應(yīng)急處理預(yù)案 1服務(wù)應(yīng)急保障措施 1.1、應(yīng)急服務(wù)在我們接到用戶在出現(xiàn)安全事件或故障時(shí)提供現(xiàn)場(chǎng)應(yīng)急服務(wù)��。30分鐘內(nèi)恢復(fù)系統(tǒng)正常運(yùn)行��,緊急情況下2小時(shí)到達(dá)現(xiàn)場(chǎng)�����,2小時(shí)解決問(wèn)題。信息識(shí)別(1)用戶安全應(yīng)急小組每周向用戶信息安全領(lǐng)導(dǎo)小組上報(bào)本周安全事件處理報(bào)告��;每月上報(bào)本網(wǎng)上本月網(wǎng)絡(luò)安全事件分析報(bào)告�����。(2)信息監(jiān)測(cè)發(fā)現(xiàn)可能發(fā)生黃色及以上網(wǎng)絡(luò)安全事件情況時(shí)���,用戶安全應(yīng)急小組按要求向用戶信息安全領(lǐng)導(dǎo)小組上報(bào)有關(guān)預(yù)警信息。用戶信息安全領(lǐng)導(dǎo)小組按《用戶網(wǎng)絡(luò)安全應(yīng)急預(yù)案》要求將有關(guān)預(yù)警信息發(fā)布處理���。 1.2��、應(yīng)急響應(yīng)體系的建立為迅速���、合理地響應(yīng)和處置�、最大程度減少用戶的突發(fā)事件造成的損失和影響,必須建立應(yīng)急響應(yīng)體系����。 1.3�、組織體系和職責(zé) 1.3.1���、網(wǎng)絡(luò)安全應(yīng)急組織機(jī)構(gòu)和職責(zé)網(wǎng)絡(luò)安全應(yīng)急處理工作堅(jiān)持統(tǒng)一領(lǐng)導(dǎo)�、分工負(fù)責(zé)、及時(shí)預(yù)警����、協(xié)作配合、快速處理�����、確?���;謴?fù)的原則�����。信息安全應(yīng)急組織結(jié)構(gòu)和職責(zé)成立信息安全領(lǐng)導(dǎo)小組和網(wǎng)絡(luò)應(yīng)急小組,負(fù)責(zé)領(lǐng)導(dǎo)��、組織�、協(xié)調(diào)其用戶絡(luò)與信息安全各方面工作���。安全領(lǐng)導(dǎo)小組職責(zé)用戶信息安全領(lǐng)導(dǎo)小組在網(wǎng)絡(luò)安全應(yīng)急處理方面職責(zé)如下:(1)貫徹國(guó)家有關(guān)方針政策,審定安全事件應(yīng)急響應(yīng)相關(guān)政策及規(guī)定�;(2)啟動(dòng)/終止預(yù)案,并負(fù)責(zé)網(wǎng)絡(luò)安全應(yīng)急工作的總體指揮和協(xié)調(diào)�;(3)根據(jù)上級(jí)部門指示��,決策重大安全事件的應(yīng)急處理實(shí)施方案,并向上級(jí)部門匯報(bào)實(shí)施和進(jìn)展情況��;網(wǎng)絡(luò)應(yīng)急小組安全應(yīng)急職責(zé)在用戶安全事件應(yīng)急處理方面職責(zé)如下:負(fù)責(zé)與用戶內(nèi)相關(guān)部門的溝通協(xié)調(diào)�,并向用戶網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組提出相關(guān)工作建議�����;組織起草��、修改用戶網(wǎng)絡(luò)安全應(yīng)急處理預(yù)案及相關(guān)規(guī)定��;按照用戶信息安全領(lǐng)導(dǎo)小組下達(dá)的命令和指示����,具體協(xié)調(diào)處理用戶網(wǎng)絡(luò)安全應(yīng)急工作;在應(yīng)急響應(yīng)期間����,負(fù)責(zé)用戶各相關(guān)部門和其他各用戶相關(guān)單位之間的現(xiàn)場(chǎng)指揮協(xié)調(diào)�����,接受信息安全領(lǐng)導(dǎo)小組的指示�,組織用戶各相關(guān)部門落實(shí)用戶網(wǎng)絡(luò)安全應(yīng)急處理技術(shù)措施�; 在應(yīng)急響應(yīng)期間�����,及時(shí)收集匯總用戶各相關(guān)部門上報(bào)/反饋的事件進(jìn)展情況���,向用戶信息安全領(lǐng)導(dǎo)小組報(bào)告并提出建議,并向其他各主管單位上報(bào)相關(guān)安全事件處理信息�;在應(yīng)急響應(yīng)期間,承擔(dān)與用戶��、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(以下簡(jiǎn)稱CNCERT/CC)�、國(guó)內(nèi)其他互聯(lián)網(wǎng)單位以及其他國(guó)家和地區(qū)相關(guān)應(yīng)急響應(yīng)組織的聯(lián)絡(luò),����。 1.3.2���、網(wǎng)絡(luò)安全應(yīng)急組織體系用戶信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)組織��、協(xié)調(diào)用戶各部門�、用戶安全應(yīng)急協(xié)調(diào)小組進(jìn)行用戶網(wǎng)絡(luò)安全應(yīng)急工作。用戶安全應(yīng)急小組負(fù)責(zé)監(jiān)測(cè)和分析用戶的運(yùn)行狀況��,采集用戶的日常運(yùn)行數(shù)據(jù)����;及時(shí)上報(bào)發(fā)現(xiàn)的網(wǎng)絡(luò)異常和安全事件;在用戶信息安全領(lǐng)導(dǎo)小組的統(tǒng)一指揮下����,采取有效措施����,處理所管網(wǎng)絡(luò)的網(wǎng)絡(luò)安全事件����;通知本網(wǎng)用戶及時(shí)進(jìn)行安全加固�。消除安全隱患;配合其他部門處理與所管網(wǎng)絡(luò)有關(guān)的安全事件�����。用戶安全應(yīng)急小組負(fù)責(zé)為整個(gè)用戶應(yīng)急處理工作提供技術(shù)支撐���;協(xié)調(diào)和配合各部門的應(yīng)急技術(shù)處理及演練;利用技術(shù)手段��,對(duì)用戶網(wǎng)絡(luò)安全事件進(jìn)行監(jiān)測(cè)���,及時(shí)收集�、核實(shí)、匯總����、分析、上報(bào)有關(guān)網(wǎng)絡(luò)安全信息�;保持與CNCERT/CC、國(guó)內(nèi)其他單位以及其他國(guó)家和地區(qū)相關(guān)應(yīng)急響應(yīng)組織的安全事件應(yīng)急處理合作����。 2、預(yù)警和預(yù)防體制用戶應(yīng)從制度建立���、技術(shù)實(shí)現(xiàn)��、業(yè)務(wù)管理等方面建立健全用戶網(wǎng)絡(luò)安全的預(yù)警預(yù)防機(jī)制�����。 3�、應(yīng)急響應(yīng)過(guò)程據(jù)本方案對(duì)網(wǎng)絡(luò)安全事件的藍(lán)色分類,“一般/藍(lán)色警報(bào)”級(jí)別的網(wǎng)絡(luò)安全事件隨時(shí)隨地都在發(fā)生�,因此這類事件作為日常監(jiān)測(cè)、維護(hù)的內(nèi)容����,由通過(guò)預(yù)警信息溝通,自行處置�����。用戶信息安全領(lǐng)導(dǎo)小組在接到用戶信息安全領(lǐng)導(dǎo)小組關(guān)于啟動(dòng)《網(wǎng)絡(luò)安全應(yīng)急預(yù)案》的指示或接到關(guān)于發(fā)生或可能發(fā)生“預(yù)警/黃色警報(bào)”���、“報(bào)警/橙色警報(bào)”�,“緊急/紅色警報(bào)”級(jí)別的網(wǎng)絡(luò)安全事件的緊急報(bào)告時(shí),信息安全領(lǐng)導(dǎo)小組批準(zhǔn)����,指示用戶各相關(guān)部門及啟動(dòng)本預(yù)案進(jìn)入相應(yīng)的分級(jí)應(yīng)急響應(yīng)工作程序。在國(guó)內(nèi)發(fā)生特別重大突發(fā)公共事件��、以及奧運(yùn)會(huì)測(cè)試賽��、奧運(yùn)會(huì)正式賽等特殊重要時(shí)期�����,沒(méi)有發(fā)生黃色以上重大安全事件時(shí)�����,用戶信息安全領(lǐng)導(dǎo)小組通知各相關(guān)部門���、用戶按照“預(yù)警/黃色警報(bào)”級(jí)別安全事件的處理要求和流程做好應(yīng)急準(zhǔn)備�����;當(dāng)發(fā)生或可能發(fā)生黃色以上重大安全事件時(shí)����,用戶應(yīng)根據(jù)本預(yù)案��,按紅色級(jí)別安全事件的處理要求和流程進(jìn)行各項(xiàng)應(yīng)急處理�����。 4、應(yīng)急結(jié)束根據(jù)各相關(guān)部門和用戶應(yīng)急小組報(bào)告的網(wǎng)絡(luò)安全事件發(fā)展和應(yīng)急處理效果等情況�,用戶應(yīng)急小組對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行分析��,判斷事件影響已降低到最低級(jí)別安全事件影響水平之下時(shí),報(bào)經(jīng)用戶信息安全領(lǐng)導(dǎo)小組批準(zhǔn)后�����,指示各相關(guān)部門后期處置��。 5�、應(yīng)急預(yù)案應(yīng)急預(yù)案是用于網(wǎng)絡(luò)與通信系統(tǒng)出現(xiàn)突發(fā)事件時(shí)����,為迅速��、合理地響應(yīng)和處置���、最大程度減少事件造成的損失和影響而預(yù)先制定的可操作的緊急行動(dòng)方案�����。我方在項(xiàng)目開始后�,將根據(jù)威脅要素視圖��,結(jié)合奧運(yùn)會(huì)期間可能發(fā)生的網(wǎng)絡(luò)安全事件,協(xié)助用戶制定用戶應(yīng)急預(yù)案���。在應(yīng)急預(yù)案中將明確應(yīng)急事件中的工作原則�����、組織體系�����、預(yù)防和預(yù)警機(jī)制、預(yù)警分級(jí)和發(fā)布��、應(yīng)急響應(yīng)和處置的流程手段���、后期處置和保障措施等內(nèi)容。項(xiàng)目提交成果:《用戶網(wǎng)絡(luò)安全應(yīng)急預(yù)案》該預(yù)案將對(duì)應(yīng)急響應(yīng)起指導(dǎo)作用�����,其主要內(nèi)容如下: 6����、組織體系和職責(zé)制定合理的安全應(yīng)急組織體系和明確的職責(zé)是整個(gè)應(yīng)急預(yù)案的重要前提。用戶應(yīng)當(dāng)成立用戶信息安全領(lǐng)導(dǎo)小組�,負(fù)責(zé)領(lǐng)導(dǎo)、組織�、協(xié)調(diào)其用戶絡(luò)與信息安全各方面工作。安全應(yīng)急組織體系中將明確定義如下人員:實(shí)時(shí)監(jiān)測(cè)人員:負(fù)責(zé)實(shí)時(shí)的監(jiān)測(cè)和記錄安全事件的發(fā)生�,對(duì)于較大的安全事件�,上報(bào)至相關(guān)的管理協(xié)調(diào)人員和應(yīng)急保障人員進(jìn)行處理�����,并協(xié)助處理事件���。應(yīng)急保障人員:對(duì)發(fā)生的安全事件進(jìn)行分析,識(shí)別事件的性質(zhì)和攻擊特征�,采取適當(dāng)?shù)拇胧┛刂乒舻膹?qiáng)度����,恢復(fù)系統(tǒng)對(duì)外服務(wù)�����,以及追蹤攻擊來(lái)源。管理協(xié)調(diào)人員:在應(yīng)急響應(yīng)中協(xié)調(diào)各方人員�,使得人員以一種有序的方式完成各自的工作,提高工作效率���,盡快解決問(wèn)題��。系統(tǒng)維護(hù)人員:負(fù)責(zé)系統(tǒng)的日常維護(hù)��,以及預(yù)防措施的實(shí)施��,并在應(yīng)急響應(yīng)中對(duì)應(yīng)急保障人員提供支持�����。高層管理人員:負(fù)責(zé)與總部和公安機(jī)關(guān)的協(xié)調(diào),協(xié)調(diào)所需的資源�����,為應(yīng)急保障準(zhǔn)備工作提供支持,審核批準(zhǔn)相關(guān)策略��、方案�����。 7�����、相關(guān)組織結(jié)構(gòu) 7.1、應(yīng)急預(yù)案的內(nèi)函與作用應(yīng)急預(yù)案是對(duì)應(yīng)急響應(yīng)起指導(dǎo)性作用�,應(yīng)急響應(yīng)工作的特點(diǎn)是高度的壓力,短暫的時(shí)間和有限的資源�����。應(yīng)急響應(yīng)是一項(xiàng)需要充分的準(zhǔn)備并嚴(yán)密組織的工作��。它必須避免不正確的和可能是災(zāi)難性的動(dòng)作或忽略了關(guān)鍵步驟的情況發(fā)生����。它的大部分工作應(yīng)該是對(duì)各種可能發(fā)生的安全事件制定應(yīng)急預(yù)案,并通過(guò)多種形式的應(yīng)急演練,不斷提高應(yīng)急預(yù)案的實(shí)際可操作性����。具有必要技能和相當(dāng)資源的應(yīng)急響應(yīng)組織是安全事件響應(yīng)的保障。參與具體安全事件應(yīng)急響應(yīng)的人員應(yīng)當(dāng)不僅包括應(yīng)急組織的人員��,還應(yīng)包括安全事件涉及到的業(yè)務(wù)系統(tǒng)維護(hù)人員�、設(shè)備提供商�����、集成商和第三方安全應(yīng)急服務(wù)提供人員等�,從而保證具有足夠的知識(shí)和技能應(yīng)對(duì)當(dāng)前的安全事件�����。應(yīng)急響應(yīng)除了需要技術(shù)方面的技能外�����,還需要管理能力�����,相關(guān)的法律知識(shí)�、溝通協(xié)調(diào)的技能����、寫作技巧���、甚至心理學(xué)的知識(shí)。在系統(tǒng)通常存在各種殘余風(fēng)險(xiǎn)的客觀情況下�����,應(yīng)急響應(yīng)是一個(gè)必要的保護(hù)策略��。同時(shí)需要強(qiáng)調(diào)的是��,盡管有效的應(yīng)急響應(yīng)可以在某種程度上彌補(bǔ)安全防護(hù)措施的不足�����,但不可能完全代替安全防護(hù)措施。缺乏必要的安全措施��,會(huì)帶來(lái)更多的安全事件,最終造成資源的浪費(fèi)�����。安全事件應(yīng)急響應(yīng)的目標(biāo)通常包括:采取緊急措施,恢復(fù)業(yè)務(wù)到正常服務(wù)狀態(tài)����;調(diào)查安全事件發(fā)生的原因,避免同類安全事件再次發(fā)生���;在需要司法機(jī)關(guān)介入時(shí)��,提供法律任何的數(shù)字證據(jù)等�。在應(yīng)急預(yù)案中以安全事件應(yīng)急響應(yīng)6階段(PDCERF)方法學(xué)為主線介紹安全事件應(yīng)急響應(yīng)的過(guò)程和具體工作內(nèi)容�。6階段(PDCERF)方法學(xué)不是安全事件應(yīng)急響應(yīng)唯一的方法,結(jié)合安全事件應(yīng)急響應(yīng)工作經(jīng)驗(yàn)�����,在實(shí)際應(yīng)急響應(yīng)過(guò)程中�,也不一定嚴(yán)格存在這6個(gè)階段���,也不一定嚴(yán)格按照6階段的順序進(jìn)行��。但它是目前適用性較強(qiáng)的應(yīng)急響應(yīng)的通用方法學(xué)�。它包括準(zhǔn)備�、檢測(cè)���、抑制、根除�、恢復(fù)和跟進(jìn)6個(gè)階段。6階段方法學(xué)的簡(jiǎn)要關(guān)系見(jiàn)下圖�����。 7.2����、應(yīng)急預(yù)案中六要素的內(nèi)容的涵蓋準(zhǔn)備階段:準(zhǔn)備階段是安全事件響應(yīng)的第一個(gè)階段��,即在事件真正發(fā)生前為事件響應(yīng)做好準(zhǔn)備�����。這一階段極為重要�����,因?yàn)槭录l(fā)生時(shí)可能需要在短時(shí)間內(nèi)處理較多的事物,如果沒(méi)有足夠的準(zhǔn)備�����,那么將無(wú)法正確的完成響應(yīng)工作��。在準(zhǔn)備階段請(qǐng)關(guān)注以下信息:基于威脅建立合理的安全保障措施建立有針對(duì)性的安全事件應(yīng)急響應(yīng)預(yù)案�,并進(jìn)行應(yīng)急演練為安全事件應(yīng)急響應(yīng)提供足夠的資源和人員建立支持事件響應(yīng)活動(dòng)管理體系檢測(cè)階段:檢測(cè)是指以適當(dāng)?shù)姆椒ù_認(rèn)在系統(tǒng)/網(wǎng)絡(luò)中是否出現(xiàn)了惡意代碼�、文件和目錄是否被篡改等異常活動(dòng)/現(xiàn)象���。如果可能的話同時(shí)確定它的影響范圍和問(wèn)題原因���。在操作的角度來(lái)講�����,事件響應(yīng)過(guò)程中所有的后續(xù)階段都依賴于檢測(cè),如果沒(méi)有檢測(cè),就不會(huì)存在真正意義上的事件響應(yīng)�。檢測(cè)階段是事件響應(yīng)的觸發(fā)條件。抑制階段:抑制階段是事件響應(yīng)的第三個(gè)階段��,它的目的是限制攻擊/破壞所波及的范圍��。同時(shí)也是限制潛在的損失���。所有的抑制活動(dòng)都是建立在能正確檢測(cè)事件的基礎(chǔ)上,抑制活動(dòng)必須結(jié)合檢測(cè)階段發(fā)現(xiàn)的安全事件的現(xiàn)象�����、性質(zhì)�����、范圍等屬性�����,制定并實(shí)施正確的抑制策略���。抑制策略可能包含以下內(nèi)容:完全關(guān)閉所有系統(tǒng);從網(wǎng)絡(luò)上斷開主機(jī)或部分網(wǎng)絡(luò)�;修改所有的防火墻和路由器的過(guò)濾規(guī)則�;封鎖或刪除被攻擊的登陸賬號(hào)���;加強(qiáng)對(duì)系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控;設(shè)置誘餌服務(wù)器進(jìn)一步獲取事件信息�;關(guān)閉受攻擊系統(tǒng)或其他相關(guān)系統(tǒng)的部分服務(wù);根除階段:安全事件應(yīng)急響應(yīng)6階段方法論的第4階段是根除階段���,即在準(zhǔn)確的抑制事件后,找出事件的根源并徹底根除它���,以避免攻擊者再次使用相同手段攻擊系統(tǒng)�,引發(fā)安全事件�。在根除階段中將需要利用到在準(zhǔn)備階段中產(chǎn)生的結(jié)果?��;謴?fù)階段:將事件的根源根除后�,將進(jìn)入恢復(fù)階段���?�;謴?fù)階段的目標(biāo)是把所有被攻破的系統(tǒng)或網(wǎng)絡(luò)設(shè)備還原到它們正常的任務(wù)狀態(tài)����。跟進(jìn)階段:安全事件應(yīng)急響應(yīng)6階段方法論的最后一個(gè)階段是跟進(jìn)階段�����,其目標(biāo)是回顧并整合發(fā)生事件的相關(guān)信息。跟進(jìn)階段也是6個(gè)階段中最可能被忽略的階段��。但這一步也是非常關(guān)鍵的���。該階段需要完成的原因有以下幾點(diǎn):有助于從安全事件中吸取經(jīng)驗(yàn)教訓(xùn),提高技能�����;有助于評(píng)判應(yīng)急響應(yīng)組織的事件響應(yīng)能力��; 8�、文檔與記錄應(yīng)急預(yù)案必須由正式的文檔記錄���,一方面為下一階段的工作提供依據(jù)�����,同時(shí)為以后的審查����、統(tǒng)計(jì)與總結(jié)提供基本的素材�。
