应急响应与处置.pptVIP

4、应急响应关键技术 第八章 应急响应处置管理 4.1 入侵检测技术 误用检测（Misuse Detection） 误用检测也称为基于知识的入侵检测或基于签名的 入侵检测。该技术首先建立各种已知攻击的特征模式库， 然后将用户的当前行为依次与库中的各种攻击特征模式 进行比较。 4、应急响应关键技术 第八章 应急响应处置管理 4.1 入侵检测技术 异常检测（Anomaly Detection） 异常检测也称基于行为的入侵检测。该技术通过为用 户、进程或网络流量等处于正常状态时的行为特征建立参 考模式，然后将系统当前行为特征与已建立的正常行为模 式进行比较。 4、应急响应关键技术 第八章 应急响应处置管理 4.1 入侵检测技术 异常检测的优点是其能够检测出未知攻击，然而存在 误检测率较高的不足；误用检测虽然检测准确率较高，但 其只能对已知攻击行为进行检测。 4、应急响应关键技术 第八章 应急响应处置管理 4.2 系统备份与灾难恢复技术 系统备份是灾难恢复的基础，其目的是确保既定的关 键业务数据、关键数据处理系统和关键业务在灾难发生后 可以恢复。 系统备份 4、应急响应关键技术 第八章 应急响应处置管理 4.2 系统备份与灾难恢复技术 全备份 增量备份 差分备份 系统备份 对整个系统进行完全备份，包括系统和数据 每次只备份上一次全备份之后有更新的数据 每次备份相对于上次全备份后有更新的数据 4、应急响应关键技术 第八章 应急响应处置管理 4.2 系统备份与灾难恢复技术 灾难恢复 灾难恢复的基本技术要求: 备份软件 恢复的选择和实施 自启动恢复 安全防护 4、应急响应关键技术 第八章 应急响应处置管理 4.2 系统备份与灾难恢复技术 灾难恢复 灾难恢复等级 层次0——本地数据的备份与恢复 层次1——批量存取访问方式 层次2——批量存取访问方式+热备份地点 层次3——电子链接 层次4——工作状态的备份地点 层次5——双重在线存储 层次6——零数据丢失 4、应急响应关键技术 第八章 应急响应处置管理 4.2 系统备份与灾难恢复技术 灾难恢复 灾难恢复计划 备份/恢复的范围 灾难恢复计划的状态 应用地点与备份地点之间的距离 应用地点与备份地点之间如何相互连接 数据如何在两个地点之间传送 4、应急响应关键技术 第八章 应急响应处置管理 4.2 系统备份与灾难恢复技术 灾难恢复 灾难恢复计划 允许有多少数据被丢失 怎样保证备份地点的数据的更新 备份地点可以开始备份工作的能力 4、应急响应关键技术 第八章 应急响应处置管理 4.3 其它相关技术 事件诊断技术 攻击源定位与隔离技术 计算机取证技术 偏重于事件发生后，弄清受害对象发生何事？如有问题，出在哪？影响范围多大？ 网络攻击路径重构，方法和技术上目前尚处研究阶段；确定攻击源后，基于安全事件类型，采取隔离措施 涉及对计算机数据的保存、识别、记录以及解释 网络环境下海量数据的采集、存储和分析极为复杂 应急响应（Emergency Response）通常是指人们为了应对各种紧急事件的发生所做的准备以及在事件发生后所采取的措施。 小结 第八章 应急响应处置管理 应急响应组织是应急响应工作的主体 应急响应体系的建立过程 应急响应处置流程 应急响应涉及的关键技术。 应急响应组织分为哪几类？分别简述。 应急响应处置流程通常被划分为哪些阶段？各个阶段的主要任务是什么？ 习题 第八章 应急响应处置管理 思考 第八章 应急响应处置管理 如何理解应急响应在信息安全中的地位和作用？ 本节内容 应急响应概述 1 应急响应组织 2 应急响应体系 3 4 应急响应关键技术 第八章 应急响应处置管理 1、应急响应概述 应急响应（Emergency Response）通常是指人们为了 应对各种紧急事件的发生所做的准备以及在事件发生后所 采取的措施。 第八章 应急响应处置管理 1、应急响应概述 应急响应的对象 紧急事件 破坏机密性的安全事件 破坏完整性的安全事件 破坏可用性的安全事件 信息安全基本属性 CIA 第八章 应急响应处置管理 1、应急响应概述 安全事件 安全紧急事件 第八章 应急响应处置管理 1、应急响应概述 安全事件是破坏或企图破坏信息或信息系统CIA属性的行为事件。 安全紧急事件侧重指发生很突然且会造成巨大损失的安全事件。需采取及时的适当的补救措施，否则损失会进一步加重。 第八章 应急响应处置管理 1、应急响应概述 事先 做什么准备？ 事后 采取什么措施？