應(yīng)急響應(yīng)服務(wù)方案

1、應(yīng)急響應(yīng)服務(wù)方案目錄應(yīng)急響應(yīng)原則錯(cuò)誤!未定義書簽。應(yīng)急處理原則錯(cuò)誤!未定義書簽。應(yīng)急響應(yīng)服務(wù)錯(cuò)誤!未定義書簽。應(yīng)急事件的影響程度錯(cuò)誤!未定義書簽。應(yīng)急事件的影響級(jí)別分類錯(cuò)誤!未定義書簽。應(yīng)急事件的優(yōu)先級(jí)處理錯(cuò)誤!未定義書簽。應(yīng)急事件響應(yīng)錯(cuò)誤!未定義書簽。應(yīng)急響應(yīng)保障措施錯(cuò)誤!未定義書簽。應(yīng)急響應(yīng)組織保障錯(cuò)誤!未定義書簽。組織機(jī)構(gòu)與職責(zé)錯(cuò)誤!未定義書簽。組織的外部協(xié)作錯(cuò)誤!未定義書簽。應(yīng)急響應(yīng)流程錯(cuò)誤!未定義書簽。準(zhǔn)備階段錯(cuò)誤!未定義書簽。檢測(cè)階段錯(cuò)誤!未定義書簽。抑制階段錯(cuò)誤!未定義書簽。根除階段錯(cuò)誤!未定義書簽。恢復(fù)階段錯(cuò)誤!未定義書簽?？偨Y(jié)階段錯(cuò)誤!未定義書簽。各類應(yīng)急事件處理預(yù)案錯(cuò)誤!未

2、定義書簽。設(shè)備發(fā)生被盜或人為損害事件應(yīng)急預(yù)案錯(cuò)誤!未定義書簽通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案錯(cuò)誤!未定義書簽。不良信息和網(wǎng)絡(luò)病毒事件應(yīng)急預(yù)案錯(cuò)誤!未定義書簽。服務(wù)器軟件系統(tǒng)故障應(yīng)急預(yù)案錯(cuò)誤!未定義書簽。黑客攻擊事件應(yīng)急預(yù)案錯(cuò)誤!未定義書簽。核心設(shè)備硬件故障應(yīng)急預(yù)案錯(cuò)誤!未定義書簽。業(yè)務(wù)數(shù)據(jù)損壞應(yīng)急預(yù)案錯(cuò)誤!未定義書簽。應(yīng)急事件響應(yīng)建議錯(cuò)誤!未定義書簽。應(yīng)急事件現(xiàn)場(chǎng)處理錯(cuò)誤!未定義書簽。應(yīng)急事件的事后處理錯(cuò)誤!未定義書簽。應(yīng)急保障措施錯(cuò)誤!未定義書簽。應(yīng)急體系完善錯(cuò)誤!未定義書簽。隨著網(wǎng)絡(luò)信息化建設(shè)的不斷深入，加強(qiáng)各類設(shè)備、系統(tǒng)以及信息與網(wǎng)絡(luò)安全等方面應(yīng)對(duì)應(yīng)急事件的處理能力將是運(yùn)維項(xiàng)目面臨的一項(xiàng)重要任務(wù)。為

3、確保系統(tǒng)及機(jī)房安全與穩(wěn)定，以保證正常運(yùn)行為宗旨，按照“預(yù)防為主，積極處置”的原則，本著建立一個(gè)有效處置應(yīng)急事件，建立統(tǒng)一指揮、職責(zé)明確運(yùn)轉(zhuǎn)有序、反應(yīng)迅速處置有力的安全體系的目標(biāo)，將正在發(fā)生或已發(fā)生事故的損害程度減輕到最低，確保系統(tǒng)和數(shù)據(jù)安全，特制定本應(yīng)急保障方案。在應(yīng)急事件發(fā)生時(shí)，通過應(yīng)急事件處置與應(yīng)急響應(yīng)機(jī)制，保障計(jì)算機(jī)信息系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)，可歸納為3個(gè)方面：緊急事件或安全發(fā)生時(shí)的影響分析；應(yīng)急預(yù)案的詳細(xì)制訂；應(yīng)急預(yù)案的演練與完善。應(yīng)急響應(yīng)原則實(shí)時(shí)原則應(yīng)急響應(yīng)服務(wù)中心配備了7X24的人員值班機(jī)制，保證接受客戶在任意時(shí)間提出的服務(wù)請(qǐng)求。并在接到客戶的服務(wù)請(qǐng)求以后，在1個(gè)小時(shí)之內(nèi)給予響應(yīng)。

4、規(guī)范性原則對(duì)于每一次應(yīng)急事件的發(fā)生都有嚴(yán)格的事件記錄，記錄事件處理的全部過程，對(duì)于現(xiàn)場(chǎng)處理事件由用戶簽署認(rèn)可建議。最小性原則事件處理過程中，將事件對(duì)整個(gè)系統(tǒng)的影響降低到最小，強(qiáng)化處理前的分析與備份工作。保密性原則對(duì)于所有事件的處理內(nèi)容、時(shí)間、地點(diǎn)，嚴(yán)格遵從保密原則，不向任何的第三方透漏。應(yīng)急處理原則預(yù)防為主。立足安全防護(hù)，加強(qiáng)預(yù)警，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和信息系統(tǒng)安全、穩(wěn)定，從預(yù)防、監(jiān)控、應(yīng)急處理、應(yīng)急保障等環(huán)節(jié)，在管理、技術(shù)、人員等方面采取多種措施充分發(fā)揮各方面的作用，共同構(gòu)筑安全保障體系?？焖俜磻?yīng)。應(yīng)急事件發(fā)生時(shí)，按照快速反應(yīng)機(jī)制，及時(shí)獲取充分而準(zhǔn)確的信息，跟蹤研判，果斷決策，迅速處置，最大

5、程度地減少危害和影響。分級(jí)負(fù)責(zé)。按照“誰主管，誰負(fù)責(zé)”的原則，建立和完善安全責(zé)任制及聯(lián)動(dòng)工作機(jī)制。根據(jù)各負(fù)責(zé)人的職能，各司其職，加強(qiáng)各負(fù)責(zé)人的協(xié)調(diào)與配合，共同履行應(yīng)急處置工作的管理職責(zé)。以人為本。把保障人員以及客戶利益的安全作為首要任務(wù)。常備不懈。加強(qiáng)技術(shù)儲(chǔ)備，規(guī)范應(yīng)急處置措施與操作流程，定期進(jìn)行預(yù)案演練，確保應(yīng)急預(yù)案切實(shí)有效，實(shí)現(xiàn)網(wǎng)絡(luò)與信息安全突發(fā)公共事件應(yīng)急處置的科學(xué)化、程序化與規(guī)范化。應(yīng)急響應(yīng)服務(wù)應(yīng)急事件響應(yīng)，是當(dāng)應(yīng)急事件發(fā)生后迅速采取的措施和行為，其目的是以最快的速度恢復(fù)系統(tǒng)的保密性，完整性和可用性，降低應(yīng)急事件對(duì)業(yè)務(wù)系統(tǒng)造成的損失。針對(duì)運(yùn)維服務(wù)項(xiàng)目，除有駐場(chǎng)工程師進(jìn)行日常巡檢和維護(hù)的

6、工作外，還成立信息系統(tǒng)運(yùn)維4S組，提供應(yīng)急響應(yīng)服務(wù)。當(dāng)設(shè)備、軟件和基礎(chǔ)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，原則上由駐場(chǎng)運(yùn)維工程現(xiàn)場(chǎng)解決，如果現(xiàn)場(chǎng)服務(wù)工程無法解決，事件升級(jí)為后臺(tái)技術(shù)支持團(tuán)隊(duì)解決。保障在1小時(shí)內(nèi)做出明確響應(yīng)和安排，2小時(shí)內(nèi)提供診斷報(bào)告和故障解決方案。同時(shí)，根據(jù)客戶的具體情況，制定和編寫信息系統(tǒng)應(yīng)急預(yù)案，保障客戶信息系統(tǒng)的可靠，安全的運(yùn)行。應(yīng)急事件的影響程度通常在事件爆發(fā)的初期很難界定事件的起因具體是什么，所以，通常又通過安全威脅事件的影響程度分為單點(diǎn)損害、局部損害和整體損害3類。單點(diǎn)損害：只造成獨(dú)立個(gè)體的不可用，應(yīng)急事件影響程度弱。局部損害：造成某一系統(tǒng)或一個(gè)局部網(wǎng)絡(luò)不可使用，應(yīng)急事件影響程度較強(qiáng)。

7、整體損害：造成整個(gè)網(wǎng)絡(luò)系統(tǒng)的不可使用，應(yīng)急事件影響程度強(qiáng)。應(yīng)急事件的影響級(jí)別分類確定事件影響程度的級(jí)別。不同的威脅級(jí)別，處理方法也不相同。根據(jù)對(duì)業(yè)務(wù)系統(tǒng)的影響程度從大到小的順序?qū)?yīng)急事件劃分成4個(gè)等級(jí)。第一級(jí)應(yīng)急事件P1引起重要業(yè)務(wù)系統(tǒng)或有重要影響的應(yīng)用系統(tǒng)宕機(jī)，系統(tǒng)重新引導(dǎo)后無法正常工作與恢復(fù)的事故，或造成安全泄密事件；第二級(jí)應(yīng)急事件P2重復(fù)發(fā)生或重復(fù)再現(xiàn)的并產(chǎn)生較強(qiáng)影響作用，導(dǎo)致系統(tǒng)正常運(yùn)行的事故；第三級(jí)應(yīng)急事件P3間歇產(chǎn)生、隨機(jī)產(chǎn)生的事故，但不影響系統(tǒng)的正常運(yùn)行；第四級(jí)應(yīng)急事件P4一般性事件，與業(yè)務(wù)系統(tǒng)運(yùn)行或產(chǎn)品使用要關(guān)的問題，不影響整個(gè)系統(tǒng)的正常運(yùn)行。應(yīng)急事件的優(yōu)先級(jí)處理事件處理要素事

8、件處理要素分為管理層面和技術(shù)層面；P1、P2級(jí)事件的啟動(dòng)和指揮由應(yīng)急總負(fù)責(zé)人負(fù)責(zé)；P3、P4級(jí)事件的啟動(dòng)應(yīng)急領(lǐng)導(dǎo)小組負(fù)責(zé)。事件動(dòng)態(tài)由應(yīng)急工作小組人員收集并及時(shí)反饋給應(yīng)急領(lǐng)導(dǎo)小組，應(yīng)急領(lǐng)導(dǎo)小組決定信息的共享、溝通、處置。信息系統(tǒng)事件發(fā)生后，事發(fā)部門立即啟動(dòng)相關(guān)應(yīng)急預(yù)案，實(shí)施處置并及時(shí)報(bào)送信息。分級(jí)響應(yīng)發(fā)生P1、P2級(jí)事件，由應(yīng)急工作小組初步判定事件級(jí)別后，將信息通知應(yīng)急領(lǐng)導(dǎo)小組并注意持續(xù)監(jiān)控事態(tài)、收集信息、做出應(yīng)急準(zhǔn)備；應(yīng)急領(lǐng)導(dǎo)小組響應(yīng)判斷為P1、P2級(jí)事件后，立即通知應(yīng)急總負(fù)責(zé)人，并由應(yīng)急總負(fù)責(zé)人啟動(dòng)應(yīng)急預(yù)案。發(fā)生P3、P4級(jí)事件，由應(yīng)急工作小組初步判定事件級(jí)別后，將信息通知應(yīng)急領(lǐng)導(dǎo)小組并注意

9、持續(xù)監(jiān)控事態(tài)、收集信息、做出應(yīng)急準(zhǔn)備；應(yīng)急領(lǐng)導(dǎo)小組響應(yīng)判斷為P3、P4級(jí)事件后，立即啟動(dòng)應(yīng)急預(yù)案。應(yīng)急事件的級(jí)別應(yīng)置于動(dòng)態(tài)調(diào)整控制中。指揮與協(xié)調(diào)P1、P2級(jí)事件，由應(yīng)急工作小組收集信息，應(yīng)急領(lǐng)導(dǎo)小組做出預(yù)判，并迅速通知應(yīng)急總負(fù)責(zé)人，由應(yīng)急總負(fù)責(zé)人進(jìn)行指揮和決策。P3、P4級(jí)事件，由應(yīng)急領(lǐng)導(dǎo)小組進(jìn)行指揮和決策，并及時(shí)將處理過程、報(bào)告等上報(bào)應(yīng)急總負(fù)責(zé)人。信息共享和處理P1、P2級(jí)事件，由應(yīng)急工作小組收集信息并提交給應(yīng)急領(lǐng)導(dǎo)小組和應(yīng)急總負(fù)責(zé)人，由應(yīng)急總負(fù)責(zé)人決定信息的分發(fā)、共享和處置。P3、P4級(jí)事件，由應(yīng)急領(lǐng)導(dǎo)小組決定信息的分發(fā)、共享和處置，并上報(bào)應(yīng)急總負(fù)責(zé)人。應(yīng)急事件響應(yīng)當(dāng)客戶系統(tǒng)發(fā)生緊急事件時(shí)

10、，對(duì)應(yīng)的處理方法原則是首先保護(hù)或恢復(fù)計(jì)算機(jī)、網(wǎng)絡(luò)服務(wù)等，使其恢復(fù)正常運(yùn)行，然后再對(duì)事件進(jìn)行追查因此對(duì)于客戶緊急事件響應(yīng)服務(wù)主要包括準(zhǔn)備、識(shí)別事件（判定應(yīng)急事件類型）、抑制（縮小事件的影響范圍）、解決問題、恢復(fù)以及后續(xù)跟蹤。準(zhǔn)備工作；建立客戶事件檔案；與客戶就故障級(jí)別進(jìn)行定義；準(zhǔn)備應(yīng)急事件緊急響應(yīng)服務(wù)相關(guān)資源；為一個(gè)應(yīng)急事件的處理取得管理方面支持；組建事件處理隊(duì)伍；提供易實(shí)現(xiàn)的初步報(bào)告；制定一個(gè)緊急后備方案；隨時(shí)與管理員保持聯(lián)系；識(shí)別事件；在指定時(shí)間內(nèi)指派安全服務(wù)小組去負(fù)責(zé)此事件；事件抄送專家小組；初步評(píng)估，確定事件原因；保護(hù)可追查的線索，諸如立即對(duì)日志、數(shù)據(jù)進(jìn)行備份；聯(lián)系客戶系統(tǒng)的相關(guān)服務(wù)商、

11、廠商；縮小事件的影響范圍；確定系統(tǒng)繼續(xù)運(yùn)行的風(fēng)險(xiǎn)，決定是否關(guān)閉系統(tǒng)及采取其他措施；與客戶相關(guān)工作人員保持聯(lián)系、協(xié)商；根據(jù)需求制訂相應(yīng)的應(yīng)急措施；解決問題；事件的起因分析；事后取證調(diào)查；后門檢查；漏洞分析；提供解決方案；結(jié)果提交專家小組審核；后續(xù)工作；檢查是不是所有的服務(wù)都已經(jīng)恢復(fù)；其發(fā)生的原因是否已經(jīng)處理；應(yīng)急響應(yīng)步驟是否需要修改；生成緊急響應(yīng)報(bào)告；擬定一份事件記錄和跟蹤報(bào)告；事件合并、錄入信息知識(shí)庫。應(yīng)急響應(yīng)保障措施工具保障我們建立了一套專門用于應(yīng)急響應(yīng)工具庫，保證提供應(yīng)急響應(yīng)服務(wù)的工程師一人一套工具；為防止光盤損壞和丟失，并將此工具庫進(jìn)行了多套備份；同時(shí)指定了專業(yè)技術(shù)人員進(jìn)行工具庫的管理與

12、維護(hù)，包括工具的測(cè)試、版本升級(jí)與維護(hù)等。技術(shù)和人員保障公司擁有一支技術(shù)精湛、專業(yè)、穩(wěn)定的技術(shù)團(tuán)隊(duì)，多位在網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫、安全等多個(gè)領(lǐng)域具體豐富的實(shí)踐經(jīng)驗(yàn)的資深工程師。公司指定技術(shù)專員整理技術(shù)經(jīng)驗(yàn)和心得并錄入知識(shí)信息數(shù)據(jù)庫，一方面供技術(shù)部定期組織培訓(xùn)會(huì)議使用（對(duì)典型案例進(jìn)行分析和學(xué)習(xí)），另一方面供TS客服中心查詢以電話遠(yuǎn)程技術(shù)指公司建立了圖書室，圖書室內(nèi)目前擁有信息安全類、計(jì)算機(jī)應(yīng)用類、網(wǎng)絡(luò)管理類、分級(jí)保護(hù)相關(guān)資料與規(guī)范、等級(jí)保護(hù)相關(guān)資料與規(guī)范等方面書籍，以方便技術(shù)人員借閱。公司定期組織技術(shù)人員進(jìn)行專項(xiàng)技術(shù)培訓(xùn)學(xué)習(xí)，并以考試的方法檢查技術(shù)人員的掌握情況，有針對(duì)性的對(duì)技術(shù)人員進(jìn)行幫助和指導(dǎo)。公

13、司鼓勵(lì)員工報(bào)考知名廠商技術(shù)認(rèn)證，進(jìn)行更專業(yè)的技術(shù)學(xué)習(xí)，并在考試費(fèi)用上給予報(bào)銷。交通保障緊急事件，公司應(yīng)急車輛保障，可以保證在突發(fā)應(yīng)急事件時(shí)能做出快速響應(yīng)，第一時(shí)間趕到事件現(xiàn)場(chǎng)進(jìn)行處置。財(cái)力保障公司有專門的經(jīng)費(fèi)和審批流程，確保在應(yīng)急響應(yīng)處理過程中需要的款項(xiàng)能迅速到位，保障應(yīng)急事件的處理和故障恢復(fù)。應(yīng)急響應(yīng)組織保障組織機(jī)構(gòu)與職責(zé)針對(duì)項(xiàng)目，我公司成立專門應(yīng)急處置小組，包含：應(yīng)急領(lǐng)導(dǎo)小組和應(yīng)急工作小組。應(yīng)急領(lǐng)導(dǎo)小組應(yīng)急領(lǐng)導(dǎo)小組是信息安全應(yīng)急響應(yīng)工作的組織領(lǐng)導(dǎo)機(jī)構(gòu)，組長由組織最高管理層成員擔(dān)任。職責(zé)是統(tǒng)一領(lǐng)導(dǎo)信息系統(tǒng)的應(yīng)急事件的公司內(nèi)部應(yīng)急處理工作，發(fā)起研究重大應(yīng)急決策和部署，決定實(shí)施和終止應(yīng)急預(yù)案，領(lǐng)

14、導(dǎo)和決策信息安全應(yīng)急響應(yīng)的重大事宜，主要職責(zé)如下：制訂工作方案；提供人員和物質(zhì)保證；審核并批準(zhǔn)經(jīng)費(fèi)預(yù)算；審核并批準(zhǔn)恢復(fù)策略；審核并批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃；批準(zhǔn)并監(jiān)督應(yīng)急響應(yīng)計(jì)劃的執(zhí)行；指導(dǎo)應(yīng)急響應(yīng)實(shí)施小組的應(yīng)急處置工作；啟動(dòng)定期評(píng)審、修訂應(yīng)急響應(yīng)計(jì)劃以及負(fù)責(zé)組織的外部協(xié)作。應(yīng)急工作小組應(yīng)急工作小組由運(yùn)維服務(wù)小組人員組成，主要職責(zé)包含：落實(shí)應(yīng)急領(lǐng)導(dǎo)小組布置的各項(xiàng)任務(wù)；組織制定應(yīng)急預(yù)案，并監(jiān)督執(zhí)行情況；掌握應(yīng)急事件處理情況，及時(shí)向應(yīng)急領(lǐng)導(dǎo)小組報(bào)告應(yīng)急過程中的重大問題。具體職責(zé)如下：編制應(yīng)急響應(yīng)計(jì)劃文檔；應(yīng)急響應(yīng)的需求分析，確定應(yīng)急策略和等級(jí)以及策略的實(shí)現(xiàn)；備份系統(tǒng)的運(yùn)行和維護(hù)，協(xié)助災(zāi)難恢復(fù)系統(tǒng)實(shí)施；信息

15、安全應(yīng)急事件發(fā)生時(shí)的損失控制和損害評(píng)估；組織應(yīng)急響應(yīng)計(jì)劃的測(cè)試和演練。組織的外部協(xié)作依據(jù)信息應(yīng)急事件的影響程度，如需向其他第三方設(shè)備供應(yīng)商或軟件開發(fā)商尋求支持時(shí)，將聯(lián)系第三方服務(wù)單位提供協(xié)作和技術(shù)支持。應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)流程共包括6個(gè)階段，分別是準(zhǔn)備階段、檢測(cè)階段、抑制階段、根除階段、恢復(fù)階段、總結(jié)階段。應(yīng)急響應(yīng)流程如下圖所示，對(duì)于每個(gè)階段都有其應(yīng)完成的目標(biāo)、實(shí)施人員角色以及階段的結(jié)果輸出。是否案結(jié)束啟動(dòng)專項(xiàng)預(yù)是否有該類事件的專項(xiàng)預(yù)案準(zhǔn)備階段總結(jié)階段檢測(cè)階段抑制階段根除階段恢復(fù)階段現(xiàn)場(chǎng)勘查確定檢測(cè)方案并進(jìn)行抑制的實(shí)施確認(rèn)和認(rèn)可抑制的方法并進(jìn)行根除的實(shí)施根據(jù)確認(rèn)的恢復(fù)方案進(jìn)行信息系統(tǒng)的恢復(fù)形成

16、事故報(bào)告為服務(wù)對(duì)象提出安全建議回顧并完善整個(gè)事件的處理過程并進(jìn)行總結(jié)確認(rèn)和認(rèn)可根除的方法并進(jìn)行根除的實(shí)施技術(shù)人員準(zhǔn)備工作現(xiàn)場(chǎng)實(shí)施人員的確定組織人員準(zhǔn)備工作準(zhǔn)備階段目標(biāo)：在事件真正發(fā)生前為應(yīng)急響應(yīng)做好預(yù)備性的工作。角色：組織人員，技術(shù)人員內(nèi)容：根據(jù)不同角色準(zhǔn)備不同的內(nèi)容。編出：準(zhǔn)備工具清單、事件初步報(bào)告表和實(shí)施人員工作清單。組織人員準(zhǔn)備內(nèi)容制訂工作方案和計(jì)劃；提供人員和物質(zhì)保證；審核并批準(zhǔn)經(jīng)費(fèi)預(yù)算、恢復(fù)策略、應(yīng)急響應(yīng)計(jì)劃；批準(zhǔn)并監(jiān)督應(yīng)急響應(yīng)計(jì)劃的執(zhí)行；指導(dǎo)應(yīng)急響應(yīng)實(shí)施小組的應(yīng)急處置工作；啟動(dòng)定期評(píng)審、修訂應(yīng)急響應(yīng)計(jì)劃以及負(fù)責(zé)組織的外部協(xié)作。技術(shù)人員準(zhǔn)備內(nèi)容服務(wù)需求界定首先要對(duì)整個(gè)信息系統(tǒng)進(jìn)行評(píng)估

17、，明確應(yīng)急需求，具體應(yīng)包含以下內(nèi)容：了解各項(xiàng)業(yè)務(wù)功能及其之間的相關(guān)性，確定支持各種業(yè)務(wù)功能的相關(guān)信息系統(tǒng)資源及其他資源，明確相關(guān)信息的保密性、完整性和可用性要求；對(duì)信息系統(tǒng)，包括應(yīng)用程序、服務(wù)器、網(wǎng)絡(luò)及任何管理和維護(hù)這些系統(tǒng)的流程進(jìn)行評(píng)估，確定系統(tǒng)所執(zhí)行的關(guān)鍵功能，并確定執(zhí)行這些關(guān)鍵功能所需要的特定系統(tǒng)資源；采用定性或定量的方法，對(duì)業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等應(yīng)急事件造成的影響進(jìn)行評(píng)估；協(xié)助客戶建立適當(dāng)?shù)膽?yīng)急響應(yīng)策略，提供在業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等應(yīng)急事件發(fā)生后快速有效的恢復(fù)信息系統(tǒng)運(yùn)行的方法；為用戶提供相關(guān)的培訓(xùn)服務(wù)，以提高用戶的安全意識(shí)，便于相關(guān)責(zé)任人明確自己的角色和責(zé)任。了解常見

18、的應(yīng)急事件和入侵行為，熟悉應(yīng)急響應(yīng)策略。主機(jī)和網(wǎng)絡(luò)設(shè)備安全初始化快照和備份在系統(tǒng)安全策略配置完成后，要對(duì)系統(tǒng)優(yōu)生次初始安全狀態(tài)快照。這樣，如果以后出現(xiàn)事故后對(duì)該服務(wù)器做安全檢測(cè)時(shí)，通過將初始化快照做的結(jié)果與檢測(cè)階段做的快照進(jìn)行比較，就能夠發(fā)現(xiàn)系統(tǒng)的改動(dòng)或異常。對(duì)主機(jī)系統(tǒng)做一個(gè)標(biāo)準(zhǔn)的安全初始化的狀態(tài)快照，包括的主要內(nèi)容有：日志及審核策略快照；用戶賬戶快照；進(jìn)程快照；服務(wù)快照；自啟動(dòng)快照；關(guān)鍵文件簽名快照；開放端口快照；系統(tǒng)資源利用率的快照；注冊(cè)表快照；計(jì)劃任務(wù)快照等；對(duì)網(wǎng)絡(luò)設(shè)備做一個(gè)標(biāo)準(zhǔn)的安全初始化的狀態(tài)，包括的主要內(nèi)容有：路由器快照；安全設(shè)備快照；用戶快照；系統(tǒng)資源利用率等快照。信息系統(tǒng)的業(yè)務(wù)

19、數(shù)據(jù)及辦公數(shù)據(jù)均十分重要，因此需要進(jìn)行數(shù)據(jù)存儲(chǔ)及備份。目前，存儲(chǔ)備份結(jié)構(gòu)主要有DAS、SAN和NAS，以及通過磁帶或光盤對(duì)數(shù)據(jù)進(jìn)行備份?？筛鶕?jù)不同的特點(diǎn)選擇不同的存儲(chǔ)產(chǎn)品構(gòu)建自己的數(shù)據(jù)存儲(chǔ)備份系統(tǒng)。工具包的準(zhǔn)備根據(jù)用戶的需求準(zhǔn)備處置網(wǎng)絡(luò)應(yīng)急事件的工具包，包括常用的系統(tǒng)基本命令、其他軟件工具等；工具包中的工具采用綠色免安裝的，保存在安全的移動(dòng)介質(zhì)上，如一次性可寫光盤、加密的U盤等；工具包應(yīng)定期更新、補(bǔ)充。必要技術(shù)的準(zhǔn)備上述是針對(duì)應(yīng)急響應(yīng)的處理涉及的安全技術(shù)工具涵蓋應(yīng)急響應(yīng)的事件取樣、事件分析、事件隔離、系統(tǒng)恢復(fù)和攻擊迫蹤等各個(gè)方面，構(gòu)成了網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的技術(shù)基礎(chǔ)。所以應(yīng)急響應(yīng)服務(wù)實(shí)施成員還應(yīng)該

20、掌握一些必要的技術(shù)手段和規(guī)范，具體包括以下內(nèi)容。系統(tǒng)檢測(cè)技術(shù)，包括以下檢測(cè)技術(shù)規(guī)范：Windows系統(tǒng)檢測(cè)技術(shù)規(guī)范；UNIX系統(tǒng)檢測(cè)技術(shù)規(guī)范；網(wǎng)絡(luò)安全牢固檢測(cè)技術(shù)規(guī)范；數(shù)據(jù)庫系統(tǒng)檢測(cè)技術(shù)規(guī)范；常見的應(yīng)用系統(tǒng)檢測(cè)技術(shù)規(guī)范。攻擊檢測(cè)技術(shù)包括以下技術(shù)異常行為分析技術(shù)；入侵檢測(cè)技術(shù)；安全風(fēng)險(xiǎn)評(píng)估技術(shù)；攻擊追蹤技術(shù)?，F(xiàn)場(chǎng)取樣技術(shù)。系統(tǒng)安全加固技術(shù)。攻擊隔離技術(shù)。資產(chǎn)備份恢復(fù)技術(shù)。檢測(cè)階段目標(biāo)：接到事故報(bào)警后在用戶的配合下對(duì)異常的系統(tǒng)進(jìn)行初步分析，確認(rèn)其是否真正發(fā)生了信息應(yīng)急事件，并制訂進(jìn)一步的響應(yīng)策略，并保留證據(jù)。角色：應(yīng)急服務(wù)實(shí)施小組成員、應(yīng)急響應(yīng)日常運(yùn)行小組。內(nèi)容：包括以下幾項(xiàng)。檢測(cè)范圍及對(duì)象的確定

21、；檢測(cè)方案的確定；檢測(cè)方案的實(shí)施；檢測(cè)結(jié)果的處理；實(shí)施小組人員的確定應(yīng)急響應(yīng)負(fù)責(zé)人根據(jù)事件初步報(bào)告表的內(nèi)容，初步分析事故的類型、嚴(yán)重程度等，以此來確定應(yīng)急響應(yīng)小組的實(shí)施人員的名單。檢測(cè)范圍及對(duì)象的確定對(duì)發(fā)生異常的系統(tǒng)進(jìn)行初步分析，判斷是否真正發(fā)生了應(yīng)急事件；與用戶共同確定檢測(cè)對(duì)象及范圍；檢測(cè)對(duì)象及范圍應(yīng)得到用戶的書面授權(quán)。檢測(cè)方案的確定與用戶共同確定檢測(cè)方案；制訂的檢測(cè)方案應(yīng)明確所使用的檢測(cè)規(guī)范；制訂的檢測(cè)方案應(yīng)明確檢測(cè)范圍，其檢測(cè)范圍應(yīng)僅限于用戶已授權(quán)的與應(yīng)急事件相關(guān)的數(shù)據(jù)，對(duì)用戶的機(jī)密性數(shù)據(jù)信息未經(jīng)允許不得訪問；制訂的檢測(cè)方案應(yīng)包含實(shí)施方案失敗的應(yīng)變和回退措施；與用戶充分溝通，并預(yù)測(cè)應(yīng)急處

22、理方案可能造成的影響。檢測(cè)方案的實(shí)施檢測(cè)搜集系統(tǒng)信息：記錄使用目錄及文件名約定。搜集操作系統(tǒng)基本信息：包含網(wǎng)絡(luò)連接信息、進(jìn)程信息、IP屬性、操作系統(tǒng)屬性。日志信息:導(dǎo)出所有日志信息賬號(hào)信息:導(dǎo)出所有賬號(hào)信息主機(jī)檢測(cè)日志檢查：從日志信息中檢測(cè)出未授權(quán)訪問或非法登錄整件；賬號(hào)檢查：檢查賬號(hào)信息中非正常賬號(hào)、隱藏賬號(hào)。進(jìn)程檢查：檢查是否有未被授權(quán)的應(yīng)用程序或服務(wù)。服務(wù)檢查：檢查系統(tǒng)是否存在非法服務(wù)。自啟動(dòng)檢查：檢查未授權(quán)自啟動(dòng)程序。網(wǎng)絡(luò)連接檢查：檢查非正常開放的端口。共享檢查：檢查非法共享目錄。文件檢查：檢查病毒、木馬、蠕蟲、后門等可疑文件。查找其他入侵痕跡：查找其他系統(tǒng)上的入侵痕跡，尋找攻擊途徑。

23、檢測(cè)結(jié)果的處理確定應(yīng)急事件的類型經(jīng)過檢測(cè)，判斷出信息應(yīng)急事件類型。信息應(yīng)急事件有以下7個(gè)基本分類。有害程序事件：蓄意制造、傳播有害程序，或是因受到有害程序的影響而導(dǎo)致的信息應(yīng)急事件。網(wǎng)絡(luò)攻擊事件：通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息、系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對(duì)信息系統(tǒng)實(shí)施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的信息應(yīng)急事件。信息破壞事件：通過網(wǎng)絡(luò)或其他技術(shù)手段造成信息系統(tǒng)中的信息被篡改、假冒、泄露、竊取等而導(dǎo)致的信息應(yīng)急事件。信息內(nèi)容應(yīng)急事件：泄漏危害國家安全、社會(huì)穩(wěn)定和公共利益的內(nèi)容的安全。設(shè)備設(shè)施故障：由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息

24、應(yīng)急事件，以及人為的使用非技術(shù)手段有意或無意地造成信息系統(tǒng)破壞而導(dǎo)致的信息應(yīng)急事件。災(zāi)害性事件：由于不可抗力對(duì)信息系統(tǒng)造成物理破壞而導(dǎo)致的信息應(yīng)急事件。其他信息應(yīng)急事件：不能歸入以上6個(gè)基本分類的信息應(yīng)急事件。評(píng)估突發(fā)信息應(yīng)急事件的影響采用定量和/或定性的方法，對(duì)業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓、數(shù)據(jù)丟失等突發(fā)信息應(yīng)急事件造成的影響進(jìn)行評(píng)估；確定是否存在針對(duì)該事件的特定系統(tǒng)預(yù)案，如有，則啟動(dòng)相關(guān)預(yù)案；如果事件涉及多個(gè)專項(xiàng)預(yù)案，應(yīng)同時(shí)啟動(dòng)所有涉及的專項(xiàng)預(yù)案；如果沒有針對(duì)該事件的專項(xiàng)預(yù)案，應(yīng)根據(jù)事件具體情況，采取抑制措施，抑制事件進(jìn)一步擴(kuò)散。抑制階段目標(biāo)：及時(shí)采取行動(dòng)限制事件擴(kuò)散和影響的范圍，限制潛在

25、的損失與破壞，同時(shí)要確保封鎖方法對(duì)涉及相關(guān)業(yè)務(wù)影響最小。角色：應(yīng)急服務(wù)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組內(nèi)容：包括以下兒項(xiàng)抑制方案的確定；抑制方案的認(rèn)可；抑制方案的實(shí)施；抑制效果的判定。輸出：抑制處理記錄表。抑制方案的確定在檢測(cè)分析的基礎(chǔ)上，初步確定與應(yīng)急事件相對(duì)應(yīng)的抑制方法，如有多項(xiàng)，可由用戶考慮后自己選擇。在確定抑制方法時(shí)應(yīng)該考慮：全面評(píng)估應(yīng)急事件的影響和損失；通過分析得到的其他結(jié)論；用戶的業(yè)務(wù)和重點(diǎn)決策過程；用戶的業(yè)務(wù)連續(xù)性。抑制方案的認(rèn)可告知用戶所面臨的首要問題；確定的抑制方法和相應(yīng)的措施得到用戶的認(rèn)可；在采取抑制措施之前，與用戶充分溝通，告知可能存在的風(fēng)險(xiǎn)，制訂應(yīng)變和回退措施，并與其達(dá)成

26、協(xié)議。抑制方案的實(shí)施嚴(yán)格按照相關(guān)約定實(shí)施抑制，不得隨意更改抑制的措施的范圍，如有必要更改，須獲得用戶的授權(quán)。抑制措施應(yīng)包含但不限于以下幾方而：確定受害系統(tǒng)的范圍后，將受害系統(tǒng)和正常的系統(tǒng)進(jìn)行隔離，斷開或暫時(shí)關(guān)閉被影響的系統(tǒng)使攻擊先徹底停止；持續(xù)監(jiān)視系統(tǒng)和網(wǎng)絡(luò)活動(dòng)，記錄異常流量的遠(yuǎn)程IP、域名、端口；停止或刪除系統(tǒng)非正常賬號(hào)，隱藏賬號(hào)，更改口令，加強(qiáng)口令的安全級(jí)別；掛起或結(jié)束未被授權(quán)的、可疑的應(yīng)用程序和進(jìn)程；關(guān)閉存在的非法服務(wù)和不必要的服務(wù)；刪除系統(tǒng)各用戶“啟動(dòng)”目錄下未授權(quán)自啟動(dòng)程序；使用工具或命令停止所有開放的共享；使用反病毒軟件或其他安全工具檢查文件，掃描硬盤上所有的文件，隔離或清除病毒、

27、木馬、蠕蟲、后門等可疑文件；抑制效果的判定是否防止了事件繼續(xù)擴(kuò)散，限制了潛在的損失和破壞，使目前損失最小化；對(duì)其他相關(guān)業(yè)務(wù)的影響是否控制在最小。根除階段目標(biāo)：對(duì)應(yīng)急事件進(jìn)行抑制之后，通過對(duì)有關(guān)事件或行為的分析結(jié)果，找出事件根源，明確相應(yīng)的補(bǔ)救措施并徹底清除事件。角色：應(yīng)急服務(wù)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組內(nèi)容：包括以下幾項(xiàng)。根除方案的確定；根除方案的認(rèn)可；根除方案的實(shí)施；根除效果的判定。輸出：根除處理記錄表。根除方案的確定協(xié)助用戶檢查所有受影響的系統(tǒng)，在準(zhǔn)確判斷應(yīng)急事件原因的基礎(chǔ)上，提出方案建議；由于入侵者一般會(huì)安裝后門或使用其他的方法以便于在將來有機(jī)會(huì)侵入該被攻擊的系統(tǒng)，因此在確定根除方法時(shí)

28、，需要了解攻擊者是如何入侵的，以及與這種入侵方法相同和相似的各種方法。根除方案的認(rèn)可明確告知用戶所采取的根除措施可能帶來的風(fēng)險(xiǎn)，制度應(yīng)變和回退措施，并得到用戶的書面授權(quán)；協(xié)助用戶進(jìn)行根除方法的實(shí)施。根除方案的實(shí)施使用可信的工具進(jìn)行應(yīng)急事件的根除處理，不得使用受害系統(tǒng)已有的不可信的文件和工具。根除措施宜包含但不限于以下幾個(gè)方面：改變?nèi)靠赡苁艿焦舻南到y(tǒng)賬號(hào)和口令，并增加口令的安全級(jí)別；修補(bǔ)系統(tǒng)、網(wǎng)絡(luò)和其他軟件漏洞；增強(qiáng)防護(hù)功能，復(fù)查所有防護(hù)措施的配置，安裝最新的安全設(shè)備和殺毒軟件，并及時(shí)更新，對(duì)未受保護(hù)或者保護(hù)不夠的系統(tǒng)增加新的防護(hù)措施；提高其監(jiān)視保護(hù)級(jí)別，以保證將來對(duì)類似的入侵進(jìn)行檢測(cè)。根除

29、效果的判定找出造成事件的原因，備份與造成事件相關(guān)的文件和數(shù)據(jù)；對(duì)系統(tǒng)中造成事件的文件進(jìn)行清理，根除；使系統(tǒng)能夠正常工作?；謴?fù)階段目標(biāo)：恢復(fù)應(yīng)急事件所涉及的系統(tǒng)，并還原到正常狀態(tài)，使業(yè)務(wù)能夠正常進(jìn)行，恢復(fù)工作應(yīng)避免出現(xiàn)誤操作導(dǎo)致數(shù)據(jù)的丟失。角色：應(yīng)急服務(wù)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組。內(nèi)容：包括以下兒項(xiàng)?；謴?fù)方案的確定；恢復(fù)信息系統(tǒng)。輸出：恢復(fù)處理記錄表?；謴?fù)方案的確定告知用戶一個(gè)或多個(gè)能從應(yīng)急事件中恢復(fù)系統(tǒng)的方法，及它們可能存在的風(fēng)險(xiǎn)。和用戶共同確定系統(tǒng)恢復(fù)方案，根據(jù)抑制和根除的情況，協(xié)助用戶選擇合適的系統(tǒng)恢復(fù)的方案，恢復(fù)方案涉及以下幾方面：如何獲得訪問受損設(shè)施或地理區(qū)域的授權(quán)；如何通知相關(guān)系

30、統(tǒng)的內(nèi)部和外部業(yè)務(wù)伙伴；如何獲得安裝所需的硬件部件；如何獲得裝載備份介質(zhì)，如何恢復(fù)關(guān)鍵操作系統(tǒng)和應(yīng)用軟件；如何恢復(fù)系統(tǒng)數(shù)據(jù)；如何成功運(yùn)行備用設(shè)備。涉及涉密數(shù)據(jù)，確定恢復(fù)方法時(shí)應(yīng)遵循相應(yīng)的保密要求?；謴?fù)信息系統(tǒng)按照系統(tǒng)的初始化安全策略恢復(fù)系統(tǒng)?；謴?fù)系統(tǒng)時(shí)，應(yīng)根據(jù)系統(tǒng)中各子系統(tǒng)的重要性，確定系統(tǒng)恢復(fù)的順序?；謴?fù)系統(tǒng)過程宜包含但不限于以下方面：利用正確的備份恢復(fù)用戶數(shù)據(jù)和配置信息；開啟系統(tǒng)和應(yīng)用服務(wù)，將受到入侵或者懷疑存在漏洞而關(guān)閉的服務(wù)修改后重新開放；連接網(wǎng)絡(luò)，服務(wù)重新上線，并持續(xù)監(jiān)控、持續(xù)匯總分析，了解各網(wǎng)的運(yùn)行情況。當(dāng)不能徹底恢復(fù)配置和清除系統(tǒng)上的惡意文件，或不能肯定系統(tǒng)在根除處理后是否已恢復(fù)

31、正常時(shí)，應(yīng)選擇徹底重建系統(tǒng)。協(xié)助用戶驗(yàn)證恢復(fù)后的系統(tǒng)是否正常運(yùn)行。幫助用戶對(duì)重建后的系統(tǒng)進(jìn)行安全加固。幫助用戶為重建后的系統(tǒng)建立系統(tǒng)快照和備份?？偨Y(jié)階段目標(biāo)：通過以上各個(gè)階段的記錄表格，回顧應(yīng)急事件處理的全過程，整理與事件相關(guān)的各種信息，進(jìn)行總結(jié)，并盡可能地把所有信息記錄到文檔中角色：應(yīng)急服務(wù)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組。內(nèi)容：包括以下幾項(xiàng)（1）事故總結(jié)；（2）事故報(bào)告。輸出：應(yīng)急響應(yīng)報(bào)告表事故總結(jié)及時(shí)檢查應(yīng)急事件處理記錄是否齊全，是否具備可塑性，并對(duì)事件處理過程進(jìn)行總結(jié)和分析。應(yīng)急處理總結(jié)的具體工作包括但不限于以下幾項(xiàng)：事件發(fā)生的現(xiàn)象總結(jié)；事件發(fā)生的原因分析；系統(tǒng)的損害程度評(píng)估；事件損失估

32、計(jì)；采取的主要應(yīng)對(duì)措施；相關(guān)的工具文檔（如專項(xiàng)預(yù)案、方案等）歸檔。事故報(bào)告向用戶提供完備的網(wǎng)絡(luò)應(yīng)急事件處理報(bào)告；向用戶提供措施和建議。各類應(yīng)急事件處理預(yù)案設(shè)備發(fā)生被盜或人為損害事件應(yīng)急預(yù)案發(fā)生設(shè)備被盜或人為損害設(shè)備情況時(shí)，運(yùn)維人員或使用人員應(yīng)立即報(bào)告應(yīng)急領(lǐng)導(dǎo)小組，同時(shí)保護(hù)好現(xiàn)場(chǎng)。應(yīng)急領(lǐng)導(dǎo)小組接報(bào)后，通知用戶保衛(wèi)部門、相關(guān)領(lǐng)導(dǎo)，一同核實(shí)審定現(xiàn)場(chǎng)情況，清點(diǎn)被盜物資或盤查人為損害情況，做好必要的影像記錄和文字記錄。用戶單位和當(dāng)事人應(yīng)當(dāng)積極配合公安部門進(jìn)行調(diào)查，并將有關(guān)情況向應(yīng)急領(lǐng)導(dǎo)小組匯報(bào)。應(yīng)急領(lǐng)導(dǎo)小組安排運(yùn)維服務(wù)小組、用戶單位及時(shí)恢復(fù)系統(tǒng)正常運(yùn)行，并對(duì)事件進(jìn)行調(diào)查。運(yùn)維服務(wù)小組和用戶單位應(yīng)在調(diào)查結(jié)

33、束后一日內(nèi)書面報(bào)告應(yīng)急領(lǐng)導(dǎo)小組。事態(tài)或后果嚴(yán)重的，應(yīng)向相關(guān)領(lǐng)導(dǎo)匯報(bào)。通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案發(fā)生通信線路中斷、路由故障、流量異常、域名系統(tǒng)故障后，運(yùn)維人員經(jīng)初步判斷后，應(yīng)及時(shí)上報(bào)運(yùn)維服務(wù)小組和應(yīng)急領(lǐng)導(dǎo)小組。運(yùn)維服務(wù)小組接報(bào)告后，應(yīng)及時(shí)查清通信網(wǎng)絡(luò)故障位置，隔離故障區(qū)域，并將事態(tài)及時(shí)報(bào)告應(yīng)急領(lǐng)導(dǎo)小組，通知相關(guān)通信網(wǎng)絡(luò)運(yùn)營商查清原因；同時(shí)及時(shí)組織相關(guān)技術(shù)人員檢測(cè)故障區(qū)域，逐步恢復(fù)故障區(qū)與服務(wù)器的網(wǎng)絡(luò)聯(lián)接，恢復(fù)通信網(wǎng)絡(luò)，保證正常運(yùn)轉(zhuǎn)。事態(tài)或后果嚴(yán)重的，應(yīng)向應(yīng)急指揮辦公室和相關(guān)領(lǐng)導(dǎo)匯報(bào)。應(yīng)急處置結(jié)束后，運(yùn)維服務(wù)小組應(yīng)將故障分析報(bào)告，在調(diào)查結(jié)束后一日內(nèi)書面報(bào)告應(yīng)急領(lǐng)導(dǎo)小組。不良信息和網(wǎng)絡(luò)病毒事件應(yīng)急預(yù)案發(fā)現(xiàn)

34、不良信息或網(wǎng)絡(luò)病毒時(shí)，運(yùn)維人員應(yīng)立即斷開網(wǎng)線，終止不良信息或網(wǎng)絡(luò)病毒傳播，并報(bào)告運(yùn)維服務(wù)小組和應(yīng)急領(lǐng)導(dǎo)小組。運(yùn)維服務(wù)小組應(yīng)根據(jù)應(yīng)急領(lǐng)導(dǎo)小組指令，采取隔離網(wǎng)絡(luò)等措施，及時(shí)殺毒或清除不良信息，并追查不良信息來源。事態(tài)或后果嚴(yán)重的，應(yīng)向相關(guān)領(lǐng)導(dǎo)匯報(bào)。處置結(jié)束后,運(yùn)維服務(wù)小組應(yīng)將事發(fā)經(jīng)過、造成影響、處置結(jié)果在調(diào)查工作結(jié)束后一日內(nèi)書面報(bào)告應(yīng)急領(lǐng)導(dǎo)小組。服務(wù)器軟件系統(tǒng)故障應(yīng)急預(yù)案發(fā)生服務(wù)器軟件系統(tǒng)故障后，運(yùn)維服務(wù)小組負(fù)責(zé)人應(yīng)立即組織啟動(dòng)備份服務(wù)器系統(tǒng)，由備份服務(wù)器接管業(yè)務(wù)應(yīng)用，并及時(shí)報(bào)告應(yīng)急領(lǐng)導(dǎo)小組；同時(shí)安排相關(guān)責(zé)任人將故障服務(wù)器脫離網(wǎng)絡(luò)，保證系統(tǒng)狀態(tài)不變，取出系統(tǒng)鏡像備份磁盤，保持原始數(shù)據(jù)。運(yùn)維服務(wù)小組

35、應(yīng)根據(jù)應(yīng)急領(lǐng)導(dǎo)小組的指令，在確認(rèn)安全的情況下，重新啟動(dòng)故障服務(wù)器系統(tǒng)；重啟系統(tǒng)成功，則檢查數(shù)據(jù)丟失情況，利用備份數(shù)據(jù)恢復(fù)；若重啟失敗，立即聯(lián)系相關(guān)廠商和上級(jí)單位，請(qǐng)求技術(shù)支援，作好技術(shù)處理。事態(tài)或后果嚴(yán)重的，應(yīng)向應(yīng)急領(lǐng)導(dǎo)小組匯報(bào)。處置結(jié)束后,運(yùn)維服務(wù)小組應(yīng)將事發(fā)經(jīng)過、處置結(jié)果等在調(diào)查工作結(jié)束后一日內(nèi)報(bào)告應(yīng)急領(lǐng)導(dǎo)小組。黑客攻擊事件應(yīng)急預(yù)案當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)被非法入侵、網(wǎng)頁內(nèi)容被篡改，應(yīng)用服務(wù)器上的數(shù)據(jù)被非法拷貝、修改、刪除，或通過入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)有黑客正在進(jìn)行攻擊時(shí)，運(yùn)維人員或系統(tǒng)管理員應(yīng)斷開網(wǎng)絡(luò)，并立即報(bào)告應(yīng)急領(lǐng)導(dǎo)小組。接報(bào)告后，應(yīng)急領(lǐng)導(dǎo)小組應(yīng)立即指令運(yùn)維服務(wù)小組核實(shí)情況，關(guān)閉服務(wù)器或系統(tǒng)，修改防火墻

36、和路由器的過濾規(guī)則，封鎖或刪除被攻破的登陸賬號(hào)，阻斷可疑用戶進(jìn)入網(wǎng)絡(luò)的通道。運(yùn)維服務(wù)小組應(yīng)及時(shí)清理系統(tǒng)，恢復(fù)數(shù)據(jù)、程序，恢復(fù)系統(tǒng)和網(wǎng)絡(luò)正常；情況嚴(yán)重的，應(yīng)向應(yīng)急領(lǐng)導(dǎo)小組匯報(bào)，并請(qǐng)求支援。處置結(jié)束后,運(yùn)維服務(wù)小組應(yīng)將事發(fā)經(jīng)過、處置結(jié)果等在調(diào)查工作結(jié)束后一日內(nèi)報(bào)告應(yīng)急領(lǐng)導(dǎo)小組。核心設(shè)備硬件故障應(yīng)急預(yù)案發(fā)生核心設(shè)備硬件故障后，運(yùn)維服務(wù)小組應(yīng)及時(shí)報(bào)告應(yīng)急領(lǐng)導(dǎo)小組，并組織查找、確定故障設(shè)備及故障原因，進(jìn)行先期處置。若故障設(shè)備在短時(shí)間內(nèi)無法修復(fù)運(yùn)維服務(wù)小組應(yīng)啟動(dòng)備份設(shè)備，保持系統(tǒng)正常運(yùn)行；將故障設(shè)備脫離網(wǎng)絡(luò)，進(jìn)行故障排除工作。運(yùn)維服務(wù)小組故障排除后，在網(wǎng)絡(luò)空閑時(shí)期，替換備用設(shè)備；若故障仍然存在，立即聯(lián)系相

37、關(guān)廠商，認(rèn)真填寫設(shè)備故障報(bào)告單備查。事態(tài)或后果嚴(yán)重的，應(yīng)向應(yīng)急領(lǐng)導(dǎo)小組匯報(bào)。處置結(jié)束后,運(yùn)維服務(wù)小組應(yīng)將事發(fā)經(jīng)過、處置結(jié)果等在調(diào)查工作結(jié)束后一日內(nèi)報(bào)告應(yīng)急領(lǐng)導(dǎo)小組。業(yè)務(wù)數(shù)據(jù)損壞應(yīng)急預(yù)案發(fā)生業(yè)務(wù)數(shù)據(jù)損壞時(shí)，運(yùn)維服務(wù)小組應(yīng)及時(shí)報(bào)告應(yīng)急領(lǐng)導(dǎo)小組，檢查、備份業(yè)務(wù)系統(tǒng)當(dāng)前數(shù)據(jù)。運(yùn)維服務(wù)小組負(fù)責(zé)調(diào)用備份服務(wù)器備份數(shù)據(jù)，若備份數(shù)據(jù)損壞，則調(diào)用磁帶機(jī)中歷史備份數(shù)據(jù)，若磁帶機(jī)數(shù)據(jù)仍不可用，則調(diào)用異地備份數(shù)據(jù)。業(yè)務(wù)數(shù)據(jù)損壞事件超過2小時(shí)后，運(yùn)維服務(wù)小組應(yīng)及時(shí)報(bào)告應(yīng)急領(lǐng)導(dǎo)小組，及時(shí)通知業(yè)務(wù)部門以手工方式開展業(yè)務(wù)。運(yùn)維服務(wù)小組應(yīng)待業(yè)務(wù)數(shù)據(jù)系統(tǒng)恢復(fù)后，檢查歷史數(shù)據(jù)和當(dāng)前數(shù)據(jù)的差別，由相關(guān)系統(tǒng)業(yè)務(wù)員補(bǔ)錄數(shù)據(jù)；重新備份數(shù)據(jù)

38、，并在工作結(jié)束后一日內(nèi)報(bào)告應(yīng)急領(lǐng)導(dǎo)小組。應(yīng)急事件響應(yīng)建議應(yīng)急事件現(xiàn)場(chǎng)處理系統(tǒng)應(yīng)急事件現(xiàn)場(chǎng)處理方案選擇一般有以下幾種方式。緊急消除應(yīng)急事件處理最核心的問題是消除當(dāng)前威脅，主要是指消除應(yīng)急事件的原因。如果應(yīng)急事件屬于計(jì)算機(jī)病毒，用殺毒軟件進(jìn)行消除。如果應(yīng)急事件屬入侵者，應(yīng)當(dāng)首先對(duì)入侵者進(jìn)行監(jiān)視、跟蹤，確定入侵行為的痕跡并消除之（例如新賬號(hào)和被監(jiān)控文件被修改），然后利用完整性檢查工共進(jìn)行檢查，最后擺脫入侵者。緊急恢復(fù)恢復(fù)系統(tǒng)可以采取現(xiàn)場(chǎng)聯(lián)機(jī)恢復(fù)和關(guān)閉網(wǎng)絡(luò)連接恢復(fù)兩種方法。一旦攻擊發(fā)生，如果不能采取關(guān)機(jī)和關(guān)閉網(wǎng)絡(luò)連接的措施，就采取現(xiàn)場(chǎng)聯(lián)機(jī)恢復(fù)。切換如果采用了雙機(jī)備份的系統(tǒng)結(jié)構(gòu)，可以采用聯(lián)機(jī)切換方式，先

39、切換再恢復(fù)。監(jiān)視發(fā)現(xiàn)入侵者后，監(jiān)視入侵者的行為是必要的監(jiān)視時(shí)，可采用系統(tǒng)服務(wù)了解攻擊者使用了哪個(gè)進(jìn)程，監(jiān)視網(wǎng)絡(luò)出入的情況，采用它機(jī)監(jiān)視的方法，要注意反監(jiān)視問題的處理。應(yīng)急事件發(fā)生時(shí)要記錄事件現(xiàn)場(chǎng)。在記錄應(yīng)急事件時(shí)，要記錄平件的每一環(huán)節(jié)，包括事件的時(shí)間、地點(diǎn)。要打印拷貝、記錄拷貝時(shí)間、記錄對(duì)話內(nèi)容，并盡可能采用自動(dòng)化的記錄方法。報(bào)警攻擊自動(dòng)發(fā)現(xiàn)系統(tǒng)可發(fā)現(xiàn)攻擊行為，并為系統(tǒng)管理員和信息系統(tǒng)安全員發(fā)出報(bào)警信號(hào)。報(bào)警可以通過聲音、e-mail、手機(jī)、電話等方式表現(xiàn)。應(yīng)急事件的事后處理系統(tǒng)應(yīng)急事件事后處理包括事件后消除，彌補(bǔ)系統(tǒng)脆弱性，分析原因，總結(jié)教訓(xùn)，完善安全策略，服務(wù)和過程。事件后消除消除威脅是應(yīng)

40、急事件處理最核心的問題，主要是指消除應(yīng)急事件的原因。如果應(yīng)急事件的原因是廠商的后門軟件、間諜軟件，不管廠商以什么目的采用了這些軟件，只要斷定這些所謂后門軟件可以被攻擊者利用，需要向廠商提出交涉，消除該軟件或關(guān)閉廠商保留的端口。如果應(yīng)急事件的原因是程序化入侵，則刪除入侵程序。如果應(yīng)急事件的原因是破壞和刪除文件，則使用拷貝文件恢復(fù)。彌補(bǔ)系統(tǒng)脆弱性當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)漏洞時(shí)，修補(bǔ)操作是必需的。修補(bǔ)的方法包括包裝程序、代理程序、隱藏程序、控制程序和改正程序錯(cuò)誤等。應(yīng)急事件的發(fā)生暴露了信息系統(tǒng)的脆弱性。發(fā)現(xiàn)漏洞后可以提出修補(bǔ)漏洞的方法，實(shí)施修補(bǔ)過程。分析原因應(yīng)急事件的原因分析是必要的，分析清楚原因，提出改進(jìn)的

41、辦法?？偨Y(jié)教訓(xùn)根據(jù)應(yīng)急事件的損失和后果，處罰或批評(píng)負(fù)有責(zé)任者。通過對(duì)應(yīng)急事件的處理，可明確在安全管理方面的缺陷，有針對(duì)性地加強(qiáng)和完善管理制度。完善安全策略、結(jié)構(gòu)、服務(wù)和過程發(fā)生應(yīng)急事件后，對(duì)信息系統(tǒng)的安全策略、安全結(jié)構(gòu)、安全服務(wù)和過程進(jìn)行全面的檢查，并對(duì)其進(jìn)行修改和完善。系統(tǒng)應(yīng)急事件責(zé)任劃分明確系統(tǒng)應(yīng)急事件的責(zé)任。攻擊成功往往與系統(tǒng)管理員的工作失誤有關(guān)。由于系統(tǒng)管理員、信息系統(tǒng)安全員和操作員對(duì)信息系統(tǒng)安全都有自己的職責(zé)，要檢查有關(guān)人員的失職問題。有些應(yīng)急事件的發(fā)生與安全結(jié)構(gòu)不合理有關(guān)，或是信息系統(tǒng)安全措施落后造成的。應(yīng)急保障措施應(yīng)急人力保障加強(qiáng)信息安全人才培養(yǎng)，強(qiáng)化信息安全宣傳教育，建設(shè)一支高素質(zhì)