全员参与发现报告信息安全事件
事中要及时发现、报告、评估和判断并有效抑制和取证
事后要消除根源、恢复系统、总结经验和寻求改进
不论事件是否发生都要定期/应需评审和持续改进
事前要做好规划和准备
第1题:
因为在进行清除工作过程中,由于事情繁多很容易就忽略一两个至关重要的细节,而忽略任何细节都有可能导致另一起突发的事件、法律证据留有缺陷或受到破坏
通常这一阶段需要借助软件,我们在准备阶段就预备了各种安全工具,此时应该用它们对系统进行彻底的清理
被恶意程序感染的文件最好格式化处理,并用确保干净的备份加以替代
对机密的环境来说,快速格式化则更加彻底一些
第2题:
对
错
第3题:
对
错
第4题:
基于主机分析
基于操作系统分析
基于数据库分析
基于用户分析
第5题:
对
错
第6题:
密码构造学
密码原理学
密码编码学
密码应用学
第7题:
网络入侵检测
主机入侵检测技术
服务器入侵监测
虚拟机入侵检测
第8题:
完整性保护
链路可信
数据加密
数据可信
第9题:
对
错
第10题:
准备阶段
实施阶段
运行及改善阶段
PDCA循环