1、信息安全应急响应服务方案XXXX 科技有限公司2018 年 5 月目 录第一部分 概述 .31.1.信息安全应急响应 .31.2.应急安全响应事件 .31.3.服务原则 .3第二部分 应急响应组织保障 .42.1.角色的划分 .42.2.角色的职责 .42.3.组织的外部协作 .42.4.保障措施 .5第三部分 应急响应实施流程 .53.1.准备阶段(Preparation ) .73.1.1 负责人准备内容 .73.1.2 技术人员准备内容 .73.1.3 市场人员准备内容 .93.2.检测阶段(Examination) .93.2.1 实施小组人员的确定 .93.2.2 检测范围及对象的确
2、定 .103.2.3 检测方案的确定 .103.2.4 检测方案的实施 .103.2.5 检测结果的处理 .123.3.抑制阶段(Suppresses) .123.3.1 抑制方案的确定 .133.3.2 抑制方案的认可 .133.3.3 抑制方案的实施 .133.3.4 抑制效果的判定 .133.4.根除阶段(Eradicates) .143.4.1 根除方案的确定 .143.4.2 根除方案的认可 .143.4.3 根除方案的实施 .143.4.4 根除效果的判定 .143.5.恢复阶段(Restoration) .153.5.1 恢复方案的确定 .153.5.2 恢复信息系统 .153.
3、6.总结阶段(Summary) .153.6.1 事故总结 .163.6.2 事故报告 .16第一部分 概述1.1.信息安全应急响应应急响应服务是为满足企业发生安全事件、需要紧急解决问题的情况下提供的一项安全服务。当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,安全专家会在第一时间赶到事件现场,使企业的网络信息系统在最短时间内恢复正常工作,帮助企业查找入侵来源,给出入侵事故过程报告,同时给出解决方案与防范报告,为企业挽回或减少经济损失。提供入侵调查,拒绝服务攻击响应,主机、网络、业务异常紧急响应和处理。1.2.应急安全响应事件 计算机病毒事件; 蠕虫病毒事件 ; 特洛伊木马事件
4、 ; 网页内嵌恶意代码事件; 拒绝服务攻击事件; 后门攻击事件; 漏洞攻击事件; 网络扫描窃听事件; 信息篡改事件; 信息假冒事件; 信息窃取事件。1.3.服务原则在整个应急响应处理过程的中,本协会严格按照以下原则要求服务人员,并签订必要的保密协议。 保密性原则应急服务提供者应对应急处理服务过程中获知的任何关于服务对象的系统信息承担保密的责任和义务,不得泄露给第三方的单位和个人,不得利用这些信息进行侵害服务对象的行为。 规范性原则应急服务提供者应要求服务人员依照规范的操作流程进行应急处理服务,所有处理人员必须对各自的操作过程和结果进行详细的记录,最终按照规范的报告格式提供完整的服务报告。 最小
5、影响原则应急处理服务工作应尽可能减少对原系统和网络正常运行的影响,尽量避免对原网络运行和业务正常运转产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等) ,如无法避免,则必须向服务对象说明。第二部分 应急响应组织保障2.1.角色的划分本公司应急响应工作机构按角色划分为三个: 应急响应负责人, 应急响应技术人员, 应急响应市场人员。信息安全事件发生后,在应急响应领导小组的统一部署下,工作人员各施其职,并严格按照应急响应计划组织实施应急响应工作。2.2.角色的职责 应急响应负责人:应急响应负责人是信息安全应急响应工作的组织领导机构,组长应由组织最高管理层成员担任。负责人的职责是领导和决策信息
6、安全应急响应的重大事宜,主要职责如下: a) 制定工作方案;b) 提供人员和物质保证;c) 审核并批准经费预算;d) 审核并批准恢复策略;e) 审核并批准应急响应计划;f) 批准并监督应急响应计划的执行;g) 指导应急响应实施小组的应急处置工作;h) 启动定期评审、修订应急响应计划以及负责组织的外部协作。 应急响应技术人员,其主要职责如下:a) 编制应急响应计划文档;b) 应急响应的需求分析,确定应急策略和等级以及策略的实现;c) 备份系统的运行和维护,协助灾难恢复系统实施;d) 信息安全突发事件发生时的损失控制和损害评估;e) 组织应急响应计划的测试和演练。 应急响应市场人员,其主要职责如下
7、:a) 开拓新客户,与客户建立长期的合作关系;维护与公司老客户的业务往来;b) 建立预防预警机制,及时进行信息上报;c) 参与和协助应急响应计划的教育、培训和演练;d) 信息安全事件发生后的外部协作。2.3.组织的外部协作依据服务对象信息安全事件的影响程度,如需向上级部门及时通报准确情况或向其他单位寻求支持时,应与相关管理部门以及外部组织机构保持联络和协作。主要包括国家计算机网络应急技术处理协调中心(CNCERT/CC)华中地区分中心、国家计算机网络应急技术处理协调中心(CNCERT/CC)、中国教育科研网络华中地区网络中心、中国教育科研网网络中心、#市公安局网络安全监察室、湖北省公安厅网络安
8、全监察处、中国电信#分公司网管中心以及主要相关设备供应商。2.4.保障措施 应急人力保障加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息安全核心人才和管理队伍,提高信息安全防御意识。大力发展信息安全服务业,增强协会应急支援能力。 物质条件保障安排一定的资金用于预防或应对信息安全突发事件,提供必要的交通运输保障,优化信息安全应急处理工作的物资保障条件。 技术支撑保障 设立信息安全应急响应中心,建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力。从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。第三部分 应急响应实
9、施流程该服务流程并非一个固定不变的教条,需要应急响应服务人员在实际中灵活变通,可适当简化,但任何变通都必须纪录有关的原因。详细的记录对于找出事件的真相、查出威胁的来源与安全弱点、找到问题正确的解决方法,甚至判定事故的责任,避免同类事件的发生都有着极其重要的作用。 技术人员准备工作市场人员准备工作现场勘查确定检测方案并进行实施启动专项预案是否有该类事件的专项预案是否确定和认可抑制的方案并进行抑制的实施确定和认可根除的方法并进行根除的实施根据确定的恢复方案进行信息系统的恢复回顾并完善整个事件的处理过程并进行总结准备阶段检测阶段形成事故报告为服务对象提出安全建议根除阶段恢复阶段总结阶段抑制阶段负责人
10、准备工作制定工作方案和计划 , 监督和指导其他小组的工作建立预防预警机制 、 及时进行信息系统检测和异常情况上报服务需求的确定 , 主机和网络安全初始化快照和备份 、工具包和必要技术的准备结束现场实施小人员的确定3.1.准备阶段(Preparation) 目标:在事件真正发生前为应急响应做好预备性的工作。角色:协会负责人、技术人员、市场人员。内容:根据不同角色准备不同的内容。输出:准备工具清单 、 事件初步报告表 、 实施人员工作清单3.1.1 负责人准备内容制定工作方案和计划;提供人员和物质保证;审核并批准经费预算、恢复策略、应急响应计划;批准并监督应急响应计划的执行;指导应急响应实施小组的
11、应急处置工作;启动定期评审、修订应急响应计划以及负责组织的外部协作。3.1.2 技术人员准备内容服务需求界定首先要对服务对象的整个信息系统进行评估,明确服务对象的应急需求,具体应包含以下内容:1) 应急服务提供者应了解应急服务对象的各项业务功能及其之间的相关性,确定支持各种业务功能的相关信息系统资源及其他资源,明确相关信息的保密性、完整性、和可用性要求;2) 对服务对象的信息系统,包括应用程序,服务器,网络及任何管理和维护这些系统的流程进行评估,确定系统所执行的关键功能,并确定执行这些关键功能所需要的特定系统资源;3) 应急服务提供者应采用定性或定量的方法,对业务中断、系统宕机、网络瘫痪等突发
12、安全事件造成的影响进行评估;4) 应急服务提供者应协助服务对象建立适当的应急响应策略,应提供在业务中断、系统宕机、网络瘫痪等突发安全事件发生后快速有效的恢复信息系统运行的方法;5) 应急服务提供者宜为服务对象提供相关的培训服务,以提高服务对象的安全意识,便于相关责任人明确自己的角色和责任,了解常见的安全事件和入侵行为,熟悉应急响应策略。主机和网络设备安全初始化快照和备份在系统安全策略配置完成后,要对系统做一次初始安全状态快照。这样,如果以后在出现事故后对该服务器做安全检测时,通过将初始化快照做的结果与检测阶段做的快照进行比较,就能够发现系统的改动或异常。1) 对主机系统做一个标准的安全初始化的
13、状态快照,包括的主要内容有: 日志及审核策略快照等。 用户账户快照; 进程快照; 服务快照; 自启动快照 关键文件签名快照; 开放端口快照; 系统资源利用率的快照; 注册表快照; 计划任务快照等等;2) 对网络设备做一个标准的安全初始化的状态快照,包括的主要内容有: 路由器快照; 防火墙快照; 用户快照; 系统资源利用率等快照。3) 信息系统的业务数据及办公数据均十分重要,因此需要进行数据存储及备份。目前,存储备份结构主要有 DAS、SAN 和 NAS,以及通过磁带或光盘对数据进行备份。各服务对象可以根据自身的特点选择不同的存储产品构建自己的数据存储备份系统。工具包的准备1) 应急服务提供者应
14、根据应急服务对象的需求准备处置网络安全事件的工具包,包括常用的系统基本命令、其他软件工具等;2) 应急服务提供者的工具包中的工具最好是采用绿色免安装的,应保存在安全的移动介质上,如一次性可写光盘、加密的 U 盘等;3) 应急服务提供者的工具包应定期更新、补充;必要技术的准备上述是针对应急响应的处理涉及到的安全技术工具涵盖应急响应的事件取样、事件分析、事件隔离、系统恢复和攻击追踪等各个方面,构成了网络安全应急响应的技术基础。所以我们的应急响应服务实施成员还应该掌握以下必要的技术手段和规范,具体包括以下内容:1) 系统检测技术,包括以下检测技术规范: Windows 系统检测技术规范; Unix
15、系统检测技术规范; 网络安全事故检测技术规范; 数据库系统检测技术规范; 常见的应用系统检测技术规范;2) 攻击检测技术,包括以下技术: 异常行为分析技术; 入侵检测技术; 安全风险评估技术;3) 攻击追踪技术;4) 现场取样技术;5) 系统安全加固技术;6) 攻击隔离技术;7) 资产备份恢复技术;3.1.3 市场人员准备内容和服务对象建立长期友好的业务关系;和服务对象签订应急服务合同或协议;建立预防和预警机制,及时上报。1) 预防和预警机制 市场人员要严格按照应急响应负责人的安排和建议,及时提醒服务对象提高防范网络攻击、病毒入侵、网络窃密等的能力,防止有害信息传播,保障服务对象网络的安全畅通
16、。 将协会网络信息中心会发布的病毒预防警报以及更新的防护策略及时有效地告知服务对象,做好防护策略的更新。2) 信息系统检测和报告 按照“早发现、早报告、早处置”的原则,市场人员要加强对服务对象信息系统的安全检测结果的通告,收集可能引发信息安全事件的有关信息、进行分析判断。 如服务对象发现有异常情况或有信息安全事件发生时,要立即向协会网络信息中心应急响应负责人报告,并填写事件初步报告表。 要求服务对象持续监测信息系统状况,密切关注应急响应负责人提出初步行动对策和行动方案,听从指令和安排,及时减小损失。3.2.检测阶段(Examination )目标:接到事故报警后在服务对象的配合下对异常的系统进
17、行初步分析,确认其是否真正发生了信息安全事件,制定进一步的响应策略,并保留证据。角色:应急服务实施小组成员、应急响应日常运行小组;内容:(1) 检测范围及对象的确定;(2) 检测方案的确定;(3) 检测方案的实施;(4) 检测结果的处理。输出:检测结果记录 、 3.2.1 实施小组人员的确定应急响应负责人根据事件初步报告表的内容,初步分析事故的类型、严重程度等,以此来确定临时应急响应小组的实施人员的名单。3.2.2 检测范围及对象的确定应急服务提供者应对发生异常的系统进行初步分析,判断是否正真发生了安全事件;应急服务提供者和服务对象共同确定检测对象及范围;检测对象及范围应得到服务对象的书面授权
18、。3.2.3 检测方案的确定应急服务提供者和服务对象共同确定检测方案;应急服务提供者制定的检测方案应明确应急服务提供者所使用的检测规范;应急服务提供者制定的检测方案应明确应急服务提供者的检测范围,其检测范围应仅限于服务对象已授权的与安全事件相关的数据,对服务对象的机密性数据信息未经授权的不得访问;应急服务提供者制定的检测方案应包含实施方案失败的应变和回退措施;应急服务提供者和服务对象充分沟通,并预测应急处理方案可能造成的影响。3.2.4 检测方案的实施检测搜集系统信息 记录时使用目录及文件名约定:在受入侵的计算机的 D 盘根目录下(D:) (如果无 D 盘则在其他盘根目录下)建立一个 EEAN
19、 目录,目录中包含以下子目录: artifact:用于存放可疑文件样本 cmdoutput:用于记录命令行输出结果 screenshot:用于存放屏幕拷贝文件 log:用于存放各类日志文件 文件格式: 命令行输出文件缺省仅使用 TXT 格式。 日志文件及其他格式尽量使用 TXT、CSV 和其他不需要特殊工具就可以阅读的格式。 屏幕拷贝文件应该使用 BMP 格式。 可疑文件样本最好加密压缩为 zip 格式,默认密码为:eean 搜集操作系统基本信息1右键点击“我的电脑属性” 将“常规” 、 “自动更新” 、 “远程”3 个选卡各制作一个窗口拷贝(使用 Alt+PrtScr) 。并保存到 EEANscreenshot 目录下,文件名称应该使用:系统常规-01、自动更新-01 、远程 -01 等形式命名。2进入 CMD 状态, “开始 运行 cmd”,进入 D 盘根目录下的 EEAN目录,执行一下命令: netstat -nao netstat.txt (网络连接信息)tasklist tasklist.txt (当前进程信息)ipconfig /all ipconfig.txt(IP 属性)
