1、,.信息安全应急响应服务方案XXXX 科技有限企业2018年 5月,.目录第一部分归纳31.1.信息安全应急响应31.2.应急安全响应事件31.3.服务原则3第二部分应急响应组织保障42.1.角色的划分42.2.角色的职责42.3.组织的外面协作42.4.保障措施5第三部分应急响应推行流程53.1.准备阶段（ Preparation）7负责人准备内容7技术人员准备内容7市场人员准备内容93.2.检测阶段（ Examination ）9推行小组人员的确定9检测范围及对象的确定10检测方案的确定10检测方案的推行10检测结果的办理123.3.控制阶段（ Suppresses）12控制方案的确定132、控制方案的认可13控制方案的推行13控制收效的判断133.4.除去阶段（ Eradicates）14除去方案的确定14除去方案的认可14除去方案的推行14除去收效的判断143.5.恢复阶段（ Restoration）15恢复方案的确定15恢复信息系统153.6.总结阶段（ Summary ）15事故总结16事故报告16,.第一部分归纳1.1. 信息安全应急响应应急响应服务是为满足企业发生安全事件、需重要急解决问题的情况下供应的一项安全服务。 当企业发生黑客入侵、系统崩溃或其他影响业务正常运转的安全事件时，安全专家会在第一时间赶到事件现场，使企业的网络信息系统在最短时间内恢复正常工作，帮助企业查3、找入侵根源， 给出入侵事故过程报告，同时给出解决方案与防范报告，为企业挽回或减少经济损失。供应入侵检查，拒绝服务攻击响应，主机、网络、业务异常紧急响应和办理。1.2. 应急安全响应事件? 计算机病毒事件；? 蠕虫病毒事件 ；? 特洛伊木马事件 ；? 网页内嵌恶意代码事件；? 拒绝服务攻击事件；? 后门攻击事件；? 漏洞攻击事件；? 网络扫描窃听事件；? 信息篡改事件；? 信息假冒事件；? 信息偷取事件。1.3. 服务原则在整个应急响应办理过程的中， 本协会严格依照以下原则要求服务人员， 并签订必要的保密协议。保密性原则应急服务供应者对付应急办理服务过程中获知的任何关于服务对象的系统信息肩负保密4、的责任和义务， 不得泄露给第三方的单位和个人， 不得利用这些信息进行损害服务对象的行为。规范性原则应急服务供应者应要求服务人员依照规范的操作流程进行应急办理服务，全部办理人员必定对各自的操作过程和结果进行详细的记录， 最后依照规范的报告格式供应完满的服务报告。最小影响原则应急办理服务工作应尽可能减少对原系统和网络正常运转的影响，尽量防范对原网络运行和业务正常运转产生明显影响（包括系统性能明显下降、网络拥塞、服务中断等），如无法防范，则必定向服务对象说明。,.第二部分应急响应组织保障2.1. 角色的划分本企业应急响应工作机构按角色划分为三个：应急响应负责人，应急响应技术人员，应急响应市场人员。信5、息安全事件发生后， 在应急响应领导小组的一致部署下， 工作人员各施其职， 并严格依照顾急响应计划组织推行应急响应工作。2.2. 角色的职责应急响应负责人：应急响应负责人是信息安全应急响应工作的组织领导机构， 组长应由组织最高管理层成员担当。负责人的职责是领导和决策信息安全应急响应的重要事宜，主要职责以下：a) 拟定工作方案；b) 供应人员和物质保证；c) 审察并赞同经费估量；d) 审察并赞同恢复策略；e) 审察并赞同应急响应计划；f) 赞同并监察应急响应计划的执行；g) 指导应急响应推行小组的应急办理工作；h) 启动如期评审、校正应急响应计划以及负责组织的外面协作。应急响应技术人员，其主要职责6、以下：a) 编制应急响应计划文档；b) 应急响应的需求解析，确定应急策略和等级以及策略的实现；c) 备份系统的运转和保护，协助灾害恢复系统推行；d) 信息安全突发事件发生时的损失控制和损害评估；e) 组织应急响应计划的测试和演练。应急响应市场人员，其主要职责以下：a) 开拓新客户，与客户成立长远的合作关系；保护与企业老客户的业务来往；b) 成立预防预警体系，及时进行信息上报；c) 参加和协助应急响应计划的教育、培训和演练；d) 信息安全事件发生后的外面协作。2.3. 组织的外面协作依照服务对象信息安全事件的影响程度， 如需向上级部门及时通知正确情况或向其他单位追求支持时， 应与相关管理部门以及7、外面组织机构保持联系和协作。 主要包括国家计算机网络应急技术办理协调中心 (CNCERT/CC) 华中地划分中心、国家计算机网络应急技术办理协调中心 (CNCERT/CC) 、中国教育科研网络华中地区网络中心、中国教育科研网网络中心、,.#市公安局网络安全监察室、 湖北省公安厅网络安全监察处、 中国电信 #分企业网管中心以及主要相关设施供应商。2.4. 保障措施应急人力保障加强信息安全人才培养， 加强信息安全宣传教育， 建设一支高素质、 高技术的信息安全核心人才和管理队伍， 提高信息安全防守意识。 大力发展信息安全服务业， 加强协会应急支援能力。物质条件保障安排必然的资本用于预防或对付信息安全8、突发事件， 供应必要的交通运输保障， 优化信息安全应急办理工作的物质保障条件。技术支撑保障成立信息安全应急响应中心，成立预警与应急办理的技术平台，进一步提高安全事件的发现和解析能力。从技术上渐渐实现发现、预警、办理、通知等多个环节和不相同的网络、系统、部门之间应急办理的联动体系。第三部分应急响应推行流程该服务流程其实不是一个固定不变的教条，当简化， 但任何变通都必定纪录相关的原因。根源与安全弊端、 找到问题正确的解决方法，有着极其重要的作用。需要应急响应服务人员在本质中灵便变通， 可适详细的记录关于找出事件的真相、 查出威胁的甚至判断事故的责任， 防范同类事件的发生都准备阶段检测阶段控制阶段除9、去阶段恢复阶段总结阶段,.拟定工作方案和计划，监督和指导其他小组的工作负责人准备工作服务需求的确定，主机和网络安全初始化快照和备份、技术人员准备工作工具包和必要技术的准备成立预防预警体系、及时进行信息系统检测和异常市场人员准备工作情况上报现场推行小人员的确定现场勘查确定检测方案并进行推行可否有该类事是件的专项方案否确定和认可控制的方案并进行控制的推行启确定和认可除去的方动专法并进行除去的推行项预案依照确定的恢复方案进行信息系统的恢复回顾并完满整个事件的处理过程并进行总结形成事故报告为服务对象提出安全建议结束,.3.1. 准备阶段（ Preparation）目标：在事件真切发生前为应急响应做好预10、备性的工作。角色：协会负责人、技术人员、市场人员。内容：依照不相同角色准备不相同的内容。输出：准备工具清单 、事件初步报告表 、推行人员工作清单负责人准备内容拟定工作方案和计划；供应人员和物质保证；审察并赞同经费估量、恢复策略、应急响应计划；赞同并监察应急响应计划的执行；指导应急响应推行小组的应急办理工作；启动如期评审、校正应急响应计划以及负责组织的外面协作。技术人员准备内容服务需求界定第一要对服务对象的整个信息系统进行评估， 明确服务对象的应急需求， 详细应包括以下内容：1) 应急服务供应者应认识应急服务对象的各项业务功能及其之间的相关性，确定支持各种业务功能的相关信息系统资源及其他资源，明11、确相关信息的保密性、完满性、和可用性要求；2) 对服务对象的信息系统，包括应用程序，服务器，网络及任何管理和保护这些系统的流程进行评估，确定系统所执行的重点功能，并确定执行这些重点功能所需要的特定系统资源；3) 应急服务供应者应采用定性或定量的方法，对业务中断、系统宕机、网络瘫痪等突发安全事件造成的影响进行评估；4) 应急服务供应者应协助服务对象成立合适的应急响应策略， 应供应在业务中断、系统宕机、网络瘫痪等突发安全事件发生后快速有效的恢复信息系统运转的方法；5) 应急服务供应者宜为服务对象供应相关的培训服务，以提高服务对象的安全意识，便于相关责任人明确自己的角色和责任， 认识常有的安全事件和12、入侵行为，熟悉应急响应策略。主机和网络设施安全初始化快照和备份在系统安全策略配置完成后， 要对系统做一次初始安全状态快照。 这样，若是今后在出现事故后对该服务器做安全检测时， 经过将初始化快照做的结果与检测阶段做的快照进行比较，便能够发现系统的改动或异常。1) 对主机系统做一个标准的安全初始化的状态快照，包括的主要内容有：? 日志及审察策略快照等。,.? 用户账户快照；? 进度快照；? 服务快照；? 自启动快照? 重点文件签字快照；? 开放端口快照；? 系统资源利用率的快照；? 注册表快照；? 计划任务快照等等；2) 对网络设施做一个标准的安全初始化的状态快照，包括的主要内容有：? 路由器快照13、；? 防火墙快照；? 用户快照；? 系统资源利用率等快照。3) 信息系统的业务数据及办公数据均十分重要，因此需要进行数据储藏及备份。当前，存储备份结构主要有 DAS 、SAN 和 NAS ，以及经过磁带或光盘对数据进行备份。各服务对象能够依照自己的特点选择不相同的储藏产品成立自己的数据存储备份系统。工具包的准备1) 应急服务供应者应依照应急服务对象的需求准备办理网络安全事件的工具包，包括常用的系统基本命令、其他软件工具等；2) 应急服务供应者的工具包中的工具最好是采用绿色免安装的，应保留在安全的搬动介质上，如一次性可写光盘、加密的U 盘等；3) 应急服务供应者的工具包应如期更新、补充；必要技术14、的准备上述是针对应急响应的办理涉及到的安全技术工具涵盖应急响应的事件取样、事件解析、事件隔断、系统恢复和攻击追踪等各个方面，构成了网络安全应急响应的技术基础。因此我们的应急响应服求推行成员还应该掌握以下必要的技术手段和规范，详细包括以下内容：1) 系统检测技术，包括以下检测技术规范：? Windows 系统检测技术规范；? Unix 系统检测技术规范；? 网络安全事故检测技术规范；? 数据库系统检测技术规范；? 常有的应用系统检测技术规范；2) 攻击检测技术，包括以下技术：? 异常行为解析技术；? 入侵检测技术；? 安全风险评估技术；3) 攻击追踪技术；4) 现场取样技术；5) 系统安全加固技15、术；,.6) 攻 隔断技 ；7) 份恢复技 ；市场人员准备内容和服 象成立 期友好的 关系；和服 象 急服 合同或 ；成立 防和 警体系，及 上 。1) 防和 警体系? 市 人 要 格依照 急响 人的安排和建 ，及 提示服 象提高防范网 攻 、病毒入侵、网 窃密等的能力， 防范有害信息 播， 保障服 象网 的安全 通。? 将 会网 信息中心会 布的病毒 防警 以及更新的防 策略及 有效地见告服 象，做好防 策略的更新。2) 信息系 和 告? 依照“早 、早 告、早 置”的原 ，市 人 要加 服 象信息系 的安全 果的通知，收集可能引 信息安全事件的相关信息、 行解析判断。? 如服 象 有异常情16、况或有信息安全事件 生 ， 要马上向 会网 信息中心 急响 人 告，并填写事件初步 告表。? 要求服 象持 信息系 情况， 亲近关注 急响 人提出初步行 策和行 方案，遵照指令和安排，及 减小 失。3.2. 检测阶段（ Examination）目 ：接到事故 警后在服 象的配合下 异常的系 行初步解析，确 其是否真切 生了信息安全事件，拟定 一步的响 策略，并保留 据。角色： 急服 施小 成 、 急响 平常运转小 ；内容：(1) 范 及 象的确定；(2) 方案的确定；(3) 方案的 施；(4) 果的 理。 出： 果 、 推行小组人员的确定 急响 人依照事件初步 告表的内容，初步解析事故的 型、17、 重程度等，以此来确定 急响 小 的 施人 的名 。,.检测范围及对象的确定应急服务供应者对付发生异常的系统进行初步解析，判断可否正真发生了安全事件；应急服务供应者和服务对象共同确定检测对象及范围；检测对象及范围应获得服务对象的书面授权。检测方案的确定应急服务供应者和服务对象共同确定检测方案；应急服务供应者拟定的检测方案应明确应急服务供应者所使用的检测规范；应急服务供应者拟定的检测方案应明确应急服务供应者的检测范围，其检测范围应仅限于服务对象已授权的与安全事件相关的数据， 对服务对象的机密性数据信息未经授权的不得接见；应急服务供应者拟定的检测方案应包括推行方案失败的应变和回退措施；应急服务供应18、者和服务对象充分沟通，并展望应急办理方案可能造成的影响。检测方案的推行检测收集系统信息? 记录时使用目录及文件名约定：在受入侵的计算机的D 盘根目录下 （）（若是无D 盘则在其他盘根目录下）成立一个EEAN 目录，目录中包括以下子目录：? artifact ：用于存放可疑文件样本? cmdoutput ：用于记录命令行输出结果? screenshot：用于存放屏幕拷贝文件? log：用于存放各种日志文件? 文件格式：?命令行输出文件缺省仅使用TXT 格式。? 日志文件及其他格式尽量使用 TXT 、CSV 和其他不需要特别工具便能够阅读的格式。? 屏幕拷贝文件应该使用 BMP 格式。?可疑文件样19、本最好加密压缩为zip 格式，默认密码为：eean? 收集操作系统基本信息1右键点击“我的电脑 属性” 将“老例”、“自动更新” 、“远程” 3 个选卡各制作一个窗口拷贝（使用 Alt+PrtScr ）。并保留到 EEANscreenshot 目录下，文件名称应该使用：系统老例 -01、自动更新 -01、远程 -01 等形式命名。2进入CMD状态，“开始 运转 cmd ”，进入D 盘根目录下的EEAN目录，执行一下命令：netstat -nao netstat.txt (网络连接信息（目前进度信息）（ IP 属性）（操作系统属性）),.?日志信息目标：导出全部日志信息；说明：进入管理工具，将“20、管理工具 事件察看器”中，导出全部事件，分别使用一下文件名保留：application.txt 、 security.txt 、。帐号信息目标：导出全部帐号信息；说明：使用net user， net group， net local group命令检查帐号和组的情况，使用计算机管理查察当地用户和组，将导出的信息保留在 D:EEANuser 中主机检测? 日志检查目标： 1、从日志信息中检测出未授权接见或非法登录事件；2、从 IIS/FTP日志中检测非正常接见行为或攻击行为；说明： 1、检查事件查察器中的系统和安整天记信息，比方：安整天记中异常登录时间，未知用户名登录；2、检查 %WinDir%21、System32LogFiles目录下的WWW日志和 FTP日志，比方 WWW日志中的对cmd.asp 文件的成功接见。? 帐号检查目标：检查帐号信息中非正常帐号，隐蔽帐号；说明：经过咨询管理员或负责人，也许和系统的全部的正常帐号列表做比较，判断可否有可疑的陌生的账号出现，利用这些获得的信息和前面准备阶段做的帐号快照工作进行比较。? 进度检查目标：检查可否存在未被授权的应用程序或服务说明：使用任务管理器检查或使用进度查察工具进行查察，利用这些获得的信息和前面准备阶段做的进度快照工作进行比较，判断可否有可疑的进度。? 服务检查目标：检查系统可否存在非法服务说明：使用“管理工具”中的“服务”查察非22、法服务或使用冰刃、Wsystem 察看当前服务情况，利用这些获得的信息和准备阶段做的服务快照工作进行比较。? 自启动检查目标：检查未授权自启动程序说明：检查系统各用户“启动”目录下可否存在未授权程序。? 网络连接检查目标：检查非正常网络连接和开放的端口说明：关闭全部的网络通讯程序，省得出现搅乱， 尔后使用ipconfig,netstat an 或其他第三方工具查察全部连接，检查服务端口开放情况和异常数据的信息。? 共享检查目标：检查非法共享目录。说明：使用net share或其他第三方的工具检测当前开放的共享，使用$是隐,.藏目录共享，经过咨询负责人看可否有可疑的共享文件。? 文件检查目标：检23、查病毒、木马、蠕虫、后门等可疑文件。说明：使用防病毒软件检查文件，扫描硬盘上全部的文件，将可疑文件进行提取加密压缩成.zip ，保留到EEANartifact目录下的相应子目录中。?查找其他入侵印迹目标：查找其他系统上的入侵印迹，搜寻攻击路子说明： 其他系统包括： 同一 IP 地址段或同一网段的系统、拥有相同操作系统的其他系统。同一域的其他系统、检测结果的办理确定安全事件的种类经过检测，判断出信息安全事件种类。信息安全事件能够有以下7 个基本分类：? 有害程序事件：蓄意制造、流传有害程序，或是因碰到有害程序的影响而以致的信息安全事件。? 网络攻击事件：经过网络或其他技术手段，利用信息系统的配置24、弊端、协议弊端、程序弊端或使用暴力攻击对信息系统推行攻击，并造成信息系统异常或对信息系统当前运转造成潜藏危害的信息安全事件。? 信息破坏事件：经过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄露、偷取等而以致的信息安全事件。? 信息内容安全事件：利用信息网络宣布、流传危害国家安全、社会牢固和公共利益的内容的安全事件。? 设施设施故障：由于信息系统自己故障或外面保障设施故障而以致的信息安全事件，以及人为的使用非技术手段有意或没心的造成信息系统破坏而以致的信息安全事件。? 灾害性事件： 由于不能抗力对信息系统造成物理破坏而以致的信息安全事件。?其他信息安全事件：不能够归为以上6 个基本分25、类的信息安全事件。评估突发信息安全事件的影响采用定量和 / 或定性的方法，对业务中断、系统宕机、网络瘫痪数据扔掉等突发信息安全事件造成的影响进行评估：确定可否存在针对该事件的特定系统方案， 如有，则启动相关方案； 若是事件涉及多个专项方案，应同时启动全部涉及的专项方案；若是没有针对该事件的专项方案， 应依照事件详细情况， 采用控制措施， 控制事件进一步扩散。3.3. 控制阶段（ Suppresses）目标：及时采用行动限制事件扩散和影响的范围， 限制潜藏的损失与破坏， 同时要保证关闭方法对涉及相关业务影响最小。角色：应急服求推行小组、应急响应平常运转小组。内容：(1) 控制方案的确定；,.(226、) 控制方案的 可；(3) 控制方案的 施；(4) 控制收效的判断； 出：控制 理 表 、 控制方案的确定 急服 供应者 在 解析的基 上，初步确定与安全事件相 的控制方法，如有多 ，可由服 象考 后自己 ；在确定控制方法 考 ：? 全面 估入侵范 、入侵 来的影响和 失；? 通 解析获得的其他 ，如入侵者的根源；? 服 象的 和重点决策 程；? 服 象的 性。控制方案的认可 急服 供应者 见告服 象所面 的首要 ； 急服 供应者所确定的控制方法和相 的措施 获得服 象的 可；在采用控制措施从前， 急服 供应者要和服 象充分沟通， 见告可能存在的 ，拟定 和回退措施，并与其完成 。控制方案的推27、行 急服 供应者要 格依照相关 定 施控制，不得随意更正控制的措施的范 ，如有必要更正，需 得服 象的授 ；控制措施易包括但不 限于以下几方面：? 确定受害系 的范 后，将被害系 和正常的系 行隔断，断开或 关 被攻 的系 ，使攻 先 底停止；?持 系 和网 活 ， 异常流量的 程IP 、域名、端口；? 停止或 除系 非正常 号， 藏 号，更正口令，加 口令的安全 ；? 挂起或 束未被授 的、可疑的 用程序和 程；? 关 存在的非法服 和不用要的服 ；? 除系 各用 “启 ”目 下未授 自启 程序；? 使用 net share 或其他第三方的工具停止全部开放的共享；? 使用反病毒 件或其他安全28、工具 文件， 描硬 上全部的文件，隔断或除去病毒、木 、蠕虫、后 等可疑文件；? 置骗局，如蜜罐系 ；也许反 攻 者的系 。控制收效的判断防范事件 散，限制了潜藏的 失和破坏，使当前 失最小化； 其他相关 的影响可否控制在最小。,.3.4. 除去阶段（ Eradicates）目 ： 事件 行控制此后，通 相关事件或行 的解析 果，找出事件根源，明确相 的 救措施并 底除去。角色： 急服 施小 、 急响 平常运转小 。内容：(1) 除去方案的确定；(2) 除去方案的 可；(3) 除去方案的 施；(4) 除去收效的判断； 出：除去 理 表 、 除去方案的确定 急服 供应者 助服 象 全部受影响的系29、 ， 在正确判断安全事件原因的基 上，提出方案建 ；由于入侵者一般会安装后 或使用其他的方法以便于在将来有机遇侵入 被攻陷的系 ， 因此在确定除去方法 ， 需要认识攻 者 如何入侵的， 以及与 种入侵方法相同和相似的各种方法。除去方案的认可 急服 供应者 明确见告服 象所采用的除去措施可能 来的 ，拟定 和回退措施，并获得服 象的 面授 ； 急服 供应者 助服 象 行除去方法的 施。除去方案的推行 急服 供应者 使用可信的工具 行安全事件的除去 理， 不得使用受害系 已有的不能信的文件和工具；除去措施易包括但不 限与以下几个方面：? 改 全部可能碰到攻 的系 号和口令，并增加口令的安全 ；? 30、修 系 、网 和其他 件漏洞；? 增 防 功能：复 全部防 措施的配置，安装最新的防火 和 毒 件，并及 更新， 未受保 也许保 不 的系 增加新的防 措施；? 提高其 保 ，以保 将来 似的入侵 行 ；除去收效的判断找出造成事件的原因， 份与造成事件的相关文件和数据； 系 中的文件 行清理，除去；使系 能 正常工作。,.3.5. 恢复阶段（ Restoration）目标：恢复安全事件所涉及到得系统，并还原到正常状态，使业务能够正常进行，恢复工作应防范出现误操作以致数据的扔掉。角色：应急服求推行小组、应急响应平常运转小组。内容：(1) 恢复方案的确定；(2) 恢复信息系统；输出：恢复办理记录表31、 、.恢复方案的确定应急服务供应者应见告服务对象一个或多个能从安全事件中恢复系统的方法，及他们可能存在的风险；应急服务供应者应和服务对象共同确定系统恢复方案，依照控制和除去的情况，协助服务对象选择合适的系统恢复的方案，恢复方案涉及到以下几方面：? 如何获得接见受损设施或地理地区的授权；? 如何通知相关系统的内部和外面业务伙伴；? 如何获得安装所需的硬件部件；? 如何获得装载备份介质；如何恢复重点操作系统和应用软件；? 如何恢复系统数据；? 如何成功运转备用设施若是涉及到涉密数据，确定恢复方法时应依照相应的保密要求。恢复信息系统应急响应推行小组应依照系统的初始化安全策略恢复系统；恢复系统时，应依32、照系统中个子系统的重要性，确定系统恢复的序次；恢复系统过程宜包括但不限于以下方面：? 利用正确的备份恢复用户数据和配置信息；? 开启系统和应用服务，将碰到入侵也许思疑存在漏洞而关闭的服务，更正后重新开放；? 连接网络，服务重新上线，并连续监控连续汇总解析，认识各网的运转情况；关于不能够完整恢复配置和除去系统上的恶意文件， 或不能够必然系统在除去办理后可否已恢复正常时，应选择完整重建系统；应急服求推行小组应协助服务对象考据恢复后的系统可否正常运转；应急服求推行小组宜帮助服务对象对重建后的系统进行安全加固；应急服求推行小组宜帮助服务对象为重建后的系统成立系统快照和备份；3.6. 总结阶段（ Sum33、mary）目标：经过以上各个阶段的记录表格，回顾安全事件办理的全过程，整理与事件相,.关的各种信息，进行总结，并尽可能的把全部信息记录到文档中。角色：应急服求推行小组、应急响应平常运转小组。内容：(1) 事故总结；(2) 事故报告；输出：应急响应报告表 、事故总结应急服务供应者应及时检查安全事件办理记录可否齐全，件办理过程进行总结和解析；应急办理总结的详细工作包括但不限于以下几项：?事件发生的现象总结；?事件发生的原因解析；?系统的损害程度评估；?事件损失估计；?采用的主要对付措施；?相关的工具文档（如专项方案、方案等）归档。可否具备可塑性，并对事事故报告应急服务供应者应向服务对象供应齐全的网络安全事件办理报告；应急服务供应者应向服务对象供应网络安全方面的措施和建议；上述总结报告的详细信息参照Excel 表应急响应报告表 。