企業安全建設標準化建設中的網絡安全應急分析

發布時間:2020-04-26 08:38:00

隨著網絡安全法的實施和安全事件的頻繁發生,企業內部安全建設越來越受到重視。不要談大公司的企業安全建設。讓我們分享一下,今天中小企業應該如何構建一個標準化的網絡安全體系。一般來說,如果沒有數據泄露,企業不會認真對待,但有些企業確實如此,并影響到企業的業務系統安全,開始尋找各種安全廠商來解決。解決方案完成后,可能會在稍后發生。如何應對企業突發性網絡應急事件

企業安全建設標準化建設中的網絡安全應急分析

隨著網絡安全法的實施和安全事件的頻繁發生,企業內部安全建設越來越受到重視。不要談大公司的企業安全建設。讓我們分享一下,今天中小企業應該如何構建一個標準化的網絡安全體系。一般來說,如果沒有數據泄露,企業不會認真對待,但有些企業確實如此,并影響到企業的業務系統安全,開始尋找各種安全廠商來解決。解決方案完成后,可能會在稍后發生。如何應對企業突發性網絡應急事件?

今天,我想分享一篇關于標準化建設的分析文章——網絡安全應急響應,對加強企業網絡安全建設有很大的幫助和指導意義。讓我們看看。

標準化主要是指制定標準、組織實施標準、監督檢查標準執行情況。對企業來說,從原材料進廠到產品生產銷售的每個環節都必須有標準,不僅要有技術標準,還要有管理標準和工作標準,即建立一套完整的標準化體系。做好企業標準化工作,對開發新產品、改進管理、調整產品結構、開拓國內外市場具有重要意義。

一、規范行為,提高工作效率,降低企業成本。

二、標準化是對所有工作進行建模,減少不必要的環節,固化優化的工作流程,并使全體員工按照統一的要求工作,避免出錯率,從而降低成本,提高企業競爭力。

應急活動主要包括兩個方面:

未雨綢繆(即未雨綢繆,如風險評估、制定安全計劃、安全意識培訓、以安全通知單形式的預警、各種預防措施等)。事后采取措施,盡量減少事件造成的損失。

這些行為可能來自人或系統。最好提前計劃和準備,為事件發生后的應對行動提供指導,利用事件后的應對發現事件前應對計劃的不足。(兩者之間的關系應該是互補和加強的)

為了科學、合理、有序地處理網絡安全事件,業界通常采用pdcerf方法,將應急響應分為準備、檢測、抑制、根除、恢復和跟蹤六個階段。根據網絡安全應急響應的總體策略,確定各階段的響應目標,確定響應順序和響應過程。

首先,采用5w2h分析法建立了該基本模型。5w2h分析法又稱齊河分析法,是美國陸軍武器維修部在第二次世界大戰中首次提出的。它簡單、方便、易懂、易用、啟發性強。它廣泛應用于企業管理和技術活動中。對決策和執行活動及措施也有很大幫助,也有助于彌補對價的遺漏。

(1) 什么-這是什么?目的是什么?你是做什么的?

(2) 為什么?為什么?我們能不做嗎?有別的選擇嗎?

(3) 什么時候?你什么時候做?什么時候是最好的時間?

(4) 怎么-怎么?如何提高效率?如何實施?方法是什么?

(5) 多少錢-多少錢?到什么程度?數量如何?質量水平是多少?成本產出如何?

網絡安全應急響應標準化分析:

下圖著重于提高工作效率和內部安全體系的標準流程,包括:僅以乙方網絡安全公司與甲方企業之間的一些交互點為例,是不完整的,最好根據自身情況進行傳播。

思考的焦點其實是“具體內容”部分,這部分給出了參考框架。由于不同系統的內部狀態不同,在具體的內容輸出中給出了一些要點,可以根據情況進行補充

內容:根據內部情況定制化,最重要的內容包括安全事件風險分類、事件處理隊伍結構、預防預警信息發布、事件后處置等,以國家網絡安全應急預案為模板:

內容:規范安全事故的報告、處置、部門接口等過程體系。

內容:包括正常和異常情況的比較描述。安全事件的服務器信息(IP地址、操作系統、數據庫、主要服務和應用程序)主要用于記錄安全事件。

內容:記錄安全事件處置的進展過程和下一階段的計劃,方便其他組員的進入。

內容:主要包括:安全事件概述、安全事件處理過程、安全事件過程恢復、安全加固改進建議。

內容:你為什么需要這個?處理安全事件后需要增援嗎?然后問題來了。多數情況下,只能提出加固建議,不允許動手。你需要找不同部門的聯系人嗎?你需要先找到聯系人,然后再找到相關負責人嗎?那么開發和運營維護會告訴你,你今天有點忙,明天就換,然后就沒有了???

內容:參閱WVS、appscan、burpsuite等掃描器的漏洞描述,以及常見的攻擊技術和漏洞利用特點。

內容:整個框架最重要的部分是對各種安全事件進行分類。首先,看看國家標準中的分類:

1、 惡意程序事件(計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合攻擊者事件、網頁嵌入惡意代碼事件、其他有害程序事件)

2、 網絡攻擊事件(拒絕服務器攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡釣魚事件、干擾事件、其他網絡攻擊事件)

3、 信息銷毀事件(信息篡改事件、信息造假事件、信息披露事件、信息竊取事件、信息丟失事件、其他信息銷毀事件)

4、 信息內容安全事件(違反憲法和法律、行政法規的信息安全事件,社會問題的討論和評論,在互聯網上形成敏感輿論熱點,具有一定炒作規模的信息安全事件,組織系列,煽動集會游行的信息安全事件和其他信息內容安全事件)

5、 設備設施故障(軟硬件故障、外圍支持設施故障、人身傷害事故、其他設備設施故障)

6、 災難性事件

7、 其他信息安全事件

其實,我們應該注意的應該屬于第一、第二、第三部分。通過對團隊內部歷史上處理過的上千起安全事件進行分類,對同一類事件進行了高比例的分類,然后針對高比例的分類,對常規的處理思路和方法進行了梳理。供參考:

主要現象:安全掃描器攻擊,黑客利用掃描器檢測目標的漏洞,發現漏洞后進一步利用漏洞進行攻擊;暴力攻擊,對目標系統的帳戶和密碼進行暴力攻擊,獲取后臺管理員的權限;系統漏洞攻擊,利用操作系統/應用系統中的漏洞進行攻擊;Web漏洞攻擊,通過SQL注入漏洞、上傳漏洞、XSS漏洞、未授權訪問漏洞等Web漏洞進行攻擊。

三、惡意軟件事件(Windows/Linux)

主要現象:操作系統響應慢,非繁忙時間流量異常,系統進程和服務異常,外部連接異常。

主要現象:網站和服務器無法訪問,業務中斷,用戶無法訪問。

通過對常見事件類型的分類,基于pdcerf模型,整合適合自身環境的處理方法:

對常見安全事件的處理方法、思路和一些工具進行了梳理。

內容:主要涉及win/Linux賬號管理、日志配置、文件權限、中間件配置、數據庫配置等。

內容:記錄內部安全事件(包括事件類型、系統應用、系統信息、事件原因等),作為后期改進安全系統的數據支持。

內容:重點介紹cert08通用安全事件處理方法參考手冊的內容。

內容:安全事件處理的詳細流程共享和新安全技術的持續更新,作為內部能力提升的通道。

一般來說,01-03是流程規范定制,04-06是具體的處理內容,07-11是對之前的支持和持續更新。


聯系我們,談您的需求

立即咨詢
兼职快手点赞赚钱是真的吗 江西铜业股票分析 河南体彩11选5开奖走势 江苏快3怎么玩 一分赛车有官方数据吗 保本理财投资安全么 青海快3网站 黑龙江福利彩票p62 快乐10分开奖 全国体彩排列5预测 河南11选5分布走势图