2024年9月19日 17:56:42
This commit is contained in:
parent
eb1c8f8356
commit
f6c0759bb7
@ -207,29 +207,55 @@
|
||||
- 评估事件的影响范围
|
||||
- 事件通告(信息通报、信息上报、信息披露)
|
||||
|
||||
#### 3、第三阶段:遏制
|
||||
|
||||
- **工作目标**
|
||||
- 限制事件影响的范围、损失
|
||||
- **工作内容**
|
||||
- 启动应急响应计划
|
||||
- 确定适当的响应方式
|
||||
- 实施遏制行动
|
||||
- 要求用户按应急行为规范要求配合遏制工作
|
||||
- **教材补充**
|
||||
- 首先,启动应急响应计划。
|
||||
- 其次,确定适当的响应方式。IRT在掌握相关的信息后,应当就此事件来选择最适当的响应方式。这些选择包括恢复运行、在线响应与离线响应、识别攻击者、起诉和惩戒等。
|
||||
- 再次,实施遏制行动。遏制措施可能会因事件的类别和级别不同而完全不同。常见的可选遇制措施如下。
|
||||
(1)关闭相关系统。
|
||||
(2)<span style="color:red;">拔掉网线</span>。
|
||||
(3)修改所有防火墙和路由器的过滤规则,拒绝来自发起攻击的嫌疑主机的所有流量;封锁或删除被攻破的登录账号。
|
||||
(4)提高系统、服务和网络行为的监控级别。
|
||||
(5)设置诱饵服务器作为陷阱;关闭服务。
|
||||
(6)反击攻击者的系统等。
|
||||
|
||||
#### 4、第四阶段:根除
|
||||
|
||||
- **工作目标**
|
||||
|
||||
- 避免问题再次发生的长期的补救措施
|
||||
|
||||
- **工作内容**
|
||||
|
||||
- 详细分析,确定原因
|
||||
- 实施根除措施,消除原因
|
||||
|
||||
> 常见的根除措施有消除或阻断攻击源、找到并消除系统的脆弱性/漏洞、修改安全策略、加强防范措施、<span style="color:red;">格式化被感染恶意程序的介质</span>等。
|
||||
|
||||
#### 5、第五阶段:恢复
|
||||
|
||||
- 工作目标
|
||||
- 恢复系统至正常状态
|
||||
- 工作内容
|
||||
- 根据破坏程度决定是在原系统还是备份系统中恢复
|
||||
- 按恢复优先顺序恢复系统和业务运行
|
||||
|
||||
#### 6、第六阶段:跟踪总结
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
- 工作目标
|
||||
- 回顾并汇总所发生事件的相关信息
|
||||
- 工作内容
|
||||
- 关注系统恢复以后的安全状况,记录跟踪结果
|
||||
- 评估损失、响应措施效果
|
||||
- 分析和总结经验、教训
|
||||
- 重新评估和修改安全策略、措施和应急响应计划
|
||||
- 对进入司法程序的事件,进行进一步调查,打击违法犯罪活动
|
||||
- 编制并提交应急响应报告
|
||||
|
||||
Loading…
Reference in New Issue
Block a user