应急响应:应急响应流程,常见应急事件及处置思路

「作者简介」:冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础著作 《网络安全自学教程》,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。

在这里插入图片描述

这一章节我们需要知道应急响应流程是什么,安全事件分类分级的概念,以及灾备的RPO和RTO标准。

应急响应是为了应对信息安全事件所做的准备,以及事件发生后采 取的措施。

应急响应

  • 1、安全事件分类分级
  • 2、应急响应组织架构
  • 3、应急响应流程
  • 4、灾备

1、安全事件分类分级

无论自然原因还是人为原因,故意还是非故意,只要影响了资产的安全属性CIA,都算安全事件。

不同的事件类型需要制定不同的应急预案,所以我们需要先知道安全事件分为哪几类。

GB-Z 20986-2007将安全事件分为7类:

  1. 有害程序事件:比如病毒、蠕虫、木马、僵尸网络、网页被插入恶意代码。
  2. 网络攻击事件:比如拒绝服务、后门、漏洞攻击、扫描嗅探、钓鱼、干扰网络。
  3. 信息破坏事件:比如信息篡改、假冒、泄露、窃取、丢失。
  4. 信息内容安全事件:比如煽动游行、炒作舆论热点到一定规模。
  5. 设备实施故障。
  6. 灾害性事件。
  7. 其他安全事件。

GB-Z 20986-2007按照信息系统的重要程度、系统损失、社会影响,将安全事件分为4个级别:

  1. 特别重大事件(Ⅰ级):信息系统中断2小时以上、影响人数100万人以上;或10亿以上经济损失;或对国家造成特别严重威胁。
  2. 重大事件(Ⅱ级):信息系统中断30分钟以上,影响人数10万人以上;或1亿以上经济损失;或对国家造成严重影响。
  3. 较大事件(Ⅲ级):信息系统中断;或1000万以上经济损失;或对国家造成较严重影响。
  4. 一般事件(Ⅳ级)

扩展:每个事件级别的三个条件,不需要同时满足所有条件,满足其中一个条件就行。实际执行时,可以根据企业情况修改事件分级的标准。

2、应急响应组织架构

如果企业没有单独的应急响应组织,那么应急响应就由安全人员承担,就比如安服兼任应急。

应急响应组织架构应包含以下5个部分:

  1. 应急响应领导组:协调资源,最终决策。
  2. 应急响应技术保障组:制定角色职责分工、协同调度方案、事件技术对应表并提供相应的技术支撑。
  3. 应急响应专家组:评估安全事件,提出建议。
  4. 应急响应实施组:分析并确定应急等级和策略,进场应急、总结并提交报告,组织应急演练。
  5. 应急响应日常运行组:系统日常运维、灾备,评估并控制事件损害,维护应急文档,参与应急演练。

在这里插入图片描述

3、应急响应流程

应急响应的流程分为准备、检测、遏制、根除、恢复、跟踪总结6个阶段:

  1. 准备:制定应急响应计划并演练,准备好相关人力物力资源。
  2. 检测:实时检测并报告,确定事件级别、类别并通告事件。
  3. 遏制:协调用户按照应急响应计划,限制事件影响的范围。
  4. 根除:分析、确定、消除原因,避免事件再次发生。
  5. 恢复:还原备份或直接恢复业务,将系统恢复到正常状态。
  6. 跟踪:分析、总结、完善应急响应计划,提交应急响应报告。

应急响应排查思路和具体知识点可以参考我的另一篇文章

Windows应急响应排查思路

在这里插入图片描述

Linux应急响应排查思路

在这里插入图片描述

4、灾备

灾备用来保证业务经历灾难后,仍然能够最大限度的提供服务。

灾备有两个标准:RPO 和 RTO。

  1. RPO是恢复点目标,是指灾难发生后,数据恢复到哪个时间点,也就是丢失了多少时间的数据。
  2. RTO是恢复时间目标,是指灾难发生后,恢复业务所需要的时间,也就是业务停顿了多少时间。

RPO和RTO从逻辑上可以为零,但实际项目中很完全实现。

灾备需要定时备份业务数据,用磁带或硬盘存储多个时间点的备份数据,备份方式有完整备份、增量备份、差异备份三种:

  1. 完整备份每次都备份全部的数据,备份速度最慢,但恢复速度最快,会清除备份标记。
  2. 增量备份只备份上次备份后改动的数据,备份速度最快,但恢复速度最慢,会清除备份标记。
  3. 差异备份只备份上一次完整备份后改动的数据,备份和恢复速度居中,不清除备份标记。

备份数据的存储,有DAS、NAS、SAN三种存储方式:

  1. DAS是直接附加存储,直连存储设备,可以理解为给服务器加硬盘,性能高、存储量大但占用服务器资源,不方便管理。
  2. NAS是网络附加存储,通过网络连接存储设备,不占用服务器资源,但会占用带宽,网络传输可能会泄露数据。
  3. SAN是存储区域网络,搭建专用网络存数据,效率高但成本也高。

存储数据的磁盘通常会做RAID(Redundant Arrays of Independent Disks),也就是冗余磁盘阵列,简单来说就是相同的数据存储在多个磁盘的不同位置。常用的有RAID 0、1、5这三种模式:

  • RAID 0:把多块磁盘串联成一个整体,多个磁盘可以同时读写数据,性能高但没有冗余能力,一块磁盘故障数据就被破坏。至少需要两块硬盘。
  • RAID 1:一个磁盘上写数据时,另一个磁盘上会生成镜像文件,磁盘利用率低,但有冗余能力,一块磁盘故障了数据也不会破坏。至少需要两块硬盘。
  • RAID 5:两块以上磁盘读写数据,第三块盘存奇偶校验信息,性能高并且有冗余能力,至少需要三块硬盘。

扩展:多块磁盘不做RAID时,写入数据会写入到同一块磁盘中,比如写入abcd,就直接在一块磁盘上一次写入a、b、c、d,读取的时候也只在一块磁盘上读,因为磁盘之间是独立存在的,即使我读取大量数据,这块磁盘全力运转快冒烟了,其他硬盘也会空闲,利用率就低。做了RAID 0,时,写入数据会同时写入到多个磁盘中,比如写入abcd,会在一盘写入a的时候,同时在二盘写入b,在一盘写入c的时候,同时在二盘写入d,读取的时候,会同时在一盘二盘读取,大家一起忙,谁都别想闲下来。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/366353.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于X86+FPGA+AI的芯片缺陷检测方案

应用场景 随着半导体技术的发展,对芯片的良率要求越来越高。然而集成电路芯片制造工艺复杂,其制造过程中往往产生很多缺陷,因此缺陷检测是集成电路制造过程中的必备工艺。 客户需求 小体积,低功耗 2 x USB,1 x LAN Core-i平台无…

CVE-2020-26048(文件上传+SQL注入)

简介 CuppaCMS是一套内容管理系统(CMS)。 CuppaCMS 2019-11-12之前版本存在安全漏洞,攻击者可利用该漏洞在图像扩展内上传恶意文件,通过使用文件管理器提供的重命名函数的自定义请求,可以将图像扩展修改为PHP&#xf…

【微服务】微服务之Feign 与 Ribbon

文章目录 强烈推荐引言优点Feign示例什么是Ribbon?Ribbon 的优点Netflix Feign 和 Ribbon整合Feign 与 Ribbon 的关系Feign 与 Ribbon 结合使用的示例配置文件(application.yml)说明: Feign 与 Ribbon 结合使用的应用场景1. 动态服…

OpenStack开源虚拟化平台(二)

目录 三、对象存储服务Swift(一)Swift特性(二)应用场景(三)Swift主要组件(四)Swift基本原理(五)实例分析 四、镜像服务Glance(一)Glan…

STM32自己从零开始实操08:电机电路原理图

一、LC滤波电路 其实以下的滤波都可以叫低通滤波器。 1.1倒 “L” 型 LC 滤波电路 1.1.1定性分析 1.1.2仿真实验 电感:通低频阻高频的。仿真中高频信号通过电感,因为电感会阻止电流发生变化,故说阻止高频信号 电容:隔直通交。…

华为云服务器系统重装

文章目录 1 登录云服务器,点击控制台2 选择实例3 点击更多,选择重装系统4 勾选关机,填写密码,点击确定5 选择自己方便的认证方式6 同意协议7 等待完成8 重装完毕 1 登录云服务器,点击控制台 2 选择实例 3 点击更多&…

C语⾔数据类型和变量

C语⾔数据类型和变量 1.数据类型介绍1.1 字符型1.2 整型1.3 浮点型1.4 布尔类型1.5 各种数据类型的长度1.5.1 sizeof操作符1.5.2 数据类型长度1.5.3 sizeof中表达式不计算 2. signed 和 unsigned3. 数据类型的取值范围4. 变量4.1 变量的创建4.2 变量的分类 5. 算术操作符&#…

[每周一更]-(第103期):GIT初始化子模块

文章目录 初始化和更新所有子模块分步骤操作1. 克隆包含子模块的仓库2. 初始化子模块3. 更新子模块 查看子模块状态提交子模块的更改处理子模块路径错误的问题 该问题的缘由是因为:在写某些代码的时候,仓库中有些文件夹,只提交了文件夹名称到…

缓存双写一致性(笔记)

缓存更新方案 旁路缓存模式 这是比较多的 旁路缓存模式:缓存有就返回,没有数据库查询,放入缓存返回。 还有些常用缓存策略 读穿透模式 读穿透和旁路很相似,程序不需要关注从哪里读取数据,它只需要从缓存查询数据。…

海思SS928/SD3403开发笔记4——u盘挂载

首先一定要将u盘格式化成fat32。 挂载 mkdir /mnt/usb mount /dev/sda1 /mnt/usb成功示意图: 取消挂载 umount /mnt/usb

学习笔记——动态路由——OSPF(OSPF协议的工作原理)

八、OSPF协议的工作原理 1、原理概要 (1)相邻路由器之间周期性发送HELLO报文,以便建立和维护邻居关系 (2)建立邻居关系后,给邻居路由器发送数据库描述报文(DBD),也就是将自己链路状态数据库中的所有链路状态项目的摘要信息发送给邻居路由器…

vite+vue集成cesium

1、创建项目、选择框架vuejs pnpm create vite demo_cesium 2、进入项目安装依赖 cd demo_cesium pnpm install3、安装cesium及插件 3、pnpm i cesium vite-plugin-cesium 4、修改vite-config.js import { defineConfig } from vite import vue from vitejs/plugin-vue impo…

怎么测试远程服务器能否连通

远程服务器连接测试的方法很多,下面简单介绍下其中两种方法。 ping命令 按WINR快截键,打开“运行”对话框,输入cmd,回车,打开命令提示符。 输入ping IP地址或ping 域名即可,如ping360服务器通不通&#xf…

第十四届蓝桥杯省赛C++B组D题【飞机降落】题解(AC)

解题思路 这道题目要求我们判断给定的飞机是否都能在它们的油料耗尽之前降落。为了寻找是否存在合法的降落序列,我们可以使用深度优先搜索(DFS)的方法,尝试所有可能的降落顺序。 首先,我们需要理解题目中的条件。每架…

【OceanBase】OBProxy 无状态的理解

SueWakeup 个人主页:SueWakeup 系列专栏:为祖国的科技进步添砖Java 个性签名:保留赤子之心也许是种幸运吧 本文封面由 凯楠📸友情提供 目录 前言 OBProxy 无状态的概述 OBProxy 无状态特性带来的优点 1. 高可用 2. 负载均衡…

盛元广通打造智慧校园实验室安全管理系统

盛元广通智慧校园实验室安全管理系统以安全为重点,构建由学校、二级单位、实验室组成的三级联动的实验室安全多级管理体系、多类用户角色,内置教育部标准检查表,支撑实验室相关业务过程的智慧管理。实现通过PC端/手机移动端开展检查工作、手机…

基于贵州非遗推广小程序的设计与实现14362

基于贵州非遗推广小程序的设计与实现 摘 要 本文设计并实现了一个基于贵州非遗推广的小程序,旨在通过小程序平台推广和展示贵州省非物质文化遗产。该小程序提供了非遗项目介绍、相关活动展示、购买非遗产品等功能。 首先,我们收集了贵州省各个非遗项目的…

惠海 H6912 升压恒流芯片IC 支持2.6-40V升12V24V36V48V60V100V 10A 摄影灯 太阳能灯 UV灯 杀菌灯

1.产品描述 H6912是一款外围电路简洁的宽调光比升压调光LED恒流驱动器,可适用于2.6-40V输入 电压范围的LED恒流照明领域。H6912可以实现高精度的恒流效果,输出电流恒流精度≤士3%,电压工作范围为2.6-40V.可以轻松满足锂电池及中低压的应用需…

【Python】Python环境搭建教学#保姆级教学#手把手带你安装——内附Python环境搭建安装包(Python、PyCharm(社区版)安装包)

Python环境搭建 导读一、初识Python1.1 Python的由来1.2 Python的用途1.3 Python的优缺点1.4 Python的前景(钱景) 二、Python环境搭建2.1 运行环境——Python安装2.2 开发环境——PyCharm安装2.3 项目创建2.4 基本配置2.4.1 主题配置2.4.2 背景图设置2.4…

2024 年江西省研究生数学建模竞赛A题:交通信号灯管理问题分析、实现代码及参考论文

2024 年江西省研究生数学建模竞赛题目交通信号灯管理 1 题目 交通信号灯是指挥车辆通行的重要标志,由红灯、绿灯、 黄灯组成。红灯停、绿灯行,而黄灯则起到警示作用。交通 信号灯分为机动车信号灯、非机动车信号灯、人行横道信号 灯、方向指示灯等。 一…