PDCERF 方法包括哪六个阶段
PDCERF方法将网络安全应急响应流程分成准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段6个阶段的工作。并根据网络安全应急响应总体策略对每个阶段定义适当的目的,明确响应顺序和过程。
准备阶段
准备阶段以预防为主。主要工作涉及识别企业的风险、建立安全政策、建立协作体系和应急制度。按照安全政策配置安全设备和软件,为网络安全应急响应与恢复准备主机。通过网络安全措施,进行一些准备工作,例如,扫描、风险分析、打补丁等。如有条件且得到许可,可建立监控设施,建立数据汇总分析的体系,制定能够实现网络安全应急响应目标的策略和规程,建立信息沟通渠道,建立能够集合起来处理突发事件的体系。
检测阶段
检测阶段主要检测事件是已经发生还是正在进行中,以及事件产生的原因和性质。确定事件性质和影响的严重程度,预计采用什么样的专用资源来修复。选择检测工具,分析异常现象,提高系统或网络行为的监控级别,估计安全事件的范围。通过汇总,确定是否发生了全网的大规模事件,确定应急等级,决定启动哪一级应急方案。
一般典型的事故现象包括:
① 账号被盗用; ② 骚扰性的垃圾信息; ③ 业务服务功能失效; ④ 业务内容被明显篡改; ⑤ 系统崩溃、资源不足。
抑制阶段
抑制阶段的主要任务是限制攻击/破坏波及的范围,同时也是在降低潜在的损失。所有的抑制活动都是建立在能正确检测事件的基础上的,抑制活动必须结合检测阶段发现的安全事件的现象、性质、范围等属性,制定并实施正确的抑制策略。
抑制策略通常包含以下内容:
① 完全关闭所有系统; ② 从网络上断开主机或断开部分网络; ③ 修改所有的防火墙和路由器的过滤规则; ④ 封锁或删除被攻击的登录账号; ⑤ 加强对系统或网络行为的监控; ⑥ 设置诱饵服务器,进一步获取事件信息; ⑦ 关闭受攻击的系统或其他相关系统的部分服务。
根除阶段
根除阶段的主要任务是通过事件分析找出根源并彻底根除,以避免攻击者再次使用相同的手段攻击系统,引发安全事件。并加强宣传,公布危害性和解决办法,呼吁用户解决终端问题。加强监测工作,发现和清理行业与重点部门问题。
恢复阶段
恢复阶段的主要任务是把被破坏的信息彻底还原到正常运作状态。确定使系统恢复正常的需求和时间表,从可信的备份介质中恢复用户数据,打开系统和应用服务,恢复系统网络连接,验证恢复系统,观察其他的扫描,探测可能表示入侵者再次侵袭的信号。一般来说,要想成功地恢复被破坏的系统,需要有干净的备份系统,编制并维护系统恢复的操作手册,而且在系统重装后需要对系统进行全面的安全加固。
总结阶段
总结阶段的主要任务是回顾并整合网络安全应急响应过程的相关信息,进行事后分析总结和完善安全计划、政策、程序,并进行训练,以防止入侵再次发生。基于入侵的严重性和影响,确定是否进行新的风险分析,给系统和网络资产制作一个新的目录清单。这一阶段的工作对于准备阶段工作的开展起到重要的支持作用。
总结阶段的工作主要包括以下3方面的内容:
① 形成事件处理的最终报告; ② 检查网络安全应急响应过程中存在的问题,重新评估和修改事件响应过程中存在的问题,重新评估和修改事件响应过程; ③ 评估网络安全应急响应人员相互沟通在事件处理上存在的缺陷,以促进事后进行更有针对性的培训。