國家信息安全應(yīng)急響應(yīng)計劃標(biāo)準(zhǔn)制定

國家信息平安應(yīng)急響應(yīng)方案標(biāo)準(zhǔn)制定研究摘要信息平安是國家平安的重要組成局部，信息平安應(yīng)急響應(yīng)工作是保障信息系統(tǒng)平安的重要手段。本文在研究應(yīng)急響應(yīng)標(biāo)準(zhǔn)及有關(guān)技術(shù)的根底上，對信息平安應(yīng)急響應(yīng)方案國家標(biāo)準(zhǔn)的應(yīng)用進行了重點研究分析。本文的主要工作有以下幾方面：1.通過分析信息平安應(yīng)急響應(yīng)相關(guān)組織和標(biāo)準(zhǔn)，對國內(nèi)外信息平安應(yīng)急響應(yīng)標(biāo)準(zhǔn)現(xiàn)狀進行了分析和評價，提出我國應(yīng)急響應(yīng)標(biāo)準(zhǔn)未來研究路線的建議。2.詳細(xì)分析了信息平安應(yīng)急響應(yīng)方案國家標(biāo)準(zhǔn)的制定背景，制定了國家信息平安應(yīng)急響應(yīng)方案標(biāo)準(zhǔn)標(biāo)準(zhǔn)，并指出了該標(biāo)準(zhǔn)與我國其他相關(guān)信息平安標(biāo)準(zhǔn)的關(guān)聯(lián)性，明確了標(biāo)準(zhǔn)制定的現(xiàn)實意義。3.研究了制定信息平安事件應(yīng)急處理標(biāo)準(zhǔn)的必要性及現(xiàn)實意義，起草了信息平安事件處理標(biāo)準(zhǔn)草案，并通過具體例如對平安事件的一般處理過程進行了較全面的論述，同時指出下一步工作中需要重點研究的幾個問題。4.在對信息平安應(yīng)急響應(yīng)方案國家標(biāo)準(zhǔn)宣貫指南的制定背景及主要內(nèi)容進行分析說明的根底上，提出制定有效信息平安應(yīng)急響應(yīng)方案的應(yīng)用流程，并總結(jié)出標(biāo)準(zhǔn)應(yīng)用過程中需要注意的問題和條件。5.依據(jù)?信息平安技術(shù)信息平安應(yīng)急響應(yīng)方案標(biāo)準(zhǔn)?，制定出西安電子科技大學(xué)信息平安應(yīng)急響應(yīng)預(yù)案。目錄第一章引言第二章信息平安應(yīng)急響應(yīng)組織和標(biāo)準(zhǔn)第三章信息平安應(yīng)急響應(yīng)方案國家標(biāo)準(zhǔn)的制定第四章信息平安事件應(yīng)急處理標(biāo)準(zhǔn)草案的起草第五章信息平安應(yīng)急響應(yīng)方案國家標(biāo)準(zhǔn)的應(yīng)用第六章信息平安應(yīng)急響應(yīng)方案制定實例第七章結(jié)束語章節(jié)安排文章對信息平安應(yīng)急響應(yīng)組織和標(biāo)準(zhǔn)、信息平安應(yīng)急響應(yīng)方案國家標(biāo)準(zhǔn)、信息平安事件處理標(biāo)準(zhǔn)草案、信息平安應(yīng)急響應(yīng)方案國家標(biāo)準(zhǔn)宣貫指南等相關(guān)內(nèi)容進行了分析與研究。根據(jù)個人研究工作，論文分為六章，主要工作和內(nèi)容安排如下：第一章：引言。介紹我國應(yīng)急響應(yīng)標(biāo)準(zhǔn)化現(xiàn)狀、課題背景。第二章：信息平安應(yīng)急響應(yīng)組織和標(biāo)準(zhǔn)。概述了國內(nèi)外信息平安應(yīng)急響應(yīng)組織的開展現(xiàn)狀，以及應(yīng)急響應(yīng)標(biāo)準(zhǔn)的研究現(xiàn)狀，對國內(nèi)外信息平安應(yīng)急響應(yīng)相關(guān)標(biāo)準(zhǔn)進行了分析、研究和比較。第三章：信息平安應(yīng)急響應(yīng)方案國家標(biāo)準(zhǔn)的制定。本章首先對信息平安應(yīng)急響應(yīng)方案國家標(biāo)準(zhǔn)的制定背景、制定過程、標(biāo)準(zhǔn)的主要內(nèi)容進行了詳細(xì)研究和分析，并明確了信息平安應(yīng)急響應(yīng)方案國家標(biāo)準(zhǔn)與其它相關(guān)標(biāo)準(zhǔn)之間的關(guān)系。第四章：信息平安事件應(yīng)急處理標(biāo)準(zhǔn)草案的制定。首先分析了信息平安事件處理與應(yīng)急響應(yīng)方案之間的關(guān)系，研究了信息平安事件應(yīng)急處理標(biāo)準(zhǔn)的制定背景，并對標(biāo)準(zhǔn)草案的主體內(nèi)容進行了說明，最后指出下一步工作中的幾個重要問題。第五章：信息平安應(yīng)急響應(yīng)方案國家標(biāo)準(zhǔn)的應(yīng)用。闡述了信息平安應(yīng)急響應(yīng)方案國家標(biāo)準(zhǔn)宣貫指南的編制目的、意義，編制過程及其主要內(nèi)容，對標(biāo)準(zhǔn)在實際中的具體應(yīng)用進行了詳細(xì)說明。第六章：信息平安應(yīng)急響應(yīng)方案制定實例。提供了一個具體的信息平安應(yīng)急響應(yīng)方案編制例如，以實例形式講述如何制定標(biāo)準(zhǔn)有效的信息平安應(yīng)急響應(yīng)方案文檔。第七章：結(jié)束語。概括本文的主要工作以及創(chuàng)新之處，指出了有待于進一步開展的研究方向。第一章引言

?國家中長期科學(xué)和技術(shù)開展規(guī)劃綱〔2006-2021年〕?中指出，我國當(dāng)前應(yīng)以開展高可信網(wǎng)絡(luò)為重點，開發(fā)網(wǎng)絡(luò)信息平安技術(shù)及相關(guān)產(chǎn)品，建立信息平安技術(shù)保障體系，具備防范各種信息平安突發(fā)事件的技術(shù)能力。信息產(chǎn)業(yè)是我國當(dāng)前開展的重點領(lǐng)域，其中面向核心應(yīng)用的信息平安是優(yōu)先開展主題之一。一方面，根據(jù)中國公安部公共信息網(wǎng)絡(luò)平安監(jiān)察局所做的2021年度全國網(wǎng)絡(luò)信息平安狀況暨計算機病毒疫情調(diào)查顯示〔2007年5月至2021年5月〕，雖然中國網(wǎng)絡(luò)信息平安事件發(fā)生比例連續(xù)3年呈上升趨勢后今年略有下降，仍有62.7%的被調(diào)查單位發(fā)生過網(wǎng)絡(luò)平安事件，屢次發(fā)生網(wǎng)絡(luò)平安事件的比例為50％，屢次感染病毒的比例為66.8％。另一方面在計算機網(wǎng)絡(luò)領(lǐng)域不法分子除了利用網(wǎng)絡(luò)進行電子商務(wù)和信用卡詐騙等網(wǎng)絡(luò)經(jīng)濟犯罪外，還有可能進行其它更嚴(yán)重的破壞活動，如利用網(wǎng)絡(luò)對國家根底設(shè)施進行攻擊，破壞機場導(dǎo)航調(diào)度、能源、金融證券等重要系統(tǒng)，這些都會給國民經(jīng)濟乃至國家平安造成巨大損失。因此，在國家網(wǎng)絡(luò)化、信息化的大趨勢下，進一步加強對信息平安事件的應(yīng)急響應(yīng)和處理能力具有重要意義。第二章信息平安應(yīng)急響應(yīng)組織和標(biāo)準(zhǔn)

2.1國際應(yīng)急響應(yīng)組織的開展1998年11月，美國康奈爾大學(xué)學(xué)生莫里斯編寫一個―圣誕樹‖蠕蟲程序，可以利用英特網(wǎng)上計算機的sendmail的漏洞、fingerD的緩沖區(qū)溢出及REXE的漏洞進入系統(tǒng)并自我繁殖，鯨吞因特網(wǎng)的帶寬資源，造成全球10%的互聯(lián)計算機陷入癱瘓。這起計算機平安事件極大地震動了美國政府、軍方和學(xué)術(shù)界，被稱為“莫里斯事件〞。事件發(fā)生后，美國國防部高級方案研究署〔DARPA〕出資在卡內(nèi)基-梅隆大學(xué)〔CMU〕的軟件工程研究所〔SEI〕成立了計算機應(yīng)急響應(yīng)協(xié)調(diào)中心(CERT/CC)。該中心現(xiàn)在仍然由美國國防部支持，并且作為國際上的骨干組織積極開展相關(guān)方面的培訓(xùn)工作。在美國的推動下，全世界幾十個國家和地區(qū)都成立了計算機緊急響應(yīng)小組〔CERT〕或類似組織。1990年11月，由美國、英國等國發(fā)起，一些國家的CERT組織參與成立了計算機事件響應(yīng)與平安工作組論壇〔FIRST〕。亞太地區(qū)應(yīng)急響應(yīng)工作組成為APCERT。從組織結(jié)構(gòu)來說，這些CERT組織無一例外是由該國家或地區(qū)的政府倡導(dǎo)成立，大局部CERT組織的經(jīng)費來源于政府，也有一些經(jīng)費來自信息平安培訓(xùn)和成員的贊助。它們的主要任務(wù)是進行互聯(lián)網(wǎng)上的異常檢測，及時發(fā)現(xiàn)異常流量并進行早期的預(yù)警，協(xié)調(diào)事件的處理，通過公告和信息論壇的形式進行信息平安普及教育。某些國家還開展了內(nèi)容檢測，并通過政府、ISP、公眾、CERT組織共同參與的方式對緊急事件進行響應(yīng)。第二章信息平安應(yīng)急響應(yīng)組織和標(biāo)準(zhǔn)2.2我國應(yīng)急響應(yīng)組織的開展相比國外，我國信息平安事件響應(yīng)工作起步較晚。1999年5月，在CERNET建成5周年之際，清華大學(xué)信息網(wǎng)絡(luò)工程研究中心成立了中國第一個專門從事網(wǎng)絡(luò)平安應(yīng)急響應(yīng)的組織——中國教育和科研計算機網(wǎng)絡(luò)平安應(yīng)急響應(yīng)組〔CCERT〕。2001年成立了國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心〔CNCERT/CC〕2001年10月，信息產(chǎn)業(yè)部提出建立計算機緊急響應(yīng)體系，并且要求各互聯(lián)網(wǎng)運營單位成立緊急響應(yīng)組織，能夠加強合作、統(tǒng)一協(xié)調(diào)、互相配合。自此，我國的應(yīng)急體系應(yīng)運而生，雖然總的看來還處于邊學(xué)習(xí)邊實踐的起步階段，但是在2003年幾次大規(guī)模網(wǎng)絡(luò)平安事件的處理中，已經(jīng)發(fā)揮出明顯作用。2021年4月，為滿足奧運會期間北京城市信息平安各領(lǐng)域的平安需求，北京成立了全國首個城市信息平安應(yīng)急響應(yīng)與處置中心，該中心建立了病毒事件、網(wǎng)絡(luò)攻擊事件、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)事故、應(yīng)急資源保障等10個應(yīng)急組，確保及時發(fā)現(xiàn)、跟蹤、分析和確認(rèn)有重大危害的信息平安事件，并對其進行響應(yīng)，從而降低社會領(lǐng)域重要信息系統(tǒng)面臨的風(fēng)險和可能造成的損失。第二章信息平安應(yīng)急響應(yīng)組織和標(biāo)準(zhǔn)2.3信息平安應(yīng)急響應(yīng)標(biāo)準(zhǔn)現(xiàn)狀2.3.1國際研究現(xiàn)狀〔1〕1991年11月，美國國家標(biāo)準(zhǔn)與技術(shù)協(xié)會NIST制定了SP800-3：?建立計算機平安事件響應(yīng)能力?〔CSIRC〕。該標(biāo)準(zhǔn)討論了在建立和運行CSIRC時需要考慮的管理、技術(shù)和法律問題；〔2〕1998年6月，互聯(lián)網(wǎng)工程任務(wù)組〔IETF〕制定了RFC2350：?計算機平安應(yīng)急響應(yīng)期望?。該文檔的目的是為信息平安事件響應(yīng)的一些重要方面提供一個框架；〔3〕1998年12月，美國國家標(biāo)準(zhǔn)與技術(shù)協(xié)會NIST制定了SP800-18：?聯(lián)邦信息系統(tǒng)平安方案制定指南?，并于2006年2月發(fā)布了該標(biāo)準(zhǔn)的修訂版。該標(biāo)準(zhǔn)提供了與制定平安方案相關(guān)的知識，其中包括方案中可能涉及到的各種管理、運作和技術(shù)性控制措施的介紹；〔4〕2002年6月，美國國家標(biāo)準(zhǔn)與技術(shù)協(xié)會NIST制定了SP800-34：?信息技術(shù)系統(tǒng)應(yīng)急方案指南?。該標(biāo)準(zhǔn)為制定和維護信息系統(tǒng)應(yīng)急方案提供了根本的方案原那么和實務(wù)；〔5〕2004年1月，美國國家標(biāo)準(zhǔn)與技術(shù)協(xié)會NIST制定了SP800-61：?計算機平安事件處理指南?，并于2021年3月發(fā)布了該標(biāo)準(zhǔn)的修訂版。該標(biāo)準(zhǔn)詳述了響應(yīng)計算機平安事件的一般過程，并分別以處理拒絕效勞、惡意代碼、未授權(quán)訪問、不適當(dāng)?shù)氖褂靡约岸嘀仄桨彩录奶幚磉M行了具體描述；〔6〕2004年10月，國際標(biāo)準(zhǔn)化組織〔ISO〕和國際電工委員會〔IEC〕制定了ISO/IECTR18044-2004：?信息技術(shù)—平安技術(shù)—信息平安事件管理?。該標(biāo)準(zhǔn)描述了信息平安事件的管理過程，提供了規(guī)劃和制定信息平安事件管理策略和方案的指南，給出了管理信息平安事件和開展后續(xù)工作的相關(guān)過程和規(guī)程；〔7〕2004年11月，美國國家標(biāo)準(zhǔn)與技術(shù)協(xié)會NIST制定了SP800-72：?PDA取證指南?。該標(biāo)準(zhǔn)為PDA上的數(shù)字證據(jù)的保存、獲取、測試、分析和報告等提供了根本指導(dǎo)；〔8〕2005年11月，美國國家標(biāo)準(zhǔn)與技術(shù)協(xié)會NIST制定了SP800-83：?惡意代碼事件預(yù)防和處理指南?。該標(biāo)準(zhǔn)重點就惡意代碼分類、惡意代碼事件預(yù)防和惡意代碼事件響應(yīng)進行了詳細(xì)描述和說明；〔9〕2006年9月，美國國家標(biāo)準(zhǔn)與技術(shù)協(xié)會NIST制定了SP800-84：?信息系統(tǒng)方案和能力的測試、培訓(xùn)和演練指南?。該標(biāo)準(zhǔn)為組織設(shè)計、制定、管理和評測信息系統(tǒng)方案提供指南；〔10〕2006年8月，美國國家標(biāo)準(zhǔn)與技術(shù)協(xié)會NIST制定了SP800-86：?應(yīng)急響應(yīng)整體取證技術(shù)指南?。該標(biāo)準(zhǔn)就計算機和網(wǎng)絡(luò)的整體取證技術(shù)進行了描述和說明，目的是幫助負(fù)責(zé)調(diào)查計算機平安事件和排除信息技術(shù)操作問題的組織提供取證的實踐指導(dǎo)；〔11〕2007年5月，美國國家標(biāo)準(zhǔn)與技術(shù)協(xié)會NIST制定了SP800-101：?取證指南?。該標(biāo)準(zhǔn)為上的數(shù)字證據(jù)的保存、獲取、測試、分析和報告等提供了根本指導(dǎo)〔1〕GB/Z20985-2007?信息技術(shù)平安技術(shù)信息平安事件管理指南?，該標(biāo)準(zhǔn)對應(yīng)于國際標(biāo)準(zhǔn)ISO/IECTR18044:2004?信息技術(shù)—平安技術(shù)—信息平安事件管理?。標(biāo)準(zhǔn)描述了信息平安事件的管理過程，提供了規(guī)劃和制定信息平安事件管理策略和方案的指南，給出了管理信息平安事件和開展后續(xù)工作的相關(guān)過程和規(guī)程；〔2〕GB/Z20986-2007?信息平安事件分類分級指南?，該標(biāo)準(zhǔn)規(guī)定了信息平安事件的分類分級標(biāo)準(zhǔn)，用于信息平安事件的防范與處置，為事前準(zhǔn)備、事中應(yīng)對、事后處理提供一個根底指南，可供信息系統(tǒng)的運營和使用單位以及信息平安主管部門參考使用；〔3〕GB/T20988-2007?信息系統(tǒng)災(zāi)難恢復(fù)指南?，該標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)災(zāi)難恢復(fù)應(yīng)遵循的根本要求，適用于信息系統(tǒng)災(zāi)難恢復(fù)的規(guī)劃、審批、實施和管理；〔4〕GB/TXXXX?信息平安技術(shù)信息平安應(yīng)急響應(yīng)方案標(biāo)準(zhǔn)?，該標(biāo)準(zhǔn)目前處于報批稿階段，標(biāo)準(zhǔn)概述了編制信息平安應(yīng)急響應(yīng)方案的前期準(zhǔn)備，確立了信息平安應(yīng)急響應(yīng)方案文檔的根本要素、內(nèi)容要求和格式標(biāo)準(zhǔn)，適用于包括整個組織、組織中的部門和組織的信息系統(tǒng)〔包括網(wǎng)絡(luò)系統(tǒng)〕的各層面上的信息平安應(yīng)急響應(yīng)方案2.3.2國內(nèi)研究現(xiàn)狀第三章信息平安應(yīng)急響應(yīng)方案國家標(biāo)準(zhǔn)的制定

3.1應(yīng)急響應(yīng)與應(yīng)急響應(yīng)方案應(yīng)急響應(yīng)〔EmergencyResponse或IncidentResponse〕：是指一個組織為了應(yīng)對各種信息平安突發(fā)事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。應(yīng)急響應(yīng)方案〔EmergencyResponsePlan〕是指組織為了應(yīng)對突發(fā)/重大信息平安事件而編制的，對包括信息系統(tǒng)運行在內(nèi)的業(yè)務(wù)運行進行維持或恢復(fù)的策略和規(guī)程。信息平安應(yīng)急響應(yīng)方案的制定是一個周而復(fù)始、持續(xù)改進的過程，包含以下幾個階段：〔1〕應(yīng)急響應(yīng)方案的編制準(zhǔn)備；〔2〕編制應(yīng)急響應(yīng)方案文檔；〔3〕應(yīng)急響應(yīng)方案的測試、培訓(xùn)、演練和維護。應(yīng)急響應(yīng)方案與應(yīng)急響應(yīng)是相互補充與促進的關(guān)系。如圖3.1所示。圖3.1應(yīng)急響應(yīng)方案與應(yīng)急響應(yīng)的關(guān)系首先，應(yīng)急響應(yīng)方案為信息平安事件發(fā)生后的應(yīng)急響應(yīng)提供了指導(dǎo)策略和規(guī)程，否那么，應(yīng)急響應(yīng)將陷入混亂，而毫無章法的應(yīng)急響應(yīng)有可能造成比信息平安事件本身更大的損失。其次，應(yīng)急響應(yīng)可能發(fā)現(xiàn)事前應(yīng)急響應(yīng)方案的缺乏，從而吸取教訓(xùn)，進而進一步完善應(yīng)急響應(yīng)方案。因此，制定應(yīng)急響應(yīng)方案與應(yīng)急響應(yīng)是一個循環(huán)反復(fù)的過程。3.2應(yīng)急響應(yīng)方案國家標(biāo)準(zhǔn)的制定背景

在研究NISTSP800-34?信息技術(shù)系統(tǒng)應(yīng)急規(guī)劃指南?、NISTSP800-61?計算機平安事件處理指南?、GB/Z20985-2007?信息技術(shù)平安技術(shù)信息平安事件管理指南?、GB/T20988-2007?信息平安技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)標(biāo)準(zhǔn)?、GB/Z20986-2007?信息平安技術(shù)信息平安事件分類分級指南?、GB/T20984-2007?信息平安技術(shù)信息平安風(fēng)險評估標(biāo)準(zhǔn)?、GB/T22240-2021?信息系統(tǒng)平安等級保護定級指南?和GB/T22239-2021?信息系統(tǒng)平安等級保護根本要求?等國內(nèi)外主要信息平安標(biāo)準(zhǔn)的根底上，結(jié)合?國家通信保障應(yīng)急預(yù)案?和?上海市網(wǎng)絡(luò)與信息平安事件專項應(yīng)急預(yù)案?以及相關(guān)行業(yè)技術(shù)開展和實踐經(jīng)驗，參考和借鑒和參考國外標(biāo)準(zhǔn)的先進模式，學(xué)習(xí)信息平安應(yīng)急響應(yīng)的優(yōu)秀理論，充分考慮與國內(nèi)現(xiàn)有的其他應(yīng)急響應(yīng)相關(guān)標(biāo)準(zhǔn)和標(biāo)準(zhǔn)的協(xié)調(diào)問題，并充分考慮到我國信息平安技術(shù)開展和應(yīng)用的實際情況，在與國際銜接的同時，充分結(jié)合國情進行信息平安應(yīng)急響應(yīng)方案標(biāo)準(zhǔn)的制定工作。3.3應(yīng)急響應(yīng)方案國家標(biāo)準(zhǔn)的制定過程

〔1〕2006年12月，?信息平安技術(shù)信息平安應(yīng)急響應(yīng)方案標(biāo)準(zhǔn)?被全國信息平安標(biāo)準(zhǔn)化技術(shù)委員會正式立項，定性為國家推薦性標(biāo)準(zhǔn)；〔2〕2006年12月～2007年6月，首先研究、分析國內(nèi)外相關(guān)標(biāo)準(zhǔn)及動態(tài)，研究應(yīng)急響應(yīng)背景，包括應(yīng)急方案的目的、應(yīng)急方案的各種類型、以及怎樣把這些方案綜合到機構(gòu)的風(fēng)險管理和系統(tǒng)開發(fā)生命周期中去。接著在美國國家標(biāo)準(zhǔn)NISTSP800-34：2002?信息技術(shù)系統(tǒng)應(yīng)急響應(yīng)方案指南?翻譯稿的根底上，對原文本的局部內(nèi)容進行適當(dāng)?shù)恼{(diào)整和修改，并形成標(biāo)準(zhǔn)初稿，同時完成標(biāo)準(zhǔn)宣貫指南提綱；〔3〕2007年7月～2007年10月，在廣泛汲取專家意見的根底上，對標(biāo)準(zhǔn)進行了進一步的研究和分析，結(jié)合―國家通信保障應(yīng)急預(yù)案‖、―上海市網(wǎng)絡(luò)與信息平安事件專項應(yīng)急預(yù)案‖兩個應(yīng)急預(yù)案，并參考GB/Z20985-2007?信息技術(shù)平安技術(shù)信息平安事件管理指南?、GB/T20988-2007?信息平安技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)標(biāo)準(zhǔn)?、GB/Z20986-2007?信息平安技術(shù)信息平安事件分類分級指南?和GB/T20984-2007?信息平安技術(shù)信息平安風(fēng)險評估標(biāo)準(zhǔn)?等多個最新國家標(biāo)準(zhǔn)，對標(biāo)準(zhǔn)初稿進行了修訂，形成標(biāo)準(zhǔn)草稿；〔4〕2007年10月～2021年5月，在北京應(yīng)物會議中心接受了WG7工作組對標(biāo)準(zhǔn)草稿的三次檢查，在與會專家認(rèn)可標(biāo)準(zhǔn)主體內(nèi)容和研究目標(biāo)的根底上，與會專家對標(biāo)準(zhǔn)內(nèi)容進行細(xì)致的分析和探討，并就修改后的標(biāo)準(zhǔn)與公安部通報中心和北京知識平安工程中心等相關(guān)部門進行了認(rèn)真探討，結(jié)合征求意見階段收到的69條專家意見，對標(biāo)準(zhǔn)進行了屢次的修改，同時對標(biāo)準(zhǔn)宣貫指南也進行了相應(yīng)的修改和完善，形成征求意見稿；〔5〕2021年5月～2021年6月，信安標(biāo)委WG7工作組面向各成員單位對該標(biāo)準(zhǔn)進行了投票。在對接收到的標(biāo)準(zhǔn)修改意見進行了認(rèn)真分析之后，對標(biāo)準(zhǔn)進行了進一步的完善，從而形成標(biāo)準(zhǔn)送審稿。2021年6月13日，全國信息平安標(biāo)準(zhǔn)化技術(shù)委員會秘書處組織的專家審查組一致同意標(biāo)準(zhǔn)送審稿通過審查〔6〕2021年6月18日，標(biāo)準(zhǔn)最終形成標(biāo)準(zhǔn)報批稿。并向WG7工作組提交了標(biāo)準(zhǔn)報批稿、標(biāo)準(zhǔn)編制說明、意見匯總處理表和標(biāo)準(zhǔn)宣貫指南。3.4應(yīng)急響應(yīng)方案國家標(biāo)準(zhǔn)的主要內(nèi)容

應(yīng)急響應(yīng)方案國家標(biāo)準(zhǔn)由前引局部、正文局部和補充局部三局部組成。標(biāo)準(zhǔn)的組織結(jié)構(gòu)如圖3.2所示。前引局部概括了標(biāo)準(zhǔn)的有關(guān)情況，其中包括標(biāo)準(zhǔn)的適用范圍、標(biāo)準(zhǔn)性引用文件、術(shù)語和定義、縮略語等；正文局部是標(biāo)準(zhǔn)的核心局部，在標(biāo)準(zhǔn)中具有重要的作用，直接關(guān)系到標(biāo)準(zhǔn)的編制質(zhì)量和實用價值。其中包括應(yīng)急響應(yīng)方案的編制準(zhǔn)備，編制應(yīng)急響應(yīng)方案文檔，以及應(yīng)急響應(yīng)方案的測試、培訓(xùn)、演練與維護；補充局部是對標(biāo)準(zhǔn)正文局部內(nèi)容所做的進一步的補充，為標(biāo)準(zhǔn)的理解和實施提供了相關(guān)信息。附錄A提供了一個XX大學(xué)信息平安應(yīng)急響應(yīng)方案的編制例如，附錄B提供了一個業(yè)務(wù)影響分析〔BIA〕例如，附錄C提供了一個業(yè)務(wù)影響分析〔BIA〕模板，附錄D提供了一個呼叫樹例如和一個聯(lián)系人清單表。3.5標(biāo)準(zhǔn)與我國其它相關(guān)信息平安標(biāo)準(zhǔn)的關(guān)聯(lián)性

3.5.1與本標(biāo)準(zhǔn)相關(guān)的系列信息平安標(biāo)準(zhǔn)〔1〕GB/T20988-2007?信息平安技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)標(biāo)準(zhǔn)?；〔2〕GB/Z20985-2007?信息技術(shù)平安技術(shù)信息平安事件管理指南?；〔3〕GB/Z20986-2007?信息平安技術(shù)信息平安事件分類分級指南?；〔4〕GB/T20984-2007?信息平安技術(shù)信息平安風(fēng)險評估標(biāo)準(zhǔn)?；〔5〕GB/T22240-2021?信息平安技術(shù)信息系統(tǒng)平安等級保護定級指南?；〔6〕GB/T22239-2021?信息平安技術(shù)信息系統(tǒng)平安等級保護根本要求?。3.5.2本標(biāo)準(zhǔn)和其它相關(guān)標(biāo)準(zhǔn)的關(guān)系

GB/T20988-2007?信息平安技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)標(biāo)準(zhǔn)?：該標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)災(zāi)難恢復(fù)應(yīng)遵循的根本要求，適用于信息系統(tǒng)災(zāi)難恢復(fù)的規(guī)劃、審批、實施和管理。為?信息平安技術(shù)信息平安應(yīng)急響應(yīng)方案標(biāo)準(zhǔn)?中系統(tǒng)恢復(fù)能力等級劃分和系統(tǒng)恢復(fù)資源的要求提供了標(biāo)準(zhǔn)依據(jù)。GB/Z20985-2007?信息技術(shù)平安技術(shù)信息平安事件管理指南?：該標(biāo)準(zhǔn)描述了信息平安事件的管理過程，提供了規(guī)劃和制定信息平安事件管理策略和方案的指南，給出了管理信息平安事件和開展后續(xù)工作的相關(guān)過程和規(guī)程。該標(biāo)準(zhǔn)可用于指導(dǎo)信息平安管理者，信息系統(tǒng)、效勞和網(wǎng)絡(luò)管理者對信息平安事件的管理。該標(biāo)準(zhǔn)與?信息平安技術(shù)信息平安應(yīng)急響應(yīng)方案標(biāo)準(zhǔn)?互相補充。GB/Z20986-2007?信息平安技術(shù)信息平安事件分類分級指南?：該標(biāo)準(zhǔn)為信息平安事件的分類分級提供指導(dǎo)，用于信息平安事件的防范與處置，為事前準(zhǔn)備、事中應(yīng)對、事后處理提供一個根底指南，可供信息系統(tǒng)和根底信息傳輸網(wǎng)絡(luò)的運營和使用單位以及信息平安主管部門參考使用。為?信息平安技術(shù)信息平安應(yīng)急響應(yīng)方案標(biāo)準(zhǔn)?中事件分類和事件定級提供了標(biāo)準(zhǔn)依據(jù)。GB/T20984-2007?信息平安技術(shù)信息平安風(fēng)險評估標(biāo)準(zhǔn)?：該標(biāo)準(zhǔn)提出了風(fēng)險評估的根本概念、要素關(guān)系、分析原理、實施流程和評估方法，以及風(fēng)險評估在信息系統(tǒng)生命周期不同階段的實施要點和工作形式。該標(biāo)準(zhǔn)適用于標(biāo)準(zhǔn)組織開展的風(fēng)險評估工作。該標(biāo)準(zhǔn)為?信息平安技術(shù)信息平安應(yīng)急響應(yīng)方案標(biāo)準(zhǔn)?中的風(fēng)險評估提供了標(biāo)準(zhǔn)依據(jù)。整體上來看?，信息平安技術(shù)信息平安應(yīng)急響應(yīng)方案標(biāo)準(zhǔn)?和GB/T20988-2007?信息平安技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)標(biāo)準(zhǔn)?、GB/Z20986-2007?信息平安技術(shù)信息平安事件分類分級指南?、GB/Z20985-2007?信息技術(shù)平安技術(shù)信息平安事件管理指南?、GB/T20984-2007?信息平安技術(shù)信息平安風(fēng)險評估標(biāo)準(zhǔn)?、GB/T22240-2021?信息平安技術(shù)信息系統(tǒng)平安等級保護定級指南?、GB/T22239-200?信息平安技術(shù)信息系統(tǒng)平安等級保護根本要求?等一系列標(biāo)準(zhǔn)緊密相聯(lián)、互為補充。3.6標(biāo)準(zhǔn)制定的現(xiàn)實意義標(biāo)準(zhǔn)的制定將使信息平安事件能得到及時有效處理，并能及時總結(jié)應(yīng)急響應(yīng)過程中的經(jīng)驗和教訓(xùn)，改進信息平安事件的預(yù)防措施以及提高應(yīng)急響應(yīng)的處理能力，將損失降低到最少。標(biāo)準(zhǔn)的制定對我國信息平安應(yīng)急響應(yīng)體系的建設(shè)具有積極的推動作用和重要的指導(dǎo)作用。標(biāo)準(zhǔn)的出臺將為組織編制應(yīng)急響應(yīng)方案提供有效的指導(dǎo)。依據(jù)應(yīng)急響應(yīng)方案國家標(biāo)準(zhǔn)，組織結(jié)合自身的實際情況，并在與其內(nèi)部策略相符的前提下制定本單位的信息平安應(yīng)急響應(yīng)方案。應(yīng)急響應(yīng)方案國家標(biāo)準(zhǔn)預(yù)計將成為我國重要的信息平安技術(shù)標(biāo)準(zhǔn)，并為國家信息平安保障提供強有力的技術(shù)支持。第四章信息平安事件應(yīng)急處理標(biāo)準(zhǔn)草案的起草

4.1平安事件處理與應(yīng)急方案計算機平安事件可能由計算機病毒、其它惡意代碼、內(nèi)部或外部的系統(tǒng)入侵者導(dǎo)致。它可以特指那些在沒有技術(shù)專家響應(yīng)時會造成嚴(yán)重?fù)p害的事件。計算機平安事件這種定義的不確定性有些太強，在不同的機構(gòu)或計算環(huán)境中所表示的可能會有所不同。事件處理與應(yīng)急方案以及支持和運作緊密相連。事件處理能力可以被視為應(yīng)急方案的組件，因為它處理和響應(yīng)諸如病毒或黑客之類的技術(shù)威脅，提供了對正常處理過程中斷提供快速有效響應(yīng)的能力。廣義地講，應(yīng)急方案涉及到所有可能會中斷系統(tǒng)運作的事件。事件處理可以被考慮為應(yīng)急方案中響應(yīng)惡意技術(shù)威脅的局部。4.2信息平安事件應(yīng)急處理標(biāo)準(zhǔn)草案的制定背景

隨著互聯(lián)網(wǎng)業(yè)務(wù)的快速開展，每年都有新的效勞系統(tǒng)的平安漏洞被黑客開掘出來實施網(wǎng)絡(luò)攻擊。從根本上講，在互聯(lián)網(wǎng)的現(xiàn)實環(huán)境中是不存在絕對平安的系統(tǒng)的，任何一個系統(tǒng)總是存在被攻陷的可能性。事實上很多時候恰恰是在系統(tǒng)被攻陷后，人們才得以發(fā)現(xiàn)系統(tǒng)中存在的薄弱環(huán)節(jié)，進而把系統(tǒng)的平安防護提高到一個更高的水平。因此，如何處理平安事件是平安防范過程中一個不可回避的重要問題。我國目前還沒有信息平安事件處理方面的相關(guān)標(biāo)準(zhǔn)出臺，要到達上述對網(wǎng)絡(luò)攻擊事件的處理要求還存在著相當(dāng)大的難度，因為很多時候都不清楚問題所在和應(yīng)當(dāng)做什么，攻擊事件發(fā)生后整個局面存在著隨時陷入失控狀態(tài)的危險。為了更加有效地處理平安事件，將損失降低到最小，制定信息平安事件處理標(biāo)準(zhǔn)是目前勢在必行的一項工作。4.3信息平安事件應(yīng)急處理標(biāo)準(zhǔn)草案的主要內(nèi)容信息平安事件應(yīng)急處理草案對信息平安事件進行快速有效響應(yīng)提供了實際指南，旨在減少平安事件對組織產(chǎn)生的影響。草案主體有三局部內(nèi)容組成：建立平安事件響應(yīng)能力、平安事件處理過程、常見平安事件〔拒絕效勞攻擊事件、惡意代碼事件、非授權(quán)訪問事件、不當(dāng)使用事件和多重組合事件〕的處理。4.3.1建立平安事件響應(yīng)能力

1、事件系統(tǒng)或網(wǎng)絡(luò)中發(fā)生的事件都是可以觀察到的。用戶連接到共享文件，效勞器收到一個網(wǎng)頁請求，用戶發(fā)送電子郵件，防火墻阻止連接嘗試都可以稱之為事件。不良事件是具有負(fù)面作用的事件，如系統(tǒng)崩潰，網(wǎng)絡(luò)數(shù)據(jù)包洪流，使用未經(jīng)授權(quán)的系統(tǒng)特權(quán)，敏感數(shù)據(jù)的未經(jīng)授權(quán)訪問，破壞數(shù)據(jù)的惡意代碼。計算機平安事件是違反了計算機平安政策、可執(zhí)行政策或標(biāo)準(zhǔn)平安實踐所造成的威脅或即將來臨的威脅。2、事件響應(yīng)需求由于攻擊的頻繁發(fā)生導(dǎo)致個人和業(yè)務(wù)數(shù)據(jù)大量損失，事件響應(yīng)變得非常必要。涉及病毒﹑蠕蟲﹑特洛伊木馬﹑間諜軟件以及其他形式的惡意代碼事件，擾亂或破壞了世界各地上以百萬計的系統(tǒng)和網(wǎng)絡(luò)。被人們高度關(guān)注的國家平安以及個人身份信息的暴露也引起了人們對計算機攻擊所產(chǎn)生的影響的重視。為了解決這些威脅，計算機平安事件響應(yīng)的概念已被政府、企業(yè)以及學(xué)術(shù)界所廣泛認(rèn)識和研究。3、事件響應(yīng)策略、方案和程序的制定〔p29-31〕〔1〕策略要點〔2〕方案要點〔3〕程序要點4.3.2平安事件處理〔p31〕平安事件響應(yīng)過程從啟動準(zhǔn)備工作，檢測和分析，限制、消除和恢復(fù)，事件后分析這幾個階段，如圖4.1。4.4平安事件處理例如4.4.1事件的定義和舉例拒絕效勞攻擊〔DoS〕是通過消耗CPU、內(nèi)存、帶寬或磁盤空間阻礙或破壞網(wǎng)絡(luò)、系統(tǒng)或應(yīng)用程序的合法使用。DoS攻擊的一些例子：〔1〕通過產(chǎn)生異常大的流量來占用所有可利用的網(wǎng)絡(luò)帶寬；〔2〕向效勞器發(fā)送大量畸形的TCP/IP數(shù)據(jù)包導(dǎo)致其操作系統(tǒng)崩潰；〔3〕向應(yīng)用程序發(fā)送非法請求使其崩潰；〔4〕發(fā)出許多消耗處理器資源的請求，這樣處理器的資源被完全消耗殆盡；〔5〕在遠程效勞器上同時創(chuàng)立大量的注冊登錄會話，使其它用戶無法開始登錄會話；〔6〕在無線網(wǎng)絡(luò)的同一頻率上進行播送，使網(wǎng)絡(luò)無法使用；〔7〕通過創(chuàng)立許多大型文件，占滿磁盤空間。下面對三種類型的DDoS攻擊進行詳細(xì)的介紹：反射器攻擊，放大器攻擊，洪水攻擊?！瞤34〕1、反射器攻擊2、放大器攻擊3、洪水攻擊4.4.2準(zhǔn)備工作

1、平安事件的處理準(zhǔn)備〔1〕與組織的因特網(wǎng)效勞提供商〔ISP〕及其次級效勞商溝通。在處理基于網(wǎng)絡(luò)的DoS攻擊時，他們可以提供的幫助可能包括對網(wǎng)絡(luò)流量進行過濾或限制〔比方可以阻塞某個特定IP源地址或是對進入的ICMP流量配置上限〕、提供DoS流量日志、追蹤攻擊來源。并明確建立組織在向ISP及其次級效勞商尋求幫助的時候應(yīng)該遵循的流程〔2〕考慮調(diào)查參與對一個影響很多組織的大范圍DoS攻擊進行協(xié)作響應(yīng)的可行性。比方，組織之間可以通過一個中心平安事件響應(yīng)實體來迅速交換與這類攻擊相關(guān)的信息，該實體可以向受影響的組織提供要落實的應(yīng)對方法，這可以讓組織更快更有效地限制平安事件；〔3〕部署并配置入侵檢測軟件來檢測DoS或DDoS攻擊。網(wǎng)絡(luò)入侵檢測軟件都有可以識別各種DoS和DDoS攻擊的特征碼，應(yīng)該激活這些特征碼并加以適當(dāng)調(diào)整，以便在相當(dāng)精確度上檢測攻擊。要想檢測進入的基于網(wǎng)絡(luò)的攻擊，組織還需要在外部防火墻之外再部署一個入侵檢測器。此外，組織還應(yīng)該與其ISP就入侵檢測展開討論，因為有些攻擊可以控制ISP網(wǎng)絡(luò)資源，甚至不用到達組織的邊界路由器，ISP就能夠進行流量監(jiān)視，檢測在ISP網(wǎng)絡(luò)上發(fā)生的DoS攻擊；〔4〕對網(wǎng)絡(luò)中正在運行的資源進行監(jiān)視，建立網(wǎng)絡(luò)帶寬利用率和主機資源利用率基線。當(dāng)嚴(yán)重偏離基線時，就對它進行日志記錄或是報警；〔5〕確定網(wǎng)站提供不同ISP之間和不同地理位置之間的延時統(tǒng)計。通常這被稱為因特網(wǎng)健康監(jiān)視。當(dāng)發(fā)生基于網(wǎng)絡(luò)的DoS攻擊時，平安事件處理人員能夠使用這些網(wǎng)站來判斷類似攻擊是否正在影響其它組織〔比方一個蠕蟲有可能會導(dǎo)致一個區(qū)域的網(wǎng)絡(luò)混亂〕；〔6〕與網(wǎng)絡(luò)根底設(shè)施管理員面談，討論他們在對基于網(wǎng)絡(luò)的DoS和DDoS攻擊進行限制和分析方面如何給予幫助。比方在網(wǎng)絡(luò)被攻擊時，管理員可以對日志記錄方式進行調(diào)整〔比方：對某種特定行為收集更多的信息〕。管理員在證據(jù)保護方面，比方獲取日志副本時提供幫助；〔7〕保存本地所有對處理DoS攻擊可能有用的基于主機的信息副本，以防在平安事件過程中喪失。2、平安事件的預(yù)防〔1〕配置邊界路由阻擋所有沒有被明確允許的進出流量〔2〕對某些協(xié)議實行比例限制。比方ICMP，使它們在任何時候都只能占用一定比例的總帶寬。比例限制的方法可以應(yīng)用在組織的邊界設(shè)備上〔比方：邊界路由器防火墻或由組織的ISP實現(xiàn)〔3〕對于與因特網(wǎng)連接的主機，要禁用一切不必要的效勞，并對可以被DoS攻擊的效勞的使用進行限制；〔4〕使用防DoS攻擊的軟件。這類軟件可以研究網(wǎng)絡(luò)流量模式，檢測重大偏離并據(jù)此禁止網(wǎng)絡(luò)流量。不幸的是，DoS異常檢測仍不很準(zhǔn)確，這使得它有可能禁止合法流量，或是放過了真正的DoS攻擊；〔5〕對關(guān)鍵的應(yīng)用和設(shè)備實現(xiàn)冗余配置〔比方多個ISP、防火墻、Web效勞器〕；〔6〕確保系統(tǒng)和網(wǎng)絡(luò)的資源沒有到達最大能力，否那么一個小型DoS攻擊就可以占用完剩余資源。4.4.3檢測和分析

DoS攻擊可以通過特定的前兆和跡象來檢測到。表4.1，拒絕效勞攻擊的跡象，列出了諸如基于網(wǎng)絡(luò)的DDoS攻擊、針對操作系統(tǒng)的DoS攻擊、針對應(yīng)用的DoS攻擊等惡意行為及其可能跡象。表4.2，拒絕效勞攻擊的前兆，列出了在發(fā)生DoS攻擊之前可能出現(xiàn)的前兆，并對預(yù)防相關(guān)平安事件發(fā)生提出了應(yīng)對建議。組織很容易對這兩個表進行裁減，使其包含與具體環(huán)境相關(guān)的前兆和跡象，這將使平安事件的處理過程變得更簡捷更有效。4.4.4限制、消除和恢復(fù)〔p.40〕

1、選擇限制策略2、證據(jù)收集和處理4.4.5平安事件核對表

表4.3中的核對表提供了處理DoS平安事件的主要步驟。需要注意的是，根據(jù)每個平安事件的性質(zhì)、組織所選擇的策略，表中所列出的步驟順序也可以不同。表4.3中的核對表提供了處理DoS平安事件的主要步驟。需要注意的是，根據(jù)每個平安事件的性質(zhì)、組織所選擇的策略，表中所列出的步驟順序也可以不同。4.4.6建議

配置防火墻的規(guī)那么阻止反射器式攻擊：大多數(shù)反射器式攻擊可以通過配置基于主機和基于網(wǎng)絡(luò)的防火墻規(guī)那么集拒絕可疑的―源—目標(biāo)‖端口組合來加以防止。通過配置邊界路由器來阻止放大器式攻擊：通過配置邊界路由器不轉(zhuǎn)發(fā)指定播送可以阻止放大器式攻擊。確定在處理基于網(wǎng)絡(luò)的DoS攻擊時，組織ISP和二級效勞商如何能夠提供幫助：ISP可以對特定的流量進行過濾和限制，緩解或是阻止DoS攻擊。他們還可以提供DoS流量日志，這可能有助于追蹤攻擊源頭。組織應(yīng)該提前會見ISP，建立流程來提出請求幫助。配置平安軟件來檢測DoS攻擊：入侵檢測軟件可以檢測出很多種DoS活動。建立網(wǎng)絡(luò)和系統(tǒng)的活動基線，監(jiān)視對這些基線的重大偏離，這樣對檢測攻擊非常的有用。配置網(wǎng)絡(luò)邊界拒絕沒有被明確許可的進出流量：通過限制可以進出環(huán)境的流量類型，組織可以限制攻擊者在DoS攻擊中可以使用的方法。制定限制策略[37]，包括順序排列的幾個解決方案：如果已經(jīng)預(yù)先確定了建議方案的話，那么限制DoS平安事件的決策過程就很容易。因為每個可能方案的有效性會因為平安事件的不同而不同，組織應(yīng)該選擇幾個解決方案，并確定順序。第五章信息平安應(yīng)急響應(yīng)方案國家標(biāo)準(zhǔn)的應(yīng)用

5.1信息平安應(yīng)急響應(yīng)方案國家標(biāo)準(zhǔn)宣貫指南的制定背景1984年7月，―全國計算機與信息處理標(biāo)準(zhǔn)化技術(shù)委員會“下設(shè)了―數(shù)據(jù)加密分技術(shù)委員會〞，從事國內(nèi)外的信息技術(shù)數(shù)據(jù)加密的標(biāo)準(zhǔn)化工作。1997年8月，該委員會改組為“信息技術(shù)平安分技術(shù)委員會〞。2002年4月15日成立了―全國信息平安標(biāo)準(zhǔn)化技術(shù)委員會‖，負(fù)責(zé)全國信息平安技術(shù)、平安機制、平安效勞和平安評估等領(lǐng)域的標(biāo)準(zhǔn)化工作。GB/T19713-2005?信息技術(shù)平安技術(shù)公鑰根底設(shè)施在線證書狀態(tài)協(xié)議?、GB/T19714-2005?信息技術(shù)平安技術(shù)公鑰根底設(shè)施證書管理協(xié)議?、GB/19716-2005?信息技術(shù)信息平安管理實用規(guī)那么?、GB/T20270-2006?信息平安技術(shù)網(wǎng)絡(luò)根底平安技術(shù)要求?等一系列信息平安標(biāo)準(zhǔn)的制定和公布，為信息平安的開展奠定了根底。5.2宣貫指南內(nèi)容概述

首先介紹了?信息平安技術(shù)信息平安應(yīng)急響應(yīng)方案標(biāo)準(zhǔn)?的編制背景、技術(shù)依據(jù)以及主要內(nèi)容，然后對標(biāo)準(zhǔn)的目標(biāo)和作用、標(biāo)準(zhǔn)的適用范圍、標(biāo)準(zhǔn)的一些根本概念以及標(biāo)準(zhǔn)的組成局部進行了簡要說明，接著重點對標(biāo)準(zhǔn)中的主要內(nèi)容進行了詳細(xì)分析，最后對標(biāo)準(zhǔn)的應(yīng)用進行了相應(yīng)說明。為了讓讀者更好的理解和實施?信息平安技術(shù)信息平安應(yīng)急響應(yīng)方案標(biāo)準(zhǔn)?，附錄局部提供了一個信息平安應(yīng)急響應(yīng)方案例如——XX大學(xué)信息平安應(yīng)急響應(yīng)預(yù)案、一個業(yè)務(wù)影響分析〔BIA〕例如、一個業(yè)務(wù)影響分析〔BIA〕模板，另外還附有?國家通信保障應(yīng)急預(yù)案?和?上海市網(wǎng)絡(luò)與信息平安事件專項應(yīng)急預(yù)案?等應(yīng)急響應(yīng)預(yù)案。5.3應(yīng)急響應(yīng)方案國家標(biāo)準(zhǔn)應(yīng)用說明〔p.46〕5.3.1標(biāo)準(zhǔn)應(yīng)用流程5.3.2使用說明5.3.3注意的問題5.3.4需要的條件5.4信息平安應(yīng)急響應(yīng)方案例如

第六章將提供一個信息平安應(yīng)急響應(yīng)方案的編制例如，以實例形式講述如何制定標(biāo)準(zhǔn)有效的信息平安應(yīng)急響應(yīng)方案文檔。組織可以參考該編制例如，并結(jié)合自身的實際情況制定本單位的信息平安應(yīng)急響應(yīng)預(yù)案。第六章信息平安應(yīng)急響應(yīng)方案制定實例

本章以西安電子科技大學(xué)為例，以實例形式講述如何制定應(yīng)急響應(yīng)方案。大學(xué)校園網(wǎng)作為效勞于教育、科研和行政管理的計算機網(wǎng)絡(luò)，實現(xiàn)了校園內(nèi)連網(wǎng)、信息共享，并與Internet互聯(lián)。隨著各高校網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長，校園網(wǎng)平安問題已經(jīng)成為當(dāng)前各高校網(wǎng)絡(luò)建設(shè)中不可無視的首要問題。高校在信息平安事件爆發(fā)后，啟動預(yù)先準(zhǔn)備的應(yīng)急響應(yīng)方案不僅能使信息系統(tǒng)盡快恢復(fù)到正常運行狀態(tài)，最大限度地減少損失和影響，而且有利于危機過后的快速恢復(fù)。因此，編制一套科學(xué)完備、切實可行的應(yīng)急響應(yīng)預(yù)案對高校校園網(wǎng)絡(luò)的正常運行有著十分重要的作用。6.1總那么(p.53)(1)編制目的(2)編制依據(jù)(3)適用范圍(4)工作原那么6.2角色及職責(zé)

1、角色的劃分及職責(zé)〔1〕應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組〔2〕應(yīng)急響應(yīng)實施小組〔3〕應(yīng)急響應(yīng)日常運行小組〔由學(xué)校網(wǎng)絡(luò)信息中心承擔(dān)2、組織的外部協(xié)作依據(jù)校園信息平安事件的影響程度，如需向上級部門及時通報準(zhǔn)確情況或向其它單位尋求支持時，應(yīng)與相關(guān)管理部門以及外部組織機構(gòu)保持聯(lián)絡(luò)和協(xié)作。外部組織和機構(gòu)主要包括國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心〔CNCERT/CC〕西北地區(qū)分中心、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理