首页 > 资料专栏 > 经营 > 管理专题 > 危机管理 > 系统故障应急诊断规范(安全)DOC

系统故障应急诊断规范(安全)DOC

江西骨科***
V 实名认证
内容提供者
热门搜索
故障
资料大小:18KB(压缩后)
文档格式:DOC
资料语言:中文版/英文版/日文版
解压密码:m448
更新时间:2024/6/8(发布于江西)

类型:积分资料
积分:10分 (VIP无积分限制)
推荐:升级会员

   点此下载 ==>> 点击下载文档


文本描述
系统故障应急诊断规范(安全) 目录 系统故障应急诊断规范(安全) 一. 事件处理流程 二. 事件识别 三. 事件处理 1.1 拒绝服务攻击事件 1.2 信息入侵破坏事件 1.3 有害程序事件 1.4 灾害性事件  事件处理流程 应急预案指面对突发事件的应急管理、指挥、处理计划等。一个完整的响应过程需要事先的准备和演练,确保问题发生时能及时有效的处理事件。 从总体上讲,应急响应可划分为事件识别、事件处理、事件总结三个阶段。 事件识别 当安全事件发生时,系统网络监控往往是第一时间发现异常的。监控人员可以通过以下几种方式识别是否是安全事件。 网络防火墙、流量清洗设备、IDS、应用防火墙等安全设备有异常报警信息。 文件监控发现服务器文件系统存在异常的数据读取和篡改行为。 服务器发现非法登陆访问记录或创建了非法管理员账号等。 数据库发现恶意篡改和访问等行为。 防病毒软件提示检测到可疑程序。 事件处理 拒绝服务攻击事件 流量清洗设备(黑洞等)或IDS、imperva应用防火墙报警提示拒绝服务攻击时,可以判断是该类攻击行为。 通知系统部 系统部接到通知后,按照拒绝服务攻击应急预案紧急处理。对攻击流量进行抓包,并发给信息安全部进行深入分析。 通知信息安全部 信息安全部接到通知后,对系统部提供的抓包数据进行分析,判断攻击类型等,提供对应的解决建议。 信息入侵破坏事件 当文件监控系统发现非法的文件篡改,数据库发现恶意篡改和访问,服务器发现不正常登陆访问或出现非法登陆账号等情况下,可以判断为信息破坏事件。 通知信息安全部 发现此类安全事件后,应当立即通知信息安全部进行处理。 查找原因 信息安全部接到通知后,立即分析查找发生信息破坏的原因和事件类型。并评估信息破坏程度,对公司业务的影响和危害。 修复漏洞 对引起此次事件的安全漏洞进行修复,检测是否存在其他相关安全漏洞。 评估影响 对事件对公司的影响进行评估。如果发现信息泄露或篡改等情况,应当和公司管理层进行讨论,补救事件对公司造成的影响。 有害程序事件 断开网络 发现电脑感染恶意程序后,为防止危害到网络内其他主机,应立即断网使用备机替换处理。 通知信息安全部 将电脑断网后,立即通知信息安全部进行处理。 查杀病毒程序 信息安全部接到通知后对病毒感染的系统进行病毒查杀和木马清除。如无特殊要求,建议重装系统。 识别感染原因 查找感染病毒的原因,防止类似事件再次发生。 恢复系统 将恢复正常的电脑重新连入网络 灾害性事件 联系IDC机房。