信息安全與網(wǎng)絡(luò)安全管理考試題及參與答案

1、信息安全與網(wǎng)絡(luò)安全管理考試題及參與答案1、簡(jiǎn)述計(jì)算機(jī)網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是指計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件、數(shù)據(jù)、程序等不會(huì)因?yàn)闊o(wú)意或惡意的原因而遭到破壞、篡改、泄露，防止非授權(quán)的使用或訪問(wèn)，系統(tǒng)能夠保持服務(wù)的連續(xù)性，以及能夠可靠的運(yùn)行。2、什么是系統(tǒng)安全政策？安全政策。定義如何配置系統(tǒng)和網(wǎng)絡(luò)，如何確保計(jì)算機(jī)機(jī)房和數(shù)據(jù)中心的安全以及如何進(jìn)行身份鑒別和身份認(rèn)證。同時(shí)，還確定如何進(jìn)行訪問(wèn)控制、審計(jì)、報(bào)告和處理網(wǎng)絡(luò)連接、加密和反病毒。還規(guī)定密碼選擇、賬戶到期、登錄嘗試失敗處理等相關(guān)領(lǐng)域的程序和步驟。3、如果一個(gè)組織（或企業(yè)）的系統(tǒng)安全管理或網(wǎng)絡(luò)管理人員，接到人事部門(mén)通知被解職，應(yīng)該按照一般的安全策略執(zhí)行那

2、些安全措施？一個(gè)員工離開(kāi)單位，他的網(wǎng)絡(luò)應(yīng)用賬戶應(yīng)及時(shí)被禁用，他的計(jì)算機(jī)接入應(yīng)立即禁止。如果配有便攜筆記本式計(jì)算機(jī)或其它相關(guān)硬件設(shè)備，應(yīng)及時(shí)進(jìn)行收回。同時(shí)，在員工離職時(shí)，他們的身份驗(yàn)證工具如：身份卡、硬件令牌、智能卡等都同時(shí)收回。無(wú)論離職員工何時(shí)是否離開(kāi)，一旦得知該員工即將離職，應(yīng)對(duì)其所能夠接觸到的信息資源（尤其是敏感信息）進(jìn)行備份處理。因?yàn)?，一般情形下，員工的離職是一個(gè)充滿情緒化的時(shí)期，盡管大多數(shù)人不會(huì)做出什么過(guò)分之舉，但是保證安全總比出了問(wèn)題再補(bǔ)救要有效。總之，無(wú)論是雇傭策略還是雇傭終止策略，都有需要考慮當(dāng)?shù)氐恼魏头梢蛩?。在制定策略時(shí)，應(yīng)避免出現(xiàn)如性別和種族歧視等違反法律或一般道德規(guī)范的

3、條款。4、簡(jiǎn)述計(jì)算機(jī)網(wǎng)絡(luò)攻擊的主要特點(diǎn)。損失巨大。由于攻擊和入侵的對(duì)象是網(wǎng)絡(luò)上的計(jì)算機(jī)，所以一旦他們?nèi)〉贸晒Γ蜁?huì)使網(wǎng)絡(luò)中成千上萬(wàn)臺(tái)計(jì)算機(jī)處于癱瘓狀態(tài)，從而給計(jì)算機(jī)用戶造成巨大的經(jīng)濟(jì)損失。威脅社會(huì)和國(guó)家安全。一些計(jì)算機(jī)網(wǎng)絡(luò)攻擊者出于各種目的經(jīng)常把政府要害部門(mén)和軍事部門(mén)的計(jì)算機(jī)作為攻擊目標(biāo)，從而對(duì)社會(huì)和國(guó)家安全造成威脅。手段多樣，手法隱蔽。計(jì)算機(jī)攻擊的手段可以說(shuō)五花八門(mén)。以軟件攻擊為主。幾乎所有的網(wǎng)絡(luò)入侵都是通過(guò)對(duì)軟件的截取和攻擊從而破壞整個(gè)計(jì)算機(jī)系統(tǒng)的。5、簡(jiǎn)述信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估（風(fēng)險(xiǎn)分析）的主要內(nèi)容。（又稱風(fēng)險(xiǎn)分析）指將可能發(fā)生的安全事件所造成的損失進(jìn)行定量化估計(jì)。如某類安全事件發(fā)生的概率、此

4、類安全事件發(fā)生后對(duì)組織的數(shù)據(jù)造成的損失、恢復(fù)損失的數(shù)據(jù)需要增加的成本等。一般情況下，只有結(jié)束數(shù)據(jù)資產(chǎn)評(píng)估后，才能進(jìn)行風(fēng)險(xiǎn)評(píng)估。只有認(rèn)定具有價(jià)值或價(jià)值較高的數(shù)據(jù)才有必要進(jìn)行風(fēng)險(xiǎn)評(píng)估。6、簡(jiǎn)述比較數(shù)據(jù)完全備份、增量備份和差異備份的特點(diǎn)和異同。完全備份：指將所有的文件和數(shù)據(jù)都備份到存儲(chǔ)介質(zhì)中。完全備份的實(shí)現(xiàn)技術(shù)很簡(jiǎn)單，但是需要花費(fèi)大量的時(shí)間、存儲(chǔ)空間和I/O帶寬。它是最早的、最簡(jiǎn)單的備份類型。差異備份：對(duì)上一次完全備份之后才進(jìn)行改變的數(shù)據(jù)和文件才需要進(jìn)行復(fù)制存儲(chǔ)。差異備份與完全備份相比，只需要記錄部分?jǐn)?shù)據(jù)，更為迅速。差異備份分為兩個(gè)步驟：第一步，制作一個(gè)完全備份；第二步，對(duì)比檢測(cè)當(dāng)前數(shù)據(jù)與第一步驟中

5、完全備份之間的差異。故差異備份必須在一次完全備份之后才可能開(kāi)始，而且需要定時(shí)執(zhí)行一次完全備份。這時(shí)的“定時(shí)”時(shí)間段取決于預(yù)先定義的備份策略。差異備份的恢復(fù)也分為兩個(gè)步驟：第一步，加載最后一次的完全備份數(shù)據(jù)；第二步，使用差異備份的部分來(lái)更新變化過(guò)的文件。優(yōu)點(diǎn)：差異備份在備份速度上比完全備份快。但是在備份中，必須保證系統(tǒng)能夠計(jì)算從某一個(gè)時(shí)刻起改變過(guò)的文件。所以從空間上，差異備份只需要少量的存儲(chǔ)空間就可以對(duì)文件或數(shù)據(jù)實(shí)現(xiàn)備份。增量備份：僅僅復(fù)制上一次全部備份后或上一次增量備份后才更新的數(shù)據(jù)。它與差異備份相類似，與差異備份相比，只需要備份上一次任何一種備份之后改變的文件。所以，其備份速度更快。但是，增

6、量備份數(shù)據(jù)或文件的恢復(fù)方法稍微復(fù)雜，它需要在某個(gè)完全備份恢復(fù)的數(shù)據(jù)基礎(chǔ)上，然后將該時(shí)間點(diǎn)以后所有的增量備份都更新到數(shù)據(jù)庫(kù)中。具備份空間占據(jù)，比差異備份所需的空間更少。每種備份方式都各有優(yōu)缺點(diǎn)，采用時(shí)，需要在備份策略中仔細(xì)評(píng)估每一種備份方式的時(shí)用性，最終選擇備份方法。備份類型比較表：完全備份差異備份增量備份德?tīng)査浞菟杩臻g大中等中等小恢復(fù)簡(jiǎn)單簡(jiǎn)單麻煩復(fù)雜備份速度慢較快快最快7、說(shuō)明信息安全等級(jí)保護(hù)一般分為幾個(gè)等級(jí)，并簡(jiǎn)述第三級(jí)信息安全保護(hù)的要求內(nèi)容。信息系統(tǒng)根據(jù)其在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，

7、由低到高劃分為五級(jí)。具體的安全保護(hù)等級(jí)劃分為以下五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共安全。第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成嚴(yán)重?fù)p害8、物聯(lián)網(wǎng)安全問(wèn)題主要表現(xiàn)在那幾個(gè)方面?目前，互聯(lián)網(wǎng)在發(fā)展過(guò)程中遇到了兩大體

8、系性瓶頸，一個(gè)是地址不夠，另一個(gè)是網(wǎng)絡(luò)的安全問(wèn)題。地址的問(wèn)題通過(guò)IPv6能夠解決，但是網(wǎng)絡(luò)安全問(wèn)題目前卻沒(méi)有好的解決之道。如果不能解決網(wǎng)絡(luò)的可管、可控以及服務(wù)質(zhì)量問(wèn)題，將會(huì)在很大程度上影響物聯(lián)網(wǎng)的進(jìn)一步發(fā)展。根據(jù)物聯(lián)網(wǎng)自身的特點(diǎn)，物聯(lián)網(wǎng)除了面對(duì)移動(dòng)通信網(wǎng)絡(luò)的傳統(tǒng)網(wǎng)絡(luò)安全問(wèn)題之外，還存在著一些與已有移動(dòng)網(wǎng)絡(luò)安全不同的特殊安全問(wèn)題。這是由于物聯(lián)網(wǎng)是由大量的機(jī)器構(gòu)成，缺少人對(duì)設(shè)備的有效監(jiān)控,并且數(shù)量龐大，設(shè)備集群等相關(guān)特點(diǎn)造成的，這些安全問(wèn)題主要有以下幾個(gè)方面。(1)物聯(lián)網(wǎng)機(jī)器/感知節(jié)點(diǎn)的本地安全問(wèn)題由于物聯(lián)網(wǎng)的應(yīng)用可以取代人來(lái)完成一些復(fù)雜、危險(xiǎn)和機(jī)械的工作。所以物聯(lián)網(wǎng)機(jī)器/感知節(jié)點(diǎn)多數(shù)部署在無(wú)人監(jiān)

9、控的場(chǎng)景中。那么攻擊者就可以輕易地接觸到這些設(shè)備，從而對(duì)他們?cè)斐善茐?，甚至通過(guò)本地操作更換機(jī)器的軟硬件。(2)感知網(wǎng)絡(luò)的傳輸與信息安全問(wèn)題感知節(jié)點(diǎn)通常情況下功能簡(jiǎn)單(如自動(dòng)溫度計(jì))、攜帶能量少(使用電池)，使得它們無(wú)法擁有復(fù)雜的安全保護(hù)能力，而感知網(wǎng)絡(luò)多種多樣，從溫度測(cè)量到水文監(jiān)控，從道路導(dǎo)航到自動(dòng)控制，它們的數(shù)據(jù)傳輸和消息也沒(méi)有特定的標(biāo)準(zhǔn)，所以沒(méi)法提供統(tǒng)一的安全保護(hù)體系。(3)核心網(wǎng)絡(luò)的傳輸與信息安全問(wèn)題核心網(wǎng)絡(luò)具有相對(duì)完整的安全保護(hù)能力，但是由于物聯(lián)網(wǎng)中節(jié)點(diǎn)數(shù)量龐大，且以集群方式存在，因此會(huì)導(dǎo)致在數(shù)據(jù)傳播時(shí)，由于大量機(jī)器的數(shù)據(jù)發(fā)送使網(wǎng)絡(luò)擁塞,產(chǎn)生拒絕服務(wù)攻擊。此外,現(xiàn)有通信網(wǎng)絡(luò)的安全架構(gòu)都

10、是從人通信的角度設(shè)計(jì)的，并不適用于機(jī)器的通信。使用現(xiàn)有安全機(jī)制會(huì)割裂物聯(lián)網(wǎng)機(jī)器間的邏輯關(guān)系。(4)物聯(lián)網(wǎng)業(yè)務(wù)的安全問(wèn)題由于物聯(lián)網(wǎng)設(shè)備可能是先部署后連接網(wǎng)絡(luò)，而物聯(lián)網(wǎng)節(jié)點(diǎn)又無(wú)人看守，所以如何對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行遠(yuǎn)程簽約信息和業(yè)務(wù)信息配置就成了難題。另外，龐大且多樣化的物聯(lián)網(wǎng)平臺(tái)必然需要一個(gè)強(qiáng)大而統(tǒng)一的安全管理平臺(tái),否則獨(dú)立的平臺(tái)會(huì)被各式各樣的物聯(lián)網(wǎng)應(yīng)用所淹沒(méi)，但如此一來(lái)，如何對(duì)物聯(lián)網(wǎng)機(jī)器的日志等安全信息進(jìn)行管理成為新的問(wèn)題，并且可能割裂網(wǎng)絡(luò)與業(yè)務(wù)平臺(tái)之間的信任關(guān)系導(dǎo)致新一輪安全問(wèn)題的產(chǎn)生。二、應(yīng)用論述題。1、分析信息安全的弱點(diǎn)和風(fēng)險(xiǎn)來(lái)源。(1)信息安全的木桶理論木桶理論：一個(gè)由許多長(zhǎng)短不同的木板箍成

11、的木桶，決定其容水量大小的并非是其中最長(zhǎng)的那塊木板或全部木板的平均值，而是取決于其中最短的那塊木板。在信息安全中，認(rèn)為信息安全的防護(hù)強(qiáng)度取決于“信息安全防線”中最為薄弱的環(huán)節(jié)。即最薄弱的環(huán)節(jié)存在最大的安全威脅，只有針對(duì)該環(huán)節(jié)進(jìn)行改進(jìn)才能提高信息安全的整體防護(hù)強(qiáng)度。(2)信息安全威脅的來(lái)源信息威脅的來(lái)源于四個(gè)方面：技術(shù)弱點(diǎn)、配置失誤、政策漏洞、人員因素。典型技術(shù)弱點(diǎn)。ACP/IP網(wǎng)絡(luò)。由于其協(xié)議是一個(gè)開(kāi)放的標(biāo)準(zhǔn)，主要用于互聯(lián)網(wǎng)通信，開(kāi)放的網(wǎng)絡(luò)導(dǎo)致其不能保障信息傳輸?shù)耐暾院臀唇?jīng)授權(quán)的存取等攻擊手段做出適當(dāng)?shù)姆雷o(hù)。操作系統(tǒng)漏洞。主流操作系統(tǒng)如UNIXWindowsLinux等，由于各種原因?qū)е缕浯?/p>

12、在漏洞，必須由系統(tǒng)管理員經(jīng)過(guò)安全配置、密切跟蹤安全報(bào)告以及及時(shí)對(duì)操作系統(tǒng)進(jìn)行更新和補(bǔ)丁更新操作才能保證其安全性。配置失誤。由于操作者執(zhí)行安全操作不到位或?qū)Π踩夹g(shù)理解不透引起的配置失誤。如：系統(tǒng)賬戶存在易被猜測(cè)的用戶名和密碼。管理員技術(shù)不足以適應(yīng)崗位或由于疏忽、惰性的原因，未對(duì)默認(rèn)的高權(quán)限系統(tǒng)賬戶進(jìn)行處理。設(shè)備未得到良好配置。如路由器、交換機(jī)或服務(wù)器使用帶有漏洞的默認(rèn)配置方式，或路由器的路由表未經(jīng)過(guò)良好的維護(hù)，服務(wù)器的訪問(wèn)控制列表存在漏洞等。政策漏洞。政策制定中未經(jīng)過(guò)良好的協(xié)調(diào)和協(xié)商，存在不可能執(zhí)行的政策，或政策本身違反法律條文或已有規(guī)章制度。人員因素。是造成安全威脅的最主要因素。通常，人員因

13、素導(dǎo)致的安全威脅分為惡意攻擊者導(dǎo)致的安全威脅和無(wú)惡意的人員導(dǎo)致的安全威脅。典型的惡意攻擊者造成的安全威脅是：A、道德品質(zhì)低下。攻擊者實(shí)施以詐騙、盜竊或報(bào)復(fù)為目的攻擊，尤其以報(bào)復(fù)為目的攻擊對(duì)組織來(lái)說(shuō)最為危險(xiǎn)。R偽裝或欺騙。其核心在于通過(guò)偽裝和欺騙來(lái)獲取攻擊者所需要的信息。C拒絕服務(wù)攻擊。攻擊者的目的是為了干擾正常的組織運(yùn)作，借此達(dá)到攻擊的目的。典型的無(wú)惡意的人員者造成的安全威脅是：A突發(fā)事故。突發(fā)事故可能導(dǎo)致設(shè)備損壞或線路故障等。B、缺少安全意識(shí)。組織成員缺乏必要的安全意識(shí)，不曾接受過(guò)必要的安全培訓(xùn)。C、工作負(fù)擔(dān)不合理。參與安全工作的工作人員與工作量不能較好匹配，協(xié)同工作能力低下或者工作流程分配

14、不合理，可能造成設(shè)備的配置錯(cuò)誤，也可能出現(xiàn)工作人員相互推卸責(zé)任。2、論述系統(tǒng)突發(fā)事件響應(yīng)策略的主要內(nèi)容和實(shí)現(xiàn)方式。是提前設(shè)計(jì)好的，并需要對(duì)所有可能突發(fā)事件情況進(jìn)行推測(cè)和預(yù)測(cè)制定的行動(dòng)方案。一般覆蓋事件發(fā)生的幾個(gè)階段。包括：準(zhǔn)備階段、識(shí)別事件、檢測(cè)和調(diào)查、限制、修復(fù)和消除、后續(xù)步驟。(1)準(zhǔn)備階段員工提前接受對(duì)應(yīng)對(duì)突發(fā)事件的培訓(xùn)，以理解在突發(fā)事件發(fā)生后的報(bào)告鏈或命令鏈，并能夠按照預(yù)定方案進(jìn)行行動(dòng)。另外，購(gòu)置應(yīng)對(duì)處置突發(fā)事件時(shí)所使用的必要設(shè)備(如檢測(cè)、限制和恢復(fù)工具等)。具體準(zhǔn)備工作有：成立突發(fā)事件響應(yīng)工作專家小組，可以是臨時(shí)的，也可以是常設(shè)的。一般由領(lǐng)導(dǎo)、網(wǎng)絡(luò)系統(tǒng)安全分析人員、(臨時(shí)或永久的)法

15、律專家組成。進(jìn)行緊急決策、事件技術(shù)分析、指導(dǎo)取證及保留和訴訟、及時(shí)準(zhǔn)確的信息發(fā)布公開(kāi)等工作的展開(kāi)。(2)識(shí)別事件是進(jìn)行安全事件響應(yīng)流程的起點(diǎn)和第一步驟。如出現(xiàn)對(duì)網(wǎng)絡(luò)的嗅探或端口掃描，可能是發(fā)動(dòng)一次大規(guī)模攻擊的前兆，如果在此階段就能準(zhǔn)確識(shí)別事件，就可以采取一定的措施避免攻擊的進(jìn)一步擴(kuò)大。但是，安全人員在沒(méi)有確定一個(gè)安全事件發(fā)生之前，就貿(mào)然地進(jìn)入處理安全事件的緊急狀態(tài)，也是一個(gè)非常糟糕的決定。因?yàn)橐淮纹胀ǖ膒ing操作或一個(gè)簡(jiǎn)單的http連接都有可能造成誤報(bào)。而IDS雖可以檢測(cè)一些事件的發(fā)生，但可能這些事件不一定是安全事件或潛在的攻擊威脅。只能進(jìn)行初步的篩選，還須進(jìn)一步手工檢查和識(shí)別。所以，參與識(shí)

16、別的人員應(yīng)該包括系統(tǒng)管理員和網(wǎng)絡(luò)管理員，如果識(shí)別確實(shí)是一個(gè)攻擊或安全事件，及時(shí)提高警戒級(jí)別，報(bào)告相關(guān)高層人員，按照預(yù)定處置方案進(jìn)行處理，包括招集事件響應(yīng)小組，分配相關(guān)資源等行動(dòng)。(3)調(diào)查與檢測(cè)是進(jìn)行安全事件響應(yīng)流程的起點(diǎn)和第一步驟。其主要任務(wù)是對(duì)事件中涉及的日志、文件、記錄及其相關(guān)資料和數(shù)據(jù)進(jìn)行研究和分析，從而最終確定事件發(fā)生的原因和事件的影響范圍。調(diào)查的結(jié)果最終能夠判定安全事件到底是一次攻擊還是一次更大規(guī)模攻擊的前夕；是一次隨機(jī)事件還是一次誤報(bào)；安全事件發(fā)生的原因和誘因何在？對(duì)引發(fā)事件的原因進(jìn)行分類，并判定該次安全事件對(duì)整個(gè)網(wǎng)絡(luò)造成的影響進(jìn)行評(píng)估，為下一步的修復(fù)提供參考。故準(zhǔn)確地發(fā)現(xiàn)安全事

17、件的原因，對(duì)修復(fù)和預(yù)防具有重要的作用。如：在諸多引發(fā)安全事件的原因中，病毒和惡意代碼通常是最為普遍的，一般用戶做不到像安全人員那樣敏感，無(wú)意中引發(fā)病毒或安裝木馬程序。一般可以采取借助軟件包分析工具或反病毒軟件來(lái)識(shí)別病毒，查殺之。(4)限制、修復(fù)和消除限制事件的影響和發(fā)展：限制安全事件的進(jìn)一步發(fā)展和造成的負(fù)面影響。常采取以下的限制活動(dòng)：A、通知并警告攻擊者。對(duì)于內(nèi)部攻擊或已知來(lái)源于外部的攻擊，可直接對(duì)攻擊者發(fā)出警告，并同時(shí)切斷他與網(wǎng)絡(luò)的連接。如需進(jìn)一步對(duì)其進(jìn)行起訴，應(yīng)征詢法律顧問(wèn)的意見(jiàn)后，并在收集證據(jù)中使用經(jīng)過(guò)取證培訓(xùn)的人員R切斷攻擊者與網(wǎng)絡(luò)系統(tǒng)的通信：是最為普通的做法，也是最快捷的響應(yīng)方式。例

18、如：通過(guò)添加或修改防火墻的過(guò)濾規(guī)則，對(duì)路由或IDS增加規(guī)則，停用特定的軟件或硬件組件。若攻擊者是通過(guò)特定的賬戶獲得非授權(quán)訪問(wèn)時(shí)，則通過(guò)禁用或刪除這個(gè)賬戶的方法進(jìn)行限制。C對(duì)事件來(lái)源進(jìn)行分析：通過(guò)分析事件，找出當(dāng)前系統(tǒng)中存在的不足之處，并通過(guò)必要的手段暫堵住這一漏洞。例如：入侵者是通過(guò)軟件系統(tǒng)的漏洞進(jìn)入系統(tǒng)的，則通過(guò)給軟件系統(tǒng)加裝補(bǔ)丁的方式將其限制。另外，當(dāng)安全管理員恢復(fù)系統(tǒng)和進(jìn)行漏洞補(bǔ)丁時(shí)，往往需要暫切斷與網(wǎng)絡(luò)(或INTERNETS聯(lián))的連接，這時(shí)用戶不能獲得網(wǎng)絡(luò)服務(wù)，將導(dǎo)致正常工作或經(jīng)濟(jì)和信譽(yù)上的重大損失，此時(shí)，需要在保障安全與經(jīng)濟(jì)利益之間做出選擇。修復(fù)系統(tǒng)：指恢復(fù)機(jī)構(gòu)和組織在攻擊之前的正常

19、處理方案。它包括重新設(shè)置權(quán)限并填補(bǔ)漏洞；逐步恢復(fù)服務(wù)。嚴(yán)重時(shí)，啟動(dòng)災(zāi)難恢復(fù)計(jì)劃（DRP,調(diào)取異地備份資料等。DR先安全流程中的一個(gè)重要組成部分。消除事件的影響：消除攻擊事件或攻擊者給網(wǎng)絡(luò)系統(tǒng)造成的影響。主要包括：A、統(tǒng)一的補(bǔ)丁或升級(jí)：對(duì)補(bǔ)丁進(jìn)行測(cè)試，確定無(wú)誤后，才能對(duì)系統(tǒng)進(jìn)行大規(guī)模、大批量的打補(bǔ)丁操作，對(duì)軟件或硬件進(jìn)行統(tǒng)一的升級(jí)或補(bǔ)丁。R清查用戶賬戶和文件資源：若攻擊者采用的是超越權(quán)限或漏洞用戶等方式，則清理相關(guān)賬戶，對(duì)攻擊發(fā)生后的建立的用戶賬戶進(jìn)行詳細(xì)的檢查。若攻擊事件是病毒或惡意代碼引起的，一般應(yīng)檢查關(guān)鍵文件的健康狀況，防止有計(jì)算機(jī)病毒或木馬程序潛伏。禁用一些不必要的賬戶。G檢查物理設(shè)備：如果攻擊者采用物理方式或社會(huì)工程學(xué)方式進(jìn)行攻擊，須徹底檢查物理設(shè)備。如果發(fā)現(xiàn)有遭受損壞、破壞的，應(yīng)及時(shí)修復(fù)或處理，并作出相應(yīng)的措施防止再次發(fā)生。后續(xù)階段。由多項(xiàng)任務(wù)組成。包括：A、記錄和報(bào)告。在在整個(gè)事件響應(yīng)過(guò)程中，都應(yīng)進(jìn)行詳細(xì)記錄。包括辨識(shí)事件、調(diào)查事件、響應(yīng)步驟、修復(fù)系統(tǒng)、改進(jìn)意見(jiàn)等一系列步驟。它對(duì)今后應(yīng)對(duì)類似攻擊時(shí)，將是非常寶貴的資料。如果需要借助法律程序，則還須提供額外的、符合法律規(guī)范的報(bào)告文檔。另外，這些收集的資料，除了提交給高層管理者外，同時(shí)可提供給其他組織成員進(jìn)行警示和提醒，必要時(shí)可充時(shí)到相關(guān)