《應急響應服務方案(下)》2023-11-10
1.6.2.5檢測結果的處理
1. 確定應急事件的類型
經過檢測,判斷出信息應急事件類型。信息應急事件有以下7個基本分類。
有害程序事件:蓄意制造、傳播有害程序,或是因受到有害程序的影響而導致的信息應急事件。
網絡攻擊事件:通過網絡或其他技術手段,利用信息、系統的配置缺陷、協議缺陷、程序缺陷或使用暴力攻擊對信息系統實施攻擊,并造成信息系統異常或對信息系統當前運行造成潛在危害的信息應急事件。
信息破壞事件:通過網絡或其他技術手段造成信息系統中的信息被篡改、假冒、泄露、竊取等而導致的信息應急事件。
信息內容應急事件:泄漏危害國家安全、社會穩定和公共利益的內容的安全。
設備設施故障:由于信息系統自身故障或外圍保障設施故障而導致的信息應急事件,以及人為的使用非技術手段有意或無意地造成信息系統破壞而導致的信息應急事件。
災害性事件:由于不可抗力對信息系統造成物理破壞而導致的信息應急事件。
其他信息應急事件:不能歸入以上6個基本分類的信息應急事件。
2. 評估突發信息應急事件的影響
采用定量和/或定性的方法,對業務中斷、系統宕機、網絡癱瘓、數據丟失等突發信息應急事件造成的影響進行評估;
確定是否存在針對該事件的特定系統預案,如有,則啟動相關預案;如果事件涉及多個專項預案,應同時啟動所有涉及的專項預案;
如果沒有針對該事件的專項預案,應根據事件具體情況,采取抑制措施,抑制事件進一步擴散。
1.6.3抑制階段
目標:及時采取行動限制事件擴散和影響的范圍,限制潛在的損失與破壞,同時要確保封鎖方法對涉及相關業務影響最小。
角色:應急服務實施小組、應急響應日常運行小組.
內容:包括以下兒項.
抑制方案的確定;
抑制方案的認可;
抑制方案的實施;
抑制效果的判定。
輸出:抑制處理記錄表。
1.6.3.1抑制方案的確定
1. 在檢測分析的基礎上,初步確定與應急事件相對應的抑制方法,如有多項,可由用戶考慮后自己選擇。
2. 在確定抑制方法時應該考慮:
全面評估應急事件的影響和損失;
通過分析得到的其他結論;
用戶的業務和重點決策過程;用戶的業務連續性。
1.6.3.2抑制方案的認可
告知用戶所面臨的首要問題;
確定的抑制方法和相應的措施得到用戶的認可;
在采取抑制措施之前,與用戶充分溝通,告知可能存在的風險,制訂應變和回退措施,并與其達成協議。
1.6.3.3抑制方案的實施
1. 嚴格按照相關約定實施抑制,不得隨意更改抑制的措施的范圍,如有必要更改,須獲得用戶的授權。
2. 抑制措施應包含但不限于以下幾方而:
確定受害系統的范圍后,將受害系統和正常的系統進行隔離,斷開或暫時關閉被影響的系統,使攻擊先徹底停止;
持續監視系統和網絡活動,記錄異常流量的遠程IP、域名、端口;
停止或刪除系統非正常賬號,隱藏賬號,更改口令,加強口令的安全級別;
掛起或結束未被授權的、可疑的應用程序和進程;
關閉存在的非法服務和不必要的服務;
刪除系統各用戶“啟動”目錄下未授權自啟動程序;
使用工具或命令停止所有開放的共享;
使用反病毒軟件或其他安全工具檢查文件,掃描硬盤上所有的文件,隔離或清除病毒、木馬、蠕蟲、后門等可疑文件;
1.6.3.4抑制效果的判定
是否防止了事件繼續擴散,限制了潛在的損失和破壞,使目前損失最小化;
對其他相關業務的影響是否控制在最小。
1.6.4根除階段
目標:對應急事件進行抑制之后,通過對有關事件或行為的分析結果,找出事件根源,明確相應的補救措施并徹底清除事件。
角色:應急服務實施小組、應急響應日常運行小組.
內容:包括以下幾項。
根除方案的確定;
根除方案的認可;
根除方案的實施;
根除效果的判定。
輸出:根除處理記錄表。
1.6.4.1根除方案的確定
協助用戶檢查所有受影響的系統,在準確判斷應急事件原因的基礎上,提出方案建議;
由于入侵者一般會安裝后門或使用其他的方法以便于在將來有機會侵入該被攻擊的系統,因此在確定根除方法時,需要了解攻擊者是如何入侵的,以及與這種入侵方法相同和相似的各種方法。
1.6.4.2根除方案的認可
明確告知用戶所采取的根除措施可能帶來的風險,制度應變和回退措施,并得到用戶的書面授權;協助用戶進行根除方法的實施。
1.6.4.3根除方案的實施
1. 使用可信的工具進行應急事件的根除處理,不得使用受害系統已有的不可信的文件和工具。
2. 根除措施宜包含但不限于以下幾個方面:
改變全部可能受到攻擊的系統賬號和口令,并增加口令的安全級別;
修補系統、網絡和其他軟件漏洞;
3. 增強防護功能,復查所有防護措施的配置,安裝最新的安全設備和殺毒軟件,并及時更新,對未受保護或者保護不夠的系統增加新的防護措施;
4. 提高其監視保護級別,以保證將來對類似的入侵進行檢測。
1.6.4.4根除效果的判定
找出造成事件的原因,備份與造成事件相關的文件和數據;
對系統中造成事件的文件進行清理,根除;
使系統能夠正常工作。
1.6.5恢復階段
目標:恢復應急事件所涉及的系統,并還原到正常狀態,使業務能夠正常進行,恢復工作應避免出現誤操作導致數據的丟失。
角色:應急服務實施小組、應急響應日常運行小組。
內容:包括以下兒項。
恢復方案的確定;
恢復信息系統。
輸出:恢復處理記錄表。
1.6.5.1恢復方案的確定
1. 告知用戶一個或多個能從應急事件中恢復系統的方法,及它們可能存在的風險。
2. 和用戶共同確定系統恢復方案,根據抑制和根除的情況,協助用戶選擇合適的系統恢復的方案,恢復方案涉及以下幾方面:
如何獲得訪問受損設施或地理區域的授權;
如何通知相關系統的內部和外部業務伙伴;
如何獲得安裝所需的硬件部件;
如何獲得裝載備份介質,如何恢復關鍵操作系統和應用軟件;
如何恢復系統數據;
如何成功運行備用設備。
3. 涉及涉密數據,確定恢復方法時應遵循相應的保密要求。
1.6.5.2恢復信息系統
1. 按照系統的初始化安全策略恢復系統。
2. 恢復系統時,應根據系統中各子系統的重要性,確定系統恢復的順序。
3. 恢復系統過程宜包含但不限于以下方面:
利用正確的備份恢復用戶數據和配置信息;
開啟系統和應用服務,將受到入侵或者懷疑存在漏洞而關閉的服務修改后重新開放;
連接網絡,服務重新上線,并持續監控、持續匯總分析,了解各網的運行情況。
4. 當不能徹底恢復配置和清除系統上的惡意文件,或不能肯定系統在根除處理后是否已恢復正常時,應選擇徹底重建系統。
5. 協助用戶驗證恢復后的系統是否正常運行。
6. 幫助用戶對重建后的系統進行安全加固。
7. 幫助用戶為重建后的系統建立系統快照和備份。
1.6.6總結階段
目標:通過以上各個階段的記錄表格,回顧應急事件處理的全過程,整理與事件相關的各種信息,進行總結,并盡可能地把所有信息記錄到文檔中.
角色:應急服務實施小組、應急響應日常運行小組。
內容:包括以下幾項.
(l)事故總結;
(2)事故報告。
輸出:應急響應報告表.
1.6.6.1事故總結
1. 及時檢查應急事件處理記錄是否齊全,是否具備可塑性,并對事件處理過程進行總結和分析。
2. 應急處理總結的具體工作包括但不限于以下幾項:
事件發生的現象總結;
事件發生的原因分析;
系統的損害程度評估;
事件損失估計;
采取的主要應對措施;
相關的工具文檔(如專項預案、方案等)歸檔。
1.6.6.2事故報告
向用戶提供完備的網絡應急事件處理報告;
向用戶提供措施和建議。
1.7各類應急事件處理預案
1.7.1設備發生被盜或人為損害事件應急預案
發生設備被盜或人為損害設備情況時,運維人員或使用人員應立即報告應急領導小組,同時保護好現場。
應急領導小組接報后,通知用戶保衛部門、相關領導,一同核實審定現場情況,清點被盜物資或盤查人為損害情況,做好必要的影像記錄和文字記錄。
用戶單位和當事人應當積極配合公安部門進行調查, 并將有關情況向應急領導小組匯報。
應急領導小組安排運維服務小組、用戶單位及時恢復系統正常運行,并對事件進行調查。運維服務小組和用戶單位應在調查結束后一日內書面報告應急領導小組。事態或后果嚴重的,應向相關領導匯報。
1.7.2 通信網絡故障應急預案
發生通信線路中斷、路由故障、流量異常、域名系統故障后,運維人員經初步判斷后,應及時上報運維服務小組和應急領導小組。
運維服務小組接報告后,應及時查清通信網絡故障位置,隔離故障區域,并將事態及時報告應急領導小組,通知相關通信網絡運營商查清原因;同時及時組織相關技術人員檢測故障區域,逐步恢復故障區與服務器的網絡聯接,恢復通信網絡,保證正常運轉。
事態或后果嚴重的,應向應急指揮辦公室和相關領導匯報。
應急處置結束后,運維服務小組應將故障分析報告,在調查結束后一日內書面報告應急領導小組。
1.7.3不良信息和網絡病毒事件應急預案
發現不良信息或網絡病毒時,運維人員應立即斷開網線,終止不良信息或網絡病毒傳播,并報告運維服務小組和應急領導小組。
運維服務小組應根據應急領導小組指令,采取隔離網絡等措施,及時殺毒或清除不良信息,并追查不良信息來源。
事態或后果嚴重的,應向相關領導匯報。
處置結束后 ,運維服務小組應將事發經過、造成影響、處置結果在調查工作結束后一日內書面報告應急領導小組。
1.7.4服務器軟件系統故障應急預案
發生服務器軟件系統故障后,運維服務小組負責人應立即組織啟動備份服務器系統,由備份服務器接管業務應用,并及時報告應急領導小組;同時安排相關責任人將故障服務器脫離網絡,保證系統狀態不變,取出系統鏡像備份磁盤,保持原始數據。
運維服務小組應根據應急領導小組的指令,在確認安全的情況下,重新啟動故障服務器系統;重啟系統成功,則檢查數據丟失情況,利用備份數據恢復;若重啟失敗,立即聯系相關廠商和上級單位,請求技術支援,作好技術處理。
事態或后果嚴重的,應向應急領導小組匯報。
處置結束后,運維服務小組應將事發經過、處置結果等在調查工作結束后一日內報告應急領導小組。
1.7.5黑客攻擊事件應急預案
當發現網絡被非法入侵、網頁內容被篡改,應用服務器上的數據被非法拷貝、修改、刪除,或通過入侵檢測系統發現有黑客正在進行攻擊時,運維人員或系統管理員應斷開網絡,并立即報告應急領導小組。
接報告后,應急領導小組應立即指令運維服務小組核實情況,關閉服務器或系統,修改防火墻和路由器的過濾規則,封鎖或刪除被攻破的登陸賬號,阻斷可疑用戶進入網絡的通道。
運維服務小組應及時清理系統,恢復數據、程序,恢復系統和網絡正常;情況嚴重的,應向應急領導小組匯報,并請求支援。
處置結束后 ,運維服務小組應將事發經過、處置結果等在調查工作結束后一日內報告應急領導小組。
1.7.6核心設備硬件故障應急預案
發生核心設備硬件故障后,運維服務小組應及時報告應急領導小組,并組織查找、確定故障設備及故障原因,進行先期處置。
若故障設備在短時間內無法修復運維服務小組應啟動備份設備,保持系統正常運行;將故障設備脫離網絡,進行故障排除工作。
運維服務小組故障排除后,在網絡空閑時期,替換備用設備;若故障仍然存在,立即聯系相關廠商,認真填寫設備故障報告單備查。
事態或后果嚴重的,應向應急領導小組匯報。
處置結束后 ,運維服務小組應將事發經過、處置結果等在調查工作結束后一日內報告應急領導小組。
1.7.7業務數據損壞應急預案
發生業務數據損壞時,運維服務小組應及時報告應急領導小組,檢查、備份業務系統當前數據。
運維服務小組負責調用備份服務器備份數據,若備份數據損壞,則調用磁帶機中歷史備份數據,若磁帶機數據仍不可用,則調用異地備份數據。
業務數據損壞事件超過 2小時后,運維服務小組應及時報告應急領導小組,及時通知業務部門以手工方式開展業務。
運維服務小組應待業務數據系統恢復后,檢查歷史數據和當前數據的差別,由相關系統業務員補錄數據;重新備份數據,并在工作結束后一日內報告應急領導小組。
1.8應急事件響應建議
1.8.1應急事件現場處理
系統應急事件現場處理方案選擇一般有以下幾種方式。
1. 緊急消除
應急事件處理最核心的問題是消除當前威脅,主要是指消除應急事件的原因。如果應急事件屬于計算機病毒,用殺毒軟件進行消除。
如果應急事件屬入侵者,應當首先對入侵者進行監視、跟蹤,確定入侵行為的痕跡并消除之(例如新賬號和被監控文件被修改),然后利用完整性檢查工共進行檢查,最后擺脫入侵者。
2. 緊急恢復
恢復系統可以采取現場聯機恢復和關閉網絡連接恢復兩種方法。
一旦攻擊發生,如果不能采取關機和關閉網絡連接的措施,就采取現場聯機恢復。
3. 切換
如果采用了雙機備份的系統結構,可以采用聯機切換方式,先切換再恢復。
4. 監視
發現入侵者后,監視入侵者的行為是必要的.監視時,可采用系統服務了解攻擊者使用了哪個進程,監視網絡出入的情況,采用它機監視的方法,要注意反監視問題的處理。
應急事件發生時要記錄事件現場。在記錄應急事件時,要記錄平件的每一環節,包括事件的時間、地點。要打印拷貝、記錄拷貝時間、記錄對話內容,并盡可能采用自動化的記錄方法。
5. 報警
攻擊自動發現系統可發現攻擊行為,并為系統管理員和信息系統安全員發出報警信號。報警可以通過聲音、e-mail、手機、電話等方式表現。
1.8.2應急事件的事后處理
系統應急事件事后處理包括事件后消除,彌補系統脆弱性,分析原因,總結教訓,完善安全策略,服務和過程。
1. 事件后消除
消除威脅是應急事件處理最核心的問題,主要是指消除應急事件的原因。
如果應急事件的原因是廠商的后門軟件、間諜軟件,不管廠商以什么目的采用了這些軟件,只要斷定這些所謂后門軟件可以被攻擊者利用,需要向廠商提出交涉,消除該軟件或關閉廠商保留的端口。
如果應急事件的原因是程序化入侵,則刪除入侵程序。
如果應急事件的原因是破壞和刪除文件,則使用拷貝文件恢復。
2. 彌補系統脆弱性
當發現網絡系統漏洞時,修補操作是必需的。修補的方法包括包裝程序、代理程序、隱藏程序、控制程序和改正程序錯誤等。
應急事件的發生暴露了信息系統的脆弱性。發現漏洞后可以提出修補漏洞的方法,實施修補過程。
3. 分析原因
應急事件的原因分析是必要的,分析清楚原因,提出改進的辦法。
4. 總結教訓
根據應急事件的損失和后果,處罰或批評負有責任者。通過對應急事件的處理,可明確在安全管理方面的缺陷,有針對性地加強和完善管理制度。
5. 完善安全策略、結構、服務和過程
發生應急事件后,對信息系統的安全策略、安全結構、安全服務和過程進行全面的檢查,并對其進行修改和完善。
6. 系統應急事件責任劃分
明確系統應急事件的責任。攻擊成功往往與系統管理員的工作失誤有關。由于系統管理員、信息系統安全員和操作員對信息系統安全都有自己的職責,要檢查有關人員的失職問題。
有些應急事件的發生與安全結構不合理有關,或是信息系統安全措施落后造成的。
1.8.3應急保障措施
1. 應急人力保障
加強信息安全人才培養,強化信息安全宣傳教育,建設一支高素質、高技術的信息安全核心人才和管理隊伍,提高信息安全防御意識。
2. 物質條件保障
安排一定的資金用于預防或應對信息安全應急事件,提供必要的交通運輸保障,優化信息安全應急處理工作的物資保障條件。
3. 技術支撐保障
設立信息安全應急響應中心,建立預警與應急處理的技術平臺,進一步提高應急事件的發現和分析能力。從技術上逐步實現發現、預警、處置、通報等多個環節和不同的網絡、系統、部門之間應急處理的聯動機制。
1.8.4應急體系完善
以往的應急管理體系主要以經驗式、運動式的模式為主,難以適應日益嚴峻的信息安全形勢的發展。一個組織機構信息安全應急體系建設的關鍵是通過有計劃地開展科學完善的應急體系與機制建設,把原來以應急處置為重點的被動應急管理模式,逐步轉變為強調事前防災,以應急準備為核心的主動應急管理模式。通過建設科學完善的信息安全應急體系及機制,不斷提高對于應急能力,即“主動式”應急理念。
1. 應急預案體系
應急預案體系建設是一個組織應急工作的基礎,應按照“結構完整、層次清晰、上下統一、內外銜接、覆蓋全面”的要求,計劃開展應急預案體系建設,形成“橫向到邊、縱向到底、上下對應、內外銜接”的應急預案休系,預案內容實用、可操作性強,涵蓋自然災害、事故災難、社會安全等3類信息安全應急事件。
組織的應急預案體系由總體應急預案、專項應急預案和現場處置方案構成。其中,總體應急預案是應急預案體系的總綱,是組織機構應對各類應急事件的總體方案。專項應急預案是針對具體的信息安全應急事件、危險源和應急保障制定的方案;現場處置方案是針對特定的場所、設備設施、崗位,針對典型的信息安全應急事件,制定的處置流程和措施。
2. 應急培訓演練
為了更好地落實應急預案中的整體工作流程、各項工作內容,在信息安全突發事發生后能夠做到即刻響應、有序處理、立即恢復,需要通過定期培訓的方式提高人員的應急處置能力,將信息應急事件對業務系統帶來的損失降到最低,對此,可以成立應急培訓基地,編制應急培訓教材,定期組織開展信息安全應急理論講座和技能培訓。培訓內容可以包括應急管理人員的組織協調、資源調配、信息匯報等應急處置技能,企業應急搶險隊員、一般管理人員、生產人員的應急搶險意識和技能等。組織開展特定應急課題研究,結合信息系統安全運行事件進行分析,開展各種規模、形式的應急演練,構建適合并具有相應組織機構特點的應急支撐體系。
3. 應急隊伍能力
應急隊伍是應急體系建設的重要組成部分,是防范和應對信息安全應急事件的主要力量。為提升應急隊伍的綜合實力,依托現有的專業隊伍,整合各類專業的技術力量,組建并不斷完善各類信息應急事件應急響應隊伍,且配備專業設備和資源,并加強培訓和演練。
應急隊伍的人員構成和設備、資源配置要符合主輔專業搭配、內外協調并重、理論和技能兼備等適應各種信息安全應急事件狀態的應急要求。應急隊伍成員在履行崗位職責、參加本單位正常生產經營活動或運行維護工作的同時,應按照信息應急事件應急隊伍工作計劃安排,定期參加技能培訓、設備保養和預案演練等活動。應急事件發生后.由應急隊伍統一集中處置,直至應急處置結束,業務恢復正常。
加強專家隊伍管理,建立專家參與應急工作的長效機制。建設和完善應急專家信息庫,邀請內外部專業人員,形成專家資源共享機制,為組織機構信息安全應急事件應急響應工作提供決策建議、專業咨詢、理論指導和技術支持。
