信息安全應(yīng)急響應(yīng)服務(wù)方案模板

1、精品文檔信息安全應(yīng)急響應(yīng)服務(wù)方案XXXX 科技有限公司2018年 5月.精品文檔目錄第一部分概述31.1.信息安全應(yīng)急響應(yīng)31.2.應(yīng)急安全響應(yīng)事件31.3.服務(wù)原則3第二部分應(yīng)急響應(yīng)組織保障42.1.角色的劃分42.2.角色的職責(zé)42.3.組織的外部協(xié)作42.4.保障措施5第三部分應(yīng)急響應(yīng)實(shí)施流程53.1.準(zhǔn)備階段（ Preparation）73.1.1負(fù)責(zé)人準(zhǔn)備內(nèi)容73.1.2技術(shù)人員準(zhǔn)備內(nèi)容73.1.3市場(chǎng)人員準(zhǔn)備內(nèi)容93.2.檢測(cè)階段（ Examination ）93.2.1實(shí)施小組人員的確定93.2.2檢測(cè)范圍及對(duì)象的確定103.2.3檢測(cè)方案的確定103.2.4檢測(cè)方案的實(shí)施103

2、.2.5檢測(cè)結(jié)果的處理123.3.抑制階段（ Suppresses）123.3.1抑制方案的確定133.3.2抑制方案的認(rèn)可133.3.3抑制方案的實(shí)施133.3.4抑制效果的判定133.4.根除階段（ Eradicates）143.4.1根除方案的確定143.4.2根除方案的認(rèn)可143.4.3根除方案的實(shí)施143.4.4根除效果的判定143.5.恢復(fù)階段（ Restoration）153.5.1恢復(fù)方案的確定153.5.2恢復(fù)信息系統(tǒng)153.6.總結(jié)階段（ Summary ）153.6.1事故總結(jié)163.6.2事故報(bào)告16.精品文檔第一部分概述1.1. 信息安全應(yīng)急響應(yīng)應(yīng)急響應(yīng)服務(wù)是為滿足企

3、業(yè)發(fā)生安全事件、需要緊急解決問(wèn)題的情況下提供的一項(xiàng)安全服務(wù)。 當(dāng)企業(yè)發(fā)生黑客入侵、系統(tǒng)崩潰或其它影響業(yè)務(wù)正常運(yùn)行的安全事件時(shí)，安全專家會(huì)在第一時(shí)間趕到事件現(xiàn)場(chǎng)，使企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)在最短時(shí)間內(nèi)恢復(fù)正常工作，幫助企業(yè)查找入侵來(lái)源， 給出入侵事故過(guò)程報(bào)告，同時(shí)給出解決方案與防范報(bào)告，為企業(yè)挽回或減少經(jīng)濟(jì)損失。提供入侵調(diào)查，拒絕服務(wù)攻擊響應(yīng)，主機(jī)、網(wǎng)絡(luò)、業(yè)務(wù)異常緊急響應(yīng)和處理。1.2. 應(yīng)急安全響應(yīng)事件計(jì)算機(jī)病毒事件；蠕蟲(chóng)病毒事件；特洛伊木馬事件；網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件；拒絕服務(wù)攻擊事件；后門(mén)攻擊事件；漏洞攻擊事件；網(wǎng)絡(luò)掃描竊聽(tīng)事件；信息篡改事件；信息假冒事件；信息竊取事件。1.3. 服務(wù)原則在整個(gè)應(yīng)

4、急響應(yīng)處理過(guò)程的中， 本協(xié)會(huì)嚴(yán)格按照以下原則要求服務(wù)人員， 并簽訂必要的保密協(xié)議。保密性原則應(yīng)急服務(wù)提供者應(yīng)對(duì)應(yīng)急處理服務(wù)過(guò)程中獲知的任何關(guān)于服務(wù)對(duì)象的系統(tǒng)信息承擔(dān)保密的責(zé)任和義務(wù)， 不得泄露給第三方的單位和個(gè)人， 不得利用這些信息進(jìn)行侵害服務(wù)對(duì)象的行為。規(guī)范性原則應(yīng)急服務(wù)提供者應(yīng)要求服務(wù)人員依照規(guī)范的操作流程進(jìn)行應(yīng)急處理服務(wù)，所有處理人員必須對(duì)各自的操作過(guò)程和結(jié)果進(jìn)行詳細(xì)的記錄， 最終按照規(guī)范的報(bào)告格式提供完整的服務(wù)報(bào)告。最小影響原則應(yīng)急處理服務(wù)工作應(yīng)盡可能減少對(duì)原系統(tǒng)和網(wǎng)絡(luò)正常運(yùn)行的影響，盡量避免對(duì)原網(wǎng)絡(luò)運(yùn)行和業(yè)務(wù)正常運(yùn)轉(zhuǎn)產(chǎn)生顯著影響（包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)阻塞、服務(wù)中斷等），如無(wú)法避

5、免，則必須向服務(wù)對(duì)象說(shuō)明。.精品文檔第二部分應(yīng)急響應(yīng)組織保障2.1. 角色的劃分本公司應(yīng)急響應(yīng)工作機(jī)構(gòu)按角色劃分為三個(gè)：應(yīng)急響應(yīng)負(fù)責(zé)人，應(yīng)急響應(yīng)技術(shù)人員，應(yīng)急響應(yīng)市場(chǎng)人員。信息安全事件發(fā)生后， 在應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組的統(tǒng)一部署下， 工作人員各施其職， 并嚴(yán)格按照應(yīng)急響應(yīng)計(jì)劃組織實(shí)施應(yīng)急響應(yīng)工作。2.2. 角色的職責(zé)應(yīng)急響應(yīng)負(fù)責(zé)人：應(yīng)急響應(yīng)負(fù)責(zé)人是信息安全應(yīng)急響應(yīng)工作的組織領(lǐng)導(dǎo)機(jī)構(gòu)， 組長(zhǎng)應(yīng)由組織最高管理層成員擔(dān)任。負(fù)責(zé)人的職責(zé)是領(lǐng)導(dǎo)和決策信息安全應(yīng)急響應(yīng)的重大事宜，主要職責(zé)如下：a) 制定工作方案；b) 提供人員和物質(zhì)保證；c) 審核并批準(zhǔn)經(jīng)費(fèi)預(yù)算；d) 審核并批準(zhǔn)恢復(fù)策略；e) 審核并批準(zhǔn)應(yīng)急響

6、應(yīng)計(jì)劃；f) 批準(zhǔn)并監(jiān)督應(yīng)急響應(yīng)計(jì)劃的執(zhí)行；g) 指導(dǎo)應(yīng)急響應(yīng)實(shí)施小組的應(yīng)急處置工作；h) 啟動(dòng)定期評(píng)審、修訂應(yīng)急響應(yīng)計(jì)劃以及負(fù)責(zé)組織的外部協(xié)作。應(yīng)急響應(yīng)技術(shù)人員，其主要職責(zé)如下：a) 編制應(yīng)急響應(yīng)計(jì)劃文檔；b) 應(yīng)急響應(yīng)的需求分析，確定應(yīng)急策略和等級(jí)以及策略的實(shí)現(xiàn)；c) 備份系統(tǒng)的運(yùn)行和維護(hù)，協(xié)助災(zāi)難恢復(fù)系統(tǒng)實(shí)施；d) 信息安全突發(fā)事件發(fā)生時(shí)的損失控制和損害評(píng)估；e) 組織應(yīng)急響應(yīng)計(jì)劃的測(cè)試和演練。應(yīng)急響應(yīng)市場(chǎng)人員，其主要職責(zé)如下：a) 開(kāi)拓新客戶，與客戶建立長(zhǎng)期的合作關(guān)系；維護(hù)與公司老客戶的業(yè)務(wù)往來(lái)；b) 建立預(yù)防預(yù)警機(jī)制，及時(shí)進(jìn)行信息上報(bào)；c) 參與和協(xié)助應(yīng)急響應(yīng)計(jì)劃的教育、培訓(xùn)和演練；

7、d) 信息安全事件發(fā)生后的外部協(xié)作。2.3. 組織的外部協(xié)作依據(jù)服務(wù)對(duì)象信息安全事件的影響程度，如需向上級(jí)部門(mén)及時(shí)通報(bào)準(zhǔn)確情況或向其他單位尋求支持時(shí)， 應(yīng)與相關(guān)管理部門(mén)以及外部組織機(jī)構(gòu)保持聯(lián)絡(luò)和協(xié)作。主要包括國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC) 華中地區(qū)分中心、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 (CNCERT/CC) 、中國(guó)教育科研網(wǎng)絡(luò)華中地區(qū)網(wǎng)絡(luò)中心、中國(guó)教育科研網(wǎng)網(wǎng)絡(luò)中心、.精品文檔#市公安局網(wǎng)絡(luò)安全監(jiān)察室、 湖北省公安廳網(wǎng)絡(luò)安全監(jiān)察處、 中國(guó)電信 #分公司網(wǎng)管中心以及主要相關(guān)設(shè)備供應(yīng)商。2.4. 保障措施應(yīng)急人力保障加強(qiáng)信息安全人才培養(yǎng)， 強(qiáng)化信息安全宣傳教育， 建

8、設(shè)一支高素質(zhì)、 高技術(shù)的信息安全核心人才和管理隊(duì)伍， 提高信息安全防御意識(shí)。 大力發(fā)展信息安全服務(wù)業(yè)， 增強(qiáng)協(xié)會(huì)應(yīng)急支援能力。物質(zhì)條件保障安排一定的資金用于預(yù)防或應(yīng)對(duì)信息安全突發(fā)事件， 提供必要的交通運(yùn)輸保障， 優(yōu)化信息安全應(yīng)急處理工作的物資保障條件。技術(shù)支撐保障設(shè)立信息安全應(yīng)急響應(yīng)中心，建立預(yù)警與應(yīng)急處理的技術(shù)平臺(tái)，進(jìn)一步提高安全事件的發(fā)現(xiàn)和分析能力。從技術(shù)上逐步實(shí)現(xiàn)發(fā)現(xiàn)、預(yù)警、處置、通報(bào)等多個(gè)環(huán)節(jié)和不同的網(wǎng)絡(luò)、系統(tǒng)、部門(mén)之間應(yīng)急處理的聯(lián)動(dòng)機(jī)制。第三部分應(yīng)急響應(yīng)實(shí)施流程該服務(wù)流程并非一個(gè)固定不變的教條，當(dāng)簡(jiǎn)化， 但任何變通都必須紀(jì)錄有關(guān)的原因。來(lái)源與安全弱點(diǎn)、 找到問(wèn)題正確的解決方法，有著極

9、其重要的作用。需要應(yīng)急響應(yīng)服務(wù)人員在實(shí)際中靈活變通， 可適詳細(xì)的記錄對(duì)于找出事件的真相、 查出威脅的甚至判定事故的責(zé)任， 避免同類(lèi)事件的發(fā)生都.準(zhǔn)備階段檢測(cè)階段抑制階段根除階段恢復(fù)階段總結(jié)階段精品文檔制定工作方案和計(jì)劃，監(jiān)督和指導(dǎo)其他小組的工作負(fù)責(zé)人準(zhǔn)備工作服務(wù)需求的確定，主機(jī)和網(wǎng)絡(luò)安全初始化快照和備份、技術(shù)人員準(zhǔn)備工作工具包和必要技術(shù)的準(zhǔn)備建立預(yù)防預(yù)警機(jī)制、及時(shí)進(jìn)行信息系統(tǒng)檢測(cè)和異常市場(chǎng)人員準(zhǔn)備工作情況上報(bào)現(xiàn)場(chǎng)實(shí)施小人員的確定現(xiàn)場(chǎng)勘查確定檢測(cè)方案并進(jìn)行實(shí)施是否有該類(lèi)事是件的專項(xiàng)預(yù)案否確定和認(rèn)可抑制的方案并進(jìn)行抑制的實(shí)施啟確定和認(rèn)可根除的方動(dòng)專法并進(jìn)行根除的實(shí)施項(xiàng)預(yù)案根據(jù)確定的恢復(fù)方案進(jìn)行信息

10、系統(tǒng)的恢復(fù)回顧并完善整個(gè)事件的處理過(guò)程并進(jìn)行總結(jié)形成事故報(bào)告為服務(wù)對(duì)象提出安全建議結(jié)束.精品文檔3.1. 準(zhǔn)備階段（ Preparation）目標(biāo)：在事件真正發(fā)生前為應(yīng)急響應(yīng)做好預(yù)備性的工作。角色：協(xié)會(huì)負(fù)責(zé)人、技術(shù)人員、市場(chǎng)人員。內(nèi)容：根據(jù)不同角色準(zhǔn)備不同的內(nèi)容。輸出：準(zhǔn)備工具清單 、事件初步報(bào)告表 、實(shí)施人員工作清單3.1.1負(fù)責(zé)人準(zhǔn)備內(nèi)容制定工作方案和計(jì)劃；提供人員和物質(zhì)保證；審核并批準(zhǔn)經(jīng)費(fèi)預(yù)算、恢復(fù)策略、應(yīng)急響應(yīng)計(jì)劃；批準(zhǔn)并監(jiān)督應(yīng)急響應(yīng)計(jì)劃的執(zhí)行；指導(dǎo)應(yīng)急響應(yīng)實(shí)施小組的應(yīng)急處置工作；啟動(dòng)定期評(píng)審、修訂應(yīng)急響應(yīng)計(jì)劃以及負(fù)責(zé)組織的外部協(xié)作。3.1.2技術(shù)人員準(zhǔn)備內(nèi)容服務(wù)需求界定首先要對(duì)服務(wù)對(duì)

11、象的整個(gè)信息系統(tǒng)進(jìn)行評(píng)估， 明確服務(wù)對(duì)象的應(yīng)急需求， 具體應(yīng)包含以下內(nèi)容：1) 應(yīng)急服務(wù)提供者應(yīng)了解應(yīng)急服務(wù)對(duì)象的各項(xiàng)業(yè)務(wù)功能及其之間的相關(guān)性，確定支持各種業(yè)務(wù)功能的相關(guān)信息系統(tǒng)資源及其他資源，明確相關(guān)信息的保密性、完整性、和可用性要求；2) 對(duì)服務(wù)對(duì)象的信息系統(tǒng)，包括應(yīng)用程序，服務(wù)器，網(wǎng)絡(luò)及任何管理和維護(hù)這些系統(tǒng)的流程進(jìn)行評(píng)估，確定系統(tǒng)所執(zhí)行的關(guān)鍵功能，并確定執(zhí)行這些關(guān)鍵功能所需要的特定系統(tǒng)資源；3) 應(yīng)急服務(wù)提供者應(yīng)采用定性或定量的方法，對(duì)業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等突發(fā)安全事件造成的影響進(jìn)行評(píng)估；4) 應(yīng)急服務(wù)提供者應(yīng)協(xié)助服務(wù)對(duì)象建立適當(dāng)?shù)膽?yīng)急響應(yīng)策略， 應(yīng)提供在業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)

12、絡(luò)癱瘓等突發(fā)安全事件發(fā)生后快速有效的恢復(fù)信息系統(tǒng)運(yùn)行的方法；5) 應(yīng)急服務(wù)提供者宜為服務(wù)對(duì)象提供相關(guān)的培訓(xùn)服務(wù)，以提高服務(wù)對(duì)象的安全意識(shí)，便于相關(guān)責(zé)任人明確自己的角色和責(zé)任， 了解常見(jiàn)的安全事件和入侵行為，熟悉應(yīng)急響應(yīng)策略。主機(jī)和網(wǎng)絡(luò)設(shè)備安全初始化快照和備份在系統(tǒng)安全策略配置完成后， 要對(duì)系統(tǒng)做一次初始安全狀態(tài)快照。 這樣，如果以后在出現(xiàn)事故后對(duì)該服務(wù)器做安全檢測(cè)時(shí)， 通過(guò)將初始化快照做的結(jié)果與檢測(cè)階段做的快照進(jìn)行比較，就能夠發(fā)現(xiàn)系統(tǒng)的改動(dòng)或異常。1) 對(duì)主機(jī)系統(tǒng)做一個(gè)標(biāo)準(zhǔn)的安全初始化的狀態(tài)快照，包括的主要內(nèi)容有：日志及審核策略快照等。.精品文檔用戶賬戶快照；進(jìn)程快照；服務(wù)快照；自啟動(dòng)快照關(guān)鍵

13、文件簽名快照；開(kāi)放端口快照；系統(tǒng)資源利用率的快照；注冊(cè)表快照；計(jì)劃任務(wù)快照等等；2) 對(duì)網(wǎng)絡(luò)設(shè)備做一個(gè)標(biāo)準(zhǔn)的安全初始化的狀態(tài)快照，包括的主要內(nèi)容有：路由器快照；防火墻快照；用戶快照；系統(tǒng)資源利用率等快照。3) 信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)及辦公數(shù)據(jù)均十分重要，因此需要進(jìn)行數(shù)據(jù)存儲(chǔ)及備份。目前，存儲(chǔ)備份結(jié)構(gòu)主要有 DAS 、SAN 和 NAS ，以及通過(guò)磁帶或光盤(pán)對(duì)數(shù)據(jù)進(jìn)行備份。各服務(wù)對(duì)象可以根據(jù)自身的特點(diǎn)選擇不同的存儲(chǔ)產(chǎn)品構(gòu)建自己的數(shù)據(jù)存儲(chǔ)備份系統(tǒng)。工具包的準(zhǔn)備1) 應(yīng)急服務(wù)提供者應(yīng)根據(jù)應(yīng)急服務(wù)對(duì)象的需求準(zhǔn)備處置網(wǎng)絡(luò)安全事件的工具包，包括常用的系統(tǒng)基本命令、其他軟件工具等；2) 應(yīng)急服務(wù)提供者的工具包中

14、的工具最好是采用綠色免安裝的，應(yīng)保存在安全的移動(dòng)介質(zhì)上，如一次性可寫(xiě)光盤(pán)、加密的U 盤(pán)等；3) 應(yīng)急服務(wù)提供者的工具包應(yīng)定期更新、補(bǔ)充；必要技術(shù)的準(zhǔn)備上述是針對(duì)應(yīng)急響應(yīng)的處理涉及到的安全技術(shù)工具涵蓋應(yīng)急響應(yīng)的事件取樣、事件分析、事件隔離、系統(tǒng)恢復(fù)和攻擊追蹤等各個(gè)方面，構(gòu)成了網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的技術(shù)基礎(chǔ)。所以我們的應(yīng)急響應(yīng)服務(wù)實(shí)施成員還應(yīng)該掌握以下必要的技術(shù)手段和規(guī)范，具體包括以下內(nèi)容：1) 系統(tǒng)檢測(cè)技術(shù)，包括以下檢測(cè)技術(shù)規(guī)范： Windows 系統(tǒng)檢測(cè)技術(shù)規(guī)范； Unix 系統(tǒng)檢測(cè)技術(shù)規(guī)范；網(wǎng)絡(luò)安全事故檢測(cè)技術(shù)規(guī)范；數(shù)據(jù)庫(kù)系統(tǒng)檢測(cè)技術(shù)規(guī)范；常見(jiàn)的應(yīng)用系統(tǒng)檢測(cè)技術(shù)規(guī)范；2) 攻擊檢測(cè)技術(shù)，包括以下

15、技術(shù)：異常行為分析技術(shù)；入侵檢測(cè)技術(shù)；安全風(fēng)險(xiǎn)評(píng)估技術(shù)；3) 攻擊追蹤技術(shù)；4) 現(xiàn)場(chǎng)取樣技術(shù)；5) 系統(tǒng)安全加固技術(shù)；.精品文檔6) 攻擊隔離技術(shù)；7) 資產(chǎn)備份恢復(fù)技術(shù)；3.1.3市場(chǎng)人員準(zhǔn)備內(nèi)容和服務(wù)對(duì)象建立長(zhǎng)期友好的業(yè)務(wù)關(guān)系；和服務(wù)對(duì)象簽訂應(yīng)急服務(wù)合同或協(xié)議；建立預(yù)防和預(yù)警機(jī)制，及時(shí)上報(bào)。1) 預(yù)防和預(yù)警機(jī)制市場(chǎng)人員要嚴(yán)格按照應(yīng)急響應(yīng)負(fù)責(zé)人的安排和建議，及時(shí)提醒服務(wù)對(duì)象提高防范網(wǎng)絡(luò)攻擊、病毒入侵、網(wǎng)絡(luò)竊密等的能力， 防止有害信息傳播， 保障服務(wù)對(duì)象網(wǎng)絡(luò)的安全暢通。將協(xié)會(huì)網(wǎng)絡(luò)信息中心會(huì)發(fā)布的病毒預(yù)防警報(bào)以及更新的防護(hù)策略及時(shí)有效地告知服務(wù)對(duì)象，做好防護(hù)策略的更新。2) 信息系統(tǒng)檢測(cè)和報(bào)告

16、按照“早發(fā)現(xiàn)、早報(bào)告、早處置”的原則，市場(chǎng)人員要加強(qiáng)對(duì)服務(wù)對(duì)象信息系統(tǒng)的安全檢測(cè)結(jié)果的通告，收集可能引發(fā)信息安全事件的有關(guān)信息、進(jìn)行分析判斷。如服務(wù)對(duì)象發(fā)現(xiàn)有異常情況或有信息安全事件發(fā)生時(shí)， 要立即向協(xié)會(huì)網(wǎng)絡(luò)信息中心應(yīng)急響應(yīng)負(fù)責(zé)人報(bào)告，并填寫(xiě)事件初步報(bào)告表。要求服務(wù)對(duì)象持續(xù)監(jiān)測(cè)信息系統(tǒng)狀況， 密切關(guān)注應(yīng)急響應(yīng)負(fù)責(zé)人提出初步行動(dòng)對(duì)策和行動(dòng)方案，聽(tīng)從指令和安排，及時(shí)減小損失。3.2. 檢測(cè)階段（ Examination）目標(biāo)：接到事故報(bào)警后在服務(wù)對(duì)象的配合下對(duì)異常的系統(tǒng)進(jìn)行初步分析，確認(rèn)其是否真正發(fā)生了信息安全事件，制定進(jìn)一步的響應(yīng)策略，并保留證據(jù)。角色：應(yīng)急服務(wù)實(shí)施小組成員、應(yīng)急響應(yīng)日常運(yùn)行小組

17、；內(nèi)容：(1)檢測(cè)范圍及對(duì)象的確定；(2)檢測(cè)方案的確定；(3)檢測(cè)方案的實(shí)施；(4)檢測(cè)結(jié)果的處理。輸出：檢測(cè)結(jié)果記錄 、 3.2.1實(shí)施小組人員的確定應(yīng)急響應(yīng)負(fù)責(zé)人根據(jù)事件初步報(bào)告表的內(nèi)容，初步分析事故的類(lèi)型、嚴(yán)重程度等，以此來(lái)確定臨時(shí)應(yīng)急響應(yīng)小組的實(shí)施人員的名單。.精品文檔3.2.2檢測(cè)范圍及對(duì)象的確定應(yīng)急服務(wù)提供者應(yīng)對(duì)發(fā)生異常的系統(tǒng)進(jìn)行初步分析，判斷是否正真發(fā)生了安全事件；應(yīng)急服務(wù)提供者和服務(wù)對(duì)象共同確定檢測(cè)對(duì)象及范圍；檢測(cè)對(duì)象及范圍應(yīng)得到服務(wù)對(duì)象的書(shū)面授權(quán)。3.2.3檢測(cè)方案的確定應(yīng)急服務(wù)提供者和服務(wù)對(duì)象共同確定檢測(cè)方案；應(yīng)急服務(wù)提供者制定的檢測(cè)方案應(yīng)明確應(yīng)急服務(wù)提供者所使用的檢測(cè)規(guī)

18、范；應(yīng)急服務(wù)提供者制定的檢測(cè)方案應(yīng)明確應(yīng)急服務(wù)提供者的檢測(cè)范圍，其檢測(cè)范圍應(yīng)僅限于服務(wù)對(duì)象已授權(quán)的與安全事件相關(guān)的數(shù)據(jù)， 對(duì)服務(wù)對(duì)象的機(jī)密性數(shù)據(jù)信息未經(jīng)授權(quán)的不得訪問(wèn)；應(yīng)急服務(wù)提供者制定的檢測(cè)方案應(yīng)包含實(shí)施方案失敗的應(yīng)變和回退措施；應(yīng)急服務(wù)提供者和服務(wù)對(duì)象充分溝通，并預(yù)測(cè)應(yīng)急處理方案可能造成的影響。3.2.4檢測(cè)方案的實(shí)施檢測(cè)搜集系統(tǒng)信息記錄時(shí)使用目錄及文件名約定：在受入侵的計(jì)算機(jī)的D 盤(pán)根目錄下 （）（如果無(wú)D 盤(pán)則在其他盤(pán)根目錄下）建立一個(gè)EEAN 目錄，目錄中包含以下子目錄：artifact ：用于存放可疑文件樣本cmdoutput ：用于記錄命令行輸出結(jié)果screenshot：用于存放

19、屏幕拷貝文件log：用于存放各類(lèi)日志文件文件格式：命令行輸出文件缺省僅使用TXT 格式。日志文件及其他格式盡量使用TXT 、CSV 和其他不需要特殊工具就可以閱讀的格式。屏幕拷貝文件應(yīng)該使用BMP 格式。可疑文件樣本最好加密壓縮為zip 格式，默認(rèn)密碼為：eean搜集操作系統(tǒng)基本信息1右鍵點(diǎn)擊“我的電腦 屬性” 將“常規(guī)”、“自動(dòng)更新” 、“遠(yuǎn)程” 3 個(gè)選卡各制作一個(gè)窗口拷貝（使用 Alt+PrtScr ）。并保存到 EEANscreenshot 目錄下，文件名稱應(yīng)該使用：系統(tǒng)常規(guī) -01、自動(dòng)更新 -01、遠(yuǎn)程 -01 等形式命名。2進(jìn)入 CMD 狀態(tài)，“開(kāi)始 運(yùn)行 cmd ”，進(jìn)入 D

20、盤(pán)根目錄下的 EEAN 目錄，執(zhí)行一下命令：netstat -nao netstat.txt (網(wǎng)絡(luò)連接信息)tasklist tasklist.txt（當(dāng)前進(jìn)程信息）ipconfig /all ipconfig.txt（ IP 屬性）ver ver.txt（操作系統(tǒng)屬性）.精品文檔.日志信息目標(biāo)：導(dǎo)出所有日志信息；說(shuō)明：進(jìn)入管理工具，將“管理工具 事件察看器”中，導(dǎo)出所有事件，分別使用一下文件名保存：application.txt 、 security.txt 、 system.txt。帳號(hào)信息目標(biāo)：導(dǎo)出所有帳號(hào)信息；說(shuō)明：使用net user， net group， net local g

21、roup命令檢查帳號(hào)和組的情況，使用計(jì)算機(jī)管理查看本地用戶和組，將導(dǎo)出的信息保存在 D:EEANuser 中主機(jī)檢測(cè)日志檢查目標(biāo)： 1、從日志信息中檢測(cè)出未授權(quán)訪問(wèn)或非法登錄事件；2、從 IIS/FTP日志中檢測(cè)非正常訪問(wèn)行為或攻擊行為；說(shuō)明： 1、檢查事件查看器中的系統(tǒng)和安全日志信息，比如：安全日志中異常登錄時(shí)間，未知用戶名登錄；2、檢查 %WinDir%System32LogFiles目錄下的WWW日志和 FTP日志，比如 WWW日志中的對(duì)cmd.asp 文件的成功訪問(wèn)。帳號(hào)檢查目標(biāo)：檢查帳號(hào)信息中非正常帳號(hào)，隱藏帳號(hào)；說(shuō)明：通過(guò)詢問(wèn)管理員或負(fù)責(zé)人，或者和系統(tǒng)的所有的正常帳號(hào)列表做對(duì)比，判

22、斷是否有可疑的陌生的賬號(hào)出現(xiàn)，利用這些獲得的信息和前面準(zhǔn)備階段做的帳號(hào)快照工作進(jìn)行對(duì)比。進(jìn)程檢查目標(biāo)：檢查是否存在未被授權(quán)的應(yīng)用程序或服務(wù)說(shuō)明：使用任務(wù)管理器檢查或使用進(jìn)程查看工具進(jìn)行查看，利用這些獲得的信息和前面準(zhǔn)備階段做的進(jìn)程快照工作進(jìn)行對(duì)比，判斷是否有可疑的進(jìn)程。服務(wù)檢查目標(biāo)：檢查系統(tǒng)是否存在非法服務(wù)說(shuō)明：使用“管理工具”中的“服務(wù)”查看非法服務(wù)或使用冰刃、 Wsystem 察看當(dāng)前服務(wù)情況，利用這些獲得的信息和準(zhǔn)備階段做的服務(wù)快照工作進(jìn)行對(duì)比。自啟動(dòng)檢查目標(biāo)：檢查未授權(quán)自啟動(dòng)程序說(shuō)明：檢查系統(tǒng)各用戶“啟動(dòng)”目錄下是否存在未授權(quán)程序。網(wǎng)絡(luò)連接檢查目標(biāo)：檢查非正常網(wǎng)絡(luò)連接和開(kāi)放的端口說(shuō)明：

23、關(guān)閉所有的網(wǎng)絡(luò)通訊程序，以免出現(xiàn)干擾， 然后使用ipconfig,netstat an 或其它第三方工具查看所有連接，檢查服務(wù)端口開(kāi)放情況和異常數(shù)據(jù)的信息。共享檢查目標(biāo)：檢查非法共享目錄。說(shuō)明：使用net share或其他第三方的工具檢測(cè)當(dāng)前開(kāi)放的共享，使用$是隱.精品文檔藏目錄共享，通過(guò)詢問(wèn)負(fù)責(zé)人看是否有可疑的共享文件。文件檢查目標(biāo)：檢查病毒、木馬、蠕蟲(chóng)、后門(mén)等可疑文件。說(shuō)明：使用防病毒軟件檢查文件，掃描硬盤(pán)上所有的文件，將可疑文件進(jìn)行提取加密壓縮成.zip ，保存到EEANartifact目錄下的相應(yīng)子目錄中。查找其他入侵痕跡目標(biāo)：查找其它系統(tǒng)上的入侵痕跡，尋找攻擊途徑說(shuō)明： 其它系統(tǒng)包括

24、： 同一 IP 地址段或同一網(wǎng)段的系統(tǒng)、 同一域的其他系統(tǒng)、擁有相同操作系統(tǒng)的其他系統(tǒng)。3.2.5檢測(cè)結(jié)果的處理確定安全事件的類(lèi)型經(jīng)過(guò)檢測(cè)，判斷出信息安全事件類(lèi)型。信息安全事件可以有以下7 個(gè)基本分類(lèi)：有害程序事件：蓄意制造、傳播有害程序，或是因受到有害程序的影響而導(dǎo)致的信息安全事件。網(wǎng)絡(luò)攻擊事件：通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對(duì)信息系統(tǒng)實(shí)施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的信息安全事件。信息破壞事件：通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的信息安全事件。信息內(nèi)容安全事件：利用信息網(wǎng)

25、絡(luò)發(fā)布、傳播危害國(guó)家安全、社會(huì)穩(wěn)定和公共利益的內(nèi)容的安全事件。設(shè)備設(shè)施故障：由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息安全事件，以及人為的使用非技術(shù)手段有意或無(wú)意的造成信息系統(tǒng)破壞而導(dǎo)致的信息安全事件。災(zāi)害性事件： 由于不可抗力對(duì)信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。其他信息安全事件：不能歸為以上6 個(gè)基本分類(lèi)的信息安全事件。評(píng)估突發(fā)信息安全事件的影響采用定量和 / 或定性的方法，對(duì)業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓數(shù)據(jù)丟失等突發(fā)信息安全事件造成的影響進(jìn)行評(píng)估：確定是否存在針對(duì)該事件的特定系統(tǒng)預(yù)案， 如有，則啟動(dòng)相關(guān)預(yù)案； 如果事件涉及多個(gè)專項(xiàng)預(yù)案，應(yīng)同時(shí)啟動(dòng)所有涉及的專項(xiàng)預(yù)案；如果沒(méi)有

26、針對(duì)該事件的專項(xiàng)預(yù)案， 應(yīng)根據(jù)事件具體情況， 采取抑制措施， 抑制事件進(jìn)一步擴(kuò)散。3.3. 抑制階段（ Suppresses）目標(biāo)：及時(shí)采取行動(dòng)限制事件擴(kuò)散和影響的范圍， 限制潛在的損失與破壞， 同時(shí)要確保封鎖方法對(duì)涉及相關(guān)業(yè)務(wù)影響最小。角色：應(yīng)急服務(wù)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組。內(nèi)容：(1) 抑制方案的確定；.精品文檔(2) 抑制方案的認(rèn)可；(3) 抑制方案的實(shí)施；(4) 抑制效果的判定；輸出：抑制處理記錄表 、 3.3.1抑制方案的確定應(yīng)急服務(wù)提供者應(yīng)在檢測(cè)分析的基礎(chǔ)上，初步確定與安全事件相對(duì)應(yīng)的抑制方法，如有多項(xiàng)，可由服務(wù)對(duì)象考慮后自己選擇；在確定抑制方法時(shí)應(yīng)該考慮：全面評(píng)估入侵范圍、

27、入侵帶來(lái)的影響和損失；通過(guò)分析得到的其他結(jié)論，如入侵者的來(lái)源；服務(wù)對(duì)象的業(yè)務(wù)和重點(diǎn)決策過(guò)程；服務(wù)對(duì)象的業(yè)務(wù)連續(xù)性。3.3.2抑制方案的認(rèn)可應(yīng)急服務(wù)提供者應(yīng)告知服務(wù)對(duì)象所面臨的首要問(wèn)題；應(yīng)急服務(wù)提供者所確定的抑制方法和相應(yīng)的措施應(yīng)得到服務(wù)對(duì)象的認(rèn)可；在采取抑制措施之前， 應(yīng)急服務(wù)提供者要和服務(wù)對(duì)象充分溝通， 告知可能存在的風(fēng)險(xiǎn)，制定應(yīng)變和回退措施，并與其達(dá)成協(xié)議。3.3.3抑制方案的實(shí)施應(yīng)急服務(wù)提供者要嚴(yán)格按照相關(guān)約定實(shí)施抑制，不得隨意更改抑制的措施的范圍，如有必要更改，需獲得服務(wù)對(duì)象的授權(quán)；抑制措施易包含但不僅限于以下幾方面：確定受害系統(tǒng)的范圍后，將被害系統(tǒng)和正常的系統(tǒng)進(jìn)行隔離，斷開(kāi)或暫時(shí)關(guān)閉

28、被攻擊的系統(tǒng)，使攻擊先徹底停止；持續(xù)監(jiān)視系統(tǒng)和網(wǎng)絡(luò)活動(dòng)，記錄異常流量的遠(yuǎn)程 IP 、域名、端口；停止或刪除系統(tǒng)非正常帳號(hào)，隱藏帳號(hào)，更改口令，加強(qiáng)口令的安全級(jí)別；掛起或結(jié)束未被授權(quán)的、可疑的應(yīng)用程序和進(jìn)程；關(guān)閉存在的非法服務(wù)和不必要的服務(wù)；刪除系統(tǒng)各用戶“啟動(dòng)”目錄下未授權(quán)自啟動(dòng)程序；使用 net share或其他第三方的工具停止所有開(kāi)放的共享；使用反病毒軟件或其他安全工具檢查文件，掃描硬盤(pán)上所有的文件，隔離或清除病毒、木馬、蠕蟲(chóng)、后門(mén)等可疑文件；設(shè)置陷阱，如蜜罐系統(tǒng)；或者反擊攻擊者的系統(tǒng)。3.3.4抑制效果的判定防止事件繼續(xù)擴(kuò)散，限制了潛在的損失和破壞，使目前損失最小化；對(duì)其它相關(guān)業(yè)務(wù)的影響

29、是否控制在最小。.精品文檔3.4. 根除階段（ Eradicates）目標(biāo)：對(duì)事件進(jìn)行抑制之后，通過(guò)對(duì)有關(guān)事件或行為的分析結(jié)果，找出事件根源，明確相應(yīng)的補(bǔ)救措施并徹底清除。角色：應(yīng)急服務(wù)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組。內(nèi)容：(1) 根除方案的確定；(2) 根除方案的認(rèn)可；(3) 根除方案的實(shí)施；(4) 根除效果的判定；輸出：根除處理記錄表 、 3.4.1根除方案的確定應(yīng)急服務(wù)提供者應(yīng)協(xié)助服務(wù)對(duì)象檢查所有受影響的系統(tǒng)， 在準(zhǔn)確判斷安全事件原因的基礎(chǔ)上，提出方案建議；由于入侵者一般會(huì)安裝后門(mén)或使用其他的方法以便于在將來(lái)有機(jī)會(huì)侵入該被攻陷的系統(tǒng)， 因此在確定根除方法時(shí)， 需要了解攻擊者時(shí)如何入侵的，

30、 以及與這種入侵方法相同和相似的各種方法。3.4.2根除方案的認(rèn)可應(yīng)急服務(wù)提供者應(yīng)明確告知服務(wù)對(duì)象所采取的根除措施可能帶來(lái)的風(fēng)險(xiǎn)，制定應(yīng)變和回退措施，并得到服務(wù)對(duì)象的書(shū)面授權(quán)；應(yīng)急服務(wù)提供者應(yīng)協(xié)助服務(wù)對(duì)象進(jìn)行根除方法的實(shí)施。3.4.3根除方案的實(shí)施應(yīng)急服務(wù)提供者應(yīng)使用可信的工具進(jìn)行安全事件的根除處理， 不得使用受害系統(tǒng)已有的不可信的文件和工具；根除措施易包含但不僅限與以下幾個(gè)方面：改變?nèi)靠赡苁艿焦舻南到y(tǒng)帳號(hào)和口令，并增加口令的安全級(jí)別；修補(bǔ)系統(tǒng)、網(wǎng)絡(luò)和其他軟件漏洞；增強(qiáng)防護(hù)功能：復(fù)查所有防護(hù)措施的配置，安裝最新的防火墻和殺毒軟件，并及時(shí)更新， 對(duì)未受保護(hù)或者保護(hù)不夠的系統(tǒng)增加新的防護(hù)措施；提高其監(jiān)視保護(hù)級(jí)別，以保證將來(lái)對(duì)類(lèi)似的入侵進(jìn)行檢測(cè)；3.4.4根除效果的判定找出造成事件的原因，備份與造成事件的相關(guān)文件和數(shù)據(jù)；對(duì)系統(tǒng)中的文件進(jìn)行清理，根除；使系統(tǒng)能夠正常工作。.精品文檔3.5. 恢復(fù)階段（ Restoration）目標(biāo)：恢復(fù)安全事件所涉及到得系統(tǒng)，并還原到正常狀態(tài)，使業(yè)務(wù)能夠正常進(jìn)行，恢復(fù)工作應(yīng)避免出現(xiàn)誤操作導(dǎo)致數(shù)據(jù)的丟失。角色：應(yīng)急