應急響應服務方案

1、應急響應服務方案 TOC o 1-5 h z 應急響應原則5應急處理原則6應急響應服務7應急事件的影響程度7應急事件的影響級別分類8應急事件的優(yōu)先級處理8應急事件響應9應急響應保障措施11應急響應組織保障13組織機構與職責13組織的外部協(xié)作14應急響應流程14準備階段16檢測階段20抑制階段23根除階段25恢復階段27總結階段29 HYPERLINK l bookmark14 o Current Document 各類應急事件處理預案30設備發(fā)生被盜或人為損害事件應急預案30通信網絡故障應急預案30不良信息和網絡病毒事件應急預案31服務器軟件系統(tǒng)故障應急預案31(黑客攻擊事件應急預案32核心設

2、備硬件故障應急預案32業(yè)務數(shù)據(jù)損壞應急預案33應急事件響應建議 34應急事件現(xiàn)場處理34應急事件的事后處理35應急保障措施36應急體系完善37隨著網絡信息化建設的不斷深入，加強各類設備、系統(tǒng)以及信息 與網絡安全等方面應對應急事件的處理能力將是運維項目面臨的一 項重要任務。為確保系統(tǒng)及機房安全與穩(wěn)定，以保證正常運行為宗旨, 按照“預防為主，積極處置”的原則，本著建立一個有效處置應急事 件，建立統(tǒng)一指揮、職責明確運轉有序、反應迅速處置有力的安全體 系的目標，將正在發(fā)生或已發(fā)生事故的損害程度減輕到最低，確保系 統(tǒng)和數(shù)據(jù)安全，特制定本應急保障方案。在應急事件發(fā)生時，通過應急事件處置與應急響應機制，保障

3、計 算機信息系統(tǒng)繼續(xù)運行或緊急恢復，可歸納為3個方面：緊急事件或安全發(fā)生時的影響分析；應急預案的詳細制訂；應急預案的演練與完善。1.1應急響應原則實時原則應急響應服務中心配備了 7X24的人員值班機制，保證接受客戶 在任意時間提出的服務請求。并在接到客戶的服務請求以后，在1個 小時之內給予響應。規(guī)范性原則對于每一次應急事件的發(fā)生都有嚴格的事件記錄，記錄事件處理 的全部過程，對于現(xiàn)場處理事件由用戶簽署認可建議。最小性原則事件處理過程中，將事件對整個系統(tǒng)的影響降低到最小，強化處 理前的分析與備份工作。保密性原則對于所有事件的處理內容、時間、地點，嚴格遵從保密原則，不 向任何的第三方透漏。2應急處理

4、原則,預防為主。立足安全防護，加強預警，重點保護基礎信息網絡 和信息系統(tǒng)安全、穩(wěn)定，從預防、監(jiān)控、應急處理、應急保障等環(huán)節(jié)， 在管理、技術、人員等方面采取多種措施充分發(fā)揮各方面的作用，共 同構筑安全保障體系。.快速反應。應急事件發(fā)生時，按照快速反應機制，及時獲取充 分而準確的信息，跟蹤研判，果斷決策，迅速處置，最大程度地減少 危害和影響。.分級負責。按照“誰主管，誰負責”的原則，建立和完善安全 責任制及聯(lián)動工作機制。根據(jù)各負責人的職能，各司其職，加強各負 責人的協(xié)調與配合，共同履行應急處置工作的管理職責。.以人為木。把保障人員以及客戶利益的安全作為首要任務。.常備不懈。加強技術儲備，規(guī)范應急處

5、置措施與操作流程，定 期進行預案演練，確保應急預案切實有效，實現(xiàn)網絡與信息安全突發(fā)公共事件應急處置的科學化、程序化與規(guī)范化。1. 3應急響應服務應急事件響應，是當應急事件發(fā)生后迅速采取的措施和行為，其 目的是以最快的速度恢復系統(tǒng)的保密性，完整性和可用性，降低應急 事件對業(yè)務系統(tǒng)造成的損失。針對運維服務項目，除有駐場工程師進行日常巡檢和維護的工作 外，還成立信息系統(tǒng)運維4s組，提供應急響應服務。當設備、軟件 和基礎網絡出現(xiàn)故障時，原則上由駐場運維工程現(xiàn)場解決，如果現(xiàn)場 服務工程無法解決，事件升級為后臺技術支持團隊解決。保障在1小 時內做出明確響應和安排，2小時內提供診斷報告和故障解決方案。同時，

6、根據(jù)客戶的具體情況，制定和編寫信息系統(tǒng)應急預案，保 障客戶信息系統(tǒng)的可靠，安全的運行。1. 3. 1應急事件的影響程度通常在事件爆發(fā)的初期很難界定事件的起因具體是什么，所以, 通常又通過安全威脅事件的影響程度分為單點損害、局部損害和整體 損害3類。單點損害：只造成獨立個體的不可用，應急事件影響程度弱。局部損害：造成某一系統(tǒng)或一個局部網絡不可使用，應急事件影 響程度較強。整體損害：造成整個網絡系統(tǒng)的不可使用，應急事件影響程度強。1. 3. 4應急事件響應(2) 分級響應1. 3. 2應急事件的影響級別分類確定事件影響程度的級別。不同的威脅級別，處理方法也不相同。 根據(jù)對業(yè)務系統(tǒng)的影響程度從大到小

7、的順序將應急事件劃分成4個 等級。(第一級應急事件P1引起重要業(yè)務系統(tǒng)或有重要影響的應用 系統(tǒng)宕機，系統(tǒng)重新引導后無法正常工作與恢復的事故，或造成安全 泄密事件；第二級應急事件P2 重復發(fā)生或重復再現(xiàn)的并產生較強影響 作用，導致系統(tǒng)正常運行的事故；第三級應急事件P3 間歇產生、隨機產生的事故，但不影響系 統(tǒng)的正常運行；第四級應急事件P4 一般性事件，與業(yè)務系統(tǒng)運行或產品使用 要關的問題，不影響整個系統(tǒng)的正常運行。1. 3. 3應急事件的優(yōu)先級處理(1)事件處理要素事件處理要素分為管理層面和技術層面；Pl、P2級事件的啟動 和指揮由應急總負責人負責；P3、P4級事件的啟動應急領導小組負 責。事件

8、動態(tài)由應急工作小組人員收集并及時反饋給應急領導小組, 應急領導小組決定信息的共享、溝通、處置。信息系統(tǒng)事件發(fā)生后, 事發(fā)部門立即啟動相關應急預案，實施處置并及時報送信息。發(fā)生Pl、P2級事件，由應急工作小組初步判定事件級別后，將 信息通知應急領導小組并注意持續(xù)監(jiān)控事態(tài)、收集信息、做出應急準 備；應急領導小組響應判斷為Pl、P2級事件后，立即通知應急總負 責人，并由應急總負責人啟動應急預案。發(fā)生P3、P4級事件，由應急工作小組初步判定事件級別后，將 信息通知應急領導小組并注意持續(xù)監(jiān)控事態(tài)、收集信息、做出應急準 備；應急領導小組響應判斷為P3、P4級事件后，立即啟動應急預案。應急事件的級別應置于動

9、態(tài)調整控制中。指揮與協(xié)調Pl、P2級事件，由應急工作小組收集信息，應急領導小組做出 預判，并迅速通知應急總負責人，由應急總負責人進行指揮和決策。P3、P4級事件，由應急領導小組進行指揮和決策，并及時將處 理過程、報告等上報應急總負責人。信息共享和處理Pl、P2級事件，由應急工作小組收集信息并提交給應急領導小 組和應急總負責人，由應急總負責人決定信息的分發(fā)、共享和處置。P3、P4級事件，由應急領導小組決定信息的分發(fā)、共享和處置，并上報應急總負責人。當客戶系統(tǒng)發(fā)生緊急事件時，對應的處理方法原則是首先保護或 恢復計算機、網絡服務等，使其恢復正常運行，然后再對事件進行追 查.因此對于客戶緊急事件響應服

10、務主要包括準備、識別事件（判定 應急事件類型）、抑制（縮小事件的影響范圍）、解決問題、恢復以 及后續(xù)跟蹤。準備工作；建立客戶事件檔案；與客戶就故障級別進行定義；準備應急事件緊急響應服務相關資源；為一個應急事件的處理取得管理方面支持；組建事件處理隊伍；提供易實現(xiàn)的初步報告；制定一個緊急后備方案；隨時與管理員保持聯(lián)系；識別事件；在指定時間內指派安全服務小組去負責此事件；事件抄送專家小組；初步評估，確定事件原因；保護可追查的線索，諸如立即對日志、數(shù)據(jù)進行備份；聯(lián)系客戶系統(tǒng)的相關服務商、廠商;縮小事件的影響范圍；確定系統(tǒng)繼續(xù)運行的風險，決定是否關閉系統(tǒng)及采取其他措施;與客戶相關工作人員保持聯(lián)系、協(xié)商;

11、根據(jù)需求制訂相應的應急措施；解決問題；事件的起因分析；事后取證調查；后門檢查；漏洞分析；提供解決方案；結果提交專家小組審核；后續(xù)工作；檢查是不是所有的服務都己經恢復；其發(fā)生的原因是否己經處理；應急響應步驟是否需要修改；生成緊急響應報告；擬定一份事件記錄和跟蹤報告;事件合并、錄入信息知識庫。(3)交通保障(3)交通保障4應急響應保障措施工具保障我們建立了一套專門用于應急響應工具庫，保證提供應急響應服 務的工程師一人一套工具；為防止光盤損壞和丟失，并將此工具庫進 行了多套備份；同時指定了專業(yè)技術人員進行工具庫的管理與維護, 包括工具的測試、版本升級與維護等。技術和人員保障公司擁有一支技術精湛、專業(yè)

12、、穩(wěn)定的技術團隊，多位在網絡、 主機、數(shù)據(jù)庫、安全等多個領域具體豐富的實踐經驗的資深工程師。公司指定技術專員整理技術經驗和心得并錄入知識信息數(shù)據(jù)庫, 一方面供技術部定期組織培訓會議使用(對典型案例進行分析和學 習)，另一方面供TS客服中心查詢以電話遠程技術指導。公司建立了圖書室，圖書室內目前擁有信息安全類、計算機應用 類、網絡管理類、分級保護相關資料與規(guī)范、等級保護相關資料與規(guī) 范等方面書籍，以方便技術人員借閱。公司定期組織技術人員進行專項技術培訓學習，并以考試的方法 檢查技術人員的掌握情況，有針對性的對技術人員進行幫助和指導。公司鼓勵員工報考知名廠商技術認證，進行更專業(yè)的技術學習， 并在考試

13、費用上給予報銷。緊急事件，公司應急車輛保障，可以保證在突發(fā)應急事件時能做 出快速響應，第一時間趕到事件現(xiàn)場進行處置。財力保障.公司有專門的經費和審批流程，確保在應急響應處理過程中需要 的款項能迅速到位，保障應急事件的處理和故障恢復。5應急響應組織保障L 5.1組織機構與職責針對項目，我公司成立專門應急處置小組，包含：應急領導小組 和應急工作小組。(1)應急領導小組應急領導小組是信息安全應急響應工作的組織領導機構，組長由 組織最高管理層成員擔任。職責是統(tǒng)一領導信息系統(tǒng)的應急事件的公 司內部應急處理工作，發(fā)起研究重大應急決策和部署，決定實施和終 止應急預案，領導和決策信息安全應急響應的重大事宜，主

14、要職責如 下：制訂工作方案；提供人員和物質保證；審核并批準經費預算;審核并批準恢復策略;審核并批準應急響應計劃；批準并監(jiān)督應急響應計劃的執(zhí)行；指導應急響應實施小組的應急處置工作；啟動定期評審、修訂應急響應計劃以及負責組織的外部協(xié)作。(2)應急工作小組應急工作小組由運維服務小組人員組成，主要職責包含：落實應 急領導小組布置的各項任務；組織制定應急預案，并監(jiān)督執(zhí)行情況； 掌握應急事件處理情況，及時向應急領導小組報告應急過程中的重大 問題。具體職責如下：編制應急響應計劃文檔；應急響應的需求分析，確定應急策略和等級以及策略的實現(xiàn)； 備份系統(tǒng)的運行和維護，協(xié)助災難恢復系統(tǒng)實施；信息安全應急事件發(fā)生時的損

15、失控制和損害評估； 組織應急響應計劃的測試和演練。1. 5. 2組織的外部協(xié)作依據(jù)信息應急事件的影響程度，如需向其他第三方設備供應商或 軟件開發(fā)商尋求支持時，將聯(lián)系第三方服務單位提供協(xié)作和技術支持。1. 6應急響應流程應急響應流程共包括6個階段，分別是準備階段、檢測階段、抑 制階段、根除階段、恢復階段、總結階段。應急響應流程如下圖所示， 對于每個階段都有其應完成的目標、實施人員角色以及階段的結果輸 出。結束1.6. 1.準備階段目標：在事件真正發(fā)生前為應急響應做好預備性的工作。角色：組織人員，技術人員內容：根據(jù)不同角色準備不同的內容。編出：準備工具清單、事件初步報告表和實施人員工作清單。1.

16、6. 2. 1組織人員準備內容制訂工作方案和計劃；提供人員和物質保證；審核并批準經費預算、恢復策略、應急響應計劃；批準并監(jiān)督應急響應計劃的執(zhí)行；指導應急響應實施小組的應急處置工作；啟動定期評審、修訂應急響應計劃以及負責組織的外部協(xié)作。6. 2. 2技術人員準備內容服務需求界定首先要對整個信息系統(tǒng)進行評估，明確應急需求，具體應包含以 下內容：了解各項業(yè)務功能及其之間的相關性，確定支持各種業(yè)務功能 的相關信息系統(tǒng)資源及其他資源，明確相關信息的保密性、完 整性和可用性要求；對信息系統(tǒng)，包括應用程序、服務器、網絡及任何管理和維護 這些系統(tǒng)的流程進行評估，確定系統(tǒng)所執(zhí)行的關鍵功能，并確 定執(zhí)行這些關鍵功

17、能所需要的特定系統(tǒng)資源；采用定性或定量的方法，對業(yè)務中斷、系統(tǒng)宕機、網絡癱瘓等 應急事件造成的影響進行評估；協(xié)助客戶建立適當?shù)膽表憫呗裕峁┰跇I(yè)務中斷、系統(tǒng)宕 機、網絡癱瘓等應急事件發(fā)生后快速有效的恢復信息系統(tǒng)運行 的方法；為用戶提供相關的培訓服務，以提高用戶的安全意識，便于相 關責任人明確自己的角色和責任。了解常見的應急事件和入侵 行為，熟悉應急響應策略。主機和網絡設備安全初始化快照和備份在系統(tǒng)安全策略配置完成后，要對系統(tǒng)優(yōu)生次初始安全狀態(tài)快 照。這樣，如果以后出現(xiàn)事故后對該服務器做安全檢測時，通過將初 始化快照做的結果與檢測階段做的快照進行比較，就能夠發(fā)現(xiàn)系統(tǒng)的 改動或異常。對主機系統(tǒng)

18、做一個標準的安全初始化的狀態(tài)快照，包括的主要內 容有：日志及審核策略快照；用戶賬戶快照;進程快照；服務快照；自啟動快照；關鍵文件簽名快照；開放端口快照；系統(tǒng)資源利用率的快照；注冊表快照；計劃任務快照等；對網絡設備做一個標準的安全初始化的狀態(tài)，包括的主要內容有: 路由器快照；安全設備快照；用戶快照；系統(tǒng)資源利用率等快照。1信息系統(tǒng)的業(yè)務數(shù)據(jù)及辦公數(shù)據(jù)均十分重要，因此需要進行數(shù)據(jù) 存儲及備份。目前，存儲備份結構主要有DAS、SAN和NAS,以及通 過磁帶或光盤對數(shù)據(jù)進行備份?？筛鶕?jù)不同的特點選擇不同的存儲產 品構建自己的數(shù)據(jù)存儲備份系統(tǒng)。工具包的準備根據(jù)用戶的需求準備處置網絡應急事件的工具包，包括

19、常用的 系統(tǒng)基本命令、其他軟件工具等；工具包中的工具采用綠色免安裝的，保存在安全的移動介質上, 如一次性可寫光盤、加密的u盤等；工具包應定期更新、補充。必要技術的準備上述是針對應急響應的處理涉及的安全技術工具涵蓋應急響應 的事件取樣、事件分析、事件隔離、系統(tǒng)恢復和攻擊迫蹤等各個方面， 構成了網絡安全應急響應的技術基礎。所以應急響應服務實施成員還 應該掌握一些必要的技術手段和規(guī)范，具體包括以下內容。系統(tǒng)檢測技術，包括以下檢測技術規(guī)范：Windows系統(tǒng)檢測技術規(guī)范；UNIX系統(tǒng)檢測技術規(guī)范；網絡安全牢固檢測技術規(guī)范；數(shù)據(jù)庫系統(tǒng)檢測技術規(guī)范；常見的應用系統(tǒng)檢測技術規(guī)范。攻擊檢測技術.包括以下技術異

20、常行為分析技術；入侵檢測技術；安全風險評估技術；攻擊追蹤技術。現(xiàn)場取樣技術。系統(tǒng)安全加固技術。攻擊隔離技術。資產備份恢復技術。1. 6. 3檢測階段目標：接到事故報警后在用戶的配合下對異常的系統(tǒng)進行初步分 析，確認其是否真正發(fā)生了信息應急事件，并制訂進一步的響應策略， 并保留證據(jù)。1 角色：應急服務實施小組成員、應急響應日常運行小組。內容：包括以下幾項。檢測范圍及對象的確定；檢測方案的確定；檢測方案的實施；檢測結果的處理；1. 6. 3.1實施小組人員的確定應急響應負責人根據(jù)事件初步報告表的內容，初步分析事故 的類型、嚴重程度等，以此來確定應急響應小組的實施人員的名單。1. 6. 3. 2 )

21、. 檢測范圍及對象的確定對發(fā)生異常的系統(tǒng)進行初步分析，判斷是否真正發(fā)生了應急事件;與用戶共同確定檢測對象及范圍；檢測對象及范圍應得到用戶的書而授權。1. 6. 3. 4檢測方案的確定與用戶共同確定檢測方案；制訂的檢測方案應明確所使用的檢測規(guī)范；制訂的檢測方案應明確檢測范圍，其檢測范圍應僅限于用戶已授 權的與應急事件相關的數(shù)據(jù)，對用戶的機密性數(shù)據(jù)信息未經允許不得 訪問；制訂的檢測方案應包含實施方案失敗的應變和回退措施；與用戶充分溝通，并預測應急處理方案可能造成的影響。1. 6. 3. 5檢測方案的實施檢測搜集系統(tǒng)信息：記錄使用目錄及文件名約定。搜集操作系統(tǒng)基本信息：包含網絡連接信息、進程信息、I

22、P屬 性、操作系統(tǒng)屬性。日志信息:導出所有日志信息賬號信息:導出所有賬號信息主機檢測日志檢查：從日志信息中檢測出未授權訪問或非法登錄整件;賬號檢查：檢查賬號信息中非正常賬號、隱藏賬號。進程檢查：檢查是否有未被授權的應用程序或服務。服務檢查：檢查系統(tǒng)是否存在非法服務。自啟動檢查：檢查未授權自啟動程序。網絡連接檢查：檢查非正常開放的端口。共享檢查：檢查非法共享目錄。文件檢查：檢查病毒、木馬、蠕蟲、后門等可疑文件。I查找其他入侵痕跡：查找其他系統(tǒng)上的入侵痕跡，尋找攻擊途 徑。6. 3. 6檢測結果的處理確定應急事件的類型經過檢測，判斷出信息應急事件類型。信息應急事件有以下7個 基本分類。有害程序事件

23、：蓄意制造、傳播有害程序，或是因受到有害程 序的影響而導致的信息應急事件。網絡攻擊事件：通過網絡或其他技術手段，利用信息、系統(tǒng)的 配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對信息系統(tǒng)實 施攻擊，并造成信息系統(tǒng)異常或對信息系統(tǒng)當前運行造成潛在 危害的信息應急事件。信息破壞事件：通過網絡或其他技術手段造成信息系統(tǒng)中的信 息被篡改、假冒、泄露、竊取等而導致的信息應急事件。信息內容應急事件：泄漏危害國家安全、社會穩(wěn)定和公共利益 的內容的安全。設備設施故障：由于信息系統(tǒng)自身故障或外圍保障設施故障而 導致的信息應急事件，以及人為的使用非技術手段有意或無意 地造成信息系統(tǒng)破壞而導致的信息應急事件。災害性事件

24、：由于不可抗力對信息系統(tǒng)造成物理破壞而導致的 信息應急事件。其他信息應急事件：不能歸入以上6個基本分類的信息應急事 件。評估突發(fā)信息應急事件的影響采用定量和/或定性的方法，對業(yè)務中斷、系統(tǒng)宕機、網絡癱瘓、數(shù)據(jù)丟失等突發(fā)信息應急事件造成的影響進行評估；確定是否存在針對該事件的特定系統(tǒng)預案，如有，則啟動相關預 案；如果事件涉及多個專項預案，應同時啟動所有涉及的專項預案;如果沒有針對該事件的專項預案，應根據(jù)事件具體情況，采取抑 制措施，抑制事件進一步擴散。1.6. 4抑制階段)目標：及時采取行動限制事件擴散和影響的范圍，限制潛在的損 失與破壞，同時要確保封鎖方法對涉及相關業(yè)務影響最小。角色：應急服務

25、實施小組、應急響應日常運行小組.內容：包括以下兒項.抑制方案的確定；抑制方案的認可；抑制方案的實施；抑制效果的判定。輸出：抑制處理記錄表。6. 4. 1 ：抑制方案的確定在檢測分析的基礎上，初步確定與應急事件相對應的抑制方法，如有多項，可由用戶考慮后自己選擇。在確定抑制方法時應該考慮：全面評估應急事件的影響和損失；通過分析得到的其他結論；用戶的業(yè)務和重點決策過程；用戶的業(yè)務連續(xù)性。1. 6. 4. 3抑制方案的認可告知用戶所面臨的首要問題；確定的抑制方法和相應的措施得到用戶的認可；在采取抑制措施之前，與用戶充分溝通，告知可能存在的風險，制訂應變和回退措施，并與其達成協(xié)議。6. 4. 4抑制方案

26、的實施嚴格按照相關約定實施抑制，不得隨意更改抑制的措施的 范圍，如有必要更改，須獲得用戶的授權。抑制措施應包含但不限于以下幾方而：確定受害系統(tǒng)的范圍后，將受害系統(tǒng)和正常的系統(tǒng)進行隔離, 斷開或暫時關閉被影響的系統(tǒng)，使攻擊先徹底停止； 持續(xù)監(jiān)視系統(tǒng)和網絡活動，記錄異常流量的遠程IP、域名、 端口；停止或刪除系統(tǒng)非正常賬號，隱藏賬號，更改口令，加強口令 的安全級別；掛起或結束未被授權的、可疑的應用程序和進程；關閉存在的非法服務和不必要的服務；刪除系統(tǒng)各用戶“啟動”目錄下未授權自啟動程序；使用工具或命令停止所有開放的共享；使用反病毒軟件或其他安全工具檢查文件，掃描硬盤上所有的 文件，隔離或清除病毒、

27、木馬、蠕蟲、后門等可疑文件；1. 6. 4. 5抑制效果的判定是否防止了事件繼續(xù)擴散，限制了潛在的損失和破壞，使目前損 失最小化；對其他相關業(yè)務的影響是否控制在最小。1. 6. 5-.根除階段目標：對應急事件進行抑制之后，通過對有關事件或行為的分析 結果，找出事件根源，明確相應的補救措施并徹底清除事件。角色：應急服務實施小組、應急響應日常運行小組.內容：包括以下幾項。根除方案的確定；根除方案的認可；根除方案的實施；根除效果的判定。輸出：根除處理記錄表。1. 6. 6. 1根除方案的確定協(xié)助用戶檢查所有受影響的系統(tǒng)，在準確判斷應急事件原因的基 礎上，提出方案建議；由于入侵者一般會安裝后門或使用其

28、他的方法以便于在將來有 機會侵入該被攻擊的系統(tǒng)，因此在確定根除方法時，需要了解攻擊者 是如何入侵的，以及與這種入侵方法相同和相似的各種方法。1. 6. 6. 2根除方案的認可明確告知用戶所采取的根除措施可能帶來的風險，制度應變和回 退措施，并得到用戶的書面授權；協(xié)助用戶進行根除方法的實施。6. 6. 3根除方案的實施使用可信的工具進行應急事件的根除處理，不得使用受害系統(tǒng)已有的不可信的文件和工具。s根除措施宜包含但不限于以下幾個方面：改變全部可能受到攻擊的系統(tǒng)賬號和口令，并增加口令的安 全級別；修補系統(tǒng)、網絡和其他軟件漏洞；增強防護功能，復查所有防護措施的配置，安裝最新的安 全設備和殺毒軟件，并

29、及時更新，對未受保護或者保護不夠的系統(tǒng)增 加新的防護措施；提高其監(jiān)視保護級別，以保證將來對類似的入侵進行檢測。1. 6. 6. 4根除效果的判定找出造成事件的原因，備份與造成事件相關的文件和數(shù)據(jù)； 對系統(tǒng)中造成事件的文件進行清理，根除；S使系統(tǒng)能夠正常工作。1. 6. 7恢復階段目標：恢復應急事件所涉及的系統(tǒng)，并還原到正常狀態(tài)，使業(yè)務 能夠正常進行，恢復工作應避免出現(xiàn)誤操作導致數(shù)據(jù)的丟失。角色：應急服務實施小組、應急響應日常運行小組。內容：包括以下兒項?；謴头桨傅拇_定； 恢復信息系統(tǒng)。輸出：恢復處理記錄表。1. 6. 7. 12 恢復方案的確定.告知用戶一個或多個能從應急事件中恢復系統(tǒng)的方法，

30、及它們 可能存在的風險。.和用戶共同確定系統(tǒng)恢復方案，根據(jù)抑制和根除的情況，協(xié)助 用戶選擇合適的系統(tǒng)恢復的方案，恢復方案涉及以下幾方面：如何獲得訪問受損設施或地理區(qū)域的授權；如何通知相關系統(tǒng)的內部和外部業(yè)務伙伴；如何獲得安裝所需的硬件部件；如何獲得裝載備份介質，如何恢復關鍵操作系統(tǒng)和應用軟件;如何恢復系統(tǒng)數(shù)據(jù)；如何成功運行備用設備。.涉及涉密數(shù)據(jù)，確定恢復方法時應遵循相應的保密要求。6. 7. 3恢復信息系統(tǒng)按照系統(tǒng)的初始化安全策略恢復系統(tǒng)。恢復系統(tǒng)時，應根據(jù)系統(tǒng)中各子系統(tǒng)的重要性，確定系統(tǒng) 恢復的順序?；謴拖到y(tǒng)過程宜包含但不限于以下方面：利用正確的備份恢復用戶數(shù)據(jù)和配置信息；開啟系統(tǒng)和應用服

31、務，將受到入侵或者懷疑存在漏洞而關閉 的服務修改后重新開放；（連接網絡，服務重新上線，并持續(xù)監(jiān)控、持續(xù)匯總分析，了 解各網的運行情況。當不能徹底恢復配置和清除系統(tǒng)上的惡意文件，或不能肯定系統(tǒng)在根除處理后是否己恢復正常時，應選擇徹底重建系統(tǒng)。協(xié)助用戶驗證恢復后的系統(tǒng)是否正常運行。幫助用戶對重建后的系統(tǒng)進行安全加固。幫助用戶為重建后的系統(tǒng)建立系統(tǒng)快照和備份。1. 6. 8總結階段目標：通過以上各個階段的記錄表格，回顧應急事件處理的全過 程，整理與事件相關的各種信息，進行總結，并盡可能地把所有信息 記錄到文檔中.角色：應急服務實施小組、應急響應日常運行小組。內容：包括以下幾項.（1）事故總結；（2）

32、事故報告。輸出：應急響應報告表.6. 8. 1事故總結及時檢查應急事件處理記錄是否齊全，是否具備可塑性,并對事件處理過程進行總結和分析。應急處理總結的具體工作包括但不限于以下幾項：事件發(fā)生的現(xiàn)象總結； 事件發(fā)生的原因分析；系統(tǒng)的損害程度評估；事件損失估計；采取的主要應對措施；相關的工具文檔（如專項預案、方案等）歸檔。6. 8. 2事故報告向用戶提供完備的網絡應急事件處理報告;向用戶提供措施和建議。1.7,.各類應急事件處理預案1. 8.1設備發(fā)生被盜或人為損害事件應急預案發(fā)生設備被盜或人為損害設備情況時，運維人員或使用人員應立 即報告應急領導小組，同時保護好現(xiàn)場。應急領導小組接報后，通知用戶保

33、衛(wèi)部門、相關領導，一同核實 審定現(xiàn)場情況，清點被盜物資或盤查人為損害情況，做好必要的影像 記錄和文字記錄。用戶單位和當事人應當積極配合公安部門進行調查，并將有關 情況向應急領導小組匯報。應急領導小組安排運維服務小組、用戶單位及時恢復系統(tǒng)正常運 行，并對事件進行調查。運維服務小組和用戶單位應在調查結束后一 日內書面報告應急領導小組。事態(tài)或后果嚴重的，應向相關領導匯報。 1. 8. 2通信網絡故障應急預案發(fā)生通信線路中斷、路由故障、流量異常、域名系統(tǒng)故障后，運 維人員經初步判斷后，應及時上報運維服務小組和應急領導小組。運維服務小組接報告后，應及時查清通信網絡故障位置，隔離故 障區(qū)域，并將事態(tài)及時報

34、告應急領導小組，通知相關通信網絡運營商 查清原因；同時及時組織相關技術人員檢測故障區(qū)域，逐步恢復故障 區(qū)與服務器的網絡聯(lián)接，恢復通信網絡，保證正常運轉。事態(tài)或后果嚴重的，應向應急指揮辦公室和相關領導匯報。應急處置結束后，運維服務小組應將故障分析報告，在調查結束 后一日內書面報告應急領導小組。1. 8. 3不良信息和網絡病毒事件應急預案發(fā)現(xiàn)不良信息或網絡病毒時，運維人員應立即斷開網線，終止不 良信息或網絡病毒傳播，并報告運維服務小組和應急領導小組。運維服務小組應根據(jù)應急領導小組指令，采取隔離網絡等措施， 及時殺毒或清除不良信息，并追查不良信息來源。事態(tài)或后果嚴重的，應向相關領導匯報。處置結束后，

35、運維服務小組應將事發(fā)經過、造成影響、處置結果 在調查工作結束后一日內書面報告應急領導小組。1. 8. 4、服務器軟件系統(tǒng)故障應急預案發(fā)生服務器軟件系統(tǒng)故障后，運維服務小組負責人應立即組織啟 動備份服務器系統(tǒng)，由備份服務器接管業(yè)務應用，并及時報告應急領 導小組；同時安排相關責任人將故障服務器脫離網絡，保證系統(tǒng)狀態(tài) 不變，取出系統(tǒng)鏡像備份磁盤，保持原始數(shù)據(jù)。運維服務小組應根據(jù)應急領導小組的指令，在確認安全的情況下, 重新啟動故障服務器系統(tǒng)；重啟系統(tǒng)成功，則檢查數(shù)據(jù)丟失情況，利 用備份數(shù)據(jù)恢復；若重啟失敗，立即聯(lián)系相關廠商和上級單位，請求 技術支援，作好技術處理。事態(tài)或后果嚴重的，應向應急領導小組匯

36、報。處置結束后,運維服務小組應將事發(fā)經過、處置結果等在調查工 作結束后一日內報告應急領導小組。1. 8. 6黑客攻擊事件應急預案當發(fā)現(xiàn)網絡被非法入侵、網頁內容被篡改，應用服務器上的數(shù)據(jù) 被非法拷貝、修改、刪除，或通過入侵檢測系統(tǒng)發(fā)現(xiàn)有黑客正在進行 攻擊時，運維人員或系統(tǒng)管理員應斷開網絡，并立即報告應急領導小 組。接報告后，應急領導小組應立即指令運維服務小組核實情況，關 閉服務器或系統(tǒng)，修改防火墻和路由器的過濾規(guī)則，封鎖或刪除被攻 破的登陸賬號，阻斷可疑用戶進入網絡的通道。 運維服務小組應及時清理系統(tǒng)，恢復數(shù)據(jù)、程序，恢復系統(tǒng)和網 絡正常；情況嚴重的，應向應急領導小組匯報，并請求支援。處置結束后

37、，運維服務小組應將事發(fā)經過、處置結果等在調查工 作結束后一日內報告應急領導小組。1. 8. 7核心設備硬件故障應急預案發(fā)生核心設備硬件故障后，運維服務小組應及時報告應急領導小 組，并組織查找、確定故障設備及故障原因，進行先期處置。若故障設備在短時間內無法修復運維服務小組應啟動備份設備, 保持系統(tǒng)正常運行；將故障設備脫離網絡，進行故障排除工作。運維服務小組故障排除后，在網絡空閑時期，替換備用設備；若 故障仍然存在，立即聯(lián)系相關廠商，認真填寫設備故障報告單備查。事態(tài)或后果嚴重的，應向應急領導小組匯報。處置結束后，運維服務小組應將事發(fā)經過、處置結果等在調查工 作結束后一日內報告應急領導小組。1.8.

38、8,.業(yè)務數(shù)據(jù)損壞應急預案發(fā)生業(yè)務數(shù)據(jù)損壞時，運維服務小組應及時報告應急領導小組, 檢查、備份業(yè)務系統(tǒng)當前數(shù)據(jù)。運維服務小組負責調用備份服務器備份數(shù)據(jù)，若備份數(shù)據(jù)損壞, 則調用磁帶機中歷史備份數(shù)據(jù)，若磁帶機數(shù)據(jù)仍不可用，則調用異地 備份數(shù)據(jù)。業(yè)務數(shù)據(jù)損壞事件超過2小時后，運維服務小組應及時報告應 急領導小組，及時通知業(yè)務部門以手工方式開展業(yè)務。運維服務小組應待業(yè)務數(shù)據(jù)系統(tǒng)恢復后，檢查歷史數(shù)據(jù)和當前數(shù) 據(jù)的差別，由相關系統(tǒng)業(yè)務員補錄數(shù)據(jù)；重新備份數(shù)據(jù)，并在工作結 束后一日內報告應急領導小組。1. 9應急事件響應建議1.9.1應急事件現(xiàn)場處理系統(tǒng)應急事件現(xiàn)場處理方案選擇一般有以下幾種方式。. 緊急

39、消除應急事件處理最核心的問題是消除當前威脅,，主要是指消除應急 事件的原因。如果應急事件屬于計算機病毒，用殺毒軟件進行消除。如果應急事件屬入侵者，應當首先對入侵者進行監(jiān)視、跟蹤，確 定入侵行為的痕跡并消除之（例如新賬號和被監(jiān)控文件被修改），然 后利用完整性檢查工共進行檢查，最后擺脫入侵者。.緊急恢復恢復系統(tǒng)可以采取現(xiàn)場聯(lián)機恢復和關閉網絡連接恢復兩種方法。一旦攻擊發(fā)生，如果不能采取關機和關閉網絡連接的措施，就采 取現(xiàn)場聯(lián)機恢復。.切換如果采用了雙機備份的系統(tǒng)結構，可以采用聯(lián)機切換方式，先切 換再恢復。. 監(jiān)視發(fā)現(xiàn)入侵者后，監(jiān)視入侵者的行為是必要的.監(jiān)視時，可采用系 統(tǒng)服務了解攻擊者使用了哪個進程

40、，監(jiān)視網絡出入的情況，采用它機 監(jiān)視的方法，要注意反監(jiān)視問題的處理。應急事件發(fā)生時要記錄事件現(xiàn)場。在記錄應急事件時，要記錄平 件的每一環(huán)節(jié)，包括事件的時間、地點。要打印拷貝、記錄拷貝時間、 記錄對話內容，并盡可能采用自動化的記錄方法。.報警攻擊自動發(fā)現(xiàn)系統(tǒng)可發(fā)現(xiàn)攻擊行為，并為系統(tǒng)管理員和信息系統(tǒng) 安全員發(fā)出報警信號。報警可以通過聲音、e-mail,手機、電話等方 式表現(xiàn)。9. 2應急事件的事后處理系統(tǒng)應急事件事后處理包括事件后消除，彌補系統(tǒng)脆弱性，分析 原因，總結教訓，完善安全策略，服務和過程。.事件后消除消除威脅是應急事件處理最核心的問題，主要是指消除應急事件 的原因。如果應急事件的原因是廠

41、商的后門軟件、間諜軟件，不管廠商以 什么目的采用了這些軟件，只要斷定這些所謂后門軟件可以被攻擊者 利用，需要向廠商提出交涉，消除該軟件或關閉廠商保留的端口。如果應急事件的原因是程序化入侵，則刪除入侵程序。如果應急事件的原因是破壞和刪除文件，則使用拷貝文件恢復。.彌補系統(tǒng)脆弱性當發(fā)現(xiàn)網絡系統(tǒng)漏洞時，修補操作是必需的。修補的方法包括包 裝程序、代理程序、隱藏程序、控制程序和改正程序錯誤等。應急事件的發(fā)生暴露了信息系統(tǒng)的脆弱性。發(fā)現(xiàn)漏洞后可以提出 修補漏洞的方法，實施修補過程。.分析原因應急事件的原因分析是必要的，分析清楚原因，提出改進的辦法。.總結教訓根據(jù)應急事件的損失和后果，處罰或批評負有責任者。通過對應 急事件的處理，可明確在安全管理方面的缺陷，有針對性地加強和完 善管理制度。.完善安全策略、結構、服務和過程發(fā)生應急事件后，對信息系統(tǒng)的安全策略、安全結構、安全服務 和過程進行全面的檢查，并對其進行修改和完善。.系統(tǒng)應急事件責任劃分明確系統(tǒng)應急事件的責任。攻擊成功往往與系統(tǒng)管理員的工作失 誤有關。由于系統(tǒng)管理員、信息系統(tǒng)安全員和操作員對信息系統(tǒng)安全 都有自己的職責，要檢查有關人員的失職問題。有些應急事件的發(fā)生與安全結構不合理有關，或是信息系統(tǒng)安全 措施落后造成的。9. 3應急保障措施應急人力保障加強信息安全人才培養(yǎng)，強化信息安全宣傳教育，建設一支高素 質、高技術的信息安全核心人才和