应急响应:应急响应流程,常见应急事件及处置思路

news2024/12/22 12:58:19

「作者简介」:冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础著作 《网络安全自学教程》,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。

在这里插入图片描述

这一章节我们需要知道应急响应流程是什么,安全事件分类分级的概念,以及灾备的RPO和RTO标准。

应急响应是为了应对信息安全事件所做的准备,以及事件发生后采 取的措施。

应急响应

  • 1、安全事件分类分级
  • 2、应急响应组织架构
  • 3、应急响应流程
  • 4、灾备

1、安全事件分类分级

无论自然原因还是人为原因,故意还是非故意,只要影响了资产的安全属性CIA,都算安全事件。

不同的事件类型需要制定不同的应急预案,所以我们需要先知道安全事件分为哪几类。

GB-Z 20986-2007将安全事件分为7类:

  1. 有害程序事件:比如病毒、蠕虫、木马、僵尸网络、网页被插入恶意代码。
  2. 网络攻击事件:比如拒绝服务、后门、漏洞攻击、扫描嗅探、钓鱼、干扰网络。
  3. 信息破坏事件:比如信息篡改、假冒、泄露、窃取、丢失。
  4. 信息内容安全事件:比如煽动游行、炒作舆论热点到一定规模。
  5. 设备实施故障。
  6. 灾害性事件。
  7. 其他安全事件。

GB-Z 20986-2007按照信息系统的重要程度、系统损失、社会影响,将安全事件分为4个级别:

  1. 特别重大事件(Ⅰ级):信息系统中断2小时以上、影响人数100万人以上;或10亿以上经济损失;或对国家造成特别严重威胁。
  2. 重大事件(Ⅱ级):信息系统中断30分钟以上,影响人数10万人以上;或1亿以上经济损失;或对国家造成严重影响。
  3. 较大事件(Ⅲ级):信息系统中断;或1000万以上经济损失;或对国家造成较严重影响。
  4. 一般事件(Ⅳ级)

扩展:每个事件级别的三个条件,不需要同时满足所有条件,满足其中一个条件就行。实际执行时,可以根据企业情况修改事件分级的标准。

2、应急响应组织架构

如果企业没有单独的应急响应组织,那么应急响应就由安全人员承担,就比如安服兼任应急。

应急响应组织架构应包含以下5个部分:

  1. 应急响应领导组:协调资源,最终决策。
  2. 应急响应技术保障组:制定角色职责分工、协同调度方案、事件技术对应表并提供相应的技术支撑。
  3. 应急响应专家组:评估安全事件,提出建议。
  4. 应急响应实施组:分析并确定应急等级和策略,进场应急、总结并提交报告,组织应急演练。
  5. 应急响应日常运行组:系统日常运维、灾备,评估并控制事件损害,维护应急文档,参与应急演练。

在这里插入图片描述

3、应急响应流程

应急响应的流程分为准备、检测、遏制、根除、恢复、跟踪总结6个阶段:

  1. 准备:制定应急响应计划并演练,准备好相关人力物力资源。
  2. 检测:实时检测并报告,确定事件级别、类别并通告事件。
  3. 遏制:协调用户按照应急响应计划,限制事件影响的范围。
  4. 根除:分析、确定、消除原因,避免事件再次发生。
  5. 恢复:还原备份或直接恢复业务,将系统恢复到正常状态。
  6. 跟踪:分析、总结、完善应急响应计划,提交应急响应报告。

应急响应排查思路和具体知识点可以参考我的另一篇文章

Windows应急响应排查思路

在这里插入图片描述

Linux应急响应排查思路

在这里插入图片描述

4、灾备

灾备用来保证业务经历灾难后,仍然能够最大限度的提供服务。

灾备有两个标准:RPO 和 RTO。

  1. RPO是恢复点目标,是指灾难发生后,数据恢复到哪个时间点,也就是丢失了多少时间的数据。
  2. RTO是恢复时间目标,是指灾难发生后,恢复业务所需要的时间,也就是业务停顿了多少时间。

RPO和RTO从逻辑上可以为零,但实际项目中很完全实现。

灾备需要定时备份业务数据,用磁带或硬盘存储多个时间点的备份数据,备份方式有完整备份、增量备份、差异备份三种:

  1. 完整备份每次都备份全部的数据,备份速度最慢,但恢复速度最快,会清除备份标记。
  2. 增量备份只备份上次备份后改动的数据,备份速度最快,但恢复速度最慢,会清除备份标记。
  3. 差异备份只备份上一次完整备份后改动的数据,备份和恢复速度居中,不清除备份标记。

备份数据的存储,有DAS、NAS、SAN三种存储方式:

  1. DAS是直接附加存储,直连存储设备,可以理解为给服务器加硬盘,性能高、存储量大但占用服务器资源,不方便管理。
  2. NAS是网络附加存储,通过网络连接存储设备,不占用服务器资源,但会占用带宽,网络传输可能会泄露数据。
  3. SAN是存储区域网络,搭建专用网络存数据,效率高但成本也高。

存储数据的磁盘通常会做RAID(Redundant Arrays of Independent Disks),也就是冗余磁盘阵列,简单来说就是相同的数据存储在多个磁盘的不同位置。常用的有RAID 0、1、5这三种模式:

  • RAID 0:把多块磁盘串联成一个整体,多个磁盘可以同时读写数据,性能高但没有冗余能力,一块磁盘故障数据就被破坏。至少需要两块硬盘。
  • RAID 1:一个磁盘上写数据时,另一个磁盘上会生成镜像文件,磁盘利用率低,但有冗余能力,一块磁盘故障了数据也不会破坏。至少需要两块硬盘。
  • RAID 5:两块以上磁盘读写数据,第三块盘存奇偶校验信息,性能高并且有冗余能力,至少需要三块硬盘。

扩展:多块磁盘不做RAID时,写入数据会写入到同一块磁盘中,比如写入abcd,就直接在一块磁盘上一次写入a、b、c、d,读取的时候也只在一块磁盘上读,因为磁盘之间是独立存在的,即使我读取大量数据,这块磁盘全力运转快冒烟了,其他硬盘也会空闲,利用率就低。做了RAID 0,时,写入数据会同时写入到多个磁盘中,比如写入abcd,会在一盘写入a的时候,同时在二盘写入b,在一盘写入c的时候,同时在二盘写入d,读取的时候,会同时在一盘二盘读取,大家一起忙,谁都别想闲下来。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1885295.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

单片机软件架构连载(2)-指针

我工作了10年,大大小小做过几十个项目,用指针解决过很多实际产品的痛点,比如写过小系统,数据结构(队列,链表),模块化编程等等..... 今天贴近实际,给大家总结了c语言指针常用的知识点&#xff0c…

C++封装

1. 封装 1.1. struct 当单一变量无法完成描述需求的时候,结构体类型解决了这一问题。可以将多个类型打包成一体,形成新的类型,这是c语言中的封装 但是,新类型并不包含,对数据类的操作。所有操作都是通过函数的方式进…

python-糖果俱乐部(赛氪OJ)

[题目描述] 为了庆祝“华为杯”的举办,校园中开展了许多有趣的热身小活动。小理听到这个消息非常激动,他赶忙去参加了糖果俱乐部的活动。 该活动的规则是这样的:摊位上有 n 堆糖果,第 i 堆糖果有 ai​ 个,参与的同学可…

从入门到深入,Docker新手学习教程

编译整理|TesterHome社区 作者|Ishaan Gupta 以下为作者观点: Docker 彻底改变了我们开发、交付和运行应用程序的方式。它使开发人员能够将应用程序打包到容器中 - 标准化的可执行组件,将应用程序源代码与在任何环境中运行该代码…

YOLOv10改进教程|C2f-CIB加入注意力机制

一、 导读 论文链接:https://arxiv.org/abs/2311.11587 代码链接:GitHub - CV-ZhangXin/AKConv YOLOv10训练、验证及推理教程 二、 C2f-CIB加入注意力机制 2.1 复制代码 打开ultralytics->nn->modules->block.py文件,复制SE注意力机…

快排的实现

引言 作为c语言库函数的一种,快排在排序中的地位毋庸置疑. 而更加具体的实现如图: 快排的实现(递归实现) 原理 单趟:先假定第一个数设为key,如果左边指针的值比key大,且右边指针的值比key小,则将其交换.…

无线领夹麦克风有什么用,揭秘唱歌不费力的无线麦克风

随着自媒体行业的快速扩张,人们对音频录制设备的要求日益增长,麦克风作为核心设备之一,其重要性不言而喻。技术的演进使得麦克风从简单的无线小蜜蜂发展到多功能的数字领夹麦克风,满足了多样化的录制需求。然而,一个视…

昇思MindSpore学习总结八——模型保存与加载

在训练网络模型的过程中,实际上我们希望保存中间和最后的结果,用于微调(fine-tune)和后续的模型推理与部署,接下来将介绍如何保存与加载模型。 1.构建模型 import numpy as np import mindspore from mindspore impo…

别再被大模型骗了,一个小技巧,让LLaMa3诚信度提升65%

人工智能正以惊人的速度发展,大语言模型(LLM)作为其中的"明星",展现了令人赞叹的语言理解和生成能力。然而,在享受大语言模型带来便利的同时,我们也必须正视其在诚实性和安全性方面所面临的挑战。 近期,华中…

CSF视频文件格式转换WMV格式(2024年可用)

如果大家看过一些高校教学讲解视频的话,很可能见过这样一个难得的格式,".csf ",非常漂亮 。 用暴风影音都可以打开观看,会自动下载解码。 但是一旦我们想要利用或者上传视频的时候就麻烦了,一般网站不认这…

3个企业级最佳实践,教你ByteHouse云数仓这么用

随着各业务场景各行业数字化转型加快,数据量呈爆炸式增长。在拥有庞大数据的同时,业务也在分析、查询与响应层面,对数据库系统性能提出了更高要求。云原生技术推动了分布式数据库系统的迭代升级,对云数仓技术而言,“写…

MacBook关闭谷歌浏览器双指左右移动(扫动)前进后退功能

这个功能真的很反人类,正常上下滑动页面的时候很容易误操作,尤其是当你在一个页面上做了很多的编辑工作后误触发了此手势,那真叫一个崩溃! 其实这应该是 Macbook 触控板提供的一个快捷操作,跟浏览器本身估计没关系&am…

mysql-sql-第十三周

学习目标: sql 学习内容: 37.查询各科成绩最高分、最低分和平均分: 以如下形式显示:课程 ID,课程 name,最高分,最低分,平均分,及格率,中等率,优良率,优秀率 及格为>60,中等为:70-80,优良为:80-90,优秀…

使用Comsol进行边坡稳定性分析的例子——详细步骤(第二部分)

使用Comsol进行边坡稳定性分析的例子——详细步骤 研究1方法结果书接上回 在FOS参数的帮助下,对材料强度进行参数化。在第二个研究步骤中添加 FOS 的辅助扫描。对于某些 FOS 值,解不会收敛,并且设置为最后一个 FOS 值的默认图将给出错误。禁用此研究的默认绘图以避免出现错误…

65、基于卷积神经网络的调制分类(matlab)

1、基于卷积神经网络的调制分类的原理及流程 基于卷积神经网络(CNN)的调制分类是一种常见的信号处理任务,用于识别或分类不同调制方式的信号。下面是基于CNN的调制分类的原理和流程: 原理: CNN是一种深度学习模型&a…

root密码忘了怎么办(从系统引导过程解决)

目录 1.Linux系统密码忘记 2.系统引导过程 2.1 systemd 2.2 GRUB和GRUB2 2.3 运行级别 3.修复MBR扇区故障和GRUB引导故障 3.1 MBR扇区故障 3.2 GRUB引导故障 1.Linux系统密码忘记 我们在生活中经常遇到这类困扰,就是某个账号还是账户密码忘了,这…

Llama也能做图像生成?文生图模型已开源

导读 基于next-token prediction的图像生成方法首次在ImageNet benchmark超越了LDM, DiT等扩散模型,证明了最原始的自回归模型架构同样可以实现极具竞争力的图像生成性能。 Llama也能做图像生成?文生图模型已开源 香港大学、字节跳动提出了基于自回归模…

【AI大模型】大型模型飞跃升级—文档图像识别领域迎来技术巨变_图像识别大模型

写在前面 2023年12月31日,第十九届中国图象图形学学会青年科学家会议在广州举行,由中国图象图形学学会主办。 该会议的目标是促进青年科学家之间的交流与合作,以提升我国在图像图形领域的科研水平和创新能力。 由中国图象图形学学会和上海合合…

如何将音频文件发送至摄像头

目前再很多互联互通的场景下,如AI盒子再从摄像头上取视频分析,分析出发生某个事件,需要反向通过摄像头的喇叭播放语音,发出告警提示,使用场景如下 盒子上对于此类场景的需求往往不能满足,或者为这个需求需要…

Day8: 232.用栈实现队列 225. 用队列实现栈 20. 有效的括号 1047. 删除字符串中的所有相邻重复项

题目232. 用栈实现队列 - 力扣(LeetCode) class MyQueue { public:MyQueue() {}void push(int x) { // 出栈input.push(x);}int pop() {// 如果出栈为空,把入栈元素全都转移到出栈if (output.empty()) {while (!input.empty()) {int itop i…