还剩32页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
应急响应服务方案在应急响应过程中,必须严格遵守相关规范和标准,确保应急响应流程的规范化和标准化协同性原则应急响应服务中心与客户、相关部门和第三方合作伙伴之间建立良好的协同机制,实现信息共享和资源协调,提高应急响应效率和质量灵活性原则应急响应服务中心根据不同的应急事件类型和程度,灵活调整响应策略和措施,确保应急响应的针对性和有效性应急处理原则在应急事件发生时,应按照以下原则进行处理快速响应及时启动应急响应机制,迅速掌握应急事件的情况和影响程度,采取有效措施进行处置科学决策根据应急事件的类型和程度,制定科学合理的应急预案和处置方案,确保应急响应的有效性和针对性资源优化合理调配应急响应所需的人员、物资和技术资源,最大限度地减少应急事件的损失和影响改生成紧急响应报告,并拟定一份事件记录和跟踪报告最后,将事件合并并录入信息知识库为了保证应急响应的质量和效率,我们还需要进行应急响应保障措施首先是工具保障,我们建立了一套专门用于应急响应工具库,并为工程师提供一人一套工具同时,将此工具库进行了多套备份,并指定专业技术人员进行管理与维护其次是技术和人员保障,公司拥有一支技术精湛、专业、稳定的技术团队,并定期进行专项技术培训研究此外,公司也鼓励员工报考知名厂商技术认证,进行更专业的技术研究交通保障方面,公司提供应急车辆保障,以保证能够在突发应急事件时做出快速响应最后是财力保障,公司有专门的经费和审批流程,以确保在应急响应处理过程中需要的款项能迅速到位,保障应急事件的处理和故障恢复审核并批准经费预算;审核并批准恢复策略;审核并批准应急响应计划;启动定期评审、修订应急响应计划;指导应急响应实施小组的应急处置工作;启动应急响应流程技术人员准备内容备份系统的运行和维护;制定应急预案;协助灾难恢复系统实施;组织应急响应计划的测试和演练;确定应急策略和等级以及策略的实现检测阶段目标确认是否有该类事件的专项预案角色现场实施人员内容现场勘查确定检测方案如果有专项预案,则进入抑制阶段;如果没有,则进入准备阶段抑制阶段目标确认和认可抑制的方法,并进行根除的实施角色现场实施人员内容确认和认可抑制的方法,并进行根除的实施如果根除成功,则进入恢复阶段;如果根除失败,则重新进入检测阶段根除阶段目标确认和认可根除的方法,并进行根除的实施角色现场实施人员内容确认和认可根除的方法,并进行根除的实施如果根除成功,则进入恢复阶段;如果根除失败,则重新进入检测阶段恢复阶段目标根据确认的恢复方案进行信息系统的恢复角色现场实施人员内容根据确认的恢复方案进行信息系统的恢复总结阶段目标回顾并完善整个事件的处理过程并进行总结角色组织人员,技术人员内容形成事故报告为服务对象提出安全建议组织的外部协作如果需要向其他第三方设备供应商或软件开发商寻求支持时,将联系第三方服务单位提供协作和技术支持针对项目,我们公司成立了应急处置小组,包括应急领导小组和应急工作小组应急领导小组是信息安全应急响应工作的组织领导机构,负责统一领导公司内部信息系统的应急事件应对工作应急工作小组由运维服务小组人员组成,负责落实应急领导小组的任务和制定应急预案,并监督执行情况应急响应流程共包括6个阶段,分别是准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段和总结阶段在每个阶段都有其应完成的目标、实施人员角色以及阶段的结果输出在应急响应流程中,组织人员和技术人员都有不同的准备工作,以确保应急响应的有效性如果需要外部协作,将联系第三方服务单位提供协作和技术支持审核经费预算、恢复策略和应急响应计划,批准并监督应急响应计划的执行,指导应急响应实施小组的应急处置工作以及启动定期评审和修订应急响应计划,同时负责组织外部协作在服务需求界定阶段,首先需要对整个信息系统进行评估,明确应急需求这包括了解各项业务功能及其之间的相关性,确定支持各种业务功能的相关信息系统资源和其他资源,明确相关信息的保密性、完整性和可用性要求还需要对信息系统进行评估,包括应用程序、服务器、网络及任何管理和维护这些系统的流程,确定系统所执行的关键功能,并确定执行这些关键功能所需要的特定系统资源采用定性或定量的方法,对业务中断、系统宕机、网络瘫痪等应急事件造成的影响进行评估协助客户建立适当的应急响应策略,提供在业务中断、系统宕机、网络瘫痪等应急事件发生后快速有效的恢复信息系统运行的方法为用户提供相关的培训服务,以提高用户的安全意识,便于相关责任人明确自己的角色和责任,了解常见的应急事件和入侵行为,熟悉应急响应策略在主机和网络设备安全初始化阶段,需要对系统优生次初始安全状态快照这样,如果以后出现事故后对该服务器做安全检测时,通过将初始化快照做的结果与检测阶段做的快照进行比较,就能够发现系统的改动或异常对主机系统做一个标准的安全初始化的状态快照,包括日志及审核策略快照、用户账户快照、进程快照、服务快照、自启动快照、关键文件签名快照、开放端口快照、系统资源利用率的快照、注册表快照和计划任务快照等对网络设备做一个标准的安全初始化的状态,包括路由器快照、安全设备快照、用户快照和系统资源利用率等快照信息系统的业务数据及办公数据均十分重要,因此需要进行数据存储及备份目前,存储备份结构主要有DAS、SAN和NAS,以及通过磁带或光盘对数据进行备份可根据不同的特点选择不同的存储产品构建自己的数据存储备份系统在工具包的准备阶段,需要根据用户的需求准备处置网络应急事件的工具包,包括常用的系统基本命令、其他软件工具等工具包中的工具采用绿色免安装的,保存在安全的移动介质上,如一次性可写光盘、加密的U盘等工具包应定期更新、补充最后,需要准备必要的技术,以便在应急事件发生时能够快速、有效地响应和处置网络安全应急响应的技术基础包括应急响应的事件取样、事件分析、事件隔离、系统恢复和攻击追踪等各个方面应急响应服务实施成员还应该掌握一些必要的技术手段和规范,如系统检测技术、攻击检测技术、现场取样技术、系统安全加固技术、攻击隔离技术和资产备份恢复技术在检测阶段,应急服务实施小组成员和应急响应日常运行小组的角色是接到事故报警后在用户的配合下对异常的系统进行初步分析,确认其是否真正发生了信息应急事件,并制订进一步的响应策略,并保留证据具体内容包括检测范围及对象的确定、检测方案的确定、检测方案的实施、检测结果的处理和实施小组人员的确定为了确定实施人员的名单,应急响应负责人需要根据《事件初步报告表》的内容初步分析事故的类型、严重程度等在确定检测范围及对象时,需要对发生异常的系统进行初步分析,判断是否真正发生了应急事件,并与用户共同确定检测对象及范围,必须得到用户的书面授权在制订检测方案时,应与用户共同确定检测方案,并明确所使用的检测规范检测范围应仅限于用户已授权的与应急事件相关的数据,对用户的机密性数据信息未经允许不得访问制订的检测方案应包含实施方案失败的应变和回退措施,并预测应急处理方案可能造成的影响在检测方案的实施过程中,需要搜集系统信息、操作系统基本信息、日志信息、账号信息等,并进行主机、日志、账号、进程、服务、自启动、网络连接和共享等方面的检查,以检测出未授权访问或非法登录等异常情况文件检查包括检查病毒、木马、蠕虫、后门等可疑文件,同时查找其他系统上的入侵痕迹,以便寻找攻击途径经过检测,我们可以确定信息应急事件的类型信息应急事件分为七个基本分类,包括有害程序事件、网络攻击事件、信息破坏事件、信息内容应急事件、设备设施故障、灾害性事件以及其他信息应急事件接下来,我们需要对突发信息应急事件造成的影响进行评估,采用定量和/或定性的方法,评估业务中断、系统宕机、网络瘫痪、数据丢失等突发信息应急事件造成的影响如果存在针对该事件的特定系统预案,我们需要启动相关预案;如果事件涉及多个专项预案,应同时启动所有涉及的专项预案;如果没有针对该事件的专项预案,应根据事件具体情况,采取抑制措施,抑制事件进一步扩散在抑制阶段,我们的目标是及时采取行动限制事件扩散和影响的范围,限制潜在的损失与破坏,同时要确保封锁方法对涉及相关业务影响最小抑制阶段的内容包括抑制方案的确定、抑制方案的认可、抑制方案的实施以及抑制效果的判定在确定抑制方法时,应全面评估应急事件的影响和损失,通过分析得到的其他结论,用户的业务和重点决策过程以及用户的业务连续性在采取抑制措施之前,应与用户充分沟通,告知可能存在的风险,制订应变和回退措施,并与其达成协议抑制方案的实施在实施抑制方案时,必须严格按照相关约定,不得随意更改抑制措施的范围如果必须更改,必须获得用户的授权抑制措施应该包括以下方面
1.确定受害系统的范围后,将受害系统和正常的系统进行隔离,断开或暂时关闭被影响的系统,使攻击先彻底停止
2.持续监视系统和网络活动,记录异常流量的远程IP、域名、端口
3.停止或删除系统非正常账号,隐藏账号,更改口令,加强口令的安全级别
4.挂起或结束未被授权的、可疑的应用程序和进程
5.关闭存在的非法服务和不必要的服务
6.删除系统各用户“启动”目录下未授权自启动程序
7.使用工具或命令停止所有开放的共享
8.使用反病毒软件或其他安全工具检查文件,扫描硬盘上所有的文件,隔离或清除病毒、木马、蠕虫、后门等可疑文件抑制效果的判定在实施抑制措施后,需要对抑制效果进行判定主要包括以下两个方面:信息共享及时向相关部门和第三方合作伙伴通报应急事件的情况和处置进展,实现信息共享和资源协调应急响应服务应急响应服务包括以下内容应急事件的影响程度评估和级别分类;应急事件的优先级处理;应急事件的响应措施和流程;应急事件的保障措施和组织机构;应急事件的现场处理和事后处理;应急事件的预案制订和演练应急事件的影响程度评估和级别分类应急事件的影响程度评估包括以下方面影响范围应急事件对系统、设备、数据和用户等方面的影响范围;影响程度应急事件对系统、设备、数据和用户等方面的影响程度;影响时间应急事件对系统、设备、数据和用户等方面的影响时间根据应急事件的影响程度,将其分为一般、重要和紧急三个级别,以便于优先处理和分配资源
1.是否防止了事件继续扩散,限制了潜在的损失和破坏,使目前损失最小化
2.对其他相关业务的影响是否控制在最小根除阶段在应急事件进行抑制之后,需要进行根除阶段根除阶段的目标是找出事件根源,明确相应的补救措施并彻底清除事件根除阶段的角色包括应急服务实施小组和应急响应日常运行小组根除阶段包括以下内容
1.根除方案的确定
2.根除方案的认可
3.根除方案的实施
4.根除效果的判定根除方案的确定在协助用户检查所有受影响的系统的基础上,提出方案建议在确定根除方法时,需要了解攻击者是如何入侵的,以及与这种入侵方法相同和相似的各种方法根除方案的认可需要明确告知用户所采取的根除措施可能带来的风险,制定应变和回退措施,并得到用户的书面授权协助用户进行根除方法的实施根除方案的实施在实施根除方案时,需要使用可信的工具进行应急事件的根除处理不得使用受害系统已有的不可信的文件和工具根除措施应该包括以下方面
1.改变全部可能受到攻击的系统账号和口令,并增加口令的安全级别
2.修补系统、网络和其他软件漏洞
3.增强防护功能,复查所有防护措施的配置,安装最新的安全设备和杀毒软件,并及时更新,对未受保护或者保护不够的系统增加新的防护措施
4.提高其监视保护级别,以保证将来对类似的入侵进行检测根除效果的判定在根除处理完成后,需要找出造成事件的原因,并备份与造成事件相关的文件和数据对系统中造成事件的文件进行清理,根除,使系统能够正常工作最后,输出根除处理记录表恢复阶段在恢复阶段,我们的目标是恢复应急事件所涉及的系统,并将其还原到正常状态,以使业务能够正常进行我们需要避免误操作导致数据丢失在这个阶段,应急服务实施小组和应急响应日常运行小组扮演着重要的角色恢复方案的确定我们需要告知用户一个或多个能从应急事件中恢复系统的方法,及它们可能存在的风险并与用户共同确定系统恢复方案我们需要根据抑制和根除的情况,协助用户选择合适的系统恢复方案恢复方案涉及以下几个方面如何获得访问受损设施或地理区域的授权;如何通知相关系统的内部和外部业务伙伴;如何获得安装所需的硬件部件;如何获得装载备份介质,如何恢复关键操作系统和应用软件;如何恢复系统数据;如何成功运行备用设备在确定恢复方法时,如果涉及到涉密数据,我们需要遵循相应的保密要求恢复信息系统在恢复信息系统时,我们需要按照系统的初始化安全策略来恢复系统我们需要根据系统中各子系统的重要性,确定系统恢复的顺序恢复系统过程宜包含但不限于以下方面利用正确的备份恢复用户数据和配置信息;开启系统和应用服务,将受到入侵或者怀疑存在漏洞而关闭的服务修改后重新开放;连接网络,服务重新上线,并持续监控、持续汇总分析,了解各网的运行情况当不能彻底恢复配置和清除系统上的恶意文件,或不能肯定系统在根除处理后是否已恢复正常时,我们应选择彻底重建系统我们需要协助用户验证恢复后的系统是否正常运行,并帮助用户对重建后的系统进行安全加固最后,我们需要帮助用户为重建后的系统建立系统快照和备份总结阶段在总结阶段,我们的目标是通过以上各个阶段的记录表格,回顾应急事件处理的全过程,整理与事件相关的各种信息,进行总结,并尽可能地把所有信息记录到文档中在这个阶段,应急服务实施小组和应急响应日常运行小组继续扮演着重要的角色事故总结我们需要及时检查应急事件处理记录是否齐全,是否具备可塑性,并对事件处理过程进行总结和分析应急处理总结的具体工作包括但不限于以下几项事件发生的现象总结;事件发生的原因分析;系统的损害程度评估;事件损失估计;采取的主要应对措施;相关的工具文档(如专项预案、方案等)归档事故报告我们需要向用户提供完备的网络应急事件处理报告,并向用户提供措施和建议最后,我们需要制定各类应急事件处理预案,以备不时之需设备发生被盗或人为损害事件应急预案此处未提及具体内容,建议补充)当发现黑客攻击事件时,运维人员应立即断开网络,保护现场,并报告应急领导小组和运维服务小组运维服务小组应根据应急领导小组的指令,采取隔离网络等措施,及时清除黑客攻击,保障系统安全运行用户单位应积极配合公安部门进行调查,并向应急领导小组汇报有关情况运维服务小组和用户单位应在调查结束后一日内书面报告应急领导小组事态或后果严重的,应向相关领导汇报处置结束后,运维服务小组应将事发经过、造成影响、处置结果在调查工作结束后一日内书面报告应急领导小组当发现网络被非法入侵、网页内容被篡改或应用服务器上的数据被非法拷贝、修改、删除时,运维人员或系统管理员应立即断开网络,并向应急领导小组报告应急领导小组应立即指令运维服务小组核实情况,关闭服务器或系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登陆账号,阻断可疑用户进入网络的通道运维服务小组应及时清理系统,恢复数据、程序,恢复系统和网络正常如果情况严重,应向应急领导小组汇报,并请求支援处置结束后,运维服务小组应在调查工作结束后一日内报告应急领导小组发生核心设备硬件故障后,运维服务小组应立即报告应急领导小组,并组织查找、确定故障设备及故障原因,进行先期处置如果故障设备在短时间内无法修复,运维服务小组应启动备份设备,保持系统正常运行,并将故障设备脱离网络进行故障排除工作运维服务小组应在网络空闲时期替换备用设备,若故障仍然存在,应立即联系相关厂商,并认真填写设备故障报告单备查如果事态或后果严重,应向应急领导小组汇报处置结束后,运维服务小组应在调查工作结束后一日内报告应急领导小组发生业务数据损坏时,运维服务小组应及时报告应急领导小组,并检查、备份业务系统当前数据运维服务小组负责调用备份服务器备份数据,若备份数据损坏,则调用历史备份数据或异地备份数据如果业务数据损坏事件超过2小时,运维服务小组应及时报告应急领导小组,并通知业务部门以手工方式开展业务待业务数据系统恢复后,运维服务小组应检查历史数据和当前数据的差别,并由相关系统业务员补录数据重新备份数据,并在工作结束后一日内报告应急领导小组在应急事件现场处理方面,紧急消除是最核心的问题如果应急事件属于计算机病毒,可以使用杀毒软件进行消除如果应急事件属于入侵者,应当首先对入侵者进行监视、跟踪,确定入侵行为的痕迹并消除之,然后利用完整性检查工具进行检查,最后摆脱入侵者恢复系统可以采取现场联机恢复和关闭网络连接恢复两种方法一旦发生攻击,如果无法采取关机和关闭网络连接等措施,就需要进行现场联机恢复如果系统采用了双机备份结构,可以采用联机切换方式,先进行切换再进行恢复在发现入侵者后,监视其行为是必要的可以使用系统服务了解攻击者使用了哪个进程,监视网络出入情况在采用机器监视的方法时,要注意反监视问题的处理应急事件发生时,要记录事件现场,包括时间、地点、打印拷贝、记录拷贝时间、记录对话内容,并尽可能采用自动化的记录方法攻击自动发现系统可以发现攻击行为,并为系统管理员和信息系统安全员发出报警信号,可以通过声音、e-mail,手机、电话等方式表现系统应急事件事后处理包括事件后消除、弥补系统脆弱性、分析原因、总结教训、完善安全策略、结构、服务和过程等消除威胁是应急事件处理最核心的问题,主要是指消除应急事件的原因如果应急事件的原因是厂商的后门软件、间谍软件,则需要向厂商提出交涉,消除该软件或关闭厂商保留的端口如果应急事件的原因是程序化入侵,则需要删除入侵程序如果应急事件的原因是破坏和删除文件,则需要使用拷贝文件恢复应急事件的优先级处理根据应急事件的级别和影响程度,制定相应的优先级处理方案,确保应急响应的及时性和有效性一般级别在1个小时内响应,2个小时内解决;重要级别在30分钟内响应,4个小时内解决;紧急级别在15分钟内响应,8个小时内解决应急事件的响应措施和流程应急事件的响应措施和流程包括以下内容应急事件的报告和确认;应急事件的评估和分类;应急事件的响应策略和措施;应急事件的处置和跟踪;应急事件的结束和总结应急事件的保障措施和组织机构应急事件的保障措施和组织机构包括以下方面应急响应服务中心的人员、设备和资源保障;应急响应服务中心的组织架构和职责分工;应急响应服务中心与客户、相关部门和第三方合作伙伴的协作机制应急事件的现场处理和事后处理当发现网络系统漏洞时,修补操作是必需的修补的方法包括包装程序、代理程序、隐藏程序、控制程序和改正程序错误等应急事件的发生暴露了信息系统的脆弱性发现漏洞后可以提出修补漏洞的方法,实施修补过程应急事件的原因分析是必要的,分析清楚原因,提出改进的办法根据应急事件的损失和后果,处罚或批评负有责任者通过对应急事件的处理,可明确在安全管理方面的缺陷,有针对性地加强和完善管理制度发生应急事件后,对信息系统的安全策略、安全结构、安全服务和过程进行全面的检查,并对其进行修改和完善明确系统应急事件的责任攻击成功往往与系统管理员的工作失误有关,要检查有关人员的失职问题有些应急事件的发生与安全结构不合理有关,或是信息系统安全措施落后造成的在应急事件中,需要保障足够的人力,以应对各种突发情况为了加强信息安全应急管理能力,需要进行应急培训演练培训内容包括信息安全应急预案、应急处置流程、应急技能和知识等方面演练应该紧贴实际情况,模拟各类信息安全事件,提高应急处理的能力和效率同时,应定期开展演练评估,总结经验教训,不断完善应急预案和处置流程通过培训演练,提高应急响应的能力和效率,确保信息安全工作的顺利开展为了加强信息安全工作,需要建立一支高素质、高技术的信息安全核心人才和管理队伍,并提高信息安全防御意识同时,需要加强物质条件保障和技术支撑保障,建立完善的应急体系和应急预案体系,开展应急培训演练这些措施将有助于提高信息安全应急管理能力,保障信息安全工作的顺利开展为了确保在信息安全突发事件发生后能够快速、有序地响应和处理,需要定期培训人员,提高应急处置能力为此,可以成立应急培训基地,编制应急培训教材,定期组织开展信息安全应急理论讲座和技能培训培训内容可以包括应急管理人员的组织协调、资源调配、信息汇报等应急处置技能,企业应急抢险队员、一般管理人员、生产人员的应急抢险意识和技能等同时,还应组织开展特定应急课题研究,开展各种规模、形式的应急演练,构建适合并具有相应组织机构特点的应急支撑体系应急队伍是应急体系建设的重要组成部分,是防范和应对信息安全应急事件的主要力量为提升应急队伍的综合实力,需要整合各类专业的技术力量,组建并不断完善各类信息应急事件应急响应队伍,且配备专业设备和资源,并加强培训和演练应急队伍的人员构成和设备、资源配置要符合主辅专业搭配、内外协调并重、理论和技能兼备等适应各种信息安全应急事件状态的应急要求应急队伍成员应定期参加技能培训、设备保养和预案演练等活动,以提高应急处置能力在应急事件发生后,应急队伍统一集中处置,直至应急处置结束,业务恢复正常应急事件的现场处理和事后处理包括以下内容应急事件的现场勘查和数据采集;应急事件的证据保全和调查取证;应急事件的损失评估和赔偿处理;应急事件的经验总结和预案完善应急事件的预案制订和演练应急事件的预案制订和演练包括以下方面应急预案的制订和修订;应急预案的演练和评估;应急预案的完善和推广应急事件响应建议在应急事件响应过程中,应注意以下建议及时报告发现应急事件后,应及时向应急响应服务中心报告,确保应急响应的及时性和有效性科学决策在应急事件的处理过程中,应根据实际情况制定科学合理的应急预案和处置方案,确保应急响应的针对性和有效性资源优化在应急事件的处理过程中,应合理调配所需的人员、物资和技术资源,最大限度地减少应急事件的损失和影响信息共享在应急事件的处理过程中,应及时向相关部门和第三方合作伙伴通报应急事件的情况和处置进展,实现信息共享和资源协调应急体系完善应不断完善应急响应体系,提高应急响应的能力和水平,以应对日益复杂和多样化的应急事件每次应急事件都需要严格记录,记录事件处理的全部过程,并要求现场处理事件的用户签署认可建议为了最小化事件对整个系统的影响,我们要强化处理前的分析与备份工作,并遵守保密原则,不向任何第三方透露事件处理的内容、时间和地点预防为主,我们要加强预警,重点保护基础信息网络和信息系统的安全和稳定在应急处理、应急保障等环节,我们要采取多种措施,充分发挥各方面的作用,共同构筑安全保障体系在应急事件发生时,我们要按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响我们还要按照“谁主管,谁负责”的原贝L建立和完善安全责任制及联动工作机制,加强各负责人的协调与配合,共同履行应急处置工作的管理职责我们把保障人员以及客户利益的安全作为首要任务,加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化应急事件响应是当应急事件发生后迅速采取的措施和行为,其目的是以最快的速度恢复系统的保密性、完整性和可用性,降低应急事件对业务系统造成的损失我们除了有驻场工程师进行日常巡检和维护的工作外,还成立了信息系统运维4S组,提供应急响应服务当设备、软件和基础网络出现故障时,我们原则上由驻场运维工程师现场解决,如果现场服务工程师无法解决,事件升级为后台技术支持团队解决我们保障在1小时内做出明确响应和安排,2小时内提供诊断报告和故障解决方案同时,我们根据客户的具体情况,制定和编写信息系统应急预案,保障客户信息系统的可靠、安全的运行应急事件的影响程度通常分为单点损害、局部损害和整体损害3类在事件爆发的初期很难界定事件的起因具体是什么,因此,我们要通过安全威胁事件的影响程度来进行分类单点损害只造成独立个体的不可用,应急事件影响程度较弱;局部损害造成某一系统或一个局部网络不可使用,应急事件影响程度较强;整体损害造成整个网络系统的不可使用,应急事件影响程度强应急事件的级别分为四个等级,根据对业务系统的影响程度从大到小的顺序进行划分P1级应急事件是指重要业务系统或有重要影响的应用系统宕机,系统重新引导后无法正常工作与恢复的事故,或造成安全泄密事件;P2级应急事件是指重复发生或重复再现的并产生较强影响作用,导致系统正常运行的事故;P3级应急事件是指间歇产生、随机产生的事故,但不影响系统的正常运行;P4级应急事件是指一般性事件,与业务系统运行或产品使用要关的问题,不影响整个系统的正常运行在事件处理中,事件处理要素分为管理层面和技术层面Pl、P2级事件的启动和指挥由应急总负责人负责;P
3、P4级事件的启动由应急领导小组负责事件动态由应急工作小组人员收集并及时反馈给应急领导小组,应急领导小组决定信息的共享、沟通、处置信息系统事件发生后,事发部门立即启动相关应急预案,实施处置并及时报送信息分级响应是指根据事件等级的不同,采取不同的响应方式发生Pl、P2级事件,应急工作小组初步判定事件级别后,将信息通知应急领导小组并注意持续监控事态、收集信息、做出应急准备;应急领导小组响应判断为Pl、P2级事件后,立即通知应急总负责人,并由应急总负责人启动应急预案发生P
3、P4级事件,应急工作小组初步判定事件级别后,将信息通知应急领导小组并注意持续监控事态、收集信息、做出应急准备;应急领导小组响应判断为P
3、P4级事件后,立即启动应急预案应急事件的级别应置于动态调整控制中指挥与协调是指在事件处理中,需要有统一的指挥和协调机制Pl、P2级事件,应急工作小组收集信息,应急领导小组做出预判,并迅速通知应急总负责人,由应急总负责人进行指挥和决策P
3、P4级事件,应急领导小组进行指挥和决策,并及时将处理过程、报告等上报应急总负责人信息共享和处理是指在事件处理中,需要对信息进行共享和处理Pl、P2级事件,应急工作小组收集信息并提交给应急领导小组和应急总负责人,由应急总负责人决定信息的分发、共享和处置P
3、P4级事件,由应急领导小组决定信息的分发、共享和处置,并上报应急总负责人应急事件响应包括准备、识别事件、抑制、解决问题、恢复以及后续跟踪在处理客户紧急事件时,首先要保护或恢复计算机、网络服务等,使其恢复正常运行,然后再对事件进行追查为了有效地应对紧急事件,我们需要进行一系列准备工作首先,建立客户事件档案,并与客户就故障级别进行定义接着,准备应急事件紧急响应服务相关资源,并为一个应急事件的处理取得管理方面支持组建事件处理队伍,并提供易实现的初步报告制定一个紧急后备方案,并随时与管理员保持联系识别事件后,指派安全服务小组去负责此事件,并抄送专家小组进行初步评估,确定事件原因,并保护可追查的线索,如立即对日志、数据进行备份联系客户系统的相关服务商、厂商,并缩小事件的影响范围确定系统继续运行的风险,决定是否关闭系统及采取其他措施与客户相关工作人员保持联系、协商,并根据需求制订相应的应急措施解决问题后,我们需要进行事件的起因分析、事后取证调查、后门检查和漏洞分析,并提供解决方案结果需要提交专家小组审核,并进行后续工作检查是不是所有的服务都已经恢复,其发生的原因是否已经处理,应急响应步骤是否需要修。