《应急响应服务方案》由会员分享,可在线阅读,更多相关《应急响应服务方案(38页珍藏版)》请在金锄头文库上搜索。
1、应急响应服务方案目 录1.1应急响应原则51.2应急处理原则61.3应急响应服务71.3.1应急事件的影响程度71.3.2应急事件的影响级别分类81.3.3应急事件的优先级处理81.3.4应急事件响应91.4应急响应保障措施111.5应急响应组织保障131.5.1组织机构与职责131.5.2组织的外部协作141.6应急响应流程141.6.1准备阶段161.6.2检测阶段201.6.3抑制阶段231.6.4根除阶段251.6.5恢复阶段271.6.6总结阶段291.7各类应急事件处理预案301.7.1设备发生被盗或人为损害事件应急预案301.7.2通信网络故障应急预案301.7.3不良信息和网络
2、病毒事件应急预案311.7.4服务器软件系统故障应急预案311.7.5黑客攻击事件应急预案321.7.6核心设备硬件故障应急预案321.7.7业务数据损坏应急预案331.8应急事件响应建议341.8.1应急事件现场处理341.8.2应急事件的事后处理351.8.3应急保障措施361.8.4应急体系完善37随着网络信息化建设的不断深入,加强各类设备、系统以及信息与网络安全等方面应对应急事件的处理能力将是运维项目面临的一项重要任务。为确保系统及机房安全与稳定,以保证正常运行为宗旨,按照“预防为主,积极处置”的原则,本着建立一个有效处置应急事件,建立统一指挥、职责明确运转有序、反应迅速处置有力的安全
3、体系的目标,将正在发生或已发生事故的损害程度减轻到最低,确保系统和数据安全,特制定本应急保障方案。在应急事件发生时,通过应急事件处置与应急响应机制,保障计算机信息系统继续运行或紧急恢复,可归纳为3个方面: 紧急事件或安全发生时的影响分析; 应急预案的详细制订; 应急预案的演练与完善。1.1 应急响应原则u 实时原则应急响应服务中心配备了7X24的人员值班机制,保证接受客户在任意时间提出的服务请求。并在接到客户的服务请求以后,在1个小时之内给予响应。u 规范性原则对于每一次应急事件的发生都有严格的事件记录,记录事件处理的全部过程,对于现场处理事件由用户签署认可建议。u 最小性原则事件处理过程中,
4、将事件对整个系统的影响降低到最小,强化处理前的分析与备份工作。u 保密性原则对于所有事件的处理内容、时间、地点,严格遵从保密原则,不向任何的第三方透漏。1.2 应急处理原则1. 预防为主。立足安全防护,加强预警,重点保护基础信息网络和信息系统安全、稳定,从预防、监控、应急处理、应急保障等环节,在管理、技术、人员等方面采取多种措施充分发挥各方面的作用,共同构筑安全保障体系。2. 快速反应。应急事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。3. 分级负责。按照“谁主管,谁负责”的原则,建立和完善安全责任制及联动工作机制。根据各负责人
5、的职能,各司其职,加强各负责人的协调与配合,共同履行应急处置工作的管理职责。4. 以人为本。把保障人员以及客户利益的安全作为首要任务。5. 常备不懈。加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。1.3 应急响应服务应急事件响应,是当应急事件发生后迅速采取的措施和行为,其目的是以最快的速度恢复系统的保密性,完整性和可用性,降低应急事件对业务系统造成的损失。针对运维服务项目,除有驻场工程师进行日常巡检和维护的工作外,还成立信息系统运维4S组,提供应急响应服务。当设备、软件和基础网络出现故障时,原则
6、上由驻场运维工程现场解决,如果现场服务工程无法解决,事件升级为后台技术支持团队解决。保障在1小时内做出明确响应和安排,2小时内提供诊断报告和故障解决方案。同时,根据客户的具体情况,制定和编写信息系统应急预案,保障客户信息系统的可靠,安全的运行。1.3.1 应急事件的影响程度通常在事件爆发的初期很难界定事件的起因具体是什么,所以,通常又通过安全威胁事件的影响程度分为单点损害、局部损害和整体损害3类。单点损害:只造成独立个体的不可用,应急事件影响程度弱。局部损害:造成某一系统或一个局部网络不可使用,应急事件影响程度较强。整体损害:造成整个网络系统的不可使用,应急事件影响程度强。1.3.2 应急事件
7、的影响级别分类确定事件影响程度的级别。不同的威胁级别,处理方法也不相同。根据对业务系统的影响程度从大到小的顺序将应急事件划分成4个等级。第一级应急事件 P1 引起重要业务系统或有重要影响的应用系统宕机,系统重新引导后无法正常工作与恢复的事故,或造成安全泄密事件;第二级应急事件 P2重复发生或重复再现的并产生较强影响作用,导致系统正常运行的事故;第三级应急事件 P3间歇产生、随机产生的事故,但不影响系统的正常运行;第四级应急事件 P4一般性事件,与业务系统运行或产品使用要关的问题,不影响整个系统的正常运行。1.3.3 应急事件的优先级处理(1) 事件处理要素事件处理要素分为管理层面和技术层面;P
8、1、P2级事件的启动和指挥由应急总负责人负责;P3、P4级事件的启动应急领导小组负责。事件动态由应急工作小组人员收集并及时反馈给应急领导小组,应急领导小组决定信息的共享、沟通、处置。信息系统事件发生后,事发部门立即启动相关应急预案,实施处置并及时报送信息。(2) 分级响应发生P1、P2级事件,由应急工作小组初步判定事件级别后,将信息通知应急领导小组并注意持续监控事态、收集信息、做出应急准备;应急领导小组响应判断为P1、P2级事件后,立即通知应急总负责人,并由应急总负责人启动应急预案。发生P3、P4级事件,由应急工作小组初步判定事件级别后,将信息通知应急领导小组并注意持续监控事态、收集信息、做出
9、应急准备;应急领导小组响应判断为P3、P4级事件后,立即启动应急预案。应急事件的级别应置于动态调整控制中。(3) 指挥与协调P1、P2级事件,由应急工作小组收集信息,应急领导小组做出预判,并迅速通知应急总负责人,由应急总负责人进行指挥和决策。P3、P4级事件,由应急领导小组进行指挥和决策,并及时将处理过程、报告等上报应急总负责人。(4) 信息共享和处理P1、P2级事件,由应急工作小组收集信息并提交给应急领导小组和应急总负责人,由应急总负责人决定信息的分发、共享和处置。P3、P4级事件,由应急领导小组决定信息的分发、共享和处置,并上报应急总负责人。1.3.4 应急事件响应当客户系统发生紧急事件时
10、,对应的处理方法原则是首先保护或恢复计算机、网络服务等,使其恢复正常运行,然后再对事件进行追查因此对于客户紧急事件响应服务主要包括准备、识别事件(判定应急事件类型)、抑制(缩小事件的影响范围)、解决问题、恢复以及后续跟踪。 准备工作; 建立客户事件档案; 与客户就故障级别进行定义; 准备应急事件紧急响应服务相关资源; 为一个应急事件的处理取得管理方面支持; 组建事件处理队伍; 提供易实现的初步报告; 制定一个紧急后备方案; 随时与管理员保持联系; 识别事件; 在指定时间内指派安全服务小组去负责此事件; 事件抄送专家小组; 初步评估,确定事件原因; 保护可追查的线索,诸如立即对日志、数据进行备份
11、; 联系客户系统的相关服务商、厂商; 缩小事件的影响范围; 确定系统继续运行的风险,决定是否关闭系统及采取其他措施; 与客户相关工作人员保持联系、协商; 根据需求制订相应的应急措施; 解决问题; 事件的起因分析; 事后取证调查; 后门检查; 漏洞分析; 提供解决方案; 结果提交专家小组审核; 后续工作; 检查是不是所有的服务都已经恢复; 其发生的原因是否已经处理; 应急响应步骤是否需要修改; 生成紧急响应报告; 拟定一份事件记录和跟踪报告; 事件合并、录入信息知识库。1.4 应急响应保障措施(1) 工具保障我们建立了一套专门用于应急响应工具库,保证提供应急响应服务的工程师一人一套工具;为防止光
12、盘损坏和丢失,并将此工具库进行了多套备份;同时指定了专业技术人员进行工具库的管理与维护,包括工具的测试、版本升级与维护等。(2) 技术和人员保障公司拥有一支技术精湛、专业、稳定的技术团队,多位在网络、主机、数据库、安全等多个领域具体丰富的实践经验的资深工程师。公司指定技术专员整理技术经验和心得并录入知识信息数据库,一方面供技术部定期组织培训会议使用(对典型案例进行分析和学习),另一方面供TS客服中心查询以电话远程技术指导。公司建立了图书室,图书室内目前拥有信息安全类、计算机应用类、网络管理类、分级保护相关资料与规范、等级保护相关资料与规范等方面书籍,以方便技术人员借阅。公司定期组织技术人员进行
13、专项技术培训学习,并以考试的方法检查技术人员的掌握情况,有针对性的对技术人员进行帮助和指导。公司鼓励员工报考知名厂商技术认证,进行更专业的技术学习,并在考试费用上给予报销。(3) 交通保障紧急事件,公司应急车辆保障,可以保证在突发应急事件时能做出快速响应,第一时间赶到事件现场进行处置。(4) 财力保障公司有专门的经费和审批流程,确保在应急响应处理过程中需要的款项能迅速到位,保障应急事件的处理和故障恢复。1.5 应急响应组织保障1.5.1 组织机构与职责针对项目,我公司成立专门应急处置小组,包含:应急领导小组和应急工作小组。(1) 应急领导小组应急领导小组是信息安全应急响应工作的组织领导机构,组
14、长由组织最高管理层成员担任。职责是统一领导信息系统的应急事件的公司内部应急处理工作,发起研究重大应急决策和部署,决定实施和终止应急预案,领导和决策信息安全应急响应的重大事宜,主要职责如下: 制订工作方案; 提供人员和物质保证; 审核并批准经费预算; 审核并批准恢复策略; 审核并批准应急响应计划; 批准并监督应急响应计划的执行; 指导应急响应实施小组的应急处置工作; 启动定期评审、修订应急响应计划以及负责组织的外部协作。(2) 应急工作小组应急工作小组由运维服务小组人员组成,主要职责包含:落实应急领导小组布置的各项任务;组织制定应急预案,并监督执行情况;掌握应急事件处理情况,及时向应急领导小组报
15、告应急过程中的重大问题。具体职责如下: 编制应急响应计划文档; 应急响应的需求分析,确定应急策略和等级以及策略的实现; 备份系统的运行和维护,协助灾难恢复系统实施; 信息安全应急事件发生时的损失控制和损害评估; 组织应急响应计划的测试和演练。1.5.2 组织的外部协作依据信息应急事件的影响程度,如需向其他第三方设备供应商或软件开发商寻求支持时,将联系第三方服务单位提供协作和技术支持。1.6 应急响应流程应急响应流程共包括6个阶段,分别是准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。应急响应流程如下图所示,对于每个阶段都有其应完成的目标、实施人员角色以及阶段的结果输出。结束抑制阶段否确认和认可抑制的方法并进行根除的实施根据确认的恢复方案进行信息系统的恢复回顾并完善整个事
