目录
- 常见网络安全应急事件场景
- 网络安全应急处理流程
- 应急演练类型
常见网络安全应急事件场景
应急事件的处理场景,分成四类场景,恶意程序事件,网络攻击事件,还有网站相关的一些安全事件,最后是拒绝服务事件
恶意程序事件包含病毒、蠕虫、木马、僵尸网络。
恶意程序,可能导致计算机系统的运行缓慢、网络流量异常或者破坏计算机软件或者文件,针对这类问题,我们可以协调外部组织进行技术协助,分析有害程序,保护现场,必要时切断网络连接,这是恶意代码的处理方式
第二类是网络攻击事件,第一个是扫描攻击,第二类是暴力破解,第三类是系统漏洞攻击
扫描攻击,在目标系统前面部署安全设备,比如说,部署防火墙,如果是网页的话,部署WAF、数据库的一些防火墙等等。部署安全设备,有助于防止用户的扫描,比如说,这是一个网页,在前面搞个WAF,本来是要通过一个漏扫软件,去扫的,但是前面有一个防火墙,这是网页专用的防火墙,它能够抵御你的扫描。
不仅能够抵御端口的一些扫描器,它还能抵御针对系统漏洞的攻击,包括暴力破解。
暴力破解除了用安全设备去做阻挡以外,我们还可以在网页服务器上去设置策略。比如说你要猜密码,我三次输错之后或者五次输错之后就给你锁定30分钟。针对暴力破解非常实用的。
系统漏洞主要是针对操作系统、应用系统中存在的一些漏洞,像服务器,可能是运行在linux里面的,也可能是运行在WINDOWS上面的,但是你都有自己的一个web应用程序,linux上的一般是阿帕奇,WINDOWS上的一般是iis应用程序。做linux或者WINDOWS的系统加固,应用程序该打补丁的要打补丁
在应用上做一些限制或者安全的设置,比如说针对猜密码的,第三种场景是web场景,针对web的攻击有网页篡改,网页挂码,非法的一些页面。接着是web漏洞,常见的SQL注入,跨站脚本等等,还有网站域名的劫持,针对DNS的攻击。
另外网站也是运行在操作系统上的,也可能有关联的数据库,所以你的操作系统也要保证安全
网站安全,拒绝服务分ddos和DOS。DOS这种基础的可能做个防火墙,入侵检测就能防得住,但是ddos要做清洗,清洗的话,无非两种,第一种就是买流量清洗设备,第二种是流量清洗服务,云服务。
网络安全应急处理流程
工作流程,一般包括安全事件报警,安全事件确认,启动应急预案,然后进行处理,撰写事件报告,最后进行应急工作总结。出现了问题先要告警,然后进行安全事件的确认,有些时候这个报警是从安全设备来的,所以我们要进行确认是不是真的发生了网络安全事件,如果是发生了,那么就启动应急预案
根据应急预案进行事件的处理,处理完之后要写报告,写完报告之后相当于还要做一些工作总结,可能要向领导汇报。
第一步安全事件的报警,如果发生紧急情况时,由值班人员及时报告,机房值班人员及时报告,报警人员要准确的描述安全事件,就具体发生了什么事情,要说的清楚,做好书面记录,根据安全事件的类型。各安全事件按呈报条例,依次报告值班人员,报告给组长,然后接着往上报告给领导小组,一级一级的向上面报,这是报警
第二步安全事件的确认,应急工作组组长和应急领导小组接到报警之后,首先要判断我们安全事件的类型,然后确定是否启动安全、启动应急预案,有些时候是一个小问题,就没有必要走应急预案,搞得大费周章,耗时耗材耗力,所以上级要确认,下面的人就负责报告,具体处理要听上面的领导,领导说了算。
第三步,启动应急预案,就是如果发现安全事件,有必要就启动应急预案,还要充分考虑各种安全事件,制定相应的处理措施,在紧急情况下,及时的应付各种安全事件,提前做好应急预案,不是现场做的,是提前做好的,必须避免在紧急情况下找不到应急预案,或者无法启动应急预案的情况,事先准备好,我们可能出现的abcd各种状况,针对不同的状况,我们用不同的应急方案。第三步第四步安全事件的处理,处理是一个比较复杂的工作要求,至少要两个人参加,两个人参加包含的又是一系列的过程,过程当中就嵌着无数的过程,第一个准备工作,第二个检测,第三个抑制,抑制的话,就是本来发生的问题,我们让问题不扩大,然后根除,比如说杀毒,把你的一些脆弱性漏洞直接给补上,这就叫根除。恢复,因为出现了安全事件,导致了业务无法正常运行,我们要让系统正常跑起来,最后就是总结工作,提交相应的报告。
撰写安全事件报告,相当于是对整个处理过程,进行总结,根据事件处理工作的记录和收集到的一些原始数据,结合专家的安全知识。然后完成报告的撰写,报告撰写的内容,主要有日期、参加人员、发现的途径、事件的类型、涉及的范围,现场的记录,包括影响和损失怎么处理,有什么经验和教训,到时候搞工作总结的时候就是要谈你的经验和教训。你有了经验和教训,下次这种问题就少出或者就不出。
工作总结,就是要进行回顾,回顾重点就是要看经验教训,找出相应的解决方案,如果现网当中存在一些问题,我们要找出相应的解决方案,这是关于网络安全应急处理的流程,一共六个步骤,预警、确认、启动应急预案,处理报告、总结六个步骤
应急演练类型
模拟出现了网络安全事件,我们应该怎么去处理,这里面又牵涉到流程,网络安全管理,或者是网络安全应急响应这一块。
首先第一步制定应急演练工作计划,编写具体的应急演练方案,接着组织应急演练,组织实施应急演练的方案,最后是评估和总结应急演练工作,我们在这次应急演练当中,有没有达到预期的一个效果,哪些比较好,哪些做的不好,我们下次怎么去改进,所以就有了后一步,发现做的不好,我们就优化去改进
应急演练的类型,按照组织的形式、内容,目的和作用,可以分成不同的演练类型,如果按照组织形式去分,里边分成桌面应急演练和实战应急演练,桌面相当于纸上谈兵,类似于我们作战人员利用地图或者沙盘,流程图,或者用计算机视频会议等等辅助工具,针对事先假定的演练场景,推演应急决策以及现场处置过程
桌面应急响应,实战应急响应,相当于红蓝对抗,实实在在的去针对设置的一些事件,我们要真实的去决策,去处理,实战的应急演练通常要在特定的环境,特定的场所,就在实际环境当中去做,比如说机房淹了,真的是给机房灌点水,我们怎么去处理,这偏向于实战
接着根据内容的不同,可以分为单项应急演练和综合应急演练。比如说我们针对数据库做一个演练,针对存储做专项演练,也叫单项演练。综合的就是考虑所有环节,多个环节所有的功能,就比如说我们全部业务,全部人员都参加。特别是不同单位之间,应急机制和联合应对机制的一个检验,可能不仅涉及到一个单位,它还涉及到多个部门,这叫综合型应急演练,比较典型的,比如说新冠防疫,如果要搞一个演练,就会涉及多部门、有卫健委、有医院,还有应急管理部门,多个部门一起来干这个事,针对不同的内容,根据目的和作用,可以分为检验性质,比如说,平时我们就检验一下我们应急预案的可行性以及准备的充分性,定期做一个应急演练,其实很多单位,特别是搞工程生产的,做工程的去修楼,修修路的这种,国家是有规定的,半年,一年,要分别组织各种各样的应急演练,就是要检验你对火灾或者对一些工程的一些突发事件很好的一个应急处理机制,这就是检验性,还有示范性的,就是有些观摩人员要来看,领导要来参观,或者是兄弟单位,他们要来看整个应急建设的成果,我们就可以示范性的去做一些演练。这个是研究性的,研究性的就是为了研究突发事件,或者研究一些难点问题,试验新方案新技术而组织的演练
