應急響應一般流程

1入侵事件晌應策略的建立

1.1響應行為的文件化

明確應急什劃和響應策胳，應急什劃中應包括了生異常事件（如系統癱瘓或涉密資訊的失竊等）應急響應的基本步驟、基本處理方法和匯報流程。應制定能夠確保應急計畫和響應策略正確實施的規章制度。

1.2配置冗餘策略的文件化

如果關鍵機器在入侵中被入侵。有備份裝置就位就可以很快地恢復服務，同時，在被入侵的機器上保留所有證據以便子進行分析。審查事件的整個發生和處理過程，記錄所有涉及執行此過程的員工的角色、責任和職權。

2事件晌應的準備工作

選擇，安裝和熟悉那些響應過程中的協助下具及有助於收集和維護與入侵相關資料。

為所有的應用軟體和作業系統建立啟動盤或隨機器發行的介質庫。用初始的可靠的啟動盤（或cd-roms）使機器以己知的預先設定的配置重新啟動，這在相當程度上能保證被入侵後的檔案、程式以及資料不會載入到系統中。

為了防止不可預期的變化，在試驗機器上安裝可信任版本的系統，並比較檔案（可信的同可能修改過的已經安裝了的比較；為了避免有意或無意的破壞，所有的介質應該處於硬體寫保護狀態。

建立乙個包含所有應用程式和不同版本的作業系統的安全補丁庫。確保備份程式足夠從任何損害中恢復。

建立資源工具包並準備相關硬體裝置資源工具包將包含在響應過程中可能要使用的所有工具。這類工具的例子包括那些進行備份和恢復備份，比較檔案，建立和比較密碼校驗和，給系統」照快照「，審查系統配置，列出服務和過程，跟蹤攻擊站點的路徑和它們的isp等的工具。

確保測試系統正確配置且可用在任何分析或側試中使用被入侵的系統都可能導致這些系統進一步的暴露和損害。已被入侵的系統產生的任何結果都是不可韶的。此外，採用這樣的系統或許會由於惡意程式而暴露你正在進行的測試。使用物理和邏輯上與任何執行的系統和網路隔離的測試系統和測試網路。選擇將被入侵的系統移到測試網路中，並且部署新安裝的打過補丁的安全的系統，以便繼續執行。在完成分析後，清除所有的磁碟，這樣可以確保任何殘留檔案或惡意程式不影響將來的分析，或任何正在測試系統上進行的工作，或是無意中被傳到其他執行系統中。這在翻試系統還有其他用途時是很關鍵的。備份所有被分析的系統以及保護分析結果，以備將來進一步的分析

3分析所有可能得到的資訊來確定入健行為的特徵

一旦被入侵檢測機制或另外可信的站點警告已經檢側到了入侵，需要確定系統和資料被入侵到了什麼程度。需要權衡收集盡可能多資訊的價值和入侵者發現他們的活動被發現的風險之間的關係。一些入侵者會驚慌並試圖刪除他們活動的所有痕跡，進一步破壞你準備拯救的系統。這會使分析無法進行下去。

備份被入侵的系統，」隔離「被入侵的系統，進一步查詢其他系統上的入侵痕跡。檢查防火牆、網路監視軟體以及路由器的日誌，確定攻擊者的入侵路徑和方法，確定入侵者進入系統後都做了什麼。

4 向所有需要知道入住和入侵進展情況的資訊化領導小組通報

適時通知並同入侵響應中的關鍵角色保持聯絡以便他們履行自己的職責。入侵響應需要管理層批准，需要決定是否關閉被破壞的系統及是否繼續業務，是否繼續收集入侵者活動資料（包括保護這些活動的相關證據）。通報資訊的數是和型別，通知什麼人。

5收集和保護與入但相關的資料

收集入侵相關的所有資料，收集並保護證據，保證安全地獲取並且儲存證據。

6消除入侵所有路徑

改變全部可能受到攻擊的系統的口令、重新設里被入侵系統、消除所有的入侵路徑包括入侵者已經改變的方法、從最初的配置中恢復可執行程式（包括應用服務）和二進位制檔案、檢查系統配置、確定是否有未修正的系統和網路漏洞並改正、限制網路和系統的暴露捏度以改善保護機制、改善探測機制使它在受到攻擊時得到較好的報告。

7恢復系統正常操作

確定使系統恢復正常的需求和時間表、從可信的備份介質中恢復使用者資料、開啟系統和應用服務、恢復系統網路連線、驗證恢復系統、觀察其他的掃瞄、探測等可能表示入侵者又回來的訊號。

8跟蹤總結

總之，資訊保安應急響應體系應該從以下幾個方面來更加完善，統一規範事件報告格式，建立及時堆確的安全事件上報體系，在分類的基礎上，進一步研究針對各類安全事件的響應對策，從而建立乙個應急決策專家系統，建立網路安全事件資料庫，這項工作對於事件響應過程的最後乙個階段一總結階段，具有重要意義。

應急響應一般流程

測試一般流程

安全應急響應流程

專案的一般流程

應急響應一般流程

測試一般流程

安全應急響應流程

專案的一般流程

相關推薦