信息安全應(yīng)急響應(yīng)服務(wù)流程

1、For personal use only in study and research; not for commercial use 薀 膇 螈 芃 羃 袀 芄 蒞 肁 芀 信息安全應(yīng)急響應(yīng)流程 羅 膂 腿 蠆 螅 芃 薂 聿 蒅 芅 蝕 薈 膆 肂 肅 廣東盈通網(wǎng)絡(luò)投資 羇 20011年07月 羆 膃 膁 蟻 蚇 目錄 膅 第一部分 導(dǎo)言 . 錯誤！未定義書簽。 艿 1.1.文檔類別 . 錯誤！未定義書簽。 肀 1.2.使用對象 . 錯誤！未定義書簽。 蕆 1.3.計劃目的 . 錯誤！未定義書簽。 羂 1.4.適用范圍 . 錯誤！未定義書簽。 螞 1.5.服務(wù)原則 . 錯誤！未定義書簽。

2、葿 第二部分 應(yīng)急響應(yīng)組織保障 . 錯誤！未定義書簽。 膇 2.1.角色的劃分 . 錯誤！未定義書簽。 肄 2.2.角色的職責(zé) . 錯誤！未定義書簽。 螀 2.3.組織的外部協(xié)作 . 錯誤！未定義書簽。 罿 2.4.保障措施 . 錯誤！未定義書簽。 羈 誤！未定義書簽。 . 錯第三部分 應(yīng)急響應(yīng)實施流程膅 錯誤！未定義書簽。3.1.準(zhǔn)備階段（Preparation stage） . 膂 錯誤！未定義書簽。領(lǐng)導(dǎo)小組準(zhǔn)備內(nèi)容 . 3.1.1 莈 誤！未定義書簽。 . 錯實施小組準(zhǔn)備內(nèi)容3.1.2 蚈 誤！未定義書簽。日常運行小組準(zhǔn)備內(nèi)容 . 錯3.1.3 袂 誤！未定義書簽。） . 錯3.2.檢測

3、階段（Examination stage芁 錯 . 誤！未定義書簽。3.2.1 檢測范圍及對象的確定螈 . 錯誤！未定義書簽。3.2.2 檢測方案的確定 .膄 錯誤！未定義書簽。檢測方案的實施3.2.3 . 羄 錯誤！未定義書簽。檢測結(jié)果的處理 . 3.2.4 荿 誤！未定義書簽。） . 錯3.3.抑制階段（Suppresses stage膇 . 錯誤！未定義書簽。 3.3.1 抑制方案的確定.裊 錯誤！未定義書簽。3.3.2 抑制方案的認(rèn)可 . 肅 誤！未定義書簽。. 錯 3.3.3 抑制方案的實施螂 誤！未定義書簽。. 3.3.4 抑制效果的判定 .錯袀 . Eradicates stag

4、e3.4.根除階段（）錯誤！未定義書簽。蚅 3.4.1 根除方案的確定 . 錯誤！未定義書簽。 袂 錯誤！未定義書簽。根除方案的認(rèn)可 . 3.4.2 袀 . 錯誤！未定義書簽。根除方案的實施3.4.3 .莀 誤！未定義書簽。3.4.4 根除效果的判定 . 錯莆 3.5.恢復(fù)階段（Restoration stage） . 錯誤！未定義書簽。 襖 3.5.1 恢復(fù)方案的確定 . 錯誤！未定義書簽。 節(jié) 3.5.2 恢復(fù)信息系統(tǒng) . 錯誤！未定義書簽。 蝿 錯誤！未定義書簽?？偨Y(jié)階段（Summary stage） . 3.6.膆 . 錯誤！未定義書簽。.3.6.1 事故總結(jié) 羅 錯誤！未定義書簽。事

5、故報告3.6.2 . 莁 膈 袆 螃 蚃 薈 第一部分 導(dǎo)言 薇 1.1.文檔類別 螄 技術(shù)部用以規(guī)范“信息安全應(yīng)急響應(yīng)服務(wù)流程”項本文檔是盈通公司信息技術(shù)安全 IT袁目實施的指導(dǎo)性文件之一。 1.2.使用對象 肇 本文檔作為公司內(nèi)部文檔，具體使用人員包括：信息安全應(yīng)急響應(yīng)服務(wù)具體實施操作人莇 員、及負(fù)責(zé)人。 1.3.計劃目的 裊 制訂本規(guī)范的目的是為了指導(dǎo)應(yīng)急響應(yīng)服務(wù)操作人員按一定的實施辦法和操作流程，從羀接受應(yīng)急響應(yīng)服務(wù)申請到交付應(yīng)急響應(yīng)總結(jié)報告為止這段時間內(nèi)，要求實施進度和質(zhì)量可 控，在規(guī)定的時間內(nèi)完成應(yīng)急響應(yīng)服務(wù)。 備注：操作實施人員在執(zhí)行該規(guī)范時，應(yīng)根據(jù)實際情況靈活運用和變通，并提出

6、創(chuàng)新。 螁 同時為了有效的控制進度和質(zhì)量，在實際操作中應(yīng)遵循流程步驟。 1.4.適用范圍 肈 全司。 蚃 1.5.服務(wù)原則 節(jié) 在整個應(yīng)急響應(yīng)處理過程的中，本協(xié)會嚴(yán)格按照以下原則要求服務(wù)人員，并簽訂必要的膀保密協(xié)議。 保密性原則 袈 應(yīng)急服務(wù)提供者應(yīng)對應(yīng)急處理服務(wù)過程中獲知的任何關(guān)于服務(wù)對象的系統(tǒng)信息承擔(dān)保螄密的責(zé)任和義務(wù)，不得泄露給第三方的單位和個人，不得利用這些信息進行侵害服務(wù)對象的行為。 規(guī)范性原則 蒁 應(yīng)急服務(wù)提供者應(yīng)要求服務(wù)人員依照規(guī)范的操作流程進行應(yīng)急處理服務(wù)，所有處理人員蕿必須對各自的操作過程和結(jié)果進行詳細(xì)的記錄，最終按照規(guī)范的報告格式提供完整的服務(wù)報告。 最小影響原則 莄 應(yīng)急

7、處理服務(wù)工作應(yīng)盡可能減少對原系統(tǒng)和網(wǎng)絡(luò)正常運行的影響，盡量避免對原網(wǎng)絡(luò)運螅行和業(yè)務(wù)正常運轉(zhuǎn)產(chǎn)生顯著影響（包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)阻塞、服務(wù)中斷等），如無法避免，則必須向服務(wù)對象說明。 第二部分 應(yīng)急響應(yīng)組織保障 螃 2.1.角色的劃分 罿 本協(xié)會應(yīng)急響應(yīng)工作機構(gòu)按角色劃分為三個： 肅 應(yīng)急響應(yīng)負(fù)責(zé)人， 薃 應(yīng)急響應(yīng)技術(shù)人員， 袁 應(yīng)急響應(yīng)市場人員。 蒈 信息安全事件發(fā)生后，在應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組的統(tǒng)一部署下，工作人員各施其職，并嚴(yán)格螅 按照應(yīng)急響應(yīng)計劃組織實施應(yīng)急響應(yīng)工作。 2.2.角色的職責(zé) 蚄 應(yīng)急響應(yīng)負(fù)責(zé)人： 肀 應(yīng)急響應(yīng)負(fù)責(zé)人是信息安全應(yīng)急響應(yīng)工作的組織領(lǐng)導(dǎo)機構(gòu)，組長應(yīng)由組織最高管理層成

8、袇員擔(dān)任。負(fù)責(zé)人的職責(zé)是領(lǐng)導(dǎo)和決策信息安全應(yīng)急響應(yīng)的重大事宜，主要職責(zé)如下： a) b) 制定工作方案； 薅c) d) 提供人員和物質(zhì)保證； 蚆e) f) 審核并批準(zhǔn)經(jīng)費預(yù)算； 莂g) h) 審核并批準(zhǔn)恢復(fù)策略； 芇i) j) 審核并批準(zhǔn)應(yīng)急響應(yīng)計劃； 芆k) l) 批準(zhǔn)并監(jiān)督應(yīng)急響應(yīng)計劃的執(zhí)行； 蒃m) n) 指導(dǎo)應(yīng)急響應(yīng)實施小組的應(yīng)急處置工作； 蒀o) p) 啟動定期評審、修訂應(yīng)急響應(yīng)計劃以及負(fù)責(zé)組織的外部協(xié)作。 羀 應(yīng)急響應(yīng)技術(shù)人員，其主要職責(zé)如下： 肆a) 編制應(yīng)急響應(yīng)計劃文檔； b)薄 c) 應(yīng)急響應(yīng)的需求分析，確定應(yīng)急策略和等級以及策略的實現(xiàn)； d)袃 e) f) 備份系統(tǒng)的運行和

9、維護，協(xié)助災(zāi)難恢復(fù)系統(tǒng)實施；蒀 g) 信息安全突發(fā)事件發(fā)生時的損失控制和損害評估； h)螇 i) 組織應(yīng)急響應(yīng)計劃的測試和演練。 j)莂 應(yīng)急響應(yīng)市場人員，其主要職責(zé)如下： 羈a) b) 開拓新客戶，與客戶建立長期的合作關(guān)系；維護與公司老客戶的業(yè)務(wù)往來； 衿c) d) 建立預(yù)防預(yù)警機制，及時進行信息上報；薇e) f) 參與和協(xié)助應(yīng)急響應(yīng)計劃的教育、培訓(xùn)和演練； 莃g) h) 信息安全事件發(fā)生后的外部協(xié)作。 肀 2.3.組織的外部協(xié)作 羋 依據(jù)服務(wù)對象信息安全事件的影響程度，如需向上級部門及時通報準(zhǔn)確情況或向其他單芇位尋求支持時，應(yīng)與相關(guān)管理部門以及外部組織機構(gòu)保持聯(lián)絡(luò)和協(xié)作。主要包括國家計算機

10、網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC)華中地區(qū)分中心、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC)、中國教育科研網(wǎng)絡(luò)華中地區(qū)網(wǎng)絡(luò)中心、中國教育科研網(wǎng)網(wǎng)絡(luò)中心、盈通公司市公安局網(wǎng)絡(luò)安全監(jiān)察室、湖北省公安廳網(wǎng)絡(luò)安全監(jiān)察處、及主要相關(guān)設(shè)備供應(yīng)商。 蒄 2.4.保障措施 蒂 應(yīng)急人力保障 蚈 加強信息安全人才培養(yǎng)，強化信息安全宣傳教育，建設(shè)一支高素質(zhì)、高技術(shù)的信息安全羈核心人才和管理隊伍，提高信息安全防御意識。大力發(fā)展信息安全服務(wù)業(yè)，增強協(xié)會應(yīng)急支援能力。 物質(zhì)條件保障 節(jié) 安排一定的資金用于預(yù)防或應(yīng)對信息安全突發(fā)事件，提供必要的交通運輸保障，優(yōu)化信薀息安全應(yīng)急處理工作的物資保障條

11、件。 技術(shù)支撐保障 膇 設(shè)立信息安全應(yīng)急響應(yīng)中心，建立預(yù)警與應(yīng)急處理的技術(shù)平臺，進一步提高安全事件的螈發(fā)現(xiàn)和分析能力。從技術(shù)上逐步實現(xiàn)發(fā)現(xiàn)、預(yù)警、處置、通報等多個環(huán)節(jié)和不同的網(wǎng)絡(luò)、系 統(tǒng)、部門之間應(yīng)急處理的聯(lián)動機制。 第三部分 應(yīng)急響應(yīng)實施流程 芃 該服務(wù)流程并非一個固定不變的教條，需要應(yīng)急響應(yīng)服務(wù)人員在實際中靈活變通，可羃適當(dāng)簡化，但任何變通都必須紀(jì)錄有關(guān)的原因。詳細(xì)的記錄對于找出事件的真相、查出威脅的來源與安全弱點、找到問題正確的解決方法，甚至判定事故的責(zé)任，避免同類事件的發(fā)生都有著極其重要的作用。 制定工作方案和計劃，督和指導(dǎo)其他小組的工負(fù)責(zé)人準(zhǔn)備工服務(wù)需求的確定，主機和絡(luò)安全初始化快照

12、和備份工具包和必要技術(shù)的準(zhǔn)準(zhǔn)備階技術(shù)人員準(zhǔn)備工建立預(yù)防預(yù)警機制、及進行信息系統(tǒng)檢測和異情況上市場人員準(zhǔn)備工現(xiàn)場實施小人員的確現(xiàn)場勘查確定檢測方案檢測階進行實是否有該類件的專項預(yù)確定和認(rèn)可抑制的方案抑制階進行抑制的實確定和認(rèn)可根除的根除階法并進行根除的實根據(jù)確定的恢復(fù)方案進恢復(fù)階信息系統(tǒng)的恢回顧并完善整個事件的理過程并進行總總結(jié)階形成事故報為服務(wù)對象提出安全建結(jié)束 袀 3.1.準(zhǔn)備階段（Preparation） 芄 目標(biāo)：在事件真正發(fā)生前為應(yīng)急響應(yīng)做好預(yù)備性的工作。 蒞 角色：技術(shù)人員、市場人員。 肁 內(nèi)容：根據(jù)不同角色準(zhǔn)備不同的內(nèi)容。 芀 準(zhǔn)備工具清單、 事件初步報告表、實施人員工作清單輸出：

13、 羅 3.1.1 負(fù)責(zé)人準(zhǔn)備內(nèi)容 膂 制定工作方案和計劃； 腿 提供人員和物質(zhì)保證； 蠆 審核并批準(zhǔn)經(jīng)費預(yù)算、恢復(fù)策略、應(yīng)急響應(yīng)計劃； 螅 批準(zhǔn)并監(jiān)督應(yīng)急響應(yīng)計劃的執(zhí)行； 芃 指導(dǎo)應(yīng)急響應(yīng)實施小組的應(yīng)急處置工作； 薂 啟動定期評審、修訂應(yīng)急響應(yīng)計劃以及負(fù)責(zé)組織的外部協(xié)作。 聿 3.1.2 技術(shù)人員準(zhǔn)備內(nèi)容 蒅 服務(wù)需求界定 芅 首先要對服務(wù)對象的整個信息系統(tǒng)進行評估，明確服務(wù)對象的應(yīng)急需求，具體應(yīng)蝕 包含以下內(nèi)容： 1)2) 應(yīng)急服務(wù)提供者應(yīng)了解應(yīng)急服務(wù)對象的各項業(yè)務(wù)功能及其之間的相關(guān)性，確定薈支持各種業(yè)務(wù)功能的相關(guān)信息系統(tǒng)資源及其他資源，明確相關(guān)信息的保密性、 完整性、和可用性要求； 3)

14、網(wǎng)絡(luò)及任何管理和維護這些包括應(yīng)用程序，4) 服務(wù)器，對服務(wù)對象的信息系統(tǒng)，膆系統(tǒng)的流程進行評估，確定系統(tǒng)所執(zhí)行的關(guān)鍵功能，并確定執(zhí)行這些關(guān)鍵功能 所需要的特定系統(tǒng)資源； 5) 網(wǎng)絡(luò)癱瘓 6)對業(yè)務(wù)中斷、系統(tǒng)宕機、應(yīng)急服務(wù)提供者應(yīng)采用定性或定量的方法，肂 等突發(fā)安全事件造成的影響進行評估； 7)應(yīng)急服務(wù)提供者應(yīng)協(xié)助服務(wù)對象建立適當(dāng)?shù)膽?yīng)急響應(yīng)策略，應(yīng)提供在業(yè)務(wù)中8) 肅斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓等突發(fā)安全事件發(fā)生后快速有效的恢復(fù)信息系統(tǒng)運行 的方法； 9)以提高服務(wù)對象的安全意應(yīng)急服務(wù)提供者宜為服務(wù)對象提供相關(guān)的培訓(xùn)服務(wù)， 10)羇了解常見的安全事件和入侵行為，便于相關(guān)責(zé)任人明確自己的角色和責(zé)任，識，

15、 熟悉應(yīng)急響應(yīng)策略。 主機和網(wǎng)絡(luò)設(shè)備安全初始化快照和備份 羆 在系統(tǒng)安全策略配置完成后，要對系統(tǒng)做一次初始安全狀態(tài)快照。這樣，如果以膃通過將初始化快照做的結(jié)果與檢測階段后在出現(xiàn)事故后對該服務(wù)器做安全檢測時， 做的快照進行比較，就能夠發(fā)現(xiàn)系統(tǒng)的改動或異常。 1) 對主機系統(tǒng)做一個標(biāo)準(zhǔn)的安全初始化的狀態(tài)快照，包括的主要內(nèi)容有：2) 膁 ? 日志及審核策略快照等。?蟻 ? 用戶賬戶快照；?蚇 ? 進程快照；? 膅 ? 服務(wù)快照；? 艿 ? 自啟動快照?肀 ? 關(guān)鍵文件簽名快照；? 蕆 ? 開放端口快照；?羂 ? 系統(tǒng)資源利用率的快照；?螞 ? 注冊表快照； 葿? ? 計劃任務(wù)快照等等； 膇3) 4)

16、 對網(wǎng)絡(luò)設(shè)備做一個標(biāo)準(zhǔn)的安全初始化的狀態(tài)快照，包括的主要內(nèi)容有： 肄? ? 路由器快照； 螀? ? 防火墻快照； 罿? ? 用戶快照； 羈? ? 系統(tǒng)資源利用率等快照。 膅5) 6) 信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)及辦公數(shù)據(jù)均十分重要，因此需要進行數(shù)據(jù)存儲及備份。膂目前，存儲備份結(jié)構(gòu)主要有DAS、SAN和NAS，以及通過磁帶或光盤對數(shù)據(jù)進行備份。各服務(wù)對象可以根據(jù)自身的特點選擇不同的存儲產(chǎn)品構(gòu)建自己的數(shù)據(jù)存儲備份系統(tǒng)。 工具包的準(zhǔn)備 莈1) 2) 應(yīng)急服務(wù)提供者應(yīng)根據(jù)應(yīng)急服務(wù)對象的需求準(zhǔn)備處置網(wǎng)絡(luò)安全事件的工具包，蚈包括常用的系統(tǒng)基本命令、其他軟件工具等； 3) 4) 應(yīng)急服務(wù)提供者的工具包中的工具最好是

17、采用綠色免安裝的，應(yīng)保存在安全的袂移動介質(zhì)上，如一次性可寫光盤、加密的U盤等； 5) 6) 應(yīng)急服務(wù)提供者的工具包應(yīng)定期更新、補充； 芁 必要技術(shù)的準(zhǔn)備 螈 上述是針對應(yīng)急響應(yīng)的處理涉及到的安全技術(shù)工具涵蓋應(yīng)急響應(yīng)的事件取樣、事膄件分析、事件隔離、系統(tǒng)恢復(fù)和攻擊追蹤等各個方面，構(gòu)成了網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的技術(shù)基礎(chǔ)。所以我們的應(yīng)急響應(yīng)服務(wù)實施成員還應(yīng)該掌握以下必要的技術(shù)手段和規(guī) 范，具體包括以下內(nèi)容： 1) 系統(tǒng)檢測技術(shù)，包括以下檢測技術(shù)規(guī)范：2)羄 ? ? 系統(tǒng)檢測技術(shù)規(guī)范；Windows荿 ? ?系統(tǒng)檢測技術(shù)規(guī)范； Unix膇? ? 網(wǎng)絡(luò)安全事故檢測技術(shù)規(guī)范； 裊? ? 數(shù)據(jù)庫系統(tǒng)檢測技術(shù)規(guī)范；

18、 肅? ? 常見的應(yīng)用系統(tǒng)檢測技術(shù)規(guī)范； 螂3) 4) 攻擊檢測技術(shù)，包括以下技術(shù)： 袀? ? 異常行為分析技術(shù)； 蚅? ? 入侵檢測技術(shù)； 袂? ? 安全風(fēng)險評估技術(shù)； 袀5) 6) 攻擊追蹤技術(shù)； 莀7) 8) 現(xiàn)場取樣技術(shù)； 莆9) 10) 系統(tǒng)安全加固技術(shù)； 襖11) 12) 攻擊隔離技術(shù)； 節(jié)13) 14) 資產(chǎn)備份恢復(fù)技術(shù)； 蝿 3.1.3 市場人員準(zhǔn)備內(nèi)容 膆 和服務(wù)對象建立長期友好的業(yè)務(wù)關(guān)系； 羅 和服務(wù)對象簽訂應(yīng)急服務(wù)合同或協(xié)議； 莁 建立預(yù)防和預(yù)警機制，及時上報。 膈 1) 預(yù)防和預(yù)警機制2) 袆 ?市場人員要嚴(yán)格按照應(yīng)急響應(yīng)負(fù)責(zé)人的安排和建議，及時提醒服務(wù)對象? 螃提高防

19、范網(wǎng)絡(luò)攻擊、病毒入侵、網(wǎng)絡(luò)竊密等的能力，防止有害信息傳播， 保障服務(wù)對象網(wǎng)絡(luò)的安全暢通。 ? 將協(xié)會網(wǎng)絡(luò)信息中心會發(fā)布的病毒預(yù)防警報以及更新的防護策略及時? 蚃有效地告知服務(wù)對象，做好防護策略的更新。 3) 4) 信息系統(tǒng)檢測和報告 薈? ? 按照“早發(fā)現(xiàn)、早報告、早處置”的原則，市場人員要加強對服務(wù)對象薇信息系統(tǒng)的安全檢測結(jié)果的通告，收集可能引發(fā)信息安全事件的有關(guān)信息、進行分析判斷。 ? ? 如服務(wù)對象發(fā)現(xiàn)有異常情況或有信息安全事件發(fā)生時，要立即向協(xié)會網(wǎng)螄絡(luò)信息中心應(yīng)急響應(yīng)負(fù)責(zé)人報告，并填寫事件初步報告表。 ? ? 要求服務(wù)對象持續(xù)監(jiān)測信息系統(tǒng)狀況，密切關(guān)注應(yīng)急響應(yīng)負(fù)責(zé)人提出初袁步行動對策和

20、行動方案，聽從指令和安排，及時減小損失。 3.2.檢測階段（Examination） 肇 目標(biāo)：接到事故報警后在服務(wù)對象的配合下對異常的系統(tǒng)進行初步分析，確認(rèn)其 莇是否真正發(fā)生了信息安全事件，制定進一步的響應(yīng)策略，并保留證據(jù)。 角色：應(yīng)急服務(wù)實施小組成員、應(yīng)急響應(yīng)日常運行小組； 裊 內(nèi)容： 羀(1) (2) 檢測范圍及對象的確定； 螁(3) (4) 檢測方案的確定； 肈(5) (6) 檢測方案的實施； 蚃(7) (8) 檢測結(jié)果的處理。 節(jié) 輸出：檢測結(jié)果記錄、 膀 3.2.1 實施小組人員的確定 袈 應(yīng)急響應(yīng)負(fù)責(zé)人根據(jù)事件初步報告表的內(nèi)容，初步分析事故的類型、嚴(yán)重程度等，螄以此來確定臨時應(yīng)急

21、響應(yīng)小組的實施人員的名單。 3.2.2 檢測范圍及對象的確定 蒁 應(yīng)急服務(wù)提供者應(yīng)對發(fā)生異常的系統(tǒng)進行初步分析，判斷是否正真發(fā)生了安全事 蕿 件； 應(yīng)急服務(wù)提供者和服務(wù)對象共同確定檢測對象及范圍； 莄 檢測對象及范圍應(yīng)得到服務(wù)對象的書面授權(quán)。 螅 3.2.3 檢測方案的確定 螃 應(yīng)急服務(wù)提供者和服務(wù)對象共同確定檢測方案； 罿 應(yīng)急服務(wù)提供者制定的檢測方案應(yīng)明確應(yīng)急服務(wù)提供者所使用的檢測規(guī)范； 肅 應(yīng)急服務(wù)提供者制定的檢測方案應(yīng)明確應(yīng)急服務(wù)提供者的檢測范圍，其檢測范圍 薃對服務(wù)對象的機密性數(shù)據(jù)信息應(yīng)僅限于服務(wù)對象已授權(quán)的與安全事件相關(guān)的數(shù)據(jù)， 未經(jīng)授權(quán)的不得訪問； 應(yīng)急服務(wù)提供者制定的檢測方案應(yīng)

22、包含實施方案失敗的應(yīng)變和回退措施； 袁 應(yīng)急服務(wù)提供者和服務(wù)對象充分溝通，并預(yù)測應(yīng)急處理方案可能造成的影響。 蒈 3.2.4 檢測方案的實施 螅 檢測搜集系統(tǒng)信息 蚄 ? 記錄時使用目錄及文件名約定：?肀 盤則在其他盤根目錄D（如果無）D:盤根目錄下（D在受入侵的計算機的 袇下）建立一個EEAN目錄，目錄中包含以下子目錄： ? ? artifact：用于存放可疑文件樣本 薅? ? cmdoutput：用于記錄命令行輸出結(jié)果 蚆? ? screenshot：用于存放屏幕拷貝文件 莂? ? log：用于存放各類日志文件 芇? ? 文件格式： 芆? ? 命令行輸出文件缺省僅使用TXT格式。 蒃? ?

23、 日志文件及其他格式盡量使用TXT、CSV和其他不需要特殊工具就可蒀以閱讀的格式。 ? ? 屏幕拷貝文件應(yīng)該使用BMP格式。 羀? ? 可疑文件樣本最好加密壓縮為zip格式，默認(rèn)密碼為：eean 肆? ? 搜集操作系統(tǒng)基本信息 薄 1右鍵點擊“我的電腦屬性” 將“常規(guī)”、“自動更新”、“遠(yuǎn)程”3個選袃卡各制作一個窗口拷貝（使用Alt+PrtScr）。并保存到EEANscreenshot目錄下，文件名稱應(yīng)該使用：系統(tǒng)常規(guī)-01、自動更新-01、遠(yuǎn)程-01等形式命名。 2進入CMD狀態(tài)，“開始 運行 cmd”，進入D盤根目錄下的EEAN蒀目錄，執(zhí)行一下命令： netstat -nao netsta

24、t.txt (網(wǎng)絡(luò)連接信息) 螇 tasklist tasklist.txt （當(dāng)前進程信息） 莂 ipconfig /all ipconfig.txt（IP屬性） 羈 ver ver.txt （操作系統(tǒng)屬性） 衿 . 薇? ? 日志信息 莃 目標(biāo)：導(dǎo)出所有日志信息； 肀 說明：進入管理工具，將“管理工具 事件察看器”中，導(dǎo)出所有事件，羋 。security.txt、system.txt分別使用一下文件名保存： application.txt、 ? 帳號信息? 芇 目標(biāo)：導(dǎo)出所有帳號信息；蒄 命令檢查帳號和組的net local groupnet group，說明：使用net user，蒂在保

25、存出的信息地用戶和組，將導(dǎo)管情況，使用計算機理查看本 中 D:EEAN%user 主機檢測 蚈 ? 日志檢查? 羈 、從日志信息中檢測出未授權(quán)訪問或非法登錄事件；目標(biāo)：1節(jié) 日志中檢測非正常訪問行為或攻擊行為；、從IIS/FTP2薀 、檢查事件查看器中的系統(tǒng)和安全日志信息，比如：安全日志中異1說明：膇 常登錄時間，未知用戶名登錄； FTP日志，%WinDir%System32LogFiles 目錄下的WWW日志和檢查2、螈 cmd.asp文件的成功訪問。比如WWW日志中的對芃 ? 帳號檢查? 羃 目標(biāo)：檢查帳號信息中非正常帳號，隱藏帳號；袀 或者和系統(tǒng)的所有的正常帳號列表做對比，通過詢問管理員

26、或負(fù)責(zé)人，說明：芄利用這些獲得的信息和前面準(zhǔn)備階段判斷是否有可疑的陌生的賬號出現(xiàn)， 做的帳號快照工作進行對比。 ? 進程檢查? 蒞 目標(biāo)：檢查是否存在未被授權(quán)的應(yīng)用程序或服務(wù)肁 說明：使用任務(wù)管理器檢查或使用進程查看工具進行查看，利用這些獲得的芀信息和前面準(zhǔn)備階段做的進程快照工作進行對比，判斷是否有可疑的進 程。 ? 服務(wù)檢查? 羅 目標(biāo)：檢查系統(tǒng)是否存在非法服務(wù) 膂 說明：使用“管理工具”中的“服務(wù)”查看非法服務(wù)或使用冰刃、Wsystem腿利用這些獲得的信息和準(zhǔn)備階段做的服務(wù)快照工作進察看當(dāng)前服務(wù)情況， 行對比。? ?自啟動檢查 蠆 目標(biāo)：檢查未授權(quán)自啟動程序螅 說明：檢查系統(tǒng)各用戶“啟動”

27、目錄下是否存在未授權(quán)程序。芃? ? 網(wǎng)絡(luò)連接檢查 薂 目標(biāo)：檢查非正常網(wǎng)絡(luò)連接和開放的端口聿 netstat 關(guān)閉所有的網(wǎng)絡(luò)通訊程序，說明：以免出現(xiàn)干擾，然后使用ipconfig, 蒅檢查服務(wù)端口開放情況和異常數(shù)據(jù)an或其它第三方工具查看所有連接， 的信息。? ? 共享檢查 芅 目標(biāo)：檢查非法共享目錄。蝕 是$說明：使用net share或其他第三方的工具檢測當(dāng)前開放的共享，使用薈 隱藏目錄共享，通過詢問負(fù)責(zé)人看是否有可疑的共享文件。? ?文件檢查 膆 目標(biāo)：檢查病毒、木馬、蠕蟲、后門等可疑文件。肂 說明：使用防病毒軟件檢查文件，掃描硬盤上所有的文件，將可疑文件進行肅 目錄下的相應(yīng)子目錄中。E

28、EANartifact.zip提取加密壓縮成，保存到? 查找其他入侵痕跡?羇 目標(biāo)：查找其它系統(tǒng)上的入侵痕跡，尋找攻擊途徑羆 地址段或同一網(wǎng)段的系統(tǒng)、同一域的其他系說明：其它系統(tǒng)包括：同一IP膃 統(tǒng)、擁有相同操作系統(tǒng)的其他系統(tǒng)。 3.2.5 檢測結(jié)果的處理 膁 確定安全事件的類型 蟻 7個基本分類：經(jīng)過檢測，判斷出信息安全事件類型。信息安全事件可以有以下蚇 ? 有害程序事件：蓄意制造、傳播有害程序，或是因受到有害程序的影響而導(dǎo)? 膅 致的信息安全事件。 ?網(wǎng)絡(luò)攻擊事件：通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議 ?艿缺陷、程序缺陷或使用暴力攻擊對信息系統(tǒng)實施攻擊，并造成信息系統(tǒng)異常

29、或?qū)π畔⑾到y(tǒng)當(dāng)前運行造成潛在危害的信息安全事件。 ?信息破壞事件：通過網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、 ?肀 假冒、泄漏、竊取等而導(dǎo)致的信息安全事件。 ?信息內(nèi)容安全事件：利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國家安全、社會穩(wěn)定和公 ?蕆 共利益的內(nèi)容的安全事件。 ?由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息安 設(shè)備設(shè)施故障：?羂全事件，以及人為的使用非技術(shù)手段有意或無意的造成信息系統(tǒng)破壞而導(dǎo)致 的信息安全事件。 ? 災(zāi)害性事件：由于不可抗力對信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事? 螞 件。 ? 個基本分類的信息安全事件。 其他信息安全事件：不能歸為以上6?葿 評估突發(fā)信息安全事

30、件的影響 膇 網(wǎng)絡(luò)癱瘓數(shù)據(jù)丟失等突發(fā)信系統(tǒng)宕機、或定性的方法，采用定量和/對業(yè)務(wù)中斷、肄 息安全事件造成的影響進行評估： 確定是否存在針對該事件的特定系統(tǒng)預(yù)案，如有，則啟動相關(guān)預(yù)案；如果事件涉 螀 及多個專項預(yù)案，應(yīng)同時啟動所有涉及的專項預(yù)案； 如果沒有針對該事件的專項預(yù)案，應(yīng)根據(jù)事件具體情況，采取抑制措施，抑制事 罿 件進一步擴散。 3.3.抑制階段（Suppresses） 羈 目標(biāo)：及時采取行動限制事件擴散和影響的范圍，限制潛在的損失與破壞，同時 膅要確保封鎖方法對涉及相關(guān)業(yè)務(wù)影響最小。 角色：應(yīng)急服務(wù)實施小組、應(yīng)急響應(yīng)日常運行小組。 膂 內(nèi)容： 莈(1) (2) 抑制方案的確定； 蚈(3

31、) (4) 抑制方案的認(rèn)可； 袂(5) (6) 抑制方案的實施； 芁(7) (8) 抑制效果的判定； 螈 輸出：抑制處理記錄表、 膄 3.3.1 抑制方案的確定 羄 應(yīng)急服務(wù)提供者應(yīng)在檢測分析的基礎(chǔ)上，初步確定與安全事件相對應(yīng)的抑制方 荿 法，如有多項，可由服務(wù)對象考慮后自己選擇； 在確定抑制方法時應(yīng)該考慮： 膇 ? 全面評估入侵范圍、入侵帶來的影響和損失；?裊 ? 通過分析得到的其他結(jié)論，如入侵者的來源；? 肅 ? 服務(wù)對象的業(yè)務(wù)和重點決策過程； ?螂 ? ?服務(wù)對象的業(yè)務(wù)連續(xù)性。袀 3.3.2 抑制方案的認(rèn)可 蚅 應(yīng)急服務(wù)提供者應(yīng)告知服務(wù)對象所面臨的首要問題； 袂 應(yīng)急服務(wù)提供者所確定的抑

32、制方法和相應(yīng)的措施應(yīng)得到服務(wù)對象的認(rèn)可； 袀 在采取抑制措施之前，應(yīng)急服務(wù)提供者要和服務(wù)對象充分溝通，告知可能存在的 莀 風(fēng)險，制定應(yīng)變和回退措施，并與其達成協(xié)議。 3.3.3 抑制方案的實施 莆 應(yīng)急服務(wù)提供者要嚴(yán)格按照相關(guān)約定實施抑制，不得隨意更改抑制的措施的范 襖 圍，如有必要更改，需獲得服務(wù)對象的授權(quán)； 抑制措施易包含但不僅限于以下幾方面： 節(jié) ?斷開或暫時關(guān)將被害系統(tǒng)和正常的系統(tǒng)進行隔離， 確定受害系統(tǒng)的范圍后，?蝿 閉被攻擊的系統(tǒng)，使攻擊先徹底停止； ? IP持續(xù)監(jiān)視系統(tǒng)和網(wǎng)絡(luò)活動，記錄異常流量的遠(yuǎn)程、域名、端口；? 膆 ? 停止或刪除系統(tǒng)非正常帳號，隱藏帳號，更改口令，加強口令的

33、安全級別；?羅 ? 掛起或結(jié)束未被授權(quán)的、可疑的應(yīng)用程序和進程；?莁 ? 關(guān)閉存在的非法服務(wù)和不必要的服務(wù)；? 膈 ? 刪除系統(tǒng)各用戶“啟動”目錄下未授權(quán)自啟動程序；? 袆 ? 或其他第三方的工具停止所有開放的共享；使用? net share螃 ?隔離或使用反病毒軟件或其他安全工具檢查文件，掃描硬盤上所有的文件，? 蚃 清除病毒、木馬、蠕蟲、后門等可疑文件； ? ?設(shè)置陷阱，如蜜罐系統(tǒng)；或者反擊攻擊者的系統(tǒng)。薈 3.3.4 抑制效果的判定 薇 防止事件繼續(xù)擴散，限制了潛在的損失和破壞，使目前損失最小化； 螄 對其它相關(guān)業(yè)務(wù)的影響是否控制在最小。 袁 3.4.根除階段（Eradicates） 肇

34、 目標(biāo)：對事件進行抑制之后，通過對有關(guān)事件或行為的分析結(jié)果，找出事件根源， 莇明確相應(yīng)的補救措施并徹底清除。 角色：應(yīng)急服務(wù)實施小組、應(yīng)急響應(yīng)日常運行小組。 裊 內(nèi)容： 羀(1) (2) 根除方案的確定； 螁(3) (4) 根除方案的認(rèn)可； 肈(5) (6) 根除方案的實施； 蚃(7) (8) 根除效果的判定； 肄 輸出：根除處理記錄表、 羂 3.4.1 根除方案的確定 蝕 應(yīng)急服務(wù)提供者應(yīng)協(xié)助服務(wù)對象檢查所有受影響的系統(tǒng)，在準(zhǔn)確判斷安全事件原 蒆 因的基礎(chǔ)上，提出方案建議； 由于入侵者一般會安裝后門或使用其他的方法以便于在將來有機會侵入該被攻 芃以及與這種入需要了解攻擊者時如何入侵的，因此在

35、確定根除方法時，陷的系統(tǒng)，侵方法相同和相似的各種方法。 3.4.2 根除方案的認(rèn)可 莁 應(yīng)急服務(wù)提供者應(yīng)明確告知服務(wù)對象所采取的根除措施可能帶來的風(fēng)險，制定應(yīng) 肆 變和回退措施，并得到服務(wù)對象的書面授權(quán)； 應(yīng)急服務(wù)提供者應(yīng)協(xié)助服務(wù)對象進行根除方法的實施。 薈 3.4.3 根除方案的實施 薅 應(yīng)急服務(wù)提供者應(yīng)使用可信的工具進行安全事件的根除處理，不得使用受害系統(tǒng) 螁 已有的不可信的文件和工具； 根除措施易包含但不僅限與以下幾個方面： 袇 ? 改變?nèi)靠赡苁艿焦舻南到y(tǒng)帳號和口令，并增加口令的安全級別；?蒞 ? 修補系統(tǒng)、網(wǎng)絡(luò)和其他軟件漏洞；?蚄 ?增強防護功能：復(fù)查所有防護措施的配置，安裝最新的防火墻和殺毒軟件， ?芀 對未受保護或者保護不夠的系統(tǒng)增加新的防護措施；并及時更新， ? 提高其監(jiān)視保護級別，以保證將來對類似的入侵進行檢測；? 薇 3.4.4 根除效果的判定 蒆 找出造成事件的原因，備份與造成事件的相關(guān)文件和數(shù)據(jù)； 螂 對系統(tǒng)中的文件進行清理，根除； 蝕 使系統(tǒng)能夠正常工作。 莈 3.5.恢復(fù)階段（Restoration） 蒈 目標(biāo)：恢復(fù)安全事件所涉及到得系統(tǒng)，并還原到正常狀態(tài)，使業(yè)務(wù)能夠正常進行， 膄恢復(fù)工作應(yīng)避免出現(xiàn)誤操作導(dǎo)致數(shù)據(jù)的丟失。 角色：應(yīng)急服務(wù)實施小組、應(yīng)急響應(yīng)日常運行小組。 聿 內(nèi)容： 肈(1) (2) 恢復(fù)方案的