應(yīng)急響應(yīng)服務(wù)方案

1、應(yīng)急響應(yīng)服務(wù)方案目錄應(yīng)急響應(yīng)原則錯(cuò)誤 !未定義書簽。應(yīng)急處理原則錯(cuò)誤 !未定義書簽。應(yīng)急響應(yīng)服務(wù)錯(cuò)誤 !未定義書簽。應(yīng)急事件的影響程度錯(cuò)誤 !未定義書簽。應(yīng)急事件的影響級(jí)別分類錯(cuò)誤 !未定義書簽。應(yīng)急事件的優(yōu)先級(jí)處理錯(cuò)誤 !未定義書簽。應(yīng)急事件響應(yīng) 應(yīng)急響應(yīng)保障措施 應(yīng)急響應(yīng)組織保障 組織機(jī)構(gòu)與職責(zé) 組織的外部協(xié)作 應(yīng)急響應(yīng)流程錯(cuò)誤 !未定義書簽。錯(cuò)誤 !未定義書簽。 錯(cuò)誤 !未定義書簽。 錯(cuò)誤 !未定義書簽。 錯(cuò)誤 !未定義書簽。 錯(cuò)誤 !未定義書簽。準(zhǔn)備階段錯(cuò)誤 !未定義書簽。檢測(cè)階段錯(cuò)誤 !未定義書簽。抑制階段錯(cuò)誤 !未定義書簽。根除階段錯(cuò)誤 !未定義書簽。恢復(fù)階段錯(cuò)誤 !未定義書簽。總

2、結(jié)階段錯(cuò)誤 !未定義書簽。各類應(yīng)急事件處理預(yù)案錯(cuò)誤 !未定義書簽。設(shè)備發(fā)生被盜或人為損害事件應(yīng)急預(yù)案錯(cuò)誤 !未定義書簽。通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案錯(cuò)誤 !未定義書簽。不良信息和網(wǎng)絡(luò)病毒事件應(yīng)急預(yù)案錯(cuò)誤 !未定義書簽。服務(wù)器軟件系統(tǒng)故障應(yīng)急預(yù)案錯(cuò)誤 !未定義書簽。黑客攻擊事件應(yīng)急預(yù)案錯(cuò)誤 !未定義書簽。核心設(shè)備硬件故障應(yīng)急預(yù)案錯(cuò)誤 !未定義書簽。應(yīng)急體系完善錯(cuò)誤 !未定義書簽。業(yè)務(wù)數(shù)據(jù)損壞應(yīng)急預(yù)案 應(yīng)急事件響應(yīng)建議 應(yīng)急事件現(xiàn)場(chǎng)處理 應(yīng)急事件的事后處理錯(cuò)誤 !未定義書簽。 錯(cuò)誤 !未定義書簽。 錯(cuò)誤 !未定義書簽。 錯(cuò)誤 !未定義書簽。應(yīng)急保障措施錯(cuò)誤 ! 未定義書簽。隨著網(wǎng)絡(luò)信息化建設(shè)的不斷深入，

3、加強(qiáng)各類設(shè)備、 系統(tǒng)以及信息與網(wǎng)絡(luò)安全等方面應(yīng)對(duì)應(yīng)急 事件的處理能力將是運(yùn)維項(xiàng)目面臨的一項(xiàng)重要任務(wù)。 為確保系統(tǒng)及機(jī)房安全與穩(wěn)定， 以保證 正常運(yùn)行為宗旨，按照 “預(yù)防為主，積極處置 ”的原則，本著建立一個(gè)有效處置應(yīng)急事件，建 立統(tǒng)一指揮、 職責(zé)明確運(yùn)轉(zhuǎn)有序、 反應(yīng)迅速處置有力的安全體系的目標(biāo)， 將正在發(fā)生或已發(fā) 生事故的損害程度減輕到最低，確保系統(tǒng)和數(shù)據(jù)安全，特制定本應(yīng)急保障方案。 在應(yīng)急事件發(fā)生時(shí)， 通過應(yīng)急事件處置與應(yīng)急響應(yīng)機(jī)制， 保障計(jì)算機(jī)信息系統(tǒng)繼續(xù)運(yùn)行或緊 急恢復(fù)，可歸納為 3 個(gè)方面： 緊急事件或安全發(fā)生時(shí)的影響分析； 應(yīng)急預(yù)案的詳細(xì)制訂； 應(yīng)急預(yù)案的演練與完善。應(yīng)急響應(yīng)原則 實(shí)

4、時(shí)原則 應(yīng)急響應(yīng)服務(wù)中心配備了 7X24的人員值班機(jī)制，保證接受客戶在任意時(shí)間提出的服務(wù)請(qǐng)求。 并在接到客戶的服務(wù)請(qǐng)求以后，在 1 個(gè)小時(shí)之內(nèi)給予響應(yīng)。規(guī)范性原則 對(duì)于每一次應(yīng)急事件的發(fā)生都有嚴(yán)格的事件記錄， 記錄事件處理的全部過程， 對(duì)于現(xiàn)場(chǎng)處理 事件由用戶簽署認(rèn)可建議。最小性原則 事件處理過程中，將事件對(duì)整個(gè)系統(tǒng)的影響降低到最小，強(qiáng)化處理前的分析與備份工作。 保密性原則 對(duì)于所有事件的處理內(nèi)容、時(shí)間、地點(diǎn)，嚴(yán)格遵從保密原則，不向任何的第三方透漏。 應(yīng)急處理原則 預(yù)防為主。立足安全防護(hù)，加強(qiáng)預(yù)警，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和信息系統(tǒng)安全、穩(wěn)定，從預(yù) 防、監(jiān)控、應(yīng)急處理、應(yīng)急保障等環(huán)節(jié)，在管理、技術(shù)

5、、人員等方面采取多種措施充分發(fā)揮 各方面的作用，共同構(gòu)筑安全保障體系?？焖俜磻?yīng)。應(yīng)急事件發(fā)生時(shí)，按照快速反應(yīng)機(jī)制，及時(shí)獲取充分而準(zhǔn)確的信息，跟蹤研判， 果斷決策，迅速處置，最大程度地減少危害和影響。分級(jí)負(fù)責(zé)。按照 “誰主管，誰負(fù)責(zé) ”的原則，建立和完善安全責(zé)任制及聯(lián)動(dòng)工作機(jī)制。根據(jù)各 負(fù)責(zé)人的職能， 各司其職， 加強(qiáng)各負(fù)責(zé)人的協(xié)調(diào)與配合， 共同履行應(yīng)急處置工作的管理職責(zé)。 以人為本。把保障人員以及客戶利益的安全作為首要任務(wù)。常備不懈。 加強(qiáng)技術(shù)儲(chǔ)備，規(guī)范應(yīng)急處置措施與操作流程，定期進(jìn)行預(yù)案演練，確保應(yīng)急預(yù) 案切實(shí)有效，實(shí)現(xiàn)網(wǎng)絡(luò)與信息安全突發(fā)公共事件應(yīng)急處置的科學(xué)化、程序化與規(guī)范化。應(yīng)急響應(yīng)服務(wù)

6、應(yīng)急事件響應(yīng)， 是當(dāng)應(yīng)急事件發(fā)生后迅速采取的措施和行為， 其目的是以最快的速度恢復(fù)系 統(tǒng)的保密性，完整性和可用性，降低應(yīng)急事件對(duì)業(yè)務(wù)系統(tǒng)造成的損失。針對(duì)運(yùn)維服務(wù)項(xiàng)目，除有駐場(chǎng)工程師進(jìn)行日常巡檢和維護(hù)的工作外，還成立信息系統(tǒng)運(yùn)維 4S組，提供應(yīng)急響應(yīng)服務(wù)。當(dāng)設(shè)備、軟件和基礎(chǔ)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，原則上由駐場(chǎng)運(yùn)維工程 現(xiàn)場(chǎng)解決， 如果現(xiàn)場(chǎng)服務(wù)工程無法解決， 事件升級(jí)為后臺(tái)技術(shù)支持團(tuán)隊(duì)解決。 保障在 1 小時(shí) 內(nèi)做出明確響應(yīng)和安排， 2小時(shí)內(nèi)提供診斷報(bào)告和故障解決方案。同時(shí)， 根據(jù)客戶的具體情況，制定和編寫信息系統(tǒng)應(yīng)急預(yù)案， 保障客戶信息系統(tǒng)的可靠，安 全的運(yùn)行。應(yīng)急事件的影響程度通常在事件爆發(fā)的初期很難

7、界定事件的起因具體是什么，所以， 通常又通過安全威脅事件的影響程度分為單點(diǎn)損害、局部損害和整體損害3 類。單點(diǎn)損害：只造成獨(dú)立個(gè)體的不可用，應(yīng)急事件影響程度弱。 局部損害：造成某一系統(tǒng)或一個(gè)局部網(wǎng)絡(luò)不可使用，應(yīng)急事件影響程度較強(qiáng)。 整體損害：造成整個(gè)網(wǎng)絡(luò)系統(tǒng)的不可使用，應(yīng)急事件影響程度強(qiáng)。應(yīng)急事件的影響級(jí)別分類確定事件影響程度的級(jí)別。 不同的威脅級(jí)別， 處理方法也不相同。 根據(jù)對(duì)業(yè)務(wù)系統(tǒng)的影響程 度從大到小的順序?qū)?yīng)急事件劃分成 4 個(gè)等級(jí)。第一級(jí)應(yīng)急事件 P1 引起重要業(yè)務(wù)系統(tǒng)或有重要影響的應(yīng)用系統(tǒng)宕機(jī)， 系統(tǒng)重新引導(dǎo)后無 法正常工作與恢復(fù)的事故，或造成安全泄密事件；第二級(jí)應(yīng)急事件 P2 重

8、復(fù)發(fā)生或重復(fù)再現(xiàn)的并產(chǎn)生較強(qiáng)影響作用， 導(dǎo)致系統(tǒng)正常運(yùn)行的事 故；第三級(jí)應(yīng)急事件 P3 間歇產(chǎn)生、隨機(jī)產(chǎn)生的事故，但不影響系統(tǒng)的正常運(yùn)行； 第四級(jí)應(yīng)急事件 P4 一般性事件， 與業(yè)務(wù)系統(tǒng)運(yùn)行或產(chǎn)品使用要關(guān)的問題， 不影響整個(gè)系 統(tǒng)的正常運(yùn)行。應(yīng)急事件的優(yōu)先級(jí)處理 事件處理要素 事件處理要素分為管理層面和技術(shù)層面； P1、P2 級(jí)事件的啟動(dòng)和指揮由應(yīng)急總負(fù)責(zé)人負(fù)責(zé)；P3、P4級(jí)事件的啟動(dòng)應(yīng)急領(lǐng)導(dǎo)小組負(fù)責(zé)。事件動(dòng)態(tài)由應(yīng)急工作小組人員收集并及時(shí)反饋給 應(yīng)急領(lǐng)導(dǎo)小組，應(yīng)急領(lǐng)導(dǎo)小組決定信息的共享、溝通、處置。信息系統(tǒng)事件發(fā)生后，事發(fā)部 門立即啟動(dòng)相關(guān)應(yīng)急預(yù)案，實(shí)施處置并及時(shí)報(bào)送信息。分級(jí)響應(yīng)發(fā)生P1、P

9、2級(jí)事件，由應(yīng)急工作小組初步判定事件級(jí)別后，將信息通知應(yīng)急領(lǐng)導(dǎo)小組并注意持續(xù)監(jiān)控事態(tài)、收集信息、做出應(yīng)急準(zhǔn)備；應(yīng)急領(lǐng)導(dǎo)小組響應(yīng)判斷為P1、P2級(jí)事件后，立即通知應(yīng)急總負(fù)責(zé)人，并由應(yīng)急總負(fù)責(zé)人啟動(dòng)應(yīng)急預(yù)案。發(fā)生P3、P4級(jí)事件，由應(yīng)急工作小組初步判定事件級(jí)別后，將信息通知應(yīng)急領(lǐng)導(dǎo)小組并注意持續(xù)監(jiān)控事態(tài)、收集信息、做出應(yīng)急準(zhǔn)備；應(yīng)急領(lǐng)導(dǎo)小組響應(yīng)判斷為P3、P4級(jí)事件后，立即啟動(dòng)應(yīng)急預(yù)案。應(yīng)急事件的級(jí)別應(yīng)置于動(dòng)態(tài)調(diào)整控制中。指揮與協(xié)調(diào)P1、P2級(jí)事件，由應(yīng)急工作小組收集信息，應(yīng)急領(lǐng)導(dǎo)小組做出預(yù)判，并迅速通知應(yīng)急總負(fù) 責(zé)人，由應(yīng)急總負(fù)責(zé)人進(jìn)行指揮和決策。P3、P4級(jí)事件，由應(yīng)急領(lǐng)導(dǎo)小組進(jìn)行指揮和決策，

10、并及時(shí)將處理過程、報(bào)告等上報(bào)應(yīng)急總 負(fù)責(zé)人。信息共享和處理P1、P2級(jí)事件，由應(yīng)急工作小組收集信息并提交給應(yīng)急領(lǐng)導(dǎo)小組和應(yīng)急總負(fù)責(zé)人，由應(yīng)急 總負(fù)責(zé)人決定信息的分發(fā)、共享和處置。P3、P4級(jí)事件，由應(yīng)急領(lǐng)導(dǎo)小組決定信息的分發(fā)、共享和處置，并上報(bào)應(yīng)急總負(fù)責(zé)人。 應(yīng)急事件響應(yīng) 當(dāng)客戶系統(tǒng)發(fā)生緊急事件時(shí)，對(duì)應(yīng)的處理方法原則是首先保護(hù)或恢復(fù)計(jì)算機(jī)、網(wǎng)絡(luò)服務(wù)等， 使其恢復(fù)正常運(yùn)行， 然后再對(duì)事件進(jìn)行追查 因此對(duì)于客戶緊急事件響應(yīng)服務(wù)主要包括準(zhǔn)備、 識(shí)別事件（判定應(yīng)急事件類型） 、抑制（縮小事件的影響范圍） 、解決問題、恢復(fù)以及后續(xù)跟 蹤。準(zhǔn)備工作；建立客戶事件檔案； 與客戶就故障級(jí)別進(jìn)行定義； 準(zhǔn)備應(yīng)急

11、事件緊急響應(yīng)服務(wù)相關(guān)資源； 為一個(gè)應(yīng)急事件的處理取得管理方面支持； 組建事件處理隊(duì)伍；提供易實(shí)現(xiàn)的初步報(bào)告；制定一個(gè)緊急后備方案； 隨時(shí)與管理員保持聯(lián)系； 識(shí)別事件；在指定時(shí)間內(nèi)指派安全服務(wù)小組去負(fù)責(zé)此事件； 事件抄送專家小組；初步評(píng)估，確定事件原因； 保護(hù)可追查的線索，諸如立即對(duì)日志、數(shù)據(jù)進(jìn)行備份； 聯(lián)系客戶系統(tǒng)的相關(guān)服務(wù)商、廠商；縮小事件的影響范圍； ； 確定系統(tǒng)繼續(xù)運(yùn)行的風(fēng)險(xiǎn)，決定是否關(guān)閉系統(tǒng)及采取其他措施； 與客戶相關(guān)工作人員保持聯(lián)系、協(xié)商；根據(jù)需求制訂相應(yīng)的應(yīng)急措施；解決問題； 事件的起因分析； 事后取證調(diào)查； 后門檢查； 漏洞分析；提供解決方案； 結(jié)果提交專家小組審核； 后續(xù)工作；

12、檢查是不是所有的服務(wù)都已經(jīng)恢復(fù)； 其發(fā)生的原因是否已經(jīng)處理； 應(yīng)急響應(yīng)步驟是否需要修改； 生成緊急響應(yīng)報(bào)告；擬定一份事件記錄和跟蹤報(bào)告； 事件合并、錄入信息知識(shí)庫。應(yīng)急響應(yīng)保障措施工具保障 我們建立了一套專門用于應(yīng)急響應(yīng)工具庫，保證提供應(yīng)急響應(yīng)服務(wù)的工程師一人一套工具； 為防止光盤損壞和丟失， 并將此工具庫進(jìn)行了多套備份； 同時(shí)指定了專業(yè)技術(shù)人員進(jìn)行工具 庫的管理與維護(hù)，包括工具的測(cè)試、版本升級(jí)與維護(hù)等。技術(shù)和人員保障 公司擁有一支技術(shù)精湛、專業(yè)、穩(wěn)定的技術(shù)團(tuán)隊(duì)，多位在網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫、安全等多個(gè) 領(lǐng)域具體豐富的實(shí)踐經(jīng)驗(yàn)的資深工程師。公司指定技術(shù)專員整理技術(shù)經(jīng)驗(yàn)和心得并錄入知識(shí)信息數(shù)據(jù)庫，

13、一方面供技術(shù)部定期組織培 訓(xùn)會(huì)議使用 （對(duì)典型案例進(jìn)行分析和學(xué)習(xí)） ，另一方面供 TS 客服中心查詢以電話遠(yuǎn)程技術(shù)指 導(dǎo)。公司建立了圖書室， 圖書室內(nèi)目前擁有信息安全類、計(jì)算機(jī)應(yīng)用類、網(wǎng)絡(luò)管理類、 分級(jí)保護(hù) 相關(guān)資料與規(guī)范、等級(jí)保護(hù)相關(guān)資料與規(guī)范等方面書籍，以方便技術(shù)人員借閱。公司定期組織技術(shù)人員進(jìn)行專項(xiàng)技術(shù)培訓(xùn)學(xué)習(xí)，并以考試的方法檢查技術(shù)人員的掌握情況， 有針對(duì)性的對(duì)技術(shù)人員進(jìn)行幫助和指導(dǎo)。公司鼓勵(lì)員工報(bào)考知名廠商技術(shù)認(rèn)證，進(jìn)行更專業(yè)的技術(shù)學(xué)習(xí)，并在考試費(fèi)用上給予報(bào)銷。 交通保障緊急事件， 公司應(yīng)急車輛保障， 可以保證在突發(fā)應(yīng)急事件時(shí)能做出快速響應(yīng)， 第一時(shí)間趕到 事件現(xiàn)場(chǎng)進(jìn)行處置。財(cái)力保障

14、公司有專門的經(jīng)費(fèi)和審批流程， 確保在應(yīng)急響應(yīng)處理過程中需要的款項(xiàng)能迅速到位， 保障應(yīng) 急事件的處理和故障恢復(fù)。應(yīng)急響應(yīng)組織保障 組織機(jī)構(gòu)與職責(zé) 針對(duì)項(xiàng)目，我公司成立專門應(yīng)急處置小組，包含：應(yīng)急領(lǐng)導(dǎo)小組和應(yīng)急工作小組。應(yīng)急領(lǐng)導(dǎo)小組 應(yīng)急領(lǐng)導(dǎo)小組是信息安全應(yīng)急響應(yīng)工作的組織領(lǐng)導(dǎo)機(jī)構(gòu)，組長(zhǎng)由組織最高管理層成員擔(dān)任。 職責(zé)是統(tǒng)一領(lǐng)導(dǎo)信息系統(tǒng)的應(yīng)急事件的公司內(nèi)部應(yīng)急處理工作， 發(fā)起研究重大應(yīng)急決策和部 署，決定實(shí)施和終止應(yīng)急預(yù)案，領(lǐng)導(dǎo)和決策信息安全應(yīng)急響應(yīng)的重大事宜，主要職責(zé)如下： 制訂工作方案；提供人員和物質(zhì)保證；審核并批準(zhǔn)經(jīng)費(fèi)預(yù)算；審核并批準(zhǔn)恢復(fù)策略； 審核并批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃； 批準(zhǔn)并監(jiān)督應(yīng)急響應(yīng)計(jì)

15、劃的執(zhí)行； 指導(dǎo)應(yīng)急響應(yīng)實(shí)施小組的應(yīng)急處置工作； 啟動(dòng)定期評(píng)審、修訂應(yīng)急響應(yīng)計(jì)劃以及負(fù)責(zé)組織的外部協(xié)作。應(yīng)急工作小組 應(yīng)急工作小組由運(yùn)維服務(wù)小組人員組成， 主要職責(zé)包含： 落實(shí)應(yīng)急領(lǐng)導(dǎo)小組布置的各項(xiàng)任務(wù)； 組織制定應(yīng)急預(yù)案， 并監(jiān)督執(zhí)行情況； 掌握應(yīng)急事件處理情況， 及時(shí)向應(yīng)急領(lǐng)導(dǎo)小組報(bào)告應(yīng) 急過程中的重大問題。具體職責(zé)如下：編制應(yīng)急響應(yīng)計(jì)劃文檔； 應(yīng)急響應(yīng)的需求分析，確定應(yīng)急策略和等級(jí)以及策略的實(shí)現(xiàn)； 備份系統(tǒng)的運(yùn)行和維護(hù)，協(xié)助災(zāi)難恢復(fù)系統(tǒng)實(shí)施； 信息安全應(yīng)急事件發(fā)生時(shí)的損失控制和損害評(píng)估；組織應(yīng)急響應(yīng)計(jì)劃的測(cè)試和演練。 組織的外部協(xié)作依據(jù)信息應(yīng)急事件的影響程度， 如需向其他第三方設(shè)備供應(yīng)商

16、或軟件開發(fā)商尋求支持時(shí)， 將 聯(lián)系第三方服務(wù)單位提供協(xié)作和技術(shù)支持。應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)流程共包括 6 個(gè)階段，分別是準(zhǔn)備階段、檢測(cè)階段、抑制階段、根除階段、恢復(fù)階 段、總結(jié)階段。 應(yīng)急響應(yīng)流程如下圖所示，對(duì)于每個(gè)階段都有其應(yīng)完成的目標(biāo)、實(shí)施人員角 色以及階段的結(jié)果輸出。準(zhǔn)備階段 目標(biāo)：在事件真正發(fā)生前為應(yīng)急響應(yīng)做好預(yù)備性的工作。角色：組織人員，技術(shù)人員內(nèi)容：根據(jù)不同角色準(zhǔn)備不同的內(nèi)容。編出：準(zhǔn)備工具清單、事件初步報(bào)告表和實(shí)施人員工作清單。組織人員準(zhǔn)備內(nèi)容制訂工作方案和計(jì)劃；提供人員和物質(zhì)保證；審核并批準(zhǔn)經(jīng)費(fèi)預(yù)算、恢復(fù)策略、應(yīng)急響應(yīng)計(jì)劃；批準(zhǔn)并監(jiān)督應(yīng)急響應(yīng)計(jì)劃的執(zhí)行；指導(dǎo)應(yīng)急響應(yīng)實(shí)施小組的應(yīng)急

17、處置工作；啟動(dòng)定期評(píng)審、修訂應(yīng)急響應(yīng)計(jì)劃以及負(fù)責(zé)組織的外部協(xié)作。 技術(shù)人員準(zhǔn)備內(nèi)容服務(wù)需求界定首先要對(duì)整個(gè)信息系統(tǒng)進(jìn)行評(píng)估，明確應(yīng)急需求，具體應(yīng)包含以下內(nèi)容： 了解各項(xiàng)業(yè)務(wù)功能及其之間的相關(guān)性，確定支持各種業(yè)務(wù)功能的相關(guān)信息系統(tǒng)資源及其他資源，明確相關(guān)信息的保密性、完整性和可用性要求；對(duì)信息系統(tǒng)，包括應(yīng)用程序、服務(wù)器、網(wǎng)絡(luò)及任何管理和維護(hù)這些系統(tǒng)的流程進(jìn)行評(píng)估，確 定系統(tǒng)所執(zhí)行的關(guān)鍵功能，并確定執(zhí)行這些關(guān)鍵功能所需要的特定系統(tǒng)資源； 采用定性或定量的方法， 對(duì)業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等應(yīng)急事件造成的影響進(jìn)行評(píng)估； 協(xié)助客戶建立適當(dāng)?shù)膽?yīng)急響應(yīng)策略，提供在業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等應(yīng)急事件

18、發(fā)生后快速有效的恢復(fù)信息系統(tǒng)運(yùn)行的方法；為用戶提供相關(guān)的培訓(xùn)服務(wù)，以提高用戶的安全意識(shí)， 便于相關(guān)責(zé)任人明確自己的角色和責(zé)任。了解常見的應(yīng)急事件和入侵行為，熟悉應(yīng)急響應(yīng)策略。主機(jī)和網(wǎng)絡(luò)設(shè)備安全初始化快照和備份在系統(tǒng)安全策略配置完成后，要對(duì)系統(tǒng)優(yōu)生次初始安全狀態(tài)快照。這樣，如果以后出現(xiàn)事故后對(duì)該服務(wù)器做安全檢測(cè)時(shí)，通過將初始化快照做的結(jié)果與檢測(cè)階段做的快照進(jìn)行比較， 就能夠發(fā)現(xiàn)系統(tǒng)的改動(dòng)或異常。對(duì)主機(jī)系統(tǒng)做一個(gè)標(biāo)準(zhǔn)的安全初始化的狀態(tài)快照，包括的主要內(nèi)容有：日志及審核策略快照；用戶賬戶快照；進(jìn)程快照； 服務(wù)快照； 自啟動(dòng)快照； 關(guān)鍵文件簽名快照； 開放端口快照；系統(tǒng)資源利用率的快照；注冊(cè)表快照；計(jì)

19、劃任務(wù)快照等；對(duì)網(wǎng)絡(luò)設(shè)備做一個(gè)標(biāo)準(zhǔn)的安全初始化的狀態(tài)，包括的主要內(nèi)容有： 路由器快照；安全設(shè)備快照；用戶快照； 系統(tǒng)資源利用率等快照。信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)及辦公數(shù)據(jù)均十分重要， 因此需要進(jìn)行數(shù)據(jù)存儲(chǔ)及備份。 目前， 存儲(chǔ)備 份結(jié)構(gòu)主要有 DAS SAN和NAS,以及通過磁帶或光盤對(duì)數(shù)據(jù)進(jìn)行備份。可根據(jù)不同的特點(diǎn) 選擇不同的存儲(chǔ)產(chǎn)品構(gòu)建自己的數(shù)據(jù)存儲(chǔ)備份系統(tǒng)。工具包的準(zhǔn)備根據(jù)用戶的需求準(zhǔn)備處置網(wǎng)絡(luò)應(yīng)急事件的工具包, 包括常用的系統(tǒng)基本命令、 其他軟件工具 等；工具包中的工具采用綠色免安裝的, 保存在安全的移動(dòng)介質(zhì)上, 如一次性可寫光盤、 加密的 U 盤等；工具包應(yīng)定期更新、補(bǔ)充。 必要技術(shù)的準(zhǔn)備

20、上述是針對(duì)應(yīng)急響應(yīng)的處理涉及的安全技術(shù)工具涵蓋應(yīng)急響應(yīng)的事件取樣、事件分析、 事件隔離、 系統(tǒng)恢復(fù)和攻擊迫蹤等各個(gè)方面, 構(gòu)成了網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的技術(shù)基礎(chǔ)。 所以應(yīng)急響 應(yīng)服務(wù)實(shí)施成員還應(yīng)該掌握一些必要的技術(shù)手段和規(guī)范,具體包括以下內(nèi)容。系統(tǒng)檢測(cè)技術(shù),包括以下檢測(cè)技術(shù)規(guī)范：Windows 系統(tǒng)檢測(cè)技術(shù)規(guī)范； UNIX 系統(tǒng)檢測(cè)技術(shù)規(guī)范； 網(wǎng)絡(luò)安全牢固檢測(cè)技術(shù)規(guī)范； 數(shù)據(jù)庫系統(tǒng)檢測(cè)技術(shù)規(guī)范； 常見的應(yīng)用系統(tǒng)檢測(cè)技術(shù)規(guī)范。 攻擊檢測(cè)技術(shù)包括以下技術(shù) 異常行為分析技術(shù)； 入侵檢測(cè)技術(shù)； 安全風(fēng)險(xiǎn)評(píng)估技術(shù)； 攻擊追蹤技術(shù)。現(xiàn)場(chǎng)取樣技術(shù)。 系統(tǒng)安全加固技術(shù)。攻擊隔離技術(shù)。 資產(chǎn)備份恢復(fù)技術(shù)。檢測(cè)階段 目

21、標(biāo)：接到事故報(bào)警后在用戶的配合下對(duì)異常的系統(tǒng)進(jìn)行初步分析,確認(rèn)其是否真正發(fā)生了信息應(yīng)急事件,并制訂進(jìn)一步的響應(yīng)策略,并保留證據(jù)。 角色：應(yīng)急服務(wù)實(shí)施小組成員、應(yīng)急響應(yīng)日常運(yùn)行小組。內(nèi)容：包括以下幾項(xiàng)。 檢測(cè)范圍及對(duì)象的確定； 檢測(cè)方案的確定； 檢測(cè)方案的實(shí)施； 檢測(cè)結(jié)果的處理； 實(shí)施小組人員的確定 應(yīng)急響應(yīng)負(fù)責(zé)人根據(jù)事件初步報(bào)告表的內(nèi)容,初步分析事故的類型、嚴(yán)重程度等,以此 來確定應(yīng)急響應(yīng)小組的實(shí)施人員的名單。檢測(cè)范圍及對(duì)象的確定對(duì)發(fā)生異常的系統(tǒng)進(jìn)行初步分析，判斷是否真正發(fā)生了應(yīng)急事件； 與用戶共同確定檢測(cè)對(duì)象及范圍；檢測(cè)對(duì)象及范圍應(yīng)得到用戶的書面授權(quán)。檢測(cè)方案的確定 與用戶共同確定檢測(cè)方案；

22、 制訂的檢測(cè)方案應(yīng)明確所使用的檢測(cè)規(guī)范； 制訂的檢測(cè)方案應(yīng)明確檢測(cè)范圍，其檢測(cè)范圍應(yīng)僅限于用戶已授權(quán)的與應(yīng)急事件相關(guān)的數(shù) 據(jù)，對(duì)用戶的機(jī)密性數(shù)據(jù)信息未經(jīng)允許不得訪問； 制訂的檢測(cè)方案應(yīng)包含實(shí)施方案失敗的應(yīng)變和回退措施； 與用戶充分溝通，并預(yù)測(cè)應(yīng)急處理方案可能造成的影響。檢測(cè)方案的實(shí)施 檢測(cè)搜集系統(tǒng)信息：記錄使用目錄及文件名約定。 搜集操作系統(tǒng)基本信息：包含網(wǎng)絡(luò)連接信息、進(jìn)程信息、 IP 屬性、操作系統(tǒng)屬性。 日志信息 :導(dǎo)出所有日志信息 賬號(hào)信息 :導(dǎo)出所有賬號(hào)信息 主機(jī)檢測(cè)日志檢查：從日志信息中檢測(cè)出未授權(quán)訪問或非法登錄整件； 賬號(hào)檢查：檢查賬號(hào)信息中非正常賬號(hào)、隱藏賬號(hào)。 進(jìn)程檢查：檢查是

23、否有未被授權(quán)的應(yīng)用程序或服務(wù)。服務(wù)檢查：檢查系統(tǒng)是否存在非法服務(wù)。 自啟動(dòng)檢查：檢查未授權(quán)自啟動(dòng)程序。網(wǎng)絡(luò)連接檢查：檢查非正常開放的端口。 共享檢查：檢查非法共享目錄。文件檢查：檢查病毒、木馬、蠕蟲、后門等可疑文件。 查找其他入侵痕跡：查找其他系統(tǒng)上的入侵痕跡，尋找攻擊途徑。檢測(cè)結(jié)果的處理 確定應(yīng)急事件的類型 經(jīng)過檢測(cè)，判斷出信息應(yīng)急事件類型。信息應(yīng)急事件有以下7 個(gè)基本分類。有害程序事件： 蓄意制造、 傳播有害程序， 或是因受到有害程序的影響而導(dǎo)致的信息應(yīng)急事 件。網(wǎng)絡(luò)攻擊事件：通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息、系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺 陷或使用暴力攻擊對(duì)信息系統(tǒng)實(shí)施攻擊， 并造成信

24、息系統(tǒng)異常或?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛 在危害的信息應(yīng)急事件。信息破壞事件： 通過網(wǎng)絡(luò)或其他技術(shù)手段造成信息系統(tǒng)中的信息被篡改、假冒、泄露、 竊取 等而導(dǎo)致的信息應(yīng)急事件。信息內(nèi)容應(yīng)急事件：泄漏危害國(guó)家安全、社會(huì)穩(wěn)定和公共利益的內(nèi)容的安全。設(shè)備設(shè)施故障： 由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息應(yīng)急事件， 以及人 為的使用非技術(shù)手段有意或無意地造成信息系統(tǒng)破壞而導(dǎo)致的信息應(yīng)急事件。 災(zāi)害性事件：由于不可抗力對(duì)信息系統(tǒng)造成物理破壞而導(dǎo)致的信息應(yīng)急事件。其他信息應(yīng)急事件：不能歸入以上 6 個(gè)基本分類的信息應(yīng)急事件。 評(píng)估突發(fā)信息應(yīng)急事件的影響采用定量和 / 或定性的方法，對(duì)業(yè)務(wù)中斷、系統(tǒng)宕

25、機(jī)、網(wǎng)絡(luò)癱瘓、數(shù)據(jù)丟失等突發(fā)信息應(yīng)急 事件造成的影響進(jìn)行評(píng)估；確定是否存在針對(duì)該事件的特定系統(tǒng)預(yù)案， 如有， 則啟動(dòng)相關(guān)預(yù)案； 如果事件涉及多個(gè)專項(xiàng) 預(yù)案，應(yīng)同時(shí)啟動(dòng)所有涉及的專項(xiàng)預(yù)案； 如果沒有針對(duì)該事件的專項(xiàng)預(yù)案， 應(yīng)根據(jù)事件具體情況， 采取抑制措施， 抑制事件進(jìn)一步擴(kuò) 散。抑制階段目標(biāo)： 及時(shí)采取行動(dòng)限制事件擴(kuò)散和影響的范圍， 限制潛在的損失與破壞， 同時(shí)要確保封鎖 方法對(duì)涉及相關(guān)業(yè)務(wù)影響最小。角色：應(yīng)急服務(wù)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組內(nèi)容：包括以下兒項(xiàng) 抑制方案的確定； 抑制方案的認(rèn)可； 抑制方案的實(shí)施； 抑制效果的判定。 輸出：抑制處理記錄表。抑制方案的確定在檢測(cè)分析的基礎(chǔ)上， 初

26、步確定與應(yīng)急事件相對(duì)應(yīng)的抑制方法， 如有多項(xiàng)， 可由用戶考慮后 自己選擇。在確定抑制方法時(shí)應(yīng)該考慮： 全面評(píng)估應(yīng)急事件的影響和損失； 通過分析得到的其他結(jié)論； 用戶的業(yè)務(wù)和重點(diǎn)決策過程；用戶的業(yè)務(wù)連續(xù)性。抑制方案的認(rèn)可 告知用戶所面臨的首要問題； 確定的抑制方法和相應(yīng)的措施得到用戶的認(rèn)可； 在采取抑制措施之前，與用戶充分溝通， 告知可能存在的風(fēng)險(xiǎn)，制訂應(yīng)變和回退措施， 并與 其達(dá)成協(xié)議。抑制方案的實(shí)施嚴(yán)格按照相關(guān)約定實(shí)施抑制， 不得隨意更改抑制的措施的范圍， 如有必要更改， 須獲得用戶 的授權(quán)。抑制措施應(yīng)包含但不限于以下幾方而：確定受害系統(tǒng)的范圍后， 將受害系統(tǒng)和正常的系統(tǒng)進(jìn)行隔離， 斷開或暫

27、時(shí)關(guān)閉被影響的系統(tǒng)， 使攻擊先徹底停止；持續(xù)監(jiān)視系統(tǒng)和網(wǎng)絡(luò)活動(dòng)，記錄異常流量的遠(yuǎn)程IP、域名、端口；停止或刪除系統(tǒng)非正常賬號(hào)，隱藏賬號(hào)，更改口令，加強(qiáng)口令的安全級(jí)別； 掛起或結(jié)束未被授權(quán)的、可疑的應(yīng)用程序和進(jìn)程； 關(guān)閉存在的非法服務(wù)和不必要的服務(wù)；刪除系統(tǒng)各用戶 “啟動(dòng)”目錄下未授權(quán)自啟動(dòng)程序； 使用工具或命令停止所有開放的共享； 使用反病毒軟件或其他安全工具檢查文件， 掃描硬盤上所有的文件， 隔離或清除病毒、 木馬、 蠕蟲、后門等可疑文件；抑制效果的判定是否防止了事件繼續(xù)擴(kuò)散，限制了潛在的損失和破壞，使目前損失最小化； 對(duì)其他相關(guān)業(yè)務(wù)的影響是否控制在最小。根除階段找出事件根源，明確目標(biāo)：對(duì)應(yīng)

28、急事件進(jìn)行抑制之后，通過對(duì)有關(guān)事件或行為的分析結(jié)果， 相應(yīng)的補(bǔ)救措施并徹底清除事件。角色：應(yīng)急服務(wù)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組. 內(nèi)容：包括以下幾項(xiàng)。根除方案的確定； 根除方案的認(rèn)可； 根除方案的實(shí)施； 根除效果的判定。 輸出：根除處理記錄表。 根除方案的確定 協(xié)助用戶檢查所有受影響的系統(tǒng)，在準(zhǔn)確判斷應(yīng)急事件原因的基礎(chǔ)上，提出方案建議； 由于入侵者一般會(huì)安裝后門或使用其他的方法以便于在將來有機(jī)會(huì)侵入該被攻擊的系統(tǒng)，因此在確定根除方法時(shí)，需要了解攻擊者是如何入侵的，以及與這種入侵方法相同和相似的各種方法。根除方案的認(rèn)可明確告知用戶所采取的根除措施可能帶來的風(fēng)險(xiǎn)，制度應(yīng)變和回退措施，并得到用戶的

29、書面授權(quán)；協(xié)助用戶進(jìn)行根除方法的實(shí)施。根除方案的實(shí)施使用可信的工具進(jìn)行應(yīng)急事件的根除處理，不得使用受害系統(tǒng)已有的不可信的文件和工具。 根除措施宜包含但不限于以下幾個(gè)方面：改變?nèi)靠赡苁艿焦舻南到y(tǒng)賬號(hào)和口令，并增加口令的安全級(jí)別； 修補(bǔ)系統(tǒng)、網(wǎng)絡(luò)和其他軟件漏洞；增強(qiáng)防護(hù)功能，復(fù)查所有防護(hù)措施的配置，安裝最新的安全設(shè)備和殺毒軟件，并及時(shí)更新， 對(duì)未受保護(hù)或者保護(hù)不夠的系統(tǒng)增加新的防護(hù)措施；提高其監(jiān)視保護(hù)級(jí)別，以保證將來對(duì)類似的入侵進(jìn)行檢測(cè)。 根除效果的判定找出造成事件的原因，備份與造成事件相關(guān)的文件和數(shù)據(jù)； 對(duì)系統(tǒng)中造成事件的文件進(jìn)行清理，根除； 使系統(tǒng)能夠正常工作?；謴?fù)階段目標(biāo)：恢復(fù)應(yīng)急事件所

30、涉及的系統(tǒng)， 并還原到正常狀態(tài)， 使業(yè)務(wù)能夠正常進(jìn)行，恢復(fù)工作應(yīng) 避免出現(xiàn)誤操作導(dǎo)致數(shù)據(jù)的丟失。角色：應(yīng)急服務(wù)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組。內(nèi)容：包括以下兒項(xiàng)。 恢復(fù)方案的確定； 恢復(fù)信息系統(tǒng)。輸出：恢復(fù)處理記錄表。 恢復(fù)方案的確定 告知用戶一個(gè)或多個(gè)能從應(yīng)急事件中恢復(fù)系統(tǒng)的方法，及它們可能存在的風(fēng)險(xiǎn)。 和用戶共同確定系統(tǒng)恢復(fù)方案，根據(jù)抑制和根除的情況， 協(xié)助用戶選擇合適的系統(tǒng)恢復(fù)的方案，恢復(fù)方案涉及以下幾方面： 如何獲得訪問受損設(shè)施或地理區(qū)域的授權(quán)； 如何通知相關(guān)系統(tǒng)的內(nèi)部和外部業(yè)務(wù)伙伴； 如何獲得安裝所需的硬件部件；如何獲得裝載備份介質(zhì)，如何恢復(fù)關(guān)鍵操作系統(tǒng)和應(yīng)用軟件； 如何恢復(fù)系統(tǒng)數(shù)據(jù)

31、；如何成功運(yùn)行備用設(shè)備。 涉及涉密數(shù)據(jù)，確定恢復(fù)方法時(shí)應(yīng)遵循相應(yīng)的保密要求?；謴?fù)信息系統(tǒng) 按照系統(tǒng)的初始化安全策略恢復(fù)系統(tǒng)。 恢復(fù)系統(tǒng)時(shí)，應(yīng)根據(jù)系統(tǒng)中各子系統(tǒng)的重要性，確定系統(tǒng)恢復(fù)的順序。 恢復(fù)系統(tǒng)過程宜包含但不限于以下方面：利用正確的備份恢復(fù)用戶數(shù)據(jù)和配置信息； 開啟系統(tǒng)和應(yīng)用服務(wù)，將受到入侵或者懷疑存在漏洞而關(guān)閉的服務(wù)修改后重新開放； 連接網(wǎng)絡(luò)，服務(wù)重新上線，并持續(xù)監(jiān)控、持續(xù)匯總分析，了解各網(wǎng)的運(yùn)行情況。 當(dāng)不能徹底恢復(fù)配置和清除系統(tǒng)上的惡意文件， 或不能肯定系統(tǒng)在根除處理后是否已恢復(fù)正 常時(shí)，應(yīng)選擇徹底重建系統(tǒng)。協(xié)助用戶驗(yàn)證恢復(fù)后的系統(tǒng)是否正常運(yùn)行。 幫助用戶對(duì)重建后的系統(tǒng)進(jìn)行安全加固。

32、幫助用戶為重建后的系統(tǒng)建立系統(tǒng)快照和備份?？偨Y(jié)階段目標(biāo)： 通過以上各個(gè)階段的記錄表格， 回顧應(yīng)急事件處理的全過程， 整理與事件相關(guān)的各種 信息，進(jìn)行總結(jié)，并盡可能地把所有信息記錄到文檔中角色：應(yīng)急服務(wù)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組。 內(nèi)容：包括以下幾項(xiàng)（l）事故總結(jié)；（ 2 ）事故報(bào)告。輸出：應(yīng)急響應(yīng)報(bào)告表事故總結(jié)及時(shí)檢查應(yīng)急事件處理記錄是否齊全， 是否具備可塑性， 并對(duì)事件處理過程進(jìn)行總結(jié)和分析。 應(yīng)急處理總結(jié)的具體工作包括但不限于以下幾項(xiàng)：事件發(fā)生的現(xiàn)象總結(jié)；事件發(fā)生的原因分析； 系統(tǒng)的損害程度評(píng)估； 事件損失估計(jì)； 采取的主要應(yīng)對(duì)措施； 相關(guān)的工具文檔（如專項(xiàng)預(yù)案、方案等）歸檔。事故報(bào)告

33、向用戶提供完備的網(wǎng)絡(luò)應(yīng)急事件處理報(bào)告； 向用戶提供措施和建議。各類應(yīng)急事件處理預(yù)案 設(shè)備發(fā)生被盜或人為損害事件應(yīng)急預(yù)案 發(fā)生設(shè)備被盜或人為損害設(shè)備情況時(shí)， 運(yùn)維人員或使用人員應(yīng)立即報(bào)告應(yīng)急領(lǐng)導(dǎo)小組， 同時(shí) 保護(hù)好現(xiàn)場(chǎng)。應(yīng)急領(lǐng)導(dǎo)小組接報(bào)后，通知用戶保衛(wèi)部門、相關(guān)領(lǐng)導(dǎo)，一同核實(shí)審定現(xiàn)場(chǎng)情況，清點(diǎn)被盜物 資或盤查人為損害情況，做好必要的影像記錄和文字記錄。用戶單位和當(dāng)事人應(yīng)當(dāng)積極配合公安部門進(jìn)行調(diào)查， 并將有關(guān)情況向應(yīng)急領(lǐng)導(dǎo)小組匯報(bào)。 應(yīng)急領(lǐng)導(dǎo)小組安排運(yùn)維服務(wù)小組、 用戶單位及時(shí)恢復(fù)系統(tǒng)正常運(yùn)行， 并對(duì)事件進(jìn)行調(diào)查。 運(yùn) 維服務(wù)小組和用戶單位應(yīng)在調(diào)查結(jié)束后一日內(nèi)書面報(bào)告應(yīng)急領(lǐng)導(dǎo)小組。事態(tài)或后果嚴(yán)重的

34、， 應(yīng)向相關(guān)領(lǐng)導(dǎo)匯報(bào)。通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案 發(fā)生通信線路中斷、路由故障、流量異常、域名系統(tǒng)故障后，運(yùn)維人員經(jīng)初步判斷后，應(yīng)及 時(shí)上報(bào)運(yùn)維服務(wù)小組和應(yīng)急領(lǐng)導(dǎo)小組。運(yùn)維服務(wù)小組接報(bào)告后， 應(yīng)及時(shí)查清通信網(wǎng)絡(luò)故障位置， 隔離故障區(qū)域， 并將事態(tài)及時(shí)報(bào)告 應(yīng)急領(lǐng)導(dǎo)小組， 通知相關(guān)通信網(wǎng)絡(luò)運(yùn)營(yíng)商查清原因； 同時(shí)及時(shí)組織相關(guān)技術(shù)人員檢測(cè)故障區(qū) 域，逐步恢復(fù)故障區(qū)與服務(wù)器的網(wǎng)絡(luò)聯(lián)接，恢復(fù)通信網(wǎng)絡(luò)，保證正常運(yùn)轉(zhuǎn)。 事態(tài)或后果嚴(yán)重的，應(yīng)向應(yīng)急指揮辦公室和相關(guān)領(lǐng)導(dǎo)匯報(bào)。應(yīng)急處置結(jié)束后， 運(yùn)維服務(wù)小組應(yīng)將故障分析報(bào)告， 在調(diào)查結(jié)束后一日內(nèi)書面報(bào)告應(yīng)急領(lǐng)導(dǎo) 小組。不良信息和網(wǎng)絡(luò)病毒事件應(yīng)急預(yù)案 發(fā)現(xiàn)不良信息或網(wǎng)絡(luò)病毒

35、時(shí)， 運(yùn)維人員應(yīng)立即斷開網(wǎng)線， 終止不良信息或網(wǎng)絡(luò)病毒傳播， 并 報(bào)告運(yùn)維服務(wù)小組和應(yīng)急領(lǐng)導(dǎo)小組。運(yùn)維服務(wù)小組應(yīng)根據(jù)應(yīng)急領(lǐng)導(dǎo)小組指令，采取隔離網(wǎng)絡(luò)等措施，及時(shí)殺毒或清除不良信息， 并追查不良信息來源。事態(tài)或后果嚴(yán)重的，應(yīng)向相關(guān)領(lǐng)導(dǎo)匯報(bào)。處置結(jié)束后 ,運(yùn)維服務(wù)小組應(yīng)將事發(fā)經(jīng)過、 造成影響、處置結(jié)果在調(diào)查工作結(jié)束后一日內(nèi)書 面報(bào)告應(yīng)急領(lǐng)導(dǎo)小組。服務(wù)器軟件系統(tǒng)故障應(yīng)急預(yù)案發(fā)生服務(wù)器軟件系統(tǒng)故障后， 運(yùn)維服務(wù)小組負(fù)責(zé)人應(yīng)立即組織啟動(dòng)備份服務(wù)器系統(tǒng)， 由備份 服務(wù)器接管業(yè)務(wù)應(yīng)用， 并及時(shí)報(bào)告應(yīng)急領(lǐng)導(dǎo)小組； 同時(shí)安排相關(guān)責(zé)任人將故障服務(wù)器脫離網(wǎng) 絡(luò)，保證系統(tǒng)狀態(tài)不變，取出系統(tǒng)鏡像備份磁盤，保持原始數(shù)據(jù)。

36、運(yùn)維服務(wù)小組應(yīng)根據(jù)應(yīng)急領(lǐng)導(dǎo)小組的指令， 在確認(rèn)安全的情況下， 重新啟動(dòng)故障服務(wù)器系統(tǒng)； 重啟系統(tǒng)成功， 則檢查數(shù)據(jù)丟失情況，利用備份數(shù)據(jù)恢復(fù)；若重啟失敗，立即聯(lián)系相關(guān)廠商 和上級(jí)單位，請(qǐng)求技術(shù)支援，作好技術(shù)處理。事態(tài)或后果嚴(yán)重的，應(yīng)向應(yīng)急領(lǐng)導(dǎo)小組匯報(bào)。處置結(jié)束后 ,運(yùn)維服務(wù)小組應(yīng)將事發(fā)經(jīng)過、處置結(jié)果等在調(diào)查工作結(jié)束后一日內(nèi)報(bào)告應(yīng)急領(lǐng) 導(dǎo)小組。黑客攻擊事件應(yīng)急預(yù)案 當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)被非法入侵、網(wǎng)頁內(nèi)容被篡改，應(yīng)用服務(wù)器上的數(shù)據(jù)被非法拷貝、修改、刪除， 或通過入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)有黑客正在進(jìn)行攻擊時(shí)， 運(yùn)維人員或系統(tǒng)管理員應(yīng)斷開網(wǎng)絡(luò)， 并立 即報(bào)告應(yīng)急領(lǐng)導(dǎo)小組。接報(bào)告后， 應(yīng)急領(lǐng)導(dǎo)小組應(yīng)立即指令運(yùn)維服務(wù)小組

37、核實(shí)情況， 關(guān)閉服務(wù)器或系統(tǒng)， 修改防火 墻和路由器的過濾規(guī)則，封鎖或刪除被攻破的登陸賬號(hào)，阻斷可疑用戶進(jìn)入網(wǎng)絡(luò)的通道。 運(yùn)維服務(wù)小組應(yīng)及時(shí)清理系統(tǒng)，恢復(fù)數(shù)據(jù)、程序，恢復(fù)系統(tǒng)和網(wǎng)絡(luò)正常；情況嚴(yán)重的，應(yīng)向 應(yīng)急領(lǐng)導(dǎo)小組匯報(bào)，并請(qǐng)求支援。處置結(jié)束后 ,運(yùn)維服務(wù)小組應(yīng)將事發(fā)經(jīng)過、 處置結(jié)果等在調(diào)查工作結(jié)束后一日內(nèi)報(bào)告應(yīng)急領(lǐng) 導(dǎo)小組。核心設(shè)備硬件故障應(yīng)急預(yù)案 發(fā)生核心設(shè)備硬件故障后， 運(yùn)維服務(wù)小組應(yīng)及時(shí)報(bào)告應(yīng)急領(lǐng)導(dǎo)小組， 并組織查找、 確定故障 設(shè)備及故障原因，進(jìn)行先期處置。若故障設(shè)備在短時(shí)間內(nèi)無法修復(fù)運(yùn)維服務(wù)小組應(yīng)啟動(dòng)備份設(shè)備， 保持系統(tǒng)正常運(yùn)行； 將故障 設(shè)備脫離網(wǎng)絡(luò)，進(jìn)行故障排除工作。運(yùn)維服務(wù)小

38、組故障排除后，在網(wǎng)絡(luò)空閑時(shí)期， 替換備用設(shè)備； 若故障仍然存在，立即聯(lián)系相 關(guān)廠商，認(rèn)真填寫設(shè)備故障報(bào)告單備查。事態(tài)或后果嚴(yán)重的，應(yīng)向應(yīng)急領(lǐng)導(dǎo)小組匯報(bào)。處置結(jié)束后 ,運(yùn)維服務(wù)小組應(yīng)將事發(fā)經(jīng)過、 處置結(jié)果等在調(diào)查工作結(jié)束后一日內(nèi)報(bào)告應(yīng)急領(lǐng) 導(dǎo)小組。業(yè)務(wù)數(shù)據(jù)損壞應(yīng)急預(yù)案發(fā)生業(yè)務(wù)數(shù)據(jù)損壞時(shí)， 運(yùn)維服務(wù)小組應(yīng)及時(shí)報(bào)告應(yīng)急領(lǐng)導(dǎo)小組， 檢查、 備份業(yè)務(wù)系統(tǒng)當(dāng)前數(shù) 據(jù)。運(yùn)維服務(wù)小組負(fù)責(zé)調(diào)用備份服務(wù)器備份數(shù)據(jù)， 若備份數(shù)據(jù)損壞， 則調(diào)用磁帶機(jī)中歷史備份數(shù) 據(jù)，若磁帶機(jī)數(shù)據(jù)仍不可用，則調(diào)用異地備份數(shù)據(jù)。業(yè)務(wù)數(shù)據(jù)損壞事件超過 2 小時(shí)后，運(yùn)維服務(wù)小組應(yīng)及時(shí)報(bào)告應(yīng)急領(lǐng)導(dǎo)小組，及時(shí)通知業(yè)務(wù) 部門以手工方式開展業(yè)務(wù)。運(yùn)

39、維服務(wù)小組應(yīng)待業(yè)務(wù)數(shù)據(jù)系統(tǒng)恢復(fù)后， 檢查歷史數(shù)據(jù)和當(dāng)前數(shù)據(jù)的差別， 由相關(guān)系統(tǒng)業(yè)務(wù) 員補(bǔ)錄數(shù)據(jù)；重新備份數(shù)據(jù)，并在工作結(jié)束后一日內(nèi)報(bào)告應(yīng)急領(lǐng)導(dǎo)小組。應(yīng)急事件響應(yīng)建議應(yīng)急事件現(xiàn)場(chǎng)處理 系統(tǒng)應(yīng)急事件現(xiàn)場(chǎng)處理方案選擇一般有以下幾種方式。緊急消除應(yīng)急事件處理最核心的問題是消除當(dāng)前威脅， 主要是指消除應(yīng)急事件的原因。 如果應(yīng)急事件 屬于計(jì)算機(jī)病毒，用殺毒軟件進(jìn)行消除。如果應(yīng)急事件屬入侵者， 應(yīng)當(dāng)首先對(duì)入侵者進(jìn)行監(jiān)視、 跟蹤， 確定入侵行為的痕跡并消除之 （例如新賬號(hào)和被監(jiān)控文件被修改） ，然后利用完整性檢查工共進(jìn)行檢查， 最后擺脫入侵者。 緊急恢復(fù)恢復(fù)系統(tǒng)可以采取現(xiàn)場(chǎng)聯(lián)機(jī)恢復(fù)和關(guān)閉網(wǎng)絡(luò)連接恢復(fù)兩種方法。

40、 一旦攻擊發(fā)生，如果不能采取關(guān)機(jī)和關(guān)閉網(wǎng)絡(luò)連接的措施，就采取現(xiàn)場(chǎng)聯(lián)機(jī)恢復(fù)。 切換如果采用了雙機(jī)備份的系統(tǒng)結(jié)構(gòu)，可以采用聯(lián)機(jī)切換方式，先切換再恢復(fù)。 監(jiān)視發(fā)現(xiàn)入侵者后， 監(jiān)視入侵者的行為是必要的 監(jiān)視時(shí)， 可采用系統(tǒng)服務(wù)了解攻擊者使用了哪 個(gè)進(jìn)程，監(jiān)視網(wǎng)絡(luò)出入的情況，采用它機(jī)監(jiān)視的方法，要注意反監(jiān)視問題的處理。 應(yīng)急事件發(fā)生時(shí)要記錄事件現(xiàn)場(chǎng)。 在記錄應(yīng)急事件時(shí)， 要記錄平件的每一環(huán)節(jié)， 包括事件的 時(shí)間、 地點(diǎn)。要打印拷貝、 記錄拷貝時(shí)間、 記錄對(duì)話內(nèi)容， 并盡可能采用自動(dòng)化的記錄方法。 報(bào)警攻擊自動(dòng)發(fā)現(xiàn)系統(tǒng)可發(fā)現(xiàn)攻擊行為， 并為系統(tǒng)管理員和信息系統(tǒng)安全員發(fā)出報(bào)警信號(hào)。 報(bào)警 可以通過聲音、 e

41、-mail 、手機(jī)、電話等方式表現(xiàn)。應(yīng)急事件的事后處理 系統(tǒng)應(yīng)急事件事后處理包括事件后消除， 彌補(bǔ)系統(tǒng)脆弱性，分析原因， 總結(jié)教訓(xùn)， 完善安全 策略，服務(wù)和過程。事件后消除 消除威脅是應(yīng)急事件處理最核心的問題，主要是指消除應(yīng)急事件的原因。如果應(yīng)急事件的原因是廠商的后門軟件、間諜軟件，不管廠商以什么目的采用了這些軟件， 只要斷定這些所謂后門軟件可以被攻擊者利用， 需要向廠商提出交涉， 消除該軟件或關(guān)閉廠 商保留的端口。如果應(yīng)急事件的原因是程序化入侵，則刪除入侵程序。 如果應(yīng)急事件的原因是破壞和刪除文件，則使用拷貝文件恢復(fù)。彌補(bǔ)系統(tǒng)脆弱性 當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)漏洞時(shí)， 修補(bǔ)操作是必需的。 修補(bǔ)的方法包括

42、包裝程序、代理程序、隱藏程 序、控制程序和改正程序錯(cuò)誤等。應(yīng)急事件的發(fā)生暴露了信息系統(tǒng)的脆弱性。 發(fā)現(xiàn)漏洞后可以提出修補(bǔ)漏洞的方法， 實(shí)施修補(bǔ) 過程。分析原因 應(yīng)急事件的原因分析是必要的，分析清楚原因，提出改進(jìn)的辦法?？偨Y(jié)教訓(xùn)根據(jù)應(yīng)急事件的損失和后果， 處罰或批評(píng)負(fù)有責(zé)任者。 通過對(duì)應(yīng)急事件的處理， 可明確在安 全管理方面的缺陷，有針對(duì)性地加強(qiáng)和完善管理制度。完善安全策略、結(jié)構(gòu)、服務(wù)和過程 發(fā)生應(yīng)急事件后，對(duì)信息系統(tǒng)的安全策略、安全結(jié)構(gòu)、安全服務(wù)和過程進(jìn)行全面的檢查，并 對(duì)其進(jìn)行修改和完善。系統(tǒng)應(yīng)急事件責(zé)任劃分 明確系統(tǒng)應(yīng)急事件的責(zé)任。攻擊成功往往與系統(tǒng)管理員的工作失誤有關(guān)。由于系統(tǒng)管理員、 信息系統(tǒng)安全員和操作員對(duì)信息系統(tǒng)安全都有自己的職責(zé)，要檢查有關(guān)人員的失職問題。 有些應(yīng)急事件的發(fā)生與安全結(jié)構(gòu)不合理有關(guān)，或是信息系統(tǒng)安全措施落后造成的。應(yīng)急保障措施 應(yīng)急人力保障 加強(qiáng)信息安全人才培養(yǎng)， 強(qiáng)化信息安全宣傳教育， 建設(shè)一支高素質(zhì)、 高技術(shù)的信息安全核心 人才和管理隊(duì)伍，提高信