導(dǎo)航：安全管理網(wǎng)>> 培訓(xùn)課件>> 應(yīng)急預(yù)案|急救>>正文

信息安全應(yīng)急響應(yīng)體系建設(shè)

		點擊數(shù)：	更新時間： 2021年07月21日
下載地址：點擊這里	文件大?。?2.91 MB 共84頁	文檔格式： PPT	下載點數(shù)： 21 點（VIP免費）

全屏查看

部分內(nèi)容預(yù)覽 [文件共84頁]

本文件共84頁，只能預(yù)覽部分內(nèi)容，查看全部內(nèi)容需要下載。

注：預(yù)覽效果可能會出現(xiàn)部分文字亂碼（如口口口）、內(nèi)容顯示不全等問題，下載是正常的。

	文件大?。?.91 MB 共84頁文件格式：PPT 下載點數(shù)：21 點（VIP會員免費）

下一篇：固體儲運冬季三防應(yīng)急預(yù)案

上一篇：重點環(huán)節(jié)應(yīng)急管理及應(yīng)急預(yù)案

文本預(yù)覽

僅提取頁面文字內(nèi)容，供快速閱讀使用。

課程要點
什么是應(yīng)急響應(yīng)和應(yīng)急響應(yīng)體系
應(yīng)急響應(yīng)的六大階段
應(yīng)急預(yù)案的編制和管理
應(yīng)急響應(yīng)體系建立流程
典型應(yīng)急響應(yīng)體系建設(shè)案例

基本概念
安全事件（Security Accident）
  而安全事件則是指影響一個系統(tǒng)正常工作的情況。這里的系統(tǒng)包括主機范疇內(nèi)的問題，也包括網(wǎng)絡(luò)范疇內(nèi)的問題，例如黑客入侵、信息竊取、拒絕服務(wù)攻擊、網(wǎng)絡(luò)流量異常等。
應(yīng)急響應(yīng)（Emergency Response）
是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。

基本概念
3
應(yīng)急響應(yīng)體系（Emergency Response System）
      是指在突發(fā)/重大信息安全事件后對包括計算機運行在內(nèi)的業(yè)務(wù)運行進行維持或恢復(fù)的各種技術(shù)和管理策略和規(guī)程。
   信息安全應(yīng)急響應(yīng)體系的制定是一個周而復(fù)始、持續(xù)改進的過程，包含以下幾個階段：
（1）應(yīng)急響應(yīng)需求分析和應(yīng)急響應(yīng)策略的確定；
（2）編制應(yīng)急響應(yīng)計劃文檔；
（3）應(yīng)急響應(yīng)計劃的測試、培訓(xùn)、演練和維護。
應(yīng)急響應(yīng)目的
應(yīng)急響應(yīng)服務(wù)的目的是盡可能地減小和控制住網(wǎng)絡(luò)安全事件的損失，提供有效的響應(yīng)和恢復(fù)指導(dǎo)，并努力防止安全事件的發(fā)生。
應(yīng)急響應(yīng)與應(yīng)急響應(yīng)體系的關(guān)系
5
政策要求
6
《關(guān)于加強信息安全保障工作的意見》（中辦發(fā)『2003』27號文）指出：“信息安全保障工作的要點在于，實行信息安全等級保護制度，建設(shè)基于密碼技術(shù)的網(wǎng)絡(luò)信任體系，建設(shè)信息安全監(jiān)控體系，重視信息安全應(yīng)急處理工作，推動信息安全技術(shù)研發(fā)與產(chǎn)業(yè)發(fā)展，建設(shè)信息安全法制與標(biāo)準(zhǔn)”
國家信息安全戰(zhàn)略的近期目標(biāo)：通過五年的努力，基本建成國家信息安全保障體系。

政策要求
7
為了落實27號文精神國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室于2003年10月發(fā)布了《網(wǎng)絡(luò)與信息安全信息通報暫行辦法》、2004年9月發(fā)布了
《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》，2004年8月發(fā)布了《關(guān)于建立健全基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)應(yīng)急協(xié)調(diào)機制的意見》等文件。這些文件對推動災(zāi)難備份和應(yīng)急響應(yīng)的發(fā)展起到了重要作用。

相關(guān)標(biāo)準(zhǔn)
8
?GB/T 24364-2009?《信息安全技術(shù)?信息安全應(yīng)急響應(yīng)計劃規(guī)范》
GB/T 20988-2007 《信息安全技術(shù) 信息系統(tǒng)應(yīng)急響應(yīng)規(guī)范》
GB/Z 20985-2007 《信息技術(shù) 安全技術(shù) 信息安全事件管理指南》 
GB/Z 20986-2007 《信息安全技術(shù) 信息安全事件分類分級指南》

應(yīng)急響應(yīng)六階段
9
第一階段：準(zhǔn)備——讓我們嚴(yán)陣以待
第二階段：確認(rèn)——對情況綜合判斷
第三階段：遏制——制止事態(tài)的擴大
第四階段：根除——徹底的補救措施
第五階段：恢復(fù)——系統(tǒng)恢復(fù)常態(tài)
第六階段：跟蹤——還會有第二次嗎
第一階段—準(zhǔn)備
10
預(yù)防為主
微觀（一般觀點）：
幫助服務(wù)對象建立安全政策
幫助服務(wù)對象按照安全政策配置安全設(shè)備和軟件
掃描，風(fēng)險分析，打補丁
如有條件且得到許可，建立監(jiān)控設(shè)施
宏觀：
建立協(xié)作體系和應(yīng)急制度
建立信息溝通渠道和通報機制
如有條件，建立數(shù)據(jù)匯總分析的體系和能力
有關(guān)法律法規(guī)的制定
第一階段—準(zhǔn)備
11
制定應(yīng)急響應(yīng)計劃
資源準(zhǔn)備
應(yīng)急經(jīng)費籌集
人力資源
軟硬件設(shè)備
現(xiàn)場備份
業(yè)務(wù)連續(xù)性保障
系統(tǒng)容災(zāi)
搭建臨時業(yè)務(wù)系統(tǒng)
人力資源準(zhǔn)備
? 指揮調(diào)度人員
? 協(xié)作人員
? 技術(shù)人員
? 專家
? 設(shè)備、系統(tǒng)和服務(wù)提供商
軟硬件設(shè)備準(zhǔn)備
? 硬件設(shè)備準(zhǔn)備
數(shù)據(jù)保護設(shè)備
磁盤、磁帶、光盤
SAN
冗余設(shè)備
? 網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備
? 關(guān)鍵計算機設(shè)備
 Any else?
軟硬件設(shè)備準(zhǔn)備
? 軟件工具準(zhǔn)備
備份軟件
日志處理軟件
系統(tǒng)軟件
網(wǎng)絡(luò)軟件
應(yīng)急啟動盤
Any else?
病毒/ 惡意軟件查殺軟件
建立事件報告的機制和要求
建立事件報告流
程和規(guī)范
第二階段—確認(rèn)
16
確定事件性質(zhì)和處理人
微觀（負(fù)責(zé)具體網(wǎng)絡(luò)的CERT）：
確定事件的責(zé)任人
指定一個責(zé)任人全權(quán)處理此事件
給予必要的資源
確定事件的性質(zhì)
誤會？玩笑？還是惡意的攻擊/入侵？
影響的嚴(yán)重程度
預(yù)計采用什么樣的專用資源來修復(fù)？
宏觀（負(fù)責(zé)總體網(wǎng)絡(luò)的CERT）：
通過匯總，確定是否發(fā)生了全網(wǎng)的大規(guī)模事件
確定應(yīng)急等級，以決定啟動哪一級應(yīng)急方案
快速分析——事故的標(biāo)志
? 事故的標(biāo)志分為兩類：
征兆和預(yù)兆
? Web服務(wù)器崩潰
? 用戶抱怨主機連接網(wǎng)絡(luò)速度過慢
? 子郵件管理員可以看到大批的反彈電子郵件與可疑內(nèi)容
? 網(wǎng)絡(luò)管理員通告了一個不尋常的偏離典型的網(wǎng)絡(luò)流量流向
? 來源
網(wǎng)絡(luò)和主機IDS  、防病毒軟件、文件完整性檢查軟件
系統(tǒng)、網(wǎng)絡(luò)、蜜罐日志
公開可利用的信息
第三方監(jiān)視服務(wù)
確認(rèn)事故（1）
? 確認(rèn)網(wǎng)絡(luò)和系統(tǒng)輪廓：
分析事故的最好技術(shù)方法之一
? 理解正常的行為
基于處理事故的良好準(zhǔn)備
? 使用集中的日志管理并創(chuàng)建日志保留策略
? 執(zhí)行事件關(guān)聯(lián)
? 保持所有主機時鐘同步
確認(rèn)事故（2）
? 維護和使用信息知識庫
分析事故時的快速參考
? 使用互聯(lián)網(wǎng)搜索引擎進行研究
? 運行包嗅探器以搜集更多的數(shù)據(jù)
? 過濾數(shù)據(jù)
? 經(jīng)驗是不可替代的
? 建立診斷矩陣
? 尋求幫助
診斷矩陣實例
征兆	拒絕服務(wù)	惡意代碼	非授權(quán)訪問	不正確使用
文件，關(guān)鍵，訪問嘗試	低	中	高	低
文件，不適當(dāng)?shù)膬?nèi)容	低	中	低	高
主機崩潰	中	中	中	低
端口掃描，輸入的，不正常的	高	低	中	低
端口掃描，輸出的，不正常的	低	高	中	低
利用帶寬高	高	中	低	中
利用電子郵件	中	高	中	中
事故優(yōu)先級——服務(wù)水平協(xié)議
? 服務(wù)水平協(xié)議（SLA ）
定義服務(wù)目標(biāo)及雙方的預(yù)期及責(zé)任
? 服務(wù)水平協(xié)議指標(biāo)
應(yīng)急響應(yīng)服務(wù)的指標(biāo)
? 遠(yuǎn)程應(yīng)急響應(yīng)服務(wù)
在確認(rèn)客戶的應(yīng)急響應(yīng)請求后? 小時內(nèi)，交與相關(guān)應(yīng)急響應(yīng)人員進行處理。無論是否解決，進行處理的當(dāng)天必須返回響應(yīng)情況的簡報，直到此次響應(yīng)服務(wù)結(jié)束。
? 本地應(yīng)急響應(yīng)服務(wù)
對本地范圍內(nèi)的客戶，？小時內(nèi)到達(dá)現(xiàn)場；對異地的客戶，？小時加路途時間內(nèi)到達(dá)現(xiàn)場。
應(yīng)急響應(yīng)SLA 矩陣
	事故當(dāng)前或?qū)砜赡苡绊懙馁Y源的重要性	事故當(dāng)前或?qū)砜赡苡绊懙馁Y源的重要性	事故當(dāng)前或?qū)砜赡苡绊懙馁Y源的重要性
事故當(dāng)前或?qū)砜?
能的影響	高（例如：互聯(lián)網(wǎng)
連接，公共Web服
務(wù)器，防火墻，客
戶數(shù)據(jù)）	中（例如：系統(tǒng)管理
員工作站，文件和打
印服務(wù)器，XYZ 應(yīng)用
數(shù)據(jù)）	低（例如：用戶工作
站）
Root級訪問	15分鐘	30分鐘	1 小時
非授權(quán)的數(shù)據(jù)修改	15分鐘	30分鐘	2 小時
對敏感信息的非授權(quán)訪問	15分鐘	1 小時	1 小時
非授權(quán)的用戶級訪問	30分鐘	2 小時	4小時
服務(wù)不可用	30分鐘	2 小時	4小時
騷擾	30分鐘	不限	不限
第三階段—遏制
24
即時采取的行動
微觀：
防止進一步的損失，確定后果
初步分析，重點是確定適當(dāng)?shù)姆怄i方法
咨詢安全政策
確定進一步操作的風(fēng)險
損失最小化（最快最簡單的方式恢復(fù)系統(tǒng)的基本功能，例如備機啟動）
可列出若干選項，講明各自的風(fēng)險，由服務(wù)對象選擇
宏觀：
確保封鎖方法對各網(wǎng)業(yè)務(wù)影響最小
通過協(xié)調(diào)爭取各網(wǎng)一致行動，實施隔離
匯總數(shù)據(jù)，估算損失和隔離效果
建立遏制策略
建議組織機構(gòu)為幾類主要的事故建立單獨的遏制策略，其標(biāo)準(zhǔn)包括：
潛在的破壞和資源的竊取
證據(jù)保留的需要
服務(wù)可用性（例如：網(wǎng)絡(luò)連接，提供給外部當(dāng)事方的服務(wù)）
實施戰(zhàn)略需要的時間和資源
戰(zhàn)略的有效性（例如：部分遏制事故，完全遏制事故）
解決方案的期限（例如：緊急事故工作區(qū)需在4 小時內(nèi)清除，臨時工作區(qū)需在兩周內(nèi)清除，永久的解決方案）。
例：基于DDOS 攻擊的遏制策略
1. 基于攻擊特征實施過濾。
2. 糾正正在被攻擊的漏洞或弱點
3. 讓ISP 實施過濾
4. 重定位目標(biāo)
5. 攻擊攻擊者
6. 設(shè)定證據(jù)保留時間
第四階段—根除
27
長期的補救措施
微觀：
詳細(xì)分析，確定原因，定義征兆
分析漏洞
加強防范
消除原因
修改安全政策
宏觀：
加強宣傳，公布危害性和解決辦法，呼吁用戶解決終端的問題；
加強檢測工作，發(fā)現(xiàn)和清理行業(yè)與重點部門的問題；
第五階段—恢復(fù)
28
微觀：
被攻擊的系統(tǒng)恢復(fù)正常的工作狀態(tài)
作一個新的備份
把所有安全上的變更作備份
服務(wù)重新上線
持續(xù)監(jiān)控
宏觀：
持續(xù)匯總分析，了解各網(wǎng)的運行情況
根據(jù)各網(wǎng)的運行情況判斷隔離措施的有效性
通過匯總分析的結(jié)果判斷仍然受影響的終端的規(guī)模
發(fā)現(xiàn)重要用戶及時通報解決
適當(dāng)?shù)臅r候解除封鎖措施

第六階段—跟蹤
29
關(guān)注系統(tǒng)恢復(fù)以后的安全狀況，特別是曾經(jīng)出問題的地方
建立跟蹤文檔，規(guī)范記錄跟蹤結(jié)果
對響應(yīng)效果給出評估
對進入司法程序的事件，進行進一步的調(diào)查，打擊違法犯罪活動

事件的歸檔與統(tǒng)計
30
處理人
時間和時段
地點
工作量
事件的類型
對事件的處置情況
代價
細(xì)節(jié)
應(yīng)急響應(yīng)預(yù)案的制定
應(yīng)急響應(yīng)預(yù)案的包括的主要內(nèi)容
確定風(fēng)險場景
描述可能受到的業(yè)務(wù)影響
描述使用的預(yù)防性策略
描述應(yīng)急響應(yīng)策略
識別和排列關(guān)鍵應(yīng)用系統(tǒng)
行動計劃
團隊和人員的職責(zé)
聯(lián)絡(luò)清單
所需資源配置

31
應(yīng)急響應(yīng)預(yù)案的制定
制定應(yīng)急響應(yīng)預(yù)案的原則
首先，必須集中管理應(yīng)急響應(yīng)預(yù)案的版本和發(fā)布。 
其次，為了建立有效的版本控制體系，必須建立規(guī)范的應(yīng)急響應(yīng)預(yù)案的問題提交、解決、更新、跟蹤、發(fā)布的渠道和流程。 
第三，建立相關(guān)的保密管理規(guī)定，保證應(yīng)急響應(yīng)預(yù)案中涉及的秘密信息得到保護。 
第四，應(yīng)急響應(yīng)預(yù)案在內(nèi)容管理方面應(yīng)注意內(nèi)容的分布和粒度，可根據(jù)版本和內(nèi)容的更新頻度將應(yīng)急響應(yīng)的內(nèi)容進行適當(dāng)?shù)姆植肌?
第五，建立合理的應(yīng)急響應(yīng)預(yù)案的保管制度，強調(diào)存放的安全性和易取得性。 
32
應(yīng)急響應(yīng)預(yù)案的制定
清楚、簡潔
高級管理層支持/組織承諾
不斷改進和更新的恢復(fù)策略
及時的更新維護
組織職責(zé)分工明確
保留、備份和異地存儲計劃
完整記錄并定期演練
風(fēng)險得到管理
弱點得到優(yōu)先重視
靈活、可適應(yīng)

成功預(yù)案的特點
33
應(yīng)急響應(yīng)預(yù)案的教育、培訓(xùn)和演練
在災(zāi)難來臨前使相關(guān)人員了解熟悉恢復(fù)流程
使應(yīng)急響應(yīng)預(yù)案得到理解并可以使用
促進應(yīng)急響應(yīng)預(yù)案活動、更新、實用
展示恢復(fù)的能力
達(dá)到法律和內(nèi)部審計要求

34
演練與演習(xí)的類型
演練和演習(xí)的主要方式有：
桌面演練；
模擬演練；
實戰(zhàn)演練等
根據(jù)演練和演習(xí)的深度，可分為：
系統(tǒng)級演練；
應(yīng)用級演練；
業(yè)務(wù)級演練等
根據(jù)演練和演習(xí)的準(zhǔn)備情況，可分為：
計劃內(nèi)的演練和演習(xí)；
計劃外的演練和演習(xí)等

35
參見應(yīng)急演練腳本
預(yù)案維護管理
核對預(yù)案的功能性
驗證預(yù)案文檔的精確性和完整性
分發(fā)更新的文檔
文檔計劃分發(fā)和發(fā)布流程
確保相關(guān)的團隊收到更新的文檔
依靠維護來改變管理流程
提供培訓(xùn)作為持續(xù)維護預(yù)案的一部分
為與應(yīng)急響應(yīng)的相關(guān)人員開展定期培訓(xùn)，如：復(fù)習(xí)進修課程或災(zāi)難備份研討會
指派培訓(xùn)責(zé)任，如：部門經(jīng)理要確保員工被送去參加培訓(xùn)
完成時報告預(yù)案維護情況
毀掉舊應(yīng)急響應(yīng)預(yù)案的復(fù)印件或電子版本。

36
預(yù)案變更管理
業(yè)務(wù)操作的增長或變化
如：新的分支、產(chǎn)品和業(yè)務(wù)功能的增加
 公司所有權(quán)的變化
關(guān)鍵人員的變化
硬件配置的變化
使用新操作系統(tǒng)
預(yù)案審核和演練后
軟件/應(yīng)用軟件的變化
新的法律或?qū)徲嬕?
定期審核和更新——如：每年兩次

37
應(yīng)急預(yù)案變更記錄
變化記錄	變化記錄	變化記錄	變化記錄
頁碼	變化備注	變化日期	簽名
			
			
			
			
			
應(yīng)急響應(yīng)體系建設(shè)流程
參見XXX應(yīng)急體系_項目計劃_080821_C1
信息安全應(yīng)急響應(yīng)計劃編制方法
40
總則
角色及職責(zé)
預(yù)防和預(yù)警機制
應(yīng)急響應(yīng)流程
應(yīng)急響應(yīng)保障措施
附件
總則
41
編制目的
編制依據(jù)
適應(yīng)范圍
工作原則
角色及職責(zé)
42
應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組
應(yīng)急響應(yīng)技術(shù)保障小組
應(yīng)急響應(yīng)專家小組
應(yīng)急響應(yīng)實施小組
應(yīng)急響應(yīng)日常運行小組
預(yù)防和預(yù)警機制
43
應(yīng)急響應(yīng)流程
44
事件通告
（1）信息通報
信息通報分為組織內(nèi)信息通報和組織外信息通報兩部分。組織內(nèi)信息通報的目的是在信息安全事件發(fā)生后迅速通知應(yīng)急響應(yīng)日常運行小組，并根據(jù)評估結(jié)果迅速通知所有相關(guān)人員，從而快速有序的實施應(yīng)急響應(yīng)計劃。組織外信息通報目的是將相關(guān)信息及時通報給受到負(fù)面影響的外部機構(gòu)、互聯(lián)的單位系統(tǒng)以及重要用戶，同時根據(jù)應(yīng)急響應(yīng)的需要，應(yīng)將相關(guān)信息準(zhǔn)確通報給相關(guān)設(shè)備設(shè)施及服務(wù)提供商（包括電信、電力等）等外部組織，以獲得適當(dāng)?shù)膽?yīng)急響應(yīng)支持。值得注意的是對外信息通報應(yīng)符合組織的對外信息發(fā)布策略。
（2）信息上報
信息安全事件發(fā)生后，應(yīng)按照相關(guān)規(guī)定和要求，及時將情況上報相關(guān)主管或監(jiān)管單位/部門。
（3）信息披露
信息發(fā)布的目的是避免信息安全事件影響被誤傳，同時規(guī)范組織內(nèi)人員信息披露，保證信息的一致性。因此，信息安全事件發(fā)生后，應(yīng)根據(jù)信息安全事件的嚴(yán)重程度，指定特定的小組及時向新聞媒體發(fā)布相關(guān)信息，并且指定的小組應(yīng)嚴(yán)格按照組織相關(guān)規(guī)定和要求對外發(fā)布信息，同時組織內(nèi)其它部門或者個人不得隨意接受新聞媒體采訪或?qū)ν獍l(fā)表自己的看法。

應(yīng)急響應(yīng)流程—呼叫樹
46
呼叫樹
小組名稱	姓名	在小組中的職位	聯(lián)絡(luò)信息	聯(lián)絡(luò)信息	聯(lián)絡(luò)信息	聯(lián)絡(luò)信息	聯(lián)絡(luò)信息
小組名稱	姓名	在小組中的職位	工作電話	家庭電話	手機	電子郵件	家庭地址
							
							
							
							
							
							
信息上報
重大信息安全事件報告表	重大信息安全事件報告表
報告時間： 年  月  日  時  分	報告時間： 年  月  日  時  分
單位名稱：	報告人：
聯(lián)系電話：	通訊地址：
傳真：	電子郵件：
發(fā)生重大信息安全事件的信息系統(tǒng)名稱及用途：	發(fā)生重大信息安全事件的信息系統(tǒng)名稱及用途：
負(fù)責(zé)部門：	負(fù)責(zé)人：
重大信息安全事件的簡要描述（如以前出現(xiàn)過類似情況也應(yīng)加以說明）：	重大信息安全事件的簡要描述（如以前出現(xiàn)過類似情況也應(yīng)加以說明）：
初步判定的事故原因：	初步判定的事故原因：
當(dāng)前采取的措施：	當(dāng)前采取的措施：
本次重大信息安全事件的初步影響狀況：	本次重大信息安全事件的初步影響狀況：
事件后果：	事件后果：
影響范圍：	嚴(yán)重程度：
值班電話：	傳真：
事件分類與定級
要確定信息安全事件后如何實施應(yīng)急響應(yīng)計劃，對系統(tǒng)損害性質(zhì)和程度的評估是非常重要的。這個損害評估應(yīng)該在能夠確保人員安全這個最優(yōu)先任務(wù)的前提下盡快完成。所以，如果可能，應(yīng)急響應(yīng)日常運行小組是第一個得到事件通知的小組。損害評估規(guī)程對于不同的系統(tǒng)是不同的，但是應(yīng)該涉及到以下領(lǐng)域：
（1）造成緊急情況或中斷的原因；
（2）潛在的附加中斷或損失；
（3）受到緊急情況影響的區(qū)域；
（4）物理構(gòu)架（如計算機室結(jié)構(gòu)的完整性、電源、電信以及制熱、通風(fēng)和空調(diào)的情況）的狀況；
（5）系統(tǒng)設(shè)備的總量和功能狀態(tài)（如具備完整功能、具備部分功能或喪失功能）；
（6）系統(tǒng)設(shè)備及其存貨的損失類型（如水害、水災(zāi)或熱能、物理以及電涌影響）；
（7）被更換的項目（如硬件、軟件、固件或支持材料）；
（8）估計恢復(fù)正常服務(wù)所需的時間。

我國信息安全事件分類方法
50
GB/Z 20986-2007《信息安全事件分級分類指南》
有害程序事件MI
網(wǎng)絡(luò)攻擊事件NAI
信息破壞事件IDI
信息內(nèi)容安全事件ICSI
設(shè)備設(shè)施故障FF
災(zāi)害性事件DI
其他信息安全事件OI
我國信息安全事件分級方法
51
分級要素
我國信息安全事件分級方法
52
特別重大事件
(I級）
重  大
事  件
(II級）
較  大
事  件
(III級）
一  般
事  件
(IV級）
應(yīng)急啟動
（1）啟動原則——快速、有序；
（2）啟動依據(jù)——一般而言，對于導(dǎo)致業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓等突發(fā)/重大信息安全事件應(yīng)立即啟動應(yīng)急。但由于組織規(guī)模、構(gòu)成、性質(zhì)等的不同，不同組織對突發(fā)/重大信息安全事件的定義可能不一樣，因此，各組織的應(yīng)急啟動條件可能各不相同。啟動條件可以基于以下方面考慮：人員的安全和/或設(shè)施損失的程度；系統(tǒng)損失的程度（如物理的、運作的或成本的）；系統(tǒng)對于組織使命的影響程度（如保護資產(chǎn)的關(guān)鍵基礎(chǔ)設(shè)施）；預(yù)期的中斷持續(xù)時間等。只有當(dāng)損害評估的結(jié)果顯示一個或多個系統(tǒng)啟動條件被滿足時，應(yīng)急響應(yīng)計劃才應(yīng)被啟動。
（3）啟動方法——由應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組發(fā)布應(yīng)急響應(yīng)啟動令。
應(yīng)急處置
（1）恢復(fù)順序
當(dāng)恢復(fù)復(fù)雜系統(tǒng)時，恢復(fù)進程應(yīng)該反映出BIA中確定的系統(tǒng)優(yōu)先順序?；謴?fù)的順序應(yīng)該反映出系統(tǒng)允許的中斷時間，以避免對相關(guān)系統(tǒng)及其應(yīng)用的重大影響。
（2）恢復(fù)規(guī)程
為了進行恢復(fù)操作，應(yīng)急響應(yīng)計劃應(yīng)提供恢復(fù)業(yè)務(wù)能力的詳細(xì)規(guī)程。規(guī)程應(yīng)被設(shè)定給適當(dāng)?shù)幕謴?fù)小組并且通常涉及到以下行動： 
1）獲得訪問受損設(shè)施和／或地理區(qū)域的授權(quán)； 
2）通知相關(guān)系統(tǒng)的內(nèi)部和外部業(yè)務(wù)伙伴； 
3）獲得所需的辦公用品和工作空間； 
4）獲得安裝所需的硬件部件； 
5）獲得裝載備份介質(zhì)； 
6）恢復(fù)關(guān)鍵操作系統(tǒng)和應(yīng)用軟件； 
7）恢復(fù)系統(tǒng)數(shù)據(jù)； 
8）成功運行備用設(shè)備。

例：局域網(wǎng)（LAN）恢復(fù)小組檢查列表
LAN恢復(fù)小組：
這些規(guī)程用于從備份磁帶中恢復(fù)一個文件。LAN恢復(fù)小組負(fù)責(zé)繼續(xù)進行生產(chǎn)活動所需的所有關(guān)鍵文件的重新裝載。
確定將要進行恢復(fù)的文件及其日期                     時間：  ：  
使用磁帶記錄本確定磁帶編號                         時間：  ：  
如果磁帶不在磁帶庫中，則要求恢復(fù)設(shè)施提供磁帶；填寫適當(dāng)?shù)氖跈?quán)簽名
                                                       時間：  ：  
收到磁帶時，將日期和時間填入日志                   時間：  ：  
將磁帶放入驅(qū)動器中并開始恢復(fù)進程                   時間：  ：  
當(dāng)文件恢復(fù)完畢時，通知LAN恢復(fù)小組的負(fù)責(zé)人        時間：  ：  
后期處置
（1）信息系統(tǒng)重建
在應(yīng)急處置工作結(jié)束后，要迅速采取措施，抓緊組織搶修受損的基礎(chǔ)設(shè)施，減少損失，盡快恢復(fù)正常工作。
通過統(tǒng)計各種數(shù)據(jù)，查明原因，對信息安全事件造成的損失和影響以及恢復(fù)重建能力進行分析評估，認(rèn)真制定恢復(fù)重建計劃，迅速組織實施信息系統(tǒng)重建。
（2）應(yīng)急響應(yīng)總結(jié)
應(yīng)急響應(yīng)總結(jié)是應(yīng)急處置之后應(yīng)進行的工作，具體工作包括：
1）分析和總結(jié)事件發(fā)生原因；
2）分析和總結(jié)事件現(xiàn)象；
3）評估系統(tǒng)的損害程度；
4）評估事件導(dǎo)致的損失；
5）分析和總結(jié)應(yīng)急處置記錄；
6）評審應(yīng)急響應(yīng)措施的效果和效率，并提出改進建議；
7）評審應(yīng)急響應(yīng)計劃的效果和效率，并提出改進建議。

信息安全事件應(yīng)急響應(yīng)總結(jié)模板
信息安全事件應(yīng)急響應(yīng)結(jié)果報告表	信息安全事件應(yīng)急響應(yīng)結(jié)果報告表
原事件報告時間： 年  月  日  時  分	原事件報告時間： 年  月  日  時  分
備案編號： 年  月  日  第  號  總第  號	備案編號： 年  月  日  第  號  總第  號
單位名稱：   	聯(lián)系人：
聯(lián)系電話：   	通訊地址：
信息系統(tǒng)名稱及用途：	信息系統(tǒng)名稱及用途：
已采用的安全措施：	已采用的安全措施：
信息安全事件的補充描述及最后判定的事故原因：	信息安全事件的補充描述及最后判定的事故原因：
本次信息安全事件的初步影響狀況：	本次信息安全事件的初步影響狀況：
事件后果：  	影響范圍：
嚴(yán)重程度：	嚴(yán)重程度：
本次信息安全事件的主要處理過程及結(jié)果：	本次信息安全事件的主要處理過程及結(jié)果：
針對此類信息安全事件應(yīng)采取的保障信息系統(tǒng)安全的措施和建議：	針對此類信息安全事件應(yīng)采取的保障信息系統(tǒng)安全的措施和建議：
報告人簽名：	報告人簽名：
應(yīng)急響應(yīng)保障措施
58
應(yīng)急響應(yīng)保障措施
附件
59
具體的組織體系結(jié)構(gòu)及人員職責(zé)
應(yīng)急響應(yīng)計劃各小組成員的聯(lián)絡(luò)信息
供應(yīng)商聯(lián)絡(luò)信息，包括離站存儲和備用站點的外部聯(lián)系點
系統(tǒng)恢復(fù)或處理的標(biāo)準(zhǔn)操作規(guī)程和檢查列表
支持系統(tǒng)運行所需的硬件、軟件、固件和其它資源的設(shè)備和系統(tǒng)需求清單
供應(yīng)商服務(wù)水平協(xié)議（SLA）、與其它機構(gòu)的互惠協(xié)議和其它關(guān)鍵記錄
備用站點的描述和說明
在計劃制定前進行的BIA，包含關(guān)于系統(tǒng)各部分相互關(guān)系、風(fēng)險、優(yōu)先級別等
應(yīng)急響應(yīng)計劃文檔的保存和分發(fā)方法
應(yīng)急響應(yīng)工作機構(gòu)圖
60
職責(zé)示例
61
應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組：
應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組是信息安全應(yīng)急響應(yīng)工作的組織領(lǐng)導(dǎo)機構(gòu)，組長應(yīng)由組織最高管理層成員擔(dān)任。領(lǐng)導(dǎo)小組的職責(zé)是領(lǐng)導(dǎo)和決策信息安全應(yīng)急響應(yīng)的重大事宜，主要如下： 
（1）對應(yīng)急響應(yīng)工作的承諾和支持，包括發(fā)布正式文件、提供必要資源（人財物）等；
（2）審核并批準(zhǔn)應(yīng)急響應(yīng)策略；
（3）審核并批準(zhǔn)應(yīng)急響應(yīng)計劃；
（4）批準(zhǔn)和監(jiān)督應(yīng)急響應(yīng)計劃的執(zhí)行；
（5) 啟動定期評審、修訂應(yīng)急響應(yīng)計劃；
（6）負(fù)責(zé)組織的外部協(xié)作工作。
應(yīng)急響應(yīng)組（IRT ）
? 什么是應(yīng)急響應(yīng)組（IRT ）
	應(yīng)急響應(yīng)組就是機構(gòu)可以借助的網(wǎng)絡(luò)安全專業(yè)組織。
? 為什么需要成立應(yīng)急響應(yīng)組
容易協(xié)調(diào)響應(yīng)工作
提高專業(yè)知識
提高效率
提高先期主動防御能力
更加適合于滿足機構(gòu)的需要
提高聯(lián)絡(luò)功能
提高處理制度障礙方面的能力
從應(yīng)急組織到應(yīng)急體系：信息安全保障的必要條件
現(xiàn)實表明，單一的應(yīng)急組織已經(jīng)不能應(yīng)對當(dāng)今的網(wǎng)絡(luò)安全威脅，我國的應(yīng)急體系正是在實際工作的經(jīng)驗總結(jié)中逐漸形成的：平臺從點到環(huán)到面；應(yīng)急體系從點到樹到網(wǎng)
“現(xiàn)實世界中發(fā)生的任何事情，在網(wǎng)絡(luò)世界中都可以找到與之對
應(yīng)的事件”
SARS 事件反映出社會防疫應(yīng)急體系的重要
紅色代碼、尼姆達(dá)、SQL 殺手、口令蠕蟲等具有和現(xiàn)實世界中的疫病相同的特點
處理方式也具有同樣的特點：隔離--- 分析--- 治療
不同之處：“病人”不自知；隔離缺乏法律依據(jù)或技術(shù)手段；應(yīng)
急缺乏成熟體系和工作制度…. .
國際信息安全應(yīng)急響應(yīng)組織
64
美國計算機緊急事件響應(yīng)小組協(xié)調(diào)中心           （Computer Emergency Response Team/Coordination Center, CERT/CC）
事件響應(yīng)與安全組織論壇（Forum of Incident Response and Security Teams, FIRST）??
亞太地區(qū)計算機應(yīng)急響應(yīng)組（Asia Pacific Computer Emergency Response Team, APCERT）?
歐洲計算機網(wǎng)絡(luò)研究教育協(xié)會（Trans-European Research and Education Networking Association, TERENA)?
我國信息安全應(yīng)急響應(yīng)組織
65
國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心        （National Computer network Emergency Response technical Team/Coordination Center of China, CNCERT/CC）
中國教育和科研計算機網(wǎng)緊急響應(yīng)組(China Education and Research Network Computer Emergency Response Team, CCERT)? ?
國家計算機病毒應(yīng)急處理中心?
國家計算機網(wǎng)絡(luò)入侵防范中心
國家863計劃反計算機入侵和防病毒研究中心
我國公共互聯(lián)網(wǎng)應(yīng)急體系
從無到有
從小到大
從弱到強
從點到面
XX信息安全應(yīng)急響應(yīng)體系
備注：67
XX市電子政務(wù)網(wǎng)絡(luò)應(yīng)急預(yù)案
1 總則
2 組織結(jié)構(gòu)與職責(zé)
3 預(yù)防和預(yù)警機制
4 應(yīng)急響應(yīng)流程
5 保障與監(jiān)督管理
6計劃附則

總則
1.1 指導(dǎo)思想
1.2 編制目的
1.3 編制依據(jù)
1.4 適用范圍
       廣州市各級政府黨政機關(guān)、事業(yè)單位及與重點保護企業(yè)
1.5 工作原則
1.6 分類與分級
類別：有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、 災(zāi)害性事件、 其他信息安全事件。
級別：信息安全事件級別根據(jù)信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響分為四級： 
安全事件級別劃分
1） 特別重大事件（Ⅰ級）
   特別重大事件是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件。
2） 重大事件（Ⅱ級）
   重大事件是指能夠?qū)е聡?yán)重影響或破壞的信息安全事件。
3）較大事件（Ⅲ級）
   較大事件是指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件。
4）一般事件（Ⅳ級）
   一般事件是指能夠?qū)е螺^小影響或破壞的信息安全事件。

組織結(jié)構(gòu)與職責(zé)
預(yù)防和預(yù)警機制
預(yù)警簡圖
備注：73
應(yīng)急響應(yīng)流程
應(yīng)急響應(yīng)簡圖
備注：75
應(yīng)急響應(yīng)之后期處理流程
后期處理簡圖
備注：77
保障 監(jiān)督管理
4.1應(yīng)急人力保障
    信息安全專業(yè)人才、隊伍
4.2物質(zhì)條件保障
    通信與信息 、 應(yīng)急裝備、交通運輸、經(jīng)費、治安
4.3技術(shù)支撐保障 
    信息安全應(yīng)急平臺支撐技術(shù)、信息安全領(lǐng)域技術(shù)研究、預(yù)先編制的預(yù)案、方案等
4.4宣傳教育
    向單位、公眾及相關(guān)人員宣傳，特別是向領(lǐng)導(dǎo)人員宣傳獲得他們的支持
4.5 演練
   定期進行應(yīng)急演練
4.6責(zé)任與獎懲 
   依相關(guān)法規(guī)追究責(zé)任和獎懲

計劃及附則
6.1人員聯(lián)絡(luò)清單
6.2信息系統(tǒng)標(biāo)準(zhǔn)操作規(guī)程
6.3業(yè)務(wù)影響分析報告

信息系統(tǒng)應(yīng)急計劃一般過程
美國SP800-34 信息技術(shù)系統(tǒng)應(yīng)急計劃/預(yù)案指南：七步走
七步走
第一步：制定應(yīng)急計劃/預(yù)案策略條款
第二步：進行業(yè)務(wù)影響分析
第三步：確定防御性控制
第四步：制定恢復(fù)策略
第五步：IT應(yīng)急計劃/預(yù)案的制定
第六步：計劃/預(yù)案的測試、培訓(xùn)和演習(xí)
第七步：計劃/預(yù)案的維護
備注：83

網(wǎng)友評論 more

應(yīng)急預(yù)案|急救最新內(nèi)容

04-18