信息安全應急方案XXXX2018年5月目錄TOC\o"1-5"\h\z第一部分概述 4\o"CurrentDocument"信息安全應急響應 4\o"CurrentDocument"應急安全響應事件 4\o"CurrentDocument"服務原則 5第二部分應急響應組織保障 5\o"CurrentDocument"角色的劃分 5角色的職責 6\o"CurrentDocument"組織的外部協(xié)作 7保障措施 7\o"CurrentDocument"第三部分應急響應實施流程 8\o"CurrentDocument"準備階段(Preparation) 10\o"CurrentDocument"負責人準備內(nèi)容 10技術人員準備內(nèi)容 10\o"CurrentDocument"市場人員準備內(nèi)容 14\o"CurrentDocument"檢測階段(Examination) 15\o"CurrentDocument"實施小組人員的確定 15\o"CurrentDocument"檢測范圍及對象的確定 16\o"CurrentDocument"檢測方案的確定 16檢測方案的實施 16\o"CurrentDocument"檢測結果的處理 21\o"CurrentDocument"抑制階段(Suppresses) 22\o"CurrentDocument"抑制方案的確定 23\o"CurrentDocument"抑制方案的認可 23\o"CurrentDocument"抑制方案的實施 23\o"CurrentDocument"抑制效果的判定 24\o"CurrentDocument"根除階段(Eradicates) 24\o"CurrentDocument"根除方案的確定 25\o"CurrentDocument"根除方案的認可 25\o"CurrentDocument"根除方案的實施 26\o"CurrentDocument"根除效果的判定 26\o"CurrentDocument"恢復階段(Restoration) 26\o"CurrentDocument"恢復方案的確定 27\o"CurrentDocument"恢復信息系統(tǒng) 28\o"CurrentDocument"總結階段(Summary) 28\o"CurrentDocument"事故總結 29\o"CurrentDocument"事故報告 29第一部分概述信息安全應急響應信息安全應急響應是為滿足企業(yè)發(fā)生安全事件、需要緊急解決問題的情況下提供的一項安全服務。當企業(yè)發(fā)生黑客入侵、系統(tǒng)崩潰或其它影響業(yè)務正常運行的安全事件時，安全專家會在第一時間趕到事件現(xiàn)場，使企業(yè)的網(wǎng)絡信息系統(tǒng)在最短時間內(nèi)恢復正常工作，幫助企業(yè)查找入侵來源，給出入侵事故過程報告，同時給出解決方案與防范報告，為企業(yè)挽回或減少經(jīng)濟損失。提供入侵調(diào)查，拒絕服務攻擊響應，主機、網(wǎng)絡、業(yè)務異常緊急響應和處理。應急安全響應事件?計算機病毒事件；?蠕蟲病毒事件;?特洛伊木馬事件;?網(wǎng)頁內(nèi)嵌惡意代碼事件；?拒絕服務攻擊事件；?后門攻擊事件；?漏洞攻擊事件；?網(wǎng)絡掃描竊聽事件；?信息篡改事件；?信息假冒事件；?信息竊取事件。服務原則在整個應急響應處理過程的中，本協(xié)會嚴格按照以下原則要求服務人員，并簽訂必要的保密協(xié)議。?保密性原則應急服務提供者應對應急處理服務過程中獲知的任何關于服務對象的系統(tǒng)信息承擔保密的責任和義務，不得泄露給第三方的單位和個人，不得利用這些信息進行侵害服務對象的行為。規(guī)范性原則應急服務提供者應要求服務人員依照規(guī)范的操作流程進行應急處理服務，所有處理人員必須對各自的操作過程和結果進行詳細的記錄，最終按照規(guī)范的報告格式提供完整的服務報告。最小影響原則應急處理服務工作應盡可能減少對原系統(tǒng)和網(wǎng)絡正常運行的影響，盡量避免對原網(wǎng)絡運行和業(yè)務正常運轉(zhuǎn)產(chǎn)生顯著影響（包括系統(tǒng)性能明顯下降、網(wǎng)絡阻塞、服務中斷等），如無法避免，則必須向服務對象說明。第二部分應急響應組織保障2.1.角色的劃分本公司應急響應工作機構按角色劃分為三個：應急響應負責人，?應急響應技術人員，?應急響應市場人員。信息安全事件發(fā)生后，在應急響應領導小組的統(tǒng)一部署下，工作人員各施其職，并嚴格按照應急響應計劃組織實施應急響應工作。角色的職責應急響應負責人：應急響應負責人是信息安全應急響應工作的組織領導機構，組長應由組織最高管理層成員擔任。負責人的職責是領導和決策信息安全應急響應的重大事宜，主要職責如下：制定工作方案；提供人員和物質(zhì)保證；審核并批準經(jīng)費預算；審核并批準恢復策略；審核并批準應急響應計劃；批準并監(jiān)督應急響應計劃的執(zhí)行；指導應急響應實施小組的應急處置工作；啟動定期評審、修訂應急響應計劃以及負責組織的外部協(xié)作。應急響應技術人員，其主要職責如下：編制應急響應計劃文檔；應急響應的需求分析，確定應急策略和等級以及策略的實現(xiàn)；備份系統(tǒng)的運行和維護，協(xié)助災難恢復系統(tǒng)實施；信息安全突發(fā)事件發(fā)生時的損失控制和損害評估；組織應急響應計劃的測試和演練。?應急響應市場人員，其主要職責如下：開拓新客戶，與客戶建立長期的合作關系；維護與公司老客戶的業(yè)務往來；建立預防預警機制，及時進行信息上報；參與和協(xié)助應急響應計劃的教育、培訓和演練；信息安全事件發(fā)生后的外部協(xié)作。組織的外部協(xié)作依據(jù)服務對象信息安全事件的影響程度，如需向上級部門及時通報準確情況或向其他單位尋求支持時，應與相關管理部門以及外部組織機構保持聯(lián)絡和協(xié)作。主要包括國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心(CNCERT/CC)華中地區(qū)分中心、國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心(CNCERT/CC)、中國教育科研網(wǎng)絡華中地區(qū)網(wǎng)絡中心、中國教育科研網(wǎng)網(wǎng)絡中心、##市公安局網(wǎng)絡安全監(jiān)察室、湖北省公安廳網(wǎng)絡安全監(jiān)察處、中國電信##分公司網(wǎng)管中心以及主要相關設備供應商。保障措施?應急人力保障加強信息安全人才培養(yǎng)，強化信息安全宣傳教育，建設一支高素質(zhì)、高技術的信息安全核心人才和管理隊伍，提高信息安全防御意識。大力發(fā)展信息安全服務業(yè)，增強協(xié)會應急支援能力。?物質(zhì)條件保障安排一定的資金用于預防或應對信息安全突發(fā)事件，提供必要的交通運輸保障，優(yōu)化信息安全應急處理工作的物資保障條件。?技術支撐保障設立信息安全應急響應中心，建立預警與應急處理的技術平臺，進一步提高安全事件的發(fā)現(xiàn)和分析能力。從技術上逐步實現(xiàn)發(fā)現(xiàn)、預警、處置、通報等多個環(huán)節(jié)和不同的網(wǎng)絡、系統(tǒng)、部門之間應急處理的聯(lián)動機制。第三部分應急響應實施流程該服務流程并非一個固定不變的教條，需要應急響應服務人員在實際中靈活變通，可適當簡化，但任何變通都必須紀錄有關的原因。詳細的記錄對于找出事件的真相、查出威脅的來源與安全弱點、找到問題正確的解決方法，甚至判定事故的責任，避免同類事件的發(fā)生都有著極其重要的作用。

準備階段負責人準備工作制定工作方案和計劃，監(jiān)督和指導其他小組的工作服務需求的確定，主機和網(wǎng)絡安全初始化快照和備份、工具包和必要技術的準備技術人員準備工作建立預防預警機制、及時進行信息系統(tǒng)檢測和異常情況上報市場人員準備工作現(xiàn)場實施小人員的確定檢測階段現(xiàn)場勘查確定檢測方案并進行實施>>a有該類專項 1f 抑制階段確定和認可抑制的方案并

進行抑制的實施根除階段確定和認可根除的方法并進行根除的實施準備階段負責人準備工作制定工作方案和計劃，監(jiān)督和指導其他小組的工作服務需求的確定，主機和網(wǎng)絡安全初始化快照和備份、工具包和必要技術的準備技術人員準備工作建立預防預警機制、及時進行信息系統(tǒng)檢測和異常情況上報市場人員準備工作現(xiàn)場實施小人員的確定檢測階段現(xiàn)場勘查確定檢測方案并進行實施>>a有該類專項 1f 抑制階段確定和認可抑制的方案并

進行抑制的實施根除階段確定和認可根除的方法并進行根除的實施啟動專項預案恢復階段根據(jù)確定的恢復方案進行

信息系統(tǒng)的恢復回顧并完善整個事件的處

理過程并進行總結形成事故報告為服務對象提出安全建議3.1?準備階段(Preparation)丄目標：在事件真正發(fā)生前為應急響應做好預備性的工作。丄角色：協(xié)會負責人、技術人員、市場人員。丄內(nèi)容：根據(jù)不同角色準備不同的內(nèi)容。丄輸出：《準備工具清單》、《事件初步報告表》《實施人員工作清單》3.1.1負責人準備內(nèi)容丄制定工作方案和計劃；丄提供人員和物質(zhì)保證；丄審核并批準經(jīng)費預算、恢復策略、應急響應計劃；丄批準并監(jiān)督應急響應計劃的執(zhí)行；丄指導應急響應實施小組的應急處置工作；丄啟動定期評審、修訂應急響應計劃以及負責組織的外部協(xié)作。3.1.2技術人員準備內(nèi)容丄服務需求界定首先要對服務對象的整個信息系統(tǒng)進行評估，明確服務對象的應急需求，具體應包含以下內(nèi)容：1）應急服務提供者應了解應急服務對象的各項業(yè)務功能及其之間的相關性，確定支持各種業(yè)務功能的相關信息系統(tǒng)資源及其他資源，明確相關信息的保密性、完整性、和可用性要求；2） 對服務對象的信息系統(tǒng)，包括應用程序，服務器，網(wǎng)絡及任何管理和維護這些系統(tǒng)的流程進行評估，確定系統(tǒng)所執(zhí)行的關鍵功能，并確定執(zhí)行這些關鍵功能所需要的特定系統(tǒng)資源；3） 應急服務提供者應采用定性或定量的方法，對業(yè)務中斷、系統(tǒng)宕機、網(wǎng)絡癱瘓等突發(fā)安全事件造成的影響進行評估；4） 應急服務提供者應協(xié)助服務對象建立適當?shù)膽表憫呗?應提供在業(yè)務中斷、系統(tǒng)宕機、網(wǎng)絡癱瘓等突發(fā)安全事件發(fā)生后快速有效的恢復信息系統(tǒng)運行的方法；5） 應急服務提供者宜為服務對象提供相關的培訓服務，以提高服務對象的安全意識，便于相關責任人明確自己的角色和責任，了解常見的安全事件和入侵行為，熟悉應急響應策略。丄主機和網(wǎng)絡設備安全初始化快照和備份在系統(tǒng)安全策略配置完成后，要對系統(tǒng)做一次初始安全狀態(tài)快照。這樣，如果以后在出現(xiàn)事故后對該服務器做安全檢測時，通過將初始化快照做的結果與檢測階段做的快照進行比較，就能夠發(fā)現(xiàn)系統(tǒng)的改動或異常。1）對主機系統(tǒng)做一個標準的安全初始化的狀態(tài)快照，包括的主要內(nèi)容有：?日志及審核策略快照等。?用戶賬戶快照；?進程快照；?服務快照；?自啟動快照?關鍵文件簽名快照；?開放端口快照；?系統(tǒng)資源利用率的快照；?注冊表快照；?計劃任務快照等等；2） 對網(wǎng)絡設備做一個標準的安全初始化的狀態(tài)快照，包括的主要內(nèi)容有：?路由器快照；?防火墻快照；?用戶快照；?系統(tǒng)資源利用率等快照。3） 信息系統(tǒng)的業(yè)務數(shù)據(jù)及辦公數(shù)據(jù)均十分重要，因此需要進行

數(shù)據(jù)存儲及備份。目前，存儲備份結構主要有DAS、SAN和NAS,以及通過磁帶或光盤對數(shù)據(jù)進行備份。各服務對象可以根據(jù)自身的特點選擇不同的存儲產(chǎn)品構建自己的數(shù)據(jù)存儲備份系統(tǒng)。丄工具包的準備1）應急服務提供者應根據(jù)應急服務對象的需求準備處置網(wǎng)絡安全事件的工具包，包括常用的系統(tǒng)基本命令、其他軟件工具等;2） 應急服務提供者的工具包中的工具最好是采用綠色免安裝的，應保存在安全的移動介質(zhì)上，如一次性可寫光盤、加密的U盤等；3） 應急服務提供者的工具包應定期更新、補充；丄必要技術的準備上述是針對應急響應的處理涉及到的安全技術工具涵蓋應急響應的事件取樣、事件分析、事件隔離、系統(tǒng)恢復和攻擊追蹤等各個方面，構成了網(wǎng)絡安全應急響應的技術基礎。所以我們的應急響應服務實施成員還應該掌握以下必要的技術手段和規(guī)范，具體包括以下內(nèi)容：1） 系統(tǒng)檢測技術，包括以下檢測技術規(guī)范：Windows系統(tǒng)檢測技術規(guī)范；Unix系統(tǒng)檢測技術規(guī)范；?網(wǎng)絡安全事故檢測技術規(guī)范；?數(shù)據(jù)庫系統(tǒng)檢測技術規(guī)范；?常見的應用系統(tǒng)檢測技術規(guī)范；2） 攻擊檢測技術，包括以下技術：?異常行為分析技術；?入侵檢測技術；?安全風險評估技術；3）攻擊追蹤技術;4） 現(xiàn)場取樣技術；5） 系統(tǒng)安全加固技術；6） 攻擊隔離技術；7） 資產(chǎn)備份恢復技術；3.1.3市場人員準備內(nèi)容丄和服務對象建立長期友好的業(yè)務關系；丄和服務對象簽訂應急服務合同或協(xié)議；丄建立預防和預警機制，及時上報。1） 預防和預警機制?市場人員要嚴格按照應急響應負責人的安排和建議，及時提醒服務對象提高防范網(wǎng)絡攻擊、病毒入侵、網(wǎng)絡竊密等的能力，防止有害信息傳播，保障服務對象網(wǎng)絡的安全暢通。?將協(xié)會網(wǎng)絡信息中心會發(fā)布的病毒預防警報以及更新的防護策略及時有效地告知服務對象，做好防護策略的更新。2） 信息系統(tǒng)檢測和報告?按照“早發(fā)現(xiàn)、早報告、早處置”的原則，市場人員要加強對服務對象信息系統(tǒng)的安全檢測結果的通告，收集可能引發(fā)信息安全事件的有關信息、進行分析判斷。?如服務對象發(fā)現(xiàn)有異常情況或有信息安全事件發(fā)生時，要立即向協(xié)會網(wǎng)絡信息中心應急響應負責人報告，并填寫事件初步報告表。要求服務對象持續(xù)監(jiān)測信息系統(tǒng)狀況，密切關注應急響應負責人提出初步行動對策和行動方案，聽從指令和安排,及時減小損失。3.2?檢測階段(Examination)丄目標：接到事故報警后在服務對象的配合下對異常的系統(tǒng)進行初步分析，確認其是否真正發(fā)生了信息安全事件，制定進—步的響應策略，并保留證據(jù)。丄角色：應急服務實施小組成員、應急響應日常運行小組；4-內(nèi)容：檢測范圍及對象的確定；檢測方案的確定；檢測方案的實施；檢測結果的處理。丄輸出：《檢測結果記錄》、《…》3.2.1實施小組人員的確定應急響應負責人根據(jù)《事件初步報告表》的內(nèi)容，初步分析事故的類型、嚴重程度等，以此來確定臨時應急響應小組的實施人員的名單。3?2?2檢測范圍及對象的確定丄應急服務提供者應對發(fā)生異常的系統(tǒng)進行初步分析，判斷是否正真發(fā)生了安全事件；丄應急服務提供者和服務對象共同確定檢測對象及范圍；丄檢測對象及范圍應得到服務對象的書面授權。3.2.3檢測方案的確定丄應急服務提供者和服務對象共同確定檢測方案；丄應急服務提供者制定的檢測方案應明確應急服務提供者所使用的檢測規(guī)范；丄應急服務提供者制定的檢測方案應明確應急服務提供者的檢測范圍，其檢測范圍應僅限于服務對象已授權的與安全事件相關的數(shù)據(jù)，對服務對象的機密性數(shù)據(jù)信息未經(jīng)授權的不得訪問；丄應急服務提供者制定的檢測方案應包含實施方案失敗的應變和回退措施；丄應急服務提供者和服務對象充分溝通，并預測應急處理方案可能造成的影響。3.2.4檢測方案的實施丄檢測搜集系統(tǒng)信息記錄時使用目錄及文件名約定:在受入侵的計算機的D盤根目錄下（D：\）（如果無D盤則在其他盤根目錄下）建立一個EEAN目錄，目錄中包含以下子目錄：＞artifact：用于存放可疑文件樣本＞cmdoutput：用于記錄命令行輸出結果＞screenshot：用于存放屏幕拷貝文件＞log：用于存放各類日志文件文件格式：＞命令行輸出文件缺省僅使用TXT格式。＞日志文件及其他格式盡量使用TXT、CSV和其他不需要特殊工具就可以閱讀的格式。＞屏幕拷貝文件應該使用BMP格式。＞可疑文件樣本最好加密壓縮為zip格式，默認密碼為:eean搜集操作系統(tǒng)基本信息1．右鍵點擊“我的電腦＞屬性”將“常規(guī)”、“自動更新”、“遠程”個選卡各制作一個窗口拷貝（使用Alt+PrtScr）。并保存到EEAN\screenshot目錄下，文件名稱應該使用：系統(tǒng)常規(guī)-01、自動更新-01、遠程-01等形式命名。2.進入CMD狀態(tài)，“開始〉運行〉cmd”進入D盤根目錄下的EEAN目錄，執(zhí)行一下命令：netstat-nao〉netstat.txt（網(wǎng)絡連接信息）tasklist〉tasklist.txt（當前進程信息）ipconfig/all>ipconfig.txt（IP屬性）ver>ver.txt（操作系統(tǒng)屬性）?日志信息目標：導出所有日志信息；說明：進入管理工具，將“管理工具〉事件察看器”中，導出所有事件，分別使用一下文件名保存：application.txt、security.txt、system.txt。?帳號信息目標：導出所有帳號信息；說明：使用netuser,netgroup,netlocalgroup命令檢查帳號和組的情況，使用計算機管理查看本地用戶和組，將導出的信息保存在D:\EEAN\user中丄主機檢測?日志檢查目標：1、從日志信息中檢測出未授權訪問或非法登錄事件;2、從IIS/FTP日志中檢測非正常訪問行為或攻擊行為；說明：1、檢查事件查看器中的系統(tǒng)和安全日志信息，比如:安全日志中異常登錄時間，未知用戶名登錄；2、檢查%WinDir%\System32\LogFiles目錄下的WWW日志和FTP日志，比如WWW日志中的對cmd.asp文件的成功訪問。帳號檢查目標：檢查帳號信息中非正常帳號，隱藏帳號；說明：通過詢問管理員或負責人，或者和系統(tǒng)的所有的正常帳號列表做對比，判斷是否有可疑的陌生的賬號出現(xiàn)，利用這些獲得的信息和前面準備階段做的帳號快照工作進行對比。進程檢查目標：檢查是否存在未被授權的應用程序或服務說明：使用任務管理器檢查或使用進程查看工具進行查看，利用這些獲得的信息和前面準備階段做的進程快照工作進行對比，判斷是否有可疑的進程。服務檢查目標：檢查系統(tǒng)是否存在非法服務說明：使用“管理工具”中的“服務”查看非法服務或使用冰刃、Wsystem察看當前服務情況，利用這些獲得的信息和準備階段做的服務快照工作進行對比。自啟動檢查目標：檢查未授權自啟動程序說明：檢查系統(tǒng)各用戶“啟動”目錄下是否存在未授權程序。?網(wǎng)絡連接檢查目標：檢查非正常網(wǎng)絡連接和開放的端口說明：關閉所有的網(wǎng)絡通訊程序，以免出現(xiàn)干擾，然后使用ipconfig,netstat-an或其它第三方工具查看所有連接，檢查服務端口開放情況和異常數(shù)據(jù)的信息。共享檢查目標：檢查非法共享目錄。說明：使用netshare或其他第三方的工具檢測當前開放的共享，使用$是隱藏目錄共享，通過詢問負責人看是否有可疑的共享文件。文件檢查目標：檢查病毒、木馬、蠕蟲、后門等可疑文件。說明：使用防病毒軟件檢查文件，掃描硬盤上所有的文件，將可疑文件進行提取加密壓縮成.zip，保存到EEAN\artifact目錄下的相應子目錄中。查找其他入侵痕跡目標：查找其它系統(tǒng)上的入侵痕跡，尋找攻擊途徑說明：其它系統(tǒng)包括：同一IP地址段或同一網(wǎng)段的系統(tǒng)、同一域的其他系統(tǒng)、擁有相同操作系統(tǒng)的其他系統(tǒng)。3?2?5檢測結果的處理丄確定安全事件的類型經(jīng)過檢測，判斷出信息安全事件類型。信息安全事件可以有以下7個基本分類：?有害程序事件：蓄意制造、傳播有害程序，或是因受到有害程序的影響而導致的信息安全事件。?網(wǎng)絡攻擊事件：通過網(wǎng)絡或其他技術手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對信息系統(tǒng)實施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當前運行造成潛在危害的信息安全事件。?信息破壞事件：通過網(wǎng)絡或其他技術手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導致的信息安全事件。?信息內(nèi)容安全事件：利用信息網(wǎng)絡發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的內(nèi)容的安全事件。?設備設施故障：由于信息系統(tǒng)自身故障或外圍保障設施故障而導致的信息安全事件，以及人為的使用非技術手段有意或無意的造成信息系統(tǒng)破壞而導致的信息安全事件。?災害性事件：由于不可抗力對信息系統(tǒng)造成物理破壞而導致的信息安全事件。?其他信息安全事件：不能歸為以上6個基本分類的信息安全事件。丄評估突發(fā)信息安全事件的影響采用定量和/或定性的方法，對業(yè)務中斷、系統(tǒng)宕機、網(wǎng)絡癱瘓數(shù)據(jù)丟失等突發(fā)信息安全事件造成的影響進行評估：丄確定是否存在針對該事件的特定系統(tǒng)預案，如有，則啟動相關預案；如果事件涉及多個專項預案，應同時啟動所有涉及的專項預案；丄如果沒有針對該事件的專項預案，應根據(jù)事件具體情況，采取抑制措施，抑制事件進一步擴散。3.3?抑制階段(Suppresses)丄目標：及時采取行動限制事件擴散和影響的范圍，限制潛在的損失與破壞，同時要確保封鎖方法對涉及相關業(yè)務影響最小。丄角色：應急服務實施小組、應急響應日常運行小組。4-內(nèi)容：抑制方案的確定；抑制方案的認可；抑制方案的實施；⑷抑制效果的判定；4-輸出：《抑制處理記錄表》《…》3.3.1抑制方案的確定丄應急服務提供者應在檢測分析的基礎上，初步確定與安全事件相對應的抑制方法，如有多項，可由服務對象考慮后自己選擇;丄在確定抑制方法時應該考慮：?全面評估入侵范圍、入侵帶來的影響和損失；?通過分析得到的其他結論，如入侵者的來源；?服務對象的業(yè)務和重點決策過程；?服務對象的業(yè)務連續(xù)性。3.3.2抑制方案的認可丄應急服務提供者應告知服務對象所面臨的首要問題；丄應急服務提供者所確定的抑制方法和相應的措施應得到服務對象的認可；丄在采取抑制措施之前，應急服務提供者要和服務對象充分溝通，告知可能存在的風險，制定應變和回退措施，并與其達成協(xié)議。3.3.3抑制方案的實施丄應急服務提供者要嚴格按照相關約定實施抑制，不得隨意更改抑制的措施的范圍，如有必要更改，需獲得服務對象的授權；丄抑制措施易包含但不僅限于以下幾方面：?確定受害系統(tǒng)的范圍后，將被害系統(tǒng)和正常的系統(tǒng)進行隔離，斷開或暫時關閉被攻擊的系統(tǒng)，使攻擊先徹底停止；?持續(xù)監(jiān)視系統(tǒng)和網(wǎng)絡活動，記錄異常流量的遠程IP、域名、端口；?停止或刪除系統(tǒng)非正常帳號，隱藏帳號，更改口令，加強口令的安全級別；?掛起或結束未被授權的、可疑的應用程序和進程；?關閉存在的非法服務和不必要的服務；?刪除系統(tǒng)各用戶“啟動”目錄下未授權自啟動程序；?使用netshare或其他第三方的工具停止所有開放的共享；?使用反病毒軟件或其他安全工具檢查文件，掃描硬盤上所有的文件，隔離或清除病毒、木馬、蠕蟲、后門等可疑文件；?設置陷阱，如蜜罐系統(tǒng)；或者反擊攻擊者的系統(tǒng)。3?3?4抑制效果的判定丄防止事件繼續(xù)擴散，限制了潛在的損失和破壞，使目前損失最小化；丄對其它相關業(yè)務的影響是否控制在最小。3.4?根除階段(Eradicates)丄目標：對事件進行抑制之后，通過對有關事件或行為的分析結果，找出事件根源，明確相應的補救措施并徹底清除。丄角色：應急服務實施小組、應急響應日常運行小組。丄內(nèi)容：根除方案的確定；根除方案的認可；根除方案的實施；根除效果的判定；丄輸出：《根除處理記錄表》《…》3.4.1根除方案的確定丄應急服務提供者應協(xié)助服務對象檢查所有受影響的系統(tǒng)，在準確判斷安全事件原因的基礎上，提出方案建議；丄由于入侵者一般會安裝后門或使用其他的方法以便于在將來有機會侵入該被攻陷的系統(tǒng)，因此在確定根除方法時，需要了解攻擊者時如何入侵的，以及與這種入侵方法相同和相似的各種方法。3.4.2根除方案的認可丄應急服務提供者應明確告知服務對象所采取的根除措施可能帶來的風險，制定應變和回退措施，并得到服務對象的書面授權；丄應急服務提供者應協(xié)助服務對象進行根除方法的實施。3?4?3根除方案的實施丄應急服務提供者應使用可信的工具進行安全事件的根除處理，不得使用受害系統(tǒng)已有的不可信的文件和工具；丄根除措施易包含但不僅限與以下幾個方面：?改變?nèi)靠赡苁艿焦舻南到y(tǒng)帳號和口令，并增加口令的安全級別；?修補系統(tǒng)、網(wǎng)絡和其他軟件漏洞；?增強防護功能：復查所有防護措施的配置，安裝最新的防火墻和殺毒軟件，并及時更新，對未受保護或者保護不夠的系統(tǒng)增加新的防護措施；?提高其監(jiān)視保護級別，以保證將來對類似的入侵進行檢測；3.4.4根除效果的判定