37、网络安全事件处理与系统可用性保障

网络安全事件处理与系统可用性保障

1. 网络安全事件处理的必要性

在网络安全的世界里，没有绝对完美的防护系统。因此，我们不仅要采取措施保护计算机系统，还需要为可能出现的问题制定合适的应对计划。这一计划包含三个关键要素：
1. 安全漏洞登记 ：确保记录所有大小安全漏洞，以便采取适当行动。
2. 事件调查规划 ：若检测到安全漏洞，规划如何查明发生了什么。
3. 系统恢复规划 ：规划如何将系统恢复到正常状态，以继续日常运营。

前两个要素涵盖了安全事件发生时的即时反应，通常被称为事件响应。第三个要素则会根据事件的严重程度制定重启运营的计划，从只需从备份恢复单个文件的小问题，到因大规模网络攻击或严重自然灾害导致组织计算机系统大部分无法使用的重大灾难。

2. 应对安全事件

2.1 发现安全事件的途径

当检测到 IT 安全事件时，决定如何反应至关重要。实际反应取决于发现与安全策略冲突事件的方式，可能的途径包括：
- 入侵检测系统（IDS）或类似监控单元发出自动警报。
- IT 人员定期检查日志文件时发现异常情况。
- 一个或多个用户报告系统运行不正常。
- 外部方抱怨受到来自本系统的攻击、收到垃圾邮件等。
- 发生明显灾难，如火灾、飓风、洪水或对关键资源（如 Web 服务器或中央数据库）的猛烈网络攻击。

2.2 事件报告

在管理良好的 IT 系统中，IDS 和防火墙等监控单元自动发出的警报能揭示许多来自内部和外部