版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
企业网络安全案例分析演示文稿现在是1页\一共有59页\编辑于星期二2企业网络安全案例分析现在是2页\一共有59页\编辑于星期二内容案例介绍安全评估安全方案设计现在是3页\一共有59页\编辑于星期二公司规模A公司是一家从事太阳能,电力,石油,化工,相关销售等项目等的公司。公司总部设在上海,有200名员工,并在北京拥有1家分公司,员工约100人。现在是4页\一共有59页\编辑于星期二公司的组织结构上海总部(200人)行政部人力资源部管理部公共关系部固定资产部采购部IT总部市场部销售部北京分公司(100人)行政部财务部人力资源部管理部销售市场部IT管理部太阳能部质量控制部法律事务部现在是5页\一共有59页\编辑于星期二公司的发展状况A公司从1985年成立,90年代起收购了多家公司,而且与政府及大型能源企业有合作。在国内的主要大城市有分公司和代表处。公司的急速扩张造成了公司IT管理部门的巨大工作压力,原有的IT管理构架早已不堪重负。于是决定对整个网络系统进行了一次重大升级,包括增加网络带宽,更换核心设备,并将整个系统从WindowsNT4平台全部迁移到了Windows2000平台,提高整个网络系统的可用性和可管理性。现在是6页\一共有59页\编辑于星期二A公司的网络拓扑结构现在是7页\一共有59页\编辑于星期二风险由于太多的日常维护工作而忽略了系统策略及安全政策的制订及执行不力,管理员的日常维护工作又没有标准可循,系统及数据备份也是没有考虑到灾难恢复,经常会有一些系统安全问题暴露出来。现在是8页\一共有59页\编辑于星期二危机该公司网站使用Windows2000上的IIS作为对外的WEB服务器,该网站WEB服务器负责公司的信息提供和电子商务。在外网上部署了硬件防火墙,只允许到服务器TCP80端口的访问。但是在X月X日上午,一个客户发邮件通知公司网站管理员,说该公司网站的首页被人修改,同时被发布到国内的某黑客论坛,介绍入侵的时间和内容。管理员立刻查看网站服务器,除了网站首页被更改,而且发现任务列表中存在未知可疑进程,并且不能杀死。同时发现网站数据库服务器有人正在拷贝数据.管理员及时断开数据服务器,利用备份程序及时恢复网站服务器内容,但是没有过了半小时,又出现类似情况,于是紧急通知系统管理人员,告知该情况,并向某安全公司求助。现在是9页\一共有59页\编辑于星期二问题经过初步安全检查,发现以下问题:邮件服务器没有防病毒扫描模块;客户端有W32/Mydoom@MM邮件病毒问题路由器密码缺省没有修改过,非常容易被人攻击;网站服务器系统没有安装最新微软补丁没有移除不需要的功能组件;用户访问没有设置复杂密码验证,利用字典攻击,非常容易猜出用户名和密码,同时分厂员工对于网站访问只使用了简单密码验证,容易被人嗅听到密码。数据库系统SQL2000SA用户缺省没有设置密码;数据库系统SQL2000没有安装任何补丁程序现在是10页\一共有59页\编辑于星期二用户的目标“我们做了尽可能多的工作,努力提我们的响应速度,缩短解决问题的时间,但是很多情况下我们总是在问题出现了之后才开始解决,在这种情况下我们很难及时解决问题,每次都会有一天到两天大部份系统不能使用,而且也无法对可能发生的问题做有效的估计”------IT服务中心的观点。“我们在很多方面的工作都很成功,但是就是由于这些网络上令人讨厌的病毒,造成了我们还是经常收到来自个方面的投诉,显然这不是我们想看到的。我们需要严密的系统和严格的策略来保证我们业务系统的稳定性和可用性”------首席信息官(CIO)的观点。“我们需要一个可靠、稳定、安全,易于管理和维护的IT解决方案,以及基于此方案的优秀IT服务部门,用以支撑我们公司的运营,以及未来的发展。”-------公司总裁(CEO)的观点。现在是11页\一共有59页\编辑于星期二风险评估现在是12页\一共有59页\编辑于星期二风险评估的一般过程只有经过全面的风险评估过程,才能够有针对性地制定安全实施放案,选择合适的安全技术和产品。在风险评估过程,需要:收集一切和网络安全相关的信息;使用安全评测工具进行脆弱点检查;分析收集到的信息,定义威胁级别。安全不是最终结果,而是一种过程或者一种状态。安全评估必须按照一定的周期不断进行,才能保证持续的安全。现在是13页\一共有59页\编辑于星期二需要搜集的基本信息企业信息:企业名称业务范围地理分布员工数量组织结构管理模式预期的增长或重组网络:物理拓扑结构网络设备逻辑网络划分(活动目录结构)局域网结构广域网结构远程访问互联网接入网络协议类型主要网络流量防火墙和入侵检测系统主机:服务器数量,名称,用途,分布服务器操作系统及版本用户身份验证方式工作站数量,用途和分布工作站操作系统及版本操作系统补丁部署防病毒部署主机防火墙计算机安全管理安全管理:企业安全策略和声明物理安全管理员工安全培训安全响应机制安全需求和满足程度现在是14页\一共有59页\编辑于星期二使用安全评测工具安全评测工具通过内置的已知漏洞和风险库,对指定的系统进行全面的扫描安全评测工具可以快速定位漏洞和风险例:MBSA(MicrosoftBaselineSecurityAnalyzer,基准安全分析器)是微软提供的系统安全分析及解决工具。MBSA可以对本机或者网络上的WindowsNT/2000/XP的系统进行安全性检测,还可以检测其它的一些微软产品,诸如SQL7.0/2000、5.01以上版本的InternetExplorer、IIS4.0/5.0/5.1和Office2000/XP,并给出相应的解决方法。现在是15页\一共有59页\编辑于星期二评价风险问题严重程度定义建议5严重安全问题严重的安全漏洞,如果被利用会对业务产生严重的破坏记录,评估,立即更改4高风险安全问题严重的安全漏洞,如果被利用将/可能会对业务产生严重的影响记录,评估,在15至30天内更改3中度风险的安全问题中度风险的安全问题,可能会影响业务的进行或纪录,评估,在90天内改进2轻微风险的安全问题轻微风险的安全问题,不会对业务带来直接的影响纪录,评估,在120天内改进1安全建议不属于安全问题,但改进后可进一步提高安全记录,评估,在可行的情况下采用现在是16页\一共有59页\编辑于星期二整理结果:服务器端严重级别安全问题5没有安装sp2之后最新的Hotfix3没有限制匿名用户对本地安全子系统的访问4没有制定密码策略4没有定义账号锁定策略3没有改变administrator账号以及配置该账号4没有设置“允许从网络访问这台计算机“3删除不需要的协议,并且禁用NetBIOSoverTCP/IP4没有将所有日志的保存方法设为“按需要改写日志”2事件日志文件使用缺省大小3没有针对重要文件进行审核3“允许从网络访问这台计算机”的权限中有everyone组3没有设置专职的信息安全管理人员3缺少有效的备份计划和定期检查策略4没有法律顾问4没有应对紧急事件的机制4没有系统容错机制3没有详细的安全管理文档4没有针对登录事件进行审核3没有针对DNS服务器的传输进行安全有效验证3IIS服务器安装了太多的不需要组件,也没有安装相关补丁程序4没有特权使用和策略更改的记录2没有监视相关服务器端口的机制3防火墙没有开启入侵检测4没有利用组策略的安全模板进行配置4任何人能够进入电脑机房4没有安全管理的流程3网站安全验证的功能太弱3Sql安全配置不足4存在网络病毒现象4数据库权限没有严格限定条件4文件服务器的分区格式采用FAT分区格式5企业邮件服务器没有安装邮件扫描插件现在是17页\一共有59页\编辑于星期二整理结果:工作站端严重级别安全问题5没有安装操作系统补丁3有的计算机没有加入域4没有离开计算机,锁定屏幕习惯4没有定义账号锁定策略3没有复杂密码习惯4安装不需要的网络协议3随意打开未知内容的邮件4自行下载网络软件,并进行安装2上非法网站导致IE被修改3不及时更新防病毒软件病毒库3很多员工会把密码写到及时贴,放在电脑上4随意将公司一些信息告知外来人员4财务经理的笔记本电脑丢失,导致公司机密数据丢失。3公司电脑机箱被随意打开5存在“W32/Nimda@MM”的蠕虫病毒现在是18页\一共有59页\编辑于星期二书写安全评估报告安全评估报告应该包含的部分:文档版本,完成时间,撰写和审核者;安全评估说明:安全审核的目的,客户,安全顾问提供者;审核目标:审核范围和审核对象;审核过程:审核工作开始和结束时间,审核使用的工具和手段,参与者;审核结果——客户基本信息;审核结果——客户网络拓扑结构;审核结果——客户服务器信息;审核结果——客户工作站信息;审核结果——按照严重级别排列的威胁;安全现状综合评价安全建议术语现在是19页\一共有59页\编辑于星期二安全方案设计现在是20页\一共有59页\编辑于星期二定义企业安全策略企业安全策略定义企业网络安全的目标和范围,即安全策略所要求保护的信息资产的组成和安全策略所适用的范围。企业安全策略作为行为标准,定义信息系统中用户的行为和动作是否可以接受。每一条具体的策略都由政策、目的、范围、定义遵守和违背政策、违背策略的惩罚和结果等有关的部分组成。这些策略会被作为整个企业的政策分发到企业的所有组织,并且企业内所有员工被强制要求必须内遵守。现在是21页\一共有59页\编辑于星期二Internet访问策略该策略用来明确每位员工在Internet访问活动中应该担负的责任,并不对企业造成危害。所有被允许能够进行Internet访问的员工必须在该文档上签名,然后才能给予访问权限。组成部分:1、定义什么是Internet访问行为2、定义责任3、定义用户可以做什么,不可以做什么4、如果用户违反该策略,相关部门会采取的行动现在是22页\一共有59页\编辑于星期二安全管理在制定安全策略的基础上,企业内部应该成立安全管理小组,包含相关人员,全面负责安全管理,主要职责包括:安全策略制定和推广进行定期的安全审核安全事件响应安全技术选择和产品选购员工安全培训取得行政和资金上的支持内部和外部信息交流现在是23页\一共有59页\编辑于星期二安全风险分析根据安全评估阶段提供的安全问题列表,按照严重级别进行排序,然后进行分析,步骤包括:分析安全问题面临的风险;查找安全问题之间的关联性;寻求解决方案。现在是24页\一共有59页\编辑于星期二服务器安全问题(1)等级安全问题风险5系统中没有安装sp2之后最新的Hotfix系统存在严重的安全漏洞5企业邮件服务器没有安装邮件扫描插件病毒邮件的扩散,内部员工通过邮件向外发送企业机密数据4没有制定密码策略弱口令4没有定义账号锁定策略字典或暴力攻击3没有改变administrator账号以及配置该账号口令猜测4“允许从网络访问这台计算机”的权限中有everyone组从网络发起入侵4没有将所有日志的保存方法设为“按需要改写日志”日志不完整或日志伪造2事件日志文件使用缺省大小不完整记录或者日志伪造4没有法律顾问触犯法律或者不能及时得到法律支持现在是25页\一共有59页\编辑于星期二服务器安全问题(2)4没有系统容错机制系统容错能力脆弱4没有针对登录事件进行审核非法登录4没有策略更改的记录非法修改策略4没有利用组策略的安全模板进行配置分散的安全管理4任何人能够进入电脑机房物理安全威胁4没有安全管理的流程安全管理混乱,容易导致信息泄漏4没有应对紧急事件的机制延误时机,使安全破坏更为严重3没有设置专职的信息安全管理人员安全管理混乱3没有详细的安全管理文档安全管理混乱4存在网络病毒现象病毒扩散并难以清除4数据库权限没有严格限定条件非法防问4文件服务器的分区格式采用FAT分区格式没有本地安全性3没有限制匿名用户访问空会话威胁现在是26页\一共有59页\编辑于星期二服务器安全问题(3)3没有删除不需要的协议,并且禁用NetBIOSoverTCP/IP存在潜在的协议漏洞3没有针对重要文件进行审核非法访问和修改3缺少有效的备份计划和定期检查策略灾难发生时无法从备份中恢复数据3没有针对DNS服务器的传输进行安全有效验证非法的区域传输3用户登录验证是明文传输网络窃听3IIS服务器安装了太多的不需要组件,也没有安装相关补丁程序存在严重漏洞,容易被黑客攻击3没有特权使用的记录非法特权使用3防火墙没有开启入侵检测漏洞扫描3Sql安全配置不足存在可以被入侵者利用的漏洞2没有监视相关服务器端口的机制服务器可能被种植木马2SMTP服务器开启了relay设置成为垃圾邮件中转站现在是27页\一共有59页\编辑于星期二工作站安全问题级别安全问题风险5没有安装操作系统补丁存在严重漏洞4没有离开计算机,锁定屏幕习惯被非法访问4没有定义账号锁定策略口令猜测4财务经理的笔记本电脑丢失,导致公司机密数据丢失。数据失窃4安装不需要的网络协议潜在的网络协议漏洞4自行下载网络软件,并进行安装感染病毒,木马,并导致系统不稳定3随意打开未知内容的邮件感染邮件病毒或木马4随意将公司一些信息告知外来人员泄露信息机密3很多员工会把密码写到及时贴,放在电脑上泄露信息机密3不及时更新防病毒软件病毒库感染病毒3公司电脑机箱被随意打开物理威胁3没有复杂密码习惯口令猜测攻击3有的计算机没有加入域无法进行集中管理,无法实现集中身份验证2部门管理人员放在我的文件夹中的数据不会自己备份数据丢失影响影响用户不能正常工作3Snmp的配置可以使用缺省用户探询信息导致公司相关设备信息丢失和一些配置信息被修改现在是28页\一共有59页\编辑于星期二安全设计现在是29页\一共有59页\编辑于星期二物理安全物理安全是整体安全策略的基石。保护企业服务器所在地点的物理安全是首要任务。保护范围包括在办公楼内的服务器机房或整个数据中心。还应该注意进入办公楼的入口。如果有人随便可以进入办公楼内,那么他们即使无法登录到网络,也会有许多机会发起攻击。攻击包括:拒绝服务(例如,将一台膝上型电脑插入网络作为一个DHCP服务器,或者切断服务器电源)数据窃取(例如,偷窃膝上型电脑或嗅探内部网络的数据包)运行恶意代码(例如在内部启动蠕虫程序,散播病毒)窃取关键的安全信息(例如备份磁带、操作手册和网络图,员工通信录)现在是30页\一共有59页\编辑于星期二防止信息泄露攻击者总是要挖空心思找到有关企业网络环境的信息。信息本身有时非常有用,但有的时候,它也是获取进一步信息和资源的一种手段。防范信息收集的关键是限制外界对您的资源进行未经授权的访问。确保这种防范效果的方法包括(但是不限于):确保网络上只有那些已标识的特定设备能够建立远程访问连接。在通过外部防火墙直接连接Internet的计算机上关闭TCP/IP上的NetBIOS,包括端口135、137、139和445。对于Web服务器,在防火墙或者服务器上仅启用端口80和443。审查企业对外网站上的信息以确保:该站点上使用的电子邮件地址不是管理员帐户。没有透露网络技术审查员工向新闻组和论坛张贴的内容,避免暴露企业内部信息,包括管理员在技术论坛上求助技术问题。审查为一般公众提供的信息有没有您的IP地址和域名注册信息。确保攻击者无法通过对DNS服务器执行区域传输。通过转储DNS中的所有记录,攻击者可以清楚地发现最易于攻击的计算机。减少服务器暴露的技术细节。现在是31页\一共有59页\编辑于星期二规划网络安全将企业网络划分和定义为以下几部分:内部网络需要被外部访问的企业网络(停火区,DMZ)商业伙伴的网络远程访问(远程机构或者用户)Internet在防火墙,路由器上进行访问控制和隔离使用基于网络和基于主机的入侵监测系统,提供预警机制,最好能够和防火墙联动。现在是32页\一共有59页\编辑于星期二防火墙近乎线性的吞吐速度,在HTTP吞吐量测试方 面,ISAServer的吞吐量保持为每秒1.59GB应用层性能较好的防火墙
(数据来源:
)单台服务器可以处理48,000个并发连接缓存改善了带宽的利用效率和Web内容的响应时间应用层的精细控制上网行为和丰富的拓展允许管理员控制上网行为和为紧急任务分配较高的带宽优先级ISAServer:Windows平台上的最佳防火墙现在是33页\一共有59页\编辑于星期二FirewallInternet应用案例
-小型网络或分公司的配置企业內部网络AccessPolicyrules-IP包,应用程序,用户,组等的访问策略Bandwidthrules
-不同Internetrequest所分配不同带宽的规则Publishingrules-将Internet服务(如web,ftp,mail)透过防火墙
的保护发布給外网用户IntrusionDetection-防火墙入侵监测MonitorandLogging–进出流量分析与报表现在是34页\一共有59页\编辑于星期二实施案例
——北京市环保局InternetISAServer100台工作站ISAServer2000TrendMicroInterScan现在是35页\一共有59页\编辑于星期二DMZ方式1:一个防火墙连接3个网络(3-homed)Internet内部网络DMZ区ISA服务器现在是36页\一共有59页\编辑于星期二实施案例
----新晨集团
()ISAServer2000InternetInternalNetworkPerimeterNetworkMailServer&DNSWebServer现在是37页\一共有59页\编辑于星期二应用范例
–
广域网络的配置总部分支机构ISA加速分支机构的访问速度实现内部的安全控制(不同部门和网络之间部署防火墙)统一的策略管理现在是38页\一共有59页\编辑于星期二DMZ方式2:“背靠背”模式Internet内部网DMZ区Web服务器数据库服务器ISA服务器ISA服务器现在是39页\一共有59页\编辑于星期二InternetISAServer阵列FireWall(硬件)DMZ内部网(2000+工作站)实施案例
——
中国农业部信息中心现在是40页\一共有59页\编辑于星期二复杂网络中ISA的配置多个VLAN,基于第三层交换ISAServer作为交换机的默认网关设置静态路由现在是41页\一共有59页\编辑于星期二实施案例
----北京许继电气现在是42页\一共有59页\编辑于星期二ISA和VPN在远程网络的部署Internet远程客户端VPN服务器远程网络ISA服务器Web服务器可以选择让VPN服务器和ISA安装在同一台机器上或分开现在是43页\一共有59页\编辑于星期二实施案例
----北京市某旅游部门IDC机房/固定IPVPNVPNOffice-1Office-2Office-3拨号线路InternetInternetInternet现在是44页\一共有59页\编辑于星期二规划系统安全操作系统加固去除非必要服务和组件去除非必要网络协议应用预定义安全模板软硬件供应商对于自己的产品,一般都提供了安全配置文档。微软提供了产品安全配置指南,管理员只需遵照执行,即能提供高应用系统的安全性。
现在是45页\一共有59页\编辑于星期二用户帐号策略几乎所有的企业都通过用户帐户名称和账户口令的方法来提供身份验证和访问限制。因此帐户安全性是企业安全的基础。一定要设定口令最低长度,复杂性要求,口令定期修改,帐号锁定策略。管理员帐户和口令策略:不要为避免自己的帐户被锁定,而额外创建高权限帐户来作为后门不要在IT人员之间共享密码,如果允许多个用户使用管理员帐户,那么一旦发生涉及该帐户的安全事件,审计和责任区分就变得非常困难不要在外部网站上使用单位内部的密码。比如注册Internet上的论坛和网上商店的会员时。因为用户密码往往会与其电子邮件地址存储在一起。只要利用这种存储组合,攻击者就可以确定用户所在的工作单位、使用的用户名(特别是如果用户名是SMTP地址的前缀)及密码。
现在是46页\一共有59页\编辑于星期二防病毒系统病毒已经成为最大的安全威胁,为此有必要在企业内全面部署防病毒系统。构建有效的防病毒机制,需要遵循以下原则:建立网关,服务器,工作站立体防病毒体系;及时更新防病毒软件本身和病毒特征码;格外关注使用笔记本电脑的用户的防病毒软件更新情况;通过在防火墙和路由器上设置,及时阻止通过网络扩散的病毒;安装专门针对ExchangeServer的病毒扫描系统,直接从用户的邮箱里发现和清除病毒;培训用户不要为了加快计算机运行速度而禁用防病毒系统,如果有可能,从防病毒软件设置中禁止用户这么做培训用户不要随意打开不明底细的电子邮件附件,不要随意下载和安装应用软件。现在是47页\一共有59页\编辑于星期二修补程序管理只有及时修补操作系统和应用系统的漏洞,才能从根本上保证安全。修补程序主要有3类:ServicePack即时修复程序或QFE,QuickFixEngineering(快速修补工程组,QFE)是Microsoft的一个小组,专门负责编制即时修复程序,针对产品的代码修补程序。即时修复程序经过更严格测试之后被定期添加到ServicePack中,然后提供给所有用户。安全修补程序:安全修补程序是为消除安全漏洞而设计的。部署修补程序的方法主要有:WindowsUpdate和AutomaticUpdateSUS软件更新服务(SUS)可以安装在企业内部的某台服务器上,让后SUS服务器从微软的站点下载最新的修补程序,企业网络的计算机将自动从SUS下载并自动安装。脚本通过组策略部署计算机开机脚本,使计算机在启动时自动运行脚本,安装修补程序现在是48页\一共有59页\编辑于星期二审核策略通过审核,记录访问者的行为,以发现异常动作并作为证据保留。一般的审核策略包括:对于重要的文件开启删除和修改审核,对敏感文件开启读取审核;在域上开启账户登录事件审核,记录用户登录域的活动;在重要服务器上开启登录事件审核,记录从网络上访问该服务器的活动;在SQLServer中审计登录事件;定期对审核记录进行检查。现在是49页\一共有59页\编辑于星期二日志管理日志系统保存了操作系统和应用程序的信息记录,其中包括与安全相关的信息。做为检测入侵的重要证据,日志需要进行妥善的管理。一般的日志管理策略包括:足够大的日志存储空间,以记录足够多的日志信息;不应启用日志覆盖;定期的日志转储,转储的日志需要放置在不能被再次修改的存储介质上,如只能写入一次的光盘,并放置在安全位置,同时按照企业安全策略的要求i,保存足够长的时间;除了操作系统日志外,根据需要开启应用系统的日志,如数据库服务器,邮件服务器等访问日志;保证在日志中记录足够的信息,如用户帐户,计算机名,IP地址等;保证计算机之间的时间同步,以准确记录时间发生时间;从软件供应商处获取日志代码含义解读文档;使用日志分析工具协助管理员快速获取有价值的信息现在是50页\一共有59页\编辑于星期二容错管理对故障和灾难的抵御能力,称为容错。容错管理的目标是尽可能减少各种意外事故造成的企业信息损害。一般的容错管理策略包括:使用不间断电源设备,建立后备供电线路;使用磁盘冗余阵列;使用服务器群集技术,避免服务器失效;对重要的服务器建立后备或辅助服务器,例如建立多台域控制器等;选择多个ISP,建立外部连接冗余;对网络设备(交换机,路由器)和防火墙提供冗余。现在是51页\一共有59页\编辑于星期二备份管理备份是企业信息安全的最后一道防线一般的备份策略包括:设计备份计划,在兼顾性能的同时,尽可能缩短备份周期;定期测试备份设备,备份存储介质的可靠性,检查已备份数据的完整性和可用性;划分需要备份数据的优先级;保留同一数据的多个备份;备份磁带远离数据原始位置,避免灾害发生造成同时损失;备份磁带应存储在安全位置,避免非授权访问;制定备份恢复计划,并进行演练。现在是52页\一共有59页\编辑于星期二抵御技术性攻击攻击者会企图利用企业网络中的技术漏洞,以获取对系统的访问并设法提升其权限。主要的技术攻击方法有:会话监听和劫持URL字符串攻击攻击安全帐户管理器文件缓冲区溢出拒绝服务攻击后门攻击恶意代码现在是53页\一共有59页\编辑于星期二抵御社会工程攻击社会工程攻击指利用非技术手段对企业信息安全造成破坏,比如:伪装成快递公司,物业管理公司等人员进入企业,获取企业内部信息,比如贴在墙上的组织结构图,文印室未被处理的废弃纸张,贴在员工工作隔板上的内部通信录,贴在显示器上的写有用户帐户名称和口令便利帖等等;伪装企业IT管理人员打电话给企业员工,索要帐户口令。抵御社会工程攻击的最好方法是对企业员工进行安全意识培训,并进行企业内部安全审核。现在是54页\一共有59页\编辑于星期二A公司安全事件响应存在的问题所有的管理员都希望能防患于未然。然而要想防止所有安全事件是不可能的,所以当安全事件真的发生时,需要确保让它造成的影响最小。可以采取一些预先的的措施以使安全事件的数量和影响减至最小。在该阶段,分析案例中A公司目前的事件响应机制存在的问题,比如:显然缺乏安全响应机制,也没有时间响应团队;在未经授权的情况下向外部人员求助;在未经授权的情况下允许外部人员进行安全扫描;没有在第一时间记录并通报安全事件的发生;没有进行证据保留等。现在是55页\一共有59页\编辑于星期二安全事件的相应流程初步评估,发现安全事件的人员进行初步评估,排除误报可能性;内部通报,向整个事件响应小组进行通报,启动处理机制;控制损失,采取紧急措施,避免进一步恶化;确定攻击类型,以及风险等级;确定损失,确定此次安全事件影响范围,评估对企业造成的损失;消除风险,防止该安全事件出现在其他系统或者部门;保存证据,对受到破坏的主机进行符合法律要求证据保存;通知外部机构,如商业伙伴,政府机关;恢复受攻击影响系统;事件相关资料整理和总结。现在是56页\一共有59页\编辑于星期二A公司的紧急事件响应(1)
事件响应步骤采取的行动初步评估星期一早上十点钟,公司的管理员S接到公司销售部门的员工的电话,说在访问公司对外Web网站时,发现主页被篡改。S是伟达公司的安全安全事件响应小组的成员,公司员工已经经过培训,被要求一旦怀疑发现安全事件,立刻向IT部门报告。S接到电话后,立刻访问公司主页,发现确实被人篡改,入侵者留下了恶作剧般的声明,但并没有表明身份和目的。这不是误报。通报事件S立刻通过电子邮件通报了他发现的问题,并电话通知了所有可以联系到的安全小组成员。
控制损失A
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 辽宁省大连市金州区2024-2025学年七年级上学期11月期中考试数学试题
- 2022年公务员多省联考《申论》真题(四川省市卷)及答案解析
- 【语文】《我与地坛》课件+2024-2025学年统编版高中语文必修上册
- 2024年新高一英语初升高衔接《课内重点二》含答案解析
- 人教版初二下册生物教育课件
- 国学课件 教学课件
- 《icc相关护理王娅》课件
- 睡袋防水罩产业规划专项研究报告
- 绞肉机机械产业深度调研及未来发展现状趋势
- 煤油炉市场需求与消费特点分析
- 国资国企企业学习二十届三中全会精神专题培训
- 计算机图形学智慧树知到期末考试答案章节答案2024年北京理工大学
- 医学文化学智慧树知到期末考试答案2024年
- 西昌古诗文品读智慧树知到期末考试答案2024年
- 食堂食品定点采购询价记录表
- 装修工程分项工程材料用量计算表
- 2014年光电子技术思考题答案
- 51单片机P0口工作原理详细讲解
- 企业高校项目合作协议
- 2022年新入团考试试卷及答案
- 浅议周记在班务工作中妙用
评论
0/150
提交评论