应急响应服务方案-2.docx

《应急响应服务方案-2.docx》由会员分享，可在线阅读，更多相关《应急响应服务方案-2.docx（13页珍藏版）》请在第壹文秘上搜索。

1、应急响应服务方案目录1.1应急响应原则21.2应急处理原则31. 3应急响应服务4应急事件的影响程度4应急事件的影响级别分类5应急事件的优先级处理5应急事件响应61.4 应急响应保障措施81.5 5应急响应组织保障10组织机构与职责10组织的外部协作111.6 应急响应流程11准备阶段11检测阶段15抑制阶段19根除阶段21恢复阶段23总结阶段241.7 各类应急事件处理预案25设备发生被盗或人为损害事件应急预案25通信网络故障应急预案26不良信息和网络病毒事件应急预案26服务器软件系统故障应急预案27黑客攻击事件应急预案27核心设备硬件故障应急预案28业务数据损坏应急预案281.8 应急事件

2、响应建议29应急事件现场处理291.9 .2应急事件的事后处理30应急保障措施32应急体系完善32随着网络信息化建设的不断深入，加强各类设备、系统以及信息与网络安全等方面应对应急事件的处理能力将是运维项目面临的一项重要任务。为确保系统及机房安全与稳定，以保证正常运行为宗旨，按照“预防为主，积极处置”的原则，本着建立一个有效处置应急事件，建立统一指挥、职贲明确运转有序、反应迅速处置有力的安全体系的目标,将正在发生或已发生事故的损害程度减轻到最低，确保系统和数据安全，特制定本应急保障方案。在应急事件发生时，通过应急事件处置与应急响应机制，保障计算机信息系统继续运行或紧急恢复，可归纳为3个方面：o紧

3、急事件或安全发生时的影响分析；应急预案的详细制订；o应急预案的演练与完善。1.1.应急响应原则 实时原则应急响应服务中心配备了7X24的人员值班机制，保证接受客户在任意时间提出的服务请求。并在接到客户的服务请求以后，在1个小时之给予响应。 规性原则对于每一次应急事件的发生都有严格的事件记录，记录事件处理的全部过程，对于现场处理事件由用户签署认可建议。 最小性原则事件处理过程中，将事件对整个系统的影响降低到最小，强化处理前的分析与备份工作。 性原则对于所有事件的处理容、时间、地点，严格遵从原则，不向任何的第三方透漏。1.2应急处理原则1 .预防为主。立足安全防护，加强预警，重点保护基础信息网络和

4、信息系统安全、稳定，从预防、监控、应急处理、应急保障等环节，在管理、技术、人员等方面采取多种措施充分发挥各方面的作用，共同构筑安全保障体系。2 .快速反应。应急事件发生时，按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处置，最大程度地减少危害和影响。3 .分级负责。按照“谁主管，谁负责”的原则，建立和完善安全责任制及联动工作机制。根据各负责人的职能，各司其职，加强各负责人的协调与配合，共同履行应急处置工作的管理职责。4 .以人为本。把保障人员以及客户利益的安全作为首要任务。5 .常备不懈。加强技术储备，规应急处置措施与操作流程，定期进行预案演练，确保应急预案切实有效，实现

5、网络与信息安全突发公共事件应急处置的科学化、程序化与规化。1.3应急响应服务应急事件响应，是当应急事件发生后迅速采取的措施和行为，其目的是以最快的速度恢复系统的性，完整性和可用性，降低应急事件对业务系统造成的损失。针对运维服务项目，除有驻场工程师进行日常巡检和维护的工作外,还成立信息系统运维4s组，提供应急响应服务。当设备、软件和基础网络出现故障时，原则上由驻场运维工程现场解决，如果现场服务工程无法解决，事件升级为后台技术支持团队解决。保障在1小时做出明确响应和安排,2小时提供诊断报告和故障解决方案。同时,根据客户的具体情况，制定和编写信息系统应急预案，保障客户信息系统的可靠，安全的运行。1.

6、3.1应急事件的影响程度处置结束后，运维服务小组应将事发经过、造成影响、处置结果在调查工作结束后一日书面报告应急领导小组。1.7.4服务器软件系统故障应急预案发生服务器软件系统故障后，运维服务小组负责人应立即组织启动备份服务器系统，由备份服务器接管业务应用，并及时报告应急领导小组；同时安排相关责任人将故障服务器脱离网络，保证系统状态不变，取出系统镜像备份磁盘，保持原始数据。运维服务小组应根据应急领导小组的指令，在确认安全的情况下，重新启动故障服务器系统；重启系统成功，则检查数据丢失情况，利用备份数据恢复；若重启失败，立即联系相关厂商和上级单位，请求技术支援，作好技术处理。事态或后果严重的，应向

7、应急领导小组汇报。处置结束后，运维服务小组应将事发经过、处置结果等在调查工作结束后一日报告应急领导小组。1.7.5黑客攻击事件应急预案当发现网络被非法入侵、网页容被篡改，应用服务器上的数据被非法拷贝、修改、删除，或通过入侵检测系统发现有黑客正在进行攻击时，运维人员或系统管理员应断开网络,并立即报告应急领导小组。接报告后，应急领导小组应立即指令运维服务小组核实情1.7.7业务数据损坏应急预案发生业务数据损坏时，运维服务小组应及时报告应急领导小组，检查、备份业务系统当前数据。运维服务小组负责调用备份服务器备份数据，若备份数据损坏，则调用磁带机中历史备份数据，若磁带机数据仍不可用，则调用异地备份数据

8、。业务数据损坏事件超过2小时后，运维服务小组应及时报告应急领导小组，及时通知业务部门以手工方式开展业务。运维服务小组应待业务数据系统恢复后，检查历史数据和当前数据的差别，由相关系统业务员补录数据；重新备份数据，并在工作结束后一日报告应急领导小组。1.8应急事件响应建议1.8.I应急事件现场处理系统应急事件现场处理方案选择一般有以下几种方式。1 .紧急消除应急事件处理最核心的问题是消除当前威胁，主要是指消除应急事件的原因。如果应急事件属于计算机病毒，用杀毒软件进行消除。如果应急事件属入侵者，应当首先对入侵者进行监视、跟踪，确定入侵行为的痕迹并消除之（例如新账号和被监控文件被修改，然后利用完整性检

9、查工共进行检查，最后摆脱入侵者。2 .紧急恢复恢复系统可以采取现场联机恢复和关闭网络连接恢复两种方法。一旦攻击发生，如果不能采取关机和关闭网络连接的措施，就采取现场联机恢复。3 .切换如果采用了双机备份的系统结构，可以采用联机切换方式，先切换再恢复。4 .监视发现入侵者后，监视入侵者的行为是必要的.监视时，可采用系统服务了解攻击者使用了哪个进程，监视网络出入的情况，采用它机监视的方法，要注意反监视问题的处理。应急事件发生时要记录事件现场。在记录应急事件时，要记录平件的每一环节，包括事件的时间、地点。要打印拷贝、记录拷贝时间、记录对话容，并尽可能采用自动化的记录方法。5 .报警攻击自动发现系统可

10、发现攻击行为，并为系统管理员和信息系统安全员发出报警信号。报警可以通过声音手机、等方式表现。1.8.2应急事件的事后处理系统应急事件事后处理包括事件后消除，弥补系统脆弱性，分析原因，总结教训I,完善安全策略,服务和过程。1.事件后消除消除威胁是应急事件处理最核心的问题，主要是指消除应急事件的原因。如果应急事件的原因是厂商的后门软件、间谍软件，不管厂商以什么目的采用了这些软件，只要断定这些所谓后门软件可以被攻击者利用，需要向厂商提出交涉，消除该软件或关闭厂商保留的端口。如果应急事件的原因是程序化入侵，则删除入侵程序。如果应急事件的原因是破坏和删除文件，则使用拷贝文件恢复。2 .弥补系统脆弱性当发

11、现网络系统漏洞时，修补操作是必需的。修补的方法包括包装程序、代理程序、隐藏程序、控制程序和改正程序错误等。应急事件的发生暴露了信息系统的脆弱性。发现漏洞后可以提出修补漏洞的方法，实施修补过程。3 .分析原因应急事件的原因分析是必要的，分析清楚原因，提出改进的办法。4 .总结教训根据应急事件的损失和后果，处罚或批评负有责任者。通过对应急事件的处理，可明确在安全管理方面的缺陷，有针对性地加强和完善管理制度。5 .完善安全策略、结构、服务和过程发生应急事件后，对信息系统的安全策略、安全结构、安全服务和过程进行全面的检查，并对其进行修改和完善。6 .系统应急事件责任划分明确系统应急事件的责任。攻击成功

12、往往与系统管理员的工作失误有关。由于系统管理员、信息系统安全员和操作员对信息系统安全都有自己的职责，要检查有关人员的失职问题。有些应急事件的发生与安全结构不合理有关，或是信息系统安全措施落后造成的。1.8.3应急保障措施1 .应急人力保障加强信息安全人才培养，强化信息安全宣传教育，建设一支高素质、高技术的信息安全核心人才和管理队伍，提高信息安全防御意识。2 .物质条件保障安排一定的资金用于预防或应对信息安全应急事件，提供必要的交通运输保障，优化信息安全应急处理工作的物资保障条件。3 .技术支撑保障设立信息安全应急响应中心，建立预警与应急处理的技术平台，进一步提高应急事件的发现和分析能力。从技术

13、上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。1.8.4应急体系完善以往的应急管理体系主要以经验式、运动式的模式为主，难以适应日益严峻的信息安全形势的发展。一个组织机构信息安全应急体系建设的关键是通过有计划地开展科学完善的应急体系与机制建设，把原来以应急处置为重点的被动应急管理模式，逐步转变为强调事前防灾，以应急准备为核心的主动应急管理模式。通过建设科学完善的信息安全应急体系及机制，不断提高对于应急能力，即“主动式”应急理念。1.应急预案体系应急预案体系建设是一个组织应急工作的基础，应按照“结构完整、层次清晰、上下统一、外衔接、覆盖全面”的要求,计划

14、开展应急预案体系建设，形成“横向到边、纵向到底、上下对应、外衔接”的应急预案体系，预案容实用、可操作性强，涵盖自然灾害、事故灾难、社会安全等3类信息安全应急事件。组织的应急预案体系由总体应急预案、专项应急预案和现场处置方案构成。其中，总体应急预案是应急预案体系的总纲,是组织机构应对各类应急事件的总体方案。专项应急预案是针对具体的信息安全应急事件、危险源和应急保障制定的方案；现场处置方案是针对特定的场所、设备设施、岗位，针对典型的信息安全应急事件,制定的处置流程和措施。2 .应急培训演练为了更好地落实应急预案中的整体工作流程、各项工作容，在信息安全突发事发生后能够做到即刻响应、有序处理、立即恢复

15、，需要通过定期培训的方式提高人员的应急处置能力，将信息应急事件对业务系统带来的损失降到最低，对此，可以成立应急培训基地，编制应急培训教材，定期组织开展信息安全应急理论讲座和技能培训。培训容可以包括应急管理人员的组织协调、资源调配、信息汇报等应急处置技能，企业应急抢险队员、一般管理人员、生产人员的应急抢险意识和技能等。组织开展特定应急课题研究，结合信息系统安全运行事件进行分析，开展各种规模、形式的应急演练，构建适合并具有相应组织机构特点的应急支撑体系。3 .应急队伍能力应急队伍是应急体系建设的重要组成部分，是防和应对信息安全应急事件的主要力量。为提升应急队伍的综合实力，依托现有的专业队伍，整合各类专业的技术力量，组建并不断完善各类信息应急事件应急响应队伍，且配备专业设备和资源，并加强培训和演练。应急队伍的人员构成和设备、资源配置要符合主辅专业搭配、外协调并重、理论和技能兼备等适应各种信息安全应急事件状态的应急要求。应急队伍成员在履行岗位职责、参加本单位正常生产经营活动或运行维护工作的同时，应按照信息应急事件应急队伍工作计划安排，定期参加技能培训、设备保养和预案演练等活动。应急事件发生后.由应急队伍统一集中处置，直至应急处置结束，业务恢复正常。加强专家队伍管理，建立专家参与应