【愚公系列】2024年03月 《网络安全应急管理与技术实践》 032-网络安全应急技术与实践(PDCERF 应急响应方法-准备阶

举报
愚公搬代码 发表于 2024/03/31 20:17:06 2024/03/31
【摘要】 🏆 作者简介,愚公搬代码🏆《头衔》:华为云特约编辑,华为云云享专家,华为开发者专家,华为产品云测专家,CSDN博客专家,CSDN商业化专家,阿里云专家博主,阿里云签约作者,腾讯云优秀博主,腾讯云内容共创官,掘金优秀博主,51CTO博客专家等。🏆《近期荣誉》:2022年度博客之星TOP2,2023年度博客之星TOP2,2022年华为云十佳博主,2023年华为云十佳博主等。🏆《博客内容...

🏆 作者简介,愚公搬代码
🏆《头衔》:华为云特约编辑,华为云云享专家,华为开发者专家,华为产品云测专家,CSDN博客专家,CSDN商业化专家,阿里云专家博主,阿里云签约作者,腾讯云优秀博主,腾讯云内容共创官,掘金优秀博主,51CTO博客专家等。
🏆《近期荣誉》:2022年度博客之星TOP2,2023年度博客之星TOP2,2022年华为云十佳博主,2023年华为云十佳博主等。
🏆《博客内容》:.NET、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。
🏆🎉欢迎 👍点赞✍评论⭐收藏

🚀前言

PDCERF方法于1987年由美国宾夕法尼亚匹兹堡软件工程研究所在关于应急响应的邀请工作会议上提出。该方法将应急响应分成准备(preparation)、检测(detection)、抑制(containment)、根除(eradication)、恢复(recovery)、跟踪(follow-up)6个阶段,如图13-1所示。尽管PDCERF方法是一种较为通用的应急响应方法,但并非安全事件应急响应的唯一选择。在实际应急响应过程中,这6个阶段并不一定严格存在,也不必严格按照这6个阶段的顺序进行。然而,PDCERF方法目前被认为是适用性较强的通用应急响应方法之一。在应对安全事件时,组织可以根据具体情况灵活运用PDCERF方法的各个阶段,以确保有效、及时地应对安全威胁,并最大程度地减少损失。

在这里插入图片描述

🚀一、准备阶段

本阶段的主要工作包括:获取领导层的支持;组建领导小组、技术保障小组、专家小组、实施小组、日常运行小组;申请预算资金,准备人力资源和工具设备;确定应急响应所需执行的制度规范;梳理运行维护服务的对象、涉及的业务以及运维活动中可能出现的主要风险点;定义事件级别,制定相关预案,开展培训和演练等方面。

领导小组成员应该涉及各利益相关方,按内外部人员划分时,内部应组织。各部门代表,包括法律部门、IT 运维部门、IT管理部门、网络与信息安全部门保密管理部门、安全保卫部门、人力资源部门、行政管理部门、通信部门等,此外,一定要有业务部门代表,因为只有业务代表才最了解业务流程;外部可聘请安全专家作为临时性的顾问团队,如果涉及法律起诉,还应包括法律部门。按照永久和虚拟(临时)团队划分时,企业内部需成立专职的应急响应团队,不过这种方式成本较高,并不适合中小型企业。临时性团队由内部专家和外部顾问团队构成,发生事故时召集人员开展应急。

领导小组需负责监控应用系统相关的关键指标,提出安全准备、系统优化和违规事件的处置建议。在事故管理的过程中,应注意与企业的业务流程结合。

同时,领导小组负责人还需要规划人员的角色和职责,建立联络机制(如呼叫树 Call Tree)、汇报机制(规定文档模板),及时更新机构、人员和资源列表。应在每年的预算中设立应急响应的专项预算资金,并明确费用决策的流程,确保在发生紧急事件时能够快速采取处置措施。

呼叫树也叫“电话链”,是指姓名列表和所有可用的联系信息(如家庭电话、手机号码、备用号码和紧急联系号码)。位于树顶的人负责呼叫他(她)的直属人员,向他们通知网络与信息安全事件的发生,位于第二级的每个人接到通知后,应当负责通知直属的第三级人员。如果某级的某个人没有联系上,那么呼叫此人者应当负责呼叫此人直属层级的人员,并以此类推。

🔎1.组建应急小组

🦋1.1 应急响应领导小组

为确保应急响应工作落实到位,首要任务是获得领导层的支持。首先,向领导层汇报应急响应工作的重要性,争取得到充足的资源。接着,将应急响应工作和责任分解到各个层面,并成立应急响应领导小组,以保证应急响应工作的有效实施。

应急响应领导小组是信息安全应急响应工作的组织领导机构,其组长应由组织最高管理层成员担任。应急响应领导小组的职责包括:

  1. 对应急响应工作的承诺和支持,包括发布正式文件、提供必要资源(如人力、财力、物力)等。

  2. 审核并批准应急响应策略。

  3. 审核并批准应急响应计划。

  4. 批准和监督应急响应计划的执行。

  5. 启动定期评审、修订应急响应计划。

  6. 负责组织内外部的协调工作。

🦋1.2 应急响应技术保障小组

应急响应技术保障小组的主要职责包括以下4项:

  1. 制定信息安全事件技术应对表:制定详细的信息安全事件技术应对表,包括各种安全事件的应对措施、步骤和方法,以指导应急响应工作的技术实施。

  2. 制定具体角色和职责分工细则:明确小组成员的具体角色和职责,确保在应急响应过程中各个成员的职责清晰、分工明确,以提高应急响应工作的效率和协同性。

  3. 制定应急响应协同调度方案:制定应急响应协同调度方案,确保各个小组之间的协同配合和信息共享,以便快速响应和处置安全事件。

  4. 考察和管理相关技术基础:负责考察和管理与应急响应相关的技术基础,包括硬件设备、软件工具、网络架构等,以确保技术基础的稳定性和可靠性,为应急响应提供必要的技术支持和保障。

🦋1.3 应急响应专家小组

应急响应专家小组的主要职责包括以下3项:

  1. 对重大信息安全事件进行评估,提出启动应急响应的建议。这意味着专家小组需要评估信息安全事件的严重程度和影响范围,判断是否需要启动应急响应,并提供相关建议。他们需要了解事件对组织或系统的潜在影响,包括数据泄露、系统瘫痪、业务中断等,以便及时采取措施进行应对。

  2. 研究和分析信息安全事件的相关情况及发展趋势,为应急响应提供咨询或提出建议。这意味着专家小组需要不断跟踪和研究信息安全事件的发展情况和趋势,了解攻击方式和手段的演变。他们需要熟悉最新的威胁情报和安全漏洞,以便提供有针对性的咨询和建议,帮助组织加强安全防护和应对能力。

  3. 分析信息安全事件原因及造成的危害,为应急响应提供技术支持。这意味着专家小组需要对信息安全事件进行深入分析,找出事件的根本原因和隐患,为组织提供解决方案和技术支持,以减轻事件造成的损失和危害。他们可能需要进行系统的检查和审计,发现漏洞和弱点,并提供修复和补救措施,帮助组织恢复正常运营。

🦋1.4 应急响应实施小组

应急响应实施小组的主要职责包括以下9项:

  1. 分析应急响应需求,包括进行风险评估和业务影响分析,以确定应急响应的重点和紧急程度。

  2. 确定应急响应策略和等级,即确定采取哪些措施以及在紧急情况下的优先级。

  3. 实现应急响应策略,即按照制定的策略进行具体的应急响应行动,包括采取措施来应对风险和业务影响。

  4. 编制应急响应计划文档,将应急响应策略和行动计划整理成文档,以便在紧急情况下能够快速查阅和执行。

  5. 实施应急响应计划,根据制定的计划文档,组织人员和资源进行应急响应行动,以最大程度地减少风险和业务影响。

  6. 组织应急响应计划的测试、培训和演练,通过定期测试和演练,确保所有参与的人员熟悉应急响应计划,并能够在紧急情况下有效地执行。

  7. 合理部署和使用应急响应资源,包括人员、设备和技术资源,以使应急响应工作能够高效地进行。

  8. 总结应急响应工作,提交应急响应总结报告,通过总结和分析应急响应的执行情况,提出改进意见和建议,以提高应急响应的效果和效率。

  9. 执行应急响应计划的评审和修订任务,定期对应急响应计划进行评估和修订,确保其与实际情况保持一致并能够应对新的风险和威胁。

🦋1.5 应急响应日常运行小组

应急响应日常运行小组的主要职责包括以下8项。

  1. 协助灾难恢复系统的实施:负责协助组织在灾难事件发生后进行系统的恢复工作,确保灾难恢复系统的顺利运行。

  2. 备份中心的日常管理:负责管理和维护备份中心的日常运作,包括备份数据的存储和恢复、备份设备的维护和更新等。

  3. 备份系统的运行与维护:负责监控和维护备份系统的运行状态,确保备份数据的完整性和可用性。

  4. 应急监控系统的运作和维护:负责监控和维护应急监控系统,及时发现和报告安全事件,并采取相应的应急措施。

  5. 落实基础物质的保障工作:负责确保组织在应急事件发生时所需的基础物质,如电力、网络、设备等的保障和维护。

  6. 维护和管理应急响应计划文档:负责更新和管理应急响应计划的文档,包括记录应急流程、联系人信息等,以确保计划的实效性。

  7. 信息安全事件发生时的损失控制和损害评估:负责在信息安全事件发生时,及时采取措施控制损失,并评估可能造成的损害程度。

  8. 参与和协助应急响应计划的测试、培训和演练:负责参与组织的应急响应计划的测试、培训和演练活动,提高应急响应的效率和准确性。

以上工作小组构成了应急管理的责任体系,如何让责任体系自生驱动力?
在此要特别强调以下4点。

  1. 这个机构的人员组成应包括管理、技术、行政后勤人员以及业务人员。
  2. 应急工作需要协调各部门的人力及资源,建议采用垂直管理的科学管理模式以保证应急工作的顺利进行。
  3. 为了保障后期应急工作的有效落实,相关人员的职责应明确,并建立尽可能量化的考核机制。
  4. 在组建这个组织机构时,可能会聘请外部专家或涉及外部供应商,建议与其签订必要的协议,如保密协议、服务水平协议(SLA)等。

🔎2.制定应急响应制度规范

织应制定应急响应制度规范,明确目标、原则、范围及各项管理要求。在制定制度规范前,单位应识别国家的相关法律法规以及行业规范,确保适用于本单位的法律法规要求映射到内部制度中。此外,制度规范的要求应与各利益相关方达成一致共识;并且,应急响应制度同其他安全制度一样要定期组织评审修订,当发生重大变更时,如企业战略、业务流程、组织架构、客户需求变更时,应对制度规范进行调整。

根据信息系统的重要程度、服务时段和受损程度以及对业务的影响程度,对应急事件进行分类分级。组织可根据相关国家标准《GB/Z20986-2007信息安全技术信息安全事件分类分级指南》对安全事件的类别和级别进行定义和划分,如信息安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾难性事件等。事件等级的划分可从信息系统重要程度、系统损失和社会影响3个要素考虑,将事件分为特别重大事件、重大事件、较大事件和一般事件4个级别,也可根据企业网络系统规模,简化至特别重大事件、重大事件和一般事件3个级别。具体的定义和划分方法可根据组织具体情况进行调整。

🔎3.编制应急预案

根据应急事件级别制定应急预案,可以分为总体预案和针对某个核心系统的专项预案。预案应提供快速而明确的指导,为应急响应团队进行系统恢复操作。

预案应至少包括以下内容:

  1. 目的:明确预案的目标和作用。
  2. 依据:列出制定预案的法律法规和相关政策依据。
  3. 范围:明确预案适用的范围和适用对象。
  4. 应急小组人员体系结构、人员职责和联系方式:定义应急小组成员的人员结构和职责,并提供他们的联系方式。应保留有效的随身携带的移动电话,切忌只使用座机电话。
  5. 监测和预警机制:说明如何监测和预警应急事件的发生,并及时通知应急小组。
  6. 启动预案的条件:明确应在何种条件下启动预案,并指定启动的具体程序。
  7. 对各级别事件的处置流程和方法:根据事件级别,制定相应的处置流程和方法,包括系统恢复、数据恢复、人员安全等。
  8. 应急响应的保障措施:列出应急响应过程中需要的保障措施,如安全保护措施、资源调配等。

以上内容将为应急响应团队提供明确的指导,确保在应急事件发生时能够快速而有效地进行应急响应。

🔎4.培训演练

每年至少举办一次应急培训,并在每年或有重大业务调整时开展应急演练,以调整和完善应急预案。在演练活动中,应重点关注发现各种不足,而不是形式主义或走过场。

以下是一些关键点,以确保演练活动的有效性和发现问题的能力:

  1. 定期举办应急培训:组织定期的应急培训,以提升应急团队成员的技能和知识,确保他们能够有效地应对各种应急情况。
  2. 针对业务调整进行演练:在发生重大业务调整时,及时开展应急演练,以确保应急预案与新的业务情况相匹配,并针对可能出现的新风险和挑战进行针对性的演练。
  3. 强调问题发现意识:在演练过程中,应强调发现问题的重要性。应急团队成员应积极主动地寻找和报告潜在问题,以促进应急预案的改进和完善。
  4. 避免形式主义和走过场:不应将演练仅仅看作一种例行公事,而是要注重发现存在的问题和隐患。认为演练成功是指在演练过程中发现了潜在问题,并对其进行整改和完善。
  5. 针对预案中存在的问题进行改进:演练结束后,应及时进行问题整理和总结,针对发现的问题进行改进和完善应急预案,以提高应对实际应急事件的能力和效果。

通过定期的培训和演练活动,组织可以不断强化应急响应团队的能力,并不断完善应急预案,以应对不断变化的业务环境和安全威胁。


🚀感谢:给读者的一封信

亲爱的读者,

我在这篇文章中投入了大量的心血和时间,希望为您提供有价值的内容。这篇文章包含了深入的研究和个人经验,我相信这些信息对您非常有帮助。

如果您觉得这篇文章对您有所帮助,我诚恳地请求您考虑赞赏1元钱的支持。这个金额不会对您的财务状况造成负担,但它会对我继续创作高质量的内容产生积极的影响。

我之所以写这篇文章,是因为我热爱分享有用的知识和见解。您的支持将帮助我继续这个使命,也鼓励我花更多的时间和精力创作更多有价值的内容。

如果您愿意支持我的创作,请扫描下面二维码,您的支持将不胜感激。同时,如果您有任何反馈或建议,也欢迎与我分享。

在这里插入图片描述

再次感谢您的阅读和支持!

最诚挚的问候, “愚公搬代码”

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。