必要继续追查,则可向相关网络安全部门报案,并进行进一步追查。
对上述处置分析过程进行汇总,编制应急响应报告和汇报材料,向公司领导进行汇报,应急响应工作结束。