网络安全应急响应服务方案

应急响应服务方案

目录

一、项目技术方案 (1)

1.1、应急响应服务 (1)

1.1.1、服务内容 (1)

1.1.2、服务方法 (2)

1.1.3、交付成果 (16)

1.1.4、服务优势 (17)

1.1.5、服务范围 (19)

1.1.6、服务案例 (20)

I

一、项目技术方案

1.1、应急响应服务

1.1.1、服务内容

1.1.1.1、服务简介

我司应急响应服务是我司推出的以“安全第一”为指导原则，积极开展网络安全事件的预防、发现、预警和协调处置等工作的安全服务。我司应急响应通过制定集团级应急响应机制，协同集团营销、媒体等15个部门联合开展的应急处置工作，后端以高效的应急响应系统IT平台以及遍览全国安全事件的应急响应监控指挥调度中心作为支撑。为在发生安全事件时，第一时间作出有效决断提供了强大的后台保障。

我司应急响应服务，以“快速响应、力保恢复”为行动指南，致力于成为网络安全领域的120急救中心，通过在遇到突发安全事件后采取专业的安全措施和行动，并对已经发生的安全事件进行监控、分析、协调、处理、保护资产等安全属性的工作，保障企业用户的网络安全，最大程度的减少安全事件所带来的经济损失以及恶劣的社会负面影响。

1.1.1.2、服务目标

应急响应服务目标旨在：

●帮助客户及时控制安全事件对企业造成的恶劣影响，将经济损失降到最

低。

●减少因安全事件发生所产生的社会负面影响，保障网络生态安全。

1.1.1.3、服务价值

●系统地响应安全事件，以采取适当的步骤；

●帮助客户迅速有效地从安全事件中恢复过来，并将信息丢失和被盗以及

服务被破坏的程度降到最低；

●利用从安全事件处理过程中获得的信息做好更充分的准备，以处理未来

的安全事件并对系统和数据进行更强的保护；

●建立安全事件响应机制协同建立有效的防御政策来抵制信息安全威胁；

●降低安全运营成本，提高企业信息业务发展安全竞争力。

1.1.2、服务方法

1.1.

2.1、准备阶段（Preparation）

目标：在事件真正发生前为应急响应做好预备性的工作。

角色：指挥人员、一线应急人员、营销人员、媒体宣传人员、监测与响应中心人员、战略推进人员。

内容：根据不同角色准备不同的内容。

●组织研判

根据事件研判规则，对事件进行研判，确定事件预案等级

●统一指挥

制定工作方案和应急响应计划；

提供人员和物质保证；

监督应急响应计划的执行；

指导应急响应实施小组的应急处置工作；

启动定期评审、修订应急响应计划以及负责组织的外部协作。

●应急人员准备工作

1、一线应急人员准备内容

服务需求界定

首先要对服务对象的整个信息系统进行评估，明确服务对象的应急需求，具体包含以下内容：

1)应急响应小组应了解应急服务对象的各项业务功能及其之间的相关性，

确定支持各种业务功能的相关信息系统资源及其他资源，明确相关信息的保密性、完整性和可用性要求；

2)对服务对象的信息系统，包括应用程序，服务器，网络及任何管理和维护这些系统的流程进行评估，确定系统所执行的关键功能，并确定执行这些关键功能所需要的特定系统资源；

3)应急响应小组采用定性或定量的方法，对业务中断、系统宕机、网络瘫痪等突发安全事件造成的影响进行评估；

4)应急响应小组协助服务对象建立适当的应急响应策略，应提供在业务中断、系统宕机、网络瘫痪等突发安全事件发生后快速有效的恢复信息系统运行的方法；

5)应急响应小组为服务对象提供相关的培训服务，以提高服务对象的安全意识，便于相关责任人明确自己的角色和责任，了解常见的安全事件和入侵行为，熟悉应急响应策略。

工具包的准备

1)应急服务提供者应根据应急服务对象的需求准备处置网络安全事件的工具包，包括常用的系统基本命令、其他软件工具等；

2)应急服务提供者的工具包中的工具最好是采用绿色免安装的，应保存在安全的移动介质上，如一次性可写光盘，防篡改、加密的U盘等；

3)应急服务提供者的工具包应定期更新、补充；

必要技术的准备

上述是针对应急响应的处理涉及到的安全技术工具涵盖应急响应的事件取样、事件分析、事件隔离、系统恢复和攻击追踪等各个方面，构成了网络安全应急响应的技术基础。所以我们的应急响应服务实施成员还应该掌握以下必要的技术手段和规范，具体包括以下内容：

1)系统检测技术，包括以下检测技术规范：

✓Windows系统检测技术规范；

✓Unix系统检测技术规范；

✓网络安全事故检测技术规范；

✓数据库系统检测技术规范；

✓常见的应用系统检测技术规范；

2)攻击检测技术，包括以下技术：

✓异常行为分析技术；

✓入侵检测技术；

✓安全风险评估技术；

3)攻击追踪技术；

4)现场取样技术；

5)系统安全加固技术；

6)攻击隔离技术；

7)资产备份恢复技术；

2、营销人员准备内容

和服务对象建立长期友好的业务关系；

和服务对象签订应急服务合同或协议；

建立预防和预警机制，及时上报。

1)预防和预警机制

✓市场人员要严格按照应急响应负责人的安排和建议，及时提醒服务对象提高防范网络攻击、病毒入侵、网络窃密等的能力，防止有害信息传播，保障服务对象网络的安全畅通。

✓将协会网络信息中心会发布的病毒预防警报以及更新的防护策略及时有效地告知服务对象，做好防护策略的更新。

2)信息系统检测和报告

✓按照“早发现、早报告、早处置”的原则，市场人员要加强对服务对象信息系统的安全检测结果的通告，收集可能引发信息安全事件的有关信息、进行分析判断。

✓如服务对象发现有异常情况或有信息安全事件发生时，要立即向协会网络信息中心应急响应负责人报告，并填写事件初步报告表。