《网络安全应急响应》由会员分享,可在线阅读,更多相关《网络安全应急响应(3页珍藏版)》请在装配图网上搜索。
1、网络安全应急响应“应急响应”对应的英文是“Incident Response”或“Emergency Respo nse”等,通常是指一个组织为了应对各种意外事件的发生 所做的准备以及在事件发生后所采取的措施。网络安全应急响应的对象:计算机网络安全事件应急响应的对象是络所存储、传输、处 理的信息的安全事件,事件的主体可能来自自然界、系统自身故 障、组织内部或外部的人、计算机病毒或蠕虫等。按照计算机信 息系统安全的三个目标,可以把安全事件定义为破坏信息或信息 处理系统 CIA 的行为。比如:1. 破坏保密性的安全事件:比如入侵系统并读取信息、搭线 窃听、远程探测网络拓扑结构和计算机系统配置等;2
2、. 破坏完整性的安全事件:比如入侵系统并篡改数据、劫持 网络连接并篡改或插入数据、安装特洛伊木马(如 BackOrifice2K)、 计算机病毒(修改文件或引导区)等;3. 破坏可用性(战时最可能出现的网络攻击)的安全事件:比 如系统故障、拒绝服务攻击、计算机蠕虫(以消耗系统资源或网络 带宽为目的)等。但是越来越多的人意识到, CIA 界定的范围太小 了,比如以下事件通常也是应急响应的对象:4. 扫描:包括地址扫描和端口扫描等,为了侵入系统寻找系统漏洞。5. 抵赖:指一个实体否认自己曾经执行过的某种操作,比如 在电子商务中交易方之一否认自己曾经定购过某种商品,或者商 家否认自己曾经接受过订单。
3、6. 垃圾邮件骚扰:垃圾邮件是指接收者没有订阅却被强行塞 入信箱的广告、政治宣传等邮件,不仅耗费大量的网络与存储资 源,也浪费了接收者的时间。7. 传播色情内容:尽管不同的地区和国家政策不同,但是多 数国家对于色情信息的传播是限制的,特别是对于青少年儿童的 不良影响是各国都极力反对的。8. 愚弄和欺诈:是指散发虚假信息造成的事件,比如曾经发 生过几个组织发布应急通告,声称出现了一种可怕的病毒“Vi rtual Card for You”,导致大量惊惶失措的用户删除了硬盘中很重要的 数据,导致系统无法启动。应急响应的活动应该主要包括两个方面: 第一、未雨绸缪,即在事件发生前事先做好准备,比如风险
4、 评估、制定安全计划、安全意识的培训、以发布安全通告的方式 进行的预警、以及各种防范措施;第二、亡羊补牢,即在事件发生后采取的措施,其目的在于 把事件造成的损失降到最小。这些行动措施可能来自于人,也可 能来自系统,不如发现事件发生后,系统备份、病毒检测、后门 检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者 取证等一系列操作。以上两个方面的工作是相互补充的。首先,事前的计划和准 备为事件发生后的响应动作提供了指导框架,否则,响应动作将 陷入混乱,而这些毫无章法的响应动作有可能造成比事件本身更 大的损失;其次,事后的响应可能发现事前计划的不足,吸取教训 从而进一步完善安全计划。因此,这两个方面应该形成一种正反 馈的机制,逐步强化组织的安全防范体系。
网络安全应急响应
