應(yīng)急響應(yīng)服務(wù)方案

應(yīng)急響應(yīng)服務(wù)方案

在應(yīng)急響應(yīng)過(guò)程中，必須嚴(yán)格遵守相關(guān)規(guī)范和標(biāo)準(zhǔn)，確保應(yīng)急響應(yīng)流程的規(guī)范化和標(biāo)準(zhǔn)化。協(xié)同性原則應(yīng)急響應(yīng)服務(wù)中心與客戶(hù)、相關(guān)部門(mén)和第三方合作伙伴之間建立良好的協(xié)同機(jī)制，實(shí)現(xiàn)信息共享和資源協(xié)調(diào)，提高應(yīng)急響應(yīng)效率和質(zhì)量。靈活性原則應(yīng)急響應(yīng)服務(wù)中心根據(jù)不同的應(yīng)急事件類(lèi)型和程度，靈活調(diào)整響應(yīng)策略和措施，確保應(yīng)急響應(yīng)的針對(duì)性和有效性。應(yīng)急處理原則在應(yīng)急事件發(fā)生時(shí)，應(yīng)按照以下原則進(jìn)行處理：快速響應(yīng)：及時(shí)啟動(dòng)應(yīng)急響應(yīng)機(jī)制，迅速掌握應(yīng)急事件的情況和影響程度，采取有效措施進(jìn)行處置?？茖W(xué)決策：根據(jù)應(yīng)急事件的類(lèi)型和程度，制定科學(xué)合理的應(yīng)急預(yù)案和處置方案，確保應(yīng)急響應(yīng)的有效性和針對(duì)性。資源優(yōu)化：合理調(diào)配應(yīng)急響應(yīng)所需的人員、物資和技術(shù)資源，最大限度地減少應(yīng)急事件的損失和影響。信息共享：及時(shí)向相關(guān)部門(mén)和第三方合作伙伴通報(bào)應(yīng)急事件的情況和處置進(jìn)展，實(shí)現(xiàn)信息共享和資源協(xié)調(diào)。應(yīng)急響應(yīng)服務(wù)應(yīng)急響應(yīng)服務(wù)包括以下內(nèi)容：應(yīng)急事件的影響程度評(píng)估和級(jí)別分類(lèi)；應(yīng)急事件的優(yōu)先級(jí)處理；應(yīng)急事件的響應(yīng)措施和流程；應(yīng)急事件的保障措施和組織機(jī)構(gòu)；應(yīng)急事件的現(xiàn)場(chǎng)處理和事后處理；應(yīng)急事件的預(yù)案制訂和演練。應(yīng)急事件的影響程度評(píng)估和級(jí)別分類(lèi)應(yīng)急事件的影響程度評(píng)估包括以下方面：影響范圍：應(yīng)急事件對(duì)系統(tǒng)、設(shè)備、數(shù)據(jù)和用戶(hù)等方面的影響范圍；影響程度：應(yīng)急事件對(duì)系統(tǒng)、設(shè)備、數(shù)據(jù)和用戶(hù)等方面的影響程度；影響時(shí)間：應(yīng)急事件對(duì)系統(tǒng)、設(shè)備、數(shù)據(jù)和用戶(hù)等方面的影響時(shí)間。根據(jù)應(yīng)急事件的影響程度，將其分為一般、重要和緊急三個(gè)級(jí)別，以便于優(yōu)先處理和分配資源。應(yīng)急事件的優(yōu)先級(jí)處理根據(jù)應(yīng)急事件的級(jí)別和影響程度，制定相應(yīng)的優(yōu)先級(jí)處理方案，確保應(yīng)急響應(yīng)的及時(shí)性和有效性。一般級(jí)別：在1個(gè)小時(shí)內(nèi)響應(yīng)，2個(gè)小時(shí)內(nèi)解決；重要級(jí)別：在30分鐘內(nèi)響應(yīng)，4個(gè)小時(shí)內(nèi)解決；緊急級(jí)別：在15分鐘內(nèi)響應(yīng)，8個(gè)小時(shí)內(nèi)解決。應(yīng)急事件的響應(yīng)措施和流程應(yīng)急事件的響應(yīng)措施和流程包括以下內(nèi)容：應(yīng)急事件的報(bào)告和確認(rèn)；應(yīng)急事件的評(píng)估和分類(lèi)；應(yīng)急事件的響應(yīng)策略和措施；應(yīng)急事件的處置和跟蹤；應(yīng)急事件的結(jié)束和總結(jié)。應(yīng)急事件的保障措施和組織機(jī)構(gòu)應(yīng)急事件的保障措施和組織機(jī)構(gòu)包括以下方面：應(yīng)急響應(yīng)服務(wù)中心的人員、設(shè)備和資源保障；應(yīng)急響應(yīng)服務(wù)中心的組織架構(gòu)和職責(zé)分工；應(yīng)急響應(yīng)服務(wù)中心與客戶(hù)、相關(guān)部門(mén)和第三方合作伙伴的協(xié)作機(jī)制。應(yīng)急事件的現(xiàn)場(chǎng)處理和事后處理應(yīng)急事件的現(xiàn)場(chǎng)處理和事后處理包括以下內(nèi)容：應(yīng)急事件的現(xiàn)場(chǎng)勘查和數(shù)據(jù)采集；應(yīng)急事件的證據(jù)保全和調(diào)查取證；應(yīng)急事件的損失評(píng)估和賠償處理；應(yīng)急事件的經(jīng)驗(yàn)總結(jié)和預(yù)案完善。應(yīng)急事件的預(yù)案制訂和演練應(yīng)急事件的預(yù)案制訂和演練包括以下方面：應(yīng)急預(yù)案的制訂和修訂；應(yīng)急預(yù)案的演練和評(píng)估；應(yīng)急預(yù)案的完善和推廣。應(yīng)急事件響應(yīng)建議在應(yīng)急事件響應(yīng)過(guò)程中，應(yīng)注意以下建議：及時(shí)報(bào)告：發(fā)現(xiàn)應(yīng)急事件后，應(yīng)及時(shí)向應(yīng)急響應(yīng)服務(wù)中心報(bào)告，確保應(yīng)急響應(yīng)的及時(shí)性和有效性。科學(xué)決策：在應(yīng)急事件的處理過(guò)程中，應(yīng)根據(jù)實(shí)際情況制定科學(xué)合理的應(yīng)急預(yù)案和處置方案，確保應(yīng)急響應(yīng)的針對(duì)性和有效性。資源優(yōu)化：在應(yīng)急事件的處理過(guò)程中，應(yīng)合理調(diào)配所需的人員、物資和技術(shù)資源，最大限度地減少應(yīng)急事件的損失和影響。信息共享：在應(yīng)急事件的處理過(guò)程中，應(yīng)及時(shí)向相關(guān)部門(mén)和第三方合作伙伴通報(bào)應(yīng)急事件的情況和處置進(jìn)展，實(shí)現(xiàn)信息共享和資源協(xié)調(diào)。應(yīng)急體系完善：應(yīng)不斷完善應(yīng)急響應(yīng)體系，提高應(yīng)急響應(yīng)的能力和水平，以應(yīng)對(duì)日益復(fù)雜和多樣化的應(yīng)急事件。每次應(yīng)急事件都需要嚴(yán)格記錄，記錄事件處理的全部過(guò)程，并要求現(xiàn)場(chǎng)處理事件的用戶(hù)簽署認(rèn)可建議。為了最小化事件對(duì)整個(gè)系統(tǒng)的影響，我們要強(qiáng)化處理前的分析與備份工作，并遵守保密原則，不向任何第三方透露事件處理的內(nèi)容、時(shí)間和地點(diǎn)。預(yù)防為主，我們要加強(qiáng)預(yù)警，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和信息系統(tǒng)的安全和穩(wěn)定。在應(yīng)急處理、應(yīng)急保障等環(huán)節(jié)，我們要采取多種措施，充分發(fā)揮各方面的作用，共同構(gòu)筑安全保障體系。在應(yīng)急事件發(fā)生時(shí)，我們要按照快速反應(yīng)機(jī)制，及時(shí)獲取充分而準(zhǔn)確的信息，跟蹤研判，果斷決策，迅速處置，最大程度地減少危害和影響。我們還要按照“誰(shuí)主管，誰(shuí)負(fù)責(zé)”的原則，建立和完善安全責(zé)任制及聯(lián)動(dòng)工作機(jī)制，加強(qiáng)各負(fù)責(zé)人的協(xié)調(diào)與配合，共同履行應(yīng)急處置工作的管理職責(zé)。我們把保障人員以及客戶(hù)利益的安全作為首要任務(wù)，加強(qiáng)技術(shù)儲(chǔ)備，規(guī)范應(yīng)急處置措施與操作流程，定期進(jìn)行預(yù)案演練，確保應(yīng)急預(yù)案切實(shí)有效，實(shí)現(xiàn)網(wǎng)絡(luò)與信息安全突發(fā)公共事件應(yīng)急處置的科學(xué)化、程序化與規(guī)范化。應(yīng)急事件響應(yīng)是當(dāng)應(yīng)急事件發(fā)生后迅速采取的措施和行為，其目的是以最快的速度恢復(fù)系統(tǒng)的保密性、完整性和可用性，降低應(yīng)急事件對(duì)業(yè)務(wù)系統(tǒng)造成的損失。我們除了有駐場(chǎng)工程師進(jìn)行日常巡檢和維護(hù)的工作外，還成立了信息系統(tǒng)運(yùn)維4S組，提供應(yīng)急響應(yīng)服務(wù)。當(dāng)設(shè)備、軟件和基礎(chǔ)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，我們?cè)瓌t上由駐場(chǎng)運(yùn)維工程師現(xiàn)場(chǎng)解決，如果現(xiàn)場(chǎng)服務(wù)工程師無(wú)法解決，事件升級(jí)為后臺(tái)技術(shù)支持團(tuán)隊(duì)解決。我們保障在1小時(shí)內(nèi)做出明確響應(yīng)和安排，2小時(shí)內(nèi)提供診斷報(bào)告和故障解決方案。同時(shí)，我們根據(jù)客戶(hù)的具體情況，制定和編寫(xiě)信息系統(tǒng)應(yīng)急預(yù)案，保障客戶(hù)信息系統(tǒng)的可靠、安全的運(yùn)行。應(yīng)急事件的影響程度通常分為單點(diǎn)損害、局部損害和整體損害3類(lèi)。在事件爆發(fā)的初期很難界定事件的起因具體是什么，因此，我們要通過(guò)安全威脅事件的影響程度來(lái)進(jìn)行分類(lèi)。單點(diǎn)損害只造成獨(dú)立個(gè)體的不可用，應(yīng)急事件影響程度較弱；局部損害造成某一系統(tǒng)或一個(gè)局部網(wǎng)絡(luò)不可使用，應(yīng)急事件影響程度較強(qiáng)；整體損害造成整個(gè)網(wǎng)絡(luò)系統(tǒng)的不可使用，應(yīng)急事件影響程度強(qiáng)。應(yīng)急事件的級(jí)別分為四個(gè)等級(jí)，根據(jù)對(duì)業(yè)務(wù)系統(tǒng)的影響程度從大到小的順序進(jìn)行劃分。P1級(jí)應(yīng)急事件是指重要業(yè)務(wù)系統(tǒng)或有重要影響的應(yīng)用系統(tǒng)宕機(jī)，系統(tǒng)重新引導(dǎo)后無(wú)法正常工作與恢復(fù)的事故，或造成安全泄密事件；P2級(jí)應(yīng)急事件是指重復(fù)發(fā)生或重復(fù)再現(xiàn)的并產(chǎn)生較強(qiáng)影響作用，導(dǎo)致系統(tǒng)正常運(yùn)行的事故；P3級(jí)應(yīng)急事件是指間歇產(chǎn)生、隨機(jī)產(chǎn)生的事故，但不影響系統(tǒng)的正常運(yùn)行；P4級(jí)應(yīng)急事件是指一般性事件，與業(yè)務(wù)系統(tǒng)運(yùn)行或產(chǎn)品使用要關(guān)的問(wèn)題，不影響整個(gè)系統(tǒng)的正常運(yùn)行。在事件處理中，事件處理要素分為管理層面和技術(shù)層面。P1、P2級(jí)事件的啟動(dòng)和指揮由應(yīng)急總負(fù)責(zé)人負(fù)責(zé)；P3、P4級(jí)事件的啟動(dòng)由應(yīng)急領(lǐng)導(dǎo)小組負(fù)責(zé)。事件動(dòng)態(tài)由應(yīng)急工作小組人員收集并及時(shí)反饋給應(yīng)急領(lǐng)導(dǎo)小組，應(yīng)急領(lǐng)導(dǎo)小組決定信息的共享、溝通、處置。信息系統(tǒng)事件發(fā)生后，事發(fā)部門(mén)立即啟動(dòng)相關(guān)應(yīng)急預(yù)案，實(shí)施處置并及時(shí)報(bào)送信息。分級(jí)響應(yīng)是指根據(jù)事件等級(jí)的不同，采取不同的響應(yīng)方式。發(fā)生P1、P2級(jí)事件，應(yīng)急工作小組初步判定事件級(jí)別后，將信息通知應(yīng)急領(lǐng)導(dǎo)小組并注意持續(xù)監(jiān)控事態(tài)、收集信息、做出應(yīng)急準(zhǔn)備；應(yīng)急領(lǐng)導(dǎo)小組響應(yīng)判斷為P1、P2級(jí)事件后，立即通知應(yīng)急總負(fù)責(zé)人，并由應(yīng)急總負(fù)責(zé)人啟動(dòng)應(yīng)急預(yù)案。發(fā)生P3、P4級(jí)事件，應(yīng)急工作小組初步判定事件級(jí)別后，將信息通知應(yīng)急領(lǐng)導(dǎo)小組并注意持續(xù)監(jiān)控事態(tài)、收集信息、做出應(yīng)急準(zhǔn)備；應(yīng)急領(lǐng)導(dǎo)小組響應(yīng)判斷為P3、P4級(jí)事件后，立即啟動(dòng)應(yīng)急預(yù)案。應(yīng)急事件的級(jí)別應(yīng)置于動(dòng)態(tài)調(diào)整控制中。指揮與協(xié)調(diào)是指在事件處理中，需要有統(tǒng)一的指揮和協(xié)調(diào)機(jī)制。P1、P2級(jí)事件，應(yīng)急工作小組收集信息，應(yīng)急領(lǐng)導(dǎo)小組做出預(yù)判，并迅速通知應(yīng)急總負(fù)責(zé)人，由應(yīng)急總負(fù)責(zé)人進(jìn)行指揮和決策。P3、P4級(jí)事件，應(yīng)急領(lǐng)導(dǎo)小組進(jìn)行指揮和決策，并及時(shí)將處理過(guò)程、報(bào)告等上報(bào)應(yīng)急總負(fù)責(zé)人。信息共享和處理是指在事件處理中，需要對(duì)信息進(jìn)行共享和處理。P1、P2級(jí)事件，應(yīng)急工作小組收集信息并提交給應(yīng)急領(lǐng)導(dǎo)小組和應(yīng)急總負(fù)責(zé)人，由應(yīng)急總負(fù)責(zé)人決定信息的分發(fā)、共享和處置。P3、P4級(jí)事件，由應(yīng)急領(lǐng)導(dǎo)小組決定信息的分發(fā)、共享和處置，并上報(bào)應(yīng)急總負(fù)責(zé)人。應(yīng)急事件響應(yīng)包括準(zhǔn)備、識(shí)別事件、抑制、解決問(wèn)題、恢復(fù)以及后續(xù)跟蹤。在處理客戶(hù)緊急事件時(shí)，首先要保護(hù)或恢復(fù)計(jì)算機(jī)、網(wǎng)絡(luò)服務(wù)等，使其恢復(fù)正常運(yùn)行，然后再對(duì)事件進(jìn)行追查。為了有效地應(yīng)對(duì)緊急事件，我們需要進(jìn)行一系列準(zhǔn)備工作。首先，建立客戶(hù)事件檔案，并與客戶(hù)就故障級(jí)別進(jìn)行定義。接著，準(zhǔn)備應(yīng)急事件緊急響應(yīng)服務(wù)相關(guān)資源，并為一個(gè)應(yīng)急事件的處理取得管理方面支持。組建事件處理隊(duì)伍，并提供易實(shí)現(xiàn)的初步報(bào)告。制定一個(gè)緊急后備方案，并隨時(shí)與管理員保持聯(lián)系。識(shí)別事件后，指派安全服務(wù)小組去負(fù)責(zé)此事件，并抄送專(zhuān)家小組。進(jìn)行初步評(píng)估，確定事件原因，并保護(hù)可追查的線(xiàn)索，如立即對(duì)日志、數(shù)據(jù)進(jìn)行備份。聯(lián)系客戶(hù)系統(tǒng)的相關(guān)服務(wù)商、廠(chǎng)商，并縮小事件的影響范圍。確定系統(tǒng)繼續(xù)運(yùn)行的風(fēng)險(xiǎn)，決定是否關(guān)閉系統(tǒng)及采取其他措施。與客戶(hù)相關(guān)工作人員保持聯(lián)系、協(xié)商，并根據(jù)需求制訂相應(yīng)的應(yīng)急措施。解決問(wèn)題后，我們需要進(jìn)行事件的起因分析、事后取證調(diào)查、后門(mén)檢查和漏洞分析，并提供解決方案。結(jié)果需要提交專(zhuān)家小組審核，并進(jìn)行后續(xù)工作。檢查是不是所有的服務(wù)都已經(jīng)恢復(fù)，其發(fā)生的原因是否已經(jīng)處理，應(yīng)急響應(yīng)步驟是否需要修改。生成緊急響應(yīng)報(bào)告，并擬定一份事件記錄和跟蹤報(bào)告。最后，將事件合并并錄入信息知識(shí)庫(kù)。為了保證應(yīng)急響應(yīng)的質(zhì)量和效率，我們還需要進(jìn)行應(yīng)急響應(yīng)保障措施。首先是工具保障，我們建立了一套專(zhuān)門(mén)用于應(yīng)急響應(yīng)工具庫(kù)，并為工程師提供一人一套工具。同時(shí)，將此工具庫(kù)進(jìn)行了多套備份，并指定專(zhuān)業(yè)技術(shù)人員進(jìn)行管理與維護(hù)。其次是技術(shù)和人員保障，公司擁有一支技術(shù)精湛、專(zhuān)業(yè)、穩(wěn)定的技術(shù)團(tuán)隊(duì)，并定期進(jìn)行專(zhuān)項(xiàng)技術(shù)培訓(xùn)研究。此外，公司也鼓勵(lì)員工報(bào)考知名廠(chǎng)商技術(shù)認(rèn)證，進(jìn)行更專(zhuān)業(yè)的技術(shù)研究。交通保障方面，公司提供應(yīng)急車(chē)輛保障，以保證能夠在突發(fā)應(yīng)急事件時(shí)做出快速響應(yīng)。最后是財(cái)力保障，公司有專(zhuān)門(mén)的經(jīng)費(fèi)和審批流程，以確保在應(yīng)急響應(yīng)處理過(guò)程中需要的款項(xiàng)能迅速到位，保障應(yīng)急事件的處理和故障恢復(fù)。審核并批準(zhǔn)經(jīng)費(fèi)預(yù)算；審核并批準(zhǔn)恢復(fù)策略；審核并批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃；啟動(dòng)定期評(píng)審、修訂應(yīng)急響應(yīng)計(jì)劃；指導(dǎo)應(yīng)急響應(yīng)實(shí)施小組的應(yīng)急處置工作；啟動(dòng)應(yīng)急響應(yīng)流程。技術(shù)人員準(zhǔn)備內(nèi)容備份系統(tǒng)的運(yùn)行和維護(hù)；制定應(yīng)急預(yù)案；協(xié)助災(zāi)難恢復(fù)系統(tǒng)實(shí)施；組織應(yīng)急響應(yīng)計(jì)劃的測(cè)試和演練；確定應(yīng)急策略和等級(jí)以及策略的實(shí)現(xiàn)。檢測(cè)階段目標(biāo)：確認(rèn)是否有該類(lèi)事件的專(zhuān)項(xiàng)預(yù)案。角色：現(xiàn)場(chǎng)實(shí)施人員。內(nèi)容：現(xiàn)場(chǎng)勘查確定檢測(cè)方案。如果有專(zhuān)項(xiàng)預(yù)案，則進(jìn)入抑制階段；如果沒(méi)有，則進(jìn)入準(zhǔn)備階段。抑制階段目標(biāo)：確認(rèn)和認(rèn)可抑制的方法，并進(jìn)行根除的實(shí)施。角色：現(xiàn)場(chǎng)實(shí)施人員。內(nèi)容：確認(rèn)和認(rèn)可抑制的方法，并進(jìn)行根除的實(shí)施。如果根除成功，則進(jìn)入恢復(fù)階段；如果根除失敗，則重新進(jìn)入檢測(cè)階段。根除階段目標(biāo)：確認(rèn)和認(rèn)可根除的方法，并進(jìn)行根除的實(shí)施。角色：現(xiàn)場(chǎng)實(shí)施人員。內(nèi)容：確認(rèn)和認(rèn)可根除的方法，并進(jìn)行根除的實(shí)施。如果根除成功，則進(jìn)入恢復(fù)階段；如果根除失敗，則重新進(jìn)入檢測(cè)階段?；謴?fù)階段目標(biāo)：根據(jù)確認(rèn)的恢復(fù)方案進(jìn)行信息系統(tǒng)的恢復(fù)。角色：現(xiàn)場(chǎng)實(shí)施人員。內(nèi)容：根據(jù)確認(rèn)的恢復(fù)方案進(jìn)行信息系統(tǒng)的恢復(fù)?？偨Y(jié)階段目標(biāo)：回顧并完善整個(gè)事件的處理過(guò)程并進(jìn)行總結(jié)。角色：組織人員，技術(shù)人員。內(nèi)容：形成事故報(bào)告為服務(wù)對(duì)象提出安全建議。組織的外部協(xié)作如果需要向其他第三方設(shè)備供應(yīng)商或軟件開(kāi)發(fā)商尋求支持時(shí)，將聯(lián)系第三方服務(wù)單位提供協(xié)作和技術(shù)支持。針對(duì)項(xiàng)目，我們公司成立了應(yīng)急處置小組，包括應(yīng)急領(lǐng)導(dǎo)小組和應(yīng)急工作小組。應(yīng)急領(lǐng)導(dǎo)小組是信息安全應(yīng)急響應(yīng)工作的組織領(lǐng)導(dǎo)機(jī)構(gòu)，負(fù)責(zé)統(tǒng)一領(lǐng)導(dǎo)公司內(nèi)部信息系統(tǒng)的應(yīng)急事件應(yīng)對(duì)工作。應(yīng)急工作小組由運(yùn)維服務(wù)小組人員組成，負(fù)責(zé)落實(shí)應(yīng)急領(lǐng)導(dǎo)小組的任務(wù)和制定應(yīng)急預(yù)案，并監(jiān)督執(zhí)行情況。應(yīng)急響應(yīng)流程共包括6個(gè)階段，分別是準(zhǔn)備階段、檢測(cè)階段、抑制階段、根除階段、恢復(fù)階段和總結(jié)階段。在每個(gè)階段都有其應(yīng)完成的目標(biāo)、實(shí)施人員角色以及階段的結(jié)果輸出。在應(yīng)急響應(yīng)流程中，組織人員和技術(shù)人員都有不同的準(zhǔn)備工作，以確保應(yīng)急響應(yīng)的有效性。如果需要外部協(xié)作，將聯(lián)系第三方服務(wù)單位提供協(xié)作和技術(shù)支持。審核經(jīng)費(fèi)預(yù)算、恢復(fù)策略和應(yīng)急響應(yīng)計(jì)劃，批準(zhǔn)并監(jiān)督應(yīng)急響應(yīng)計(jì)劃的執(zhí)行，指導(dǎo)應(yīng)急響應(yīng)實(shí)施小組的應(yīng)急處置工作以及啟動(dòng)定期評(píng)審和修訂應(yīng)急響應(yīng)計(jì)劃，同時(shí)負(fù)責(zé)組織外部協(xié)作。在服務(wù)需求界定階段，首先需要對(duì)整個(gè)信息系統(tǒng)進(jìn)行評(píng)估，明確應(yīng)急需求。這包括了解各項(xiàng)業(yè)務(wù)功能及其之間的相關(guān)性，確定支持各種業(yè)務(wù)功能的相關(guān)信息系統(tǒng)資源和其他資源，明確相關(guān)信息的保密性、完整性和可用性要求。還需要對(duì)信息系統(tǒng)進(jìn)行評(píng)估，包括應(yīng)用程序、服務(wù)器、網(wǎng)絡(luò)及任何管理和維護(hù)這些系統(tǒng)的流程，確定系統(tǒng)所執(zhí)行的關(guān)鍵功能，并確定執(zhí)行這些關(guān)鍵功能所需要的特定系統(tǒng)資源。采用定性或定量的方法，對(duì)業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等應(yīng)急事件造成的影響進(jìn)行評(píng)估。協(xié)助客戶(hù)建立適當(dāng)?shù)膽?yīng)急響應(yīng)策略，提供在業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等應(yīng)急事件發(fā)生后快速有效的恢復(fù)信息系統(tǒng)運(yùn)行的方法。為用戶(hù)提供相關(guān)的培訓(xùn)服務(wù)，以提高用戶(hù)的安全意識(shí)，便于相關(guān)責(zé)任人明確自己的角色和責(zé)任，了解常見(jiàn)的應(yīng)急事件和入侵行為，熟悉應(yīng)急響應(yīng)策略。在主機(jī)和網(wǎng)絡(luò)設(shè)備安全初始化階段，需要對(duì)系統(tǒng)優(yōu)生次初始安全狀態(tài)快照。這樣，如果以后出現(xiàn)事故后對(duì)該服務(wù)器做安全檢測(cè)時(shí)，通過(guò)將初始化快照做的結(jié)果與檢測(cè)階段做的快照進(jìn)行比較，就能夠發(fā)現(xiàn)系統(tǒng)的改動(dòng)或異常。對(duì)主機(jī)系統(tǒng)做一個(gè)標(biāo)準(zhǔn)的安全初始化的狀態(tài)快照，包括日志及審核策略快照、用戶(hù)賬戶(hù)快照、進(jìn)程快照、服務(wù)快照、自啟動(dòng)快照、關(guān)鍵文件簽名快照、開(kāi)放端口快照、系統(tǒng)資源利用率的快照、注冊(cè)表快照和計(jì)劃任務(wù)快照等。對(duì)網(wǎng)絡(luò)設(shè)備做一個(gè)標(biāo)準(zhǔn)的安全初始化的狀態(tài)，包括路由器快照、安全設(shè)備快照、用戶(hù)快照和系統(tǒng)資源利用率等快照。信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)及辦公數(shù)據(jù)均十分重要，因此需要進(jìn)行數(shù)據(jù)存儲(chǔ)及備份。目前，存儲(chǔ)備份結(jié)構(gòu)主要有DAS、SAN和NAS，以及通過(guò)磁帶或光盤(pán)對(duì)數(shù)據(jù)進(jìn)行備份。可根據(jù)不同的特點(diǎn)選擇不同的存儲(chǔ)產(chǎn)品構(gòu)建自己的數(shù)據(jù)存儲(chǔ)備份系統(tǒng)。在工具包的準(zhǔn)備階段，需要根據(jù)用戶(hù)的需求準(zhǔn)備處置網(wǎng)絡(luò)應(yīng)急事件的工具包，包括常用的系統(tǒng)基本命令、其他軟件工具等。工具包中的工具采用綠色免安裝的，保存在安全的移動(dòng)介質(zhì)上，如一次性可寫(xiě)光盤(pán)、加密的U盤(pán)等。工具包應(yīng)定期更新、補(bǔ)充。最后，需要準(zhǔn)備必要的技術(shù)，以便在應(yīng)急事件發(fā)生時(shí)能夠快速、有效地響應(yīng)和處置。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的技術(shù)基礎(chǔ)包括應(yīng)急響應(yīng)的事件取樣、事件分析、事件隔離、系統(tǒng)恢復(fù)和攻擊追蹤等各個(gè)方面。應(yīng)急響應(yīng)服務(wù)實(shí)施成員還應(yīng)該掌握一些必要的技術(shù)手段和規(guī)范，如系統(tǒng)檢測(cè)技術(shù)、攻擊檢測(cè)技術(shù)、現(xiàn)場(chǎng)取樣技術(shù)、系統(tǒng)安全加固技術(shù)、攻擊隔離技術(shù)和資產(chǎn)備份恢復(fù)技術(shù)。在檢測(cè)階段，應(yīng)急服務(wù)實(shí)施小組成員和應(yīng)急響應(yīng)日常運(yùn)行小組的角色是接到事故報(bào)警后在用戶(hù)的配合下對(duì)異常的系統(tǒng)進(jìn)行初步分析，確認(rèn)其是否真正發(fā)生了信息應(yīng)急事件，并制訂進(jìn)一步的響應(yīng)策略，并保留證據(jù)。具體內(nèi)容包括檢測(cè)范圍及對(duì)象的確定、檢測(cè)方案的確定、檢測(cè)方案的實(shí)施、檢測(cè)結(jié)果的處理和實(shí)施小組人員的確定。為了確定實(shí)施人員的名單，應(yīng)急響應(yīng)負(fù)責(zé)人需要根據(jù)《事件初步報(bào)告表》的內(nèi)容初步分析事故的類(lèi)型、嚴(yán)重程度等。在確定檢測(cè)范圍及對(duì)象時(shí)，需要對(duì)發(fā)生異常的系統(tǒng)進(jìn)行初步分析，判斷是否真正發(fā)生了應(yīng)急事件，并與用戶(hù)共同確定檢測(cè)對(duì)象及范圍，必須得到用戶(hù)的書(shū)面授權(quán)。在制訂檢測(cè)方案時(shí)，應(yīng)與用戶(hù)共同確定檢測(cè)方案，并明確所使用的檢測(cè)規(guī)范。檢測(cè)范圍應(yīng)僅限于用戶(hù)已授權(quán)的與應(yīng)急事件相關(guān)的數(shù)據(jù)，對(duì)用戶(hù)的機(jī)密性數(shù)據(jù)信息未經(jīng)允許不得訪(fǎng)問(wèn)。制訂的檢測(cè)方案應(yīng)包含實(shí)施方案失敗的應(yīng)變和回退措施，并預(yù)測(cè)應(yīng)急處理方案可能造成的影響。在檢測(cè)方案的實(shí)施過(guò)程中，需要搜集系統(tǒng)信息、操作系統(tǒng)基本信息、日志信息、賬號(hào)信息等，并進(jìn)行主機(jī)、日志、賬號(hào)、進(jìn)程、服務(wù)、自啟動(dòng)、網(wǎng)絡(luò)連接和共享等方面的檢查，以檢測(cè)出未授權(quán)訪(fǎng)問(wèn)或非法登錄等異常情況。文件檢查包括檢查病毒、木馬、蠕蟲(chóng)、后門(mén)等可疑文件，同時(shí)查找其他系統(tǒng)上的入侵痕跡，以便尋找攻擊途徑。經(jīng)過(guò)檢測(cè)，我們可以確定信息應(yīng)急事件的類(lèi)型。信息應(yīng)急事件分為七個(gè)基本分類(lèi)，包括有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容應(yīng)急事件、設(shè)備設(shè)施故障、災(zāi)害性事件以及其他信息應(yīng)急事件。接下來(lái)，我們需要對(duì)突發(fā)信息應(yīng)急事件造成的影響進(jìn)行評(píng)估，采用定量和/或定性的方法，評(píng)估業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓、數(shù)據(jù)丟失等突發(fā)信息應(yīng)急事件造成的影響。如果存在針對(duì)該事件的特定系統(tǒng)預(yù)案，我們需要啟動(dòng)相關(guān)預(yù)案；如果事件涉及多個(gè)專(zhuān)項(xiàng)預(yù)案，應(yīng)同時(shí)啟動(dòng)所有涉及的專(zhuān)項(xiàng)預(yù)案；如果沒(méi)有針對(duì)該事件的專(zhuān)項(xiàng)預(yù)案，應(yīng)根據(jù)事件具體情況，采取抑制措施，抑制事件進(jìn)一步擴(kuò)散。在抑制階段，我們的目標(biāo)是及時(shí)采取行動(dòng)限制事件擴(kuò)散和影響的范圍，限制潛在的損失與破壞，同時(shí)要確保封鎖方法對(duì)涉及相關(guān)業(yè)務(wù)影響最小。抑制階段的內(nèi)容包括抑制方案的確定、抑制方案的認(rèn)可、抑制方案的實(shí)施以及抑制效果的判定。在確定抑制方法時(shí)，應(yīng)全面評(píng)估應(yīng)急事件的影響和損失，通過(guò)分析得到的其他結(jié)論，用戶(hù)的業(yè)務(wù)和重點(diǎn)決策過(guò)程以及用戶(hù)的業(yè)務(wù)連續(xù)性。在采取抑制措施之前，應(yīng)與用戶(hù)充分溝通，告知可能存在的風(fēng)險(xiǎn)，制訂應(yīng)變和回退措施，并與其達(dá)成協(xié)議。抑制方案的實(shí)施在實(shí)施抑制方案時(shí)，必須嚴(yán)格按照相關(guān)約定，不得隨意更改抑制措施的范圍。如果必須更改，必須獲得用戶(hù)的授權(quán)。抑制措施應(yīng)該包括以下方面：1.確定受害系統(tǒng)的范圍后，將受害系統(tǒng)和正常的系統(tǒng)進(jìn)行隔離，斷開(kāi)或暫時(shí)關(guān)閉被影響的系統(tǒng)，使攻擊先徹底停止。2.持續(xù)監(jiān)視系統(tǒng)和網(wǎng)絡(luò)活動(dòng)，記錄異常流量的遠(yuǎn)程IP、域名、端口。3.停止或刪除系統(tǒng)非正常賬號(hào)，隱藏賬號(hào)，更改口令，加強(qiáng)口令的安全級(jí)別。4.掛起或結(jié)束未被授權(quán)的、可疑的應(yīng)用程序和進(jìn)程。5.關(guān)閉存在的非法服務(wù)和不必要的服務(wù)。6.刪除系統(tǒng)各用戶(hù)“啟動(dòng)”目錄下未授權(quán)自啟動(dòng)程序。7.使用工具或命令停止所有開(kāi)放的共享。8.使用反病毒軟件或其他安全工具檢查文件，掃描硬盤(pán)上所有的文件，隔離或清除病毒、木馬、蠕蟲(chóng)、后門(mén)等可疑文件。抑制效果的判定在實(shí)施抑制措施后，需要對(duì)抑制效果進(jìn)行判定。主要包括以下兩個(gè)方面：1.是否防止了事件繼續(xù)擴(kuò)散，限制了潛在的損失和破壞，使目前損失最小化。2.對(duì)其他相關(guān)業(yè)務(wù)的影響是否控制在最小。根除階段在應(yīng)急事件進(jìn)行抑制之后，需要進(jìn)行根除階段。根除階段的目標(biāo)是找出事件根源，明確相應(yīng)的補(bǔ)救措施并徹底清除事件。根除階段的角色包括應(yīng)急服務(wù)實(shí)施小組和應(yīng)急響應(yīng)日常運(yùn)行小組。根除階段包括以下內(nèi)容：1.根除方案的確定。2.根除方案的認(rèn)可。3.根除方案的實(shí)施。4.根除效果的判定。根除方案的確定在協(xié)助用戶(hù)檢查所有受影響的系統(tǒng)的基礎(chǔ)上，提出方案建議。在確定根除方法時(shí)，需要了解攻擊者是如何入侵的，以及與這種入侵方法相同和相似的各種方法。根除方案的認(rèn)可需要明確告知用戶(hù)所采取的根除措施可能帶來(lái)的風(fēng)險(xiǎn)，制定應(yīng)變和回退措施，并得到用戶(hù)的書(shū)面授權(quán)。協(xié)助用戶(hù)進(jìn)行根除方法的實(shí)施。根除方案的實(shí)施在實(shí)施根除方案時(shí)，需要使用可信的工具進(jìn)行應(yīng)急事件的根除處理。不得使用受害系統(tǒng)已有的不可信的文件和工具。根除措施應(yīng)該包括以下方面：1.改變?nèi)靠赡苁艿焦舻南到y(tǒng)賬號(hào)和口令，并增加口令的安全級(jí)別。2.修補(bǔ)系統(tǒng)、網(wǎng)絡(luò)和其他軟件漏洞。3.增強(qiáng)防護(hù)功能，復(fù)查所有防護(hù)措施的配置，安裝最新的安全設(shè)備和殺毒軟件，并及時(shí)更新，對(duì)未受保護(hù)或者保護(hù)不夠的系統(tǒng)增加新的防護(hù)措施。4.提高其監(jiān)視保護(hù)級(jí)別，以保證將來(lái)對(duì)類(lèi)似的入侵進(jìn)行檢測(cè)。根除效果的判定在根除處理完成后，需要找出造成事件的原因，并備份與造成事件相關(guān)的文件和數(shù)據(jù)。對(duì)系統(tǒng)中造成事件的文件進(jìn)行清理，根除，使系統(tǒng)能夠正常工作。最后，輸出根除處理記錄表?；謴?fù)階段在恢復(fù)階段，我們的目標(biāo)是恢復(fù)應(yīng)急事件所涉及的系統(tǒng)，并將其還原到正常狀態(tài)，以使業(yè)務(wù)能夠正常進(jìn)行。我們需要避免誤操作導(dǎo)致數(shù)據(jù)丟失。在這個(gè)階段，應(yīng)急服務(wù)實(shí)施小組和應(yīng)急響應(yīng)日常運(yùn)行小組扮演著重要的角色。恢復(fù)方案的確定我們需要告知用戶(hù)一個(gè)或多個(gè)能從應(yīng)急事件中恢復(fù)系統(tǒng)的方法，及它們可能存在的風(fēng)險(xiǎn)。并與用戶(hù)共同確定系統(tǒng)恢復(fù)方案。我們需要根據(jù)抑制和根除的情況，協(xié)助用戶(hù)選擇合適的系統(tǒng)恢復(fù)方案?；謴?fù)方案涉及以下幾個(gè)方面：如何獲得訪(fǎng)問(wèn)受損設(shè)施或地理區(qū)域的授權(quán)；如何通知相關(guān)系統(tǒng)的內(nèi)部和外部業(yè)務(wù)伙伴；如何獲得安裝所需的硬件部件；如何獲得裝載備份介質(zhì)，如何恢復(fù)關(guān)鍵操作系統(tǒng)和應(yīng)用軟件；如何恢復(fù)系統(tǒng)數(shù)據(jù)；如何成功運(yùn)行備用設(shè)備。在確定恢復(fù)方法時(shí)，如果涉及到涉密數(shù)據(jù)，我們需要遵循相應(yīng)的保密要求?；謴?fù)信息系統(tǒng)在恢復(fù)信息系統(tǒng)時(shí)，我們需要按照系統(tǒng)的初始化安全策略來(lái)恢復(fù)系統(tǒng)。我們需要根據(jù)系統(tǒng)中各子系統(tǒng)的重要性，確定系統(tǒng)恢復(fù)的順序?；謴?fù)系統(tǒng)過(guò)程宜包含但不限于以下方面：利用正確的備份恢復(fù)用戶(hù)數(shù)據(jù)和配置信息；開(kāi)啟系統(tǒng)和應(yīng)用服務(wù)，將受到入侵或者懷疑存在漏洞而關(guān)閉的服務(wù)修改后重新開(kāi)放；連接網(wǎng)絡(luò)，服務(wù)重新上線(xiàn)，并持續(xù)監(jiān)控、持續(xù)匯總分析，了解各網(wǎng)的運(yùn)行情況。當(dāng)不能徹底恢復(fù)配置和清除系統(tǒng)上的惡意文件，或不能肯定系統(tǒng)在根除處理后是否已恢復(fù)正常時(shí)，我們應(yīng)選擇徹底重建系統(tǒng)。我們需要協(xié)助用戶(hù)驗(yàn)證恢復(fù)后的系統(tǒng)是否正常運(yùn)行，并幫助用戶(hù)對(duì)重建后的系統(tǒng)進(jìn)行安全加固。最后，我們需要幫助用戶(hù)為重建后的系統(tǒng)建立系統(tǒng)快照和備份?？偨Y(jié)階段在總結(jié)階段，我們的目標(biāo)是通過(guò)以上各個(gè)階段的記錄表格，回顧應(yīng)急事件處理的全過(guò)程，整理與事件相關(guān)的各種信息，進(jìn)行總結(jié)，并盡可能地把所有信息記錄到文檔中。在這個(gè)階段，應(yīng)急服務(wù)實(shí)施小組和應(yīng)急響應(yīng)日常運(yùn)行小組繼續(xù)扮演著重要的角色。事故總結(jié)我們需要及時(shí)檢查應(yīng)急事件處理記錄是否齊全，是否具備可塑性，并對(duì)事件處理過(guò)程進(jìn)行總結(jié)和分析。應(yīng)急處理總結(jié)的具體工作包括但不限于以下幾項(xiàng)：事件發(fā)生的現(xiàn)象總結(jié)；事件發(fā)生的原因分析；系統(tǒng)的損害程度評(píng)估；事件損失估計(jì)；采取的主要應(yīng)對(duì)措施；相關(guān)的工具文檔（如專(zhuān)項(xiàng)預(yù)案、方案等）歸檔。事故報(bào)告我們需要向用戶(hù)提供完備的網(wǎng)絡(luò)應(yīng)急事件處理報(bào)告，并向用戶(hù)提供措施和建議。最后，我們需要制定各類(lèi)應(yīng)急事件處理預(yù)案，以備不時(shí)之需。設(shè)備發(fā)生被盜或人為損害事件應(yīng)急預(yù)案此處未提及具體內(nèi)容，建議補(bǔ)充）當(dāng)發(fā)現(xiàn)黑客攻擊事件時(shí)，運(yùn)維人員應(yīng)立即斷開(kāi)網(wǎng)絡(luò)，保護(hù)現(xiàn)場(chǎng)，并報(bào)告應(yīng)急領(lǐng)導(dǎo)小組和運(yùn)維服務(wù)小組。運(yùn)維服務(wù)小組應(yīng)根據(jù)應(yīng)急領(lǐng)導(dǎo)小組的指令，采取隔離網(wǎng)絡(luò)等措施，及時(shí)清除黑客攻擊，保障系統(tǒng)安全運(yùn)行。用戶(hù)單位應(yīng)積極配合公安部門(mén)進(jìn)行調(diào)查，并向應(yīng)急領(lǐng)導(dǎo)小組匯報(bào)有關(guān)情況。運(yùn)維服務(wù)小組和用戶(hù)單位應(yīng)在調(diào)查結(jié)束后一日內(nèi)書(shū)面報(bào)告應(yīng)急領(lǐng)導(dǎo)小組。事態(tài)或后果嚴(yán)重的，應(yīng)向相關(guān)領(lǐng)導(dǎo)匯報(bào)。處置結(jié)束后，運(yùn)維服務(wù)小組應(yīng)將事發(fā)經(jīng)過(guò)、造成影響、處置結(jié)果在調(diào)查工作結(jié)束后一日內(nèi)書(shū)面報(bào)告應(yīng)急領(lǐng)導(dǎo)小組。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)被非法入侵、網(wǎng)頁(yè)內(nèi)容被篡改或應(yīng)用服務(wù)器上的數(shù)據(jù)被非法拷貝、修改、刪除時(shí)，運(yùn)維人員或系統(tǒng)管理員應(yīng)立即斷開(kāi)網(wǎng)絡(luò)，并向應(yīng)急領(lǐng)導(dǎo)小組報(bào)告。應(yīng)急領(lǐng)導(dǎo)小組應(yīng)立即指令運(yùn)維服務(wù)小組核實(shí)情況，關(guān)閉服務(wù)器或系統(tǒng)，修改防火墻和路由器的過(guò)濾規(guī)則，封鎖或刪除被攻破的登陸賬號(hào)，阻斷可疑用戶(hù)進(jìn)入網(wǎng)絡(luò)的通道。運(yùn)維服務(wù)小組應(yīng)及時(shí)清理系統(tǒng)，恢復(fù)數(shù)據(jù)、程序，恢復(fù)系統(tǒng)和網(wǎng)絡(luò)正常。如果情況嚴(yán)重，應(yīng)向應(yīng)急領(lǐng)導(dǎo)小組匯報(bào)，并請(qǐng)求支援。處置結(jié)束后，運(yùn)維服務(wù)小組應(yīng)在調(diào)查工作結(jié)束后一日內(nèi)報(bào)告應(yīng)急領(lǐng)導(dǎo)小組。發(fā)生核心設(shè)備硬件故障后，運(yùn)維服務(wù)小組應(yīng)立即報(bào)告應(yīng)急領(lǐng)導(dǎo)小組，并組織查找、確定故障設(shè)備及故障原因，進(jìn)行先期處置。如果故障設(shè)備在短時(shí)間內(nèi)無(wú)法修復(fù)，運(yùn)維服務(wù)小組應(yīng)啟動(dòng)備份設(shè)備，保持系統(tǒng)正常運(yùn)行，并將故障設(shè)備脫離網(wǎng)絡(luò)進(jìn)行故障排除工作。運(yùn)維服務(wù)小組應(yīng)在網(wǎng)絡(luò)空閑時(shí)期替換備用設(shè)備，若故障仍然存在，應(yīng)立即聯(lián)系相關(guān)廠(chǎng)商，并認(rèn)真填寫(xiě)設(shè)備故障報(bào)告單備查。如果事態(tài)或后果嚴(yán)重，應(yīng)向應(yīng)急領(lǐng)導(dǎo)小組匯報(bào)。處置結(jié)束后，運(yùn)維服務(wù)小組應(yīng)在調(diào)查工作結(jié)束后一日內(nèi)報(bào)告應(yīng)急領(lǐng)導(dǎo)小組。發(fā)生業(yè)務(wù)數(shù)據(jù)損壞時(shí)，運(yùn)維服務(wù)小組應(yīng)及時(shí)報(bào)告應(yīng)急領(lǐng)導(dǎo)小組，并檢查、備份業(yè)務(wù)系統(tǒng)當(dāng)前數(shù)據(jù)。運(yùn)維服務(wù)小組負(fù)責(zé)調(diào)用備份服務(wù)器備份數(shù)據(jù)，若備份數(shù)據(jù)損壞，則調(diào)用歷史備份數(shù)據(jù)或異地備份數(shù)據(jù)。如果業(yè)務(wù)數(shù)據(jù)損壞事件超過(guò)2小時(shí)，運(yùn)維服務(wù)小組應(yīng)及時(shí)報(bào)告應(yīng)急領(lǐng)導(dǎo)小組，并通知業(yè)務(wù)部門(mén)以手工方式開(kāi)展業(yè)務(wù)。待業(yè)務(wù)數(shù)據(jù)系統(tǒng)恢復(fù)后，運(yùn)維服務(wù)小組應(yīng)檢查歷史數(shù)據(jù)和當(dāng)前數(shù)據(jù)的差別，并由相關(guān)系統(tǒng)業(yè)務(wù)員補(bǔ)錄數(shù)據(jù)。重新備份數(shù)據(jù)，并在工作結(jié)束后一日內(nèi)報(bào)告應(yīng)急領(lǐng)導(dǎo)小組。在應(yīng)急事件現(xiàn)場(chǎng)處理方面，緊急消除是最核心的問(wèn)題。如果應(yīng)急事件屬于計(jì)算機(jī)病毒，可以使用殺毒軟件進(jìn)行消除。如果應(yīng)急事件屬于入侵者，應(yīng)當(dāng)首先對(duì)入侵者進(jìn)行監(jiān)視、跟蹤，確定入侵行為的痕跡并消除之，然后利用完整性檢查工具進(jìn)行檢查，最后擺脫入侵者?；謴?fù)系統(tǒng)可以采取現(xiàn)場(chǎng)聯(lián)機(jī)恢復(fù)和關(guān)閉網(wǎng)絡(luò)連接恢復(fù)兩種方法。一旦發(fā)生攻擊，如果無(wú)法采取關(guān)機(jī)和關(guān)閉網(wǎng)絡(luò)連接等措施，就需要進(jìn)行現(xiàn)場(chǎng)聯(lián)機(jī)恢復(fù)。如果系統(tǒng)采用了雙機(jī)備份結(jié)構(gòu)，可以采用聯(lián)機(jī)切換方式，先進(jìn)行切換再進(jìn)行恢復(fù)。在發(fā)現(xiàn)入侵者后，監(jiān)視其行為是必要的。可以使用系統(tǒng)服務(wù)了解攻擊者使用了哪個(gè)進(jìn)程，監(jiān)視網(wǎng)絡(luò)出入情況。在采用機(jī)器監(jiān)視的方法時(shí)，要注意反監(jiān)視問(wèn)題的處理。應(yīng)急事件發(fā)生時(shí)，要記錄事件現(xiàn)場(chǎng)，包括時(shí)間、地點(diǎn)、打印拷貝、記錄拷貝時(shí)間、記錄對(duì)話(huà)內(nèi)容，并盡可能采用自動(dòng)化的記錄方法。攻擊自動(dòng)發(fā)現(xiàn)系統(tǒng)可以發(fā)現(xiàn)攻擊行為，并為系統(tǒng)管理員和信息系統(tǒng)安全員發(fā)出報(bào)警信號(hào)，可以通過(guò)聲音、e-mail、手機(jī)、電話(huà)等方式表現(xiàn)。系統(tǒng)應(yīng)急事件事后處理包括事件后消除、彌補(bǔ)系統(tǒng)脆弱性、分析原因、總結(jié)教訓(xùn)、完善安全策略、結(jié)構(gòu)、服務(wù)和過(guò)程等。消除威脅是應(yīng)急事件處理最核心的問(wèn)題，主要是指消除應(yīng)急事件的原因。如果應(yīng)急事件的原因是廠(chǎng)商的后門(mén)軟件、間諜軟件，則需要向廠(chǎng)商提出交涉，消除該軟件或關(guān)閉廠(chǎng)商保留的端口。如果應(yīng)急事件的原因是程序化入侵，則需要?jiǎng)h