一、攻击行为分类
(一)流量攻击
DDoS攻击的一个致命趋势是使用复杂的欺技术和基本协议,如HTTP,Email等协议,而不是采用可被阻断的非基本协议或高端口协议,非常难识别和防御,通常采用的包过滤或限制速率的措施只是通过停止服务来简单停止攻击任务,但同时合法用户的请求也被拒绝,造成业务的中断或服务质量的下降;DDoS事件的突发性,往往在很短的时间内,大量DDoS攻击数据可使网络资源和服务资源消耗殆尽.
(二)木马病毒
系统遭受各种木马病毒的感染。
(三)恶意网络入侵
恶意的网络入侵包括了恶意扫描、通过应用程序漏洞进行黑客行为.
二、攻击行为应急处理流程
网站应急响应流程主要分为:分析确认、启动应急预案,故障修复、恢复运行、详细备案。
(一)DDos流量攻击应急处理
收到预警后,第一时间联系机房服务方进行流量的清洗。必要情况下直接接入安全服务商的云防护清洗平台。
查看防火墙日志,确定非正常访问的ip。对此ip进行阻断。
分析原因和损失。归纳总结并编写报告。
根据恶意情况制定系统加固方案进行加固。
生成报告留存。
对外发布致歉信息。
(二)木马病毒的应急处理
收到预警后,首先中断重要设备与互联网的连接。
对外发布致歉信息。
升级杀毒软件病毒库到最新,然后进行全面的杀毒.
对病毒样本进行分析,寻专杀工具进行查杀。
通过命令的详细信息,完全监控计算机上的连接,查异常的连接。
查看系统的服务项,禁用不明的服务。
查看注册表信息,删除怀疑的病毒感染键值。
查木马病毒爆发的原因。对外进行加固防护,对内进行惩罚和高标准的规范以及技术防护。
网页被篡改怎么办总结原因生成报告留存.
对外发布故障解决完成并再次致歉.
(三)恶意入侵的应急处理
1。遭受黑客攻击时的应急响应流程
工作时间内,发现黑客攻击应在第一时间通知具体责任人。
具体责任人接到通知后,应详细记录有关现象和显示器上出现的信息,将被攻击的服务器等设备从网络中隔离出来,保护现场。同时通知总负责人,召集相关技术人员共同分析攻击现象,提供解决方法,主机系统管理员和应用软件系统管理员负责被攻击或破系统的恢复与重建工作。视情况向集团公司领导汇报事件情况。
非工作时间内发现的攻击事件,值班人员应首先立即切断被攻击外网服务器的网络连接,
并做好相关记录;然后通知具体责任人按流程处理。
2.页面被篡改、出现非法言论的应急响应流程
工作时间内发现页面被篡改,应在第一时间通知具体责任人.
具体责任人接到通知后:
将服务器从网络中隔离,抓屏、保存非法言论的页面。
修复网页内容、删除网站上的非法言论.
网页修复后,对网站全部内容进行一次查看,确保没有被篡改的或非法的言论后解除站点服务器的隔离。
会同技术人员共同追查非法篡改、非法言论来源,尽可能确定信息发布者。
向总负责人报告情况,视情况向集团公司领导汇报事件情况。
非工作时间内发现的篡改事件,值班人员应首先立即通知集团公司部,请其切断被攻击外
网服务器的网络连接,并做好相关记录;然后通知具体责任人按流程处理。
(四)网站无法访问
发现网站无法访问的情况后,立即通知具体负责人。
具体负责人接到通知后,应及时确定故障原因。如因主机设备或软件系统故障导致且不能在2小时内解决,应及时启动备用网站。
三、应急处置工作原则
(一)统领导、规范管理.网站突发事件由技术中心应急建设领导小组统协调领导,遵照“统领导、综合协调、各司其职”的原则协同配合、具体实施,完善应急工作体系和机制。
(二)明确责任,分级负责,保证对网络与信息安全事件做到快速觉察、快速反应、及时处理、及时恢复。
(三)预防为主,加强监控。积极做好日常安全工作,提高应对突发网络与信息安全事件的能力。建立和完善信息安全监控体系,加强对网络与信息安全隐患的日常监测,重点监
控网页是否被篡改、信息发布是否异常、网站运行是否异常等问题。
发布评论