- 1、本文档共10页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
LocalLawEnforcement当地法律涉入
Outline Incident Recovery Automated Response Disaster Recovery Planning Business Continuity Planning Model for a Consolidated Contingency Plan Law Enforcement Involvement Incident Recovery事件恢復 適用階段: 當事件已在系統中受到控制,下一階段的IRP—“事件恢復”則必須立刻執行 主要任務: 確認事件恢復所需的人力資源,並指派他們進行作業,同時告知員工所有損害的範圍都必須加以評估。 從電腦必須執行的過程中決定事件如何(How)發生與發生何事件(What)。事件必須在資料記錄之前或事件發生期間加以修復 修復弱點,找出防護上的缺點,並修復系統的資料與服務 一、Prioritization of Efforts效果的優先順序 隨著事件浮現,混亂與猜疑也隨之而來,由於各式各樣的攻擊都有可能影響所有人,因此,重點在於:系統的恢復。涉入的每個人都應該依據IRP的適當部份以恢復營運。 二、Damage Assessment損害評估 定義:事件損害評估(incident damage assessment)是立即衡量「機密」、「資訊的可獲取性」等等的破壞情況。 花費時間:依損失的範圍可能為數天或數週。 損壞程度:可能很小,如:受好奇的駭客窺探。也可能大至信用卡號偷竊、或成千上百的系統受到病毒與蠕蟲的感染。 瞭解損害型態、範圍與內容的資訊來源: 1、系統日誌 2、入侵偵測日誌 3、結構日誌與文件 4、事件反應的文件 5、詳細評估系統與資料倉儲的結果 二、Damage Assessment損害評估(續) 與事件損害評估相關的是電腦鑑識(computer forensic)的領域。 電腦鑑識(Computer forensics)為收集、分析、保護電腦相關證據的過程。證據(Evidence)則提供其作用與意圖。電腦證據必須仔細收集、書面化並維持可接受的正式或非正式的處理程序。 組織在處理內部違反政策或行為準則時,採用非正式的處理程序。而當犯罪者受到司法審判時,則必須採用正式的證據或法定處理程序。 三、Recovery恢復 適用階段:一旦損害的範圍已決定,恢復的過程必須謹慎地開始。 步驟:恢復的過程比簡單的從失竊、損壞或受損檔案中重建(restoration)還來的複雜。主要有以下七個步驟: 1、確認使事件發生與散播的弱點所在,並解決之。 2、對付無法阻止事件發生的防禦機制,或者原本系統所漏失的機制,安裝、取代或升級之。 3、評估監控的能力(如果有的話)。 4、藉由備份恢復資料。(RAID) 5、修復使用中的服務與程序。 6、持續監控系統。 7、恢復組織對商業利益的信心。 三、Recovery恢復 (續) 注意事項:在我們回覆到例行責任之前,IR小組必須實施事後複核(after-action review,AAR)。 AAR之定義:所謂事後複核是指詳細檢驗最早至最後恢復的事件。所有的關鍵人員都會複核其紀錄,驗證IR文件的正確性。 AAR的功用: 1、可書面化並視為訓練未來員工的實例。 2、可能藉此終止IR小組的行動。 四、Backup Media備份的工具 最普遍的備份工具包含了digital audio tapes(DAT)、quarter-inch catridge drives(QIC)、8mm tape與digital linear tape(DLT)。每種型態的磁帶都有優缺點。備份也可利用CD-ROM與DVD與特別的磁碟機或磁碟陣列等。 Automated Response自動反應 陷阱與追蹤(trap and trace) 使用與資源相連的方法偵測入侵,然後將事件追蹤至其來源。 優點: 安全不再侷限於防禦,安全的管理者也可站在積極的角度追蹤犯罪者,並在適當的授權之下將他們擊倒。 缺點: 較不謹慎的管理者可能試圖back hack(反侵入)或侵入駭客的系統,以找出駭客所有可能侵入的方法。而狡猾的駭客可能會使用IP 愚弄(spoofing)、侵害系統,或採用其他技術去除追蹤系統。最後使管理者本身成為駭客,抓駭客的任務失敗。 Automated Response自動反應 Honeypots:指的是電腦伺服器安裝類似的生產系統,當中包含了許多駭客想竊取的資訊。當駭客入侵系統時,警報系統會響起,管理人員會因此注意。 Honeynets:作用的方法近似,但他們包含了網路系統,而成為內容更豐富、更明顯的目標。 引誘(Enticem
文档评论(0)