应急响应
应急响应
1.应急响应事件分类
在应急响应中对事件级别进行的分类,以不同颜色不同数字进行区分
| 事件级别 | 分类情况 |
|---|---|
| 特别重大事件 | 红色预警、一级响应 |
| 重大事件 | 橙色预警、二级响应 |
| 较大事件 | 黄色预警、三级响应 |
| 一般事件 | 蓝色预警、四级响应 |
特别重大事件(Red Alert,一级响应):
表示最高级别的网络安全事件,具有极高的紧急性和严重性,可能对国家安全、生命安全或关键基础设施产生重大威胁。
对应的应急响应级别是一级响应,要求全力以赴进行应急响应和处置。
重大事件(Orange Alert,二级响应):
表示严重的网络安全事件,对组织造成了重大的影响和损失,可能导致关键业务中断或财务损失。
对应的应急响应级别是二级响应,要求紧急响应和处置。
较大事件(Yellow Alert,三级响应):
表示较大规模的网络安全事件,对组织造成一定的影响和威胁,需要一定的关注和调查。
对应的应急响应级别是三级响应,要求加强应急响应和处置。
一般事件(Blue Alert,四级响应):
表示一般性的网络安全事件,对系统和数据的影响较小,容易被迅速解决。
对应的应急响应级别是四级响应,要求及时响应和处置。
2.应急响应事件类型
应用安全
涉及应用程序的安全问题和漏洞,例如应用程序的身份验证漏洞、授权问题、代码注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、Webshell、网页篡改、网页挂马
系统安全
与操作系统和服务器相关的安全问题,例如操作系统的漏洞利用、未经授权的访问、系统配置错误、提权攻击、勒索病毒、挖矿木马、远控后门
网络安全
涉及网络层和传输层的安全问题,例如网络设备的漏洞、网络流量分析、入侵检测、入侵防御、防火墙配置问题、DDOs攻击、ARP攻击、流量劫持、恶意软件感染、未授权访问
数据安全
与敏感数据和信息相关的安全问题,包括数据泄露、数据丢失、数据篡改、数据备份和恢复等
3.建立应急响应预案
4.应急响应模型(PDCERF)
- 准备阶段(Preparation)
- 检测阶段(Detection)
- 抑制阶段(Containment)
- 根除阶段(Eradication)
- 恢复阶段(Recovery)
- 总结阶段(Follow-up)
5.常见企业级防网络安全攻击产品
在美国的安全产品中只要分为九类,例如鉴别、访问控制、入侵检测、防火墙、公钥基础设施、恶意程序代码防护、漏洞扫描、取证等。二在中国,公安部分为了7个类别,操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密以及鉴别等。
产品用途也是可以作为分类的类别,比如安全网关类别、评估工具类别、威胁管理分类、应用监管分类以及安全加密类
安全网关:
防火墙、UTM、网匣、扛DDos墙、VPN,上网行为管理
评估工具:
漏扫系统、网络分析系统
威胁管理:
入侵检测系统(IDS)、入侵防御系统(IPS)、WAF
应用管理:
堡垒机、审计系统、终端安全管理系统、安全运维平台(SOC)
安全机密
加密机、三合一