计算机安全事件响应全解析
1. 事件预防
事件预防至关重要,因为预防事件通常比事件响应成本更低。常见的预防控制措施包括:
1.1 防火墙
防火墙是抵御事件的首道防线,主要有以下三种类型:
| 防火墙类型 | 优点 | 缺点 |
| — | — | — |
| 包过滤防火墙 | 速度快、成本低,常集成于其他网络设备,对出站数据包保护较好 | 为响应出站请求需开放所有高端口,易被攻击者利用 |
| 状态检测防火墙 | 使用动态规则,增加对入站数据包的保护,有更强的日志记录能力 | 成本高于包过滤防火墙 |
| 代理防火墙 | 读取更多数据包信息进行过滤决策,日志记录出色 | 速度慢,可能无法理解所有通过的应用程序 |
1.2 入侵预防系统(IPSes)
IPSes 可提供超出防火墙的额外保护,能检测绕过防火墙进入网络的攻击,通常是独立设备,日志记录详细。
1.3 其他控制措施
还包括带有访问控制列表(ACLs)的路由器、虚拟局域网(VLANs)、双因素认证,以及漏洞评估和渗透测试等服务。这些服务有助于发现组织的安全弱点并降低事件发生的可能性。
2. 事件响应、处理与管理
2.1 三者关系
事件响应是检测问题、确定原因、减少损失、解决问题并记录响应步骤的过程;事件处理主要是控制和修复事件造成的损害,防止进一步破坏;事件管理是从事件声明到文档记录和事后审查的整体过程。每个事件都需要这三个方面的协同工作。
2.2 事件响应规划
事件响应的一
