信息安全事件应急处理报告模板
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XX单位
信息安全事件应急处理报告
XXX公司
2017年X月XX日
目录
一、概述 (1)
1.1应急处理服务背景 (1)
1.2应急处理服务目的 (1)
1.3应急处理服务范围 (1)
1.4应急处理服务依据 (2)
1.4.1 应急处理服务委托协议 (2)
1.4.2 基础标准与法律文件 (2)
1.4.3 参考文件 (2)
二、应急处理服务流程 (3)
三、应急处理服务内容和方法 (5)
3.1准备阶段 (5)
3.1.1 准备阶段工作流程 (5)
3.1.2 准备阶段处理过程 (5)
3.1.3 准备阶段现场处理记录表 (6)
3.2检测阶段 (7)
3.2.1检测阶段工作流程 (7)
3.2.2 检测阶段处理过程 (7)
3.2.3 检测阶段现场处理记录表 (8)
3.3抑制阶段 (9)
3.3.1 抑制阶段工作流程 (9)
3.3.2 抑制阶段处理过程 (9)
3.3.3 抑制阶段现场处理记录表 (10)
3.4根除阶段 (11)
3.4.1 根除阶段工作流程 (11)
3.4.2 根除阶段处理过程 (11)
3.5恢复阶段 (13)
3.5.1 恢复阶段工作流程 (13)
3.5.2 恢复阶段处理过程 (13)
3.5.3 恢复阶段现场记录表 (13)
3.6总结阶段 (14)
3.6.1 总结阶段工作流程 (14)
3.6.2 总结阶段现场记录表 (15)
四、结论与建议 (16)
信息安全事件应急处理报告
XX公司
2017年X月XX 日批准人:
应急处理服务人员:
审核人:
一、概述
1.1 应急处理服务背景
XX单位与XX公司签订应急服务合同。XX公司根据合同协议中规定的范围和工作内容为XX单位提供应急服务。2017年6月25日XX单位网站服务器发现存在恶意文件,直接威胁网站的正常运营与使用,XX单位立即拨通XX公司的应急服务热线,请求应急处理服务。我方应急处理服务人员,对相关信息进行登记记录,并按作业指导书要求启动相关过程。
1.2 应急处理服务目的
尽快确认和修复漏洞,恢复信息系统的正常运行,使信息系统所遭受的破坏最小化,并在应急处理后提供准确有效的法律证据、分析统计报告和有价值的建议,在应急处理服务工作结束后对系统管理进行完善。
1.3 应急处理服务范围
1.4 应急处理服务依据
1.4.1 应急处理服务委托协议
《XX单位应急处理服务委托书》
1.4.2 基础标准与法律文件
《中华人民共和国突发事件应对法》
《网络与信息安全应急处理服务资质评估方法》(YD/T 1799-2008)
《信息技术安全技术信息安全事件管理指南》(GB/Z 20985-2007)《信息安全技术信息安全事件分类指南》(GB/Z 20986-2007)
1.4.3 参考文件
《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)
《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)《信息技术服务运行维护第一部分通用要求》(GB/T28827.1-2012)《信息技术服务运行维护第二部分交付规范》(GB/T28827.1-2012)《信息技术服务运行维护第三部分应急响应规范》(GB/T28827.1-2012)
应急处理服务流程
XX单位应急处理服务过程主要包括六个阶段:准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。
应急处理服务流程如图所示。
二、应急处理服务内容和方法
3.1 准备阶段
3.1.1 准备阶段工作流程
准备阶段流程图:
3.1.2 准备阶段处理过程
我公司与XX单位进行信息安全事件应急处理详情进行沟通,分别对客户应急服务所包含的具体需求和客户实际信息系统环境进行了详细了解,在达成一致的基础上签订了应急处理服务合同;随后我公司立即成立针对该项目的应急处理小组,立刻着手服务方案编写和工具准备工作,同时协助客户对应急范围内的信息系统进行评估和备份快照。
3.1.3 准备阶段现场处理记录表
3.2 检测阶段
3.2.1检测阶段工作流程
3.2.2 检测阶段处理过程
我公司技术支持热线客服人员接到用户的应急响应服务电话请求后,通过电话了解基本情况,并检查我公司是否有该类安全事件的应急预案,发现并没有该类安全事件的应急预案;随后我公司立刻派遣应急处理小组携带应急工具、技术规范、现场记录表在服务协议规定的1小时内准备完毕到达现场。
到达客户现场后,项目组负责人立即与客户方负责人进行方案沟通,由客户负责人书面授权后,根据实际客户情况建议对网站进行切换和数据备份,随后开始进行检测处理。检测内容如下:
1)事件沟通与应急准备。
2)方案沟通与应急授权。
3)网站切换与快照备份。
4)漏洞发现与验证。
5)确定漏洞产生原因,沟通抑制措施。
6)准备备份文件数据以备随时回退。
经过以上检测,项目组确定漏洞根源并确认成功。
3.2.3 检测阶段现场处理记录表
检测结果记录
时间2017年X月XX
日
服务单位名称XX
服务单位联系人联系方式
响应服务人员联系方式
检测原因或检测
目的描述
确认漏洞存在并评估安全事件等级
检测过程及结果记录:
(1)首先发现任意下载漏洞,可以下载敏感信息文件:
tomcat路径:/data/tomcat6_8081/