网络安全应急响应系统(精选9篇)
网络安全应急响应系统 篇1
1 网络安全应急响应概述
随着网络技术飞速发展, 网络重要性的不断提高, 隐藏其中的各种危险也越来越明显, 然而, 现实中的入侵检测工具离完善还有很大距离。因此, 完善的网络安全体系要求在保护体系之外还必须有应急响应体系, 使得网络安全事件发生时, 能够得到迅速的控制, 以期尽可能地减小甚至避免损失。
因为网络信息系统的多样性和异构性, 单一层面上的网络安全防护手段和方法已经无法解决现在错综复杂的网络安全问题。现在的网络安全解决方案需要的是一个综合多层面安全技术、多项产品的网络安全防护和保障体系。
实践证明, 只有实施和部署可管理的网络安全组件, 才有可能实现真正的网络安全;同时, 不是以纯人工方式、而是尽可能结合程序自动化方式对管理网络中重要网络资源等安全事件源的安全日志信息进行分析, 使得在发生网络服务故障、检测到违规行为的时候, IT工作人员能够进行及时响应、迅速恢复, 将因此而引起的风险减至最低。只有这样, 才能使保证网络中信息自动化服务正常有效运行的网络安全管理平台安全可靠。
综上所述, 要在现代网络环境中有效地提供网络信息自动化服务, 首先应该解决以下几方面的问题:
(1) 如何实现对网络安全策略进行集中、统一的管理, 尽可能地消除或者降低网络安全策略在实施中所涉及到的一切人的因素的负面影响。
(2) 如何实现对所有网络安全组件的集中配置和统一管理, 从而可以将制定的网络安全策略规则, 实施到每一个具体的网络安全组件中去。
(3) 如何实现对所有网络安全组件的安全事件的集中审计、分析和报告, 以达到实时检测和迅速恢复网络故障、保障网络信息自动化服务正常运行。
(4) 如何实现对网络安全故障应急响应工作进行有效性的管理。
(5) 如何实现对安全组件的互动关系进行管理和配置, 使得在检测网络违规行为后, 可以迅速在管理网络范围内进行一致化响应, 以防止进一步的破坏或者对再次攻击进行封锁。
作为网络安全问题的全面解决方案, 网络安全应急响应是网络安全管理系统的重要组成部分, 是保证对网络违规行为进行一致化响应的重要工具, 具有重要的现实和经济意义。
2 网络安全与应急响应
2.1 网络安全
一般意义上, 网络安全是指信息安全和控制安全两个部分。信息安全是指信息的完整性、可用性、保密性和可靠性;控制安全是指身份认证、不可否认性、授权和访问控制等。
2.1.1 网络安全目标
通常网络安全要达到的目标有以下几个方面:
(1) 确认或排除突发事件的发生与否。
(2) 促进准确信息的积累。
(3) 对正确获取和证据管理进行控制。
(4) 保护计算机网络使用者的隐私权。
(5) 使计算机网络遭受的损失最小化。
(6) 为司法提供可用证据。
(7) 提供准确的报告和有价值的建议。
传统的网络信息安全有7个属性, 即保密性、完整性、可用性、真实性、不可否认性、可追究性和可控性/可治理性。信息安全的目标是要确保全局的掌控, 确保整个体系的完整性, 而不仅限于局部系统的完整性;对于安全问题、事件的检测要能够汇总和综合到中央监控体系, 确保可追究性是整个体系的可追究性。
2.1.2 信息安全模型
根据我国国情, 我国专家提出了“预警、保护、检测、反应、恢复、反击”的动态安全管理模型, 使信息安全保障技术体系立足于更坚实的基础之上。
2.2 应急响应
随着网络技术及相关技术的发展, 以前采取的传统的、静态的安全保密措施已不足以抵御计算机黑客入侵或有组织的信息手段攻击, 必须建立一种全新的安全防护及管理机制, 以应对日益严峻的网络安全状况。
2.2.1 应急响应定义
所谓应急响应即“Incident Response”或“Emergency Response”, 通常是指一个组织为了应付各种突发事件的发生所做的准备, 以及在事件发生后所采取的措施。简单地说, 应急响应就是指对突发安全事件进行响应、处理、恢复、跟踪的方法及过程。
2.2.2 应急响应的对象──安全事件
应急响应的开始是因为有“事件”发生。“事件”是指影响计算机系统和网络安全的不当行为。目前, 发生在互联网上的安全事件种类越来越多, 呈现出如下特点:
(1) 入侵者难以追踪。
(2) 拒绝服务攻击发生频繁。
(3) 攻击者需要的技术水平逐渐降低但危害增大。
(4) 联合攻击。
2.2.3 应急响应的内容──事件响应
“事件响应”是指安全事件发生后采取的措施和行动。网络安全事件响应作为一种安全服务, 其完整的活动内容应包括:
(1) 未雨绸缪:即在事件发生前, 事先做好准备。
(2) 亡羊补牢:在事件发生后, 所采取的措施, 其目的在于把事件造成的损失降到最小。
2.2.4 应急响应的必要性
应急响应的必要性主要表现在如下几方面:
(1) 安全事件影响的严重性。
(2) 安全漏洞的普遍性。
(3) 攻击和恶意代码的流行。
(4) 入侵检测能力的局限性。
(5) 网络和系统管理的复杂性。
(6) 法律方面。
2.2.5 应急响应与安全生命周期
我们把计算机信息系统的安全系统看作一个动态的过程, 它包括制定风险评估、实施事前的预防措施、实施事中的检测措施以及实施事后的应急响应等四个阶段, 这四个阶段形成了一个生命周期, 如图1所示。
上述生命周期全面、实际地概括了网络安全体系。可以看出, 应急响应必须放在这个网络安全体系中进行研究, 并作为其中重要的一环。
3 应急响应方法学与网络安全应急响应系统模型
为了更好、更迅速有效地对网络安全事件进行应急响应, 本节将介绍在应急响应领域得到广泛应用的应急响应方法学。由于该方法学更多是面向应急响应组的, 本节将首先介绍应急响应组的基本概念, 在此基础上再提出网络安全应急响应系统模型和系统工作流程。
3.1 应急响应方法学
应急响应方法学是研究事件响应过程的科学, 它通过定义响应的各个阶段, 明确响应的任务、顺序和过程, 有助于在一个组织混乱的状态下迅速恢复控制;能够提高事件响应的效率;形成提高事件响应处理过程的机制;有助于对意外情况的处理。
应急响应方法学 (PDCERF) 六阶段包括准备 (Preparatory Works) 、检测 (Detection Mechanisms) 、抑制 (Containment Strategies) 、根除 (Eradication Procedures) 、恢复 (Recovery Steps) 、跟踪 (Follow-Up Reviews) 等, 应急响应方法学PDCERF模型如图2所示。
3.2 应急响应组
应急响应中最重要的主体是应急响应组。应急响应组 (CSIRT) 作为应急响应过程中决定性的力量, 是应急响应的主要决策和执行者, 也是应急响应各阶段的指导者。但是, 应急响应组只是应急响应的组织形式中最基本, 也是最普遍的一种。
3.2.1 CSIRT简介
应急响应组 (CSIRT) 是专门处理安全事件的组织, CSIRT中的每个成员都应有明确定义的职责, 以确保能对每一个方面做出响应。其职责包括:
(1) 监视系统中的安全违规操作。
(2) 作为信息沟通中心, 既负责接收安全事件报告, 又负责将关于安全事件的重要信息通知有关各方。
(3) 记录整理安全事件。
(4) 提高公司员工的安全意识, 以防安全事件从该组织内部发生。
(5) 通过诸如漏洞评估和渗透测试等过程, 支持系统和网络审核。
(6) 掌握攻击者所攻击的漏洞和攻击策略的最新动态。
(7) 保证使用最新的软件修补程序。
(8) 分析并开发新技术, 以使安全漏洞和风险减至最少。
(9) 提供安全咨询服务。
(10) 不断强化和更新当前的安全系统和安全步骤。
3.2.2 CSIRT小组成员
(1) CSIRT小组领导人。CSIRT小组领导人通常负责CSIRT的活动, 并对该小组活动进行协调和检查。
(2) CSIRT事件负责人。CSIRT事件负责人在发生事件时, 负责协调整个响应行动。
(3) CSIRT助理成员。除了核心CSIRT小组外, 还应让一些特定的人员参与特定事件的处理和响应行动。他们专门负责受到安全事件影响, 但不应由核心CSIRT小组直接处理的一些情况。
3.3 网络安全应急响应系统模型
在应急响应方法学和应急响应组的理论基础上, 针对网络对应急响应的相关需求, 我们提出了网络安全应急响应系统的基本模型, 并以此模型作为系统的实现基础, 如图3所示。
从图3模型可以看出, 网络安全应急响应系统将作为一个管理安全事件应急响应的协调中心, 它起到连接网络与响应工程师之间的桥梁作用, 主要完成以下功能:
(1) 制定安全策略, 建立应急预案, 为响应做准备。
(2) 检测并分析在网络中发生的安全事件, 并根据相关安全策略作初步响应。
(3) 基于WEB方式的工单管理系统, 通过各种方式通知响应工程师处理安全事件。
(4) 根据权威组织的规范, 定义安全事件应急响应过程。
(5) 进行安全事故归档管理, 并建立相关知识库。
网络安全应急响应系统的具体工作流程如图4所示。
4 网络安全应急响应系统的目标及功能
4.1 系统的总体目标
构建基于网络的半自动化应急响应平台, 将应急响应时间缩短到最小, 并确保严格依从应急响应策略。应急响应系统将集中管理事件的响应工作, 所有的应急响应相关人员均可以从该平台获得必要的信息和权限去执行应急响应任务。
4.2 半自动化应急响应
半自动化应急响应是指对应急响应网络化支持的主动实现。其应用表现在:
(1) 自动通知应急响应人员:自动通知功能保证以尽可能快速和可达的方式将事故发生的情况通知给相应的应急响应人员。
(2) 事故通知的自动生成:事故通知的自动生成功能, 可将事故信息处理成适合应急响应工作的通知信息, 代替人工的整理。
(3) 主动的知识库帮助:主动的知识库帮助可根据事故的信息主动对应急响应人员进行帮助, 如给予解决方案、工具等的支持。
(4) 应急响应跟踪:应急响应跟踪是一个智能化逻辑程序的实现, 用于代替人工对事故应急响应过程的监督和审核。
半自动化的概念还表现在使用本系统进行应急响应时, 自动过程的可配置性。在本系统中的自动过程, 既可配置为人工参与, 也可以配置成无须人工参与。同时, 对应一些需要人工参与的过程, 提供了比较灵活的处理方式, 如事故通知确认, 事故通知确认要求接受事故通知的应急响应人员使用标准的方式确认收到或者可以处理事故;当接受通知的人员没有确认 (无法处理) 或者设置了将通知转移到其他人员的时候, 系统会根据一种策略找到当前最合适的人员或者指定的人员去处理安全事故。
4.3 网络安全应急响应系统的功能
网络安全应急响应系统是网络安全应急响应的综合管理系统, 它具有如下六个部分功能:
第一部分是应急响应梯队管理。它主要是为应急响应建立人员梯队的准备。
第二部分是事故管理部分。它将负责应急响应对象的接受、应急响应任务的分派、跟踪、处理与归档等整个事故生命周期的响应流程管理。
第三部分是应急预案管理。该模块负责为应急响应提供可行的可操作的解决方案, 包括响应步骤和部门间的协作等。
第四部分是知识库管理。它将记录和管理历史事故的解决方案、与CVE兼容的业界解决方案以及其它相关应急响应工具包等。
第五部分是信息资产管理。记录信息资产的基本信息和维护信息。
第六部分是系统辅助功能。扩展身份认证、日志管理、报表管理, 知识库在线升级等。
以上几个部分都是为事故管理服务的, 在应急响应过程中, 以手动或者自动服务的方式对应急响应队员和应急预案进行关联等。
4.4 系统处理流程
根据应急响应方法以及相关知识库管理的相关内容, 图5给出了系统的基本处理流程图。
5 结论
本文对基于网络的网络安全应急响应系统进行了简要描述, 力图为设计和实现一种适合单位网络安全管理的应急响应模式提供参考依据, 以提高在网络安全故障发生后的应急预警和响应能力。
本文所阐述的网络安全应急响应系统, 是集安全事件应急响应、资产定位和知识管理于一体的综合应急响应系统, 对于应急响应系统的创新, 具有一定的现实意义。
摘要:本文对基于网络的网络安全应急响应系统的必要性、总体目标和主要功能进行了分析和阐述, 同时还介绍了网络安全应急响应系统的模型和基本处理流程。
关键词:网络安全应急响应系统,总体目标,主要功能,系统模型
网络安全应急响应系统 篇2
在平平淡淡的日常中,难免会突发一些事故,为了避免事情往更坏的方向发展,就常常需要事先准备应急预案。那么应当如何编制应急预案呢?下面是小编为大家收集的安全应急预案与响应,欢迎大家借鉴与参考,希望对大家有所帮助。
1、应急预案实施目的和适用范围
按照院环境和职业健康安全管理体系的规定,以及环境与职业健康安全管理方针,确保项目职业健康安全目标的实现,使项目所有施工项目在施工管理过程中都能营造安全、健康、文明、洁净的人文环境,持续提高项目施工管理水平。
为了实现环境和职业健康安全管理体系文件规定的目标,使职业健康安全管理在本项目现在和将来的所有建筑施工活动、产品、服务中始终处于受控状态,并使我院的职业健康安全管理能不断的持续改进,使我们在建筑施工活动、产品、服务中的职业健康安全潜在事故能进行有效的预防和紧急事故发生时能进行迅速的响应,尽可能减少由于该类事故发生时带来对人员的伤害和对项目、院造成的损失,特制定应急预案。
2、编制依据
国家和各级地方有关职业健康安全的法律、法规国家和各级地方有关职业健康安全的条例、规定有关职业健康安全的规范、标准企业、上级系统有关职业健康安全的规定院《管理手册》院《程序文件》
3、应急准备
3.1、应急工作的组织及相应职责
为科学安排环境和职业健康安全管理工作,明确各岗位职责,使之在管理工作中互相协调,各司其责,促进本院环境和职业健康安全管理工作的有效开展,应建立各级应急各级工作组织:
本院建立以院长为组长,副院长为副组长,其余部门负责人为组员的安全应急管理小组,负责院安全应急预防的领导和组织工作,院应指派组织协调能力强的专人负责日常管理,项目经理是本院环境与职业健康安全紧急事故发生时现场救援的主要责任人。本院环境与职业健康安全应急管理小组名单如下:
组长:赵翔
副组长:朱赫宇、康景文
组员:陈麟、梁超、喻晶、谢泽芬、丁念华
应急救护员:由资料员、安全员等担任
3.2、项目经理部管理职责
1)项目技术负责人负责项目应急预案的编制或深化工作;
2)项目生产经理和施工工长负责组织将应急预案反复向全体员工进行交底,并做好书面记录;
3)施工工长负责潜在事故或紧急情况发生时组织应急小组按应急预案实施抢救工作;
4)施工工长负责按应急预案落实应急人员,并明确岗位职责;
5)施工工长督促并检查应急人员的应急准备工作实施情况;
6)施工工长和项目安全员负责事故的善后处理及做好有关安抚工作;
7)项目经理参与事故的调查处理及预案总结评价工作;
8)施工工长负责事故后按照院主管部门、技术部门制定的对事故现场设施设备恢复使用及安全防范措施方案落实处理。
3.3、技术准备
编制施工组织设计和施工方案,并根据不同施工阶段的施工特点,在编制施工方案时以专门的章节写明各施工阶段应注意的安全内容以及采取职业健康安全的措施,并按照方案实施。应急预案应做好环境和职业健康安全预防工作。
3.4、项目经理部应急组织与物资设施准备
3.4.1应急组织措施
1)本项目经理部建立的应急抢险小组,应书面明确应急指挥者和参与者;
2)应急小组指挥者项目经理,具体负责人为施工工长,应急小组由项目保卫组和项目安全员组成3.4.2本项目应急小组岗位职责
1)应急小组组长职责:应急小组组长是应急抢险工作的现场指挥员,负责应急期间现场指挥工作,负责人员调度、物质调度、指挥抢险并负责事故的调查分析及提交事故报告;
2)施工工长职责:当潜在事故或紧急情况发生时,应在第一时间内向项目经理及有关部门报告,同时负责应急抢险时的各种命令及其它信息的传递工作,负责医院、消防、救护等救援单位的联络工作;
3)资源管理员职责:负责应急抢险工作的资源供应工作,当接到指挥员发出各种资源调度命令后,应以最快的速度按资源储备计划提供抢险所必须的抢险资源,并负责应急工作完成后的资源回收工作;
4)经营协调员职责:负责应急抢救期间的内外协调工作,负责社区居民的劝阻、解释、说服工作,按照指挥员的指令向有关领导和部门及相关方通报事故的基本情况,并负责善后的处理工作;
5)应急抢救员职责:按照指挥员的指令,负责应急抢救实施工作,运用科学、合理的抢救方法,对危险源采取制止控制手段,并对人员、财产等进行抢救;
6)应急救护员职责:当潜在事故或紧急情况发生时,救护员应立即赶赴现场,对在事故中发生的伤员进行现场救护,对伤情较重者应立即按照救护计划送往医院治疗,同时应做好应急中的防暑防疫等预防工作。
3.4.3物资准备
1)足够的健康安全防护用品和救援设施;
2)足够的防暑降温物资和御寒防冻物资;
3)其他防护物资;
4)合适的摄影或摄像设备,在事故发生时,应摄取现场事态发展的资料;
5)必要的资金保证;
6)配备保证现场急救基本需要的急救箱,定期检查补充,确保随时可供急救。
3.4.4项目应急响应的信息资源
1)各工程项目经理部应建立应急信息资源如:
医疗救护电话:120(122);消防报警电话:119(999);公安报警电话:110;院各级应急小组领导及其他成员联络电话;医疗救护点的具体位置及行驶路线,应制成书面资料,并使所有应急小组成员掌握了解;保证电话在事故发生时能应用和畅通,可保证在事故发生时能及时向有关部门、单位拨打电话报警求救。
2)电话报救须尽量说清楚以下几件事:
(1)说明伤情(病情、火情、案情)和已经采取了些什么措施,好让救护人员先做好急救的准备;
(2)讲清楚伤者(事故)在什么地方,什么路几号、什么路口、附近有什么特征;
(3)如发生坍塌等重特大安全事故,还必须向当地的警方拨打“110”要求提供抢险和警戒;
(4)说明报救者单位、姓名(事故地)的电话(########或########)以便救护车(消防车、救护车)找不到所报地方时,能随时用电话联系。打完报救电话后,应问接报人员还有什么问题不清楚,如无问题才能挂断电话,通完电话后,应派人在现场外等候接应救护车,同时把救护车进工地现场路上的障碍及时给予清除,以利救护车到达后,能及时进行抢救。
3.4.5其他应急设备和设施
由于在事故发生现场上经常会伴随出现一些不安全的险兆情况,甚至导致再次发生事故,如在夜间或由于光线和照明情况不好,在应急处理时就需配备有应急照明,如可充电工作灯、电筒等设备,保证现场有足够的照明度。在事故发生现场上应急处理时还需有用于危险区域隔离的警戒带、安全禁止、警告、指令、提示标志牌,以防止围观人员和其他闲杂人等进入事故现场造成混乱,导致现场施救困难和其他事故发生。
4、应急预案、应急范围
1)因高空坠落、物体打击、机械伤害、触电及坍塌而造成重大安全事故;
2)台风、水灾、地震等自然灾害而造成人员伤害;
3)火灾事故;
4)重大机械事故和各种急性中毒事故。
4.2、伤亡事故的预防
4.2.1伤亡事故的预防原则
为实现安全生产,预防死亡事故的发生必须要有全面的综合性措施,实现系统安全,预防事故和控制受害程度的具体原则大致为:
1)降低、控制和消除潜在危险的原则;
2)提高安全系数;
3)闭锁原则(自动防止故障的互锁原则);
4)屏障、距离原则;
5)警告和禁止信息原则;
6)个人防护原则;
7)避难、生存和救护原则。
4.2.2伤亡事故预防措施
伤亡事故预防,就是要消除人和物的不安全因素,实现作业行为和作业条件安全化。
(一)消除人的不安全行为,实现作业行为安全化
1)开展安全思想教育和安全规章制度教育;
2)进行安全知识岗位培训,提高职工的安全技术素质;
3)推广安全标准化管理操作和安全确认制度活动,严格安全操作规程和程序进行各项作业;
4)加强重点要害设备、人员作业的安全管理和监控,搞好安全生产;
5)注意劳逸结合,使作业人员保持充沛的精力,从而避免产生不安全行为。
(二)消除物的不安全状态,实现作业条件安全化
1)采取新工艺、新技术、新设备,改善劳动条件;
2)加强安全技术的研究,采用安全防护装置,隔离危险部位;
3)采用安全的个人防护用具;
4)开展安全检查,及时发现和整改不安全隐患;
5)定期对作业条件(环境)进行安全评价,以便采取安全措施,保证符合作业的安全要求。
(三)实现安全措施必须加强安全管理
加强安全管理是实现安全措施的重要保障。建立、完善和严格执行安全生产规章制度,开展经常性的安全教育、岗位培训和安全知识竞赛活动,通过安全检查制度和落实防范措施等安全管理工作,是消除事故隐患,搞好事故预防的基础工作。
5、施工现场急救
5.1、急救步骤
急救是对伤病员提供紧急的监护和救治,给伤病员以最大的生存机会,急救一定要遵循下述四个步骤:
1)调查事故现场,调查时要确保无任何危险,迅速使伤病员脱离危险场所,尤其在工地大型事故现场更是如此;
2)初步检查伤病员,判断神志、气道、呼吸循环是否有问题,必要时立即进行现场急救和监护,使伤病员保持呼吸道畅通,视情况采取有效的止血、止痛、防止休克、包扎伤口等措施,固定、保存好割断的器官或组织,预防感染;
3)呼救。由专人去呼叫救护车,现场施救一直坚持到救护人员或其他施救者到达现场接替为止。此时还应反映伤病员的病情和简单救治过程;
4)如果没有发现危及伤病员的体征,可作第二次检查,以免遗漏其他损伤、骨折和病变。这样有利于现场施行必要的急救和稳定病情,降低并发症状和伤残率。
5.2、施工现场具体急救方法
5.2.1一般伤员的现场救治
在出事现场,立即采取急救措施,使伤员尽快与致伤因素脱离接触,以避免继续伤害深层组织。
1)用清洁包布裹盖伤面做简单包扎,避免创面污染。自己不要随便把水痘弄破,更不要在创面上涂任何有刺激性的液体或不清洁的粉和油剂。因为这样既不能减轻疼痛,相反增加感染机会,并为进一步创面处理增加了困难。
2)伤员口渴时可给适量饮水或含盐饮料。
3)经现场处理后的伤员要迅速转送到医院救治,转送过程中要注意观察呼吸、脉搏、血压等的变化。
5.2.2严重创伤出血伤员的现场救治
创伤性出血现场救治要根据现场现实条件及时地、正确地采取暂时性的止血,清洁包扎,固定和运送等方面措施。
(1)止血
止血可采用压迫止血法、指压动脉出血近心端止血法、弹性止血带止血法。
1)包扎、固定
创伤处用消毒的敷料或清洁的棉纺制品覆盖,再用绷带或布条包扎,即可以保护创口预防感染,又可减少出血帮助止血。在肢体骨折时,又可借助绷带包扎夹板来固定受伤部位上下二个关节,减少损伤,减少疼痛,预防休克。
2)搬运
经现场止血、包扎、固定后的伤员,应尽快正确的搬运转送医院抢救。不正确的搬运,可导致继发性的创伤,加重病痛,甚至威胁生命。搬运伤员时应注意:
①在肢体受伤后局部出现疼痛、肿胀、功能障碍或畸形变化,就表示有骨折存在。宜在止血固定后再搬运,防止骨折断端因搬运振动而移位,加重疼痛,导致损伤附近的血管神经,使创伤加重。
②在搬运严重创伤伴有大出血或已有休克的伤员时,要平卧运输伤员,头部可放置冰袋或带冰帽,路途中要尽量避免震荡。
③在搬运高处坠落伤员时,因疑有脊椎受伤可能,一定要使伤员平卧在硬板上搬运,切忌只抬伤员的两肩与两腿或单肩背运伤员。因为这样会使伤员的躯干过分屈曲或过分伸展,而使已受伤的脊椎移动,甚至断裂造成截瘫,招致死亡。
(2)创伤救护的注意事项
1)护送伤员的人员,应向医生详细介绍受伤的经过。如受伤时间、地点,受伤时所受暴力大小,现场场地情况。凡属高处坠落致伤时还要介绍坠落高度,伤员最先着落部位或间接击伤部位,坠落过程中是否有其他阻挡或转折。
2)高处坠落的伤员,在已诊有颅骨骨折时,即使伤者当时神志清楚,但若伴有头痛、头晕、恶心、呕吐等症状,仍应劝留医院严密观察。
3)在模板倒塌、土方陷落、交通等事故中,在肢体受到严重挤压后,局部软组织因缺血而呈苍白,皮肤温度降低,感觉麻木,肌肉无力。一般在解除肢体压迫后,应马上用弹性绷带绕受伤肢体,以免发生组织肿胀,还要给以固定少动,以减少延毒性分解产物的释放和吸收。在这种情况下的伤肢就不应该抬高,不应该进行局部按摩,不应该施行热敷,不应该继续活动。
4)胸部受伤的伤员,实际损伤程度常较胸壁表面所显示的损伤面更为严重,有时甚至完全表里分离。如伤员胸壁皮肤完好无伤痕,但已有肋骨骨折存在,甚至还伴有外伤性气胸和血胸,要高度提高警惕,以免误诊,影响救治。在下胸部受伤时,要想到腹腔内脏受击伤引起内出血的可能。
5)引起创伤性休克的`主要原因是创伤后的剧烈疼痛、失血引起的休克以及软组织坏死后的分解产物被吸收而中毒。处于休克状态的伤员要让其安静、保暖、平卧、少动,并将下肢抬高约200左右,及时止血、包扎、固定伤肢减少创伤疼痛,尽快送到医院进行抢救治疗。
5.2.3急性中毒的现场抢救
急性中毒是指在短时间内,人体接触、吸入、食入毒物,大量毒物进入人体后,致使肌体突然发生的病变,是威胁生命的急症。在施工现场如一旦发生,应尽快确诊,并迅速给予紧急的处理。并积极的分秒必争地给予妥善的现场处理后,及时转送医院。从而提高中毒人员的抢救成效率。
(1)急性中毒现场救治原则
1)不论是轻度还是严重中毒人员,不论是自救还是互救、外来救护工作,均应设法尽快使中毒人员脱离中毒现场、中毒物源,排除吸收的和未吸收的毒物。
2)根据中毒的不同途径,采取以下相应措施:
①皮肤污染、外表接触毒物:如在施工现场接触油漆、涂料、沥青、外掺剂、添加剂、化学制品等有毒物品中毒时,应脱去污染的衣物并用大量的微温水清洗污染的皮肤、头发以及指甲等,对不溶于水的毒物用适宜的溶剂进行清洗。
②吸入毒物(有毒的气体):如进入下水道、地下管道、地下的或密闭的仓库、化粪池等密闭不通风的地方施工;环境中有毒有害气体及氧焊割作业、乙炔气中的磷化氢、硫化氢、煤气(一氧化碳)泄露;二氧化碳过量;油漆、涂料、保温、粘合等施工时;苯气体等作业产生的有毒有害的气体的吸入造成中毒时。应立即使中毒人员脱离现场,施救人员在抢救时要佩戴防毒面具或给氧面具,并在抢救和救治时应加强通风及吸氧。
③食入毒物:如误食发芽的土豆、未熟扁豆等动植物毒素及变质食物、混凝土添加剂中的亚硝酸钠、硫酸钠和酒精等中毒,对一般神志清者应设法催吐:喝微温水300~500mL,用压舌板等刺激咽喉壁或舌根部以催吐,如此反复,直到吐出物为清亮物体为止。对催吐无效或神智不清者,则可给予洗胃,洗胃一般宜在送医院后进行。
(2)急性中毒急救注意事项
①救护人员在将中毒人员脱离中毒现场的急救时,应注意自身的保护,在有毒有害气体发生场所,应视情况,采取加强通风或用湿毛巾等捂着口鼻,腰系安全绳由场外人控制、应急,如有条件要使用防毒面具。
②常见食入中毒的解救,一般在医院进行,吸入毒物中毒人员应尽可能送往设有高压氧舱的医院救治。
③在施工现场如已发现心跳、呼吸不规则或停止呼吸、心跳时间不长,则应把中毒人员移到空气新鲜处立即施行口对口(口对鼻)呼吸法和体外心脏挤压法进行急救。
5.2.4触电急救
触电事故是人体触及带电体,带电体与人体之间闪击放电或电弧波击人体时,电流流过人体而与大地或其它导体形成闭合回路。触电事故发生得十分突然,往往在极短时间内造成不可挽回的后果。一旦发生触电事故,必须立即使触电者脱离电源,及时迅速抢救。
(1)触电的急救细则
1)发生人身触电事故时,首先尽快使触电者脱离电源,迅速急救,关键是“快”。
2)根据不同的触电事故,采取不同的方法使触电者脱离电源:
1、对于低压触电事故,可采用下列方法:
①如果触电地点附近有电源开关或插头,可立即拉开电源开关或拔下电源插头,以断开电源。
②可用有绝缘手柄的电工钳、干燥木把的铁锹等切断电源线。也可用干燥木板等绝缘物插入触电者身下,以隔断电源。
③当电线搭在触电者身上或被压在身下时,可用干燥的衣服,手套,绳索,木板,木棒等绝缘物为工具,拉开提高或挑开电线,使触电者脱离电源。切不可直接去拉触电者。
2、对于高压触电事故,可采用下列方法;
①立即通知有关部门停电。
②带上绝缘手套,穿上绝缘靴,用相应电压等级的绝缘工具按顺序拉开开关。
③用高压绝缘杆挑开触电者身上的电线。
3)脱离电源后,要及时迅速对症抢救:
①如果触电者伤势不重,神志清醒或曾一度昏迷,但已清醒过来,应使触电者安静休息,不要走动,严密观察并请医生前来诊治或送医院。
②如果触电者伤势较重,已失去知觉,但心跳和呼吸还存在,应将触电者抬至空气畅通处,解开衣服,让触电者平直仰卧,并用软衣服垫在身下,使其头部后仰比肩膀低,并保持呼吸道畅通,以免妨碍呼吸,如天气寒冷要注意保温,并速请医生诊治或送往医院,如果发现触电者呼吸困难,发生痉挛,应立即准备对心脏停止跳动或呼吸停止后的抢救。
③如果触电者伤势严重,呼吸停止或心脏停止或二者都已停止,应立即进行口对口人工呼吸及胸外心脏挤压法进行抢救。并请医生诊治或送往医院。
(1)触电急救的注意事项
①使触电者脱离电源时,作好自身防护,避免再触电。
②在送伤者去医院的途中,不应停止抢救,因许多触电者就是在送往医院的途中死亡的。
③对触电者,特别高空坠落的触电者,要特别注意搬运问题,避免因搬运和移动不当导致再次伤害。
6、意外事故和紧急情况的处理
6.1、伤亡事故的报告
发生伤亡事故后,负伤者或最先发现事故人,应立即报告项目经理部负责人。项目经理部负责人在接到重伤、死亡、重大死亡事故报告后,应按规定在第一时间内向院或地方政府部门报告,企业负责人接到重伤、死亡、重大死亡事故报告后,应立即报告企业主管部门和当地政府有关部门。事故报告流程见事故报告流程图。
6.2、现场保护
事故发生后,项目负责人和有关人员接到伤亡事故报告后,要迅速赶到事故现场,立即采取有效措施,指挥抢救受伤人员,同时对现场的安全状况作出快速反应,排除险情,制止事故蔓延扩大,稳定施工人员情绪,要做到有组织有指挥。同时,要严格保护事故现场,因抢救伤员、疏导交通、排除险情等原因、需要移动现场物件时,应当做出标志,绘制现场简图,并做出书面记录,妥善保存现场重要痕迹、物件,并进行拍照或录象。必须采取一切可能的措施如安排人员看守事故现场等,防止人为或自然因素对事故现场的破坏。清理现场必须在事故调查组取证完毕,并完整记录在案后方可进行。在此之前,不得借口恢复施工,擅自清理现场。
6.3、事故调查
事故调查工作必须坚持实事求是,尊重科学的原则。事故调查组成员一般由院领导、安全部门、工会、监察及与事故相关部门负责人组成。
事故调查组有权向事故发生单位、有关人员了解情况和索要有关资料,各有关单位和个人有义务协助调查组查清事故真相,不得以任何借口拒绝。
事故调查完毕后,事故调查组要写出详细的事故调查报告报院的主要领导和上级主管部门。
6.4、事故处理
1)事故调查组提出事故处理意见。由院主管部门、技术部门对事故现场设施设备的恢复使用及防范措施制定方案,由院安全部门监督项目组织实施,项目经理部负责落实处理。
对事故责任者的处理,在调查组建议意见的基础上由院领导集体研究决定。
2)因忽视安全生产、违章指挥、违章作业、玩忽职守或者发现事故隐患、而不采取有效措施以致造成伤亡事故,由企业主管部门给予企业负责人和直接责任人员行政处分;构成犯罪的由司法机关依法追究刑事责任。
7、应急预案的评价及调整
对以下两种情况,生产部门应组织进行评价总结
1应急演习预案结束后一周内;
2潜在事故或紧急情况发生时,调查处理完毕后一周内;
评价应由生产部门组织,事故发生时项目及有关部门,各项目应急负责人员应参加
应急预案评价总结应对预案的合理性、抢救方法、实施效果等进行评价,并提出改进意见。
应急预案评价总结应形成书面文件,包括会议主持者、参加者、日期、评价意见、不足之处、改进建议等有关内容,应急预案评价总结应在评价会议后15日内报送院安全部门。
2、应急行动的资源配置
应急计划确立后,根据项目经理部施工场区所在位置的具体条件以及周边应急可用资源情况,按半小时自救的应急能力,配置合理的应急行动物资资源和人力资源,报院总部档案室备案。一般现场应配备的应急物资主要有:
①医疗器材:氧气袋、塑料袋、小药箱;
②抢救工具:一般工地常备工具即基本满足使用;
③照明器材:手电筒、应急灯36V以下安全线路、灯具;
④通讯器材:电话、手机、对讲机、报警器;
⑤交通工具:工地常备一辆值班面包车,该车轮值班时不应跑长途;
网络安全应急响应系统 篇3
网络安全事件指影响计算机系统与网络安全的不正当行为。网络安全事件一般在很短时间内产生, 且引起的损失巨大。应对网络事件关键是速度与效率。应急响应 (即“Incident Response) , 指某组织为了应对意外事件发生所做的准备及事件发生后采取的措施。本文网络安全事件的应急响应则指应急响应组织根据对可能情况的准备, 在网络安全事件发生后, 尽快作出正确反应, 减少损失或尽快恢复正常运行, 追踪攻击者, 搜集证据直至采取法律措施等行动。网络安全事件应急响应的对象, 又称应急响应的客体, 指:针对计算机与网络信息的安全事件。除了传统的针对保密性、完整性和可用性分类外, 广义上应急响应的对象还包括:扫描等违反安全政策的事件。应急响应过程包含三种角色:事件发起者、事件受害者与应急响应的人员。应急响应是被动性的安全体系。它的作用主要表现:1、事先的充分准备;2、事件发生后的采取的抑制、根除和恢复等措施。
(一) 入侵检测
应急响应由事件引发, 同时发现事件依靠检测手段。入侵检测技术指由系统自动完成的检测, 是目前最主要检测手段 (IDS) 。
(二) 事件隔离与快速恢复
首先, 在检测基础上, 确定事件类型和攻击源后, 对于安全性、保密性要求高的环境, 应及时隔离攻击源, 制止事件影响进一步恶化;其次, 对外提供不可中断服务的环境, 如运营平台、门户网站等, 应急响应过程应侧重考虑尽快恢复系统并使之正常运行。这其中涉及事件优先级认定、完整性检测及域名切换等技术。
(三) 网络追踪和定位
确定攻击者网络地址及辗转攻击路径, 在现在的TCP/IP网络基础设备上网络追踪及定位很困难;新的源地址确认的路由器虽然能够解决问题, 但它与现在网络隐私保护存在矛盾。
(四) 取证技术
取证是一门针对不同情况要求灵活处理的技术, 它要求实施者全面、详细的了解系统、网络和应用软件的使用与运行状态, 对人的要求十分的高 (这一点与应急响应本身的情况类似) 。目前主要的取证对象是各种日志的审计, 但并不是绝对的, 取证可能来自任何一点蛛丝马迹。但是在目前的情况下, 海量的日志信息为取证造成的麻烦越来越大。
二、网络安全事件应急响应联动系统模型
网络安全事件应急响应联动系统模型是从应急响应组及协调中心发展起来的一套应急响应联动体系。它立足于协调地理分布的人力与信息等资源, 协同应对网络安全事件, 属于应急响应组织发展后期的组织形式。联动含义:1、组织间的协作;2、功能上统一;3、网络安全策略上联合。
(一) 联动系统的体系结构
1、应急响应协调中心。是信息共享、交换与分析中心, 负责协调体系正常运行, 属于联动系统的核心。
2、应急响应组。应急响应组以应对网络安全事件为目标, 根据技术力量与资源状况设置机构, 甚至承担部分协调中心功能。
3、客户。客户方应在应急响应组协助下进行风险分析、建立安全政策与设立联系人员, 增强自身主动防御能力及采取合理措施能力。
(二) 应急响应协调中心
应急响应组织具备四核心功能:分类、事件响应、公告与反馈;与此同时还具有非核心功能:分析、信息整理、研发、教育及推广。
1、研发。
研发部门, 也是实验部门, 主要负责研究安全技术与安全工具, 以及与网络相关的技术测试、系统测试、产品测试、漏洞测试等。
2、专家顾问。
技术专家对于确定研究与形势影响很大。法律顾问与客户、其他应急响应组织的合作及与法律部门、新闻媒体等合作应有法律依据。
3、信息整理与事件跟踪。
体系内的具备ISAC功能机构, 该部门承担着公告、反馈和信息整理的功能, 在研发机构协助下实现信息资源 (包括漏洞及补丁信息、新闻动态、技术文献资料、法律法规、公告、安全警报、安全政策、建议等) 共享, 还应提供网站资源链接, 常见问题 (FAQ) , 常用工具, 技术论坛与事件及漏洞的上报渠道等。
4、应急响应。
是一线应对事件的机构。响应是联动系统的根本任务, 但是联动系统的响应人员在响应过程中可得到体系援助, 使应急响应更及时有效。
5、联络。
协调应急响应组、应对事件的联动响应及与客户联络。联络中心应具有对应急响应组的约束力, 并与该部门承担应急响应功能。
6、培训。
包括对组织内人员的技术培训、固定客户的技术支持与培训和面向社会的安全培训三个方面, 是保持体系键康发展, 提高客户合作能力的机构。
7、公共关系。
负责处理应急响应不能回避的与法律组织、媒体、行政部门、科研组织等实体的关系, 以及与其他应急响应组织间的联络与合作;承担部分推广的功能。
8、管理机构。
协调中心及联动系统运作。
(三) 联动系统的功能
联动系统功能包括两方面:1、提供安全事件的应急响应服务;2、信息共享、交换与分析。两功能互相融合、取长补短, 使应急响应更加高效、便捷。
1、协调应急响应。在事件响应过程中, 响应人员通过网络或传真方式向组织报告事件详细信息, 并取得帮助与建议, 最终完成响应。依靠资源共享与联动响应期间各响应组的密切联系, 响应过程中响应人员得到的建议。事件响应结束后, 响应人员要完成事件跟踪报告与总结, 并由中心备案。
2、信息共享、交换和分析。信息整理与公告功能是维护网络安全的主动防线。中心通过对组织的安全信息进行统计分析, 找出易发生的安全事件, 并以预警信息结合预防建议的形式发布, 遏制类似事件发生;中心在安全信息整理和共享等的贡献可大提高应急响应质量, 对响应人员和客户方的在线帮助意义重大义。
三、模型其它重要内容
(一) 应用应急专线与无线通信手段
在报告事件时, 受害者的理想方式:通过网络, 交互性较强。但为防止网络受到破坏性攻击、须预先设定紧急联系手段。对事件的即时报告、意见反馈、协调中心或其它帮助都通过响应人员与中心联系实现。除应急响应过程中的联系, 客户报告事件也应在网络或专用软件外拥有应急报告方式, 比如传真、移动电话。
(二) 事件并行处理的协调
协调中心须实现为事件开辟联动空间保证其独立、高效及可持续。
(三) 信息共享与隐私保护以及配套法律建设
联动系统的本就是实现质信息共享。敏感信息应予以保护, 比如客户声誉、稳私、机密等。联动系统的信息共享不是完全共享, 而是多级权限的共享。此外取证效力及责任、损失鉴定及量刑等的配套法律建设不完善, 联动系统也应根据实践建立起自身的规范约束。
(四) 异地数据备份与同步和自身的健壮性
应急响应联动系统要求一定权限的数据由协调中心及应急响应组互为备份。依靠体系地理分布实现数据异地备份, 保证数据安全性。
参考文献
[1]蒋建春.黑客攻击机制与防范[J].计算机工程.2008.
网络安全应急响应系统 篇4
一、单项选择题(共25题,每题2分,每题的备选项中,只有1个事最符合题意)
1、[2011年考题]当可燃性固体呈粉体状态,粒度足够细,飞扬悬浮于空气中,并达到一定浓度时。在相对密闭的空间内,遇到足够的点火能量,就能发生粉尘爆炸。下列各组常见粉尘中,都能够发生爆炸的是。A:纸粉尘、煤粉尘、粮食粉尘、石英粉尘 B:煤粉尘、粮食粉尘、水泥粉尘、棉麻粉尘 C:饲料粉尘、棉麻粉尘、烟草粉尘、玻璃粉尘 D:金属粉尘、煤粉尘、粮食粉尘、木粉尘 E:立即转移账户上的资金
2、对氰化钠、氰化钾及其他氰化物的污染,可用__的水溶液浇在污染处。A.硫化铁 B.硫代硫酸钠 C.硫酸二甲酯 D.有机磷
3、非接触式火灾探测器适宜探测发展__的火灾。A.较快 B.较慢 C.稳定 D.前期
4、用人单位购买的劳动防护用品必须具有三个证书,其中不包括__。A.生产许可证 B.产品合格证 C.质量鉴定证 D.安全鉴定证
5、[2011年考题]为了防止机床事故应对机床易损件进行检测,以及时发现易损件的缺陷。检测人员应了解各零部件容易出现的问题,做到检测时心中有数。下列现象中,不属于滚动轴承常出现的问题是。A:磨损 B:化学腐蚀 C:滚珠砸碎 D:油压降低
E:立即转移账户上的资金
6、按照我国2004年实施的《道路交通安全法》规定,电动车属于__。A.机动车 B.非机动车 C.助力车 D.自选车
7、下列选项中,可能发生爆炸的粉尘的最小浓度有误的是__。A.各种煤尘为30~40g/m3 B.淀粉为9g/m2 C.糖为10.3g/m3 D.铝及硫磺为7g/m3
8、根据《工伤保险条例》的规定,关于工伤保险的适用范围的表述中,错误的是__。A.工伤保险的主体中的各类企业不仅包括中国企业,也包括外国在华开办的“三资企业”
B.工伤保险适用于中华人民共和国境内各类企业和有雇工的个体工商户从事生产经营的场所及其相关场所
C.有雇工的个体工商户参加工伤保险的具体步骤和实施办法,由县级以上人民政府规定
D.凡是在工作时间和工作场所内工作、从事与本职工作及其有关的其他工作时受到事故
伤害,因公外出受到伤害的职工和雇工,依法享有获得工伤保险补偿的权利 9、1993年国际劳工组织(ILO)通过的《预防重大工业事故公约》中定义事故为“在重大危险设施内的一项生产活动中突然发生的、涉及一种或多种危险物质的严重泄漏、火灾、爆炸等导致职工、公众或环境急性或慢性严重危害的事故”,并将重大事故划分的类型有__。A.由特种设备引起的事故 B.由易燃易爆物质引起的事故 C.由职业危害引起的事故 D.由有毒物质引起的事故
E.由劳动组织与劳动条件引起的事故
10、社会主义法治的中心环节是。A:有法可依 B:有法必依 C:执法必严 D:违法必究
E:相对密度(空气=1)为1.19
11、性格是人们在对待客观事物的态度和社会行为方式中区别于他人所表现出来的那些比较稳定的心理特征的总和。尽管人的性格有千差万别,但就其主要表现形式,可归纳为。
A:冷静型、活泼型、鲁莽型、过分自信型和迟钝型 B:冷静型、活泼型、急躁型、轻浮型和迟钝型 C:冷静型、活泼型、懒惰型、迟钝型
D:冷静型、活泼型、急躁型、过分自信型 E:立即转移账户上的资金
12、[2009年考题]依据《民用爆炸物品安全管理条例》的规定,从事营业性爆破作业活动的单位在办理工商登记时,须持。A:民用爆炸物品生产许可 B:爆破作业人员许可证 C:民爆企业安全生产许可证 D:爆破作业单位许可证
E:相对密度(空气=1)为1.19
13、__安全装置是一种阻止身体的任何部分靠近危险区域的设施。A.隔离 B.跳闸 C.自动 D.控制
14、目前最常用的吊钩断面是__,它的受力情况比较合理,锻造也较容易。A.圆形 B.矩形 C.梯形 D.丁字形
15、安全检查准备阶段的工作内容不包括__。A.确定检查对象、目的、任务
B.查阅、掌握有关法规、标准、规程的要求 C.及时作出决定进行处理
D.制定检查计划,安排检查内容、方法、步骤
16、不属于事故信息电话快报内容的是。A:事故发生的时间、地点
B:事故的简要经过(包括应急救援情况)C:事故发生单位的名称、地址、性质
D:事故已经造成或者可能造成的伤亡人数(包括下落不明、涉险的人数)E:相对密度(空气=1)为1.19
17、根据《职业病防治法》的规定,职业病危害预评价报告应当对建设项目可能产生的职业危害因素及其对工作场所和劳动者健康的影响作出评价,确定危害类别和__。A.危害后果 B.危害登记
C.职业病应急措施 D.职业病防护措施
18、采取吸声、隔热来控制噪声是控制生产性噪声的__措施。A.消除或降低噪声源 B.消除或减少噪声的传播 C.加强个人防护 D.加强健康监护
19、某日16时10分,某厂维修班开始检修连接污油池的输油管线,16时20分,钳工甲将带有底阀的输油管线放入污油池内,当时污油池内油的液面高度为50cm,上面浮有30cm厚的污油,在连接100cm高的法兰时,由于法兰无法对正而连接不上,班长乙去车间喊电焊工丙,17时10分,电焊工丙带着电焊机到达现场,由于是油池附近作业,电焊工丙在现场准备好后,去车间办理动火票,17时20分,钳工甲见丙迟迟没有回来,快到下班时间,于是用电焊开始焊接,焊接3min左右,发生油气爆炸,爆炸将油池顶盖掀开,油池着火,钳工甲在油池附近死亡。该起事故的性质是。A:个人行为 B:刑事案件 C:责任事故 D:非责任事故 E:意外事故
20、依据《矿山安全法》的规定,矿山企业必须从__中按照国家规定提取安全技术措施专项费用。A.矿产品销售额 B.矿长专项资金 C.矿山基建资金 D.矿山安全资金
21、气瓶阀在使用时常见故障是__或轴空转。A.结霜 B.冻结 C.磨损 D.漏气
22、按我国相关法规规定,远洋运输中,凡单件质量超过__t或长度超过__ m的货物,均属重大件货物。A.5;8 B.5;9 C.10;12 D.10;15
23、[2010年考题]《安全生产法》规定,生产经营单位的主要负责人因安全生产责任事故受刑事处罚或者撤职处分的,自刑罚执行完毕或者受处分之日起,年内不得担任任何生产经营单位的主要负责人。A:1 B:2 C:3 D:5 E:相对密度(空气=1)为1.19
24、我国煤矿安全监察实行__的管理体制。A.垂直管理,分级监察 B.横向管理,分级监察 C.属地管理,垂直监察 D.属地管理,分级监察
25、某在建商业大厦的楼板浇筑施工中,突然发生大面积模板垮塌事故,致使16名现场作业人员受伤,其中18人重伤。依据《生产安全事故信息报告和处置办法》,施工单位负责人应当在接到事故报告后于1小时内报告事故发生地县级安全生产监管部门,同时应在小时内报告事故发生地省级安全生产监管部门。A:1 B:2 C:4 D:8 E:相对密度(空气=1)为1.19
二、多项选择题(共25题,每题2分,每题的备选项中,有2个或2个以上符合题意,至少有1个错项。错选,本题不得分;少选,所选的每个选项得 0.5 分)
1、以下对特种设备安全监察人员职责描述错误的是__。A.有权监督有关企业执行我国安全生产的方针、政策和特种设备安全法规的情况
B.有权制订、参与或审定有关特种设备安全技术规程、标准等
C.有权监督有关单位对特种作业人员的培训考核,及制止无证作业人员上岗 D.有权对使用特种设备的单位进行监督检查,发现违章作业的,应立即责令其停止作业
2、在矿山开采方法中,对于液体开采的表述正确的是。A:液体开采又称特殊采矿法
B:是从天然卤水里、湖里、海洋里或地下水中提取有用的物质 C:对有用矿物加以溶解,再将溶液抽至地面后进行提取 D:主要使用热水驱、气驱或燃烧 E:大多数液体采矿是用钻眼法进行的
3、下列不属于停炉保养常用的保养方式的是__。A.压力保养 B.锅外保养 C.干法保养 D.充气保养
4、安全生产工作由__等部分构成。A.源头管理 B.过程控制 C.应急救援 D.事故查处 E.监管监察
5、机械设备运行危区可按运动状态分为静止型危区、回转型危区、往复型危区和复合型危区,其中,属于静止型危区的是__。A.由平动或往复运动的机件形成 B.由复杂运动形成 C.由旋转物件形成
D.尖角、毛刺、带刃锋利的转动部分
6、在机械设备结构可靠性设计要点中,__的目的在于提高可靠性,如果盲目采用,或设计不当将会因增加体积、质量和费用而导致相反的效果。A.储备设计 B.耐环境设计
C.简单化和标准化设计 D.结构安全设计
7、锅炉在运行中受等的影响,容易造成事故,且事故种类呈现出多种多样的形式。A:高温 B:水位 C:操作不当 D:压力 E:腐蚀
8、安全评价报告书的格式中涉有国家核准资质的证书有__。A.评价机构卫生资质证书 B.安全预评价资质证书 C.安全验收评价资质证书 D.安全专项评价资质证书 E.产品质量合格证书
9、安全带的正确挂扣应该是__。A.高挂低用 B.低挂高用 C.同一水平D.低挂低用
10、《劳动法》规定,各级工会依法维护劳动者的合法权益,对用人单位进行监督。
A:遵守劳动法律、法规的情况 B:生产情况 C:财物情况 D:经营业务
E:相对密度(空气=1)为1.19
11、[2011年考题]在作业活动中,由于人的心理因素的影响会导致事故的发生。安全心理学是针对人的心理因素进行的研究,王要内容包括能力、气质、情绪与情感、意志等。下列选项中属于能力有。A:自律能力
B:感觉和感知能力 C:思维能力 D:注意力 E:操作能力
12、下列不属于生产安全事故善后处理费用的是。A:处理事故的事务性费用 B:现场抢救费用 C:补助及救济费用 D:清理现场费用 E:食品生产企业
13、链环直径磨损达原直径的10%时,应__。A.报废 B.修复 C.正常使用
D.进行负荷试验
14、特种设备行政许可制度实施 A:特种设备设备准用制度
B:特种设备市场准入制度和设备准用制度 C:特种设备安全预案制度 D:特种设备市场准入制度 E:食品生产企业
15、标准起草工作组对征求来的意见进行归纳、整理,逐条由起草人提出处理意见,然后经标准起草工作组集体讨论、确定。对意见的处理,大致有等情况。A:采纳 B:部分采纳 C:不采纳
D:由起草人决定
E:待试验后确定,对此应安排试验项目和试验要求以及工作计划 16、2010年8月7日,某镇煤矿发生瓦斯爆炸事故,事故造成人员死亡29人。该煤矿上年产量为3万吨,税利为60万元,企业上年平均职工人数是105人,企业上年工作日数是300天,这次事故因人身伤亡所支出的费用是640万元,善后处理费用是130万元,财产损失价值达280万元,停产、减产损失价值20万元,资源损失价值30万元。该煤矿雇工在安全生产方面享有的权利有。
A:有权了解其作业场所和工作岗位存在的危险因素、防范措施及事故应急措施 B:有权拒绝违章指挥
C:发现直接危及人身安全的紧急情况时,有权停止工作撤离作业场所
D:因安全事故受到伤害的从业人员,除依法享有工伤保险外,尚有获得赔偿的权利
E:有权拒绝矿方的强令冒险作业
17、下列关于粉状乳化炸药生产的火灾爆炸危险因素主要来源的说法中不正确的是__。
A.物质危险性
B.生产过程中的高温、撞击摩擦、电气和静电火花、雷电 C.运输与贮存方面的危险性
D.成品乳化炸药具有低的爆轰和殉爆特性
18、为了适应安全生产形势和管理的需要,国务院决定设立__。A.国家安全生产监督管理局 B.国家安全生产管理局 C.国家安全监督管理局 D.国家安全局
19、国务院负责安全生产监督管理的部门对全国安全生产工作实施__。A.综合监督管理 B.综合统一管理 C.综合整治 D.统一监督
20、工厂平面布置中,主厂区应布置在__。A.安全区的上风侧 B.非危险区的上风侧 C.安全区的下风侧 D.非危险区的下风侧
21、以下取得煤炭生产许可证所应当具备的条件的是__。A.有依法取得的采矿许可证
B.矿井生产系统符合国家规定的煤矿安全规程 C.矿长经依法培训合格,取得矿长资格证书
D.特种作业人员经依法培训合格,取得操作资格证书 E.煤矿年生产能力不能低于3万t
22、《最高人民法院、最高人民检察院关于办理危害矿山生产安全刑事案件具体应用法律若干问题的解释》规定,以暴力、威胁方法阻碍矿山安全生产监督管理的,依照《刑法》的规定,以__定罪处罚。A.重大责任事故罪 B.妨害公务罪
C.重大劳动安全事故罪
D.大型群众性活动重大事故罪
23、《安全生产法》在总结我国安全生产管理经验的基础上,将__规定为我国安全生产工作的基本方针。A.以人为本、持续改进 B.安全第一、保证安全 C.质量第一、预防为主 D.安全第一、预防为主
24、依法行政的基本要求包括。A:合法行政 B:合理行政 C:程序正当 D:诚实守信 E:等价有偿
25、应急预案编制结构中的支持附件主要包括应急救援的。A:有关应急功能设置的描述 B:有关的附图表
信息安全应急响应新常态 篇5
当前环境下, 大规模的安全威胁事件时常发生, 从而引发高等级的应急响应活动愈发频繁, 如心脏出血漏洞的爆出、携程系统被攻击等。究其原因, 一方面是随着SOA (面向服务的软件架构) 设计思想的普及, 为缩短开发时间, 各类开源或商业组件获得大规模应用, 这种耦合结构导致任何一个组件出现安全漏洞, 都会影响整个软件系统, 进而影响大量设备和用户。另一方面, 随着漏洞挖掘和利用技术的发展, 更为先进的挖掘和利用方法被发掘出来, 导致被发现和利用的漏洞数量大幅增加。当一个严重漏洞被挖掘出来后, 通过各种社交网络和网络媒体, 在极短的时间内就会迅速传播开来, 针对漏洞的攻击行为也会迅速增加。
一般来说, 漏洞被公开后的72小时内, 属于安全应急响应的“黄金时间”, 如果在这段时间内成功完成响应活动, 系统被“攻陷”的概率就会比较低。但是, 据统计, 信息安全应急响应的时效性 (也直接影响了有效性) 很不如人意, 比如在心脏出血漏洞披露后的72小时内, 国内网站仅有18%的比例进行了修复, 也就是说, 还有72%的网站仍然处于危险状态, 暴露在已经非常活跃的网络攻击之下。由此可见, 针对信息安全事件的大规模应急响应属于一个系统工程, 强调多方协同合作, 单打独斗将无法应付真正的大规模信息安全事件, 及时有效地实施一系列响应活动, 从而获得整体安全性的战略动员和自动化部署能力, 可能更为关键。
新常态下实施有效应急响应的关键因素有如下几点。
1.掌握威胁情报
2015年和2016年RSA大会均强调了威胁情报对于安全监测和应急响应的重要性, 谁收集的有效威胁情报越多, 谁就能在应急响应过程中占据主动。收集到威胁情报后, 安全专家会对其原理、影响范围进行分析, 研究检测和防御的办法。
2.开展有效防御
安全专家研究出威胁情报的防御办法后, 需要将防御办法及时有效地部署, 并以合适的形式推送给用户, 如升级安全系统的各种补丁、插件、特征库、快速App等。
3.提供大规模服务能力
在短时间内对成千上万的设备系统进行升级和修复并不是一件容易的事情。通过不同形式的“软件定义”架构, 逐步建设大规模的自动化部署系统, 例如, 批量地升级系统配置、对系统服务进行重新编排等。此外, 线上线下 (O2O) 安全专家的互动在安全应急响应活动中也非常重要, “线上”可以掌握最新的威胁情报和全局动态, “线下”拥有第一手的数据和实际操作能力, 例如, 实际业务影响判断、现场取证分析等。将线上线下能力融合起来才能发挥最大作用。
4.监视和闭环
监视应急响应活动的最新进展, 并对应急响应活动的效果进行评价, 以便针对性的调整策略。这一步骤需要大范围的数据获取和处理分析能力。
从上述分析可以看出, 无论哪一个因素, 都需要一个多方参与的安全生态链才能打造完成, 这里面需要用户、主管单位、行业机构、安全服务商、产品供应商等多种角色进行协作。归纳起来, 新常态下信息安全应急响应需要“云地人机”四方协同, 如图7所示。
图7中, “云”代表线上、集中远程提供服务、高性能计算、大数据分析能力等;“地”代表线上或线下分布的大量安全产品;“人”代表安全专家、专业领域知识等;“机”代表系统、设备、自动化检测手段等。这四者相互融合, “云地”配合代表着线上与线下、集中与分布的协同;“人机”配合代表着“机”需要向安全专家取证、学习才能加强自身响应能力, 而安全专家则需要有能力掌握并有效使用各种安全系统等。
下面给出一个实例, 对这四者的关系进行说明。某单位突然发现局域网内出现一种新型病毒, 该病毒隐蔽性很强, 单位电脑上安装的杀毒软件无法检测和查杀, 网络管理人员只能求助杀毒软件厂家, 厂家工程师到现场处理, 确认该病毒为最新出现的蠕虫病毒, 必须研发出对应的病毒查杀库, 于是抓取病毒的特征码, 提交给病毒库研发人员。研发人员利用提交的特征码, 很快就研发出新的病毒库, 并部署在厂家云安全服务中心, 启用自动下发程序, 定期向所有安装杀毒软件客户端的电脑推送新的病毒查杀库。杀毒客户端收到最新病毒库后, 立即启用查杀进程, 迅速将该类病毒清除。
在这个病毒爆发应急响应过程中, 云安全服务中心、杀毒软件客户端、厂家工程师及研发人员、自动下发程序分别扮演了“云地人机”的角色, 正是这四者协同配合, 才能在较短的时间内迅速对病毒爆发事件做出有效的响应。
结论
随着新型安全威胁的不断涌现, 企业面临的信息安全环境愈发复杂、恶劣。为减少突发的信息安全事件带来的损失, 企业必须建立完善的应急响应体系, 快速有效的应急响应活动可以有效保证安全威胁发生时, 能够将系统从故障状态迅速切换到应急状态, 保证重要业务系统的连续性。当前很多企业并不重视应急响应, 认为只要花钱引进最新的安全产品, 就能保证信息安全, 这种观点并不正确。
世界上没有绝对的安全, 信息安全领域也不例外, 无论部署多么先进的安全防护系统, 仍然难以避免一些新的管理漏洞和技术漏洞, 特别是当前网络边界无限延伸, 使得事故发生时, 如果没能及时做出响应, 可能会造成不可估量的损失。
本文结合实际案例, 对应急响应PDCERF流程和应急响应预案进行了分析, 并对未来“云地人机”协同配合的发展趋势进行了展望。
网络安全应急响应系统 篇6
随着网络技术飞速发展以及信息化建设的推进,网络得到了广泛的应用,同时,其中的安全威胁也日益明显。虽然网络安全防御技术迅速发展,但实践证明,现实中的安全防护也无法发现和抵御所有的危害。因此,完善的网络安全体系要求必须建立有效的应急响应机制。
应急响应通常指一个组织为了应对各种突发安全事件发生所做的准备以及在事件发生后所进行的处理或采取的措施。自从美国国防部于1989年资助卡内基·梅隆大学建立了世界上第一个计算机应急响应小组(CERT)及协调中心(CC)以来,世界各地成立了众多应急响应组,并在应对网络安全事件的过程中发挥了越来越重要的作用,因而得到了广泛认可。CERT的成立标志着信息安全由传统的静态防护手段开始转变为完善的动态防御机制。在研究信息安全及网络安全防御理论的过程中,美国国防部提出了信息保障IA(Information Assurance)的概念,并给出了包含保护、检测、响应三个环节的动态模型,后来又增加了风险评估、安全策略、恢复环节,组成目前经典的AP2DR2模型,其中的响应环节重点在于针对安全事件的应急处理。我国第一个安全事件响应组织CCERT(中国教育和科研计算机网应急响应组)成立于1999年5月,CNCERT/CC(中国计算机应急响应组/协调中心)也于2000年3月正式成立,并于2002年加入了国际合作组织安全事件响应组论坛(FIRST)[1]。
然而建立完善的计算机网络安全应急响应机制,除实现一个用于提供事件处理服务的应急响应中心之外,还应该结合各种具体的安全事件、安全问题、安全技术,从全局的角度建立一个具备合理的组织结构、高效的信息共享机制、完备的安全研发及服务体制,以及有效的合作协调关系的分布的、动态的、协作的应急响应系统[2]。另外,针对计算机网络安全事件的应急响应也应该是主动地、有预见性地,而不是被动地、仓促地做出响应,它们表现为一系列的人员组织协调和操作步骤[3]。
本文对计算机网络安全事件应急响应的策略体系进行研究,旨在通过对网络安全事件的应急处理过程进行研究,建立一套比较完备的、行之有效的网络安全事件应急响应策略体系,为系统、有序地应对网络安全事件,建立健全网络安全应急响应组织,有效预防、及时控制和最大程度地消除各类网络安全突发事件的危害和影响,提供一定程度上的策略指导。
1 应急响应策略体系的设计原则
策略的制定过程是一个循序渐进、不断完善的过程,因为不可能制定一个策略就能够完全符合、适应网络系统的环境和需求,只能不断地接近目标。对于应急响应策略体系的设计应遵循以下原则:
1) 指导性原则 应急响应策略体系中的策略不是技术解决方案,它应该是一个组织描述处理网络安全事件方法的指导性文件,对整个组织的应急响应工作提供全局性指导。
2) 现实可行性原则 衡量应急响应策略是否合理的尺度首先应该是现实可行性。应急响应策略与现实业务状态的关系是:应急响应策略既要符合现实业务状态,又要能包容未来一段时间内的业务发展要求。
3) 整体性原则 应急响应的策略必须是全网范围内的综合防范,整体联运,任何一环的疏忽都可能导致整个应急响应体系的脆弱性,这一原则同时也体现了信息安全的“木桶原理”。整个应急响应策略体系的设计必须兼顾管理与技术两个方面,而由于管理问题而导致的安全事件更为严重。同时,制定管理策略时必须兼顾技术所能达到的响应能力,在管理上投入足够的精力。
4) 信息共享原则 信息共享是应急响应的关键,在应急响应过程中提供给合作者大量并不关心的信息会收不到实际的效果,反而会降低隐藏其中的重要信息被发现的概率,因此,在实际运作中应该考虑将信息共享的对象和内容加以区分对待,并进行分级和权限设置。
5) 动态性原则 安全事件的复杂性使得在制定具体的应急响应策略时不可能达到尽善尽美,所制订的策略总是会偏重当前状况,而信息安全是动态变化的,信息安全策略需要不断发展,因此,必须实现对策略不断的完善,即必须贯彻安全生命周期的思想。
6) 规范化原则 应急响应策略应该有清晰和完全的文档描述。任何组织,无论大小都应该有相应的应急响应策略,并且有相应的行政措施保证既定的应急响应策略能够被不打折扣地执行。遵守本组织的应急响应策略,应该作为组织成员的基本要求,写入工作表现,并在其工作职能中描述。
7) 可审核性原则 应急响应策略应该是可以被审核的,即能够对组织内各部门对应急响应策略遵守的情况进行审核和评价。
2 网络安全事件应急响应策略体系
2.1 体系框架
根据应急响应策略的设计原则并结合目前计算机网络的实际特点,本文设计的计算机网络安全事件应急响应策略体系的框架如图1所示。
文中设计的计算机网络安全事件应急响应策略体系主要由以下几个部分组成:
1) 应急响应一体化管理策略 该策略主要用于对网络安全应急响应系统一体化建设中各级响应组织的组建提供指导。主要包括:根据单位各部门的现行行政体制结构,提供网络安全应急响应机构的组建方法;研究单位的地理位置分布特点和安全需求情况,确定应急响应组织机构的纵向分布范围;分析应急响应的业务工作特点,设计现实可行的应急响应人员管理策略;利用目前各种信息流通手段,制定便于实施一体化应急响应的信息共享策略。
2) 事前准备策略 该策略用于指导应急响应工作人员为应对将来可能发生的各类网络安全事件进行必要的准备工作,主要包括:对本部门的网络信息系统进行正确的风险评估、确定网络中重要的信息资源、配置适当的安全策略、制定明确的应急响应计划(特殊部门还需要制定业务连续性保障计划以确保这些部门在受到网络攻击时能够持续运行)、准备好在处理网络安全事件时可能用到的各种资源,以及定期组织相关人员进行应急响应的模拟演练。
3) 事中响应策略 该策略是应急响应的关键,主要用于对如何解决事件响应过程中的问题提供指导:即如何检测是否出现了安全事件,问题在哪里,影响范围有多大;如何限制攻击的范围,限制潜在的损失和破坏;如何找出事件根源并彻底根除,防止发生同样的事件;如何把所有被攻破的系统和网络设备尽可能还原到正常的任务状态[4]。
· 检测阶段 要做出初步的动作和响应。根据获得的初步资料和分析结果,估计事件的范围,制订进一步的响应战略,并且保留可能用于司法程序的证据。
· 抑制阶段 目的是限制攻击的范围。抑制措施十分重要,因为太多的安全事件可能迅速失控,典型的事例就是具有蠕虫特征的恶意代码的感染。可能的抑制策略一般包括:关闭所有的系统;从网络上断开相关系统;修改防火墙和路由器的过滤规则;封锁或删除被攻破的登录账号;提高系统或网络行为的监控级别;设置陷阱;关闭服务;反击攻击者的系统等。
· 根除阶段 在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源并彻底清除。对于单机上发生的事件,主要根据各种操作系统平台的具体检查和根除程序进行操作,但是对于大规模爆发的带有蠕虫性质的恶意程序,要根除各个主机上的恶意代码,是十分艰巨的一个任务。很多案例的数据表明,众多的用户并没有真正关注他们的主机是否己经遭受入侵,有的甚至持续一年多,任由感染蠕虫的主机在网络中不断地搜索和攻击别的目标[5]。造成这种现象的重要原因是各网络之间缺乏有效的协调,或者是在一些商业网络中,网络管理员对接入到网络中的子网和用户没有足够的管理权限。
· 恢复阶段 目标是把所有被攻破的系统和网络设备尽可能还原到它们正常的任务状态。恢复工作应该十分小心,避免出现误操作导致数据的丢失。另外,恢复工作中如果涉及到机密数据,需要额外遵照机密系统的恢复要求。
4) 事后总结调整策略 该策略主要用于对安全事件处理后的工作进行指导,包括回顾并整理本次发生的网络安全事件的各种相关信息并进行总结报告的方法步骤,以及事件文档与证据的管理方案。记录的内容,不仅对有关部门的其他处理工作具有重要意义,而且对将来应急工作的开展也是非常重要的积累。
5) 应急响应服务保障策略 该策略主要用于指导如何向上述策略的实施提供必要的服务保障,包括系统维护、人员培训、技术咨询、技术研发、安全公告及法律支持等。
2.2 策略体系的作用对象
单位各类业务网络安全的应急响应策略的制订,必须从网络安全的需求出发,针对应急响应系统的不同组织机构和应急响应处理过程所处的不同阶段进行分别设计,在本文中,针对各类信息网络特点所设计的策略体系中,各个组成元素在网络安全应急响应的处理过程中各自发挥着不同的作用,有着不同的作用对象,如图2所示。
首先,所有策略通过应急响应机构作用于网络。应急响应策略是指导网络管理、使用人员在发生安全事件时如何进行应急处理的文件,就整个信息网络系统而言,它处于系统的上层,属于上层管理性文件,必须依靠必要的机制才能作用于网络。这个机制就是在网络内部建立应急响应机构,在行政管理上构成分级结构,负责单位整个网络的应急响应工作,论文中所设计的各个策略正是通过应急响应中心实施于网络的日常安全管理工作中。
其次,各个策略分别作用于应急处理的不同对象。策略体系中的一体化管理策略,作用于具有分级结构的应急响应中心,用于统一协调、分级管理应急响应工作,在各个应急响应中心间建立信息共享通道,使整个网络的应急响应系统具备整体联动的应急响应处理能力;其它策略,作用于每个应急响应分中心在进行应急响应处理的不同阶段,事前准备策略的作用时间从未发生安全事件一直延续到系统出现异常,主要是指导制订应急响应预案、布置网络安全事件检测系统以及准备各种应急处理所需工具和资源;事中响应策略作用时间从系统发现安全事件一直到安全事件被处理完毕,用于指导发现网络安全事件时如何应对;事后总结策略的作用在事件被处理完毕后,主要用于指导总结每一次安全事件的应急响应处理过程,从中发现应急处理的不足之处;服务保障策略作用于整个应急响应处理过程中,向各个阶段提供应急处理所需的服务。
2.3 组成策略之间的关系
在整个应急响应策略体系中,各个组成部分相互依靠共同作用于受保护的网络,构成完整、有效和动态的应急响应策略体系。
首先,应急响应事前准备策略、事中响应策略和事后总结策略按照时间的先后顺序依次实施,准备策略实施于安全事件发生前,是响应策略的前提和基础,准备策略实施的充分程度将直接影响到事中响应策略实施的有效性;事中响应策略作用于网络安全事件发生后对事件进行处理的紧要关头,是整个应急响应策略体系的核心,既是准备策略的延续又是总结策略的描述对象;事后总结策略作用于安全事件被处理后,是准备策略和响应策略的信息传递纽带,通过事后总结策略能够将事中应急响应策略的缺陷反馈给准备策略,从而使得三者形成一种封闭的循环。
其次,应急响应保障策略作用于上述策略实施的全过程,为策略的实施提供服务保障,制订一个全面性的保障策略能够使应急响应工作得到有力保障,是上述策略能够顺利实施并能发挥作用的关键因素,是上述策略的重要辅助策略。
最后,一体化管理策略作用于不同的应急响应中心,是不同的应急中心所制订的同类型策略在横向上广泛共享的信息通道,它一方面限制上述策略的制订要符合一体化管理的需求,另一方面又能够促进上述策略的不断完善。
3 体系框架的作用过程分析
应急响应策略体系中的每个组成元素都具有相对独立的功能和明确的作用范围或对象,策略之间形成一种互相依靠和促进的关系,共同服务于网络安全的应急响应处理,它们相互协作进行网络安全应急处理的过程如图3所示。
在网络安全事件发生前,应急响应人员积极实施应急响应处理的准备工作,这一阶段属于准备阶段,准备工作由事前准备策略指导完成。已实施准备策略的网络应具备网络安全事件的入侵检测能力,随时监测网络安全情况,当安全事件发生时,通常系统的异常情况首先由网络安全管理人员和网络终端使用人员发现。
这时应急处理进入检测分析阶段,该阶段的处理过程由事中响应策略负责指导,网络操作人员发现可疑情况时应首先进行一次评估,确定是否属于安全事件,如果确定是安全事件或不确定事件原因,则应及时向本部门的网络安全应急响应中心汇报情况,内部应急响应中心根据实际情况进行二次评估,当确定为网络安全事件时,通过鉴证分析和沟通交流,根据事前准备阶段的应急响应计划马上采取必要措施进行处理。
在处理过程中,首先抑制事件的扩散,限制事件的影响范围,如果事件的影响范围可控则进行后续响应处理,主要进行事件的根除、恢复以及跟踪;如果事件的影响范围不可控,有可能在网络内进行蔓延,在这种情况下,应及时向上级汇报安全事件,由上级应急响应中心采取必要措施对安全事件进行控制,向上级汇报安全事件的过程应依据一体化管理策略来实施。
在安全事件处理完毕后,对本次应急处理工作做必要的总结,此时,应急响应处理进入事后总结调整阶段,这个阶段的工作应依据事后总结调整策略进行,通过认真总结,能够发现应急处理工作存在的缺陷,并及时进行调整完善事前准备和事中响应策略。另外,在整个应急响应处理过程中,需要必要的服务保障工作,这部分工作由应急响应服务保障策略指导完成。
4 总 结
本文针对计算机网络的实际情况以及安全需求,结合AP2DR2网络安全动态防御模型,对网络安全事件的应急处理进行了研究,建立了一套比较完备的、行之有效的网络安全事件应急响应策略体系。在网络安全建设进程中,依据此策略体系,可以形成一支强大的、具备高技术基础和灵活运用能力的网络安全事件应急响应组织,来保障网络的安全。
摘要:随着计算机网络技术的发展,资源共享的程度进一步加强,随之而来的网络安全问题也日益突出。结合实际工作经验和研究成果,在研究计算机网络安全应急响应的基本理论、技术和应用情况的基础上,针对指导建立有效的计算机网络安全应急响应机制的相关策略进行重点研究,分析该体系框架的策略组成、策略作用对象、策略间关系及策略的作用过程,并设计了计算机网络安全应急响应策略体系框架。
关键词:应急响应,入侵检测,网络安全,计算机应急响应组
参考文献
[1]冯涛,张玉清,高有行.网络安全事件应急响应联动系统研究[J].计算机工程,2004,30(13):101-103.
[2]连一峰,戴英侠.计算机应急响应系统体系研究[J].中国科学院研究生院学报,2004,21(2):202-209.
[3]王娟,何兴高,等.应急策略自动化研究[J].计算机应用,2006,26(11):2570-2572.
[4]Schultxz E E,shumway R.网络安全事件响应[M].段海新,译.北京:人民邮电出版社,2002.
网络安全应急响应系统 篇7
我国网络与信息安全应急响应体系起步较晚, 它是在原信息产业部的领导下, 成功处理了“红色代码蠕虫”、“SQL杀手蠕虫”、“尼姆达蠕虫”、“口令蠕虫”等大规模的网络安全事件后才正式成立的, 并于2002年8月成功加入了国际最权威的网络安全应急组织合作联盟FIRST。
1 我国网络安全应急响应体系架构
目前, 我国的“国家公共互联网安全事件应急处理体系”总体分为国家级政府、国家级非政府和地方级非政府3个层面。
1.1 国家级政府层面———工信部
工信部主要负责安排网络安全应急协调工作同各部委之间横向协作, 并负责与国外同层次的政府部门和国际组织 (如APEC经济体) 之间进行合作、交流。
1.2 国家级非政府组织层面———国家计算机网络应急技术处理协调中心
协调中心对上接受工信部的领导, 对下领导各省的协调分中心的工作, 利用其网络安全监测平台等技术手段对全国互联网的安全状况进行实时监测, 为国家各个重要信息系统运行部门提供网络安全应急支援, 负责与国际民间网络安全应急组织之间的交流和联系。
1.3 地方级非政府层面———协调分中心
协调分中心主要工作是协调和指导当地的互联网运营商应急组织、省级互联网应急处理支撑单位开展面向地方的应急处理工作, 并负责为地方政府及地方重要网络信息系统运行部门提供网络安全应急支援。
2 应急响应的流程
就应急响应的流程来看, 我国基本采用的是PDCERF方法, 将应急响应流程分成准备、检测、抑制、根除、恢复、总结这6个可循环的阶段。
(1) 准备阶段。使应急响应人员能够尽快检测到入侵事件的发生, 并尽快提高系统的安全级别, 使系统恢复到可信赖的、可靠的运行状态。主要包括确定应急响应安全策略、确定安全事件检测的过程、确定安全事件响应的过程、建立应急预案、准备应急人员和资源、建立支持应急响应的更新策略和规程等几方面。
(2) 检测阶段。主要是判断安全事件是否发生。常用的检测方法有监视并检查网络行为、审查可疑的网络行为和事件等。
(3) 抑制阶段。当检测到入侵事件的确已经发生后, 通过技术手段限制入侵程度, 避免入侵造成更大损失。技术手段包括修改防火墙和路由器的过滤规则、关闭某些服务, 甚至关闭系统等。抑制行为最基本的工作是找到入侵者或入侵的恶意程序。
(4) 根除阶段。借助在准备阶段预备的各种安全工具, 找出事件根源并彻底清除。
(5) 恢复阶段。采用备份机制将被入侵的系统和网络环境还原到正常的工作状态。根据不同的网络环境, 恢复的方法有所不同, 但主要就是恢复用户、恢复系统服务、恢复系统的可用性等。
(6) 总结阶段。通过分析安全事件的发生及处理过程, 有助于提高应急人员的技术水平和应急处理能力, 以应付将来发生的同样事件。对整个安全事件做一次事后分析, 总结处理过程中的得失, 包括处理流程、处理人员、处理手段等, 完善应急响应流程及技术, 编写安全服务报告书、修订安全文档。
3 应急响应平台的主要技术
3.1 操作系统加固优化技术
安全可靠的操作系统是网络应用的基础, 可靠的系统可为整体系统的安全稳定运行提供坚实的保障。操作系统加固优化的方法包括:提高系统的安全级别, 将服务和应用建立在安全级别较高 (如B1级) 的操作系统上;及时修复操作系统的漏洞, 并加强对重要文件、重点进程的监控与管理, 增强操作系统的稳定性和安全性。
3.2 网络陷阱及诱骗技术
网络陷阱:是一种网络安全的动态防护技术, 即通过一个预先设计的、明显存在安全防护弱点的特殊网络环境, 诱骗入侵者。将其入侵行为引入一个可以控制的网络环境, 并通过其它技术手段查明入侵者所使用的方法和技术, 追踪其来源。
网络诱骗技术:主要采用蜜罐技术, 即在一个特殊的环境中, 故意暴露系统弱点等, 诱骗入侵者对系统进行攻击。同时, 为入侵者提供其认为是真实的信息, 从而保护实际系统免受攻击, 并收集攻击信息, 做出相应的认识。
3.3 访问控制技术
访问控制技术包括:入网访问控制, 通过识别与校验用户名和用户口令, 检查用户账号能否进入网络;网络权限控制, 给用户或用户组设定访问权限, 确认用户只能对某些文件或目录执行特定的操作, 以防止用户越权访问;属性安全控制, 网络系统管理员给文件、目录等规定的访问属性。例如, 可读、可写、可执行等, 以确保重要的目录或文件不被用户误删除、执行修改等操作;服务器安全控制, 控制网络的服务器一定要设置密码, 并经常查看日志文件, 确保没有非法登陆。
3.4 入侵检测技术
应急响应由预定的事件进行触发, 而事件是靠检测来发现的, 检测系统则是由系统自动完成的检测技术, 它是能对计算机系统和网络资源的恶意使用行为进行识别和相应处理的系统, 既能监视网络中的事件动态, 还能对非法入侵行为进行报警, 甚至还能自动地采取相应的处理措施, 如关闭服务, 阻止入侵等。
3.5 紧急恢复技术
紧急恢复:在服务器被攻击或者重要数据被破坏后, 可以通过紧急恢复技术进行数据或系统恢复。典型的恢复技术包括系统漏洞修复和数据灾难恢复等。
3.6 网络追踪技术
网络追踪技术包括主动追踪和被动追踪。主动追踪与信息隐形技术有关, 在返回的HTTP报文中加入不易察觉并有特殊标记的内容, 可以在网络中通过检测这些标记来定位网络攻击的路径。被动追踪则是通过记录网络入侵状态下不同节点的网络标识, 分析整个网络在同一时刻不同网络节点处的网络纹印, 找出攻击轨迹。
3.7 数据库安全技术
安全的数据库系统应使用双机以上的热备措施, 一旦数据库崩溃, 应立即启动备用系统, 并对主数据库系统进行维修并作数据恢复。
3.8 取证技术
取证技术是通过对日志或存储介质的检查和分析, 收集网络或计算机中的电子证据。主要的方法有:日志分析技术、数据捕获分析技术、解密技术。
4 结语
浅析计算机网络安全应急响应技术 篇8
一、应急响应的定义
“应急响应”对应的英文是“Incident Response”或“Emergency Response”等, 通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。以下我们从这三个方面解释应急响应的概念:应急的对象是什么?应急响应做什么?
(一) 应急响应的对象
计算机网络安全事件应急响应的对象是指针对计算机或网络所存储、传输、处理的信息的安全事件, 事件的主体可能来自自然界、系统自身故障、组织内部或外部的人、计算机病毒或蠕虫等。按照计算机信息系统安全的三个目标, 可以把安全事件定义为破坏信息或信息处理系统CIA的行为。比如:
1. 破坏保密性的安全事件:
比如入侵系统并读取信息、搭线窃听、远程探测网络拓扑结构和计算机系统配置等;
2. 破坏可用性 (战时最可能出现的网络攻击) 的安全事件:
比如系统故障、拒绝服务攻击、计算机蠕虫 (以消耗系统资源或网络带宽为目的) 等。但是越来越多的人意识到, CIA界定的范围太小了, 比如以下事件通常也是应急响应的对象:
3. 扫描:
包括地址扫描和端口扫描等, 为了侵入系统寻找系统漏洞。
4. 抵赖:
指一个实体否认自己曾经执行过的某种操作, 比如在电子商务中交易方之一否认自己曾经定购过某种商品, 或者商家否认自己曾经接受过订单。
5. 垃圾邮件骚扰:
垃圾邮件是指接收者没有订阅却被强行塞入信箱的广告、政治宣传等邮件, 不仅耗费大量的网络与存储资源, 也浪费了接收者的时间。
6. 传播色情内容:
尽管不同的地区和国家政策不同, 但是多数国家对于色情信息的传播是限制的, 特别是对于青少年儿童的不良影响是各国都极力反对的。
(二) 应急响应做什么
应急响应的活动应该主要包括两个方面:
第一、未雨绸缪, 即在事件发生前事先做好准备, 比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施;
第二、亡羊补牢, 即在事件发生后采取的措施, 其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人, 也可能来自系统, 不如发现事件发生后, 系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。
以上两个方面的工作是相互补充的。首先, 事前的计划和准备为事件发生后的响应动作提供了指导框架, 否则, 响应动作将陷入混乱, 而这些毫无章法的响应动作有可能造成比事件本身更大的损失;其次, 事后的响应可能发现事前计划的不足, 吸取教训, 从而进一步完善安全计划。因此, 这两个方面应该形成一种正反馈的机制, 逐步强化组织的安全防范体系。
(三) 应急响应与安全生命周期
我们把计算机信息系统的安全系统看作一个动态的过程, 它包括制定风险评估、实施事前的预防措施、实施事中的检测措施、以及事后的响应。这四个阶段形成了一个周期, 我们称之为以安全政策为中心的安全生命周期的P-RPDR模型。
其中, 风险分析产生安全政策, 安全政策决定预防、检测、和响应措施。应急响应在这个模型中, 不仅仅是预防和检测措施的必要, 而且对可以发现安全政策的漏洞, 重新进行风险评估、修订安全政策、加强或调整预防、检测和响应措施有很大的促进作用。
计算机网络安全就是网络上的信息安全, 是指网络系统的软件、硬件及系统中的数据受到保护, 不因偶然或恶意的原因造都到破坏、更改、泄漏, 系统连续可靠正常的运行, 网络服务不中断。
应急响应通常指一个组织为了应对各种突发安全事件发生所做的准备以及在事件发生后所进行的处理或采取的措施。计算机网络安全应急响应是一门综合性的技术学科, 技术要求较高, 是对突发安全事件进行响应、处理、恢复、跟综的方法及过程。目前流行的计算机网络安全响应技术主要有以下几种。
二、网络陷阱及诱骗技术
网络陷阱及诱骗技术是近期发展起来的一种网络安全动态防护技术, 它通过一个精心设计的、存在明显安全弱点的特殊系统来诱骗攻击者, 将黑客的入侵行为引入一个可以控制的范围, 消耗其资源, 了解其使用的方法和技术, 追踪其来源, 记录其犯罪证据。不但可研究和防止黑客攻击行为, 增加攻击者的工作量和攻击复杂度, 为真实系统做好防御准备赢得宝贵时间, 还可为打击计算机犯罪提供举证。蜜罐、蜜网是当前网络陷阱及诱骗技术的主要应用形式, 设计以下技术:
1.网络欺骗技术。是蜜罐技术最为关键的核心技术。
是指在一个严格控制的环境中, 利用各种手段, 如故意暴露系统漏洞等, 来诱骗攻击者提供其认为可信的对话信息, 从而保护实际运行的系统免受攻击, 并收集黑客攻击信息, 对黑客做出相应的认识。目前蜜罐的主要欺骗技术有以下几种:模拟端口服务和系统漏洞、IP空间欺骗、网络流量访真、系统动态配置、组织信息欺骗、端口重定向技术等。
2.数据控制技术。是指对蜜罐系统的连接控制和路由
控制。防火墙实现边接控制;允许所有外部数据包进入蜜罐, 但对蜜罐主机的对外边接进行追踪限制;路由器实现路由控制;防止基于蜜罐主机IP的跳转攻击。数据控制的关键是必须在黑客没的察觉的情况下监视并控制所有进出蜜罐的数据流量。
3.数据捕获。是指获取入侵者的活动信息, 如攻击者
键盘操作、屏幕信息以及曾使用过的工具等。并分析攻击者所要进行的下一步活动。难点在于如何获取尽可能多的数据而又不让攻击者发觉。捕获到的数据也不能存放在蜜罐主机上, 应进行异地存储。实现这些要求的关键是分层捕获数据。首先是通过防火墙来实现数据捕获, 这层主要是对出入蜜罐系统的网络连接进行日志记录。其次是由入侵检测系统来实现, 这层主要是捕获所有系统日志、用户击键序列和屏幕显示等。这些数据通过网络传送到远程日志服务器上, 防止黑客销毁证据。
摘要:文章对网络入侵检测、安全系统防范、应急恢复、网络陷阱及诱骗等应急响应关键技术进行简要介绍。
网络安全应急响应系统 篇9
现在计算机网络技术应用到各个行业与领域,现在很先进的计算机技术都依赖于成熟的互联网技术,比如云计算技术以成熟的互联网技术搭建的数据平台进行数据挖掘,物联网技术以互联网技术为平台应用到各个行业,都取得一定成绩。现在网络用户越来越多,出现的问题也越来越多,本来互联网技术就不是很稳定,网络安全问题经常出现,但现在人们都希望计算机网络安全可靠,现在在互联网中数据传输过程中,我们都依靠了很多技术,比如加密技术等,保障数据在网络传输过程中,数据不丢失,保障数据的正确性。在网络上进行交易过程中,由于网络安全问题,每年大约都有上百亿元的损失,因此可以看出来计算机网络安全的重要,解决网络安全问题,是当今网络技术中最重要的工作。
1 计算机网络安全的概述
计算机网络安全就是保证数据在网络传输过程中,保障数据安全传递过程中不丢失,不受到病毒等攻击。一旦数据泄露会带来后果非常严重。而对于计算机网络安全,涵盖了所有与计算机安全、保密、真实特点相关的理论与技术,狭义上指的是计算机信息安全,重点维护计算机信息的安全与保密性,避免外来人为的系统恶意破坏、更改以及数据泄漏,盗取计算机网络上的信息等危害计算机网络合法用户实际权益的行为。根据计算机网络安全隐患的类型,可以采取提高计算机系统网络维护,设置计算机信息安全保护密码等有效途径来提高计算机网络维护,避免出现计算机信息泄漏,真正的实现计算机网络系统的安全保密。计算网络安全在计算机网络应用过程中是非常重要的,现在计算网络安全技术还不能完全保障,数据在网络传输过程中完全安全,但学者们在不断研究网络安全技术,网络安全技术一天比一天成熟,网络用户越来越多,终究有一天计算机网络会非常安全的,会给人们的生活带来了更大方便,现在网络交易是未来社会发展的大势所趋。
2 计算机网络的安全隐患
2.1 操作系统的不完善
现在的计算机操作系统基本都是Windows系列,这类网络操作系统都有一定的漏洞,在上网的过程中,都是黑客与计算机病毒攻击的对象,一旦计算机系统被攻击以后,计算机系统就不能正常工作,用户的密码要被黑客等破解,就可以任意的登陆该计算机系统,使该计算机的信息全部泄露,给计算机系统带来了一定的安全威胁,促使计算机系统加密是必然的要求。要是计算机病毒侵入该计算机系统,对计算机硬件也有一定破坏,计算机主板、CPU等都会产生一定影响,影响计算机正常工作性能。软件受到攻击,数据在传输过程中,信息会造成一定丢失,这都给计算机系统的安全带来一定威胁,影响了人们正常工作与学习。在某些方面又实现了计算机网络的集成性。但是在计算机操作系统中,许多系统自身都会存在一定的漏洞,这样的漏洞往往给计算机网络安全造成巨大威胁。因此,只有定期的进行计算机操作系统检测、升级,才能逐渐克服操作系统本身的漏洞缺陷。现在对一些网络操作系统,在一些政府部门,大型企业基本都适用UNIX等一些大型的网络操作系统,这样网络操作系统安全,不容易受病毒等攻击。但这类网络操作系统需要专业技术人员使用,不就有大众化,因此推广的价值不大,但对数据安全比较高的部门,一般都有专门的网络工程师进行使用,对网络数据起到重要保护作用。
2.2 网络协议(TCP/IP)漏洞
计算机网络数据能正常传输都依靠网络协议,网络协议是在Internet网络上大家共同遵守的协议,保障正常通信的协议。
根据该体系结构可以看出来,其体系结构在设计过程中存在一定漏洞,数据链路层是网络协议传输过程中的节点,数据传输过程中通过数据节点进行转播,这往往被攻击者认为是数据漏洞,进行数据攻击,计算机网络的攻击者可用进行信道修复技术,其病毒本身就具有潜伏性,在一定程度上进行攻击,从而进行计算机内部的破快活动,对计算机软件、硬件都能进行一定规模的破快,病毒给计算机网络能带来具体威胁,也是计算机网络安全重点的防御对象。其本身具有一定的实际应用意义。
2.3 病毒的广泛传播
计算机病毒本身就具有传播性,网络是计算机病毒传播的渠道,在网络上一旦一台计算机感染了病毒,瞬间或有多台计算机感染病毒,计算机病毒并不都是非常可怕,有的病毒不具有破坏性,但多数病毒具有很严重的破坏性,对单位一些重要的计算机,要安装防病毒软件,没有特殊情况不要与Internet相连接,要有专人管理。这些重要数据一旦泄露,会给企业带来一定经济损失,后果是很严重的。
2.4 计算机网络管理人员的技术水平与防范意识较低
现在网络用户越来越多,现在人们在网络交易比较流行,网络安全保障会受到一定的挑战。尤其现在有很多政府部门都要在网络上办公,比如财务部门现在都是网上缴税等。尤其这些重要部门的计算机需要有专门的管理人员,但现实中许多单位管理人员没有网络管理经验,没有经过一定的培训上岗,对网络安全的防范意识不强。认为计算机上安装了防火墙,杀毒软件就应该没事了,防火墙与杀毒软件对网络上数据是具有一定的保护作用,但管理人员网络防范意识不强,很容易被黑客窃取密码,黑客一旦进入该计算机系统,窃取大量机密文件,对该企业造成不良后果,因此,各部门要重视网络管理人员的素质,定期加强培养,提高网络安全防范意识,这是对计算机网络安全最后的保障。
2.5 黑客的攻击
计算机在网络上进行传输数据,不仅要防范计算机病毒的入侵,计算机病毒是能给用户带来一定的麻烦,但总的来说损失不会太大。但在网络上计算机系统一旦被黑客攻击,后果不堪设想。黑客就是计算机网络高级人才,一般都以赢利为目的,有意的窃取计算机系统的重要数据,一旦数据窃取成功,该企业会受到很大的经济损失,现在黑客在网络攻击时有发生,尤其重要部门计算机要加强保护,保障计算机网络的安全,免于黑客攻击,给自身带来不必要的麻烦。
3 计算机网络的应急响应技术
3.1 防火墙技术
计算机网络安全防火墙技术是最早的网络安全应用技术,分为硬件防火墙与软件防火墙、嵌入式防火墙等。其本身对计算机网络的攻击具有一定的保护作用,其作用主要是从计算机网络内部进行,对网络上数据进行过滤、根据自身的IP地址进行绑定。在防火墙应用过程中,可以进行模块设计,在内部进行数据的隔离,外部进入设置口令卡等确保网络安全技术的维护,防火墙技术能对计算机网络隐患起到一定防范作用,但绝对不是万能的,现在很多黑客,病毒都能通过防火墙过滤,能侵入计算机系统,现在很多机器还有很多网络安全技术应用,用户对计算机网络起到保护作用。
3.2 入侵系统
在计算机网络安全技术中,入侵系统技术也是常用网络安全技术之一。对计算机网络安全的防范具有一定的意义。入侵检测系统能够从检测、识别、分析、评估过程中,来处理非法用户对于计算机网络系统的入侵。这一功能的实现,可以通过在计算机网络系统的内部建立一些防护技术,包括分析器、数据库以及入侵实践生成器与响应等,首先通过这些环节来进行入侵行为的检测。同时,入侵检测系统还能够有效的实现对计算机网络使用者信息的检测,尤其是一些异常行为检测,能够在数据信息保护,病毒入侵预防上发挥巨大作用。计算机网络安全技术入侵系统的应用,网络安全的系数得到了进一步提高。
3.3 数字加密技术
数字加密技术主要分对称与非对称两种,无论那种数据加密技术都是计算机数据在网络传输过程中,对数据起到保护作用。对称加密技术是指数据发送方和接收房都用同一种技术,这类加密技术方便,快捷等优点。非对称加密技术采用不相同的密钥,且具有公钥与私钥之分。这种技术虽然安全性更高,也可以进行身份验证且保持数据的完整性,但目前技术条件下信息接收只能通过私钥进行,实现这种技术还需要网络计算机技术的进一步开发和进步。数据加密技术在电子商务上应用比较广泛,现在网络交易越来越频繁,数字加密技术的应用,确保了网络交易的安全,是提高计算机网络安全的一种有效手段。
3.4 访问控制技术
由于计算机网络系统具有资源共享的功能,因此计算机网络间的访问成为安全隐患的巨大缺口。许多不法分子,利用访问操作,进入其他计算机网络用户的内部,对其重要的数据信息进行更改、泄漏、破坏。因此,要对计算机网络的访问进行严格的把关控制,降低非法用户对自身计算机网络信息访问所带来的安全隐患。
3.5防病毒软件
现在计算机基本都按照防病毒软件,对计算机网络安全提供了保护措施。现在市面上的防病毒软件比较多,例如360杀毒软件、瑞星、卡巴斯基、金山毒霸等。每一种软件都只能对网络病毒起到一定的防范作用,但基本不能阻碍病毒的入侵,但这些软件还是起到一定防范作用。病毒和防病毒都是软件,都是人为的代码程序,所以每种防病毒软件只能起到防范作用,不能把病毒清理干净,随着科学技术的发展,还会有更多的病毒,同时也会有更多的防病毒软件,二者相辅相成,彼此是一个结合体,为计算机网络安全提供了保障。
总之,计算机网络安全是重要的,无论我们使用何种计算机网络安全技术在一定程度上都会受到攻击,计算机网络安全越来人们越重视,很多学者都去研究计算机网络安全技术,计算机网络用户也是越来越多,出现的新问题也与日俱增,网络安全技术也会研究出新的成果,因此计算机网络安全问题是一个长期问题,只能说计算机网络越来越安全,但暂时不能杜绝网络不安全问题发生,网络安全永远是一个需要研究的课题。
参考文献
[1]吴焘.机房网络安全隐患及网络安全技术和对策的应用分析[J].计算机光盘软件与应用.2012.
[2]张冠英.浅析计算机网络安全应急响应技术[J].才智.2012.
[3]房广铎.计算机网络安全应急响应技术浅析[J].才智.2011.
[4]南通.八方面原因导致计算机网速变慢[J].科学24小时.2010.
[5]周建民.浅析计算机网上录取[J].安徽科技.2000.
[6]杨传厚.计算机网中路径选择技术[J].计算机工程.1984.
【网络安全应急响应系统】推荐阅读:
网络信息安全应急响应预案10-23
淮安药监局重大药品和医疗器械安全事故应急响应管理制度10-10
应急物流网络系统10-30
网络系统应急预案09-14
网站、网络安全应急预案08-29
安全应急管理系统技术05-27
某大学网络运维与信息安全应急预案06-07
网络系统安全09-09
农机系统网络安全05-26
网络信息系统安全事件08-12