文本描述
系统故障应急诊断规范(安全)
目录
系统故障应急诊断规范(安全)
一. 事件处理流程
二. 事件识别
三. 事件处理
1.1 拒绝服务攻击事件
1.2 信息入侵破坏事件
1.3 有害程序事件
1.4 灾害性事件
事件处理流程
应急预案指面对突发事件的应急管理、指挥、处理计划等。一个完整的响应过程需要事先的准备和演练,确保问题发生时能及时有效的处理事件。
从总体上讲,应急响应可划分为事件识别、事件处理、事件总结三个阶段。
事件识别
当安全事件发生时,系统网络监控往往是第一时间发现异常的。监控人员可以通过以下几种方式识别是否是安全事件。
网络防火墙、流量清洗设备、IDS、应用防火墙等安全设备有异常报警信息。
文件监控发现服务器文件系统存在异常的数据读取和篡改行为。
服务器发现非法登陆访问记录或创建了非法管理员账号等。
数据库发现恶意篡改和访问等行为。
防病毒软件提示检测到可疑程序。
事件处理
拒绝服务攻击事件
流量清洗设备(黑洞等)或IDS、imperva应用防火墙报警提示拒绝服务攻击时,可以判断是该类攻击行为。
通知系统部
系统部接到通知后,按照拒绝服务攻击应急预案紧急处理。对攻击流量进行抓包,并发给信息安全部进行深入分析。
通知信息安全部
信息安全部接到通知后,对系统部提供的抓包数据进行分析,判断攻击类型等,提供对应的解决建议。
信息入侵破坏事件
当文件监控系统发现非法的文件篡改,数据库发现恶意篡改和访问,服务器发现不正常登陆访问或出现非法登陆账号等情况下,可以判断为信息破坏事件。
通知信息安全部
发现此类安全事件后,应当立即通知信息安全部进行处理。
查找原因
信息安全部接到通知后,立即分析查找发生信息破坏的原因和事件类型。并评估信息破坏程度,对公司业务的影响和危害。
修复漏洞
对引起此次事件的安全漏洞进行修复,检测是否存在其他相关安全漏洞。
评估影响
对事件对公司的影响进行评估。如果发现信息泄露或篡改等情况,应当和公司管理层进行讨论,补救事件对公司造成的影响。
有害程序事件
断开网络
发现电脑感染恶意程序后,为防止危害到网络内其他主机,应立即断网使用备机替换处理。
通知信息安全部
将电脑断网后,立即通知信息安全部进行处理。
查杀病毒程序
信息安全部接到通知后对病毒感染的系统进行病毒查杀和木马清除。如无特殊要求,建议重装系统。
识别感染原因
查找感染病毒的原因,防止类似事件再次发生。
恢复系统
将恢复正常的电脑重新连入网络
灾害性事件
联系IDC机房。