企业安全建设标准化建设中的网络安全应急分析

发布时间:2020-04-26 08:38:00

随着网络安全法的实施和安全事件的频繁发生,企业内部安全建设越来越受到重视。不要谈大公司的企业安全建设。让我们分享一下,今天中小企业应该如何构建一个标准化的网络安全体系。一般来说,如果没有数据泄露,企业不会认真对待,但有些企业确实如此,并影响到企业的业务系统安全,开始寻找各种安全厂商来解决。解决方案完成后,可能会在稍后发生。如何应对企业突发性网络应急事件

随着网络安全法的实施和安全事件的频繁发生,企业内部安全建设越来越受到重视。不要谈大公司的企业安全建设。让我们分享一下,今天中小企业应该如何构建一个标准化的网络安全体系。一般来说,如果没有数据泄露,企业不会认真对待,但有些企业确实如此,并影响到企业的业务系统安全,开始寻找各种安全厂商来解决。解决方案完成后,可能会在稍后发生。如何应对企业突发性网络应急事件?

今天,我想分享一篇关于标准化建设的分析文章——网络安全应急响应,对加强企业网络安全建设有很大的帮助和指导意义。让我们看看。

标准化主要是指制定标准、组织实施标准、监督检查标准执行情况。对企业来说,从原材料进厂到产品生产销售的每个环节都必须有标准,不仅要有技术标准,还要有管理标准和工作标准,即建立一套完整的标准化体系。做好企业标准化工作,对开发新产品、改进管理、调整产品结构、开拓国内外市场具有重要意义。

一、规范行为,提高工作效率,降低企业成本。

二、标准化是对所有工作进行建模,减少不必要的环节,固化优化的工作流程,并使全体员工按照统一的要求工作,避免出错率,从而降低成本,提高企业竞争力。

应急活动主要包括两个方面:

未雨绸缪(即未雨绸缪,如风险评估、制定安全计划、安全意识培训、以安全通知单形式的预警、各种预防措施等)。事后采取措施,尽量减少事件造成的损失。

这些行为可能来自人或系统。最好提前计划和准备,为事件发生后的应对行动提供指导,利用事件后的应对发现事件前应对计划的不足。(两者之间的关系应该是互补和加强的)

为了科学、合理、有序地处理网络安全事件,业界通常采用pdcerf方法,将应急响应分为准备、检测、抑制、根除、恢复和跟踪六个阶段。根据网络安全应急响应的总体策略,确定各阶段的响应目标,确定响应顺序和响应过程。

首先,采用5w2h分析法建立了该基本模型。5w2h分析法又称齐河分析法,是美国陆军武器维修部在第二次世界大战中首次提出的。它简单、方便、易懂、易用、启发性强。它广泛应用于企业管理和技术活动中。对决策和执行活动及措施也有很大帮助,也有助于弥补对价的遗漏。

(1) 什么-这是什么?目的是什么?你是做什么的?

(2) 为什么?为什么?我们能不做吗?有别的选择吗?

(3) 什么时候?你什么时候做?什么时候是最好的时间?

(4) 怎么-怎么?如何提高效率?如何实施?方法是什么?

(5) 多少钱-多少钱?到什么程度?数量如何?质量水平是多少?成本产出如何?

网络安全应急响应标准化分析:

下图着重于提高工作效率和内部安全体系的标准流程,包括:仅以乙方网络安全公司与甲方企业之间的一些交互点为例,是不完整的,最好根据自身情况进行传播。

思考的焦点其实是“具体内容”部分,这部分给出了参考框架。由于不同系统的内部状态不同,在具体的内容输出中给出了一些要点,可以根据情况进行补充

内容:根据内部情况定制化,最重要的内容包括安全事件风险分类、事件处理队伍结构、预防预警信息发布、事件后处置等,以国家网络安全应急预案为模板:

内容:规范安全事故的报告、处置、部门接口等过程体系。

内容:包括正常和异常情况的比较描述。安全事件的服务器信息(IP地址、操作系统、数据库、主要服务和应用程序)主要用于记录安全事件。

内容:记录安全事件处置的进展过程和下一阶段的计划,方便其他组员的进入。

内容:主要包括:安全事件概述、安全事件处理过程、安全事件过程恢复、安全加固改进建议。

内容:你为什么需要这个?处理安全事件后需要增援吗?然后问题来了。多数情况下,只能提出加固建议,不允许动手。你需要找不同部门的联系人吗?你需要先找到联系人,然后再找到相关负责人吗?那么开发和运营维护会告诉你,你今天有点忙,明天就换,然后就没有了???

内容:参阅WVS、appscan、burpsuite等扫描器的漏洞描述,以及常见的攻击技术和漏洞利用特点。

内容:整个框架最重要的部分是对各种安全事件进行分类。首先,看看国家标准中的分类:

1、 恶意程序事件(计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击者事件、网页嵌入恶意代码事件、其他有害程序事件)

2、 网络攻击事件(拒绝服务器攻击事件、后门攻击事件、漏洞攻击事件、网络钓鱼事件、干扰事件、其他网络攻击事件)

3、 信息销毁事件(信息篡改事件、信息造假事件、信息披露事件、信息窃取事件、信息丢失事件、其他信息销毁事件)

4、 信息内容安全事件(违反宪法和法律、行政法规的信息安全事件,社会问题的讨论和评论,在互联网上形成敏感舆论热点,具有一定炒作规模的信息安全事件,组织系列,煽动集会游行的信息安全事件和其他信息内容安全事件)

5、 设备设施故障(软硬件故障、外围支持设施故障、人身伤害事故、其他设备设施故障)

6、 灾难性事件

7、 其他信息安全事件

其实,我们应该注意的应该属于第一、第二、第三部分。通过对团队内部历史上处理过的上千起安全事件进行分类,对同一类事件进行了高比例的分类,然后针对高比例的分类,对常规的处理思路和方法进行了梳理。供参考:

主要现象:安全扫描器攻击,黑客利用扫描器检测目标的漏洞,发现漏洞后进一步利用漏洞进行攻击;暴力攻击,对目标系统的帐户和密码进行暴力攻击,获取后台管理员的权限;系统漏洞攻击,利用操作系统/应用系统中的漏洞进行攻击;Web漏洞攻击,通过SQL注入漏洞、上传漏洞、XSS漏洞、未授权访问漏洞等Web漏洞进行攻击。

三、恶意软件事件(Windows/Linux)

主要现象:操作系统响应慢,非繁忙时间流量异常,系统进程和服务异常,外部连接异常。

主要现象:网站和服务器无法访问,业务中断,用户无法访问。

通过对常见事件类型的分类,基于pdcerf模型,整合适合自身环境的处理方法:

对常见安全事件的处理方法、思路和一些工具进行了梳理。

内容:主要涉及win/Linux账号管理、日志配置、文件权限、中间件配置、数据库配置等。

内容:记录内部安全事件(包括事件类型、系统应用、系统信息、事件原因等),作为后期改进安全系统的数据支持。

内容:重点介绍cert08通用安全事件处理方法参考手册的内容。

内容:安全事件处理的详细流程共享和新安全技术的持续更新,作为内部能力提升的通道。

一般来说,01-03是流程规范定制,04-06是具体的处理内容,07-11是对之前的支持和持续更新。


热门推荐

技巧精选

17742004931 联系我们,谈您的需求

立即咨询 立即建站