应急响应:应急响应流程,常见应急事件及处置思路
「作者简介」:冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础著作 《网络安全自学教程》,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。
这一章节我们需要知道应急响应流程是什么,安全事件分类分级的概念,以及灾备的RPO和RTO标准。
应急响应是为了应对信息安全事件所做的准备,以及事件发生后采 取的措施。
应急响应
- 1、安全事件分类分级
- 2、应急响应组织架构
- 3、应急响应流程
- 4、灾备
1、安全事件分类分级
无论自然原因还是人为原因,故意还是非故意,只要影响了资产的安全属性CIA,都算安全事件。
不同的事件类型需要制定不同的应急预案,所以我们需要先知道安全事件分为哪几类。
GB-Z 20986-2007将安全事件分为7类:
- 有害程序事件:比如病毒、蠕虫、木马、僵尸网络、网页被插入恶意代码。
- 网络攻击事件:比如拒绝服务、后门、漏洞攻击、扫描嗅探、钓鱼、干扰网络。
- 信息破坏事件:比如信息篡改、假冒、泄露、窃取、丢失。
- 信息内容安全事件:比如煽动游行、炒作舆论热点到一定规模。
- 设备实施故障。
- 灾害性事件。
- 其他安全事件。
GB-Z 20986-2007按照信息系统的重要程度、系统损失、社会影响,将安全事件分为4个级别:
- 特别重大事件(Ⅰ级):信息系统中断2小时以上、影响人数100万人以上;或10亿以上经济损失;或对国家造成特别严重威胁。
- 重大事件(Ⅱ级):信息系统中断30分钟以上,影响人数10万人以上;或1亿以上经济损失;或对国家造成严重影响。
- 较大事件(Ⅲ级):信息系统中断;或1000万以上经济损失;或对国家造成较严重影响。
- 一般事件(Ⅳ级)
扩展:每个事件级别的三个条件,不需要同时满足所有条件,满足其中一个条件就行。实际执行时,可以根据企业情况修改事件分级的标准。
2、应急响应组织架构
如果企业没有单独的应急响应组织,那么应急响应就由安全人员承担,就比如安服兼任应急。
应急响应组织架构应包含以下5个部分:
- 应急响应领导组:协调资源,最终决策。
- 应急响应技术保障组:制定角色职责分工、协同调度方案、事件技术对应表并提供相应的技术支撑。
- 应急响应专家组:评估安全事件,提出建议。
- 应急响应实施组:分析并确定应急等级和策略,进场应急、总结并提交报告,组织应急演练。
- 应急响应日常运行组:系统日常运维、灾备,评估并控制事件损害,维护应急文档,参与应急演练。
3、应急响应流程
应急响应的流程分为准备、检测、遏制、根除、恢复、跟踪总结6个阶段:
- 准备:制定应急响应计划并演练,准备好相关人力物力资源。
- 检测:实时检测并报告,确定事件级别、类别并通告事件。
- 遏制:协调用户按照应急响应计划,限制事件影响的范围。
- 根除:分析、确定、消除原因,避免事件再次发生。
- 恢复:还原备份或直接恢复业务,将系统恢复到正常状态。
- 跟踪:分析、总结、完善应急响应计划,提交应急响应报告。
应急响应排查思路和具体知识点可以参考我的另一篇文章
Windows应急响应排查思路
Linux应急响应排查思路
4、灾备
灾备用来保证业务经历灾难后,仍然能够最大限度的提供服务。
灾备有两个标准:RPO 和 RTO。
- RPO是恢复点目标,是指灾难发生后,数据恢复到哪个时间点,也就是丢失了多少时间的数据。
- RTO是恢复时间目标,是指灾难发生后,恢复业务所需要的时间,也就是业务停顿了多少时间。
RPO和RTO从逻辑上可以为零,但实际项目中很完全实现。
灾备需要定时备份业务数据,用磁带或硬盘存储多个时间点的备份数据,备份方式有完整备份、增量备份、差异备份三种:
- 完整备份每次都备份全部的数据,备份速度最慢,但恢复速度最快,会清除备份标记。
- 增量备份只备份上次备份后改动的数据,备份速度最快,但恢复速度最慢,会清除备份标记。
- 差异备份只备份上一次完整备份后改动的数据,备份和恢复速度居中,不清除备份标记。
备份数据的存储,有DAS、NAS、SAN三种存储方式:
- DAS是直接附加存储,直连存储设备,可以理解为给服务器加硬盘,性能高、存储量大但占用服务器资源,不方便管理。
- NAS是网络附加存储,通过网络连接存储设备,不占用服务器资源,但会占用带宽,网络传输可能会泄露数据。
- SAN是存储区域网络,搭建专用网络存数据,效率高但成本也高。
存储数据的磁盘通常会做RAID(Redundant Arrays of Independent Disks),也就是冗余磁盘阵列,简单来说就是相同的数据存储在多个磁盘的不同位置。常用的有RAID 0、1、5这三种模式:
- RAID 0:把多块磁盘串联成一个整体,多个磁盘可以同时读写数据,性能高但没有冗余能力,一块磁盘故障数据就被破坏。至少需要两块硬盘。
- RAID 1:一个磁盘上写数据时,另一个磁盘上会生成镜像文件,磁盘利用率低,但有冗余能力,一块磁盘故障了数据也不会破坏。至少需要两块硬盘。
- RAID 5:两块以上磁盘读写数据,第三块盘存奇偶校验信息,性能高并且有冗余能力,至少需要三块硬盘。
扩展:多块磁盘不做RAID时,写入数据会写入到同一块磁盘中,比如写入abcd,就直接在一块磁盘上一次写入a、b、c、d,读取的时候也只在一块磁盘上读,因为磁盘之间是独立存在的,即使我读取大量数据,这块磁盘全力运转快冒烟了,其他硬盘也会空闲,利用率就低。做了RAID 0,时,写入数据会同时写入到多个磁盘中,比如写入abcd,会在一盘写入a的时候,同时在二盘写入b,在一盘写入c的时候,同时在二盘写入d,读取的时候,会同时在一盘二盘读取,大家一起忙,谁都别想闲下来。
相关文章:
应急响应:应急响应流程,常见应急事件及处置思路
「作者简介」:冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础著作 《网络安全自学教程》,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。 这一章节我们需…...
Kotlin/Android中执行HTTP请求
如何在Kotlin/Android中执行简单的HTTP请求 okhttp官网 okhttp3 github地址 打开build.gradle.kts文件加入依赖 dependencies {implementation("com.squareup.okhttp3:okhttp:4.9.0") }在IDEA的Gradle面板点击reload按钮便会自动下载jar...
哈希表(C++实现)
文章目录 写在前面1. 哈希概念2. 哈希冲突3. 哈希函数4.哈希冲突解决4.1 闭散列4.1.1 线性探测4.1.2 采用线性探测的方式解决哈希冲突实现哈希表4.1.3 二次探测 4.2 开散列4.2.2 采用链地址法的方式解决哈希冲突实现哈希表 写在前面 在我们之前实现的所有数据结构中(比如&…...
及其实际应用)
深入理解代理模式(Proxy Pattern)及其实际应用
引言 在软件开发中,有时候我们需要在不改变现有代码的情况下添加一些功能,比如延迟初始化、访问控制、日志记录等。代理模式(Proxy Pattern)通过代理对象控制对原对象的访问,为现有代码添加了额外的功能。本篇文章将详…...
Elasticsearch (1):ES基本概念和原理简单介绍
Elasticsearch(简称 ES)是一款基于 Apache Lucene 的分布式搜索和分析引擎。随着业务的发展,系统中的数据量不断增长,传统的关系型数据库在处理大量模糊查询时效率低下。因此,ES 作为一种高效、灵活和可扩展的全文检索…...
【Python爬虫】Python爬取喜马拉雅,爬虫教程!
一、思路设计 (1)分析网页 在喜马拉雅主页找到自己想要的音频,得到目标URL:https://www.ximalaya.com/qinggan/321787/ 通过分析页面的网络抓包,最终的到一个比较有用的json数据包 通过分析,得到了发送json…...
基于Jmeter的分布式压测环境搭建及简单压测实践
写在前面 平时在使用Jmeter做压力测试的过程中,由于单机的并发能力有限,所以常常无法满足压力测试的需求。因此,Jmeter还提供了分布式的解决方案。本文是一次利用Jmeter分布式对业务系统登录接口做的压力测试的实践记录。按照惯例࿰…...
IDEA常用代码模板
在 IntelliJ IDEA 中,常用代码模板可以帮助你快速生成常用的代码结构和模式。以下是一些常用的代码模板及其使用方法: 动态模板(Live Templates) psvm:生成 public static void main(String[] args) 方法。sout:生成 System.out.println(); 语句。soutv:生成 System.ou…...
基于大语言模型的多意图增强搜索
随着人工智能技术的蓬勃发展,大语言模型(LLM)如Claude等在多个领域展现出了卓越的能力。如何利用这些模型的语义分析能力,优化传统业务系统中的搜索性能是个很好的研究方向。 在传统业务系统中,数据匹配和检索常常面临…...
【ai】ubuntu18.04 找不到 nvcc --version问题
nvcc --version显示command not found问题 这个是cuda 库: windows安装了12.5 : 参考大神:解决nvcc --version显示command not found问题 原文链接:https://blog.csdn.net/Flying_sfeng/article/details/103343813 /usr/local/cuda/lib64 与 /usr/local/cuda-11.3/lib64 完…...
深入了解DDoS攻击及其防护措施
深入了解DDoS攻击及其防护措施 分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是当今互联网环境中最具破坏性和普遍性的网络威胁之一。DDoS攻击不仅危及企业的运营,还可能损害其声誉,造成客户信任度的下降。…...
【面试系列】产品经理高频面试题及详细解答
欢迎来到我的博客,很高兴能够在这里和您见面!欢迎订阅相关专栏: ⭐️ 全网最全IT互联网公司面试宝典:收集整理全网各大IT互联网公司技术、项目、HR面试真题. ⭐️ AIGC时代的创新与未来:详细讲解AIGC的概念、核心技术、…...
前端特殊字符数据,后端接收产生错乱,前后端都需要处理
前端: const data {createTime: "2024-06-11 09:58:59",id: "1800346960914579456",merchantId: "1793930010750218240",mode: "DEPOSIT",channelCode: "if(amount > 50){iugu2pay;} else if(amount < 10){iu…...
力扣热100 哈希
哈希 1. 两数之和49.字母异位词分组128.最长连续序列 1. 两数之和 题目:给定一个整数数组 nums 和一个整数目标值 target,请你在该数组中找出 和为目标值 target 的那 两个 整数,并返回它们的数组下标。你可以假设每种输入只会对应一个答案。…...
[图解]SysML和EA建模住宅安全系统-05-参数图
1 00:00:01,140 --> 00:00:03,060 这是实数没错,这是分钟 2 00:00:03,750 --> 00:00:07,490 但是你在这里选,选不了的 3 00:00:07,500 --> 00:00:09,930 因为它这里不能够有那个 4 00:00:11,990 --> 00:00:13,850 但是我们前面这里 5 00…...
JavaScript——对象的创建
目录 任务描述 相关知识 对象的定义 对象字面量 通过关键字new创建对象 通过工厂方法创建对象 使用构造函数创建对象 使用原型(prototype)创建对象 编程要求 任务描述 本关任务:创建你的第一个 JavaScript 对象。 相关知识 JavaScript 是一种基于对象&a…...
大二暑假 + 大三上
希望,暑假能早睡早起,胸围达到 95,腰围保持 72,大臂 36,小臂 32,小腿 38🍭🍭 目录 🍈暑假计划 🌹每周进度 🤣寒假每日进度😂 &…...
C语言使用先序遍历创建二叉树
#include<stdio.h> #include<stdlib.h>typedef struct node {int data;struct node * left;struct node * right; } Node;Node * createNode(int val); Node * createTree(); void freeTree(Node * node);void preOrder(Node * node);// 先序创建二叉树 int main()…...
如何在服务器中安装anaconda
文章目录 Step1: 下载 Anaconda方法1:下载好sh文件上传到服务器安装方法2:在线下载 Step2: 安装AnacondaStep3: 配置环境变量Step 4: 激活AnacondaStep4: 检验安装是否成功 Step1: 下载 Anaconda 方法1:下载好sh文件上传到服务器安装 在浏览…...
夸克网盘拉新暑期大涨价!官方授权渠道流程揭秘
夸克网盘拉新暑期活动来袭,价格大涨!从7月1日开始持续两个月,在这两个月里夸克网盘拉新的移动端用户,一个从原来的5元涨到了10元。这对做夸克网盘拉新的朋友来说,真的是福利的。趁着暑期时间多,如果有想做夸…...
使用rpicam-app通过网络流式传输视频)
树莓派超全系列教程文档--(62)使用rpicam-app通过网络流式传输视频
使用rpicam-app通过网络流式传输视频 使用 rpicam-app 通过网络流式传输视频UDPTCPRTSPlibavGStreamerRTPlibcamerasrc GStreamer 元素 文章来源: http://raspberry.dns8844.cn/documentation 原文网址 使用 rpicam-app 通过网络流式传输视频 本节介绍来自 rpica…...
STM32+rt-thread判断是否联网
一、根据NETDEV_FLAG_INTERNET_UP位判断 static bool is_conncected(void) {struct netdev *dev RT_NULL;dev netdev_get_first_by_flags(NETDEV_FLAG_INTERNET_UP);if (dev RT_NULL){printf("wait netdev internet up...");return false;}else{printf("loc…...
转转集团旗下首家二手多品类循环仓店“超级转转”开业
6月9日,国内领先的循环经济企业转转集团旗下首家二手多品类循环仓店“超级转转”正式开业。 转转集团创始人兼CEO黄炜、转转循环时尚发起人朱珠、转转集团COO兼红布林CEO胡伟琨、王府井集团副总裁祝捷等出席了开业剪彩仪式。 据「TMT星球」了解,“超级…...
解决本地部署 SmolVLM2 大语言模型运行 flash-attn 报错
出现的问题 安装 flash-attn 会一直卡在 build 那一步或者运行报错 解决办法 是因为你安装的 flash-attn 版本没有对应上,所以报错,到 https://github.com/Dao-AILab/flash-attention/releases 下载对应版本,cu、torch、cp 的版本一定要对…...
多模态大语言模型arxiv论文略读(108)
CROME: Cross-Modal Adapters for Efficient Multimodal LLM ➡️ 论文标题:CROME: Cross-Modal Adapters for Efficient Multimodal LLM ➡️ 论文作者:Sayna Ebrahimi, Sercan O. Arik, Tejas Nama, Tomas Pfister ➡️ 研究机构: Google Cloud AI Re…...
Java 二维码
Java 二维码 **技术:**谷歌 ZXing 实现 首先添加依赖 <!-- 二维码依赖 --><dependency><groupId>com.google.zxing</groupId><artifactId>core</artifactId><version>3.5.1</version></dependency><de…...
重启Eureka集群中的节点,对已经注册的服务有什么影响
先看答案,如果正确地操作,重启Eureka集群中的节点,对已经注册的服务影响非常小,甚至可以做到无感知。 但如果操作不当,可能会引发短暂的服务发现问题。 下面我们从Eureka的核心工作原理来详细分析这个问题。 Eureka的…...
在Ubuntu24上采用Wine打开SourceInsight
1. 安装wine sudo apt install wine 2. 安装32位库支持,SourceInsight是32位程序 sudo dpkg --add-architecture i386 sudo apt update sudo apt install wine32:i386 3. 验证安装 wine --version 4. 安装必要的字体和库(解决显示问题) sudo apt install fonts-wqy…...
Qemu arm操作系统开发环境
使用qemu虚拟arm硬件比较合适。 步骤如下: 安装qemu apt install qemu-system安装aarch64-none-elf-gcc 需要手动下载,下载地址:https://developer.arm.com/-/media/Files/downloads/gnu/13.2.rel1/binrel/arm-gnu-toolchain-13.2.rel1-x…...
nnUNet V2修改网络——暴力替换网络为UNet++
更换前,要用nnUNet V2跑通所用数据集,证明nnUNet V2、数据集、运行环境等没有问题 阅读nnU-Net V2 的 U-Net结构,初步了解要修改的网络,知己知彼,修改起来才能游刃有余。 U-Net存在两个局限,一是网络的最佳深度因应用场景而异,这取决于任务的难度和可用于训练的标注数…...