发布网友 发布时间:2022-04-23 12:31
共3个回答
懂视网 时间:2022-06-08 19:50
网络安全应急预案包括哪些呢?不知道的小伙伴来看看小编今天的分享吧!
网络安全应急预案是在特定网络和系统面临或已经遭突然攻击行为时,进行快速应急反应,提出并实施应急方案。作为一项综合性工作,网络安全应急预案不仅涉及入侵检测、事件诊断、攻击隔离、快速恢复、网络追踪、计算机取证、自动响应等关键技术,对安全管理也提出更高的要求。应急预案分为准备、检测、抑制、根除、恢复、跟进6个阶段的工作。
一、准备阶段
准备(Preparation)阶段是网络安全事件响应的第一个阶段,也属于一个过渡阶段,即横跨在网络安全事件真正发生前和有迹象将要发生的时间段上,大部分工作需要在应急响应之前就已做好准备。这一阶段极为重要,因为事件发生时可能需要在短时间内处理较多事务,如果没有足够的准备,将无法准确地完成及时响应,导致难以意料的损失
准备阶段的工作内容主要有2个,一是对信息网络系统进行初始化快照。二是准备应急响应工具包。系统快照是指常规情况下,信息系统进程、账号、服务端口和关键文件签名等状态信息的记录。通过在系统初始化或发生重要状态改变后,在确保系统未被入侵的前提下,立即制作并保存系统快照,并在检测的时候将保存的快照与信息系统当前状态进行对比,是后续“检测”安全事件的一种重要途径。
准备阶段工作流程分:系统维护人员按照系统的初始化策略对系统进行安装和配置加固。系统维护人员对安装和配置加固后的系统进行自我检查,确认是否加固完成。系统维护人员建立系统状态快照。系统维护人员对快照信息进行完整性签名,以防止快照被非法篡改。系统维护人员将快照保存在与系统分离的存储介质上。
准备阶段操作说明:
1、对系统的影响:操作不会对系统造成影响,在系统正常运行情况下执行各个步骤。
2、操作的复杂度(容易/普通/复杂):容易。
3、操作效果:对执行后的结果必须保存到不可更改的存储介质。
4、操作人员:各操作系统、数据库、网络设备的系统维护人员。
二、检测阶段
讲述检测阶段的网络安全应急响应实施。结合准备阶段生成的系统初始化状态快照,这里概要介绍检测安全事件(系统安全事件、网络安全事件、数据库安全事件)相关内容和技术。除对比系统初始化快照外,安全事件检测手段还包括部署入侵检测设备、流量监控和防病毒系统集中监控等。其中,入侵检测系统通过侦听网络流量并与事先存在的攻击特征匹配,实现对入侵事件的实时和自动发现。入侵检测系统往往存在较高的误报率。实际应用入侵检测系统时,需要结合部署环境的实际情况定制检测策略,以保证检测的准确性。流量监控的检测方式对于发现有明显流量特征的安全事件,如网络蠕虫十分有效。在事件检测阶段做到“及时发现”,必须合理利用各种已有的检测手段,综合分析发现安全事件的真实原因。
检测阶段工作内容:检测阶段是应急响应执行过程中的关键一环,在这个阶段需要系统维护人员使用初级检测技术进行检测,确定系统是否出现异常。在发现异常情况后,形成安全事件报告,由安全技术人员和安全专业技术人员介入进行高级检测来查找安全事件的真正原因,明确安全事件的特征、影响范围并标识安全事件对受影响的系统所带来的改变,最终形成安全事件的应急处理方案。
检测阶段工作流程:
第一步:系统维护人员或安全技术人员在执行日常任务和检测中发现系统异常。
第二步:发现异常情况后,形成安全事件报告。
第三步:安全技术人员、系统维护人员和第三方安全事件应急服务人员查找安全事件的原因。
第四步:安全技术人员、系统维护人员和第三方安全事件应急服务人员确定安全事件的原因、性质和影响范围。
第五步:安全技术人员、系统维护人员和第三方安全事件应急服务人员确定安全事件的应急处理方案。
操作说明:检测阶段操作不会对系统造成影响,在系统正常运行情况下执行各个步骤,但在事件驱动检测方式中,确定有安全事件发生的情况下必须根据流程采取相应的措施,防止中断系统或网络的正常运行。初级检测操作的复杂度为“普通”,高级检测操作的复杂度为“复杂”。例行检测是一种积极的方式,能预先发现系统和网络存在的漏洞,可根据流程采取补救措施;事件驱动方式的检测方法对安全事件能迅速响应,不会让安全事件扩大。检测阶段的操作人员主要有:系统维护人员、安全技术人员、第三方安全事件应急服务人员、安全评估人员。
三、抑制和根除阶段
介绍各类安全事件(拒绝服务类攻击、系统漏洞及恶意代码类攻击、网络欺骗类攻击、网络窃听类攻击、数据库 SQL 注入类攻击)相应的抑制或根方法和技术。
抑制和根除阶段的工作内容:
首先,网络安全攻击事件的进行可以分为拒绝服务类攻击、系统漏洞及恶意代码类攻击、网络欺骗类攻击、网络窃听类攻击、数据库SQL注入类攻击,针对每一类攻击事件都需提供抑制方法,以及可操作性的技术规范和指导。
抑制是对攻击所影响的范围、程度进行扼制,通过采取各种方法,控制、阻断、转移安全攻击。抑制阶段主要是针对前面检测阶段发现的攻击特征,比如攻击利用的端口、服务、攻击源、攻击利用系统漏洞等,采取有针对性的安全补救工作,以防止攻击进一步加深和扩大。抑制阶段的风险是可能对正常业务造成影响,如系统中了蠕虫病毒后要拔掉网线,遭到DDoS 攻击时会在网络设备上做一些安全配置,由于简单口令遭到入侵后要更改口令会对系统的业务造成中断或延迟,所以在采取抑制措施时,必须充分考虑其风险。
根除阶段是在抑制的基础上,对引起该类安全问题的最终技术原因在技术上进行完全的杜绝,并对这类安全问题所造成的后果进行弥补和消除。在根除阶段,采取措施最大的风险主要是在系统升级或补丁时可能造成系统故障,所以必须做好备份工作。在进入抑制和根除阶段之前,应形成安全事件应急响应方案,并对方案的实施获取必要的管理授权。
抑制和根除阶段的工作流程:
第一步:应急处理方案获得授权。
第二步:系统维护人员、安全技术人员和第三方安全事件应急服务人员共同测试应急处理方案验证效果。
第三步:系统维护人员、安全技术人员和第三方安全事件应急服务人员共同测试应急处理方案是否影响系统运行,对系统的影响程度不可接受时返回检测阶段。
第四步:实施应急处理方案。
第五步:当实施应急处理方案失败的情况下,采取应变和回退措施,并返回到检测阶段。
此阶段工作中应注意以下两点。
1、第三方安全事件应急服务人员仅在必要时参加。
2、测试工作根据实际情况可以选择口头演练、试验室测试、现网局部测试3种方式进行。
抑制和根除阶段操作说明:应急处理方案由相关人员和第三方安全事件应急服务人员共同制定,根据流程需进行严格和充分的测试,但是由于抑制和根除操作需要对系统作相关设置,加上一些系统实际情况较为特殊和复杂,必须根据系统实际情况制定实施应急处理方案失败的应变和回退措施。抑制和根除阶段操作的复杂度为“复杂”。具体执行操作人员包括系统维护人员、安全技术人员、第三方安全事件应急服务人员。
四、恢复阶段
恢复阶段是指通过采取一系列的措施将系统恢复到正常业务状态。下面所阐述的内容未包含恢复阶段的全部技术内容,尤其是与各个业务系统实际情况相结合的部分,有关此部分的内容应在各业务系统的应急预案和业务连续性计划中体现。介绍的恢复方式包含2种。一是在应急处理方案中列明所有系统变化的情况下,直接删除并恢复所有变化;二是在应急处理方案中未列明所有系统变化的情况下,重装系统。
恢复阶段工作内容:
主要内容是将系统恢复到正常的任务状态。在系统遭到入侵后,攻击者一定会对入侵的系统进行更改。同时,攻击者还会想尽各种办法使这种修改不被系统维护人员发现。从而达到隐藏自己的目的。在根除阶段能彻底恢复配置和清除系统上的恶意文件,并且能够确定系统在所有变化完全根除的情况下,通过直接恢复业务系统的方式来恢复系统。这种恢复方式的优点是时间短、系统恢复快、系统维护人员工作量小和对业务的影响较小。在根除阶段不能彻底恢复配置和清除系统上的恶意文件或不能肯定系统是否经过根除后已达干净时,就一定要彻底地重装系统。简单地说,系统重装往往是系统最可靠的系统恢复手段。
恢复阶段工作流程:如果应急处理方案中列明所有系统变化,删除并恢复所有变化,实施安全加固。如果存在应急处理方案中未列明所有的系统变化,备份重要数据,低级格式化磁盘。严格按照系统的初始化安全策略安装和加固.
恢复阶段操作说明:恢复阶段操作对系统的影响较大,操作系统需要停止,安全加固后对系统再次快照,审计合格后方可上线运行。操作的复杂度为“普通”,但必须严格按照操作步骤执行。操作人员一般仅为企业内部系统维护人员。
重装系统:
由于恢复阶段可以采取重装系统这一简单有效的办法达到初始运行状态,因此再介绍一下重装系统的步骤和需要注意的事项。
1、重装系统时应采取的步骤
(1)重新安装操作系统之前要确定所有资料已经备份。备份的资料要保证是没有被攻击者改变的干净的资料。
(2)低级格式化硬盘,确保所有磁盘分区为系统的安全分区。
(3)操作系统、Web主目录、日志分别安装在不同的分区,注意权限配置。
(4)不要安装不需要的软件、协议和服务,尽量最小化安装。
(5)安全加固请参阅安全配制文档并打上所有的补丁。
(6)安装应用软件如IIS,应参照安全配置文档进行配置。
(7)安装操作系统和应用软件的最新补丁。
(8)恢复备份的资料。
(9)恢复业务系统。
2、重装系统时的注意事项
(1)为了彻底消除攻击者可能留下的安全隐患,一定进行低级格式化。这样做将删除所有的资料并且没有办法再恢复,所以一定要做好备份工作。
(2)在重新安装系统的时候要严格遵守系统安装的各项规定。
(3)系统在安装和安全配置没有全部做好之前,严禁连接网络。
(4)恢复系统的应用和数据的时候,要对应用和数据进行检查。以免其中存在的漏洞随着数据恢复被安装在系统上。
安全加固及系统初始化:在系统重装完毕后,正式上线以前,必须做好以下两件事情。
1、安全加固进行系统的安全加固工作;尤其要注意对引发安全事件的漏洞的修复和加固的处理,如果手册上没有,要及时对手册进行更新。
2、安全快照在进行安全加固后,按照第一阶段介绍的方法做好系统的安全快照。
五、跟进阶段
跟进阶段的目的是通过对系统的审计(进行完整的检测流程),确认系统有没有被再入侵。在检测过程中特别应该注意的是检查抑制和根除阶段的工作效果。同时回顾、总结并整合发生应急响应事件过程中的相关信息。提高事件处理人员技能,以应付将来发生的类似场景。提高安全事件应急响应的处理能力。
跟进的意义在于:
(1)基于吸取的教训重新评估和修改安全事件应急响应相关措施;
(2)调整组织的安全技术策略;
(3)调整组织的安全管理策略和资源配置;
(4)促进安全事件应急响应能力和组织机构的建设。跟进阶段对抑制或根除的效果进行审计,从而为确认系统没有被再次入侵提供了帮助。
跟进阶段工作内容:
跟进阶段是应急响应的最后一个阶段,主要是对抑制或根除的效果进行审计,确认系统没有被再次入侵。下面将详细说明跟进阶段的工作要如何进行、在何时进行比较合适、具体的工作流程、要思考和总结的问题以及需要报告的内容。跟进阶段的主要任务是确认系统有没有被再入侵,确认系统有没有被再入侵是通过对抑制或根除的效果进行审计完成的。这种审计是一个需要定期进行的过程。通常,第一次审计应该在一定期限之内进行,以后再进行复查,并输出跟进阶段的报告内容,包括安全事件的类型、时间、检测方法、抑制方法、根除方法、事件影响范围等。要在跟进阶段报告中详细记录这些内容。
跟进阶段还需对事件处理情况进行总结,吸取经验教训,对已有安全防护措施和安全事件应急响应预案进行改进。跟进阶段是安全事件应急响应6个阶段方法论的最后一个阶段。跟进阶段是6个阶段中最可能被忽略的阶段。但这一步也是非常关键的。该阶段需要完成的原因有以下几点。
1、有助于从安全事件中吸取经验教训,提高技能。
2、有助于评判应急响应组织的事件响应能力。
3、如果可能的话,可以在更大范围推广介绍事件处理经验。
跟进阶段工作流程:
第一步:执行完整的检测阶段流程。
第二步:确认系统是否再次被入侵,如果有,请回到抑制和根除阶段。
第三步:总结安全事件的处理过程和技能,调整安全策略,输出总结文档。
第四步:输出跟进阶段的报告内容。
第五步:安排再次审计。
跟进阶段操作说明:
1、对系统的影响:不会对系统造成影响,在系统正常运行情况下执行各个步骤。
2、操作的复杂度(容易/普通/复杂/):普通。
3、操作效果:确定系统状态,总结应急响应流程和技术。
4、操作人员:系统维护人员、安全技术人员、第三方安全事件应急服务人员、安全评估人员。
跟进阶段的报告格式及模板:
跟进阶段最重要的任务就是要记录下整个应急响应的报告,要写报告内容、包括安全事件的类型、时间、检测方法、抑制方法、根除方法、事件影响范围等。详细记录下这些内容备用。此处先介绍一下需要记录的内容条目,然后给出跟进报告的模板。
跟进阶段报告里需要写清楚的内容条目如下。
1、事件类型:事件类型是对事件的定性,要包括的信息有攻击的来源(内部/外部,国内/国外)、攻击的方法、攻击导致的后果等。
2、时间:不能简单地记录计算机的时间,还要记录当前标准时间以及受攻击的系统同标准时间的误差。
3、检测方法:记录采用了什么检测方法,检测到了什么结果。
4、抑制方法:记录采用了什么抑制方法,抑制的效果如何。
5、根除方法:记录采用了什么根除方法,根除效果如何。
6、事件影响:估计和总结事件的影响范围,总结在事件整个过程中的成功经验。
以上就是小编今天的分享了,希望可以帮助到大家。
热心网友 时间:2022-06-08 16:58
近年来,随着我国经济的发展和社会的进步,带来了人流、车流、物流以及车辆驾驶人员数量的飞速增长,加之交通参与者安全意识还比较淡 薄,致使道路交通事故频发,道路交通安全形势十分严峻。因此,强化交通安全宣传,不断提高交通参与者的安全意识和法制观念,自觉养成文明、守法的交通行为,对预防和减少交通事故显得尢为重要。可喜的是,交通安全宣传工作已引起各级*,特别是*交警部门的高度重视,做了大量的工作,取得了一些成效。但如何将交通安全宣传引向深入,提高宣传的针对性,趣味性和广泛性,突出实用性,进而增强广大群众的参与热情,最终收到良好的社会效果,仍是摆在我们各级*交通管理部门面前的重大课题。笔者作为陈仓交警大队交安宣传主管领导,在这几年宣传实践中锐意进取,大胆探索,走出一条新路,取得了良好的宣传效果。 一、与时俱进,大胆探索,不断提高宣传的广泛性。 随着交通安全宣传活动的逐步深入,我们不断创新宣传教育形式,完善宣传工作机制,改进宣传方式方法和内容,给交通安全宣传工作不断注入新的活力,营造新的宣传氛围,增添新的动力。在宣传的广泛性上首先开展好“六个一”活动:一是组织民警每周深入到辖区中小学和客运企业上一堂交通安全法制教育课;二是建立了横向到镇,纵向到村的交通安全协管员宣传网络;三是各中队每月分别到共建单位开展一次形式多样的交通安全宣传活动;四是将交通安全宣传光盘坚持在农村、学校、客运企业、驾校等人员较集中的地方每周播放一次,使群众都能受到活生生的教育;五是在陈仓区电视台开辟了“交通警讯”专栏,每周进行一次直播,构筑起交通安全的宣传平台;六每月召开一次镇村交通安全联席会,互通信息,重点通报交通安全管理方面存在的问题和隐患,共同研究商讨整治措施和方法。其次,充分发挥新闻媒体作用,建立宣传监督机制。为了增加道路交通管理工作透明度,提高广大人民群众参与交通管理的积极性,我们在交通安全宣传广度和深度上下功夫,在区电视台开办了《交通警讯》栏目,一方面对重大交通事故和交通违法行为进行曝光,起一个警示作用。另一方面欢迎社会各界监督交通管理部门执法。只要大队有什么重大活动,集中统一行动等,都会邀请电视台同志参加,进行跟踪报道。在电视报道中,对近期发生的有影响、特点突出的道路交通事故进行专题报道,认真剖析原因,引导群众吸取血的教训。制作《陈仓交警在行动》专题片,全方位展示交警的专项治理和日常工作情况,大张旗鼓地宣传交警在干什么,工作重点是什么,为什么要这么干,成效如何?从而赢得群众地理解和支持。每年年底大队主要领导都要上电视就人民群众关心的交通管理方面热点、难点问题进行解答,接受咨询。通过我们的不断努力,群众自觉参与交通管理的热情越来越高,理解、支持、帮助交警工作的群众越来越多,指责、漫骂等不理解交警工作的群众越来越少。 二、形式多样,内容各异,重点突出,增强宣传针对性和实用性。 首先,由于交通参与者的年龄结构,文化层次,地域环境不同,决定了宣传内容和形式应当是多样化的,只有增强针对性,突出实用性,找准符合不同类型交通参与者特点,才能收到良好的教育效果。一是对中小学生主要开展警校共建,小手拉大手,交通安全进万家活动。少年儿童是国家未来,交通安全宣传必须从娃娃抓起,使之从小养成文明安全的交通行为,进而小手拉大手,使交通安全进入千家万户。我们根据辖区实际选择了五所中、小学校,在学生上下学时,组织民警定点执勤,维护秩序,引导学生安全通过十字路口,长年坚持,风雨无阻;同时经常召开以“交通安全为主题”的大会和班队会,开展形式多样的活动,如:“我安全我快乐”,“道路交通知识知多少”,“心中树起安全牌”,“保护生命,平安出行”,“小手拉大手,交通安全进万家知识竞赛和考试”等,以及开展以道路交通安全为主题的征文,绘画等竞赛活动。另外积极开展“安全小卫士和十佳合格小公民”,“优秀少先队员”等评选活动,并及时予以表彰奖励。由于开展的活动针对性、实用性强,极大的调动了学生的积极性和主动性,提高了学生自我教育,自我管理,自觉遵守交通法规的能动性,进而小手拉大手带动家庭,社会都来关注交通安全,共同钟爱生命,平安出行。二是对客运车驾驶人,通过有针对性的交通安全法学习和事故案例分析,促其深刻认识疲劳驾驶,酒后驾驶,强超硬会,超速,超员,争客抢站等的交通违法行为的严重危害性,吸取血的教训,增强社会责任感,时刻明白安全责任重于泰山,做到警钟常鸣,谨慎驾驶,安全为先。三是针对广大农村群众,我们利用庙会,赶集的时机,采取播放安全宣传光盘,摆放事故展板,上安全课,文艺演出等形式,教育群众不无证驾车、酒后驾车,拒乘超员客车、农用车、拖拉机,驾乘摩托车要戴安全头盔,横过公路要注意观察等等,不断提高自我保护意识,远离交通事故的伤害。其次,将辖区历年来发生的有影响的典型交通事故制成宣传展板120面,由各中队利用农村庙会、集市、大型活动等人员集中的场所进行巡回展示,用发生在身边活生生,血淋淋的事实教育警示广大群众,事故就在眼前,事故就在脚下,只有遵章守法,钟爱生命,警钟常鸣,才能平安、健康、快乐。 三、组建交通安全文艺宣传队,寓教寓乐,提高宣传的趣味性和观赏性。 随着经济社会的发展,人们的生活质量和文化娱乐需求越来越高,对交通安全宣传的形式和内容也提出了更高的要求,因此我大队与时俱进,审时度势,大胆探索和改进宣传方式,及时组建了交通安全文艺宣传队,依托虢镇小学,聘请专业演员,创作编排了交通安全知识小品、快板、歌舞、情景剧、秦腔等群众喜闻乐见的文艺节目,深入街道、企业、社区、学校、农村进行巡回宣传。使广大群众在寓教寓乐,轻松愉快之中,受到教育和警示。在宣传时间上分定期和不定期宣传,定期宣传就是每季度至少进行一次交通安全宣传文艺演出;不定期就是根据具体情况适时进行宣传,特别是在上级安排的专项活动整治宣传日,必须组织宣传活动,以配合中心工作。在宣传地域上确定为山区,川道,塬区,城区四个宣传点,力求全面,广泛。两年来,文艺宣传队先后活动十三次,受教育群众达十万多人,受到了上级领导和群众的好评,取得了良好效果。 四、树立典型,表先促后,示范引路,营造良好的交通安全社会氛围。 近年来,我们积极开展交通安全示范创建活动,以点带面,充分调动交通参与者的积极性,共同参与交通安全管理工作,形成大交通,创安全大管理、强服务的主动工作局面。我们先后与辖区各客运公司、运输单位,各中小学校、各社区广泛开展了创建交通安全示范单位、交通安全示范学校、交通安全示范社区活动。几年来,先后有4个客运公司、3个运输单位被评为交通安全示范单位,58所中小学校被评为交通安全示范学校,9个社区被评为交通安全示范社区。在此基础上,在辖区道路交通参与单位和机动车驾驶人当中开展优秀管理干部和文明安全驾驶员评选活动,每年进行一次,年底大张旗鼓地召开表彰大会,把安全示范单位(校、社区)和优秀驾驶员请上台介绍经验。大队在经费十分紧张的情况下,多方筹措资金对安全示范单位(校、社区)和优秀管理干部及文明安全驾驶员进行表彰奖励,颁发奖牌和证书,大力营造“遵纪守法行车光荣,文明安全驾驶有奖”的社会氛围,效果很好。 五、建立长效机制,持之以恒抓源头,不断推进安全宣传迈上新台阶 交通安全宣传是一项长期性,经常性的基础工作,也是一项艰巨的社会工程。这就需要我们*交管部门树立持之以恒,长期作战的思想,建立长效机制,将交通安全宣传纳入日常交管工作之中,长抓不懈。首先,我们及时向区委、区*汇报,争取他们的支持,建立适用于广大人民群众的交通安全宣传工作长效机制。区*每年把道路交通安全宣传工作纳入日常工作议事日程,把交通安全宣传与其他交管业务工作同布置、同检查、同考核、共抓管,确保安全宣传和日常业务工作“两手抓,两手硬,两不误”。 同时,我们还充分发挥交警宣传主阵地作用,在城区中队、车管所办牌*大厅、事故处理窗口、交通违法处理大厅等地建立了宣传园地,并反复播放交通安全宣传片,组织发放交通安全宣传品。另外,在道路巡查、执勤执法和事故处理之中,我们抓住时机,现身说法,用铁的事实,血的教训,对当事人和广大群众进行面对面的教育,引导和教育广大群众吸取血的教训,警钟常鸣。 综上所述,只有在不断提高交通安全宣传的广泛性和实用性上下功夫,在增强宣传的针对性和趣味性上做文章,找准切入点,强化着力点,建全安全宣传长效机制,进一步营造良好的社会氛围,不断激发广大群众的参与热情,才能取得良好的交通安全宣传效果。热心网友 时间:2022-06-08 18:16
现在电脑管家不是出了一个伴你同行计划