信息安全應(yīng)急響應(yīng)服務(wù)方案模板之歐陽治創(chuàng)編

信息安全應(yīng)急響應(yīng)時(shí)間2021.03.10創(chuàng)作：歐陽治服務(wù)方案XXXX科技有限公司2018年5月目錄第一部分概述31.1.信息安全應(yīng)急響應(yīng)312應(yīng)急安全響應(yīng)事件313服務(wù)原則3第二部分應(yīng)急響應(yīng)組織保障4角色的劃分422角色的職責(zé)4組織的外部協(xié)作4保障措施5第三部分應(yīng)急響應(yīng)實(shí)施流程5準(zhǔn)備階段(Preparation)7負(fù)責(zé)人準(zhǔn)備內(nèi)容7計(jì)劃；上批準(zhǔn)并監(jiān)督應(yīng)急響應(yīng)計(jì)劃的執(zhí)行；，指導(dǎo)應(yīng)急響應(yīng)實(shí)施小組的應(yīng)急處置工作；，啟動定期評審、修訂應(yīng)急響應(yīng)計(jì)劃以及負(fù)責(zé)組織的外部協(xié)作。技術(shù)人員準(zhǔn)備內(nèi)容，服務(wù)需求界定首先要對服務(wù)對象的整個(gè)信息系統(tǒng)進(jìn)行評估，明確服務(wù)對象的應(yīng)急需求，具體應(yīng)包含以下內(nèi)容：1）應(yīng)急服務(wù)提供者應(yīng)了解應(yīng)急服務(wù)對象的各項(xiàng)業(yè)務(wù)功能及其之間的相關(guān)性，確定支持各種業(yè)務(wù)功能的相關(guān)信息系統(tǒng)資源及其他資源，明確相關(guān)信息的保密性、完整性、和可用性要求；2）對服務(wù)對象的信息系統(tǒng)，包括應(yīng)用程序，服務(wù)器，網(wǎng)絡(luò)及任何管理和維護(hù)這些系統(tǒng)的流程進(jìn)行評估，確定系統(tǒng)所執(zhí)行的關(guān)鍵功能，并確定執(zhí)行這些關(guān)鍵功能所需要的特定系統(tǒng)資源；3）應(yīng)急服務(wù)提供者應(yīng)采用定性或定量的方法，對業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等突發(fā)安全事件造成的影響進(jìn)行評估；4）應(yīng)急服務(wù)提供者應(yīng)協(xié)助服務(wù)對象建立適當(dāng)?shù)膽?yīng)急響應(yīng)策略，應(yīng)提供在業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等突發(fā)安全事件發(fā)生后快速有效的恢復(fù)信息系統(tǒng)運(yùn)行的方法；5）應(yīng)急服務(wù)提供者宜為服務(wù)對象提供相關(guān)的培訓(xùn)服務(wù)，以提高服務(wù)對象的安全意識，便于相關(guān)責(zé)任人明確自己的角色和責(zé)任，了解常見的安全事件和入侵行為，熟悉應(yīng)急響應(yīng)策略。，主機(jī)和網(wǎng)絡(luò)設(shè)備安全初始化快照和備份在系統(tǒng)安全策略配置完成后，要對系統(tǒng)做一次初始安全狀態(tài)快照。這樣，如果以后在出現(xiàn)事故后對該服務(wù)器做安全檢測時(shí)，通過將初始化快照做的結(jié)果與檢測階段做的快照進(jìn)行比較，就能夠發(fā)現(xiàn)系統(tǒng)的改動或異常。1）對主機(jī)系統(tǒng)做一個(gè)標(biāo)準(zhǔn)的安全初始化的狀態(tài)快照，包括的主要內(nèi)容有：,日志及審核策略快照等。/用戶賬戶快照；/進(jìn)程快照；/服務(wù)快照；/自啟動快照/關(guān)鍵文件簽名快照；,開放端口快照；/系統(tǒng)資源利用率的快照；/注冊表快照；/計(jì)劃任務(wù)快照等等；2）對網(wǎng)絡(luò)設(shè)備做一個(gè)標(biāo)準(zhǔn)的安全初始化的狀態(tài)快照，包括的主要內(nèi)容有：/路由器快照；/防火墻快照；/用戶快照；/系統(tǒng)資源利用率等快照。3）信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)及辦公數(shù)據(jù)均十分重要，因此需要進(jìn)行數(shù)據(jù)存儲及備份。目前，存儲備份結(jié)構(gòu)主要有DAS、SAN和NAS,以及通過磁帶或光盤對數(shù)據(jù)進(jìn)行備份。各服務(wù)對象可以根據(jù)自身的特點(diǎn)選擇不同的存儲產(chǎn)品構(gòu)建自己的數(shù)據(jù)存儲備份系統(tǒng)。，工具包的準(zhǔn)備1）應(yīng)急服務(wù)提供者應(yīng)根據(jù)應(yīng)急服務(wù)對象的需求準(zhǔn)備處置網(wǎng)絡(luò)安全事件的工具包，包括常用的系統(tǒng)基本命令、其他軟件工具等；2）應(yīng)急服務(wù)提供者的工具包中的工具最好是采用綠色免安裝的，應(yīng)保存在安全的移動介質(zhì)上，如一次性可寫光盤、加密的U盤等；3）應(yīng)急服務(wù)提供者的工具包應(yīng)定期更新、補(bǔ)充；，必要技術(shù)的準(zhǔn)備上述是針對應(yīng)急響應(yīng)的處理涉及到的安全技術(shù)工具涵蓋應(yīng)急響應(yīng)的事件取樣、事件分析、事件隔離、系統(tǒng)恢復(fù)和攻擊追蹤等各個(gè)方面，構(gòu)成了網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的技術(shù)基礎(chǔ)。所以我們的應(yīng)急響應(yīng)服務(wù)實(shí)施成員還應(yīng)該掌握以下必要的技術(shù)手段和規(guī)范，具體包括以下內(nèi)容：1）系統(tǒng)檢測技術(shù)，包括以下檢測技術(shù)規(guī)范：/Windows系統(tǒng)檢測技術(shù)規(guī)范；/Unix系統(tǒng)檢測技術(shù)規(guī)范；/網(wǎng)絡(luò)安全事故檢測技術(shù)規(guī)范；/數(shù)據(jù)庫系統(tǒng)檢測技術(shù)規(guī)范；/常見的應(yīng)用系統(tǒng)檢測技術(shù)規(guī)范；2）攻擊檢測技術(shù)，包括以下技術(shù)：/異常行為分析技術(shù)；/入侵檢測技術(shù)；/安全風(fēng)險(xiǎn)評估技術(shù)；3）攻擊追蹤技術(shù)；4）現(xiàn)場取樣技術(shù)；5）系統(tǒng)安全加固技術(shù)；6）攻擊隔離技術(shù)；7）資產(chǎn)備份恢復(fù)技術(shù)；市場人員準(zhǔn)備內(nèi)容，和服務(wù)對象建立長期友好的業(yè)務(wù)關(guān)系；，和服務(wù)對象簽訂應(yīng)急服務(wù)合同或協(xié)議；，建立預(yù)防和預(yù)警機(jī)制，及時(shí)上報(bào)。1）預(yù)防和預(yù)警機(jī)制/市場人員要嚴(yán)格按照應(yīng)急響應(yīng)負(fù)責(zé)人的安排和建議，及時(shí)提醒服務(wù)對象提高防范網(wǎng)絡(luò)攻擊、病毒入侵、網(wǎng)絡(luò)竊密等的能力，防止有害信息傳播，保障服務(wù)對象網(wǎng)絡(luò)的安全暢通。,將協(xié)會網(wǎng)絡(luò)信息中心會發(fā)布的病毒預(yù)防警報(bào)以及更新的防護(hù)策略及時(shí)有效地告知服務(wù)對象，做好防護(hù)策略的更新。2）信息系統(tǒng)檢測和報(bào)告/按照“早發(fā)現(xiàn)、早報(bào)告、早處置”的原則，市場人員要加強(qiáng)對服務(wù)對象信息系統(tǒng)的安全檢測結(jié)果的通告，收集可能引發(fā)信息安全事件的有關(guān)信息、進(jìn)行分析判斷。/如服務(wù)對象發(fā)現(xiàn)有異常情況或有信息安全事件發(fā)生時(shí)，要立即向協(xié)會網(wǎng)絡(luò)信息中心應(yīng)急響應(yīng)負(fù)責(zé)人報(bào)告，并填寫事件初步報(bào)告表。/要求服務(wù)對象持續(xù)監(jiān)測信息系統(tǒng)狀況，密切關(guān)注應(yīng)急響應(yīng)負(fù)責(zé)人提出初步行動對策和行動方案，聽從指令和安排，及時(shí)減小損失。檢測階段(Examination)，目標(biāo)：接到事故報(bào)警后在服務(wù)對象的配合下對異常的系統(tǒng)進(jìn)行初步分析，確認(rèn)其是否真正發(fā)生了信息安全事件，制定進(jìn)一步的響應(yīng)策略，并保留證據(jù)。，角色：應(yīng)急服務(wù)實(shí)施小組成員、應(yīng)急響應(yīng)日常運(yùn)行小組；，內(nèi)容：⑴檢測范圍及對象的確定；⑵檢測方案的確定；⑶檢測方案的實(shí)施；(4)檢測結(jié)果的處理。，輸出：《檢測結(jié)果記錄》、《…》實(shí)施小組人員的確定應(yīng)急響應(yīng)負(fù)責(zé)人根據(jù)《事件初步報(bào)告表》的內(nèi)容，初步分析事故的類型、嚴(yán)重程度等，以此來確定臨時(shí)應(yīng)急響應(yīng)小組的實(shí)施人員的名單。檢測范圍及對象的確定上應(yīng)急服務(wù)提供者應(yīng)對發(fā)生異常的系統(tǒng)進(jìn)行初步分析，判斷是否正真發(fā)生了安全事件；，應(yīng)急服務(wù)提供者和服務(wù)對象共同確定檢測對象及范圍；，檢測對象及范圍應(yīng)得到服務(wù)對象的書面授權(quán)。323檢測方案的確定，應(yīng)急服務(wù)提供者和服務(wù)對象共同確定檢測方案；工應(yīng)急服務(wù)提供者制定的檢測方案應(yīng)明確應(yīng)急服務(wù)提供者所使用的檢測規(guī)范；工應(yīng)急服務(wù)提供者制定的檢測方案應(yīng)明確應(yīng)急服務(wù)提供者的檢測范圍，其檢測范圍應(yīng)僅限于服務(wù)對象已授權(quán)的與安全事件相關(guān)的數(shù)據(jù)，對服務(wù)對象的機(jī)密性數(shù)據(jù)信息未經(jīng)授權(quán)的不得訪問；，應(yīng)急服務(wù)提供者制定的檢測方案應(yīng)包含實(shí)施方案失敗的應(yīng)變和回退措施；,應(yīng)急服務(wù)提供者和服務(wù)對象充分溝通，并預(yù)測應(yīng)急處理方案可能造成的影響。檢測方案的實(shí)施，檢測搜集系統(tǒng)信息/記錄時(shí)使用目錄及文件名約定：在受入侵的計(jì)算機(jī)的D盤根目錄下（D:\）（如果無D盤則在其他盤根目錄下）建立一個(gè)EEAN目錄，目錄中包含以下子目錄：artifact:用于存放可疑文件樣本cmdoutput：用于記錄命令行輸出結(jié)果screenshot：用于存放屏幕拷貝文件log：用于存放各類日志文件文件格式：＞命令行輸出文件缺省僅使用TXT格式。＞日志文件及其他格式盡量使用TXT、CSV和其他不需要特殊工具就可以閱讀的格式。＞屏幕拷貝文件應(yīng)該使用BMP格式。＞可疑文件樣本最好加密壓縮為zip格式，默認(rèn)密碼為：eean搜集操作系統(tǒng)基本信息.右鍵點(diǎn)擊“我的電腦〉屬性”將“常規(guī)”、“自動更新”、“遠(yuǎn)程”3個(gè)選卡各制作一個(gè)窗口拷貝（使用Alt+PrtScr）。并保存到EEAN\screenshot目錄下，文件名稱應(yīng)該使用：系統(tǒng)常規(guī)-01、自動更新-01、遠(yuǎn)程-01等形式命名。.進(jìn)入CMD狀態(tài)，"開始＞運(yùn)行＞cmd”，進(jìn)入D盤根目錄下的EEAN目錄，執(zhí)行一下命令：技術(shù)人員準(zhǔn)備內(nèi)容7市場人員準(zhǔn)備內(nèi)容9檢測階段(Examination)9實(shí)施小組人員的確定9322檢測范圍及對象的確定10323檢測方案的確定10324檢測方案的實(shí)施10325檢測結(jié)果的處理12抑制階段(Suppresses)12抑制方案的確定13332抑制方案的認(rèn)可13抑制方案的實(shí)施13334抑制效果的判定13根除階段(Eradicates)14341根除方案的確定14根除方案的認(rèn)可14343根除方案的實(shí)施14根除效果的判定14恢復(fù)階段(Restoration)15351恢復(fù)方案的確定15netstat-nao>netstat.txt（網(wǎng)絡(luò)連接信息）tasklist>tasklist.txt（當(dāng)前進(jìn)程信息）ipconfig/all>ipconfig.txt（IP屬性）ver>ver.txt（操作系統(tǒng)屬性）日志信息目標(biāo)：導(dǎo)出所有日志信息；說明：進(jìn)入管理工具，將“管理工具＞事件察看器”中，導(dǎo)出所有事件，分別使用一下文件名保存：application.txt、security.txt、system.txto帳號信息目標(biāo)：導(dǎo)出所有帳號信息；說明：使用netuser,netgroup,netlocalgroup命令檢查帳號和組的情況，使用計(jì)算機(jī)管理查看本地用戶和組，將導(dǎo)出的信息保存在D:\EEAN\user中，主機(jī)檢測/日志檢查目標(biāo)：1、從日志信息中檢測出未授權(quán)訪問或非法登錄事件；2、從IIS/FTP日志中檢測非正常訪問行為或攻擊行為；說明：1、檢查事件查看器中的系統(tǒng)和安全日志信息，比如：安全日志中異常登錄時(shí)間，未知用戶名登錄；2、檢查%WinDir%\System32\LogFiles目錄下的WWW日志和FTP日志，比如WWW日志中的對cmd.asp文件的成功訪問。/帳號檢查目標(biāo)：檢查帳號信息中非正常帳號，隱藏帳號;說明：通過詢問管理員或負(fù)責(zé)人，或者和系統(tǒng)的所有的正常帳號列表做對比，判斷是否有可疑的陌生的賬號出現(xiàn)，利用這些獲得的信息和前面準(zhǔn)備階段做的帳號快照工作進(jìn)行對比。進(jìn)程檢查目標(biāo)：檢查是否存在未被授權(quán)的應(yīng)用程序或服務(wù)說明：使用任務(wù)管理器檢查或使用進(jìn)程查看工具進(jìn)行查看，利用這些獲得的信息和前面準(zhǔn)備階段做的進(jìn)程快照工作進(jìn)行對比，判斷是否有可疑的進(jìn)程。服務(wù)檢查目標(biāo)：檢查系統(tǒng)是否存在非法服務(wù)說明：使用“管理工具”中的“服務(wù)”查看非法服務(wù)或使用冰刃、Wsystem察看當(dāng)前服務(wù)情況，利用這些獲得的信息和準(zhǔn)備階段做的服務(wù)快照工作進(jìn)行對比。自啟動檢查目標(biāo)：檢查未授權(quán)自啟動程序說明：檢查系統(tǒng)各用戶“啟動”目錄下是否存在未授權(quán)程序。網(wǎng)絡(luò)連接檢查目標(biāo)：檢查非正常網(wǎng)絡(luò)連接和開放的端口說明：關(guān)閉所有的網(wǎng)絡(luò)通訊程序，以免出現(xiàn)干擾，然后使用ipconfig,netstat-an或其它第三方工具查看所有連接，檢查服務(wù)端口開放情況和異常數(shù)據(jù)的信息。共享檢查目標(biāo)：檢查非法共享目錄。說明：使用netshare或其他第三方的工具檢測當(dāng)前開放的共享，使用$是隱藏目錄共享，通過詢問負(fù)責(zé)人看是否有可疑的共享文件。/文件檢查目標(biāo)：檢查病毒、木馬、蠕蟲、后門等可疑文件。說明：使用防病毒軟件檢查文件，掃描硬盤上所有的文件，將可疑文件進(jìn)行提取加密壓縮成.zip,保存到EEAN\artifact目錄下的相應(yīng)子目錄中。/查找其他入侵痕跡目標(biāo)：查找其它系統(tǒng)上的入侵痕跡，尋找攻擊途徑說明：其它系統(tǒng)包括：同一IP地址段或同一網(wǎng)段的系統(tǒng)、同一域的其他系統(tǒng)、擁有相同操作系統(tǒng)的其他系統(tǒng)。檢測結(jié)果的處理，確定安全事件的類型經(jīng)過檢測，判斷出信息安全事件類型。信息安全事件可以有以下7個(gè)基本分類:有害程序事件：蓄意制造、傳播有害程序，或是因受到有害程序的影響而導(dǎo)致的信息安全事件。網(wǎng)絡(luò)攻擊事件：通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對信息系統(tǒng)實(shí)施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的信息安全事件。信息破壞事件：通過網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的信息安全事件。信息內(nèi)容安全事件：利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的內(nèi)容的安全事件。設(shè)備設(shè)施故障：由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息安全事件，以及人為的使用非技術(shù)手段有意或無意的造成信息系統(tǒng)破壞而導(dǎo)致的信息安全事件。,災(zāi)害性事件：由于不可抗力對信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。/其他信息安全事件：不能歸為以上6個(gè)基本分類的信息安全事件。，評估突發(fā)信息安全事件的影響采用定量和/或定性的方法，對業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓數(shù)據(jù)丟失等突發(fā)信息安全事件造成的影響進(jìn)行評估：上確定是否存在針對該事件的特定系統(tǒng)預(yù)案，如有，則啟動相關(guān)預(yù)案；如果事件涉及多個(gè)專項(xiàng)預(yù)案，應(yīng)同時(shí)啟動所有涉及的專項(xiàng)預(yù)案；，如果沒有針對該事件的專項(xiàng)預(yù)案，應(yīng)根據(jù)事件具體情況，采取抑制措施，抑制事件進(jìn)一步擴(kuò)散。3.3.抑制階段(Suppresses)，目標(biāo)：及時(shí)采取行動限制事件擴(kuò)散和影響的范圍，限制潛在的損失與破壞，同時(shí)要確保封鎖方法對涉及相關(guān)業(yè)務(wù)影響最小。，角色：應(yīng)急服務(wù)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組。，內(nèi)容：⑴抑制方案的確定；⑵抑制方案的認(rèn)可；⑶抑制方案的實(shí)施；(4)抑制效果的判定；上輸出：《抑制處理記錄表》、《…》抑制方案的確定，應(yīng)急服務(wù)提供者應(yīng)在檢測分析的基礎(chǔ)上，初步確定與安全事件相對應(yīng)的抑制方法，如有多項(xiàng)，可由服務(wù)對象考慮后自己選擇；，在確定抑制方法時(shí)應(yīng)該考慮：/全面評估入侵范圍、入侵帶來的影響和損失；通過分析得到的其他結(jié)論，如入侵者的來源；/服務(wù)對象的業(yè)務(wù)和重點(diǎn)決策過程；,服務(wù)對象的業(yè)務(wù)連續(xù)性。332抑制方案的認(rèn)可，應(yīng)急服務(wù)提供者應(yīng)告知服務(wù)對象所面臨的首要問題；，應(yīng)急服務(wù)提供者所確定的抑制方法和相應(yīng)的措施應(yīng)得到服務(wù)對象的認(rèn)可；，在采取抑制措施之前，應(yīng)急服務(wù)提供者要和服務(wù)對象充分溝通，告知可能存在的風(fēng)險(xiǎn)，制定應(yīng)變和回退措施，并與其達(dá)成協(xié)議。333抑制方案的實(shí)施，應(yīng)急服務(wù)提供者要嚴(yán)格按照相關(guān)約定實(shí)施抑制，不得隨意更改抑制的措施的范圍，如有必要更改，需獲得服務(wù)對象的授權(quán)；上抑制措施易包含但不僅限于以下幾方面：,確定受害系統(tǒng)的范圍后，將被害系統(tǒng)和正常的系統(tǒng)進(jìn)行隔離，斷開或暫時(shí)關(guān)閉被攻擊的系統(tǒng)，使攻擊先徹底停止；/持續(xù)監(jiān)視系統(tǒng)和網(wǎng)絡(luò)活動，記錄異常流量的遠(yuǎn)程IP、域名、端口；/停止或刪除系統(tǒng)非正常帳號，隱藏帳號，更改口令，加強(qiáng)口令的安全級別；/掛起或結(jié)束未被授權(quán)的、可疑的應(yīng)用程序和進(jìn)程；/關(guān)閉存在的非法服務(wù)和不必要的服務(wù)；/刪除系統(tǒng)各用戶“啟動”目錄下未授權(quán)自啟動程序；,使用netshare或其他第三方的工具停止所有開放的共享；/使用反病毒軟件或其他安全工具檢查文件，掃描硬盤上所有的文件，隔離或清除病毒、木馬、蠕蟲、后門等可疑文件；,設(shè)置陷阱，如蜜罐系統(tǒng)；或者反擊攻擊者的系統(tǒng)。334抑制效果的判定4防止事件繼續(xù)擴(kuò)散，限制了潛在的損失和破壞，使目前損失最小化；」對其它相關(guān)業(yè)務(wù)的影響是否控制在最小?；謴?fù)信息系統(tǒng)153.6.總結(jié)階段(Summary)15事故總結(jié)16事故報(bào)告16第一部分概述L1.信息安全應(yīng)急響應(yīng)應(yīng)急響應(yīng)服務(wù)是為滿足企業(yè)發(fā)生安全事件、需要緊急解決問題的情況下提供的一項(xiàng)安全服務(wù)。當(dāng)企業(yè)發(fā)生黑客入侵、系統(tǒng)崩潰或其它影響業(yè)務(wù)正常運(yùn)行的安全事件時(shí)，安全專家會在第一時(shí)間趕到事件現(xiàn)場，使企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)在最短時(shí)間內(nèi)恢復(fù)正常工作，幫助企業(yè)查找入侵來源，給出入侵事故過程報(bào)告，同時(shí)給出解決方案與防范報(bào)告，為企業(yè)挽回或減少經(jīng)濟(jì)損失。提供入侵調(diào)查，拒絕服務(wù)攻擊響應(yīng)，主機(jī)、網(wǎng)絡(luò)、業(yè)務(wù)異常緊急響應(yīng)和處理。12應(yīng)急安全響應(yīng)事件計(jì)算機(jī)病毒事件；蠕蟲病毒事件；特洛伊木馬事件；根除階段(Eradicates)*目標(biāo)：對事件進(jìn)行抑制之后，通過對有關(guān)事件或行為的分析結(jié)果，找出事件根源，明確相應(yīng)的補(bǔ)救措施并徹底清除。，角色：應(yīng)急服務(wù)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組。，內(nèi)容：⑴根除方案的確定；⑵根除方案的認(rèn)可；⑶根除方案的實(shí)施；(4)根除效果的判定；上輸出：《根除處理記錄表》、《…》根除方案的確定，應(yīng)急服務(wù)提供者應(yīng)協(xié)助服務(wù)對象檢查所有受影響的系統(tǒng)，在準(zhǔn)確判斷安全事件原因的基礎(chǔ)上，提出方案建議；上由于入侵者一般會安裝后門或使用其他的方法以便于在將來有機(jī)會侵入該被攻陷的系統(tǒng)，因此在確定根除方法時(shí)，需要了解攻擊者時(shí)如何入侵的，以及與這種入侵方法相同和相似的各種方法。根除方案的認(rèn)可，應(yīng)急服務(wù)提供者應(yīng)明確告知服務(wù)對象所采取的根除措施可能帶來的風(fēng)險(xiǎn)，制定應(yīng)變和回退措施，并得到服務(wù)對象的書面授權(quán)；上應(yīng)急服務(wù)提供者應(yīng)協(xié)助服務(wù)對象進(jìn)行根除方法的實(shí)施。根除方案的實(shí)施上應(yīng)急服務(wù)提供者應(yīng)使用可信的工具進(jìn)行安全事件的根除處理，不得使用受害系統(tǒng)已有的不可信的文件和工具；，根除措施易包含但不僅限與以下幾個(gè)方面：/改變?nèi)靠赡苁艿焦舻南到y(tǒng)帳號和口令，并增加口令的安全級別；/修補(bǔ)系統(tǒng)、網(wǎng)絡(luò)和其他軟件漏洞；/增強(qiáng)防護(hù)功能：復(fù)查所有防護(hù)措施的配置，安裝最新的防火墻和殺毒軟件，并及時(shí)更新，對未受保護(hù)或者保護(hù)不夠的系統(tǒng)增加新的防護(hù)措施；/提高其監(jiān)視保護(hù)級別，以保證將來對類似的入侵進(jìn)行檢測；除效果的判定，找出造成事件的原因，備份與造成事件的相關(guān)文件和數(shù)據(jù)；，對系統(tǒng)中的文件進(jìn)行清理，根除；，使系統(tǒng)能夠正常工作。恢復(fù)階段(Restoration)人目標(biāo)：恢復(fù)安全事件所涉及到得系統(tǒng)，并還原到正常狀態(tài)，使業(yè)務(wù)能夠正常進(jìn)行，恢復(fù)工作應(yīng)避免出現(xiàn)誤操作導(dǎo)致數(shù)據(jù)的丟失。，角色：應(yīng)急服務(wù)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組。，內(nèi)容：⑴恢復(fù)方案的確定；⑵恢復(fù)信息系統(tǒng)；，輸出：《恢復(fù)處理記錄表》、《??〉〉恢復(fù)方案的確定工應(yīng)急服務(wù)提供者應(yīng)告知服務(wù)對象一個(gè)或多個(gè)能從安全事件中恢復(fù)系統(tǒng)的方法，及他們可能存在的風(fēng)險(xiǎn)；，應(yīng)急服務(wù)提供者應(yīng)和服務(wù)對象共同確定系統(tǒng)恢復(fù)方案，根據(jù)抑制和根除的情況，協(xié)助服務(wù)對象選擇合適的系統(tǒng)恢復(fù)的方案，恢復(fù)方案涉及到以下幾方面：/如何獲得訪問受損設(shè)施或地理區(qū)域的授權(quán)；/如何通知相關(guān)系統(tǒng)的內(nèi)部和外部業(yè)務(wù)伙伴；/如何獲得安裝所需的硬件部件；/如何獲得裝載備份介質(zhì)；如何恢復(fù)關(guān)鍵操作系統(tǒng)和應(yīng)用軟件；/如何恢復(fù)系統(tǒng)數(shù)據(jù)；/如何成功運(yùn)行備用設(shè)備人如果涉及到涉密數(shù)據(jù)，確定恢復(fù)方法時(shí)應(yīng)遵循相應(yīng)的保密要求。恢復(fù)信息系統(tǒng)4應(yīng)急響應(yīng)實(shí)施小組應(yīng)按照系統(tǒng)的初始化安全策略恢復(fù)系統(tǒng)；，恢復(fù)系統(tǒng)時(shí)，應(yīng)根據(jù)系統(tǒng)中個(gè)子系統(tǒng)的重要性，確定系統(tǒng)恢復(fù)的順序；，恢復(fù)系統(tǒng)過程宜包含但不限于以下方面：/利用正確的備份恢復(fù)用戶數(shù)據(jù)和配置信息；,開啟系統(tǒng)和應(yīng)用服務(wù)，將受到入侵或者懷疑存在漏洞而關(guān)閉的服務(wù)，修改后重新開放；/連接網(wǎng)絡(luò)，服務(wù)重新上線，并持續(xù)監(jiān)控持續(xù)匯總分析，了解各網(wǎng)的運(yùn)行情況；上對于不能徹底恢復(fù)配置和清除系統(tǒng)上的惡意文件，或不能肯定系統(tǒng)在根除處理后是否已恢復(fù)正常時(shí)，應(yīng)選擇徹底重建系統(tǒng)；，應(yīng)急服務(wù)實(shí)施小組應(yīng)協(xié)助服務(wù)對象驗(yàn)證恢復(fù)后的系統(tǒng)是否正常運(yùn)行；工應(yīng)急服務(wù)實(shí)施小組宜幫助服務(wù)對象對重建后的系統(tǒng)進(jìn)行安全加固;工應(yīng)急服務(wù)實(shí)施小組宜幫助服務(wù)對象為重建后的系統(tǒng)建立系統(tǒng)快照和備份；總結(jié)階段(Summary)，目標(biāo)：通過以上各個(gè)階段的記錄表格，回顧安全事件處理的全過程，整理與事件相關(guān)的各種信息，進(jìn)行總結(jié)，并盡可能的把所有信息記錄到文檔中。，角色：應(yīng)急服務(wù)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組。，內(nèi)容：⑴事故總結(jié)；⑵事故報(bào)告；，輸出：《應(yīng)急響應(yīng)報(bào)告表》、《》事故總結(jié)，應(yīng)急服務(wù)提供者應(yīng)及時(shí)檢查安全事件處理記錄是否齊全，是否具備可塑性，并對事件處理過程進(jìn)行總結(jié)和分析；，應(yīng)急處理總結(jié)的具體工作包括但不限于以下幾項(xiàng):/事件發(fā)生的現(xiàn)象總結(jié)；,事件發(fā)生的原因分析；/系統(tǒng)的損害程度評估；/事件損失估計(jì)；/采取的主要應(yīng)對措施；/相關(guān)的工具文檔（如專項(xiàng)預(yù)案、方案等）歸檔。事故報(bào)告，應(yīng)急服務(wù)提供者應(yīng)向服務(wù)對象提供完備的網(wǎng)絡(luò)安全事件處理報(bào)告；上應(yīng)急服務(wù)提供者應(yīng)向服務(wù)對象提供網(wǎng)絡(luò)安全方面的措施和建議；上上述總結(jié)報(bào)告的具體信息參考Excel表《應(yīng)急響應(yīng)報(bào)告表》。時(shí)間創(chuàng)作:歐陽治網(wǎng)頁內(nèi)嵌惡意代碼事件；拒絕服務(wù)攻擊事件；.后門攻擊事件；漏洞攻擊事件；網(wǎng)絡(luò)掃描竊聽事件；.信息篡改事件；信息假冒事件；信息竊取事件。13服務(wù)原則在整個(gè)應(yīng)急響應(yīng)處理過程的中，本協(xié)會嚴(yán)格按照以下原則要求服務(wù)人員，并簽訂必要的保密協(xié)議。保密性原則應(yīng)急服務(wù)提供者應(yīng)對應(yīng)急處理服務(wù)過程中獲知的任何關(guān)于服務(wù)對象的系統(tǒng)信息承擔(dān)保密的責(zé)任和義務(wù)，不得泄露給第三方的單位和個(gè)人，不得利用這些信息進(jìn)行侵害服務(wù)對象的行為。規(guī)范性原則應(yīng)急服務(wù)提供者應(yīng)要求服務(wù)人員依照規(guī)范的操作流程進(jìn)行應(yīng)急處理服務(wù)，所有處理人員必須對各自的操作過程和結(jié)果進(jìn)行詳細(xì)的記錄，最終按照規(guī)范的報(bào)告格式提供完整的服務(wù)報(bào)告。最小影響原則應(yīng)急處理服務(wù)工作應(yīng)盡可能減少對原系統(tǒng)和網(wǎng)絡(luò)正常運(yùn)行的影響，盡量避免對原網(wǎng)絡(luò)運(yùn)行和業(yè)務(wù)正常運(yùn)轉(zhuǎn)產(chǎn)生顯著影響（包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)阻塞、服務(wù)中斷等），如無法避免，則必須向服務(wù)對象說明。第二部分應(yīng)急響應(yīng)組織保障角色的劃分本公司應(yīng)急響應(yīng)工作機(jī)構(gòu)按角色劃分為三個(gè)：應(yīng)急響應(yīng)負(fù)責(zé)人，應(yīng)急響應(yīng)技術(shù)人員，應(yīng)急響應(yīng)市場人員。信息安全事件發(fā)生后，在應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組的統(tǒng)一部署下，工作人員各施其職，并嚴(yán)格按照應(yīng)急響應(yīng)計(jì)劃組織實(shí)施應(yīng)急響應(yīng)工作。22角色的職責(zé)應(yīng)急響應(yīng)負(fù)責(zé)人：應(yīng)急響應(yīng)負(fù)責(zé)人是信息安全應(yīng)急響應(yīng)工作的組織領(lǐng)導(dǎo)機(jī)構(gòu)，組長應(yīng)由組織最高管理層成員擔(dān)任。負(fù)責(zé)人的職責(zé)是領(lǐng)導(dǎo)和決策信息安全應(yīng)急響應(yīng)的重大事宜，主要職責(zé)如下：a）制定工作方案；b）提供人員和物質(zhì)保證；c）審核并批準(zhǔn)經(jīng)費(fèi)預(yù)算；d）審核并批準(zhǔn)恢復(fù)策略；e）審核并批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃；f）批準(zhǔn)并監(jiān)督應(yīng)急響應(yīng)計(jì)劃的執(zhí)行；g）指導(dǎo)應(yīng)急響應(yīng)實(shí)施小組的應(yīng)急處置工作；h）啟動定期評審、修訂應(yīng)急響應(yīng)計(jì)劃以及負(fù)責(zé)組織的外部協(xié)作。應(yīng)急響應(yīng)技術(shù)人員，其主要職責(zé)如下：a）編制應(yīng)急響應(yīng)計(jì)劃文檔；b）應(yīng)急響應(yīng)的需求分析，確定應(yīng)急策略和等級以及策略的實(shí)現(xiàn)