当前位置：首页 > news >正文

应急响应：应急响应流程，常见应急事件及处置思路

news 2025/7/13 1:27:58

「作者简介」：冬奥会网络安全中国代表队，CSDN Top100，就职奇安信多年，以实战工作为基础著作《网络安全自学教程》，适合基础薄弱的同学系统化的学习网络安全，用最短的时间掌握最核心的技术。

在这里插入图片描述

这一章节我们需要知道应急响应流程是什么，安全事件分类分级的概念，以及灾备的RPO和RTO标准。

应急响应是为了应对信息安全事件所做的准备，以及事件发生后采取的措施。

应急响应

1、安全事件分类分级
2、应急响应组织架构
3、应急响应流程
4、灾备

1、安全事件分类分级

无论自然原因还是人为原因，故意还是非故意，只要影响了资产的安全属性CIA，都算安全事件。

不同的事件类型需要制定不同的应急预案，所以我们需要先知道安全事件分为哪几类。

GB-Z 20986-2007将安全事件分为7类：

有害程序事件：比如病毒、蠕虫、木马、僵尸网络、网页被插入恶意代码。
网络攻击事件：比如拒绝服务、后门、漏洞攻击、扫描嗅探、钓鱼、干扰网络。
信息破坏事件：比如信息篡改、假冒、泄露、窃取、丢失。
信息内容安全事件：比如煽动游行、炒作舆论热点到一定规模。
设备实施故障。
灾害性事件。
其他安全事件。

GB-Z 20986-2007按照信息系统的重要程度、系统损失、社会影响，将安全事件分为4个级别：

特别重大事件（Ⅰ级）：信息系统中断2小时以上、影响人数100万人以上；或10亿以上经济损失；或对国家造成特别严重威胁。
重大事件（Ⅱ级）：信息系统中断30分钟以上，影响人数10万人以上；或1亿以上经济损失；或对国家造成严重影响。
较大事件（Ⅲ级）：信息系统中断；或1000万以上经济损失；或对国家造成较严重影响。
一般事件（Ⅳ级）

扩展：每个事件级别的三个条件，不需要同时满足所有条件，满足其中一个条件就行。实际执行时，可以根据企业情况修改事件分级的标准。

2、应急响应组织架构

如果企业没有单独的应急响应组织，那么应急响应就由安全人员承担，就比如安服兼任应急。

应急响应组织架构应包含以下5个部分：

应急响应领导组：协调资源，最终决策。
应急响应技术保障组：制定角色职责分工、协同调度方案、事件技术对应表并提供相应的技术支撑。
应急响应专家组：评估安全事件，提出建议。
应急响应实施组：分析并确定应急等级和策略，进场应急、总结并提交报告，组织应急演练。
应急响应日常运行组：系统日常运维、灾备，评估并控制事件损害，维护应急文档，参与应急演练。

在这里插入图片描述

3、应急响应流程

应急响应的流程分为准备、检测、遏制、根除、恢复、跟踪总结6个阶段：

准备：制定应急响应计划并演练，准备好相关人力物力资源。
检测：实时检测并报告，确定事件级别、类别并通告事件。
遏制：协调用户按照应急响应计划，限制事件影响的范围。
根除：分析、确定、消除原因，避免事件再次发生。
恢复：还原备份或直接恢复业务，将系统恢复到正常状态。
跟踪：分析、总结、完善应急响应计划，提交应急响应报告。

应急响应排查思路和具体知识点可以参考我的另一篇文章

Windows应急响应排查思路

在这里插入图片描述

Linux应急响应排查思路

在这里插入图片描述

4、灾备

灾备用来保证业务经历灾难后，仍然能够最大限度的提供服务。

灾备有两个标准：RPO 和 RTO。

RPO是恢复点目标，是指灾难发生后，数据恢复到哪个时间点，也就是丢失了多少时间的数据。
RTO是恢复时间目标，是指灾难发生后，恢复业务所需要的时间，也就是业务停顿了多少时间。

RPO和RTO从逻辑上可以为零，但实际项目中很完全实现。

灾备需要定时备份业务数据，用磁带或硬盘存储多个时间点的备份数据，备份方式有完整备份、增量备份、差异备份三种：

完整备份每次都备份全部的数据，备份速度最慢，但恢复速度最快，会清除备份标记。
增量备份只备份上次备份后改动的数据，备份速度最快，但恢复速度最慢，会清除备份标记。
差异备份只备份上一次完整备份后改动的数据，备份和恢复速度居中，不清除备份标记。

备份数据的存储，有DAS、NAS、SAN三种存储方式：

DAS是直接附加存储，直连存储设备，可以理解为给服务器加硬盘，性能高、存储量大但占用服务器资源，不方便管理。
NAS是网络附加存储，通过网络连接存储设备，不占用服务器资源，但会占用带宽，网络传输可能会泄露数据。
SAN是存储区域网络，搭建专用网络存数据，效率高但成本也高。

存储数据的磁盘通常会做RAID（Redundant Arrays of Independent Disks），也就是冗余磁盘阵列，简单来说就是相同的数据存储在多个磁盘的不同位置。常用的有RAID 0、1、5这三种模式：

RAID 0：把多块磁盘串联成一个整体，多个磁盘可以同时读写数据，性能高但没有冗余能力，一块磁盘故障数据就被破坏。至少需要两块硬盘。
RAID 1：一个磁盘上写数据时，另一个磁盘上会生成镜像文件，磁盘利用率低，但有冗余能力，一块磁盘故障了数据也不会破坏。至少需要两块硬盘。
RAID 5：两块以上磁盘读写数据，第三块盘存奇偶校验信息，性能高并且有冗余能力，至少需要三块硬盘。

扩展：多块磁盘不做RAID时，写入数据会写入到同一块磁盘中，比如写入abcd，就直接在一块磁盘上一次写入a、b、c、d，读取的时候也只在一块磁盘上读，因为磁盘之间是独立存在的，即使我读取大量数据，这块磁盘全力运转快冒烟了，其他硬盘也会空闲，利用率就低。做了RAID 0,时，写入数据会同时写入到多个磁盘中，比如写入abcd，会在一盘写入a的时候，同时在二盘写入b，在一盘写入c的时候，同时在二盘写入d，读取的时候，会同时在一盘二盘读取，大家一起忙，谁都别想闲下来。

应急响应：应急响应流程，常见应急事件及处置思路

应急响应

1、安全事件分类分级

2、应急响应组织架构

3、应急响应流程

4、灾备

相关文章：

应急响应：应急响应流程，常见应急事件及处置思路

Kotlin/Android中执行HTTP请求

哈希表(C++实现)

深入理解代理模式（Proxy Pattern）及其实际应用

Elasticsearch (1)：ES基本概念和原理简单介绍

【Python爬虫】Python爬取喜马拉雅，爬虫教程！

基于Jmeter的分布式压测环境搭建及简单压测实践

IDEA常用代码模板

基于大语言模型的多意图增强搜索

【ai】ubuntu18.04 找不到 nvcc --version问题

深入了解DDoS攻击及其防护措施

【面试系列】产品经理高频面试题及详细解答

前端特殊字符数据，后端接收产生错乱，前后端都需要处理

力扣热100 哈希

[图解]SysML和EA建模住宅安全系统-05-参数图

JavaScript——对象的创建

大二暑假 + 大三上

C语言使用先序遍历创建二叉树

如何在服务器中安装anaconda

夸克网盘拉新暑期大涨价！官方授权渠道流程揭秘

[特殊字符] 智能合约中的数据是如何在区块链中保持一致的？

观成科技：隐蔽隧道工具Ligolo-ng加密流量分析

从零实现富文本编辑器#5-编辑器选区模型的状态结构表达

【入坑系列】TiDB 强制索引在不同库下不生效问题

Java 加密常用的各种算法及其选择

04-初识css

AI，如何重构理解、匹配与决策？

JAVA后端开发——多租户

实战三：开发网页端界面完成黑白视频转为彩色视频

大数据治理的常见方式