卡通藍(lán)色風(fēng)2023信息安全應(yīng)急響應(yīng)處置方案PPT模板

匯報：紅陽老師時間：2023.7.180232信息安全應(yīng)急響應(yīng)處置方案處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案目錄01.信息安全應(yīng)急響應(yīng)處置方案規(guī)程02.信息安全應(yīng)急預(yù)案編制與演練INFORMATIONSECURITYEMERGENCY信息安全應(yīng)急響應(yīng)處置方案規(guī)程處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案PART/01處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案信息安全應(yīng)急響應(yīng)處置方案規(guī)程應(yīng)急響應(yīng)響應(yīng)對象應(yīng)急處置組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，已及在事件發(fā)生后所采取的的措施。信息安全應(yīng)急響應(yīng)是指在計算機(jī)系統(tǒng)或網(wǎng)絡(luò)上的威脅安全的事件發(fā)生后采取的措施和行動?！ㄐ畔踩珣?yīng)急響應(yīng)計劃規(guī)范GB/T24363-2009）指針對信息系統(tǒng)所存儲、傳輸、處理的信息的安全事件。事件的主體可能來自自然界、系統(tǒng)自身故障、組織內(nèi)部或外部的人為攻擊等。按照信息系統(tǒng)安全的三個特性，可以把安全事件定義為破壞信息或信息處理系統(tǒng)CIA的行為，即破壞保密性的安全事件、破壞完整性的安全事件和破壞可用性的安全事件等?！ㄐ畔⑾到y(tǒng)等保體系框架GA/T708-2007）啟動應(yīng)急響應(yīng)計劃后，應(yīng)立即采取相關(guān)措施抑制信息安全事件影響，避免造成更大損失。在確定有效控制了信息安全事件影響后，開始實施恢復(fù)操作?；謴?fù)階段的行動集中于建立臨時業(yè)務(wù)處理能力、修復(fù)原系統(tǒng)的損害、在原系統(tǒng)或新設(shè)施中恢復(fù)運行業(yè)務(wù)能力等應(yīng)急措施?！ㄐ畔踩珣?yīng)急響應(yīng)計劃規(guī)范GB/T24363-2009）應(yīng)急響應(yīng)定義處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案信息安全應(yīng)急響應(yīng)處置方案規(guī)程信息安全應(yīng)急響應(yīng)要求—信息安全等級保護(hù)應(yīng)急預(yù)案管理a)

應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容；b)

應(yīng)從人力、設(shè)備、技術(shù)和財務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障；c)

應(yīng)對系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次；d)

應(yīng)定期對應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期；e)

應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實際情況更新的內(nèi)容，并按照執(zhí)行。安全事件處置a)

應(yīng)報告所發(fā)現(xiàn)的安全弱點和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗證弱點；b)

應(yīng)制定安全事件報告和處置管理制度，明確安全事件的類型，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)的管理職責(zé)；c)

應(yīng)根據(jù)國家相關(guān)管理部門對計算機(jī)安全事件等級劃分方法和安全事件對本系統(tǒng)產(chǎn)生的影響，對本系統(tǒng)計算機(jī)安全事件進(jìn)行等級劃分；d)

應(yīng)制定安全事件報告和響應(yīng)處理程序，確定事件的報告流程，響應(yīng)和處置的范圍、程度，以及處理方法等；f)

對造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不同的處理程序和報告程序。處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案信息安全應(yīng)急響應(yīng)處置方案規(guī)程信息安全應(yīng)急響應(yīng)要求—總體指導(dǎo)思想與原則3W1H原則易失性原則要素原則避害原則應(yīng)急響應(yīng)的基本流程應(yīng)急輸入應(yīng)急輸出應(yīng)急工具集日志分析威脅情報漏洞補(bǔ)丁知識樣本分析操作系統(tǒng)知識處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案信息安全應(yīng)急響應(yīng)處置方案規(guī)程信息安全應(yīng)急響應(yīng)要求—總體指導(dǎo)思想與原則3W1H原則3W即Who、What、Why，1H即How，做應(yīng)急響應(yīng)要帶著疑問來做事，一定要收集清楚這些信息。網(wǎng)絡(luò)拓?fù)涫窃趺礃拥模啃枨笫巧?？發(fā)生了什么事？你能做什么？用戶用了什么產(chǎn)品？產(chǎn)品版本多少？病毒庫版本多少？多少主機(jī)中了？主機(jī)是普通PC還是服務(wù)器？服務(wù)器是做什么的？……信息收集越多，對應(yīng)急響應(yīng)越有利。避害原則做應(yīng)急響應(yīng)，要做到趨利避害，不能問題還沒有解決，反而引入了新的問題。譬如，自己使用的工具被感染而不知情；給用戶使用不恰當(dāng)?shù)墓ぞ呋蜍浖斐煽蛻糁鳈C(jī)出現(xiàn)問題；給別人發(fā)樣本，不加密，不壓縮，導(dǎo)致別人誤點中毒，最極端的場景就是給別人發(fā)勒索樣本不加密壓縮，導(dǎo)致別人誤點中毒。易失性原則做應(yīng)急響應(yīng)免不了要做信息收集和取證的，但這里是有一定的先后順序的，即最容易丟失數(shù)據(jù)，應(yīng)該最先收集，其它的依次類推。要素原則做應(yīng)急響應(yīng)，主要是抓關(guān)鍵證據(jù)，即要素，這些要素包括樣本、流量、日志、進(jìn)程及模塊、內(nèi)存、啟動項。處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案信息安全應(yīng)急響應(yīng)處置方案規(guī)程網(wǎng)絡(luò)安全應(yīng)急響應(yīng)管理機(jī)制垂直或下機(jī)機(jī)構(gòu)：市級分支機(jī)構(gòu)或區(qū)縣級分支機(jī)構(gòu)網(wǎng)絡(luò)安全應(yīng)急辦公室/小組（協(xié)調(diào)中心）顧問組技術(shù)專家組公共輿論組網(wǎng)絡(luò)安全應(yīng)急領(lǐng)導(dǎo)小組（決策中心）應(yīng)急支撐單位通信/網(wǎng)絡(luò)設(shè)施企業(yè)涉事互聯(lián)網(wǎng)企業(yè)供應(yīng)商電信運營商專業(yè)網(wǎng)絡(luò)安全廠商業(yè)務(wù)關(guān)聯(lián)單位受業(yè)務(wù)影響的主管公安、工信部門，金融監(jiān)管、國家安全、工商、稅務(wù)等部門及其他相關(guān)單位如部門。處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案信息安全應(yīng)急響應(yīng)處置方案規(guī)程應(yīng)急響應(yīng)組織結(jié)構(gòu)及職責(zé)應(yīng)急領(lǐng)導(dǎo)小組應(yīng)急專家小組應(yīng)急領(lǐng)導(dǎo)小組應(yīng)急領(lǐng)導(dǎo)小組應(yīng)急領(lǐng)導(dǎo)小組應(yīng)急事件技術(shù)能力的支撐技術(shù)資源協(xié)調(diào)……..應(yīng)急事件的日常監(jiān)控應(yīng)急事件的響應(yīng)……應(yīng)急事件的處理重要信息系統(tǒng)的業(yè)務(wù)能力恢復(fù)……..。組織開展應(yīng)急響應(yīng)工作應(yīng)急響應(yīng)啟動條件的決策應(yīng)急響應(yīng)所需資源的協(xié)調(diào)……….處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案信息安全應(yīng)急響應(yīng)處置方案規(guī)程應(yīng)急事件類型計算機(jī)病毒事件蠕蟲事件特洛伊木馬事件僵尸網(wǎng)絡(luò)事件混合攻擊程序事件網(wǎng)頁內(nèi)嵌惡意代碼事件有害程序事件拒絕服務(wù)攻擊事件后門攻擊事件漏洞攻擊事件網(wǎng)絡(luò)掃描竊聽事件網(wǎng)絡(luò)釣魚事件干擾事件網(wǎng)絡(luò)攻擊事件信息篡改事件信息內(nèi)容安全事件信息假冒事件信息泄露事件信息竊取事件信息丟失事件信息破壞事件軟硬件自身故障外圍保障設(shè)施故障人為破壞事件設(shè)備設(shè)施故障處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案信息安全應(yīng)急響應(yīng)處置方案規(guī)程應(yīng)急事件等級事件描述等級信息安全事件影響信息系統(tǒng)損害程度特別重大事件I級特別嚴(yán)重影響或破壞特別嚴(yán)重重大事件II級嚴(yán)重影響或破壞重大較大事件III級較嚴(yán)重影響或破壞較大一般事件IV級較小影響或破壞較小處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案信息安全應(yīng)急響應(yīng)處置方案規(guī)程信息安全應(yīng)急響應(yīng)流程信息安全應(yīng)急響應(yīng)流程1準(zhǔn)備階段2檢測階段3抑制階段4根除階段5恢復(fù)階段6事后活動階段處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案信息安全應(yīng)急響應(yīng)處置方案規(guī)程分析資產(chǎn)的風(fēng)險1）明確信息系統(tǒng)網(wǎng)絡(luò)與系統(tǒng)架構(gòu)。

2）明確信息系統(tǒng)的管理人員。

3）明確信息系統(tǒng)的保護(hù)要求。

4）計算損失和影響。編制應(yīng)急預(yù)案1）制定應(yīng)急處理的操作步驟。

2）制定應(yīng)急處理的報告路線。

3）制定信息系統(tǒng)恢復(fù)的優(yōu)先級順序。

4）明確配合的人員信息。風(fēng)險加固1）根據(jù)風(fēng)險建立防御/控制措施。

2）安全管理及安全技術(shù)層面要同時兼顧。處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案信息安全應(yīng)急響應(yīng)處置方案規(guī)程組建應(yīng)急響應(yīng)團(tuán)隊組建管理人員團(tuán)隊。組建技術(shù)人員團(tuán)隊。明確人員職責(zé)。建立應(yīng)急響應(yīng)組織人員清單。保障資源儲備信息安全應(yīng)急響應(yīng)專項資金。應(yīng)急響應(yīng)所需的軟硬件設(shè)備。社會關(guān)系資源。技術(shù)支持資源庫網(wǎng)絡(luò)拓?fù)鋱D。信息系統(tǒng)及設(shè)備安裝配置文檔。常見問題處理手冊。

……信息安全應(yīng)急響應(yīng)流程—準(zhǔn)備階段處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案信息安全應(yīng)急響應(yīng)處置方案規(guī)程控制事件蔓延1）采取有效的措施防止事件的進(jìn)一步擴(kuò)大。

2）盡可能減少負(fù)面影響。信息安全應(yīng)急響應(yīng)流程—抑制階段抑制響應(yīng)1）采取常規(guī)的技術(shù)手段處理應(yīng)急事件。

2）嘗試快速修復(fù)系統(tǒng)，消除應(yīng)急事件帶來的影響。抑制監(jiān)測1）確認(rèn)當(dāng)前的抑制手段是否有效。

2）分析應(yīng)急事件發(fā)生的原因，為根除階段提供解決方案。處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案信息安全應(yīng)急響應(yīng)處置方案規(guī)程啟動應(yīng)急預(yù)案1）協(xié)調(diào)各應(yīng)急響應(yīng)小組人員到位。2）根據(jù)應(yīng)急場景啟動相關(guān)預(yù)案。信息安全應(yīng)急響應(yīng)流程—根除、恢復(fù)階段根除監(jiān)測1）根據(jù)應(yīng)急預(yù)案的執(zhí)行情況確認(rèn)處置是否有效。

2）嘗試恢復(fù)信息系統(tǒng)的正常運行。持續(xù)監(jiān)測1）當(dāng)應(yīng)急處置成功后對應(yīng)急事件持續(xù)監(jiān)測。

2）確認(rèn)應(yīng)急事件已根除。

3）信息系統(tǒng)運行恢復(fù)到正常狀況。處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案信息安全應(yīng)急響應(yīng)處置方案規(guī)程應(yīng)急事件調(diào)查1）對應(yīng)急事件發(fā)生的原因進(jìn)行調(diào)查。

2）評估應(yīng)急事件對信息系統(tǒng)造成的損失。

3）評估應(yīng)急事件對單位、組織帶來的影響。信息安全應(yīng)急響應(yīng)流程—事后活動階段應(yīng)急響應(yīng)總結(jié)1）對存在的風(fēng)險點進(jìn)行加固和整改。

2）評價應(yīng)急預(yù)案的執(zhí)行情況和后續(xù)改進(jìn)計劃。

3）對應(yīng)急響應(yīng)組織成員進(jìn)行評價，表彰立功人員。應(yīng)急響應(yīng)情況報告1）由應(yīng)急響應(yīng)實施小組報告應(yīng)急事件的處置情況。2）由應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組下達(dá)應(yīng)急響應(yīng)結(jié)束的指令。處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案信息安全應(yīng)急響應(yīng)處置方案規(guī)程信息安全事故應(yīng)急保障通信與信息保障在專業(yè)通信網(wǎng)的基礎(chǔ)上，加強(qiáng)應(yīng)急通信裝備準(zhǔn)備，建立備份系統(tǒng)和緊急保障措施，形成跨部門、多手段、多路由，有線和無線相結(jié)合、微波和衛(wèi)星相結(jié)合的反應(yīng)快速、靈活機(jī)動、穩(wěn)定可靠通信系統(tǒng)。應(yīng)急裝備保障各重要信息系統(tǒng)的業(yè)主單位在建設(shè)系統(tǒng)時應(yīng)事先預(yù)留出一定的應(yīng)急設(shè)備，建立信息網(wǎng)絡(luò)硬件、軟件、應(yīng)急救援設(shè)備等應(yīng)急物資庫。在網(wǎng)絡(luò)與信息安全突發(fā)公共事件發(fā)生時，由省協(xié)調(diào)小組辦公室負(fù)責(zé)統(tǒng)一調(diào)用。數(shù)據(jù)保障重要信息系統(tǒng)均應(yīng)建立異地容災(zāi)備份系統(tǒng)和相關(guān)工作機(jī)制，保證重要數(shù)據(jù)在受到破壞后，可緊急恢復(fù)。處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案信息安全應(yīng)急響應(yīng)處置方案規(guī)程信息安全事故應(yīng)急保障應(yīng)急隊伍保障按照一專多能的要求建立網(wǎng)絡(luò)與信息安全應(yīng)急保障隊伍。選擇若干經(jīng)國家有關(guān)部門資質(zhì)認(rèn)可的，具有管理規(guī)范、服務(wù)能力較強(qiáng)的企業(yè)作為全省網(wǎng)絡(luò)與信息安全的社會應(yīng)急支援單位，提供技術(shù)支持與服務(wù)；必要時能夠有效調(diào)動機(jī)關(guān)團(tuán)體、企事業(yè)單位等的保障力量，進(jìn)行技術(shù)支援。交通運輸保障主管部門應(yīng)確定網(wǎng)絡(luò)與信息安全突發(fā)公共事件應(yīng)急交通工具，確保應(yīng)急期間人員、物資、信息傳遞的需要。經(jīng)費保障為網(wǎng)絡(luò)安全事件應(yīng)急處置提供必要的資金保障。利用現(xiàn)有政策和資金渠道，支持網(wǎng)絡(luò)安全應(yīng)急技術(shù)支撐隊伍建設(shè)、專家隊伍建設(shè)、基礎(chǔ)平臺建設(shè)、技術(shù)研發(fā)、預(yù)案演練、物資保障等工作開展。INFORMATIONSECURITYEMERGENCY信息安全應(yīng)急預(yù)案編制與演練處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案PART/02處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案信息安全應(yīng)急預(yù)案編制與演練信息安全應(yīng)急預(yù)案編制與演練應(yīng)急預(yù)案的類型綜合預(yù)案特定系統(tǒng)預(yù)案專題預(yù)案單項預(yù)案組織開展應(yīng)急響應(yīng)工作的指導(dǎo)性文件具體類型的安全事件解決方案特定環(huán)境下、特定安全事件的處理方案針對場景的一次性解決方案處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案信息安全應(yīng)急預(yù)案編制與演練應(yīng)急預(yù)案框架一級目錄

（行業(yè)指引）二級目錄

（綜合預(yù)案）三級目錄

（特定系統(tǒng)預(yù)案）四級目錄

（專題預(yù)案）五級目錄

（技術(shù)資源庫）組織開展信息安全應(yīng)急響應(yīng)工作指南

信息安全應(yīng)急綜合預(yù)案

應(yīng)用系統(tǒng)專項應(yīng)急預(yù)案XX機(jī)房空調(diào)應(yīng)急預(yù)案XX產(chǎn)品安裝配置文檔

XX產(chǎn)品常見問題處理手冊

XX產(chǎn)品問題處理單主機(jī)系統(tǒng)專項應(yīng)急預(yù)案XX品牌服務(wù)器應(yīng)急預(yù)案網(wǎng)絡(luò)系統(tǒng)專項應(yīng)急預(yù)案XX品牌網(wǎng)絡(luò)交換機(jī)應(yīng)急預(yù)案信息安全專項應(yīng)急預(yù)案XX品牌防火墻應(yīng)急預(yù)案處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案信息安全應(yīng)急預(yù)案編制與演練應(yīng)急預(yù)案的編制步驟01啟動應(yīng)急預(yù)案編制工作02調(diào)查和風(fēng)險評估03應(yīng)急資源和能力評估04編制應(yīng)急預(yù)案05應(yīng)急預(yù)案的評審與修改06應(yīng)急預(yù)案的發(fā)布與生效處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案信息安全應(yīng)急預(yù)案編制與演練應(yīng)急預(yù)案的啟動執(zhí)行過程預(yù)案啟動確定是否發(fā)生信息安全事件對事件定級上報是否有相應(yīng)的特定系統(tǒng)預(yù)案是否有針對該類事件的專項預(yù)案采取措施抑制事件擴(kuò)散對事件進(jìn)行根除恢復(fù)系統(tǒng)運行評估損失編寫事件處理報告結(jié)束響應(yīng)結(jié)束響應(yīng)啟動特定系統(tǒng)預(yù)案啟動專題預(yù)案處置規(guī)程I應(yīng)急演練I應(yīng)急預(yù)案信息安全應(yīng)急預(yù)案編制與演練應(yīng)急演練基本過程與任務(wù)演習(xí)準(zhǔn)備階段演習(xí)實施階段演習(xí)總結(jié)階段任務(wù)1確定演習(xí)日期任務(wù)2確定演習(xí)目標(biāo)和范圍任務(wù)3編寫演習(xí)方案任務(wù)4確定演習(xí)現(xiàn)場規(guī)則任務(wù)5指定評價人員任務(wù)6安排后勤工作任