信息安全应急响应服务方案模板
信息安全的应急预案(精选10篇)
信息安全的应急预案(精选10篇)信息安全的应急预案(精选10篇)在平时的学习、工作或生活中,保不齐会遇到一些意料之外的事件或事故,为了将危害降到最低,通常需要提前准备好一份应急预案。
怎样写应急预案才更能起到其作用呢?以下是小编精心整理的信息安全的应急预案(精选10篇),供大家参考借鉴,希望可以帮助到有需要的朋友。
信息安全的应急预案篇1第一章总则第一条本预案所称突发性事件,是指自然因素或人为活动引发的危害福州市审计局网络设施及信息安全等有关的灾害。
第二条本预案的指导思想是确保福州市审计局有关计算机网络及信息的安全。
第三条本预案适用于发生在福州市审计局网络范围内的突发性事件应急工作。
第四条应急处置工作原则:(一)明确责任、分级负责:按照“谁主管谁负责,谁运行谁负责”的要求,逐级建立并落实审计信息系统责任制和应急机制。
(二)加强领导、分工合作:市局各处室应按照规定的职责和流程,实施统计信息系统的应急处理工作。
(三)积极预防、及时预警:市局各处室应及早发现安全事件,及时进行预警和信息通报;积极做好应急处理准备,提高对安全事件的预防和应急处理能力。
(四)协作配合、确保恢复:市局各处室要协同配合,确保在最短的时间内完成系统的恢复。
第二章组织指挥和职责任务第五条福州市审计局成立网络与信息安全工作领导小组,局办公室负责日常工作。
组长:翁国荣副组长:潘玉宁成员:吴祥添领导小组的主要职责与任务是统一领导信息网络的灾害应急工作,全面负责信息网络可能出现的各种突发事件处置工作,协调解决灾害处置工作中的重大问题等。
第三章处置措施和处置程序第六条处置措施处置的基本措施分灾害发生前与灾害发生后两种情况。
(一)灾害发生前,即日常管理与灾害发生前的征兆阶段,局办公室要预先对灾害预警预报体系进行建设(防杀毒体系、漏洞补丁修补、防ARP网络攻击、单机网络备份系统、防单机非法内(外)联、移动设备认证系统),并开展灾害调查,编制灾害防治规划,建设专业监测网络,并规划建设灾害信息管理系统,及时处理灾害讯情信息。
信息安全应急预案样本(四篇)
信息安全应急预案样本一、引言随着信息技术的快速发展,信息安全问题日益突显。
为了应对未来可能发生的各种信息安全事件,我们制定了____年的信息安全应急预案。
本预案旨在确保我们的信息系统和数据能在任何突发情况下保持安全,并能做出及时、有效的应对措施。
二、总体目标1. 确保信息系统的稳定运行和数据安全。
2. 减少信息安全事件的损害,降低恢复成本。
3. 提高信息安全意识和应急响应能力。
三、信息安全事件分类及应急响应流程1. 网络攻击事件常见的网络攻击事件包括DDoS攻击、SQL注入、恶意软件等。
对于网络攻击事件的应急响应流程如下:(1) 确认攻击事件:监测系统日志、网络流量等,判断是否存在攻击行为。
(2) 阻断攻击源:使用防火墙、入侵检测系统等技术手段封堵攻击源。
(3) 恢复系统安全:修复遭受攻击的系统漏洞,升级安全防护设备。
(4) 收集证据:保存攻击相关的日志、网络数据等,用于事后溯源和追责。
(5) 提升防御能力:总结攻击事件的教训,改进安全策略和防御措施。
2. 数据泄露事件数据泄露事件可能由于内部员工的失误、系统漏洞等原因导致。
对于数据泄露事件的应急响应流程如下:(1) 发现数据泄露:通过监测系统日志、异常访问行为等方式发现数据泄露的迹象。
(2) 确认泄露范围:迅速确定受影响的数据和系统,并评估泄露的风险程度。
(3) 停止泄露行为:封堵泄露通道,禁止非授权访问。
(4) 恢复受损数据:修复被泄露的数据,检查系统漏洞,确保数据安全。
(5) 通知相关方:依法、及时通知用户、监管部门等相关方,防止进一步损失。
3. 物理安全事件物理安全事件包括设备丢失、设备损坏、停电等。
对于物理安全事件的应急响应流程如下:(1) 发现物理安全事件:通过视频监控、设备告警等方式发现物理安全事件。
(2) 确认损失范围:迅速确认受影响的设备、区域,评估影响程度。
(3) 控制损失扩大:采取措施保护现场,防止进一步扩大损失。
(4) 修复受损设备:尽快修复或更换受损设备,恢复系统正常运行。
信息系统安全措施应急处理预案样本(三篇)
信息系统安全措施应急处理预案样本如下:一、全面风险评估:在信息系统安全措施应急处理中,首要任务是进行全面的风险评估。
通过对系统漏洞、弱点以及潜在威胁的全面评估,可以有效地识别潜在的风险因素,为后续的安全应急处理提供有力支持。
二、建立应急响应机制:在信息系统发生安全事件时,及时有效的应急响应至关重要。
建立完善的应急响应机制,包括明确的责任分工、快速响应流程以及相应的技术支持,可以有效地缩短事件处理的时间,降低损失和风险。
三、加强安全意识教育:信息系统安全不仅仅是技术问题,更是一个全员参与的过程。
加强安全意识教育,提高员工对信息安全的重视程度,不仅可以避免很多安全漏洞的发生,还可以提高整体的安全水平。
四、定期演练漏洞修复:定期组织漏洞修复演练,可以有效地检验现有的修复能力,并及时发现和解决潜在问题。
演练过程中要注重全程记录和分析,不断完善应急处理流程,提高应对突发事件的能力。
五、建立信息安全通报机制:及时有效的信息共享是信息系统安全的关键。
建立信息安全通报机制,可以及时了解最新的安全威胁和漏洞动态,为应急处理提供及时支持和参考。
六、强化监控和检测能力:信息系统安全应急处理的基础是强大的监控和检测能力。
通过部署有效的安全监控系统,可以及时发现异常情况,并采取相应的措施,防止安全事件的进一步扩大。
七、定期更新安全技术:信息系统安全技术日新月异,不断更新和升级安全技术设备和软件是确保系统安全的重要手段。
定期评估系统的安全性能,及时更新安全技术和软件,提高系统的抗攻击能力。
八、建立灾难恢复机制:灾难恢复是信息系统安全应急处理的最后一道防线。
建立完善的灾难恢复机制,包括备份数据、灾难恢复计划和应急响应队伍,可以在灾难事件发生时迅速恢复系统运行,减少损失。
九、持续改进和提升:信息系统安全是一个动态过程,不断改进和提升是确保系统安全的基础。
定期开展安全评估和漏洞修复,不断完善安全管理体系,提高安全水平和能力。
十、突发事件后续跟踪和分析:在信息系统安全事件发生后,要及时做好事后处理工作,及时跟踪和分析安全事件的原因和教训,总结经验教训,并及时调整和完善应急处理措施,防止类似事件再次发生。
2021年信息安全应急响应服务方案模板
*欧阳光明*创编 2021.03.07信息安全应急响应欧阳光明(2021.03.07)服务方案XXXX科技有限公司2018年5月目录第一部分概述31.1.信息安全应急响应31.2.应急安全响应事件31.3.服务原则3第二部分应急响应组织保障42.1.角色的划分42.2.角色的职责42.3.组织的外部协作42.4.保障措施5第三部分应急响应实施流程53.1.准备阶段(Preparation)73.1.1 负责人准备内容73.1.2 技术人员准备内容73.1.3 市场人员准备内容93.2.检测阶段(Examination)93.2.1 实施小组人员的确定93.2.2 检测范围及对象的确定103.2.3 检测方案的确定103.2.4 检测方案的实施103.2.5 检测结果的处理123.3.抑制阶段(Suppresses)123.3.1 抑制方案的确定133.3.2 抑制方案的认可133.3.3 抑制方案的实施133.3.4 抑制效果的判定133.4.根除阶段(Eradicates)143.4.1 根除方案的确定143.4.2 根除方案的认可143.4.3 根除方案的实施143.4.4 根除效果的判定143.5.恢复阶段(Restoration)153.5.1 恢复方案的确定153.5.2 恢复信息系统153.6.总结阶段(Summary)153.6.1 事故总结163.6.2 事故报告16第一部分概述1.1.信息安全应急响应应急响应服务是为满足企业发生安全事件、需要紧急解决问题的情况下提供的一项安全服务。
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,安全专家会在第一时间赶到事件现场,使企业的网络信息系统在最短时间内恢复正常工作,帮助企业查找入侵来源,给出入侵事故过程报告,同时给出解决方案与防范报告,为企业挽回或减少经济损失。
提供入侵调查,拒绝服务攻击响应,主机、网络、业务异常紧急响应和处理。
信息安全应急处理预案范本(二篇)
信息安全应急处理预案范本一、概述信息安全是企业和个人必须重视的重要问题。
在面对各种信息安全事件和突发情况时,企业和个人需要能够及时、准确地做出应对和处理。
为了提高信息安全应急处理的效率和能力,制定并实施一套完善的信息安全应急处理预案是非常重要的。
本文将介绍一套完整的信息安全应急处理预案,以供参考。
二、基本原则信息安全应急处理的基本原则是快速响应、专业处置、全面追溯、及时通报、持续改进,确保信息安全事件处理的合法性、公正性和科学性。
在应急处理过程中,需要遵循以下原则:1. 快速响应:及时发现和响应信息安全事件,减少损失和影响。
2. 专业处置:由专业的信息安全团队或机构负责事件的处置和调查。
3. 全面追溯:详细记录信息安全事件的发生过程和后续处理情况,以便进行事后追溯和分析。
4. 及时通报:向相关部门、机构或个人及时通报信息安全事件,做好沟通和协调工作。
5. 持续改进:通过对信息安全事件的处理经验总结和教训吸取,不断完善应急处理预案和加强信息安全管理。
三、组织架构为了有效应对信息安全事件,需要建立一个专门的信息安全应急处理组织架构。
该组织架构包括以下几个部门和岗位:1. 信息安全管理部门:负责整体信息安全管理和监控工作。
2. 信息安全应急处理团队:负责信息安全事件的处理和调查工作。
3. 信息安全审计部门:负责对信息安全应急处理工作进行审计和评估。
4. 事故通报和协调处:负责及时通报相关部门、机构或个人,并协调应急处理工作。
5. 信息安全培训部门:负责对企业和个人进行信息安全培训和教育。
四、应急处理流程信息安全应急处理的流程主要包括以下几个步骤:1. 事件发现和报告当发生信息安全事件时,及时发现和报告是非常重要的。
任何一名员工在发现信息安全事件后,应立即向上级报告,并将事件的基本情况和重要证据记录下来。
2. 事件分级和评估根据信息安全事件的性质、严重程度和影响范围,对事件进行分级和评估。
根据事件的不同级别,制定相应的处理措施和调度计划。
信息安全应急预案标准范文(五篇)
信息安全应急预案标准范文为保证公司内系信息系统安全,防范蓄意攻击、破坏网络系统及传播、粘贴非法信息等紧急突发事件的发生,根据省市公司的有关规定,结合我县实际,特制定本应急预案。
一、工作目标及基本原则(一)工作目标保障信息的合法性、完整性、准确性,保障网络、计算机、相关配套设备设施及系统运行环境的安全,其中重点维护计费融合系统的安全。
(二)基本原则1.预防为主。
根据《电信公司计算机信息安全管理规定》的要求,建立、健全计算机信息安全管理制度,有效预防网络与信息安全事故的发生。
2.分级负责。
计算机信息安全管理实行经理负责制。
各部门应积极支持和协助应急处置工作。
3.果断处置。
一旦发生网络与信息安全事故,应迅速反应,及时启动应急处置预案,尽最大力量减少损失,尽快恢复网络与系统运行。
二、组织机构成立山阴县电信分公司信息安全领导小组。
组长:杨勇副组长:李之君组员:孙建华、乔凤伟、尹先勇、吴永明三、预案的启动1在发生网络与信息安全事故时,应根据具体情况启动相应的应急预案。
四、应急预案(一)黑客攻击或软件系统遭破坏性攻击时的应急预案1.重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日的备份,并将它们保存于安全处。
2.当发现网页内容被篡改,或通过入侵监测系统发现有黑客正在进行攻击时,应立即向信息安全领导小组日常应急办公室报告。
软件遭破坏性攻击(包括严重病毒)时要将系统停止运行。
____日常应急办公室负责人员应在10分钟内赶到现场,首先将被攻击(或病毒感染)的服务器等设备从网络中隔离出来,保护现场,并同时向信息安全领导小组通报情况。
____日常应急办公室负责恢复与重建被攻击或被破坏的系统,恢复系统数据,并及时追查非法信息来源。
主机受到病毒感染时,还应立即告知日常应急办公室帮助做好清查补救工作。
5.事态严重的,立即向信息安全领导小组组长报告,并根据指示向上级或公安部门报警。
(二)网络线路中断或硬件设备故障时的应急预案1.网络主、备用线路有一条中断或硬件设备发生故障,应立即启动备用线路或备用设备接续工作,同时向信息安全领导小组报告。
信息安全事件应急预案模板
信息安全事件应急预案模板一、引言随着信息技术的迅猛发展,信息安全事件已经成为企业所面临的一个重要挑战。
信息安全事件的发生可能给企业带来严重的损失,因此,制定一个完善的应急预案对于企业来说至关重要。
本文将为您提供一个信息安全事件应急预案的模板,帮助您制定出适合自己企业的应急预案。
二、目的和范围(此部分描述应急预案的目的和适用范围,例如“本预案的目的是对企业内发生的各类信息安全事件进行及时有效的应对和处置,适用于企业内部所有涉及信息系统和数据的相关人员。
”)三、定义和原则1. 信息安全事件:指涉及企业信息系统和数据的非授权访问、破坏、泄露等违反安全政策和规定的行为。
2. 应急预案的原则:迅速响应、协同处置、全面调查、教训与总结。
四、信息安全事件分类(此部分描述常见的信息安全事件分类,例如“1. 网络攻击类:包括DDoS攻击、SQL注入、恶意代码感染等网络攻击行为;2. 数据泄露类:包括内部泄露、外部渗透等导致数据泄露的事件;3. 系统故障类:包括硬件故障、软件故障等导致信息系统无法正常运行。
”)五、信息安全事件应急响应流程1. 信息安全事件的发现和报告:(此部分描述应该由谁来发现信息安全事件,以及如何及时准确地进行报告)2. 应急响应小组的组建和召集:(此部分描述应急响应小组成员的角色和职责,以及如何召集和组织应急响应小组)3. 事件分类和等级评估:(此部分描述根据事件的严重程度对事件进行分类和评估,以确定应急响应的紧急程度)4. 应急响应措施的采取:(此部分描述根据事件的紧急程度,采取相应的应急响应措施,例如隔离受影响系统、恢复备份数据等)5. 事件处置和恢复:(此部分描述如何进行事件的处置和系统数据的恢复工作,确保信息系统重新恢复正常运行)6. 事件调查和检测:(此部分描述对事件的调查和检测工作,以便确定事件的原因和漏洞,并采取相应的风险预防措施)7. 教训和总结:(此部分描述如何对事件进行教训和总结,以提高企业的安全意识和应急响应能力)六、应急预案的演练与修订(此部分描述应急预案的演练和修订计划,包括定期组织演练和根据实际情况进行预案的修订和更新)七、附录(此部分列举应急预案中可能用到的相关模板、联系人名单等辅助材料)八、结束语(此部分强调应急预案的重要性和持续完善的必要性,鼓励企业全体员工积极参与信息安全管理工作)以上就是一个信息安全事件应急预案的模板,希望能够对您有所帮助。
信息安全应急响应专项预案
一、总则1. 编制目的为提高我单位对信息安全突发事件的应对能力,确保信息系统的安全稳定运行,最大程度地减少信息安全事件对单位的影响,特制定本预案。
2. 工作原则(1)预防为主,防治结合:加强信息安全管理,提高员工信息安全意识,从源头上预防信息安全事件的发生。
(2)快速响应,协同作战:一旦发生信息安全事件,立即启动应急预案,迅速采取措施,协同作战,确保事件得到有效控制。
(3)信息保密,确保稳定:在处理信息安全事件过程中,严格保密,确保信息系统的稳定运行。
二、组织机构及职责1. 信息安全应急指挥部负责组织、协调、指挥信息安全应急响应工作,下设以下小组:(1)应急指挥小组:负责制定、修订应急预案,组织应急演练,协调各部门开展信息安全应急响应工作。
(2)技术支持小组:负责信息安全事件的检测、分析、处理和恢复工作。
(3)信息发布小组:负责发布信息安全事件相关信息,引导舆论,稳定人心。
(4)后勤保障小组:负责提供信息安全应急响应所需的物资、设备、场地等后勤保障。
2. 各部门职责(1)信息部门:负责信息系统的日常安全管理,定期进行安全检查,发现安全隐患及时上报。
(2)人事部门:负责组织员工信息安全培训,提高员工信息安全意识。
(3)行政部门:负责协调各部门开展信息安全应急响应工作,确保信息安全事件得到及时处理。
三、信息安全事件分类及响应流程1. 信息安全事件分类(1)信息系统故障:包括硬件故障、软件故障、网络故障等。
(2)信息泄露:包括数据泄露、信息泄露等。
(3)恶意攻击:包括病毒攻击、黑客攻击、钓鱼攻击等。
(4)其他:包括自然灾害、设备损坏、人为破坏等。
2. 信息安全事件响应流程(1)发现事件:各部门发现信息安全事件后,立即上报信息安全应急指挥部。
(2)应急指挥部启动预案:接到报告后,应急指挥部启动应急预案,组织相关部门开展应急响应工作。
(3)技术支持小组进行分析:技术支持小组对事件进行初步分析,确定事件类型和影响范围。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全应急响应服务方案XXXX科技有限公司2018年5月目录第一部分概述 (3)1.1.信息安全应急响应 (3)1.2.应急安全响应事件 (3)1.3.服务原则 (4)第二部分应急响应组织保障 (5)2.1.角色的划分 (5)2.2.角色的职责 (5)2.3.组织的外部协作 (6)2.4.保障措施 (6)第三部分应急响应实施流程 (7)3.1.准备阶段(Preparation) (9)3.1.1负责人准备内容 (9)3.1.2技术人员准备内容 (9)3.1.3市场人员准备内容 (12)3.2.检测阶段(Examination) (13)3.2.1实施小组人员的确定 (13)3.2.2检测范围及对象的确定 (13)3.2.3检测方案的确定 (13)3.2.4检测方案的实施 (14)3.2.5检测结果的处理 (17)3.3.抑制阶段(Suppresses) (18)3.3.1抑制方案的确定 (18)3.3.2抑制方案的认可 (18)3.3.3抑制方案的实施 (19)3.3.4抑制效果的判定 (19)3.4.根除阶段(Eradicates) (20)3.4.1根除方案的确定 (20)3.4.2根除方案的认可 (20)3.4.3根除方案的实施 (20)3.4.4根除效果的判定 (21)3.5.恢复阶段(Restoration) (21)3.5.1恢复方案的确定 (21)3.5.2恢复信息系统 (22)3.6.总结阶段(Summary) (22)3.6.1事故总结 (23)3.6.2事故报告 (23)第一部分概述1.1.信息安全应急响应应急响应服务是为满足企业发生安全事件、需要紧急解决问题的情况下提供的一项安全服务。
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,安全专家会在第一时间赶到事件现场,使企业的网络信息系统在最短时间内恢复正常工作,帮助企业查找入侵来源,给出入侵事故过程报告,同时给出解决方案与防范报告,为企业挽回或减少经济损失。
提供入侵调查,拒绝服务攻击响应,主机、网络、业务异常紧急响应和处理。
1.2.应急安全响应事件计算机病毒事件;蠕虫病毒事件;特洛伊木马事件;网页内嵌恶意代码事件;拒绝服务攻击事件;后门攻击事件;漏洞攻击事件;网络扫描窃听事件;信息篡改事件;信息假冒事件;信息窃取事件。
1.3.服务原则在整个应急响应处理过程的中,本协会严格按照以下原则要求服务人员,并签订必要的保密协议。
保密性原则应急服务提供者应对应急处理服务过程中获知的任何关于服务对象的系统信息承担保密的责任和义务,不得泄露给第三方的单位和个人,不得利用这些信息进行侵害服务对象的行为。
规范性原则应急服务提供者应要求服务人员依照规范的操作流程进行应急处理服务,所有处理人员必须对各自的操作过程和结果进行详细的记录,最终按照规范的报告格式提供完整的服务报告。
最小影响原则应急处理服务工作应尽可能减少对原系统和网络正常运行的影响,尽量避免对原网络运行和业务正常运转产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则必须向服务对象说明。
第二部分应急响应组织保障2.1.角色的划分本公司应急响应工作机构按角色划分为三个:应急响应负责人,应急响应技术人员,应急响应市场人员。
信息安全事件发生后,在应急响应领导小组的统一部署下,工作人员各施其职,并严格按照应急响应计划组织实施应急响应工作。
2.2.角色的职责应急响应负责人:应急响应负责人是信息安全应急响应工作的组织领导机构,组长应由组织最高管理层成员担任。
负责人的职责是领导和决策信息安全应急响应的重大事宜,主要职责如下:a)制定工作方案;b)提供人员和物质保证;c)审核并批准经费预算;d)审核并批准恢复策略;e)审核并批准应急响应计划;f)批准并监督应急响应计划的执行;g)指导应急响应实施小组的应急处置工作;h)启动定期评审、修订应急响应计划以及负责组织的外部协作。
应急响应技术人员,其主要职责如下:a)编制应急响应计划文档;b)应急响应的需求分析,确定应急策略和等级以及策略的实现;c)备份系统的运行和维护,协助灾难恢复系统实施;d)信息安全突发事件发生时的损失控制和损害评估;e)组织应急响应计划的测试和演练。
应急响应市场人员,其主要职责如下:a)开拓新客户,与客户建立长期的合作关系;维护与公司老客户的业务往来;b)建立预防预警机制,及时进行信息上报;c)参与和协助应急响应计划的教育、培训和演练;d)信息安全事件发生后的外部协作。
2.3.组织的外部协作依据服务对象信息安全事件的影响程度,如需向上级部门及时通报准确情况或向其他单位寻求支持时,应与相关管理部门以及外部组织机构保持联络和协作。
主要包括国家计算机网络应急技术处理协调中心(CNCERT/CC)华中地区分中心、国家计算机网络应急技术处理协调中心(CNCERT/CC)、中国教育科研网络华中地区网络中心、中国教育科研网网络中心、##市公安局网络安全监察室、湖北省公安厅网络安全监察处、中国电信##分公司网管中心以及主要相关设备供应商。
2.4.保障措施应急人力保障加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息安全核心人才和管理队伍,提高信息安全防御意识。
大力发展信息安全服务业,增强协会应急支援能力。
物质条件保障安排一定的资金用于预防或应对信息安全突发事件,提供必要的交通运输保障,优化信息安全应急处理工作的物资保障条件。
技术支撑保障设立信息安全应急响应中心,建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力。
从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。
第三部分应急响应实施流程该服务流程并非一个固定不变的教条,需要应急响应服务人员在实际中灵活变通,可适当简化,但任何变通都必须纪录有关的原因。
详细的记录对于找出事件的真相、查出威胁的来源与安全弱点、找到问题正确的解决方法,甚至判定事故的责任,避免同类事件的发生都有着极其重要的作用。
3.1.准备阶段(Preparation)目标:在事件真正发生前为应急响应做好预备性的工作。
角色:协会负责人、技术人员、市场人员。
内容:根据不同角色准备不同的内容。
输出:《准备工具清单》、《事件初步报告表》、《实施人员工作清单》3.1.1 负责人准备内容制定工作方案和计划;提供人员和物质保证;审核并批准经费预算、恢复策略、应急响应计划;批准并监督应急响应计划的执行;指导应急响应实施小组的应急处置工作;启动定期评审、修订应急响应计划以及负责组织的外部协作。
3.1.2 技术人员准备内容服务需求界定首先要对服务对象的整个信息系统进行评估,明确服务对象的应急需求,具体应包含以下内容:1)应急服务提供者应了解应急服务对象的各项业务功能及其之间的相关性,确定支持各种业务功能的相关信息系统资源及其他资源,明确相关信息的保密性、完整性、和可用性要求;2)对服务对象的信息系统,包括应用程序,服务器,网络及任何管理和维护这些系统的流程进行评估,确定系统所执行的关键功能,并确定执行这些关键功能所需要的特定系统资源;3)应急服务提供者应采用定性或定量的方法,对业务中断、系统宕机、网络瘫痪等突发安全事件造成的影响进行评估;4)应急服务提供者应协助服务对象建立适当的应急响应策略,应提供在业务中断、系统宕机、网络瘫痪等突发安全事件发生后快速有效的恢复信息系统运行的方法;5)应急服务提供者宜为服务对象提供相关的培训服务,以提高服务对象的安全意识,便于相关责任人明确自己的角色和责任,了解常见的安全事件和入侵行为,熟悉应急响应策略。
主机和网络设备安全初始化快照和备份在系统安全策略配置完成后,要对系统做一次初始安全状态快照。
这样,如果以后在出现事故后对该服务器做安全检测时,通过将初始化快照做的结果与检测阶段做的快照进行比较,就能够发现系统的改动或异常。
1)对主机系统做一个标准的安全初始化的状态快照,包括的主要内容有:日志及审核策略快照等。
用户账户快照;进程快照;服务快照;自启动快照关键文件签名快照;开放端口快照;系统资源利用率的快照;注册表快照;计划任务快照等等;2)对网络设备做一个标准的安全初始化的状态快照,包括的主要内容有:路由器快照;防火墙快照;用户快照;系统资源利用率等快照。
3)信息系统的业务数据及办公数据均十分重要,因此需要进行数据存储及备份。
目前,存储备份结构主要有DAS、SAN和NAS,以及通过磁带或光盘对数据进行备份。
各服务对象可以根据自身的特点选择不同的存储产品构建自己的数据存储备份系统。
工具包的准备1)应急服务提供者应根据应急服务对象的需求准备处置网络安全事件的工具包,包括常用的系统基本命令、其他软件工具等;2)应急服务提供者的工具包中的工具最好是采用绿色免安装的,应保存在安全的移动介质上,如一次性可写光盘、加密的U盘等;3)应急服务提供者的工具包应定期更新、补充;必要技术的准备上述是针对应急响应的处理涉及到的安全技术工具涵盖应急响应的事件取样、事件分析、事件隔离、系统恢复和攻击追踪等各个方面,构成了网络安全应急响应的技术基础。
所以我们的应急响应服务实施成员还应该掌握以下必要的技术手段和规范,具体包括以下内容:1)系统检测技术,包括以下检测技术规范:W indows系统检测技术规范;U nix系统检测技术规范;网络安全事故检测技术规范;数据库系统检测技术规范;常见的应用系统检测技术规范;2)攻击检测技术,包括以下技术:异常行为分析技术;入侵检测技术;安全风险评估技术;3)攻击追踪技术;4)现场取样技术;5)系统安全加固技术;6)攻击隔离技术;7)资产备份恢复技术;3.1.3 市场人员准备内容和服务对象建立长期友好的业务关系;和服务对象签订应急服务合同或协议;建立预防和预警机制,及时上报。
1)预防和预警机制市场人员要严格按照应急响应负责人的安排和建议,及时提醒服务对象提高防范网络攻击、病毒入侵、网络窃密等的能力,防止有害信息传播,保障服务对象网络的安全畅通。
将协会网络信息中心会发布的病毒预防警报以及更新的防护策略及时有效地告知服务对象,做好防护策略的更新。
2)信息系统检测和报告按照“早发现、早报告、早处置”的原则,市场人员要加强对服务对象信息系统的安全检测结果的通告,收集可能引发信息安全事件的有关信息、进行分析判断。
如服务对象发现有异常情况或有信息安全事件发生时,要立即向协会网络信息中心应急响应负责人报告,并填写事件初步报告表。
要求服务对象持续监测信息系统状况,密切关注应急响应负责人提出初步行动对策和行动方案,听从指令和安排,及时减小损失。
3.2.检测阶段(Examination)目标:接到事故报警后在服务对象的配合下对异常的系统进行初步分析,确认其是否真正发生了信息安全事件,制定进一步的响应策略,并保留证据。