信息安全應(yīng)急響應(yīng)體系建設(shè)課件

課程要點(diǎn)什么是應(yīng)急響應(yīng)和應(yīng)急響應(yīng)體系應(yīng)急響應(yīng)的六大階段應(yīng)急預(yù)案的編制和管理應(yīng)急響應(yīng)體系建立流程典型應(yīng)急響應(yīng)體系建設(shè)案例1h課程要點(diǎn)什么是應(yīng)急響應(yīng)和應(yīng)急響應(yīng)體系1h基本概念安全事件（SecurityAccident）

而安全事件則是指影響一個(gè)系統(tǒng)正常工作的情況。這里的系統(tǒng)包括主機(jī)范疇內(nèi)的問題，也包括網(wǎng)絡(luò)范疇內(nèi)的問題，例如黑客入侵、信息竊取、拒絕服務(wù)攻擊、網(wǎng)絡(luò)流量異常等。應(yīng)急響應(yīng)（EmergencyResponse）是指組織為了應(yīng)對(duì)突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。應(yīng)急響應(yīng)是信息安全防護(hù)的最后一道防線！2h基本概念安全事件（SecurityAccident）應(yīng)急響基本概念應(yīng)急響應(yīng)體系（EmergencyResponseSystem）

是指在突發(fā)/重大信息安全事件后對(duì)包括計(jì)算機(jī)運(yùn)行在內(nèi)的業(yè)務(wù)運(yùn)行進(jìn)行維持或恢復(fù)的各種技術(shù)和管理策略和規(guī)程。

信息安全應(yīng)急響應(yīng)體系的制定是一個(gè)周而復(fù)始、持續(xù)改進(jìn)的過程，包含以下幾個(gè)階段：（1）應(yīng)急響應(yīng)需求分析和應(yīng)急響應(yīng)策略的確定；（2）編制應(yīng)急響應(yīng)計(jì)劃文檔；（3）應(yīng)急響應(yīng)計(jì)劃的測(cè)試、培訓(xùn)、演練和維護(hù)。3h基本概念應(yīng)急響應(yīng)體系（EmergencyResponse應(yīng)急響應(yīng)目的應(yīng)急響應(yīng)服務(wù)的目的是盡可能地減小和控制住網(wǎng)絡(luò)安全事件的損失，提供有效的響應(yīng)和恢復(fù)指導(dǎo)，并努力防止安全事件的發(fā)生。4h應(yīng)急響應(yīng)目的應(yīng)急響應(yīng)服務(wù)的目的是盡可能地減小和控制住網(wǎng)絡(luò)安全應(yīng)急響應(yīng)與應(yīng)急響應(yīng)體系的關(guān)系5h應(yīng)急響應(yīng)與應(yīng)急響應(yīng)體系的關(guān)系5h政策要求《關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)『2003』27號(hào)文）指出：“信息安全保障工作的要點(diǎn)在于，實(shí)行信息安全等級(jí)保護(hù)制度，建設(shè)基于密碼技術(shù)的網(wǎng)絡(luò)信任體系，建設(shè)信息安全監(jiān)控體系，重視信息安全應(yīng)急處理工作，推動(dòng)信息安全技術(shù)研發(fā)與產(chǎn)業(yè)發(fā)展，建設(shè)信息安全法制與標(biāo)準(zhǔn)”國(guó)家信息安全戰(zhàn)略的近期目標(biāo)：通過五年的努力，基本建成國(guó)家信息安全保障體系。6h政策要求《關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)『2003政策要求為了落實(shí)27號(hào)文精神國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室于2003年10月發(fā)布了《網(wǎng)絡(luò)與信息安全信息通報(bào)暫行辦法》、2004年9月發(fā)布了《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》，2004年8月發(fā)布了《關(guān)于建立健全基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)應(yīng)急協(xié)調(diào)機(jī)制的意見》等文件。這些文件對(duì)推動(dòng)災(zāi)難備份和應(yīng)急響應(yīng)的發(fā)展起到了重要作用。7h政策要求為了落實(shí)27號(hào)文精神國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室相關(guān)標(biāo)準(zhǔn)

GB/T24364-2009

《信息安全技術(shù)

信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范》GB/T20988-2007《信息安全技術(shù)信息系統(tǒng)應(yīng)急響應(yīng)規(guī)范》GB/Z20985-2007《信息技術(shù)安全技術(shù)信息安全事件管理指南》GB/Z20986-2007《信息安全技術(shù)信息安全事件分類分級(jí)指南》8h相關(guān)標(biāo)準(zhǔn)

GB/T24364-2009

《信息安全技術(shù)

信應(yīng)急響應(yīng)六階段第一階段：準(zhǔn)備——讓我們嚴(yán)陣以待第二階段：確認(rèn)——對(duì)情況綜合判斷第三階段：遏制——制止事態(tài)的擴(kuò)大第四階段：根除——徹底的補(bǔ)救措施第五階段：恢復(fù)——系統(tǒng)恢復(fù)常態(tài)第六階段：跟蹤——還會(huì)有第二次嗎9h應(yīng)急響應(yīng)六階段第一階段：準(zhǔn)備——讓我們嚴(yán)陣以待9h第一階段—準(zhǔn)備預(yù)防為主微觀（一般觀點(diǎn)）：幫助服務(wù)對(duì)象建立安全政策幫助服務(wù)對(duì)象按照安全政策配置安全設(shè)備和軟件掃描，風(fēng)險(xiǎn)分析，打補(bǔ)丁如有條件且得到許可，建立監(jiān)控設(shè)施宏觀：建立協(xié)作體系和應(yīng)急制度建立信息溝通渠道和通報(bào)機(jī)制如有條件，建立數(shù)據(jù)匯總分析的體系和能力有關(guān)法律法規(guī)的制定10h第一階段—準(zhǔn)備預(yù)防為主10h第一階段—準(zhǔn)備制定應(yīng)急響應(yīng)計(jì)劃資源準(zhǔn)備應(yīng)急經(jīng)費(fèi)籌集人力資源軟硬件設(shè)備現(xiàn)場(chǎng)備份業(yè)務(wù)連續(xù)性保障系統(tǒng)容災(zāi)搭建臨時(shí)業(yè)務(wù)系統(tǒng)11h第一階段—準(zhǔn)備制定應(yīng)急響應(yīng)計(jì)劃11h人力資源準(zhǔn)備?指揮調(diào)度人員?協(xié)作人員?技術(shù)人員?專家?設(shè)備、系統(tǒng)和服務(wù)提供商12h人力資源準(zhǔn)備?指揮調(diào)度人員12h軟硬件設(shè)備準(zhǔn)備?硬件設(shè)備準(zhǔn)備數(shù)據(jù)保護(hù)設(shè)備磁盤、磁帶、光盤SAN冗余設(shè)備?網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備?關(guān)鍵計(jì)算機(jī)設(shè)備Anyelse?13h軟硬件設(shè)備準(zhǔn)備?硬件設(shè)備準(zhǔn)備13h軟硬件設(shè)備準(zhǔn)備?軟件工具準(zhǔn)備備份軟件日志處理軟件系統(tǒng)軟件網(wǎng)絡(luò)軟件應(yīng)急啟動(dòng)盤Anyelse?病毒/惡意軟件查殺軟件14h軟硬件設(shè)備準(zhǔn)備?軟件工具準(zhǔn)備14h建立事件報(bào)告的機(jī)制和要求建立事件報(bào)告流程和規(guī)范15h建立事件報(bào)告的機(jī)制和要求建立事件報(bào)告流15h第二階段—確認(rèn)確定事件性質(zhì)和處理人微觀（負(fù)責(zé)具體網(wǎng)絡(luò)的CERT）：確定事件的責(zé)任人指定一個(gè)責(zé)任人全權(quán)處理此事件給予必要的資源確定事件的性質(zhì)誤會(huì)？玩笑？還是惡意的攻擊/入侵？影響的嚴(yán)重程度預(yù)計(jì)采用什么樣的專用資源來修復(fù)？宏觀（負(fù)責(zé)總體網(wǎng)絡(luò)的CERT）：通過匯總，確定是否發(fā)生了全網(wǎng)的大規(guī)模事件確定應(yīng)急等級(jí)，以決定啟動(dòng)哪一級(jí)應(yīng)急方案16h第二階段—確認(rèn)確定事件性質(zhì)和處理人16h快速分析——事故的標(biāo)志?事故的標(biāo)志分為兩類：征兆和預(yù)兆?Web服務(wù)器崩潰?用戶抱怨主機(jī)連接網(wǎng)絡(luò)速度過慢?子郵件管理員可以看到大批的反彈電子郵件與可疑內(nèi)容?網(wǎng)絡(luò)管理員通告了一個(gè)不尋常的偏離典型的網(wǎng)絡(luò)流量流向?來源網(wǎng)絡(luò)和主機(jī)IDS、防病毒軟件、文件完整性檢查軟件系統(tǒng)、網(wǎng)絡(luò)、蜜罐日志公開可利用的信息第三方監(jiān)視服務(wù)17h快速分析——事故的標(biāo)志?事故的標(biāo)志分為兩類：17h確認(rèn)事故（1）?確認(rèn)網(wǎng)絡(luò)和系統(tǒng)輪廓：分析事故的最好技術(shù)方法之一?理解正常的行為基于處理事故的良好準(zhǔn)備?使用集中的日志管理并創(chuàng)建日志保留策略?執(zhí)行事件關(guān)聯(lián)?保持所有主機(jī)時(shí)鐘同步18h確認(rèn)事故（1）?確認(rèn)網(wǎng)絡(luò)和系統(tǒng)輪廓：18h確認(rèn)事故（2）?維護(hù)和使用信息知識(shí)庫分析事故時(shí)的快速參考?使用互聯(lián)網(wǎng)搜索引擎進(jìn)行研究?運(yùn)行包嗅探器以搜集更多的數(shù)據(jù)?過濾數(shù)據(jù)?經(jīng)驗(yàn)是不可替代的?建立診斷矩陣?尋求幫助19h確認(rèn)事故（2）?維護(hù)和使用信息知識(shí)庫19h診斷矩陣實(shí)例征兆拒絕服務(wù)惡意代碼非授權(quán)訪問不正確使用文件，關(guān)鍵，訪問嘗試低中高低文件，不適當(dāng)?shù)膬?nèi)容低中低高主機(jī)崩潰中中中低端口掃描，輸入的，不正常的高低中低端口掃描，輸出的，不正常的低高中低利用帶寬高高中低中利用電子郵件中高中中20h診斷矩陣實(shí)例征兆拒絕服務(wù)惡意代碼非授權(quán)訪問不正確使用文件，關(guān)事故優(yōu)先級(jí)——服務(wù)水平協(xié)議?服務(wù)水平協(xié)議（SLA）定義服務(wù)目標(biāo)及雙方的預(yù)期及責(zé)任?服務(wù)水平協(xié)議指標(biāo)21h事故優(yōu)先級(jí)——服務(wù)水平協(xié)議?服務(wù)水平協(xié)議（SLA）21h應(yīng)急響應(yīng)服務(wù)的指標(biāo)?遠(yuǎn)程應(yīng)急響應(yīng)服務(wù)在確認(rèn)客戶的應(yīng)急響應(yīng)請(qǐng)求后?小時(shí)內(nèi)，交與相關(guān)應(yīng)急響應(yīng)人員進(jìn)行處理。無論是否解決，進(jìn)行處理的當(dāng)天必須返回響應(yīng)情況的簡(jiǎn)報(bào)，直到此次響應(yīng)服務(wù)結(jié)束。?本地應(yīng)急響應(yīng)服務(wù)對(duì)本地范圍內(nèi)的客戶，？小時(shí)內(nèi)到達(dá)現(xiàn)場(chǎng)；對(duì)異地的客戶，？小時(shí)加路途時(shí)間內(nèi)到達(dá)現(xiàn)場(chǎng)。22h應(yīng)急響應(yīng)服務(wù)的指標(biāo)?遠(yuǎn)程應(yīng)急響應(yīng)服務(wù)22h應(yīng)急響應(yīng)SLA矩陣事故當(dāng)前或?qū)砜赡苡绊懙馁Y源的重要性事故當(dāng)前或?qū)砜赡艿挠绊懜撸ɡ纾夯ヂ?lián)網(wǎng)連接，公共Web服務(wù)器，防火墻，客戶數(shù)據(jù)）中（例如：系統(tǒng)管理員工作站，文件和打印服務(wù)器，XYZ應(yīng)用數(shù)據(jù)）低（例如：用戶工作站）Root級(jí)訪問15分鐘30分鐘1小時(shí)非授權(quán)的數(shù)據(jù)修改15分鐘30分鐘2小時(shí)對(duì)敏感信息的非授權(quán)訪問15分鐘1小時(shí)1小時(shí)非授權(quán)的用戶級(jí)訪問30分鐘2小時(shí)4小時(shí)服務(wù)不可用30分鐘2小時(shí)4小時(shí)騷擾30分鐘不限不限23h應(yīng)急響應(yīng)SLA矩陣事故當(dāng)前或?qū)砜赡苡绊懙馁Y源的重要性事故第三階段—遏制即時(shí)采取的行動(dòng)微觀：防止進(jìn)一步的損失，確定后果初步分析，重點(diǎn)是確定適當(dāng)?shù)姆怄i方法咨詢安全政策確定進(jìn)一步操作的風(fēng)險(xiǎn)損失最小化（最快最簡(jiǎn)單的方式恢復(fù)系統(tǒng)的基本功能，例如備機(jī)啟動(dòng)）可列出若干選項(xiàng)，講明各自的風(fēng)險(xiǎn)，由服務(wù)對(duì)象選擇宏觀：確保封鎖方法對(duì)各網(wǎng)業(yè)務(wù)影響最小通過協(xié)調(diào)爭(zhēng)取各網(wǎng)一致行動(dòng)，實(shí)施隔離匯總數(shù)據(jù)，估算損失和隔離效果24h第三階段—遏制即時(shí)采取的行動(dòng)24h建立遏制策略建議組織機(jī)構(gòu)為幾類主要的事故建立單獨(dú)的遏制策略，其標(biāo)準(zhǔn)包括：潛在的破壞和資源的竊取證據(jù)保留的需要服務(wù)可用性（例如：網(wǎng)絡(luò)連接，提供給外部當(dāng)事方的服務(wù)）實(shí)施戰(zhàn)略需要的時(shí)間和資源戰(zhàn)略的有效性（例如：部分遏制事故，完全遏制事故）解決方案的期限（例如：緊急事故工作區(qū)需在4小時(shí)內(nèi)清除，臨時(shí)工作區(qū)需在兩周內(nèi)清除，永久的解決方案）。25h建立遏制策略建議組織機(jī)構(gòu)為幾類主要的事故建立單獨(dú)的遏制策略，例：基于DDOS攻擊的遏制策略1.基于攻擊特征實(shí)施過濾。2.糾正正在被攻擊的漏洞或弱點(diǎn)3.讓ISP實(shí)施過濾4.重定位目標(biāo)5.攻擊攻擊者6.設(shè)定證據(jù)保留時(shí)間26h例：基于DDOS攻擊的遏制策略1.基于攻擊特征實(shí)施過濾。第四階段—根除長(zhǎng)期的補(bǔ)救措施微觀：詳細(xì)分析，確定原因，定義征兆分析漏洞加強(qiáng)防范消除原因修改安全政策宏觀：加強(qiáng)宣傳，公布危害性和解決辦法，呼吁用戶解決終端的問題；加強(qiáng)檢測(cè)工作，發(fā)現(xiàn)和清理行業(yè)與重點(diǎn)部門的問題；27h第四階段—根除長(zhǎng)期的補(bǔ)救措施27h第五階段—恢復(fù)微觀：被攻擊的系統(tǒng)恢復(fù)正常的工作狀態(tài)作一個(gè)新的備份把所有安全上的變更作備份服務(wù)重新上線持續(xù)監(jiān)控宏觀：持續(xù)匯總分析，了解各網(wǎng)的運(yùn)行情況根據(jù)各網(wǎng)的運(yùn)行情況判斷隔離措施的有效性通過匯總分析的結(jié)果判斷仍然受影響的終端的規(guī)模發(fā)現(xiàn)重要用戶及時(shí)通報(bào)解決適當(dāng)?shù)臅r(shí)候解除封鎖措施28h第五階段—恢復(fù)微觀：28h第六階段—跟蹤關(guān)注系統(tǒng)恢復(fù)以后的安全狀況，特別是曾經(jīng)出問題的地方建立跟蹤文檔，規(guī)范記錄跟蹤結(jié)果對(duì)響應(yīng)效果給出評(píng)估對(duì)進(jìn)入司法程序的事件，進(jìn)行進(jìn)一步的調(diào)查，打擊違法犯罪活動(dòng)29h第六階段—跟蹤關(guān)注系統(tǒng)恢復(fù)以后的安全狀況，特別是曾經(jīng)出問題的事件的歸檔與統(tǒng)計(jì)處理人時(shí)間和時(shí)段地點(diǎn)工作量事件的類型對(duì)事件的處置情況代價(jià)細(xì)節(jié)30h事件的歸檔與統(tǒng)計(jì)處理人30h應(yīng)急響應(yīng)預(yù)案的制定應(yīng)急響應(yīng)預(yù)案的包括的主要內(nèi)容確定風(fēng)險(xiǎn)場(chǎng)景描述可能受到的業(yè)務(wù)影響描述使用的預(yù)防性策略描述應(yīng)急響應(yīng)策略識(shí)別和排列關(guān)鍵應(yīng)用系統(tǒng)行動(dòng)計(jì)劃團(tuán)隊(duì)和人員的職責(zé)聯(lián)絡(luò)清單所需資源配置31h應(yīng)急響應(yīng)預(yù)案的制定應(yīng)急響應(yīng)預(yù)案的包括的主要內(nèi)容31h應(yīng)急響應(yīng)預(yù)案的制定制定應(yīng)急響應(yīng)預(yù)案的原則首先，必須集中管理應(yīng)急響應(yīng)預(yù)案的版本和發(fā)布。其次，為了建立有效的版本控制體系，必須建立規(guī)范的應(yīng)急響應(yīng)預(yù)案的問題提交、解決、更新、跟蹤、發(fā)布的渠道和流程。第三，建立相關(guān)的保密管理規(guī)定，保證應(yīng)急響應(yīng)預(yù)案中涉及的秘密信息得到保護(hù)。第四，應(yīng)急響應(yīng)預(yù)案在內(nèi)容管理方面應(yīng)注意內(nèi)容的分布和粒度，可根據(jù)版本和內(nèi)容的更新頻度將應(yīng)急響應(yīng)的內(nèi)容進(jìn)行適當(dāng)?shù)姆植肌５谖?，建立合理的?yīng)急響應(yīng)預(yù)案的保管制度，強(qiáng)調(diào)存放的安全性和易取得性。32h應(yīng)急響應(yīng)預(yù)案的制定制定應(yīng)急響應(yīng)預(yù)案的原則32h應(yīng)急響應(yīng)預(yù)案的制定清楚、簡(jiǎn)潔高級(jí)管理層支持/組織承諾不斷改進(jìn)和更新的恢復(fù)策略及時(shí)的更新維護(hù)組織職責(zé)分工明確保留、備份和異地存儲(chǔ)計(jì)劃完整記錄并定期演練風(fēng)險(xiǎn)得到管理弱點(diǎn)得到優(yōu)先重視靈活、可適應(yīng)成功預(yù)案的特點(diǎn)33h應(yīng)急響應(yīng)預(yù)案的制定清楚、簡(jiǎn)潔組織職責(zé)分工明確成功預(yù)案的特點(diǎn)3應(yīng)急響應(yīng)預(yù)案的教育、培訓(xùn)和演練在災(zāi)難來臨前使相關(guān)人員了解熟悉恢復(fù)流程使應(yīng)急響應(yīng)預(yù)案得到理解并可以使用促進(jìn)應(yīng)急響應(yīng)預(yù)案活動(dòng)、更新、實(shí)用展示恢復(fù)的能力達(dá)到法律和內(nèi)部審計(jì)要求34h應(yīng)急響應(yīng)預(yù)案的教育、培訓(xùn)和演練在災(zāi)難來臨前使相關(guān)人員了解熟悉演練與演習(xí)的類型演練和演習(xí)的主要方式有：桌面演練；模擬演練；實(shí)戰(zhàn)演練等根據(jù)演練和演習(xí)的深度，可分為：系統(tǒng)級(jí)演練；應(yīng)用級(jí)演練；業(yè)務(wù)級(jí)演練等根據(jù)演練和演習(xí)的準(zhǔn)備情況，可分為：計(jì)劃內(nèi)的演練和演習(xí)；計(jì)劃外的演練和演習(xí)等參見應(yīng)急演練腳本35h演練與演習(xí)的類型演練和演習(xí)的主要方式有：參見應(yīng)急演練腳本35預(yù)案維護(hù)管理核對(duì)預(yù)案的功能性驗(yàn)證預(yù)案文檔的精確性和完整性分發(fā)更新的文檔文檔計(jì)劃分發(fā)和發(fā)布流程確保相關(guān)的團(tuán)隊(duì)收到更新的文檔依靠維護(hù)來改變管理流程提供培訓(xùn)作為持續(xù)維護(hù)預(yù)案的一部分為與應(yīng)急響應(yīng)的相關(guān)人員開展定期培訓(xùn)，如：復(fù)習(xí)進(jìn)修課程或?yàn)?zāi)難備份研討會(huì)指派培訓(xùn)責(zé)任，如：部門經(jīng)理要確保員工被送去參加培訓(xùn)完成時(shí)報(bào)告預(yù)案維護(hù)情況毀掉舊應(yīng)急響應(yīng)預(yù)案的復(fù)印件或電子版本。36h預(yù)案維護(hù)管理核對(duì)預(yù)案的功能性36h預(yù)案變更管理業(yè)務(wù)操作的增長(zhǎng)或變化如：新的分支、產(chǎn)品和業(yè)務(wù)功能的增加公司所有權(quán)的變化關(guān)鍵人員的變化硬件配置的變化使用新操作系統(tǒng)預(yù)案審核和演練后軟件/應(yīng)用軟件的變化新的法律或?qū)徲?jì)要求定期審核和更新——如：每年兩次《應(yīng)急預(yù)案管理制度》37h預(yù)案變更管理業(yè)務(wù)操作的增長(zhǎng)或變化《應(yīng)急預(yù)案管理制度》37h應(yīng)急預(yù)案變更記錄變化記錄頁碼變化備注變化日期簽名38h應(yīng)急預(yù)案變更記錄變化記錄頁碼變化備注變化日期簽名38h應(yīng)急響應(yīng)體系建設(shè)流程參見XXX應(yīng)急體系_項(xiàng)目計(jì)劃_080821_C139h應(yīng)急響應(yīng)體系建設(shè)流程參見XXX應(yīng)急體系_項(xiàng)目計(jì)劃_08082信息安全應(yīng)急響應(yīng)計(jì)劃編制方法總則角色及職責(zé)預(yù)防和預(yù)警機(jī)制應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)保障措施附件40h信息安全應(yīng)急響應(yīng)計(jì)劃編制方法總則40h總則編制目的編制依據(jù)適應(yīng)范圍工作原則41h總則編制目的41h角色及職責(zé)應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組應(yīng)急響應(yīng)技術(shù)保障小組應(yīng)急響應(yīng)專家小組應(yīng)急響應(yīng)實(shí)施小組應(yīng)急響應(yīng)日常運(yùn)行小組42h角色及職責(zé)應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組42h預(yù)防和預(yù)警機(jī)制43h預(yù)防和預(yù)警機(jī)制43h應(yīng)急響應(yīng)流程44h應(yīng)急響應(yīng)流程44h事件通告（1）信息通報(bào)信息通報(bào)分為組織內(nèi)信息通報(bào)和組織外信息通報(bào)兩部分。組織內(nèi)信息通報(bào)的目的是在信息安全事件發(fā)生后迅速通知應(yīng)急響應(yīng)日常運(yùn)行小組，并根據(jù)評(píng)估結(jié)果迅速通知所有相關(guān)人員，從而快速有序的實(shí)施應(yīng)急響應(yīng)計(jì)劃。組織外信息通報(bào)目的是將相關(guān)信息及時(shí)通報(bào)給受到負(fù)面影響的外部機(jī)構(gòu)、互聯(lián)的單位系統(tǒng)以及重要用戶，同時(shí)根據(jù)應(yīng)急響應(yīng)的需要，應(yīng)將相關(guān)信息準(zhǔn)確通報(bào)給相關(guān)設(shè)備設(shè)施及服務(wù)提供商（包括電信、電力等）等外部組織，以獲得適當(dāng)?shù)膽?yīng)急響應(yīng)支持。值得注意的是對(duì)外信息通報(bào)應(yīng)符合組織的對(duì)外信息發(fā)布策略。（2）信息上報(bào)信息安全事件發(fā)生后，應(yīng)按照相關(guān)規(guī)定和要求，及時(shí)將情況上報(bào)相關(guān)主管或監(jiān)管單位/部門。（3）信息披露信息發(fā)布的目的是避免信息安全事件影響被誤傳，同時(shí)規(guī)范組織內(nèi)人員信息披露，保證信息的一致性。因此，信息安全事件發(fā)生后，應(yīng)根據(jù)信息安全事件的嚴(yán)重程度，指定特定的小組及時(shí)向新聞媒體發(fā)布相關(guān)信息，并且指定的小組應(yīng)嚴(yán)格按照組織相關(guān)規(guī)定和要求對(duì)外發(fā)布信息，同時(shí)組織內(nèi)其它部門或者個(gè)人不得隨意接受新聞媒體采訪或?qū)ν獍l(fā)表自己的看法。45h事件通告（1）信息通報(bào)45h應(yīng)急響應(yīng)流程—呼叫樹46h應(yīng)急響應(yīng)流程—呼叫樹46h呼叫樹小組名稱姓名在小組中的職位聯(lián)絡(luò)信息工作電話家庭電話手機(jī)電子郵件家庭地址47h呼叫樹小組名稱姓名在小組中的職位聯(lián)絡(luò)信息工作電話家庭電話手機(jī)信息上報(bào)重大信息安全事件報(bào)告表報(bào)告時(shí)間：年

月

日

時(shí)

分單位名稱：報(bào)告人：聯(lián)系電話：通訊地址：傳真：電子郵件：發(fā)生重大信息安全事件的信息系統(tǒng)名稱及用途：負(fù)責(zé)部門：負(fù)責(zé)人：重大信息安全事件的簡(jiǎn)要描述（如以前出現(xiàn)過類似情況也應(yīng)加以說明）：初步判定的事故原因：當(dāng)前采取的措施：本次重大信息安全事件的初步影響狀況：事件后果：影響范圍：嚴(yán)重程度：值班電話：傳真：48h信息上報(bào)重大信息安全事件報(bào)告表報(bào)告時(shí)間：年月日事件分類與定級(jí)要確定信息安全事件后如何實(shí)施應(yīng)急響應(yīng)計(jì)劃，對(duì)系統(tǒng)損害性質(zhì)和程度的評(píng)估是非常重要的。這個(gè)損害評(píng)估應(yīng)該在能夠確保人員安全這個(gè)最優(yōu)先任務(wù)的前提下盡快完成。所以，如果可能，應(yīng)急響應(yīng)日常運(yùn)行小組是第一個(gè)得到事件通知的小組。損害評(píng)估規(guī)程對(duì)于不同的系統(tǒng)是不同的，但是應(yīng)該涉及到以下領(lǐng)域：（1）造成緊急情況或中斷的原因；（2）潛在的附加中斷或損失；（3）受到緊急情況影響的區(qū)域；（4）物理構(gòu)架（如計(jì)算機(jī)室結(jié)構(gòu)的完整性、電源、電信以及制熱、通風(fēng)和空調(diào)的情況）的狀況；（5）系統(tǒng)設(shè)備的總量和功能狀態(tài)（如具備完整功能、具備部分功能或喪失功能）；（6）系統(tǒng)設(shè)備及其存貨的損失類型（如水害、水災(zāi)或熱能、物理以及電涌影響）；（7）被更換的項(xiàng)目（如硬件、軟件、固件或支持材料）；（8）估計(jì)恢復(fù)正常服務(wù)所需的時(shí)間。49h事件分類與定級(jí)要確定信息安全事件后如何實(shí)施應(yīng)急響應(yīng)計(jì)劃，對(duì)系我國(guó)信息安全事件分類方法GB/Z20986-2007《信息安全事件分級(jí)分類指南》有害程序事件MI網(wǎng)絡(luò)攻擊事件NAI信息破壞事件IDI信息內(nèi)容安全事件ICSI設(shè)備設(shè)施故障FF災(zāi)害性事件DI其他信息安全事件OI50h我國(guó)信息安全事件分類方法GB/Z20986-2007《信息我國(guó)信息安全事件分級(jí)方法分級(jí)要素51h我國(guó)信息安全事件分級(jí)方法分級(jí)要素51h我國(guó)信息安全事件分級(jí)方法特別重大事件(I級(jí)）重大事件(II級(jí)）較大事件(III級(jí)）一般事件(IV級(jí)）52h我國(guó)信息安全事件分級(jí)方法特別重大事件重大較大一般應(yīng)急啟動(dòng)（1）啟動(dòng)原則——快速、有序；（2）啟動(dòng)依據(jù)——一般而言，對(duì)于導(dǎo)致業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等突發(fā)/重大信息安全事件應(yīng)立即啟動(dòng)應(yīng)急。但由于組織規(guī)模、構(gòu)成、性質(zhì)等的不同，不同組織對(duì)突發(fā)/重大信息安全事件的定義可能不一樣，因此，各組織的應(yīng)急啟動(dòng)條件可能各不相同。啟動(dòng)條件可以基于以下方面考慮：人員的安全和/或設(shè)施損失的程度；系統(tǒng)損失的程度（如物理的、運(yùn)作的或成本的）；系統(tǒng)對(duì)于組織使命的影響程度（如保護(hù)資產(chǎn)的關(guān)鍵基礎(chǔ)設(shè)施）；預(yù)期的中斷持續(xù)時(shí)間等。只有當(dāng)損害評(píng)估的結(jié)果顯示一個(gè)或多個(gè)系統(tǒng)啟動(dòng)條件被滿足時(shí)，應(yīng)急響應(yīng)計(jì)劃才應(yīng)被啟動(dòng)。（3）啟動(dòng)方法——由應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組發(fā)布應(yīng)急響應(yīng)啟動(dòng)令。53h應(yīng)急啟動(dòng)（1）啟動(dòng)原則——快速、有序；53h應(yīng)急處置（1）恢復(fù)順序當(dāng)恢復(fù)復(fù)雜系統(tǒng)時(shí)，恢復(fù)進(jìn)程應(yīng)該反映出BIA中確定的系統(tǒng)優(yōu)先順序?；謴?fù)的順序應(yīng)該反映出系統(tǒng)允許的中斷時(shí)間，以避免對(duì)相關(guān)系統(tǒng)及其應(yīng)用的重大影響。（2）恢復(fù)規(guī)程為了進(jìn)行恢復(fù)操作，應(yīng)急響應(yīng)計(jì)劃應(yīng)提供恢復(fù)業(yè)務(wù)能力的詳細(xì)規(guī)程。規(guī)程應(yīng)被設(shè)定給適當(dāng)?shù)幕謴?fù)小組并且通常涉及到以下行動(dòng)：

1）獲得訪問受損設(shè)施和／或地理區(qū)域的授權(quán)；

2）通知相關(guān)系統(tǒng)的內(nèi)部和外部業(yè)務(wù)伙伴；

3）獲得所需的辦公用品和工作空間；

4）獲得安裝所需的硬件部件；

5）獲得裝載備份介質(zhì)；

6）恢復(fù)關(guān)鍵操作系統(tǒng)和應(yīng)用軟件；

7）恢復(fù)系統(tǒng)數(shù)據(jù)；

8）成功運(yùn)行備用設(shè)備。

54h應(yīng)急處置（1）恢復(fù)順序54h例：局域網(wǎng)（LAN）恢復(fù)小組檢查列表LAN恢復(fù)小組：這些規(guī)程用于從備份磁帶中恢復(fù)一個(gè)文件。LAN恢復(fù)小組負(fù)責(zé)繼續(xù)進(jìn)行生產(chǎn)活動(dòng)所需的所有關(guān)鍵文件的重新裝載。確定將要進(jìn)行恢復(fù)的文件及其日期

時(shí)間：

：

使用磁帶記錄本確定磁帶編號(hào)

時(shí)間：

：

如果磁帶不在磁帶庫中，則要求恢復(fù)設(shè)施提供磁帶；填寫適當(dāng)?shù)氖跈?quán)簽名

時(shí)間：

：

收到磁帶時(shí)，將日期和時(shí)間填入日志

時(shí)間：

：

將磁帶放入驅(qū)動(dòng)器中并開始恢復(fù)進(jìn)程

時(shí)間：

：

當(dāng)文件恢復(fù)完畢時(shí)，通知LAN恢復(fù)小組的負(fù)責(zé)人

時(shí)間：

：

55h例：局域網(wǎng)（LAN）恢復(fù)小組檢查列表LAN恢復(fù)小組：55h后期處置（1）信息系統(tǒng)重建在應(yīng)急處置工作結(jié)束后，要迅速采取措施，抓緊組織搶修受損的基礎(chǔ)設(shè)施，減少損失，盡快恢復(fù)正常工作。通過統(tǒng)計(jì)各種數(shù)據(jù)，查明原因，對(duì)信息安全事件造成的損失和影響以及恢復(fù)重建能力進(jìn)行分析評(píng)估，認(rèn)真制定恢復(fù)重建計(jì)劃，迅速組織實(shí)施信息系統(tǒng)重建。（2）應(yīng)急響應(yīng)總結(jié)應(yīng)急響應(yīng)總結(jié)是應(yīng)急處置之后應(yīng)進(jìn)行的工作，具體工作包括：1）分析和總結(jié)事件發(fā)生原因；2）分析和總結(jié)事件現(xiàn)象；3）評(píng)估系統(tǒng)的損害程度；4）評(píng)估事件導(dǎo)致的損失；5）分析和總結(jié)應(yīng)急處置記錄；6）評(píng)審應(yīng)急響應(yīng)措施的效果和效率，并提出改進(jìn)建議；7）評(píng)審應(yīng)急響應(yīng)計(jì)劃的效果和效率，并提出改進(jìn)建議。56h后期處置（1）信息系統(tǒng)重建56h信息安全事件應(yīng)急響應(yīng)總結(jié)模板信息安全事件應(yīng)急響應(yīng)結(jié)果報(bào)告表原事件報(bào)告時(shí)間：年

月

日

時(shí)

分備案編號(hào)：年

月

日

第

號(hào)

總第

號(hào)單位名稱：

聯(lián)系人：聯(lián)系電話：

通訊地址：信息系統(tǒng)名稱及用途：已采用的安全措施：信息安全事件的補(bǔ)充描述及最后判定的事故原因：本次信息安全事件的初步影響狀況：事件后果：

影響范圍：嚴(yán)重程度：本次信息安全事件的主要處理過程及結(jié)果：針對(duì)此類信息安全事件應(yīng)采取的保障信息系統(tǒng)安全的措施和建議：報(bào)告人簽名：57h信息安全事件應(yīng)急響應(yīng)總結(jié)模板信息安全事件應(yīng)急響應(yīng)結(jié)果報(bào)告表原應(yīng)急響應(yīng)保障措施應(yīng)急響應(yīng)保障措施58h應(yīng)急響應(yīng)保障措施應(yīng)急響應(yīng)保障措施58h附件具體的組織體系結(jié)構(gòu)及人員職責(zé)應(yīng)急響應(yīng)計(jì)劃各小組成員的聯(lián)絡(luò)信息供應(yīng)商聯(lián)絡(luò)信息，包括離站存儲(chǔ)和備用站點(diǎn)的外部聯(lián)系點(diǎn)系統(tǒng)恢復(fù)或處理的標(biāo)準(zhǔn)操作規(guī)程和檢查列表支持系統(tǒng)運(yùn)行所需的硬件、軟件、固件和其它資源的設(shè)備和系統(tǒng)需求清單供應(yīng)商服務(wù)水平協(xié)議（SLA）、與其它機(jī)構(gòu)的互惠協(xié)議和其它關(guān)鍵記錄備用站點(diǎn)的描述和說明在計(jì)劃制定前進(jìn)行的BIA，包含關(guān)于系統(tǒng)各部分相互關(guān)系、風(fēng)險(xiǎn)、優(yōu)先級(jí)別等應(yīng)急響應(yīng)計(jì)劃文檔的保存和分發(fā)方法59h附件具體的組織體系結(jié)構(gòu)及人員職責(zé)59h應(yīng)急響應(yīng)工作機(jī)構(gòu)圖60h應(yīng)急響應(yīng)工作機(jī)構(gòu)圖60h職責(zé)示例應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組：應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組是信息安全應(yīng)急響應(yīng)工作的組織領(lǐng)導(dǎo)機(jī)構(gòu)，組長(zhǎng)應(yīng)由組織最高管理層成員擔(dān)任。領(lǐng)導(dǎo)小組的職責(zé)是領(lǐng)導(dǎo)和決策信息安全應(yīng)急響應(yīng)的重大事宜，主要如下：

（1）對(duì)應(yīng)急響應(yīng)工作的承諾和支持，包括發(fā)布正式文件、提供必要資源（人財(cái)物）等；（2）審核并批準(zhǔn)應(yīng)急響應(yīng)策略；（3）審核并批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃；（4）批準(zhǔn)和監(jiān)督應(yīng)急響應(yīng)計(jì)劃的執(zhí)行；（5)啟動(dòng)定期評(píng)審、修訂應(yīng)急響應(yīng)計(jì)劃；（6）負(fù)責(zé)組織的外部協(xié)作工作。61h職責(zé)示例應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組：61h應(yīng)急響應(yīng)組（IRT）?什么是應(yīng)急響應(yīng)組（IRT）

應(yīng)急響應(yīng)組就是機(jī)構(gòu)可以借助的網(wǎng)絡(luò)安全專業(yè)組織。?為什么需要成立應(yīng)急響應(yīng)組容易協(xié)調(diào)響應(yīng)工作提高專業(yè)知識(shí)提高效率提高先期主動(dòng)防御能力更加適合于滿足機(jī)構(gòu)的需要提高聯(lián)絡(luò)功能提高處理制度障礙方面的能力62h應(yīng)急響應(yīng)組（IRT）?什么是應(yīng)急響應(yīng)組（IRT）62h從應(yīng)急組織到應(yīng)急體系：信息安全保障的必要條件現(xiàn)實(shí)表明，單一的應(yīng)急組織已經(jīng)不能應(yīng)對(duì)當(dāng)今的網(wǎng)絡(luò)安全威脅，我國(guó)的應(yīng)急體系正是在實(shí)際工作的經(jīng)驗(yàn)總結(jié)中逐漸形成的：平臺(tái)從點(diǎn)到環(huán)到面；應(yīng)急體系從點(diǎn)到樹到網(wǎng)“現(xiàn)實(shí)世界中發(fā)生的任何事情，在網(wǎng)絡(luò)世界中都可以找到與之對(duì)應(yīng)的事件”SARS事件反映出社會(huì)防疫應(yīng)急體系的重要紅色代碼、尼姆達(dá)、SQL殺手、口令蠕蟲等具有和現(xiàn)實(shí)世界中的疫病相同的特點(diǎn)處理方式也具有同樣的特點(diǎn)：隔離---分析---治療不同之處：“病人”不自知；隔離缺乏法律依據(jù)或技術(shù)手段；應(yīng)急缺乏成熟體系和工作制度…..63h從應(yīng)急組織到應(yīng)急體系：信息安全保障的必要條件現(xiàn)實(shí)表明，單一的國(guó)際信息安全應(yīng)急響應(yīng)組織美國(guó)計(jì)算機(jī)緊急事件響應(yīng)小組協(xié)調(diào)中心（ComputerEmergencyResponseTeam/CoordinationCenter,CERT/CC）事件響應(yīng)與安全組織論壇（ForumofIncidentResponseandSecurityTeams,FIRST）

亞太地區(qū)計(jì)算機(jī)應(yīng)急響應(yīng)組（AsiaPacificComputerEmergencyResponseTeam,APCERT）

歐洲計(jì)算機(jī)網(wǎng)絡(luò)研究教育協(xié)會(huì)（Trans-EuropeanResearchandEducationNetworkingAssociation,TERENA)

64h國(guó)際信息安全應(yīng)急響應(yīng)組織美國(guó)計(jì)算機(jī)緊急事件響應(yīng)小組協(xié)調(diào)中心我國(guó)信息安全應(yīng)急響應(yīng)組織國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina,CNCERT/CC）中國(guó)教育和科研計(jì)算機(jī)網(wǎng)緊急響應(yīng)組(ChinaEducationandResearchNetworkComputerEmergencyResponseTeam,CCERT)

國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心

國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心國(guó)家863計(jì)劃反計(jì)算機(jī)入侵和防病毒研究中心65h我國(guó)信息安全應(yīng)急響應(yīng)組織國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心我國(guó)公共互聯(lián)網(wǎng)應(yīng)急體系從無到有從小到大從弱到強(qiáng)從點(diǎn)到面66h我國(guó)公共互聯(lián)網(wǎng)應(yīng)急體系從無到有66hXX信息安全應(yīng)急響應(yīng)體系廣州市突發(fā)公共事件總體應(yīng)急預(yù)案自然災(zāi)害事故災(zāi)難公共衛(wèi)生社會(huì)安全廣州市信息安全突發(fā)事件應(yīng)急預(yù)案市級(jí)機(jī)關(guān)事業(yè)單位應(yīng)急預(yù)案區(qū)縣機(jī)關(guān)單位應(yīng)急預(yù)案重點(diǎn)單位應(yīng)急預(yù)案重大事件/活動(dòng)應(yīng)急預(yù)案67hXX信息安全應(yīng)急響應(yīng)體系廣州市突發(fā)公共自然災(zāi)害事故災(zāi)難公共衛(wèi)XX市電子政務(wù)網(wǎng)絡(luò)應(yīng)急預(yù)案1總則2組織結(jié)構(gòu)與職責(zé)3預(yù)防和預(yù)警機(jī)制4應(yīng)急響應(yīng)流程5保障與監(jiān)督管理6計(jì)劃附則68hXX市電子政務(wù)網(wǎng)絡(luò)應(yīng)急預(yù)案1總則68h總則1.1指導(dǎo)思想1.2編制目的1.3編制依據(jù)1.4適用范圍廣州市各級(jí)政府黨政機(jī)關(guān)、事業(yè)單位及與重點(diǎn)保護(hù)企業(yè)1.5工作原則1.6分類與分級(jí)類別：有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件、其他信息安全事件。級(jí)別：信息安全事件級(jí)別根據(jù)信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響分為四級(jí)：69h總則1.1指導(dǎo)思想69h安全事件級(jí)別劃分1）特別重大事件（Ⅰ級(jí)）特別重大事件是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件。2）重大事件（Ⅱ級(jí)）重大事件是指能夠?qū)е聡?yán)重影響或破壞的信息安全事件。3）較大事件（Ⅲ級(jí)）較大事件是指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件。4）一般事件（Ⅳ級(jí)）一般事件是指能夠?qū)е螺^小影響或破壞的信息安全事件。70h安全事件級(jí)別劃分1）特別重大事件（Ⅰ級(jí)）70h組織結(jié)構(gòu)與職責(zé)71h組織結(jié)構(gòu)與職責(zé)71h預(yù)防和預(yù)警機(jī)制預(yù)警簡(jiǎn)圖72h預(yù)防和預(yù)警機(jī)制預(yù)警簡(jiǎn)圖72h73h73h應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)簡(jiǎn)圖74h應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)簡(jiǎn)圖74h75h75h應(yīng)急響應(yīng)之后期處理流程后期處理簡(jiǎn)圖76h應(yīng)急響應(yīng)之后期處理流程后期處理簡(jiǎn)圖76h77h77h保障監(jiān)督管理4.1應(yīng)急人力保障

信息安全專業(yè)人才、隊(duì)伍4.2物質(zhì)條件保障通信與信息、應(yīng)急裝備、交通運(yùn)輸、經(jīng)費(fèi)、治安4.3技術(shù)支撐保障

信息安全應(yīng)急平臺(tái)支撐技術(shù)、信息安全領(lǐng)域技術(shù)研究、預(yù)先編制的預(yù)案、方案等78h保障監(jiān)督管理4.1應(yīng)急人力保障78h4.4宣傳教育

向單位、公眾及相關(guān)人員宣傳，特別是向領(lǐng)導(dǎo)人員宣傳獲得他們的支持4.5演練

定期進(jìn)行應(yīng)急演練4.6責(zé)任與獎(jiǎng)懲

依相關(guān)法規(guī)追究責(zé)任和獎(jiǎng)懲79h4.4宣傳教育79h計(jì)劃及附則6.1人員聯(lián)絡(luò)清單6.2信息系統(tǒng)標(biāo)準(zhǔn)操作規(guī)程6.3業(yè)務(wù)影響分析報(bào)告80h計(jì)劃及附則6.1人員聯(lián)絡(luò)清單80h信息系統(tǒng)應(yīng)急計(jì)劃一般過程美國(guó)SP800-34信息技術(shù)系統(tǒng)應(yīng)急計(jì)劃/預(yù)案指南：七步走81h信息系統(tǒng)應(yīng)急計(jì)劃一般過程美國(guó)SP800-34信息技術(shù)系統(tǒng)應(yīng)七步走第一步：制定應(yīng)急計(jì)劃/預(yù)案策略條款第二步：進(jìn)行業(yè)務(wù)影響分析第三步：確定防御性控制第四步：制定恢復(fù)策略第五步：IT應(yīng)急計(jì)劃/預(yù)案的制定第六步：計(jì)劃/預(yù)案的測(cè)試、培訓(xùn)和演習(xí)第七步：計(jì)劃/預(yù)案的維護(hù)82h七步走第一步：制定應(yīng)急計(jì)劃/預(yù)案策略條款82h83h83h課程要點(diǎn)什么是應(yīng)急響應(yīng)和應(yīng)急響應(yīng)體系應(yīng)急響應(yīng)的六大階段應(yīng)急預(yù)案的編制和管理應(yīng)急響應(yīng)體系建立流程典型應(yīng)急響應(yīng)體系建設(shè)案例84h課程要點(diǎn)什么是應(yīng)急響應(yīng)和應(yīng)急響應(yīng)體系1h基本概念安全事件（SecurityAccident）

而安全事件則是指影響一個(gè)系統(tǒng)正常工作的情況。這里的系統(tǒng)包括主機(jī)范疇內(nèi)的問題，也包括網(wǎng)絡(luò)范疇內(nèi)的問題，例如黑客入侵、信息竊取、拒絕服務(wù)攻擊、網(wǎng)絡(luò)流量異常等。應(yīng)急響應(yīng)（EmergencyResponse）是指組織為了應(yīng)對(duì)突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。應(yīng)急響應(yīng)是信息安全防護(hù)的最后一道防線！85h基本概念安全事件（SecurityAccident）應(yīng)急響基本概念應(yīng)急響應(yīng)體系（EmergencyResponseSystem）

是指在突發(fā)/重大信息安全事件后對(duì)包括計(jì)算機(jī)運(yùn)行在內(nèi)的業(yè)務(wù)運(yùn)行進(jìn)行維持或恢復(fù)的各種技術(shù)和管理策略和規(guī)程。

信息安全應(yīng)急響應(yīng)體系的制定是一個(gè)周而復(fù)始、持續(xù)改進(jìn)的過程，包含以下幾個(gè)階段：（1）應(yīng)急響應(yīng)需求分析和應(yīng)急響應(yīng)策略的確定；（2）編制應(yīng)急響應(yīng)計(jì)劃文檔；（3）應(yīng)急響應(yīng)計(jì)劃的測(cè)試、培訓(xùn)、演練和維護(hù)。86h基本概念應(yīng)急響應(yīng)體系（EmergencyResponse應(yīng)急響應(yīng)目的應(yīng)急響應(yīng)服務(wù)的目的是盡可能地減小和控制住網(wǎng)絡(luò)安全事件的損失，提供有效的響應(yīng)和恢復(fù)指導(dǎo)，并努力防止安全事件的發(fā)生。87h應(yīng)急響應(yīng)目的應(yīng)急響應(yīng)服務(wù)的目的是盡可能地減小和控制住網(wǎng)絡(luò)安全應(yīng)急響應(yīng)與應(yīng)急響應(yīng)體系的關(guān)系88h應(yīng)急響應(yīng)與應(yīng)急響應(yīng)體系的關(guān)系5h政策要求《關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)『2003』27號(hào)文）指出：“信息安全保障工作的要點(diǎn)在于，實(shí)行信息安全等級(jí)保護(hù)制度，建設(shè)基于密碼技術(shù)的網(wǎng)絡(luò)信任體系，建設(shè)信息安全監(jiān)控體系，重視信息安全應(yīng)急處理工作，推動(dòng)信息安全技術(shù)研發(fā)與產(chǎn)業(yè)發(fā)展，建設(shè)信息安全法制與標(biāo)準(zhǔn)”國(guó)家信息安全戰(zhàn)略的近期目標(biāo)：通過五年的努力，基本建成國(guó)家信息安全保障體系。89h政策要求《關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)『2003政策要求為了落實(shí)27號(hào)文精神國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室于2003年10月發(fā)布了《網(wǎng)絡(luò)與信息安全信息通報(bào)暫行辦法》、2004年9月發(fā)布了《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》，2004年8月發(fā)布了《關(guān)于建立健全基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)應(yīng)急協(xié)調(diào)機(jī)制的意見》等文件。這些文件對(duì)推動(dòng)災(zāi)難備份和應(yīng)急響應(yīng)的發(fā)展起到了重要作用。90h政策要求為了落實(shí)27號(hào)文精神國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室相關(guān)標(biāo)準(zhǔn)

GB/T24364-2009

《信息安全技術(shù)

信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范》GB/T20988-2007《信息安全技術(shù)信息系統(tǒng)應(yīng)急響應(yīng)規(guī)范》GB/Z20985-2007《信息技術(shù)安全技術(shù)信息安全事件管理指南》GB/Z20986-2007《信息安全技術(shù)信息安全事件分類分級(jí)指南》91h相關(guān)標(biāo)準(zhǔn)

GB/T24364-2009

《信息安全技術(shù)

信應(yīng)急響應(yīng)六階段第一階段：準(zhǔn)備——讓我們嚴(yán)陣以待第二階段：確認(rèn)——對(duì)情況綜合判斷第三階段：遏制——制止事態(tài)的擴(kuò)大第四階段：根除——徹底的補(bǔ)救措施第五階段：恢復(fù)——系統(tǒng)恢復(fù)常態(tài)第六階段：跟蹤——還會(huì)有第二次嗎92h應(yīng)急響應(yīng)六階段第一階段：準(zhǔn)備——讓我們嚴(yán)陣以待9h第一階段—準(zhǔn)備預(yù)防為主微觀（一般觀點(diǎn)）：幫助服務(wù)對(duì)象建立安全政策幫助服務(wù)對(duì)象按照安全政策配置安全設(shè)備和軟件掃描，風(fēng)險(xiǎn)分析，打補(bǔ)丁如有條件且得到許可，建立監(jiān)控設(shè)施宏觀：建立協(xié)作體系和應(yīng)急制度建立信息溝通渠道和通報(bào)機(jī)制如有條件，建立數(shù)據(jù)匯總分析的體系和能力有關(guān)法律法規(guī)的制定93h第一階段—準(zhǔn)備預(yù)防為主10h第一階段—準(zhǔn)備制定應(yīng)急響應(yīng)計(jì)劃資源準(zhǔn)備應(yīng)急經(jīng)費(fèi)籌集人力資源軟硬件設(shè)備現(xiàn)場(chǎng)備份業(yè)務(wù)連續(xù)性保障系統(tǒng)容災(zāi)搭建臨時(shí)業(yè)務(wù)系統(tǒng)94h第一階段—準(zhǔn)備制定應(yīng)急響應(yīng)計(jì)劃11h人力資源準(zhǔn)備?指揮調(diào)度人員?協(xié)作人員?技術(shù)人員?專家?設(shè)備、系統(tǒng)和服務(wù)提供商95h人力資源準(zhǔn)備?指揮調(diào)度人員12h軟硬件設(shè)備準(zhǔn)備?硬件設(shè)備準(zhǔn)備數(shù)據(jù)保護(hù)設(shè)備磁盤、磁帶、光盤SAN冗余設(shè)備?網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備?關(guān)鍵計(jì)算機(jī)設(shè)備Anyelse?96h軟硬件設(shè)備準(zhǔn)備?硬件設(shè)備準(zhǔn)備13h軟硬件設(shè)備準(zhǔn)備?軟件工具準(zhǔn)備備份軟件日志處理軟件系統(tǒng)軟件網(wǎng)絡(luò)軟件應(yīng)急啟動(dòng)盤Anyelse?病毒/惡意軟件查殺軟件97h軟硬件設(shè)備準(zhǔn)備?軟件工具準(zhǔn)備14h建立事件報(bào)告的機(jī)制和要求建立事件報(bào)告流程和規(guī)范98h建立事件報(bào)告的機(jī)制和要求建立事件報(bào)告流15h第二階段—確認(rèn)確定事件性質(zhì)和處理人微觀（負(fù)責(zé)具體網(wǎng)絡(luò)的CERT）：確定事件的責(zé)任人指定一個(gè)責(zé)任人全權(quán)處理此事件給予必要的資源確定事件的性質(zhì)誤會(huì)？玩笑？還是惡意的攻擊/入侵？影響的嚴(yán)重程度預(yù)計(jì)采用什么樣的專用資源來修復(fù)？宏觀（負(fù)責(zé)總體網(wǎng)絡(luò)的CERT）：通過匯總，確定是否發(fā)生了全網(wǎng)的大規(guī)模事件確定應(yīng)急等級(jí)，以決定啟動(dòng)哪一級(jí)應(yīng)急方案99h第二階段—確認(rèn)確定事件性質(zhì)和處理人16h快速分析——事故的標(biāo)志?事故的標(biāo)志分為兩類：征兆和預(yù)兆?Web服務(wù)器崩潰?用戶抱怨主機(jī)連接網(wǎng)絡(luò)速度過慢?子郵件管理員可以看到大批的反彈電子郵件與可疑內(nèi)容?網(wǎng)絡(luò)管理員通告了一個(gè)不尋常的偏離典型的網(wǎng)絡(luò)流量流向?來源網(wǎng)絡(luò)和主機(jī)IDS、防病毒軟件、文件完整性檢查軟件系統(tǒng)、網(wǎng)絡(luò)、蜜罐日志公開可利用的信息第三方監(jiān)視服務(wù)100h快速分析——事故的標(biāo)志?事故的標(biāo)志分為兩類：17h確認(rèn)事故（1）?確認(rèn)網(wǎng)絡(luò)和系統(tǒng)輪廓：分析事故的最好技術(shù)方法之一?理解正常的行為基于處理事故的良好準(zhǔn)備?使用集中的日志管理并創(chuàng)建日志保留策略?執(zhí)行事件關(guān)聯(lián)?保持所有主機(jī)時(shí)鐘同步101h確認(rèn)事故（1）?確認(rèn)網(wǎng)絡(luò)和系統(tǒng)輪廓：18h確認(rèn)事故（2）?維護(hù)和使用信息知識(shí)庫分析事故時(shí)的快速參考?使用互聯(lián)網(wǎng)搜索引擎進(jìn)行研究?運(yùn)行包嗅探器以搜集更多的數(shù)據(jù)?過濾數(shù)據(jù)?經(jīng)驗(yàn)是不可替代的?建立診斷矩陣?尋求幫助102h確認(rèn)事故（2）?維護(hù)和使用信息知識(shí)庫19h診斷矩陣實(shí)例征兆拒絕服務(wù)惡意代碼非授權(quán)訪問不正確使用文件，關(guān)鍵，訪問嘗試低中高低文件，不適當(dāng)?shù)膬?nèi)容低中低高主機(jī)崩潰中中中低端口掃描，輸入的，不正常的高低中低端口掃描，輸出的，不正常的低高中低利用帶寬高高中低中利用電子郵件中高中中103h診斷矩陣實(shí)例征兆拒絕服務(wù)惡意代碼非授權(quán)訪問不正確使用文件，關(guān)事故優(yōu)先級(jí)——服務(wù)水平協(xié)議?服務(wù)水平協(xié)議（SLA）定義服務(wù)目標(biāo)及雙方的預(yù)期及責(zé)任?服務(wù)水平協(xié)議指標(biāo)104h事故優(yōu)先級(jí)——服務(wù)水平協(xié)議?服務(wù)水平協(xié)議（SLA）21h應(yīng)急響應(yīng)服務(wù)的指標(biāo)?遠(yuǎn)程應(yīng)急響應(yīng)服務(wù)在確認(rèn)客戶的應(yīng)急響應(yīng)請(qǐng)求后?小時(shí)內(nèi)，交與相關(guān)應(yīng)急響應(yīng)人員進(jìn)行處理。無論是否解決，進(jìn)行處理的當(dāng)天必須返回響應(yīng)情況的簡(jiǎn)報(bào)，直到此次響應(yīng)服務(wù)結(jié)束。?本地應(yīng)急響應(yīng)服務(wù)對(duì)本地范圍內(nèi)的客戶，？小時(shí)內(nèi)到達(dá)現(xiàn)場(chǎng)；對(duì)異地的客戶，？小時(shí)加路途時(shí)間內(nèi)到達(dá)現(xiàn)場(chǎng)。105h應(yīng)急響應(yīng)服務(wù)的指標(biāo)?遠(yuǎn)程應(yīng)急響應(yīng)服務(wù)22h應(yīng)急響應(yīng)SLA矩陣事故當(dāng)前或?qū)砜赡苡绊懙馁Y源的重要性事故當(dāng)前或?qū)砜赡艿挠绊懜撸ɡ纾夯ヂ?lián)網(wǎng)連接，公共Web服務(wù)器，防火墻，客戶數(shù)據(jù)）中（例如：系統(tǒng)管理員工作站，文件和打印服務(wù)器，XYZ應(yīng)用數(shù)據(jù)）低（例如：用戶工作站）Root級(jí)訪問15分鐘30分鐘1小時(shí)非授權(quán)的數(shù)據(jù)修改15分鐘30分鐘2小時(shí)對(duì)敏感信息的非授權(quán)訪問15分鐘1小時(shí)1小時(shí)非授權(quán)的用戶級(jí)訪問30分鐘2小時(shí)4小時(shí)服務(wù)不可用30分鐘2小時(shí)4小時(shí)騷擾30分鐘不限不限106h應(yīng)急響應(yīng)SLA矩陣事故當(dāng)前或?qū)砜赡苡绊懙馁Y源的重要性事故第三階段—遏制即時(shí)采取的行動(dòng)微觀：防止進(jìn)一步的損失，確定后果初步分析，重點(diǎn)是確定適當(dāng)?shù)姆怄i方法咨詢安全政策確定進(jìn)一步操作的風(fēng)險(xiǎn)損失最小化（最快最簡(jiǎn)單的方式恢復(fù)系統(tǒng)的基本功能，例如備機(jī)啟動(dòng)）可列出若干選項(xiàng)，講明各自的風(fēng)險(xiǎn)，由服務(wù)對(duì)象選擇宏觀：確保封鎖方法對(duì)各網(wǎng)業(yè)務(wù)影響最小通過協(xié)調(diào)爭(zhēng)取各網(wǎng)一致行動(dòng)，實(shí)施隔離匯總數(shù)據(jù)，估算損失和隔離效果107h第三階段—遏制即時(shí)采取的行動(dòng)24h建立遏制策略建議組織機(jī)構(gòu)為幾類主要的事故建立單獨(dú)的遏制策略，其標(biāo)準(zhǔn)包括：潛在的破壞和資源的竊取證據(jù)保留的需要服務(wù)可用性（例如：網(wǎng)絡(luò)連接，提供給外部當(dāng)事方的服務(wù)）實(shí)施戰(zhàn)略需要的時(shí)間和資源戰(zhàn)略的有效性（例如：部分遏制事故，完全遏制事故）解決方案的期限（例如：緊急事故工作區(qū)需在4小時(shí)內(nèi)清除，臨時(shí)工作區(qū)需在兩周內(nèi)清除，永久的解決方案）。108h建立遏制策略建議組織機(jī)構(gòu)為幾類主要的事故建立單獨(dú)的遏制策略，例：基于DDOS攻擊的遏制策略1.基于攻擊特征實(shí)施過濾。2.糾正正在被攻擊的漏洞或弱點(diǎn)3.讓ISP實(shí)施過濾4.重定位目標(biāo)5.攻擊攻擊者6.設(shè)定證據(jù)保留時(shí)間109h例：基于DDOS攻擊的遏制策略1.基于攻擊特征實(shí)施過濾。第四階段—根除長(zhǎng)期的補(bǔ)救措施微觀：詳細(xì)分析，確定原因，定義征兆分析漏洞加強(qiáng)防范消除原因修改安全政策宏觀：加強(qiáng)宣傳，公布危害性和解決辦法，呼吁用戶解決終端的問題；加強(qiáng)檢測(cè)工作，發(fā)現(xiàn)和清理行業(yè)與重點(diǎn)部門的問題；110h第四階段—根除長(zhǎng)期的補(bǔ)救措施27h第五階段—恢復(fù)微觀：被攻擊的系統(tǒng)恢復(fù)正常的工作狀態(tài)作一個(gè)新的備份把所有安全上的變更作備份服務(wù)重新上線持續(xù)監(jiān)控宏觀：持續(xù)匯總分析，了解各網(wǎng)的運(yùn)行情況根據(jù)各網(wǎng)的運(yùn)行情況判斷隔離措施的有效性通過匯總分析的結(jié)果判斷仍然受影響的終端的規(guī)模發(fā)現(xiàn)重要用戶及時(shí)通報(bào)解決適當(dāng)?shù)臅r(shí)候解除封鎖措施111h第五階段—恢復(fù)微觀：28h第六階段—跟蹤關(guān)注系統(tǒng)恢復(fù)以后的安全狀況，特別是曾經(jīng)出問題的地方建立跟蹤文檔，規(guī)范記錄跟蹤結(jié)果對(duì)響應(yīng)效果給出評(píng)估對(duì)進(jìn)入司法程序的事件，進(jìn)行進(jìn)一步的調(diào)查，打擊違法犯罪活動(dòng)112h第六階段—跟蹤關(guān)注系統(tǒng)恢復(fù)以后的安全狀況，特別是曾經(jīng)出問題的事件的歸檔與統(tǒng)計(jì)處理人時(shí)間和時(shí)段地點(diǎn)工作量事件的類型對(duì)事件的處置情況代價(jià)細(xì)節(jié)113h事件的歸檔與統(tǒng)計(jì)處理人30h應(yīng)急響應(yīng)預(yù)案的制定應(yīng)急響應(yīng)預(yù)案的包括的主要內(nèi)容確定風(fēng)險(xiǎn)場(chǎng)景描述可能受到的業(yè)務(wù)影響描述使用的預(yù)防性策略描述應(yīng)急響應(yīng)策略識(shí)別和排列關(guān)鍵應(yīng)用系統(tǒng)行動(dòng)計(jì)劃團(tuán)隊(duì)和人員的職責(zé)聯(lián)絡(luò)清單所需資源配置114h應(yīng)急響應(yīng)預(yù)案的制定應(yīng)急響應(yīng)預(yù)案的包括的主要內(nèi)容31h應(yīng)急響應(yīng)預(yù)案的制定制定應(yīng)急響應(yīng)預(yù)案的原則首先，必須集中管理應(yīng)急響應(yīng)預(yù)案的版本和發(fā)布。其次，為了建立有效的版本控制體系，必須建立規(guī)范的應(yīng)急響應(yīng)預(yù)案的問題提交、解決、更新、跟蹤、發(fā)布的渠道和流程。第三，建立相關(guān)的保密管理規(guī)定，保證應(yīng)急響應(yīng)預(yù)案中涉及的秘密信息得到保護(hù)。第四，應(yīng)急響應(yīng)預(yù)案在內(nèi)容管理方面應(yīng)注意內(nèi)容的分布和粒度，可根據(jù)版本和內(nèi)容的更新頻度將應(yīng)急響應(yīng)的內(nèi)容進(jìn)行適當(dāng)?shù)姆植?。第五，建立合理的?yīng)急響應(yīng)預(yù)案的保管制度，強(qiáng)調(diào)存放的安全性和易取得性。115h應(yīng)急響應(yīng)預(yù)案的制定制定應(yīng)急響應(yīng)預(yù)案的原則32h應(yīng)急響應(yīng)預(yù)案的制定清楚、簡(jiǎn)潔高級(jí)管理層支持/組織承諾不斷改進(jìn)和更新的恢復(fù)策略及時(shí)的更新維護(hù)組織職責(zé)分工明確保留、備份和異地存儲(chǔ)計(jì)劃完整記錄并定期演練風(fēng)險(xiǎn)得到管理弱點(diǎn)得到優(yōu)先重視靈活、可適應(yīng)成功預(yù)案的特點(diǎn)116h應(yīng)急響應(yīng)預(yù)案的制定清楚、簡(jiǎn)潔組織職責(zé)分工明確成功預(yù)案的特點(diǎn)3應(yīng)急響應(yīng)預(yù)案的教育、培訓(xùn)和演練在災(zāi)難來臨前使相關(guān)人員了解熟悉恢復(fù)流程使應(yīng)急響應(yīng)預(yù)案得到理解并可以使用促進(jìn)應(yīng)急響應(yīng)預(yù)案活動(dòng)、更新、實(shí)用展示恢復(fù)的能力達(dá)到法律和內(nèi)部審計(jì)要求117h應(yīng)急響應(yīng)預(yù)案的教育、培訓(xùn)和演練在災(zāi)難來臨前使相關(guān)人員了解熟悉演練與演習(xí)的類型演練和演習(xí)的主要方式有：桌面演練；模擬演練；實(shí)戰(zhàn)演練等根據(jù)演練和演習(xí)的深度，可分為：系統(tǒng)級(jí)演練；應(yīng)用級(jí)演練；業(yè)務(wù)級(jí)演練等根據(jù)演練和演習(xí)的準(zhǔn)備情況，可分為：計(jì)劃內(nèi)的演練和演習(xí)；計(jì)劃外的演練和演習(xí)等參見應(yīng)急演練腳本118h演練與演習(xí)的類型演練和演習(xí)的主要方式有：參見應(yīng)急演練腳本35預(yù)案維護(hù)管理核對(duì)預(yù)案的功能性驗(yàn)證預(yù)案文檔的精確性和完整性分發(fā)更新的文檔文檔計(jì)劃分發(fā)和發(fā)布流程確保相關(guān)的團(tuán)隊(duì)收到更新的文檔依靠維護(hù)來改變管理流程提供培訓(xùn)作為持續(xù)維護(hù)預(yù)案的一部分為與應(yīng)急響應(yīng)的相關(guān)人員開展定期培訓(xùn)，如：復(fù)習(xí)進(jìn)修課程或?yàn)?zāi)難備份研討會(huì)指派培訓(xùn)責(zé)任，如：部門經(jīng)理要確保員工被送去參加培訓(xùn)完成時(shí)報(bào)告預(yù)案維護(hù)情況毀掉舊應(yīng)急響應(yīng)預(yù)案的復(fù)印件或電子版本。119h預(yù)案維護(hù)管理核對(duì)預(yù)案的功能性36h預(yù)案變更管理業(yè)務(wù)操作的增長(zhǎng)或變化如：新的分支、產(chǎn)品和業(yè)務(wù)功能的增加公司所有權(quán)的變化關(guān)鍵人員的變化硬件配置的變化使用新操作系統(tǒng)預(yù)案審核和演練后軟件/應(yīng)用軟件的變化新的法律或?qū)徲?jì)要求定期審核和更新——如：每年兩次《應(yīng)急預(yù)案管理制度》120h預(yù)案變更管理業(yè)務(wù)操作的增長(zhǎng)或變化《應(yīng)急預(yù)案管理制度》37h應(yīng)急預(yù)案變更記錄變化記錄頁碼變化備注變化日期簽名121h應(yīng)急預(yù)案變更記錄變化記錄頁碼變化備注變化日期簽名38h應(yīng)急響應(yīng)體系建設(shè)流程參見XXX應(yīng)急體系_項(xiàng)目計(jì)劃_080821_C1122h應(yīng)急響應(yīng)體系建設(shè)流程參見XXX應(yīng)急體系_項(xiàng)目計(jì)劃_08082信息安全應(yīng)急響應(yīng)計(jì)劃編制方法總則角色及職責(zé)預(yù)防和預(yù)警機(jī)制應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)保障措施附件123h信息安全應(yīng)急響應(yīng)計(jì)劃編制方法總則40h總則編制目的編制依據(jù)適應(yīng)范圍工作原則124h總則編制目的41h角色及職責(zé)應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組應(yīng)急響應(yīng)技術(shù)保障小組應(yīng)急響應(yīng)專家小組應(yīng)急響應(yīng)實(shí)施小組應(yīng)急響應(yīng)日常運(yùn)行小組125h角色及職責(zé)應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組42h預(yù)防和預(yù)警機(jī)制126h預(yù)防和預(yù)警機(jī)制43h應(yīng)急響應(yīng)流程127h應(yīng)急響應(yīng)流程44h事件通告（1）信息通報(bào)信息通報(bào)分為組織內(nèi)信息通報(bào)和組織外信息通報(bào)兩部分。組織內(nèi)信息通報(bào)的目的是在信息安全事件發(fā)生后迅速通知應(yīng)急響應(yīng)日常運(yùn)行小組，并根據(jù)評(píng)估結(jié)果迅速通知所有相關(guān)人員，從而快速有序的實(shí)施應(yīng)急響應(yīng)計(jì)劃。組織外信息通報(bào)目的是將相關(guān)信息及時(shí)通報(bào)給受到負(fù)面影響的外部機(jī)構(gòu)、互聯(lián)的單位系統(tǒng)以及重要用戶，同時(shí)根據(jù)應(yīng)急響應(yīng)的需要，應(yīng)將相關(guān)信息準(zhǔn)確通報(bào)給相關(guān)設(shè)備設(shè)施及服務(wù)提供商（包括電信、電力等）等外部組織，以獲得適當(dāng)?shù)膽?yīng)急響應(yīng)支持。值得注意的是對(duì)外信息通報(bào)應(yīng)符合組織的對(duì)外信息發(fā)布策略。（2）信息上報(bào)信息安全事件發(fā)生后，應(yīng)按照相關(guān)規(guī)定和要求，及時(shí)將情況上報(bào)相關(guān)主管或監(jiān)管單位/部門。（3）信息披露信息發(fā)布的目的是避免信息安全事件影響被誤傳，同時(shí)規(guī)范組織內(nèi)人員信息披露，保證信息的一致性。因此，信息安全事件發(fā)生后，應(yīng)根據(jù)信息安全事件的嚴(yán)重程度，指定特定的小組及時(shí)向新聞媒體發(fā)布相關(guān)信息，并且指定的小組應(yīng)嚴(yán)格按照組織相關(guān)規(guī)定和要求對(duì)外發(fā)布信息，同時(shí)組織內(nèi)其它部門或者個(gè)人不得隨意接受新聞媒體采訪或?qū)ν獍l(fā)表自己的看法。128h事件通告（1）信息通報(bào)45h應(yīng)急響應(yīng)流程—呼叫樹129h應(yīng)急響應(yīng)流程—呼叫樹46h呼叫樹小組名稱姓名在小組中的職位聯(lián)絡(luò)信息工作電話家庭電話手機(jī)電子郵件家庭地址130h呼叫樹小組名稱姓名在小組中的職位聯(lián)絡(luò)信息工作電話家庭電話手機(jī)信息上報(bào)重大信息安全事件報(bào)告表報(bào)告時(shí)間：年

月

日

時(shí)

分單位名稱：報(bào)告人：聯(lián)系電話：通訊地址：傳真：電子郵件：發(fā)生重大信息安全事件的信息系統(tǒng)名稱及用途：負(fù)責(zé)部門：負(fù)責(zé)人：重大信息安全事件的簡(jiǎn)要描述（如以前出現(xiàn)過類似情況也應(yīng)加以說明）：初步判定的事故原因：當(dāng)前采取的措施：本次重大信息安全事件的初步影響狀況：事件后果：影響范圍：嚴(yán)重程度：值班電話：傳真：131h信息上報(bào)重大信息安全事件報(bào)告表報(bào)告時(shí)間：年月日事件分類與定級(jí)要確定信息安全事件后如何實(shí)施應(yīng)急響應(yīng)計(jì)劃，對(duì)系統(tǒng)損害性質(zhì)和程度的評(píng)估是非常重要的。這個(gè)損害評(píng)估應(yīng)該在能夠確保人員安全這個(gè)最優(yōu)先任務(wù)的前提下盡快完成。所以，如果可能，應(yīng)急響應(yīng)日常運(yùn)行小組是第一個(gè)得到事件通知的小組。損害評(píng)估規(guī)程對(duì)于不同的系統(tǒng)是不同的，但是應(yīng)該涉及到以下領(lǐng)域：（1）造成緊急情況或中斷的原因；（2）潛在的附加中斷或損失；（3）受到緊急情況影響的區(qū)域；（4）物理構(gòu)架（如計(jì)算機(jī)室結(jié)構(gòu)的完整性、電源、電信以及制熱、通風(fēng)和空調(diào)的情況）的狀況；（5）系統(tǒng)設(shè)備的總量和功能狀態(tài)（如具備完整功能、具備部分功能或喪失功能）；（6）系統(tǒng)設(shè)備及其存貨的損失類型（如水害、水災(zāi)或熱能、物理以及電涌影響）；（7）被更換的項(xiàng)目（如硬件、軟件、固件或支持材料）；（8）估計(jì)恢復(fù)正常服務(wù)所需的時(shí)間。132h事件分類與定級(jí)要確定信息安全事件后如何實(shí)施應(yīng)急響應(yīng)計(jì)劃，對(duì)系我國(guó)信息安全事件分類方法GB/Z20986-2007《信息安全事件分級(jí)分類指南》有害程序事件MI網(wǎng)絡(luò)攻擊事件NAI信息破壞事件IDI信息內(nèi)容安全事件ICSI設(shè)備設(shè)施故障FF災(zāi)害性事件DI其他信息安全事件OI133h我國(guó)信息安全事件分類方法GB/Z20986-2007《信息我國(guó)信息安全事件分級(jí)方法分級(jí)要素134h我國(guó)信息安全事件分級(jí)方法分級(jí)要素51h我國(guó)信息安全事件分級(jí)方法特別重大事件(I級(jí)）重大事件(II級(jí)）較大事件(III級(jí)）一般事件(IV級(jí)）135h我國(guó)信息安全事件分級(jí)方法特別重大事件重大較大一般應(yīng)急啟動(dòng)（1）啟動(dòng)原則——快速、有序；（2）啟動(dòng)依據(jù)——一般而言，對(duì)于導(dǎo)致業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等突發(fā)/重大信息安全事件應(yīng)立即啟動(dòng)應(yīng)急。但由于組織規(guī)模、構(gòu)成、性質(zhì)等的不同，不同組織對(duì)突發(fā)/重大信息安全事件的定義可能不一樣，因此，各組織的應(yīng)急啟動(dòng)條件可能各不相同。啟動(dòng)條件可以基于以下方面考慮：人員的安全和/或設(shè)施損失的程度；系統(tǒng)損失的程度（如物理的、運(yùn)作的或成本的）；系統(tǒng)對(duì)于組織使命的影響程度（如保護(hù)資產(chǎn)的關(guān)鍵基礎(chǔ)設(shè)施）；預(yù)期的中斷持續(xù)時(shí)間等。只有當(dāng)損害評(píng)估的結(jié)果顯示一個(gè)或多個(gè)系統(tǒng)啟動(dòng)條件被滿足時(shí)，應(yīng)急響應(yīng)計(jì)劃才應(yīng)被啟動(dòng)。（3）啟動(dòng)方法——由應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組發(fā)布應(yīng)急響應(yīng)啟動(dòng)令。136h應(yīng)急啟動(dòng)（1）啟動(dòng)原則——快速、有序；53h應(yīng)急處置（1）恢復(fù)順序當(dāng)恢復(fù)復(fù)雜系統(tǒng)時(shí)，恢復(fù)進(jìn)程應(yīng)該反映出BIA中確定的系統(tǒng)優(yōu)先順序?；謴?fù)的順序應(yīng)該反映出系統(tǒng)允許的中斷時(shí)間，以避免對(duì)相關(guān)系統(tǒng)及其應(yīng)用的重大影響。（2）恢復(fù)規(guī)程為了進(jìn)行恢復(fù)操作，應(yīng)急響應(yīng)計(jì)劃應(yīng)提供恢復(fù)業(yè)務(wù)能力的詳細(xì)規(guī)程。規(guī)程應(yīng)被設(shè)定給適當(dāng)?shù)幕謴?fù)小組并且通常涉及到以下行動(dòng)：

1）獲得訪問受損設(shè)施和／或地理區(qū)域的授權(quán)；

2）通知相關(guān)系統(tǒng)的內(nèi)部和外部業(yè)務(wù)伙伴；

3）獲得所需的辦公用品和工作空間；

4）獲得安裝所需的硬件部件；

5）獲得裝載備份介質(zhì)；

6）恢復(fù)關(guān)鍵操作系統(tǒng)和應(yīng)用軟件；

7）恢復(fù)系統(tǒng)數(shù)據(jù)；

8）成功運(yùn)行備用設(shè)備。

137h應(yīng)急處置（1）恢復(fù)順序54h例：局域網(wǎng)（LAN）恢復(fù)小組檢查列表LAN恢復(fù)小組：這些規(guī)程用于從備份磁帶中恢復(fù)一個(gè)文件。LAN恢復(fù)小組負(fù)責(zé)繼續(xù)進(jìn)行生產(chǎn)活動(dòng)所需的所有關(guān)鍵文件的重新裝載。確定將要進(jìn)行恢復(fù)的文件及其日期

時(shí)間：

：

使用磁帶記錄本確定磁帶編號(hào)

時(shí)間：

：

如果磁帶不在磁帶庫中，則要求恢復(fù)設(shè)施提供磁帶；填寫適當(dāng)?shù)氖跈?quán)簽名

時(shí)間：

：

收到磁帶時(shí)，將日期和時(shí)間填入日志

時(shí)間：

：

將磁帶放入驅(qū)動(dòng)器中并開始恢復(fù)進(jìn)程

時(shí)間：

：

當(dāng)文件恢復(fù)完畢時(shí)，通知LAN恢復(fù)小組的負(fù)責(zé)人

時(shí)間：

：

138h例：局域網(wǎng)（LAN）恢復(fù)小組檢查列表LAN恢復(fù)小組：55h后期處置（1）信息系統(tǒng)重建在應(yīng)急處置工作結(jié)束后，要迅速采取措施，抓緊組織搶修受損的基礎(chǔ)設(shè)施，減少損失，盡快恢復(fù)正常工作。通過統(tǒng)計(jì)各種數(shù)據(jù)，查明原因，對(duì)信息安全事件造成的損失和影響以及恢復(fù)重建能力進(jìn)行分析評(píng)估，認(rèn)真制定恢復(fù)重建計(jì)劃，迅速組織實(shí)施信息系統(tǒng)重建。（2）應(yīng)急響應(yīng)總結(jié)應(yīng)急響應(yīng)總結(jié)是應(yīng)急處置之后應(yīng)進(jìn)行的工作，具體工作包括：1）分析和總結(jié)事件發(fā)生原因；2）分析和總結(jié)事件現(xiàn)象；3）評(píng)估系統(tǒng)的損害程度；4）評(píng)估事件導(dǎo)致的損失；5）分析和總結(jié)應(yīng)急處置記錄；6）評(píng)審應(yīng)急響應(yīng)措施的效果和效率，并提出改進(jìn)建議；7）評(píng)審應(yīng)急響應(yīng)計(jì)劃的效果和效率，并提出改進(jìn)建議。139h后期處置（1）信息系統(tǒng)重建56h信息安全事件應(yīng)急響應(yīng)總結(jié)模板信息安全事件應(yīng)急響應(yīng)結(jié)果報(bào)告表原事件報(bào)告時(shí)間：年

月

日

時(shí)

分備案編號(hào)：年

月

日

第

號(hào)

總第

號(hào)單位名稱：

聯(lián)系人：聯(lián)系電話：

通訊地址：信息系統(tǒng)名稱及用途：已采用的安全措施：信息安全事件的補(bǔ)充描述及最后判定的事故原因：本次信息安全事件的初步影響狀況：事件后果：

影響范圍：嚴(yán)重程度：本次信息安全事件的主要處理過程及結(jié)果：針對(duì)此類信息安全事件應(yīng)采取的保障信息系統(tǒng)安全的措施和建議：報(bào)告人簽名：140h信息安全事件應(yīng)急響應(yīng)總結(jié)模板信息安全事件應(yīng)急響應(yīng)結(jié)果報(bào)告表原應(yīng)急響應(yīng)保障措施應(yīng)急響應(yīng)保障措施141h應(yīng)急響應(yīng)保障措施應(yīng)急響應(yīng)保障措施58h附件具體的組織體系結(jié)構(gòu)及人員職責(zé)應(yīng)急響應(yīng)計(jì)劃各小組成員的聯(lián)絡(luò)信息供應(yīng)商聯(lián)絡(luò)信息，包括離站存儲(chǔ)和備用站點(diǎn)的外部聯(lián)系點(diǎn)系統(tǒng)恢復(fù)或處理的標(biāo)準(zhǔn)操作規(guī)程和檢查列表支持系統(tǒng)運(yùn)行所需的硬件、軟件、固件和其它資源的設(shè)備和系統(tǒng)需求清單供應(yīng)商服務(wù)水平協(xié)議（SLA）、與其它機(jī)構(gòu)的互惠協(xié)議和其它關(guān)鍵記錄備用站點(diǎn)的描述和說明在計(jì)劃制定前進(jìn)行的BIA，包含關(guān)于系統(tǒng)各部分相互關(guān)系、風(fēng)險(xiǎn)、優(yōu)先級(jí)別等應(yīng)急響應(yīng)計(jì)劃文檔的保存和分發(fā)方法142h附件具體的組織體系結(jié)構(gòu)及人員職責(zé)59h應(yīng)急響應(yīng)工作機(jī)構(gòu)圖143h應(yīng)急響應(yīng)工作機(jī)構(gòu)圖60h職責(zé)示例應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組：應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組是信息安全應(yīng)急響應(yīng)工作的組織領(lǐng)導(dǎo)機(jī)構(gòu)，組長(zhǎng)應(yīng)由組織最高管理層成員擔(dān)任。領(lǐng)導(dǎo)小組的職責(zé)是領(lǐng)導(dǎo)和決策信息安全應(yīng)急響應(yīng)的重大事宜，主要如下：

（1）對(duì)應(yīng)急響應(yīng)工作的承諾和支持，包括發(fā)布正式文件、提供必要資源（人財(cái)物）等；（2）審核并批準(zhǔn)應(yīng)急響應(yīng)策略；（3）審核并批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃；（4）批準(zhǔn)和監(jiān)督應(yīng)急響應(yīng)計(jì)劃的執(zhí)行；（5)啟動(dòng)定期評(píng)審、修訂應(yīng)急響應(yīng)計(jì)劃；（6）負(fù)責(zé)組織的外部協(xié)作工作。144h職責(zé)示例應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組：61h應(yīng)急響應(yīng)組（IRT）?什么是應(yīng)急響應(yīng)組（IRT）

應(yīng)急響應(yīng)組就是機(jī)構(gòu)可以借助的網(wǎng)絡(luò)安全專業(yè)組織。?為什么需要成立應(yīng)急響應(yīng)組容易協(xié)調(diào)響應(yīng)工作提高專業(yè)知識(shí)提高效率提高先期主動(dòng)防御能力更加適合于