|
 |
推荐文章 |
|
|
|
|
|
|
|
|
|
|
|
风险控制-事件响应
事件响应(Incident Response)也称作应急响应,就是对计算机系统中出现的突发事件
作出的响应。所谓突发事件,就是突然干扰或打断系统的正常运行,使其陷入某种级别危机
的事件,比如黑客入侵、拒绝服务攻击、未经授权的网络通信和系统操作等。
事件响应的目标在于:
- 鉴别突发事件的发生和性质,确定响应战略
- 采集准确的信息进行分析
- 对信息获取和证据管理加以控制
- 保护法律和政策中规定的相关内容,比如隐私权
- 使系统、网络和业务操作过程受到的影响最小
- 必要时对事件发起者提起诉讼
- 提供准确的报告和合理建议
再稳固的系统也难免出现一些意外的情况,为了应对这些可能的突发事件,组织应该成
立一个专门的应急响应小组(Emergency Response Team),制定事件响应计划,从而建立起
一套有效的响应机制。事件响应计划为应对突发事件提供指导,而应急响应小组具体负责计划的实施。
应急小组负责调查突发事件的起因,预期将来可能的发生情况,定期研究并分析历史数
据,应急小组得出的结论是补救行动的依据。小组成员可以是组织内部人员,也可以聘请外
来人员。应急小组应该和相关机构建立联系,例如国家或地区的计算机事件响应中心,以便
及时应对大面积的突发事件。
事件响应计划应该明确定义应急小组成员的任务和相关人员的责任,列举通知程序,制
定突发事件响应策略,规定行动步骤,提供所需的资源支持,等等。
事件响应过程通常经历以下几个阶段:
- 准备 —— 实施预防措施,制定事件响应计划、指南和程序,组建应急响应小组,
准备必要的资源。
- 检测 —— 通过多种途径监视和检测,获悉可能出现的突发事件。
- 初始响应 —— 进行初步调查,确定是否真有事件发生,保留关键证据。
- 通知 —— 按照预先设定的程序,向相关人员报告。
- 评估 —— 展开调查,根据突发事件的性质和严重程度决定采用何种响应策略。
- 处理 —— 根据优先级的考虑,限制或根除事件,将事件影响降低到最低程度。
- 恢复 —— 使受影响的系统或业务恢复到正常的运转状态。
- 报告 —— 详细记录事件响应过程、调查步骤和补救方法。
- 后续行动 —— 继续监视系统或网络的运行情况,分析和回顾事件经过,总结经
验教训,解决其他问题(比如法律问题)。
这里需要注意,事件响应针对的只是IT 系统和网络中发生的恶意攻击,事件响应计划
定义了检测、响应恶意攻击事件并限制后果的策略,焦点在于系统或网络遭受影响时信息安
全的响应。事件响应是短暂的、小范围的、现场的,这和以业务连续性和灾难恢复为代表的
其他应急计划有很大区别,后者更关注面临大的灾难时组织如何恢复并维持系统操作和业
务,以免中断造成的严重后果。严格来说,事件响应计划只是完整灾难恢复计划的一个组成
部分,它更侧重于突发的技术性事件(恶意代码和黑客攻击),是灾难恢复计划的一个起点。 |
|
|
|
|
|
特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。 |
|
|
|
|
|
责任编辑: 原点 |
投稿作者: 本站收集 |
|
|
信息来源: 网络 |
录入时间: 2005-5-30 |
|
|
|
| |
|
设为首页
加入收藏
总编信箱
投稿或申请专栏请先 [登 陆]