还剩11页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
应急响应服务方案应急响应服务方案目录响应原则处理原则
1.
1.13应急响应服务
1.
1.24应急事件的影响程度135应急事件的影响级别分类
1.
1.35应急事件的优先级处理
1.
1.46应急事件响应
1.
1.56应急响应保障措施
1.
1.67应急响应组织保障
1.49组织机构与职责
1.511组织的外部协作
1.
5.111应急响应流程
1.
5.212准备阶段
1.612检测阶段
1.
6.114抑制阶段
1.
6.218根除阶段
1.
6.321恢复阶段16423总结阶段
1.
6.525各类应急事件处理预案
1.
6.627设备发生被盗或人为损害事件应急预案
1.728通信网络故障应急预案
1.
7.128不良信息和网络病毒事件应急预案
1.
7.228服务器软件系统故障应急预案
1.
7.329黑客攻击事件应急预案
1.
7.429核心设备硬件故障应急预案
1.
7.530业务数据损坏应急预案
1.
7.
6301.
7.731审核并批准经费预算、恢复策略、应急响应计划;批准并监督应急响应计划的执行;指导应急响应实施小组的应急处置工作;启动定期评审、修订应急响应计划以及负责组织的外部协作技术人员准备内容.服务需求界定1首先要对整个信息系统进行评估,明确应急需求,具体应包含以下内容2了解各项业务功能及其之间的相关性,确定支持各种业务功能的相关信息系统资源及其他资源,明确相关信息的保密性、完整性和可用性要求;对信息系统,包括应用程序、服务器、网络及任何管理和维护这些系统的流程进行评估,确定系统所执行的关键功能,并确定执行这些关键功能所需要的特定系统资源;采用定性或定量的方法,对业务中断、系统宕机、网络瘫痪等应急事件造成的影响进行评估;协助客户建立适当的应急响应策略,提供在业务中断、系统宕机、网络瘫痪等应急事件发生后快速有效的恢复信息系统运行的方法;为用户提供相关的培训服务,以提高用户的安全意识,便于相关责任人明确自己的角色和责任了解常见的应急事件和入侵行为,熟悉应急响应策略.主机和网络设备安全初始化快照和备份在系统安全策略配置完成后,要对系统优生次初始安全状态快照这样,3如果以后出现事故后对该服务器做安全检测时,通过将初始化快照做的结果与检测阶段做的快照进行比较,就能够发现系统的改动或异常对主机系统做一个标准的安全初始化的状态快照,包括的主要内容有日志及审核策略快照;用户账户快照;进程快照;服务快照;自启动快照;关键文件签名快照;开放端口快照;系统资源利用率的快照;注册表快照;计划任务快照等;对网络设备做一个标准的安全初始化的状态,包括的主要内容有:路由器快照;安全设备快照;用户快照;系统资源利用率等快照信息系统的业务数据及办公数据均十分重要,因此需要进行数据存储及备份目前,存储备份结构主要有、和以及通过磁带或光盘对数据进行备份可根据不同的特点选择不同的存储产品构建自己的数据存储备份系DAS SANNAS,统.工具包的准备根据用户的需求准备处置网络应急事件的工具包,包括常用的系统基本命令、其他软件工具等;4工具包中的工具采用绿色免安装的,保存在安全的移动介质上,如一次性可写光盘、加密的盘等;工具包应定期更新、补充U.必要技术的准备上述是针对应急响应的处理涉及的安全技术工具涵盖应急响应的事件取样、5事件分析、事件隔离、系统恢复和攻击迫踪等各个方面,构成了网络安全应急响应的技术基础所以应急响应服务实施成员还应该掌握一些必要的技术手段和规范,具体包括以下内容系统检测技术,包括以下检测技术规范系统检测技术规范;系统检测技术规范;网络安全牢固检测技术规范;数据库系统检测技术规范;常见的应用系统检测技术规范Windows UNIX攻击检测技术.包括以下技术异常行为分析技术;入侵检测技术;安全风险评估技术;攻击追踪技术现场取样技术系统安全加固技术攻击隔离技术资产备份恢复技术检测阶段析,确认其是否真正发生了信息应急事件,并制订进步的响应策略目标接到事故报警后在用户的配合下对异常的系统进行初步分并保留证据角色应急服务实施小组成员、应急响应日常运行小组内容包括以下几项检测范围及对象的确定;检测方案的确定;检测方案的实施;检测结果的处理;实施小组人员的确定应急响应负责人根据《事件初步报告表》的内容,初步分析事故的类型、
2.1严重程度等,以此来确定应急响应小组的实施人员的名单检测范围及对象的确定对发生异常的系统进行初步分析,判断是否真正
1.
6.发生了应急事件;
2.2与用户共同确定检测对象及范围;检测对象及范围应得到用户的书面授权检测方案的确定
1.
6.与用户共同确定检测方案;23制订的检测方案应明确所使用的检测规范;制订的检测方案应明确检测范围,其检测范围应仅限于用户已授权的与应急事件相关的数据,对用户的机密性数据信息未经允许不得访问;制订的检测方案应包含实施方案失败的应变和回退措施;与用户充分沟通,并预测应急处理方案可能造成的影响检测方案的实施
1.
6.检测搜集系统信息记录使用目录及文件名约定
2.4搜集操作系统基本信息包含网络连接信息、进程信息、属性、操作系统属性IP日志信息:导出所有日志信息账号信息:导出所有账号信息主机检测日志检查从日志信息中检测出未授权访问或非法登录整件;账号检查检查账号信息中非正常账号、隐藏账号进程检查检查是否有未被授权的应用程序或服务服务检查检查系统是否存在非法服务自启动检查检查未授权自启动程序网络连接检查检查非正常开放的端口共享检查检查非法共享目录文件检查检查病毒、木马、蠕虫、后门等可疑文件应急事件响应建议应急事件现场处理
1.832应急事件的事后处理
1.
8.132应急保障措施
1.
8.233应急体系完善
1.
8.334随着网络信息化建设的不断深入,加强各类设备、系统以及信息与网络安18435全等方面应对应急事件的处理能力将是运维项目面临的一项重要任务为确保系统及机房安全与稳定,以保证正常运行为宗旨,按照预防为主,积极处置〃的原则,本着建立一个有效处置应急事件,建立统一指挥、职责明确运转有序、反应迅速处置有力的安全体系的目标,将正在发生或已发生事故的损害程度减轻到最低,确保系统和数据安全,特制定本应急保障方案在应急事件发生时,通过应急事件处置与应急响应机制,保障计算机信息系统继续运行或紧急恢复,可归纳为个方面紧急事件或安全发生时的影响分析;3应急预案的详细制订;应急预案的演练与完善应急响应原则实时原则♦
1.1应急响应服务中心配备了的人员值班机制,保证接受客户在任意时7X24间提出的服务请求并在接到客户的服务请求以后,在个小时之内给予响应规范性原则♦1对于每一次应急事件的发生都有严格的事件记录,记录事件处理的全部过程,对于现场处理事件由用户签署认可建议最小性原则♦事件处理过程中,将事件对整个系统的影响降低到最小,强化处理前的分析与备份工作保密性原则对于所有事件的处理内容、时间、地点,严格遵从保密原则,不向任何的第三方透漏应急处理原则.预防为主立足安全防护,加强预警,重点保护基础信息网络
1.2和信息系统安全、稳定,从预防、监控、应急处理、应急保障等环节,在管理、1技术、人员等方面采取多种措施充分发挥各方面的作用,共同构筑安全保障体系.快速反应应急事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响
2.分级负责按照“谁主管,谁负责的原则,建立和完善安全责任制及联动工作机制根据各负责人的职能,各司其职,加强各负责人的协调3与配合,共同履行应急处置工作的管理职责.以人为本把保障人员以及客户利益的安全作为首要任务.常备不懈加强技术储备,规范应急处置措施与操作流程,定4期进行预案演练,确保应急预案切实有效,实现网络与信息安全突发公共事件应5急处置的科学化、程序化与规范化应急响应服务应急事件响应,是当应急事件发生后迅速采取的措施和行为,其目的是以13最快的速度恢复系统的保密性,完整性和可用性,降低应急事件对业务系统造成的损失针对运维服务项目,除有驻场工程师进行日常巡检和维护的工作外,还成立信息系统运维组,提供应急响应服务当设备、软件和基础网络出现故障时,原则上由驻场运维工程现场解决,如果现场服务工程无法解决,事件升级为4S后台技术支持团队解决保障在小时内做出明确响应和安排,小时内提供诊断报告和故障解决方案12同时,根据客户的具体情况,制定和编写信息系统应急预案,保障客户信息系统的可靠,安全的运行应急事件的影响程度通常在事件爆发的初期很难界定事件的起因具体是什么,所以,通常又通
5.
1.1过安全威胁事件的影响程度分为单点损害、局部损害和整体损害类单点损害只造成独立个体的不可用,应急事件影响程度弱3局部损害造成某一系统或一个局部网络不可使用,应急事件影响程度较强整体损害造成整个网络系统的不可使用,应急事件影响程度强应急事件的影响级别分类确定事件影响程度的级别不同的威胁级别,处理方法也不相同根据对
5.
1.2业务系统的影响程度从大到小的顺序将应急事件划分成个等级第一级应急事件引起重要业务系统或有重要影响的应用系统宕机,系统4重新引导后无法正常工作与恢复的事故,或造成安全泄密事件;P1第二级应急事件重复发生或重复再现的并产生较强影响作用,导致系统正常运行的事故;P2第三级应急事件间歇产生、随机产生的事故,但不影响系统的正常运行;第四级应急事件一般性事件,与业务系统运行或产品使用要关的问题,P3不影响整个系统的正常运行P4应急事件的优先级处理事件处理要素
5.
1.3事件处理要素分为管理层面和技术层面;级事件的启动和指挥由应1急总负责人负责;、级事件的启动应急领导小组负责事件动态由应急工Pls P2作小组人员收集并及时反馈给应急领导小组,应急领导小组决定信息的共享、沟P3P4通、处置信息系统事件发生后,事发部门立即启动相关应急预案,实施处置并及时报送信息分级响应2发生、级事件,由应急工作小组初步判定事件级别后,将信息通知应急领导小组并注意持续监控事态、收集信息、做出应急准备;应急领导小组响应Pl P2判断为级事件后,立即通知应急总负责人,并由应急总负责人启动应急预案PL P2发生、级事件,由应急工作小组初步判定事件级别后,将信息通知应急领导小组并注意持续监控事态、收集信息、做出应急准备;应急领导小组响应P3P4判断为、级事件后,立即启动应急预案应急事件的级别应置于动态调整控制中P3P4指挥与协调级事件,由应急工作小组收集信息,应急领导小组做出预判,并迅3速通知应急总负责人,由应急总负责人进行指挥和决策Pls P
2、级事件,由应急领导小组进行指挥和决策,并及时将处理过程、报告等上报应急总负责人P3P4信息共享和处理、级事件,由应急工作小组收集信息并提交给应急领导小组和应急总4负责人,由应急总负责人决定信息的分发、共享和处置Pl P
2、级事件,由应急领导小组决定信息的分发、共享和处置,并上报应急总负责人P3P4应急事件响应当客户系统发生紧急事件时,对应的处理方法原则是首先保护或恢复计算
5.
1.4机、网络服务等,使其恢复正常运行,然后再对事件进行追查.因此对于客户紧急事件响应服务主要包括准备、识别事件判定应急事件类型、抑制缩小事件的影响范围、解决问题、恢复以及后续跟踪准备工作;建立客户事件档案;与客户就故障级别进行定义;准备应急事件紧急响应服务相关资源;为一个应急事件的处理取得管理方面支持;组建事件处理队伍;提供易实现的初步报告;制定一个紧急后备方案;随时与管理员保持联系;识别事件;在指定时间内指派安全服务小组去负责此事件;事件抄送专家小组;初步评估,确定事件原因;保护可追查的线索,诸如立即对日志、数据进行备份;联系客户系统的相关服务商、厂商;缩小事件的影响范围;;确定系统继续运行的风险,决定是否关闭系统及采取其他措施;与客户相关工作人员保持联系、协商;根据需求制订相应的应急措施;解决问题;事件的起因分析;事后取证调查;后门检查;漏洞分析;提供解决方案;结果提交专家小组审核;后续工作;检查是不是所有的服务都已经恢复;其发生的原因是否已经处理;应急响应步骤是否需要修改;生成紧急响应报告;拟定一份事件记录和跟踪报告;事件合并、录入信息知识库应急响应保障措施工具保障
1.41我们建立了一套专门用于应急响应工具库,保证提供应急响应服务的工程师一人一套工具;为防止光盘损坏和丢失,并将此工具库进行了多套备份;同时指定了专业技术人员进行工具库的管理与维护,包括工具的测试、版本升级与维护等技术和人员保障公司拥有一支技术精湛、专业、稳定的技术团队,多位在网络、主机、数2据库、安全等多个领域具体丰富的实践经验的资深工程师公司指定技术专员整理技术经验和心得并录入知识信息数据库,一方面供技术部定期组织培训会议使用对典型案例进行分析和学习,另一方面供客服中心查询以电话远程技术指导TS公司建立了图书室,图书室内目前拥有信息安全类、计算机应用类、网络管理类、分级保护相关资料与规范、等级保护相关资料与规范等方面书籍,以方便技术人员借阅公司定期组织技术人员进行专项技术培训学习,并以考试的方法检查技术人员的掌握情况,有针对性的对技术人员进行帮助和指导公司鼓励员工报考知名厂商技术认证,进行更专业的技术学习,并在考试费用上给予报销交通保障紧急事件,公司应急车辆保障,可以保证在突发应急事件时能做3出快速响应,第一时间赶到事件现场进行处置财力保障公司有专门的经费和审批流程,确保在应急响应处理过程中需要的款项能4迅速到位,保障应急事件的处理和故障恢复应急响应组织保障组织机构与职责
1.5针对项目,我公司成立专门应急处置小组,包含应急领导小组和应急工
1.
5.1作小组应急领导小组应急领导小组是信息安全应急响应工作的组织领导机构,组长由组织最高1管理层成员担任职责是统一领导信息系统的应急事件的公司内部应急处理工作,发起研究重大应急决策和部署,决定实施和终止应急预案,领导和决策信息安全应急响应的重大事宜,主要职责如下制订工作方案;提供人员和物质保证;审核并批准经费预算;审核并批准恢复策略;审核并批准应急响应计划;批准并监督应急响应计划的执行;指导应急响应实施小组的应急处置工作;)启动定期评审、修订应急响应计划以及负责组织的外部协作(应急工作小组2应急工作小组由运维服务小组人员组成,主要职责包含落实应急领导小组布置的各项任务;组织制定应急预案,并监督执行情况;掌握应急事件处理情况,及时向应急领导小组报告应急过程中的重大问题具体职责如下编制应急响应计划文档;应急响应的需求分析,确定应急策略和等级以及策略的实现;备份系统的运行和维护,协助灾难恢复系统实施;信息安全应急事件发生时的损失控制和损害评估;组织应急响应计划的测试和演练组织的外部协作依据信息应急事件的影响程度,如需向其他第三方设备供应商或软件开发
1.
5.2商寻求支持时,将联系第三方服务单位提供协作和技术支持应急响应流程应急响应流程共包括个阶段,分别是准备阶段、检测阶段、抑制阶段、
1.6根除阶段、恢复阶段、总结阶段应急响应流程如下图所示,对于每个阶段都有6其应完成的目标、实施人员角色以及阶段的结果输出抑制阶段否确认和认可抑制的方法并进行根除的实施根据确认的恢复方案进行信息系统的恢复回顾并完善整个事件的处理过程并进行总结形成事故报告为服务对象提出安全建议启动专项预案根除阶段恢复阶段总结阶段组织人员准备工作技术人员准备工作现场实施人员的确定现场勘查确定检测方案并进行抑制的实施是否有该类事件的专项预案检测阶段准备阶段是确认和认可根除的方法并进行根除的实施结束准备阶段目标在事件真正发生前为应急响应做好预备性的工作
1.
6.1角色组织人员,技术人员内容根据不同角色准备不同的内容编出准备工具清单、事件初步报告表和实施人员工作清单组织人员准备内容制订工作方案和计划;
1.
6.
1.1提供人员和物质保证;。