应急响应服务方案.docx

XXX应急响应服务方案XXX2023年XX月XX日目录一、 应急响应服务说明11 1月艮7nll11.2服务流程及内“合"1二、 应急响应实施方案31 .1准备阶段(Preparation)3211负责人备内z6*32 12贝/Ct内33 13场人贝备内64 .2检测阶段(EXdminatiOn)64.1.1 实施小组人员的确定74.1.2 检测范围及对象的确定74.1.3 检测方案的确定74.1.4 检测方窠的实施74.1.5 检测结果的处理102. 3抑制阶段(Suppresses)115 .31抑制方案的确定125.1.1 抑制方案的认可125.1.2 抑制方案的实施125.1.3 抑制效果的判定136 .4根除阶段(EQdiCateS)1321 根除方窠的确1322 4.2根除方案的认可1423 4.3根除方案的实施1424 4.4根除效果的判定1425 5恢复阶段(Restoration)1426 51恢的15252彳口1527 6总结阶段(SUmmary)16、f",fzE1731LlLx-f-1732fi17四、应急响应服务优势184. 1国内领先的安全服务团队185. 2专业的安全评估工具186. 3丰富的资源和持续强有力的研发团队支持187. 4全球首个基于大数据威胁的威胁感知系统188. 5精细的立体检测综合分析199. 6高效的本地数据检索1910. 7专业的专家运营团队19一、应急响应服务说明1.l服务范围为甲方提供安全事件应急响应和处置服务，在发生信息破坏事件（篡改、泄露、窃取、丢失等）、大规模病毒事件、网站漏洞事件等信息安全事件时，提供应急响应专家协助处置。1.2服务流程及内容该服务流程并非一个固定不变的教条，需要应急响应服务人员在实际中灵活变通，可适当简化，但任何变通都必须纪录有关的原因。详细的记录对于找出事件的真相、查出威胁的来源与安全弱点、找到问题正确的解决方法，甚至判定事故的责任，避免同类事件的发生都有着极其重要的作用。现场实施小人员的确定市场人员准备工作回顾并完善整个事件的处 理过程并进行总结启动专项预案二、应急响应实施方案2.1 准备阶段(PreParation)1目标：在事件真正发生前为应急响应做好预备性的工作。工角色：技术人员、市场人员。J内容：根据不同角色准备不同的内容。工输出：准备工具清单、事件初步报告表、实施人员工作清单1 .1.1负责人准备内容工制定工作方案和计划；提供人员和物质保证；工审核并批准经费预算、恢复策略、应急响应计划；J批准并监督应急响应计划的执行；工指导应急响应实施小组的应急处置工作；J启动定期评审、修订应急响应计划以及负责组织的外部协作。2 .1.2技术人员准备内容服务需求界定首先要对服务对象的整个信息系统进行评估，明确服务对象的应急需求，具体包含以下内容：1)应急响应小组应了解应急服务对象的各项业务功能及其之间的相关性，确定支持各种业务功能的相关信息系统资源及其他资源，明确相关信息的保密性、完整性和可用性要求；2)对服务对象的信息系统，包括应用程序，服务器，网络及任何管理和维护这些系统的流程进行评估，确定系统所执行的关键功能，并确定执行这些关键功能所需要的特定系统资源；3）应急响应小组采用定性或定量的方法，对业务中断、系统宕机、网络瘫痪等突发安全事件造成的影响进行评估；4）应急响应小组协助服务对象建立适当的应急响应策略，应提供在业务中断、系统宕机、网络瘫痪等突发安全事件发生后快速有效的恢复信息系统运行的方法；5）应急响应小组为服务对象提供相关的培训服务，以提高服务对象的安全意识，便于相关责任人明确自己的角色和责任，了解常见的安全事件和入侵行为，熟悉应急响应策略。X主机和网络设备安全初始化快照和备份在系统安全策略配置完成后，要对系统做一次初始安全状态快照。这样，如果以后在出现事故后对该服务器做安全检测时，通过将初始化快照做的结果与检测阶段做的快照进行比较，就能够发现系统的改动或异常。3 .对主机系统做一个标准的安全初始化的状态快照，包括的主要内容有：/日志及审核策略快照等。/用户账户快照；/进程快照；,服务快照；/自启动快照/关键文件签名快照；,开放端口快照；/系统资源利用率的快照；/注册表快照；/计划任务快照等等；4 .对网络设备做一个标准的安全初始化的状态快照，包括的主要内容有：/路由器快照；/防火墙快照；/用户快照；/系统资源利用率等快照。5 .信息系统的业务数据及办公数据均十分重要，因此需要进行数据存储及备份。目前，存储备份结构主要有DAS、SAN和NAS,以及通过磁带或光盘对数据进行备份。各服务对象可以根据自身的特点选择不同的存储产品构建自己的数据存储备份系统。,工具包的准备 应急服务提供者应根据应急服务对象的需求准备处置网络安全事件的工具包，包括常用的系统基本命令、其他软件工具等； 应急服务提供者的工具包中的工具最好是采用绿色免安装的，应保存在安全的移动介质上，如一次性可写光盘、加密的U盘等； 应急服务提供者的工具包应定期更新、补充；必要技术的准备上述是针对应急响应的处理涉及到的安全技术工具涵盖应急响应的事件取样、事件分析、事件隔离、系统恢复和攻击追踪等各个方面，构成了网络安全应急响应的技术基础。所以我们的应急响应服务实施成员还应该掌握以下必要的技术手段和规范，具体包括以下内容：1）系统检测技术，包括以下检测技术规范：/Windows系统检测技术规范；/Unix系统检测技术规范；/网络安全事故检测技术规范；/数据库系统检测技术规范；/常见的应用系统检测技术规范；2）攻击检测技术，包括以下技术：/异常行为分析技术；/入侵检测技术；/安全风险评估技术；3）攻击追踪技术；4）现场取样技术；5）系统安全加固技术；6）攻击隔离技术；7)资产备份恢复技术;2.1.3场人员准备内容J和服务对象建立长期友好的业务关系；,和服务对象签订应急服务合同或协议；J建立预防和预警机制，及时上报。1)预防和预警机制,市场人员要严格按照应急响应负责人的安排和建议，及时提醒服务对象提高防范网络攻击、病毒入侵、网络窃密等的能力，防止有害信息传播，保障服务对象网络的安全畅通。/将协会网络信息中心会发布的病毒预防警报以及更新的防护策略及时有效地告知服务对象，做好防护策略的更新。2)信息系统检测和报告,按照“早发现、早报告、早处置”的原则，市场人员要加强对服务对象信息系统的安全检测结果的通告，收集可能引发信息安全事件的有关信息、进行分析判断。,如服务对象发现有异常情况或有信息安全事件发生时，要立即向协会网络信息中心应急响应负责人报告，并填写事件初步报告表。,要求服务对象持续监测信息系统状况，密切关注应急响应负责人提出初步行动对策和行动方案，听从指令和安排，及时减小损失。2.2检测阶段(EXamination)目标：接到事故报警后在服务对象的配合下对异常的系统进行初步分析，确认其是否真正发生了信息安全事件，制定进一步的响应策略，并保留证据。工角色：应急服务实施小组成员、应急响应日常运行小组；4内容：(1)检测范围及对象的确定；(2)检测方案的确定；(3)检测方案的实施；(4)检测结果的处理。工输出：检测结果记录2.2.1实施小组人员的确定应急响应负责人根据事件初步报告表的内容，初步分析事故的类型、严重程度等，以此来确定临时应急响应小组的实施人员的名单。2.2.2检测范围及对象的确定A应急服务提供者应对发生异常的系统进行初步分析,判断是否正真发生了安全事件；人应急服务提供者和服务对象共同确定检测对象及范围；工检测对象及范围应得到服务对象的书面授权。2.2.3检测方案的确定J应急服务提供者和服务对象共同确定检测方案；应急服务提供者制定的检测方案应明确应急服务提供者所使用的检测规范;X应急服务提供者制定的检测方案应明确应急服务提供者的检测范围,其检测范围应仅限于服务对象已授权的与安全事件相关的数据，对服务对象的机密性数据信息未经授权的不得访问；-L应急服务提供者制定的检测方案应包含实施方案失败的应变和回退措施；应急服务提供者和服务对象充分沟通，并预测应急处理方案可能造成的影响。2.2.4检测方案的实施检测搜集系统信息/记录时使用目录及文件名约定：在受入侵的计算机的D盘根目录下（D:）（如果无D盘则在其他盘根目录下）建立一个qihoo目录，目录中包含以下子目录：> artifact：用于存放可疑文件样本> cmdoutput：用于记录命令行输出结果> screenshot：用于存放屏幕持贝文件> log：用于存放各类日志文件文件格式：> 命令行输出文件缺省仅使用TXT格式。> 日志文件及其他格式尽量使用TXT、CSV和其他不需要特殊工具就可以阅读的格式。> 屏幕拷贝文件应该使用JPG格式。> 可疑文件样本最好加密压缩为ZiP格式，默认密码为：sec666搜集操作系统基本信息1 .右键点击“我的电脑>属性”将“常规”、“自动更新”、“远程”3个选卡各制作一个窗口拷贝（使用Alt+PrtScr）。并保存到secscreenshot目录下，文件名称应该使用：系统常规-01、自动更新-01、远程-Ol等形式命名。2 .进入CMD状态，"开始>运行>cmdv,进入D盘根目录下的sec目录，执行一下命令：netstat-nao>netstat.txt（网络连接信息）tasklist>tasklist.txt（当前进程信息）ipconfig/all>ipconfig,txt（IP属性）ver>ver.txt（操作系统属性）日志信息目标：导出所有日志信息；说明：进入管理工具，将“管理工具>事件察看器”中，导出所有事件，分别使用一下文件名保存：applicatio