應(yīng)急響應(yīng)服務(wù)方案

應(yīng)急響應(yīng)服務(wù)方案

在應(yīng)急響應(yīng)過程中，必須嚴(yán)格遵守相關(guān)規(guī)范和標(biāo)準(zhǔn)，確保應(yīng)急響應(yīng)流程的規(guī)范化和標(biāo)準(zhǔn)化。協(xié)同性原則應(yīng)急響應(yīng)服務(wù)中心與客戶、相關(guān)部門和第三方合作伙伴之間建立良好的協(xié)同機(jī)制，實現(xiàn)信息共享和資源協(xié)調(diào)，提高應(yīng)急響應(yīng)效率和質(zhì)量。靈活性原則應(yīng)急響應(yīng)服務(wù)中心根據(jù)不同的應(yīng)急事件類型和程度，靈活調(diào)整響應(yīng)策略和措施，確保應(yīng)急響應(yīng)的針對性和有效性。應(yīng)急處理原則在應(yīng)急事件發(fā)生時，應(yīng)按照以下原則進(jìn)行處理：快速響應(yīng)：及時啟動應(yīng)急響應(yīng)機(jī)制，迅速掌握應(yīng)急事件的情況和影響程度，采取有效措施進(jìn)行處置?？茖W(xué)決策：根據(jù)應(yīng)急事件的類型和程度，制定科學(xué)合理的應(yīng)急預(yù)案和處置方案，確保應(yīng)急響應(yīng)的有效性和針對性。資源優(yōu)化：合理調(diào)配應(yīng)急響應(yīng)所需的人員、物資和技術(shù)資源，最大限度地減少應(yīng)急事件的損失和影響。信息共享：及時向相關(guān)部門和第三方合作伙伴通報應(yīng)急事件的情況和處置進(jìn)展，實現(xiàn)信息共享和資源協(xié)調(diào)。應(yīng)急響應(yīng)服務(wù)應(yīng)急響應(yīng)服務(wù)包括以下內(nèi)容：應(yīng)急事件的影響程度評估和級別分類；應(yīng)急事件的優(yōu)先級處理；應(yīng)急事件的響應(yīng)措施和流程；應(yīng)急事件的保障措施和組織機(jī)構(gòu)；應(yīng)急事件的現(xiàn)場處理和事后處理；應(yīng)急事件的預(yù)案制訂和演練。應(yīng)急事件的影響程度評估和級別分類應(yīng)急事件的影響程度評估包括以下方面：影響范圍：應(yīng)急事件對系統(tǒng)、設(shè)備、數(shù)據(jù)和用戶等方面的影響范圍；影響程度：應(yīng)急事件對系統(tǒng)、設(shè)備、數(shù)據(jù)和用戶等方面的影響程度；影響時間：應(yīng)急事件對系統(tǒng)、設(shè)備、數(shù)據(jù)和用戶等方面的影響時間。根據(jù)應(yīng)急事件的影響程度，將其分為一般、重要和緊急三個級別，以便于優(yōu)先處理和分配資源。應(yīng)急事件的優(yōu)先級處理根據(jù)應(yīng)急事件的級別和影響程度，制定相應(yīng)的優(yōu)先級處理方案，確保應(yīng)急響應(yīng)的及時性和有效性。一般級別：在1個小時內(nèi)響應(yīng)，2個小時內(nèi)解決；重要級別：在30分鐘內(nèi)響應(yīng)，4個小時內(nèi)解決；緊急級別：在15分鐘內(nèi)響應(yīng)，8個小時內(nèi)解決。應(yīng)急事件的響應(yīng)措施和流程應(yīng)急事件的響應(yīng)措施和流程包括以下內(nèi)容：應(yīng)急事件的報告和確認(rèn)；應(yīng)急事件的評估和分類；應(yīng)急事件的響應(yīng)策略和措施；應(yīng)急事件的處置和跟蹤；應(yīng)急事件的結(jié)束和總結(jié)。應(yīng)急事件的保障措施和組織機(jī)構(gòu)應(yīng)急事件的保障措施和組織機(jī)構(gòu)包括以下方面：應(yīng)急響應(yīng)服務(wù)中心的人員、設(shè)備和資源保障；應(yīng)急響應(yīng)服務(wù)中心的組織架構(gòu)和職責(zé)分工；應(yīng)急響應(yīng)服務(wù)中心與客戶、相關(guān)部門和第三方合作伙伴的協(xié)作機(jī)制。應(yīng)急事件的現(xiàn)場處理和事后處理應(yīng)急事件的現(xiàn)場處理和事后處理包括以下內(nèi)容：應(yīng)急事件的現(xiàn)場勘查和數(shù)據(jù)采集；應(yīng)急事件的證據(jù)保全和調(diào)查取證；應(yīng)急事件的損失評估和賠償處理；應(yīng)急事件的經(jīng)驗總結(jié)和預(yù)案完善。應(yīng)急事件的預(yù)案制訂和演練應(yīng)急事件的預(yù)案制訂和演練包括以下方面：應(yīng)急預(yù)案的制訂和修訂；應(yīng)急預(yù)案的演練和評估；應(yīng)急預(yù)案的完善和推廣。應(yīng)急事件響應(yīng)建議在應(yīng)急事件響應(yīng)過程中，應(yīng)注意以下建議：及時報告：發(fā)現(xiàn)應(yīng)急事件后，應(yīng)及時向應(yīng)急響應(yīng)服務(wù)中心報告，確保應(yīng)急響應(yīng)的及時性和有效性?？茖W(xué)決策：在應(yīng)急事件的處理過程中，應(yīng)根據(jù)實際情況制定科學(xué)合理的應(yīng)急預(yù)案和處置方案，確保應(yīng)急響應(yīng)的針對性和有效性。資源優(yōu)化：在應(yīng)急事件的處理過程中，應(yīng)合理調(diào)配所需的人員、物資和技術(shù)資源，最大限度地減少應(yīng)急事件的損失和影響。信息共享：在應(yīng)急事件的處理過程中，應(yīng)及時向相關(guān)部門和第三方合作伙伴通報應(yīng)急事件的情況和處置進(jìn)展，實現(xiàn)信息共享和資源協(xié)調(diào)。應(yīng)急體系完善：應(yīng)不斷完善應(yīng)急響應(yīng)體系，提高應(yīng)急響應(yīng)的能力和水平，以應(yīng)對日益復(fù)雜和多樣化的應(yīng)急事件。每次應(yīng)急事件都需要嚴(yán)格記錄，記錄事件處理的全部過程，并要求現(xiàn)場處理事件的用戶簽署認(rèn)可建議。為了最小化事件對整個系統(tǒng)的影響，我們要強化處理前的分析與備份工作，并遵守保密原則，不向任何第三方透露事件處理的內(nèi)容、時間和地點。預(yù)防為主，我們要加強預(yù)警，重點保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和信息系統(tǒng)的安全和穩(wěn)定。在應(yīng)急處理、應(yīng)急保障等環(huán)節(jié)，我們要采取多種措施，充分發(fā)揮各方面的作用，共同構(gòu)筑安全保障體系。在應(yīng)急事件發(fā)生時，我們要按照快速反應(yīng)機(jī)制，及時獲取充分而準(zhǔn)確的信息，跟蹤研判，果斷決策，迅速處置，最大程度地減少危害和影響。我們還要按照“誰主管，誰負(fù)責(zé)”的原則，建立和完善安全責(zé)任制及聯(lián)動工作機(jī)制，加強各負(fù)責(zé)人的協(xié)調(diào)與配合，共同履行應(yīng)急處置工作的管理職責(zé)。我們把保障人員以及客戶利益的安全作為首要任務(wù)，加強技術(shù)儲備，規(guī)范應(yīng)急處置措施與操作流程，定期進(jìn)行預(yù)案演練，確保應(yīng)急預(yù)案切實有效，實現(xiàn)網(wǎng)絡(luò)與信息安全突發(fā)公共事件應(yīng)急處置的科學(xué)化、程序化與規(guī)范化。應(yīng)急事件響應(yīng)是當(dāng)應(yīng)急事件發(fā)生后迅速采取的措施和行為，其目的是以最快的速度恢復(fù)系統(tǒng)的保密性、完整性和可用性，降低應(yīng)急事件對業(yè)務(wù)系統(tǒng)造成的損失。我們除了有駐場工程師進(jìn)行日常巡檢和維護(hù)的工作外，還成立了信息系統(tǒng)運維4S組，提供應(yīng)急響應(yīng)服務(wù)。當(dāng)設(shè)備、軟件和基礎(chǔ)網(wǎng)絡(luò)出現(xiàn)故障時，我們原則上由駐場運維工程師現(xiàn)場解決，如果現(xiàn)場服務(wù)工程師無法解決，事件升級為后臺技術(shù)支持團(tuán)隊解決。我們保障在1小時內(nèi)做出明確響應(yīng)和安排，2小時內(nèi)提供診斷報告和故障解決方案。同時，我們根據(jù)客戶的具體情況，制定和編寫信息系統(tǒng)應(yīng)急預(yù)案，保障客戶信息系統(tǒng)的可靠、安全的運行。應(yīng)急事件的影響程度通常分為單點損害、局部損害和整體損害3類。在事件爆發(fā)的初期很難界定事件的起因具體是什么，因此，我們要通過安全威脅事件的影響程度來進(jìn)行分類。單點損害只造成獨立個體的不可用，應(yīng)急事件影響程度較弱；局部損害造成某一系統(tǒng)或一個局部網(wǎng)絡(luò)不可使用，應(yīng)急事件影響程度較強；整體損害造成整個網(wǎng)絡(luò)系統(tǒng)的不可使用，應(yīng)急事件影響程度強。應(yīng)急事件的級別分為四個等級，根據(jù)對業(yè)務(wù)系統(tǒng)的影響程度從大到小的順序進(jìn)行劃分。P1級應(yīng)急事件是指重要業(yè)務(wù)系統(tǒng)或有重要影響的應(yīng)用系統(tǒng)宕機(jī)，系統(tǒng)重新引導(dǎo)后無法正常工作與恢復(fù)的事故，或造成安全泄密事件；P2級應(yīng)急事件是指重復(fù)發(fā)生或重復(fù)再現(xiàn)的并產(chǎn)生較強影響作用，導(dǎo)致系統(tǒng)正常運行的事故；P3級應(yīng)急事件是指間歇產(chǎn)生、隨機(jī)產(chǎn)生的事故，但不影響系統(tǒng)的正常運行；P4級應(yīng)急事件是指一般性事件，與業(yè)務(wù)系統(tǒng)運行或產(chǎn)品使用要關(guān)的問題，不影響整個系統(tǒng)的正常運行。在事件處理中，事件處理要素分為管理層面和技術(shù)層面。P1、P2級事件的啟動和指揮由應(yīng)急總負(fù)責(zé)人負(fù)責(zé)；P3、P4級事件的啟動由應(yīng)急領(lǐng)導(dǎo)小組負(fù)責(zé)。事件動態(tài)由應(yīng)急工作小組人員收集并及時反饋給應(yīng)急領(lǐng)導(dǎo)小組，應(yīng)急領(lǐng)導(dǎo)小組決定信息的共享、溝通、處置。信息系統(tǒng)事件發(fā)生后，事發(fā)部門立即啟動相關(guān)應(yīng)急預(yù)案，實施處置并及時報送信息。分級響應(yīng)是指根據(jù)事件等級的不同，采取不同的響應(yīng)方式。發(fā)生P1、P2級事件，應(yīng)急工作小組初步判定事件級別后，將信息通知應(yīng)急領(lǐng)導(dǎo)小組并注意持續(xù)監(jiān)控事態(tài)、收集信息、做出應(yīng)急準(zhǔn)備；應(yīng)急領(lǐng)導(dǎo)小組響應(yīng)判斷為P1、P2級事件后，立即通知應(yīng)急總負(fù)責(zé)人，并由應(yīng)急總負(fù)責(zé)人啟動應(yīng)急預(yù)案。發(fā)生P3、P4級事件，應(yīng)急工作小組初步判定事件級別后，將信息通知應(yīng)急領(lǐng)導(dǎo)小組并注意持續(xù)監(jiān)控事態(tài)、收集信息、做出應(yīng)急準(zhǔn)備；應(yīng)急領(lǐng)導(dǎo)小組響應(yīng)判斷為P3、P4級事件后，立即啟動應(yīng)急預(yù)案。應(yīng)急事件的級別應(yīng)置于動態(tài)調(diào)整控制中。指揮與協(xié)調(diào)是指在事件處理中，需要有統(tǒng)一的指揮和協(xié)調(diào)機(jī)制。P1、P2級事件，應(yīng)急工作小組收集信息，應(yīng)急領(lǐng)導(dǎo)小組做出預(yù)判，并迅速通知應(yīng)急總負(fù)責(zé)人，由應(yīng)急總負(fù)責(zé)人進(jìn)行指揮和決策。P3、P4級事件，應(yīng)急領(lǐng)導(dǎo)小組進(jìn)行指揮和決策，并及時將處理過程、報告等上報應(yīng)急總負(fù)責(zé)人。信息共享和處理是指在事件處理中，需要對信息進(jìn)行共享和處理。P1、P2級事件，應(yīng)急工作小組收集信息并提交給應(yīng)急領(lǐng)導(dǎo)小組和應(yīng)急總負(fù)責(zé)人，由應(yīng)急總負(fù)責(zé)人決定信息的分發(fā)、共享和處置。P3、P4級事件，由應(yīng)急領(lǐng)導(dǎo)小組決定信息的分發(fā)、共享和處置，并上報應(yīng)急總負(fù)責(zé)人。應(yīng)急事件響應(yīng)包括準(zhǔn)備、識別事件、抑制、解決問題、恢復(fù)以及后續(xù)跟蹤。在處理客戶緊急事件時，首先要保護(hù)或恢復(fù)計算機(jī)、網(wǎng)絡(luò)服務(wù)等，使其恢復(fù)正常運行，然后再對事件進(jìn)行追查。為了有效地應(yīng)對緊急事件，我們需要進(jìn)行一系列準(zhǔn)備工作。首先，建立客戶事件檔案，并與客戶就故障級別進(jìn)行定義。接著，準(zhǔn)備應(yīng)急事件緊急響應(yīng)服務(wù)相關(guān)資源，并為一個應(yīng)急事件的處理取得管理方面支持。組建事件處理隊伍，并提供易實現(xiàn)的初步報告。制定一個緊急后備方案，并隨時與管理員保持聯(lián)系。識別事件后，指派安全服務(wù)小組去負(fù)責(zé)此事件，并抄送專家小組。進(jìn)行初步評估，確定事件原因，并保護(hù)可追查的線索，如立即對日志、數(shù)據(jù)進(jìn)行備份。聯(lián)系客戶系統(tǒng)的相關(guān)服務(wù)商、廠商，并縮小事件的影響范圍。確定系統(tǒng)繼續(xù)運行的風(fēng)險，決定是否關(guān)閉系統(tǒng)及采取其他措施。與客戶相關(guān)工作人員保持聯(lián)系、協(xié)商，并根據(jù)需求制訂相應(yīng)的應(yīng)急措施。解決問題后，我們需要進(jìn)行事件的起因分析、事后取證調(diào)查、后門檢查和漏洞分析，并提供解決方案。結(jié)果需要提交專家小組審核，并進(jìn)行后續(xù)工作。檢查是不是所有的服務(wù)都已經(jīng)恢復(fù)，其發(fā)生的原因是否已經(jīng)處理，應(yīng)急響應(yīng)步驟是否需要修改。生成緊急響應(yīng)報告，并擬定一份事件記錄和跟蹤報告。最后，將事件合并并錄入信息知識庫。為了保證應(yīng)急響應(yīng)的質(zhì)量和效率，我們還需要進(jìn)行應(yīng)急響應(yīng)保障措施。首先是工具保障，我們建立了一套專門用于應(yīng)急響應(yīng)工具庫，并為工程師提供一人一套工具。同時，將此工具庫進(jìn)行了多套備份，并指定專業(yè)技術(shù)人員進(jìn)行管理與維護(hù)。其次是技術(shù)和人員保障，公司擁有一支技術(shù)精湛、專業(yè)、穩(wěn)定的技術(shù)團(tuán)隊，并定期進(jìn)行專項技術(shù)培訓(xùn)研究。此外，公司也鼓勵員工報考知名廠商技術(shù)認(rèn)證，進(jìn)行更專業(yè)的技術(shù)研究。交通保障方面，公司提供應(yīng)急車輛保障，以保證能夠在突發(fā)應(yīng)急事件時做出快速響應(yīng)。最后是財力保障，公司有專門的經(jīng)費和審批流程，以確保在應(yīng)急響應(yīng)處理過程中需要的款項能迅速到位，保障應(yīng)急事件的處理和故障恢復(fù)。審核并批準(zhǔn)經(jīng)費預(yù)算；審核并批準(zhǔn)恢復(fù)策略；審核并批準(zhǔn)應(yīng)急響應(yīng)計劃；啟動定期評審、修訂應(yīng)急響應(yīng)計劃；指導(dǎo)應(yīng)急響應(yīng)實施小組的應(yīng)急處置工作；啟動應(yīng)急響應(yīng)流程。技術(shù)人員準(zhǔn)備內(nèi)容備份系統(tǒng)的運行和維護(hù)；制定應(yīng)急預(yù)案；協(xié)助災(zāi)難恢復(fù)系統(tǒng)實施；組織應(yīng)急響應(yīng)計劃的測試和演練；確定應(yīng)急策略和等級以及策略的實現(xiàn)。檢測階段目標(biāo)：確認(rèn)是否有該類事件的專項預(yù)案。角色：現(xiàn)場實施人員。內(nèi)容：現(xiàn)場勘查確定檢測方案。如果有專項預(yù)案，則進(jìn)入抑制階段；如果沒有，則進(jìn)入準(zhǔn)備階段。抑制階段目標(biāo)：確認(rèn)和認(rèn)可抑制的方法，并進(jìn)行根除的實施。角色：現(xiàn)場實施人員。內(nèi)容：確認(rèn)和認(rèn)可抑制的方法，并進(jìn)行根除的實施。如果根除成功，則進(jìn)入恢復(fù)階段；如果根除失敗，則重新進(jìn)入檢測階段。根除階段目標(biāo)：確認(rèn)和認(rèn)可根除的方法，并進(jìn)行根除的實施。角色：現(xiàn)場實施人員。內(nèi)容：確認(rèn)和認(rèn)可根除的方法，并進(jìn)行根除的實施。如果根除成功，則進(jìn)入恢復(fù)階段；如果根除失敗，則重新進(jìn)入檢測階段?；謴?fù)階段目標(biāo)：根據(jù)確認(rèn)的恢復(fù)方案進(jìn)行信息系統(tǒng)的恢復(fù)。角色：現(xiàn)場實施人員。內(nèi)容：根據(jù)確認(rèn)的恢復(fù)方案進(jìn)行信息系統(tǒng)的恢復(fù)?？偨Y(jié)階段目標(biāo)：回顧并完善整個事件的處理過程并進(jìn)行總結(jié)。角色：組織人員，技術(shù)人員。內(nèi)容：形成事故報告為服務(wù)對象提出安全建議。組織的外部協(xié)作如果需要向其他第三方設(shè)備供應(yīng)商或軟件開發(fā)商尋求支持時，將聯(lián)系第三方服務(wù)單位提供協(xié)作和技術(shù)支持。針對項目，我們公司成立了應(yīng)急處置小組，包括應(yīng)急領(lǐng)導(dǎo)小組和應(yīng)急工作小組。應(yīng)急領(lǐng)導(dǎo)小組是信息安全應(yīng)急響應(yīng)工作的組織領(lǐng)導(dǎo)機(jī)構(gòu)，負(fù)責(zé)統(tǒng)一領(lǐng)導(dǎo)公司內(nèi)部信息系統(tǒng)的應(yīng)急事件應(yīng)對工作。應(yīng)急工作小組由運維服務(wù)小組人員組成，負(fù)責(zé)落實應(yīng)急領(lǐng)導(dǎo)小組的任務(wù)和制定應(yīng)急預(yù)案，并監(jiān)督執(zhí)行情況。應(yīng)急響應(yīng)流程共包括6個階段，分別是準(zhǔn)備階段、檢測階段、抑制階段、根除階段、恢復(fù)階段和總結(jié)階段。在每個階段都有其應(yīng)完成的目標(biāo)、實施人員角色以及階段的結(jié)果輸出。在應(yīng)急響應(yīng)流程中，組織人員和技術(shù)人員都有不同的準(zhǔn)備工作，以確保應(yīng)急響應(yīng)的有效性。如果需要外部協(xié)作，將聯(lián)系第三方服務(wù)單位提供協(xié)作和技術(shù)支持。審核經(jīng)費預(yù)算、恢復(fù)策略和應(yīng)急響應(yīng)計劃，批準(zhǔn)并監(jiān)督應(yīng)急響應(yīng)計劃的執(zhí)行，指導(dǎo)應(yīng)急響應(yīng)實施小組的應(yīng)急處置工作以及啟動定期評審和修訂應(yīng)急響應(yīng)計劃，同時負(fù)責(zé)組織外部協(xié)作。在服務(wù)需求界定階段，首先需要對整個信息系統(tǒng)進(jìn)行評估，明確應(yīng)急需求。這包括了解各項業(yè)務(wù)功能及其之間的相關(guān)性，確定支持各種業(yè)務(wù)功能的相關(guān)信息系統(tǒng)資源和其他資源，明確相關(guān)信息的保密性、完整性和可用性要求。還需要對信息系統(tǒng)進(jìn)行評估，包括應(yīng)用程序、服務(wù)器、網(wǎng)絡(luò)及任何管理和維護(hù)這些系統(tǒng)的流程，確定系統(tǒng)所執(zhí)行的關(guān)鍵功能，并確定執(zhí)行這些關(guān)鍵功能所需要的特定系統(tǒng)資源。采用定性或定量的方法，對業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等應(yīng)急事件造成的影響進(jìn)行評估。協(xié)助客戶建立適當(dāng)?shù)膽?yīng)急響應(yīng)策略，提供在業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等應(yīng)急事件發(fā)生后快速有效的恢復(fù)信息系統(tǒng)運行的方法。為用戶提供相關(guān)的培訓(xùn)服務(wù)，以提高用戶的安全意識，便于相關(guān)責(zé)任人明確自己的角色和責(zé)任，了解常見的應(yīng)急事件和入侵行為，熟悉應(yīng)急響應(yīng)策略。在主機(jī)和網(wǎng)絡(luò)設(shè)備安全初始化階段，需要對系統(tǒng)優(yōu)生次初始安全狀態(tài)快照。這樣，如果以后出現(xiàn)事故后對該服務(wù)器做安全檢測時，通過將初始化快照做的結(jié)果與檢測階段做的快照進(jìn)行比較，就能夠發(fā)現(xiàn)系統(tǒng)的改動或異常。對主機(jī)系統(tǒng)做一個標(biāo)準(zhǔn)的安全初始化的狀態(tài)快照，包括日志及審核策略快照、用戶賬戶快照、進(jìn)程快照、服務(wù)快照、自啟動快照、關(guān)鍵文件簽名快照、開放端口快照、系統(tǒng)資源利用率的快照、注冊表快照和計劃任務(wù)快照等。對網(wǎng)絡(luò)設(shè)備做一個標(biāo)準(zhǔn)的安全初始化的狀態(tài)，包括路由器快照、安全設(shè)備快照、用戶快照和系統(tǒng)資源利用率等快照。信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)及辦公數(shù)據(jù)均十分重要，因此需要進(jìn)行數(shù)據(jù)存儲及備份。目前，存儲備份結(jié)構(gòu)主要有DAS、SAN和NAS，以及通過磁帶或光盤對數(shù)據(jù)進(jìn)行備份?？筛鶕?jù)不同的特點選擇不同的存儲產(chǎn)品構(gòu)建自己的數(shù)據(jù)存儲備份系統(tǒng)。在工具包的準(zhǔn)備階段，需要根據(jù)用戶的需求準(zhǔn)備處置網(wǎng)絡(luò)應(yīng)急事件的工具包，包括常用的系統(tǒng)基本命令、其他軟件工具等。工具包中的工具采用綠色免安裝的，保存在安全的移動介質(zhì)上，如一次性可寫光盤、加密的U盤等。工具包應(yīng)定期更新、補充。最后，需要準(zhǔn)備必要的技術(shù)，以便在應(yīng)急事件發(fā)生時能夠快速、有效地響應(yīng)和處置。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的技術(shù)基礎(chǔ)包括應(yīng)急響應(yīng)的事件取樣、事件分析、事件隔離、系統(tǒng)恢復(fù)和攻擊追蹤等各個方面。應(yīng)急響應(yīng)服務(wù)實施成員還應(yīng)該掌握一些必要的技術(shù)手段和規(guī)范，如系統(tǒng)檢測技術(shù)、攻擊檢測技術(shù)、現(xiàn)場取樣技術(shù)、系統(tǒng)安全加固技術(shù)、攻擊隔離技術(shù)和資產(chǎn)備份恢復(fù)技術(shù)。在檢測階段，應(yīng)急服務(wù)實施小組成員和應(yīng)急響應(yīng)日常運行小組的角色是接到事故報警后在用戶的配合下對異常的系統(tǒng)進(jìn)行初步分析，確認(rèn)其是否真正發(fā)生了信息應(yīng)急事件，并制訂進(jìn)一步的響應(yīng)策略，并保留證據(jù)。具體內(nèi)容包括檢測范圍及對象的確定、檢測方案的確定、檢測方案的實施、檢測結(jié)果的處理和實施小組人員的確定。為了確定實施人員的名單，應(yīng)急響應(yīng)負(fù)責(zé)人需要根據(jù)《事件初步報告表》的內(nèi)容初步分析事故的類型、嚴(yán)重程度等。在確定檢測范圍及對象時，需要對發(fā)生異常的系統(tǒng)進(jìn)行初步分析，判斷是否真正發(fā)生了應(yīng)急事件，并與用戶共同確定檢測對象及范圍，必須得到用戶的書面授權(quán)。在制訂檢測方案時，應(yīng)與用戶共同確定檢測方案，并明確所使用的檢測規(guī)范。檢測范圍應(yīng)僅限于用戶已授權(quán)的與應(yīng)急事件相關(guān)的數(shù)據(jù)，對用戶的機(jī)密性數(shù)據(jù)信息未經(jīng)允許不得訪問。制訂的檢測方案應(yīng)包含實施方案失敗的應(yīng)變和回退措施，并預(yù)測應(yīng)急處理方案可能造成的影響。在檢測方案的實施過程中，需要搜集系統(tǒng)信息、操作系統(tǒng)基本信息、日志信息、賬號信息等，并進(jìn)行主機(jī)、日志、賬號、進(jìn)程、服務(wù)、自啟動、網(wǎng)絡(luò)連接和共享等方面的檢查，以檢測出未授權(quán)訪問或非法登錄等異常情況。文件檢查包括檢查病毒、木馬、蠕蟲、后門等可疑文件，同時查找其他系統(tǒng)上的入侵痕跡，以便尋找攻擊途徑。經(jīng)過檢測，我們可以確定信息應(yīng)急事件的類型。信息應(yīng)急事件分為七個基本分類，包括有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容應(yīng)急事件、設(shè)備設(shè)施故障、災(zāi)害性事件以及其他信息應(yīng)急事件。接下來，我們需要對突發(fā)信息應(yīng)急事件造成的影響進(jìn)行評估，采用定量和/或定性的方法，評估業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓、數(shù)據(jù)丟失等突發(fā)信息應(yīng)急事件造成的影響。如果存在針對該事件的特定系統(tǒng)預(yù)案，我們需要啟動相關(guān)預(yù)案；如果事件涉及多個專項預(yù)案，應(yīng)同時啟動所有涉及的專項預(yù)案；如果沒有針對該事件的專項預(yù)案，應(yīng)根據(jù)事件具體情況，采取抑制措施，抑制事件進(jìn)一步擴(kuò)散。在抑制階段，我們的目標(biāo)是及時采取行動限制事件擴(kuò)散和影響的范圍，限制潛在的損失與破壞，同時要確保封鎖方法對涉及相關(guān)業(yè)務(wù)影響最小。抑制階段的內(nèi)容包括抑制方案的確定、抑制方案的認(rèn)可、抑制方案的實施以及抑制效果的判定。在確定抑制方法時，應(yīng)全面評估應(yīng)急事件的影響和損失，通過分析得到的其他結(jié)論，用戶的業(yè)務(wù)和重點決策過程以及用戶的業(yè)務(wù)連續(xù)性。在采取抑制措施之前，應(yīng)與用戶充分溝通，告知可能存在的風(fēng)險，制訂應(yīng)變和回退措施，并與其達(dá)成協(xié)議。抑制方案的實施在實施抑制方案時，必須嚴(yán)格按照相關(guān)約定，不得隨意更改抑制措施的范圍。如果必須更改，必須獲得用戶的授權(quán)。抑制措施應(yīng)該包括以下方面：1.確定受害系統(tǒng)的范圍后，將受害系統(tǒng)和正常的系統(tǒng)進(jìn)行隔離，斷開或暫時關(guān)閉被影響的系統(tǒng)，使攻擊先徹底停止。2.持續(xù)監(jiān)視系統(tǒng)和網(wǎng)絡(luò)活動，記錄異常流量的遠(yuǎn)程IP、域名、端口。3.停止或刪除系統(tǒng)非正常賬號，隱藏賬號，更改口令，加強口令的安全級別。4.掛起或結(jié)束未被授權(quán)的、可疑的應(yīng)用程序和進(jìn)程。5.關(guān)閉存在的非法服務(wù)和不必要的服務(wù)。6.刪除系統(tǒng)各用戶“啟動”目錄下未授權(quán)自啟動程序。7.使用工具或命令停止所有開放的共享。8.使用反病毒軟件或其他安全工具檢查文件，掃描硬盤上所有的文件，隔離或清除病毒、木馬、蠕蟲、后門等可疑文件。抑制效果的判定在實施抑制措施后，需要對抑制效果進(jìn)行判定。主要包括以下兩個方面：1.是否防止了事件繼續(xù)擴(kuò)散，限制了潛在的損失和破壞，使目前損失最小化。2.對其他相關(guān)業(yè)務(wù)的影響是否控制在最小。根除階段在應(yīng)急事件進(jìn)行抑制之后，需要進(jìn)行根除階段。根除階段的目標(biāo)是找出事件根源，明確相應(yīng)的補救措施并徹底清除事件。根除階段的角色包括應(yīng)急服務(wù)實施小組和應(yīng)急響應(yīng)日常運行小組。根除階段包括以下內(nèi)容：1.根除方案的確定。2.根除方案的認(rèn)可。3.根除方案的實施。4.根除效果的判定。根除方案的確定在協(xié)助用戶檢查所有受影響的系統(tǒng)的基礎(chǔ)上，提出方案建議。在確定根除方法時，需要了解攻擊者是如何入侵的，以及與這種入侵方法相同和相似的各種方法。根除方案的認(rèn)可需要明確告知用戶所采取的根除措施可能帶來的風(fēng)險，制定應(yīng)變和回退措施，并得到用戶的書面授權(quán)。協(xié)助用戶進(jìn)行根除方法的實施。根除方案的實施在實施根除方案時，需要使用可信的工具進(jìn)行應(yīng)急事件的根除處理。不得使用受害系統(tǒng)已有的不可信的文件和工具。根除措施應(yīng)該包括以下方面：1.改變?nèi)靠赡苁艿焦舻南到y(tǒng)賬號和口令，并增加口令的安全級別。2.修補系統(tǒng)、網(wǎng)絡(luò)和其他軟件漏洞。3.增強防護(hù)功能，復(fù)查所有防護(hù)措施的配置，安裝最新的安全設(shè)備和殺毒軟件，并及時更新，對未受保護(hù)或者保護(hù)不夠的系統(tǒng)增加新的防護(hù)措施。4.提高其監(jiān)視保護(hù)級別，以保證將來對類似的入侵進(jìn)行檢測。根除效果的判定在根除處理完成后，需要找出造成事件的原因，并備份與造成事件相關(guān)的文件和數(shù)據(jù)。對系統(tǒng)中造成事件的文件進(jìn)行清理，根除，使系統(tǒng)能夠正常工作。最后，輸出根除處理記錄表?；謴?fù)階段在恢復(fù)階段，我們的目標(biāo)是恢復(fù)應(yīng)急事件所涉及的系統(tǒng)，并將其還原到正常狀態(tài)，以使業(yè)務(wù)能夠正常進(jìn)行。我們需要避免誤操作導(dǎo)致數(shù)據(jù)丟失。在這個階段，應(yīng)急服務(wù)實施小組和應(yīng)急響應(yīng)日常運行小組扮演著重要的角色?；謴?fù)方案的確定我們需要告知用戶一個或多個能從應(yīng)急事件中恢復(fù)系統(tǒng)的方法，及它們可能存在的風(fēng)險。并與用戶共同確定系統(tǒng)恢復(fù)方案。我們需要根據(jù)抑制和根除的情況，協(xié)助用戶選擇合適的系統(tǒng)恢復(fù)方案?；謴?fù)方案涉及以下幾個方面：如何獲得訪問受損設(shè)施或地理區(qū)域的授權(quán)；如何通知相關(guān)系統(tǒng)的內(nèi)部和外部業(yè)務(wù)伙伴；如何獲得安裝所需的硬件部件；如何獲得裝載備份介質(zhì)，如何恢復(fù)關(guān)鍵操作系統(tǒng)和應(yīng)用軟件；如何恢復(fù)系統(tǒng)數(shù)據(jù)；如何成功運行備用設(shè)備。在確定恢復(fù)方法時，如果涉及到涉密數(shù)據(jù)，我們需要遵循相應(yīng)的保密要求?；謴?fù)信息系統(tǒng)在恢復(fù)信息系統(tǒng)時，我們需要按照系統(tǒng)的初始化安全策略來恢復(fù)系統(tǒng)。我們需要根據(jù)系統(tǒng)中各子系統(tǒng)的重要性，確定系統(tǒng)恢復(fù)的順序?；謴?fù)系統(tǒng)過程宜包含但不限于以下方面：利用正確的備份恢復(fù)用戶數(shù)據(jù)和配置信息；開啟系統(tǒng)和應(yīng)用服務(wù)，將受到入侵或者懷疑存在漏洞而關(guān)閉的服務(wù)修改后重新開放；連接網(wǎng)絡(luò)，服務(wù)重新上線，并持續(xù)監(jiān)控、持續(xù)匯總分析，了解各網(wǎng)的運行情況。當(dāng)不能徹底恢復(fù)配置和清除系統(tǒng)上的惡意文件，或不能肯定系統(tǒng)在根除處理后是否已恢復(fù)正常時，我們應(yīng)選擇徹底重建系統(tǒng)。我們需要協(xié)助用戶驗證恢復(fù)后的系統(tǒng)是否正常運行，并幫助用戶對重建后的系統(tǒng)進(jìn)行安全加固。最后，我們需要幫助用戶為重建后的系統(tǒng)建立系統(tǒng)快照和備份。總結(jié)階段在總結(jié)階段，我們的目標(biāo)是通過以上各個階段的記錄表格，回顧應(yīng)急事件處理的全過程，整理與事件相關(guān)的各種信息，進(jìn)行總結(jié)，并盡可能地把所有信息記錄到文檔中。在這個階段，應(yīng)急服務(wù)實施小組和應(yīng)急響應(yīng)日常運行小組繼續(xù)扮演著重要的角色。事故總結(jié)我們需要及時檢查應(yīng)急事件處理記錄是否齊全，是否具備可塑性，并對事件處理過程進(jìn)行總結(jié)和分析。應(yīng)急處理總結(jié)的具體工作包括但不限于以下幾項：事件發(fā)生的現(xiàn)象總結(jié)；事件發(fā)生的原因分析；系統(tǒng)的損害程度評估；事件損失估計；采取的主要應(yīng)對措施；相關(guān)的工具文檔（如專項預(yù)案、方案等）歸檔。事故報告我們需要向用戶提供完備的網(wǎng)絡(luò)應(yīng)急事件處理報告，并向用戶提供措施和建議。最后，我們需要制定各類應(yīng)急事件處理預(yù)案，以備不時之需。設(shè)備發(fā)生被盜或人為損害事件應(yīng)急預(yù)案此處未提及具體內(nèi)容，建議補充）當(dāng)發(fā)現(xiàn)黑客攻擊事件時，運維人員應(yīng)立即斷開網(wǎng)絡(luò)，保護(hù)現(xiàn)場，并報告應(yīng)急領(lǐng)導(dǎo)小組和運維服務(wù)小組。運維服務(wù)小組應(yīng)根據(jù)應(yīng)急領(lǐng)導(dǎo)小組的指令，采取隔離網(wǎng)絡(luò)等措施，及時清除黑客攻擊，保障系統(tǒng)安全運行。用戶單位應(yīng)積極配合公安部門進(jìn)行調(diào)查，并向應(yīng)急領(lǐng)導(dǎo)小組匯報有關(guān)情況。運維服務(wù)小組和用戶單位應(yīng)在調(diào)查結(jié)束后一日內(nèi)書面報告應(yīng)急領(lǐng)導(dǎo)小組。事態(tài)或后果嚴(yán)重的，應(yīng)向相關(guān)領(lǐng)導(dǎo)匯報。處置結(jié)束后，運維服務(wù)小組應(yīng)將事發(fā)經(jīng)過、造成影響、處置結(jié)果在調(diào)查工作結(jié)束后一日內(nèi)書面報告應(yīng)急領(lǐng)導(dǎo)小組。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)被非法入侵、網(wǎng)頁內(nèi)容被篡改或應(yīng)用服務(wù)器上的數(shù)據(jù)被非法拷貝、修改、刪除時，運維人員或系統(tǒng)管理員應(yīng)立即斷開網(wǎng)絡(luò)，并向應(yīng)急領(lǐng)導(dǎo)小組報告。應(yīng)急領(lǐng)導(dǎo)小組應(yīng)立即指令運維服務(wù)小組核實情況，關(guān)閉服務(wù)器或系統(tǒng)，修改防火墻和路由器的過濾規(guī)則，封鎖或刪除被攻破的登陸賬號，阻斷可疑用戶進(jìn)入網(wǎng)絡(luò)的通道。運維服務(wù)小組應(yīng)及時清理系統(tǒng)，恢復(fù)數(shù)據(jù)、程序，恢復(fù)系統(tǒng)和網(wǎng)絡(luò)正常。如果情況嚴(yán)重，應(yīng)向應(yīng)急領(lǐng)導(dǎo)小組匯報，并請求支援。處置結(jié)束后，運維服務(wù)小組應(yīng)在調(diào)查工作結(jié)束后一日內(nèi)報告應(yīng)急領(lǐng)導(dǎo)小組。發(fā)生核心設(shè)備硬件故障后，運維服務(wù)小組應(yīng)立即報告應(yīng)急領(lǐng)導(dǎo)小組，并組織查找、確定故障設(shè)備及故障原因，進(jìn)行先期處置。如果故障設(shè)備在短時間內(nèi)無法修復(fù)，運維服務(wù)小組應(yīng)啟動備份設(shè)備，保持系統(tǒng)正常運行，并將故障設(shè)備脫離網(wǎng)絡(luò)進(jìn)行故障排除工作。運維服務(wù)小組應(yīng)在網(wǎng)絡(luò)空閑時期替換備用設(shè)備，若故障仍然存在，應(yīng)立即聯(lián)系相關(guān)廠商，并認(rèn)真填寫設(shè)備故障報告單備查。如果事態(tài)或后果嚴(yán)重，應(yīng)向應(yīng)急領(lǐng)導(dǎo)小組匯報。處置結(jié)束后，運維服務(wù)小組應(yīng)在調(diào)查工作結(jié)束后一日內(nèi)報告應(yīng)急領(lǐng)導(dǎo)小組。發(fā)生業(yè)務(wù)數(shù)據(jù)損壞時，運維服務(wù)小組應(yīng)及時報告應(yīng)急領(lǐng)導(dǎo)小組，并檢查、備份業(yè)務(wù)系統(tǒng)當(dāng)前數(shù)據(jù)。運維服務(wù)小組負(fù)責(zé)調(diào)用備份服務(wù)器備份數(shù)據(jù)，若備份數(shù)據(jù)損壞，則調(diào)用歷史備份數(shù)據(jù)或異地備份數(shù)據(jù)。如果業(yè)務(wù)數(shù)據(jù)損壞事件超過2小時，運維服務(wù)小組應(yīng)及時報告應(yīng)急領(lǐng)導(dǎo)小組，并通知業(yè)務(wù)部門以手工方式開展業(yè)務(wù)。待業(yè)務(wù)數(shù)據(jù)系統(tǒng)恢復(fù)后，運維服務(wù)小組應(yīng)檢查歷史數(shù)據(jù)和當(dāng)前數(shù)據(jù)的差別，并由相關(guān)系統(tǒng)業(yè)務(wù)員補錄數(shù)據(jù)。重新備份數(shù)據(jù)，并在工作結(jié)束后一日內(nèi)報告應(yīng)急領(lǐng)導(dǎo)小組。在應(yīng)急事件現(xiàn)場處理方面，緊急消除是最核心的問題。如果應(yīng)急事件屬于計算機(jī)病毒，可以使用殺毒軟件進(jìn)行消除。如果應(yīng)急事件屬于入侵者，應(yīng)當(dāng)首先對入侵者進(jìn)行監(jiān)視、跟蹤，確定入侵行為的痕跡并消除之，然后利用完整性檢查工具進(jìn)行檢查，最后擺脫入侵者?；謴?fù)系統(tǒng)可以采取現(xiàn)場聯(lián)機(jī)恢復(fù)和關(guān)閉網(wǎng)絡(luò)連接恢復(fù)兩種方法。一旦發(fā)生攻擊，如果無法采取關(guān)機(jī)和關(guān)閉網(wǎng)絡(luò)連接等措施，就需要進(jìn)行現(xiàn)場聯(lián)機(jī)恢復(fù)。如果系統(tǒng)采用了雙機(jī)備份結(jié)構(gòu)，可以采用聯(lián)機(jī)切換方式，先進(jìn)行切換再進(jìn)行恢復(fù)。在發(fā)現(xiàn)入侵者后，監(jiān)視其行為是必要的?？梢允褂孟到y(tǒng)服務(wù)了解攻擊者使用了哪個進(jìn)程，監(jiān)視網(wǎng)絡(luò)出入情況。在采用機(jī)器監(jiān)視的方法時，要注意反監(jiān)視問題的處理。應(yīng)急事件發(fā)生時，要記錄事件現(xiàn)場，包括時間、地點、打印拷貝、記錄拷貝時間、記錄對話內(nèi)容，并盡可能采用自動化的記錄方法。攻擊自動發(fā)現(xiàn)系統(tǒng)可以發(fā)現(xiàn)攻擊行為，并為系統(tǒng)管理員和信息系統(tǒng)安全員發(fā)出報警信號，可以通過聲音、e-mail、手機(jī)、電話等方式表現(xiàn)。系統(tǒng)應(yīng)急事件事后處理包括事件后消除、彌補系統(tǒng)脆弱性、分析原因、總結(jié)教訓(xùn)、完善安全策略、結(jié)構(gòu)、服務(wù)和過程等。消除威脅是應(yīng)急事件處理最核心的問題，主要是指消除應(yīng)急事件的原因。如果應(yīng)急事件的原因是廠商的后門軟件、間諜軟件，則需要向廠商提出交涉，消除該軟件或關(guān)閉廠商保留的端口。如果應(yīng)急事件的原因是程序化入侵，則需要刪