应急响应:应急响应流程,常见应急事件及处置思路

「作者简介」:冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础著作 《网络安全自学教程》,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。

在这里插入图片描述

这一章节我们需要知道应急响应流程是什么,安全事件分类分级的概念,以及灾备的RPO和RTO标准。

应急响应是为了应对信息安全事件所做的准备,以及事件发生后采 取的措施。

应急响应

  • 1、安全事件分类分级
  • 2、应急响应组织架构
  • 3、应急响应流程
  • 4、灾备

1、安全事件分类分级

无论自然原因还是人为原因,故意还是非故意,只要影响了资产的安全属性CIA,都算安全事件。

不同的事件类型需要制定不同的应急预案,所以我们需要先知道安全事件分为哪几类。

GB-Z 20986-2007将安全事件分为7类:

  1. 有害程序事件:比如病毒、蠕虫、木马、僵尸网络、网页被插入恶意代码。
  2. 网络攻击事件:比如拒绝服务、后门、漏洞攻击、扫描嗅探、钓鱼、干扰网络。
  3. 信息破坏事件:比如信息篡改、假冒、泄露、窃取、丢失。
  4. 信息内容安全事件:比如煽动游行、炒作舆论热点到一定规模。
  5. 设备实施故障。
  6. 灾害性事件。
  7. 其他安全事件。

GB-Z 20986-2007按照信息系统的重要程度、系统损失、社会影响,将安全事件分为4个级别:

  1. 特别重大事件(Ⅰ级):信息系统中断2小时以上、影响人数100万人以上;或10亿以上经济损失;或对国家造成特别严重威胁。
  2. 重大事件(Ⅱ级):信息系统中断30分钟以上,影响人数10万人以上;或1亿以上经济损失;或对国家造成严重影响。
  3. 较大事件(Ⅲ级):信息系统中断;或1000万以上经济损失;或对国家造成较严重影响。
  4. 一般事件(Ⅳ级)

扩展:每个事件级别的三个条件,不需要同时满足所有条件,满足其中一个条件就行。实际执行时,可以根据企业情况修改事件分级的标准。

2、应急响应组织架构

如果企业没有单独的应急响应组织,那么应急响应就由安全人员承担,就比如安服兼任应急。

应急响应组织架构应包含以下5个部分:

  1. 应急响应领导组:协调资源,最终决策。
  2. 应急响应技术保障组:制定角色职责分工、协同调度方案、事件技术对应表并提供相应的技术支撑。
  3. 应急响应专家组:评估安全事件,提出建议。
  4. 应急响应实施组:分析并确定应急等级和策略,进场应急、总结并提交报告,组织应急演练。
  5. 应急响应日常运行组:系统日常运维、灾备,评估并控制事件损害,维护应急文档,参与应急演练。

在这里插入图片描述

3、应急响应流程

应急响应的流程分为准备、检测、遏制、根除、恢复、跟踪总结6个阶段:

  1. 准备:制定应急响应计划并演练,准备好相关人力物力资源。
  2. 检测:实时检测并报告,确定事件级别、类别并通告事件。
  3. 遏制:协调用户按照应急响应计划,限制事件影响的范围。
  4. 根除:分析、确定、消除原因,避免事件再次发生。
  5. 恢复:还原备份或直接恢复业务,将系统恢复到正常状态。
  6. 跟踪:分析、总结、完善应急响应计划,提交应急响应报告。

应急响应排查思路和具体知识点可以参考我的另一篇文章

Windows应急响应排查思路

在这里插入图片描述

Linux应急响应排查思路

在这里插入图片描述

4、灾备

灾备用来保证业务经历灾难后,仍然能够最大限度的提供服务。

灾备有两个标准:RPO 和 RTO。

  1. RPO是恢复点目标,是指灾难发生后,数据恢复到哪个时间点,也就是丢失了多少时间的数据。
  2. RTO是恢复时间目标,是指灾难发生后,恢复业务所需要的时间,也就是业务停顿了多少时间。

RPO和RTO从逻辑上可以为零,但实际项目中很完全实现。

灾备需要定时备份业务数据,用磁带或硬盘存储多个时间点的备份数据,备份方式有完整备份、增量备份、差异备份三种:

  1. 完整备份每次都备份全部的数据,备份速度最慢,但恢复速度最快,会清除备份标记。
  2. 增量备份只备份上次备份后改动的数据,备份速度最快,但恢复速度最慢,会清除备份标记。
  3. 差异备份只备份上一次完整备份后改动的数据,备份和恢复速度居中,不清除备份标记。

备份数据的存储,有DAS、NAS、SAN三种存储方式:

  1. DAS是直接附加存储,直连存储设备,可以理解为给服务器加硬盘,性能高、存储量大但占用服务器资源,不方便管理。
  2. NAS是网络附加存储,通过网络连接存储设备,不占用服务器资源,但会占用带宽,网络传输可能会泄露数据。
  3. SAN是存储区域网络,搭建专用网络存数据,效率高但成本也高。

存储数据的磁盘通常会做RAID(Redundant Arrays of Independent Disks),也就是冗余磁盘阵列,简单来说就是相同的数据存储在多个磁盘的不同位置。常用的有RAID 0、1、5这三种模式:

  • RAID 0:把多块磁盘串联成一个整体,多个磁盘可以同时读写数据,性能高但没有冗余能力,一块磁盘故障数据就被破坏。至少需要两块硬盘。
  • RAID 1:一个磁盘上写数据时,另一个磁盘上会生成镜像文件,磁盘利用率低,但有冗余能力,一块磁盘故障了数据也不会破坏。至少需要两块硬盘。
  • RAID 5:两块以上磁盘读写数据,第三块盘存奇偶校验信息,性能高并且有冗余能力,至少需要三块硬盘。

扩展:多块磁盘不做RAID时,写入数据会写入到同一块磁盘中,比如写入abcd,就直接在一块磁盘上一次写入a、b、c、d,读取的时候也只在一块磁盘上读,因为磁盘之间是独立存在的,即使我读取大量数据,这块磁盘全力运转快冒烟了,其他硬盘也会空闲,利用率就低。做了RAID 0,时,写入数据会同时写入到多个磁盘中,比如写入abcd,会在一盘写入a的时候,同时在二盘写入b,在一盘写入c的时候,同时在二盘写入d,读取的时候,会同时在一盘二盘读取,大家一起忙,谁都别想闲下来。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/764193.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【PWN · ret2syscall | GoPwn】[2024CISCN · 华中赛区]go_note

一道GoPwn,此外便是ret2syscall的利用。然而过程有不小的曲折,参考 返璞归真 师傅的wp,堪堪完成了复现。复现过程中,师傅也灰常热情回答我菜菜的疑问,感谢!2024全国大学生信息安全竞赛(ciscn&am…

【U8+】供应链-库存管理-库存展望

知识点:库存展望可查询展望期内存货的预计库存、可用量情况。 分析步骤一:在库存管理-设置-选项-可用量检查页签库存展望可用量公式中预计入库和预计出库进行勾选和对应仓库档案需要勾选纳入可用量计算 步骤二:库存展望查询条件维护展望日期以及存货和选择

深度学习笔记: 最详尽解释混淆矩阵 Confusion Matrix

欢迎收藏Star我的Machine Learning Blog:https://github.com/purepisces/Wenqing-Machine_Learning_Blog。如果收藏star, 有问题可以随时与我交流, 谢谢大家! 混淆矩阵 假设我们有包含临床测量数据的医疗数据,例如胸痛、良好的血液循环、动脉阻塞和体重…

昇思25天学习打卡营第06天|网络构建

神经网络基础 神经网络是一种模拟人脑神经元工作方式的计算模型,它由多个层次的节点(神经元)组成,每个神经元接收输入、进行加权求和并经过非线性激活函数转换后输出到下一层或作为最终输出。 昇思模型中的mindspore.nn提供了常…

PHP商家来客宝小程序系统客户打卡赢霸王餐美食之旅嗨翻天

🎉商家来客宝大放送!🍽️ 🔥开篇福利预警! 嘿宝贝们,今天要给你们揭秘一个超级劲爆的吃货福利——“商家来客宝客户打卡吃霸王餐”活动!🎉 是不是已经听到肚子咕咕叫了呢&#xff…

类和对象(提高)

类和对象(提高) 1、定义一个类 关键字class 6 class Data1 7 { 8 //类中 默认为私有 9 private: 10 int a;//不要给类中成员 初始化 11 protected://保护 12 int b; 13 public://公共 14 int c; 15 //在类的内部 不存在权限之分 16 void showData(void)…

Django + Vue 实现图片上传功能的全流程配置与详细操作指南

文章目录 前言图片上传步骤1. urls 配置2. settings 配置3. models 配置4. 安装Pillow 前言 在现代Web应用中,图片上传是一个常见且重要的功能。Django作为强大的Python Web框架,结合Vue.js这样的现代前端框架,能够高效地实现这一功能。本文将…

GraphPad Prism生物医学数据分析软件下载安装 GraphPad Prism轻松绘制各种图表

Prism软件作为一款功能强大的生物医学数据分析与可视化工具,其绘图功能尤为突出。该软件不仅支持绘制基础的图表类型,如直观明了的柱状图、展示数据分布的散点图,以及描绘变化趋势的曲线图,更能应对复杂的数据呈现需求&#xff0c…

【Python】已解决:urllib.error.HTTPError: HTTP Error 403: Forbidden

文章目录 一、分析问题背景二、可能出错的原因三、错误代码示例四、正确代码示例五、注意事项 已解决:urllib.error.HTTPError: HTTP Error 403: Forbidden 一、分析问题背景 在使用Python的urllib库中的urlopen或urlretrieve函数下载文件时,有时会遇到…

指哪打哪,重绘神器!我已出手…

最近AI界又爆出了一个大新闻,阿里巴巴、香港大学和蚂蚁集团的研究人员联合推出了一款超厉害的AI工具——MimicBrush,它的问世,无疑给图像编辑领域带来了一场革命,它就像魔法师手中的魔杖,轻轻一挥,就能让图…

C# Web控件与数据感应之属性统一设置

目录 关于属性统一设置 准备数据源 范例运行环境 AttributeInducingFieldName 方法 设计与实现 如何根据 ID 查找控件 FindControlEx 方法 调用示例 小结 关于属性统一设置 数据感应也即数据捆绑,是一种动态的,Web控件与数据源之间的交互&…

高编:线程(2)——同步与互斥

一、互斥 概念: 互斥 》在多线程中对 临界资源 的 排他性访问。 互斥机制 》互斥锁 》保证临界资源的访问控制。 pthread_mutex_t mutex; 互斥锁类型 互斥锁变量 内核对象 框架: 定义互斥锁 》初始化锁 》加锁 》解锁 》销…

vite+vue集成cesium

1、创建项目、选择框架vuejs pnpm create vite demo_cesium 2、进入项目安装依赖 cd demo_cesium pnpm install3、安装cesium及插件 3、pnpm i cesium vite-plugin-cesium 4、修改vite-config.js import { defineConfig } from vite import vue from vitejs/plugin-vue impo…

Github忘记了Two-factor Authentication code

意外重置了edge浏览器 码农家园github自从开启开启了2FA认证,每次输入auth code确实麻烦,于是下载了浏览器插件 Open two factor authenticator, 最近edge频繁宕机,而且提示磁盘空间不足,要不要立即清理并重置浏览器临…

TS_开发一个项目

目录 一、编译一个TS文件 1.安装TypeScript 2.创建TS文件 3.编译文件 4.用Webpack打包TS ①下载依赖 ②创建文件 ③启动项目 TypeScript是微软开发的一个开源的编程语言,通过在JavaScript的基础上添加静态类型定义构建而成。TypeScript通过TypeScript编译器或…

单片机软件架构连载(2)-指针

我工作了10年,大大小小做过几十个项目,用指针解决过很多实际产品的痛点,比如写过小系统,数据结构(队列,链表),模块化编程等等..... 今天贴近实际,给大家总结了c语言指针常用的知识点&#xff0c…

用可视化的方式学统计学

本次分享一个统计学学习工具:看见统计。 看见统计致力于用数据可视化 (使用D3.js完成) 让统计概念更容易理解,源于布朗大学几位作者👇 看见统计共有6个章节, 下面来看看具体内容, 中心极限定理 对于一个(性质比较好的)分布,如果我们有足够大的独立同分布的样本,其…

【C语言】刷题笔记 Day1

多刷题 多思考 【题目1】 实现字母的大小写转换,实现多组输入输出 1. getchar 为输入函数,EOF(end of file)为文件结束标志,通常为文件结束的末尾。 2. 题目中要求实现多组输入输出,那我们用 while 循…

学习无人机飞行技术,有哪些就业方向?

随着无人机技术的不断进步和应用领域的拓展,研发创新人才的需求也将不断增加,那就业前景还是很广阔的。学习无人机飞行技术后,有以下多个就业方向可供选择: 1. 无人机操作员: - 负责操控和监控无人机飞行,…

支持混合模型的项目管理系统有哪些?PingCode 混合模型上线

众所周知,敏捷和瀑布是国内外研发项目管理的主流方法。然而,面对复杂性高、规模大、需要创新的项目,单一采用敏捷或瀑布方法往往难以完全满足需求。所以,国内许多企业趋向于结合多种管理模型的优势,形成一种混合管理模…