常见应急事件及应急处置程序
Posted 星球守护者
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了常见应急事件及应急处置程序相关的知识,希望对你有一定的参考价值。
文章目录
一、事件分类
0x01 网络攻击事件
- 通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对
信息系统实施攻击
, - 并造成信息系统异常或对信息系统当前运行造成潜在危害的事件。
网络攻击应急措施
(1)当发现网络被非法入侵
、网页内容被篡改
,应用服务器的数据被非法拷贝、修改、删除
,或有黑客正在进行攻击
等现象时,使用者或管理者应断开网络
,并立即报告应急小组
。
(2)应急小组立即关闭相关服务器
,封锁或删除
被攻破的登陆帐号,阻断
可疑用户进入网络的通道,并及时清理
系统、恢复
数据和程序,尽快将系统和网络恢复正常。
0x02 信息破坏事件
- 通过网络或其他技术手段,造成信息系统中的
数据被篡改
、假冒
、泄漏
等而导致的事件。
信息破坏应急措施
(1)当发现信息被篡改、假冒、泄漏等事件时,信息系统使用单位或个人应立即`通知应急小组`。
(2)如被篡改或被假冒的数据正在征缴或发放过程中,应急小组应立即通知`相关单位`。
(3)应急小组通过跟踪应用程序、查看数据库安全审计记录和业务系统安全审计记录`查找信息被破坏的原因和相关责任人`。
(4)应急小组提出`修正错误方案和措施`,通知各员工进行处理。
0x03 信息内容安全事件
- 利用
信息网络发布
、传播危害国家安全
、社会稳定
和公共利益
的不良信息内容
的事件
信息内容安全应急措施
(1)当发现有垃圾或诈骗信息发布,系统管理员及时删除垃圾信息,并及时更新设置过滤消息,情节严重需查找发布者,并`报告应急小组`;
(2)当发现有`病毒攻击`,查找系统漏洞,及时更新漏洞补丁或关闭漏洞相应端口,分析端口与业务端口的相关性,并作相应处理,`排查病毒`后报告应急小组。
(3)当发现`数据被窃取`时,服务器管理人员立即禁用服务器,查找并修复服务器存在的端口漏洞,并对窃取的数据内容作重要程度的分析,并报告应急小组
0x04 网络故障事件
- 因电信、网络设备等原因造成
大部分网络线路中断
,用户无法登录
信息系统的事件。
网络故障应急事件
(1)发生网络故障事件后,系统使用人员应及时报告应急小组。
应急小组及时`查清网络故障位置和原因`,并予以解决。
(2)不能确定故障的解决时间或解决故障的期限并属较大(III级)及其以上的,`报告应级部门领导`。
0x05 服务器故障
- 因系统
服务器故障
而导致的信息系统无法运行
的事件。
服务器故障应急措施
(1)服务器故障后,应急小组确定`故障设备及故障原因`,并通知`相关厂商`。
(2)根据服务器修复和恢复系统所需时间,由`部门经理决定是否启用备份设备`。
(3)如启用备份设备,在服务器故障排除后,应急小组在确保`不影响正常业务`工作的前提下,利用网络空闲时期`替换备用设备`。
如不启用备份设备,应急小组应积极配合相关厂商解决服务器故障事件。
0x06 软件故障事件
- 因
系统软件或应用软件故障
而导致的信息系统无法运行的事件。
软件故障应急措施
(1)发生计算机软件系统故障后,系统使用人员应立即`保存数据`,停止该计算机的业务操作,并将情况报告应急小组,不得擅自进行处理。
(2)应急小组应立刻派出`技术人员`进行处理。
(3)应急小组组织有关人员在保持原始数据安全的情况下,对计算机系统进行修复;修复系统成功后,利用备份数据恢复丢失的数据。
0x07 灾害性事件
- 因
不可抗力
对信息系统造成物理破坏而导致的事件。
灾害性事件应急措施
(1)一旦发生灾害性事件,应急小组每一位成员都应有责任在第一时间`进入机房`抢救服务器及存储设备。
(2)应急小组对服务器及存储设备的`损坏程序`进行评估。如服务器损坏或存储
(3)设备损坏无法使用,立即联系相关厂商,进入`维保服务程序`。
(4)根据服务器或存储设备修复和恢复系统所需时间,由部门经理决定是否启用备份设备。
0x08 其他突发事件应急预案
- 不能归为以上七个基本分类,并可能造成信息系统异常或对信息系统当前运行造成潜在危害的事件。
其它突发事件应急措施
(1)应急小组立刻派出技术人员进入现场,制定相应措施,根据实际情况灵活处理,并按要求报告值班经理。
二、应急处置程序
- 信息系统使用单位或人员发现信息系统安全事件后,应及时
报告应急小组
。 - 应急小组及时
分析事件
,在短时间内(一般要在半小时以内)依据事件情形和修复时间进行初步判别
,确定故障分类级别
,较大(III级)及其以上的安全事件应报告应急领导
。 - 信息系统安全事件发生后,根据事件
严重程度
,由应急领导决定并指定特定及时对外发布信息协调配合
修复安全事件。 - 根据不同的事件以及事件的级别,采取相应措施进行
应急处理
。 - 突发事件处理过程中,可以根据
需要调整故障级别
。
0x01 DDos攻击事件
事件描述:
- 信息系统遭到
DDoS攻击
,系统收到大量无意义数据包,无法对外提供正常业务服务; - 被攻击系统对外部访问
请求响应处理缓慢
,系统资源被占满
,使用Ping命令无法Ping通(或存在大量丢包情况)
事件处置流程图:
事件抑制根除方法
(1)值班员对系统安全运行情况进行监控,并从各现场值班人员/用户端反映的情况中分析,判定为DDos攻击事件;
(2)值班员按照《信息系统应急管理及通报程序》执行通报;
(3)值班员通过查看系统日志、防火墙日志、网络日志、网络流量分析等方式分析定位DDos攻击源IP地址;
(4)值班员根据检测平台定位到的DDos攻击源IP地址,判定是否可以在现有防火墙上将来自该地址的DDos数据访问过滤掉,如果可以,则在防火墙上进行过滤;
(5)如果无法使用防火墙对来自攻击源IP地址的DDos数据访问进行过滤,值班员应对攻击源IP地址作进一步定位,确认是否为网络内部的IP地址;如果是网络内部的IP地址,在基础设施值班员得到该IP地址用户确认后的情况下(如果该IP地址不是信息系统服务器地址,则可以不需要向用户进行确认)进行断开该IP地址设备网络连接操作;
(6)根据确定的攻击路径,值班员在分析攻击路径上所携带应用的情况下,按照“完全隔离攻击来源”和“最低限度影响网络运行”的原则,关闭DDos攻击网络路径;
(7)如果无法定位DDos攻击源IP地址(或DDos攻击路径),或者经过分析后无法关闭DDos攻击网络路径,则受攻击系统的系统管理员应立即启用系统自身功能部件完全不可用情况下的应急预案,并由值班员再次进行信息通报。
0x02 防病毒安全事件
事件描述:
- 信息系统服务器或终端有
感染病毒
的风险或者已经感染病毒
(防病毒软件可能产生报警)或短时间内处于同一生产网络区域内的多台计算机均被病毒传播感染,且使用360天擎
统一的防病毒软件自动清除或隔离
事件处置流程图:
事件抑制根除方法
(1)隔离受感染主机:当出现计算机病毒传染迹象时,立即隔离被感染
的系统和网络,并进行处理,不应带“毒”继续运行,
(2)对于服务器,要先确定被感染情况,并通知系统管理员,确定处理方案后、方可处理。
(3)确定病毒种类特征:采用多种手段确定病毒的类型和传播途径,如查看防
病毒软件的报警信息、搜索互联网相关信息、和防病毒软件厂商沟通等途径。
(4)对于未知病毒,可以尽快提交给系统管理员和防病毒软件厂商。
(5)一旦出现传播速度快,威胁大的新病毒,应该立即进行手工升级病毒库;
(6)如果出现大面积传播的趋势,要根据病毒的传播形式采取网络访问控制、防病毒软件升级病毒库等手段控制病毒的扩散。
(7)尽量使用专杀工具对病毒进行查杀,完成后,重启
(8)计算机,再次使用最新升级的防病毒软件进行全盘查杀,检查系统中是否
还存在该病毒,并确定被感染的数据是否完好。
(9)查找中毒原因,改进和完善防护措施,及时更新系统补丁。
(10)公司各部门相应负责人和各模块业务经理组织自己的负责人评估病毒解决方案对系统、数据库、终端等的影响并实施控制措施;根据病毒处置情况,收集整改结果,进行总结。
0x03 扫描攻击事件
事件描述:
- 主要针对
扫描事件
及中低危
漏洞,发现攻击源ip
使用自动化软件
进行恶意攻击,对网站进行大量扫描
,触发报警
。
事件处置流程图
事件抑制根除方法
(1)值班员根据高级威胁分析平台对系统安全运行情况进行监控,发现有对系统的使用自动化软件漏洞扫描。
(2)值班员根据系统日志内容,分析定位试扫描源IP地址并查看攻击次数较多的IP源地址。
(3)对网站发起大量扫描的攻击IP进行封禁处理。
(4)攻击源IP上报网络值班人员,由网络值班人员在IPS上封禁操作。
(5)如若不能在IPS上彻底阻断,则由网络值班员在防火墙上封禁操作。
(6)对频繁攻击和封禁后绕过防火墙继续进行攻击的ip进行详细记录。
(7)对于有组织性的扫描及漏洞探测,详细记录其攻击源及攻击方式等证据,上交应急领导,采取报警。
0x04 高危受控事件
事件描述:
- 主要针对访问控制登陆事件及高危漏洞事件,通过高级威胁分析平台日志记录进行具体事件分析验证是否存在漏洞事件。
- 具体事件分别划分为:
访问控制登陆
,Web后门
,命令执行
,WebDAV写文件漏洞
,应用出错
,信息泄露
,下载文件
等。
事件处置流程图:
事件抑制根除方法
(1)值班员根据高级威胁分析平台对系统安全运行情况进行监控,发现相关漏洞攻击预警时,及时进行事件研判,判断高危受控事件对网络及系统的威胁系数造成的影响。
(1)查询日志定位源地址和目标地址,确定攻击地址是否来自外部地址。
(2)详细分析数据包,确定攻击手法次数范围及影响。
(3)分析日志及数据包,研判是否存在高危漏洞,确认系统是否在未授权的情况下被访问控制登陆。
(4)根据事件严重情况,采取不同的处理方法。如若严重,通知网络值班员紧急封禁源IP,对已经被入侵系统通知系统管理人员紧急采取断外网映射或下线该系统进行修复及整改,并上报应急领导。
(5)分析漏洞并验证漏洞,根据不同的漏洞,提供不同的安全修复方案。
(6)根据漏洞影响情况,后续重点监测并实行自行检查漏洞。
0x05 邮件攻击事件
事件描述:
- 客户邮箱接受
恶意邮件
,点击或者下载,木马或恶意脚本会攻击客户终端,造成信息泄露,或者更大的风险。
事件处置流程图:
事件抑制根除方法
(1)值班员根据高级威胁分析平台对系统安全运行情况进行监控,查看高风险邮件。
(2)使用沙箱查看攻击者使用脚本行为。
(3)详细查看攻击源,确定被攻击者及攻击受影响范围。
(4)上报应急小组,封禁源地址并提醒被攻击者谨慎操作。
(5)员工工作期间不要点击一些不安全网站,防止查看了钓鱼网站及邮件木马
(6)警惕钓鱼邮件,慎重打开邮件中的链接,附件打开之前要查毒,exe等格式、尤其是RAR格式的文件,碰到不熟悉的邮件发来RAR,不要随意下载。
(7)提升企业邮箱密码符合复杂性要求。
0x06 网站被挂马、信息泄露及网页篡改事件
事件描述:
- 主要针对
访问控制
登陆事件及高危漏洞
事件,通过监控平台日志记录
进行具体事件分析验证是否存在
漏洞事件。 - 具体事件分别划分为:
访问控制登陆
,Web后门
,命令执行
,高危敏感信息泄露
,非法外联
等。
事件处置流程图:
事件抑制根除方法
(1)查询日志定位源地址和目标地址,确定攻击及被攻击范围。
(2)通知网络值班员紧急封禁源IP,对已经被入侵系统通知系统管理人员紧急采取断外网映射或下线该系统进行修复及整改,并上报应急领导。
(3)查找木马,并清除,对攻击者进行溯源。
(4)分析漏洞并验证漏洞,根据不同的漏洞,提供不同的安全修复方案。
(5)修复完毕后重新上线。
0x07 后期处置
(1)故障排除后,应急小组向各员工发出故障解除、系统恢复正常运行通知。系统恢复运行后,相关操作人员尽快通知部门和个人,
并对故障发生前所进行过的业务操作进行检查,核对业务数据是否正确或有无丢失,不正确或有丢失的应马上更正或补录,确保数据的正确和完整。
(2)组织有关人员及有关技术专家组成事件调查组,对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估,
总结经验教训,完善信息系统应急处理预案,整改信息系统存在的隐患。
0x08 预防与预警机制
- 针对各种
可能发生
的信息系统突发事件
,建立和完善预测预警机制。 - 应急工作要加强对信息系统的日常监测工作。
- 监测的内容主要包括:
(1)局域网通讯性能与流量;
(2)网络设备和安全设备的操作记录、网络访问记录;
(3)服务器性能、数据库性能、应用系统性能等运行状态,以及备份存贮系统状态等;
(4)服务器操作系统、数据库安全审计记录、业务系统安全审计记录;
(5)计算机漏洞公告、网站漏洞扫描报告;
(6)病毒公告、防病毒系统报告;
(7)其他可能影响信息系统的预警内容。
摘抄
站在山巅与日月星辰对话
潜游海底和江河湖海晤谈
和每一棵树握手,和每一株草私语
方知,宇宙浩瀚,自然可畏,生命可敬。
以上是关于常见应急事件及应急处置程序的主要内容,如果未能解决你的问题,请参考以下文章