信息安全应急处理实施方案

信息安全应急响应实施方案

信息安全应急响应服务概述

应急响应服务是为满足企业发生安全事件、需要紧急解决问题的情况下提供的一项安全服务。当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，安全专家会在第一时间赶到事件现场，使企业的网络信息系统在最短时间内恢复正常工作，帮助企业查找入侵来源，给出入侵事故过程报告，同时给出解决方案与防范报告，为企业挽回或减少经济损失。提供入侵调查，拒绝服务攻击响应，主机、网络、业务异常紧急响应和处理。

应急安全响应事件

服务原则

在整个应急响应处理过程的中，本协会严格按照以下原则要求服务人员， 并签订必要的保密协议。

保密性原则

应急服务提供者应对应急处理服务过程中获知的任何关于服务对象的系统信息承担保密的责任和义务，不得泄露给第三方的单位和个人，不得利用这些信息进行侵害服务对象的行为。

规范性原则

应急服务提供者应要求服务人员依照规范的操作流程进行应急处理服务，所有处理人员必须对各自的操作过程和结果进行详细的记录，最终按照规范的报告格式提供完整的服务报告。

最小影响原则

应急处理服务工作应尽可能减少对原系统和网络正常运行的影响，尽量避免对原网络运行和业务正常运转产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等)，如无法避免，则必须向服务对象说明。

应急响应实施流程

应急响应服务实施内容

准备阶段

准备阶段的目标是在安全事件发生前，建立信息安全管理体系，部署安全设备和软件，制定应急响应计划和演练制度，提高应急响应能力和素质。

准备阶段的主要工作包括建立合理的防御/控制措施、建立适当的策略和程序、获得必要的资源和组建响应队伍等。

常见的用于应急响应的网络安全工具主要包括流量分析工具（如Wireshark、科来网络分析等），进程分析工具（如ProcessHacker、ProcessExplorer等），信息收集工具（如FastIR等），Webshell检测工具等。

检测阶段

检测阶段是在安全事件发生后，判断安全事件的类型、原因、影响范围和危害程度，采用入侵检测、流量监控、日志分析等手段进行安全事件的发现和诊断，确定系统是否出现异常。

在发现异常情况后，形成安全事件报告，由网络安全运维工程师介入，进行高级检测来查找安全事件的真正原因，明确安全事件的特征、影响范围，标识安全事件对受影响的系统所带来的改变，最终对安全事件进行定性，并向应急响应总指挥请示是否启动网络安全应急响应预案。

目标是对网络安全事件做出初步的动作和响应，根据获得的初步材料和分析结果，预估事件的范围和影响程度，制定进一步的响应策略，并且保留相关证据。

抑制阶段

抑制阶段是在安全事件发生过程中，采取各种措施限制安全事件的扩散和加剧，如断开网络连接，关闭受影响的系统或服务，修改访问控制策略等。

目标是限制攻击的范围，抑制潜在的或进一步的攻击和破坏。抑制措施十分重要，因为安全事件很容易扩散和失控。攻击抑制措施可以在以下几个方面发挥作用，阻止入侵者访问被攻陷系统、限制入侵的程度、防止入侵者进一步破坏等。

根除阶段

根除阶段是在安全事件被抑制后，找出安全事件的根源，并清除掉隐患和后门，避免安全事件的二次发生，如打补丁、删除恶意文件、修改弱口令等。

目标是在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出导致网络安全事件发生的根源，并予以彻底消除。对于单机上的事件，可以根据各种操作系统平台的具体检查和根除程序进行操作即可。但是大规模爆发的带有蠕虫性质的恶意程序，要根除各个主机上的恶意代码，则需投入更多的人力和物力。

恢复阶段

恢复阶段是在安全事件被根除后，将系统恢复到正常运行状态，并恢复数据和业务的完整性和可用性，如恢复备份数据、重启系统或服务等。

目标是将网络安全事件所涉及的系统还原到正常状态。恢复工作应该十分小心，避免出现误操作，导致数据的丢失。恢复阶段的行动集中于建立临时业务处理能力、修复原系统损害、在原系统或新设施中恢复运行业务能力等应急措施。

总结阶段

总结阶段是在安全事件被恢复后，总结安全事件的发生过程和处理经验，并对涉事单位的安全技术配置，安全管理制度等进行分析评审，并提出整改建议和预防措施。

目标是回顾网络安全事件处理的全过程，整理与事件相关的各种信息，并尽可能地把所有情况记录到文档中。这些记录的内容，不仅对有关部门的其他处理工作具有重要意义，而且对将来应急工作的开展也是非常重要的积累。