《《安全事故响应》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《安全事故响应》PPT课件.ppt(24页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、安全事故响应微软信息安全管理解决方案概要解决方案概要解决方案解决方案电脑网络的安全危险通常来自于攻击者对安全缺陷的利用,比如众所周知的配置错误和公开的产品缺陷.正如任何一个企业一样,微软也是受攻击对象.解决方案解决方案微软IT针对事故的响应和灾难过后的恢复开发出一套可靠的流程.它的基本目标就是确立一个清晰的控制中心,以便迅速降低攻击程度,加强合作和有效地协调响应行动.受益受益微软IT详尽,经过反复演练和灵活性的事故响应计划可以确保任何出现的攻击都可以被掌控,这种行之有效的方法能尽力减小攻击对系统带来的不利影响.微软信息技术方法论微软信息技术方法论人员人员处理过程处理过程技术技术 专职员工专职员
2、工 培训培训 安全安全 一种理念和优先考虑一种理念和优先考虑 雇员教育雇员教育 安全规划安全规划 预防预防 检测检测 反应反应 基线技术基线技术 标准标准,加密加密,保护保护 产品安全性能产品安全性能 安全工具和产品安全工具和产品低低高高风险风险资产价值资产价值财产财产有形有形/可替代可替代信息信息客户客户/公司网络公司网络人员人员雇员雇员高高风险评估风险评估预防事故发生预防事故发生扫描审计入侵检测确立纵深防御体系确保远程用户客户端事故响应团队事故响应团队事故负责人事故负责人核心事故响应团队核心事故响应团队所以事故所以事故延伸的技术响应团队示例延伸的技术响应团队示例按需采用按需采用安全安全,服
3、务及构架服务及构架负责人负责人调查调查负责人负责人通讯通讯负责人负责人其他团队其他团队负责人负责人(如需如需)网络运作网络运作IT IT 桌面支持桌面支持病毒警报病毒警报命令命令 团队团队(VACT)(VACT)病毒攻击控制团队病毒攻击控制团队VACT VACT 负责负责负责负责信息安全信息安全信息安全信息安全消息传送消息传送消息传送消息传送服务器操作服务器操作服务器操作服务器操作网络操作网络操作网络操作网络操作桌面服务桌面服务桌面服务桌面服务IT IT 桌面支持桌面支持桌面支持桌面支持事故指挥主管管理中心后勤供给协调响应策略确保业务中心人员到位保持完整事件纪录通讯主管草拟提交所有计划通讯配合
4、公司公关部门监察和事故有关,用于新闻发布的资料调查主管起主导调查的带头作用开展电脑和信息系统的刑事检查配合执法机构官员事故响应团队主管事故响应团队主管触发阶段触发阶段安全安全扫描扫描/审计审计响应阶段响应阶段持续性评估和响应的修订响应团队组建响应团队组建运作运作外部网页外部网页内部网页内部网页用户用户支援支援和事故和事故有关信息有关信息决定开始决定开始事故响应计划事故响应计划评估评估当前形式当前形式确定第一步行动确定第一步行动计划计划隔离和遏制隔离和遏制分享和响应分享和响应需要时通知需要时通知其他各方其他各方开始开始补救措施补救措施 行动降级行动降级:重返正常工作状态重返正常工作状态事故处理总
5、结事故处理总结修改修改/提高提高响应过程响应过程确定事故严重性的快速指导确定事故严重性的快速指导 事件的重要性事件的重要性 对商业运营的影响对商业运营的影响 受攻击关键程度受攻击关键程度/被攻击资产被攻击资产 信息对公众的发布信息对公众的发布 曝光范围曝光范围 对公共关系影响对公共关系影响 安全范围之外团队的启用安全范围之外团队的启用事故响应计划事故响应计划触发阶段和团队组建触发阶段和团队组建触发阶段评估当前形势明确第一时间行动计划组建团队响应响应 阶段阶段隔离和遏制分析和响应需要时通知其他各方开始补救措施行动降级和事故后总结行动降级和事故后总结行动降级 返回正常工作状态无需介入各方新信息汇报
6、事故后总结听取各主要组织汇报事故响应成功和不足讨论木马带来的后果远远超过受害用户的想象后门木马看起来象是做些有用的事,实际上正在危及电脑安全蠕虫不断以各种不同的方式,从一个硬盘到另一个硬盘复制自己反击阻挡恶意软件反击阻挡恶意软件:木马和蠕虫木马和蠕虫反击阻挡恶意软件反击阻挡恶意软件:病毒病毒显著减少由于攻击而引起的系统宕机时间的措施教育用户关于遵守安全政策的重要性遵循一般操作手册来防止病毒侵入如果受到攻击,事故响应计划开始运作,这也专门适用于病毒攻击反击阻挡反击阻挡DDoS攻击攻击如果DDos攻击微软网络或其他域系统,事故响应计划开始执行运作响应计划可以专门针对DDoS性质的攻击通常CPU资源
7、被大量占用也意味着DDoS攻击,但记住其他原因也可能导致这种情况,比如网页内容更新或安装了新的产品公司网络上的系统通常是首先受到攻击的如果Internet-facing服务器攻击微软网络或其他域系统,事故响应计划开始执行运作响应计划也针对Internet-facing服务器的攻击反击阻挡对反击阻挡对Internet-Facing 服务器攻击服务器攻击攻击者可能试图攻击基本设施 路由器,Exchange-电子邮件服务器,域控制器,并且攻击 Active Directory directory 服务如果微软遭遇网络入侵,事故响应计划开始执行运作并且专门针对此类入侵攻击者也可能使用障眼法 一种分散注
8、意力的攻击手段反击阻挡未经授权的网络入侵反击阻挡未经授权的网络入侵关闭产品的漏洞关闭产品的漏洞当程序在特别的电脑中运行,在特定操作系统中,或在一个特别的配置中,产品漏洞会变得显而易见如果一个非常严重的漏洞在微软的产品中被发现,响应会针对这种情况而制定;所以,相应的措施和处理攻击会有所不同教训教训不安全密码管理虚弱的帐户管理流程不安全的和没有被管理的远程电脑不完善的配置和没有补丁的系统不完善的审计和监督流程机要信息的不恰当限制访问使用安全可靠无线接入公司网络使用周界通信防火墙使用行之有效的网络入侵检测系统确保远程用户连接工作环境拒绝病毒第一层防御第一层防御:保护网络所处的周界保护网络所处的周界控
9、制用户应用程序消除薄弱密码消除域服务共享帐户使用安全的域控制器强制使用反病毒软件和更新软件补丁对客户端和服务器使用强势操作系统第二层防御第二层防御:加强网络自身安全保护加强网络自身安全保护结论结论预防事故的发生成本比事故导致的损失要小的多 企业公司应该采用安全审计,系统检查,补救并且教育用户如何保护自己的系统采用详尽的,经过反复演练和灵活性的事故响应计划可以减小攻击对系统带来的不利影响.更多信息更多信息更多关于微软IT部署和最佳实践可以参考:微软 TechNet 微软案例学习资源 This document is provided for informational purposes only
10、.MICROSOFT MAKES NO WARRANTIES,EXPRESS OR IMPLIED,IN THIS DOCUMENT.2004 Microsoft Corporation.All rights reserved.This presentation is for informational purposes only.MICROSOFT MAKES NO WARRANTIES,EXPRESS OR IMPLIED,IN THIS SUMMARY.Microsoft,Microsoft Press,Visual Studio,Visual SourceSafe,Windows and Windows NT are either registered trademarks or trademarks of Microsoft Corporation in the United States and/or other countries.The names of actual companies and products mentioned herein may be the trademarks of their respective owners.