應急響應服務方案應急響應服務方案目錄響應原則(3)處理原則(4)13應急響應服務(5)應急事件的影響程度(5)應急事件的影響級別分類(6)應急事件的優(yōu)先級處理(6)應急事件響應(7)應急響應保障措施(9)應急響應組織保障(11)組織機構與職責(11)組織的外部協(xié)作(12)應急響應流程(12)準備階段(14)檢測階段(18)抑制階段(21)164根除階段(23)恢復階段(25)總結階段(27)各類應急事件處理預案(28)設備發(fā)生被盜或人為損害事件應急預案(28)通信網絡故障應急預案(28)不良信息和網絡病毒事件應急預案(29)服務器軟件系統(tǒng)故障應急預案(29)黑客攻擊事件應急預案(30)核心設備硬件故障應急預案(30)業(yè)務數(shù)據損壞應急預案(31)審核并批準經費預算、恢復策略、應急響應計劃;批準并監(jiān)督應急響應計劃的執(zhí)行；指導應急響應實施小組的應急處置工作;啟動定期評審、修訂應急響應計劃以及負責組織的外部協(xié)作。技術人員準備內容.服務需求界定首先要對整個信息系統(tǒng)進行評估，明確應急需求，具體應包含以下內容：了解各項業(yè)務功能及其之間的相關性，確定支持各種業(yè)務功能的相關信息系統(tǒng)資源及其他資源，明確相關信息的保密性、完整性和可用性要求；對信息系統(tǒng)，包括應用程序、服務器、網絡及任何管理和維護這些系統(tǒng)的流程進行評估，確定系統(tǒng)所執(zhí)行的關鍵功能，并確定執(zhí)行這些關鍵功能所需要的特定系統(tǒng)資源；采用定性或定量的方法，對業(yè)務中斷、系統(tǒng)宕機、網絡癱瘓等應急事件造成的影響進行評估；協(xié)助客戶建立適當?shù)膽表憫呗?，提供在業(yè)務中斷、系統(tǒng)宕機、網絡癱瘓等應急事件發(fā)生后快速有效的恢復信息系統(tǒng)運行的方法；為用戶提供相關的培訓服務，以提高用戶的安全意識，便于相關責任人明確自己的角色和責任。了解常見的應急事件和入侵行為，熟悉應急響應策略。.主機和網絡設備安全初始化快照和備份在系統(tǒng)安全策略配置完成后，要對系統(tǒng)優(yōu)生次初始安全狀態(tài)快照。這樣，如果以后出現(xiàn)事故后對該服務器做安全檢測時，通過將初始化快照做的結果與檢測階段做的快照進行比較，就能夠發(fā)現(xiàn)系統(tǒng)的改動或異常。對主機系統(tǒng)做一個標準的安全初始化的狀態(tài)快照，包括的主要內容有：日志及審核策略快照；用戶賬戶快照；進程快照；服務快照；自啟動快照；關鍵文件簽名快照；開放端口快照；系統(tǒng)資源利用率的快照；注冊表快照；計劃任務快照等；對網絡設備做一個標準的安全初始化的狀態(tài)，包括的主要內容有:路由器快照；安全設備快照；用戶快照；系統(tǒng)資源利用率等快照。信息系統(tǒng)的業(yè)務數(shù)據及辦公數(shù)據均十分重要，因此需要進行數(shù)據存儲及備份。目前，存儲備份結構主要有DAS、SAN和NAS,以及通過磁帶或光盤對數(shù)據進行備份?？筛鶕煌奶攸c選擇不同的存儲產品構建自己的數(shù)據存儲備份系統(tǒng)。.工具包的準備根據用戶的需求準備處置網絡應急事件的工具包，包括常用的系統(tǒng)基本命令、其他軟件工具等;工具包中的工具采用綠色免安裝的，保存在安全的移動介質上，如一次性可寫光盤、加密的U盤等；工具包應定期更新、補充。.必要技術的準備上述是針對應急響應的處理涉及的安全技術工具涵蓋應急響應的事件取樣、事件分析、事件隔離、系統(tǒng)恢復和攻擊迫蹤等各個方面，構成了網絡安全應急響應的技術基礎。所以應急響應服務實施成員還應該掌握一些必要的技術手段和規(guī)范，具體包括以下內容。系統(tǒng)檢測技術，包括以下檢測技術規(guī)范：Windows系統(tǒng)檢測技術規(guī)范；UNIX系統(tǒng)檢測技術規(guī)范；網絡安全牢固檢測技術規(guī)范；數(shù)據庫系統(tǒng)檢測技術規(guī)范；常見的應用系統(tǒng)檢測技術規(guī)范。攻擊檢測技術.包括以下技術異常行為分析技術；入侵檢測技術；安全風險評估技術；攻擊追蹤技術?，F(xiàn)場取樣技術。系統(tǒng)安全加固技術。攻擊隔離技術。資產備份恢復技術。檢測階段目標：接到事故報警后在用戶的配合下對異常的系統(tǒng)進行初步分析，確認其是否真正發(fā)生了信息應急事件，并制訂進步的響應策略析，確認其是否真正發(fā)生了信息應急事件，并制訂進步的響應策略并保留證據。角色：應急服務實施小組成員、應急響應日常運行小組。內容：包括以下幾項。檢測范圍及對象的確定；檢測方案的確定；檢測方案的實施；檢測結果的處理；實施小組人員的確定應急響應負責人根據《事件初步報告表》的內容，初步分析事故的類型、嚴重程度等，以此來確定應急響應小組的實施人員的名單。1.6.檢測范圍及對象的確定對發(fā)生異常的系統(tǒng)進行初步分析，判斷是否真正發(fā)生了應急事件;與用戶共同確定檢測對象及范圍；檢測對象及范圍應得到用戶的書面授權。1.6.23檢測方案的確定與用戶共同確定檢測方案；制訂的檢測方案應明確所使用的檢測規(guī)范；制訂的檢測方案應明確檢測范圍，其檢測范圍應僅限于用戶已授權的與應急事件相關的數(shù)據，對用戶的機密性數(shù)據信息未經允許不得訪問；制訂的檢測方案應包含實施方案失敗的應變和回退措施；與用戶充分溝通，并預測應急處理方案可能造成的影響。1.6.2.4檢測方案的實施檢測搜集系統(tǒng)信息：記錄使用目錄及文件名約定。搜集操作系統(tǒng)基本信息：包含網絡連接信息、進程信息、IP屬性、操作系統(tǒng)屬性。日志信息:導出所有日志信息賬號信息:導出所有賬號信息主機檢測日志檢查：從日志信息中檢測出未授權訪問或非法登錄整件；賬號檢查：檢查賬號信息中非正常賬號、隱藏賬號。進程檢查：檢查是否有未被授權的應用程序或服務。服務檢查：檢查系統(tǒng)是否存在非法服務。自啟動檢查：檢查未授權自啟動程序。網絡連接檢查：檢查非正常開放的端口。共享檢查：檢查非法共享目錄。文件檢查：檢查病毒、木馬、蠕蟲、后門等可疑文件。1.8應急事件響應建議(32)應急事件現(xiàn)場處理(32)應急事件的事后處理(33)應急保障措施(34)184應急體系完善(35)隨著網絡信息化建設的不斷深入，加強各類設備、系統(tǒng)以及信息與網絡安全等方面應對應急事件的處理能力將是運維項目面臨的一項重要任務。為確保系統(tǒng)及機房安全與穩(wěn)定，以保證正常運行為宗旨,按照"預防為主，積極處置〃的原則，本著建立一個有效處置應急事件，建立統(tǒng)一指揮、職責明確運轉有序、反應迅速處置有力的安全體系的目標，將正在發(fā)生或已發(fā)生事故的損害程度減輕到最低,確保系統(tǒng)和數(shù)據安全，特制定本應急保障方案。在應急事件發(fā)生時，通過應急事件處置與應急響應機制，保障計算機信息系統(tǒng)繼續(xù)運行或緊急恢復，可歸納為3個方面：緊急事件或安全發(fā)生時的影響分析；應急預案的詳細制訂；應急預案的演練與完善。應急響應原則實時原則應急響應服務中心配備了7X24的人員值班機制，保證接受客戶在任意時間提出的服務請求。并在接到客戶的服務請求以后，在1個小時之內給予響應。規(guī)范性原則對于每一次應急事件的發(fā)生都有嚴格的事件記錄，記錄事件處理的全部過程，對于現(xiàn)場處理事件由用戶簽署認可建議。最小性原則事件處理過程中，將事件對整個系統(tǒng)的影響降低到最小，強化處理前的分析與備份工作。保密性原則對于所有事件的處理內容、時間、地點，嚴格遵從保密原則，不向任何的第三方透漏。應急處理原則.預防為主。立足安全防護，加強預警，重點保護基礎信息網絡和信息系統(tǒng)安全、穩(wěn)定，從預防、監(jiān)控、應急處理、應急保障等環(huán)節(jié),在管理、技術、人員等方面采取多種措施充分發(fā)揮各方面的作用，共同構筑安全保障體系。.快速反應。應急事件發(fā)生時，按照快速反應機制，及時獲取充分而準確的信息，跟蹤研判，果斷決策，迅速處置，最大程度地減少危害和影響。.分級負責。按照“誰主管，誰負責"的原則，建立和完善安全責任制及聯(lián)動工作機制。根據各負責人的職能，各司其職，加強各負責人的協(xié)調與配合，共同履行應急處置工作的管理職責。.以人為本。把保障人員以及客戶利益的安全作為首要任務。.常備不懈。加強技術儲備，規(guī)范應急處置措施與操作流程，定期進行預案演練，確保應急預案切實有效，實現(xiàn)網絡與信息安全突發(fā)公共事件應急處置的科學化、程序化與規(guī)范化。13應急響應服務應急事件響應，是當應急事件發(fā)生后迅速采取的措施和行為，其目的是以最快的速度恢復系統(tǒng)的保密性，完整性和可用性，降低應急事件對業(yè)務系統(tǒng)造成的損失。針對運維服務項目，除有駐場工程師進行日常巡檢和維護的工作外，還成立信息系統(tǒng)運維4S組，提供應急響應服務。當設備、軟件和基礎網絡出現(xiàn)故障時，原則上由駐場運維工程現(xiàn)場解決，如果現(xiàn)場服務工程無法解決，事件升級為后臺技術支持團隊解決。保障在1小時內做出明確響應和安排，2小時內提供診斷報告和故障解決方案。同時，根據客戶的具體情況，制定和編寫信息系統(tǒng)應急預案，保障客戶信息系統(tǒng)的可靠，安全的運行。應急事件的影響程度通常在事件爆發(fā)的初期很難界定事件的起因具體是什么，所以，通常又通過安全威脅事件的影響程度分為單點損害、局部損害和整體損害3類。單點損害：只造成獨立個體的不可用，應急事件影響程度弱。局部損害：造成某一系統(tǒng)或一個局部網絡不可使用，應急事件影響程度較強。整體損害：造成整個網絡系統(tǒng)的不可使用，應急事件影響程度強。應急事件的影響級別分類確定事件影響程度的級別。不同的威脅級別，處理方法也不相同。根據對業(yè)務系統(tǒng)的影響程度從大到小的順序將應急事件劃分成4個等級。第一級應急事件P1引起重要業(yè)務系統(tǒng)或有重要影響的應用系統(tǒng)宕機，系統(tǒng)重新引導后無法正常工作與恢復的事故，或造成安全泄密事件；第二級應急事件P2重復發(fā)生或重復再現(xiàn)的并產生較強影響作用，導致系統(tǒng)正常運行的事故；第三級應急事件P3間歇產生、隨機產生的事故，但不影響系統(tǒng)的正常運行；第四級應急事件P4一般性事件，與業(yè)務系統(tǒng)運行或產品使用要關的問題，不影響整個系統(tǒng)的正常運行。應急事件的優(yōu)先級處理(1)事件處理要素事件處理要素分為管理層面和技術層面；PlsP2級事件的啟動和指揮由應急總負責人負責；P3、P4級事件的啟動應急領導小組負責。事件動態(tài)由應急工作小組人員收集并及時反饋給應急領導小組，應急領導小組決定信息的共享、溝通、處置。信息系統(tǒng)事件發(fā)生后，事發(fā)部門立即啟動相關應急預案，實施處置并及時報送信息。(2)分級響應發(fā)生Pl、P2級事件，由應急工作小組初步判定事件級別后，將信息通知應急領導小組并注意持續(xù)監(jiān)控事態(tài)、收集信息、做出應急準備；應急領導小組響應判斷為PLP2級事件后，立即通知應急總負責人，并由應急總負責人啟動應急預案。發(fā)生P3、P4級事件,由應急工作小組初步判定事件級別后,將信息通知應急領導小組并注意持續(xù)監(jiān)控事態(tài)、收集信息、做出應急準備；應急領導小組響應判斷為P3、P4級事件后，立即啟動應急預案。應急事件的級別應置于動態(tài)調整控制中。(3)指揮與協(xié)調PlsP2級事件，由應急工作小組收集信息，應急領導小組做出預判，并迅速通知應急總負責人，由應急總負責人進行指揮和決策。P3、P4級事件，由應急領導小組進行指揮和決策，并及時將處理過程、報告等上報應急總負責人。(4)信息共享和處理Pl、P2級事件，由應急工作小組收集信息并提交給應急領導小組和應急總負責人，由應急總負責人決定信息的分發(fā)、共享和處置。P3、P4級事件，由應急領導小組決定信息的分發(fā)、共享和處置，并上報應急總負責人。應急事件響應當客戶系統(tǒng)發(fā)生緊急事件時，對應的處理方法原則是首先保護或恢復計算機、網絡服務等，使其恢復正常運行，然后再對事件進行追查.因此對于客戶緊急事件響應服務主要包括準備、識別事件(判定應急事件類型)、抑制(縮小事件的影響范圍)、解決問題、恢復以及后續(xù)跟蹤。準備工作；建立客戶事件檔案；與客戶就故障級別進行定義；準備應急事件緊急響應服務相關資源；為一個應急事件的處理取得管理方面支持；組建事件處理隊伍；提供易實現(xiàn)的初步報告；制定一個緊急后備方案；隨時與管理員保持聯(lián)系；識別事件；在指定時間內指派安全服務小組去負責此事件；事件抄送專家小組；初步評估，確定事件原因；保護可追查的線索，諸如立即對日志、數(shù)據進行備份；聯(lián)系客戶系統(tǒng)的相關服務商、廠商；縮小事件的影響范圍；；確定系統(tǒng)繼續(xù)運行的風險，決定是否關閉系統(tǒng)及采取其他措施；與客戶相關工作人員保持聯(lián)系、協(xié)商；根據需求制訂相應的應急措施；解決問題；事件的起因分析；事后取證調查；后門檢查；漏洞分析；提供解決方案；結果提交專家小組審核；后續(xù)工作；檢查是不是所有的服務都已經恢復；其發(fā)生的原因是否已經處理；應急響應步驟是否需要修改；生成緊急響應報告；擬定一份事件記錄和跟蹤報告；事件合并、錄入信息知識庫。1.4應急響應保障措施(1)工具保障我們建立了一套專門用于應急響應工具庫，保證提供應急響應服務的工程師一人一套工具；為防止光盤損壞和丟失，并將此工具庫進行了多套備份；同時指定了專業(yè)技術人員進行工具庫的管理與維護，包括工具的測試、版本升級與維護等。(2)技術和人員保障公司擁有一支技術精湛、專業(yè)、穩(wěn)定的技術團隊，多位在網絡、主機、數(shù)據庫、安全等多個領域具體豐富的實踐經驗的資深工程師。公司指定技術專員整理技術經驗和心得并錄入知識信息數(shù)據庫，一方面供技術部定期組織培訓會議使用(對典型案例進行分析和學習)，另一方面供TS客服中心查詢以電話遠程技術指導。公司建立了圖書室，圖書室內目前擁有信息安全類、計算機應用類、網絡管理類、分級保護相關資料與規(guī)范、等級保護相關資料與規(guī)范等方面書籍，以方便技術人員借閱。公司定期組織技術人員進行專項技術培訓學習，并以考試的方法檢查技術人員的掌握情況，有針對性的對技術人員進行幫助和指導。公司鼓勵員工報考知名廠商技術認證，進行更專業(yè)的技術學習，并在考試費用上給予報銷。(3)交通保障緊急事件，公司應急車輛保障，可以保證在突發(fā)應急事件時能做出快速響應，第一時間趕到事件現(xiàn)場進行處置。(4)財力保障公司有專門的經費和審批流程，確保在應急響應處理過程中需要的款項能迅速到位，保障應急事件的處理和故障恢復。應急響應組織保障組織機構與職責針對項目，我公司成立專門應急處置小組，包含：應急領導小組和應急工作小組。(1)應急領導小組應急領導小組是信息安全應急響應工作的組織領導機構，組長由組織最高管理層成員擔任。職責是統(tǒng)一領導信息系統(tǒng)的應急事件的公司內部應急處理工作，發(fā)起研究重大應急決策和部署，決定實施和終止應急預案，領導和決策信息安全應急響應的重大事宜，主要職責如下：制訂工作方案；提供人員和物質保證；審核并批準經費預算；審核并批準恢復策略；審核并批準應急響應計劃；批準并監(jiān)督應急響應計劃的執(zhí)行；指導應急響應實施小組的應急處置工作；啟動定期評審、修訂應急響應計劃以及負責組織的外部協(xié)作。（2）應