您的位置:360文档中心› 信息安全应急响应服务流程图

信息安全应急响应服务流程图

合集下载

2020年网络以及信息安全应急处置组织架构图

2020年网络以及信息安全应急处置组织架构图

WORD格式
附件 1网络与信息安全应急处置组织架构图网络与信息安全应急领导小组
网络与信息安全应急处置组
应急支援单位








线








设系系专应应维维备统统业急急护护维维维安支
单单护护护全援援位位单单单厂小小位位位商组
专业资料整理
WORD格式
附件 2网络与信息安全应急响应流程图
应急领导小组上报网络与信息
Ⅰ、Ⅱ级事件安全应急领导小组
Ⅰ、Ⅱ、Ⅲ级事件
有关网络与信息应急小组
安全事件发生
分析研判
启动本预案
相关单位应急联动应急处置组应急支援单位
处置网络与信息安全突发公共事件
专业资料整理
WORD格式
附件 3应急处置程序与措施
危害发生时,应根据现场情况判定危害的性质,分别进入下列不同的处置程序。

流程一攻击类事件应急处理流程
(一)网站、网页出现不恰当言论时的紧急处置措施
1、网站由办公室的具体负责人员随时密切监视信息内容。

2、发现网上出现非法信息时,负责人员应立即及时的采取删除等处理措施。

网络与信息安全应急处置流程图

网络与信息安全应急处置流程图

网络与信息安全应急处置流程图网络与信息安全应急处置流程图1.引言网络与信息安全是当前社会中的重要议题,为应对安全事件的发生,建立一套科学、规范的应急处置流程是必不可少的。

本文档旨在提供一个最新最全的网络与信息安全应急处置流程图范本,以供参考使用。

2.应急响应准备阶段2.1 确定应急响应团队:在组织内部确定一支专门负责网络与信息安全应急响应的团队,明确团队成员的职责和工作范围。

2.2 制定应急响应计划:制定详细的应急响应计划,包括应急响应流程、通讯方式、协作机制等,确保在安全事件发生时能够迅速有效地响应和处置。

2.3 部署安全监测与预警系统:部署安全监测与预警系统,及时监测并预警网络与信息安全事件的发生,为应急响应提供准确的数据支持。

3.事件鉴定与分类阶段3.1 接收安全事件报告:从安全监测与预警系统中接收相关安全事件的报告,并进行初步的筛选和鉴定。

3.2 进行事件溯源调查:对报告的安全事件进行溯源调查,确定安全事件发生的原因和影响范围。

3.3 分类与优先级评估:根据安全事件的性质、影响程度等因素,将安全事件进行分类并评估优先级,以确定后续的处置措施。

4.响应与处置阶段4.1 启动应急响应:确定应急响应的启动时间,通知相关人员参与应急处置工作。

4.2 抑制安全事件扩散:采取措施尽快抑制安全事件的扩散,防止进一步的损失。

4.3 核实与调查安全事件:对安全事件进行全面的核实和调查,收集相关证据和数据,分析事件的来源和过程。

4.4 恢复受影响的系统:针对受影响的系统进行恢复工作,修复漏洞和安全弱点,确保系统恢复正常运行。

4.5 情报收集与分析:收集并分析安全事件的情报,了解攻击者的行为特征和攻击手法,提供给后续的防御和预防措施参考。

4.6 编制应急处置报告:在应急处置完成后,编制详细的应急处置报告,记录事件的整个过程,提供参考和总结经验。

5.事后总结与改进阶段5.1 召开事后总结会议:召集应急响应团队成员,总结并分析安全事件的处理过程、不足之处和改进措施。

网络安全应急处置工作流程图

网络安全应急处置工作流程图

信息安全应急预案V 1.0第一章总则第一条为提高公司网络与信息系统处理突发事件的能力,形成科学、有效、反应迅速的应急工作机制,减轻或消除突发事件的危害和影响,确保公司信息系统安全运行,最大限度地减少网络与信息安全突发公共事件的危害,特制定本预案。

第二章适用范围第二条本预案适用于公司信息系统安全突发事件的应急响应。

当发生重大信息安全事件时,启动本预案。

第三章编制依据第三条《国家通信保障应急预案》、《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《信息安全应急响应计划规范》、《信息安全技术信息安全事件分类分级指南》第四章组织机构与职责第四条公司信息系统网络与信息安全事件应急响应由公司信息安全领导小组统一领导。

负责全中心系统信息安全应急工作的领导、决策和重大工作部署。

第五条由公司董事长担任领导小组组长,技术部负责人担任领导小组副组长,各部门主要负责人担任小组成员。

第六条应急领导小组下设应急响应工作小组,承担领导小组的日常工作,应急响应工作小组办公室设在技术部。

主要负责综合协调网络与信息安全保障工作,并根据网络与信息安全事件的发展态势和实际控制需要,具体负责现场应急处置工作。

工作小组应当经常召开会议,对近期发生的事故案例进行研究、分析,并积极开展应急响应具体实施方案的研究、制定和修订完善。

第五章预防与预警机制第七条公司应从制度建立、技术实现、业务管理等方面建立健全网络与信息安全的预防和预警机制。

第八条信息监测及报告1.应加强网络与信息安全监测、分析和预警工作。

公司应每天定时利用自身监测技术平台实时监测和汇总重要系统运行状态相关信息,如:路由器、交换机、小型机、存储设备、安全设备、应用系统、数据库系统、机房系统的访问、运行、报错及流量等日志信息,分析系统安全状况,及时获得相关信息。

2. 建立网络与信息安全事件通报机制。

发生网络与信息安全事件后应及时处理,并视严重程度向各自网络与信息安全事件的应急响应执行负责人、及上级主管部门报告。

信息安全应急响应流程规范

信息安全应急响应流程规范

密级:商密文档编号:HCIS-SAD-WORK-03项目代号:HCIS-SAD恒驰信息系统有限公司应急响应规范上海恒驰信息系统有限公司Shanghai Hengchi Information System Co.,Ltd二〇一一年六月应急响应规范目录1. 总则 (3)1.1 1.2 1.3 1.4 目的 (3)事件分类 (3)释义 (3)读者 (4)2. 组织与职责 (5)2.1 2.2 2.3 2.4 应急响应小组 (5)高级安全顾问 (5)安全顾问 (5)安全服务工程师 (5)3.4.5.6.7.应急响应处理流程 (6)检查要求 (7)附则 (7)应急响应处理流程图 (8)附表 (9)7.17.2安全事件检查记录表 (9)安全事件分析处理表 (10)©HCIS Security Team Page : 2 of 10应急响应规范1.总则1.1目的为增强恒驰信息安全服务中心应对紧急安全事件的能力,规范安全服务应急响应流程,保障用户在遭受到紧急状况时的资产损失降低到最小,并在规范的流程下进行修复,保障业务的连续性和问题的可追踪性,特制定本应急响应流程。

1.2事件分类1)物理安全事件指计算机设备、设施(含网络)以及其它媒体遭到人为的或自然灾害引起的物理上的危害。

2)逻辑安全事件指信息的完整性、保密性和可用性方面遭到破坏,从而导致涉及的网络、操作系统、数据库、应用系统、人员管理等方面正常业务运行受到影响。

1.3释义一、本管理办法中所描述的安全广义上均指信息安全;二、物理安全事件定义(包含但不仅限于):1)设备遗失,遭到物理闯入或计算机设备被窃;2)自然灾害,物理环境或设备遭到火灾或水灾等事故;3)环境灾害,物理设备由于机房环境灰尘或静电造成损坏;4)意外故障,设备在运行过程意外(如本身质量等问题)损坏,造成业务受损或服务中断;5)人员误操作,管理维护人员在日常维护中因误操作导致物理设备、线缆等设施的损坏,造成业务受损或服务中断。

网络安全应急处置工作流程图

网络安全应急处置工作流程图

信息安全应急预案V 1.0第一章总则第一条为提高公司网络与信息系统处理突发事件的能力,形成科学、有效、反应迅速的应急工作机制,减轻或消除突发事件的危害和影响,确保公司信息系统安全运行,最大限度地减少网络与信息安全突发公共事件的危害,特制定本预案。

第二章适用范围第二条本预案适用于公司信息系统安全突发事件的应急响应。

当发生重大信息安全事件时,启动本预案。

第三章编制依据第三条《国家通信保障应急预案》、《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《信息安全应急响应计划规范》、《信息安全技术信息安全事件分类分级指南》第四章组织机构与职责第四条公司信息系统网络与信息安全事件应急响应由公司信息安全领导小组统一领导。

负责全中心系统信息安全应急工作的领导、决策和重大工作部署。

第五条由公司董事长担任领导小组组长,技术部负责人担任领导小组副组长,各部门主要负责人担任小组成员。

第六条应急领导小组下设应急响应工作小组,承担领导小组的日常工作,应急响应工作小组办公室设在技术部。

主要负责综合协调网络与信息安全保障工作,并根据网络与信息安全事件的发展态势和实际控制需要,具体负责现场应急处置工作。

工作小组应当经常召开会议,对近期发生的事故案例进行研究、分析,并积极开展应急响应具体实施方案的研究、制定和修订完善。

第五章预防与预警机制第七条公司应从制度建立、技术实现、业务管理等方面建立健全网络与信息安全的预防和预警机制。

第八条信息监测及报告1.应加强网络与信息安全监测、分析和预警工作。

公司应每天定时利用自身监测技术平台实时监测和汇总重要系统运行状态相关信息,如:路由器、交换机、小型机、存储设备、安全设备、应用系统、数据库系统、机房系统的访问、运行、报错及流量等日志信息,分析系统安全状况,及时获得相关信息。

2. 建立网络与信息安全事件通报机制。

发生网络与信息安全事件后应及时处理,并视严重程度向各自网络与信息安全事件的应急响应执行负责人、及上级主管部门报告。

信息安全紧急事件响应流程图

信息安全紧急事件响应流程图
CSIRT中的一名接受过法庭证据收集训练的成员为安全性已遭到破坏的系统制作两个快照(即完整的物理备份)。一个快照妥善保存,以供将来接受法院的检查。另一个快照将与在该事件之前制作的干净而安全的备份一起用在恢复过程中。根据安全策略,法庭备份应存储在以前从未使用过、且只能写一次的媒体中,应制作有关的详细文档,并且应与从服务器上卸下的硬盘一起密封并保护起来。
事件响应步骤
采取的行动
进行初期评估
Samantha Smith是随时待命的CSIRT成员,她查看Contoso入侵检测系统所记录的事件的简短描述。系统指出在Web服务器WEB2上可能发生红色代码II事件。她检查WEB2服务器的Internet信息服务(IIS)日志文件中的签名字符串,并检查c:\inetpub\scripts中是否存在root.exe。调查的结果表明这不太可能是假阳性检测。
识别攻击的类型和严重性。
组织的安全工具包便携式计算机(包含许多法庭工具)用于复查恢复备份,以发现其他危害。除了启动时运行软件的区域外,还应复查注册表项和文件夹,如profile/startup目录以及Run和RunOnce注册表项。还应复查User和Group帐户,以及用户权限和安全策略是否发生过任何改变。复查安全日志以找出其他任何可疑的活动。
Taylor和CSIRT编制所有文档,确定在响应事件的过程中完成了哪些任务,每一项任务所花费的时间,以及执行者。此信息将发送给金融代表,后面将按照针对计算机损失的“通用公认的记帐原则”计算成本。
CSIRT小组组长确保管理层了解事件的总成本、发生的原因,以及计划如何防止将来再发生该事件。对于管理层而言,很重要的一点是了解不规定或不遵循这些程序以及不配备CSIRT等资源意味着什么。
报告事件
Samantha通过电话告知CSIRT的其他成员她刚刚发现的问题,并答应一旦发现更多的迹象会随时报告。

网络与信息安全应急处置流程图

网络与信息安全应急处置流程图

网络与信息安全应急处置流程图网络与信息安全应急处置流程图1、事件报告与收集1.1 监测系统及时发现并报告安全事件1.2 收集与安全事件相关的信息,包括:时间、地点、人员等2、事件评估与分类2.1 对安全事件进行评估,确定其严重程度和影响范围2.2 根据评估结果,对安全事件进行分类,如:内部威胁、外部攻击等3、事件响应与处置3.1 确定事件负责人和响应团队成员3.2 针对不同类型的安全事件,采取相应的响应措施3.3 隔离受攻击设备或系统,阻止攻击扩散3.4 分析安全事件的原因和攻击方式,修复系统漏洞或弱点3.5 恢复受影响的系统和服务3.6 收集和保留相关的取证信息4、事件跟踪与监控4.1 对安全事件的处理过程进行跟踪和监控4.2 定期更新事件进展情况,向相关部门提供报告5、事件分析与总结5.1 对已发生的安全事件进行分析,找出规律和趋势5.2 提取有价值的安全经验教训,用于改进安全措施5.3 撰写事件处置报告,包括:事件详情、处理过程、成果等5.4 向相关部门汇报事件分析结果和总结结论附件:1、网络与信息安全事件报告表格2、安全事件处置记录表附录:法律名词及注释1、《网络安全法》:中华人民共和国网络安全法,于2017年6月1日正式实施,是我国网络安全领域的基本法律法规。

2、数据隐私:指个人或组织的个人信息和私人数据,包括但不限于姓名、地质、方式号码、银行账号等。

3、信息安全:指保护信息系统和其中的信息免遭非法获取、非法使用、非法披露、非法篡改和非法破坏的能力。

4、DDos攻击:分布式拒绝服务攻击,通过伪造大量请求向目标服务器发送大流量数据,导致目标服务不可用。

网络与信息安全应急处置组织架构图

网络与信息安全应急处置组织架构图

附件1:网络与信息安全应急处置组织架构图附件2:网络与信息安全应急响应流程图附件3:应急处置程序与措施危害发生时,应根据现场情况判定危害的性质,分别进入下列不同的处置程序。

流程一攻击类事件应急处理流程(一)网站、网页出现不恰当言论时的紧急处置措施1、网站由办公室的具体负责人员随时密切监视信息内容。

2、发现网上出现非法信息时,负责人员应立即及时的采取删除等处理措施。

3、技术人员应在接到通知后作好必要的记录,清理非法信息,强化安全防范措施,并将网站网页重新投入使用。

4、网站维护员应妥善保存有关记录及日志或审计记录。

5、网站维护员工作人员应立即追查非法信息来源。

6、将有关情况部门领导汇报有关情况。

7、如认为情况严重,应及时向有关上级机关和公安部门报警。

(二)黑客攻击时的紧急处置措施1、当有关负责人员网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向网站管理员通报情况。

2、网站管理员应尽快赶到现场,并首先应将被攻击的服务器等设备从网络中隔离出来,保护现场。

3、网络管理员负责被破坏系统的恢复与重建工作。

4、网站管理员协同有关部门共同追查非法信息来源。

5、如认为情况严重,则立即向公安部门或上级机关报警。

(三)病毒安全紧急处置措施1、当发现计算机感染有病毒后,应立即将该机从网络上隔离出来。

2、对该设备的硬盘进行数据备份。

3、启用反病毒软件对该机进行杀毒处理,同时进行病毒检测软件对其他机器进行病毒扫描和清除工作。

4、如发现反病毒软件无法清楚该病毒,应立即向办公室报告。

5、网站管理员在接到通报后,应在尽快赶到现场。

6、经技术人员确认确实无法查杀该病毒后,应作好相关记录,同时立即向校办公室报告,并迅速联系有关厂商研究解决。

7、如认为情况极为严重,应立即向公安部门或上级机关报告。

流程二故障类事件应急处理流程(一)软件系统遭受破坏性攻击的紧急处置措施1、重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日备份,并将它们保存于安全处。

信息系统应急事件处理流程图

信息系统应急事件处理流程图
信息系统应急事件处理流程
节点名称 提出申请
节点解释 信息技术人员提出启动紧急预 案申请,做好相应的初步处理 和记录, 以防事故进一步扩大。
节点执行人 信息技术人员
本节点具体表格 信息系统紧急记录 单
提出申请
总经办负责 总经办负责人审批 人审批
总经办负责审批
总经办负责人
信息系统紧急记录 单
确认应急预 断电事故预案 系统故障 案
信息系统紧急记录 单
信息技术人员恢复网络和日常 办公。
信息技人员
信息系统紧急记录 单
信息技术人员分析故障原因。 并确认是何应急预案。
信息技术人员
信息系统紧急记录 单
信息员根据实际情况,作好相 关的维护和记录。
信息技术人员
信息系统紧急记录 单
信息技术人员检查实际情况, 并做好相应的记录,逐步恢复 系统。 总经办负责人对发生的应急预 案进行审查。
信息技术人员
信息系统紧急记录 单
总经办负责人
判断是何故障。
信息技术人员
信息系统紧急记录 单
故障分析 关闭不必要的外 围设备 信息员故障 利用 UPS 供电做好数据 备份并及时启动发电设备 启用备用设备 升级病毒库, 查杀病毒 信息技术人 检查破坏情况, 并做好理赔记录 系统恢复 查找责任人 员检查实际 情况 总经办负责 人审查 总经办负责人审查 信息技术人 恢复网络 员恢复网 络。 恢复系统 处理 设备故障 病毒破坏 人为破坏

网络与信息安全应急处置组织架构图

网络与信息安全应急处置组织架构图

附件1:网络与信息安全应急处置组织架构图附件2:网络与信息安全应急响应流程图附件3:应急处置程序与措施危害发生时,应根据现场情况判定危害的性质,分别进入下列不同的处置程序。

流程一攻击类事件应急处理流程(一)网站、网页出现不恰当言论时的紧急处置措施1、网站由办公室的具体负责人员随时密切监视信息内容。

2、发现网上出现非法信息时,负责人员应立即及时的采取删除等处理措施。

3、技术人员应在接到通知后作好必要的记录,清理非法信息,强化安全防范措施,并将网站网页重新投入使用。

4、网站维护员应妥善保存有关记录及日志或审计记录。

5、网站维护员工作人员应立即追查非法信息来源。

6、将有关情况部门领导汇报有关情况。

7、如认为情况严重,应及时向有关上级机关和公安部门报警。

(二)黑客攻击时的紧急处置措施1、当有关负责人员网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向网站管理员通报情况。

2、网站管理员应尽快赶到现场,并首先应将被攻击的服务器等设备从网络中隔离出来,保护现场。

3、网络管理员负责被破坏系统的恢复与重建工作。

4、网站管理员协同有关部门共同追查非法信息来源。

5、如认为情况严重,则立即向公安部门或上级机关报警。

(三)病毒安全紧急处置措施1、当发现计算机感染有病毒后,应立即将该机从网络上隔离出来。

2、对该设备的硬盘进行数据备份。

3、启用反病毒软件对该机进行杀毒处理,同时进行病毒检测软件对其他机器进行病毒扫描和清除工作。

4、如发现反病毒软件无法清楚该病毒,应立即向办公室报告。

5、网站管理员在接到通报后,应在尽快赶到现场。

6、经技术人员确认确实无法查杀该病毒后,应作好相关记录,同时立即向校办公室报告,并迅速联系有关厂商研究解决。

7、如认为情况极为严重,应立即向公安部门或上级机关报告。

流程二故障类事件应急处理流程(一)软件系统遭受破坏性攻击的紧急处置措施1、重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日备份,并将它们保存于安全处。

信息安全应急响应流程

信息安全应急响应流程

信息安全应急响应流程一、准备工作1.建立信息安全应急响应团队:组建专业化的信息安全应急响应团队,包括专家和相关技术人员,负责应急响应工作。

2.制定应急响应计划:根据组织的特点和需求,制定完善的应急响应计划,明确应急响应流程和责任分工。

3.配备应急响应工具:建立必要的设备和工具,用于监测、检测、分析和响应安全事件。

二、事件发现和报告1.安全事件监测和检测:通过安全设备、系统日志等方式,监测和检测异常行为或攻击事件。

2.事件评估和分类:对于检测到的安全事件进行评估,确定事件的危害程度和分类。

3.事件报告和通知:及时向相关人员汇报安全事件,包括内部的信息安全团队、管理层和相关部门,当情况紧急时,还需要通知与该事件相关的外部合作伙伴或供应商。

三、事件响应1.事件确认和准备:确认安全事件的真实性和严重性,启动应急响应计划,组织相关人员进行准备工作。

2.事件隔离和恢复:及时对受影响的系统或网络进行隔离,防止事件扩散,同时恢复系统运行,保证业务的连续性。

3.事件调查和分析:通过技术手段对安全事件进行调查和分析,确定攻击手段、攻击路径以及攻击的目的,为进一步的防御提供有价值的情报。

4.威胁清除和修复:针对发现的安全漏洞和威胁,及时修复和清除,防止类似事件再次发生。

5.安全事件报告和备案:对事件的调查、分析和响应过程进行记录和总结,制作安全事件报告,为后续的安全改进提供依据。

6.响应结束和事后总结:在确认事件得到有效响应后,结束应急响应工作,并进行事后总结,总结经验教训,改进安全防护措施,加强预防工作。

四、后续工作1.安全改进和优化:根据事件的教训和总结,及时进行安全体系的改进和优化,提升信息安全水平。

2.信息共享和警示:将事件的经验教训与相关组织和机构进行及时的信息共享,提醒其他机构注意类似事件的防范和应对。

3.培训和意识提升:组织定期的培训和教育活动,提高员工的信息安全意识和技能,加强整体安全防护能力。

总结起来,信息安全应急响应流程是一个动态不断循环的过程,包括准备工作、事件发现和报告、事件响应、后续工作等环节。

信息安全应急响应服务流程

信息安全应急响应服务流程

信息安全应急响应服务流程广东盈通网络投资20011年07月目录第一部分导言 ..................................................................... .. (2)1.1.文档类别 ..................................................................... . (2)1.2.使用对象 ..................................................................... . (3)1.3.计划目的 ..................................................................... . (3)1.4.适用范围 ..................................................................... . (3)1.5.服务原则 ..................................................................... ........................................ 3 Municipal City Government for the work of a city attaches great importance to put forward clearly to2017 years into the ranks of the "national civilized city" create the target. This year is also the county of a new round of urbancivilization created the first year, we not only bear the city to create a "National Civilized City" in the work of the task, also do a good job of "provincial and civilized county Ying check evaluation, work responsibility for a large, heavy task. To the county at all levels and departments cooperate closely, grab get right on the job really, totight style and promote the implementation of the work, ensure that acity made outstanding achievements. 1, the leadership to strengthen. The county at all levels and departments to the urban civilization was founded on the top of the agenda, and the development of economy and society, the focus of the work together to study the deployment of, together organization and implementation, together with the supervision and inspection, improve and perfect the county, the unified leadershipof the county government, a county, a city office coordinated, create liability units of duties, the joint participation of society as a whole leadership system andWorking mechanism. This year, according to the city, a city leading group and special working group to adjust the arrangement, we adjusted the a city the work of the leading group members, theaddition of the administrative environment and the effectiveness of the steering group, excellent culture communication group two special 第二部分应急响应组织保障 ..................................................................... ....................... 4 2.1.角色的划分 ..................................................................... ..................................... 4 2.2.角色的职责 ..................................................................... ..................................... 4 2.3.组织的外部协作 ..................................................................... .............................. 4 2.4.保障措施 ..................................................................... ........................................ 5 第三部分应急响应实施流程 ..................................................................... .. (5)3. ..................................................................... ......... 7 1.准备阶段(Preparation stage)3.1.1 领导小组准备内容 ..................................................................... .. (7)3.1.2 实施小组准备内容 ..................................................................... .. (7)3.1.3 日常运行小组准备内容 ..................................................................... ....... 9 3.2.检测阶段(Examinationstage) ................................................................. .. (9)3.2.1 检测范围及对象的确定 ..................................................................... .. (10)3.2.2 检测方案的确定...................................................................... (10)3.2.3 检测方案的实施...................................................................... (10)3.2.4 检测结果的处理...................................................................... ............... 12 3.3.抑制阶段(Suppresses stage).................................................................. .. (12)3.3.1 抑制方案的确定...................................................................... (13)3.3.2 抑制方案的认可...................................................................... (13)3.3.3 抑制方案的实施...................................................................... (13)..................................................... 13 3.3.4 抑制效果的判定................................3.4.根除阶段(Eradicates stage).................................................................. (14)3.4.1 根除方案的确定...................................................................... (14)3.4.2 根除方案的认可...................................................................... (14)3.4.3 根除方案的实施...................................................................... (14)3.4.4 根除效果的判定...................................................................... ............... 14 3.5.恢复阶段(Restorationstage) ................................................................. .. (15)3.5.1 恢复方案的确定...................................................................... (15)3.5.2 恢复信息系统 ........................................................................................ 15 3.6.总结阶段(Summary stage).................................................................. . (15)3.6.1 事故总结 ..................................................................... .. (16)3.6.2 事故报告 ..................................................................... .. (16)第一部分导言1.1.文档类别本文档是盈通公司信息技术安全IT技术部用以规范“信息安全应急响应服务流程”项Municipal City Government for the work of a city attaches great importance to put forward clearly to 2017 years into the ranks of the "national civilized city" create the target. This year is also the county of a new round of urban civilization created the first year, we not only bear the city to create a "National Civilized City" in the work of the task, also do a good job of "provincial and civilized county Ying check evaluation, work responsibility for a large, heavy task. To the county at all levels and departments cooperate closely, grab get right on the job really, to tight style and promote the implementation of the work, ensure that a city made outstanding achievements. 1, the leadership to strengthen. The county at all levels and departments tothe urban civilization was founded on the top of the agenda, and the development of economy and society, the focus of the work together to study the deployment of, together organization and implementation, together with the supervision and inspection, improve and perfect the county, the unified leadership of the county government, a county, a city office coordinated, create liability units of duties, the joint participation of society as a whole leadership system andWorking mechanism. This year, according to the city, a city leading group and special working group to adjust the arrangement, we adjusted the a city the work of the leading group members, the addition of the administrative environment and the effectiveness of the steering group, excellent culture communication group two special目实施的指导性文件之一。

网络安全事件应急处置流程、预案

网络安全事件应急处置流程、预案

网络安全事件应急处置流程应急处置流程图河西区中心幼儿园网络安全预案一、事件的检测及通报网管负责人通过互联网搜索、远程漏洞扫描等手段发现信息安全事件,第一时间赶赴现场做好记录,并向信息中心进行通报。

二、事件处置1.紧急处置对于突发的信息安全事件须控制事态发展,最大限度地防止事件蔓延。

具体抑制措施应包含但不限于以下方面:(1)确定被破坏系统的范围后,将被破坏系统和正常的系统进行隔离,断开或暂时关闭被破坏系统;(2)持续监视系统和网络状态,记录异常流量的远程IP、域名和端口;(3)停止或删除系统异常账号,重置口令,提升口令的复杂度;(4)挂起和结束未被授权的、可疑的应用程序和进程;(5)关闭不必要的服务;(6)删除系统各种用户“启动”目录下未被授权自行启动程序。

2.证据留存通过查看被攻击系统的硬件、软件配置参数、审计记录,以及从安全管理制度和人员状况等方面进行取证调查,通过截图、拍照、备份等方式收集被攻击证据,应包含但不限于以下方面:(1)查找信息系统异常现象并对异常现象进行拍照或截图;(2)留存当前信息系统网络拓扑图;(3)系统硬件设备及其配置参数清单;(4)系统软件、应用软件的配置参数清单;(5)应用程序文件列表及源代码;(6)系统运维记录、系统审计日志;(7)网络、操作系统、数据库、中间件、应用程序操作等账号权限的分配列表。

3.恢复服务信息安全事件的恢复工作应避免出现误操作导致数据的丢失,对于不能彻底恢复配置和清除系统上的恶意文件,或不能肯定系统在根除处理后是否已恢复正常时,应选择彻底重建系统。

(1)利用正确的备份恢复手段恢复用户数据和配置信息;(2)开启系统和应用服务,将受到入侵或者怀疑存在漏洞而关闭的服务,修改后重新开启;(3)连接网络,恢复业务,并持续监控并汇总分析,了解各网络的运行情况。

4.成因分析在信息安全事件发生后,应确定被破坏系统的范围。

通过对证据的汇总和归纳、现象的推演和还原来论证事件产生的原因,回溯事件发生的过程。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息安全应急响应流程广东盈通网络投资20011年07月目录第一部分导言 (3)1.1.文档类别 (3)1.2.使用对象 (3)1.3.计划目的 (3)1.4.适用范围 (3)1.5.服务原则 (3)第二部分应急响应组织保障 (4)2.1.角色的划分 (4)2.2.角色的职责 (4)2.3.组织的外部协作 (5)2.4.保障措施 (5)第三部分应急响应实施流程 (5)3.1.准备阶段(Preparation stage) (7)3.1.1 领导小组准备内容 (7)3.1.2 实施小组准备内容 (7)3.1.3 日常运行小组准备内容 (9)3.2.检测阶段(Examination stage) (9)3.2.1 检测范围及对象的确定 (10)3.2.2 检测方案的确定 (10)3.2.3 检测方案的实施 (10)3.2.4 检测结果的处理 (12)3.3.抑制阶段(Suppresses stage) (12)3.3.1 抑制方案的确定 (13)3.3.2 抑制方案的认可 (13)3.3.3 抑制方案的实施 (13)3.3.4 抑制效果的判定 (14)3.4.根除阶段(Eradicates stage) (14)3.4.1 根除方案的确定 (14)3.4.2 根除方案的认可 (14)3.4.3 根除方案的实施 (14)3.4.4 根除效果的判定 (15)3.5.恢复阶段(Restoration stage) (15)3.5.1 恢复方案的确定 (15)3.5.2 恢复信息系统 (15)3.6.总结阶段(Summary stage) (16)3.6.1 事故总结 (16)3.6.2 事故报告 (16)第一部分导言1.1.文档类别本文档是盈通公司信息技术安全IT技术部用以规范“信息安全应急响应服务流程”项目实施的指导性文件之一。

1.2.使用对象本文档作为公司内部文档,具体使用人员包括:信息安全应急响应服务具体实施操作人员、及负责人。

1.3.计划目的制订本规范的目的是为了指导应急响应服务操作人员按一定的实施办法和操作流程,从接受应急响应服务申请到交付应急响应总结报告为止这段时间内,要求实施进度和质量可控,在规定的时间内完成应急响应服务。

备注:操作实施人员在执行该规范时,应根据实际情况灵活运用和变通,并提出创新。

同时为了有效的控制进度和质量,在实际操作中应遵循流程步骤。

1.4.适用范围全司。

1.5.服务原则在整个应急响应处理过程的中,本协会严格按照以下原则要求服务人员,并签订必要的保密协议。

保密性原则应急服务提供者应对应急处理服务过程中获知的任何关于服务对象的系统信息承担保密的责任和义务,不得泄露给第三方的单位和个人,不得利用这些信息进行侵害服务对象的行为。

规范性原则应急服务提供者应要求服务人员依照规范的操作流程进行应急处理服务,所有处理人员必须对各自的操作过程和结果进行详细的记录,最终按照规范的报告格式提供完整的服务报告。

最小影响原则应急处理服务工作应尽可能减少对原系统和网络正常运行的影响,尽量避免对原网络运行和业务正常运转产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则必须向服务对象说明。

第二部分应急响应组织保障2.1.角色的划分本协会应急响应工作机构按角色划分为三个:应急响应负责人,应急响应技术人员,应急响应市场人员。

信息安全事件发生后,在应急响应领导小组的统一部署下,工作人员各施其职,并严格按照应急响应计划组织实施应急响应工作。

2.2.角色的职责应急响应负责人:应急响应负责人是信息安全应急响应工作的组织领导机构,组长应由组织最高管理层成员担任。

负责人的职责是领导和决策信息安全应急响应的重大事宜,主要职责如下:a)制定工作方案;b)提供人员和物质保证;c)审核并批准经费预算;d)审核并批准恢复策略;e)审核并批准应急响应计划;f)批准并监督应急响应计划的执行;g)指导应急响应实施小组的应急处置工作;h)启动定期评审、修订应急响应计划以及负责组织的外部协作。

应急响应技术人员,其主要职责如下:a)编制应急响应计划文档;b)应急响应的需求分析,确定应急策略和等级以及策略的实现;c)备份系统的运行和维护,协助灾难恢复系统实施;d)信息安全突发事件发生时的损失控制和损害评估;e)组织应急响应计划的测试和演练。

应急响应市场人员,其主要职责如下:a)开拓新客户,与客户建立长期的合作关系;维护与公司老客户的业务往来;b)建立预防预警机制,及时进行信息上报;c)参与和协助应急响应计划的教育、培训和演练;d)信息安全事件发生后的外部协作。

2.3.组织的外部协作依据服务对象信息安全事件的影响程度,如需向上级部门及时通报准确情况或向其他单位寻求支持时,应与相关管理部门以及外部组织机构保持联络和协作。

主要包括国家计算机网络应急技术处理协调中心(CNCERT/CC)华中地区分中心、国家计算机网络应急技术处理协调中心(CNCERT/CC)、中国教育科研网络华中地区网络中心、中国教育科研网网络中心、盈通公司市公安局网络安全监察室、湖北省公安厅网络安全监察处、及主要相关设备供应商。

2.4.保障措施应急人力保障加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息安全核心人才和管理队伍,提高信息安全防御意识。

大力发展信息安全服务业,增强协会应急支援能力。

物质条件保障安排一定的资金用于预防或应对信息安全突发事件,提供必要的交通运输保障,优化信息安全应急处理工作的物资保障条件。

技术支撑保障设立信息安全应急响应中心,建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力。

从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。

第三部分应急响应实施流程该服务流程并非一个固定不变的教条,需要应急响应服务人员在实际中灵活变通,可适当简化,但任何变通都必须纪录有关的原因。

详细的记录对于找出事件的真相、查出威胁的来源与安全弱点、找到问题正确的解决方法,甚至判定事故的责任,避免同类事件的发生都有着极其重要的作用。

3.1.准备阶段(Preparation)目标:在事件真正发生前为应急响应做好预备性的工作。

角色:技术人员、市场人员。

内容:根据不同角色准备不同的内容。

输出:《准备工具清单》、《事件初步报告表》、《实施人员工作清单》3.1.1 负责人准备内容制定工作方案和计划;提供人员和物质保证;审核并批准经费预算、恢复策略、应急响应计划;批准并监督应急响应计划的执行;指导应急响应实施小组的应急处置工作;启动定期评审、修订应急响应计划以及负责组织的外部协作。

3.1.2 技术人员准备内容服务需求界定首先要对服务对象的整个信息系统进行评估,明确服务对象的应急需求,具体应包含以下内容:1)应急服务提供者应了解应急服务对象的各项业务功能及其之间的相关性,确定支持各种业务功能的相关信息系统资源及其他资源,明确相关信息的保密性、完整性、和可用性要求;2)对服务对象的信息系统,包括应用程序,服务器,网络及任何管理和维护这些系统的流程进行评估,确定系统所执行的关键功能,并确定执行这些关键功能所需要的特定系统资源;3)应急服务提供者应采用定性或定量的方法,对业务中断、系统宕机、网络瘫痪等突发安全事件造成的影响进行评估;4)应急服务提供者应协助服务对象建立适当的应急响应策略,应提供在业务中断、系统宕机、网络瘫痪等突发安全事件发生后快速有效的恢复信息系统运行的方法;5)应急服务提供者宜为服务对象提供相关的培训服务,以提高服务对象的安全意识,便于相关责任人明确自己的角色和责任,了解常见的安全事件和入侵行为,熟悉应急响应策略。

主机和网络设备安全初始化快照和备份在系统安全策略配置完成后,要对系统做一次初始安全状态快照。

这样,如果以后在出现事故后对该服务器做安全检测时,通过将初始化快照做的结果与检测阶段做的快照进行比较,就能够发现系统的改动或异常。

1)对主机系统做一个标准的安全初始化的状态快照,包括的主要内容有:日志及审核策略快照等。

✓用户账户快照;✓进程快照;✓服务快照;✓自启动快照✓关键文件签名快照;✓开放端口快照;✓系统资源利用率的快照;✓注册表快照;✓计划任务快照等等;2)对网络设备做一个标准的安全初始化的状态快照,包括的主要内容有:✓路由器快照;✓防火墙快照;✓用户快照;✓系统资源利用率等快照。

3)信息系统的业务数据及办公数据均十分重要,因此需要进行数据存储及备份。

目前,存储备份结构主要有DAS、SAN和NAS,以及通过磁带或光盘对数据进行备份。

各服务对象可以根据自身的特点选择不同的存储产品构建自己的数据存储备份系统。

工具包的准备1)应急服务提供者应根据应急服务对象的需求准备处置网络安全事件的工具包,包括常用的系统基本命令、其他软件工具等;2)应急服务提供者的工具包中的工具最好是采用绿色免安装的,应保存在安全的移动介质上,如一次性可写光盘、加密的U盘等;3)应急服务提供者的工具包应定期更新、补充;必要技术的准备上述是针对应急响应的处理涉及到的安全技术工具涵盖应急响应的事件取样、事件分析、事件隔离、系统恢复和攻击追踪等各个方面,构成了网络安全应急响应的技术基础。

所以我们的应急响应服务实施成员还应该掌握以下必要的技术手段和规范,具体包括以下内容:1)系统检测技术,包括以下检测技术规范:✓Windows系统检测技术规范;✓Unix系统检测技术规范;✓网络安全事故检测技术规范;✓数据库系统检测技术规范;✓常见的应用系统检测技术规范;2)攻击检测技术,包括以下技术:✓异常行为分析技术;✓入侵检测技术;✓安全风险评估技术;3)攻击追踪技术;4)现场取样技术;5)系统安全加固技术;6)攻击隔离技术;7)资产备份恢复技术;3.1.3 市场人员准备内容和服务对象建立长期友好的业务关系;和服务对象签订应急服务合同或协议;建立预防和预警机制,及时上报。

1)预防和预警机制✓市场人员要严格按照应急响应负责人的安排和建议,及时提醒服务对象提高防范网络攻击、病毒入侵、网络窃密等的能力,防止有害信息传播,保障服务对象网络的安全畅通。

✓将协会网络信息中心会发布的病毒预防警报以及更新的防护策略及时有效地告知服务对象,做好防护策略的更新。

2)信息系统检测和报告✓按照“早发现、早报告、早处置”的原则,市场人员要加强对服务对象信息系统的安全检测结果的通告,收集可能引发信息安全事件的有关信息、进行分析判断。

✓如服务对象发现有异常情况或有信息安全事件发生时,要立即向协会网络信息中心应急响应负责人报告,并填写事件初步报告表。

✓要求服务对象持续监测信息系统状况,密切关注应急响应负责人提出初步行动对策和行动方案,听从指令和安排,及时减小损失。

相关文档
最新文档