-
-
事後處置階段大致可分為「復原作業」與「結案作業」等內容,當確認DDoS攻擊已停止,即可評估恢復系統設定,或停用備援機制,以恢復系統業務正常運作。此外,亦需記錄事件處理經過,檢討因DDoS攻擊事件所造成的影響進行評估,檢討網路安全措施或其他具體改善方案。「事後處置階段查核清單」詳附件5。
-
一、復原資訊設備運作
資訊設備若於受到DDoS攻擊後已進行關機,抑或停止/限制提供部分網路服務(如變更部分設定檔)時,經過妥善處理後,應恢復其正常運作,若有啟用備援機制,建議一併進行運作,並持續觀察網路流量,確認DDoS攻擊已停止後,再行評估是否需停用備援機制。
-
二、持續監控網路流量
資訊人員均完成各項復原作業後,應持續監控網路流量,並觀察資訊設備運作情況,密切注意DDoS攻擊是否再度發生。
-
三、記錄事件處理過程
資訊人員需記錄整個事件發生過程與處理程序,包含攻擊原因及手法等資訊,同時記錄因應該次DDoS攻擊所採取之應變措施或解決方案,以及後續處理情形與追蹤事項,可提供未來發生類此事件時參考,有助於加速降低受DDoS攻擊後所造成的損害。
-
四、攻擊事件結報
攻擊事件結束後,業者應至證券期貨市場資通安全通報系統(https://sfevents.twse.com.tw)進行結案作業,提供事件處理過程與解決方案,以完成資安事件通報作業。