信息安全应急响应管理过程
1、准备阶段
选择、安装和熟悉响应过程中的协助工具及有助于收集和维护与入侵相关数据的工具,为所有的应用软件和操作系统创建启动盘或随机器发行的介质库。用初始可靠的启动盘(或CD−ROM)使机器以已知的预先设定的配置重新启动,这在相当程度上能保证被入侵后的文件、程序以及数据不会加载到系统中。
2、检测阶段
检测阶段的主要任务有发现可疑迹象或问题发生后进行的一系列初步处理工作,分析所有可能得到的信息来确定入侵行为的特征。
3、抑制阶段
抑制阶段的主要任务是限制事件扩散和影响的范围。抑制举措往往会对合法业务流量造成影响,最有效的抑制方式是尽可能地靠近攻击的发起端实施抑制。但是,一般情况下攻击包都会伪造源IP地址,在Internet这样的大型网络环境中难以确定攻击流的真正来源,因此,要靠近攻击发起端实施面向 Internet 全网的抑制操作在当前技术上依然不成熟。
4、根除阶段
根除阶段的主要任务是通过事件分析查明事件危害的方式,并且给出清除危害的解决方案。
对事件的确认仅是初步的事件分析过程。事件分析的目的是找出问题出现的根本原因。在事件分析的过程中主要有主动和被动2种方式。
主动方式是采用攻击诱骗技术,通过让攻击方去侵入一个受监视存在漏洞的系统,直接观察到攻击方所采用的攻击方法。
被动方式是根据系统的异常现象去追查问题的根本原因。
5、恢复阶段
恢复阶段的主要任务是把被破坏的信息彻底地还原到正常运作状态。确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据、打开系统和应用服务、恢复系统网络连接、验证恢复系统、观察其他的扫描、探测等可能表示入侵者再次侵袭的信号。一般来说,要成功地恢复被破坏的系统,需要维护干净的备份系统,编制并维护系统恢复的操作手册,而且在系统重装后需要对系统进行全面的安全加固。
6、跟踪阶段
跟踪阶段的主要任务是回顾并整合应急响应过程的相关信息,进行事后分析总结、修订安全计划、政策、程序并进行训练以防止再次入侵,基于入侵的严重性和影响,确定是否进行新的风险分析、给系统和网络资产制定一个新的目录清单、如果需要,参与调查和起诉。这一阶段的工作对于准备阶段工作的开展起到重要的支持作用。