文档介绍:信息安全应急响应程
广东盈通网络投资
20011 07 月
目录
第一部分导言 3
文档类别 3
使用x对象 3
计划目的 3
适用范围 3
3
第二部分应急响应组织保障 4
角色的划分 4
角门以及外部组织机构保持联络和协作。主要包括国家计算机 网络应急技术处协调中心
(CNCERT/CC)华中地区分中心、国家计算机网络应急技术处协 调中心(CNCERT/CC)、中国教育科研网络华中地区网络中心、中国教育科研网网络中心、盈 通公司市公安局网络安全监察室、湖公安厅网络安全监察处、及主要相关设备供应商。
保障措施
应急人保障
加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息安全 核心人才和管队伍,提高信息安全防御意识。大发展信息安全服务业,增强协会应急支 援能。
物质条件保障
安排一定的资用于预防或於对信息安全突发事件,提供必要的交通运输保障,优化信 息安全应急处工作的物资保障条件。
4- 柱术支撑保障
设信息安全应急响应中心,建预警与应急处的技术平台, 进一步提高安全事件的 发现和分析能。从技术上逐步实现发现、预警、处置、通报等多个环节和同的网络、系 统、部门之间应急处的联动机制。
第三部分应急响应实施程
该服务程并非一个固定变的教条, 需要应急响应服务人员在实际中灵洁变通,可适
当简化,但任何变通必须纪录有关的原因。 详细的记录对于找出事件的真相、直出威胁的 来源与安全弱点、、找到问题正确的解决方法,甚至判定事故的责任,避免同类事件的发生 有着极其重要的作用。
准备阶段
检测阶段
抑制阶段
根除阶段
恢复阶段
负责人准备工作
技术人员准备工作
市场人员准备工作
制定工作方案和计划,监
督和指导其他小组的工作
服务需求的确定,主机和网 络安全初始化快照和备份、 工具包和必要技术的准备
建立预防预警机制、及时 进行信息系统检测和异常 情况上报
否
现场实施小人员的确定
确定和认可抑制的方案并
进行抑制的实施
确定和认可根除的方 法并进行根除的实施
启动专项预案
根据确定的恢复方案进行
信息系统的恢复
回顾并完善整个事件的处
理过程并进行总结
形成事故报告 为服务对象提出安全建议
准备阶段(Preparation)
-I-目标:在事件真正发生前为应急响应做好预备性的工作。
4- 角色:技术人员、市场人员。
4-内容:根据同角色准备同的内容。
4-输出:《准备工具清单》、《事件初步报告表》、《实施人员工作清单》
制定工作方案和计划;
提供人员和物质保证;
审核并批准经费预算、恢复策、应急响应计划;
批准并监督应急响应计划的执;
指导应急响应实施小组的应急处置工作;
启动定期评审、修订应急响应计划以及负责组织的外部协作。
服务需求界定
首先要对服务对象的整个信息系统进评估,明确服务对象的应急需求,具体应包 含以下内容:
应急服务提供者应解应急服务对象的各项业务功能及其之间的相关性,确定 支持各种业务功能的相关信息系统资源及其他资源,明确相关信息的保密性、 完整性、和可用性要求;
对服务对象的信息系统,包括应用程序,服务器,网络及任何管和维护这些 系统的程进评估,确定系统所执的关键功能,并确定执这些关键功能 所需要的特定系统资源;
应急服务提供者应采用定性或定的方法,对业务中断、系统宕机、网络瘫痪 等突发安全事件造成的影响进评估;
应急服务提供者应协助服务对象建适当的应急响应策, 应提供在业务中断、 系统宕机、网络瘫痪等突发安全事件发生后快速有效的恢复信息系统运的方 法;
应急服务提供者宜为服务对象提供相关的培训服务,以提高服务对象的安全意 识,于相关责任人明确自己的角色和责任, 解常见的安全事件和入侵为, 葛忠应急响应策。
主才七和网络设备安全初始化件照和备份
在系统安全策配置完成后,要对系统做一次初始安全状态快照。这样,如果以后 在出现事故后对该服务器做安全检测时 通过将初始化快照做的结果与检测阶段做 的快照进比较,就能够发现系统的改动或异常。
对主机系统做一个标准的安全初始化的状态快照,包括的主要内容有: 日志及审核策快照等。
/ 用户账户快照;
/ 进程快照;
/ 服务快照;
/ 自启动快照
/ 关键文件签名快照;
/ 开放端口快照;
/ 系统资源用的快照;
/ 注册表快照;
/ 计划任务快照等等;
对网络设备做一个标准的安全初始化的状态快照,包括的主要内容有:
/ 由器快照;
/ 防火墙快照;
/ 用户快照;
/ 系统资源用等快照。
信