網絡安全應急響應服務方案

2準備階段(Preparation) 6 3檢測階段(Examination) 11 4抑制階段(Suppresses) 17 5根除階段(Eradicates) 19 6恢復階段(Restoration) 21 7總結階段(Summary) 237.1交付.....................................................................................................................231.1服務范圍為采購人提供安全事件應急響應和處理服務，在發(fā)生信息破壞事件(篡改、站漏洞事件等信息安全事件時，提1.2服務流程及內容(Examination)>抑制階段(Suppresses)>根除階段(Eradicates)>恢復階段(Restoration)>總結階段(Summary)。如下圖所示：制定工作方案和計劃，監(jiān)督和指導其他小組的工作技術人員準備工作工作服務需求的確定，主機和網工具包和必要技術的準備建立預防預警機制、及時進行信息系統檢測和異常上報現場實施小人員的確定現場勘查確定檢測方案并施是是的專項預案否確定和認可抑制的方案并進行抑制的實施確定和認可根除的方法并進行根除的實施根據確定的恢復方案進行信息系統的恢復程并進行總結告為服務對象提出安全建議2準備階段(Preparation)2.1負責人準備內容2.2技術人員準備內容(一)服務需求界定(1)應急響應小組應了解應急服務對象的各項業(yè)務功能及其之間的相關性，(2)對服務對象的信息系統，包括應用程序，服務器，網絡及任何管理和(3)應急響應小組采用定性或者定量的方法，對業(yè)務中斷、系統宕機、網絡(4)應急響應小組協助服務對象建立適當的應急響應策略，應提供在業(yè)務(5)應急響應小組為服務對象提供相關的培訓服務，以提高服務對象的安(二)主機和網絡設備安全初始化快照和備份自啟動快照(3)信息系統的業(yè)務數據及辦公數據均十分重要，因此需要進行數據存儲全技術工具涵蓋應急響應的事件取統恢復和攻擊追蹤等各個方面，構成為了網絡安全應(1)系統檢測技術，包括以下檢測技術規(guī)范：(2)攻擊檢測技術，包括以下技術：(3)攻擊追蹤技術；(4)現場取樣技術；(5)系統安全加固技術；(6)攻擊隔離技術；(7)資產備份恢復技術。2.3市場人員準備內容(1)預防和預警機制網絡竊密等的能力，防止有害信息傳播，保障服務將協會網絡信息中心會發(fā)布的病毒預防警報以及更新的防護策略及時有(2)信息系統檢測和報告按照“早發(fā)現、早報告、早處置”的原則，市場人員要加強對服務對象信3檢測階段(Examination)據。(1)檢測范圍及對象的確定；(2)檢測方案的確定；(3)檢測方案的實施；(4)檢測結果的處理。3.1實施小組人員的確定告表》的內容，初步分析事故的類型、嚴3.2檢測范圍及對象的確定3.3檢測方案的確定應急服務提供者制定的檢測方案應明確應急服務提供者所使用的檢測規(guī)施；3.4檢測方案的實施(1)檢測搜集系統信息在受入侵的計算機的D盤根目錄下(D:\)(如果無D盤則在其他盤根目錄netstatnaonetstattxt連接信息)............情況，使用計算機管理查看本地用戶和組，將導出的信息保存在D:\qihoo\user中(2)主機檢測。：關閉所有的網絡通訊程序，以免浮現干擾，然后使用ipconfig,e3.5檢測結果的處理(1)確定安全事件的類型(a)有害程序事件：蓄意創(chuàng)造、傳播有害程序，或者是因受到有害程序的影(b)網絡攻擊事件：通過網絡或者其他技術手段，利用信息系統的配置缺(c)信息破壞事件：通過網絡或者其他技術手段，造成信息系統中的信息被(d)信息內容安全事件：利用信息網絡發(fā)布、傳播危害國家安全、社會穩(wěn)(e)設備設施故障：由于信息系統自身故障或者外圍保障設施故障而導致的技術手段故意或者無意的造成信息系統破壞而(f)災害性事件：由于不可抗力對信息系統造成物理破壞而導致的信息安(g)其他信息安全事件：不能歸為以上6個基本分類的信息安全事件。(2)評估突發(fā)信息安全事件的影響(a)采用定量和/或者定性的方法，對業(yè)務中斷、系統宕機、網絡癱瘓數據丟(b)確定是否存在針對該事件的特定系統預案，如有，則啟動相關預案；(c)如果沒有針對該事件的專項預案，應根據事件具體情況，采取抑制措4抑制階段(Suppresses)(1)抑制方案的確定；(2)抑制方案的認可；(3)抑制方案的實施；(4)抑制效果的判定；4.1抑制方案的確定4.2抑制方案的認可；可；在采取抑制措施之前，應急服務提供者要和服務對象充分溝通，告知可能4.3抑制方案的實施確定受害系統的范圍后，將被害系統和正常的系統進行隔離，斷開或者暫住手或者刪除系統非正常帳號，隱藏帳號，更改口令，加強口令的安全級；使用反病毒軟件或者其他安全工具檢查文件，掃描硬盤上所有的文件，隔4.4抑制效果的判定5根除階段(Eradicates)(1)根除方案的確定；(2)根除方案的認可；(3)根除方案的實施；(4)根除效果的判定；5.1根除方案的確定(1)應急服務提供者應協助服務對象檢查所有受影響的系統，在準確判斷安全事(2)由于入侵者普通會安裝后門或者使用其他的方法以便于在將來有機會侵入該被攻陷的系統，因此在確定根除方法時，需要了解攻擊者時如何入侵的，以及與這種入侵5.2根除方案的認可(1)應急服務提供者應明確告知服務對象所采取的根除措施可能帶來的風險，制(2)應急服務提供者應協助服務對象進行根除方法的實施。5.3根除方案的實施(1)應急服務提供者應使用可信的工具進行安全事件的根除處理，不得使(2)根除措施易包含但不僅限與以下幾個方面：增強防護功能：復查所有防護措施的配置，安裝最新的防火墻和殺毒軟5.4根除效果的判定(1)找出造成事件的原因，備份與造成事件的相關文件和數據；(2)對系統中的文件進行清理，根除；(3)使系統能夠正常工作。6恢復階段(Restoration)(1)恢復方案的確定；(2)恢復信息系統；6.1恢復方案的確定(1)應急服務提供者應告知服務對象一個或者多個能從安全事件中恢復系統(2)應急服務提供者應和服務對象共同確定系統恢復方案，根據抑制和根如何成功運行備用設備(3)如果涉及到涉密數據，確定恢復方法時應遵循相應的保密要求。6.2恢復信息系統(1)應急響應實施小組應按照系統的初始化安全策略恢復系統；(3)恢復系統過程宜包含但不限于以下方面：(4)利用正確的備份恢復用戶數據和配置信息；(5)開啟系統和應用服務，將受到入侵或者懷疑存在漏洞而關閉的服務，(6)連接網絡，服務重新上線，并持續(xù)監(jiān)控持續(xù)匯總分析，了解各網的運(7)對于不能徹底恢復配置和清除系統上的惡意文件，或者不能肯定系統在(8)應急