信息安全应急响服务流程.doc

信息安全应急响应流程 广东盈通网络投资 20011年07月 目录 第一部分 导言 3 1.1.文档类别 3 1.2.使用对象 3 1.3.计划目的 3 1.4.适用范围 3 1.5.服务原则 3 第二部分 应急响应组织保障 4 2.1.角色的划分 4 2.2.角色的职责 4 2.3.组织的外部协作 5 2.4.保障措施 5 第三部分 应急响应实施流程 5 3.1.准备阶段（Preparation stage） 7 3.1.1 领导小组准备内容 7 3.1.2 实施小组准备内容 7 3.1.3 日常运行小组准备内容 9 3.2.检测阶段（Examination stage） 9 3.2.1 检测范围及对象的确定 9 3.2.2 检测方案的确定 10 3.2.3 检测方案的实施 10 3.2.4 检测结果的处理 12 3.3.抑制阶段（Suppresses stage） 12 3.3.1 抑制方案的确定 13 3.3.2 抑制方案的认可 13 3.3.3 抑制方案的实施 13 3.3.4 抑制效果的判定 13 3.4.根除阶段（Eradicates stage） 13 3.4.1 根除方案的确定 14 3.4.2 根除方案的认可 14 3.4.3 根除方案的实施 14 3.4.4 根除效果的判定 14 3.5.恢复阶段（Restoration stage） 15 3.5.1 恢复方案的确定 15 3.5.2 恢复信息系统 15 3.6.总结阶段（Summary stage） 15 3.6.1 事故总结 16 3.6.2 事故报告 16 第一部分 导言 1.1.文档类别 本文档是盈通公司信息技术安全IT技术部用以规范“信息安全应急响应服务流程”项目实施的指导性文件之一。 1.2.使用对象 本文档作为公司内部文档，具体使用人员包括：信息安全应急响应服务具体实施操作人员、及负责人。 1.3.计划目的 制订本规范的目的是为了指导应急响应服务操作人员按一定的实施办法和操作流程，从接受应急响应服务申请到交付应急响应总结报告为止这段时间内，要求实施进度和质量可控，在规定的时间内完成应急响应服务。 备注：操作实施人员在执行该规范时，应根据实际情况灵活运用和变通，并提出创新。同时为了有效的控制进度和质量，在实际操作中应遵循流程步骤。 1.4.适用范围 全司。 1.5.服务原则 在整个应急响应处理过程的中，本协会严格按照以下原则要求服务人员，并签订必要的保密协议。 保密性原则 应急服务提供者应对应急处理服务过程中获知的任何关于服务对象的系统信息承担保密的责任和义务，不得泄露给第三方的单位和个人，不得利用这些信息进行侵害服务对象的行为。 规范性原则 应急服务提供者应要求服务人员依照规范的操作流程进行应急处理服务，所有处理人员必须对各自的操作过程和结果进行详细的记录，最终按照规范的报告格式提供完整的服务报告。 最小影响原则 应急处理服务工作应尽可能减少对原系统和网络正常运行的影响，尽量避免对原网络运行和业务正常运转产生显著影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则必须向服务对象说明。 第二部分 应急响应组织保障 2.1.角色的划分 本协会应急响应工作机构按角色划分为三个： 应急响应负责人， 应急响应技术人员， 应急响应市场人员。 信息安全事件发生后，在组统一下各施其职严格按照应急组织实施应急制定工作方案提供人员和物质保证指导开拓新客户，与客户建立长期的合作关系；维护与公司老客户的业务往来应急保障 加强信息安全人才培养，强化信息安全宣传教育，建设一支高素质、高技术的信息安全核心人才和管理队伍，提高信息安全防御意识。大力发展信息安全服务业，增强应急支援能力。 物质条件保障 安排一定的资金用于预防或应对信息安全突发事件，提供必要的交通运输保障，优化信息安全应急处理工作的物资保障条件。 技术支撑保障 设立信息安全应急响应中心，建立预警与应急处理的技术平台，进一步提高安全事件的发现和分析能力从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。 3.1.准备阶段（Preparation） 目标：在事件真正发生前为应急响应做好预备性的工作制定工作方案提供人员和物质保证指导 对主机系统做一个标准的安全初始化的状态快照，包括的主要内容有： 日志及审核策略快照等。 用户账户快照； 进程快照； 服务快照； 自启动快照 关键文件签名快照； 开放端口快照； 系统资源利用率的快照； 注册表快照； 计划任务快照等等； 对网络设备做一个标准的安全初始化的状态快照，包括的主要内容有： 路由器快照； 防火墙快照； 用户快照； 系统资源