安全事件应急响应?及分析目录1)安全事件响应概述及流程介绍2)网站篡改事件响应与分析3)数据泄露事件响应与分析4)日志安全分析实战(上机实验)5)数据恢复实战(上机实验)1)安全事件响应概述?及流程介绍什么是突发事件中断正常运作的程序并使系统突然陷入某种级别危机的事件。计算机入侵,拒绝服务攻击,信息泄露等。什么是应急响应信息安全应急响应是对危机信息安全的事件做出及时、准确的响应处理,综合利用检测、抑制、根除、恢复等手段,杜绝危害的进一步蔓延扩大,保证系统能够提供正常服务。应急响应概述漏洞发布到攻击出现的时间越来越短Witty蠕虫事件、MS08-067花样翻新,防不胜防尼姆达蠕虫:通过email、共享网络资源、IIS服务器传播变种速度令人惊叹黑客:从单打独斗到“精诚”攻击程序日益自动化、并唾手可得为什么需要应急响应确认与排除突发事件是否发生收集与突发事件有关的信息提供有价值的报告和建议使损失最小化支持民事或刑事诉讼保护由法律或者正常规定的隐私权应急响应的目的第一阶段:准备——让我们严阵以待第二阶段:确认——对情况综合判断第三阶段:封锁——制止事态的扩大第四阶段:根除——彻底的补救措施第五阶段:恢复——备份,顶上去!第六阶段:跟踪——还会有第二次吗应急响应的一般阶段HandlingtheIncident恢复Recovery根除Eradication发现Identification预防Preparation控制Containment跟踪FollowupAnalysisIncidentResponseLifeCycle预防为主帮助服务对象建立安全政策帮助服务对象按照安全政策配置安全设备和软件扫描,风险分析,打补丁如有条件且得到许可,建立监控设施第一阶段——PhoneEmailWho?What?When?Where?How?ReportingMechanisms