1、信息安全應急響應服務方案xxxx科技有限公司2018年5月目 錄第一部分 概述31.1.信息安全應急響應31.2.應急安全響應事件31.3.服務原則3第二部分 應急響應組織保障42.1.角色的劃分42.2.角色的職責42.3.組織的外部協(xié)作42.4.保障措施5第三部分 應急響應實施流程53.1.準備階段（preparation）73.1.1 負責人準備內容73.1.2 技術人員準備內容73.1.3 市場人員準備內容93.2.檢測階段（examination）93.2.1 實施小組人員的確定93.2.2 檢測范圍及對象的確定103.2.3 檢測方案的確定103.2.4 檢測方案的實施103.2.

2、5 檢測結果的處理123.3.抑制階段（suppresses）123.3.1 抑制方案的確定133.3.2 抑制方案的認可133.3.3 抑制方案的實施133.3.4 抑制效果的判定133.4.根除階段（eradicates）143.4.1 根除方案的確定143.4.2 根除方案的認可143.4.3 根除方案的實施143.4.4 根除效果的判定143.5.恢復階段（restoration）153.5.1 恢復方案的確定153.5.2 恢復信息系統(tǒng)153.6.總結階段（summary）153.6.1 事故總結163.6.2 事故報告16第一部分 概述1.1.信息安全應急響應應急響應服務是為滿足企

3、業(yè)發(fā)生安全事件、需要緊急解決問題的情況下提供的一項安全服務。當企業(yè)發(fā)生黑客入侵、系統(tǒng)崩潰或其它影響業(yè)務正常運行的安全事件時，安全專家會在第一時間趕到事件現場，使企業(yè)的網絡信息系統(tǒng)在最短時間內恢復正常工作，幫助企業(yè)查找入侵來源，給出入侵事故過程報告，同時給出解決方案與防范報告，為企業(yè)挽回或減少經濟損失。提供入侵調查，拒絕服務攻擊響應，主機、網絡、業(yè)務異常緊急響應和處理。1.2.應急安全響應事件 計算機病毒事件； 蠕蟲病毒事件 ； 特洛伊木馬事件 ； 網頁內嵌惡意代碼事件； 拒絕服務攻擊事件； 后門攻擊事件； 漏洞攻擊事件； 網絡掃描竊聽事件； 信息篡改事件； 信息假冒事件； 信息竊取事件。1.3

4、.服務原則在整個應急響應處理過程的中，本協(xié)會嚴格按照以下原則要求服務人員，并簽訂必要的保密協(xié)議。u 保密性原則應急服務提供者應對應急處理服務過程中獲知的任何關于服務對象的系統(tǒng)信息承擔保密的責任和義務，不得泄露給第三方的單位和個人，不得利用這些信息進行侵害服務對象的行為。u 規(guī)范性原則應急服務提供者應要求服務人員依照規(guī)范的操作流程進行應急處理服務，所有處理人員必須對各自的操作過程和結果進行詳細的記錄，最終按照規(guī)范的報告格式提供完整的服務報告。u 最小影響原則應急處理服務工作應盡可能減少對原系統(tǒng)和網絡正常運行的影響，盡量避免對原網絡運行和業(yè)務正常運轉產生顯著影響（包括系統(tǒng)性能明顯下降、網絡阻塞、服

5、務中斷等），如無法避免，則必須向服務對象說明。第二部分 應急響應組織保障2.1.角色的劃分本公司應急響應工作機構按角色劃分為三個：u 應急響應負責人，u 應急響應技術人員，u 應急響應市場人員。信息安全事件發(fā)生后，在應急響應領導小組的統(tǒng)一部署下，工作人員各施其職，并嚴格按照應急響應計劃組織實施應急響應工作。2.2.角色的職責u 應急響應負責人：應急響應負責人是信息安全應急響應工作的組織領導機構，組長應由組織最高管理層成員擔任。負責人的職責是領導和決策信息安全應急響應的重大事宜，主要職責如下： a) 制定工作方案；b) 提供人員和物質保證；c) 審核并批準經費預算；d) 審核并批準恢復策略；e)

6、 審核并批準應急響應計劃；f) 批準并監(jiān)督應急響應計劃的執(zhí)行；g) 指導應急響應實施小組的應急處置工作；h) 啟動定期評審、修訂應急響應計劃以及負責組織的外部協(xié)作。u 應急響應技術人員，其主要職責如下：a) 編制應急響應計劃文檔；b) 應急響應的需求分析，確定應急策略和等級以及策略的實現；c) 備份系統(tǒng)的運行和維護，協(xié)助災難恢復系統(tǒng)實施；d) 信息安全突發(fā)事件發(fā)生時的損失控制和損害評估；e) 組織應急響應計劃的測試和演練。u 應急響應市場人員，其主要職責如下：a) 開拓新客戶，與客戶建立長期的合作關系；維護與公司老客戶的業(yè)務往來；b) 建立預防預警機制，及時進行信息上報；c) 參與和協(xié)助應急響

7、應計劃的教育、培訓和演練；d) 信息安全事件發(fā)生后的外部協(xié)作。2.3.組織的外部協(xié)作依據服務對象信息安全事件的影響程度，如需向上級部門及時通報準確情況或向其他單位尋求支持時，應與相關管理部門以及外部組織機構保持聯(lián)絡和協(xié)作。主要包括國家計算機網絡應急技術處理協(xié)調中心(cncert/cc)華中地區(qū)分中心、國家計算機網絡應急技術處理協(xié)調中心(cncert/cc)、中國教育科研網絡華中地區(qū)網絡中心、中國教育科研網網絡中心、#市公安局網絡安全監(jiān)察室、湖北省公安廳網絡安全監(jiān)察處、中國電信#分公司網管中心以及主要相關設備供應商。2.4.保障措施u 應急人力保障加強信息安全人才培養(yǎng)，強化信息安全宣傳教育，建設

8、一支高素質、高技術的信息安全核心人才和管理隊伍，提高信息安全防御意識。大力發(fā)展信息安全服務業(yè)，增強協(xié)會應急支援能力。u 物質條件保障安排一定的資金用于預防或應對信息安全突發(fā)事件，提供必要的交通運輸保障，優(yōu)化信息安全應急處理工作的物資保障條件。u 技術支撐保障 設立信息安全應急響應中心，建立預警與應急處理的技術平臺，進一步提高安全事件的發(fā)現和分析能力。從技術上逐步實現發(fā)現、預警、處置、通報等多個環(huán)節(jié)和不同的網絡、系統(tǒng)、部門之間應急處理的聯(lián)動機制。第三部分 應急響應實施流程該服務流程并非一個固定不變的教條，需要應急響應服務人員在實際中靈活變通，可適當簡化，但任何變通都必須紀錄有關的原因。詳細的記錄

9、對于找出事件的真相、查出威脅的來源與安全弱點、找到問題正確的解決方法，甚至判定事故的責任，避免同類事件的發(fā)生都有著極其重要的作用。 3.1.準備階段（preparation） l 目標：在事件真正發(fā)生前為應急響應做好預備性的工作。l 角色：協(xié)會負責人、技術人員、市場人員。l 內容：根據不同角色準備不同的內容。l 輸出：準備工具清單、事件初步報告表、實施人員工作清單3.1.1 負責人準備內容l 制定工作方案和計劃；l 提供人員和物質保證；l 審核并批準經費預算、恢復策略、應急響應計劃；l 批準并監(jiān)督應急響應計劃的執(zhí)行；l 指導應急響應實施小組的應急處置工作；l 啟動定期評審、修訂應急響應計劃以及

10、負責組織的外部協(xié)作。3.1.2 技術人員準備內容l 服務需求界定首先要對服務對象的整個信息系統(tǒng)進行評估，明確服務對象的應急需求，具體應包含以下內容：1) 應急服務提供者應了解應急服務對象的各項業(yè)務功能及其之間的相關性，確定支持各種業(yè)務功能的相關信息系統(tǒng)資源及其他資源，明確相關信息的保密性、完整性、和可用性要求；2) 對服務對象的信息系統(tǒng)，包括應用程序，服務器，網絡及任何管理和維護這些系統(tǒng)的流程進行評估，確定系統(tǒng)所執(zhí)行的關鍵功能，并確定執(zhí)行這些關鍵功能所需要的特定系統(tǒng)資源；3) 應急服務提供者應采用定性或定量的方法，對業(yè)務中斷、系統(tǒng)宕機、網絡癱瘓等突發(fā)安全事件造成的影響進行評估；4) 應急服務提

11、供者應協(xié)助服務對象建立適當的應急響應策略，應提供在業(yè)務中斷、系統(tǒng)宕機、網絡癱瘓等突發(fā)安全事件發(fā)生后快速有效的恢復信息系統(tǒng)運行的方法；5) 應急服務提供者宜為服務對象提供相關的培訓服務，以提高服務對象的安全意識，便于相關責任人明確自己的角色和責任，了解常見的安全事件和入侵行為，熟悉應急響應策略。l 主機和網絡設備安全初始化快照和備份在系統(tǒng)安全策略配置完成后，要對系統(tǒng)做一次初始安全狀態(tài)快照。這樣，如果以后在出現事故后對該服務器做安全檢測時，通過將初始化快照做的結果與檢測階段做的快照進行比較，就能夠發(fā)現系統(tǒng)的改動或異常。1) 對主機系統(tǒng)做一個標準的安全初始化的狀態(tài)快照，包括的主要內容有： 日志及審核

12、策略快照等。 用戶賬戶快照； 進程快照； 服務快照； 自啟動快照 關鍵文件簽名快照； 開放端口快照； 系統(tǒng)資源利用率的快照； 注冊表快照； 計劃任務快照等等；2) 對網絡設備做一個標準的安全初始化的狀態(tài)快照，包括的主要內容有： 路由器快照； 防火墻快照； 用戶快照； 系統(tǒng)資源利用率等快照。3) 信息系統(tǒng)的業(yè)務數據及辦公數據均十分重要，因此需要進行數據存儲及備份。目前，存儲備份結構主要有das、san和nas，以及通過磁帶或光盤對數據進行備份。各服務對象可以根據自身的特點選擇不同的存儲產品構建自己的數據存儲備份系統(tǒng)。l 工具包的準備1) 應急服務提供者應根據應急服務對象的需求準備處置網絡安全事件

13、的工具包，包括常用的系統(tǒng)基本命令、其他軟件工具等；2) 應急服務提供者的工具包中的工具最好是采用綠色免安裝的，應保存在安全的移動介質上，如一次性可寫光盤、加密的u盤等；3) 應急服務提供者的工具包應定期更新、補充；l 必要技術的準備上述是針對應急響應的處理涉及到的安全技術工具涵蓋應急響應的事件取樣、事件分析、事件隔離、系統(tǒng)恢復和攻擊追蹤等各個方面，構成了網絡安全應急響應的技術基礎。所以我們的應急響應服務實施成員還應該掌握以下必要的技術手段和規(guī)范，具體包括以下內容：1) 系統(tǒng)檢測技術，包括以下檢測技術規(guī)范： windows系統(tǒng)檢測技術規(guī)范； unix系統(tǒng)檢測技術規(guī)范； 網絡安全事故檢測技術規(guī)范；

14、 數據庫系統(tǒng)檢測技術規(guī)范； 常見的應用系統(tǒng)檢測技術規(guī)范；2) 攻擊檢測技術，包括以下技術： 異常行為分析技術； 入侵檢測技術； 安全風險評估技術；3) 攻擊追蹤技術；4) 現場取樣技術；5) 系統(tǒng)安全加固技術；6) 攻擊隔離技術；7) 資產備份恢復技術；3.1.3 市場人員準備內容l 和服務對象建立長期友好的業(yè)務關系；l 和服務對象簽訂應急服務合同或協(xié)議；l 建立預防和預警機制，及時上報。1) 預防和預警機制 市場人員要嚴格按照應急響應負責人的安排和建議，及時提醒服務對象提高防范網絡攻擊、病毒入侵、網絡竊密等的能力，防止有害信息傳播，保障服務對象網絡的安全暢通。 將協(xié)會網絡信息中心會發(fā)布的病毒

15、預防警報以及更新的防護策略及時有效地告知服務對象，做好防護策略的更新。2) 信息系統(tǒng)檢測和報告 按照“早發(fā)現、早報告、早處置”的原則，市場人員要加強對服務對象信息系統(tǒng)的安全檢測結果的通告，收集可能引發(fā)信息安全事件的有關信息、進行分析判斷。 如服務對象發(fā)現有異常情況或有信息安全事件發(fā)生時，要立即向協(xié)會網絡信息中心應急響應負責人報告，并填寫事件初步報告表。 要求服務對象持續(xù)監(jiān)測信息系統(tǒng)狀況，密切關注應急響應負責人提出初步行動對策和行動方案，聽從指令和安排，及時減小損失。3.2.檢測階段（examination）l 目標：接到事故報警后在服務對象的配合下對異常的系統(tǒng)進行初步分析，確認其是否真正發(fā)生了

16、信息安全事件，制定進一步的響應策略，并保留證據。l 角色：應急服務實施小組成員、應急響應日常運行小組；l 內容：(1) 檢測范圍及對象的確定；(2) 檢測方案的確定；(3) 檢測方案的實施；(4) 檢測結果的處理。l 輸出：檢測結果記錄、3.2.1 實施小組人員的確定應急響應負責人根據事件初步報告表的內容，初步分析事故的類型、嚴重程度等，以此來確定臨時應急響應小組的實施人員的名單。3.2.2 檢測范圍及對象的確定l 應急服務提供者應對發(fā)生異常的系統(tǒng)進行初步分析，判斷是否正真發(fā)生了安全事件；l 應急服務提供者和服務對象共同確定檢測對象及范圍；l 檢測對象及范圍應得到服務對象的書面授權。3.2.3

17、 檢測方案的確定l 應急服務提供者和服務對象共同確定檢測方案；l 應急服務提供者制定的檢測方案應明確應急服務提供者所使用的檢測規(guī)范；l 應急服務提供者制定的檢測方案應明確應急服務提供者的檢測范圍，其檢測范圍應僅限于服務對象已授權的與安全事件相關的數據，對服務對象的機密性數據信息未經授權的不得訪問；l 應急服務提供者制定的檢測方案應包含實施方案失敗的應變和回退措施；l 應急服務提供者和服務對象充分溝通，并預測應急處理方案可能造成的影響。3.2.4 檢測方案的實施l 檢測搜集系統(tǒng)信息 記錄時使用目錄及文件名約定： 在受入侵的計算機的d盤根目錄下（d:）（如果無d盤則在其他盤根目錄下）建立一個eea

18、n目錄，目錄中包含以下子目錄： artifact：用于存放可疑文件樣本 cmdoutput：用于記錄命令行輸出結果 screenshot：用于存放屏幕拷貝文件 log：用于存放各類日志文件 文件格式： 命令行輸出文件缺省僅使用txt格式。 日志文件及其他格式盡量使用txt、csv和其他不需要特殊工具就可以閱讀的格式。 屏幕拷貝文件應該使用bmp格式。 可疑文件樣本最好加密壓縮為zip格式，默認密碼為：eean 搜集操作系統(tǒng)基本信息1右鍵點擊“我的電腦屬性” 將“常規(guī)”、“自動更新”、“遠程”3個選卡各制作一個窗口拷貝（使用alt+prtscr）。并保存到eeanscreenshot目錄下，文件

19、名稱應該使用：系統(tǒng)常規(guī)-01、自動更新-01、遠程-01等形式命名。 2進入cmd狀態(tài)，“開始 運行 cmd”，進入d盤根目錄下的eean目錄，執(zhí)行一下命令： netstat -nao netstat.txt (網絡連接信息)tasklist tasklist.txt （當前進程信息）ipconfig /all ipconfig.txt（ip屬性） ver ver.txt （操作系統(tǒng)屬性）. 日志信息目標：導出所有日志信息；說明：進入管理工具，將“管理工具 事件察看器”中，導出所有事件，分別使用一下文件名保存： application.txt、security.txt、system.txt。

20、帳號信息目標：導出所有帳號信息；說明：使用net user，net group，net local group命令檢查帳號和組的情況，使用計算機管理查看本地用戶和組，將導出的信息保存在d:eeanuser中 l 主機檢測 日志檢查目標：1、從日志信息中檢測出未授權訪問或非法登錄事件；2、從iis/ftp日志中檢測非正常訪問行為或攻擊行為；說明：1、檢查事件查看器中的系統(tǒng)和安全日志信息，比如：安全日志中異常登錄時間，未知用戶名登錄；2、檢查%windir%system32logfiles 目錄下的www日志和ftp日志，比如www日志中的對cmd.asp文件的成功訪問。 帳號檢查目標：檢查帳號信

21、息中非正常帳號，隱藏帳號；說明：通過詢問管理員或負責人，或者和系統(tǒng)的所有的正常帳號列表做對比，判斷是否有可疑的陌生的賬號出現，利用這些獲得的信息和前面準備階段做的帳號快照工作進行對比。 進程檢查目標：檢查是否存在未被授權的應用程序或服務說明：使用任務管理器檢查或使用進程查看工具進行查看，利用這些獲得的信息和前面準備階段做的進程快照工作進行對比，判斷是否有可疑的進程。 服務檢查目標：檢查系統(tǒng)是否存在非法服務說明：使用“管理工具”中的“服務”查看非法服務或使用冰刃、wsystem察看當前服務情況，利用這些獲得的信息和準備階段做的服務快照工作進行對比。 自啟動檢查目標：檢查未授權自啟動程序說明：檢查

22、系統(tǒng)各用戶“啟動”目錄下是否存在未授權程序。 網絡連接檢查目標：檢查非正常網絡連接和開放的端口說明：關閉所有的網絡通訊程序，以免出現干擾，然后使用ipconfig, netstat an或其它第三方工具查看所有連接，檢查服務端口開放情況和異常數據的信息。 共享檢查目標：檢查非法共享目錄。說明：使用net share或其他第三方的工具檢測當前開放的共享，使用$是隱藏目錄共享，通過詢問負責人看是否有可疑的共享文件。 文件檢查目標：檢查病毒、木馬、蠕蟲、后門等可疑文件。說明：使用防病毒軟件檢查文件，掃描硬盤上所有的文件，將可疑文件進行提取加密壓縮成.zip，保存到eeanartifact目錄下的相應

23、子目錄中。 查找其他入侵痕跡目標：查找其它系統(tǒng)上的入侵痕跡，尋找攻擊途徑說明：其它系統(tǒng)包括：同一ip地址段或同一網段的系統(tǒng)、同一域的其他系統(tǒng)、擁有相同操作系統(tǒng)的其他系統(tǒng)。3.2.5 檢測結果的處理l 確定安全事件的類型經過檢測，判斷出信息安全事件類型。信息安全事件可以有以下7個基本分類： 有害程序事件：蓄意制造、傳播有害程序，或是因受到有害程序的影響而導致的信息安全事件。 網絡攻擊事件：通過網絡或其他技術手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對信息系統(tǒng)實施攻擊，并造成信息系統(tǒng)異?；驅π畔⑾到y(tǒng)當前運行造成潛在危害的信息安全事件。 信息破壞事件：通過網絡或其他技術手段，造成

24、信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導致的信息安全事件。 信息內容安全事件：利用信息網絡發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的內容的安全事件。 設備設施故障：由于信息系統(tǒng)自身故障或外圍保障設施故障而導致的信息安全事件，以及人為的使用非技術手段有意或無意的造成信息系統(tǒng)破壞而導致的信息安全事件。 災害性事件：由于不可抗力對信息系統(tǒng)造成物理破壞而導致的信息安全事件。 其他信息安全事件：不能歸為以上6個基本分類的信息安全事件。l 評估突發(fā)信息安全事件的影響采用定量和/或定性的方法，對業(yè)務中斷、系統(tǒng)宕機、網絡癱瘓數據丟失等突發(fā)信息安全事件造成的影響進行評估：l 確定是否存在針對該事件的特定

25、系統(tǒng)預案，如有，則啟動相關預案；如果事件涉及多個專項預案，應同時啟動所有涉及的專項預案；l 如果沒有針對該事件的專項預案，應根據事件具體情況，采取抑制措施，抑制事件進一步擴散。3.3.抑制階段（suppresses）l 目標：及時采取行動限制事件擴散和影響的范圍，限制潛在的損失與破壞，同時要確保封鎖方法對涉及相關業(yè)務影響最小。l 角色：應急服務實施小組、應急響應日常運行小組。l 內容：(1) 抑制方案的確定；(2) 抑制方案的認可；(3) 抑制方案的實施；(4) 抑制效果的判定；l 輸出：抑制處理記錄表、3.3.1 抑制方案的確定l 應急服務提供者應在檢測分析的基礎上，初步確定與安全事件相對應

26、的抑制方法，如有多項，可由服務對象考慮后自己選擇；l 在確定抑制方法時應該考慮： 全面評估入侵范圍、入侵帶來的影響和損失； 通過分析得到的其他結論，如入侵者的來源； 服務對象的業(yè)務和重點決策過程； 服務對象的業(yè)務連續(xù)性。3.3.2 抑制方案的認可l 應急服務提供者應告知服務對象所面臨的首要問題；l 應急服務提供者所確定的抑制方法和相應的措施應得到服務對象的認可；l 在采取抑制措施之前，應急服務提供者要和服務對象充分溝通，告知可能存在的風險，制定應變和回退措施，并與其達成協(xié)議。3.3.3 抑制方案的實施l 應急服務提供者要嚴格按照相關約定實施抑制，不得隨意更改抑制的措施的范圍，如有必要更改，需獲

27、得服務對象的授權；l 抑制措施易包含但不僅限于以下幾方面： 確定受害系統(tǒng)的范圍后，將被害系統(tǒng)和正常的系統(tǒng)進行隔離，斷開或暫時關閉被攻擊的系統(tǒng)，使攻擊先徹底停止； 持續(xù)監(jiān)視系統(tǒng)和網絡活動，記錄異常流量的遠程ip、域名、端口； 停止或刪除系統(tǒng)非正常帳號，隱藏帳號，更改口令，加強口令的安全級別； 掛起或結束未被授權的、可疑的應用程序和進程； 關閉存在的非法服務和不必要的服務； 刪除系統(tǒng)各用戶“啟動”目錄下未授權自啟動程序； 使用net share或其他第三方的工具停止所有開放的共享； 使用反病毒軟件或其他安全工具檢查文件，掃描硬盤上所有的文件，隔離或清除病毒、木馬、蠕蟲、后門等可疑文件； 設置陷阱，

28、如蜜罐系統(tǒng)；或者反擊攻擊者的系統(tǒng)。3.3.4 抑制效果的判定l 防止事件繼續(xù)擴散，限制了潛在的損失和破壞，使目前損失最小化；l 對其它相關業(yè)務的影響是否控制在最小。3.4.根除階段（eradicates）l 目標：對事件進行抑制之后，通過對有關事件或行為的分析結果，找出事件根源，明確相應的補救措施并徹底清除。l 角色：應急服務實施小組、應急響應日常運行小組。l 內容：(1) 根除方案的確定；(2) 根除方案的認可；(3) 根除方案的實施；(4) 根除效果的判定；l 輸出：根除處理記錄表、3.4.1 根除方案的確定l 應急服務提供者應協(xié)助服務對象檢查所有受影響的系統(tǒng)，在準確判斷安全事件原因的基礎

29、上，提出方案建議；l 由于入侵者一般會安裝后門或使用其他的方法以便于在將來有機會侵入該被攻陷的系統(tǒng)，因此在確定根除方法時，需要了解攻擊者時如何入侵的，以及與這種入侵方法相同和相似的各種方法。3.4.2 根除方案的認可l 應急服務提供者應明確告知服務對象所采取的根除措施可能帶來的風險，制定應變和回退措施，并得到服務對象的書面授權；l 應急服務提供者應協(xié)助服務對象進行根除方法的實施。3.4.3 根除方案的實施l 應急服務提供者應使用可信的工具進行安全事件的根除處理，不得使用受害系統(tǒng)已有的不可信的文件和工具；l 根除措施易包含但不僅限與以下幾個方面： 改變全部可能受到攻擊的系統(tǒng)帳號和口令，并增加口令

30、的安全級別； 修補系統(tǒng)、網絡和其他軟件漏洞； 增強防護功能：復查所有防護措施的配置，安裝最新的防火墻和殺毒軟件，并及時更新， 對未受保護或者保護不夠的系統(tǒng)增加新的防護措施； 提高其監(jiān)視保護級別，以保證將來對類似的入侵進行檢測；3.4.4 根除效果的判定l 找出造成事件的原因，備份與造成事件的相關文件和數據；l 對系統(tǒng)中的文件進行清理，根除；l 使系統(tǒng)能夠正常工作。3.5.恢復階段（restoration）l 目標：恢復安全事件所涉及到得系統(tǒng)，并還原到正常狀態(tài)，使業(yè)務能夠正常進行，恢復工作應避免出現誤操作導致數據的丟失。l 角色：應急服務實施小組、應急響應日常運行小組。l 內容：(1) 恢復方案的確定；(2) 恢復信息系統(tǒng)；l 輸出：恢復處理記錄表、.3.5.