应急响应服务方案

应急响应服务方案

目录 应急响应原则 5 应急解决原则 6 应急响应服务 7 应急事件的影响程度 7 应急事件的影响级别分类 8 应急事件的优先级解决 8 应急事件响应 9 应急响应保障方法 11 应急响应组织保障 13 组织机构与职责 13 组织的外部协作 14 应急响应流程 14 准备阶段 16 检测阶段 20 克制阶段 23 根除阶段 25 恢复阶段 27 总结阶段 29 各类应急事件解决预案 30 设备发生被盗或人为损害事件应急预案 30 通信网络故障应急预案 30 不良信息和网络病毒事件应急预案 31 服务器软件系统故障应急预案 31 黑客攻击事件应急预案 32 核心设备硬件故障应急预案 32 业务数据损坏应急预案 33 应急事件响应建议 34 应急事件现场解决 34 应急事件的事后解决 35 应急保障方法 36 应急体系完善 37

随着网络信息化建设的不停进一步，加强各类设备、系统以及信息与网络安全等方面应对应急事件的解决能力将是运维项目面临的一项重要任务。为确保系统及机房安全与稳定，以确保正常运行为宗旨，按照“防止为主，主动处置”的原则，本着建立一种有效处置应急事件，建立统一指挥、职责明确运转有序、反映快速处置有力的安全体系的目的，将正在发生或已发生事故的损害程度减轻到最低，确保系统和数据安全，特制订本应急保障方案。在应急事件发生时，通过应急事件处置与应急响应机制，保障计算机信息系统继续运行或紧急恢复，可归纳为3个方面：紧急事件或安全发生时的影响分析；应急预案的具体制订；应急预案的演习与完善。应急响应原则实时原则应急响应服务中心配备了7X24的人员值班机制，确保接受客户在任意时间提出的服务请求。并在接到客户的服务请求后来，在1个小时之内予以响应。规范性原则 对于每一次应急事件的发生都有严格的事件统计，统计事件解决的全部过程，对于现场解决事件由顾客签订承认建议。最小性原则 事件解决过程中，将事件对整个系统的影响减少到最小，强化解决前的分析与备份工作。保密性原则 对于全部事件的解决内容、时间、地点，严格遵从保密原则，不向任何的第三方透漏。应急解决原则防止为主。立足安全防护，加强预警，重点保护基础信息网络和信息系统安全、稳定，从防止、监控、应急解决、应急保障等环节，在管理、技术、人员等方面采用多个方法充足发挥各方面的作用，共同构筑安全保障体系。快速反映。应急事件发生时，按照快速反映机制，及时获取充足而精确的信息，跟踪研判，果断决策，快速处置，最大程度地减少危害和影响。分级负责。按照“谁主管，谁负责”的原则，建立和完善安全责任制及联开工作机制。根据各负责人的职能，各司其职，加强各负责人的协调与配合，共同推行应急处置工作的管理职责。以人为本。把保障人员以及客户利益的安全作为首要任务。常备不懈。加强技术储藏，规范应急处置方法与操作流程，定时进行预案演习，确保应急预案切实有效，实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。应急响应服务应急事件响应，是当应急事件发生后快速采用的方法和行为，其目的是以最快的速度恢复系统的保密性，完整性和可用性，减少应急事件对业务系统造成的损失。针对运维服务项目，除有驻场工程师进行日常巡检和维护的工作外，还成立信息系统运维4S组，提供应急响应服务。当设备、软件和基础网络出现故障时，原则上由驻场运维工程现场解决，如果现场服务工程无法解决，事件升级为后台技术支持团体解决。保障在1小时内做出明确响应和安排，2小时内提供诊疗报告和故障解决方案。同时，根据客户的具体状况，制订和编写信息系统应急预案，保障客户信息系统的可靠，安全的运行。应急事件的影响程度普通在事件暴发的早期很难界定事件的起因具体是什么，因此，普通又通过安全威胁事件的影响程度分为单点损害、局部损害和整体损害3类。单点损害：只造成独立个体的不可用，应急事件影响程度弱。局部损害：造成某一系统或一种局部网络不可使用，应急事件影响程度较强。整体损害：造成整个网络系统的不可使用，应急事件影响程度强。应急事件的影响级别分类拟定事件影响程度的级别。不同的威胁级别，解决办法也不相似。根据对业务系统的影响程度从大到小的次序将应急事件划分成4个等级。第一级应急事件P1 引发重要业务系统或有重要影响的应用系统宕机，系统重新引导后无法正常工作与恢复的事故，或造成安全泄密事件；第二级应急事件P2 重复发生或重复再现的并产生较强影响作用，造成系统正常运行的事故；第三级应急事件P3 间歇产生、随机产生的事故，但不影响系统的正常运行；第四级应急事件P4 普通性事件，与业务系统运行或产品使用要关的问题，不影响整个系统的正常运行。应急事件的优先级解决事件解决要素事件解决要素分为管理层面和技术层面；P1、P2级事件的启动和指挥由应急总负责人负责；P3、P4级事件的启动应急领导小组负责。事件动态由应急工作小组人员收集并及时反馈给应急领导小组，应急领导小组决定信息的共享、沟通、处置。信息系统事件发生后，事发部门立刻启动有关应急预案，实施处置并及时报送信息。分级响应发生P1、P2级事件，由应急工作小组初步鉴定事件级别后，将信息告知应急领导小组并注意持续监控事态、收集信息、做出应急准备；应急领导小组响应判断为P1、P2级事件后，立刻告知应急总负责人，并由应急总负责人启动应急预案。发生P3、P4级事件，由应急工作小组初步鉴定事件级别后，将信息告知应急领导小组并注意持续监控事态、收集信息、做出应急准备；应急领导小组响应判断为P3、P4级事件后，立刻启动应急预案。应急事件的级别应置于动态调节控制中。指挥与协调P1、P2级事件，由应急工作小组收集信息，应急领导小组做出预判，并快速告知应急总负责人，由应急总负责人进行指挥和决策。P3、P4级事件，由应急领导小组进行指挥和决策，并及时将解决过程、报告等上报应急总负责人。信息共享和解决P1、P2级事件，由应急工作小组收集信息并提交给应急领导小组和应急总负责人，由应急总负责人决定信息的分发、共享和处置。P3、P4级事件，由应急领导小组决定信息的分发、共享和处置，并上报应急总负责人。应急事件响应当客户系统发生紧急事件时，对应的解决办法原则是首先保护或恢复计算机、网络服务等，使其恢复正常运行，然后再对事件进行追查．因此对于客户紧急事件响应服务重要涉及准备、识别事件（鉴定应急事件类型）、克制（缩小事件的影响范畴）、解决问题、恢复以及后续跟踪。准备工作；建立客户事件档案；与客户就故障级别进行定义；准备应急事件紧急响应服务有关资源；为一种应急事件的解决获得管理方面支持；组建事件解决队伍；提供易实现的初步报告；制订一种紧急后备方案；随时与管理员保持联系；识别事件；在指定时间内指派安全服务小组去负责此事件；事件抄送专家小组；初步评定，拟定事件因素；保护可追查的线索，诸如立刻对日志、数据进行备份；联系客户系统的有关服务商、厂商；缩小事件的影响范畴；；拟定系统继续运行的风险，决定与否关闭系统及采用其它方法；与客户有关工作人员保持联系、协商；根据需求制订对应的应急方法；解决问题；事件的起因分析；事后取证调查；后门检查；漏洞分析；提供解决方案；成果提交专家小组审核；后续工作；检查是不是全部的服务都已经恢复；其发生的因素与否已经解决；应急响应环节与否需要修改；生成紧急响应报告；拟定一份事件统计和跟踪报告；事件合并、录入信息知识库。应急响应保障方法工具保障我们建立了一套专门用于应急响应工具库，确保提供应急响应服务的工程师一人一套工具；为避免光盘损坏和丢失，并将此工具库进行了多套备份；同时指定了专业技术人员进行工具库的管理与维护，涉及工具的测试、版本升级与维护等。技术和人员保障公司拥有一支技术精湛、专业、稳定的技术团体，多位在网络、主机、数据库、安全等多个领域具体丰富的实践经验的资深工程师。公司指定技术专人整顿技术经验和心得并录入知识信息数据库，首先供技术部定时组织培训会议使用（对典型案例进行分析和学习），另首先供TS客服中心查询以电话远程技术指导。公司建立了图书室，图书室内现在拥有信息安全类、计算机应用类、网络管理类、分级保护有关资料与规范、等级保护有关资料与规范等方面书籍，以方便技术人员借阅。公司定时组织技术人员进行专项技术培训学习，并以考试的办法检查技术人员的掌握状况，有针对性的对技术人员进行协助和指导。公司激励员工报考出名厂商技术认证，进行更专业的技术学习，并在考试费用上予以报销。交通保障紧急事件，公司应急车辆保障，能够确保在突发应急事件时能做出快速响应，第一时间赶到事件现场进行处置。财力保障公司有专门的经费和审批流程，确保在应急响应解决过程中需要的款项能快速到位，保障应急事件的解决和故障恢复。应急响应组织保障组织机构与职责针对项目，我公司成立专门应急处置小组，包含：应急领导小组和应急工作小组。应急领导小组应急领导小组是信息安全应急响应工作的组织领导机构，组长由组织最高管理层组员担任。职责是统一领导信息系统的应急事件的公司内部应急解决工作，发起研究重大应急决策和布署，决定实施和终止应急预案，领导和决策信息安全应急响应的重大事宜，重要职责以下：制订工作方案；提供人员和物质确保；审核并同意经费预算；审核并同意恢复方略；审核并同意应急响应计划；同意并监督应急响应计划的执行；指导应急响应实施小组的应急处置工作；启动定时评审、修订应急响应计划以及负责组织的外部协作。应急工作小组应急工作小组由运维服务小组人员构成，重要职责包含：贯彻应急领导小组布置的各项任务；组织制订应急预案，并监督执行状况；掌握应急事件解决状况，及时向应急领导小组报告应急过程中的重大问题。具体职责以下：编制应急响应计划文档；应急响应的需求分析，拟定应急方略和等级以及方略的实现；备份系统的运行和维护，协助灾难恢复系统实施；信息安全应急事件发生时的损失控制和损害评定；组织应急响应计划的测试和演习。组织的外部协作根据信息应急事件的影响程度，如需向其它第三方设备供应商或软件开发商谋求支持时，将联系第三方服务单位提供协作和技术支持。应急响应流程应急响应流程共涉及6个阶段，分别是准备阶段、检测阶段、克制阶段、根除阶段、恢复阶段、总结阶段。应急响应流程以下图所示，对于每个阶段都有其应完毕的目的、实施人员角色以及阶段的成果输出。

结束结束克制阶段否确认和承认克制的办法并进行根除的实施根据确认的恢复方案进行信息系统的恢复回忆并完善整个事件的解决过程并进行总结形成事故报告为服务对象提出安全建议启动专项预案根除阶段恢复阶段总结阶段组织人员准备工作技术人员准备工作现场实施人员的拟定现场勘查拟定检测方案并进行克制的实施与否有该类事件的专项预案检测阶段准备阶段是确认和承认根除的办法并进行根除的实施

准备阶段目的：在事件真正发生前为应急响应做好预备性的工作。角色：组织人员，技术人员内容：根据不同角色准备不同的内容。编出：准备工具清单、事件初步报告表和实施人员工作清单。组织人员准备内容制订工作方案和计划；提供人员和物质确保；审核并同意经费预算、恢复方略、应急响应计划；同意并监督应急响应计划的执行；指导应急响应实施小组的应急处置工作；启动定时评审、修订应急响应计划以及负责组织的外部协作。技术人员准备内容服务需求界定首先要对整个信息系统进行评定，明确应急需求，具体应包含下列内容：理解各项业务功效及其之间的有关性，拟定支持多个业务功效的有关信息系统资源及其它资源，明确有关信息的保密性、完整性和可用性规定；对信息系统，涉及应用程序、服务器、网络及任何管理和维护这些系统的流程进行评定，拟定系统所执行的核心功效，并拟定执行这些核心功效所需要的特定系统资源；采用定性或定量的办法，对业务中断、系统宕机、网络瘫痪等应急事件造成的影响进行评定；协助客户建立适宜的应急响应方略，提供在业务中断、系统宕机、网络瘫痪等应急事件发生后快速有效的恢复信息系统运行的办法；为顾客提供有关的培训服务，以提高顾客的安全意识，便于有关负责人明确自己的角色和责任。理解常见的应急事件和入侵行为，熟悉应急响应方略。主机和网络设备安全初始化快照和备份在系统安全方略配备完毕后，要对系统优生次初始安全状态快照。这样，如果后来出现事故后对该服务器做安全检测时，通过将初始化快照做的成果与检测阶段做的快照进行比较，就能够发现系统的改动或异常。对主机系统做一种原则的安全初始化的状态快照，涉及的重要内容有：日志及审核方略快照；顾客账户快照；进程快照；服务快照；自启动快照；核心文献签名快照；开放端口快照；系统资源运用率的快照；注册表快照；计划任务快照等；对网络设备做一种原则的安全初始化的状态，涉及的重要内容有：路由器快照；安全设备快照；顾客快照；系统资源运用率等快照。信息系统的业务数据及办公数据均十分重要，因此需要进行数据存储及备份。现在，存储藏份构造重要有DAS、SAN和NAS，以及通过磁带或光盘对数据进行备份。可根据不同的特点选择不同的存储产品构建自己的数据存储藏份系统。工具包的准备根据顾客的需求准备处置网络应急事件的工具包，涉及惯用的系统基本命令、其它软件工具等；工具包中的工具采用绿色免安装的，保存在安全的移动介质上，如一次性可写光盘、加密的U盘等；工具包应定时更新、补充。必要技术的准备上述是针对应急响应的解决涉及的安全技术工具涵盖应急响应的事件取样、事件分析、事件隔离、系统恢复和攻击迫踪等各个方面，构成了网络安全应急响应的技术基础。因此应急响应服务实施组员还应当掌握某些必要的技术手段和规范，具体涉及下列内容。系统检测技术，涉及下列检测技术规范：Windows系统检测技术规范；UNIX系统检测技术规范；网络安全牢固检测技术规范；数据库系统检测技术规范；常见的应用系统检测技术规范。攻击检测技术．涉及下列技术异常行为分析技术；入侵检测技术；安全风险评定技术；攻击追踪技术。现场取样技术。系统安全加固技术。攻击隔离技术。资产备份恢复技术。检测阶段目的：接到事故报警后在顾客的配合下对异常的系统进行初步分析，确认其与否真正发生了信息应急事件，并制订进一步的响应方略，并保存证据。角色：应急服务实施小构组员、应急响应日常运行小组。内容：涉及下列几项。检测范畴及对象的拟定；检测方案的拟定；检测方案的实施；检测成果的解决；实施小组人员的拟定应急响应负责人根据《事件初步报告表》的内容，初步分析事故的类型、严重程度等，以此来拟定应急响应小组的实施人员的名单。检测范畴及对象的拟定对发生异常的系统进行初步分析，判断与否真正发生了应急事件；与顾客共同拟定检测对象及范畴；检测对象及范畴应得到顾客的书面授权。检测方案的拟定与顾客共同拟定检测方案；制订的检测方案应明确所使用的检测规范；制订的检测方案应明确检测范畴，其检测范畴应仅限于顾客已授权的与应急事件有关的数据，对顾客的机密性数据信息未经允许不得访问；制订的检测方案应包含实施方案失败的应变和回退方法；与顾客充足沟通，并预测应急解决方案可能造成的影响。检测方案的实施检测收集系统信息：统计使用目录及文献名商定。收集操作系统基本信息：包含网络连接信息、进程信息、IP属性、操作系统属性。日志信息:导出全部日志信息账号信息:导出全部账号信息主机检测日志检查：从日志信息中检测出未授权访问或非法登录整件；账号检查：检查账号信息中非正常账号、隐藏账号。进程检查：检查与否有未被授权的应用程序或服务。服务检查：检查系统与否存在非法服务。自启动检查：检查未授权自启动程序。网络连接检查：检查非正常开放的端口。共享检查：检查非法共享目录。文献检查：检查病毒、木马、蠕虫、后门等可疑文献。查找其它入侵痕迹：查找其它系统上的入侵痕迹，寻找攻击途径。检测成果的解决拟定应急事件的类型通过检测，判断出信息应急事件类型。信息应急事件有下列7个基本分类。有害程序事件：蓄意制造、传输有害程序，或是因受到有害程序的影响而造成的信息应急事件。网络攻击事件：通过网络或其它技术手段，运用信息、系统的配备缺点、合同缺点、程序缺点或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统现在运行造成潜在危害的信息应急事件。信息破坏事件：通过网络或其它技术手段造成信息系统中的信息被篡改、假冒、泄露、窃取等而造成的信息应急事件。信息内容应急事件：泄漏危害国家安全、社会稳定和公共利益的内容的安全。设备设施故障：由于信息系统本身故障或外围保障设施故障而造成的信息应急事件，以及人为的使用非技术手段故意或无意地造成信息系统破坏而造成的信息应急事件。灾害性事件：由于不可抗力对信息系统造成物理破坏而造成的信息应急事件。其它信息应急事件：不能归入以上6个基本分类的信息应急事件。评定突发信息应急事件的影响采用定量和/或定性的办法，对业务中断、系统宕机、网络瘫痪、数据丢失等突发信息应急事件造成的影响进行评定；拟定与否存在针对该事件的特定系统预案，如有，则启动有关预案；如果事件涉及多个专项预案，应同时启动全部涉及的专项预案；如果没有针对该事件的专项预案，应根据事件具体状况，采用克制方法，克制事件进一步扩散。克制阶段目的：及时采用行动限制事件扩散和影响的范畴，限制潜在的损失与破坏，同时要确保封锁办法对涉及有关业务影响最小。角色：应急服务实施小组、应急响应日常运行小组．内容：涉及下列儿项．克制方案的拟定；克制方案的承认；克制方案的实施；克制效果的鉴定。输出：克制解决统计表。克制方案的拟定在检测分析的基础上，初步拟定与应急事件相对应的克制办法，如有多项，可由顾客考虑后自己选择。在拟定克制办法时应当考虑：全方面评定应急事件的影响和损失；通过分析得到的其它结论；顾客的业务和重点决策过程；顾客的业务持续性。克制方案的承认告知顾客所面临的首要问题；拟定的克制办法和对应的方法得到顾客的承认；在采用克制方法之前，与顾客充足沟通，告知可能存在的风险，制订应变和回退方法，并与其达成合同。克制方案的实施严格按照有关商定实施克制，不得随意更改克制的方法的范畴，如有必要更改，须获得顾客的授权。克制方法应包含但不限于下列几方而：拟定受害系统的范畴后，将受害系统和正常的系统进行隔离，断开或临时关闭被影响的系统，使攻击先彻底停止；持续监视系统和网络活动，统计异常流量的远程IP、域名、端口；停止或删除系统非正常账号，隐藏账号，更改口令，加强口令的安全级别；挂起或结束未被授权的、可疑的应用程序和进程；关闭存在的非法服务和不必要的服务；删除系统各顾客“启动”目录下未授权自启动程序；使用工具或命令停止全部开放的共享；使用反病毒软件或其它安全工具检查文献，扫描硬盘上全部的文献，隔离或去除病毒、木马、蠕虫、后门等可疑文献；克制效果的鉴定与否避免了事件继续扩散，限制了潜在的损失和破坏，使现在损失最小化；对其它有关业务的影响与否控制在最小。根除阶段目的：对应急事件进行克制之后，通过对有关事件或行为的分析成果，找出事件本源，明确对应的补救方法并彻底去除事件。角色：应急服务实施小组、应急响应日常运行小组．内容：涉及下列几项。根除方案的拟定；根除方案的承认；根除方案的实施；根除效果的鉴定。输出：根除解决统计表。根除方案的拟定协助顾客检查全部受影响的系统，在精确判断应急事件因素的基础上，提出方案建议；由于入侵者普通会安装后门或使用其它的办法方便于在将来有机会侵入该被攻击的系统，因此在拟定根除办法时，需要理解攻击者是如何入侵的，以及与这种入侵办法相似和相似的多个办法。根除方案的承认明确告知顾客所采用的根除方法可能带来的风险，制度应变和回退方法，并得到顾客的书面授权；协助顾客进行根除办法的实施。根除方案的实施使用可信的工具进行应急事件的根除解决，不得使用受害系统已有的不可信的文献和工具。根除方法宜包含但不限于下列几个方面：变化全部可能受到攻击的系统账号和口令，并增加口令的安全级别；修补系统、网络和其它软件漏洞；增强防护功效，复查全部防护方法的配备，安装最新的安全设备和杀毒软件，并及时更新，对未受保护或者保护不够的系统增加新的防护方法；提高其监视保护级别，以确保将来对类似的入侵进行检测。根除效果的鉴定找出造成事件的因素，备份与造成事件有关的文献和数据；对系统中造成事件的文献进行清理，根除；使系统能够正常工作。恢复阶段目的：恢复应急事件所涉及的系统，并还原到正常状态，使业务能够正常进行，恢复工作应避免出现误操作造成数据的丢失。角色：应急服务实施小组、应急响应日常运行小组。内容：涉及下列儿项。恢复方案的拟定；恢复信息系统。输出：恢复解决统计表。恢复方案的拟定告知顾客一种或多个能从应急事件中恢复系统的办法，及它们可能存在的风险。和顾客共同拟定系统恢复方案，根据克制和根除的状况，协助顾客选择适宜的系统恢复的方案，恢复方案涉及下列几方面：如何获得访问受损设施或地理区域的授权；如何告知有关系统的内部和外部业务伙伴；如何获得安装所需的硬件部件；如何获得装载备份介质，如何恢复核心操作系统和应用软件；如何恢复系统数据；如何成功运行备用设备。涉及涉密数据，拟定恢复办法时应遵照对应的保密规定。恢复信息系统按照系统的初始化安全方略恢复系统。恢复系统时，应根据系统中各子系统的重要性，拟定系统恢复的次序。恢复系统过程宜包含但不限于下列方面：运用对的的备份恢复顾客数据和配备信息；启动系统和应用服务，将受到入侵或者怀疑存在漏洞而关闭的服务修改后重新开放；连接网络，服务重新上线，并持续监控、持续汇总分析，理解各网的运行状况。当不能彻底恢复配备和去除系统上的恶意文献，或不能必定系统在根除解决后与否已恢复正常时，应选择彻底重建系统。协助顾客验证恢复后的系统与否正常运行。协助顾客对重建后的系统进行安全加固。协助顾客为重建后的系统建立系统快照和备份。总结阶段目的：通过以上各个阶段的统计表格，回忆应急事件解决的全过程，整顿与事件有关的多个信息，进行总结，并尽量地把全部信息统计到文档中．角色：应急服务实施小组、应急响应日常运行小组。内容：涉及下列几项．（l）事故总结；（2）事故报告。输出：应急响应报告表．事故总结及时检查应急事件解决统计与否齐全，与否含有可塑性，并对事件解决过程进行总结和分析。应急解决总结的具体工作涉及但不限于下列几项：事件发生的现象总结；事件发生的因素分析；系统的损害程度评定；事件损失预计；采用的重要应对方法；有关的工具文档（如专项预案、方案等）归档。事故报告向顾客提供完备的网络应急事件解决报告；向顾客提供方法和建议。各类应急事件解决预案设备发生被盗或人为损害事件应急预案发生设备被盗或人为损害设备状况时，运维人员或使用人员应立刻报告应急领导小组，同时保护好现场。应急领导小组接报后，告知顾客保卫部门、有关领导，一同核算审定现场状况，清点被盗物资或盘查人为损害状况，做好必要的影像统计和文字统计。顾客单位和当事人应当主动配合公安部门进行调查，并将有关状况向应急领导小组报告。应急领导小组安排运维服务小组、顾客单位及时恢复系统正常运行，并对事件进行调查。运维服务小组和顾客单位应在调查结束后一日内书面报告应急领导小组。事态或后果严重的，应向有关领导报告。通信网络故障应急预案发生通信线路中断、路由故障、流量异常、域名系统故障后，运维人员经初步判断后，应及时上报运维服务小组和应急领导小组。运维服务小组接报告后，应及时查清通信网络故障位置，隔离故障区域，并将事态及时报告应急领导小组，告知有关通信网络运行商查清因素；同时及时组织有关技术人员检测故障区域，逐步恢复故障区与服务器的网络联接，恢复通信网络，确保正常运转。事态或后果严重的，应向应急指挥办公室和有关领导报告。应急处置结束后，运维服务小组应将故障分析报告，在调查结束后一日内书面报告应急领导小组。不良信息和网络病毒事件应急预案发现不良信息或网络病毒时，运维人员应立刻断开网线，终止不良信息或网络病毒传输，并报告运维服务小组和应急领导小组。运维服务小组应根据应急领导小组指令，采用隔离网络等方法，及时杀毒或去除不良信息，并追查不良信息来源。事态或后果严重的，应向有关领导报告。处置结束后,运维服务小组应将事发通过、造成影响、处置成果在调查工作结束后一日内书面报告应急领导小组。服务器软件系统故障应急预案发生服务器软件系统故障后，运维服务小组负责人应立刻组织启动备份服务器系统，由备份服务器接管业务应用，并及时报告应急领导小组；同时安排有关负责人将故障服务器脱离网络，确保系统状态不变，取出系统镜像备份磁盘，保持原始数据。运维服务小组应根据应急领导小组的指令，在确认安全的状况下，重新启动故障服务器系统；重启系统成功，则检查数据丢失状况，运用备份数据恢复；若重启失败，立刻联系有关厂商和上级单位，请求技术增援，作好技术解决。事态或后果严重的，应向应急领导小组报告。处置结束后,运维服务小组应将事发通过、处置成果等在调查工作结束后一日内报告应急领导小组。黑客攻击事件应急预案当发现网络被非法入侵、网页内容被篡改，应用服务器上的数据被非法拷贝、修改、删除，或通过入侵检测系统发现有黑客正在进行攻击时，运维人员或系统管理员应断开网络，并立刻报告应急领导小组。接报告后，应急领导小组应立刻指令运维服务小组核算状况，关闭服务器或系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登陆账号，阻断可疑顾客进入网络的通道。运维服务小组应及时清理系统，恢复数据、程序，恢复系统和网络正常；状况严重的，应向应急领导小组报告，并请求增援。处置结束后,运维服务小组应将事发通过、处置成果等在调查工作结束后一日内报告应急领导小组。核心设备硬件故障应急预案发生核心设备硬件故障后，运维服务小组应及时报告应急领导小组，并组织查找、拟定故障设备及故障因素，进行先期处置。若故障设备在短时间内无法修复运维服务小组应启动备份设备，保持系统正常运行；将故障设备脱离网络，进行故障排除工作。运维服务小组故障排除后，在网络空闲时期，替代备用设备；若故障仍然存在，立刻联系有关厂商，认真填写设备故障报告单备查。事态或后果严重的，应向应急领导小组报告。处置结束后,运维服务小组应将事发通过、处置成果等在调查工作结束后一日内报告应急领导小组。业务数据损坏应急预案发生业务数据损坏时，运维服务小组应及时报告应急领导小组，检查、备份业务系统现在数据。运维服务小组负责调用备份服务器备份数据，若备份数据损坏，则调用磁带机中历史备份数据，若磁带机数据仍不可用，则调用异地备份数据。业务数据损坏事件超出2小时后，运维服务小组应及时报告应急领导小组，及时告知业务部门以手工方式开展业务。运维服务小组应待业务数据系统恢复后，检查历史数据和现在数据的差别，由有关系统业务员补录数据；重新备份数据，并在工作结束后一日内报告应急领导小组。

应急事件响应建议应急事件现场解决系统应急事件现场解决方案选择普通有下列几个方式。紧急消除应急事件解决最核心的问题是消除现在威胁，重要是指消除应急事件的因素。如果应急事件属于计算机病毒，用杀毒软件进行消除。如果应急事件属入侵者，应当首先对入侵者进行监视、跟踪，拟定入侵行为的痕迹并消除之（例如新账号和被监控文献被修改），然后运用完整性检查工共进行检查，最后摆脱入侵者。紧急恢复恢复系统能够采用现场联机恢复和关闭网络连接恢复两种办法。一旦攻击发生，如果不能采用关机和关闭网络连接的方法，就采用现场联机恢复。切换如果采用了双机备份的系统构造，能够采用联机切换方式，先切换再恢复。监视发现入侵者后，监视入侵者的行为是必要的．监视时，可采用系统服务理解攻击者使用了哪个进程，监视网络出入的状况，采用它机监视的办法，要注意反监视问题的解决。应急事件发生时要统计事件现场。在统计应急事件时，要统计平件的每一环节，涉及事件的时间、地点。要打印拷贝、统计拷贝时间、统计对话内容，并尽量采用自动化的统计办法。报警攻击自动发现系统可发现攻击行为，并为系统管理员和信息系统安全员发出报警信号。报警能够通过声音、e-mail、手机、电话等方式体现。应急事件的事后解决系统应急事件事后解决涉及事件后消除，弥补系统脆弱性，分析因素，总结教训，完善安全方略，服务和过程。事件后消除消除威胁是应急事件解决最核心的问题，重要是指消除应急事件的因素。如果应急事件的因素是厂商的后门软件、间谍软件，不管厂商以什么目的采用了这些软件，只要断定这些所谓后门软件能够被攻击者运用，需要向厂商提出交涉，消除该软件或关闭厂商保存的端口。如果应急事件的因素是程序化入侵，则删除入侵程序。如果应急事件的因素是破坏和删除文献，则使用拷贝文献恢复。弥补系统脆弱性当发现网络系统漏洞时，修补操作是必需的。修补的办法涉及包装程序、代理程序、隐藏程序、控制程序和改正程序错误等。应急事件的发生暴露了信息系统的脆弱性。发现漏洞后能够提出修补漏洞的办法，实施修补过程。分析因素应急事件的因素分析是必要的，分析清晰因素，提出改善的方法。总结教训根据应急事件的损失和后果，处分或批评负有责任者。通过对应急事件的解决，可明确在安全管理方面的缺点，有针对性地加强和完善管理制度。完善安全方略、构造、服务和过程发生应急事件后，对信息系统的安全方略、安全构造、安全服务和过程进行全方面的检查，并对其进行修改和完善。系统应急事件责任划分明确系统应急事件的责任。攻击成功往往与系统管理员的工作失误有关。由于系统管理员、信息系统安全员和操作员对信息系统安全都有自己的职责，要检查有关人员的失职问题。有些应急事件的发生与安全构造不合理有关，或是信息系统安全方法落后造成的。应急保障方法应急人力保障加强信息安全人才培养，强化信息安全宣传教育，建设一支高素质、高技术的