首頁(yè) > 健康 >正文

《應(yīng)急響應(yīng)服務(wù)方案（上）》2023-11-10

2024-08-05 16:28:13 來(lái)源：- 作者：-

隨著網(wǎng)絡(luò)信息化建設(shè)的不斷深入，加強(qiáng)各類(lèi)設(shè)備、系統(tǒng)以及信息與網(wǎng)絡(luò)安全等方面應(yīng)對(duì)應(yīng)急事件的處理能力將是運(yùn)維項(xiàng)目面臨的一項(xiàng)重要任務(wù)。為確保系統(tǒng)及機(jī)房安全與穩(wěn)定，以保證正常運(yùn)行為宗旨，按照“預(yù)防為主，積極處置”的原則，本著建立一個(gè)有效處置應(yīng)急事件，建立統(tǒng)一指揮、職責(zé)明確運(yùn)轉(zhuǎn)有序、反應(yīng)迅速處置有力的安全體系的目標(biāo)，將正在發(fā)生或已發(fā)生事故的損害程度減輕到最低，確保系統(tǒng)和數(shù)據(jù)安全，特制定本應(yīng)急保障方案。

在應(yīng)急事件發(fā)生時(shí)，通過(guò)應(yīng)急事件處置與應(yīng)急響應(yīng)機(jī)制，保障計(jì)算機(jī)信息系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)，可歸納為3個(gè)方面：

2 緊急事件或安全發(fā)生時(shí)的影響分析；

2 應(yīng)急預(yù)案的詳細(xì)制訂；

2 應(yīng)急預(yù)案的演練與完善。

1.1 應(yīng)急響應(yīng)原則

實(shí)時(shí)原則

應(yīng)急響應(yīng)服務(wù)中心配備了7X24的人員值班機(jī)制，保證接受客戶(hù)在任意時(shí)間提出的服務(wù)請(qǐng)求。并在接到客戶(hù)的服務(wù)請(qǐng)求以后，在1個(gè)小時(shí)之內(nèi)給予響應(yīng)。

規(guī)范性原則

對(duì)于每一次應(yīng)急事件的發(fā)生都有嚴(yán)格的事件記錄，記錄事件處理的全部過(guò)程，對(duì)于現(xiàn)場(chǎng)處理事件由用戶(hù)簽署認(rèn)可建議。

最小性原則

事件處理過(guò)程中，將事件對(duì)整個(gè)系統(tǒng)的影響降低到最小，強(qiáng)化處理前的分析與備份工作。

保密性原則

對(duì)于所有事件的處理內(nèi)容、時(shí)間、地點(diǎn)，嚴(yán)格遵從保密原則，不向任何的第三方透漏。

1.2 應(yīng)急處理原則

為保證系統(tǒng)連續(xù)、穩(wěn)定、高效地運(yùn)行，最大限度地節(jié)省和保護(hù)用戶(hù)的投資，我方公司不僅提供完善技術(shù)支持和售后服務(wù)，還將充分考慮各種突發(fā)事件的應(yīng)急策略，根據(jù)教育系統(tǒng)的硬件配置、應(yīng)用需求、地理環(huán)境等因素, 提供系統(tǒng)的應(yīng)急方案，及時(shí)解決突發(fā)的設(shè)備故障問(wèn)題，確保系統(tǒng)安全高效的運(yùn)行。

1. 預(yù)防為主。立足安全防護(hù)，加強(qiáng)預(yù)警，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和信息系統(tǒng)安全、穩(wěn)定，從預(yù)防、監(jiān)控、應(yīng)急處理、應(yīng)急保障等環(huán)節(jié)，在管理、技術(shù)、人員等方面采取多種措施充分發(fā)揮各方面的作用，共同構(gòu)筑安全保障體系。故障預(yù)防，維護(hù)一個(gè)良性的系統(tǒng)關(guān)鍵在于維護(hù)和故障預(yù)防。所以，我們將協(xié)助用戶(hù)建立正常運(yùn)轉(zhuǎn)時(shí)的維護(hù)和異常檢測(cè)系統(tǒng)。

2. 快速反應(yīng)。應(yīng)急事件發(fā)生時(shí)，按照快速反應(yīng)機(jī)制，及時(shí)獲取充分而準(zhǔn)確的信息，跟蹤研判，果斷決策，迅速處置，最大程度地減少危害和影響。建立設(shè)備基線，在設(shè)備正常運(yùn)轉(zhuǎn)時(shí)，尤其是在設(shè)備安裝調(diào)試完成，系統(tǒng)試運(yùn)行結(jié)束時(shí)，經(jīng)過(guò) 不斷的調(diào)整，我們得到一個(gè)全面運(yùn)行良好的系統(tǒng)，應(yīng)當(dāng)認(rèn)真記錄此時(shí)的系統(tǒng)各項(xiàng) 運(yùn)行參數(shù)，存檔保留，這將是日后判斷系統(tǒng)是否正常運(yùn)轉(zhuǎn)的基準(zhǔn)線。異常事件，對(duì)于系統(tǒng)運(yùn)行過(guò)程中的異常現(xiàn)象應(yīng)當(dāng)認(rèn)真加以分析，在我方技術(shù)工程師的協(xié) 助下查明其原因。切不可忽略。日志審閱，定期檢查設(shè)備運(yùn)行日志，分析設(shè)備運(yùn)行狀態(tài)，作出設(shè)備運(yùn)行狀況表，及早發(fā) 現(xiàn)潛在的問(wèn)題并加以解決。

設(shè)備應(yīng)急

備件

對(duì)故障除了及時(shí)維修外，最便捷的解決辦法就是備品備件。當(dāng)故障發(fā)生時(shí)，可以從我們?cè)O(shè)立的一級(jí)備品/備件管理中心立即獲得有關(guān)維修件，在我們的工程師協(xié)助下迅速恢復(fù)系統(tǒng)。

備機(jī)

對(duì)于設(shè)備的硬件故障非常復(fù)雜的情況，我們?yōu)榱吮ＷC用戶(hù)網(wǎng)絡(luò)系統(tǒng)的盡快運(yùn) 行，我方針對(duì)本項(xiàng)目提供相應(yīng)備機(jī)。這樣，即使設(shè)備故障在短時(shí)間內(nèi)不能及時(shí)解決，我方可以及時(shí)啟用備機(jī)，確保用戶(hù)迅速得到無(wú)故障運(yùn)行的設(shè)備。

突發(fā)事件應(yīng)急

可能發(fā)生的突發(fā)事件分類(lèi)

根據(jù)定制化服務(wù)器系統(tǒng)突發(fā)事件的發(fā)生原因、性質(zhì)和機(jī)理，突發(fā)事件主要分為以下四類(lèi)：

故障類(lèi)事件：指定制化服務(wù)器軟硬件故障、配置丟失、人為誤操作等導(dǎo)致業(yè) 務(wù)中斷、系統(tǒng)宕機(jī)、癱瘓等情況。

攻擊類(lèi)事件：指定制化服務(wù)器系統(tǒng)感染計(jì)算機(jī)病毒、非法入侵導(dǎo)致業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等情況。

災(zāi)害類(lèi)事件：指因火災(zāi)、地震、臺(tái)風(fēng)等不可抗力因素導(dǎo)致機(jī)器損毀，造成業(yè) 務(wù)中斷、系統(tǒng)宕機(jī)、業(yè)務(wù)癱瘓等情況。

供貨實(shí)施應(yīng)急類(lèi)：指在項(xiàng)目設(shè)備供貨階段和實(shí)施階段過(guò)程中，由于某種原因造成了中斷情況。

應(yīng)急級(jí)別定義

我們項(xiàng)目服務(wù)支持小組根據(jù)用戶(hù)所突發(fā)的事件首先進(jìn)行業(yè)務(wù)故障分級(jí)，按照不同的應(yīng)急級(jí)別，提供不同的業(yè)務(wù)服務(wù)，我們項(xiàng)目服務(wù)支持小組的工程師，會(huì)根據(jù)不同的應(yīng)急故障等級(jí)，提供不同的 IT 解決方案，并且快速解決故障問(wèn)題。

我們根據(jù)系統(tǒng)故障的破壞程度，對(duì)系統(tǒng)應(yīng)急故障級(jí)別分為四級(jí)，通過(guò)四級(jí)級(jí) 別及時(shí)發(fā)布預(yù)警，過(guò)渡到應(yīng)急預(yù)案；通過(guò)應(yīng)急預(yù)案及時(shí)解決突發(fā)事件；防止系統(tǒng) 突發(fā)事件發(fā)生或擴(kuò)散，并及時(shí)向用戶(hù)匯報(bào)。并四級(jí)故障級(jí)別如下所述。

圖片1.png

維修及突發(fā)事件應(yīng)急方案

經(jīng)過(guò)多年的不斷總結(jié)和完善，我方擁有一套完整的系統(tǒng)故障應(yīng)急方案，通過(guò) 我方突發(fā)事件應(yīng)急方案并緊密協(xié)調(diào)廠商，項(xiàng)目系統(tǒng)可得到反應(yīng)迅速、精密準(zhǔn)確的解決方案服務(wù)。

圖片2.png

圖片3.png

圖片4.png

圖片5.png

應(yīng)急技術(shù)服務(wù)團(tuán)隊(duì)

人員組成

為應(yīng)付系統(tǒng)的各種突發(fā)故障，我方專(zhuān)家支持小組統(tǒng)一領(lǐng)導(dǎo)和調(diào)度我方公司的各級(jí)服務(wù)體系，進(jìn)行服務(wù)資源優(yōu)化，保證及時(shí)有效地投入解決各種突發(fā)故障；我方還安排了專(zhuān)家支持小組工程師作為應(yīng)急支持人員。

時(shí)間安排

對(duì)于突發(fā)事件的響應(yīng)不受工作日與非工作日的限制，我們將竭盡全力協(xié)調(diào)公司內(nèi)的資源，為用戶(hù)提供援助。

聯(lián)系方式

我們向用戶(hù)提交應(yīng)急工程師的工作檔案和聯(lián)系方式，并經(jīng)常更新此聯(lián)系表，以保持聯(lián)系人員的可用性。

3. 分級(jí)負(fù)責(zé)。按照“誰(shuí)主管，誰(shuí)負(fù)責(zé)”的原則，建立和完善安全責(zé)任制及聯(lián)動(dòng)工作機(jī)制。根據(jù)各負(fù)責(zé)人的職能，各司其職，加強(qiáng)各負(fù)責(zé)人的協(xié)調(diào)與配合，共同履行應(yīng)急處置工作的管理職責(zé)。

4. 以人為本。把保障人員以及客戶(hù)利益的安全作為首要任務(wù)。

5. 常備不懈。加強(qiáng)技術(shù)儲(chǔ)備，規(guī)范應(yīng)急處置措施與操作流程，定期進(jìn)行預(yù)案演練，確保應(yīng)急預(yù)案切實(shí)有效，實(shí)現(xiàn)網(wǎng)絡(luò)與信息安全突發(fā)公共事件應(yīng)急處置的科學(xué)化、程序化與規(guī)范化。

1.3 應(yīng)急響應(yīng)服務(wù)

應(yīng)急事件響應(yīng)，是當(dāng)應(yīng)急事件發(fā)生后迅速采取的措施和行為，其目的是以最快的速度恢復(fù)系統(tǒng)的保密性，完整性和可用性，降低應(yīng)急事件對(duì)業(yè)務(wù)系統(tǒng)造成的損失。

針對(duì)運(yùn)維服務(wù)項(xiàng)目，除有駐場(chǎng)工程師進(jìn)行日常巡檢和維護(hù)的工作外，還成立信息系統(tǒng)運(yùn)維4S組，提供應(yīng)急響應(yīng)服務(wù)。當(dāng)設(shè)備、軟件和基礎(chǔ)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，原則上由駐場(chǎng)運(yùn)維工程現(xiàn)場(chǎng)解決，如果現(xiàn)場(chǎng)服務(wù)工程無(wú)法解決，事件升級(jí)為后臺(tái)技術(shù)支持團(tuán)隊(duì)解決。保障在1小時(shí)內(nèi)做出明確響應(yīng)和安排，2小時(shí)內(nèi)提供診斷報(bào)告和故障解決方案。

同時(shí)，根據(jù)客戶(hù)的具體情況，制定和編寫(xiě)信息系統(tǒng)應(yīng)急預(yù)案，保障客戶(hù)信息系統(tǒng)的可靠，安全的運(yùn)行。

1.3.1 應(yīng)急事件的影響程度

通常在事件爆發(fā)的初期很難界定事件的起因具體是什么，所以，通常又通過(guò)安全威脅事件的影響程度分為單點(diǎn)損害、局部損害和整體損害3類(lèi)。

單點(diǎn)損害：只造成獨(dú)立個(gè)體的不可用，應(yīng)急事件影響程度弱。

局部損害：造成某一系統(tǒng)或一個(gè)局部網(wǎng)絡(luò)不可使用，應(yīng)急事件影響程度較強(qiáng)。

整體損害：造成整個(gè)網(wǎng)絡(luò)系統(tǒng)的不可使用，應(yīng)急事件影響程度強(qiáng)。

1.3.2 應(yīng)急事件的影響級(jí)別分類(lèi)

確定事件影響程度的級(jí)別。不同的威脅級(jí)別，處理方法也不相同。根據(jù)對(duì)業(yè)務(wù)系統(tǒng)的影響程度從大到小的順序?qū)?yīng)急事件劃分成4個(gè)等級(jí)。

第一級(jí)應(yīng)急事件 P1 引起重要業(yè)務(wù)系統(tǒng)或有重要影響的應(yīng)用系統(tǒng)宕機(jī)，系統(tǒng)重新引導(dǎo)后無(wú)法正常工作與恢復(fù)的事故，或造成安全泄密事件；

第二級(jí)應(yīng)急事件 P2 重復(fù)發(fā)生或重復(fù)再現(xiàn)的并產(chǎn)生較強(qiáng)影響作用，導(dǎo)致系統(tǒng)正常運(yùn)行的事故；

第三級(jí)應(yīng)急事件 P3 間歇產(chǎn)生、隨機(jī)產(chǎn)生的事故，但不影響系統(tǒng)的正常運(yùn)行；

第四級(jí)應(yīng)急事件 P4 一般性事件，與業(yè)務(wù)系統(tǒng)運(yùn)行或產(chǎn)品使用要關(guān)的問(wèn)題，不影響整個(gè)系統(tǒng)的正常運(yùn)行。

1.3.3 應(yīng)急事件的優(yōu)先級(jí)處理

（1） 事件處理要素

事件處理要素分為管理層面和技術(shù)層面；P1、P2級(jí)事件的啟動(dòng)和指揮由應(yīng)急總負(fù)責(zé)人負(fù)責(zé)；P3、P4級(jí)事件的啟動(dòng)應(yīng)急領(lǐng)導(dǎo)小組負(fù)責(zé)。事件動(dòng)態(tài)由應(yīng)急工作小組人員收集并及時(shí)反饋給應(yīng)急領(lǐng)導(dǎo)小組，應(yīng)急領(lǐng)導(dǎo)小組決定信息的共享、溝通、處置。信息系統(tǒng)事件發(fā)生后，事發(fā)部門(mén)立即啟動(dòng)相關(guān)應(yīng)急預(yù)案，實(shí)施處置并及時(shí)報(bào)送信息。

（2） 分級(jí)響應(yīng)

發(fā)生P1、P2級(jí)事件，由應(yīng)急工作小組初步判定事件級(jí)別后，將信息通知應(yīng)急領(lǐng)導(dǎo)小組并注意持續(xù)監(jiān)控事態(tài)、收集信息、做出應(yīng)急準(zhǔn)備；應(yīng)急領(lǐng)導(dǎo)小組響應(yīng)判斷為P1、P2級(jí)事件后，立即通知應(yīng)急總負(fù)責(zé)人，并由應(yīng)急總負(fù)責(zé)人啟動(dòng)應(yīng)急預(yù)案。

發(fā)生P3、P4級(jí)事件，由應(yīng)急工作小組初步判定事件級(jí)別后，將信息通知應(yīng)急領(lǐng)導(dǎo)小組并注意持續(xù)監(jiān)控事態(tài)、收集信息、做出應(yīng)急準(zhǔn)備；應(yīng)急領(lǐng)導(dǎo)小組響應(yīng)判斷為P3、P4級(jí)事件后，立即啟動(dòng)應(yīng)急預(yù)案。

應(yīng)急事件的級(jí)別應(yīng)置于動(dòng)態(tài)調(diào)整控制中。

（3） 指揮與協(xié)調(diào)

P1、P2級(jí)事件，由應(yīng)急工作小組收集信息，應(yīng)急領(lǐng)導(dǎo)小組做出預(yù)判，并迅速通知應(yīng)急總負(fù)責(zé)人，由應(yīng)急總負(fù)責(zé)人進(jìn)行指揮和決策。

P3、P4級(jí)事件，由應(yīng)急領(lǐng)導(dǎo)小組進(jìn)行指揮和決策，并及時(shí)將處理過(guò)程、報(bào)告等上報(bào)應(yīng)急總負(fù)責(zé)人。

（4） 信息共享和處理

P1、P2級(jí)事件，由應(yīng)急工作小組收集信息并提交給應(yīng)急領(lǐng)導(dǎo)小組和應(yīng)急總負(fù)責(zé)人，由應(yīng)急總負(fù)責(zé)人決定信息的分發(fā)、共享和處置。

P3、P4級(jí)事件，由應(yīng)急領(lǐng)導(dǎo)小組決定信息的分發(fā)、共享和處置，并上報(bào)應(yīng)急總負(fù)責(zé)人。

1.3.4 應(yīng)急事件響應(yīng)

當(dāng)客戶(hù)系統(tǒng)發(fā)生緊急事件時(shí)，對(duì)應(yīng)的處理方法原則是首先保護(hù)或恢復(fù)計(jì)算機(jī)、網(wǎng)絡(luò)服務(wù)等，使其恢復(fù)正常運(yùn)行，然后再對(duì)事件進(jìn)行追查．因此對(duì)于客戶(hù)緊急事件響應(yīng)服務(wù)主要包括準(zhǔn)備、識(shí)別事件（判定應(yīng)急事件類(lèi)型）、抑制（縮小事件的影響范圍）、解決問(wèn)題、恢復(fù)以及后續(xù)跟蹤。

準(zhǔn)備工作；

建立客戶(hù)事件檔案；

與客戶(hù)就故障級(jí)別進(jìn)行定義；

準(zhǔn)備應(yīng)急事件緊急響應(yīng)服務(wù)相關(guān)資源；

為一個(gè)應(yīng)急事件的處理取得管理方面支持；

組建事件處理隊(duì)伍；

提供易實(shí)現(xiàn)的初步報(bào)告；

制定一個(gè)緊急后備方案；

隨時(shí)與管理員保持聯(lián)系；

識(shí)別事件；

在指定時(shí)間內(nèi)指派安全服務(wù)小組去負(fù)責(zé)此事件；

事件抄送專(zhuān)家小組；

初步評(píng)估，確定事件原因；

保護(hù)可追查的線索，諸如立即對(duì)日志、數(shù)據(jù)進(jìn)行備份；

聯(lián)系客戶(hù)系統(tǒng)的相關(guān)服務(wù)商、廠商；

縮小事件的影響范圍；；

確定系統(tǒng)繼續(xù)運(yùn)行的風(fēng)險(xiǎn)，決定是否關(guān)閉系統(tǒng)及采取其他措施；

與客戶(hù)相關(guān)工作人員保持聯(lián)系、協(xié)商；

根據(jù)需求制訂相應(yīng)的應(yīng)急措施；

解決問(wèn)題；

事件的起因分析；

事后取證調(diào)查；

后門(mén)檢查；

漏洞分析；

提供解決方案；

結(jié)果提交專(zhuān)家小組審核；

后續(xù)工作；

檢查是不是所有的服務(wù)都已經(jīng)恢復(fù)；

其發(fā)生的原因是否已經(jīng)處理；

應(yīng)急響應(yīng)步驟是否需要修改；

生成緊急響應(yīng)報(bào)告；

擬定一份事件記錄和跟蹤報(bào)告；

事件合并、錄入信息知識(shí)庫(kù)。

1.4 應(yīng)急響應(yīng)保障措施

（1） 工具保障

我們建立了一套專(zhuān)門(mén)用于應(yīng)急響應(yīng)工具庫(kù)，保證提供應(yīng)急響應(yīng)服務(wù)的工程師一人一套工具；為防止光盤(pán)損壞和丟失，并將此工具庫(kù)進(jìn)行了多套備份；同時(shí)指定了專(zhuān)業(yè)技術(shù)人員進(jìn)行工具庫(kù)的管理與維護(hù)，包括工具的測(cè)試、版本升級(jí)與維護(hù)等。

（2） 技術(shù)和人員保障

公司擁有一支技術(shù)精湛、專(zhuān)業(yè)、穩(wěn)定的技術(shù)團(tuán)隊(duì)，多位在網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫(kù)、安全等多個(gè)領(lǐng)域具體豐富的實(shí)踐經(jīng)驗(yàn)的資深工程師。

公司指定技術(shù)專(zhuān)員整理技術(shù)經(jīng)驗(yàn)和心得并錄入知識(shí)信息數(shù)據(jù)庫(kù)，一方面供技術(shù)部定期組織培訓(xùn)會(huì)議使用（對(duì)典型案例進(jìn)行分析和學(xué)習(xí)），另一方面供TS客服中心查詢(xún)以電話遠(yuǎn)程技術(shù)指導(dǎo)。

公司建立了圖書(shū)室，圖書(shū)室內(nèi)目前擁有信息安全類(lèi)、計(jì)算機(jī)應(yīng)用類(lèi)、網(wǎng)絡(luò)管理類(lèi)、分級(jí)保護(hù)相關(guān)資料與規(guī)范、等級(jí)保護(hù)相關(guān)資料與規(guī)范等方面書(shū)籍，以方便技術(shù)人員借閱。

公司定期組織技術(shù)人員進(jìn)行專(zhuān)項(xiàng)技術(shù)培訓(xùn)學(xué)習(xí)，并以考試的方法檢查技術(shù)人員的掌握情況，有針對(duì)性的對(duì)技術(shù)人員進(jìn)行幫助和指導(dǎo)。

公司鼓勵(lì)員工報(bào)考知名廠商技術(shù)認(rèn)證，進(jìn)行更專(zhuān)業(yè)的技術(shù)學(xué)習(xí)，并在考試費(fèi)用上給予報(bào)銷(xiāo)。

（3） 交通保障

緊急事件，公司應(yīng)急車(chē)輛保障，可以保證在突發(fā)應(yīng)急事件時(shí)能做出快速響應(yīng)，第一時(shí)間趕到事件現(xiàn)場(chǎng)進(jìn)行處置。

（4） 財(cái)力保障

公司有專(zhuān)門(mén)的經(jīng)費(fèi)和審批流程，確保在應(yīng)急響應(yīng)處理過(guò)程中需要的款項(xiàng)能迅速到位，保障應(yīng)急事件的處理和故障恢復(fù)。

1.5 應(yīng)急響應(yīng)組織保障

1.5.1 組織機(jī)構(gòu)與職責(zé)

針對(duì)項(xiàng)目，我公司成立專(zhuān)門(mén)應(yīng)急處置小組，包含：應(yīng)急領(lǐng)導(dǎo)小組和應(yīng)急工作小組。

（1） 應(yīng)急領(lǐng)導(dǎo)小組

應(yīng)急領(lǐng)導(dǎo)小組是信息安全應(yīng)急響應(yīng)工作的組織領(lǐng)導(dǎo)機(jī)構(gòu)，組長(zhǎng)由組織最高管理層成員擔(dān)任。職責(zé)是統(tǒng)一領(lǐng)導(dǎo)信息系統(tǒng)的應(yīng)急事件的公司內(nèi)部應(yīng)急處理工作，發(fā)起研究重大應(yīng)急決策和部署，決定實(shí)施和終止應(yīng)急預(yù)案，領(lǐng)導(dǎo)和決策信息安全應(yīng)急響應(yīng)的重大事宜，主要職責(zé)如下：

（2） 應(yīng)急工作小組

應(yīng)急工作小組由運(yùn)維服務(wù)小組人員組成，主要職責(zé)包含：落實(shí)應(yīng)急領(lǐng)導(dǎo)小組布置的各項(xiàng)任務(wù)；組織制定應(yīng)急預(yù)案，并監(jiān)督執(zhí)行情況；掌握應(yīng)急事件處理情況，及時(shí)向應(yīng)急領(lǐng)導(dǎo)小組報(bào)告應(yīng)急過(guò)程中的重大問(wèn)題。具體職責(zé)如下：

編制應(yīng)急響應(yīng)計(jì)劃文檔；

應(yīng)急響應(yīng)的需求分析，確定應(yīng)急策略和等級(jí)以及策略的實(shí)現(xiàn)；

備份系統(tǒng)的運(yùn)行和維護(hù)，協(xié)助災(zāi)難恢復(fù)系統(tǒng)實(shí)施；

信息安全應(yīng)急事件發(fā)生時(shí)的損失控制和損害評(píng)估；

組織應(yīng)急響應(yīng)計(jì)劃的測(cè)試和演練。

1.5.2 組織的外部協(xié)作

依據(jù)信息應(yīng)急事件的影響程度，如需向其他第三方設(shè)備供應(yīng)商或軟件開(kāi)發(fā)商尋求支持時(shí)，將聯(lián)系第三方服務(wù)單位提供協(xié)作和技術(shù)支持。

1.6 應(yīng)急響應(yīng)流程

應(yīng)急響應(yīng)流程共包括6個(gè)階段，分別是準(zhǔn)備階段、檢測(cè)階段、抑制階段、根除階段、恢復(fù)階段、總結(jié)階段。應(yīng)急響應(yīng)流程如下圖所示，對(duì)于每個(gè)階段都有其應(yīng)完成的目標(biāo)、實(shí)施人員角色以及階段的結(jié)果輸出。

圖片6.png

1.6.1 準(zhǔn)備階段

目標(biāo)：在事件真正發(fā)生前為應(yīng)急響應(yīng)做好預(yù)備性的工作。

角色：組織人員，技術(shù)人員

內(nèi)容：根據(jù)不同角色準(zhǔn)備不同的內(nèi)容。

編出：準(zhǔn)備工具清單、事件初步報(bào)告表和實(shí)施人員工作清單。

1.6.2 組織人員準(zhǔn)備內(nèi)容

制訂工作方案和計(jì)劃；

提供人員和物質(zhì)保證；

審核并批準(zhǔn)經(jīng)費(fèi)預(yù)算、恢復(fù)策略、應(yīng)急響應(yīng)計(jì)劃；

批準(zhǔn)并監(jiān)督應(yīng)急響應(yīng)計(jì)劃的執(zhí)行；

指導(dǎo)應(yīng)急響應(yīng)實(shí)施小組的應(yīng)急處置工作；

啟動(dòng)定期評(píng)審、修訂應(yīng)急響應(yīng)計(jì)劃以及負(fù)責(zé)組織的外部協(xié)作。

1.6.3 技術(shù)人員準(zhǔn)備內(nèi)容

1. 服務(wù)需求界定

首先要對(duì)整個(gè)信息系統(tǒng)進(jìn)行評(píng)估，明確應(yīng)急需求，具體應(yīng)包含以下內(nèi)容：

了解各項(xiàng)業(yè)務(wù)功能及其之間的相關(guān)性，確定支持各種業(yè)務(wù)功能的相關(guān)信息系統(tǒng)資源及其他資源，明確相關(guān)信息的保密性、完整性和可用性要求；

對(duì)信息系統(tǒng)，包括應(yīng)用程序、服務(wù)器、網(wǎng)絡(luò)及任何管理和維護(hù)這些系統(tǒng)的流程進(jìn)行評(píng)估，確定系統(tǒng)所執(zhí)行的關(guān)鍵功能，并確定執(zhí)行這些關(guān)鍵功能所需要的特定系統(tǒng)資源；

采用定性或定量的方法，對(duì)業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等應(yīng)急事件造成的影響進(jìn)行評(píng)估；

協(xié)助客戶(hù)建立適當(dāng)?shù)膽?yīng)急響應(yīng)策略，提供在業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等應(yīng)急事件發(fā)生后快速有效的恢復(fù)信息系統(tǒng)運(yùn)行的方法；

為用戶(hù)提供相關(guān)的培訓(xùn)服務(wù)，以提高用戶(hù)的安全意識(shí)，便于相關(guān)責(zé)任人明確自己的角色和責(zé)任。了解常見(jiàn)的應(yīng)急事件和入侵行為，熟悉應(yīng)急響應(yīng)策略。

2. 主機(jī)和網(wǎng)絡(luò)設(shè)備安全初始化快照和備份

在系統(tǒng)安全策略配置完成后，要對(duì)系統(tǒng)優(yōu)生次初始安全狀態(tài)快照。這樣，如果以后出現(xiàn)事故后對(duì)該服務(wù)器做安全檢測(cè)時(shí)，通過(guò)將初始化快照做的結(jié)果與檢測(cè)階段做的快照進(jìn)行比較，就能夠發(fā)現(xiàn)系統(tǒng)的改動(dòng)或異常。

對(duì)主機(jī)系統(tǒng)做一個(gè)標(biāo)準(zhǔn)的安全初始化的狀態(tài)快照，包括的主要內(nèi)容有：

日志及審核策略快照；

用戶(hù)賬戶(hù)快照；

進(jìn)程快照；

服務(wù)快照；

自啟動(dòng)快照；

關(guān)鍵文件簽名快照；

開(kāi)放端口快照；

系統(tǒng)資源利用率的快照；

注冊(cè)表快照；

計(jì)劃任務(wù)快照等；

對(duì)網(wǎng)絡(luò)設(shè)備做一個(gè)標(biāo)準(zhǔn)的安全初始化的狀態(tài)，包括的主要內(nèi)容有：

路由器快照；

安全設(shè)備快照；

用戶(hù)快照；

系統(tǒng)資源利用率等快照。

信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)及辦公數(shù)據(jù)均十分重要，因此需要進(jìn)行數(shù)據(jù)存儲(chǔ)及備份。目前，存儲(chǔ)備份結(jié)構(gòu)主要有DAS、SAN和NAS，以及通過(guò)磁帶或光盤(pán)對(duì)數(shù)據(jù)進(jìn)行備份。可根據(jù)不同的特點(diǎn)選擇不同的存儲(chǔ)產(chǎn)品構(gòu)建自己的數(shù)據(jù)存儲(chǔ)備份系統(tǒng)。

3. 工具包的準(zhǔn)備

根據(jù)用戶(hù)的需求準(zhǔn)備處置網(wǎng)絡(luò)應(yīng)急事件的工具包，包括常用的系統(tǒng)基本命令、其他軟件工具等；

工具包中的工具采用綠色免安裝的，保存在安全的移動(dòng)介質(zhì)上，如一次性可寫(xiě)光盤(pán)、加密的U盤(pán)等；

工具包應(yīng)定期更新、補(bǔ)充。

4. 必要技術(shù)的準(zhǔn)備

上述是針對(duì)應(yīng)急響應(yīng)的處理涉及的安全技術(shù)工具涵蓋應(yīng)急響應(yīng)的事件取樣、事件分析、事件隔離、系統(tǒng)恢復(fù)和攻擊迫蹤等各個(gè)方面，構(gòu)成了網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的技術(shù)基礎(chǔ)。所以應(yīng)急響應(yīng)服務(wù)實(shí)施成員還應(yīng)該掌握一些必要的技術(shù)手段和規(guī)范，具體包括以下內(nèi)容。

系統(tǒng)檢測(cè)技術(shù)，包括以下檢測(cè)技術(shù)規(guī)范：

Windows系統(tǒng)檢測(cè)技術(shù)規(guī)范；

UNIX系統(tǒng)檢測(cè)技術(shù)規(guī)范；

網(wǎng)絡(luò)安全牢固檢測(cè)技術(shù)規(guī)范；

數(shù)據(jù)庫(kù)系統(tǒng)檢測(cè)技術(shù)規(guī)范；

常見(jiàn)的應(yīng)用系統(tǒng)檢測(cè)技術(shù)規(guī)范。

攻擊檢測(cè)技術(shù)．包括以下技術(shù)

異常行為分析技術(shù)；

入侵檢測(cè)技術(shù)；

安全風(fēng)險(xiǎn)評(píng)估技術(shù)；

攻擊追蹤技術(shù)。

現(xiàn)場(chǎng)取樣技術(shù)。