业务连续性管理培训教材课件.pptVIP

检测 (Detection) —— 检测意味着弄清是否出现了恶意代码、文件和目 录是否被篡改或者出现其他的特征；如果是的话，问 题在哪里，影响范围有多大。检测包括 软件检测 和 人 工检测 。 人工检测 软件检测 a. 面对今天如此种类繁多复杂的攻击，检测软件 用不活跃或系统缺省账号登录。 — ( 如杀毒软件、 b. 在非工作时间有系统活动。 入侵检测软件、完整性校验软件等 ) 对应急响应工作的成功是非常 c. 出现了不是由系统管理员创建的账号。 必要的。 d. 出现了不熟悉的文件或程序。 — e. 许多厂商的软件可以迅速地检测桌面系统和邮件服务器的病毒 用户权限的提升或超级用户权限的使用，但对此无法解释。 。这些软件通常还可以检测出 Windows 系统上是否秘密安装了后 f. Web 服务器主页或其他页面被修改。 门木马程序。 g. 系统日志出现一段时间的空白或擦除。 h. DNS 表、路由器或防火墙规则中的无法说明的变化。 i. 系统性能变慢。 路漫漫其悠远 返回 抑制 (Containment) —— 抑制的目的是限制攻击的范围，同时也就限制了 潜在的损失和破坏。其只有在第 2 阶段观察到事件的 确已经发生的基础上才能进行 可能的抑制措施： — 关闭所有系统。 — 断开网络。 — 修改所有防火墙和路由器的过滤规则，拒绝来自看起来 是发起攻击的主机的所有的流量。 — 封锁或删除被攻破的登录账号。 — 提高系统或网络行为的监控级别。 — 设置诱饵服务器作为陷阱，如 “ 蜜罐 ” 等。 — 关闭存在漏洞的服务。 — 反击攻击者的系统。 路漫漫其悠远 返回 根除 (Eradication) —— 在事件被抑制以后，应该找出事件根源并 彻底根除。 根除手段： — 工具软件。比如，防病毒软件可以消灭大多数感染 小系统的 ( 甚至大系统的 ) 病毒以及特洛伊木马程序。 — 对于单机上的事件，主要可以根据各种操作系统平 台的具体的检查和根除程序进行操作。 — 大规模爆发的带有蠕虫性质的恶意程序的根除相对 复杂。 返回 路漫漫其悠远 恢复 (Recovery) —— 在事件的根源根除以后，恢复阶段定义下一阶段 的行动。恢复的目标是把所有被攻破的系统和网络设 备彻底地还原到它们正常的任务状态。 返回 路漫漫其悠远 跟踪 (Follow-up) —— 跟踪是最后一个阶段。其整体目标是回顾并整合发 生事件的相关信息。 跟踪的重要性： ? 有助于事件处理人员吸取经验教训，提高他们的技能，以应 付将来发生的同样的事件。 ? 有助于评判和管理一个组织机构的应急响应能力。 ? 所吸取的任何教训都可以当作应急响应工作组新成员的培训 教材。 ? 可以当作应急响应工作组建设的基础。 ? 能够产生在法律行为中有用的信息。 返回 路漫漫其悠远 应急响应预案 — 是被设计用于在信息安全突发事件中维持或恢复包括 计算机运行在内的业务运行的策略和规程。 — 应该有系统完整的设计、标准化的文本文件、行之有 效的操作程序和持续改进的运行机制。 基本原则 —— 集中管理、统一指挥、规范运行、标准操作、反 应迅速和响应高效。 目标 —— 控制紧急事件的发展并尽可能消除，将事故对人 、财产和环境的损失和影响减小到最低限度。 路漫漫其悠远 ? 应急响应制定过程： ? 初稿的制订： 参照应急响应预案框架，按照 IT 系统风险分析和业务影 响分析所确定的应急内容，根据应急响应等级的要求，结合组织其它 相关的应急计划，撰写出应急响应预案的初稿。 ? 初稿的评审： 组织应对应急响应预案初稿的全面性、易用性、明确性 、有效性和兼容性进行严格的评审。评审应有相应的流程保证。 ? 初稿的修订： 根据评审结果，对预案进行修订，纠正在初稿评审过程 中发现的问题和缺陷，形成预案的修订稿。 ? 预案的测试： 应预先制订测试计划，在计划中说明测试的案例。测试 应包含基本单元测试、关联测试和整体测试。测试的整个过程应有详 细的记录，并形成测试报告。 ? 预案的审核和批准： 根据测试的记录和报告，对预案的修订稿进一步 完善，形成预案的报批稿，并由应急响应领导小组审核和批准，确定 为预案的执行稿。 路漫漫其悠远 应急响应预案实例 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 路漫漫其悠远 XXX 事件应急预案 总则 （简述本预案编制所依据的法律法规以及相关行业管理规定、技术规范和标准等） 组织机构及职责 （对实施应急响应的机构、人员及其职责范围都进行具体说明与规划） 预防与预警 4.1 预防（明确对本类型事件危险源监测的方式方法，以及采取的预防措施） 4.2 预警（明确本类型事件预警的条件、方式、方法和信息发布程序） 4.3 预警解除 应急响