应急响应流程.docx

应急响应流程不管我们事前做了多么周密的工作去评估风险和加固系统,攻击者可能还是会在某个凌晨偷偷潜入我们的系统更改掉我们的系统文件,面对攻击者的攻击早早的计划出对策是非常重要的,如果等到攻击者实施完攻击后我们才开始想应该如何应对的话,可能会手忙脚乱的把事情弄得一团糟糕。为了有效应对相关安全事件,我们根据经典的应急事件处理流程PDCERF制定了相应的应急响应流程。PDCERF是国际上对应急响应的一个标准流程,即准备(策略、防御、程序、人员、工具、基础设施、资金)、检测(检测、调查、评价、报告、决策)、抑制(安全域(地理/层次/人机/业务)、边界控制)、根除(定位、对症下药、副作用)、恢复(数据恢复、状态恢复、行为恢复、环境恢复)、跟踪(追究责任、改进)。,那么定期登陆这些软硬件设备的厂商站点去查看是否目前有新的安全漏洞补丁或者是安全警告非常必要,至少应该保证一个星期查看一次,也可以选择订阅厂家的更新邮件列表。,对于安全警告信息确认分析,如果所管理网络存在警报中安全问题,应及时安装从站点下载的补丁。,亲自负责来维护信息发布,定期发布安全预警信息和安全维护文章,对于常用的杀毒软件等安全工具也应该提供下载,做到每一个新员工加入后可以通过这个站点获取到全部所需要的软件和安全规定和相关知识技巧。,内部网络大量的WINDOWS平台个人计算机是很大的安全隐患,管理员应该提供一篇WINDOWS主机的安全配置方面文章,群发给普通用户进行安全配置,必要时提供一次统一的相关操作培训。,认真分析安全风险报告,每当升级新的安全漏洞资料后,设置仅仅扫描新填风险对所管理网络进行全扫描,分析结果。,所在地理位置,使用情况,员工邮件地址统计,建立标准电子档案,不推荐使用DHCP方式分配IP地址。如果设备支持可以在桌面交换机上进行IP、MAC地址与物理端口限定的方法,防止IP地址盗用。,服务器名称,运行业务系统、网络维护人员、业务管理使用人员相关联名单。,可以从本企业的安全承包商中邀请一些熟悉安全技术的人进行讲座。,在加固完成后进行系统快照保存相关数据以备日后分析。,内容是指网络与信息安全应急事件处理过程中将使用工具集合。该工具包应由安全技术人员及时建立,并定时更新。使用应急响应工具包中的工具所产生的结果将是网络与信息安全应急事件处理过程中的可信基础。,安全管理员保证定期登陆入侵检测系统查看相关的告警信息并进行必要的事件排查与处理。,将企业网络内部的安全产品和网络设备的安全性相关告警信息统一发送给日志收集服务器进行报警显示。安全管理员每天上班或下班前定时查看该服务器的的安全报警信息。、整体流量和连通性等健康状态,实时监控网