網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)方案

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)方案應(yīng)急響應(yīng)服務(wù)方案項目技術(shù)方案應(yīng)急響應(yīng)服務(wù)服務(wù)內(nèi)容服務(wù)簡介我司應(yīng)急響應(yīng)服務(wù)是我司推出的以“安全第一”為指導(dǎo)原則，積極開展網(wǎng)絡(luò)安全事件的預(yù)防、發(fā)現(xiàn)、預(yù)警和協(xié)調(diào)處置等工作的安全服務(wù)。我司應(yīng)急響應(yīng)通過制定集團級應(yīng)急響應(yīng)機制，協(xié)同集團營銷、媒體等15個部門聯(lián)合開展的應(yīng)急處置工作，后端以高效的應(yīng)急響應(yīng)系統(tǒng)IT平臺以及遍覽全國安全事件的應(yīng)急響應(yīng)監(jiān)控指揮調(diào)度中心作為支撐。為在發(fā)生安全事件時，第一時間作出有效決斷提供了強大的后臺保障。我司應(yīng)急響應(yīng)服務(wù)，以“快速響應(yīng)、力?；謴?fù)”為行動指南，致力于成為網(wǎng)絡(luò)安全領(lǐng)域的120急救中心，通過在遇到突發(fā)安全事件后采取專業(yè)的安全措施和行動，并對已經(jīng)發(fā)生的安全事件進(jìn)行監(jiān)控、分析、協(xié)調(diào)、處理、保護資產(chǎn)等安全屬性的工作，保障企業(yè)用戶的網(wǎng)絡(luò)安全，最大程度的減少安全事件所帶來的經(jīng)濟損失以及惡劣的社會負(fù)面影響。服務(wù)目標(biāo)應(yīng)急響應(yīng)服務(wù)目標(biāo)旨在：幫助客戶及時控制安全事件對企業(yè)造成的惡劣影響，將經(jīng)濟損失降到最低。減少因安全事件發(fā)生所產(chǎn)生的社會負(fù)面影響，保障網(wǎng)絡(luò)生態(tài)安全。服務(wù)價值系統(tǒng)地響應(yīng)安全事件，以采取適當(dāng)?shù)牟襟E；幫助客戶迅速有效地從安全事件中恢復(fù)過來，并將信息丟失和被盜以及服務(wù)被破壞的程度降到最低；利用從安全事件處理過程中獲得的信息做好更充分的準(zhǔn)備，以處理未來的安全事件并對系統(tǒng)和數(shù)據(jù)進(jìn)行更強的保護；建立安全事件響應(yīng)機制協(xié)同建立有效的防御政策來抵制信息安全威脅；降低安全運營成本，提高企業(yè)信息業(yè)務(wù)發(fā)展安全競爭力。服務(wù)方法準(zhǔn)備階段（Preparation）目標(biāo)：在事件真正發(fā)生前為應(yīng)急響應(yīng)做好預(yù)備性的工作。角色：指揮人員、一線應(yīng)急人員、營銷人員、媒體宣傳人員、監(jiān)測與響應(yīng)中心人員、戰(zhàn)略推進(jìn)人員。內(nèi)容：根據(jù)不同角色準(zhǔn)備不同的內(nèi)容。組織研判根據(jù)事件研判規(guī)則，對事件進(jìn)行研判，確定事件預(yù)案等級統(tǒng)一指揮制定工作方案和應(yīng)急響應(yīng)計劃；提供人員和物質(zhì)保證；監(jiān)督應(yīng)急響應(yīng)計劃的執(zhí)行；指導(dǎo)應(yīng)急響應(yīng)實施小組的應(yīng)急處置工作；啟動定期評審、修訂應(yīng)急響應(yīng)計劃以及負(fù)責(zé)組織的外部協(xié)作。應(yīng)急人員準(zhǔn)備工作一線應(yīng)急人員準(zhǔn)備內(nèi)容服務(wù)需求界定首先要對服務(wù)對象的整個信息系統(tǒng)進(jìn)行評估，明確服務(wù)對象的應(yīng)急需求，具體包含以下內(nèi)容：應(yīng)急響應(yīng)小組應(yīng)了解應(yīng)急服務(wù)對象的各項業(yè)務(wù)功能及其之間的相關(guān)性，確定支持各種業(yè)務(wù)功能的相關(guān)信息系統(tǒng)資源及其他資源，明確相關(guān)信息的保密性、完整性和可用性要求；對服務(wù)對象的信息系統(tǒng)，包括應(yīng)用程序，服務(wù)器，網(wǎng)絡(luò)及任何管理和維護這些系統(tǒng)的流程進(jìn)行評估，確定系統(tǒng)所執(zhí)行的關(guān)鍵功能，并確定執(zhí)行這些關(guān)鍵功能所需要的特定系統(tǒng)資源；應(yīng)急響應(yīng)小組采用定性或定量的方法，對業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓等突發(fā)安全事件造成的影響進(jìn)行評估；應(yīng)急響應(yīng)小組協(xié)助服務(wù)對象建立適當(dāng)?shù)膽?yīng)急響應(yīng)策略，應(yīng)提供在業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓等突發(fā)安全事件發(fā)生后快速有效的恢復(fù)信息系統(tǒng)運行的方法；應(yīng)急響應(yīng)小組為服務(wù)對象提供相關(guān)的培訓(xùn)服務(wù)，以提高服務(wù)對象的安全意識，便于相關(guān)責(zé)任人明確自己的角色和責(zé)任，了解常見的安全事件和入侵行為，熟悉應(yīng)急響應(yīng)策略。工具包的準(zhǔn)備應(yīng)急服務(wù)提供者應(yīng)根據(jù)應(yīng)急服務(wù)對象的需求準(zhǔn)備處置網(wǎng)絡(luò)安全事件的工具包，包括常用的系統(tǒng)基本命令、其他軟件工具等；應(yīng)急服務(wù)提供者的工具包中的工具最好是采用綠色免安裝的，應(yīng)保存在安全的移動介質(zhì)上，如一次性可寫光盤，防篡改、加密的U盤等；應(yīng)急服務(wù)提供者的工具包應(yīng)定期更新、補充；必要技術(shù)的準(zhǔn)備上述是針對應(yīng)急響應(yīng)的處理涉及到的安全技術(shù)工具涵蓋應(yīng)急響應(yīng)的事件取樣、事件分析、事件隔離、系統(tǒng)恢復(fù)和攻擊追蹤等各個方面，構(gòu)成了網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的技術(shù)基礎(chǔ)。所以我們的應(yīng)急響應(yīng)服務(wù)實施成員還應(yīng)該掌握以下必要的技術(shù)手段和規(guī)范，具體包括以下內(nèi)容：系統(tǒng)檢測技術(shù)，包括以下檢測技術(shù)規(guī)范：Windows系統(tǒng)檢測技術(shù)規(guī)范；Unix系統(tǒng)檢測技術(shù)規(guī)范；網(wǎng)絡(luò)安全事故檢測技術(shù)規(guī)范；數(shù)據(jù)庫系統(tǒng)檢測技術(shù)規(guī)范；常見的應(yīng)用系統(tǒng)檢測技術(shù)規(guī)范；攻擊檢測技術(shù)，包括以下技術(shù)：異常行為分析技術(shù)；入侵檢測技術(shù)；安全風(fēng)險評估技術(shù)；攻擊追蹤技術(shù)；現(xiàn)場取樣技術(shù)；系統(tǒng)安全加固技術(shù)；攻擊隔離技術(shù)；資產(chǎn)備份恢復(fù)技術(shù)；營銷人員準(zhǔn)備內(nèi)容和服務(wù)對象建立長期友好的業(yè)務(wù)關(guān)系；和服務(wù)對象簽訂應(yīng)急服務(wù)合同或協(xié)議；建立預(yù)防和預(yù)警機制，及時上報。預(yù)防和預(yù)警機制市場人員要嚴(yán)格按照應(yīng)急響應(yīng)負(fù)責(zé)人的安排和建議，及時提醒服務(wù)對象提高防范網(wǎng)絡(luò)攻擊、病毒入侵、網(wǎng)絡(luò)竊密等的能力，防止有害信息傳播，保障服務(wù)對象網(wǎng)絡(luò)的安全暢通。將協(xié)會網(wǎng)絡(luò)信息中心會發(fā)布的病毒預(yù)防警報以及更新的防護策略及時有效地告知服務(wù)對象，做好防護策略的更新。信息系統(tǒng)檢測和報告按照“早發(fā)現(xiàn)、早報告、早處置”的原則，市場人員要加強對服務(wù)對象信息系統(tǒng)的安全檢測結(jié)果的通告，收集可能引發(fā)信息安全事件的有關(guān)信息、進(jìn)行分析判斷。如服務(wù)對象發(fā)現(xiàn)有異常情況或有信息安全事件發(fā)生時，要立即向協(xié)會網(wǎng)絡(luò)信息中心應(yīng)急響應(yīng)負(fù)責(zé)人報告，并填寫事件初步報告表。要求服務(wù)對象持續(xù)監(jiān)測信息系統(tǒng)狀況，密切關(guān)注應(yīng)急響應(yīng)負(fù)責(zé)人提出初步行動對策和行動方案，聽從指令和安排，及時減小損失。監(jiān)測與響應(yīng)中心人員準(zhǔn)備內(nèi)容及時發(fā)布安全預(yù)警通告戰(zhàn)略推進(jìn)人員準(zhǔn)備內(nèi)容及時通報監(jiān)管機構(gòu)媒體宣傳人員準(zhǔn)備內(nèi)容在多渠道媒體發(fā)布宣傳文案產(chǎn)品線人員準(zhǔn)備內(nèi)容關(guān)注一線應(yīng)急人員需求，及時發(fā)布產(chǎn)品解決方案、升級包配合進(jìn)行工具的開發(fā)、測試和發(fā)布工作檢測階段（Examination）目標(biāo)：接到事故報警后在服務(wù)對象的配合下對異常的系統(tǒng)進(jìn)行初步分析，確認(rèn)其是否真正發(fā)生了信息安全事件，制定進(jìn)一步的響應(yīng)策略，并保留證據(jù)。角色：應(yīng)急服務(wù)實施小組成員、樣本分析組、漏洞分析組；內(nèi)容：檢測范圍及對象的確定；檢測方案的確定；檢測方案的實施；檢測結(jié)果的處理。輸出：《應(yīng)急響應(yīng)檢查單》實施小組人員的確定應(yīng)急響應(yīng)負(fù)責(zé)人根據(jù)《應(yīng)急響應(yīng)檢查單》的內(nèi)容，初步分析事故的類型、嚴(yán)重程度等，以此來確定事件等級及需要調(diào)動的公司資源。檢測范圍及對象的確定應(yīng)急服務(wù)提供者應(yīng)對發(fā)生異常的系統(tǒng)進(jìn)行初步分析，判斷是否正真發(fā)生了安全事件；應(yīng)急服務(wù)提供者和服務(wù)對象共同確定檢測對象及范圍；檢測對象及范圍應(yīng)得到服務(wù)對象的書面授權(quán)。檢測方案的確定應(yīng)急服務(wù)提供者和服務(wù)對象共同確定檢測方案；應(yīng)急服務(wù)提供者制定的檢測方案應(yīng)明確應(yīng)急服務(wù)提供者所使用的檢測規(guī)范；應(yīng)急服務(wù)提供者制定的檢測方案應(yīng)明確應(yīng)急服務(wù)提供者的檢測范圍，其檢測范圍應(yīng)僅限于服務(wù)對象已授權(quán)的與安全事件相關(guān)的數(shù)據(jù)，對服務(wù)對象的機密性數(shù)據(jù)信息未經(jīng)授權(quán)的不得訪問；應(yīng)急服務(wù)提供者制定的檢測方案應(yīng)包含實施方案失敗的應(yīng)變和回退措施；應(yīng)急服務(wù)提供者和服務(wù)對象充分溝通，并預(yù)測應(yīng)急處理方案可能造成的影響。檢測方案的實施檢測搜集系統(tǒng)信息記錄時使用目錄及文件名約定：在受入侵的計算機的D盤根目錄下（D:\）（如果無D盤則在其他盤根目錄下）建立一個我司目錄，目錄中包含以下子目錄：artifact：用于存放可疑文件樣本cmdoutput：用于記錄命令行輸出結(jié)果screenshot：用于存放屏幕拷貝文件log：用于存放各類日志文件文件格式：命令行輸出文件缺省僅使用TXT格式。日志文件及其他格式盡量使用TXT、CSV和其他不需要特殊工具就可以閱讀的格式。屏幕拷貝文件應(yīng)該使用JPG格式?？梢晌募颖咀詈眉用軌嚎s為zip格式，默認(rèn)密碼為：qihoo我司搜集操作系統(tǒng)基本信息右鍵點擊“我的電腦>屬性”將“常規(guī)”、“自動更新”、“遠(yuǎn)程”3個選卡各制作一個窗口拷貝（使用Alt+PrtScr）。并保存到qihoo\screenshot目錄下，文件名稱應(yīng)該使用：系統(tǒng)常規(guī)-01、自動更新-01、遠(yuǎn)程-01等形式命名。進(jìn)入CMD狀態(tài)，“開始>運行>cmd”，進(jìn)入D盤根目錄下的qihoo目錄，執(zhí)行一下命令：netstat-nao>netstat.txt(網(wǎng)絡(luò)連接信息)tasklist>tasklist.txt（當(dāng)前進(jìn)程信息）ipconfig/all>ipconfig.txt（IP屬性）ver>ver.txt（操作系統(tǒng)屬性）日志信息目標(biāo)：導(dǎo)出所有日志信息；說明：進(jìn)入管理工具，將“管理工具>事件察看器”中，導(dǎo)出所有事件，分別使用一下文件名保存：application.txt、security.txt、system.txt。帳號信息目標(biāo)：導(dǎo)出所有帳號信息；說明：使用netuser，netgroup，netlocalgroup命令檢查帳號和組的情況，使用計算機管理查看本地用戶和組，將導(dǎo)出的信息保存在D:\qihoo\user中。主機檢測日志檢查目標(biāo)：1、從日志信息中檢測出未授權(quán)訪問或非法登錄事件；2、從IIS/FTP日志中檢測非正常訪問行為或攻擊行為；說明：1、檢查事件查看器中的系統(tǒng)和安全日志信息，比如：安全日志中異常登錄時間，未知用戶名登錄；2、檢查%WinDir%\System32\LogFiles目錄下的WWW日志和FTP日志，比如WWW日志中的對shell.asp文件的成功訪問。帳號檢查目標(biāo)：檢查帳號信息中非正常帳號，隱藏帳號；說明：通過詢問管理員或負(fù)責(zé)人，或者和系統(tǒng)的所有的正常帳號列表做對比，判斷是否有可疑的陌生的賬號出現(xiàn)，利用這些獲得的信息和前面準(zhǔn)備階段做的帳號快照工作進(jìn)行對比。進(jìn)程檢查目標(biāo)：檢查是否存在未被授權(quán)的應(yīng)用程序或服務(wù)說明：使用任務(wù)管理器檢查或使用進(jìn)程查看工具進(jìn)行查看，利用這些獲得的信息和前面準(zhǔn)備階段做的進(jìn)程快照工作進(jìn)行對比，判斷是否有可疑的進(jìn)程。服務(wù)檢查目標(biāo)：檢查系統(tǒng)是否存在非法服務(wù)說明：使用“管理工具”中的“服務(wù)”查看非法服務(wù)或使用我司安全衛(wèi)士、Wsystem察看當(dāng)前服務(wù)情況，利用這些獲得的信息和準(zhǔn)備階段做的服務(wù)快照工作進(jìn)行對比。自啟動檢查目標(biāo)：檢查未授權(quán)自啟動程序說明：檢查系統(tǒng)各用戶“啟動”目錄下是否存在未授權(quán)程序。網(wǎng)絡(luò)連接檢查目標(biāo)：檢查非正常網(wǎng)絡(luò)連接和開放的端口說明：關(guān)閉所有的網(wǎng)絡(luò)通訊程序，以免出現(xiàn)干擾，然后使用ipconfig,netstat–an或其它第三方工具查看所有連接，檢查服務(wù)端口開放情況和異常數(shù)據(jù)的信息。共享檢查目標(biāo)：檢查非法共享目錄。說明：使用netshare或其他第三方的工具檢測當(dāng)前開放的共享，使用$是隱藏目錄共享，通過詢問負(fù)責(zé)人看是否有可疑的共享文件。文件檢查目標(biāo)：檢查病毒、木馬、蠕蟲、后門等可疑文件。說明：使用防病毒軟件檢查文件，掃描硬盤上所有的文件，將可疑文件進(jìn)行提取加密壓縮成.zip，保存到qihoo\artifact目錄下的相應(yīng)子目錄中。查找其他入侵痕跡目標(biāo)：查找其它系統(tǒng)上的入侵痕跡，尋找攻擊途徑說明：其它系統(tǒng)包括：同一IP地址段或同一網(wǎng)段的系統(tǒng)、同一域的其他系統(tǒng)、擁有相同操作系統(tǒng)的其他系統(tǒng)。檢測結(jié)果的處理確定安全事件的類型經(jīng)過檢測，判斷出信息安全事件類型。信息安全事件可以有以下7個基本分類：有害程序事件：蓄意制造、傳播有害程序，或是因受到有害程序的影響而導(dǎo)致的信息安全事件。網(wǎng)絡(luò)攻擊事件：通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對信息系統(tǒng)實施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運行造成潛在危害的信息安全事件。信息破壞事件：通過網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的信息安全事件。信息內(nèi)容安全事件：利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的內(nèi)容的安全事件。設(shè)備設(shè)施故障：由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息安全事件，以及人為的使用非技術(shù)手段有意或無意的造成信息系統(tǒng)破壞而導(dǎo)致的信息安全事件。災(zāi)害性事件：由于不可抗力對信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。其他信息安全事件：不能歸為以上6個基本分類的信息安全事件。評估突發(fā)信息安全事件的影響采用定量和/或定性的方法，對業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓數(shù)據(jù)丟失等突發(fā)信息安全事件造成的影響進(jìn)行評估：確定是否存在針對該事件的特定系統(tǒng)預(yù)案，如有，則啟動相關(guān)預(yù)案；如果事件涉及多個專項預(yù)案，應(yīng)同時啟動所有涉及的專項預(yù)案；如果沒有針對該事件的專項預(yù)案，應(yīng)根據(jù)事件具體情況，采取抑制措施，抑制事件進(jìn)一步擴散。抑制階段（Suppresses）目標(biāo)：及時采取行動限制事件擴散和影響的范圍，限制潛在的損失與破壞，同時要確保封鎖方法對涉及相關(guān)業(yè)務(wù)影響最小。角色：應(yīng)急服務(wù)實施小組成員、樣本分析組、漏洞分析組。內(nèi)容：抑制方案的確定；抑制方案的認(rèn)可；抑制方案的實施；抑制效果的判定；輸出：《應(yīng)急處置方案》抑制方案的確定應(yīng)急服務(wù)提供者應(yīng)在檢測分析的基礎(chǔ)上，初步確定與安全事件相對應(yīng)的抑制方法，如有多項，可由服務(wù)對象考慮后自己選擇；在確定抑制方法時應(yīng)該考慮：全面評估入侵范圍、入侵帶來的影響和損失；通過分析得到的其他結(jié)論，如入侵者的來源；服務(wù)對象的業(yè)務(wù)和重點決策過程；服務(wù)對象的業(yè)務(wù)連續(xù)性。抑制方案的認(rèn)可應(yīng)急服務(wù)提供者應(yīng)告知服務(wù)對象所面臨的首要問題；應(yīng)急服務(wù)提供者所確定的抑制方法和相應(yīng)的措施應(yīng)得到服務(wù)對象的認(rèn)可；在采取抑制措施之前，應(yīng)急服務(wù)提供者要和服務(wù)對象充分溝通，告知可能存在的風(fēng)險，制定應(yīng)變和回退措施，并與其達(dá)成協(xié)議。抑制方案的實施應(yīng)急服務(wù)提供者要嚴(yán)格按照相關(guān)約定實施抑制，不得隨意更改抑制的措施的范圍，如有必要更改，需獲得服務(wù)對象的授權(quán)；抑制措施包含但不僅限于以下幾方面：確定受害系統(tǒng)的范圍后，將被害系統(tǒng)和正常的系統(tǒng)進(jìn)行隔離，斷開或暫時關(guān)閉被攻擊的系統(tǒng)，使攻擊先徹底停止；持續(xù)監(jiān)視系統(tǒng)和網(wǎng)絡(luò)活動，記錄異常流量的遠(yuǎn)程IP、域名、端口；停止或刪除系統(tǒng)非正常帳號，隱藏帳號，更改口令，加強口令的安全級別；掛起或結(jié)束未被授權(quán)的、可疑的應(yīng)用程序和進(jìn)程；關(guān)閉存在的非法服務(wù)和不必要的服務(wù)；刪除系統(tǒng)各用戶“啟動”目錄下未授權(quán)自啟動程序；使用netshare或其他第三方的工具停止所有開放的共享；使用反病毒軟件或其他安全工具檢查文件，掃描硬盤上所有的文件，隔離或清除病毒、木馬、蠕蟲、后門等可疑文件；設(shè)置陷阱，如蜜罐系統(tǒng)；或者反擊攻擊者的系統(tǒng)。抑制效果的判定防止事件繼續(xù)擴散，限制了潛在的損失和破壞，使目前損失最小化；對其它相關(guān)業(yè)務(wù)的影響是否控制在最小。根除階段（Eradicates）目標(biāo)：對事件進(jìn)行抑制之后，通過對有關(guān)事件或行為的分析結(jié)果，找出事件根源，明確相應(yīng)的補救措施并徹底清除。角色：應(yīng)急服務(wù)實施小組成員、樣本分析組、漏洞分析組。內(nèi)容：根除方案的確定；根除方案的認(rèn)可；根除方案的實施；根除效果的判定；輸出：《根除處理記錄表》根除方案的確定應(yīng)急服務(wù)提供者應(yīng)協(xié)助服務(wù)對象檢查所有受影響的系統(tǒng)，在準(zhǔn)確判斷安全事件原因的基礎(chǔ)上，提出方案建議；由于入侵者一般會安裝后門或使用其他的方法以便于在將來有機會侵入該被攻陷的系統(tǒng)，因此在確定根除方法時，需要了解攻擊者時如何入侵的，以及與這種入侵方法相同和相似的各種方法。根除方案的認(rèn)可應(yīng)急服務(wù)提供者應(yīng)明確告知服務(wù)對象所采取的根除措施可能帶來的風(fēng)險，制定應(yīng)變和回退措施，并得到服務(wù)對象的書面授權(quán)；應(yīng)急服務(wù)提供者應(yīng)協(xié)助服務(wù)對象進(jìn)行根除方法的實施。根除方案的實施應(yīng)急服務(wù)提供者應(yīng)使用可信的工具進(jìn)行安全事件的根除處理，不得使用受害系統(tǒng)已有的不可信的文件和工具；根除措施易包含但不僅限與以下幾個方面：改變?nèi)靠赡苁艿焦舻南到y(tǒng)帳號和口令，并增加口令的安全級別；修補系統(tǒng)、網(wǎng)絡(luò)和其他軟件漏洞；增強防護功能：復(fù)查所有防護措施的配置，安裝最新的防火墻和殺毒軟件，并及時更新，對未受保護或者保護不夠的系統(tǒng)增加新的防護措施；提高其監(jiān)視保護級別，以保證將來對類似的入侵進(jìn)行檢測；根除效果的判定找出造成事件的原因，備份與造成事件的相關(guān)文件和數(shù)據(jù)；對系統(tǒng)中的文件進(jìn)行清理，根除；使系統(tǒng)能夠正常工作?；謴?fù)階段（Restoration）目標(biāo)：恢復(fù)安全事件所涉及到得系統(tǒng)，并還原到正常狀態(tài)，使業(yè)務(wù)能夠正常進(jìn)行，恢復(fù)工作應(yīng)避免出現(xiàn)誤操作導(dǎo)致數(shù)據(jù)的丟失。角色：應(yīng)急服務(wù)實施小組。內(nèi)容：恢復(fù)方案的確定；恢復(fù)信息系統(tǒng)；恢復(fù)方案的確定應(yīng)急服務(wù)提供者應(yīng)告知服務(wù)對象一個或多個能從安全事件中恢復(fù)系統(tǒng)的方法，及他們可能存在的風(fēng)險；應(yīng)急服務(wù)提供者應(yīng)和服務(wù)對象共同確定系統(tǒng)恢復(fù)方案，根據(jù)抑制和根除的情況，協(xié)助服務(wù)對象選擇合適的系統(tǒng)恢復(fù)的方案，恢復(fù)方案涉及到以下幾方面：如何獲得訪問受損設(shè)施或地理區(qū)域的授權(quán)；如何通知相關(guān)系統(tǒng)的內(nèi)部和外部業(yè)務(wù)伙伴；如何獲得安裝所需的硬件部件；如何獲得裝載備份介質(zhì)；如何恢復(fù)關(guān)鍵操作系統(tǒng)和應(yīng)用軟件；如何恢復(fù)系統(tǒng)數(shù)據(jù)；如何成功運行備用設(shè)備如果涉及到涉密數(shù)據(jù)，確定恢復(fù)方法時應(yīng)遵循相應(yīng)的保密要求?；謴?fù)信息系統(tǒng)應(yīng)急響應(yīng)實施小組應(yīng)按照系統(tǒng)的初始化安全策略恢復(fù)系統(tǒng)；恢復(fù)系統(tǒng)時，應(yīng)根據(jù)系統(tǒng)中個子系統(tǒng)的重要性，確定系統(tǒng)恢復(fù)的順序；恢復(fù)系統(tǒng)過程宜包含但不限于以下方面：利用正確的備份恢復(fù)用戶數(shù)據(jù)和配置信息；開啟系統(tǒng)和應(yīng)用服務(wù)，將受到入侵或者懷疑存在漏洞而關(guān)閉的服務(wù)，修改后重新開放；連接網(wǎng)絡(luò)，服務(wù)重新上線，并持續(xù)監(jiān)控持續(xù)匯總分析，了解各網(wǎng)的運行情況；對于不能徹底恢復(fù)配置和清除系統(tǒng)上的惡意文件，或不能肯定系統(tǒng)在根除處理后是否已恢復(fù)正常時，應(yīng)選擇徹底重建系統(tǒng)；應(yīng)急服務(wù)實施小組應(yīng)協(xié)助服務(wù)對象驗證恢復(fù)后的系統(tǒng)是否正常運行；應(yīng)急服務(wù)實施小組宜幫助服務(wù)對象對重建后的系統(tǒng)進(jìn)行安全加固；應(yīng)急服務(wù)實施小組宜幫助服務(wù)對象為重建后的系統(tǒng)建立系統(tǒng)快照和備份；總結(jié)階段（Summary）目標(biāo)：通過以上各個階段的記錄表格，回顧安全事件處理的全過程，整理與事件相關(guān)的各種信息，進(jìn)行總結(jié)，并盡可能的把所有信息記錄到文檔中。角色：應(yīng)急服務(wù)實施小組。內(nèi)容：事故總結(jié):應(yīng)急服務(wù)提供者應(yīng)及時檢查安全事件處理記錄是否齊全，是否具備可塑性，并對事件處理過程進(jìn)行總結(jié)和分析；應(yīng)急處理總結(jié)的具體工作包括但不限于以下幾項：事件發(fā)生的現(xiàn)象總結(jié)；事件發(fā)生的原因分析；系統(tǒng)的損害程度評估；事件損失估計；采取的主要應(yīng)對措施；相關(guān)的工具文檔（如專項預(yù)案、方案等）歸檔。事故報告:應(yīng)急服務(wù)提供者應(yīng)向服務(wù)對象提供完備的網(wǎng)絡(luò)安全事件處理報告；應(yīng)急服務(wù)提供者應(yīng)向服務(wù)對象提供網(wǎng)絡(luò)安全方面的措施和建議；總結(jié)匯報應(yīng)急完成后，面向甲方相關(guān)負(fù)責(zé)人做總結(jié)匯報，包括處置過程、技術(shù)分析及解決方案。戰(zhàn)略規(guī)劃對于重大應(yīng)急響應(yīng)事件，由銷售引導(dǎo)，戰(zhàn)略規(guī)劃部介入，為客戶制定3到5年戰(zhàn)略規(guī)劃，按照滑動標(biāo)尺模型，從架構(gòu)安全、被動防御、積極防御、威脅情報及進(jìn)攻反制方面，導(dǎo)向全面安全檢查摸底和整體安全咨詢規(guī)劃，提供客戶低位、中位、高位安全能力體系建設(shè)方案。客戶責(zé)任應(yīng)急響應(yīng)服務(wù)現(xiàn)場實施需要客戶相關(guān)接口人提供現(xiàn)場實施環(huán)境，包括：辦公環(huán)境、網(wǎng)絡(luò)接入環(huán)境、網(wǎng)絡(luò)/安全設(shè)備訪問權(quán)限等。應(yīng)急響應(yīng)部分工作需要相關(guān)接口人提供事件相關(guān)日志，包括：系統(tǒng)訪問日志、系統(tǒng)操作日志、應(yīng)用日志等。應(yīng)急響應(yīng)過程中可能涉及系統(tǒng)配置更改、系統(tǒng)敏感操作，實施工程師會提供操作建議由相關(guān)系統(tǒng)負(fù)責(zé)人確認(rèn)執(zhí)行。

交付成果工作輸出服務(wù)成果為：安全事件處置完成，系統(tǒng)得到恢復(fù)。找到安全事件發(fā)生原因并提供安全解決方案?！禭X系統(tǒng)（事件）應(yīng)急響應(yīng)報告》《應(yīng)急響應(yīng)服務(wù)確認(rèn)單》

服務(wù)優(yōu)勢強大的威脅情報大數(shù)據(jù)分析能力我司在大數(shù)據(jù)積累層面，擁有全國較為龐大的PC安全客戶端群，并結(jié)合我司瀏覽器、我司搜索等搜索引擎，大數(shù)據(jù)來自互聯(lián)網(wǎng)域名解析、威脅情報中心、補天等舉報與響應(yīng)平臺。這些大數(shù)據(jù)資源轉(zhuǎn)化為威脅情報信息，匯集成龐大的樣本庫樣本，覆蓋全球的域名信息庫，90億條DNS解析記錄，占中國30%DNS解析。應(yīng)急響應(yīng)服務(wù)依托于具有強大數(shù)據(jù)分析能力的威脅情報大數(shù)據(jù)分析平臺，充分運用公司大數(shù)據(jù)分析體系，為業(yè)務(wù)運營、專家級建設(shè)提供強有力的安全保障。覆蓋全國的專業(yè)技術(shù)人員體系我司應(yīng)急響應(yīng)服務(wù)作為安全領(lǐng)域中的“120”，擁有覆蓋全國的龐大應(yīng)急響應(yīng)服務(wù)團隊，團隊由經(jīng)驗豐富的專業(yè)技術(shù)人員組成，技術(shù)能力覆蓋操作系統(tǒng)、逆向、漏洞挖掘、滲透等多個安全技術(shù)領(lǐng)域，并有身經(jīng)百戰(zhàn)的專業(yè)分析專家作為后端技術(shù)支撐，形成全面的技術(shù)人員體系。同時在不斷實戰(zhàn)中將所積累的豐富分析經(jīng)驗為云端分析系統(tǒng)的運行提供了寶貴的數(shù)據(jù)輸入。精準(zhǔn)的本地威脅分析能力我司通過多年對高級威脅攻擊以及廣泛企業(yè)內(nèi)部安全事件的研究，掌握了可交付給用戶的利用先進(jìn)的分析檢測工具和威脅模型，配置高級安全分析人員，最大化的做到攻陷檢測和高危攻擊檢測，保證了結(jié)果的精準(zhǔn)性和廣度。并擁有專業(yè)的商業(yè)安全評估硬件和軟件，內(nèi)部自主開發(fā)高度定制化的安全測試及審計工具。我司通過自有數(shù)據(jù)來源和情報交換數(shù)據(jù)來源進(jìn)行長期的攻擊者畫像數(shù)據(jù)庫的維護運營，其中涵蓋了我司終端數(shù)據(jù)，安全設(shè)備告警數(shù)據(jù)，事件調(diào)查數(shù)據(jù)等來源，為每個攻擊來源IP地址進(jìn)行記錄評判，再根據(jù)基礎(chǔ)設(shè)施、工具指紋等處置規(guī)則將不同時間不同IP的攻擊源合并為同源攻擊者，進(jìn)而長期跟蹤互聯(lián)網(wǎng)攻擊者的活動狀況。豐富的現(xiàn)場應(yīng)急實戰(zhàn)經(jīng)驗我司是中國第一大互聯(lián)網(wǎng)企業(yè)安全公司，自集團成立之初，因為“互聯(lián)網(wǎng)”的公司屬性，結(jié)合集團自身就擁有門戶、注冊、搜索等各類互聯(lián)網(wǎng)應(yīng)用系統(tǒng)，并且一直在遭受各種類型的互聯(lián)網(wǎng)攻擊，我司在與各類互聯(lián)網(wǎng)攻擊的對抗中，為保障公司自身各類業(yè)務(wù)系統(tǒng)安全及數(shù)據(jù)安全，為應(yīng)急響應(yīng)服務(wù)積累了大量的安全檢測、防護、處置經(jīng)驗，結(jié)合歷年來千余起現(xiàn)場應(yīng)急實戰(zhàn)經(jīng)驗，為后續(xù)處置安全事件積累了豐富的實戰(zhàn)經(jīng)驗和寶貴的案例分享。

服務(wù)范圍應(yīng)急響應(yīng)服務(wù)目前已覆蓋全國27個省市，服務(wù)范圍通常為客戶現(xiàn)場發(fā)生信息破壞事件（篡改、泄露、竊取、丟失等）、大規(guī)模病毒事件、網(wǎng)站漏洞事件等信息安全事件時，由我司提供應(yīng)急響應(yīng)專家協(xié)助處置現(xiàn)場突發(fā)安全事件。其中，應(yīng)急響應(yīng)事件服務(wù)范圍具體包括以下內(nèi)容：勒索病毒、挖礦木馬、蠕蟲病毒、APT事件、網(wǎng)站掛馬、網(wǎng)站暗鏈、網(wǎng)站篡改、漏洞事件、數(shù)據(jù)泄露以及其他安全事件。需要注意的是：DDOS事件、網(wǎng)絡(luò)線路異常、設(shè)備硬件狀態(tài)異常、單臺普通終端的中毒事件、個人賬戶密碼丟失不在服務(wù)范圍內(nèi)。

服務(wù)案例某電網(wǎng)公司終端勒索軟件事件應(yīng)急響應(yīng)2018年4月，我司安服團隊接到某電網(wǎng)公司的終端安全應(yīng)急響應(yīng)請求，有幾臺辦公終端出現(xiàn)部分Office文檔、圖片文檔、pdf文檔多sage后綴，修改后變成亂碼。應(yīng)急響應(yīng)人員接到請求后，通過對感染勒索軟件的機器樣機進(jìn)行分析得知，此次感染的勒索軟件的類型為sage2.2勒索軟件。對于感染過程，響應(yīng)人員分析該勒索軟件可能使用了包含欺騙性消息的惡意電子郵件，消息可以是各種類型，皆在使?jié)撛谑芎φ叽蜷_這些電子郵件的惡意.zip。應(yīng)急工程師第一時間對事件進(jìn)行處置，并給出了詳細(xì)的安全防護建議：對受感染的機器第一時間進(jìn)行物理隔離處理;部署終端安全管控軟件，實時對終端進(jìn)行查殺和防護；對個人PC中比較重要的穩(wěn)定資料進(jìn)行隨時備份，備份應(yīng)離線存儲；繼續(xù)加強網(wǎng)絡(luò)與信息安全意識培訓(xùn)教育。意外收到的或來自未知發(fā)件人的電子郵件，不要按照文字中的說明進(jìn)行操作，不要打開任何附件，也不要點擊任何鏈接；操作系統(tǒng)以及安裝在計算機上的所有應(yīng)用程序（例如AdobeReader，AdobeFlash，SunJava等）必須始終如一地更新。某集團網(wǎng)站掛馬事件應(yīng)急響應(yīng)2018年5月，我司安服團隊接到某集團網(wǎng)站掛馬事件應(yīng)急響應(yīng)請求，客戶門戶網(wǎng)站被掛馬，非域名或IP直接訪問跳轉(zhuǎn)色情網(wǎng)站。應(yīng)急人員到達(dá)現(xiàn)場后，對網(wǎng)站系統(tǒng)、服務(wù)器文件、賬號、網(wǎng)絡(luò)鏈接、日志等多方面進(jìn)行分析，網(wǎng)站網(wǎng)頁被植入惡意JS腳本代碼，同時網(wǎng)站系統(tǒng)存在DOTNETCM