当前位置：文档库 › 信息安全应急响应服务流程

信息安全应急响应服务流程

广东盈通网络投资

20011年07月

第一部分导

言 ..................................................................... .. (2)

1.1.文档类

别 ..................................................................... . (2)

1.2.使用对

象 ..................................................................... . (3)

1.3.计划目

的 ..................................................................... . (3)

1.4.适用范

围 ..................................................................... . (3)

1.5.服务原

则 ..................................................................... ........................................ 3 Municipal City Government for the work of a city attaches great importance to put forward clearly to

2017 years into the ranks of the "national civilized city" create the target. This year is also the county of a new round of urban

civilization created the first year, we not only bear the city to create a "National Civilized City" in the work of the task, also do a good job of "provincial and civilized county Ying check evaluation, work responsibility for a large, heavy task. To the county at all levels and departments cooperate closely, grab get right on the job really, to

tight style and promote the implementation of the work, ensure that a

city made outstanding achievements. 1, the leadership to strengthen. The county at all levels and departments to the urban civilization was founded on the top of the agenda, and the development of economy and society, the focus of the work together to study the deployment of, together organization and implementation, together with the supervision and inspection, improve and perfect the county, the unified leadership

of the county government, a county, a city office coordinated, create liability units of duties, the joint participation of society as a whole leadership system andWorking mechanism. This year, according to the city, a city leading group and special working group to adjust the arrangement, we adjusted the a city the work of the leading group members, the

addition of the administrative environment and the effectiveness of the steering group, excellent culture communication group two special 第二部分应急响应组织保

障 ..................................................................... ....................... 4 2.1.角色的划

分 ..................................................................... ..................................... 4 2.2.角色的职

责 ..................................................................... ..................................... 4 2.3.组织的外部协

作 ..................................................................... .............................. 4 2.4.保障措

施 ..................................................................... ........................................ 5 第三部分应急响应实施流

程 ..................................................................... .. (5)

3. ..................................................................... ......... 7 1.准备阶段(Preparation stage)

3.1.1 领导小组准备内

容 ..................................................................... .. (7)

3.1.2 实施小组准备内

容 ..................................................................... .. (7)

3.1.3 日常运行小组准备内

容 ..................................................................... ....... 9 3.2.检测阶段(Examination

stage) ................................................................. .. (9)

3.2.1 检测范围及对象的确

定 ..................................................................... .. (10)

3.2.2 检测方案的确定...................................................................... (10)

3.2.3 检测方案的实施...................................................................... (10)

3.2.4 检测结果的处理...................................................................... ............... 12 3.3.抑制阶段(Suppresses stage).................................................................. .. (12)

3.3.1 抑制方案的确定...................................................................... (13)

3.3.2 抑制方案的认可...................................................................... (13)

3.3.3 抑制方案的实施...................................................................... (13)

..................................................... 13 3.3.4 抑制效果的判定................................

3.4.根除阶段(Eradicates stage).................................................................. (14)

3.4.1 根除方案的确定...................................................................... (14)

3.4.2 根除方案的认可...................................................................... (14)

3.4.3 根除方案的实施...................................................................... (14)

3.4.4 根除效果的判定...................................................................... ............... 14 3.5.恢复阶段(Restoration

stage) ................................................................. .. (15)

3.5.1 恢复方案的确定...................................................................... (15)

3.5.2 恢复信息系

统 .....................................................................

................... 15 3.6.总结阶段(Summary stage).................................................................. . (15)

3.6.1 事故总

结 ..................................................................... .. (16)

3.6.2 事故报

告 ..................................................................... .. (16)

第一部分导言

1.1.文档类别

本文档是盈通公司信息技术安全IT技术部用以规范“信息安全应急响应服务

流程”项

the urban civilization was founded on the top of the agenda, and the development of economy and society, the focus of the work together to study the deployment of, together organization and implementation, together with the supervision and inspection, improve and perfect the county, the unified leadership of the county government, a county, a city office coordinated, create liability units of duties, the joint participation of society as a whole leadership system andWorking mechanism. This year, according to the city, a city leading group and special working group to adjust the arrangement, we adjusted the a city the work of the leading group members, the addition of the administrative environment and the effectiveness of the steering group, excellent culture communication group two special

目实施的指导性文件之一。

1.2.使用对象

本文档作为公司内部文档，具体使用人员包括:信息安全应急响应服务具体实施操作人员、及负责人。

1.3.计划目的

制订本规范的目的是为了指导应急响应服务操作人员按一定的实施办法和操作流程，从接受应急响应服务申请到交付应急响应总结报告为止这段时间内，要求实施进度和质量可控，在规定的时间内完成应急响应服务。

备注:操作实施人员在执行该规范时，应根据实际情况灵活运用和变通，并提出创新。同时为了有效的控制进度和质量，在实际操作中应遵循流程步骤。

1.4.适用范围

全司。

1.5.服务原则

在整个应急响应处理过程的中，本协会严格按照以下原则要求服务人员，并签订必要的保密协议。

保密性原则

应急服务提供者应对应急处理服务过程中获知的任何关于服务对象的系统信息承担保密的责任和义务，不得泄露给第三方的单位和个人，不得利用这些信息进行侵害服务对象的行为。

规范性原则

应急服务提供者应要求服务人员依照规范的操作流程进行应急处理服务，所有处理人员必须对各自的操作过程和结果进行详细的记录，最终按照规范的报告格式提供完整的服务报告。

最小影响原则

应急处理服务工作应尽可能减少对原系统和网络正常运行的影响，尽量避免对原网络运行和业务正常运转产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等)，如无法避免，则必须向服务对象说明。

county at all levels and departments cooperate closely, grab get right on the job really, to tight style and promote the implementation of the work, ensure that a city made outstanding achievements. 1, the leadership to strengthen. The county at all levels and departments to the urban civilization was founded on the top of the agenda, and the development of economy and society, the focus of the work together to study the deployment of, together organization and implementation, together with the supervision and inspection, improve and perfect the county, the unified leadership of the county government, a county, a city office coordinated, create liability units of duties, the joint participation of society as a whole leadership system andWorking mechanism. This year, according to the city, a city leading group and special working group to adjust the arrangement, we adjusted the a city the work of the leading group members, the addition of the administrative environment and the effectiveness of the steering group, excellent culture communication group two special

第二部分应急响应组织保障

2.1.角色的划分

本协会应急响应工作机构按角色划分为三个:

应急响应负责人，

应急响应技术人员，

应急响应市场人员。

信息安全事件发生后，在应急响应领导小组的统一部署下，工作人员各施其职，并严格按照应急响应计划组织实施应急响应工作。

2.2.角色的职责

应急响应负责人:

应急响应负责人是信息安全应急响应工作的组织领导机构，组长应由组织最高管理层成员担任。负责人的职责是领导和决策信息安全应急响应的重大事宜，主要职责如下:

a) 制定工作方案;

b) 提供人员和物质保证;

c) 审核并批准经费预算;

d) 审核并批准恢复策略;

e) 审核并批准应急响应计划;

f) 批准并监督应急响应计划的执行;

g) 指导应急响应实施小组的应急处置工作;

h) 启动定期评审、修订应急响应计划以及负责组织的外部协作。

应急响应技术人员，其主要职责如下:

a) 编制应急响应计划文档;

b) 应急响应的需求分析，确定应急策略和等级以及策略的实现;

c) 备份系统的运行和维护，协助灾难恢复系统实施;

d) 信息安全突发事件发生时的损失控制和损害评估;

e) 组织应急响应计划的测试和演练。

应急响应市场人员，其主要职责如下:

a) 开拓新客户，与客户建立长期的合作关系;维护与公司老客户的业务往来;

b) 建立预防预警机制，及时进行信息上报;

c) 参与和协助应急响应计划的教育、培训和演练;

d) 信息安全事件发生后的外部协作。

2.3.组织的外部协作

依据服务对象信息安全事件的影响程度，如需向上级部门及时通报准确情况或向其他单位寻求支持时，应与相关管理部门以及外部组织机构保持联络和协作。主要包括国家计算机网络应急技术处理协调中心(CNCERT/CC)华中地区分中心、国家计算机网络应急技术处理Municipal City Government for the work of a city attaches great importance to put forward clearly to 2017 years into the ranks of the "national civilized city" create the target. This year is also the county of a new round of urban civilization created the first year, we not only bear the city to create a "National Civilized City" in the work of the task, also do a good job of "provincial and civilized county Ying check evaluation, work responsibility for a large, heavy task. To the county at all levels and departments cooperate closely, grab get right on the job really, to tight style and promote the implementation of the work, ensure that a city made outstanding achievements. 1, the leadership to strengthen. The county at all levels and departments to the urban civilization was founded on the top of the agenda, and the development of economy and society, the focus of the work together to study the deployment of, together organization and implementation, together with the supervision and inspection, improve and perfect the county, the unified leadership of the county government,

a county, a city office coordinated, create liability units of duties, the joint participation of society as a whole leadership system andWorking mechanism. This year, according to the city, a city leading group and special working group to adjust the arrangement, we adjusted the a city the work of the leading group members, the addition of the administrative environment and the effectiveness of the steering group, excellent culture communication group two special

协调中心(CNCERT/CC)、中国教育科研网络华中地区网络中心、中国教育科研网网络中心、盈通公司市公安局网络安全监察室、湖北省公安厅网络安全监察处、及主要相关设备供应商。

2.4.保障措施

应急人力保障

加强信息安全人才培养，强化信息安全宣传教育，建设一支高素质、高技术的信息安全核心人才和管理队伍，提高信息安全防御意识。大力发展信息安全服务业，增强协会应急支援能力。

物质条件保障

安排一定的资金用于预防或应对信息安全突发事件，提供必要的交通运输保障，优化信息安全应急处理工作的物资保障条件。

技术支撑保障

设立信息安全应急响应中心，建立预警与应急处理的技术平台，进一步提高安全事件的发现和分析能力。从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。

第三部分应急响应实施流程

该服务流程并非一个固定不变的教条，需要应急响应服务人员在实际中灵活变通，可适当简化，但任何变通都必须纪录有关的原因。详细的记录对于找出事件的真相、查出威胁的来源与安全弱点、找到问题正确的解决方法，甚至判定事故的责任，避免同类事件的发生都有着极其重要的作用。

Municipal City Government for the work of a city attaches great importance to put forward clearly to 2017 years into the ranks of the "national civilized city" create the target. This year is also the county of a new round of urban civilization created the first year, we not only bear the city to create a "National Civilized City" in the work of the task, also do a good job of "provincial and civilized county Ying check evaluation, work responsibility for a large, heavy task. To the county at all levels and departments cooperate closely, grab get right on the job really, to tight style and promote the implementation of the work, ensure that a city made outstanding achievements. 1, the leadership to strengthen. The county at all levels and departments to the urban civilization was founded on the top of the agenda, and the development of economy and society, the focus of the work together to study the deployment of, together organization and implementation, together with the supervision and inspection, improve and perfect the county, the unified leadership of the county government, a county, a

special working group to adjust the arrangement, we adjusted the a city the work of the leading group members, the addition of the administrative environment and the effectiveness of the steering group, excellent culture communication group two special

制定工作方案和计划，监

督和指导其他小组的工作负责人准备工作

服务需求的确定，主机和网络安全初始化快照和备份、

工具包和必要技术的准备准备阶段技术人员准备工作

建立预防预警机制、及时进行信息系统检测和异常

情况上报市场人员准备工作

现场实施小人员的确定

现场勘查确定检测方案并

检测阶段进行实施

是否有该类事是件的专项预案

否

确定和认可抑制的方案并抑制阶段

进行抑制的实施

启

动确定和认可根除的方根除阶段专法并进行根除的实施项

预

案根据确定的恢复方案进行恢复阶段信息系统的恢复

回顾并完善整个事件的处

理过程并进行总结

总结阶段

形成事故报告

为服务对象提出安全建议

结束

city office coordinated, create liability units of duties, the joint participation of society as a whole leadership system andWorking mechanism. This year, according to the city, a city leading group and special working group to adjust the arrangement, we adjusted the a city the work of the leading group members, the addition of the

administrative environment and the effectiveness of the steering group, excellent culture communication group two special

3.1.准备阶段(Preparation)

目标:在事件真正发生前为应急响应做好预备性的工作。

角色:技术人员、市场人员。

内容:根据不同角色准备不同的内容。

输出:《准备工具清单》、《事件初步报告表》、《实施人员工作清单》

3.1.1 负责人准备内容

制定工作方案和计划;

提供人员和物质保证;

审核并批准经费预算、恢复策略、应急响应计划;

批准并监督应急响应计划的执行;

指导应急响应实施小组的应急处置工作;

启动定期评审、修订应急响应计划以及负责组织的外部协作。

3.1.2 技术人员准备内容

服务需求界定

首先要对服务对象的整个信息系统进行评估，明确服务对象的应急需求，具体应包含以下内容:

1) 应急服务提供者应了解应急服务对象的各项业务功能及其之间的相关性，确定

支持各种业务功能的相关信息系统资源及其他资源，明确相关信息的保密性、完整性、和可用性要求;

2) 对服务对象的信息系统，包括应用程序，服务器，网络及任何管理和维护这些

系统的流程进行评估，确定系统所执行的关键功能，并确定执行这些关键功能所需要的特定系统资源;

3) 应急服务提供者应采用定性或定量的方法，对业务中断、系统宕机、网络瘫痪

等突发安全事件造成的影响进行评估;

4) 应急服务提供者应协助服务对象建立适当的应急响应策略，应提供在业务中断、

系统宕机、网络瘫痪等突发安全事件发生后快速有效的恢复信息系统运行的方法;

5) 应急服务提供者宜为服务对象提供相关的培训服务，以提高服务对象的安全意

识，便于相关责任人明确自己的角色和责任，了解常见的安全事件和入侵行为，

熟悉应急响应策略。

主机和网络设备安全初始化快照和备份

在系统安全策略配置完成后，要对系统做一次初始安全状态快照。这样，如果以后在出现事故后对该服务器做安全检测时，通过将初始化快照做的结果与检测阶段做的快照进行比较，就能够发现系统的改动或异常。

1) 对主机系统做一个标准的安全初始化的状态快照，包括的主要内容有:

, 日志及审核策略快照等。

administrative environment and the effectiveness of the steering group, excellent culture communication group two special

, 用户账户快照;

, 进程快照;

, 服务快照;

, 自启动快照

, 关键文件签名快照;

, 开放端口快照;

, 系统资源利用率的快照;

, 注册表快照;

, 计划任务快照等等;

2) 对网络设备做一个标准的安全初始化的状态快照，包括的主要内容有:

, 路由器快照;

, 防火墙快照;

, 用户快照;

, 系统资源利用率等快照。

3) 信息系统的业务数据及办公数据均十分重要，因此需要进行数据存储及备份。

目前，存储备份结构主要有DAS、SAN和NAS，以及通过磁带或光盘对数据

进行备份。各服务对象可以根据自身的特点选择不同的存储产品构建自己的数据存储备份系统。

工具包的准备

1) 应急服务提供者应根据应急服务对象的需求准备处置网络安全事件的工具包，

包括常用的系统基本命令、其他软件工具等;

2) 应急服务提供者的工具包中的工具最好是采用绿色免安装的，应保存在安全的

移动介质上，如一次性可写光盘、加密的U盘等;

3) 应急服务提供者的工具包应定期更新、补充;

必要技术的准备

上述是针对应急响应的处理涉及到的安全技术工具涵盖应急响应的事件取样、事件分析、事件隔离、系统恢复和攻击追踪等各个方面，构成了网络安全应急响应的技术基础。所以我们的应急响应服务实施成员还应该掌握以下必要的技术手段和规范，具体包括以下内容:

1) 系统检测技术，包括以下检测技术规范:

, Windows系统检测技术规范;

, Unix系统检测技术规范;

, 网络安全事故检测技术规范;

, 数据库系统检测技术规范;

, 常见的应用系统检测技术规范;

2) 攻击检测技术，包括以下技术:

, 异常行为分析技术;

, 入侵检测技术;

, 安全风险评估技术;

3) 攻击追踪技术;

4) 现场取样技术;

5) 系统安全加固技术;