《信息安全应急方案》由会员分享,可在线阅读,更多相关《信息安全应急方案(31页珍藏版)》请在金锄头文库上搜索。
1、信息安全应急方案XXXX2018年5月目录第一部分 概述 41.1. 信息安全应急响应 41.2. 应急安全响应事件 41.3. 服务原则 5第二部分 应急响应组织保障 52.1. 角色的划分 52.2. 角色的职责 62.3. 组织的外部协作 72.4. 保障措施 7第三部分 应急响应实施流程 83.1. 准备阶段(Preparation) 103.1.1 负责人准备内容 103.1.2 技术人员准备内容 103.1.3 市场人员准备内容 143.2. 检测阶段(Examination) 153.2.1 实施小组人员的确定 153.2.2 检测范围及对象的确定 163.2.3 检测方案的确定
2、 163.2.4 检测方案的实施 163.2.5 检测结果的处理 213.3. 抑制阶段(Suppresses) 223.3.1 抑制方案的确定 233.3.2 抑制方案的认可 233.3.3 抑制方案的实施 233.3.4 抑制效果的判定 243.4. 根除阶段(Eradicates) 243.4.1 根除方案的确定 253.4.2 根除方案的认可 253.4.3 根除方案的实施 263.4.4 根除效果的判定 263.5. 恢复阶段(Restoration) 263.5.1 恢复方案的确定 273.5.2 恢复信息系统 283.6. 总结阶段(Summary) 283.6.1 事故总结 2
3、93.6.2 事故报告 29第一部分 概述1.1. 信息安全应急响应信息安全应急响应是为满足企业发生安全事件、需要紧急解决问 题的情况下提供的一项安全服务。当企业发生黑客入侵、系统崩溃或 其它影响业务正常运行的安全事件时,安全专家会在第一时间赶到事 件现场,使企业的网络信息系统在最短时间内恢复正常工作,帮助企 业查找入侵来源,给出入侵事故过程报告,同时给出解决方案与防范 报告,为企业挽回或减少经济损失。提供入侵调查,拒绝服务攻击响 应,主机、网络、业务异常紧急响应和处理。1.2. 应急安全响应事件计算机病毒事件;蠕虫病毒事件;特洛伊木马事件;网页内嵌恶意代码事件;拒绝服务攻击事件;后门攻击事件
4、;漏洞攻击事件;网络扫描窃听事件;信息篡改事件;信息假冒事件;信息窃取事件。1.3. 服务原则在整个应急响应处理过程的中,本协会严格按照以下原则要求服 务人员,并签订必要的保密协议。保密性原则应急服务提供者应对应急处理服务过程中获知的任何关于服务 对象的系统信息承担保密的责任和义务,不得泄露给第三方的单位和 个人,不得利用这些信息进行侵害服务对象的行为。 规范性原则应急服务提供者应要求服务人员依照规范的操作流程进行应急 处理服务,所有处理人员必须对各自的操作过程和结果进行详细的记 录,最终按照规范的报告格式提供完整的服务报告。 最小影响原则应急处理服务工作应尽可能减少对原系统和网络正常运行的影
5、 响,尽量避免对原网络运行和业务正常运转产生显著影响(包括系统 性能明显下降、网络阻塞、服务中断等),如无法避免,则必须向服 务对象说明。第二部分 应急响应组织保障2.1.角色的划分本公司应急响应工作机构按角色划分为三个: 应急响应负责人,应急响应技术人员,应急响应市场人员。信息安全事件发生后,在应急响应领导小组的统一部署下,工作人员各施其职,并严格按照应急响应计划组织实施应急响应工作。2.2. 角色的职责 应急响应负责人:应急响应负责人是信息安全应急响应工作的组织领导机构,组长 应由组织最高管理层成员担任。负责人的职责是领导和决策信息安全 应急响应的重大事宜,主要职责如下:a) 制定工作方案
6、;b) 提供人员和物质保证;c) 审核并批准经费预算;d) 审核并批准恢复策略;e) 审核并批准应急响应计划;f) 批准并监督应急响应计划的执行;g) 指导应急响应实施小组的应急处置工作;h) 启动定期评审、修订应急响应计划以及负责组织的外部协作。 应急响应技术人员,其主要职责如下:a) 编制应急响应计划文档;b) 应急响应的需求分析,确定应急策略和等级以及策略的实现;c) 备份系统的运行和维护,协助灾难恢复系统实施;d) 信息安全突发事件发生时的损失控制和损害评估;e) 组织应急响应计划的测试和演练。应急响应市场人员,其主要职责如下:a) 开拓新客户,与客户建立长期的合作关系;维护与公司老
7、客户的业务往来;b) 建立预防预警机制,及时进行信息上报;c) 参与和协助应急响应计划的教育、培训和演练;d) 信息安全事件发生后的外部协作。2.3. 组织的外部协作依据服务对象信息安全事件的影响程度,如需向上级部门及时通 报准确情况或向其他单位寻求支持时,应与相关管理部门以及外部组 织机构保持联络和协作。主要包括国家计算机网络应急技术处理协调 中心(CNCERT/CC)华中地区分中心、国家计算机网络应急技术处理协 调中心(CNCERT/CC)、中国教育科研网络华中地区网络中心、中国教 育科研网网络中心、#市公安局网络安全监察室、湖北省公安厅网络 安全监察处、中国电信#分公司网管中心以及主要相
8、关设备供应商。2.4. 保障措施 应急人力保障加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息安全核心人才和管理队伍,提高信息安全防御意识。 大力发展信息安全服务业,增强协会应急支援能力。物质条件保障安排一定的资金用于预防或应对信息安全突发事件,提供必要的 交通运输保障,优化信息安全应急处理工作的物资保障条件。 技术支撑保障设立信息安全应急响应中心,建立预警与应急处理的技术平台, 进一步提高安全事件的发现和分析能力。从技术上逐步实现发现、预 警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理 的联动机制。第三部分 应急响应实施流程该服务流程并非一个固定不变的教
9、条,需要应急响应服务人员在 实际中灵活变通,可适当简化,但任何变通都必须纪录有关的原因。 详细的记录对于找出事件的真相、查出威胁的来源与安全弱点、找到 问题正确的解决方法,甚至判定事故的责任,避免同类事件的发生都 有着极其重要的作用。准备阶段负责人准备工作制定工作方案和计划,监 督和指导其他小组的工作服务需求的确定,主机和网 络安全初始化快照和备份、 工具包和必要技术的准备技术人员准备工作建立预防预警机制、及时 进行信息系统检测和异常 情况上报市场人员准备工作现场实施小人员的确定检测阶段现场勘查确定检测方案并 进行实施yF-*- J._* a有该类专项1 f 抑制阶段确定和认可抑制的方案并进行
10、抑制的实施根除阶段确定和认可根除的方 法并进行根除的实施启动专项预案恢复阶段根据确定的恢复方案进行信息系统的恢复回顾并完善整个事件的处理过程并进行总结形成事故报告 为服务对象提出安全建议3.1准备阶段(Preparation)丄目标:在事件真正发生前为应急响应做好预备性的工作。丄角色:协会负责人、技术人员、市场人员。丄内容:根据不同角色准备不同的内容。丄输出:准备工具清单、事件初步报告表实施人员工作清单3.1.1负责人准备内容丄制定工作方案和计划;丄提供人员和物质保证;丄审核并批准经费预算、恢复策略、应急响应计划;丄批准并监督应急响应计划的执行;丄指导应急响应实施小组的应急处置工作;丄启动定期
11、评审、修订应急响应计划以及负责组织的外部协作。3.1.2技术人员准备内容丄服务需求界定首先要对服务对象的整个信息系统进行评估,明确服务对象的应急需求,具体应包含以下内容:1)应急服务提供者应了解应急服务对象的各项业务功能及其之间的相关性,确定支持各种业务功能的相关信息系统资源及其他资源,明确相关信息的保密性、完整性、和可用性要 求;2)对服务对象的信息系统,包括应用程序,服务器,网络及任 何管理和维护这些系统的流程进行评估,确定系统所执行的 关键功能,并确定执行这些关键功能所需要的特定系统资 源;3)应急服务提供者应采用定性或定量的方法,对业务中断、系 统宕机、网络瘫痪等突发安全事件造成的影响
12、进行评估;4)应急服务提供者应协助服务对象建立适当的应急响应策略, 应提供在业务中断、系统宕机、网络瘫痪等突发安全事件发 生后快速有效的恢复信息系统运行的方法;5)应急服务提供者宜为服务对象提供相关的培训服务,以提高 服务对象的安全意识,便于相关责任人明确自己的角色和责 任,了解常见的安全事件和入侵行为,熟悉应急响应策略。丄主机和网络设备安全初始化快照和备份在系统安全策略配置完成后,要对系统做一次初始安全状态快 照。这样,如果以后在出现事故后对该服务器做安全检测时, 通过将初始化快照做的结果与检测阶段做的快照进行比较,就 能够发现系统的改动或异常。1)对主机系统做一个标准的安全初始化的状态快照
13、,包括的主 要内容有:日志及审核策略快照等。用户账户快照;进程快照;服务快照;自启动快照关键文件签名快照;开放端口快照;系统资源利用率的快照;注册表快照;计划任务快照等等;2)对网络设备做一个标准的安全初始化的状态快照,包括的主 要内容有:路由器快照;防火墙快照;用户快照;系统资源利用率等快照。3)信息系统的业务数据及办公数据均十分重要,因此需要进行数据存储及备份。目前,存储备份结构主要有DAS、SAN和NAS,以及通过磁带或光盘对数据进行备份。各服务对象可 以根据自身的特点选择不同的存储产品构建自己的数据存 储备份系统。丄工具包的准备1)应急服务提供者应根据应急服务对象的需求准备处置网络 安
14、全事件的工具包,包括常用的系统基本命令、其他软件工 具等;2)应急服务提供者的工具包中的工具最好是采用绿色免安装 的,应保存在安全的移动介质上,如一次性可写光盘、加密 的U盘等;3)应急服务提供者的工具包应定期更新、补充;丄必要技术的准备上述是针对应急响应的处理涉及到的安全技术工具涵盖应急响 应的事件取样、事件分析、事件隔离、系统恢复和攻击追踪等 各个方面,构成了网络安全应急响应的技术基础。所以我们的 应急响应服务实施成员还应该掌握以下必要的技术手段和规 范,具体包括以下内容:1)系统检测技术,包括以下检测技术规范: Windows系统检测技术规范; Unix系统检测技术规范;网络安全事故检测技术规范;数据库系统检测技术规范;常见的应用系统检测技术规范;2)攻击检测技术,包括以下技术:异常行为分析技术;入侵检测技术;安全风险评估技术;3)攻击追踪技术;4)现场取样技术;5)系统安全加固技术;6)攻击隔离技术;7)资产备份恢复技术;3.1.3市场人员准备内容丄和服务对象建立长期友好的业务关系;丄和服务对象签订应急服务合同或协议;丄建立预防和预警机制,及时上报。1)预防和预警机制市场人员要严格按照应急响应负责人的安排和建议,及 时提醒服务对象提高防范网络攻击、病毒入侵、网络窃 密等的能力
