建立网络安全体系是为了保障网络运行安全,避免安全事件发生;开展网络安全攻防演练,是为了通过日常演练,保障在发生网络安全事件后能够科学、有效应对事件处置。今天,为大家分享常见网络安全事件、应急响应流程、网络安全防护小常识。
网络安全事件分类
网络安全事件包括有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件等。
有害程序事件
有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
网络攻击事件
网络攻击事件分为拒绝服务攻击事件(比如系统被攻击后停止对外服务)、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
信息破坏事件
信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
信息内容安全事件
信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
设备设施故障
设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
灾害性事件
灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
应急响应流程
根据应急事件处理的PDCERF方法学(最早由 1987 年美国宾夕法尼亚匹兹堡软件工程研究所在关于应急响应的邀请工作会议上提出),可将应急响应包括准备、检测、抑制、根除、恢复、跟踪6个阶段的工作。
准备阶段
准备阶段是指准备组织应急响应队伍及相关工具。应急响应队伍一般由信息系统运维工程师、网络运维工程师、安全运维工程师、操作系统运维工程师、运行检测工程师,以及单位应急响应总指挥等组成。
常见的用于应急响应的网络安全工具主要包括流量分析工具(如Wireshark、科来网络分析等),进程分析工具(如ProcessHacker、ProcessExplorer等),信息收集工具(如FastIR等),Webshell检测工具等。
检测阶段
检测阶段的主要任务是通过分析来确定入侵行为的特征,是应急响应执行过程中的关键一环,在这个阶段需要信息系统运维工程使用初级检测技术进行检测,确定系统是否出现异常。
在发现异常情况后,形成安全事件报告,由网络安全运维工程师介入,进行高级检测来查找安全事件的真正原因,明确安全事件的特征、影响范围,标识安全事件对受影响的系统所带来的改变,最终对安全事件进行定性,并向应急响应总指挥请示是否启动网络安全应急响应预案。
抑制阶段
抑制阶段的主要任务是限制事件扩散及其影响范围。抑制举措往往会对合法业务流量造成影响,最有效的抑制方式是尽可能地靠近攻击的发起端实施抑制。
常见的抑制方式包括:关掉已受害的系统、断开网络、修改防火墙的过滤规则、封锁或删除被攻破的登录账号、关闭可被攻击利用的服务功能等。
根除阶段
根除阶段的主要任务是通过事件分析,查明事件危害的方式,并给出清除危害的解决方案。
✦攻击链分析:结合态势感知系统对攻击者的攻击路径和攻击类型进行分析和定位。
✦日志审计:日志审计是通过检查系统及其环境的日志信息和告警信息来分析攻击者是否做了违规行为。
✦安全风险评估:通过渗透测试、漏洞扫描、基线核查、病毒查杀等评估攻击行为。
最后,综合所有的分析情况,对查找出来的风险如弱口令、主机漏洞、系统漏洞等问题进行全面加固、打补丁、限制系统(网络隔离、行为管理等)、升级防御设备、完善防御流程等(防御设备的部署、人员的部署、规则库的升级)。
恢复阶段
恢复阶段的主要任务是把被破坏的信息彻底还原到正常运作状态。确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据、打开系统和应用服务、恢复系统网络连接、验证恢复系统、观察其他的扫描、探测等可能表示入侵者再次侵袭的信号。
跟踪阶段
跟踪阶段是应急响应的最后一个阶段,主要是对抑制或根除的效果进行审计,确认系统没有被再次入侵。跟进阶段的主要任务是通过对抑制或根除的效果进行审计,确认系统是否有被再入侵。
审计是一个循环进行的过程。通常,第一次审计应该在一定期限之内进行,以后再进行复查,并输出跟进阶段的报告内容,包括安全事件的类型、时间、检测方法、抑制方法、根除方法、事件影响范围等。
同时还需对事件处理情况进行总结,吸取经验教训,对已有安全防护措施和安全事件应急响应预案进行改进。
网络安全防护小常识
账号密码安全防护
❖不采用明文记录密码;
❖主机必须设置密码,离开工位锁屏;
❖输入敏感信息时警惕周围监窥;
❖不使用连续数字或字母、自己或父母生日、手机号码等容易被猜到或获取的信息作为密码,不将个人账号密码告知他人。
个人信息安全防护
不轻易相信电话、邮件中涉及收集个人信息的情况,应首先进行真实性确认,尤其警惕冒充银行客服、电商客服、警察、法院等情况,建议自主通过官方渠道进行核实;
不轻易在网上留下证明自己身份的任何资料,包括手机号码、身份证号、银行卡号等;
不轻易将自己的隐私资料通过网络传输,包括QQ、微信、MSN、Email等;
不要在社交网站类软件上发布火车票、飞机票、护照、照片、日程、行踪等;
在图书馆、打印店等公共场合,或是使用他人手机登录账号,不要选择自动保存密码,离开时记得退出账号;
填写调查问卷、扫二维码注册尽可能不使用真实个人信息。
病毒木马安全防护
✦安装杀毒软件和个人防火墙,并及时升级;
✦经常升级系统和更新病毒库;
✦定期使用杀毒软件查杀电脑病毒;
✦使用安全性比较好的浏览器和电子邮件客户端工具;
✦非必要的网站插件不要安装;
✦不随便从网上下载程序、文件等,不要执行任何来历不明的软件,从正规、大型渠道下载软件;
✦对陌生邮件要杀毒后,再下载邮件中的附件;不轻易点击各种陌生邮件、网站链接;
✦不访问陌生网站。
其他日常网络安全行为习惯
● 保持办公桌面整洁,优盘、笔记本放置于抽屉中;
● 草稿纸等废纸丢弃前应搅碎、撕碎,或公司统一回收;
● 网上留存非必要实名信息时,尽可能采用昵称、代称等替代,如快递接收人姓名采用昵称,收件地址尽可能不具体到家门牌号,采用小区代收点等。
