應(yīng)急響應(yīng)服務(wù)方案

應(yīng)急響應(yīng)服務(wù)方案

目錄 應(yīng)急響應(yīng)原則 5 應(yīng)急解決原則 6 應(yīng)急響應(yīng)服務(wù) 7 應(yīng)急事件的影響程度 7 應(yīng)急事件的影響級別分類 8 應(yīng)急事件的優(yōu)先級解決 8 應(yīng)急事件響應(yīng) 9 應(yīng)急響應(yīng)保障方法 11 應(yīng)急響應(yīng)組織保障 13 組織機(jī)構(gòu)與職責(zé) 13 組織的外部協(xié)作 14 應(yīng)急響應(yīng)流程 14 準(zhǔn)備階段 16 檢測階段 20 克制階段 23 根除階段 25 恢復(fù)階段 27 總結(jié)階段 29 各類應(yīng)急事件解決預(yù)案 30 設(shè)備發(fā)生被盜或人為損害事件應(yīng)急預(yù)案 30 通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案 30 不良信息和網(wǎng)絡(luò)病毒事件應(yīng)急預(yù)案 31 服務(wù)器軟件系統(tǒng)故障應(yīng)急預(yù)案 31 黑客攻擊事件應(yīng)急預(yù)案 32 核心設(shè)備硬件故障應(yīng)急預(yù)案 32 業(yè)務(wù)數(shù)據(jù)損壞應(yīng)急預(yù)案 33 應(yīng)急事件響應(yīng)建議 34 應(yīng)急事件現(xiàn)場解決 34 應(yīng)急事件的事后解決 35 應(yīng)急保障方法 36 應(yīng)急體系完善 37

隨著網(wǎng)絡(luò)信息化建設(shè)的不停進(jìn)一步，加強(qiáng)各類設(shè)備、系統(tǒng)以及信息與網(wǎng)絡(luò)安全等方面應(yīng)對應(yīng)急事件的解決能力將是運(yùn)維項目面臨的一項重要任務(wù)。為確保系統(tǒng)及機(jī)房安全與穩(wěn)定，以確保正常運(yùn)行為宗旨，按照“防止為主，主動處置”的原則，本著建立一種有效處置應(yīng)急事件，建立統(tǒng)一指揮、職責(zé)明確運(yùn)轉(zhuǎn)有序、反映快速處置有力的安全體系的目的，將正在發(fā)生或已發(fā)生事故的損害程度減輕到最低，確保系統(tǒng)和數(shù)據(jù)安全，特制訂本應(yīng)急保障方案。在應(yīng)急事件發(fā)生時，通過應(yīng)急事件處置與應(yīng)急響應(yīng)機(jī)制，保障計算機(jī)信息系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)，可歸納為3個方面：緊急事件或安全發(fā)生時的影響分析；應(yīng)急預(yù)案的具體制訂；應(yīng)急預(yù)案的演習(xí)與完善。應(yīng)急響應(yīng)原則實時原則應(yīng)急響應(yīng)服務(wù)中心配備了7X24的人員值班機(jī)制，確保接受客戶在任意時間提出的服務(wù)請求。并在接到客戶的服務(wù)請求后來，在1個小時之內(nèi)予以響應(yīng)。規(guī)范性原則 對于每一次應(yīng)急事件的發(fā)生都有嚴(yán)格的事件統(tǒng)計，統(tǒng)計事件解決的全部過程，對于現(xiàn)場解決事件由顧客簽訂承認(rèn)建議。最小性原則 事件解決過程中，將事件對整個系統(tǒng)的影響減少到最小，強(qiáng)化解決前的分析與備份工作。保密性原則 對于全部事件的解決內(nèi)容、時間、地點(diǎn)，嚴(yán)格遵從保密原則，不向任何的第三方透漏。應(yīng)急解決原則防止為主。立足安全防護(hù)，加強(qiáng)預(yù)警，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和信息系統(tǒng)安全、穩(wěn)定，從防止、監(jiān)控、應(yīng)急解決、應(yīng)急保障等環(huán)節(jié)，在管理、技術(shù)、人員等方面采用多個方法充足發(fā)揮各方面的作用，共同構(gòu)筑安全保障體系?？焖俜从场?yīng)急事件發(fā)生時，按照快速反映機(jī)制，及時獲取充足而精確的信息，跟蹤研判，果斷決策，快速處置，最大程度地減少危害和影響。分級負(fù)責(zé)。按照“誰主管，誰負(fù)責(zé)”的原則，建立和完善安全責(zé)任制及聯(lián)開工作機(jī)制。根據(jù)各負(fù)責(zé)人的職能，各司其職，加強(qiáng)各負(fù)責(zé)人的協(xié)調(diào)與配合，共同推行應(yīng)急處置工作的管理職責(zé)。以人為本。把保障人員以及客戶利益的安全作為首要任務(wù)。常備不懈。加強(qiáng)技術(shù)儲藏，規(guī)范應(yīng)急處置方法與操作流程，定時進(jìn)行預(yù)案演習(xí)，確保應(yīng)急預(yù)案切實有效，實現(xiàn)網(wǎng)絡(luò)與信息安全突發(fā)公共事件應(yīng)急處置的科學(xué)化、程序化與規(guī)范化。應(yīng)急響應(yīng)服務(wù)應(yīng)急事件響應(yīng)，是當(dāng)應(yīng)急事件發(fā)生后快速采用的方法和行為，其目的是以最快的速度恢復(fù)系統(tǒng)的保密性，完整性和可用性，減少應(yīng)急事件對業(yè)務(wù)系統(tǒng)造成的損失。針對運(yùn)維服務(wù)項目，除有駐場工程師進(jìn)行日常巡檢和維護(hù)的工作外，還成立信息系統(tǒng)運(yùn)維4S組，提供應(yīng)急響應(yīng)服務(wù)。當(dāng)設(shè)備、軟件和基礎(chǔ)網(wǎng)絡(luò)出現(xiàn)故障時，原則上由駐場運(yùn)維工程現(xiàn)場解決，如果現(xiàn)場服務(wù)工程無法解決，事件升級為后臺技術(shù)支持團(tuán)體解決。保障在1小時內(nèi)做出明確響應(yīng)和安排，2小時內(nèi)提供診療報告和故障解決方案。同時，根據(jù)客戶的具體狀況，制訂和編寫信息系統(tǒng)應(yīng)急預(yù)案，保障客戶信息系統(tǒng)的可靠，安全的運(yùn)行。應(yīng)急事件的影響程度普通在事件暴發(fā)的早期很難界定事件的起因具體是什么，因此，普通又通過安全威脅事件的影響程度分為單點(diǎn)損害、局部損害和整體損害3類。單點(diǎn)損害：只造成獨(dú)立個體的不可用，應(yīng)急事件影響程度弱。局部損害：造成某一系統(tǒng)或一種局部網(wǎng)絡(luò)不可使用，應(yīng)急事件影響程度較強(qiáng)。整體損害：造成整個網(wǎng)絡(luò)系統(tǒng)的不可使用，應(yīng)急事件影響程度強(qiáng)。應(yīng)急事件的影響級別分類擬定事件影響程度的級別。不同的威脅級別，解決辦法也不相似。根據(jù)對業(yè)務(wù)系統(tǒng)的影響程度從大到小的次序?qū)?yīng)急事件劃分成4個等級。第一級應(yīng)急事件P1 引發(fā)重要業(yè)務(wù)系統(tǒng)或有重要影響的應(yīng)用系統(tǒng)宕機(jī)，系統(tǒng)重新引導(dǎo)后無法正常工作與恢復(fù)的事故，或造成安全泄密事件；第二級應(yīng)急事件P2 重復(fù)發(fā)生或重復(fù)再現(xiàn)的并產(chǎn)生較強(qiáng)影響作用，造成系統(tǒng)正常運(yùn)行的事故；第三級應(yīng)急事件P3 間歇產(chǎn)生、隨機(jī)產(chǎn)生的事故，但不影響系統(tǒng)的正常運(yùn)行；第四級應(yīng)急事件P4 普通性事件，與業(yè)務(wù)系統(tǒng)運(yùn)行或產(chǎn)品使用要關(guān)的問題，不影響整個系統(tǒng)的正常運(yùn)行。應(yīng)急事件的優(yōu)先級解決事件解決要素事件解決要素分為管理層面和技術(shù)層面；P1、P2級事件的啟動和指揮由應(yīng)急總負(fù)責(zé)人負(fù)責(zé)；P3、P4級事件的啟動應(yīng)急領(lǐng)導(dǎo)小組負(fù)責(zé)。事件動態(tài)由應(yīng)急工作小組人員收集并及時反饋給應(yīng)急領(lǐng)導(dǎo)小組，應(yīng)急領(lǐng)導(dǎo)小組決定信息的共享、溝通、處置。信息系統(tǒng)事件發(fā)生后，事發(fā)部門立刻啟動有關(guān)應(yīng)急預(yù)案，實施處置并及時報送信息。分級響應(yīng)發(fā)生P1、P2級事件，由應(yīng)急工作小組初步鑒定事件級別后，將信息告知應(yīng)急領(lǐng)導(dǎo)小組并注意持續(xù)監(jiān)控事態(tài)、收集信息、做出應(yīng)急準(zhǔn)備；應(yīng)急領(lǐng)導(dǎo)小組響應(yīng)判斷為P1、P2級事件后，立刻告知應(yīng)急總負(fù)責(zé)人，并由應(yīng)急總負(fù)責(zé)人啟動應(yīng)急預(yù)案。發(fā)生P3、P4級事件，由應(yīng)急工作小組初步鑒定事件級別后，將信息告知應(yīng)急領(lǐng)導(dǎo)小組并注意持續(xù)監(jiān)控事態(tài)、收集信息、做出應(yīng)急準(zhǔn)備；應(yīng)急領(lǐng)導(dǎo)小組響應(yīng)判斷為P3、P4級事件后，立刻啟動應(yīng)急預(yù)案。應(yīng)急事件的級別應(yīng)置于動態(tài)調(diào)節(jié)控制中。指揮與協(xié)調(diào)P1、P2級事件，由應(yīng)急工作小組收集信息，應(yīng)急領(lǐng)導(dǎo)小組做出預(yù)判，并快速告知應(yīng)急總負(fù)責(zé)人，由應(yīng)急總負(fù)責(zé)人進(jìn)行指揮和決策。P3、P4級事件，由應(yīng)急領(lǐng)導(dǎo)小組進(jìn)行指揮和決策，并及時將解決過程、報告等上報應(yīng)急總負(fù)責(zé)人。信息共享和解決P1、P2級事件，由應(yīng)急工作小組收集信息并提交給應(yīng)急領(lǐng)導(dǎo)小組和應(yīng)急總負(fù)責(zé)人，由應(yīng)急總負(fù)責(zé)人決定信息的分發(fā)、共享和處置。P3、P4級事件，由應(yīng)急領(lǐng)導(dǎo)小組決定信息的分發(fā)、共享和處置，并上報應(yīng)急總負(fù)責(zé)人。應(yīng)急事件響應(yīng)當(dāng)客戶系統(tǒng)發(fā)生緊急事件時，對應(yīng)的解決辦法原則是首先保護(hù)或恢復(fù)計算機(jī)、網(wǎng)絡(luò)服務(wù)等，使其恢復(fù)正常運(yùn)行，然后再對事件進(jìn)行追查．因此對于客戶緊急事件響應(yīng)服務(wù)重要涉及準(zhǔn)備、識別事件（鑒定應(yīng)急事件類型）、克制（縮小事件的影響范疇）、解決問題、恢復(fù)以及后續(xù)跟蹤。準(zhǔn)備工作；建立客戶事件檔案；與客戶就故障級別進(jìn)行定義；準(zhǔn)備應(yīng)急事件緊急響應(yīng)服務(wù)有關(guān)資源；為一種應(yīng)急事件的解決獲得管理方面支持；組建事件解決隊伍；提供易實現(xiàn)的初步報告；制訂一種緊急后備方案；隨時與管理員保持聯(lián)系；識別事件；在指定時間內(nèi)指派安全服務(wù)小組去負(fù)責(zé)此事件；事件抄送專家小組；初步評定，擬定事件因素；保護(hù)可追查的線索，諸如立刻對日志、數(shù)據(jù)進(jìn)行備份；聯(lián)系客戶系統(tǒng)的有關(guān)服務(wù)商、廠商；縮小事件的影響范疇；；擬定系統(tǒng)繼續(xù)運(yùn)行的風(fēng)險，決定與否關(guān)閉系統(tǒng)及采用其它方法；與客戶有關(guān)工作人員保持聯(lián)系、協(xié)商；根據(jù)需求制訂對應(yīng)的應(yīng)急方法；解決問題；事件的起因分析；事后取證調(diào)查；后門檢查；漏洞分析；提供解決方案；成果提交專家小組審核；后續(xù)工作；檢查是不是全部的服務(wù)都已經(jīng)恢復(fù)；其發(fā)生的因素與否已經(jīng)解決；應(yīng)急響應(yīng)環(huán)節(jié)與否需要修改；生成緊急響應(yīng)報告；擬定一份事件統(tǒng)計和跟蹤報告；事件合并、錄入信息知識庫。應(yīng)急響應(yīng)保障方法工具保障我們建立了一套專門用于應(yīng)急響應(yīng)工具庫，確保提供應(yīng)急響應(yīng)服務(wù)的工程師一人一套工具；為避免光盤損壞和丟失，并將此工具庫進(jìn)行了多套備份；同時指定了專業(yè)技術(shù)人員進(jìn)行工具庫的管理與維護(hù)，涉及工具的測試、版本升級與維護(hù)等。技術(shù)和人員保障公司擁有一支技術(shù)精湛、專業(yè)、穩(wěn)定的技術(shù)團(tuán)體，多位在網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫、安全等多個領(lǐng)域具體豐富的實踐經(jīng)驗的資深工程師。公司指定技術(shù)專人整頓技術(shù)經(jīng)驗和心得并錄入知識信息數(shù)據(jù)庫，首先供技術(shù)部定時組織培訓(xùn)會議使用（對典型案例進(jìn)行分析和學(xué)習(xí)），另首先供TS客服中心查詢以電話遠(yuǎn)程技術(shù)指導(dǎo)。公司建立了圖書室，圖書室內(nèi)現(xiàn)在擁有信息安全類、計算機(jī)應(yīng)用類、網(wǎng)絡(luò)管理類、分級保護(hù)有關(guān)資料與規(guī)范、等級保護(hù)有關(guān)資料與規(guī)范等方面書籍，以方便技術(shù)人員借閱。公司定時組織技術(shù)人員進(jìn)行專項技術(shù)培訓(xùn)學(xué)習(xí)，并以考試的辦法檢查技術(shù)人員的掌握狀況，有針對性的對技術(shù)人員進(jìn)行協(xié)助和指導(dǎo)。公司激勵員工報考出名廠商技術(shù)認(rèn)證，進(jìn)行更專業(yè)的技術(shù)學(xué)習(xí)，并在考試費(fèi)用上予以報銷。交通保障緊急事件，公司應(yīng)急車輛保障，能夠確保在突發(fā)應(yīng)急事件時能做出快速響應(yīng)，第一時間趕到事件現(xiàn)場進(jìn)行處置。財力保障公司有專門的經(jīng)費(fèi)和審批流程，確保在應(yīng)急響應(yīng)解決過程中需要的款項能快速到位，保障應(yīng)急事件的解決和故障恢復(fù)。應(yīng)急響應(yīng)組織保障組織機(jī)構(gòu)與職責(zé)針對項目，我公司成立專門應(yīng)急處置小組，包含：應(yīng)急領(lǐng)導(dǎo)小組和應(yīng)急工作小組。應(yīng)急領(lǐng)導(dǎo)小組應(yīng)急領(lǐng)導(dǎo)小組是信息安全應(yīng)急響應(yīng)工作的組織領(lǐng)導(dǎo)機(jī)構(gòu)，組長由組織最高管理層組員擔(dān)任。職責(zé)是統(tǒng)一領(lǐng)導(dǎo)信息系統(tǒng)的應(yīng)急事件的公司內(nèi)部應(yīng)急解決工作，發(fā)起研究重大應(yīng)急決策和布署，決定實施和終止應(yīng)急預(yù)案，領(lǐng)導(dǎo)和決策信息安全應(yīng)急響應(yīng)的重大事宜，重要職責(zé)以下：制訂工作方案；提供人員和物質(zhì)確保；審核并同意經(jīng)費(fèi)預(yù)算；審核并同意恢復(fù)方略；審核并同意應(yīng)急響應(yīng)計劃；同意并監(jiān)督應(yīng)急響應(yīng)計劃的執(zhí)行；指導(dǎo)應(yīng)急響應(yīng)實施小組的應(yīng)急處置工作；啟動定時評審、修訂應(yīng)急響應(yīng)計劃以及負(fù)責(zé)組織的外部協(xié)作。應(yīng)急工作小組應(yīng)急工作小組由運(yùn)維服務(wù)小組人員構(gòu)成，重要職責(zé)包含：貫徹應(yīng)急領(lǐng)導(dǎo)小組布置的各項任務(wù)；組織制訂應(yīng)急預(yù)案，并監(jiān)督執(zhí)行狀況；掌握應(yīng)急事件解決狀況，及時向應(yīng)急領(lǐng)導(dǎo)小組報告應(yīng)急過程中的重大問題。具體職責(zé)以下：編制應(yīng)急響應(yīng)計劃文檔；應(yīng)急響應(yīng)的需求分析，擬定應(yīng)急方略和等級以及方略的實現(xiàn)；備份系統(tǒng)的運(yùn)行和維護(hù)，協(xié)助災(zāi)難恢復(fù)系統(tǒng)實施；信息安全應(yīng)急事件發(fā)生時的損失控制和損害評定；組織應(yīng)急響應(yīng)計劃的測試和演習(xí)。組織的外部協(xié)作根據(jù)信息應(yīng)急事件的影響程度，如需向其它第三方設(shè)備供應(yīng)商或軟件開發(fā)商謀求支持時，將聯(lián)系第三方服務(wù)單位提供協(xié)作和技術(shù)支持。應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)流程共涉及6個階段，分別是準(zhǔn)備階段、檢測階段、克制階段、根除階段、恢復(fù)階段、總結(jié)階段。應(yīng)急響應(yīng)流程以下圖所示，對于每個階段都有其應(yīng)完畢的目的、實施人員角色以及階段的成果輸出。

結(jié)束結(jié)束克制階段否確認(rèn)和承認(rèn)克制的辦法并進(jìn)行根除的實施根據(jù)確認(rèn)的恢復(fù)方案進(jìn)行信息系統(tǒng)的恢復(fù)回憶并完善整個事件的解決過程并進(jìn)行總結(jié)形成事故報告為服務(wù)對象提出安全建議啟動專項預(yù)案根除階段恢復(fù)階段總結(jié)階段組織人員準(zhǔn)備工作技術(shù)人員準(zhǔn)備工作現(xiàn)場實施人員的擬定現(xiàn)場勘查擬定檢測方案并進(jìn)行克制的實施與否有該類事件的專項預(yù)案檢測階段準(zhǔn)備階段是確認(rèn)和承認(rèn)根除的辦法并進(jìn)行根除的實施

準(zhǔn)備階段目的：在事件真正發(fā)生前為應(yīng)急響應(yīng)做好預(yù)備性的工作。角色：組織人員，技術(shù)人員內(nèi)容：根據(jù)不同角色準(zhǔn)備不同的內(nèi)容。編出：準(zhǔn)備工具清單、事件初步報告表和實施人員工作清單。組織人員準(zhǔn)備內(nèi)容制訂工作方案和計劃；提供人員和物質(zhì)確保；審核并同意經(jīng)費(fèi)預(yù)算、恢復(fù)方略、應(yīng)急響應(yīng)計劃；同意并監(jiān)督應(yīng)急響應(yīng)計劃的執(zhí)行；指導(dǎo)應(yīng)急響應(yīng)實施小組的應(yīng)急處置工作；啟動定時評審、修訂應(yīng)急響應(yīng)計劃以及負(fù)責(zé)組織的外部協(xié)作。技術(shù)人員準(zhǔn)備內(nèi)容服務(wù)需求界定首先要對整個信息系統(tǒng)進(jìn)行評定，明確應(yīng)急需求，具體應(yīng)包含下列內(nèi)容：理解各項業(yè)務(wù)功效及其之間的有關(guān)性，擬定支持多個業(yè)務(wù)功效的有關(guān)信息系統(tǒng)資源及其它資源，明確有關(guān)信息的保密性、完整性和可用性規(guī)定；對信息系統(tǒng)，涉及應(yīng)用程序、服務(wù)器、網(wǎng)絡(luò)及任何管理和維護(hù)這些系統(tǒng)的流程進(jìn)行評定，擬定系統(tǒng)所執(zhí)行的核心功效，并擬定執(zhí)行這些核心功效所需要的特定系統(tǒng)資源；采用定性或定量的辦法，對業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等應(yīng)急事件造成的影響進(jìn)行評定；協(xié)助客戶建立適宜的應(yīng)急響應(yīng)方略，提供在業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等應(yīng)急事件發(fā)生后快速有效的恢復(fù)信息系統(tǒng)運(yùn)行的辦法；為顧客提供有關(guān)的培訓(xùn)服務(wù)，以提高顧客的安全意識，便于有關(guān)負(fù)責(zé)人明確自己的角色和責(zé)任。理解常見的應(yīng)急事件和入侵行為，熟悉應(yīng)急響應(yīng)方略。主機(jī)和網(wǎng)絡(luò)設(shè)備安全初始化快照和備份在系統(tǒng)安全方略配備完畢后，要對系統(tǒng)優(yōu)生次初始安全狀態(tài)快照。這樣，如果后來出現(xiàn)事故后對該服務(wù)器做安全檢測時，通過將初始化快照做的成果與檢測階段做的快照進(jìn)行比較，就能夠發(fā)現(xiàn)系統(tǒng)的改動或異常。對主機(jī)系統(tǒng)做一種原則的安全初始化的狀態(tài)快照，涉及的重要內(nèi)容有：日志及審核方略快照；顧客賬戶快照；進(jìn)程快照；服務(wù)快照；自啟動快照；核心文獻(xiàn)簽名快照；開放端口快照；系統(tǒng)資源運(yùn)用率的快照；注冊表快照；計劃任務(wù)快照等；對網(wǎng)絡(luò)設(shè)備做一種原則的安全初始化的狀態(tài)，涉及的重要內(nèi)容有：路由器快照；安全設(shè)備快照；顧客快照；系統(tǒng)資源運(yùn)用率等快照。信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)及辦公數(shù)據(jù)均十分重要，因此需要進(jìn)行數(shù)據(jù)存儲及備份。現(xiàn)在，存儲藏份構(gòu)造重要有DAS、SAN和NAS，以及通過磁帶或光盤對數(shù)據(jù)進(jìn)行備份?？筛鶕?jù)不同的特點(diǎn)選擇不同的存儲產(chǎn)品構(gòu)建自己的數(shù)據(jù)存儲藏份系統(tǒng)。工具包的準(zhǔn)備根據(jù)顧客的需求準(zhǔn)備處置網(wǎng)絡(luò)應(yīng)急事件的工具包，涉及慣用的系統(tǒng)基本命令、其它軟件工具等；工具包中的工具采用綠色免安裝的，保存在安全的移動介質(zhì)上，如一次性可寫光盤、加密的U盤等；工具包應(yīng)定時更新、補(bǔ)充。必要技術(shù)的準(zhǔn)備上述是針對應(yīng)急響應(yīng)的解決涉及的安全技術(shù)工具涵蓋應(yīng)急響應(yīng)的事件取樣、事件分析、事件隔離、系統(tǒng)恢復(fù)和攻擊迫蹤等各個方面，構(gòu)成了網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的技術(shù)基礎(chǔ)。因此應(yīng)急響應(yīng)服務(wù)實施組員還應(yīng)當(dāng)掌握某些必要的技術(shù)手段和規(guī)范，具體涉及下列內(nèi)容。系統(tǒng)檢測技術(shù)，涉及下列檢測技術(shù)規(guī)范：Windows系統(tǒng)檢測技術(shù)規(guī)范；UNIX系統(tǒng)檢測技術(shù)規(guī)范；網(wǎng)絡(luò)安全牢固檢測技術(shù)規(guī)范；數(shù)據(jù)庫系統(tǒng)檢測技術(shù)規(guī)范；常見的應(yīng)用系統(tǒng)檢測技術(shù)規(guī)范。攻擊檢測技術(shù)．涉及下列技術(shù)異常行為分析技術(shù)；入侵檢測技術(shù)；安全風(fēng)險評定技術(shù)；攻擊追蹤技術(shù)。現(xiàn)場取樣技術(shù)。系統(tǒng)安全加固技術(shù)。攻擊隔離技術(shù)。資產(chǎn)備份恢復(fù)技術(shù)。檢測階段目的：接到事故報警后在顧客的配合下對異常的系統(tǒng)進(jìn)行初步分析，確認(rèn)其與否真正發(fā)生了信息應(yīng)急事件，并制訂進(jìn)一步的響應(yīng)方略，并保存證據(jù)。角色：應(yīng)急服務(wù)實施小構(gòu)組員、應(yīng)急響應(yīng)日常運(yùn)行小組。內(nèi)容：涉及下列幾項。檢測范疇及對象的擬定；檢測方案的擬定；檢測方案的實施；檢測成果的解決；實施小組人員的擬定應(yīng)急響應(yīng)負(fù)責(zé)人根據(jù)《事件初步報告表》的內(nèi)容，初步分析事故的類型、嚴(yán)重程度等，以此來擬定應(yīng)急響應(yīng)小組的實施人員的名單。檢測范疇及對象的擬定對發(fā)生異常的系統(tǒng)進(jìn)行初步分析，判斷與否真正發(fā)生了應(yīng)急事件；與顧客共同擬定檢測對象及范疇；檢測對象及范疇?wèi)?yīng)得到顧客的書面授權(quán)。檢測方案的擬定與顧客共同擬定檢測方案；制訂的檢測方案應(yīng)明確所使用的檢測規(guī)范；制訂的檢測方案應(yīng)明確檢測范疇，其檢測范疇?wèi)?yīng)僅限于顧客已授權(quán)的與應(yīng)急事件有關(guān)的數(shù)據(jù)，對顧客的機(jī)密性數(shù)據(jù)信息未經(jīng)允許不得訪問；制訂的檢測方案應(yīng)包含實施方案失敗的應(yīng)變和回退方法；與顧客充足溝通，并預(yù)測應(yīng)急解決方案可能造成的影響。檢測方案的實施檢測收集系統(tǒng)信息：統(tǒng)計使用目錄及文獻(xiàn)名商定。收集操作系統(tǒng)基本信息：包含網(wǎng)絡(luò)連接信息、進(jìn)程信息、IP屬性、操作系統(tǒng)屬性。日志信息:導(dǎo)出全部日志信息賬號信息:導(dǎo)出全部賬號信息主機(jī)檢測日志檢查：從日志信息中檢測出未授權(quán)訪問或非法登錄整件；賬號檢查：檢查賬號信息中非正常賬號、隱藏賬號。進(jìn)程檢查：檢查與否有未被授權(quán)的應(yīng)用程序或服務(wù)。服務(wù)檢查：檢查系統(tǒng)與否存在非法服務(wù)。自啟動檢查：檢查未授權(quán)自啟動程序。網(wǎng)絡(luò)連接檢查：檢查非正常開放的端口。共享檢查：檢查非法共享目錄。文獻(xiàn)檢查：檢查病毒、木馬、蠕蟲、后門等可疑文獻(xiàn)。查找其它入侵痕跡：查找其它系統(tǒng)上的入侵痕跡，尋找攻擊途徑。檢測成果的解決擬定應(yīng)急事件的類型通過檢測，判斷出信息應(yīng)急事件類型。信息應(yīng)急事件有下列7個基本分類。有害程序事件：蓄意制造、傳輸有害程序，或是因受到有害程序的影響而造成的信息應(yīng)急事件。網(wǎng)絡(luò)攻擊事件：通過網(wǎng)絡(luò)或其它技術(shù)手段，運(yùn)用信息、系統(tǒng)的配備缺點(diǎn)、合同缺點(diǎn)、程序缺點(diǎn)或使用暴力攻擊對信息系統(tǒng)實施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)現(xiàn)在運(yùn)行造成潛在危害的信息應(yīng)急事件。信息破壞事件：通過網(wǎng)絡(luò)或其它技術(shù)手段造成信息系統(tǒng)中的信息被篡改、假冒、泄露、竊取等而造成的信息應(yīng)急事件。信息內(nèi)容應(yīng)急事件：泄漏危害國家安全、社會穩(wěn)定和公共利益的內(nèi)容的安全。設(shè)備設(shè)施故障：由于信息系統(tǒng)本身故障或外圍保障設(shè)施故障而造成的信息應(yīng)急事件，以及人為的使用非技術(shù)手段故意或無意地造成信息系統(tǒng)破壞而造成的信息應(yīng)急事件。災(zāi)害性事件：由于不可抗力對信息系統(tǒng)造成物理破壞而造成的信息應(yīng)急事件。其它信息應(yīng)急事件：不能歸入以上6個基本分類的信息應(yīng)急事件。評定突發(fā)信息應(yīng)急事件的影響采用定量和/或定性的辦法，對業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓、數(shù)據(jù)丟失等突發(fā)信息應(yīng)急事件造成的影響進(jìn)行評定；擬定與否存在針對該事件的特定系統(tǒng)預(yù)案，如有，則啟動有關(guān)預(yù)案；如果事件涉及多個專項預(yù)案，應(yīng)同時啟動全部涉及的專項預(yù)案；如果沒有針對該事件的專項預(yù)案，應(yīng)根據(jù)事件具體狀況，采用克制方法，克制事件進(jìn)一步擴(kuò)散?？酥齐A段目的：及時采用行動限制事件擴(kuò)散和影響的范疇，限制潛在的損失與破壞，同時要確保封鎖辦法對涉及有關(guān)業(yè)務(wù)影響最小。角色：應(yīng)急服務(wù)實施小組、應(yīng)急響應(yīng)日常運(yùn)行小組．內(nèi)容：涉及下列兒項．克制方案的擬定；克制方案的承認(rèn)；克制方案的實施；克制效果的鑒定。輸出：克制解決統(tǒng)計表?？酥品桨傅臄M定在檢測分析的基礎(chǔ)上，初步擬定與應(yīng)急事件相對應(yīng)的克制辦法，如有多項，可由顧客考慮后自己選擇。在擬定克制辦法時應(yīng)當(dāng)考慮：全方面評定應(yīng)急事件的影響和損失；通過分析得到的其它結(jié)論；顧客的業(yè)務(wù)和重點(diǎn)決策過程；顧客的業(yè)務(wù)持續(xù)性。克制方案的承認(rèn)告知顧客所面臨的首要問題；擬定的克制辦法和對應(yīng)的方法得到顧客的承認(rèn)；在采用克制方法之前，與顧客充足溝通，告知可能存在的風(fēng)險，制訂應(yīng)變和回退方法，并與其達(dá)成合同?？酥品桨傅膶嵤﹪?yán)格按照有關(guān)商定實施克制，不得隨意更改克制的方法的范疇，如有必要更改，須獲得顧客的授權(quán)。克制方法應(yīng)包含但不限于下列幾方而：擬定受害系統(tǒng)的范疇后，將受害系統(tǒng)和正常的系統(tǒng)進(jìn)行隔離，斷開或臨時關(guān)閉被影響的系統(tǒng)，使攻擊先徹底停止；持續(xù)監(jiān)視系統(tǒng)和網(wǎng)絡(luò)活動，統(tǒng)計異常流量的遠(yuǎn)程IP、域名、端口；停止或刪除系統(tǒng)非正常賬號，隱藏賬號，更改口令，加強(qiáng)口令的安全級別；掛起或結(jié)束未被授權(quán)的、可疑的應(yīng)用程序和進(jìn)程；關(guān)閉存在的非法服務(wù)和不必要的服務(wù)；刪除系統(tǒng)各顧客“啟動”目錄下未授權(quán)自啟動程序；使用工具或命令停止全部開放的共享；使用反病毒軟件或其它安全工具檢查文獻(xiàn)，掃描硬盤上全部的文獻(xiàn)，隔離或去除病毒、木馬、蠕蟲、后門等可疑文獻(xiàn)；克制效果的鑒定與否避免了事件繼續(xù)擴(kuò)散，限制了潛在的損失和破壞，使現(xiàn)在損失最小化；對其它有關(guān)業(yè)務(wù)的影響與否控制在最小。根除階段目的：對應(yīng)急事件進(jìn)行克制之后，通過對有關(guān)事件或行為的分析成果，找出事件本源，明確對應(yīng)的補(bǔ)救方法并徹底去除事件。角色：應(yīng)急服務(wù)實施小組、應(yīng)急響應(yīng)日常運(yùn)行小組．內(nèi)容：涉及下列幾項。根除方案的擬定；根除方案的承認(rèn)；根除方案的實施；根除效果的鑒定。輸出：根除解決統(tǒng)計表。根除方案的擬定協(xié)助顧客檢查全部受影響的系統(tǒng)，在精確判斷應(yīng)急事件因素的基礎(chǔ)上，提出方案建議；由于入侵者普通會安裝后門或使用其它的辦法方便于在將來有機(jī)會侵入該被攻擊的系統(tǒng)，因此在擬定根除辦法時，需要理解攻擊者是如何入侵的，以及與這種入侵辦法相似和相似的多個辦法。根除方案的承認(rèn)明確告知顧客所采用的根除方法可能帶來的風(fēng)險，制度應(yīng)變和回退方法，并得到顧客的書面授權(quán)；協(xié)助顧客進(jìn)行根除辦法的實施。根除方案的實施使用可信的工具進(jìn)行應(yīng)急事件的根除解決，不得使用受害系統(tǒng)已有的不可信的文獻(xiàn)和工具。根除方法宜包含但不限于下列幾個方面：變化全部可能受到攻擊的系統(tǒng)賬號和口令，并增加口令的安全級別；修補(bǔ)系統(tǒng)、網(wǎng)絡(luò)和其它軟件漏洞；增強(qiáng)防護(hù)功效，復(fù)查全部防護(hù)方法的配備，安裝最新的安全設(shè)備和殺毒軟件，并及時更新，對未受保護(hù)或者保護(hù)不夠的系統(tǒng)增加新的防護(hù)方法；提高其監(jiān)視保護(hù)級別，以確保將來對類似的入侵進(jìn)行檢測。根除效果的鑒定找出造成事件的因素，備份與造成事件有關(guān)的文獻(xiàn)和數(shù)據(jù)；對系統(tǒng)中造成事件的文獻(xiàn)進(jìn)行清理，根除；使系統(tǒng)能夠正常工作。恢復(fù)階段目的：恢復(fù)應(yīng)急事件所涉及的系統(tǒng)，并還原到正常狀態(tài)，使業(yè)務(wù)能夠正常進(jìn)行，恢復(fù)工作應(yīng)避免出現(xiàn)誤操作造成數(shù)據(jù)的丟失。角色：應(yīng)急服務(wù)實施小組、應(yīng)急響應(yīng)日常運(yùn)行小組。內(nèi)容：涉及下列兒項。恢復(fù)方案的擬定；恢復(fù)信息系統(tǒng)。輸出：恢復(fù)解決統(tǒng)計表?；謴?fù)方案的擬定告知顧客一種或多個能從應(yīng)急事件中恢復(fù)系統(tǒng)的辦法，及它們可能存在的風(fēng)險。和顧客共同擬定系統(tǒng)恢復(fù)方案，根據(jù)克制和根除的狀況，協(xié)助顧客選擇適宜的系統(tǒng)恢復(fù)的方案，恢復(fù)方案涉及下列幾方面：如何獲得訪問受損設(shè)施或地理區(qū)域的授權(quán)；如何告知有關(guān)系統(tǒng)的內(nèi)部和外部業(yè)務(wù)伙伴；如何獲得安裝所需的硬件部件；如何獲得裝載備份介質(zhì)，如何恢復(fù)核心操作系統(tǒng)和應(yīng)用軟件；如何恢復(fù)系統(tǒng)數(shù)據(jù)；如何成功運(yùn)行備用設(shè)備。涉及涉密數(shù)據(jù)，擬定恢復(fù)辦法時應(yīng)遵照對應(yīng)的保密規(guī)定。恢復(fù)信息系統(tǒng)按照系統(tǒng)的初始化安全方略恢復(fù)系統(tǒng)?；謴?fù)系統(tǒng)時，應(yīng)根據(jù)系統(tǒng)中各子系統(tǒng)的重要性，擬定系統(tǒng)恢復(fù)的次序?；謴?fù)系統(tǒng)過程宜包含但不限于下列方面：運(yùn)用對的的備份恢復(fù)顧客數(shù)據(jù)和配備信息；啟動系統(tǒng)和應(yīng)用服務(wù)，將受到入侵或者懷疑存在漏洞而關(guān)閉的服務(wù)修改后重新開放；連接網(wǎng)絡(luò)，服務(wù)重新上線，并持續(xù)監(jiān)控、持續(xù)匯總分析，理解各網(wǎng)的運(yùn)行狀況。當(dāng)不能徹底恢復(fù)配備和去除系統(tǒng)上的惡意文獻(xiàn)，或不能必定系統(tǒng)在根除解決后與否已恢復(fù)正常時，應(yīng)選擇徹底重建系統(tǒng)。協(xié)助顧客驗證恢復(fù)后的系統(tǒng)與否正常運(yùn)行。協(xié)助顧客對重建后的系統(tǒng)進(jìn)行安全加固。協(xié)助顧客為重建后的系統(tǒng)建立系統(tǒng)快照和備份。總結(jié)階段目的：通過以上各個階段的統(tǒng)計表格，回憶應(yīng)急事件解決的全過程，整頓與事件有關(guān)的多個信息，進(jìn)行總結(jié)，并盡量地把全部信息統(tǒng)計到文檔中．角色：應(yīng)急服務(wù)實施小組、應(yīng)急響應(yīng)日常運(yùn)行小組。內(nèi)容：涉及下列幾項．（l）事故總結(jié)；（2）事故報告。輸出：應(yīng)急響應(yīng)報告表．事故總結(jié)及時檢查應(yīng)急事件解決統(tǒng)計與否齊全，與否含有可塑性，并對事件解決過程進(jìn)行總結(jié)和分析。應(yīng)急解決總結(jié)的具體工作涉及但不限于下列幾項：事件發(fā)生的現(xiàn)象總結(jié)；事件發(fā)生的因素分析；系統(tǒng)的損害程度評定；事件損失預(yù)計；采用的重要應(yīng)對方法；有關(guān)的工具文檔（如專項預(yù)案、方案等）歸檔。事故報告向顧客提供完備的網(wǎng)絡(luò)應(yīng)急事件解決報告；向顧客提供方法和建議。各類應(yīng)急事件解決預(yù)案設(shè)備發(fā)生被盜或人為損害事件應(yīng)急預(yù)案發(fā)生設(shè)備被盜或人為損害設(shè)備狀況時，運(yùn)維人員或使用人員應(yīng)立刻報告應(yīng)急領(lǐng)導(dǎo)小組，同時保護(hù)好現(xiàn)場。應(yīng)急領(lǐng)導(dǎo)小組接報后，告知顧客保衛(wèi)部門、有關(guān)領(lǐng)導(dǎo)，一同核算審定現(xiàn)場狀況，清點(diǎn)被盜物資或盤查人為損害狀況，做好必要的影像統(tǒng)計和文字統(tǒng)計。顧客單位和當(dāng)事人應(yīng)當(dāng)主動配合公安部門進(jìn)行調(diào)查，并將有關(guān)狀況向應(yīng)急領(lǐng)導(dǎo)小組報告。應(yīng)急領(lǐng)導(dǎo)小組安排運(yùn)維服務(wù)小組、顧客單位及時恢復(fù)系統(tǒng)正常運(yùn)行，并對事件進(jìn)行調(diào)查。運(yùn)維服務(wù)小組和顧客單位應(yīng)在調(diào)查結(jié)束后一日內(nèi)書面報告應(yīng)急領(lǐng)導(dǎo)小組。事態(tài)或后果嚴(yán)重的，應(yīng)向有關(guān)領(lǐng)導(dǎo)報告。通信網(wǎng)絡(luò)故障應(yīng)急預(yù)案發(fā)生通信線路中斷、路由故障、流量異常、域名系統(tǒng)故障后，運(yùn)維人員經(jīng)初步判斷后，應(yīng)及時上報運(yùn)維服務(wù)小組和應(yīng)急領(lǐng)導(dǎo)小組。運(yùn)維服務(wù)小組接報告后，應(yīng)及時查清通信網(wǎng)絡(luò)故障位置，隔離故障區(qū)域，并將事態(tài)及時報告應(yīng)急領(lǐng)導(dǎo)小組，告知有關(guān)通信網(wǎng)絡(luò)運(yùn)行商查清因素；同時及時組織有關(guān)技術(shù)人員檢測故障區(qū)域，逐步恢復(fù)故障區(qū)與服務(wù)器的網(wǎng)絡(luò)聯(lián)接，恢復(fù)通信網(wǎng)絡(luò)，確保正常運(yùn)轉(zhuǎn)。事態(tài)或后果嚴(yán)重的，應(yīng)向應(yīng)急指揮辦公室和有關(guān)領(lǐng)導(dǎo)報告。應(yīng)急處置結(jié)束后，運(yùn)維服務(wù)小組應(yīng)將故障分析報告，在調(diào)查結(jié)束后一日內(nèi)書面報告應(yīng)急領(lǐng)導(dǎo)小組。不良信息和網(wǎng)絡(luò)病毒事件應(yīng)急預(yù)案發(fā)現(xiàn)不良信息或網(wǎng)絡(luò)病毒時，運(yùn)維人員應(yīng)立刻斷開網(wǎng)線，終止不良信息或網(wǎng)絡(luò)病毒傳輸，并報告運(yùn)維服務(wù)小組和應(yīng)急領(lǐng)導(dǎo)小組。運(yùn)維服務(wù)小組應(yīng)根據(jù)應(yīng)急領(lǐng)導(dǎo)小組指令，采用隔離網(wǎng)絡(luò)等方法，及時殺毒或去除不良信息，并追查不良信息來源。事態(tài)或后果嚴(yán)重的，應(yīng)向有關(guān)領(lǐng)導(dǎo)報告。處置結(jié)束后,運(yùn)維服務(wù)小組應(yīng)將事發(fā)通過、造成影響、處置成果在調(diào)查工作結(jié)束后一日內(nèi)書面報告應(yīng)急領(lǐng)導(dǎo)小組。服務(wù)器軟件系統(tǒng)故障應(yīng)急預(yù)案發(fā)生服務(wù)器軟件系統(tǒng)故障后，運(yùn)維服務(wù)小組負(fù)責(zé)人應(yīng)立刻組織啟動備份服務(wù)器系統(tǒng)，由備份服務(wù)器接管業(yè)務(wù)應(yīng)用，并及時報告應(yīng)急領(lǐng)導(dǎo)小組；同時安排有關(guān)負(fù)責(zé)人將故障服務(wù)器脫離網(wǎng)絡(luò)，確保系統(tǒng)狀態(tài)不變，取出系統(tǒng)鏡像備份磁盤，保持原始數(shù)據(jù)。運(yùn)維服務(wù)小組應(yīng)根據(jù)應(yīng)急領(lǐng)導(dǎo)小組的指令，在確認(rèn)安全的狀況下，重新啟動故障服務(wù)器系統(tǒng)；重啟系統(tǒng)成功，則檢查數(shù)據(jù)丟失狀況，運(yùn)用備份數(shù)據(jù)恢復(fù)；若重啟失敗，立刻聯(lián)系有關(guān)廠商和上級單位，請求技術(shù)增援，作好技術(shù)解決。事態(tài)或后果嚴(yán)重的，應(yīng)向應(yīng)急領(lǐng)導(dǎo)小組報告。處置結(jié)束后,運(yùn)維服務(wù)小組應(yīng)將事發(fā)通過、處置成果等在調(diào)查工作結(jié)束后一日內(nèi)報告應(yīng)急領(lǐng)導(dǎo)小組。黑客攻擊事件應(yīng)急預(yù)案當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)被非法入侵、網(wǎng)頁內(nèi)容被篡改，應(yīng)用服務(wù)器上的數(shù)據(jù)被非法拷貝、修改、刪除，或通過入侵檢測系統(tǒng)發(fā)現(xiàn)有黑客正在進(jìn)行攻擊時，運(yùn)維人員或系統(tǒng)管理員應(yīng)斷開網(wǎng)絡(luò)，并立刻報告應(yīng)急領(lǐng)導(dǎo)小組。接報告后，應(yīng)急領(lǐng)導(dǎo)小組應(yīng)立刻指令運(yùn)維服務(wù)小組核算狀況，關(guān)閉服務(wù)器或系統(tǒng)，修改防火墻和路由器的過濾規(guī)則，封鎖或刪除被攻破的登陸賬號，阻斷可疑顧客進(jìn)入網(wǎng)絡(luò)的通道。運(yùn)維服務(wù)小組應(yīng)及時清理系統(tǒng)，恢復(fù)數(shù)據(jù)、程序，恢復(fù)系統(tǒng)和網(wǎng)絡(luò)正常；狀況嚴(yán)重的，應(yīng)向應(yīng)急領(lǐng)導(dǎo)小組報告，并請求增援。處置結(jié)束后,運(yùn)維服務(wù)小組應(yīng)將事發(fā)通過、處置成果等在調(diào)查工作結(jié)束后一日內(nèi)報告應(yīng)急領(lǐng)導(dǎo)小組。核心設(shè)備硬件故障應(yīng)急預(yù)案發(fā)生核心設(shè)備硬件故障后，運(yùn)維服務(wù)小組應(yīng)及時報告應(yīng)急領(lǐng)導(dǎo)小組，并組織查找、擬定故障設(shè)備及故障因素，進(jìn)行先期處置。若故障設(shè)備在短時間內(nèi)無法修復(fù)運(yùn)維服務(wù)小組應(yīng)啟動備份設(shè)備，保持系統(tǒng)正常運(yùn)行；將故障設(shè)備脫離網(wǎng)絡(luò)，進(jìn)行故障排除工作。運(yùn)維服務(wù)小組故障排除后，在網(wǎng)絡(luò)空閑時期，替代備用設(shè)備；若故障仍然存在，立刻聯(lián)系有關(guān)廠商，認(rèn)真填寫設(shè)備故障報告單備查。事態(tài)或后果嚴(yán)重的，應(yīng)向應(yīng)急領(lǐng)導(dǎo)小組報告。處置結(jié)束后,運(yùn)維服務(wù)小組應(yīng)將事發(fā)通過、處置成果等在調(diào)查工作結(jié)束后一日內(nèi)報告應(yīng)急領(lǐng)導(dǎo)小組。業(yè)務(wù)數(shù)據(jù)損壞應(yīng)急預(yù)案發(fā)生業(yè)務(wù)數(shù)據(jù)損壞時，運(yùn)維服務(wù)小組應(yīng)及時報告應(yīng)急領(lǐng)導(dǎo)小組，檢查、備份業(yè)務(wù)系統(tǒng)現(xiàn)在數(shù)據(jù)。運(yùn)維服務(wù)小組負(fù)責(zé)調(diào)用備份服務(wù)器備份數(shù)據(jù)，若備份數(shù)據(jù)損壞，則調(diào)用磁帶機(jī)中歷史備份數(shù)據(jù)，若磁帶機(jī)數(shù)據(jù)仍不可用，則調(diào)用異地備份數(shù)據(jù)。業(yè)務(wù)數(shù)據(jù)損壞事件超出2小時后，運(yùn)維服務(wù)小組應(yīng)及時報告應(yīng)急領(lǐng)導(dǎo)小組，及時告知業(yè)務(wù)部門以手工方式開展業(yè)務(wù)。運(yùn)維服務(wù)小組應(yīng)待業(yè)務(wù)數(shù)據(jù)系統(tǒng)恢復(fù)后，檢查歷史數(shù)據(jù)和現(xiàn)在數(shù)據(jù)的差別，由有關(guān)系統(tǒng)業(yè)務(wù)員補(bǔ)錄數(shù)據(jù)；重新備份數(shù)據(jù)，并在工作結(jié)束后一日內(nèi)報告應(yīng)急領(lǐng)導(dǎo)小組。

應(yīng)急事件響應(yīng)建議應(yīng)急事件現(xiàn)場解決系統(tǒng)應(yīng)急事件現(xiàn)場解決方案選擇普通有下列幾個方式。緊急消除應(yīng)急事件解決最核心的問題是消除現(xiàn)在威脅，重要是指消除應(yīng)急事件的因素。如果應(yīng)急事件屬于計算機(jī)病毒，用殺毒軟件進(jìn)行消除。如果應(yīng)急事件屬入侵者，應(yīng)當(dāng)首先對入侵者進(jìn)行監(jiān)視、跟蹤，擬定入侵行為的痕跡并消除之（例如新賬號和被監(jiān)控文獻(xiàn)被修改），然后運(yùn)用完整性檢查工共進(jìn)行檢查，最后擺脫入侵者。緊急恢復(fù)恢復(fù)系統(tǒng)能夠采用現(xiàn)場聯(lián)機(jī)恢復(fù)和關(guān)閉網(wǎng)絡(luò)連接恢復(fù)兩種辦法。一旦攻擊發(fā)生，如果不能采用關(guān)機(jī)和關(guān)閉網(wǎng)絡(luò)連接的方法，就采用現(xiàn)場聯(lián)機(jī)恢復(fù)。切換如果采用了雙機(jī)備份的系統(tǒng)構(gòu)造，能夠采用聯(lián)機(jī)切換方式，先切換再恢復(fù)。監(jiān)視發(fā)現(xiàn)入侵者后，監(jiān)視入侵者的行為是必要的．監(jiān)視時，可采用系統(tǒng)服務(wù)理解攻擊者使用了哪個進(jìn)程，監(jiān)視網(wǎng)絡(luò)出入的狀況，采用它機(jī)監(jiān)視的辦法，要注意反監(jiān)視問題的解決。應(yīng)急事件發(fā)生時要統(tǒng)計事件現(xiàn)場。在統(tǒng)計應(yīng)急事件時，要統(tǒng)計平件的每一環(huán)節(jié)，涉及事件的時間、地點(diǎn)。要打印拷貝、統(tǒng)計拷貝時間、統(tǒng)計對話內(nèi)容，并盡量采用自動化的統(tǒng)計辦法。報警攻擊自動發(fā)現(xiàn)系統(tǒng)可發(fā)現(xiàn)攻擊行為，并為系統(tǒng)管理員和信息系統(tǒng)安全員發(fā)出報警信號。報警能夠通過聲音、e-mail、手機(jī)、電話等方式體現(xiàn)。應(yīng)急事件的事后解決系統(tǒng)應(yīng)急事件事后解決涉及事件后消除，彌補(bǔ)系統(tǒng)脆弱性，分析因素，總結(jié)教訓(xùn)，完善安全方略，服務(wù)和過程。事件后消除消除威脅是應(yīng)急事件解決最核心的問題，重要是指消除應(yīng)急事件的因素。如果應(yīng)急事件的因素是廠商的后門軟件、間諜軟件，不管廠商以什么目的采用了這些軟件，只要斷定這些所謂后門軟件能夠被攻擊者運(yùn)用，需要向廠商提出交涉，消除該軟件或關(guān)閉廠商保存的端口。如果應(yīng)急事件的因素是程序化入侵，則刪除入侵程序。如果應(yīng)急事件的因素是破壞和刪除文獻(xiàn)，則使用拷貝文獻(xiàn)恢復(fù)。彌補(bǔ)系統(tǒng)脆弱性當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)漏洞時，修補(bǔ)操作是必需的。修補(bǔ)的辦法涉及包裝程序、代理程序、隱藏程序、控制程序和改正程序錯誤等。應(yīng)急事件的發(fā)生暴露了信息系統(tǒng)的脆弱性。發(fā)現(xiàn)漏洞后能夠提出修補(bǔ)漏洞的辦法，實施修補(bǔ)過程。分析因素應(yīng)急事件的因素分析是必要的，分析清晰因素，提出改善的方法?？偨Y(jié)教訓(xùn)根據(jù)應(yīng)急事件的損失和后果，處分或批評負(fù)有責(zé)任者。通過對應(yīng)急事件的解決，可明確在安全管理方面的缺點(diǎn)，有針對性地加強(qiáng)和完善管理制度。完善安全方略、構(gòu)造、服務(wù)和過程發(fā)生應(yīng)急事件后，對信息系統(tǒng)的安全方略、安全構(gòu)造、安全服務(wù)和過程進(jìn)行全方面的檢查，并對其進(jìn)行修改和完善。系統(tǒng)應(yīng)急事件責(zé)任劃分明確系統(tǒng)應(yīng)急事件的責(zé)任。攻擊成功往往與系統(tǒng)管理員的工作失誤有關(guān)。由于系統(tǒng)管理員、信息系統(tǒng)安全員和操作員對信息系統(tǒng)安全都有自己的職責(zé)，要檢查有關(guān)人員的失職問題。有些應(yīng)急事件的發(fā)生與安全構(gòu)造不合理有關(guān)，或是信息系統(tǒng)安全方法落后造成的。應(yīng)急保障方法應(yīng)急人力保障加強(qiáng)信息安全人才培養(yǎng)，強(qiáng)化信息安全宣傳教育，建設(shè)一支高素質(zhì)、高技術(shù)的