@邪恶贝壳
3年前 提问
1个回答

网络安全应急处理过程分几个阶段

一颗小胡椒
3年前
官方采纳

网络安全应急处理的过程主要有准备、检测、抑制、根除、恢复、总结六个阶段。

  1. 准备阶段

    准备阶段的目标是在安全事件真正发生之前为处理安全事件做好准备工作。准备阶段的主要工作包括建立合理的防御/控制措施、建立适当的策略和程序、获得必要的资源和组建响应队伍等。该阶段的控制点包括:应急响应需求界定、服务合同或协议签订、应急服务方案制定、人员和工具准备。

  2. 检测阶段

    检测阶段的目标是对网络安全事件做出初步的动作和响应,根据获得的初步材料和分析结果,预估事件的范围和影响程度,制定进一步的响应策略,并且保留相关证据。

  3. 抑制阶段

    抑制阶段的目标是限制攻击的范围,抑制潜在的或进一步的攻击和破坏。抑制措施十分重要,因为安全事件很容易扩散和失控。攻击抑制措施可以在以下几个方面发挥作用,阻止入侵者访问被攻陷系统、限制入侵的程度、防止入侵者进一步破坏等。

  4. 根除阶段

    根除阶段的目标是在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出导致网络安全事件发生的根源,并予以彻底消除。对于单机上的事件,可以根据各种操作系统平台的具体检查和根除程序进行操作即可。但是大规模爆发的带有蠕虫性质的恶意程序,要根除各个主机上的恶意代码,则需投入更多的人力和物力。

  5. 恢复阶段

    恢复阶段的目标是将网络安全事件所涉及的系统还原到正常状态。恢复工作应该十分小心,避免出现误操作,导致数据的丢失。恢复阶段的行动集中于建立临时业务处理能力、修复原系统损害、在原系统或新设施中恢复运行业务能力等应急措施。

  6. 总结阶段

    总结阶段的目标是回顾网络安全事件处理的全过程,整理与事件相关的各种信息,并尽可能地把所有情况记录到文档中。这些记录的内容,不仅对有关部门的其他处理工作具有重要意义,而且对将来应急工作的开展也是非常重要的积累。