应急响应（总）

田家少闲月- 2023-03-28 原文

为了应各种意外事件，保证将损失降到最低，事件的主题可能来自自然界、系统自身故障，组织内部或外部的人、计算机病毒或蠕虫等

应急响应的三要素：

信息系统的重要程度
信息系统的损失程度
事件的影响

应急响应的管理六要素：

提供解决方案
对系统进行查漏补缺
明确司法途径
明确应急的意图
还原攻击
保障业务的正常运行（业务至上）

应急响应流程：

准备
发现
分析
上报
遏制
根除
跟踪

应急响应的几个阶段：

准备阶段
1. 分析资产的风险
  1. 明确信息系统网络与系统架构
  2. 明确信息系统的管理人员
  3. 明确信息系统的保护要求
  4. 计算损失和影响
2. 组建管理人员团队
  1. 组建管理人员团队
  2. 组建技术人员团队
  3. 明确人员职责
  4. 建立应急响应组织人员清单
3. 分析资产的风险
  1. 制定应急处理的操作步骤
  2. 制定应急处理的报告路线
  3. 制定信息系统恢复的优先级顺序
  4. 明确配合人员信息
4. 风险加固
  1. 根据风险建立防御/控制措施
  2. 安全管理及安全技术层面要同时兼顾
5. 保障资源储备
  1. 信息安全应急响应专项资金
  2. 应急响应所需的软硬件设备
  3. 社会关系资源
6. 技术支持资源库
  1. 网络拓扑图
  2. 信息系统及设备安装配置文档
  3. 常见问题处理手册
检测阶段
1. 日常运维监控
  1. 收集各类故障信息
  2. 确认信息系统的实时运行状况
  3. 信息安全事件探测
2. 事件判断
  1. 确认事件给信息系统带来的影响
  2. 确认事件给信息系统造成的损害程度
  3. 一般事件与应急事件的判定
3. 事件上报
  1. 确认应急事件类型
  2. 确认应急事件等级
  3. 通知相关人员
  4. 启动应急预案
事件通告
1. 事件通告方式
  1. 即时通信工具
  2. 视频/电话会议
  3. 书面报告
事件等级判定
1. 一般事件
2. 较大事件
3. 重大事件
4. 特别重大事件
事件类型
1. 恶意程序类
  1. 计算机病毒事件
  2. 特伊洛木马事件
  3. 勒索软件
  4. 蠕虫事件
  5. 僵尸网络程序
  6. 挖矿程序
2. 网络攻击事件类
  1. 拒绝服务攻击事件
  2. 漏洞攻击事件
  3. 网络钓鱼事件
  4. 后门攻击事件
  5. 网络扫描窃听事件
  6. 干扰事件
3. web攻击事件类
  1. webshell
  2. 网页挂马事件
  3. 网页篡改事件
  4. 网页暗链事件
4. 业务安全事件类
  1. 支付漏洞事件
  2. 数据泄露事件
  3. 权限泄露事件
遏制阶段
1. 控制事件蔓延
  1. 采取有效的措施防止事件的进一步扩大
  2. 尽可能减少负面影响
2. 遏制效应
  1. 采取常规的技术手段处理应急事件
  2. 尝试快速修复系统，清除应急事件带来的影响
3. 遏制检测
  1. 确认当前的抑制手段是否有效
  2. 分析应急事件发生的原因，为根除阶段提供解决方案
4. 遏制方式
  1. 针对受害资产所确定的范围进行隔离，包括网络隔离，关机，关闭服务
  2. 持续监控网络及系统活动，记录异常流量的IP，域名，端口
  3. 停止或者删除不正常账号，隐藏账号，更改高强度口令
  4. 挂起或关闭未授权的，可疑的应用程序或进程
  5. 关闭不必要的，未知的和非法的服务
  6. 关闭相应的共享
  7. 删除系统各个用户下未授权的自启动程序
  8. 使用反病毒软件或者其他的安全工具扫描，检查，清除病毒，木马，蠕虫，后门等可疑文件
  9. 设置陷阱，如部署蜜罐，或者反攻攻击者的系统
根除恢复阶段
1. 启动应急预案
  1. 协调各应急小组人员到位
  2. 根据应急场景启动相关预案
2. 根除检测
  1. 根据应急预案的执行情况，确认处置是否有效
  2. 尝试恢复信息系统的正常运行
3. 持续检测
  1. 当应急处置成功后对应急事件持续检测
  2. 确认应急事件已根除
  3. 信息系统运行恢复到正常状况
跟踪阶段
1. 应急响应报告
  1. 由应急响应实施小组报告应急事件的处置情况
  2. 由应急响应领导小组下达应急响应结束的指令
2. 应急事件调查
  1. 对应急事件发生的原因进行调查
  2. 评估应急事件对信息系统造成的损失
  3. 评估应急事件对单位，组织带来的影响
3. 应急响应总结
  1. 对存在的风险点进行加固和整改
  2. 评价应急预案的执行情况和后续改进计划
  3. 对应急响应组织成员进行评价，表彰优秀者
涉及到的相关技术
1. 网络安全事件检测技术
2. Unix系统检测技术
3. 数据库系统检测系统
4. 常见的应用系统检测技术
5. 攻击追踪技术
6. Windows系统检测技术
7. 入侵检测技术
8. 现场取样技术（wireshark）
9. 异常行为分析技术
10. 安全风险评估技术
11. 攻击隔离技术
12. 系统安全加固技术

应急响应预案

确定风险场景
描述可能收到的业务影响
描述使用的预防性策略
描述应急响应策略
识别和排列关键应用系统
行动计划
团队和人员的职责
联络清单
所需资源配置

应急响应 li ol 的网络安全

有关应急响应（总）的更多相关文章

ruby-on-rails - 每次我尝试部署时，我都会得到 - (gcloud.preview.app.deploy) 错误响应 : [4] DEADLINE_EXCEEDED - 2
我是Google云的新手，我正在尝试对其进行首次部署。我的第一个部署是RubyonRails项目。我基本上是在关注thisguideinthegoogleclouddocumentation.唯一的区别是我使用的是我自己的项目，而不是他们提供的“helloworld”项目。这是我的app.yaml文件runtime:customvm:trueentrypoint:bundleexecrackup-p8080-Eproductionconfig.ruresources:cpu:0.5memory_gb:1.3disk_size_gb:10当我转到我的项目目录并运行gcloudprevie
ruby-on-rails - 在 Ruby on Rails 中发送响应之前如何等待多个异步操作完成？ - 2
在我做的一些网络开发中，我有多个操作开始，比如对外部API的GET请求，我希望它们同时开始，因为一个不依赖另一个的结果。我希望事情能够在后台运行。我找到了concurrent-rubylibrary这似乎运作良好。通过将其混合到您创建的类中，该类的方法具有在后台线程上运行的异步版本。这导致我编写如下代码，其中FirstAsyncWorker和SecondAsyncWorker是我编写的类，我在其中混合了Concurrent::Async模块，并编写了一个名为“work”的方法来发送HTTP请求:defindexop1_result=FirstAsyncWorker.new.async.
ruby-on-rails - Rails 在记录 200 OK 后在做什么？ (调试响应时间慢) - 2
我试图在我的RubyonRails应用程序中调试一个极其缓慢的请求调用。我已设法根据自己的喜好优化Controller方法，Rails的日志告诉我它已在XX毫秒内完成操作(Completed200OKin5049ms(Views:34.9ms|ActiveRecord:76.3ms)).但是，在加载页面时，在浏览器中实际呈现任何内容之前打印此消息很长；最多约15秒的等待时间。Rackmini-profiler证实了这一点，告诉我GET操作(不计算完成Controller操作所花费的时间)花费了14秒左右。(分析器还确认Controller操作的执行时间约为5秒)。我可以接受Contro
ruby - 带有 header 的 Sinatra 流式响应 - 2
我想通过Sinatra应用程序代理远程文件。这需要将带有header的HTTP响应从远程源流式传输回客户端，但我不知道如何在Net::HTTP#提供的block内使用流式API时设置响应header获取响应。例如，这不会设置响应头:get'/file'dostreamdo|out|uri=URI("http://manuals.info.apple.com/en/ipad_user_guide.pdf")Net::HTTP.get_response(uri)do|file|headers'Content-Type'=>file.header['Content-Type']file.re
ruby - Net::HTTP 对 HTTPS 请求的响应极其缓慢 - 2
出于某种原因，在我的开发机器上，我对通过Net::HTTP执行的HTTPS请求的响应非常非常慢。我试过RestClient和HTTParty，它们都有同样的问题。它似乎是凭空冒出来的。我已毫无问题地提出这些请求数百次，但今天它们的速度慢得令人难以忍受。pry(main)>putsTime.now;HTTParty.get('https://api.easypost.com/v2/addresses');putsTime.now;2015-04-2908:07:08-05002015-04-2908:09:39-0500如您所见，响应耗时2.5分钟。不仅仅是这个EasyPostAPIUR
ruby - 使用 Ruby 将 HTTP GET 的响应主体流式传输到 HTTP POST - 2
我正在尝试下载一个大文件，然后使用Ruby将该文件发布到REST端点。该文件可能非常大，即超过可以存储在内存中甚至磁盘上的临时文件中的容量。我一直在用Net::HTTP尝试这个，但我愿意接受任何其他库(rest-client等)的解决方案，只要他们做我想做的事情。这是我尝试过的:require'net/http'source_uri=URI("https://example.org/very_large_file")source_request=Net::HTTP::Get.new(source_uri)source_http=Net::HTTP.start(source_uri.ho
更新证书后，Ruby Net::HTTP 响应 OpenSSL::SSL::SSLError "certificate verify failed" - 2
我们最近更新了我们网站的SSL证书，在MacOSElCapitan10.11.3上出现以下情况:require'net/http'Net::HTTP.getURI('https://www.google.com')#=>"..."#ThesitewhosecertificategotrenewedNet::HTTP.getURI('https://www.example.com')#=>OpenSSL::SSL::SSLError:SSL_connectreturned=1errno=0state=error:certificateverifyfailed我在Google和StackO
ruby-on-rails - Rails Controller 中未定义的方法呈现 - 尝试使用 200 状态代码响应 Sendgrid - 2
我正在使用SendgridParseAPI和Griddlergem来接受传入的电子邮件。在大多数情况下，这工作正常；但是，如果您未使用状态代码200响应Sendgrid，他们将假定该应用程序未正确接收POST请求并继续尝试进行POST3天。我正在尝试使用状态代码进行响应，但遇到了问题。在常规的RESTful路由中，您可以执行类似...render:status=>200但是，我认为这必须在Controller中完成才能识别渲染方法。Griddler建议您创建一个EmailProcessor模型并使用“处理”方法来处理电子邮件。据我了解，您不能在模型中使用渲染方法。因此，我使用类方法创建
ruby - 为什么一个简单的瘦服务器在进行基准测试时会在 16500 个请求时停止响应？ - 2
这个问题在这里已经有了答案:关闭10年前。PossibleDuplicate:'ab'programfreezesafterlotsofrequests,why?这是一个简单的测试服务器:require'rubygems'require'rack'require'thin'classHelloWorlddefcall(env)[200,{"Content-Type"=>"text/plain"},"OK"]endendRack::Handler::Thin.runHelloWorld.new,:Port=>9294#I'vetriedwiththeseaddedtoo,'rack.mu
ruby-on-rails - Rails JSON API 参数验证和错误响应 - 2
我是Rails的新手，有几个关于验证参数和返回错误响应的问题。我想使用新的Rails5API模式创建一个JSONAPI。据我所知，Rails建议使用“强参数”作为验证参数的基线。例如，如果我想创建一个需要电话号码或电子邮件的User类，我会在我的UsersController中使用类似这样的内容。defcreate@user=User.new(create_user_params)enddefcreate_user_paramsparams.require(:user).permit(:email,:phone)end现在如果我想要更复杂的东西，我可能会添加以下内容defcreatea

应急响应（总）

有关应急响应（总）的更多相关文章

随机推荐