NISP-信息安全事件与应急响应
文章目录
- NISP-信息安全事件与应急响应
- 1.信息安全事件
- 2.信息安全事件分类
- 3.信息安全事件分级三要素
- 信息系统重要程度
- 系统损失
- 社会影响
- 4.信息安全事件分级
- 5.信息安全应急响应
- 6.应急响应的作用
- 7.应急响应组织
- 8.应急响应管理过程
- 准备
- 检测
- 遏制
- 根除
- 恢复
- 跟踪总结
NISP-信息安全事件与应急响应
1.信息安全事件
- 是指由于自然或人为以及软硬件故障或缺陷的原因,对信息系统造成危害或在信息系统内发生对社会造成负面影响的事件
- 至今尚没有任何一种信息安全策略或防护措施,能够对信息及信息系统提供绝对的保护,以完全避免信息安全事件的发生
- 对信息安全事件进行有效的管理和响应,最小化事件所造成的损失和负面影响是组织信息安全战略的一部分
- 应急响应是信息安全事件的主要内容
2.信息安全事件分类
信息安全事件可以是故意,过失或人为原因引起的可以分为以下这七个基本分类:
- 有害程序事件
- 网络攻击事件
- 信息破坏事件
- 信贷内容安全事件
- 设备设施故障事件
- 灾害性事件
- 其他信息安全事件
3.信息安全事件分级三要素
- 通常对信息安全事件的分级主要考虑以下三个要素:
- 信息系统的重要程度
- 系统损失
- 社会影响
信息系统重要程度
- 是指主要考虑信息系统所承载的业务对国家安全,经济建设,社会生活的重要性以及业务对信息系统的依赖程度划分为特别重要,重要,一般信息系统
系统损失
- 指由于信息安全事件对信息系统的软硬件功能的破坏,导致系统业务的中断,从而造成对事发组织和国家造成的损失
- 其大小组要考虑恢复系统正常运行和消除安全事件负面影响所需要的代价
社会影响
- 是指信息安全事件对社会所造成影响的范围程度
- 其大小主要考虑国家安全,社会秩序,经济建设和公共利益等方面的影响
4.信息安全事件分级
根据信息安全事件分级的参考要素可以将信息安全事件划分为四个级别:
- 特别重大事件
- 重大事件
- 较大事件
- 一般事件
5.信息安全应急响应
- 是指一个组织为了应对各种安全意外事件的发生所采取的防范措施(既包括预防性措施,也包括事件发生后的应对措施)
- 由于安全事件具有突发性,复杂性,所以需要建立信息安全系统,安全事件的快速响应机制
- 应急响应工作的主要任务:做好预先防范,安全事件发生后,尽快做出正确反应,及时阻止事件的继续发展,并减少损失,使系统恢复正常运行,同时采取必要的手段追踪攻击者及必要的法律行动
6.应急响应的作用
应急响应的作用主要体现在两个方面:
- 未雨绸缪:是指事先准备,管理上,开展安全培训,制定安全策略和应急预案等,技术上,增加系统安全性,如备份,升级系统软硬件,有条件的可以安装防火墙入侵检测系统,杀毒工具等
- 亡羊补牢:是指事件发生后,可以采取抑制,根除和恢复等措施,减少损失,并恢复正常运行。如:隔离,限制,关闭网络服务,恢复系统机,更新追踪,总结等
7.应急响应组织
- 计算机网络安全事件应急组
- 计算机安全事件响应组(CSIRT)
- 信息安全事件响应组(ISIRT)
- 事件响应组(IRT)
- 通常应急组织由管理,业务,技术和行政后勤等人员组成
- 组织建立的内部应急响应组织应与外部的国内外应急响应组织相关管理部门,设备设施及服务提供商(如电力供应,通信服务),利益相关方和新闻媒体等保持联系和协作,以确保在发生信息安全事件时能及时通报准确的情况并获得支持
中国:
- 国家计算机应急技术处理协调中心
- 国家计算机病毒应急处理中心
- 国家计算机网络入侵防范中心
8.应急响应管理过程
应急响应办法和过程并不是唯一的,但通常可以分为以下6个阶段:
- 准备
- 检测
- 遏制
- 根除
- 恢复
- 跟踪系统
准备
- 确定应急响应安全策略,安全事件检测过程和响应过程
- 建立应急预案和支持平台
- 准备应急人员和资源
- 更新策略和规程
检测
- 是事件发生的第一个反应步骤
- 应急响应过程中,所有活动都依赖于检测
- 检测触发应急事件响应
目的:
- 首先确认事件是否发生;接着判定事件发生的领域危害和影响范围
常用安全事件的检测方法:
- 系统和网络行为监视与检查
- 可疑行为审查和事件报告等
遏制
目的:
- 限制安全事件的影响范围
- 降低潜在的损失
可采取的遏制措施包括:
- 关闭所有系统,断开网络连接
- 修改防火墙过滤规则
- 封锁或删除被攻击账号
- 关闭服务等
根除
目的:
- 查找问题根源,彻底解决安全事件
- 借助准备阶段提供的安全工具来完成本阶段的工作
常用根除方法:
- 清除木马和病毒
- 改变用户口令
- 重新安装操作系统,改进保护措施等
恢复
目的:
- 所有受到影响的系统或网络环境恢复正常工作状态。
- 必须使用可信的完整备份或增量备份来恢复系统
跟踪总结
目的:
- 回顾并整理发生安全事件的相关信息(包括安全事件的操作方法和步骤;事件文档与证据的管理记录内容)
- 形成一份事件过程文档和损失报告
NISP-信息安全事件与应急响应相关推荐
- GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范 学习笔记
通用内容 每个标准基本都有的格式,供写文档的我们参考 定义和术语: 国家标准当中涉及到的相关专业名称,都会有一个定义,防止出现理解上的歧义 结构层次: 一般有个当前文档的完整结构,可以是图,可以是表, ...
- 企业怎样做好计算机应急响应工作
随着电子商务和在线交易已经成为当今商业社会的一部分,越来越多的公司被发现网络中存在安全隐患而遭受计算机罪犯勒索.当企业的网络中出现安全漏洞时,公司的核心商业信息和业务的机密信息会被盗窃.另外与在线银行 ...
- 应急响应的整体思路和基本流程
2018 年信息安全事件频发,信息安全的技能.人才需求大增.现在,不管是普通的企业,还是专业的安全厂商,都不可避免的需要掌握和运用好信息安全的知识.技能,以便在需要的时候,能够御敌千里.所谓养兵千日, ...
- 信安软考 第十七章 网络安全应急响应技术原理与应用
一.网络安全应急响应概述 网络安全应急响应是指为应对网络安全事件,相关人员或组织机构对网络安全事件进行监测.预警. 分析.响应和恢复等工作 网络安全应急响应是网络空间安全保障的重要机制,<中华人 ...
- 信息安全-网络安全应急响应技术原理与应用(二)
一.网络安全应急响应技术与常见工具 1.1 网络安全应急响应技术概况 网络安全应急响应是一个复杂的过程,需要综合应用多种技术和安全机制 在网络安全应急响应过程中,常用到的技术如表所示 应急响应常用技术 ...
- 网络安全应急响应具体操作流程
通用内容 每个标准基本都有的格式,供写文档的我们参考定义和术语: 国家标准当中涉及到的相关专业名称,都会有一个定义,防止出现理解上的歧义 结构层次: 一般有个当前文档的完整结构,可以是图,可以是表,让 ...
- 网络安全应急响应流程图
一.网络安全应急响应建设的背景和现状 当前,许多地区和单位已经初步建立了网络安全预警机制,实现了对一般网络安全事件的预警和处置.但是,由于网络与信息安全技术起步相对较晚,发展时间较短,与其他行业领域相 ...
- 常见安全服务(基线加固、风险评估、应急响应、渗透测试、代码审计、重保)介绍
常见安全服务(基线加固.风险评估.应急响应.渗透测试.代码审计.重保)介绍 前言 一.安全服务的意义 二.常见安全服务 1.基线加固 2.风险评估 3.渗透测试 4.应急演练/应急响应 5.代码审计 ...
- 应急响应常用命令(Linux)---读书笔记
一.系统排查 1. 系统信息查询 lscpu --- 查看cpu信息 uname -a --- 查看OS信息 lsmod --- 查看模块信息 2. ...
最新文章
- 全民自动驾驶5年内真的会来吗?这是Lyft的自动驾驶2.0
- Jürgen Schmidhuber眼中的深度学习十年,以及下一个十年展望
- hdu1465 不容易系列之一(错排问题)
- ffplay flv mp4 转_FFmpeg将mp4转成flv
- C#操作Excel数据增删改查(转)
- Java中对List集合排序的两种方法
- apache服务器性能不行,Apache服务器性能调优
- 【蓝桥杯单片机11】单总线温度传感器DS18B20的基本操作
- java查看eth转账状态_eth交易记录input解析
- 优化计算机组策略,Windows 10神州网信版优化
- ant构建异常UNEXPECTED TOP-LEVEL EXCEPTION com.android.dx.cf.iface.ParseException解决
- 代理服务器和反向代理服务器
- Android-布局 协调CoorinatorLayout
- DB2遇到这样一个问题 。 ‘’Operation not allowed for reason code 7 on table DB2ADMIN.XXX. SQLSTATE=5701‘’
- angular 自定义组件的双向数据绑定
- android登录加密传输,android环境下两种md5加密方式(示例代码)
- python爬虫案例-爬取当当网数据
- HTML全部标签简介
- CPU+GPU异构计算编程简介
- 自动更换壁纸的小软件:likecan