应急响应通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。 应急响应通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。应急响应的对象是什么? 计算机网络安全事件应急响应的对象是指针对计算机或网络所存储、传输、处理的信息的安全事件,事件的主体可能来自自然界、系统自身故障、组织内部或外部的人、计算机病毒或蠕虫等。按照计算机信息系统安全的三个目标,可以把安全事件定义为破坏信息或信息处理系统CIA的行为。
应急响应的服务内容有:1.准备阶段:在事件发生前,完成安全事件的预判、响应和取证方案制定、人员物资调配等工作,为后续应急响应及溯源取证的顺利进行提供保障。2.检测阶段:通过特征比对与行为分析相结合,完成现场/远程排查分析、制定响应策略等工作,确定事件类型,评估事件影响,制定详细的应急响应策略。3.抑制阶段:完成抑制方案的制定与实施等工作,遵循业务影响最小化原则,缩小受影响范围,降低事件造成的损失和破坏。4.根除阶段:完成根除方案制定、实施以及效果判定等工作,找出还原攻击路径,明确彻底清除或补救措施。5.恢复阶段:根据抑制和根除阶段情况,最大程度恢复系统功能,通过备份、升级补丁、修改策略等方式对系统脆弱性进行加固,防止再次被攻击。6.总结阶段:通过对以上各阶段处理过程进行总结,输出应急响应报告,优化网络安全防护体系/调整应急响应预案。
应急响应的意义主要有下面两个方面: 第一、未雨绸缪,即在事件发生前事先做好准备,比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施; 第二、亡羊补牢,即在事件发生后采取的措施,其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人,也可能来自系统,如发现事件发生后,系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。
上一篇:恶意代码检测技术及检测方法分享
下一篇:工控安全服务的相关介绍