第七章应急响应备份与灾难恢复技术.pptVIP

第1页，共25页，星期日，2025年，2月5日事件响应事件响应：对发生在计算机系统或网络上的威胁安全的事件进行响应。事件响应是信息安全生命周期的必要组成部分。这个生命周期包括：对策、检测和响应。网络安全的发展日新月异，谁也无法实现一劳永逸的安全服务。第2页，共25页，星期日，2025年，2月5日什么是应急响应应急响应也叫紧急响应，是安全事件发生后迅速采取的措施和行动，它是安全事件响应的一种快速实现方式。应急响应服务是解决网络系统安全问题的有效安全服务手段之一。第3页，共25页，星期日，2025年，2月5日为什么需要应急响应保护网络信息系统的安全大量的安全漏洞存在攻击系统和网络的程序存在实际的和潜在的财务损失不利的媒体曝光威胁（声誉的损失)对效率的需求当前入侵检测能力的局限性法律方面的考虑第4页，共25页，星期日，2025年，2月5日应急响应的目的应急响应的目的是最快速度恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的影响。定位并排除系统故障提高对网络黑客攻击的抵御和防范的规范程度预防重大事件的发生提高组织对系统安全事件的快速反应和恢复能力网络系统的性能优化提供整体网络运行的健康以及趋势分析第5页，共25页，星期日，2025年，2月5日应急响应的过程响应前的准备工作工作流程报警方法备份体系安全培训识别和发现各种安全的紧急事件检测设备报警Agent把事件影响降到最小阻断缓解封堵隔离真正解决问题如：清除病毒、修补漏洞数据和系统被破坏情况下，进行恢复回顾并整合安全事件的相关信息第6页，共25页，星期日，2025年，2月5日应急响应的过程——准备基于威胁建立一组合理的防御/控制措施建立一组尽可能高效的事件处理程序准备处理问题必须的资源和人员建立一个支持事件响应活动的基础设施第7页，共25页，星期日，2025年，2月5日应急响应的过程——检测确定事件是已经发生了还是在进行当中。初步动作和响应选择检测工具，分析异常现象激活审计功能迅速备份完整系统记录所发生事件估计安全事件的范围第8页，共25页，星期日，2025年，2月5日应急响应的过程——抑制限制攻击的范围，同时限制了潜在的损失和破坏。抑制策略完全关闭所有系统；将网络断开；修改所有防火墙和路由器的过滤规则，拒绝来自看起来是发起攻击的主机的所有的流量；封锁或删除被攻击的登录账号；提高系统或网络行为的监控级别；设置诱饵服务器作为陷阱；关闭被利用的服务；反击攻击者的系统等。第9页，共25页，星期日，2025年，2月5日应急响应的过程——根除安全事件被抑制后，找出事件根源并彻底根除，从而根除了影响的进一步扩大。确定事件的起因和症状增强防御技术进行漏洞分析删除事件的源头查找最近的干净备份第10页，共25页，星期日，2025年，2月5日应急响应的过程——恢复把所有受侵害或被破坏的系统、应用、数据库等彻底地还原到它们正常的任务状态。决定恢复操作的时间修复系统、网络或数据使整个系统运行正常监控系统第11页，共25页，星期日，2025年，2月5日应急响应的过程——跟踪回顾事件处理过程，拟定一份事件记录和跟踪报告总结经验教训为管理或法律目的收集损失统计信息建立或补充自己的应急事件库第12页，共25页，星期日，2025年，2月5日应急响应服务形式远程应急响应服务本地应急响应服务服务的指标时间第13页，共25页，星期日，2025年，2月5日应急处理内容恶性病毒爆发严重漏洞发布，可能在短期内出现蠕虫确认病毒已经开始广泛传播和攻击大多数主机工作异常，网络通讯出现异常多数主机的防毒系统有报警，但是无法清除病毒拒绝服务攻击互联网出口缓慢公开提供服务的服务器访问缓慢网络流量出现不可解释的异常增加服务器入侵页面被非法篡改，或者出现非法文件数据异常丢失机密数据有被泄漏的证据出现非法登陆或者日志被删改的情况第14页，共25页，星期日，2025年，2月5日事件分级与处理方式事件级别级别定义严重客户的重要业务系统因为安全原因中断，数据被破坏或被窃取。普通用户的重要业务因为安全原因运行出现异常，降低了运行效率或出现错误。轻微用户网络或者业务运行中出现故障，需要解决，但不影响主要业务的正常运行。事件级别处理方式严重提供现场支持，如果因为时间特别紧张，在条件允许的情况下，可以提前开始远程登陆支持。普通在条件允许的情况下，通过远程登陆解决或者指导用户解决问题。如果超过事件处理升级时限，则需要进行现场支持。轻微一般通过电话