一、服務(wù)范圍及流程

1.1 服務(wù)范圍

為采購人提供安全事件應急響應和處理服務(wù)，在發(fā)生信息破壞事件（篡改、泄露、竊取、丟失等）、大規(guī)模病毒事件、網(wǎng)站漏洞事件等信息安全事件時，提供應急響應專家協(xié)助處置。

1.2 服務(wù)流程及內(nèi)容

該服務(wù)流程并非一個固定不變的教條， 需要應急響應服務(wù)人員在實際中靈活變通，可適當簡化，但任何變通都必須紀錄有關(guān)的原因。詳細的記錄對于找出事件的真相、查出威脅的來源與安全弱點、找到問題正確的解決方法，甚至判定事故的責任，避免同類事件的發(fā)生都有著極其重要的作用。

突發(fā)事件應急處理流程包括：

• 準備階段（Preparation）
• 檢測階段（Examination）
• 抑制階段（Suppresses）
• 根除階段（Eradicates）
• 恢復階段（Restoration）
• 總結(jié)階段（Summary）。

如下圖所示：

二、準備階段

• 目標：在事件真正發(fā)生前為應急響應做好預備性的工作。
• 角色：技術(shù)人員、市場人員。
• 內(nèi)容：根據(jù)不同角色準備不同的內(nèi)容。
• 輸出：《準備工具清單》、《事件初步報告表》、《實施人員工作清單》

2.1 負責人準備內(nèi)容

• 制定工作方案和計劃；
• 提供人員和物質(zhì)保證；
• 審核并批準經(jīng)費預算、恢復策略、應急響應計劃；
• 批準并監(jiān)督應急響應計劃的執(zhí)行；
• 指導應急響應實施小組的應急處置工作；
• 啟動定期評審、修訂應急響應計劃以及負責組織的外部協(xié)作。

2.2 技術(shù)人員準備內(nèi)容

（一）服務(wù)需求界定

首先要對服務(wù)對象的整個信息系統(tǒng)進行評估，明確服務(wù)對象的應急需求，具體包含以下內(nèi)容：

• 應急響應小組應了解應急服務(wù)對象的各項業(yè)務(wù)功能及其之間的相關(guān)性，確定支持各種業(yè)務(wù)功能的相關(guān)信息系統(tǒng)資源及其他資源，明確相關(guān)信息的保密性、完整性和可用性要求；
• 對服務(wù)對象的信息系統(tǒng)，包括應用程序，服務(wù)器，網(wǎng)絡(luò)及任何管理和維護這些系統(tǒng)的流程進行評估，確定系統(tǒng)所執(zhí)行的關(guān)鍵功能，并確定執(zhí)行這些關(guān)鍵功能所需要的特定系統(tǒng)資源；
• 應急響應小組采用定性或定量的方法，對業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓等突發(fā)安全事件造成的影響進行評估；
• 應急響應小組協(xié)助服務(wù)對象建立適當?shù)膽表憫呗?，應提供在業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓等突發(fā)安全事件發(fā)生后快速有效的恢復信息系統(tǒng)運行的方法；
• 應急響應小組為服務(wù)對象提供相關(guān)的培訓服務(wù)，以提高服務(wù)對象的安全意識，便于相關(guān)責任人明確自己的角色和責任，了解常見的安全事件和入侵行為，熟悉應急響應策略。

（二）主機和網(wǎng)絡(luò)設(shè)備安全初始化快照和備份

在系統(tǒng)安全策略配置完成后，要對系統(tǒng)做一次初始安全狀態(tài)快照。這樣，如果以后在出現(xiàn)事故后對該服務(wù)器做安全檢測時， 通過將初始化快照做的結(jié)果與檢測階段做的快照進行比較，就能夠發(fā)現(xiàn)系統(tǒng)的改動或異常。

• 對主機系統(tǒng)做一個標準的安全初始化的狀態(tài)快照， 包括的主要內(nèi)容有：
  • 日志及審核策略快照等。
  • 用戶賬戶快照；
  • 進程快照；
  • 服務(wù)快照；
  • 自啟動快照
  • 關(guān)鍵文件簽名快照；
  • 開放端口快照；
  • 系統(tǒng)資源利用率的快照；
  • 注冊表快照；
  • 計劃任務(wù)快照等等；
• 對網(wǎng)絡(luò)設(shè)備做一個標準的安全初始化的狀態(tài)快照， 包括的主要內(nèi)容有：
  • 路由器快照；
  • 防火墻快照；
  • 用戶快照；
  • 系統(tǒng)資源利用率等快照。
• 信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)及辦公數(shù)據(jù)均十分重要，因此需要進行數(shù)據(jù)存儲及備份。目前，存儲備份結(jié)構(gòu)主要有DAS、SAN 和NAS，以及通過磁帶或光盤對數(shù)據(jù)進行備份。各服務(wù)對象可以根據(jù)自身的特點選擇不同的存儲產(chǎn)品構(gòu)建自己的數(shù)據(jù)存儲備份系統(tǒng)。

工具包的準備：

• 應急服務(wù)提供者應根據(jù)應急服務(wù)對象的需求準備處置網(wǎng)絡(luò)安全事件的工具包，包括常用的系統(tǒng)基本命令、其他軟件工具等；
• 應急服務(wù)提供者的工具包中的工具最好是采用綠色免安裝的， 應保存在安全的移動介質(zhì)上，如一次性可寫光盤、加密的U 盤等；
• 應急服務(wù)提供者的工具包應定期更新、補充；

必要技術(shù)的準備：

上述是針對應急響應的處理涉及到的安全技術(shù)工具涵蓋應急響應的事件取樣、事件分析、事件隔離、系統(tǒng)恢復和攻擊追蹤等各個方面，構(gòu)成了網(wǎng)絡(luò)安全應急響應的技術(shù)基礎(chǔ)。所以我們的應急響應服務(wù)實施成員還應該掌握以下必要的技術(shù)手段和規(guī)范，具體包括以下內(nèi)容：

（1）系統(tǒng)檢測技術(shù)，包括以下檢測技術(shù)規(guī)范：

• Windows系統(tǒng)檢測技術(shù)規(guī)范；
• Unix系統(tǒng)檢測技術(shù)規(guī)范；
• 網(wǎng)絡(luò)安全事故檢測技術(shù)規(guī)范；
• 數(shù)據(jù)庫系統(tǒng)檢測技術(shù)規(guī)范；
• 常見的應用系統(tǒng)檢測技術(shù)規(guī)范；

（2）攻擊檢測技術(shù)，包括以下技術(shù)：

• 異常行為分析技術(shù)；
• 入侵檢測技術(shù)；
• 安全風險評估技術(shù)；

（3）攻擊追蹤技術(shù)；

（4）現(xiàn)場取樣技術(shù)；

（5）系統(tǒng)安全加固技術(shù)；

（6）攻擊隔離技術(shù)；

（7）資產(chǎn)備份恢復技術(shù)。

2.3市場人員準備內(nèi)容

• 和服務(wù)對象建立長期友好的業(yè)務(wù)關(guān)系；
• 和服務(wù)對象簽訂應急服務(wù)合同或協(xié)議；
• 建立預防和預警機制，及時上報。

（1）預防和預警機制

• 市場人員要嚴格按照應急響應負責人的安排和建議，及時提醒服務(wù)對象提高防范網(wǎng)絡(luò)攻擊、病毒入侵、網(wǎng)絡(luò)竊密等的能力，防止有害信息傳播，保障服務(wù)對象網(wǎng)絡(luò)的安全暢通。
• 將協(xié)會網(wǎng)絡(luò)信息中心會發(fā)布的病毒預防警報以及更新的防護策略及時有效地告知服務(wù)對象，做好防護策略的更新。

（2）信息系統(tǒng)檢測和報告

• 按照“早發(fā)現(xiàn)、早報告、早處置”的原則，市場人員要加強對服務(wù)對象信息系統(tǒng)的安全檢測結(jié)果的通告，收集可能引發(fā)信息安全事件的有關(guān)信息、進行分析判斷。
• 如服務(wù)對象發(fā)現(xiàn)有異常情況或有信息安全事件發(fā)生時，要立即向協(xié)會網(wǎng)絡(luò)信息中心應急響應負責人報告，并填寫事件初步報告表。
• 要求服務(wù)對象持續(xù)監(jiān)測信息系統(tǒng)狀況，密切關(guān)注應急響應負責人提出初步行動對策和行動方案，聽從指令和安排，及時減小損失。

三、檢測階段

• 目標：接到事故報警后在服務(wù)對象的配合下對異常的系統(tǒng)進行初步分析，確認其是否真正發(fā)生了信息安全事件，制定進一步的響應策略，并保留證據(jù)。
• 角色：應急服務(wù)實施小組成員、應急響應日常運行小組；
• 內(nèi)容：
  • 檢測范圍及對象的確定；
  • 檢測方案的確定；
  • 檢測方案的實施；
  • 檢測結(jié)果的處理。
• 輸出：《檢測結(jié)果記錄》

3.1 實施小組人員的確定

應急響應負責人根據(jù)《事件初步報告表》的內(nèi)容，初步分析事故的類型、嚴重程度等，以此來確定臨時應急響應小組的實施人員的名單。

3.2 檢測范圍及對象的確定

• 應急服務(wù)提供者應對發(fā)生異常的系統(tǒng)進行初步分析，判斷是否正真發(fā)生了安全事件；
• 應急服務(wù)提供者和服務(wù)對象共同確定檢測對象及范圍；
• 檢測對象及范圍應得到服務(wù)對象的書面授權(quán)。

3.3 檢測方案的確定

• 應急服務(wù)提供者和服務(wù)對象共同確定檢測方案；
• 應急服務(wù)提供者制定的檢測方案應明確應急服務(wù)提供者所使用的檢測規(guī)范 ；
• 應急服務(wù)提供者制定的檢測方案應明確應急服務(wù)提供者的檢測范圍，其檢測范圍應僅限于服務(wù)對象已授權(quán)的與安全事件相關(guān)的數(shù)據(jù)，對服務(wù)對象的機密性數(shù)據(jù)信息未經(jīng)授權(quán)的不得訪問；
• 應急服務(wù)提供者制定的檢測方案應包含實施方案失敗的應變和回退措施；
• 應急服務(wù)提供者和服務(wù)對象充分溝通，并預測應急處理方案可能造成的影響。

3.4檢測方案的實施

（1）檢測搜集系統(tǒng)信息

記錄時使用目錄及文件名約定：

在受入侵的計算機的D盤根目錄下（D:\）（如果無D盤則在其他盤根目錄下）建立一個qihoo目錄，目錄中包含以下子目錄：

• artifact：用于存放可疑文件樣本
• cmdoutput：用于記錄命令行輸出結(jié)果
• screenshot：用于存放屏幕拷貝文件
• log：用于存放各類日志文件

文件格式：

• 命令行輸出文件缺省僅使用TXT格式。
• 日志文件及其他格式盡量使用TXT、CSV和其他不需要特殊工具就可以閱讀的格式。
• 屏幕拷貝文件應該使用JPG格式。
• 可疑文件樣本最好加密壓縮為zip格式，默認密碼為：wljslmz

搜集操作系統(tǒng)基本信息

• 右鍵點擊“我的電腦>屬性” 將“常規(guī)”、“自動更新”、“遠程”3 個選卡各制作一個窗口拷貝（使用 Alt+PrtScr ）。并保存到 qihoo\screenshot 目錄下，文件名稱應該使用：系統(tǒng)常規(guī) -01、自動更新-01、遠程-01 等形式命名。
• 進入 CMD 狀態(tài)，“開始 > 運行 > cmd”，進入 D 盤根目錄下的 wljslmz 目錄，執(zhí)行一下命令：

netstat -nao > netstat.txt (網(wǎng)絡(luò)連接信息)
tasklist > tasklist.txt （當前進程信息）
ipconfig /all > ipconfig.txt（IP 屬性）
ver > ver.txt （操作系統(tǒng)屬性）
....................................

日志信息：

• 目標：導出所有日志信息；
• 說明：進入管理工具，將“管理工具 > 事件察看器”中，導出所有事件，分別使用一下文件名保存： application.txt、security.txt、system.txt。

帳號信息：

• 目標：導出所有帳號信息；
• 說明：使用 net user，net group，net local group 命令檢查帳號和組的情況，使用計算機管理查看本地用戶和組，將導出的信息保存在 D:\wljslmz\user中

（2）主機檢測

日志檢查：

• 目標：
  • 從日志信息中檢測出未授權(quán)訪問或非法登錄事件；
  • 從IIS/FTP 日志中檢測非正常訪問行為或攻擊行為；
• 說明：
  • 檢查事件查看器中的系統(tǒng)和安全日志信息，比如：安全日志中異常登錄時間，未知用戶名登錄；
  • 檢查%WinDir%\System32\LogFiles 目錄下的WWW 日志和FTP 日志，比如WWW 日志中的對shell.asp 文件的成功訪問。

帳號檢查：

• 目標：檢查帳號信息中非正常帳號，隱藏帳號；
• 說明： 通過詢問管理員或負責人， 或者和系統(tǒng)的所有的正常帳號列表做對比，判斷是否有可疑的陌生的賬號出現(xiàn)， 利用這些獲得的信息和前面準備階段做的帳號快照工作進行對比。

進程檢查：

• 目標：檢查是否存在未被授權(quán)的應用程序或服務(wù)
• 說明：使用任務(wù)管理器檢查或使用進程查看工具進行查看，利用這些獲得的信息和前面準備階段做的進程快照工作進行對比，判斷是否有可疑的進程。

服務(wù)檢查：

• 目標：檢查系統(tǒng)是否存在非法服務(wù)
• 說明：使用“管理工具”中的“服務(wù)”查看非法服務(wù)或使用360 安全衛(wèi)士、Wsystem 察看當前服務(wù)情況，利用這些獲得的信息和準備階段做的服務(wù)快照工作進行對比。

自啟動檢查：

• 目標：檢查未授權(quán)自啟動程序
• 說明：檢查系統(tǒng)各用戶“啟動”目錄下是否存在未授權(quán)程序。

網(wǎng)絡(luò)連接檢查：

• 目標：檢查非正常網(wǎng)絡(luò)連接和開放的端口
• 說明：關(guān)閉所有的網(wǎng)絡(luò)通訊程序，以免出現(xiàn)干擾，然后使用ipconfig,netstat –an 或其它第三方工具查看所有連接，檢查服務(wù)端口開放情況和異常數(shù)據(jù)的信息。

共享檢查

• 目標：檢查非法共享目錄。
• 說明：使用net share 或其他第三方的工具檢測當前開放的共享，使用$是隱藏目錄共享，通過詢問負責人看是否有可疑的共享文件。

文件檢查：

• 目標：檢查病毒、木馬、蠕蟲、后門等可疑文件。
• 說明：使用防病毒軟件檢查文件，掃描硬盤上所有的文件，將可疑文件進行提取加密壓縮成.zip，保存到 wljslmz\artifact目錄下的相應子目錄中。

查找其他入侵痕跡：

• 目標：查找其它系統(tǒng)上的入侵痕跡，尋找攻擊途徑
• 說明：其它系統(tǒng)包括：同一IP 地址段或同一網(wǎng)段的系統(tǒng)、同一域的其他系統(tǒng)、擁有相同操作系統(tǒng)的其他系統(tǒng)。

3.5 檢測結(jié)果的處理

（1）確定安全事件的類型

經(jīng)過檢測，判斷出信息安全事件類型。

信息安全事件可以有以下 7 個基本分類：

• 有害程序事件：蓄意制造、傳播有害程序，或是因受到有害程序的影響而導致的信息安全事件。
• 網(wǎng)絡(luò)攻擊事件：通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對信息系統(tǒng)實施攻擊，并造成信息系統(tǒng)異常或?qū)π畔⑾到y(tǒng)當前運行造成潛在危害的信息安全事件。
• 信息破壞事件：通過網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導致的信息安全事件。
• 信息內(nèi)容安全事件：利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的內(nèi)容的安全事件。
• 設(shè)備設(shè)施故障：由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導致的信息安全事件，以及人為的使用非技術(shù)手段有意或無意的造成信息系統(tǒng)破壞而導致的信息安全事件。
• 災害性事件：由于不可抗力對信息系統(tǒng)造成物理破壞而導致的信息安全事件。
• 其他信息安全事件：不能歸為以上6個基本分類的信息安全事件。

（2）評估突發(fā)信息安全事件的影響

• 采用定量和/或定性的方法，對業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓數(shù)據(jù)丟失等突發(fā)信息安全事件造成的影響進行評估；
• 確定是否存在針對該事件的特定系統(tǒng)預案，如有，則啟動相關(guān)預案；如果事件涉及多個專項預案，應同時啟動所有涉及的專項預案；
• 如果沒有針對該事件的專項預案，應根據(jù)事件具體情 況 ，采取抑制措施，抑制事件進一步擴散。

四、抑制階段

• 目標：及時采取行動限制事件擴散和影響的范圍，限制潛在的損失與破壞，同時要確保封鎖方法對涉及相關(guān)業(yè)務(wù)影響最小。
• 角色：應急服務(wù)實施小組、應急響應日常運行小組。
• 內(nèi)容：
  • 抑制方案的確定；
  • 抑制方案的認可；
  • 抑制方案的實施；
  • 抑制效果的判定；
• 輸出：《抑制處理記錄表》

4.1 抑制方案的確定

• 應急服務(wù)提供者應在檢測分析的基礎(chǔ)上，初步確定與安全事件相對應的抑制方法，如有多項，可由服務(wù)對象考慮后自己選擇；
• 在確定抑制方法時應該考慮：
  • 全面評估入侵范圍、入侵帶來的影響和損失；
  • 通過分析得到的其他結(jié)論，如入侵者的來源；
  • 服務(wù)對象的業(yè)務(wù)和重點決策過程；
  • 服務(wù)對象的業(yè)務(wù)連續(xù)性。

4.2 抑制方案的認可

• 應急服務(wù)提供者應告知服務(wù)對象所面臨的首要問題；
• 應急服務(wù)提供者所確定的抑制方法和相應的措施應得到服務(wù)對象的認可；
• 在采取抑制措施之前，應急服務(wù)提供者要和服務(wù)對象充分溝通，告知可能存在的風險，制定應變和回退措施，并與其達成協(xié)議。

4.3 抑制方案的實施

• 應急服務(wù)提供者要嚴格按照相關(guān)約定實施抑制，不得隨意更改抑制的措施的范圍，如有必要更改，需獲得服務(wù)對象的授權(quán)；
• 抑制措施包含但不僅限于以下幾方面：
  • 確定受害系統(tǒng)的范圍后，將被害系統(tǒng)和正常的系統(tǒng)進行隔離，斷開或暫時關(guān)閉被攻擊的系統(tǒng)，使攻擊先徹底停止；
  • 持續(xù)監(jiān)視系統(tǒng)和網(wǎng)絡(luò)活動，記錄異常流量的遠程IP、域名、端口；
  • 停止或刪除系統(tǒng)非正常帳號，隱藏帳號，更改口令，加強口令的安全級別；
  • 掛起或結(jié)束未被授權(quán)的、可疑的應用程序和進程；
  • 關(guān)閉存在的非法服務(wù)和不必要的服務(wù)；
  • 刪除系統(tǒng)各用戶“啟動”目錄下未授權(quán)自啟動程序；
  • 使用netshare或其他第三方的工具停止所有開放的共享；
  • 使用反病毒軟件或其他安全工具檢查文件，掃描硬盤上所有的文件，隔離或清除病毒、木馬、蠕蟲、后門等可疑文件；
  • 設(shè)置陷阱，如蜜罐系統(tǒng)；或者反擊攻擊者的系統(tǒng)。

4.4抑制效果的判定

• 防止事件繼續(xù)擴散，限制了潛在的損失和破壞，使目前損失最小化；
• 對其它相關(guān)業(yè)務(wù)的影響是否控制在最小。

五、根除階段

• 目標：對事件進行抑制之后，通過對有關(guān)事件或行為的分析結(jié)果，找出事件根源，明確相應的補救措施并徹底清除。
• 角色：應急服務(wù)實施小組、應急響應日常運行小組。
• 內(nèi)容：
  • 根除方案的確定；
  • 根除方案的認可；
  • 根除方案的實施；
  • 根除效果的判定；
• 輸出：《根除處理記錄表》

5.1 根除方案的確定

• 應急服務(wù)提供者應協(xié)助服務(wù)對象檢查所有受影響的系統(tǒng)，在準確判斷安全事件原因的基礎(chǔ)上，提出方案建議；
• 由于入侵者一般會安裝后門或使用其他的方法以便于在將來有機會侵入該被攻陷的系統(tǒng)，因此在確定根除方法時，需要了解攻擊者時如何入侵的，以及與這種入侵方法相同和相似的各種方法。

5.2 根除方案的認可

• 應急服務(wù)提供者應明確告知服務(wù)對象所采取的根除措施可能帶來的風險，制定應變和回退措施，并得到服務(wù)對象的書面授權(quán)；
• 應急服務(wù)提供者應協(xié)助服務(wù)對象進行根除方法的實施。

5.3 根除方案的實施

• 應急服務(wù)提供者應使用可信的工具進行安全事件的根除處理，不得使用受害系統(tǒng)已有的不可信的文件和工具；
• 根除措施易包含但不僅限與以下幾個方面：
  • 改變?nèi)靠赡苁艿焦舻南到y(tǒng)帳號和口令，并增加口令的安全級別；
  • 修補系統(tǒng)、網(wǎng)絡(luò)和其他軟件漏洞；
  • 增強防護功能：復查所有防護措施的配置，安裝最新的防火墻和殺毒軟件，并及時更新， 對未受保護或者保護不夠的系統(tǒng)增加新的防護措施；
  • 提高其監(jiān)視保護級別，以保證將來對類似的入侵進行檢測；

5.4 根除效果的判定

• 找出造成事件的原因，備份與造成事件的相關(guān)文件和數(shù)據(jù)；
• 對系統(tǒng)中的文件進行清理，根除；
• 使系統(tǒng)能夠正常工作。

六、恢復階段

• 目標：恢復安全事件所涉及到得系統(tǒng)，并還原到正常狀態(tài)，使業(yè)務(wù)能夠正常進行，恢復工作應避免出現(xiàn)誤操作導致數(shù)據(jù)的丟失。
• 角色：應急服務(wù)實施小組、應急響應日常運行小組。
• 內(nèi)容：
  • 恢復方案的確定；
  • 恢復信息系統(tǒng)；
• 輸出：《恢復處理記錄表》

6.1 恢復方案的確定

• 應急服務(wù)提供者應告知服務(wù)對象一個或多個能從安全事件中恢復系統(tǒng)的方法，及他們可能存在的風險；
• 應急服務(wù)提供者應和服務(wù)對象共同確定系統(tǒng)恢復方案，根據(jù)抑制和根除的情況，協(xié)助服務(wù)對象選擇合適的系統(tǒng)恢復的方案，恢復方案涉及到以下幾方面：
  • 如何獲得訪問受損設(shè)施或地理區(qū)域的授權(quán)；
  • 如何通知相關(guān)系統(tǒng)的內(nèi)部和外部業(yè)務(wù)伙伴；
  • 如何獲得安裝所需的硬件部件；
  • 如何獲得裝載備份介質(zhì)；如何恢復關(guān)鍵操作系統(tǒng)和應用軟件；
  • 如何恢復系統(tǒng)數(shù)據(jù)；
  • 如何成功運行備用設(shè)備
• 如果涉及到涉密數(shù)據(jù)，確定恢復方法時應遵循相應的保密要求 。

6.2 恢復信息系統(tǒng)

• 應急響應實施小組應按照系統(tǒng)的初始化安全策略恢復系統(tǒng)；
• 恢復系統(tǒng)時，應根據(jù)系統(tǒng)中個子系統(tǒng)的重要性，確定系統(tǒng)恢復的順序；
• 恢復系統(tǒng)過程宜包含但不限于以下方面：
• 利用正確的備份恢復用戶數(shù)據(jù)和配置信息；
• 開啟系統(tǒng)和應用服務(wù)，將受到入侵或者懷疑存在漏洞而關(guān)閉的服務(wù)，修改后重新開放；
• 連接網(wǎng)絡(luò)，服務(wù)重新上線，并持續(xù)監(jiān)控持續(xù)匯總分析，了解各網(wǎng)的運行情況；
• 對于不能徹底恢復配置和清除系統(tǒng)上的惡意文件，或不能肯定系統(tǒng)在根除處理后是否已恢復正常時，應選擇徹底重建系統(tǒng)；
• 應急服務(wù)實施小組應協(xié)助服務(wù)對象驗證恢復后的系統(tǒng)是否正常運行；
• 應急服務(wù)實施小組宜幫助服務(wù)對象對重建后的系統(tǒng)進行安全加固；
• 應急服務(wù)實施小組宜幫助服務(wù)對象為重建后的系統(tǒng)建立系統(tǒng)快照和備份。

七、總結(jié)階段

• 目標：通過以上各個階段的記錄表格，回顧安全事件處理的全過程，整理與事件相關(guān)的各種信息，進行總結(jié)，并盡可能的把所有信息記錄到文檔中。
• 角色：應急服務(wù)實施小組、應急響應日常運行小組。
• 內(nèi)容：

（1）事故總結(jié):

• 應急服務(wù)提供者應及時檢查安全事件處理記錄是否齊全，是否具備可塑性，并對事件處理過程進行總結(jié)和分析；
• 應急處理總結(jié)的具體工作包括但不限于以下幾項：
  • 事件發(fā)生的現(xiàn)象總結(jié)；
  • 事件發(fā)生的原因分析；
  • 系統(tǒng)的損害程度評估；
  • 事件損失估計；
  • 采取的主要應對措施；

（2）相關(guān)的工具文檔（如專項預案、方案等）歸檔。

• 事故報告:
  • 應急服務(wù)提供者應向服務(wù)對象提供完備的網(wǎng)絡(luò)安全事件處理報告；
  • 應急服務(wù)提供者應向服務(wù)對象提供網(wǎng)絡(luò)安全方面的措施和建議。

7.1 交付

安全事件處置完成，系統(tǒng)得到恢復。找到安全事件發(fā)生原因并提供安全解決方案。

提供交付物： 《XX 系統(tǒng)（事件）應急響應報告》 ，并經(jīng)采購人相關(guān)負責人的書面確認。文章來源地址http://www.zghlxwxcb.cn/news/detail-610153.html

到了這里，關(guān)于網(wǎng)絡(luò)安全應急響應服務(wù)方案怎么寫？包含哪些階段？一文帶你了解！的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！