信息安全应急响应服务解决方案模板.doc

信息安全应急响应

服务方案

XXXX科技有限公司

2018年5月

目录

第一部分概述 (3)

1.1.信息安全应急响应 (3)

1.2.应急安全响应事件 (3)

1.3.服务原则 (3)

第二部分应急响应组织保障 (4)

2.1.角色的划分 (4)

2.2.角色的职责 (4)

2.3.组织的外部协作 (4)

2.4.保障措施 (5)

第三部分应急响应实施流程 (5)

3.1.准备阶段（Preparation） (7)

3.1.1 负责人准备内容 (7)

3.1.2 技术人员准备内容 (7)

3.1.3 市场人员准备内容 (9)

3.2.检测阶段（Examination） (9)

3.2.1 实施小组人员的确定 (9)

3.2.2 检测范围及对象的确定 (10)

3.2.3 检测方案的确定 (10)

3.2.4 检测方案的实施 (10)

3.2.5 检测结果的处理 (12)

3.3.抑制阶段（Suppresses） (12)

3.3.1 抑制方案的确定 (13)

3.3.2 抑制方案的认可 (13)

3.3.3 抑制方案的实施 (13)

3.3.4 抑制效果的判定 (13)

3.4.根除阶段（Eradicates） (14)

3.4.1 根除方案的确定 (14)

3.4.2 根除方案的认可 (14)

3.4.3 根除方案的实施 (14)

3.4.4 根除效果的判定 (14)

3.5.恢复阶段（Restoration） (15)

3.5.1 恢复方案的确定 (15)

3.5.2 恢复信息系统 (15)

3.6.总结阶段（Summary） (15)

3.6.1 事故总结 (16)

3.6.2 事故报告 (16)

第一部分概述

1.1.信息安全应急响应

应急响应服务是为满足企业发生安全事件、需要紧急解决问题的情况下提供的一项安全服务。当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，安全专家会在第一时间赶到事件现场，使企业的网络信息系统在最短时间内恢复正常工作，帮助企业查找入侵来源，给出入侵事故过程报告，同时给出解决方案与防范报告，为企业挽回或减少经济损失。提供入侵调查，拒绝服务攻击响应，主机、网络、业务异常紧急响应和处理。1.2.应急安全响应事件

?计算机病毒事件；

?蠕虫病毒事件；

?特洛伊木马事件；

?网页内嵌恶意代码事件；

?拒绝服务攻击事件；

?后门攻击事件；

?漏洞攻击事件；

?网络扫描窃听事件；

?信息篡改事件；

?信息假冒事件；

?信息窃取事件。

1.3.服务原则

在整个应急响应处理过程的中，本协会严格按照以下原则要求服务人员，并签订必要的保密协议。

◆保密性原则

应急服务提供者应对应急处理服务过程中获知的任何关于服务对象的系统信息承担保密的责任和义务，不得泄露给第三方的单位和个人，不得利用这些信息进行侵害服务对象的行为。

◆规范性原则

应急服务提供者应要求服务人员依照规范的操作流程进行应急处理服务，所有处理人员必须对各自的操作过程和结果进行详细的记录，最终按照规范的报告格式提供完整的服务报告。

◆最小影响原则

应急处理服务工作应尽可能减少对原系统和网络正常运行的影响，尽量避免对原网络运行和业务正常运转产生显著影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则必须向服务对象说明。

第二部分应急响应组织保障

2.1.角色的划分

本公司应急响应工作机构按角色划分为三个：

◆应急响应负责人，

◆应急响应技术人员，

◆应急响应市场人员。

信息安全事件发生后，在应急响应领导小组的统一部署下，工作人员各施其职，并严格按照应急响应计划组织实施应急响应工作。

2.2.角色的职责

◆应急响应负责人：

应急响应负责人是信息安全应急响应工作的组织领导机构，组长应由组织最高管理层成员担任。负责人的职责是领导和决策信息安全应急响应的重大事宜，主要职责如下：

a)制定工作方案；

b)提供人员和物质保证；

c)审核并批准经费预算；

d)审核并批准恢复策略；

e)审核并批准应急响应计划；

f)批准并监督应急响应计划的执行；

g)指导应急响应实施小组的应急处置工作；

h)启动定期评审、修订应急响应计划以及负责组织的外部协作。

◆应急响应技术人员，其主要职责如下：

a)编制应急响应计划文档；

b)应急响应的需求分析，确定应急策略和等级以及策略的实现；

c)备份系统的运行和维护，协助灾难恢复系统实施；

d)信息安全突发事件发生时的损失控制和损害评估；

e)组织应急响应计划的测试和演练。

◆应急响应市场人员，其主要职责如下：

a)开拓新客户，与客户建立长期的合作关系；维护与公司老客户的业务往来；

b)建立预防预警机制，及时进行信息上报；

c)参与和协助应急响应计划的教育、培训和演练；

d)信息安全事件发生后的外部协作。

2.3.组织的外部协作

依据服务对象信息安全事件的影响程度，如需向上级部门及时通报准确情况或向其他单位寻求支持时，应与相关管理部门以及外部组织机构保持联络和协作。主要包括国家计算机网络应急技术处理协调中心(CNCERT/CC)华中地区分中心、国家计算机网络应急技术处理协调中心(CNCERT/CC)、中国教育科研网络华中地区网络中心、中国教育科研网网络中心、

##市公安局网络安全监察室、湖北省公安厅网络安全监察处、中国电信##分公司网管中心以及主要相关设备供应商。

2.4.保障措施

◆应急人力保障

加强信息安全人才培养，强化信息安全宣传教育，建设一支高素质、高技术的信息安全核心人才和管理队伍，提高信息安全防御意识。大力发展信息安全服务业，增强协会应急支援能力。

◆物质条件保障

安排一定的资金用于预防或应对信息安全突发事件，提供必要的交通运输保障，优化信息安全应急处理工作的物资保障条件。

◆技术支撑保障

设立信息安全应急响应中心，建立预警与应急处理的技术平台，进一步提高安全事件的发现和分析能力。从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。

第三部分应急响应实施流程

该服务流程并非一个固定不变的教条，需要应急响应服务人员在实际中灵活变通，可适当简化，但任何变通都必须纪录有关的原因。详细的记录对于找出事件的真相、查出威胁的来源与安全弱点、找到问题正确的解决方法，甚至判定事故的责任，避免同类事件的发生都有着极其重要的作用。

3.1.准备阶段（Preparation）

目标：在事件真正发生前为应急响应做好预备性的工作。

角色：协会负责人、技术人员、市场人员。

内容：根据不同角色准备不同的内容。

输出：《准备工具清单》、《事件初步报告表》、《实施人员工作清单》

3.1.1 负责人准备内容

制定工作方案和计划；

提供人员和物质保证；

审核并批准经费预算、恢复策略、应急响应计划；

批准并监督应急响应计划的执行；

指导应急响应实施小组的应急处置工作；

启动定期评审、修订应急响应计划以及负责组织的外部协作。

3.1.2 技术人员准备内容

服务需求界定

首先要对服务对象的整个信息系统进行评估，明确服务对象的应急需求，具体应包

含以下内容：

1)应急服务提供者应了解应急服务对象的各项业务功能及其之间的相关性，确定

支持各种业务功能的相关信息系统资源及其他资源，明确相关信息的保密性、

完整性、和可用性要求；

2)对服务对象的信息系统，包括应用程序，服务器，网络及任何管理和维护这些

系统的流程进行评估，确定系统所执行的关键功能，并确定执行这些关键功能

所需要的特定系统资源；

3)应急服务提供者应采用定性或定量的方法，对业务中断、系统宕机、网络瘫痪

等突发安全事件造成的影响进行评估；

4)应急服务提供者应协助服务对象建立适当的应急响应策略，应提供在业务中断、

系统宕机、网络瘫痪等突发安全事件发生后快速有效的恢复信息系统运行的方

法；

5)应急服务提供者宜为服务对象提供相关的培训服务，以提高服务对象的安全意

识，便于相关责任人明确自己的角色和责任，了解常见的安全事件和入侵行为，

熟悉应急响应策略。

主机和网络设备安全初始化快照和备份

在系统安全策略配置完成后，要对系统做一次初始安全状态快照。这样，如果以后

在出现事故后对该服务器做安全检测时，通过将初始化快照做的结果与检测阶段做

的快照进行比较，就能够发现系统的改动或异常。

1)对主机系统做一个标准的安全初始化的状态快照，包括的主要内容有：

?日志及审核策略快照等。

?用户账户快照；

?进程快照；

?服务快照；

?自启动快照

?关键文件签名快照；

?开放端口快照；

?系统资源利用率的快照；

?注册表快照；

?计划任务快照等等；

2)对网络设备做一个标准的安全初始化的状态快照，包括的主要内容有：

?路由器快照；

?防火墙快照；

?用户快照；

?系统资源利用率等快照。

3)信息系统的业务数据及办公数据均十分重要，因此需要进行数据存储及备份。

目前，存储备份结构主要有DAS、SAN和NAS，以及通过磁带或光盘对数据进行备份。各服务对象可以根据自身的特点选择不同的存储产品构建自己的数据存储备份系统。

工具包的准备

1)应急服务提供者应根据应急服务对象的需求准备处置网络安全事件的工具包，

包括常用的系统基本命令、其他软件工具等；

2)应急服务提供者的工具包中的工具最好是采用绿色免安装的，应保存在安全的

移动介质上，如一次性可写光盘、加密的U盘等；

3)应急服务提供者的工具包应定期更新、补充；

必要技术的准备

上述是针对应急响应的处理涉及到的安全技术工具涵盖应急响应的事件取样、事件分析、事件隔离、系统恢复和攻击追踪等各个方面，构成了网络安全应急响应的技术基础。所以我们的应急响应服务实施成员还应该掌握以下必要的技术手段和规范，具体包括以下内容：

1)系统检测技术，包括以下检测技术规范：

?Windows系统检测技术规范；

?Unix系统检测技术规范；

?网络安全事故检测技术规范；

?数据库系统检测技术规范；

?常见的应用系统检测技术规范；

2)攻击检测技术，包括以下技术：

?异常行为分析技术；

?入侵检测技术；

?安全风险评估技术；

3)攻击追踪技术；

4)现场取样技术；

5)系统安全加固技术；

6)攻击隔离技术；

7)资产备份恢复技术；

3.1.3 市场人员准备内容

和服务对象建立长期友好的业务关系；

和服务对象签订应急服务合同或协议；

建立预防和预警机制，及时上报。

1)预防和预警机制

?市场人员要严格按照应急响应负责人的安排和建议，及时提醒服务对象提高防范网络攻击、病毒入侵、网络窃密等的能力，防止有害信息传播，保

障服务对象网络的安全畅通。

?将协会网络信息中心会发布的病毒预防警报以及更新的防护策略及时有效地告知服务对象，做好防护策略的更新。

2)信息系统检测和报告

?按照“早发现、早报告、早处置”的原则，市场人员要加强对服务对象信息系统的安全检测结果的通告，收集可能引发信息安全事件的有关信息、

进行分析判断。

?如服务对象发现有异常情况或有信息安全事件发生时，要立即向协会网络信息中心应急响应负责人报告，并填写事件初步报告表。

?要求服务对象持续监测信息系统状况，密切关注应急响应负责人提出初步行动对策和行动方案，听从指令和安排，及时减小损失。

3.2.检测阶段（Examination）

目标：接到事故报警后在服务对象的配合下对异常的系统进行初步分析，确认其是否真正发生了信息安全事件，制定进一步的响应策略，并保留证据。

角色：应急服务实施小组成员、应急响应日常运行小组；

内容：

(1)检测范围及对象的确定；

(2)检测方案的确定；

(3)检测方案的实施；

(4)检测结果的处理。

输出：《检测结果记录》、《…》

3.2.1 实施小组人员的确定

应急响应负责人根据《事件初步报告表》的内容，初步分析事故的类型、严重程度等，以此来确定临时应急响应小组的实施人员的名单。

3.2.2 检测范围及对象的确定

应急服务提供者应对发生异常的系统进行初步分析，判断是否正真发生了安全事

件；

应急服务提供者和服务对象共同确定检测对象及范围；

检测对象及范围应得到服务对象的书面授权。

3.2.3 检测方案的确定

应急服务提供者和服务对象共同确定检测方案；

应急服务提供者制定的检测方案应明确应急服务提供者所使用的检测规范；

应急服务提供者制定的检测方案应明确应急服务提供者的检测范围，其检测范围应

仅限于服务对象已授权的与安全事件相关的数据，对服务对象的机密性数据信息未

经授权的不得访问；

应急服务提供者制定的检测方案应包含实施方案失败的应变和回退措施；

应急服务提供者和服务对象充分沟通，并预测应急处理方案可能造成的影响。

3.2.4 检测方案的实施

检测搜集系统信息

?记录时使用目录及文件名约定：

在受入侵的计算机的D盘根目录下（D:\）（如果无D盘则在其他盘根目录下）

建立一个EEAN目录，目录中包含以下子目录：

?artifact：用于存放可疑文件样本

?cmdoutput：用于记录命令行输出结果

?screenshot：用于存放屏幕拷贝文件

?log：用于存放各类日志文件

?文件格式：

?命令行输出文件缺省仅使用TXT格式。

?日志文件及其他格式尽量使用TXT、CSV和其他不需要特殊工具就可以阅读的格式。

?屏幕拷贝文件应该使用BMP格式。

?可疑文件样本最好加密压缩为zip格式，默认密码为：eean

?搜集操作系统基本信息

1．右键点击“我的电脑>属性”将“常规”、“自动更新”、“远程”3个选卡

各制作一个窗口拷贝（使用Alt+PrtScr）。并保存到EEAN\screenshot目录下，

文件名称应该使用：系统常规-01、自动更新-01、远程-01等形式命名。

2．进入CMD状态，“开始> 运行> cmd”，进入D盘根目录下的EEAN目

录，执行一下命令：

netstat -nao > netstat.txt (网络连接信息)

tasklist > tasklist.txt （当前进程信息）

ipconfig /all > ipconfig.txt（IP属性）

ver > ver.txt （操作系统属性）

....................................

?日志信息

目标：导出所有日志信息；

说明：进入管理工具，将“管理工具> 事件察看器”中，导出所有事件，分别使用一下文件名保存：application.txt、security.txt、system.txt。

?帐号信息

目标：导出所有帐号信息；

说明：使用net user，net group，net local group命令检查帐号和组的情况，使用计算机管理查看本地用户和组，将导出的信息保存在

D:\EEAN\user中

主机检测

?日志检查

目标：1、从日志信息中检测出未授权访问或非法登录事件；

2、从IIS/FTP日志中检测非正常访问行为或攻击行为；

说明：1、检查事件查看器中的系统和安全日志信息，比如：安全日志中异常登录时间，未知用户名登录；

2、检查%WinDir%\System32\LogFiles 目录下的WWW日志和FTP日志，

比如WWW日志中的对cmd.asp文件的成功访问。

?帐号检查

目标：检查帐号信息中非正常帐号，隐藏帐号；

说明：通过询问管理员或负责人，或者和系统的所有的正常帐号列表做对比，判断是否有可疑的陌生的账号出现，利用这些获得的信息和前面准备

阶段做的帐号快照工作进行对比。

?进程检查

目标：检查是否存在未被授权的应用程序或服务

说明：使用任务管理器检查或使用进程查看工具进行查看，利用这些获得的信息和前面准备阶段做的进程快照工作进行对比，判断是否有可疑的

进程。

?服务检查

目标：检查系统是否存在非法服务

说明：使用“管理工具”中的“服务”查看非法服务或使用冰刃、Wsystem察看当前服务情况，利用这些获得的信息和准备阶段做的服务快照工作

进行对比。

?自启动检查

目标：检查未授权自启动程序

说明：检查系统各用户“启动”目录下是否存在未授权程序。

?网络连接检查

目标：检查非正常网络连接和开放的端口

说明：关闭所有的网络通讯程序，以免出现干扰，然后使用ipconfig, netstat –an或其它第三方工具查看所有连接，检查服务端口开放情况和异常

数据的信息。

?共享检查

目标：检查非法共享目录。

说明：使用net share或其他第三方的工具检测当前开放的共享，使用$是隐

藏目录共享，通过询问负责人看是否有可疑的共享文件。

?文件检查

目标：检查病毒、木马、蠕虫、后门等可疑文件。

说明：使用防病毒软件检查文件，扫描硬盘上所有的文件，将可疑文件进行提取加密压缩成.zip，保存到EEAN\artifact目录下的相应子目录中。

?查找其他入侵痕迹

目标：查找其它系统上的入侵痕迹，寻找攻击途径

说明：其它系统包括：同一IP地址段或同一网段的系统、同一域的其他系统、拥有相同操作系统的其他系统。

3.2.5 检测结果的处理

确定安全事件的类型

经过检测，判断出信息安全事件类型。信息安全事件可以有以下7个基本分类：

?有害程序事件：蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。

?网络攻击事件：通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常

或对信息系统当前运行造成潜在危害的信息安全事件。

?信息破坏事件：通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。

?信息内容安全事件：利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。

?设备设施故障：由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致

的信息安全事件。

?灾害性事件：由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。

?其他信息安全事件：不能归为以上6个基本分类的信息安全事件。

评估突发信息安全事件的影响

采用定量和/或定性的方法，对业务中断、系统宕机、网络瘫痪数据丢失等突发信

息安全事件造成的影响进行评估：

确定是否存在针对该事件的特定系统预案，如有，则启动相关预案；如果事件涉及

多个专项预案，应同时启动所有涉及的专项预案；

如果没有针对该事件的专项预案，应根据事件具体情况，采取抑制措施，抑制事件

进一步扩散。

3.3.抑制阶段（Suppresses）

目标：及时采取行动限制事件扩散和影响的范围，限制潜在的损失与破坏，同时要确保封锁方法对涉及相关业务影响最小。

角色：应急服务实施小组、应急响应日常运行小组。

内容：

(1)抑制方案的确定；

(2)抑制方案的认可；

(3)抑制方案的实施；

(4)抑制效果的判定；

输出：《抑制处理记录表》、《…》

3.3.1 抑制方案的确定

应急服务提供者应在检测分析的基础上，初步确定与安全事件相对应的抑制方法，

如有多项，可由服务对象考虑后自己选择；

在确定抑制方法时应该考虑：

?全面评估入侵范围、入侵带来的影响和损失；

?通过分析得到的其他结论，如入侵者的来源；

?服务对象的业务和重点决策过程；

?服务对象的业务连续性。

3.3.2 抑制方案的认可

应急服务提供者应告知服务对象所面临的首要问题；

应急服务提供者所确定的抑制方法和相应的措施应得到服务对象的认可；

在采取抑制措施之前，应急服务提供者要和服务对象充分沟通，告知可能存在的风

险，制定应变和回退措施，并与其达成协议。

3.3.3 抑制方案的实施

应急服务提供者要严格按照相关约定实施抑制，不得随意更改抑制的措施的范围，

如有必要更改，需获得服务对象的授权；

抑制措施易包含但不仅限于以下几方面：

?确定受害系统的范围后，将被害系统和正常的系统进行隔离，断开或暂时关闭被攻击的系统，使攻击先彻底停止；

?持续监视系统和网络活动，记录异常流量的远程IP、域名、端口；

?停止或删除系统非正常帐号，隐藏帐号，更改口令，加强口令的安全级别；

?挂起或结束未被授权的、可疑的应用程序和进程；

?关闭存在的非法服务和不必要的服务；

?删除系统各用户“启动”目录下未授权自启动程序；

?使用net share或其他第三方的工具停止所有开放的共享；

?使用反病毒软件或其他安全工具检查文件，扫描硬盘上所有的文件，隔离或清除病毒、木马、蠕虫、后门等可疑文件；

?设置陷阱，如蜜罐系统；或者反击攻击者的系统。

3.3.4 抑制效果的判定

防止事件继续扩散，限制了潜在的损失和破坏，使目前损失最小化；

对其它相关业务的影响是否控制在最小。

目标：对事件进行抑制之后，通过对有关事件或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。

角色：应急服务实施小组、应急响应日常运行小组。

内容：

(1)根除方案的确定；

(2)根除方案的认可；

(3)根除方案的实施；

(4)根除效果的判定；

输出：《根除处理记录表》、《…》

3.4.1 根除方案的确定

应急服务提供者应协助服务对象检查所有受影响的系统，在准确判断安全事件原因

的基础上，提出方案建议；

由于入侵者一般会安装后门或使用其他的方法以便于在将来有机会侵入该被攻陷

的系统，因此在确定根除方法时，需要了解攻击者时如何入侵的，以及与这种入侵

方法相同和相似的各种方法。

3.4.2 根除方案的认可

应急服务提供者应明确告知服务对象所采取的根除措施可能带来的风险，制定应变

和回退措施，并得到服务对象的书面授权；

应急服务提供者应协助服务对象进行根除方法的实施。

3.4.3 根除方案的实施

应急服务提供者应使用可信的工具进行安全事件的根除处理，不得使用受害系统已

有的不可信的文件和工具；

根除措施易包含但不仅限与以下几个方面：

?改变全部可能受到攻击的系统帐号和口令，并增加口令的安全级别；

?修补系统、网络和其他软件漏洞；

?增强防护功能：复查所有防护措施的配置，安装最新的防火墙和杀毒软件，并及时更新，对未受保护或者保护不够的系统增加新的防护措施；

?提高其监视保护级别，以保证将来对类似的入侵进行检测；

3.4.4 根除效果的判定

找出造成事件的原因，备份与造成事件的相关文件和数据；

对系统中的文件进行清理，根除；

使系统能够正常工作。

目标：恢复安全事件所涉及到得系统，并还原到正常状态，使业务能够正常进行，恢复工作应避免出现误操作导致数据的丢失。

角色：应急服务实施小组、应急响应日常运行小组。

内容：

(1)恢复方案的确定；

(2)恢复信息系统；

输出：《恢复处理记录表》、《..》

3.5.1 恢复方案的确定

应急服务提供者应告知服务对象一个或多个能从安全事件中恢复系统的方法，及他

们可能存在的风险；

应急服务提供者应和服务对象共同确定系统恢复方案，根据抑制和根除的情况，协

助服务对象选择合适的系统恢复的方案，恢复方案涉及到以下几方面：

?如何获得访问受损设施或地理区域的授权；

?如何通知相关系统的内部和外部业务伙伴；

?如何获得安装所需的硬件部件；

?如何获得装载备份介质；如何恢复关键操作系统和应用软件；

?如何恢复系统数据；

?如何成功运行备用设备

如果涉及到涉密数据，确定恢复方法时应遵循相应的保密要求。

3.5.2 恢复信息系统

应急响应实施小组应按照系统的初始化安全策略恢复系统；

恢复系统时，应根据系统中个子系统的重要性，确定系统恢复的顺序；

恢复系统过程宜包含但不限于以下方面：

?利用正确的备份恢复用户数据和配置信息；

?开启系统和应用服务，将受到入侵或者怀疑存在漏洞而关闭的服务，修改后重新开放；

?连接网络，服务重新上线，并持续监控持续汇总分析，了解各网的运行情况；

对于不能彻底恢复配置和清除系统上的恶意文件，或不能肯定系统在根除处理后是

否已恢复正常时，应选择彻底重建系统；

应急服务实施小组应协助服务对象验证恢复后的系统是否正常运行；

应急服务实施小组宜帮助服务对象对重建后的系统进行安全加固；

应急服务实施小组宜帮助服务对象为重建后的系统建立系统快照和备份；

3.6.总结阶段（Summary）

目标：通过以上各个阶段的记录表格，回顾安全事件处理的全过程，整理与事件相

关的各种信息，进行总结，并尽可能的把所有信息记录到文档中。

角色：应急服务实施小组、应急响应日常运行小组。

内容：

(1)事故总结；

(2)事故报告；

输出：《应急响应报告表》、《》

3.6.1 事故总结

应急服务提供者应及时检查安全事件处理记录是否齐全，是否具备可塑性，并对事

件处理过程进行总结和分析；

应急处理总结的具体工作包括但不限于以下几项：

?事件发生的现象总结；

?事件发生的原因分析；

?系统的损害程度评估；

?事件损失估计；

?采取的主要应对措施；

?相关的工具文档（如专项预案、方案等）归档。

3.6.2 事故报告

应急服务提供者应向服务对象提供完备的网络安全事件处理报告；

应急服务提供者应向服务对象提供网络安全方面的措施和建议；

上述总结报告的具体信息参考Excel表《应急响应报告表》。

信息安全应急响应服务流程

信息安全应急响应流程 广东盈通网络投资 20011年07月 目录 第一部分导言 (2) 1.1.文档类别 (2) 1.2.使用对象 (3) 1.3.计划目的 (3) 1.4.适用范围 (3) 1.5.服务原则 (3)

第二部分应急响应组织保障 (4) 2.1.角色的划分 (4) 2.2.角色的职责 (4) 2.3.组织的外部协作 (4) 2.4.保障措施 (5) 第三部分应急响应实施流程 (5) 3.1.准备阶段（Preparation stage） (7) 3.1.1 领导小组准备内容 (7) 3.1.2 实施小组准备内容 (7) 3.1.3 日常运行小组准备内容 (9) 3.2.检测阶段（Examination stage） (9) 3.2.1 检测范围及对象的确定 (10) 3.2.2 检测方案的确定 (10) 3.2.3 检测方案的实施 (10) 3.2.4 检测结果的处理 (12) 3.3.抑制阶段（Suppresses stage） (12) 3.3.1 抑制方案的确定 (13) 3.3.2 抑制方案的认可 (13) 3.3.3 抑制方案的实施 (13) 3.3.4 抑制效果的判定 (13) 3.4.根除阶段（Eradicates stage） (14) 3.4.1 根除方案的确定 (14) 3.4.2 根除方案的认可 (14) 3.4.3 根除方案的实施 (14) 3.4.4 根除效果的判定 (14) 3.5.恢复阶段（Restoration stage） (15) 3.5.1 恢复方案的确定 (15) 3.5.2 恢复信息系统 (15) 3.6.总结阶段（Summary stage） (15) 3.6.1 事故总结 (16) 3.6.2 事故报告 (16) 第一部分导言 1.1.文档类别 本文档是盈通公司信息技术安全IT技术部用以规范“信息安全应急响应服务流程”项

网络安全应急处置工作流程图

信息安全应急预案 V 1.0

第一章总则 第一条为提高公司网络与信息系统处理突发事件的能力，形成科学、有效、反应迅速的应急工作机制，减轻或消除突发事件的危害和影响，确保公司信息系统安全运行，最大限度地减少网络与信息安全突发公共事件的危害，特制定本预案。 第二章适用范围 第二条本预案适用于公司信息系统安全突发事件的应急响应。当发生重大信息安全事件时，启动本预案。 第三章编制依据 第三条《国家通信保障应急预案》、《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《信息安全应急响应计划规范》、《信息安全技术信息安全事件分类分级指南》 第四章组织机构与职责 第四条公司信息系统网络与信息安全事件应急响应由公司信息安全领导小组统一领导。负责全中心系统信息安全应急工作的领导、决策和重大工作部署。 第五条由公司董事长担任领导小组组长，技术部负责人担任领导小组副组长，各部门主要负责人担任小组成员。

第六条应急领导小组下设应急响应工作小组，承担领导小组的日常工作，应急响应工作小组办公室设在技术部。主要负责综合协调网络与信息安全保障工作，并根据网络与信息安全事件的发展态势和实际控制需要，具体负责现场应急处置工作。工作小组应当经常召开会议，对近期发生的事故案例进行研究、分析，并积极开展应急响应具体实施方案的研究、制定和修订完善。 第五章预防与预警机制 第七条公司应从制度建立、技术实现、业务管理等方面建立健全网络与信息安全的预防和预警机制。 第八条信息监测及报告 1.应加强网络与信息安全监测、分析和预警工作。公司应每天定时利用自身监测技术平台实时监测和汇总重要系统运行状态相关信息，如：路由器、交换机、小型机、存储设备、安全设备、应用系统、数据库系统、机房系统的访问、运行、报错及流量等日志信息，分析系统安全状况，及时获得相关信息。 2. 建立网络与信息安全事件通报机制。发生网络与信息安全事件后应及时处理，并视严重程度向各自网络与信息安全事件的应急响应执行负责人、及上级主管部门报告。 第九条预警 应急响应工作小组成员在发生网络与信息安全事件后，应当进行初步核实及情况综合，快速研究分析可能造成损害的程度，提出初步行动对策，并视事件的严重程度决定是否及时报各自应急响应执行负责人。 应急响应执行负责人在接受严重事件的报告后，应及时发布应急响应指令，并视事件严重程度向各自信息安全领导小组汇报。

信息安全事件应急处理报告模板

XX单位 信息安全事件应急处理报告 XXX公司 2017年X月XX日

目录 一、概述 (1) 1.1应急处理服务背景 (1) 1.2应急处理服务目的 (1) 1.3应急处理服务范围 (1) 1.4应急处理服务依据 (2) 1.4.1 应急处理服务委托协议 (2) 1.4.2 基础标准与法律文件 (2) 1.4.3 参考文件 (2) 二、应急处理服务流程 (3) 三、应急处理服务内容和方法 (5) 3.1准备阶段 (5) 3.1.1 准备阶段工作流程 (5) 3.1.2 准备阶段处理过程 (5) 3.1.3 准备阶段现场处理记录表 (6) 3.2检测阶段 (7) 3.2.1检测阶段工作流程 (7) 3.2.2 检测阶段处理过程 (7) 3.2.3 检测阶段现场处理记录表 (8) 3.3抑制阶段 (9) 3.3.1 抑制阶段工作流程 (9) 3.3.2 抑制阶段处理过程 (9)

3.3.3 抑制阶段现场处理记录表 (10) 3.4根除阶段 (11) 3.4.1 根除阶段工作流程 (11) 3.4.2 根除阶段处理过程 (11) 3.5恢复阶段 (13) 3.5.1 恢复阶段工作流程 (13) 3.5.2 恢复阶段处理过程 (13) 3.5.3 恢复阶段现场记录表 (13) 3.6总结阶段 (14) 3.6.1 总结阶段工作流程 (14) 3.6.2 总结阶段现场记录表 (15) 四、结论与建议 (16)

信息安全事件应急处理报告 XX公司 2017年X月XX 日批准人： 应急处理服务人员： 审核人：

一、概述 1.1 应急处理服务背景 XX单位与XX公司签订应急服务合同。XX公司根据合同协议中规定的范围和工作内容为XX单位提供应急服务。2017年6月25日XX单位网站服务器发现存在恶意文件，直接威胁网站的正常运营与使用，XX单位立即拨通XX公司的应急服务热线，请求应急处理服务。我方应急处理服务人员,对相关信息进行登记记录,并按作业指导书要求启动相关过程。 1.2 应急处理服务目的 尽快确认和修复漏洞，恢复信息系统的正常运行，使信息系统所遭受的破坏最小化，并在应急处理后提供准确有效的法律证据、分析统计报告和有价值的建议，在应急处理服务工作结束后对系统管理进行完善。 1.3 应急处理服务范围

信息安全应急预案

信息安全应急预案

垦利县卫生局信息安全应急预案 为规范我局信息应急处理的程序和内容，提高单位信息化工作小组的应急处理能力，科学应对网络与信息安全突发事件，有效预防、及时控制和最大限度地消除信息安全等各类突发事件的危害和影响，保障信息系统的实体安全、运行安全和数据安全，完善信息安全应急机制，确保单位日常工作的安全、稳定运行，特制定信息安全应急预案。 一、应急预案的指导思想 卫生局信息安全应急处理应坚持“积极预防，严格控制，防控并重”的原则。在认真做好日常管理和监控的基础上，充分做好紧急情况下单位网络系统运行管理的应急准备，健全防控措施，完善处理机制，加强应急演练，确保在应急情况下做到反应迅速，处理果断，保障到位。 二、组织机构 为保证应急情况下应急机制的迅速启动和指挥顺畅，应设立应急小组，小组人员如下： 组长： 副组长： 成员： 三、应急情况的标准 （一）、应急响应启动条件 实施预警信息等级制度，按照事件严重性和紧急程度及对社会影响的大小，分为以下五级：

1级：本级网络与信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益基本不影响或损害极小； 2级：本级网络与信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益有一定的影响或破坏；对 国家安全、社会秩序、经济建设和公共利益产生一定 危害； 3级：本级网络与信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有较为严重 的影响或破坏，对国家安全、社会秩序、经济建设和公 共利益产生较大危害； 4级：本级网络与信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有极其严重 的影响或破坏，对国家安全、社会秩序、经济建设和公 共利益产生严重危害； 5级：本级网络与信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有灾难性的 影响或破坏，对国家安全、社会秩序、经济建设和公共 利益产生特别严重的危害； 当发生3级和3级以上的网络与信息安全事件时，启动本预案，必要时向市网络与信息安全应急领导小组办公室报告。 特殊情况下，上述标准可酌情降低。 （二）应急响应流程

信息安全紧急响应服务授权书

信息安全应急响应服务授权书 依据_____________________ 公司（以下简称甲方）与______________________________ （以下简称乙方）于____ 年____ 月____ 日签订之___________________________ 合同内容，甲方授权乙方并 提供必要之协助对所提报的信息安全事件进行应急响应处理，乙方需遵守本授权书核可的服 务权责、处理范围及处理方案或应急响应预案进行事件处理。 一、定义 “合同”：指本授权书内容所依据的双方共同签订之服务合同或项目合同。 "突发事件"：指影响一个系统正常工作的情况，这里的系统包括主机范畴内的问题，也 包括网络范畴内的问题，这种“情况”包括常见的黑客入侵、信息窃取等，也包括拒绝服 务攻击、网络流量异常等。 "应急响应"：（Emergency Response / Incident Response）指安全人员在遇至U 突发 事件后所米取的措施和行动。 “保密资料”：指所有具有保密性质的数据和资料，包括但不限于甲乙双方的商 业秘密、技术信息或经营信息，只有具备下列条件的数据和资料才可以被认为不 构成保密资料：（i）透露方在透露之前以书面方式指定为非保密资料，或 者（ii ）通过合法的公开渠道可以获得的数据或资料。 二、服务内容 乙方提供甲方的信息安全紧急响应服务包括： 涉及合同载明的服务范围内之各种突发事件处理、消弭及排除。 现场或通过电话和邮件的问题解答。 产品升级或故障技术支持。 最新病毒特征码文件及扫描引擎的升级更新、分发。 可疑病毒样本的提交。 重大病毒事件或攻击事件的预警。 提交事件处理报告。 三、甲方权责 安排指定人员于事件处理过程中提供乙方服务人员必要的协助与配合，并监督乙 方服务人员操作过程的合规性。若乙方人员的操作处理不符规范或规定，甲方人员可及时

信息安全事件应急处理报告模板

信息安全事件应急处理报告模板

XX单位 信息安全事件应急处理报告 XXX公司 2017年X月XX日

目录 1.1应急处理服务背景 (1) 1.2应急处理服务目的 (1) 1.3应急处理服务范围 (1) 1.4应急处理服务依据 (2) 1.4.1 应急处理服务委托协议 (2) 1.4.2 基础标准与法律文件 (2) 1.4.3 参考文件 (2) 3.1准备阶段 (5) 3.1.1 准备阶段工作流程 (5) 3.1.2 准备阶段处理过程 (5) 3.1.3 准备阶段现场处理记录表 (6) 3.2检测阶段 (7) 3.2.1检测阶段工作流程 (7) 3.2.2 检测阶段处理过程 (7) 3.2.3 检测阶段现场处理记录表 (8) 3.3抑制阶段 (9) 3.3.1 抑制阶段工作流程 (9) 3.3.2 抑制阶段处理过程 (9) 3.3.3 抑制阶段现场处理记录表 (10) 3.4根除阶段 (11) 3.4.1 根除阶段工作流程 (11) 3.4.2 根除阶段处理过程 (11) 3.5恢复阶段 (13) 3.5.1 恢复阶段工作流程 (13) 3.5.2 恢复阶段处理过程 (13) 3.5.3 恢复阶段现场记录表 (13) 3.6总结阶段 (14) 3.6.1 总结阶段工作流程 (14) 3.6.2 总结阶段现场记录表 (15)

信息安全事件应急处理报告 XX公司 2017年 X月 XX 日批准人： 应急处理服务人员： 审核人：

一、概述 1.1 应急处理服务背景 XX单位与XX公司签订应急服务合同。XX公司根据合同协议中规定的范围和工作内容为XX单位提供应急服务。2017年6月25日XX 单位网站服务器发现存在恶意文件，直接威胁网站的正常运营与使用，XX单位立即拨通XX公司的应急服务热线，请求应急处理服务。我方应急处理服务人员,对相关信息进行登记记录,并按作业指导书要求启动相关过程。 1.2 应急处理服务目的 尽快确认和修复漏洞，恢复信息系统的正常运行，使信息系统所遭受的破坏最小化，并在应急处理后提供准确有效的法律证据、分析统计报告和有价值的建议，在应急处理服务工作结束后对系统管理进行完善。 1.3 应急处理服务范围

小学信息安全应急处理预案

仅供参考【整理】小学信息安全应急处理预案一、总则 1.编制目的：为规范和加强我校信息重大安全事件的报告管理工作，及时掌握和评估重大网络安全事件有关情况，协调组织力量进行事件的应急响应处理，降低网络安全事件所造成的损失和影响，制定本预案。 2.工作原则：明确责任，依法规范。从我校信息网络安全保障的高度出发，明确应急处理管理部门的安全责任，严格依照国家法律和相关规定进行应急处理工作。 3.适用范围：本预案所称的信息安全重大事件是指由于自然灾害、人为攻击或破坏以及病毒爆发等原因所引发，严重影响到信息系统的正常运行，造成业务中断、系统瘫痪、数据破坏或信息失窃等，从而造成严重影响以及造成一定程度直接和间接重大损失的事件。市瓦小学网络与信息系统安全事件报告、应急处理，均适用于本预案。二、信息网络突发事件的类别 根据网络安全的发生原因、性质和机理，市瓦小学信息网络网网络安全主要分为以下三类：（1）攻击类事件：指网络系统因计算机 病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。（2）故障类事件：指网络系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。 仅供参考【整理】 （3）灾害类事件：指因爆炸、火灾、雷击、地震、台风等外力网络瘫痪等情况。系统宕机、因素导致网络系统损毁，造成业务中断、三、应急处理组织机构 ．领导机构 1

成立市瓦小学信息网络安全应急处理领导小组 工作机构 2. 市瓦小学是浙江省第三批现代教育实验学校，领导小组负责本校教育网络安全事件应急处理协调和领导工作，信息中心隶属领导小组 执行本校信息网络安全事件应急处理工作。四、预防措施 组织机构 1. 建立市瓦小学信息安全管理组织机构，明确岗位职责，确定岗位人员名单、联系方式，名单上报鹿城区教育信息中心备案。建立网络安全一把手负责制，指定一名信息化分管领导作为网络安全负责人，管理安全事故应急处理，配备一名应急处理技术人员，负责网络安全应急处理流程的实际执行，提交重大网络安全事件报告和应急处理工作的结果报告。规范2. 制度 根据实际情况和需要制定基本的安全管理制度，对重要网络设备、软件的安全性进行规范、可靠的管理，提高本学校网络系统的安 仅供参考【整理】 全防护能力。包括制定机房管理制度、设备管理制度、病毒防治管理制度、数据备份与恢复制度、网站管理制度、值班制度、安全审计制度和应急响应制度等。针对内部网络系统制定安全运行管理流程，建立安全事件应急预案，以提高学校网络安全应急响应能力。细化安全应急事件处理流程，包括事件的发现、判断、评估、上报和处理等阶段，并落实学校和应急处理管理机构的接口部门和人员，确保应急处理流程得到有效执行，网络安全事件得到有效控制和处理。接受和配合教育局信息中心办对安全应急处理的指导，并将学校制定的应急响应相关制度在教育信息中心备案，将学校的应急体系纳入到全

信息安全事件与应急响应管理规范

四川长虹电器股份有限公司 虹微公司管理文件 信息安全事件与应急响应管理规范 ××××–××–××发布××××–××–××实施 四川长虹虹微公司发布

目录 1.目的 (1) 2.适用围 (1) 3.工作原则 (1) 4.组织体系和职责 (2) 5.信息安全事件分类和分级 (2) 5.1.信息安全事件分类 (2) 5.1.1信息系统攻击事件 (2) 5.1.2信息破坏事件 (3) 5.1.3信息容安全事件 (3) 5.1.4设备设施故障 (3) 5.1.5灾害性事件 (3) 5.1.6其他信息安全事件 (3) 5.2.安全事件的分级 (3) 5.2.1特别重大信息安全事件（一级） (4) 5.2.2重大信息安全事件（二级） (4) 5.2.3较大信息安全事件（三级） (4) 5.2.4一般信息安全事件（四级） (4) 6.信息安全事件处理 ............................................................... 错误!未定义书签。

7.奖励与处罚 (6) 8.后期处置 (6) 9.解释 (7)

1.目的 为建立健全虹微网络安全事件处理工作机制，提高网络安全事件处理能力和水平，保障公司的整体信息系统安全，减少信息安全事件所造成的损失，采取有效的纠正与预防措施，特制定本规。 2.适用围 本文档适用于公司建立的信息安全管理体系。 本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。 本程序适用于公司全体员工；适用于公司的信息安全事故、弱点和故障的管理。 3.工作原则 ●统一指挥机制原则：在进行信息系统安全应急处置工作过程中，各部门的人员应服从各 级信息系统突发安全事件处置领导小组的统一指挥。 ●谁运行、谁主管、谁处置的原则：各类信息系统的责任部门要按照公司统一要求，制定 和维护本部门信息系统运行安全应急子预案，并组织或督促相关部门制定和维护本部门应用系统的应急子预案，认真根据应急预案进行演练与应急处置工作。 ●以人为本，最小损失原则：应对信息系统突发安全事件的各项措施均应以人为本，最大 程度地减少信息系统突发安全事件造成的危害和损失。 ●居安思危，预防为主原则:高度重视信息系统突发安全事件预防工作，常抓不懈，防患 于未然。增强忧患意识，坚持做好信息系统日常监控与运行维护工作，坚持预防与应急相结合，做好应对信息系统突发安全事件的各项准备工作。 ●分级响应和管理原则：在各类子预案和工作制度中应对信息系统突发安全事件制定科学 的等级标准，各部门要依据规定权限及程序及时预防、预警、控制、解决本级职责围的信息系统突发安全事件。

信息安全应急响应服务方案模板

信息安全应急响应 服务方案 XXXX科技有限公司 2018年5月

目录 第一部分概述 (3) 1.1.信息安全应急响应 (3) 1.2.应急安全响应事件 (3) 1.3.服务原则 (4) 第二部分应急响应组织保障 (5) 2.1.角色的划分 (5) 2.2.角色的职责 (5) 2.3.组织的外部协作 (6) 2.4.保障措施 (6) 第三部分应急响应实施流程 (7) 3.1.准备阶段（Preparation） (9) 3.1.1负责人准备内容 (9) 3.1.2技术人员准备内容 (9) 3.1.3市场人员准备内容 (12) 3.2.检测阶段（Examination） (13) 3.2.1实施小组人员的确定 (13) 3.2.2检测范围及对象的确定 (13) 3.2.3检测方案的确定 (13) 3.2.4检测方案的实施 (14) 3.2.5检测结果的处理 (17) 3.3.抑制阶段（Suppresses） (18) 3.3.1抑制方案的确定 (18) 3.3.2抑制方案的认可 (18) 3.3.3抑制方案的实施 (19) 3.3.4抑制效果的判定 (19)

3.4.根除阶段（Eradicates） (20) 3.4.1根除方案的确定 (20) 3.4.2根除方案的认可 (20) 3.4.3根除方案的实施 (20) 3.4.4根除效果的判定 (21) 3.5.恢复阶段（Restoration） (21) 3.5.1恢复方案的确定 (21) 3.5.2恢复信息系统 (22) 3.6.总结阶段（Summary） (22) 3.6.1事故总结 (23) 3.6.2事故报告 (23) 第一部分概述 1.1.信息安全应急响应 应急响应服务是为满足企业发生安全事件、需要紧急解决问题的情况下提供的一项安全服务。当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，安全专家会在第一时间赶到事件现场，使企业的网络信息系统在最短时间内恢复正常工作，帮助企业查找入侵来源，给出入侵事故过程报告，同时给出解决方案与防范报告，为企业挽回或减少经济损失。提供入侵调查，拒绝服务攻击响应，主机、网络、业务异常紧急响应和处理。1.2.应急安全响应事件 计算机病毒事件； 蠕虫病毒事件；

公司信息安全应急响应

密级：商密 文档编号： 项目代号： XXXXXXXXXXＸＸ有限公司应急响应规范

ＸＸＸＸＸＸＸＸＸＸＸ有限公司

应急响应规范 目录 1. 总则 (3) 1.1 1.2 1.3 1.4 目的 (3) 事件分类 (3) 释义 (3) 读者 (4) 2. 组织与职责 (5) 2.1 2.2 2.3 2.4 应急响应小组 (5) 高级安全顾问 (5) 安全顾问 (5) 安全服务工程师 (5) 3. 4. 5. 6. 7. 应急响应处理流程 (6) 检查要求 (7) 附则 (7) 应急响应处理流程图 (8) 附表 (9) 7.1 7.2 安全事件检查记录表 (9) 安全事件分析处理表 (10)

Page : 2 of 10

应急响应规范 1.总则 1.1目的 为增强ＸＸＸＸＸＸＸＸ安全服务中心应对紧急安全事件的能力，规范安全服务应急响应流程，保障用户在遭受到紧急状况时的资产损失降低到最小，并在规范的流 程下进行修复，保障业务的连续性和问题的可追踪性，特制定本应急响应流程。 1.2事件分类 1)物理安全事件 指计算机设备、设施（含网络）以及其它媒体遭到人为的或自然灾害引起的物理上的危害。 2)逻辑安全事件 指信息的完整性、保密性和可用性方面遭到破坏，从而导致涉及的网络、操作系统、数据库、应用系统、人员管理等方面正常业务运行受到影响。 1.3释义

一、本管理办法中所描述的安全广义上均指信息安全； 二、物理安全事件定义（包含但不仅限于）： 1)设备遗失，遭到物理闯入或计算机设备被窃； 2)自然灾害，物理环境或设备遭到火灾或水灾等事故； 3)环境灾害，物理设备由于机房环境灰尘或静电造成损坏； 4)意外故障，设备在运行过程意外（如本身质量等问题）损坏，造成业务 受损或服务中断； 5)人员误操作，管理维护人员在日常维护中因误操作导致物理设备、线缆 等设施的损坏，造成业务受损或服务中断。 三、逻辑安全事件定义（包含但不仅限于）： 1)非授权访问，未经授权或允许进入到信息系统中，而导致数据信息受损 Page : 3 of 10

信息安全事件与应急响应管理规范V1.0完整篇.doc

信息安全事件与应急响应管理规范V1.01 四川长虹电器股份有限公司 虹微公司管理文件 信息安全事件与应急响应管理规范 ××××–××–××发布××××–××–××实施四川长虹虹微公司发布 第I 页共8 页 目录 1.目的(1) 2.适用范围(1) 3.工作原则(1) 4.组织体系和职责(2) 5.信息安全事件分类和分级(2) 5.1.信息安全事件分类(2) 5.1.1信息系统攻击事件(2) 5.1.2信息破坏事件(3) 5.1.3信息内容安全事件(3)

5.1.4设备设施故障(3) 5.1.5灾害性事件(3) 5.1.6其他信息安全事件(3) 5.2.安全事件的分级(3) 5.2.1特别重大信息安全事件（一级）(3) 5.2.2重大信息安全事件（二级）(4) 5.2.3较大信息安全事件（三级）(4) 5.2.4一般信息安全事件（四级）(4) 6.信息安全事件处理............................. 错误！未定义书签。 7.奖励与处罚(6) 8.后期处置(6) 9.解释(6) 1.目的 为建立健全虹微网络安全事件处理工作机制，提高网络安全事件处理能力和水平，保障公司的整体信息系统安全，减少信息安全事件所造成的损失，采取有效的纠正与预防措施，特制定本规范。 2.适用范围

本文档适用于公司建立的信息安全管理体系。 本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。 本程序适用于公司全体员工；适用于公司的信息安全事故、弱点和故障的管理。 3.工作原则 ●统一指挥机制原则：在进行信息系统安全应急处置工作过程中，各部门的人员应服从各 级信息系统突发安全事件处置领导小组的统一指挥。 ●谁运行、谁主管、谁处置的原则：各类信息系统的责任部门要按照公司统一要求，制定 和维护本部门信息系统运行安全应急子预案，并组织或督促相关部门制定和维护本部门应用系统的应急子预案，认真根据应急预案进行演练与应急处置工作。 ●以人为本，最小损失原则：应对信息系统突发安全事件的各项措施均应以人为本，最大 程度地减少信息系统突发安全事件造成的危害和损失。 ●居安思危，预防为主原则:高度重视信息系统突发安全事件预防工作，常抓不懈，防患 于未然。增强忧患意识，坚持做好信息系统日常监控与运行

注册信息安全专业人员应急响应工程师CISPIRE白皮书.doc

谢谢观赏 注册信息安全专业人员-应急响应工程师 白皮书 发布日期：2019年 1 月 中国信息安全测评中心 网神信息技术（北京）股份有限公司?版权2019-攻防领域考试中心

CISP-IRE白皮书 咨询及索取 关于中国信息安全测评中心CISP-IRE考试相关的更多信息，请与注册信息安全专业人员攻防领域考试中心联系。 注册信息安全专业人员攻防领域考试中心联系方式 【邮箱】xxx 【网址】xxx 【地址】北京市海淀区昆明湖南路51号中关村军民融合产业园D座2层 【邮编】100097 360企业安全集团下属的网神信息技术（北京）股份有限公司是以“保护大数据时代的安全”为企业使命，以“数据驱动安全”为技术思想，专注于为政府和企业提供新一代网络安全产品和信息安全服务的提供商。360企业安全集团与中国信息安全测评中心联合成立注册信息安全专业人员攻防领域考试中心，由360企业安全集团子公司网神信息技术（北京）股份有限公司具体运营，负责注册信息安全专业人员应急响应工程师（CISP-IRE）资质的培训知识体系制定、考试开发维护、业务推广、市场宣传及持证人员的服务。CISP-IRE专注于培养、考核高级实用型网络安全应急响应安全人才，是业界首个理论与实践相结合的网络安全专项技能水平注册考试。

目录 引言1 一、CISP-IRE考试要求 2 二、CISP-IRE考试方向 2 三、CISP-IRE注册流程 4 四、CISP职业准则4 五、CISP-IRE考生申请资料要求5 六、CISP-IRE收费标准 6 七、注册信息安全专业人员攻防领域考试中心联系方式6

引言 当前，信息化社会发展方兴未艾，信息成为一种重要的战略资源。信息的获取、存储、处理及其安全保障能力成为一个国家综合国力的重要组成部分。目前，信息产业已成为世界第一大产业，信息科学与技术正处于空前繁荣的阶段。信息安全是信息的影子，哪里有信息，哪里就有信息安全问题。在信息科学与技术发展欣欣向荣的同时，危害信息安全的事件也不断发生。 基于严峻的网络空间安全形势，国内外多位信息安全领域资深专家、学者指出：不断增长的产业链式网络攻击虽然日趋严重，但是更让人担忧的是，网络安全人才的短缺致使各个层级的网络安全团队难以“扩军”，信息安全领域人才的储备量远远跟不上网络安全风险的增长量。 网络安全人才决定网络安全技术的交替、更迭，而人才的短缺直接影响政府事业机关网络防御能力，也导致中、小型企业很难组建自己的安全团队。网络安全防范能力堪忧，严重影响我国网络安全建设。 《网络安全法》第三条提出“国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全保障体系，提高网络安全保护能力。”因此，培养“高素质的网络安全和信息化人才队伍”的工作刻不容缓！ 中国信息安全测评中心主导的注册信息安全专业人员攻防领域考试中心推出的“CISP-IRE”（注册信息安全专业人员-应急响应工程师，Certified Information Security Professional - Incident Response Engineer）技能水平注册考试，锻炼考生实际解决网络安全问题的能力，发现人才，有效增强网络安全防御能力，促进

网站应急管理制度、流程、应对措施

市政务服务中心网站应急预案 1 总则 1.1 编制目的和依据 为及时、有效、妥善处置XX市人民政府政务服务中心（以下简称“市政务中心”）网络和信息安全突发事件，建立和完善相关应急工作制度，加强和规范网络和信息安全事件应急处置工作，提高网络和信息安全事件应急处置能力，预防和减少网络和信息安全事件的发生，控制和降低网络和信息安全事件带来的危害和损失，保障信息基础设施和重要信息系统网络和信息安全，依据《中华人民共和国突发事件应对法》、《中华人民共和国计算机信息系统安全保护条例》、《国家突发公共事件总体应急预案》、《国家网络和信息安全事件应急预案》、《信息安全事件分类分级指南》、等法律法规、规章政策，结合市政务中心实际，制定本预案。 1.2 适用范围 适用于市政务中心信息系统网络和信息安全事件的预防、监测、报告和应急处置工作。 1.3 事件分类分级 网络和信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。 1.3.1 事件分类 （1）有害程序事件：分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事

件和其他有害程序事件。 （2）网络攻击事件：分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。 （3）信息破坏事件：分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。 （4）信息内容安全事件：指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。 （5）设备设施故障事件：分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。 （6）灾害性事件：指由自然灾害等其他突发事件导致的网络和信息安全事件。 1.3.2 事件分级 网络和信息安全突发事件由高到低划分为四级：特别重大网络和信息安全事件（Ⅰ级）、重大网络和信息安全事件（Ⅱ级）、较大网络和信息安全事件（Ⅲ级）、一般网络和信息安全事件（Ⅳ级）。 （1）特别重大网络和信息安全事件（Ⅰ级） 符合下列情况之一的，为特别重大网络和信息安全事件（Ⅰ级）： ①信息系统中断运行2小时以上、影响用户数100万以上； ②信息系统中的数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁，或导致10亿元人民币以上的经济损失。

应急响应流程

应急响应流程 不管我们事前做了多么周密的工作去评估风险和加固系统，攻击者可能还是会在某个凌晨偷偷潜入我们的系统更改掉我们的系统文件，面对攻击者的攻击早早的计划出对策是非常重要的，如果等到攻击者实施完攻击后我们才开始想应该如何应对的话，可能会手忙脚乱的把事情弄得一团糟糕。 为了有效应对相关安全事件，我们根据经典的应急事件处理流程PDCERF 制定了相应的应急响应流程。 PDCERF 是国际上对应急响应的一个标准流程，即准备（策略、防御、程序、人员、工具、基础设施、资金）、检测（检测、调查、评价、报告、决策）、抑制（安全域（地理/层次/人机/业务）、边界控制）、根除（定位、对症下药、副作用）、恢复（数据恢复、状态恢复、行为恢复、环境恢复）、跟踪（追究责任、改进）。

P 准备 1. 每个管理员所维护的网络系统都会由特定的软件和硬件组成，那么定期登陆这些软硬件设备的厂商站点去查看是否目前有新的安全漏洞补丁或者是安全警告非常必要，至少应该保证一个星期查看一次，也可以选择订阅厂家的更新邮件列表。 2. 每星期登陆一次国家计算机网络应急技术处理协调中心https://www.wendangku.net/doc/7d13634035.html, 查看安全公告内容，对于安全警告信息确认分析，如果所管理网络存在警报中安全问题，应及时安装从站点下载的补丁。 3. 在本组织内部制作一个信息安全相关的发布页面，亲自负责来维护信息发布，定期发布安全预警信息和安全维护文章，对于常用的杀毒软件等安全工具也应该提供下载，做到每一个新员工加入后可以通过这个站点获取到全部所需要的软件和安全规定和相关知识技巧。 4. 针对近三年来蠕虫病毒攻击分析后，内部网络大量的WINDOWS 平台个人计算机

网络安全应急响应服务方案

应急响应服务方案

目录 一、项目技术方案 (1) 1.1、应急响应服务 (1) 1.1.1、服务内容 (1) 1.1.2、服务方法 (2) 1.1.3、交付成果 (16) 1.1.4、服务优势 (17) 1.1.5、服务范围 (19) 1.1.6、服务案例 (20) I

一、项目技术方案 1.1、应急响应服务 1.1.1、服务内容 1.1.1.1、服务简介 我司应急响应服务是我司推出的以“安全第一”为指导原则，积极开展网络安全事件的预防、发现、预警和协调处置等工作的安全服务。我司应急响应通过制定集团级应急响应机制，协同集团营销、媒体等15个部门联合开展的应急处置工作，后端以高效的应急响应系统IT平台以及遍览全国安全事件的应急响应监控指挥调度中心作为支撑。为在发生安全事件时，第一时间作出有效决断提供了强大的后台保障。 我司应急响应服务，以“快速响应、力保恢复”为行动指南，致力于成为网络安全领域的120急救中心，通过在遇到突发安全事件后采取专业的安全措施和行动，并对已经发生的安全事件进行监控、分析、协调、处理、保护资产等安全属性的工作，保障企业用户的网络安全，最大程度的减少安全事件所带来的经济损失以及恶劣的社会负面影响。 1.1.1.2、服务目标 应急响应服务目标旨在： ●帮助客户及时控制安全事件对企业造成的恶劣影响，将经济损失降到最 低。 ●减少因安全事件发生所产生的社会负面影响，保障网络生态安全。 1.1.1.3、服务价值 ●系统地响应安全事件，以采取适当的步骤； ●帮助客户迅速有效地从安全事件中恢复过来，并将信息丢失和被盗以及

服务被破坏的程度降到最低； ●利用从安全事件处理过程中获得的信息做好更充分的准备，以处理未来 的安全事件并对系统和数据进行更强的保护； ●建立安全事件响应机制协同建立有效的防御政策来抵制信息安全威胁； ●降低安全运营成本，提高企业信息业务发展安全竞争力。 1.1.2、服务方法 1.1. 2.1、准备阶段（Preparation） 目标：在事件真正发生前为应急响应做好预备性的工作。 角色：指挥人员、一线应急人员、营销人员、媒体宣传人员、监测与响应中心人员、战略推进人员。 内容：根据不同角色准备不同的内容。 ●组织研判 根据事件研判规则，对事件进行研判，确定事件预案等级 ●统一指挥 制定工作方案和应急响应计划； 提供人员和物质保证； 监督应急响应计划的执行； 指导应急响应实施小组的应急处置工作； 启动定期评审、修订应急响应计划以及负责组织的外部协作。 ●应急人员准备工作 1、一线应急人员准备内容 服务需求界定 首先要对服务对象的整个信息系统进行评估，明确服务对象的应急需求，具体包含以下内容： 1)应急响应小组应了解应急服务对象的各项业务功能及其之间的相关性，

网络安全管理应急预案

网络安全应急预案 一、总则 （一）目的 为科学应对网络与信息安全(以下简称信息安全)突发事件，建立健全信息安全应急响应机制，有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响，制订本应急预案。 （二）工作原则 预防为主。立足安全防护，加强预警，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统。 快速反应。及时获取充分而准确的信息，果断决策，迅速处置，最大程度地减少危害和影响。 分级负责。按照“谁主管谁负责”的原则，建立和完善安全责任制及联动工作机制。加强部门间的协调与配合，形成合力，共同履行应急处置工作的管理职责。 常备不懈。规范应急处置措施与操作流程，定期进行预案演练，确保应急预案切实有效，实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。

（三）组织机构及职责 设立信息系统应急工作领导小组，为公司处理信息安全突发事件应急工作的综合性议事、协调机构。 主要职责是：按照研究决定信息安全应急工作的有关重大问题，决定启动网络与信息安全突发事件应急指挥部，统一领导和组织指挥重大信息安全突发事件的应急处置工作。 二、预警和预防机制 （一）预警 信息系统应急工作领导小组接到信息安全突发事件报告后，在核实，研究分析可能造成损害程度的基础上，提出初步行动对策，视情况召集协调会，并根据应急委的决策实施行动方案，发布指示和命令。 （二）预防机制 积极推行信息安全等级保护，逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复，制定完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件，各相关部门建立制度化、程序化的处理流程。 三、应急处理程序 （一）级别的确定 根据《信息系统安全等级保护定级报告》确定信息安全

网络安全应急处置工作流程

网络安全应急处置 工作流程 1

信息安全应急预案 V 1.0

第一章总则 第一条为提高公司网络与信息系统处理突发事件的能力，形成科学、有效、反应迅速的应急工作机制，减轻或消除突发事件的危害和影响，确保公司信息系统安全运行，最大限度地减少网络与信息安全突发公共事件的危害，特制定本预案。 第二章适用范围 第二条本预案适用于公司信息系统安全突发事件的应急响应。当发生重大信息安全事件时，启动本预案。 第三章编制依据 第三条《国家通信保障应急预案》、《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《信息安全应急响应计划规范》、《信息安全技术信息安全事件分类分级指南》 第四章组织机构与职责 第四条公司信息系统网络与信息安全事件应急响应由公司信息安全领导小组统一领导。负责全中心系统信息安全应急工作的领导、决策和重大工作部署。 第五条由公司董事长担任领导小组组长，技术部负责人担任领导小组副组长，各部门主要负责人担任小组成员。

第六条应急领导小组下设应急响应工作小组，承担领导小组的日常工作，应急响应工作小组办公室设在技术部。主要负责综合协调网络与信息安全保障工作，并根据网络与信息安全事件的发展态势和实际控制需要，具体负责现场应急处理工作。工作小组应当经常召开会议，对近期发生的事故案例进行研究、分析，并积极开展应急响应具体实施方案的研究、制定和修订完善。 第五章预防与预警机制 第七条公司应从制度建立、技术实现、业务管理等方面建立健全网络与信息安全的预防和预警机制。 第八条信息监测及报告 1.应加强网络与信息安全监测、分析和预警工作。公司应每天定时利用自身监测技术平台实时监测和汇总重要系统运行状态相关信息，如：路由器、交换机、小型机、存储设备、安全设备、应用系统、数据库系统、机房系统的访问、运行、报错及流量等日志信息，分析系统安全状况，及时获得相关信息。 2. 建立网络与信息安全事件通报机制。发生网络与信息安全事件后应及时处理，并视严重程度向各自网络与信息安全事件的应急响应执行负责人、及上级主管部门报告。 第九条预警 应急响应工作小组成员在发生网络与信息安全事件后，应当进行初步核实及情况综合，快速研究分析可能造成损害的程度，提出初步行动对策，并视事件的严重程度决定是否及时报各自应急响应执行负责人。

信息安全事件应急预案

信息安全事件应急预案 第一章总则 第一条编制目的 为了保证XXXXXX风力发电有限公司（以下简称公司）信息网络的安全，保障各种业务应用系统的持续、正常运转，防止和减少因各类信息安全事件造成的损失，建立紧急情况下有效的应急机制，根据公司的实际情况制定本预案。 第二条编制依据 本预案依据下列法规、规章制度及预案编制：《中华人民共和国生产运营法》《XXX集团公司信息安全应急预案》 《XX公司生产运营工作规定》 《XXXX风力发电有限公司突发事件应急管理规定》 《XXXX风力发电有限公司突发事件总体应急预案》 第三条适用范围 本预案适用于公司发生的达到公司I级应急响应的信息安全事件，即在公司重要的信息系统（FAM OA网络等关键系统）发生故障已经（或预期）超过72小时不能恢复正常运行时启动本预案。 第四条与其它预案的关系 本预案为《XXXX风力发电有限公司总体事故应急预案》（以下简称《总体预案》）的专项预案，在《总体预案》的基础上制定，可以单独使用，也可以配合《总体预案》使用。 第五条工作原则 公司及所属各风场在突发环境事件的预防与应急处理工作中，坚持“预防为主、 常备不懈”的方针，贯彻“统一领导、分级管理、条块结合、以块为主、密切配合、分工协作、各司其职、各尽其责、快速反应、减少损失”的原则。 第二章单位概况 第六条应急资源概况公司及下属各风场的信息管理维护人员（包括网路管理员、系统管理员等）、技术服务人员、保卫人员等都是信息安全事件应急处理的力量。设备制造（提供）厂家及其技术服务人员、互助协议中的服务提供公司等均可作为外部应急力量。 公司及下属各风场的网络和服务器设备的备件、专业检测及维修工具、通讯器材、

信息安全事 件应急响应计划规范

》 信息安全事件应急响应计划规范》 《信息安全事件应急响应计划规范 引 言 1 本标准根据《中华人民共和国计算机信息系统安全保护条例》，参照GB/Z 20985-2007 《信息技术安全技术信息安全事件管理指南》、GB/T 20988-2007《信息安全技术 信息系统灾难恢复规范》、GB/Z 20986-2007《信息安全技术 信息安全事件分类分级指南》、GB/T 20984-2007《信息安全技术 信息安全风险评估规范》、GB/T ××××《信息系统安全等级保护定级指南》、GB/T ××××《信息系统安全等级保护基本要求》以及NIST SP 800-34《信息技术系统应急规划指南》和NIST SP 800-61《计算机安全事件处理指南》等标准的有关部分，结合《国家通信保障应急预案》和《上海市网络与信息安全事件专项应急预案》以及相关行业技术发展和实践经验制定而成。 信息系统容易受到各种 已知和未知的威胁而导致有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等信息安全事件的发生。虽然很多信息安全 事件可以通过技术的、管理的、操作的方法予以消减，但目前没有任何一种信息安全策略或防护措施，能够对信息系统提供绝对的保护。即使采取了防护措施，仍可 能存在残留的弱点，使得信息安全防护变得无效，从而导致业务中断、系统宕机、网络瘫痪等信息安全事件发生，并对组织和业务运行产生直接或间接的负面影响。因此，为了减少信息安全事件对组织和业务的影响，应制定有效的信息安全应急响应计划。 2 信息安全应急响应计划的制定是一个周而复始、持续改进的过程，包含以下几个阶段： a）应急响应计划的编制准备； b）编制应急响应计划文档； c）应急响应计划的测试、培训、演练和维护。 信息安全应急响应计划规范 1.1.1.1.1.1范围 本标准概述了编制本单位信息安全应急响应计划的前期准备，确立了信息安全应急响应计划文档的基本要素、内容要求和格式规范。 本标准适用于为负责制定和维护本单位信息安全应急响应计划的人员提供指导。 2 规范性引用文件 3 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本