建立網絡安全體系是為了保障網絡運行安全,避免安全事件發生;開展網絡安全攻防演練,是為了通過日常演練,保障在發生網絡安全事件后能夠科學、有效應對事件處置。今天,為大家分享常見網絡安全事件、應急響應流程、網絡安全防護小常識。
網絡安全事件分類
網絡安全事件包括有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件等。
有害程序事件
有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合程序攻擊事件、網頁內嵌惡意代碼事件和其他有害程序事件。
網絡攻擊事件
網絡攻擊事件分為拒絕服務攻擊事件(比如系統被攻擊后停止對外服務)、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件。
信息破壞事件
信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。
信息內容安全事件
信息內容安全事件是指通過網絡傳播法律法規禁止信息,組織非法串聯、煽動集會游行或炒作敏感問題并危害國家安全、社會穩定和公眾利益的事件。
設備設施故障
設備設施故障分為軟硬件自身故障、外圍保障設施故障、人為破壞事故和其他設備設施故障。
災害性事件
災害性事件是指由自然災害等其他突發事件導致的網絡安全事件。
應急響應流程
根據應急事件處理的PDCERF方法學(最早由 1987 年美國賓夕法尼亞匹茲堡軟件工程研究所在關于應急響應的邀請工作會議上提出),可將應急響應包括準備、檢測、抑制、根除、恢復、跟蹤6個階段的工作。
準備階段
準備階段是指準備組織應急響應隊伍及相關工具。應急響應隊伍一般由信息系統運維工程師、網絡運維工程師、安全運維工程師、操作系統運維工程師、運行檢測工程師,以及單位應急響應總指揮等組成。
常見的用于應急響應的網絡安全工具主要包括流量分析工具(如Wireshark、科來網絡分析等),進程分析工具(如ProcessHacker、ProcessExplorer等),信息收集工具(如FastIR等),Webshell檢測工具等。
檢測階段
檢測階段的主要任務是通過分析來確定入侵行為的特征,是應急響應執行過程中的關鍵一環,在這個階段需要信息系統運維工程使用初級檢測技術進行檢測,確定系統是否出現異常。
在發現異常情況后,形成安全事件報告,由網絡安全運維工程師介入,進行高級檢測來查找安全事件的真正原因,明確安全事件的特征、影響范圍,標識安全事件對受影響的系統所帶來的改變,最終對安全事件進行定性,并向應急響應總指揮請示是否啟動網絡安全應急響應預案。
抑制階段
抑制階段的主要任務是限制事件擴散及其影響范圍。抑制舉措往往會對合法業務流量造成影響,最有效的抑制方式是盡可能地靠近攻擊的發起端實施抑制。
常見的抑制方式包括:關掉已受害的系統、斷開網絡、修改防火墻的過濾規則、封鎖或刪除被攻破的登錄賬號、關閉可被攻擊利用的服務功能等。
根除階段
根除階段的主要任務是通過事件分析,查明事件危害的方式,并給出清除危害的解決方案。
?攻擊鏈分析:結合態勢感知系統對攻擊者的攻擊路徑和攻擊類型進行分析和定位。
?日志審計:日志審計是通過檢查系統及其環境的日志信息和告警信息來分析攻擊者是否做了違規行為。
?安全風險評估:通過滲透測試、漏洞掃描、基線核查、病毒查殺等評估攻擊行為。
最后,綜合所有的分析情況,對查找出來的風險如弱口令、主機漏洞、系統漏洞等問題進行全面加固、打補丁、限制系統(網絡隔離、行為管理等)、升級防御設備、完善防御流程等(防御設備的部署、人員的部署、規則庫的升級)。
恢復階段
恢復階段的主要任務是把被破壞的信息徹底還原到正常運作狀態。確定使系統恢復正常的需求和時間表、從可信的備份介質中恢復用戶數據、打開系統和應用服務、恢復系統網絡連接、驗證恢復系統、觀察其他的掃描、探測等可能表示入侵者再次侵襲的信號。
跟蹤階段
跟蹤階段是應急響應的最后一個階段,主要是對抑制或根除的效果進行審計,確認系統沒有被再次入侵。跟進階段的主要任務是通過對抑制或根除的效果進行審計,確認系統是否有被再入侵。
審計是一個循環進行的過程。通常,第一次審計應該在一定期限之內進行,以后再進行復查,并輸出跟進階段的報告內容,包括安全事件的類型、時間、檢測方法、抑制方法、根除方法、事件影響范圍等。
同時還需對事件處理情況進行總結,吸取經驗教訓,對已有安全防護措施和安全事件應急響應預案進行改進。
網絡安全防護小常識
賬號密碼安全防護
?不采用明文記錄密碼;
?主機必須設置密碼,離開工位鎖屏;
?輸入敏感信息時警惕周圍監窺;
?不使用連續數字或字母、自己或父母生日、手機號碼等容易被猜到或獲取的信息作為密碼,不將個人賬號密碼告知他人。
個人信息安全防護
不輕易相信電話、郵件中涉及收集個人信息的情況,應首先進行真實性確認,尤其警惕冒充銀行客服、電商客服、警察、法院等情況,建議自主通過官方渠道進行核實;
不輕易在網上留下證明自己身份的任何資料,包括手機號碼、身份證號、銀行卡號等;
不輕易將自己的隱私資料通過網絡傳輸,包括QQ、微信、MSN、Email等;
不要在社交網站類軟件上發布火車票、飛機票、護照、照片、日程、行蹤等;
在圖書館、打印店等公共場合,或是使用他人手機登錄賬號,不要選擇自動保存密碼,離開時記得退出賬號;
填寫調查問卷、掃二維碼注冊盡可能不使用真實個人信息。
病毒木馬安全防護
?安裝殺毒軟件和個人防火墻,并及時升級;
?經常升級系統和更新病毒庫;
?定期使用殺毒軟件查殺電腦病毒;
?使用安全性比較好的瀏覽器和電子郵件客戶端工具;
?非必要的網站插件不要安裝;
?不隨便從網上下載程序、文件等,不要執行任何來歷不明的軟件,從正規、大型渠道下載軟件;
?對陌生郵件要殺毒后,再下載郵件中的附件;不輕易點擊各種陌生郵件、網站鏈接;
?不訪問陌生網站。
其他日常網絡安全行為習慣
● 保持辦公桌面整潔,優盤、筆記本放置于抽屜中;
● 草稿紙等廢紙丟棄前應攪碎、撕碎,或公司統一回收;
● 網上留存非必要實名信息時,盡可能采用昵稱、代稱等替代,如快遞接收人姓名采用昵稱,收件地址盡可能不具體到家門牌號,采用小區代收點等。
