網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)方案

2準(zhǔn)備階段(Preparation) 6 3檢測(cè)階段(Examination) 11 4抑制階段(Suppresses) 17 5根除階段(Eradicates) 19 6恢復(fù)階段(Restoration) 21 7總結(jié)階段(Summary) 237.1交付.....................................................................................................................231.1服務(wù)范圍為采購(gòu)人提供安全事件應(yīng)急響應(yīng)和處理服務(wù)，在發(fā)生信息破壞事件(篡改、站漏洞事件等信息安全事件時(shí)，提1.2服務(wù)流程及內(nèi)容(Examination)>抑制階段(Suppresses)>根除階段(Eradicates)>恢復(fù)階段(Restoration)>總結(jié)階段(Summary)。如下圖所示：制定工作方案和計(jì)劃，監(jiān)督和指導(dǎo)其他小組的工作技術(shù)人員準(zhǔn)備工作工作服務(wù)需求的確定，主機(jī)和網(wǎng)工具包和必要技術(shù)的準(zhǔn)備建立預(yù)防預(yù)警機(jī)制、及時(shí)進(jìn)行信息系統(tǒng)檢測(cè)和異常上報(bào)現(xiàn)場(chǎng)實(shí)施小人員的確定現(xiàn)場(chǎng)勘查確定檢測(cè)方案并施是是的專(zhuān)項(xiàng)預(yù)案否確定和認(rèn)可抑制的方案并進(jìn)行抑制的實(shí)施確定和認(rèn)可根除的方法并進(jìn)行根除的實(shí)施根據(jù)確定的恢復(fù)方案進(jìn)行信息系統(tǒng)的恢復(fù)程并進(jìn)行總結(jié)告為服務(wù)對(duì)象提出安全建議2準(zhǔn)備階段(Preparation)2.1負(fù)責(zé)人準(zhǔn)備內(nèi)容2.2技術(shù)人員準(zhǔn)備內(nèi)容(一)服務(wù)需求界定(1)應(yīng)急響應(yīng)小組應(yīng)了解應(yīng)急服務(wù)對(duì)象的各項(xiàng)業(yè)務(wù)功能及其之間的相關(guān)性，(2)對(duì)服務(wù)對(duì)象的信息系統(tǒng)，包括應(yīng)用程序，服務(wù)器，網(wǎng)絡(luò)及任何管理和(3)應(yīng)急響應(yīng)小組采用定性或者定量的方法，對(duì)業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)(4)應(yīng)急響應(yīng)小組協(xié)助服務(wù)對(duì)象建立適當(dāng)?shù)膽?yīng)急響應(yīng)策略，應(yīng)提供在業(yè)務(wù)(5)應(yīng)急響應(yīng)小組為服務(wù)對(duì)象提供相關(guān)的培訓(xùn)服務(wù)，以提高服務(wù)對(duì)象的安(二)主機(jī)和網(wǎng)絡(luò)設(shè)備安全初始化快照和備份自啟動(dòng)快照(3)信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)及辦公數(shù)據(jù)均十分重要，因此需要進(jìn)行數(shù)據(jù)存儲(chǔ)全技術(shù)工具涵蓋應(yīng)急響應(yīng)的事件取統(tǒng)恢復(fù)和攻擊追蹤等各個(gè)方面，構(gòu)成為了網(wǎng)絡(luò)安全應(yīng)(1)系統(tǒng)檢測(cè)技術(shù)，包括以下檢測(cè)技術(shù)規(guī)范：(2)攻擊檢測(cè)技術(shù)，包括以下技術(shù)：(3)攻擊追蹤技術(shù)；(4)現(xiàn)場(chǎng)取樣技術(shù)；(5)系統(tǒng)安全加固技術(shù)；(6)攻擊隔離技術(shù)；(7)資產(chǎn)備份恢復(fù)技術(shù)。2.3市場(chǎng)人員準(zhǔn)備內(nèi)容(1)預(yù)防和預(yù)警機(jī)制網(wǎng)絡(luò)竊密等的能力，防止有害信息傳播，保障服務(wù)將協(xié)會(huì)網(wǎng)絡(luò)信息中心會(huì)發(fā)布的病毒預(yù)防警報(bào)以及更新的防護(hù)策略及時(shí)有(2)信息系統(tǒng)檢測(cè)和報(bào)告按照“早發(fā)現(xiàn)、早報(bào)告、早處置”的原則，市場(chǎng)人員要加強(qiáng)對(duì)服務(wù)對(duì)象信3檢測(cè)階段(Examination)據(jù)。(1)檢測(cè)范圍及對(duì)象的確定；(2)檢測(cè)方案的確定；(3)檢測(cè)方案的實(shí)施；(4)檢測(cè)結(jié)果的處理。3.1實(shí)施小組人員的確定告表》的內(nèi)容，初步分析事故的類(lèi)型、嚴(yán)3.2檢測(cè)范圍及對(duì)象的確定3.3檢測(cè)方案的確定應(yīng)急服務(wù)提供者制定的檢測(cè)方案應(yīng)明確應(yīng)急服務(wù)提供者所使用的檢測(cè)規(guī)施；3.4檢測(cè)方案的實(shí)施(1)檢測(cè)搜集系統(tǒng)信息在受入侵的計(jì)算機(jī)的D盤(pán)根目錄下(D:\)(如果無(wú)D盤(pán)則在其他盤(pán)根目錄netstatnaonetstattxt連接信息)............情況，使用計(jì)算機(jī)管理查看本地用戶(hù)和組，將導(dǎo)出的信息保存在D:\qihoo\user中(2)主機(jī)檢測(cè)。：關(guān)閉所有的網(wǎng)絡(luò)通訊程序，以免浮現(xiàn)干擾，然后使用ipconfig,e3.5檢測(cè)結(jié)果的處理(1)確定安全事件的類(lèi)型(a)有害程序事件：蓄意創(chuàng)造、傳播有害程序，或者是因受到有害程序的影(b)網(wǎng)絡(luò)攻擊事件：通過(guò)網(wǎng)絡(luò)或者其他技術(shù)手段，利用信息系統(tǒng)的配置缺(c)信息破壞事件：通過(guò)網(wǎng)絡(luò)或者其他技術(shù)手段，造成信息系統(tǒng)中的信息被(d)信息內(nèi)容安全事件：利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國(guó)家安全、社會(huì)穩(wěn)(e)設(shè)備設(shè)施故障：由于信息系統(tǒng)自身故障或者外圍保障設(shè)施故障而導(dǎo)致的技術(shù)手段故意或者無(wú)意的造成信息系統(tǒng)破壞而(f)災(zāi)害性事件：由于不可抗力對(duì)信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安(g)其他信息安全事件：不能歸為以上6個(gè)基本分類(lèi)的信息安全事件。(2)評(píng)估突發(fā)信息安全事件的影響(a)采用定量和/或者定性的方法，對(duì)業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓數(shù)據(jù)丟(b)確定是否存在針對(duì)該事件的特定系統(tǒng)預(yù)案，如有，則啟動(dòng)相關(guān)預(yù)案；(c)如果沒(méi)有針對(duì)該事件的專(zhuān)項(xiàng)預(yù)案，應(yīng)根據(jù)事件具體情況，采取抑制措4抑制階段(Suppresses)(1)抑制方案的確定；(2)抑制方案的認(rèn)可；(3)抑制方案的實(shí)施；(4)抑制效果的判定；4.1抑制方案的確定4.2抑制方案的認(rèn)可；可；在采取抑制措施之前，應(yīng)急服務(wù)提供者要和服務(wù)對(duì)象充分溝通，告知可能4.3抑制方案的實(shí)施確定受害系統(tǒng)的范圍后，將被害系統(tǒng)和正常的系統(tǒng)進(jìn)行隔離，斷開(kāi)或者暫住手或者刪除系統(tǒng)非正常帳號(hào)，隱藏帳號(hào)，更改口令，加強(qiáng)口令的安全級(jí)；使用反病毒軟件或者其他安全工具檢查文件，掃描硬盤(pán)上所有的文件，隔4.4抑制效果的判定5根除階段(Eradicates)(1)根除方案的確定；(2)根除方案的認(rèn)可；(3)根除方案的實(shí)施；(4)根除效果的判定；5.1根除方案的確定(1)應(yīng)急服務(wù)提供者應(yīng)協(xié)助服務(wù)對(duì)象檢查所有受影響的系統(tǒng)，在準(zhǔn)確判斷安全事(2)由于入侵者普通會(huì)安裝后門(mén)或者使用其他的方法以便于在將來(lái)有機(jī)會(huì)侵入該被攻陷的系統(tǒng)，因此在確定根除方法時(shí)，需要了解攻擊者時(shí)如何入侵的，以及與這種入侵5.2根除方案的認(rèn)可(1)應(yīng)急服務(wù)提供者應(yīng)明確告知服務(wù)對(duì)象所采取的根除措施可能帶來(lái)的風(fēng)險(xiǎn)，制(2)應(yīng)急服務(wù)提供者應(yīng)協(xié)助服務(wù)對(duì)象進(jìn)行根除方法的實(shí)施。5.3根除方案的實(shí)施(1)應(yīng)急服務(wù)提供者應(yīng)使用可信的工具進(jìn)行安全事件的根除處理，不得使(2)根除措施易包含但不僅限與以下幾個(gè)方面：增強(qiáng)防護(hù)功能：復(fù)查所有防護(hù)措施的配置，安裝最新的防火墻和殺毒軟5.4根除效果的判定(1)找出造成事件的原因，備份與造成事件的相關(guān)文件和數(shù)據(jù)；(2)對(duì)系統(tǒng)中的文件進(jìn)行清理，根除；(3)使系統(tǒng)能夠正常工作。6恢復(fù)階段(Restoration)(1)恢復(fù)方案的確定；(2)恢復(fù)信息系統(tǒng)；6.1恢復(fù)方案的確定(1)應(yīng)急服務(wù)提供者應(yīng)告知服務(wù)對(duì)象一個(gè)或者多個(gè)能從安全事件中恢復(fù)系統(tǒng)(2)應(yīng)急服務(wù)提供者應(yīng)和服務(wù)對(duì)象共同確定系統(tǒng)恢復(fù)方案，根據(jù)抑制和根如何成功運(yùn)行備用設(shè)備(3)如果涉及到涉密數(shù)據(jù)，確定恢復(fù)方法時(shí)應(yīng)遵循相應(yīng)的保密要求。6.2恢復(fù)信息系統(tǒng)(1)應(yīng)急響應(yīng)實(shí)施小組應(yīng)按照系統(tǒng)的初始化安全策略恢復(fù)系統(tǒng)；(3)恢復(fù)系統(tǒng)過(guò)程宜包含但不限于以下方面：(4)利用正確的備份恢復(fù)用戶(hù)數(shù)據(jù)和配置信息；(5)開(kāi)啟系統(tǒng)和應(yīng)用服務(wù)，將受到入侵或者懷疑存在漏洞而關(guān)閉的服務(wù)，(6)連接網(wǎng)絡(luò)，服務(wù)重新上線，并持續(xù)監(jiān)控持續(xù)匯總分析，了解各網(wǎng)的運(yùn)(7)對(duì)于不能徹底恢復(fù)配置和清除系統(tǒng)上的惡意文件，或者不能肯定系統(tǒng)在(8)應(yīng)急