03、应急响应流程

应急响应流程

1.应急响应准备

1.1.获取当前网络安全事件信息

事件发生前,做好日常运维检测,收集各类故障信息

  • 区分系统自身故障和人为破坏
  • 区分一般事件和应急响应事件

充分获取当前事件信息,从而启动相应的预案

  • 事件上报,确认应急事件类型和应急事件的等级
  • 通知相关人员,启动应急预案

1.2.启用网络安全应急响应预案

应急预案内容:

  1. 总则
  2. 组织体系和职责
  3. 事件预警
  4. 应急处置
  5. 后期处置
  6. 预防工作
  7. 保障措施
  8. 附则

应急小组划分:

  • 应急领导小组
  • 应急预案指定小组
  • 应急执行小组
  • 技术保障小组
  • 支持保障小组

2.应急响应保护

2.1.抑制保护

应急响应事件发生,采取临时策略对目标机器进行止损

  • 直接策略:断网(防止删除日志和重要文件)

方法:

  • 查清影响的机器和范围
  • 进行网络隔离,关闭响应的端口
  • 切换备份机器,保证业务正常运行
  • 常规应急响应,修复系统,分析发生的原因,加固系统

2.2.数据保护

保护物理设备:

  • 物理隔离,防止人为物理破坏机器
  • 事件重大,保护现场

对内存和磁盘相关状态进行保存:

  • 取证数据
  • 磁盘镜像(Disk Image):将存储器的完整内容和结构都保存在一个文件中(当前磁盘和内存的现有状态,防止相关代码执行自删除操作)

 

posted @ 2024-04-25 18:04  落落的学习  阅读(65)  评论(0编辑  收藏  举报