登录
EN

NIST | 800-61 计算机安全事故处理指南

2021-08-04

clip_image002.jpg

 

计算机安全事故响应业已成为信息技术(IT)方案的一大重要组成部分。针对网络安全的攻击不仅数量和种类与日俱增,而且破坏性和损害度也愈演愈烈。新型安全事故频繁出现。根据风险评价结果采取预防措施虽然可以降低事故发生率,但并非所有事故都是可以预防的。因此,对于快速检测事故、把损失和破坏降至最低、减少曾被恶意利用过的弱点和恢复IT服务来说,事故响应能力不可或缺。有鉴于此,本文为事故处理,尤其为如何分析事故相关数据、如何针对每个事故决定适度响应,提供了指南。对于这些指南,可斟酌特定硬件平台、操作系统、协议或应用程序的具体情况独立使用。

 

对事故作出有效响应是一种复杂行动,而事故响应能力的成功建立,离不开周密计划和充足资源。不间断监测攻击是根本。为事故处理步骤建立明晰规程,与采用有效方法收集、分析和报告数据一样,都是至为关键的。与其他内部部门(如人力资源部、法律事务部等)以及外部组织(如其他单位事故响应小组、执法机关等)建立合作关系和适宜沟通渠道也不可或缺。

 

本文可帮助机构建立计算机安全事故响应能力并凭借这一能力有效和高效处理事故。本文的这一版本(第2修订版)更新了材料内容,反映了攻击和事故的最新变化。了解各种威胁并在早期把现代攻击识别出来,是预防后续破坏的关键,而各机构间前瞻性共享有关这些攻击的迹象信息,则是识别攻击的一种越来越有效的方法。