《信息安全应急响应服务流程》由会员分享,可在线阅读,更多相关《信息安全应急响应服务流程(16页珍藏版)》请在金锄头文库上搜索。
1、信息安全应急响应流程广东盈通网络投资20011 年 07 月目录第一部分导言21.1.文档类别21.2 .使用对象31.3.计划目的31.4 .适用范围31.5.服务原则3第二部分应急响应组织保障42.1. 角色的划分42.2. 角色的职责42.3. 组织的外部协作42.4 .保障措施5第三部分应急响应实施流程53.1. 准备阶段(Preparation stage) 73.1.1领导小组准备内容73.1.2实施小组准备内容73.1.3日常运行小组准备内容93.2. 检测阶段(Examination stage) 93.2.1检测范围及对象的确定103.2.2检测方案的确定103.2.3检测方
2、案的实施103.2.4检测结果的处理123.3. 抑制阶段(Suppresses stage)123.3.1抑制方案的确定133.3.2抑制方案的认可133.3.3抑制方案的实施133.3.4抑制效果的判定143.4. 根除阶段(Eradicates stage) 143.4.1根除方案的确定143.4.2根除方案的认可143.4.3根除方案的实施143.4.4根除效果的判定153.5. 恢复阶段(Restoration stage) 153.5. 1恢复方案的确定153.5.2恢复信息系统153.6. 总结阶段(Summary stage) 163.6.1事故总结163.6.2 事故报告16
3、第一部分导言1.1. 文档类别本文档是盈通公司信息技术安全IT技术部用以规范“信息安全应急响应服务流 程”项目实施的指导性文件之一。1.2 .使用对象本文档作为公司内部文档,具体使用人员包括:信息安全应急响应服务具体实施操 作人员、及负责人。1.3.计划目的制订本规范的目的是为了指导应急响应服务操作人员按一定的实施办法和操作流 程,从接受应急响应服务申请到交付应急响应总结报告为止这段时间内,要求实施进度和 质量可控,在规定的时间内完成应急响应服务。备注:操作实施人员在执行该规范时,应根据实际情况灵活运用和变通,并提出创 新。同时为了有效的控制进度和质量,在实际操作中应遵循流程步骤。全司。1.5
4、.服务原则在整个应急响应处理过程的中,本协会严格按照以下原则要求服务人员,并签订必要 的保密协议。X保密性原则应急服务提供者应对应急处理服务过程中获知的任何关于服务对象的系统信息承担保 密的责任和义务,不得泄露给第三方的单位和个人,不得利用这些信息进行侵害服务对象 的行为。-J-规范性原则应急服务提供者应要求服务人员依照规范的操作流程进行应急处理服务,所有处理人 员必须对各自的操作过程和结果进行详细的记录,最终按照规范的报告格式提供完整的服 务报告。X最小影响原则应急处理服务工作应尽可能减少对原系统和网络正常运行的影响,尽量避免对原网络 运行和业务正常运转产生显著影响(包括系统性能明显下降、网
5、络阻塞、服务中断等), 如无法避免,则必须向服务对象说明。第二部分应急响应组织保障2.1. 角色的划分本协会应急响应工作机构按角色划分为三个:-J-应急响应负责人,X应急响应技术人员,X应急响应市场人员。信息安全事件发生后,在应急响应领导小组的统一部署下,工作人员各施其职,并严 格按照应急响应计划组织实施应急响应工作。2.2. 角色的职责L应急响应负责人:应急响应负责人是信息安全应急响应工作的组织领导机构,组长应由组织最高管理层 成员担任。负责人的职责是领导和决策信息安全应急响应的重大事宜,主要职责如下:a)制定工作方案;b)提供人员和物质保证;c)审核并批准经费预算;d)审核并批准恢复策略;
6、e)审核并批准应急响应计划;f)批准并监督应急响应计划的执行;g)指导应急响应实施小组的应急处置工作;h)启动定期评审、修订应急响应计划以及负责组织的外部协作。L应急响应技术人员,其主要职责如下:a)编制应急响应计划文档;b)应急响应的需求分析,确定应急策略和等级以及策略的实现;c)备份系统的运行和维护,协助灾难恢复系统实施;d)信息安全突发事件发生时的损失控制和损害评估;e)组织应急响应计划的测试和演练。L应急响应市场人员,其主要职责如下:a)开拓新客户,与客户建立长期的合作关系;维护与公司老客户的业务往来;b)建立预防预警机制,及时进行信息上报;c)参与和协助应急响应计划的教育、培训和演练
7、;d)信息安全事件发生后的外部协作。2.3. 组织的外部协作依据服务对象信息安全事件的影响程度,如需向上级部门及时通报准确情况或向其他 单位寻求支持时,应与相关管理部门以及外部组织机构保持联络和协作。主要包括国家计 算机网络应急技术处理协调中心(CNCERT/CC)华中地区分中心、国家计算机网络应急技术 处理协调中心(CNCERT/CC)、中国教育科研网络华中地区网络中心、中国教育科研网网络 中心、盈通公司市公安局网络安全监察室、湖北省公安厅网络安全监察处、及主要相关设 备供应商。2.4.保障措施-L应急人力保障加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息安 全核心
8、人才和管理队伍,提高信息安全防御意识。大力发展信息安全服务业,增强协会应 急支援能力。-J-物质条件保障安排一定的资金用于预防或应对信息安全突发事件,提供必要的交通运输保障,优化 信息安全应急处理工作的物资保障条件。X技术支撑保障设立信息安全应急响应中心,建立预警与应急处理的技术平台,进一步提高安全事件 的发现和分析能力。从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网 络、系统、部门之间应急处理的联动机制。第三部分应急响应实施流程该服务流程并非一个固定不变的教条,需要应急响应服务人员在实际中灵活变通,可 适当简化,但任何变通都必须纪录有关的原因。详细的记录对于找出事件的真相、查出威
9、 胁的来源与安全弱点、找到问题正确的解决方法,甚至判定事故的责任,避免同类事件的 发生都有着极其重要的作用。准备阶段检测阶段负责人准备工作技术人员准备工作市场人员准备工作现场实施小人员的确定现场勘查确定检测方案并 进行实施yF-*- J._* A 否有该类勺专项 V A否抑制阶段确定和认可抑制的方案并进行抑制的实施根除阶段确定和认可根除的方 法并进行根除的实施恢复阶段根据确定的恢复方案进行信息系统的恢复制定工作方案和计划,监督和指导其他小组的工作服务需求的确定,主机和网 络安全初始化快照和备份、 工具包和必要技术的准备建立预防预警机制、及时 进行信息系统检测和异常 情况上报启动专项预案回顾并完
10、善整个事件的处理过程并进行总结形成事故报告 为服务对象提出安全建议3.1. 准备阶段(Preparation)X目标:在事件真正发生前为应急响应做好预备性的工作。X角色:技术人员、市场人员。-J-内容:根据不同角色准备不同的内容。X 输出:准备工具清单、事件初步报告表、实施人员工作清单3.1.1负责人准备内容-L制定工作方案和计划;-J-提供人员和物质保证;-J-审核并批准经费预算、恢复策略、应急响应计划;-J-批准并监督应急响应计划的执行;-J-指导应急响应实施小组的应急处置工作;X启动定期评审、修订应急响应计划以及负责组织的外部协作。3.1.2技术人员准备内容X服务需求界定首先要对服务对象
11、的整个信息系统进行评估,明确服务对象的应急需求,具体 应包含以下内容:1)应急服务提供者应了解应急服务对象的各项业务功能及其之间的相关性,确定 支持各种业务功能的相关信息系统资源及其他资源,明确相关信息的保密性、 完整性、和可用性要求;2)对服务对象的信息系统,包括应用程序,服务器,网络及任何管理和维护这些 系统的流程进行评估,确定系统所执行的关键功能,并确定执行这些关键功能 所需要的特定系统资源;3)应急服务提供者应采用定性或定量的方法,对业务中断、系统宕机、网络瘫痪 等突发安全事件造成的影响进行评估;4)应急服务提供者应协助服务对象建立适当的应急响应策略,应提供在业务中 断、系统宕机、网络
12、瘫痪等突发安全事件发生后快速有效的恢复信息系统运行 的方法;5)应急服务提供者宜为服务对象提供相关的培训服务,以提高服务对象的安全意 识,便于相关责任人明确自己的角色和责任,了解常见的安全事件和入侵行 为,熟悉应急响应策略。X主机和网络设备安全初始化快照和备份在系统安全策略配置完成后,要对系统做一次初始安全状态快照。这样,如果 以后在出现事故后对该服务器做安全检测时,通过将初始化快照做的结果与检 测阶段做的快照进行比较,就能够发现系统的改动或异常。1)对主机系统做一个标准的安全初始化的状态快照,包括的主要内容有: 日志及审核策略快照等。 用户账户快照;进程快照;服务快照; 自启动快照 关键文件
13、签名快照; 开放端口快照; 系统资源利用率的快照; 注册表快照;计划任务快照等等;2)对网络设备做一个标准的安全初始化的状态快照,包括的主要内容有: 路由器快照; 防火墙快照; 用户快照; 系统资源利用率等快照。3)信息系统的业务数据及办公数据均十分重要,因此需要进行数据存储及备份。目前,存储备份结构主要有DAS、SAN和NAS,以及通过磁带或光盘对数据 进行备份。各服务对象可以根据自身的特点选择不同的存储产品构建自己的数 据存储备份系统。X工具包的准备1)应急服务提供者应根据应急服务对象的需求准备处置网络安全事件的工具包, 包括常用的系统基本命令、其他软件工具等;2)应急服务提供者的工具包中
14、的工具最好是采用绿色免安装的,应保存在安全的 移动介质上,如一次性可写光盘、加密的U盘等;3)应急服务提供者的工具包应定期更新、补充;-J-必要技术的准备上述是针对应急响应的处理涉及到的安全技术工具涵盖应急响应的事件取样、事 件分析、事件隔离、系统恢复和攻击追踪等各个方面,构成了网络安全应急响应 的技术基础。所以我们的应急响应服务实施成员还应该掌握以下必要的技术手段 和规范,具体包括以下内容:1)系统检测技术,包括以下检测技术规范: Windows系统检测技术规范; Unix系统检测技术规范; 网络安全事故检测技术规范;数据库系统检测技术规范; 常见的应用系统检测技术规范;2)攻击检测技术,包括以下技术:异常行为分析技术;入侵检测技术;安全风险评估技术;3)攻击追踪技术;4)现场取样技术;5)系统安全加固技术;6) 攻击隔离技术;7) 资产备份恢复技术;3.1.3市场人员准备内容X和服务对象建立长期友好的业务关系;X和服务对象签订应急服务合同或协议;X建立预防和预警机制,及时上报。1) 预防和预警机制 市场人员要严格按照应急响应负责人的安排和建议,及时提醒服务对象 提高防范网络攻击、病毒入侵、网络窃密等的能力,防止有害信息传 播,保障服务对象网络的安全畅通。将协会网络信息中心会发布的病毒预防警报以及更新的防护策略及时有 效地告知服务对象,做好防护策略的更新
