计算机安全事件处理
windows应急响应流程
windows应急响应流程一、前言在计算机安全中,应急响应是非常重要的一个环节。
在出现安全事件时,及时响应和处理是保障系统安全的关键。
Windows系统是目前最为普遍的操作系统之一,因此,本文将介绍Windows应急响应流程。
二、准备工作1.建立安全意识:在使用计算机时,要注意保护自己的账号密码、不打开不明来历的邮件附件等。
2.备份数据:在出现安全事件时,可能会导致数据丢失或损坏。
因此,在进行任何操作之前,首先要备份重要数据。
3.准备工具:Windows系统自带了一些常用工具,如Task Manager (任务管理器)、Event Viewer(事件查看器)等。
同时还可以使用第三方工具进行检测和修复。
三、检测和分析1.收集信息:在出现安全事件后,需要尽可能地收集相关信息。
可以通过查看日志文件、检查系统进程以及使用网络监控工具等方式获取信息。
2.分析信息:根据收集到的信息,分析是否存在异常行为或可疑活动。
例如,检查是否存在未知进程运行或网络连接异常等情况。
3.确定问题范围:根据分析结果确定问题影响范围,并做好相应的应对措施。
四、应对措施1.隔离受影响的系统:在确定问题范围后,需要将受影响的系统隔离,以防止问题扩散。
2.清除病毒:如果发现存在病毒或恶意软件,需要使用杀毒软件或安全工具进行清除。
3.修复漏洞:如果发现存在漏洞,需要及时修复。
可以使用官方发布的补丁或第三方修复工具等方式进行修复。
4.加强安全措施:在处理完安全事件后,需要加强安全措施,以防止类似事件再次发生。
例如,修改密码、更新补丁、加强网络安全等。
五、总结Windows应急响应流程是一个非常重要的环节,在出现安全事件时能够及时响应和处理是保障系统安全的关键。
本文介绍了Windows应急响应流程中的准备工作、检测和分析以及应对措施等内容,希望能够对读者有所帮助。
如何处理计算机网络中的数据泄露事件
如何处理计算机网络中的数据泄露事件计算机网络中的数据泄露事件,是指在计算机网络传输过程中造成数据泄漏的一种安全事件。
数据泄露可能会泄漏机密公司信息、个人隐私等重要信息,严重威胁到网络安全。
因此,如何处理计算机网络中的数据泄露事件,是每个企业和组织都需要认真对待的事情。
一、建立完善的数据安全管理制度建立完善的数据安全管理制度是有效防范数据泄漏的关键。
企业和组织需要建立数据分类管理机制,明确不同类别的数据应采取不同的安全措施。
同时,还需要建立数据安全教育和培训机制,让员工了解数据安全的重要性,并掌握防范数据泄露的方法。
二、加强网络安全技术建设加强网络安全技术建设是防范数据泄漏的另一个重要方面。
企业和组织需要实施加密通信、访问控制和身份认证等安全技术手段,增强网络系统的安全性和可靠性。
此外,还可以通过数据备份、灾备等手段保证数据的安全性。
三、加强日常监管和管理加强日常监管和管理,及时发现和处理数据泄露事件也是非常重要的。
企业和组织需要建立相应的监管和管理机制,及时监测网络系统的运行情况,发现并分析网络安全问题。
一旦发现数据泄露事件,应立即采取行动,防止泄露进一步扩大,同时展开调查和处理相关责任人。
四、加强法律法规建设加强法律法规建设是保障网络安全的一种重要措施。
相关部门应及时制定相关法律法规,加强对网络安全的监管和管理。
一旦发现数据泄露事件,相关责任人就会受到法律制裁,这也能够起到一定的警示作用。
五、加强应急响应能力加强应急响应能力是及时应对数据泄露事件的关键。
企业和组织需要建立健全的网络安全应急响应机制,确保能够在最短时间内做出正确的处置和应对措施。
同时,进行有效的应急演练,提高员工应对网络安全事件的能力和应变能力。
在现代社会中,数据已成为一种珍贵的资源,对于企业和组织来说,保护数据安全和隐私显得尤为重要。
因此,如何处理计算机网络中的数据泄露事件成为了一个需要高度重视的安全问题。
希望企业和组织能够根据上述几点来建立完善的网络安全管理机制,提高数据安全保护能力,保障网络安全。
计算机网络安全事件应急处理
计算机网络安全事件应急处理计算机网络安全事件的频发让我们意识到,对于网络安全的重要性无法被低估。
无论是个人使用计算机还是企业组织管理网络系统,都面临着潜在的网络安全威胁。
在网络安全事件发生时,快速有效的应急处理措施至关重要。
本文将介绍计算机网络安全事件的分类和常见的应急处理流程,以帮助我们更好地应对网络安全威胁。
一、计算机网络安全事件分类计算机网络安全事件可以分为以下几类:1. 非恶意事件:这类事件是由非故意因素引起的,如自然灾害、设备故障等。
尽管这类事件不会造成故意攻击,但其影响也是不可忽视的。
2. 有意攻击:这类事件是由黑客或恶意软件引起的,包括病毒传播、网络入侵、拒绝服务攻击等。
这些攻击旨在窃取用户信息、破坏系统或网络,并可能给个人或组织带来重大损失。
3. 社会工程学攻击:这类事件是通过人类行为来实施的攻击,如诈骗、钓鱼等。
攻击者常常伪装成合法的个人或机构,诱使用户提供个人信息或敏感数据。
二、计算机网络安全事件应急处理流程针对不同类型的计算机网络安全事件,应急处理流程会有所不同。
下面是一个通用的计算机网络安全事件应急处理流程:1. 事件感知与评估首先,要能够及时感知到计算机网络安全事件的发生。
常见的感知方式包括安全预警系统的监测、用户的举报以及系统性能异常等。
一旦感知到事件,立即进行初步的事件评估,确定事件的严重程度和威胁级别。
2. 紧急响应在事件评估后,需要立即启动紧急响应措施。
根据事件类型,可能需要阻止入侵行为、断开与外部网络的连接、电源隔离等措施,以最大程度降低事件对系统或网络的损害。
3. 事件分析一旦威胁得到初步控制,下一步是对事件进行详细的分析。
通过收集事件相关的网络日志、系统日志和安全设备日志等,进行事件溯源分析,找出攻击者的入侵路径和攻击手段。
此外,还需要评估事件对系统或网络造成的实际损失。
4. 安全漏洞修复与防御加固根据事件分析结果,及时修复被攻破的安全漏洞,加固受攻击的系统或网络。
计算机网络管理制度与网络安全事件处理的流程
计算机网络管理制度与网络安全事件处理的流程一、引言计算机网络管理制度是确保计算机网络安全和高效运行的重要组成部分。
网络安全事件处理的流程是为了应对网络安全威胁和事件而设立的一系列措施和步骤。
本文将介绍计算机网络管理制度与网络安全事件处理的流程,重点讨论网络安全事件的发现、分类、识别和应对措施。
二、计算机网络管理制度1.网络设备管理网络设备管理涉及到网络硬件和软件的采购、安装、配置和维护等方面。
采用专业人员负责网络设备管理,确保设备的安全性和高效性。
2.网络访问控制网络访问控制是为了防止非授权用户访问网络资源,并保护重要信息不被未授权用户获取和篡改。
采用身份认证、访问控制列表和虚拟专用网络等方式来实施网络访问控制。
3.数据备份与恢复数据备份与恢复是为了防止数据丢失和数据损坏,以及在发生故障或灾难时能够快速恢复网络和数据。
采用定期备份数据、备份设备存放在安全地点并测试恢复流程等方法来保障数据备份与恢复的有效性。
4.网络监控与日志管理网络监控与日志管理是为了实时监控网络设备和网络流量,以及记录网络活动和事件。
通过使用网络监控工具和日志管理系统,可以快速发现网络异常和安全事件,并采取相应措施。
三、网络安全事件处理的流程1.事件发现与分类网络安全事件的发现可以通过网络设备的日志、入侵检测系统和安全信息与事件管理系统等途径。
一旦发现安全事件,需要对其进行分类,包括网络入侵、恶意代码、拒绝服务攻击等。
2.事件识别与评估对于发现的网络安全事件,需要进一步识别其威胁程度和影响范围。
通过分析事件的特征和行为,评估事件对网络和系统的风险,并决定是否采取应对措施。
3.事件响应与控制事件响应是指对网络安全事件做出及时反应,并采取相应的应对措施。
这包括隔离和阻断来源恶意流量、修复系统漏洞和弱点、升级安全策略和规则以及通知相关人员和部门等。
4.事件调查与分析事件调查与分析是为了追踪事件发生的原因和来源,以及收集证据和信息以支持后续法律或纪律处理。
2024年网络和信息安全事件应急处置和报告制度(三篇)
2024年网络和信息安全事件应急处置和报告制度为了保证本公司网络畅通,安全运行,保证网络信息安全,特制定网络和信息安全事件应急处置和报告制度。
一、在公司领导下,贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规;落实贯彻公安部门和省教育厅关网络和信息安全管理的有关文件精神,坚持积极防御、综合防范的方针,本着以防为主、注重应急工作原则,预防和控制风险,在发生信息安全事故或事件时最大程度地减少损失,尽快使网络和系统恢复正常,做好网络和信息安全保障工作。
二、信息网络安全事件定义1、网络突然发生中断,如停电、线路故障、网络通信设备损坏等。
2、公司网站受到黑客攻击,主页被恶意篡改、交互式栏目里发表有煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;煽动抗拒、破坏宪法和国家法律、行政法规的实施;捏造或者歪曲事实,故意散布谣言,扰乱秩序;破坏社会稳定的信息及损害国家、学校声誉和稳定的谣言等。
3、公司内网络服务器及其他服务器被非法入侵,服务器上的数据被非法拷贝、修改、删除,发生泄密事件。
三、设置网上应急小组,组长由公司有关领导担任,成员由技术部门人员组成。
采取统一管理体制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法。
设置网络运行维护小组,成员由信息中心网络技术部人员组成,确保网络畅通与信息安全。
四、加强网络信息审查工作,若发现主页被恶意更改,应立即停止主页服务并恢复正确内容,同时检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放主页服务。
信息发布服务,必须落实责任人,实行先审后发,并具备相应的安全防范措施(如:日志留存、安全认证、实时监控、防黑客、防病毒等)。
建立有效的网络防病毒工作机制,及时做好防病毒软件的网上升级,保证病毒库的及时更新。
五、信息中心对公司网实施____小时值班责任制,开通值班电话,保证与上级主管部门、电信部门和当地公安机关的热线联系。
(安全生产)计算机安全事件处理指南
安全事件响应过程从启动准备工作到事件后分析可以分为几个阶段。
启动阶段包括建立和培训安全事件响应小组并获得必要的工具和资源。
在准备工作中,组织也要以风险评估的结果为基础,通过选择和实施一套控制措施来限制安全事件的发生次数。
但是即使在实施了安全控制措施后,残存风险依然不可避免,而且没有哪种控制措施是绝对安全的,所以对破坏网络安全的行为要进行检测,一旦安全事件发生要对组织发出报警。
针对安全事件的严重程度,组织可以采取行动,通过对安全事件进行限制并最终从中恢复来减缓安全事件所造成的影响。
在安全事件得到适当处理后,组织要提交一份报告,详细描述安全事件的起因、造成的损失以及以后对这种安全事件所应采取的防范措施和步骤。
图 1 描述了安全事件响应的生命周期。
安全事件响应方法学通常都要强调准备工作,不仅要建立一个安全事件响应能力,使组织能够从容响应安全事件,而且要通过确保系统、网络及应用足够安全来预防安全事件。
虽然预防安全事件普通不属于安全事件响应小组的职责,但是因为它太重要了,以至于现在它已经被认为是安全事件响应小组的基础组件工作。
在提出系统安全保护建议时,安全事件响应小组的专长是非常有价值的。
本节将针对安全事件处理及预防的准备工作提供指导。
表 1 列出了在安全事件处理过程中一些有价值的工具和资源。
可以看到对安全事件分析实用的具体软件信息以及一些包含对安全事件响应有匡助的信息的网站清单。
用于小组成员及组织内部和外部的其它人员(包括主要联系人和后备人员) ,比如执法机构和其它安全事件响应小组;这些信息可能包括电话号码、电子邮件地址、公钥(按照下面将要提到的加密软件)、以及验证联系人身份的指令用于组织内其它小组,包括问题升级信息比如电话号码、邮件地址和是网上表格,用户可以用它们来报告可以事件;至少要有一种方法允许用户可以用匿名方式报告事件小组成员要随身携带的通信工具,保证成员在非工作时间也能联系得到。
被用于小组成员之间在组织内部、以及和外部机构之间的通信,必须采用经过FIPS 140-2 验证过的加密算法用于集中式通信和协调;如果不需要永久性的作战指挥室,安全事件响应小组应该制定一个流程用来在需要时获得一个暂时的作战指挥室。
计算机安全事件管理制度
第一章总则第一条为加强我国计算机安全管理工作,规范计算机安全事件的处理流程,保障信息系统和数据的安全,根据《中华人民共和国网络安全法》等相关法律法规,特制定本制度。
第二条本制度适用于我国各级政府、企事业单位及社会团体,以及其他涉及计算机信息系统的组织。
第三条本制度所称计算机安全事件,是指因人为或自然因素导致计算机信息系统遭受破坏、泄露、篡改、非法侵入等,给国家安全、社会公共利益、组织和个人合法权益造成危害的事件。
第二章组织与职责第四条成立计算机安全事件应急处理领导小组,负责组织、协调、指导计算机安全事件的应急处置工作。
第五条计算机安全事件应急处理领导小组下设以下工作小组:(一)技术支持小组:负责对计算机安全事件进行分析、研判,提供技术支持。
(二)应急处置小组:负责制定、实施计算机安全事件应急处置方案。
(三)信息报送小组:负责收集、整理、报送计算机安全事件相关信息。
第三章处理流程第六条计算机安全事件发现后,应及时报告给计算机安全事件应急处理领导小组。
第七条应急处理领导小组接到报告后,立即启动应急处置方案,组织开展以下工作:(一)初步研判:分析事件原因、影响范围、危害程度等。
(二)应急处置:采取技术措施,遏制事件蔓延,修复系统漏洞。
(三)调查取证:收集相关证据,查明事件原因。
(四)信息通报:向相关部门、组织通报事件情况。
(五)事件总结:总结事件处理经验,完善安全防护措施。
第八条计算机安全事件处理完毕后,应急处理领导小组应组织相关部门进行总结,分析事件原因,完善安全防护措施,提高信息安全防护能力。
第四章奖励与处罚第九条对在计算机安全事件应急处置工作中表现突出的个人和单位,给予表彰和奖励。
第十条对在计算机安全事件中失职、渎职的个人,依法依规追究责任。
第五章附则第十一条本制度由计算机安全事件应急处理领导小组负责解释。
第十二条本制度自发布之日起施行。
本制度旨在加强我国计算机安全管理工作,提高信息安全防护能力,保障信息系统和数据的安全。
计算机安全事故应急预案
一、引言随着信息技术的飞速发展,计算机已经成为企事业单位、政府部门以及个人生活中不可或缺的一部分。
然而,计算机安全事件频发,给单位和个人带来了巨大的损失。
为了提高计算机安全防范意识,降低计算机安全风险,确保信息系统的稳定运行,特制定本计算机安全事故应急预案。
二、预案目标1. 最大限度地减少计算机安全事故造成的损失,保障信息系统安全稳定运行。
2. 提高单位计算机安全防护能力,增强应对计算机安全事件的应急处置能力。
3. 做好事故调查、原因分析和责任追究,总结经验教训,不断完善计算机安全管理体系。
三、预案范围本预案适用于本单位的计算机系统、网络、数据、硬件等安全事件,包括但不限于以下类型:1. 网络攻击、病毒感染、恶意软件植入等网络安全事件;2. 计算机硬件故障、软件故障、系统漏洞等系统故障事件;3. 数据泄露、篡改、丢失等数据安全事件;4. 信息系统安全事件,如服务器崩溃、数据库损坏等。
四、组织机构与职责1. 成立计算机安全事故应急指挥部,负责组织、协调、指挥计算机安全事故应急工作。
2. 应急指挥部下设以下工作小组:(1)应急响应小组:负责接收、处理计算机安全事故报告,组织开展应急响应工作;(2)调查分析小组:负责对计算机安全事故进行调查分析,查明事故原因;(3)应急处置小组:负责实施计算机安全事故应急措施,确保信息系统安全稳定运行;(4)信息发布小组:负责对外发布计算机安全事故相关信息,做好舆论引导工作。
五、应急响应流程1. 接收报告:应急响应小组接到计算机安全事故报告后,立即启动应急预案,并向应急指挥部报告。
2. 确认事件:应急指挥部对报告的事件进行确认,评估事件严重程度,决定是否启动应急响应。
3. 组织应急响应:应急指挥部根据事件严重程度,组织相关小组开展应急响应工作。
4. 实施应急措施:应急处置小组按照应急预案要求,采取以下措施:(1)隔离受影响系统:防止事故蔓延;(2)恢复备份:尽快恢复受影响系统;(3)修复漏洞:修复系统漏洞,防止再次发生类似事故;(4)调查分析:调查分析事故原因,为事故处理提供依据。
信息安全事件处理流程
信息安全事件处理流程根据公司实际生产运行情况,信息安全事件被分为两类:重大信息安全事件和一般信息安全事件。
重大信息安全事件包括多种情况,如重要信息系统遭受严重的系统损失、计算机病毒疫情导致信息系统不能提供正常服务等。
一般信息安全事件则包括较小的系统损失和轻微的计算机病毒感染等。
在处理信息安全事件时,首先需要进行分类报警。
在岗人员必须立即采取措施控制事态,并向信息服务事业部报告。
信息服务事业部应加强与生产技术部的联系,确认是否发生信息安全事件,并进行安全事件报警。
紧接着,需要进行应急处理。
相关信息必须被收集,并对事件发展态势进行分析。
此外,还需要研究提出应急处置方案,并进行统一指挥。
最后,进行信息处理。
这一步骤涉及到对事件的详细分析和评估,以及对事件的后续处理和跟踪。
在处理信息安全事件时,需要采取适当的措施,以确保公司的信息系统安全和稳定运行。
1)在出现安全事件时,需要对事件进行动态监测和评估,并及时向相关领导报告。
2)信息服务事业部需要明确信息采集、编辑、分析、审核、签发的责任人,并做好信息分析、报告和记录安全事件工作。
3)及时发布事件预警及应急处置的相关信息,引导员工舆论和行为。
4)采取对应的安全处理措施,避免或降低事件损失。
若事态难以控制或有扩大发展趋势时,采取有利于控制事态的非常措施,并向公司高层请求支援。
5)善后处理,组织抢修受损的基础设施,连接网络,尽快恢复正常工作。
信息服务事业部应立即组织有关人员组成事件调查组,查清事件发生的原因及财产损失情况,总结经验教训,写出安全处理报告,报公司领导,并根据有关规定,对有关责任人员做出处理。
6)对于重大安全事件,需要上报信息服务事业部,讨论和确认应急处理措施,备份现场,记录安全处理措施,实时跟踪,发布信息,采取相应安全处理措施。
对于一般安全事件,需要通知相应的安全责任人,进行调查,采取相应安全处理措施,并记录安全处理措施。
最后,采用改进的技术和管理措施,保存证据,报告执法部门。
计算机安全事件管理制度
第一章总则第一条为加强公司计算机安全管理,保障公司信息系统安全稳定运行,降低安全事件对公司业务和声誉的影响,特制定本制度。
第二条本制度适用于公司所有信息系统、网络设备、终端设备以及相关工作人员。
第三条公司安全事件管理遵循以下原则:(一)预防为主,防治结合;(二)及时响应,快速处置;(三)责任明确,追究到底;(四)持续改进,不断完善。
第二章安全事件分类与定义第四条安全事件分为以下类别:(一)信息泄露事件:涉及公司内部敏感信息、客户信息、商业秘密等泄露;(二)系统故障事件:由于硬件、软件、网络等原因导致信息系统无法正常运行;(三)恶意攻击事件:包括病毒、木马、钓鱼、拒绝服务攻击等;(四)内部违规事件:员工违反公司信息安全规定,造成信息安全风险;(五)其他安全事件:影响公司信息系统安全稳定运行的其他事件。
第五条安全事件定义:指由于自然或人为因素,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件。
第三章安全事件报告与处理第六条安全事件报告:(一)发现安全事件时,相关责任人应立即向公司信息安全管理部门报告;(二)信息安全管理部门接到报告后,应立即启动应急预案,进行调查、分析、处置;(三)安全事件涉及多个部门的,信息安全管理部门应协调相关部门共同处置。
第七条安全事件处理:(一)确定事件性质、影响范围和严重程度;(二)采取必要措施,控制事件蔓延,降低损失;(三)对事件原因进行深入分析,制定整改措施;(四)对事件责任进行追究,严肃处理。
第四章安全事件记录与总结第八条安全事件记录:(一)记录安全事件的时间、地点、类型、影响范围、处置过程等信息;(二)建立安全事件档案,定期进行统计分析。
第九条安全事件总结:(一)定期对安全事件进行分析总结,查找安全隐患,完善安全管理制度;(二)针对典型安全事件,开展培训,提高员工安全意识。
第五章附则第十条本制度由公司信息安全管理部门负责解释。
第十一条本制度自发布之日起施行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机安全事件处理翻译:陈海燕,CISSP(phrackchen@)(《计算机安全介绍:NIST手册》第十二章)英文版PDF注:以下内容因排版原因有所省略。
计算机系统会受到众多不幸事件的影响,从数据文件损坏到病毒,到自然灾害。
可以通过标准的操作规程从这样一些不幸事件中恢复。
例如,频繁发生的不幸事件(如错误删除文件)通常可以被很容易地修复(如通过备份文件进行恢复)。
更严重的不幸事件如因自然灾害导致的停电一般由机构的应急计划处理。
其它破坏事件是由恶意的技术活动(如创建病毒或系统黑客)导致的。
计算机安全事件可能由计算机病毒、其它恶意代码、内部或外部的系统入侵者导致。
本章中使用它泛指由恶意的技术活动导致的那些事件。
它可以特指那些在没有技术专家响应时会造成严重损害的事件。
计算机安全事件这种定义的不确定性有些太强,在不同的机构或计算环境中所表示的可能会有所不同。
虽然黑客和恶意代码对系统和网络的威胁为人所知,但是这种有害事件的发生是无法预测的。
大型网络(如互联网)上的安全事件,如入侵和服务中断对各种机构的计算能力都是有害的。
最初遇到这种事件时,大多数机构都处于毫无准备的状态。
但是当类似的事件再次发生时,就显示出制定快速发现和响应这种事件的常备能力通常是具有成本效益的。
因为在未被发现时事件经常会“传播开来”增加了损失和对机构的伤害程度,这也是需要事件处理能力的一个原因。
事件处理与应急计划以及支持和运作紧密相连。
事件处理能力可以被视为应急计划的组件,因为它提供了对正常处理过程中断提供快速有效响应的能力。
广义地讲,应急计划涉及到所有可能会中断系统运作的事件。
事件处理可以被考虑为应急计划中响应恶意技术威胁的部分。
本章描述机构可以如何通过建立计算机安全事件处理能力处理计算机安全事件(在其更大的计算机安全项目范畴内)。
许多机构将处理事件作为其用户支持能力(在第14章讨论)或通用系统支持的一部分。
12.1 事件处理能力的好处事件处理能力的首要好处是控制和修复事件带来的损害,并防止未来的损害。
另外,建立事件处理能力还有不太明显的副作用。
12.1.1 控制和修复事件带来的损害如果没有得到发现,恶意软件可能极大伤害机构的计算能力,其程度取决于技术及其关联性。
事件处理能力为用户提供报告事件和适当响应以及协助提供恢复帮助的方法。
预先储备技术能力(如培训人员和病毒识别软件)以备不时之需。
另外,机构将与其它支持资源(如司法、技术和管理方面的)签订好重要合同来协助控制和恢复工作。
缺乏事件处理能力,出于好意的响应也可能使事情变得更糟。
在有些情况下,人们无意中使反病毒软件感染病毒又将其散播到其它系统。
当病毒在局域网(LAN)中传播时,在几个小时内大多数或全部的计算机都可能感染。
另外,不协调进行工作就无法将病毒从局域网中彻底根除。
许多机构使用大型的内部局域网并将其连接到公用网络,如互联网。
这样做,机构增加了暴露给入侵活动的机会,尤其是在机构具有较高知名度(如其涉及到一个有争议的程序)时。
事件处理能力可以通过快速响应可疑事件以及在需要时协调负责官员和人员的事件处理来为机构带来很大利益。
入侵活动,无论是黑客还是恶意代码经常都可以感染处于很多不同网络站点的众多系统;因此,处理事件可能会错综复杂,可能需要来自机构外部的信息。
通过事先计划,这种联系就可以预先建立并改善响应速度,从而控制和减少损害。
其它机构可能已经处理过类似的情况并可能提供快速恢复和减少损害方面的非常有用的指导。
12.1.2 防止未来损害事件处理能力也协助机构防止(或至少减少)未来事件带来的损害。
可以通过对事件的深入研究获得机构威胁和缺陷方面更好的理解,以便部署更有效的防范措施。
另外,可以通过外部联络(通过事件处理能力建立的)得到威胁和缺陷的早期警告。
已经部署到位的机制将为用户提供风险警告。
事件处理机制可以使机构通过所经历的事件进行学习。
可以收集以往事件的数据(和所采取的矫正方法)。
可以对事件的模式进行分析,例如哪些病毒是最常见的,哪些矫正行动是最成功的,什么系统和信息会成为黑客的目标。
这个过程也可以辨别缺陷,例如使用新的软件包或补丁是否会损害系统。
关于所发生威胁的类型和所出现的缺陷方面的知识都可以协助确定安全解决方案。
这些信息在创建培训和意识培养项目以帮助减小损失可能性方面时也会被证明是有用的。
事件处理能力通过为用户提供信息协助培训和意识培养项目,这些信息包括(1)可以帮助避免事件的措施(如病毒扫描)和(2)事件发生时应该采取的行动。
当然,机构防止未来损失的尝试并非在真空中进行。
良好的事件处理能力会与机构外的伙伴建立联系。
这可以使机构获得尚未经历过的威胁和缺陷的早期预警。
可以采取早期防范措施(通常比修复损害更具有成本效益)减少未来的损失。
与机构外部分享信息也可以使他人从机构的经历中得到教益。
12.1.3 副作用最后,建立事件处理能力还会以意想不到的方式帮助机构。
这里讨论三点。
使用威胁和缺陷数据。
事件处理可以很大程度上加强风险评估过程。
事件处理能力能够让机构收集在风险评估和防范措施选择(如设计新系统时)中有用的威胁数据。
可以通过记录和分析事件来确定是否有问题重复发生(或出现其它事件发生模式时是否显示出有黑客的攻击),如果孤立地看待每一个事件这些情况就可能被忽视。
机构中事件的数量和类型的统计数据可以被用于风险评估过程以便指示出缺陷和威胁。
加强内部沟通和机构的准备。
机构经常发现事件处理能力加强了内部沟通和机构响应各类事件的准备,而不仅仅是计算机安全事件。
内部沟通将得到改善;管理行为得以更好的组织来接收信息;会预先建立起与公共事务、司法官员、执法部门和其它团体的联系。
所建立的事件报告体系也可以被用于其它目的。
加强培训和意识培养项目。
机构的培训过程还可以从事件处理经验中得到好处。
通过事件报告,受训者可以更好地理解所需的安全知识。
培训者可以使用真实的事件生动地描述计算机安全的重要性。
根据事件处理人员提供的当前威胁和控制信息,所制定的培训为用户提供了更加针对当前需求的内容,从而减少事件对机构构成风险。
12.2 成功的事件处理能力的特点成功的事件处理能力有几个特点:∙对其所服务群体的了解;∙得到教育的群体;∙集中的通信方法;∙所需的专业技术;∙与其它事件处理相关团体的联系(如果需要)。
12.2.1 定义服务对象群体群体包括计算机用户和程序管理者。
与其它客户-供应商关系一样,如果所提供的服务是有价值的,群体将倾向于利用这种能力。
群体不总是针对机构整体。
例如,机构可能使用几种类型的计算机和网络,但是可能因成本的原因决定只对个人计算机用户提供事件处理能力。
如果是这样,可能是因为机构觉得计算机病毒带来的风险比其它平台的恶意技术威胁更大。
或者由多个站点组成的大型机构可能认为一些站点当前的计算机安全工作不需要事件处理能力,而另一些站点需要(可能是由于处理的重要性)。
12.2.2 培训对象群体用户需要了解、接受并信任事件处理能力否则就不会使用。
通过培训和意识培养项目,用户会逐渐了解这些能力以及怎样发现和报告事件。
用户对服务价值的认可将使其运作更可靠。
12.2.3 集中的报告和通信成功的事件处理需要用户能够以方便和直接的方式向事件处理小组报告事件;这被称为集中报告。
成功的事件处理能力依赖于及时的报告。
如果事件报告困难或者耗时,可能就无法充分发挥事件处理能力。
通常,某种形式的热线配以传呼做为备份是不错的方式。
集中通信对于访问或分配事件处理工作的相关信息是非常有益的。
例如,如果通过网络将用户联系在一起,事件处理能力就可以使用网络来及时发送公告和其它信息。
用户可以利用网络获得存储在服务器上的信息并通过电子邮件与事件响应团队联络。
12.2.4 技术平台和通信的专业技术组成事件处理能力的技术成员需要特定的知识、技巧和能力。
技术成员的适当资质可以包括:∙具有部分或全部服务群体核心技术的专家级工作能力;∙在团队中工作的能力;∙与不同类型用户,从系统管理员到不熟练的用户到执法官员进行有效沟通的能力;∙需要时24小时响应的能力;∙以及随时出差的能力(当然,这取决于被服务群体的物理位置)。
12.2.5 与其它机构联络由于增加了计算机的连接,网络的入侵活动可以影响到许多机构,有时包括国外的机构。
所以,机构的事件处理小组可能需要与其服务群体之外的其它团队或安全组织一道工作来有效地处理事件。
另外,小组可能需要在不同时间与其它团队共享知识。
因此,与其它相关同行以及支持机构建立联系和联络对于事件处理能力的成功是很关键的。
对事件处理尤其重要的是与调查机关,如联邦(例如FBI)、州、地方执法部门建立联系。
影响到计算机犯罪的法律在不同的地方和州是不同的,一些行为是州(而不是联邦)规定的罪行。
团队熟悉当前法律并且与执法部门和调查机关建立联络是很重要的。
事件也可能引起媒体的注意并且对机构的形象产生非常负面的影响。
事件处理能力可能需要与机构的公共关系部门紧密合作,这些部门得到过与新闻媒体打交道的培训。
在将信息提供给新闻界的过程中,很重要的是(1)不要为攻击者提供信息使机构处于更威胁境地以及(2)正确保护潜在的法律证据。
12.3 事件处理的技术支持快速和方便地分发信息的技术方法极大地增强了事件处理能力。
12.3.1 事件集中报告的通信报告事件的技术能力是极端重要的,因为不知道事件就谈不上响应。
幸运的是,很多机构已经拥有这些技术方法。
为了快速响应服务群体的问题,一条电话“热线”就是既有用又方便的。
一些机构可能已经有一些用于紧急情况或用于获得其它方面帮助的热线;也许可以将其用于事件处理,这样做是具有成本效益的。
可能有必要提供24小时响应的热线。
这可以通过对应答中心人员进行安排以提供非工作时间的应答服务,或使用应答设备和个人寻呼的组合来完成。
如果可以提供联络事件处理小组的额外机制,就可能增加小组的可用性从而有利于事件处理工作。
将邮件转发到小组成员的集中电子邮件地址使服务群体可以更方便地与小组交互信息。
为用户提供传真号码可能也有帮助。
12.3.2 快速通信设施某些形式的快速通信对于与服务群体以及管理官员和外部机构进行通讯是很重要的。
小组可能需要快速发送安全建议或收集信息,这样通常就非常需要诸如电子邮件之类的方便的通信方式。
使用电子邮件,小组可以容易地将信息发到服务群体的各个分组,如系统管理员或网络管理员,并在需要的时候向整个服务群体广播一般警告。
如果已经有这样的联络方式,电子邮件具有较小负荷并且易于使用。
(但是,电子邮件系统本身也可能遭到攻击,就像在1988年互联网蠕虫事件中一样。
)虽然有电子邮件的替代方式,但是它们很可能会增加响应时间。
电子公告板系统(BBS)对于分发信息是很不错的,特别是在它为鼓励用户使用而具有比较方便的用户界面时。