《信息安全应急响应服务方案模板》由会员分享,可在线阅读,更多相关《信息安全应急响应服务方案模板(14页珍藏版)》请在金锄头文库上搜索。
1、.wd.信息安全应急响应服务方案XXXX科技2018年5月目录第一局部概述31.1.信息安全应急响应31.2.应急安全响应事件31.3.服务原那么3第二局部应急响应组织保障42.1.角色的划分42.2.角色的职责42.3.组织的外部协作42.4.保障措施5第三局部应急响应实施流程53.1.准备阶段Preparation73.1.1 负责人准备内容73.1.2 技术人员准备内容73.1.3 市场人员准备内容93.2.检测阶段Examination93.2.1 实施小组人员确实定93.2.2 检测范围及对象确实定103.2.3 检测方案确实定103.2.4 检测方案的实施103.2.5 检测结果的
2、处理123.3.抑制阶段Suppresses123.3.1 抑制方案确实定133.3.2 抑制方案的认可133.3.3 抑制方案的实施133.3.4 抑制效果的判定133.4.铲除阶段Eradicates143.4.1 铲除方案确实定143.4.2 铲除方案的认可143.4.3 铲除方案的实施143.4.4 铲除效果的判定143.5.恢复阶段Restoration153.5.1 恢复方案确实定153.5.2 恢复信息系统153.6.总结阶段Summary153.6.1 事故总结163.6.2 事故报告16第一局部 概述1.1.信息安全应急响应应急响应服务是为满足企业发生安全事件、需要紧急解决问
3、题的情况下提供的一项安全服务。当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,安全专家会在第一时间赶到事件现场,使企业的网络信息系统在最短时间内恢复正常工作,帮助企业查找入侵来源,给出入侵事故过程报告,同时给出解决方案与防范报告,为企业挽回或减少经济损失。提供入侵调查,拒绝服务攻击响应,主机、网络、业务异常紧急响应和处理。1.2.应急安全响应事件 计算机病毒事件; 蠕虫病毒事件 ; 特洛伊木马事件 ; 网页内嵌恶意代码事件; 拒绝服务攻击事件; 后门攻击事件; 漏洞攻击事件; 网络扫描窃听事件; 信息篡改事件; 信息假冒事件; 信息窃取事件。1.3.服务原那么在整个应急响应处理
4、过程的中,本协会严格按照以下原那么要求服务人员,并签订必要的保密协议。u 保密性原那么应急服务提供者应对应急处理服务过程中获知的任何关于服务对象的系统信息承担保密的责任和义务,不得泄露给第三方的单位和个人,不得利用这些信息进展侵害服务对象的行为。u 标准性原那么应急服务提供者应要求服务人员依照标准的操作流程进展应急处理服务,所有处理人员必须对各自的操作过程和结果进展详细的记录,最终按照标准的报告格式提供完整的服务报告。u 最小影响原那么应急处理服务工作应尽可能减少对原系统和网络正常运行的影响,尽量防止对原网络运行和业务正常运转产生显著影响包括系统性能明显下降、网络阻塞、服务中断等,如无法防止,
5、那么必须向服务对象说明。第二局部 应急响应组织保障2.1.角色的划分本公司应急响应工作机构按角色划分为三个:u 应急响应负责人,u 应急响应技术人员,u 应急响应市场人员。信息安全事件发生后,在应急响应领导小组的统一部署下,工作人员各施其职,并严格按照应急响应方案组织实施应急响应工作。2.2.角色的职责u 应急响应负责人:应急响应负责人是信息安全应急响应工作的组织领导机构,组长应由组织最高管理层成员担任。负责人的职责是领导和决策信息安全应急响应的重大事宜,主要职责如下: a) 制定工作方案;b) 提供人员和物质保证;c) 审核并批准经费预算;d) 审核并批准恢复策略;e) 审核并批准应急响应方
6、案;f) 批准并监视应急响应方案的执行;g) 指导应急响应实施小组的应急处置工作;h) 启动定期评审、修订应急响应方案以及负责组织的外部协作。u 应急响应技术人员,其主要职责如下:a) 编制应急响应方案文档;b) 应急响应的需求分析,确定应急策略和等级以及策略的实现;c) 备份系统的运行和维护,协助灾难恢复系统实施;d) 信息安全突发事件发生时的损失控制和损害评估;e) 组织应急响应方案的测试和演练。u 应急响应市场人员,其主要职责如下:a) 开拓新客户,与客户建设长期的合作关系;维护与公司老客户的业务往来;b) 建设预防预警机制,及时进展信息上报;c) 参与和协助应急响应方案的教育、培训和演
7、练;d) 信息安全事件发生后的外部协作。2.3.组织的外部协作依据服务对象信息安全事件的影响程度,如需向上级部门及时通报准确情况或向其他单位寻求支持时,应与相关管理部门以及外部组织机构保持联络和协作。主要包括国家计算机网络应急技术处理协调中心(CNCERT/CC)华中地区分中心、国家计算机网络应急技术处理协调中心(CNCERT/CC)、中国教育科研网络华中地区网络中心、中国教育科研网网络中心、#市公安局网络安全监察室、湖北省公安厅网络安全监察处、中国电信#分公司网管中心以及主要相关设备供应商。2.4.保障措施u 应急人力保障加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信
8、息安全核心人才和管理队伍,提高信息安全防御意识。大力开展信息安全服务业,增强协会应急支援能力。u 物质条件保障安排一定的资金用于预防或应对信息安全突发事件,提供必要的交通运输保障,优化信息安全应急处理工作的物资保障条件。u 技术支撑保障设立信息安全应急响应中心,建设预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力。从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。第三局部 应急响应实施流程该服务流程并非一个固定不变的教条,需要应急响应服务人员在实际中灵活变通,可适当简化,但任何变通都必须纪录有关的原因。详细的记录对于找出事件的真相、查出
9、威胁的来源与安全弱点、找到问题正确的解决方法,甚至判定事故的责任,防止同类事件的发生都有着极其重要的作用。 3.1.准备阶段Preparationl 目标:在事件真正发生前为应急响应做好预备性的工作。l 角色:协会负责人、技术人员、市场人员。l 内容:根据不同角色准备不同的内容。l 输出:?准备工具清单?、?事件初步报告表?、?实施人员工作清单?3.1.1负责人准备内容l 制定工作方案和方案;l 提供人员和物质保证;l 审核并批准经费预算、恢复策略、应急响应方案;l 批准并监视应急响应方案的执行;l 指导应急响应实施小组的应急处置工作;l 启动定期评审、修订应急响应方案以及负责组织的外部协作。
10、3.1.2技术人员准备内容l 服务需求界定首先要对服务对象的整个信息系统进展评估,明确服务对象的应急需求,具体应包含以下内容:1) 应急服务提供者应了解应急服务对象的各项业务功能及其之间的相关性,确定支持各种业务功能的相关信息系统资源及其他资源,明确相关信息的保密性、完整性、和可用性要求;2) 对服务对象的信息系统,包括应用程序,服务器,网络及任何管理和维护这些系统的流程进展评估,确定系统所执行的关键功能,并确定执行这些关键功能所需要的特定系统资源;3) 应急服务提供者应采用定性或定量的方法,对业务中断、系统宕机、网络瘫痪等突发安全事件造成的影响进展评估;4) 应急服务提供者应协助服务对象建设
11、适当的应急响应策略,应提供在业务中断、系统宕机、网络瘫痪等突发安全事件发生后快速有效的恢复信息系统运行的方法;5) 应急服务提供者宜为服务对象提供相关的培训服务,以提高服务对象的安全意识,便于相关责任人明确自己的角色和责任,了解常见的安全事件和入侵行为,熟悉应急响应策略。l 主机和网络设备安全初始化快照和备份在系统安全策略配置完成后,要对系统做一次初始安全状态快照。这样,如果以后在出现事故后对该服务器做安全检测时,通过将初始化快照做的结果与检测阶段做的快照进展比较,就能够发现系统的改动或异常。1) 对主机系统做一个标准的安全初始化的状态快照,包括的主要内容有: 日志及审核策略快照等。 用户账户
12、快照; 进程快照; 服务快照; 自启动快照 关键文件签名快照; 开放端口快照; 系统资源利用率的快照; 注册表快照; 方案任务快照等等;2) 对网络设备做一个标准的安全初始化的状态快照,包括的主要内容有: 路由器快照; 防火墙快照; 用户快照; 系统资源利用率等快照。3) 信息系统的业务数据及办公数据均十分重要,因此需要进展数据存储及备份。目前,存储藏份构造主要有DAS、SAN和NAS,以及通过磁带或光盘对数据进展备份。各服务对象可以根据自身的特点选择不同的存储产品构建自己的数据存储藏份系统。l 工具包的准备1) 应急服务提供者应根据应急服务对象的需求准备处置网络安全事件的工具包,包括常用的系
13、统 基本命令、其他软件工具等;2) 应急服务提供者的工具包中的工具最好是采用绿色免安装的,应保存在安全的移动介质上,如一次性可写光盘、加密的U盘等;3) 应急服务提供者的工具包应定期更新、补充;l 必要技术的准备上述是针对应急响应的处理涉及到的安全技术工具涵盖应急响应的事件取样、事件分析、事件隔离、系统恢复和攻击追踪等各个方面,构成了网络安全应急响应的技术根基。所以我们的应急响应服务实施成员还应该掌握以下必要的技术手段和标准,具体包括以下内容:1) 系统检测技术,包括以下检测技术标准: Windows系统检测技术标准; Unix系统检测技术标准; 网络安全事故检测技术标准; 数据库系统检测技术
14、标准; 常见的应用系统检测技术标准;2) 攻击检测技术,包括以下技术: 异常行为分析技术; 入侵检测技术; 安全风险评估技术;3) 攻击追踪技术;4) 现场取样技术;5) 系统安全加固技术;6) 攻击隔离技术;7) 资产备份恢复技术;3.1.3市场人员准备内容l 和服务对象建设长期友好的业务关系;l 和服务对象签订应急服务合同或协议;l 建设预防和预警机制,及时上报。1) 预防和预警机制 市场人员要严格按照应急响应负责人的安排和建议,及时提醒服务对象提高防范网络攻击、病毒入侵、网络窃密等的能力,防止有害信息传播,保障服务对象网络的安全畅通。 将协会网络信息中心会发布的病毒预防警报以及更新的防护
15、策略及时有效地告知服务对象,做好防护策略的更新。2) 信息系统检测和报告 按照“早发现、早报告、早处置的原那么,市场人员要加强对服务对象信息系统的安全检测结果的通告,收集可能引发信息安全事件的有关信息、进展分析判断。 如服务对象发现有异常情况或有信息安全事件发生时,要立即向协会网络信息中心应急响应负责人报告,并填写事件初步报告表。 要求服务对象持续监测信息系统状况,密切关注应急响应负责人提出初步行动对策和行动方案,听从指令和安排,及时减小损失。3.2.检测阶段Examinationl 目标:接到事故报警后在服务对象的配合下对异常的系统进展初步分析,确认其是否真正发生了信息安全事件,制定进一步的响应策略,并保存证据。l 角色:应急服务实施小组成员、应急响应日常运行小组;l 内容:(1) 检测范围及对象确实定;(2) 检测方案确实定;
