❶ 網路安全應急響應的網路安全應急響應做什麼
應急響應的活動應該主要包括兩個方面:
第一、未雨綢繆,即在事件發生前事先做好准備,比如風險評估、制定安全計劃、安全意識的培訓、以發布安全通告的方式進行的預警、以及各種防範措施;
第二、亡羊補牢,即在事件發生後採取的措施,其目的在於把事件造成的損失降到最小。這些行動措施可能來自於人,也可能來自系統,不如發現事件發生後,系統備份、病毒檢測、後門檢測、清除病毒或後門、隔離、系統恢復、調查與追蹤、入侵者取證等一系列操作。
以上兩個方面的工作是相互補充的。首先,事前的計劃和准備為事件發生後的響應動作提供了指導框架,否則,響應動作將陷入混亂,而這些毫無章法的響應動作有可能造成比事件本身更大的損失;其次,事後的響應可能發現事前計劃的不足,吸取教訓,從而進一步完善安全計劃。因此,這兩個方面應該形成一種正反饋的機制,逐步強化組織的安全防範體系。
❷ 稅務網路與信息安全應急預案包括哪些
一、總則
(一)基本原則
1、堅持預防為主
2、提高快速反應能力
3、加強安全監管
4、責任到人、制度保障
二、應急響應流程
(一)事件分析
(二)事件處理
事件處理主要包括以下內容:
1、分析是否存在針對該事件的特定系統預案,如果存在則啟動特定系統應急預案,如果涉及多個特定系統預案,應同時啟動所有涉及的特定系統預案。
2、分析是否存在針對該事件的專題預案,如果存在則啟動專題預案,如果事件涉及多個專題預案,應同時啟動所有涉及的專題預案。
3、如果沒有針對該事件的應急預案,應根據事件具體情況,採取抑制措施,抑制事件進一步擴散,並根除事件影響,恢復系統運行;
(三)結束響應
系統恢復運行後,對事件造成的損失、事件處理流程、應急預案進行評估,對響應流程、預案提出修改意見,撰寫事件處理報告。並根據《稅務系統重大信息安全事件報告制度》要求,確定是否需要上報該事件及其處理過程,需要上報的應及時准備相關材料,上報上級機關。
三、安全事件應急處置
(一)蠕蟲病毒感染
(二)黑客攻擊
(三)網路通信中斷
(四)電力中斷
(五)機房漏水
(六)軟體系統故障
(七)主機故障
四、演練及維護
為保證應急行動的能力,應每年至少組織一次應急行動演練,以提高處理應急事件的能力,檢驗物資器材的完好情況。
應急響應演練按如下步驟進行:
1)確定應急響應演練的目標和應急響應演練的范圍;
2)制定應急響應演練的方案;
3)調配應急響應演練所需的各項資源,並協調應急響應演練過程中涉及的部門和單位;
4)組織並監督應急響應相關人員進行應急演練;
5)總結經驗,根據演練結果對應急預案進行更新,並對本單位的應急工作進行整改。
在應急響應演練結束之後,應針對應急響應工作過程中遇到的問題,分析應急響應預案的科學性和合理性,針對預案中的問題提出修改建議。組織人員對修改意見進行評估,修改後的預案應經評估通過後,經批准後發布實施。
在上級機關預案或相關的法律標准修改後,本預案應進行調整與其保持一致。
五、保障措施
(一)人員保障
(二)設備保障
(三)技術資料保障
(四)後勤保障
❸ 企業怎樣做好計算機應急響應工作
通常來說,應急響應泛指安全技術人員在遇到突發事件後所採取的措施和行為。而突發事件則是指影響一個系統正常工作的情況。這里的系統包括主機范疇內的問題,也包括網路范疇內的問題,例如黑客入侵、信息竊取、拒絕服務攻擊、網路流量異常等。
應急處理的兩個根本性目標:確保恢復、追究責任。
除非是「事後」處理的事件,否則應急處理人員首先要解決的問題是如何確保受影響的系統恢復正常的功能。在確保恢復的工作中,應急處理人員需要保存各種必要的證據,以供將來其他工作使用。追究責任涉及到法律問題,一般用戶單位或第三方支援的應急處理人員主要起到配合分析的作用,因為展開這樣的調查通常需要得到司法許可。
根據應急響應的PDCERF方法,我們分為六個階段來處理,分別是准備(Preparation)、檢測(Detection)、遏制(Containment)、根除(Eradication)、恢復(Recovery)、跟蹤(Follow-up)。如下所示:
第一階段:准備(Preparation)
此階段以預防為主。主要工作涉及識別公司的風險,建立安全政策,建立協作體系和應急制度;按照安全政策配置安全設備和軟體,為應急響應與恢復准備主機。通過網路安全措施,為網路進行一些准備工作,比如掃描、風險分析、打補丁,如有條件且得到許可,建立監控設施,建立數據匯總分析的體系和能力;制訂能夠實現應急響應目標的策略和規程,建立信息溝通渠道和通報機制,有關法律法規的制定;創建能夠使用的響應工作包;建立能夠集合起來處理突發事件的CSIRT。
第二階段:檢測(Detection)
檢測事件是已經發生還是在進行中,以及事件產生的原因和性質。確定事件性質和影響的嚴重程度,預計採用什麼樣的專用資源來修復。選擇檢測工具,分析異常現象,提高系統或網路行為的監控級別,估計安全事件的范圍。通過匯總,確定是否發生了全網的大規模事件;確定應急等級,決定啟動哪一級應急方案。
第三階段:遏制(Containment)
及時採取行動遏制事件發展。初步分析,重點確定適當的遏制方法,如隔離網路,修改所有防火牆和路由器的過濾規則,刪除攻擊者的登錄賬號,關閉被利用的服務或者關閉主機等;咨詢安全政策;確定進一步操作的風險,控制損失保持最小;列出若干選項,講明各自的風險,應該由服務對象來做決定。確保封鎖方法對各網業務影響最小;通過協調爭取各網一致行動,實施隔離;匯總數據,估算損失和隔離效果。
第四階段:根除(Eradication)
徹底解決問題隱患。分析原因和漏洞;進行安全加固;改進安全策略。加強宣傳,公布危害性和解決辦法,呼籲用戶解決終端問題;加強檢測工作,發現和清理行業與重點部門的問題。
第五階段:恢復(Recovery)
被攻擊的系統由備份來恢復;做一個新的備份;對所有安全上的變更作備份;服務重新上線並持續監控。持續匯總分析,解各網的運行情況;根據各網的運行情況判斷隔離措施的有效性;通過匯總分析的結果判斷仍然受影響的終端的規模;發現重要用戶及時通報解決;適當的時候解除封鎖措施。
第六階段:跟蹤(Follow-up)
關注系統恢復以後的安全狀況,特別是曾經出問題的地方;建立跟蹤文檔,規范記錄跟蹤結果;對響應效果給出評估;對進入司法程序的事件,進行進一步的調查,打擊違法犯罪活動。
以上就是企業在發生應急響應時應該參照的響應方法,具體業務相關的,可以進一步細化響應過程。另外企業發生重大安全事件,如果內部應急響應小組無法處理,可上報國家計算機應急響應協調中心
❹ 網路安全應急響應的介紹
「應急響應」對應的英文是「Incident Response」或「Emergency Response」等,通常是指一個組織為了應對各種意外事件的發生所做的准備以及在事件發生後所採取的措施。