應急響應服務方案

1、應急響應服務方案目錄應急響應原則錯誤 !未定義書簽。應急處理原則錯誤 !未定義書簽。應急響應服務錯誤 !未定義書簽。應急事件的影響程度錯誤 !未定義書簽。應急事件的影響級別分類錯誤 !未定義書簽。應急事件的優(yōu)先級處理錯誤 !未定義書簽。應急事件響應 應急響應保障措施 應急響應組織保障 組織機構與職責 組織的外部協(xié)作 應急響應流程錯誤 !未定義書簽。錯誤 !未定義書簽。 錯誤 !未定義書簽。 錯誤 !未定義書簽。 錯誤 !未定義書簽。 錯誤 !未定義書簽。準備階段錯誤 !未定義書簽。檢測階段錯誤 !未定義書簽。抑制階段錯誤 !未定義書簽。根除階段錯誤 !未定義書簽?；謴碗A段錯誤 !未定義書簽?？?/p>

2、結階段錯誤 !未定義書簽。各類應急事件處理預案錯誤 !未定義書簽。設備發(fā)生被盜或人為損害事件應急預案錯誤 !未定義書簽。通信網(wǎng)絡故障應急預案錯誤 !未定義書簽。不良信息和網(wǎng)絡病毒事件應急預案錯誤 !未定義書簽。服務器軟件系統(tǒng)故障應急預案錯誤 !未定義書簽。黑客攻擊事件應急預案錯誤 !未定義書簽。核心設備硬件故障應急預案錯誤 !未定義書簽。應急體系完善錯誤 !未定義書簽。業(yè)務數(shù)據(jù)損壞應急預案 應急事件響應建議 應急事件現(xiàn)場處理 應急事件的事后處理錯誤 !未定義書簽。 錯誤 !未定義書簽。 錯誤 !未定義書簽。 錯誤 !未定義書簽。應急保障措施錯誤 ! 未定義書簽。隨著網(wǎng)絡信息化建設的不斷深入，

3、加強各類設備、 系統(tǒng)以及信息與網(wǎng)絡安全等方面應對應急 事件的處理能力將是運維項目面臨的一項重要任務。 為確保系統(tǒng)及機房安全與穩(wěn)定， 以保證 正常運行為宗旨，按照 “預防為主，積極處置 ”的原則，本著建立一個有效處置應急事件，建 立統(tǒng)一指揮、 職責明確運轉有序、 反應迅速處置有力的安全體系的目標， 將正在發(fā)生或已發(fā) 生事故的損害程度減輕到最低，確保系統(tǒng)和數(shù)據(jù)安全，特制定本應急保障方案。 在應急事件發(fā)生時， 通過應急事件處置與應急響應機制， 保障計算機信息系統(tǒng)繼續(xù)運行或緊 急恢復，可歸納為 3 個方面： 緊急事件或安全發(fā)生時的影響分析； 應急預案的詳細制訂； 應急預案的演練與完善。應急響應原則 實

4、時原則 應急響應服務中心配備了 7X24的人員值班機制，保證接受客戶在任意時間提出的服務請求。 并在接到客戶的服務請求以后，在 1 個小時之內(nèi)給予響應。規(guī)范性原則 對于每一次應急事件的發(fā)生都有嚴格的事件記錄， 記錄事件處理的全部過程， 對于現(xiàn)場處理 事件由用戶簽署認可建議。最小性原則 事件處理過程中，將事件對整個系統(tǒng)的影響降低到最小，強化處理前的分析與備份工作。 保密性原則 對于所有事件的處理內(nèi)容、時間、地點，嚴格遵從保密原則，不向任何的第三方透漏。 應急處理原則 預防為主。立足安全防護，加強預警，重點保護基礎信息網(wǎng)絡和信息系統(tǒng)安全、穩(wěn)定，從預 防、監(jiān)控、應急處理、應急保障等環(huán)節(jié)，在管理、技術

5、、人員等方面采取多種措施充分發(fā)揮 各方面的作用，共同構筑安全保障體系。快速反應。應急事件發(fā)生時，按照快速反應機制，及時獲取充分而準確的信息，跟蹤研判， 果斷決策，迅速處置，最大程度地減少危害和影響。分級負責。按照 “誰主管，誰負責 ”的原則，建立和完善安全責任制及聯(lián)動工作機制。根據(jù)各 負責人的職能， 各司其職， 加強各負責人的協(xié)調(diào)與配合， 共同履行應急處置工作的管理職責。 以人為本。把保障人員以及客戶利益的安全作為首要任務。常備不懈。 加強技術儲備，規(guī)范應急處置措施與操作流程，定期進行預案演練，確保應急預 案切實有效，實現(xiàn)網(wǎng)絡與信息安全突發(fā)公共事件應急處置的科學化、程序化與規(guī)范化。應急響應服務

6、應急事件響應， 是當應急事件發(fā)生后迅速采取的措施和行為， 其目的是以最快的速度恢復系 統(tǒng)的保密性，完整性和可用性，降低應急事件對業(yè)務系統(tǒng)造成的損失。針對運維服務項目，除有駐場工程師進行日常巡檢和維護的工作外，還成立信息系統(tǒng)運維 4S組，提供應急響應服務。當設備、軟件和基礎網(wǎng)絡出現(xiàn)故障時，原則上由駐場運維工程 現(xiàn)場解決， 如果現(xiàn)場服務工程無法解決， 事件升級為后臺技術支持團隊解決。 保障在 1 小時 內(nèi)做出明確響應和安排， 2小時內(nèi)提供診斷報告和故障解決方案。同時， 根據(jù)客戶的具體情況，制定和編寫信息系統(tǒng)應急預案， 保障客戶信息系統(tǒng)的可靠，安 全的運行。應急事件的影響程度通常在事件爆發(fā)的初期很難

7、界定事件的起因具體是什么，所以， 通常又通過安全威脅事件的影響程度分為單點損害、局部損害和整體損害3 類。單點損害：只造成獨立個體的不可用，應急事件影響程度弱。 局部損害：造成某一系統(tǒng)或一個局部網(wǎng)絡不可使用，應急事件影響程度較強。 整體損害：造成整個網(wǎng)絡系統(tǒng)的不可使用，應急事件影響程度強。應急事件的影響級別分類確定事件影響程度的級別。 不同的威脅級別， 處理方法也不相同。 根據(jù)對業(yè)務系統(tǒng)的影響程 度從大到小的順序?qū)笔录澐殖?4 個等級。第一級應急事件 P1 引起重要業(yè)務系統(tǒng)或有重要影響的應用系統(tǒng)宕機， 系統(tǒng)重新引導后無 法正常工作與恢復的事故，或造成安全泄密事件；第二級應急事件 P2 重

8、復發(fā)生或重復再現(xiàn)的并產(chǎn)生較強影響作用， 導致系統(tǒng)正常運行的事 故；第三級應急事件 P3 間歇產(chǎn)生、隨機產(chǎn)生的事故，但不影響系統(tǒng)的正常運行； 第四級應急事件 P4 一般性事件， 與業(yè)務系統(tǒng)運行或產(chǎn)品使用要關的問題， 不影響整個系 統(tǒng)的正常運行。應急事件的優(yōu)先級處理 事件處理要素 事件處理要素分為管理層面和技術層面； P1、P2 級事件的啟動和指揮由應急總負責人負責；P3、P4級事件的啟動應急領導小組負責。事件動態(tài)由應急工作小組人員收集并及時反饋給 應急領導小組，應急領導小組決定信息的共享、溝通、處置。信息系統(tǒng)事件發(fā)生后，事發(fā)部 門立即啟動相關應急預案，實施處置并及時報送信息。分級響應發(fā)生P1、P

9、2級事件，由應急工作小組初步判定事件級別后，將信息通知應急領導小組并注意持續(xù)監(jiān)控事態(tài)、收集信息、做出應急準備；應急領導小組響應判斷為P1、P2級事件后，立即通知應急總負責人，并由應急總負責人啟動應急預案。發(fā)生P3、P4級事件，由應急工作小組初步判定事件級別后，將信息通知應急領導小組并注意持續(xù)監(jiān)控事態(tài)、收集信息、做出應急準備；應急領導小組響應判斷為P3、P4級事件后，立即啟動應急預案。應急事件的級別應置于動態(tài)調(diào)整控制中。指揮與協(xié)調(diào)P1、P2級事件，由應急工作小組收集信息，應急領導小組做出預判，并迅速通知應急總負 責人，由應急總負責人進行指揮和決策。P3、P4級事件，由應急領導小組進行指揮和決策，

10、并及時將處理過程、報告等上報應急總 負責人。信息共享和處理P1、P2級事件，由應急工作小組收集信息并提交給應急領導小組和應急總負責人，由應急 總負責人決定信息的分發(fā)、共享和處置。P3、P4級事件，由應急領導小組決定信息的分發(fā)、共享和處置，并上報應急總負責人。 應急事件響應 當客戶系統(tǒng)發(fā)生緊急事件時，對應的處理方法原則是首先保護或恢復計算機、網(wǎng)絡服務等， 使其恢復正常運行， 然后再對事件進行追查 因此對于客戶緊急事件響應服務主要包括準備、 識別事件（判定應急事件類型） 、抑制（縮小事件的影響范圍） 、解決問題、恢復以及后續(xù)跟 蹤。準備工作；建立客戶事件檔案； 與客戶就故障級別進行定義； 準備應急

11、事件緊急響應服務相關資源； 為一個應急事件的處理取得管理方面支持； 組建事件處理隊伍；提供易實現(xiàn)的初步報告；制定一個緊急后備方案； 隨時與管理員保持聯(lián)系； 識別事件；在指定時間內(nèi)指派安全服務小組去負責此事件； 事件抄送專家小組；初步評估，確定事件原因； 保護可追查的線索，諸如立即對日志、數(shù)據(jù)進行備份； 聯(lián)系客戶系統(tǒng)的相關服務商、廠商；縮小事件的影響范圍； ； 確定系統(tǒng)繼續(xù)運行的風險，決定是否關閉系統(tǒng)及采取其他措施； 與客戶相關工作人員保持聯(lián)系、協(xié)商；根據(jù)需求制訂相應的應急措施；解決問題； 事件的起因分析； 事后取證調(diào)查； 后門檢查； 漏洞分析；提供解決方案； 結果提交專家小組審核； 后續(xù)工作；

12、檢查是不是所有的服務都已經(jīng)恢復； 其發(fā)生的原因是否已經(jīng)處理； 應急響應步驟是否需要修改； 生成緊急響應報告；擬定一份事件記錄和跟蹤報告； 事件合并、錄入信息知識庫。應急響應保障措施工具保障 我們建立了一套專門用于應急響應工具庫，保證提供應急響應服務的工程師一人一套工具； 為防止光盤損壞和丟失， 并將此工具庫進行了多套備份； 同時指定了專業(yè)技術人員進行工具 庫的管理與維護，包括工具的測試、版本升級與維護等。技術和人員保障 公司擁有一支技術精湛、專業(yè)、穩(wěn)定的技術團隊，多位在網(wǎng)絡、主機、數(shù)據(jù)庫、安全等多個 領域具體豐富的實踐經(jīng)驗的資深工程師。公司指定技術專員整理技術經(jīng)驗和心得并錄入知識信息數(shù)據(jù)庫，

13、一方面供技術部定期組織培 訓會議使用 （對典型案例進行分析和學習） ，另一方面供 TS 客服中心查詢以電話遠程技術指 導。公司建立了圖書室， 圖書室內(nèi)目前擁有信息安全類、計算機應用類、網(wǎng)絡管理類、 分級保護 相關資料與規(guī)范、等級保護相關資料與規(guī)范等方面書籍，以方便技術人員借閱。公司定期組織技術人員進行專項技術培訓學習，并以考試的方法檢查技術人員的掌握情況， 有針對性的對技術人員進行幫助和指導。公司鼓勵員工報考知名廠商技術認證，進行更專業(yè)的技術學習，并在考試費用上給予報銷。 交通保障緊急事件， 公司應急車輛保障， 可以保證在突發(fā)應急事件時能做出快速響應， 第一時間趕到 事件現(xiàn)場進行處置。財力保障

14、公司有專門的經(jīng)費和審批流程， 確保在應急響應處理過程中需要的款項能迅速到位， 保障應 急事件的處理和故障恢復。應急響應組織保障 組織機構與職責 針對項目，我公司成立專門應急處置小組，包含：應急領導小組和應急工作小組。應急領導小組 應急領導小組是信息安全應急響應工作的組織領導機構，組長由組織最高管理層成員擔任。 職責是統(tǒng)一領導信息系統(tǒng)的應急事件的公司內(nèi)部應急處理工作， 發(fā)起研究重大應急決策和部 署，決定實施和終止應急預案，領導和決策信息安全應急響應的重大事宜，主要職責如下： 制訂工作方案；提供人員和物質(zhì)保證；審核并批準經(jīng)費預算；審核并批準恢復策略； 審核并批準應急響應計劃； 批準并監(jiān)督應急響應計

15、劃的執(zhí)行； 指導應急響應實施小組的應急處置工作； 啟動定期評審、修訂應急響應計劃以及負責組織的外部協(xié)作。應急工作小組 應急工作小組由運維服務小組人員組成， 主要職責包含： 落實應急領導小組布置的各項任務； 組織制定應急預案， 并監(jiān)督執(zhí)行情況； 掌握應急事件處理情況， 及時向應急領導小組報告應 急過程中的重大問題。具體職責如下：編制應急響應計劃文檔； 應急響應的需求分析，確定應急策略和等級以及策略的實現(xiàn)； 備份系統(tǒng)的運行和維護，協(xié)助災難恢復系統(tǒng)實施； 信息安全應急事件發(fā)生時的損失控制和損害評估；組織應急響應計劃的測試和演練。 組織的外部協(xié)作依據(jù)信息應急事件的影響程度， 如需向其他第三方設備供應商

16、或軟件開發(fā)商尋求支持時， 將 聯(lián)系第三方服務單位提供協(xié)作和技術支持。應急響應流程應急響應流程共包括 6 個階段，分別是準備階段、檢測階段、抑制階段、根除階段、恢復階 段、總結階段。 應急響應流程如下圖所示，對于每個階段都有其應完成的目標、實施人員角 色以及階段的結果輸出。準備階段 目標：在事件真正發(fā)生前為應急響應做好預備性的工作。角色：組織人員，技術人員內(nèi)容：根據(jù)不同角色準備不同的內(nèi)容。編出：準備工具清單、事件初步報告表和實施人員工作清單。組織人員準備內(nèi)容制訂工作方案和計劃；提供人員和物質(zhì)保證；審核并批準經(jīng)費預算、恢復策略、應急響應計劃；批準并監(jiān)督應急響應計劃的執(zhí)行；指導應急響應實施小組的應急

17、處置工作；啟動定期評審、修訂應急響應計劃以及負責組織的外部協(xié)作。 技術人員準備內(nèi)容服務需求界定首先要對整個信息系統(tǒng)進行評估，明確應急需求，具體應包含以下內(nèi)容： 了解各項業(yè)務功能及其之間的相關性，確定支持各種業(yè)務功能的相關信息系統(tǒng)資源及其他資源，明確相關信息的保密性、完整性和可用性要求；對信息系統(tǒng)，包括應用程序、服務器、網(wǎng)絡及任何管理和維護這些系統(tǒng)的流程進行評估，確 定系統(tǒng)所執(zhí)行的關鍵功能，并確定執(zhí)行這些關鍵功能所需要的特定系統(tǒng)資源； 采用定性或定量的方法， 對業(yè)務中斷、系統(tǒng)宕機、網(wǎng)絡癱瘓等應急事件造成的影響進行評估； 協(xié)助客戶建立適當?shù)膽表憫呗?，提供在業(yè)務中斷、系統(tǒng)宕機、網(wǎng)絡癱瘓等應急事件

18、發(fā)生后快速有效的恢復信息系統(tǒng)運行的方法；為用戶提供相關的培訓服務，以提高用戶的安全意識， 便于相關責任人明確自己的角色和責任。了解常見的應急事件和入侵行為，熟悉應急響應策略。主機和網(wǎng)絡設備安全初始化快照和備份在系統(tǒng)安全策略配置完成后，要對系統(tǒng)優(yōu)生次初始安全狀態(tài)快照。這樣，如果以后出現(xiàn)事故后對該服務器做安全檢測時，通過將初始化快照做的結果與檢測階段做的快照進行比較， 就能夠發(fā)現(xiàn)系統(tǒng)的改動或異常。對主機系統(tǒng)做一個標準的安全初始化的狀態(tài)快照，包括的主要內(nèi)容有：日志及審核策略快照；用戶賬戶快照；進程快照； 服務快照； 自啟動快照； 關鍵文件簽名快照； 開放端口快照；系統(tǒng)資源利用率的快照；注冊表快照；計

19、劃任務快照等；對網(wǎng)絡設備做一個標準的安全初始化的狀態(tài)，包括的主要內(nèi)容有： 路由器快照；安全設備快照；用戶快照； 系統(tǒng)資源利用率等快照。信息系統(tǒng)的業(yè)務數(shù)據(jù)及辦公數(shù)據(jù)均十分重要， 因此需要進行數(shù)據(jù)存儲及備份。 目前， 存儲備 份結構主要有 DAS SAN和NAS,以及通過磁帶或光盤對數(shù)據(jù)進行備份?？筛鶕?jù)不同的特點 選擇不同的存儲產(chǎn)品構建自己的數(shù)據(jù)存儲備份系統(tǒng)。工具包的準備根據(jù)用戶的需求準備處置網(wǎng)絡應急事件的工具包, 包括常用的系統(tǒng)基本命令、 其他軟件工具 等；工具包中的工具采用綠色免安裝的, 保存在安全的移動介質(zhì)上, 如一次性可寫光盤、 加密的 U 盤等；工具包應定期更新、補充。 必要技術的準備

20、上述是針對應急響應的處理涉及的安全技術工具涵蓋應急響應的事件取樣、事件分析、 事件隔離、 系統(tǒng)恢復和攻擊迫蹤等各個方面, 構成了網(wǎng)絡安全應急響應的技術基礎。 所以應急響 應服務實施成員還應該掌握一些必要的技術手段和規(guī)范,具體包括以下內(nèi)容。系統(tǒng)檢測技術,包括以下檢測技術規(guī)范：Windows 系統(tǒng)檢測技術規(guī)范； UNIX 系統(tǒng)檢測技術規(guī)范； 網(wǎng)絡安全牢固檢測技術規(guī)范； 數(shù)據(jù)庫系統(tǒng)檢測技術規(guī)范； 常見的應用系統(tǒng)檢測技術規(guī)范。 攻擊檢測技術包括以下技術 異常行為分析技術； 入侵檢測技術； 安全風險評估技術； 攻擊追蹤技術?，F(xiàn)場取樣技術。 系統(tǒng)安全加固技術。攻擊隔離技術。 資產(chǎn)備份恢復技術。檢測階段 目

21、標：接到事故報警后在用戶的配合下對異常的系統(tǒng)進行初步分析,確認其是否真正發(fā)生了信息應急事件,并制訂進一步的響應策略,并保留證據(jù)。 角色：應急服務實施小組成員、應急響應日常運行小組。內(nèi)容：包括以下幾項。 檢測范圍及對象的確定； 檢測方案的確定； 檢測方案的實施； 檢測結果的處理； 實施小組人員的確定 應急響應負責人根據(jù)事件初步報告表的內(nèi)容,初步分析事故的類型、嚴重程度等,以此 來確定應急響應小組的實施人員的名單。檢測范圍及對象的確定對發(fā)生異常的系統(tǒng)進行初步分析，判斷是否真正發(fā)生了應急事件； 與用戶共同確定檢測對象及范圍；檢測對象及范圍應得到用戶的書面授權。檢測方案的確定 與用戶共同確定檢測方案；

22、 制訂的檢測方案應明確所使用的檢測規(guī)范； 制訂的檢測方案應明確檢測范圍，其檢測范圍應僅限于用戶已授權的與應急事件相關的數(shù) 據(jù)，對用戶的機密性數(shù)據(jù)信息未經(jīng)允許不得訪問； 制訂的檢測方案應包含實施方案失敗的應變和回退措施； 與用戶充分溝通，并預測應急處理方案可能造成的影響。檢測方案的實施 檢測搜集系統(tǒng)信息：記錄使用目錄及文件名約定。 搜集操作系統(tǒng)基本信息：包含網(wǎng)絡連接信息、進程信息、 IP 屬性、操作系統(tǒng)屬性。 日志信息 :導出所有日志信息 賬號信息 :導出所有賬號信息 主機檢測日志檢查：從日志信息中檢測出未授權訪問或非法登錄整件； 賬號檢查：檢查賬號信息中非正常賬號、隱藏賬號。 進程檢查：檢查是

23、否有未被授權的應用程序或服務。服務檢查：檢查系統(tǒng)是否存在非法服務。 自啟動檢查：檢查未授權自啟動程序。網(wǎng)絡連接檢查：檢查非正常開放的端口。 共享檢查：檢查非法共享目錄。文件檢查：檢查病毒、木馬、蠕蟲、后門等可疑文件。 查找其他入侵痕跡：查找其他系統(tǒng)上的入侵痕跡，尋找攻擊途徑。檢測結果的處理 確定應急事件的類型 經(jīng)過檢測，判斷出信息應急事件類型。信息應急事件有以下7 個基本分類。有害程序事件： 蓄意制造、 傳播有害程序， 或是因受到有害程序的影響而導致的信息應急事 件。網(wǎng)絡攻擊事件：通過網(wǎng)絡或其他技術手段，利用信息、系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺 陷或使用暴力攻擊對信息系統(tǒng)實施攻擊， 并造成信

24、息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當前運行造成潛 在危害的信息應急事件。信息破壞事件： 通過網(wǎng)絡或其他技術手段造成信息系統(tǒng)中的信息被篡改、假冒、泄露、 竊取 等而導致的信息應急事件。信息內(nèi)容應急事件：泄漏危害國家安全、社會穩(wěn)定和公共利益的內(nèi)容的安全。設備設施故障： 由于信息系統(tǒng)自身故障或外圍保障設施故障而導致的信息應急事件， 以及人 為的使用非技術手段有意或無意地造成信息系統(tǒng)破壞而導致的信息應急事件。 災害性事件：由于不可抗力對信息系統(tǒng)造成物理破壞而導致的信息應急事件。其他信息應急事件：不能歸入以上 6 個基本分類的信息應急事件。 評估突發(fā)信息應急事件的影響采用定量和 / 或定性的方法，對業(yè)務中斷、系統(tǒng)宕

25、機、網(wǎng)絡癱瘓、數(shù)據(jù)丟失等突發(fā)信息應急 事件造成的影響進行評估；確定是否存在針對該事件的特定系統(tǒng)預案， 如有， 則啟動相關預案； 如果事件涉及多個專項 預案，應同時啟動所有涉及的專項預案； 如果沒有針對該事件的專項預案， 應根據(jù)事件具體情況， 采取抑制措施， 抑制事件進一步擴 散。抑制階段目標： 及時采取行動限制事件擴散和影響的范圍， 限制潛在的損失與破壞， 同時要確保封鎖 方法對涉及相關業(yè)務影響最小。角色：應急服務實施小組、應急響應日常運行小組內(nèi)容：包括以下兒項 抑制方案的確定； 抑制方案的認可； 抑制方案的實施； 抑制效果的判定。 輸出：抑制處理記錄表。抑制方案的確定在檢測分析的基礎上， 初

26、步確定與應急事件相對應的抑制方法， 如有多項， 可由用戶考慮后 自己選擇。在確定抑制方法時應該考慮： 全面評估應急事件的影響和損失； 通過分析得到的其他結論； 用戶的業(yè)務和重點決策過程；用戶的業(yè)務連續(xù)性。抑制方案的認可 告知用戶所面臨的首要問題； 確定的抑制方法和相應的措施得到用戶的認可； 在采取抑制措施之前，與用戶充分溝通， 告知可能存在的風險，制訂應變和回退措施， 并與 其達成協(xié)議。抑制方案的實施嚴格按照相關約定實施抑制， 不得隨意更改抑制的措施的范圍， 如有必要更改， 須獲得用戶 的授權。抑制措施應包含但不限于以下幾方而：確定受害系統(tǒng)的范圍后， 將受害系統(tǒng)和正常的系統(tǒng)進行隔離， 斷開或暫

27、時關閉被影響的系統(tǒng)， 使攻擊先徹底停止；持續(xù)監(jiān)視系統(tǒng)和網(wǎng)絡活動，記錄異常流量的遠程IP、域名、端口；停止或刪除系統(tǒng)非正常賬號，隱藏賬號，更改口令，加強口令的安全級別； 掛起或結束未被授權的、可疑的應用程序和進程； 關閉存在的非法服務和不必要的服務；刪除系統(tǒng)各用戶 “啟動”目錄下未授權自啟動程序； 使用工具或命令停止所有開放的共享； 使用反病毒軟件或其他安全工具檢查文件， 掃描硬盤上所有的文件， 隔離或清除病毒、 木馬、 蠕蟲、后門等可疑文件；抑制效果的判定是否防止了事件繼續(xù)擴散，限制了潛在的損失和破壞，使目前損失最小化； 對其他相關業(yè)務的影響是否控制在最小。根除階段找出事件根源，明確目標：對應

28、急事件進行抑制之后，通過對有關事件或行為的分析結果， 相應的補救措施并徹底清除事件。角色：應急服務實施小組、應急響應日常運行小組. 內(nèi)容：包括以下幾項。根除方案的確定； 根除方案的認可； 根除方案的實施； 根除效果的判定。 輸出：根除處理記錄表。 根除方案的確定 協(xié)助用戶檢查所有受影響的系統(tǒng)，在準確判斷應急事件原因的基礎上，提出方案建議； 由于入侵者一般會安裝后門或使用其他的方法以便于在將來有機會侵入該被攻擊的系統(tǒng)，因此在確定根除方法時，需要了解攻擊者是如何入侵的，以及與這種入侵方法相同和相似的各種方法。根除方案的認可明確告知用戶所采取的根除措施可能帶來的風險，制度應變和回退措施，并得到用戶的

29、書面授權；協(xié)助用戶進行根除方法的實施。根除方案的實施使用可信的工具進行應急事件的根除處理，不得使用受害系統(tǒng)已有的不可信的文件和工具。 根除措施宜包含但不限于以下幾個方面：改變?nèi)靠赡苁艿焦舻南到y(tǒng)賬號和口令，并增加口令的安全級別； 修補系統(tǒng)、網(wǎng)絡和其他軟件漏洞；增強防護功能，復查所有防護措施的配置，安裝最新的安全設備和殺毒軟件，并及時更新， 對未受保護或者保護不夠的系統(tǒng)增加新的防護措施；提高其監(jiān)視保護級別，以保證將來對類似的入侵進行檢測。 根除效果的判定找出造成事件的原因，備份與造成事件相關的文件和數(shù)據(jù)； 對系統(tǒng)中造成事件的文件進行清理，根除； 使系統(tǒng)能夠正常工作?；謴碗A段目標：恢復應急事件所

30、涉及的系統(tǒng)， 并還原到正常狀態(tài)， 使業(yè)務能夠正常進行，恢復工作應 避免出現(xiàn)誤操作導致數(shù)據(jù)的丟失。角色：應急服務實施小組、應急響應日常運行小組。內(nèi)容：包括以下兒項。 恢復方案的確定； 恢復信息系統(tǒng)。輸出：恢復處理記錄表。 恢復方案的確定 告知用戶一個或多個能從應急事件中恢復系統(tǒng)的方法，及它們可能存在的風險。 和用戶共同確定系統(tǒng)恢復方案，根據(jù)抑制和根除的情況， 協(xié)助用戶選擇合適的系統(tǒng)恢復的方案，恢復方案涉及以下幾方面： 如何獲得訪問受損設施或地理區(qū)域的授權； 如何通知相關系統(tǒng)的內(nèi)部和外部業(yè)務伙伴； 如何獲得安裝所需的硬件部件；如何獲得裝載備份介質(zhì)，如何恢復關鍵操作系統(tǒng)和應用軟件； 如何恢復系統(tǒng)數(shù)據(jù)

31、；如何成功運行備用設備。 涉及涉密數(shù)據(jù)，確定恢復方法時應遵循相應的保密要求?；謴托畔⑾到y(tǒng) 按照系統(tǒng)的初始化安全策略恢復系統(tǒng)。 恢復系統(tǒng)時，應根據(jù)系統(tǒng)中各子系統(tǒng)的重要性，確定系統(tǒng)恢復的順序。 恢復系統(tǒng)過程宜包含但不限于以下方面：利用正確的備份恢復用戶數(shù)據(jù)和配置信息； 開啟系統(tǒng)和應用服務，將受到入侵或者懷疑存在漏洞而關閉的服務修改后重新開放； 連接網(wǎng)絡，服務重新上線，并持續(xù)監(jiān)控、持續(xù)匯總分析，了解各網(wǎng)的運行情況。 當不能徹底恢復配置和清除系統(tǒng)上的惡意文件， 或不能肯定系統(tǒng)在根除處理后是否已恢復正 常時，應選擇徹底重建系統(tǒng)。協(xié)助用戶驗證恢復后的系統(tǒng)是否正常運行。 幫助用戶對重建后的系統(tǒng)進行安全加固。

32、幫助用戶為重建后的系統(tǒng)建立系統(tǒng)快照和備份?？偨Y階段目標： 通過以上各個階段的記錄表格， 回顧應急事件處理的全過程， 整理與事件相關的各種 信息，進行總結，并盡可能地把所有信息記錄到文檔中角色：應急服務實施小組、應急響應日常運行小組。 內(nèi)容：包括以下幾項（l）事故總結；（ 2 ）事故報告。輸出：應急響應報告表事故總結及時檢查應急事件處理記錄是否齊全， 是否具備可塑性， 并對事件處理過程進行總結和分析。 應急處理總結的具體工作包括但不限于以下幾項：事件發(fā)生的現(xiàn)象總結；事件發(fā)生的原因分析； 系統(tǒng)的損害程度評估； 事件損失估計； 采取的主要應對措施； 相關的工具文檔（如專項預案、方案等）歸檔。事故報告

33、向用戶提供完備的網(wǎng)絡應急事件處理報告； 向用戶提供措施和建議。各類應急事件處理預案 設備發(fā)生被盜或人為損害事件應急預案 發(fā)生設備被盜或人為損害設備情況時， 運維人員或使用人員應立即報告應急領導小組， 同時 保護好現(xiàn)場。應急領導小組接報后，通知用戶保衛(wèi)部門、相關領導，一同核實審定現(xiàn)場情況，清點被盜物 資或盤查人為損害情況，做好必要的影像記錄和文字記錄。用戶單位和當事人應當積極配合公安部門進行調(diào)查， 并將有關情況向應急領導小組匯報。 應急領導小組安排運維服務小組、 用戶單位及時恢復系統(tǒng)正常運行， 并對事件進行調(diào)查。 運 維服務小組和用戶單位應在調(diào)查結束后一日內(nèi)書面報告應急領導小組。事態(tài)或后果嚴重的

34、， 應向相關領導匯報。通信網(wǎng)絡故障應急預案 發(fā)生通信線路中斷、路由故障、流量異常、域名系統(tǒng)故障后，運維人員經(jīng)初步判斷后，應及 時上報運維服務小組和應急領導小組。運維服務小組接報告后， 應及時查清通信網(wǎng)絡故障位置， 隔離故障區(qū)域， 并將事態(tài)及時報告 應急領導小組， 通知相關通信網(wǎng)絡運營商查清原因； 同時及時組織相關技術人員檢測故障區(qū) 域，逐步恢復故障區(qū)與服務器的網(wǎng)絡聯(lián)接，恢復通信網(wǎng)絡，保證正常運轉。 事態(tài)或后果嚴重的，應向應急指揮辦公室和相關領導匯報。應急處置結束后， 運維服務小組應將故障分析報告， 在調(diào)查結束后一日內(nèi)書面報告應急領導 小組。不良信息和網(wǎng)絡病毒事件應急預案 發(fā)現(xiàn)不良信息或網(wǎng)絡病毒

35、時， 運維人員應立即斷開網(wǎng)線， 終止不良信息或網(wǎng)絡病毒傳播， 并 報告運維服務小組和應急領導小組。運維服務小組應根據(jù)應急領導小組指令，采取隔離網(wǎng)絡等措施，及時殺毒或清除不良信息， 并追查不良信息來源。事態(tài)或后果嚴重的，應向相關領導匯報。處置結束后 ,運維服務小組應將事發(fā)經(jīng)過、 造成影響、處置結果在調(diào)查工作結束后一日內(nèi)書 面報告應急領導小組。服務器軟件系統(tǒng)故障應急預案發(fā)生服務器軟件系統(tǒng)故障后， 運維服務小組負責人應立即組織啟動備份服務器系統(tǒng)， 由備份 服務器接管業(yè)務應用， 并及時報告應急領導小組； 同時安排相關責任人將故障服務器脫離網(wǎng) 絡，保證系統(tǒng)狀態(tài)不變，取出系統(tǒng)鏡像備份磁盤，保持原始數(shù)據(jù)。

36、運維服務小組應根據(jù)應急領導小組的指令， 在確認安全的情況下， 重新啟動故障服務器系統(tǒng)； 重啟系統(tǒng)成功， 則檢查數(shù)據(jù)丟失情況，利用備份數(shù)據(jù)恢復；若重啟失敗，立即聯(lián)系相關廠商 和上級單位，請求技術支援，作好技術處理。事態(tài)或后果嚴重的，應向應急領導小組匯報。處置結束后 ,運維服務小組應將事發(fā)經(jīng)過、處置結果等在調(diào)查工作結束后一日內(nèi)報告應急領 導小組。黑客攻擊事件應急預案 當發(fā)現(xiàn)網(wǎng)絡被非法入侵、網(wǎng)頁內(nèi)容被篡改，應用服務器上的數(shù)據(jù)被非法拷貝、修改、刪除， 或通過入侵檢測系統(tǒng)發(fā)現(xiàn)有黑客正在進行攻擊時， 運維人員或系統(tǒng)管理員應斷開網(wǎng)絡， 并立 即報告應急領導小組。接報告后， 應急領導小組應立即指令運維服務小組

37、核實情況， 關閉服務器或系統(tǒng)， 修改防火 墻和路由器的過濾規(guī)則，封鎖或刪除被攻破的登陸賬號，阻斷可疑用戶進入網(wǎng)絡的通道。 運維服務小組應及時清理系統(tǒng)，恢復數(shù)據(jù)、程序，恢復系統(tǒng)和網(wǎng)絡正常；情況嚴重的，應向 應急領導小組匯報，并請求支援。處置結束后 ,運維服務小組應將事發(fā)經(jīng)過、 處置結果等在調(diào)查工作結束后一日內(nèi)報告應急領 導小組。核心設備硬件故障應急預案 發(fā)生核心設備硬件故障后， 運維服務小組應及時報告應急領導小組， 并組織查找、 確定故障 設備及故障原因，進行先期處置。若故障設備在短時間內(nèi)無法修復運維服務小組應啟動備份設備， 保持系統(tǒng)正常運行； 將故障 設備脫離網(wǎng)絡，進行故障排除工作。運維服務小

38、組故障排除后，在網(wǎng)絡空閑時期， 替換備用設備； 若故障仍然存在，立即聯(lián)系相 關廠商，認真填寫設備故障報告單備查。事態(tài)或后果嚴重的，應向應急領導小組匯報。處置結束后 ,運維服務小組應將事發(fā)經(jīng)過、 處置結果等在調(diào)查工作結束后一日內(nèi)報告應急領 導小組。業(yè)務數(shù)據(jù)損壞應急預案發(fā)生業(yè)務數(shù)據(jù)損壞時， 運維服務小組應及時報告應急領導小組， 檢查、 備份業(yè)務系統(tǒng)當前數(shù) 據(jù)。運維服務小組負責調(diào)用備份服務器備份數(shù)據(jù)， 若備份數(shù)據(jù)損壞， 則調(diào)用磁帶機中歷史備份數(shù) 據(jù)，若磁帶機數(shù)據(jù)仍不可用，則調(diào)用異地備份數(shù)據(jù)。業(yè)務數(shù)據(jù)損壞事件超過 2 小時后，運維服務小組應及時報告應急領導小組，及時通知業(yè)務 部門以手工方式開展業(yè)務。運

39、維服務小組應待業(yè)務數(shù)據(jù)系統(tǒng)恢復后， 檢查歷史數(shù)據(jù)和當前數(shù)據(jù)的差別， 由相關系統(tǒng)業(yè)務 員補錄數(shù)據(jù)；重新備份數(shù)據(jù)，并在工作結束后一日內(nèi)報告應急領導小組。應急事件響應建議應急事件現(xiàn)場處理 系統(tǒng)應急事件現(xiàn)場處理方案選擇一般有以下幾種方式。緊急消除應急事件處理最核心的問題是消除當前威脅， 主要是指消除應急事件的原因。 如果應急事件 屬于計算機病毒，用殺毒軟件進行消除。如果應急事件屬入侵者， 應當首先對入侵者進行監(jiān)視、 跟蹤， 確定入侵行為的痕跡并消除之 （例如新賬號和被監(jiān)控文件被修改） ，然后利用完整性檢查工共進行檢查， 最后擺脫入侵者。 緊急恢復恢復系統(tǒng)可以采取現(xiàn)場聯(lián)機恢復和關閉網(wǎng)絡連接恢復兩種方法。

40、 一旦攻擊發(fā)生，如果不能采取關機和關閉網(wǎng)絡連接的措施，就采取現(xiàn)場聯(lián)機恢復。 切換如果采用了雙機備份的系統(tǒng)結構，可以采用聯(lián)機切換方式，先切換再恢復。 監(jiān)視發(fā)現(xiàn)入侵者后， 監(jiān)視入侵者的行為是必要的 監(jiān)視時， 可采用系統(tǒng)服務了解攻擊者使用了哪 個進程，監(jiān)視網(wǎng)絡出入的情況，采用它機監(jiān)視的方法，要注意反監(jiān)視問題的處理。 應急事件發(fā)生時要記錄事件現(xiàn)場。 在記錄應急事件時， 要記錄平件的每一環(huán)節(jié)， 包括事件的 時間、 地點。要打印拷貝、 記錄拷貝時間、 記錄對話內(nèi)容， 并盡可能采用自動化的記錄方法。 報警攻擊自動發(fā)現(xiàn)系統(tǒng)可發(fā)現(xiàn)攻擊行為， 并為系統(tǒng)管理員和信息系統(tǒng)安全員發(fā)出報警信號。 報警 可以通過聲音、 e

41、-mail 、手機、電話等方式表現(xiàn)。應急事件的事后處理 系統(tǒng)應急事件事后處理包括事件后消除， 彌補系統(tǒng)脆弱性，分析原因， 總結教訓， 完善安全 策略，服務和過程。事件后消除 消除威脅是應急事件處理最核心的問題，主要是指消除應急事件的原因。如果應急事件的原因是廠商的后門軟件、間諜軟件，不管廠商以什么目的采用了這些軟件， 只要斷定這些所謂后門軟件可以被攻擊者利用， 需要向廠商提出交涉， 消除該軟件或關閉廠 商保留的端口。如果應急事件的原因是程序化入侵，則刪除入侵程序。 如果應急事件的原因是破壞和刪除文件，則使用拷貝文件恢復。彌補系統(tǒng)脆弱性 當發(fā)現(xiàn)網(wǎng)絡系統(tǒng)漏洞時， 修補操作是必需的。 修補的方法包括

42、包裝程序、代理程序、隱藏程 序、控制程序和改正程序錯誤等。應急事件的發(fā)生暴露了信息系統(tǒng)的脆弱性。 發(fā)現(xiàn)漏洞后可以提出修補漏洞的方法， 實施修補 過程。分析原因 應急事件的原因分析是必要的，分析清楚原因，提出改進的辦法。總結教訓根據(jù)應急事件的損失和后果， 處罰或批評負有責任者。 通過對應急事件的處理， 可明確在安 全管理方面的缺陷，有針對性地加強和完善管理制度。完善安全策略、結構、服務和過程 發(fā)生應急事件后，對信息系統(tǒng)的安全策略、安全結構、安全服務和過程進行全面的檢查，并 對其進行修改和完善。系統(tǒng)應急事件責任劃分 明確系統(tǒng)應急事件的責任。攻擊成功往往與系統(tǒng)管理員的工作失誤有關。由于系統(tǒng)管理員、 信息系統(tǒng)安全員和操作員對信息系統(tǒng)安全都有自己的職責，要檢查有關人員的失職問題。 有些應急事件的發(fā)生與安全結構不合理有關，或是信息系統(tǒng)安全措施落后造成的。應急保障措施 應急人力保障 加強信息安全人才培養(yǎng)， 強化信息安全宣傳教育， 建設一支高素質(zhì)、 高技術的信息安全核心 人才和管理隊伍，提高信