网络安全应急响应服务方案

2准备阶段(Preparation) 6 3检测阶段(Examination) 11 4抑制阶段(Suppresses) 17 5根除阶段(Eradicates) 19 6恢复阶段(Restoration) 21 7总结阶段(Summary) 237.1交付.....................................................................................................................231.1服务范围为采购人提供安全事件应急响应和处理服务，在发生信息破坏事件(篡改、站漏洞事件等信息安全事件时，提1.2服务流程及内容(Examination)>抑制阶段(Suppresses)>根除阶段(Eradicates)>恢复阶段(Restoration)>总结阶段(Summary)。如下图所示：制定工作方案和计划，监督和指导其他小组的工作技术人员准备工作工作服务需求的确定，主机和网工具包和必要技术的准备建立预防预警机制、及时进行信息系统检测和异常上报现场实施小人员的确定现场勘查确定检测方案并施是是的专项预案否确定和认可抑制的方案并进行抑制的实施确定和认可根除的方法并进行根除的实施根据确定的恢复方案进行信息系统的恢复程并进行总结告为服务对象提出安全建议2准备阶段(Preparation)2.1负责人准备内容2.2技术人员准备内容(一)服务需求界定(1)应急响应小组应了解应急服务对象的各项业务功能及其之间的相关性，(2)对服务对象的信息系统，包括应用程序，服务器，网络及任何管理和(3)应急响应小组采用定性或者定量的方法，对业务中断、系统宕机、网络(4)应急响应小组协助服务对象建立适当的应急响应策略，应提供在业务(5)应急响应小组为服务对象提供相关的培训服务，以提高服务对象的安(二)主机和网络设备安全初始化快照和备份自启动快照(3)信息系统的业务数据及办公数据均十分重要，因此需要进行数据存储全技术工具涵盖应急响应的事件取统恢复和攻击追踪等各个方面，构成为了网络安全应(1)系统检测技术，包括以下检测技术规范：(2)攻击检测技术，包括以下技术：(3)攻击追踪技术；(4)现场取样技术；(5)系统安全加固技术；(6)攻击隔离技术；(7)资产备份恢复技术。2.3市场人员准备内容(1)预防和预警机制网络窃密等的能力，防止有害信息传播，保障服务将协会网络信息中心会发布的病毒预防警报以及更新的防护策略及时有(2)信息系统检测和报告按照“早发现、早报告、早处置”的原则，市场人员要加强对服务对象信3检测阶段(Examination)据。(1)检测范围及对象的确定；(2)检测方案的确定；(3)检测方案的实施；(4)检测结果的处理。3.1实施小组人员的确定告表》的内容，初步分析事故的类型、严3.2检测范围及对象的确定3.3检测方案的确定应急服务提供者制定的检测方案应明确应急服务提供者所使用的检测规施；3.4检测方案的实施(1)检测搜集系统信息在受入侵的计算机的D盘根目录下(D:\)(如果无D盘则在其他盘根目录netstatnaonetstattxt连接信息)............情况，使用计算机管理查看本地用户和组，将导出的信息保存在D:\qihoo\user中(2)主机检测。：关闭所有的网络通讯程序，以免浮现干扰，然后使用ipconfig,e3.5检测结果的处理(1)确定安全事件的类型(a)有害程序事件：蓄意创造、传播有害程序，或者是因受到有害程序的影(b)网络攻击事件：通过网络或者其他技术手段，利用信息系统的配置缺(c)信息破坏事件：通过网络或者其他技术手段，造成信息系统中的信息被(d)信息内容安全事件：利用信息网络发布、传播危害国家安全、社会稳(e)设备设施故障：由于信息系统自身故障或者外围保障设施故障而导致的技术手段故意或者无意的造成信息系统破坏而(f)灾害性事件：由于不可抗力对信息系统造成物理破坏而导致的信息安(g)其他信息安全事件：不能归为以上6个基本分类的信息安全事件。(2)评估突发信息安全事件的影响(a)采用定量和/或者定性的方法，对业务中断、系统宕机、网络瘫痪数据丢(b)确定是否存在针对该事件的特定系统预案，如有，则启动相关预案；(c)如果没有针对该事件的专项预案，应根据事件具体情况，采取抑制措4抑制阶段(Suppresses)(1)抑制方案的确定；(2)抑制方案的认可；(3)抑制方案的实施；(4)抑制效果的判定；4.1抑制方案的确定4.2抑制方案的认可；可；在采取抑制措施之前，应急服务提供者要和服务对象充分沟通，告知可能4.3抑制方案的实施确定受害系统的范围后，将被害系统和正常的系统进行隔离，断开或者暂住手或者删除系统非正常帐号，隐藏帐号，更改口令，加强口令的安全级；使用反病毒软件或者其他安全工具检查文件，扫描硬盘上所有的文件，隔4.4抑制效果的判定5根除阶段(Eradicates)(1)根除方案的确定；(2)根除方案的认可；(3)根除方案的实施；(4)根除效果的判定；5.1根除方案的确定(1)应急服务提供者应协助服务对象检查所有受影响的系统，在准确判断安全事(2)由于入侵者普通会安装后门或者使用其他的方法以便于在将来有机会侵入该被攻陷的系统，因此在确定根除方法时，需要了解攻击者时如何入侵的，以及与这种入侵5.2根除方案的认可(1)应急服务提供者应明确告知服务对象所采取的根除措施可能带来的风险，制(2)应急服务提供者应协助服务对象进行根除方法的实施。5.3根除方案的实施(1)应急服务提供者应使用可信的工具进行安全事件的根除处理，不得使(2)根除措施易包含但不仅限与以下几个方面：增强防护功能：复查所有防护措施的配置，安装最新的防火墙和杀毒软5.4根除效果的判定(1)找出造成事件的原因，备份与造成事件的相关文件和数据；(2)对系统中的文件进行清理，根除；(3)使系统能够正常工作。6恢复阶段(Restoration)(1)恢复方案的确定；(2)恢复信息系统；6.1恢复方案的确定(1)应急服务提供者应告知服务对象一个或者多个能从安全事件中恢复系统(2)应急服务提供者应和服务对象共同确定系统恢复方案，根据抑制和根如何成功运行备用设备(3)如果涉及到涉密数据，确定恢复方法时应遵循相应的保密要求。6.2恢复信息系统(1)应急响应实施小组应按照系统的初始化安全策略恢复系统；(3)恢复系统过程宜包含但不限于以下方面：(4)利用正确的备份恢复用户数据和配置信息；(5)开启系统和应用服务，将受到入侵或者怀疑存在漏洞而关闭的服务，(6)连接网络，服务重新上线，并持续监控持续汇总分析，了解各网的运(7)对于不能彻底恢复配置和清除系统上的恶意文件，或者不能肯定系统在(8)应急