信息安全应急响应服务专业方案模板.doc

资源描述

1、信息安全应急响应服务方案XXXX科技5月目录第一部分概述31.1.信息安全应急响应31.2.应急安全响应事件31.3.服务标准3第二部分应急响应组织保障42.1.角色划分42.2.角色职责42.3.组织外部协作42.4.保障方法5第三部分应急响应实施步骤53.1.准备阶段（Preparation）73.1.1 责任人准备内容73.1.2 技术人员准备内容73.1.3 市场人员准备内容93.2.检测阶段（Examination）93.2.1 实施小组人员确实定93.2.2 检测范围及对象确实定103.2.3 检测方案确实定103.2.4 检测方案实施103.2.5 检测结果处理123.3

2、.抑制阶段（Suppresses）123.3.1 抑制方案确实定133.3.2 抑制方案认可133.3.3 抑制方案实施133.3.4 抑制效果判定133.4.根除阶段（Eradicates）143.4.1 根除方案确实定143.4.2 根除方案认可143.4.3 根除方案实施143.4.4 根除效果判定143.5.恢复阶段（Restoration）153.5.1 恢复方案确实定153.5.2 恢复信息系统153.6.总结阶段（Summary）153.6.1 事故总结163.6.2 事故汇报16第一部分概述1.1.信息安全应急响应应急响应服务是为满足企业发生安全事件、需要紧急处理问题情况下提

3、供一项安全服务。当企业发生黑客入侵、系统瓦解或其它影响业务正常运行安全事件时，安全教授会在第一时间赶到事件现场，使企业网络信息系统在最短时间内恢复正常工作，帮助企业查找入侵起源，给出入侵事故过程汇报，同时给出处理方案和防范汇报，为企业挽回或降低经济损失。提供入侵调查，拒绝服务攻击响应，主机、网络、业务异常紧急响应和处理。1.2.应急安全响应事件计算机病毒事件；蠕虫病毒事件；特洛伊木马事件；网页内嵌恶意代码事件；拒绝服务攻击事件；后门攻击事件；漏洞攻击事件；网络扫描窃听事件；信息篡改事件；信息假冒事件；信息窃取事件。1.3.服务标准在整个应急响应处理过程中，本协会严格根

4、据以下标准要求服务人员，并签署必需保密协议。u 保密性标准应急服务提供者应对应急处理服务过程中获知任何相关服务对象系统信息负担保密责任和义务，不得泄露给第三方单位和个人，不得利用这些信息进行侵害服务对象行为。u 规范性标准应急服务提供者应要求服务人员依据规范操作步骤进行应急处理服务，全部处理人员必需对各自操作过程和结果进行具体统计，最终根据规范汇报格式提供完整服务汇报。u 最小影响标准应急处理服务工作应尽可能降低对原系统和网络正常运行影响，尽可能避免对原网络运行和业务正常运转产生显著影响（包含系统性能显著下降、网络阻塞、服务中止等），如无法避免，则必需向服务对象说明。第二部分应急响应组织保障

5、2.1.角色划分本企业应急响应工作机构按角色划分为三个：u 应急响应责任人，u 应急响应技术人员，u 应急响应市场人员。信息安全事件发生后，在应急响应领导小组统一布署下，工作人员各施其职，并严格根据应急响应计划组织实施应急响应工作。2.2.角色职责u 应急响应责任人：应急响应责任人是信息安全应急响应工作组织领导机构，组长应由组织最高管理层组员担任。责任人职责是领导和决议信息安全应急响应重大事宜，关键职责以下： a) 制订工作方案；b) 提供人员和物质确保；c) 审核并同意经费预算；d) 审核并同意恢复策略；e) 审核并同意应急响应计划；f) 同意并监督应急响应计划实施；g) 指导应急响应实施小

6、组应急处理工作；h) 开启定时评审、修订应急响应计划和负责组织外部协作。u 应急响应技术人员，其关键职责以下：a) 编制应急响应计划文档；b) 应急响应需求分析，确定应急策略和等级和策略实现；c) 备份系统运行和维护，帮助灾难恢复系统实施；d) 信息安全突发事件发生时损失控制和损害评定；e) 组织应急响应计划测试和演练。u 应急响应市场人员，其关键职责以下：a) 开拓新用户，和用户建立长久合作关系；维护和企业老用户业务往来；b) 建立预防预警机制，立即进行信息上报；c) 参与和帮助应急响应计划教育、培训和演练；d) 信息安全事件发生后外部协作。2.3.组织外部协作依据服务对象信息安全事件影响程

7、度，如需向上级部门立即通报正确情况或向其它单位寻求支持时，应和相关管理部门和外部组织机构保持联络和协作。关键包含国家计算机网络应急技术处理协调中心(CNCERT/CC)华中地域分中心、国家计算机网络应急技术处理协调中心(CNCERT/CC)、中国教育科研网络华中地域网络中心、中国教育科研网网络中心、#市公安局网络安全监察室、湖北省公安厅网络安全监察处、中国电信#分企业网管中心和关键相关设备供给商。2.4.保障方法u 应急人力保障加强信息安全人才培养，强化信息安全宣传教育，建设一支高素质、高技术信息安全关键人才和管理队伍，提升信息安全防御意识。大力发展信息安全服务业，增强协会应急支援能力。u 物

8、质条件保障安排一定资金用于预防或应对信息安全突发事件，提供必需交通运输保障，优化信息安全应急处理工作物资保障条件。u 技术支撑保障设置信息安全应急响应中心，建立预警和应急处理技术平台，深入提升安全事件发觉和分析能力。从技术上逐步实现发觉、预警、处理、通报等多个步骤和不一样网络、系统、部门之间应急处理联动机制。第三部分应急响应实施步骤该服务步骤并非一个固定不变教条，需要应急响应服务人员在实际中灵活变通，可合适简化，但任何变通全部必需纪录相关原因。具体统计对于找出事件真相、查出威胁起源和安全弱点、找到问题正确处理方法，甚至判定事故责任，避免同类事件发生全部有着极其关键作用。 3.1.准备阶段（

9、Preparation） l 目标：在事件真正发生前为应急响应做好预备性工作。l 角色：协会责任人、技术人员、市场人员。l 内容：依据不一样角色准备不一样内容。l 输出：准备工具清单、事件初步汇报表、实施人职员作清单3.1.1 责任人准备内容l 制订工作方案和计划；l 提供人员和物质确保；l 审核并同意经费预算、恢复策略、应急响应计划；l 同意并监督应急响应计划实施；l 指导应急响应实施小组应急处理工作；l 开启定时评审、修订应急响应计划和负责组织外部协作。3.1.2 技术人员准备内容l 服务需求界定首先要对服务对象整个信息系统进行评定，明确服务对象应急需求，具体应包含以下内容：1) 应急服务

10、提供者应了解应急服务对象各项业务功效及其之间相关性，确定支持多种业务功效相关信息系统资源及其它资源，明确相关信息保密性、完整性、和可用性要求；2) 对服务对象信息系统，包含应用程序，服务器，网络及任何管理和维护这些系统步骤进行评定，确定系统所实施关键功效，并确定实施这些关键功效所需要特定系统资源；3) 应急服务提供者应采取定性或定量方法，对业务中止、系统宕机、网络瘫痪等突发安全事件造成影响进行评定；4) 应急服务提供者应帮助服务对象建立合适应急响应策略，应提供在业务中止、系统宕机、网络瘫痪等突发安全事件发生后快速有效恢复信息系统运行方法；5) 应急服务提供者宜为服务对象提供相关培训服务，以提升

11、服务对象安全意识，便于相关责任人明确自己角色和责任，了解常见安全事件和入侵行为，熟悉应急响应策略。l 主机和网络设备安全初始化快照和备份在系统安全策略配置完成后，要对系统做一次初始安全状态快照。这么，假如以后在出现事故后对该服务器做安全检测时，经过将初始化快照做结果和检测阶段做快照进行比较，就能够发觉系统改动或异常。1) 对主机系统做一个标准安全初始化状态快照，包含关键内容有：日志及审核策略快照等。用户账户快照；进程快照；服务快照；自开启快照关键文件署名快照；开放端口快照；系统资源利用率快照；注册表快照；计划任务快照等等；2) 对网络设备做一个标准安全初始化状态快照，包含关

12、键内容有：路由器快照；防火墙快照；用户快照；系统资源利用率等快照。3) 信息系统业务数据及办公数据均十分关键，所以需要进行数据存放及备份。现在，存放备份结构关键有DAS、SAN和NAS，和经过磁带或光盘对数据进行备份。各服务对象能够依据本身特点选择不一样存放产品构建自己数据存放备份系统。l 工具包准备1) 应急服务提供者应依据应急服务对象需求准备处理网络安全事件工具包，包含常见系统基础命令、其它软件工具等；2) 应急服务提供者工具包中工具最好是采取绿色免安装，应保留在安全移动介质上，如一次性可写光盘、加密U盘等；3) 应急服务提供者工具包应定时更新、补充；l 必需技术准备上述是针对应急

13、响应处理包含到安全技术工具涵盖应急响应事件取样、事件分析、事件隔离、系统恢复和攻击追踪等各个方面，组成了网络安全应急响应技术基础。所以我们应急响应服务实施组员还应该掌握以下必需技术手段和规范，具体包含以下内容：1) 系统检测技术，包含以下检测技术规范： Windows系统检测技术规范； Unix系统检测技术规范；网络安全事故检测技术规范；数据库系统检测技术规范；常见应用系统检测技术规范；2) 攻击检测技术，包含以下技术：异常行为分析技术；入侵检测技术；安全风险评定技术；3) 攻击追踪技术；4) 现场取样技术；5) 系统安全加固技术；6) 攻击隔离技术；7) 资产备份恢复技术；3.1

14、.3 市场人员准备内容l 和服务对象建立长久友好业务关系；l 和服务对象签署应急服务协议或协议；l 建立预防和预警机制，立即上报。1) 预防和预警机制市场人员要严格根据应急响应责任人安排和提议，立即提醒服务对象提升防范网络攻击、病毒入侵、网络窃密等能力，预防有害信息传输，保障服务对象网络安全通畅。将协会网络信息中心会公布病毒预防警报和更新防护策略立即有效地通知服务对象，做好防护策略更新。2) 信息系统检测和汇报根据“早发觉、早汇报、早处理”标准，市场人员要加强对服务对象信息系统安全检测结果通告，搜集可能引发信息安全事件相关信息、进行分析判定。如服务对象发觉有异常情况或有信息安全事件发生

15、时，要立即向协会网络信息中心应急响应责任人汇报，并填写事件初步汇报表。要求服务对象连续监测信息系统情况，亲密关注应急响应责任人提出初步行动对策和行动方案，听从指令和安排，立即减小损失。3.2.检测阶段（Examination）l 目标：接到事故报警后在服务对象配合下对异常系统进行初步分析，确定其是否真正发生了信息安全事件，制订深入响应策略，并保留证据。l 角色：应急服务实施小组组员、应急响应日常运行小组；l 内容：(1) 检测范围及对象确实定；(2) 检测方案确实定；(3) 检测方案实施；(4) 检测结果处理。l 输出：检测结果统计、3.2.1 实施小组人员确实定应急响应责任人依据事件初步汇

16、报表内容，初步分析事故类型、严重程度等，以此来确定临时应急响应小组实施人员名单。3.2.2 检测范围及对象确实定l 应急服务提供者应对发生异常系统进行初步分析，判定是否正真发生了安全事件；l 应急服务提供者和服务对象共同确定检测对象及范围；l 检测对象及范围应得到服务对象书面授权。3.2.3 检测方案确实定l 应急服务提供者和服务对象共同确定检测方案；l 应急服务提供者制订检测方案应明确应急服务提供者所使用检测规范；l 应急服务提供者制订检测方案应明确应急服务提供者检测范围，其检测范围应仅限于服务对象已授权和安全事件相关数据，对服务对象机密性数据信息未经授权不得访问；l 应急服务提供者制订检测

17、方案应包含实施方案失败应变和回退方法；l 应急服务提供者和服务对象充足沟通，并估计应急处理方案可能造成影响。3.2.4 检测方案实施l 检测搜集系统信息统计时使用目录及文件名约定：在受入侵计算机D盘根目录下（D:）（假如无D盘则在其它盘根目录下）建立一个EEAN目录，目录中包含以下子目录： artifact：用于存放可疑文件样本 cmdoutput：用于统计命令行输出结果 screenshot：用于存放屏幕拷贝文件 log：用于存放各类日志文件文件格式：命令行输出文件缺省仅使用TXT格式。日志文件及其它格式尽可能使用TXT、CSV和其它不需要特殊工具就能够阅读格式。屏幕拷贝文件应该

18、使用BMP格式。可疑文件样本最好加密压缩为zip格式，默认密码为：eean 搜集操作系统基础信息1右键点击“我电脑属性” 将“常规”、“自动更新”、“远程”3个选卡各制作一个窗口拷贝（使用Alt+PrtScr）。并保留到EEANscreenshot目录下，文件名称应该使用：系统常规-01、自动更新-01、远程-01等形式命名。 2进入CMD状态，“开始运行 cmd”，进入D盘根目录下EEAN目录，实施一下命令： netstat -nao netstat.txt (网络连接信息)tasklist tasklist.txt （目前进程信息）ipconfig /all ipconfig.txt（

19、IP属性） ver ver.txt （操作系统属性）. 日志信息目标：导出全部日志信息；说明：进入管理工具，将“管理工具事件察看器”中，导出全部事件，分别使用一下文件名保留： application.txt、security.txt、system.txt。帐号信息目标：导出全部帐号信息；说明：使用net user，net group，net local group命令检验帐号和组情况，使用计算机管理查看当地用户和组，将导出信息保留在D:EEANuser中 l 主机检测日志检验目标：1、从日志信息中检测出未授权访问或非法登录事件；2、从IIS/FTP日志中检测非正常访问行为或攻击行为；说明

20、：1、检验事件查看器中系统和安全日志信息，比如：安全日志中异常登录时间，未知用户名登录；2、检验%WinDir%System32LogFiles 目录下WWW日志和FTP日志，比如WWW日志中对cmd.asp文件成功访问。帐号检验目标：检验帐号信息中非正常帐号，隐藏帐号；说明：经过问询管理员或责任人，或和系统全部正常帐号列表做对比，判定是否有可疑陌生账号出现，利用这些取得信息和前面准备阶段做帐号快照工作进行对比。进程检验目标：检验是否存在未被授权应用程序或服务说明：使用任务管理器检验或使用进程查看工具进行查看，利用这些取得信息和前面准备阶段做进程快照工作进行对比，判定是否有可疑进程。服务

21、检验目标：检验系统是否存在非法服务说明：使用“管理工具”中“服务”查看非法服务或使用冰刃、Wsystem察看目前服务情况，利用这些取得信息和准备阶段做服务快照工作进行对比。自开启检验目标：检验未授权自开启程序说明：检验系统各用户“开启”目录下是否存在未授权程序。网络连接检验目标：检验非正常网络连接和开放端口说明：关闭全部网络通讯程序，以免出现干扰，然后使用ipconfig, netstat an或其它第三方工具查看全部连接，检验服务端口开放情况和异常数据信息。共享检验目标：检验非法共享目录。说明：使用net share或其它第三方工具检测目前开放共享，使用$是隐藏目录共享，经过问询责任人

22、看是否有可疑共享文件。文件检验目标：检验病毒、木马、蠕虫、后门等可疑文件。说明：使用防病毒软件检验文件，扫描硬盘上全部文件，将可疑文件进行提取加密压缩成.zip，保留到EEANartifact目录下对应子目录中。查找其它入侵痕迹目标：查找其它系统上入侵痕迹，寻求攻击路径说明：其它系统包含：同一IP地址段或同一网段系统、同一域其它系统、拥有相同操作系统其它系统。3.2.5 检测结果处理l 确定安全事件类型经过检测，判定出信息安全事件类型。信息安全事件能够有以下7个基础分类：有害程序事件：蓄意制造、传输有害程序，或是因受到有害程序影响而造成信息安全事件。网络攻击事件：经过网络或其它技术手段

23、，利用信息系统配置缺点、协议缺点、程序缺点或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统目前运行造成潜在危害信息安全事件。信息破坏事件：经过网络或其它技术手段，造成信息系统中信息被篡改、假冒、泄漏、窃取等而造成信息安全事件。信息内容安全事件：利用信息网络公布、传输危害国家安全、社会稳定和公共利益内容安全事件。设备设施故障：因为信息系统本身故障或外围保障设施故障而造成信息安全事件，和人为使用非技术手段有意或无意造成信息系统破坏而造成信息安全事件。灾难性事件：因为不可抗力对信息系统造成物理破坏而造成信息安全事件。其它信息安全事件：不能归为以上6个基础分类信息安全事件。l

24、评定突发信息安全事件影响采取定量和/或定性方法，对业务中止、系统宕机、网络瘫痪数据丢失等突发信息安全事件造成影响进行评定：l 确定是否存在针对该事件特定系统预案，如有，则开启相关预案；假如事件包含多个专题预案，应同时开启全部包含专题预案；l 假如没有针对该事件专题预案，应依据事件具体情况，采取抑制方法，抑制事件深入扩散。3.3.抑制阶段（Suppresses）l 目标：立即采取行动限制事件扩散和影响范围，限制潜在损失和破坏，同时要确保封锁方法对包含相关业务影响最小。l 角色：应急服务实施小组、应急响应日常运行小组。l 内容：(1) 抑制方案确实定；(2) 抑制方案认可；(3) 抑制方案实施；

25、(4) 抑制效果判定；l 输出：抑制处理统计表、3.3.1 抑制方案确实定l 应急服务提供者应在检测分析基础上，初步确定和安全事件相对应抑制方法，如有多项，可由服务对象考虑后自己选择；l 在确定抑制方法时应该考虑：全方面评定入侵范围、入侵带来影响和损失；经过分析得到其它结论，如入侵者起源；服务对象业务和关键决议过程；服务对象业务连续性。3.3.2 抑制方案认可l 应急服务提供者应通知服务对象所面临首要问题；l 应急服务提供者所确定抑制方法和对应方法应得到服务对象认可；l 在采取抑制方法之前，应急服务提供者要和服务对象充足沟通，通知可能存在风险，制订应变和回退方法，并和其达成协议。3.3

26、.3 抑制方案实施l 应急服务提供者要严格按摄影关约定实施抑制，不得随意更改抑制方法范围，如有必需更改，需取得服务对象授权；l 抑制方法易包含但不仅限于以下几方面：确定受害系统范围后，将被害系统和正常系统进行隔离，断开或临时关闭被攻击系统，使攻击先根本停止；连续监视系统和网络活动，统计异常流量远程IP、域名、端口；停止或删除系统非正常帐号，隐藏帐号，更改口令，加强口令安全等级；挂起或结束未被授权、可疑应用程序和进程；关闭存在非法服务和无须要服务；删除系统各用户“开启”目录下未授权自开启程序；使用net share或其它第三方工具停止全部开放共享；使用反病毒软件或其它安全工具检验

27、文件，扫描硬盘上全部文件，隔离或清除病毒、木马、蠕虫、后门等可疑文件；设置陷阱，如蜜罐系统；或反击攻击者系统。3.3.4 抑制效果判定l 预防事件继续扩散，限制了潜在损失和破坏，使现在损失最小化；l 对其它相关业务影响是否控制在最小。3.4.根除阶段（Eradicates）l 目标：对事件进行抑制以后，经过对相关事件或行为分析结果，找出事件根源，明确对应补救方法并根本清除。l 角色：应急服务实施小组、应急响应日常运行小组。l 内容：(1) 根除方案确实定；(2) 根除方案认可；(3) 根除方案实施；(4) 根除效果判定；l 输出：根除处理统计表、3.4.1 根除方案确实定l 应急服务提供者应

28、帮助服务对象检验全部受影响系统，在正确判定安全事件原因基础上，提出方案提议；l 因为入侵者通常会安装后门或使用其它方法方便于在未来有机会侵入该被攻陷系统，所以在确定根除方法时，需要了解攻击者时怎样入侵，和和这种入侵方法相同和相同多种方法。3.4.2 根除方案认可l 应急服务提供者应明确通知服务对象所采取根除方法可能带来风险，制订应变和回退方法，并得到服务对象书面授权；l 应急服务提供者应帮助服务对象进行根除方法实施。3.4.3 根除方案实施l 应急服务提供者应使用可信工具进行安全事件根除处理，不得使用受害系统已经有不可信文件和工具；l 根除方法易包含但不仅限和以下多个方面：改变全部可能受到攻

29、击系统帐号和口令，并增加口令安全等级；修补系统、网络和其它软件漏洞；增强防护功效：复查全部防护方法配置，安装最新防火墙和杀毒软件，并立即更新，对未受保护或保护不够系统增加新防护方法；提升其监视保护等级，以确保未来对类似入侵进行检测；3.4.4 根除效果判定l 找出造成事件原因，备份和造成事件相关文件和数据；l 对系统中文件进行清理，根除；l 使系统能够正常工作。3.5.恢复阶段（Restoration）l 目标：恢复安全事件所包含到得系统，并还原到正常状态，使业务能够正常进行，恢复工作应避免出现误操作造成数据丢失。l 角色：应急服务实施小组、应急响应日常运行小组。l 内容：(1) 恢复

30、方案确实定；(2) 恢复信息系统；l 输出：恢复处理统计表、.3.5.1 恢复方案确实定l 应急服务提供者应通知服务对象一个或多个能从安全事件中恢复系统方法，及她们可能存在风险；l 应急服务提供者应和服务对象共同确定系统恢复方案，依据抑制和根除情况，帮助服务对象选择适宜系统恢复方案，恢复方案包含到以下几方面：怎样取得访问受损设施或地理区域授权；怎样通知相关系统内部和外部业务伙伴；怎样取得安装所需硬件部件；怎样取得装载备份介质；怎样恢复关键操作系统和应用软件；怎样恢复系统数据；怎样成功运行备用设备l 假如包含到涉密数据，确定恢复方法时应遵照对应保密要求。3.5.2 恢复信息系统l 应

31、急响应实施小组应根据系统初始化安全策略恢复系统；l 恢复系统时，应依据系统中个子系统关键性，确定系统恢复次序；l 恢复系统过程宜包含但不限于以下方面：利用正确备份恢复用户数据和配置信息；开启系统和应用服务，将受到入侵或怀疑存在漏洞而关闭服务，修改后重新开放；连接网络，服务重新上线，并连续监控连续汇总分析，了解各网运行情况；l 对于不能根本恢复配置和清除系统上恶意文件，或不能肯定系统在根除处理后是否已恢复正常时，应选择根本重建系统；l 应急服务实施小组应帮助服务对象验证恢复后系统是否正常运行；l 应急服务实施小组宜帮助服务对象对重建后系统进行安全加固；l 应急服务实施小组宜帮助服务对象为重

32、建后系统建立系统快照和备份；3.6.总结阶段（Summary）l 目标：经过以上各个阶段统计表格，回顾安全事件处理全过程，整理和事件相关多种信息，进行总结，并尽可能把全部信息统计到文档中。l 角色：应急服务实施小组、应急响应日常运行小组。l 内容：(1) 事故总结；(2) 事故汇报；l 输出：应急响应汇报表、3.6.1 事故总结l 应急服务提供者应立即检验安全事件处理统计是否齐全，是否含有可塑性，并对事件处理过程进行总结和分析；l 应急处理总结具体工作包含但不限于以下几项：事件发生现象总结；事件发生原因分析；系统损害程度评定；事件损失估量；采取关键应对方法；相关工具文档（如专题预案、方案等）归档。3.6.2 事故汇报l 应急服务提供者应向服务对象提供完备网络安全事件处理汇报；l 应急服务提供者应向服务对象提供网络安全方面方法和提议；l 上述总结汇报具体信息参考Excel表应急响应汇报表。

展开阅读全文