应急处理工作流程和操作规范

1、XXXXX科技有限公司应急响应服务规范XXXXX科技有限公司2016年3月目录1. 服务范围32. 服务形式33. 服务内容44. 服务目标45. 服务流程46. 服务方法71 .服务范围1 .此服务包可以单独销售。2,此服务包可以作为大型安全服务项目的子项。3 .此服务包也适用于已经做过其它安全服务项目之一但未购买此项服务的客户，可以给用户提供一段时间的应急响应服务。4 .在和客户签定服务协议前，应对服务的需求进行界定。5 .在与客户签署此服务协议时，应按照客户要求签署保密协议。2.服务形式1 .本地应急响应应急响应组在第一时间赶往用户网络系统安全事件的发生地点，在现场为用户查找事件发生原因

2、并解决相应问题，最后出具详细的应急响应服务报告。2 .远程应急响应（备选，仅当事件并非应急时）用户通过电话、Email、传真等方式请求安全事件响应，应急响应组通过相同的方式为用户解决问题。经与用户网络相关人员确认后，用户方提供主机或设备的临时支持帐号，由应急响应组远程登陆主机进行检测、修复以及取证等服务，问题解决后出具详细的应急响应服务报告。远程系统无法登陆或无法通过远程访问的方式为用户解决问题时，经用户确认后，转到本地应急响应相关流程，同时此次远程响应无效，归于本地应急响应类型。3 .服务内容1. 预先准备与计划2. 检测与分析事件3. 控制安全威胁的影响范围4. 杜绝产生安全事件的原因，消

3、除影响5. 修复与加固受损系统6. 监控与审查系统运行状态7. 总结报告与更新安全策略步骤传统方法学-PDCERF华城楼宇改良型方法学1准备(Preparation)预先准备与计划2检测(Detection)检测与分析事件3抑制(Containment)控制安全威胁的影响范围4根除(Eradication)杜绝产生安全事件的原因，消除影响5恢复(Recovery)修复与加固受损系统6品艮踪(Follow-up)监控与审查系统运行状态7总结报告与更新安全策略4 .服务目标以最快速度恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的负面影响。5 .服务流程1 .确认用户已经购买应急响应服务

4、，询问并记录用户的具体情况，让用户保持现场，判断是否可以进行远程应急响应，确立服务的时间、地点、范围和内容。2 .在确认用户的应急响应请求后30分钟内，向项目管理组填写和提交申请。项目管理组应在接到服务申请后1小时内给予答复，并根据客户要求安排和督促工程师完成服务内容，以及提供相关文档或其他形式的必要支持，同时通知该项目的销售负责人员。3 .对于远程应急响应无论是否解决，进行处理的当天，服务工程师必须返回响应情况的简报，直到此次响应服务的结束。4 .对于本地应急响应，由项目管理组必须提供2名以上安全服务工程师。原则上，对本地范围内的用户，36小时候到达现场；对异地用户，24小时加路途时间内到达

5、现场。5 .安全服务工程师严格按照本规范中描述的方法进行相关操作，服务完成后要求用户填写安全服务验收单。并向项目管理组提交应急响应服务报告表和安全服务验收单等所有此项安全服务产生的文档。由项目管理组通知该项目的销售负责人员。6 .如果用户做过其它安全服务之一而没有购买应急响应服务，一般可以给用户提供最多2次的应急响应服务，并向其推荐销售部门的联系人，争取其成为我们的用户。d磕移动电话E-mail6.服务方法1 .预先准备与计划基于该事件可能的威胁建立一组合理的防御和控制措施方案确定处理问题必须的组织和人员启动文档记录（服务操作的每一步都必须详细记录，包括由何人收集、如何收集、何时收集以及何人进

6、行了访问。）建立一个支持事件响应活动的基础设施独立和安全的物理环境优先的网络访问通道与权限充足的应急资源（各种利用工具、备份介质、监控系统等）2 .检测与分析事件迅速创建2份完整系统备份（一份用来充当日后的举报证据，一份可用来做系统恢复）初步评估：确定事件是已经发生了还是在进行当中根据严重程度和安全策略，判断是否需要通过让受影响的系统脱机将其隔离起来估计事件的范围查找黑客踪迹检查审计日志是否存在异常活动（不正常连接、安全审计失败，失败的登录尝试，非工作时间的活动）、日志不存在或日志有空缺检查黑客工具（密码破解工具、特洛伊木马等等）文件、目录和共享权限的更改检查是否有未经授权的应用程序被配置为自

7、动启动检查帐户是否权限提高或有未经授权的组成员检查是否有未经授权的进程检查防火墙、IDS等系统日志扫描系统漏洞记录所发生的事件确认事件：确定是否属于安全事件确定攻击的类型、方式及严重程度确定攻击来源与意图识别所有受攻击的系统。如果发现其他系统，请重新调用检测步骤重新评估，如果必要，可以给事件重新指定优先级别如有必要，通知NCSIRT联络员寻求其它IT部门的技术支持与帮助如有必要，通知信息交流官员寻求其它单位组织（例如ISP接入商）的帮助3 .控制安全威胁的影响范围应急处理方案获得用户的授权与用户共同测试应急处理方案验证效果拒绝服务类攻击抑制考虑断网或修改边界网络设备访问控制的设置等系统漏洞及恶

8、意代码类攻击抑制件考虑断网、修改边界网络设备访问控制的设置、打补丁或安装杀毒软件等网络欺骗类攻击抑制考虑断网或修改相关安全配置网络窃听类攻击抑制更换网络设备（如将HUB换成交换机）或将监听设备离线数据库SQL注入类攻击抑制修改用户口令，对输入的信息进行检查与用户共同测试应急处理方案是否影响系统运行，对系统的影响程度不可接受时返回检测与分析阶段实施应急处理方案当实施应急处理方案失败的情况下，采取应变和回退措施，并返回到检测阶段4 .杜绝产生安全事件的原因，消除影响根除安全事件的影响与抑制安全事件的影响在时间上存在交叉和重复的情况。其基本流程与抑制过程相同，制订的方案则需要与用户一起做更加精细的准

9、备。5 .修复与加固受损系统出具修复建议方案，并进行模拟测试，提交测试结果，在得到用户方的认可后方可进行后续工作。考虑用新硬盘重建一个全新的系统（应将现有的硬盘卸下并保存起来，因为在决定起诉攻击者时它们可以作为证据）。修改所有防火墙和路由器的过滤规则，拒绝来自疑似发起攻击的主机的所有的流量封锁或删除被攻击的登陆帐号确保所有本地系统与服务的密码都换成与攻击发生之前不同的密码。还应更改其它相关主机的帐户密码。关闭或修补被利用的服务与配置清除攻击方遗留下来的后门、木马等文件复原被篡改的文件权限与配置加固系统与服务配置，去除其它安全隐患提高系统或网络行为的监控级别利用经过验证的最近未受影响的备份有选择

10、地把受侵害或被破坏的系统、应用、数据等还原到它们正常的任务状态建立系统文件完整性校验数据库，并保存在安全的地方。在每次系统文件正常更改后建立新的完整性校验数据库。验证系统功能，并根据历史基准数据比较系统性能如有必要，通知NCSIRT联络员寻求其它IT部门的技术支持与帮助如有必要，通知信息交流官员寻求其它单位组织（例如ISP接入商）的帮助6 .监控与审查系统运行状况在安全应急事件处理完成后的72小时内，服务工程师根据需要从远程或本地继续监视客户系统运营情况（主要监视重复性攻击和由于遏制步骤所导致的错误配置），确保故障根本上得到解决，并填写监控报告。7 .总结报告与更新安全策略将所有笔记、记录汇编成一份综合性安全意外事件活动日志。分发给意外事件