搜狐军事-搜狐网站> 军情站消息
国内 | 国际 | 社会 | 军事 | 公益

美国防部网络事故响应行动和与其他机构的协调

来源:搜狐军事 作者:知远

  附录E 网络事故响应

  1、介绍

  a、事故响应是一系列有组织的、有协调的步骤,也被称为响应动作(RAs),以解决或减轻一个报告的事故。此外,还包括为了恢复受影响的信息系统并使它们复原充分运作和安全状态所采取的步骤。

  b、事件响应过程中也采取了协调、沟通和记录操作,以确保适当的联合行动与作战行动都参与其中,知悉结果,并提供相关的后续报告。

  c、也正是在这个阶段,事故信息和事故响应行动得到归档和记录。一旦事故得到解决,被关闭,就提交一份最终报告,并且完成相应的事故后行动。

  d、本节提供了事故响应和恢复的进一步指导。相关的作战司令部发布的作战命令OPORDs要提出进一步的要求。

  e、RAs的主要目标是:

  (1)阻止或减少攻击的影响或破坏,同时保持作战任务的连续性。

  (2)确保有效和及时地恢复信息系统,以防止类似事故再次发生。

  (3)加强部国防部的防御姿势和备战状态。

  (4)确保RAs根据其敏感级别,保护任何数据。

  (5)支持快速,完整的攻击表征。

  2、响应类型

  a、三种类型的响应活动可能发生:

  (1)技术响应。涉及遏制或消除与该事故相关联的任何风险或威胁、重建或恢复受影响的信息系统到正常工作状态的RAs。

  (2)管理层的响应。作为响应行动的一部分,需要某种类型的行政、监督或管理的干预、通知、互动、升级、或批准。行政或管理的的响应步骤可以包括人力资源、公共关系、财务会计、审计和法规部门以及其他内部组织实体所采取的行动。

  (3) 执法/反情报和英特尔响应。与执法/反情报、责任、隐私问题相关的RAs;创建或审查不泄密和服务级别的协议;及任何其他响应事故而采取的法律行动。b、跨越这三个领域的RAs将进行协调。

  c、对于任何RAs,联合行动与作战行动必须提前准备好。匆忙作出决定,以响应一个重大事故是很难有效得。因此,需要事先测试响应程序、工具、定义界面(defined interfaces)、通信渠道和机制到位。

  d、每个联合行动与作战行动将制定响应指导或应对计划。应急计划列出了要采取的具体步骤,并指出谁应负责。这样,当事故发生时,相应的人员将知道如何应对。升级程序和标准也必须到位,以确保RAS中的有效的管理参与。

  e、可以促进应对活动的准备工作包括:

  (1)所有应用程序和操作系统的启动磁盘和分发媒体的归档。

  (2)应用程序和操作系统的与安全相关的补丁的存档。

  (3)测试网络和信息系统(测试修补程序、分析恶意代码等等)。

  (4)支持分析或数据采集的工具和硬件设备的资源工具包。

  3、制定和实施行动方案

  a、行动方案包括对事故或需报告的网络事件做出响应、修复信息系统、恢复信息系统至操作状态、或评估信息系统或信息网络的风险所必要的行动。

  b、那些参与制定行动方案的人将依赖于这一事故和受影响的联合行动与作战行动。它们可能由实际作战人员(field operation)或网络防御服务提供商开发,或由双方与任何指挥官共同合作开发制定。

  c、谁负责实际执行行动方案将取决于谁负责这些各种基础设施的组件。

  (1)根据CJCSI 3121.01《交战永久规则/美军武装力量使用的永久规则》,行动方案可能包括计算机网络防御 RAs。应在尽可能最低的司令部做出分析、比较并选择最好的行动方案,与确定的网络空间作战C2保持一致。

  (2)行动方案可能包括向联合行动与作战行动提供公告板和其他通知,促进态势感知,指导行动,并确保遵守。

  (3)必须通知那些在响应入侵方面扮演关键作用的人,使他们履行其职责。执行行动方案和信息传播程序可能包括联系用户、保安人员、 执法/反情报 、供应商、互联网服务提供商(ISP)、其他网络防御服务提供商和其他内部或外部安全组织。

  (4)因时间或距离因素,国防部的执法/反情报支持不可用或无法获得时,可能需要与国防部执法/反情报或与外部执法机构具体协调。与执法/反情报的协调涉及帮助执法/反情报人员调查事件和起诉肇事者,如果必要的话。

  (5)如果攻击在外国的主机或国防部的信息系统攻击在该国的网络,可能需要国际协调。

  (6)如果这个事故属于国防部企业事故集,或者行动会影响多个战区或部队的信息网络,美国网络司令部有权指导和协助联合行动与作战行动对事故做出的响应行动。

  d、欲了解与执法/反情报和国际组织协调和合作的更多信息,见附件F(与其他战略团体的协作)。

  e、NIST SP 800-61《计算机安全事故处理指南》(参考cc),提供了一系列的标准以确定适当的行动方案或所谓的“策略”。这些标准包括:

  (1)对资源的潜在损害和盗窃。

  (2)需要证据保全。

  (3)服务的可用性(例如网络连接、提供给外部各方的服务)。

  (4)实施该战略需要发时间和资源。

  (5)策略的有效性(例如,部分包含事件、完全包含事件)。

  (6)解决方案的时间(例如,紧急解决方案要在四个小时内删除、暂时的解决方案要在2个星期内删除、永久性的解决方案)。

  f、NIST SP 800-61(参考cc)介绍了各种攻击——如DoS攻击、恶意代码、非授权进入、不当使用——的行动方案和RAs。

  4、不执行技术分析就进行的恢复

  a、所有事故中的数据必须保留,以进行技术分析。然而,在某些情况下,经批准,恢复信息系统之前可能不会要求技术分析。

  (1)例如,通过额外的分析,不可能最终确定一个事件发生的根本原因。入侵者可能已删除或篡改了日志和文件,使它们不值得信任了。存在多个未修补的漏洞不可能(或不值得努力)去试图找出哪些具体的漏洞被利用了。在这种情况下,可能是更适合进行信息系统恢复和硬化。

  (2)没有进行技术分析就恢复信息系统之前,应仔细评估潜在的技术和操作的影响。这种评估将分析其对任务成功的可能影响。例如,重新部署信息系统之前确定根本原因并消除隐患的主要好处是防止类似的系统泄密,与其他国防部团体分享信息,从而加强了美国国防部信息网络的整体安全状况。如果根本原因无法查明和根除,信息系统有可能再次发生泄密,其他人可能会失去技术分析获得的有价值的信息。

  5、遏制

  a、概观

  (1)遏制包括短期的战术行动来阻止入侵者访问一个受到影响的信息系统,限制入侵的程度,并阻止入侵者造成更多的损害。

  (2)遏阻的主要目标是:

  (a)恢复对涉事的信息系统的控制,以进一步分析网络事件,并使信息系统恢复到正常操作状态。

  (b)拒绝入侵者的访问,以防止他或她继续进行恶意活动和影响到其他信息系统和数据。

  (3)当入侵者可以访问一个信息系统,信息系统不能得到正确的分析或恢复。执行遏阻:

  (a)防止入侵者访问或泄露国防部数据或其他信息。

  (b)防止入侵者破坏有价值的证据和篡改的信息系统 ,当它们正在被分析的时候。

  (c)防止入侵者使用国防部信息系统攻击其他信息系统,保护CC/S/A / FAs免于承担法律责任。

  (4)在已收集到足够的信息,解决了被利用的漏洞和所蒙受的损害之前,遏阻提供了一个合理的安全解决方案。

  (a)应当指出的是,一些遏制措施在事故处理生命周期的初步回应阶段可以采取。

  (b)深入分析阶段可能识别更多受影响的信息系统或恶意活动,可能需要进行更多的遏阻步骤。检测和分析阶段中,遏阻步骤可以被反复执行。

  (5)负责维护和操作受影响的国防部信息网络或者信息系统的CC / S / A / FA执行遏制战略,这可能是本地的系统管理员或可能是构成单位的网络防御服务提供商。谁执行战略将取决于事故的类型、受影响的组成单位、当地的政策和程序。

  b、遏制策略。遏制战略将基于事件类型的不同而有所差异。遏制活动可能包括以下任何一种,或由受影响的联合行动与作战行动确定的任何其他战略。

  (1)阻断(Blocking)。阻断是在外围或飞地边界使用网络访问控制,以防止攻击者连接到其他国防部信息网络、信息系统或国防部的数据和服务。

  (a)阻断的决定基于事件的类别、网络面临的威胁和CI / LE、美国网络司令部的指令。

  (b)如果面临进一步泄密、数据泄露、或对美国国防部信息网络的持续威胁之风险大于监视对手的TTP以做出更全面的对策的好处,类别1、2、3、4、6 和关键事故7需要立即在主机和/或网关级别实施阻断。

  (c)如果结果降低了风险和对潜在输送载体的暴露,其他类别的事故,如5和8,可引出阻断。

  (d)阻断请求将包括入站和出站数据流量。

  (e)边界网关防火墙阻断。网关的IP地址和端口阻断是用来防止一个确定的外部信息系统或传递载体受到影响。类别1、2、3、4、6和7事故可能必须进行网关阻断。阻断请求将包括入站和出站流量。阻断的例子包括:

  [1]驻留恶意代码、恶意软件、间谍软件或未经授权的软件的IP地址。

  [2]P2P和即时消息的通信端口。

  [3]邮件转发、网络钓鱼、垃圾邮件始发。

  [4]已知的恶意IP地址和主机。

  [5] 与蠕虫、僵尸网络和木马相关的IP地址和端口。

  [6]确定的进行扫描、占用空间或试图利用美国国防部资产的外部主机。

  [7] DoS攻击。

  (f)飞地防火墙阻断。根据事故的范围,飞地防火墙阻断遵循网关阻断同样的过程。飞地阻断是防火墙后面的组件所特定的。阻断请求将包括入站和出站流量。

  (g)邮件和代理阻断。当确定e–mail为传递载体时,需要邮件网关阻断。邮件阻断包括筛选附件、主题行和发件人。例子包括垃圾邮件、网络钓鱼、蠕虫和其他含有恶意代码的电子邮件附件攻击。代理服务器阻断取决于管理代理服务器应用程序的组件的内容过滤解决方案。

  (2)网络隔离。网络隔离涉及使用网络访问控制措施,从逻辑上分隔网络和限制访问受影响的主机。隔离策略包括以下内容:

  (a)使信息系统与任何地方区域网络断开。这将有助于防止受影响的信息网络和信息系统进一步被污染。

  (b)使信息系统从互联网或其他公共网络断开。这将有助于防止入站访问或出站流量或数据泄露。

  (c)断开或隔离受影响的网络主机和/或从其他网络段隔离。这有助于防止进一步污染或遏阻恶意活动影响信息系统或逻辑网段。这将允许连接的信息系统仍然起作用,但不会传播恶意活动到基础设施的其余部分。在某些情况下,这可能与监测敌对活动相关,同时限制对手攻击其他信息系统的能力。

  (3)信息系统、服务器或服务关闭。关闭信息系统、服务器或服务可能有助于减少损害或防止对手进一步进入信息系统。然而,它也将影响获得事故分析所需要的一些宝贵数据的能力。执行这种遏制战略的决定应仔细加以权衡。

  (a)信息系统关闭。如果确定允许信息系统继续执行功能会破坏数据或应用程序,得到指挥官的批准后作为遏制措施应该关闭信息系统。

  (b)关闭服务器。如果确定一个特定的服务器,如电子邮件或Web服务器,需要关断,直到问题可以得到解决,或遏阻恶意代码的传播,这个特定的服务器就应关闭。除了破坏非易失性数据外,关闭服务器可能对多个用户和使命操作造成不利影响。这个决定应在与相关指挥机关的协调下做出。

  (c)关闭服务。如果已执行足够的分析,正确地把入侵的范围限制在特定的服务上,这些服务可以被关闭(特别是如果没有修补程序可用的时候)。除了可能破坏非易失性数据外,关停服务可能会对多个用户和使命操作产生不利影响。这个决定应在与相关指挥机关的协调下做出。

  (4)其他的遏阻策略。NIST 800-61(参考cc)提出的其他遏阻策略包括以下内容:

  (a)通过防止攻击者访问可能会是攻击目标的附近资源,消除攻击者的路由。(b)阻止被感染的信息系统之间的恶意代码的传输机制。

  (c)禁用可能已在袭击中使用的用户帐户。

  c、让信息系统暂时在线

  (1)在某些情况下,指挥官可以决定使受影响的信息系统保持在线和接受在业务要求的基础上在一个受到影响的环境中操作的风险。此外,指挥官可能会决定保持受影响的漏洞可以访问,以监视攻击者的活动。

  (a)无论执法/反情报参与与否,在任何时候网络防御服务提供商都会监视攻击者的活动。这种监测是为了保护信息系统的目的,这是日常业务内容,并得到了联邦法律的授权。根据美国法典18 USC 2511(2)(a)(i)(参考dd),监测网络防御的结果可能会与执法/反情报组织分享。

  (b)不会授权网络防御服务提供商代表执法/反情报组织为了纯粹的与计算机网络防御无关的执法/反情报目的而进行监测。执法/反情报组织必须就监视问题咨询他们的军法检查官(SJA)。

  (2)如果被攻破的信息系统一直保持运行状态, NIST建议,“管理和法律顾问应确保不会导致法律责任。”NIST还告诫“不遏阻恶意活动可能会导致更多的恶意活动发生,因为恶意代码或行动会继续,这可能会导致操作或国防部数据的进一步损害和损失。”

  d、遏阻的注意事项

  (1)对攻破了的信息系统的任何更改,包括遏阻行动,可能会破坏评估入侵的原因所需的信息。确保作出任何改变之前,分析所必需的数据是完全收集到了。另外,收集和保护在随后的调查中可能需要的所有证据,然后再执行任何遏制行动。

  (2) CC / S / A / FAS和网络防御服务提供商必须为事故遏阻并制定相应的策略和程序定义可接受的风险。

  (3)决定是否遏阻恶意的或未经授权的活动时会出现多种问题。这些问题的解决可能需要与信息系统和业务流程所有者讨论。这样的问题可以包括:

  (a)关闭或断开信息系统是否是适当的?

  (b)网络防御服务提供商或本地系统管理员是否有权力关闭或断开信息系统?

  (c)何时信息系统必须运行?

  (d)什么信息系统不能下线或断开?

  (e)调查或情报机构应该加以考虑吗?(见附件f)

  (4)提前对关键资产决定适当的遏阻策略。通过以这种方式加以准备,在事故发生的时候不需要决定什么是一个正确的或批准的遏阻战略。

  (5)如果入侵者的行动是迅速的、不断蔓延的,系统管理员和网络防御服务提供商可能需要采取更直接的行动,反应和遏制的政策和程序应包含这种情况下的行动指导。

  6、消除

  a、概览

  (1)消除由消除入侵的根本原因所需的步骤构成。恢复服务之前,所有的威胁和风险,应从国防部信息网络和信息系统清除。如果威胁不清除,那么信息系统可以很容易被攻破。

  (2)消除的主要目标是:

  (a)确保去除恶意活动和任何相关文件的根本原因。

  (b)确保消灭入侵者使用的任何访问方法,其中包括漏洞、物理安全问题、或人为错误。

  (3)在第一轮的遏阻行动后采取根除措施,然后进一步的分析和遏制活动交替进行。

  (4)有时,只能在长期政策和配置管理变化后才能完全根除。在这种情况下,重建和重新连接的任何受影响的信息系统之前,威胁应当减轻到最低程度。

  (5)由于事故的本质,一些信息系统可能不需要任何消灭措施,或擦拭、删除和重建受感染的系统,清除可能会作为恢复活动的一部分而发生。

  (6)根除策略由负责维护和操作受影响的信息网络或信息系统的联合行动和作战行动执行,这可能是本地系统管理员或可能是组成单位的网络防御服务提供商。谁负责执行战略将取决于事故的类型、受影响的构成单位和当地的政策和程序。

  b、根除策略。具体根除行动取决于事故的性质。

  (1)删除恶意软件。隔离、删除、替换或恢复受感染的文件的完整性。在大多数情况下,这将需要从信任的媒体重建。这也可能涉及更新防病毒签名。

  (a)在大多数情况下,一旦一个信息系统被攻破,此信息系统的完整性是无法验证的,除非从可信任的媒介恢复它。如果一个信息系统含有恶意软件,不建议让它继续运作,除非可以再次验证其绝对完整性,或者是一个正在进行的执法/反情报案子的一部分,信息系统保持运转,并且密切监测它。在后者的情况下,决定让信息系统保持运行,必须得到授权的国防部人员的批准。

  (b)在整个事件响应过程中发现的任何恶意软件必须在JMC中编目。附录G《计算机网络防御事故处理工具——联合恶意软件目录》中可以找到更多的指导。

  (2)修复或减轻漏洞。为容易受攻击的软件安装任何新的操作系统或应用程序补丁,防止被刺探,删除漏洞。如果因为技术或操作原因,信息系统不能进行修补,就通过更新信息系统的配置和防御措施保护或隔绝受影响的主机,以减轻该漏洞。如果未提供修补程序,应提出解决方案或暂时应对策略。

  (3)修改访问控制。更新用户和网络访问控制。例如,删除被攻破的用户或管理员帐户;修改网络访问控制(例如防火墙、入侵检测系统/入侵防御系统、内容过滤);更新基准配置;并删除任何对手所使用的其他访问机制。

  7、恢复

  a、概览

  (1)恢复包括恢复受影响的信息系统的完整性,恢复受影响的数据、信息系统和信息网络到运行状态必要的措施,并采取跟进策略,以防止事件再次发生。

  (2)恢复的主要目标是:

  (a)必要时从可信的媒介重建它,恢复其完整性。

  (b)实施主动和被动的防御和保护措施,以防止在未来发生类似事件。

  (c)确保所有的数据和信息系统以正常方式运行。

  (d)确保彻底的解决和关闭事故。

  (3)必要的、适用于事故的补丁和修复程序已安装时,数据和信息系统得到完全恢复。如果一个信息系统被攻破,其上的任何东西都是不可信的。入侵者可能改变了内核、二进制文件、数据文件、运行进程或内存。可以确保一个信息系统不存在恶意代码和后门的唯一办法是重新安装受信任的媒介,然后再安装相关的安全补丁和升级程序。这包括操作系统和应用程序的补丁。

  (4)此外,作为恢复过程的一部分,任何完成了的遏阻活动可能需要被删除。这包括移除任何不再需要的阻断,重新启用服务,重新把信息系统和信息网络连接到局域网或互联网。

  (5)各种国防部人员可以根据他们的角色和责任执行恢复策略。不同的受影响的组成单位,可能需要全面实施多个策略。谁执行战略将取决于事故类型、受影响的组成单位和当地的政策和程序。

  b、恢复策略。根据事件的性质,恢复行动可以包括但不限于以下:

  (1)从可信任的媒介重建。从一个值得信赖的备份或原来的分发媒介重新安装操作系统和应用程序。

  (2)验证系统数据。审查信息系统数据以确保其完整性。知道信息系统中的用户或其他数据的人应该检查数据,以确保它没有被改变。另外,从一个值得信赖的备份数据还原信息系统。

  (3)更改系统密码。更改与受侵害的信息系统有信任关系的某个信息系统的密码和可能是所有的信息系统中的密码。

  (4)提高网络和主机安全

  (a)增加主机和网络监控。

  (b)使主机日志记录,审计和会计程序最大化。

  (c)禁用不必要的服务。

  (d)检查那些服务的配置文件中是否有缺陷。

  (e)如果得到批准和测试,安装所有厂商最新的安全补丁和升级包。

  (f)更新防火墙规则集。

  (g)更新边缘路由器的ACL。

  (h)更新入侵检测系统/入侵防御系统签名。

  (i)审查国防部所有的指南、建议或公告板,看看是否有其他恢复行动或增强安全性的措施可以启用或安装。

  (j)安装可以帮助保护信息系统或检测恶意活动的新安全机制。这些程序包括文件完整性检查软件、网页超链接检查软件等

  (k)实施所需的任何邮件过滤。

  (l)更新相关的安全策略,以反映或支持这些安全方面的改进。

  c、一旦所有的恢复措施已经完成和信息系统已经过测试以确保它们正常运行,重新连接任何已断开的主机或信息网络。

  (1)所有发生了第1类、第2类或第7类事故的信息系统必须被删除和从可信赖的媒介重建,然后在连接到信息网络之前,加以修补和更新。这是防止再次发生事故所必要的。

  (2)任务影响可能会要求暂时缓解受影响的易受攻击的组件,直到任务允许信息系统重建。对于其他类别,联合行动和作战行动具有自由裁量权根据事故的影响决定重建信息系统。

  (3)按照DISA信息保障支持环境(http://iase.disa.mil)和NSA安全配置指南(http://www.nsa.gov/snac)的需要,提供安全技术实施指南(STIGs)和技术配置数据。

  (4)通过漏洞管理系统(VMS),CC/S/A报告它们的信息系统和资产对每个任务或行动的执行情况或行动指示。通过这样做,美国网络司令部和各作战司令部可以掌握支持作战司令部的所有部队和机构资产的执行状态。

  8、事故后活动

  a、概览

  (1)事故处理过程的最后部分是借助对事件和响应行动的评估,学习如何改进操作、流程和基础设施防御。事故后分析是对事故的评估,包括检测、分析和响应阶段。

  (2)进行事故后分析的主要目标包括:

  (a)确定需要解决的基础设施的问题。

  (b)确定信息系统和配置的弱点或其他漏洞,予以纠正。

  (c)确定需要进行审查和处理的组织政策和程序问题。

  (d)确定技术或操作的培训需求。

  (e)确定不清楚的或不确定的角色、职责、接口和权威。

  (f)执行保护、检测、分析和响应行动所需的得到改进的工具。

  (3)主要责任是负责处理这一事故联合行动和作战行动,通常会牵头进行事故后分析,收集数据,和预测未来发展趋势。然而,在某些情况下,管理、审计或其他机构可以协调这个事情。

  b、事后活动的策略

  (1)事件后分析的结果可以用来改进事故管理流程和方法,同时改进联合行动的安全态势和防御,这对实现美国国防部的使命至关重要。

  (a)联合行动和作战行动总部将建立一个正式的事故后分析过程,并制定标准以确定哪些事件需要事后分析。并非所有的事故可能都需要事后分析。那些影响范围大、没有得到良好处理、涉及执法行动、或造成严重破坏的事件,都需要事故后分析。不太严重的事故,如常规扫描,只需要有限的事故后分析或不需要这样的分析。

  (b)在这次事件中所涉及的所有各方应该是事故后分析的一部分。事故后分析应当尽快进行,并回答下列问题,如:

  [1]事故的时限、其检测,其解决方案是什么?

  [2]用户、分析师和管理人员执行的哪些行动是正确的,执行的何种行动是不正确的?

  [3]适当的程序可用吗,是否得到遵循?到目前为止它们是最新的和正确的?它们是否仍然适用?

  [4]下一次发生类似事故,人员和管理人员会采取哪些不同的措施?

  [5]什么样的纠正措施可以防止在未来发生类似事件?这应包括签名更新和/或访问控制列表、过滤器和系统配置的发展和变化的建议。

  [6]检测、分析和减轻未来的事故都需要什么额外的工具或资源?

  (2)事故后分析获得的相关信息应作为最终报告的一部分。

  (3)可以发现的新的或异常的情况,作为未来训练或案例研究的基础。

  (4)事故后分析完成后,政策、程序和基础设施防御方面的改善应反馈给适当的、负责进行这些改善的联合行动和作战行动,前提是得到了指挥官和总部的支持和批准。重要的是实施在经验教训的基础上可以作出的任何改变。这将有助于提供更有效的防御措施,杜绝重复或类似的事件发生。实施的变更可以包括全部范围内的或本地的:

  (a)更新安全策略和实施指导原则(例如DISA安全技术实施指南)。

  (b)事故管理和事故处理流程和程序的变更。

  (c)检测系统的更新。

  (d)信息系统和信息网络配置的改进。

  (e)网络外围设备,如防火墙、路由器和网关,的配置和过滤的更改。

  (5)事故后分析和教训产生的信息和事件数据,可以以各种方式加以收集和使用。这些信息可以被用来创建基准性能、时效性、看到的事件的类型的基线。它也可以用于历史的目的而生成趋势和对比信息,以确定随着时间的推移响应行动是否实际上解决了问题。

  (6)数据收集和趋势可以包括但并不限于:

  (a)经常出现的问题和经常性的用户错误。

  (b)事故成本包括损害、救灾和恢复工作的成本。

  (c)事故的前兆。

  (d)随着时间的推移发现的事件类型。

  (e)被利用的弱点类型(例如,某些应用程序、操作系统、社会工程战术)。

  (7)事后分析的结果和教训也可用于个案研究和新员工的培训材料。知远/安德万

mil.sohu.com true 搜狐军事 http://mil.sohu.com/20140307/n396240344.shtml report 11673 附录E网络事故响应1、介绍a、事故响应是一系列有组织的、有协调的步骤,也被称为响应动作(RAs),以解决或减轻一个报告的事故。此外,还包括为了恢复受影响的信息系
(责任编辑:UN630)

相关新闻

相关推荐

我要发布

  • 热点视频
  • 影视剧
  • 综艺
  • 原创
锦绣缘

同步热播-锦绣缘

主演:黄晓明/陈乔恩/乔任梁/谢君豪/吕佳容/戚迹
神雕侠侣

大结局-神雕侠侣

主演:陈晓/陈妍希/张馨予/杨明娜/毛晓彤/孙耀琦
封神英雄榜

同步热播-封神英雄榜

主演:陈键锋/李依晓/张迪/郑亦桐/张明明/何彦霓

六颗子弹

主演:尚格·云顿/乔·弗拉尼甘/Bianca Bree
龙虎少年队2

龙虎少年队2

主演:艾斯·库珀/ 查宁·塔图姆/ 乔纳·希尔

《奔跑吧兄弟》

baby14岁写真曝光

《我看你有戏》

李冰冰向成龙撒娇争宠

《明星同乐会》

李湘遭闺蜜曝光旧爱

《非你莫属》

美女模特教老板走秀

《一站到底》

曝搬砖男神奇葩择偶观

搜狐视频娱乐播报

柳岩被迫成赚钱工具

大鹏嘚吧嘚

大屁小P虐心恋

匆匆那年第16集

匆匆那年大结局

隐秘而伟大第二季

乔杉遭粉丝骚扰

The Kelly Show

男闺蜜的尴尬初夜

我来说两句排行榜

客服热线:86-10-58511234

客服邮箱:kf@vip.sohu.com