《【管理资料】信息安全管理 安全事故响应.ppt》由会员分享,可在线阅读,更多相关《【管理资料】信息安全管理 安全事故响应.ppt(23页珍藏版)》请在三一办公上搜索。
1、安全事故响应,信息安全管理,解决方案概要,解决方案电脑网络的安全危险通常来自于攻击者对安全缺陷的利用,比如众所周知的配置错误和公开的产品缺陷.正如任何一个企业一样,微软也是受攻击对象.解决方案微软IT针对事故的响应和灾难过后的恢复开发出一套可靠的流程.它的基本目标就是确立一个清晰的控制中心,以便迅速降低攻击程度,加强合作和有效地协调响应行动.受益微软IT详尽,经过反复演练和灵活性的事故响应计划可以确保任何出现的攻击都可以被掌控,这种行之有效的方法能尽力减小攻击对系统带来的不利影响.,http:/,微软信息技术方法论,人员,处理过程,技术,专职员工培训安全 一种理念和优先考虑雇员教育,安全规划预
2、防检测反应,基线技术标准,加密,保护产品安全性能安全工具和产品,http:/,风险评估,低,高,风险,资产价值,财产有形/可替代,信息客户/公司网络,人员雇员,高,http:/,预防事故发生,扫描审计入侵检测确立纵深防御体系确保远程用户客户端,http:/,事故响应团队,事故负责人,核心事故响应团队所以事故,延伸的技术响应团队示例按需采用,安全,服务及构架负责人,调查负责人,通讯负责人,其他团队负责人(如需),网络运作,IT 桌面支持,病毒警报命令 团队(VACT),http:/,病毒攻击控制团队,VACT 负责,信息安全,消息传送,服务器操作,网络操作,桌面服务,IT 桌面支持,http:/
3、,事故响应团队主管,事故指挥主管管理中心后勤供给协调响应策略确保业务中心人员到位保持完整事件纪录通讯主管草拟提交所有计划通讯配合公司公关部门监察和事故有关,用于新闻发布的资料调查主管起主导调查的带头作用开展电脑和信息系统的刑事检查配合执法机构官员,http:/,触发阶段,安全扫描/审计,响应阶段,持续性评估和响应的修订,响应团队组建,运作,外部网页,内部网页,用户,支援,和事故有关信息,决定开始事故响应计划,评估当前形式,确定第一步行动计划,隔离和遏制,分享和响应,需要时通知其他各方,开始补救措施,行动降级:重返正常工作状态,事故处理总结,修改/提高响应过程,确定事故严重性的快速指导事件的重要
4、性对商业运营的影响受攻击关键程度/被攻击资产信息对公众的发布曝光范围对公共关系影响安全范围之外团队的启用,事故响应计划,http:/,触发阶段和团队组建,触发阶段评估当前形势明确第一时间行动计划组建团队,http:/,响应 阶段,隔离和遏制分析和响应需要时通知其他各方开始补救措施,http:/,行动降级和事故后总结,行动降级 返回正常工作状态无需介入各方新信息汇报事故后总结听取各主要组织汇报事故响应成功和不足讨论,http:/,反击阻挡恶意软件:木马和蠕虫,木马带来的后果远远超过受害用户的想象后门木马看起来象是做些有用的事,实际上正在危及电脑安全蠕虫不断以各种不同的方式,从一个硬盘到另一个硬盘
5、复制自己,http:/,反击阻挡恶意软件:病毒,显著减少由于攻击而引起的系统宕机时间的措施教育用户关于遵守安全政策的重要性遵循一般操作手册来防止病毒侵入如果受到攻击,事故响应计划开始运作,这也专门适用于病毒攻击,http:/,反击阻挡DDoS攻击,如果DDos攻击微软网络或其他域系统,事故响应计划开始执行运作响应计划可以专门针对DDoS性质的攻击通常CPU资源被大量占用也意味着DDoS攻击,但记住其他原因也可能导致这种情况,比如网页内容更新或安装了新的产品,http:/,反击阻挡对Internet-Facing 服务器攻击,公司网络上的系统通常是首先受到攻击的如果Internet-facing
6、服务器攻击微软网络或其他域系统,事故响应计划开始执行运作响应计划也针对Internet-facing服务器的攻击,http:/,反击阻挡未经授权的网络入侵,攻击者可能试图攻击基本设施 路由器,Exchange-电子邮件服务器,域控制器,并且攻击 Active Directory directory 服务如果微软遭遇网络入侵,事故响应计划开始执行运作并且专门针对此类入侵攻击者也可能使用障眼法 一种分散注意力的攻击手段,http:/,关闭产品的漏洞,当程序在特别的电脑中运行,在特定操作系统中,或在一个特别的配置中,产品漏洞会变得显而易见如果一个非常严重的漏洞在微软的产品中被发现,响应会针对这种情况
7、而制定;所以,相应的措施和处理攻击会有所不同,http:/,教训,不安全密码管理虚弱的帐户管理流程不安全的和没有被管理的远程电脑不完善的配置和没有补丁的系统不完善的审计和监督流程机要信息的不恰当限制访问,http:/,第一层防御:保护网络所处的周界,使用安全可靠无线接入公司网络使用周界通信防火墙使用行之有效的网络入侵检测系统确保远程用户连接工作环境拒绝病毒,http:/,第二层防御:加强网络自身安全保护,控制用户应用程序消除薄弱密码消除域服务共享帐户使用安全的域控制器强制使用反病毒软件和更新软件补丁对客户端和服务器使用强势操作系统,http:/,结论,预防事故的发生成本比事故导致的损失要小的多 企业公司应该采用安全审计,系统检查,补救并且教育用户如何保护自己的系统采用详尽的,经过反复演练和灵活性的事故响应计划可以减小攻击对系统带来的不利影响.,http:/,更多信息,更多关于微软IT部署和最佳实践可以参考:http:/微软 TechNet http:/,http:/,
