信息安全应急培训响应流程
国家网信办在2017年6月27日印发《国家网络安全事件应急预案》,发生的有害程序事件被明确为网络安全事件的种类之一,针对事件的监测预警、应急处置、调查评估均设置了具体机制。应急响应的活动应该主要包括两个方面:
一、未雨绸缪,即在事件发生前事先做好准备,比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施;
二、亡羊补牢,即在事件发生后采取的措施,其目的在于把事件造成的损失降到Z小。这些行动措施可能来自于人,也可能来自系统,不如发现事件发生后,系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。
以上两个方面的工作是相互补充的。首先,事前的计划和准备为事件发生后的响应动作提供了指导框架,否则,响应动作将陷入混乱,而这些毫无章法的响应动作有可能造成比事件本身更大的损失;其次,事后的响应可能发现事前计划的不足,吸取教训,从而进一步完善安全计划。因此,这两个方面应该形成一种正反馈的机制,逐步强化组织的安全防范体系。
网络安全应急响应是十分重要的,在网络安全事件愈来愈多、事件危害愈来愈大,应对突发的网络安全事件,根据应急响应团队事先对各自可能情况的准备进行演练。在网络安全事件发生后,尽可能快速、高效的跟踪、处置与防范,减少网络安全带来的损失。就目前来说,其应急处理工作可分为以下几个流程:
准备阶段分为三个部分,分别为人力资源应急准备、工具设备应急准备、安全资料应急准备。人力资源应急准备通常会进行组件管理人员团队和技术人员团队,之后进行明确人员职责,制作出此次应急相应的规划;工具设备应急准备通常会准备可能用到的软硬件工具、进行应急响应的专项资金与社会关系资源;技术支持资源库需要准备网络拓扑图、信息系统与设备安装配置文档与常见问题的处理手册。
准备阶段为后面的阶段进行了有效的分工,确保了应急工作能有条不紊而又迅速的进行。
检测阶段的目标是检测的目的是确认入侵事件是否发生,如真发生了入侵事件,评估造成的危害、范围以及发展的速度,事件会不会进一步升级。然后根据评估结果通知相关的人员进入应急的流程。检测阶段分为三个步骤,分别是日常运维监控,事件判断和事件上报。
日常运维监控主要收集各类故障信息、确认信息系统的实时运行状况、信息安全事件探测。事件判断主要确认事件给信息系统带来的影响、确认事件给信息系统造成的损害程度、一般事件与应急事件的判定。事件上报主要确认应急事件类型、确认应急事件等级、通知相关人员和启动应急预案。
抑制阶段是为了采取针对措施降低事件的损失、避免安全事件的扩散和事件对受害系统的持续性破坏。抑制阶段分为三个方面:控制事件蔓延、抑制响应和抑制监测。
控制事件蔓延主要是采取有效的措施防止事件的进一步扩大,尽可能减少负面影响。抑制响应主要是采取常规的技术手段处理应急事件,尝试快速修复系统,消除应急事件带来的影响。抑制监测主要是确认当前的抑制手段是否有效,分析应急事件发生的原因,为根除阶段提供解决方案。
根除阶段是为了进一步分析安全事件,找出事件根源并将其彻底根除。根除阶段分为三个方面:安全事件根除、根除监测和持续监测。
安全事件根除主要是协调各应急响应小组人员明确根除方案及补救措施,根据实施方案进行安全事件根除。
根除监测主要根据应急预案的执行情况确认处置是否有效,尝试恢复信息系统的正常运行。
持续监测是当应急处置成功后对应急事件持续监测,确认应急事件已根除,Z后信息系统运行恢复到正常状况。
恢复系统的运行过程,把受影响系统、设备、软件和应用服务还原到它们正常的工作状态。
甘肃安全应急培训总结阶段
保证在发生信息安全事件后能顺利完成应急响应工作而必须在日常完成的准备工作。在业务系统恢复后,需要整理一份详细的事件总结报告,包括事件发生及各部门介入处理的时间线,事件可能造成的损失。复盘安全事件产生的根本原因,根据经验教训进一步优化安全策略。优化安全策略时,要从技术、人员、管理、工程等多个维度考虑,因为安全本身不是一个纯技术问题,光靠技术手段只能解决部分安全问题。
甘肃安全谷应急管理咨询有限公司
地址:甘肃省兰州市城关区兰州SOHO1801
联系人:刘晓军
联系电话:13993166786 0931-8817988
技术支持:迅豹网络-祥云版推广平台
![]() | ![]() |
微信扫一扫 | 微信扫一扫 |