文档介绍:信息安全应急响应流程
广东盈通网络投资
20011年07月
目录
第一部分导言 3
文档类别 3
使用对象 3
计划目的 3
适用范围 3
服务原则 3
第二部分应急响应组织保障 4
角色的划分 4
角色的职责 监察处、及主要相关设备供应商。
保障措施
X应急人力保障
加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息安全 核心人才和管理队伍,提高信息安全防御意识。大力发展信息安全服务业,增强协会应急支 援能力。
工物质条件保障
安排一定的资金用于预防或应对信息安全突发事件,提供必要的交通运输保障,优化信 息安全应急处理工作的物资保障条件。
X技术支撑保障
设立信息安全应急响应中心,建立预警与应急处理的技术平台,进一步提高安全事件的 发现和分析能力。从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系 统、部门之间应急处理的联动机制。
第三部分 应急响应实施流程
该服务流程并非一个固定不变的教条,需要应急响应服务人员在实际中灵活变通,可适 当简化,但任何变通都必须纪录有关的原因。详细的记录对于找出事件的真相、查出威胁的 来源与安全弱点、找到问题正确的解决方法,甚至判定事故的责任,避免同类事件的发生都 有着极其重要的作用。
负责人准备工作
制定工作方案和计划,监
督和指导其他小组的工作
准备阶段
技术人员准备工作
服务需求的确定,主机和网 络安全初始化快照和备份、 工具包和必要技术的准备
市场人员准备工作�建立预防预警机制、及时 进行信息系统检测和异常 情况上报
现场实施小人员的确定
现场勘查确定检测方案并
检测阶段 进行实施
抑制阶段 确定和认可抑制的方案并
进行抑制的实施
根除阶段
恢复阶段
启动专项预案
回顾并完善整个事件的处
理过程并进行总结
总结阶段
形成事故报告
为服务对象提出安全建议
结束
准备阶段(Preparation)
X目标:在事件真正发生前为应急响应做好预备性的工作。
X角色:技术人员、市场人员。
X内容:根据不同角色准备不同的内容。
工 输出:《准备工具清单》、《事件初步报告表》、《实施人员工作清单》
负责人准备内容
工制定工作方案和计划;
X 提供人员和物质保证;
X 审核并批准经费预算、恢复策略、应急响应计划;
X批准并监督应急响应计划的执行;
-J-指导应急响应实施小组的应急处置工作;
,启动定期评审、修订应急响应计划以及负责组织的外部协作。
技术人员准备内容
X服务需求界定
首先要对服务对象的整个信息系统进行评估,明确服务对象的应急需求,具体应包 含以下内容:
应急服务提供者应了解应急服务对象的各项业务功能及其之间的相关性,确定 支持各种业务功能的相关信息系统资源及其他资源,明确相关信息的保密性、 完整性、和可用性要求;
对服务对象的信息系统,包括应用程序,服务器,网络及任何管理和维护这些 系统的流程进行评估,确定系统所执行的关键功能,并确定执行这些关键功能 所需要的特定系统资源;
应急服务提供者应采用定性或定量的方法,对业务中断、系统宕机、网络瘫痪 等突发安全事件造成的影响进行评估;
应急服务提供者应协助服务对象建立适当的应急响应策略,应提供在业务中断、 系统宕机、网络瘫痪等突发安全事件发生后快速有效的恢复信息系统运行的方 法;
应急服务提供者宜为服务对象提供相关的培训服务,以提高服务对象的安全意 识,便于相关责任人明确自己的角色和责任,了解常见的安全事件和入侵行为, 熟悉应急响应策略。
X主机和网络设备安全初始化快照和备份
在系统安全策略配置完成后,要对系统做一次初始安全状态快照。这样,如果以后 在出现事故后对该服务器做安全检测时,通过将初始化快照做的结果与检测阶段做 的快照进行比较,就能够发现系统的改动或异常。
1) 对主机系统做一个标准的安全初始化的状态快照,包括的主要内容有:
日志及审核策略快照等。
用户账户快照;
进程快照;
服务快照;
自启动快照
关键文件签名快照;
开放端口快照;
系统资源利用率的快照;
注册表快照;
计划任务快照等等;
对网络设备做一个标准的安全初始化的状态快照,包括的主要内容有:
路由器快照;
防火墙快照;
用户快照;
系统资源利用率等快照。
信息系统的业务数据及办公数据均十分重要,因此需要进行数据存储及备份。
目前,存储备份结构主要有DAS、SAN和NAS,以及通