xxx应急响应实施方案.doc

发布时间：2022-06-06 发布人：admin 分类：说明书资料大小：0.07M 资料格式：doc 举报版权申诉

Huaixiaozi27-12411970-4744300845205229399.doc.pdf-第1页.png

第1页 / 共12页

Huaixiaozi27-12411970-4744300845205229399.doc.pdf-第2页.png

第2页 / 共12页

Huaixiaozi27-12411970-4744300845205229399.doc.pdf-第3页.png

第3页 / 共12页

Huaixiaozi27-12411970-4744300845205229399.doc.pdf-第4页.png

第4页 / 共12页

Huaixiaozi27-12411970-4744300845205229399.doc.pdf-第5页.png

第5页 / 共12页

Huaixiaozi27-12411970-4744300845205229399.doc.pdf-第6页.png

第6页 / 共12页

Huaixiaozi27-12411970-4744300845205229399.doc.pdf-第7页.png

第7页 / 共12页

Huaixiaozi27-12411970-4744300845205229399.doc.pdf-第8页.png

第8页 / 共12页

一. 目的

二. 适用范围

三. 应急小组构成

四. 应急预案启动条件

五. 通用应急预案

5.1 应急抑制

5.2 应急根除

5.3 应急恢复

六. 信息发布

七. 培训与演练

八. 保障措施

8.1 通信保障

8.2 物资保障

8.3 技术保障

8.4 资金保障

8.5 人员保障

8.6 技术资料保障

九. 相关流程

9.1 应急响应流程

十. 相关表单

10.1 应急小组成员名单

10.2 主要设备、系统厂商联系表

10.3 应急培训记录

应急响应实施方案一. 目的提高信息安全防护意识和水平，加强信息系统安全体系建设，积极做好日常安全工作，开展安全教育和培训工作，建立完善的安全管理、监督和审查制度，提高应对突发信息安全事件的能力。 1. 建立信息安全预警和事件快速反应机制，建立高效的事件汇报渠道，强化人力、物力、财力储备，增强应急处理能力。保证对信息安全事件做到早发现、早报告、早处理、早恢复等环节的紧密衔接，一旦出现影响信息系统的安全事件，快速反应，及时准确处置。 2. 明确信息安全应急响应工作的角色和职责，保证各项工作责任到人，建立应急响应各项工作的处理流程，实现应急响应工作的规范化、制度化和流程化。二. 适用范围本制度适用于 XXXX（以下简称 XXXX）。三. 应急小组构成由 XXXX 领导牵头成立应急小组，人员需囊括网络、系统、业务人员，以应对各种突发事件。应急小组由组长、副组长以及组员构成，组长和副组长构成应急领导小组，负责应急处理的领导和决策，应急小组成员需填入《应急小组成员名单》，予以记录确认。

设备、系统厂商人员须提前确认，并填入《主要设备、系统厂商联系表》，予以记录确认。四. 应急预案启动条件安全应急小组接收安全事件报告后，对安全事件进行最终分级确认，针对符合“一般安全事件”、“严重安全事件”以及“重大安全事件”级别的安全事件启动本应急预案。一般安全事件：系统异常，对工作、业务造成较小影响。严重安全事件：系统中断，造成局部网络瘫痪。重大安全事件：系统中断，造成大面积业务瘫痪。五. 通用应急预案当安全事件发生且符合应急预案启动条件时，应按照以下常规响应流程进行处理。应急结束后，安全管理员应将事件过程记录到《应急响应报告》。 5.1 应急抑制应急抑制的目的是限制安全事件对受保护信息系统造成影响的范围和程度。应急抑制是信息安全应急响应工作中的重要环节，在信息安全事件发生的第一时间内对故障系统或区域实施有效的隔离和处理，或者根据所拥有的资源状况和事件的等级，采用临时切换到备份系统等措施降低事件损失、避免安全事件的扩散（例如蠕虫的大规模传播）和安全事件对受害系统的持续性破坏，有利于应急响应工作人员对安全事件做出迅速、准确的判断并采取正确的应对策略。应急抑制过程中，重要的是确保业务连续性，应尽量保证在备份系统中完全运行原来的业务。如果出现资源紧张，应尽可能保证重要资产优先运行，维持最基本的业务能力。

应急抑制分为物理抑制、网络抑制、主机抑制和应用抑制 4 个层次的工作内容，在发生信息安全事件时，应根据对事件定级的结果，综合利用多个层次的抑制措施，保证抑制工作的及时、有效。 1. 物理抑制  关闭主机：避免主机遭受外界的安全事件影响，或避免主机对外部环境产生影响。  切断网络连接：关闭网络设备或切断线路，避免安全事件在网络之间的扩散。  提高物理安全级别：实施更为严格的人员身份认证和物理访问控制机制。  环境安全抑制：主要针对环境安全的威胁因素，例如发生火灾时关闭防火门、启用消防设备和防火通道、启动排烟装置、切断电源，发生水灾时启用排水设备、关闭密封门，发生电力故障时启用 UPS 和备用发动机等。 2. 网络抑制  网络边界过滤：对路由器等网络边界设备的过滤规则进行动态配置，过滤包含恶意代码、攻击行为或有害信息的数据流，切断安全事件在网络之间的传播途径。  网关过滤：对防火墙等网关设备的过滤规则进行动态配置，阻断包含恶意代码、攻击行为或有害信息的数据流进入网关设备保护的网络区域，有效实施针对信息安全事件的网络隔离。  网络延迟：采用蠕虫延迟和识别技术，限制恶意代码在单位时间内的网络连接，有效降低蠕虫等恶意代码在网内和网间的传播速度，减少蠕虫事件对受保护网络系统的影响范围。  网络监控：提高网络入侵检测系统、专网安全监控系统的敏感程度和监控范围，收集更为细致的网络监控数据。 3. 主机抑制  系统账号维护：禁用或删除主机中被攻破的系统账号和攻击者生成的系

统账号，避免攻击者利用这些账号登录主机系统，进行后续的破坏行为。  提高主机安全级别：实施更为严格的身份认证和访问控制机制，启用主机防火墙或提高防火墙的安全级别，过滤可疑的访问请求。  提高主机监控级别：提高主机入侵检测系统、主机监控系统的敏感程度和监控范围，收集更为细致的主机监控数据。 4. 应用抑制  应用账号维护：禁用或删除被攻破的应用账号和攻击者生成的应用账号，避免攻击者利用这些账号登录应用服务，进行后续的破坏行为。  提高应用安全级别：针对应用服务，实施更为严格的身份认证和访问控制机制，提高攻击者攻击应用服务的难度。  提高应用监控级别：提高应用入侵检测和监控系统的敏感程度和监控范围，收集更为细致的应用服务监控数据。  关闭应用服务：杜绝应用服务遭受来自网络的安全事件影响，或避免应用服务对外部网络环境产生影响。 5.2 应急根除在信息安全事件被抑制之后，进一步分析信息安全事件，找出事件根源并将其彻底清除。对于单机的事件，可以根据各种操作系统平台的具体检查和根除程序进行操作；针对大规模爆发的带有蠕虫性质的恶意程序，要根除各个主机上的恶意代码。应急根除分为物理根除、单机根除和网络根除 3 个层次。为了保证彻底从受保护网络系统中清除安全威胁，针对不同类型的安全事件，应综合采取不同层次的根除措施。 1. 物理根除  统一采用严格的物理安全措施：例如针对关键的物理区域，统一实施基于身份认证和物理访问控制机制，实现对身份的鉴别。  环境安全保障：主要针对环境安全的威胁因素，例如使用消防设施扑灭

火灾，更换出现故障的电力设备并恢复正常的电力供应，修复网络通信线路，修复被水浸湿的服务器等。  物理安全保障：加强视频监控、人员排查等措施，最大限度减少对受保护信息系统可能造成威胁的人员和物理因素。 2. 单机根除（包括服务器、客户机、网络设备及其它计算设备）  清除恶意代码：清除感染计算设备的恶意代码，包括文件型病毒、引导型病毒、网络蠕虫、恶意脚本等，清除恶意代码在感染和发作过程中产生的数据。  清除后门：清除攻击者安装的后门，避免攻击者利用该后门登录受害计算设备。  安装补丁和升级：安装安全补丁和升级程序，但必须事先进行严格的审查和测试，并统一发布。  系统修复：修复由于黑客入侵、网络攻击、恶意代码等信息安全事件对计算设备的文件、数据、配置信息等造成的破坏，例如被非法篡改的系统注册表、信任主机列表、用户账号数据库、应用配置文件等。  修复安全机制：修复并重新启用计算设备原有的访问控制、日志、审计等安全机制。 3. 网络根除  所有单机根除：对受保护网络系统中所有的服务器、客户机、网络设备和其它计算设备进行上述单机根除工作。  评估排查：对受保护网络系统中所有计算设备进行评估排查，测试是否仍然存在被同种信息安全事件影响的单机。  网络安全保障升级：对网络中的安全设备、安全工具进行升级，使其具备对该安全事件的报警、过滤和自动清除功能，例如向防火墙增加新的过滤规则，向入侵检测系统增加新的检测规则等。

5.3 应急恢复完成安全事件的根除工作后，需要完全恢复系统的运行过程，把受影响系统、设备、软件和应用服务还原到它们正常的工作状态。如果在抑制过程中切换到了备份系统，则需要重新切换到已完成恢复工作的原系统。恢复工作应该十分小心，避免出现误操作导致数据的丢失或损坏。恢复工作中如果涉及到国家秘密信息，须遵守保密主管部门的有关要求。恢复工作共分为五个阶段：系统恢复阶段、网络恢复阶段、用户恢复阶段、抢救阶段和重新部署/重入阶段。 1. 系统恢复阶段负责恢复关键业务需要的服务器及应用程序。系统恢复过程完成的标志是数据库已经可用、用户的数据通讯链路已经重新建立、系统操作用户已经开始工作。 2. 网络恢复阶段负责安装通信设备和网络软件，配置路由及远程访问系统，恢复数据通信，部署设置网络管理软件和网络安全软件等，恢复受灾系统的网络通信能力。 3. 用户恢复阶段用户恢复任务与系统恢复任务和网络恢复任务同步进行。当系统和网络就绪之后，使用抢救出来的记录和备份存储的数据和信息，尽快恢复数据库。 4. 抢救阶段抢救行动与其它灾难恢复工作同步进行，包括收集和保存证据，评估数据中心和用户操作区环境的恢复可行性和花费，抢救数据、信息和设备并转移到备份区域。 5. 重新部署/重入阶段根据灾难恢复计划中定义的工作职能，使系统、网络和用户重新部署到原有的或新的设施中，并把应急状态下的服务级别逐步切换回正常服务级别。

六. 信息发布发生信息系统安全事件后或应急活动结束后，应根据突发事件的严重程度，对事件起因、应急过程、事件分析、事件所造成的影响等方面进行发布。具体的报告形式有以下几种方式： 1. 内部通报：对于造成损失比较小的安全事件，可在 XXX 中心内部进行通报。 2. 信息上报：对于造成 XXXXXX 中心损失的或严重影响内部业务进行的安全事件（重特大安全事件），应向区交通厅相关上级领导进行报告。 3. 信息外报：在特殊时期根据上级机构的要求，将此时期内的信息安全事件发生情况及时准确的外报到指定的机构（单位）。七. 培训与演练为保证应急小组人员行动的能力，XXXXXX 中心应每年至少组织一次安全应急培训，熟悉应急处理相关流程。培训后组织至少一次应急行动演练，以提高处理应急事件的能力，检验物资器材的完好情况。应急行动培训及演练后对应急预案进行维护总结，形成《应急培训记录》与《应急演练记录》。八. 保障措施 8.1 通信保障应急期间，指挥、通信联络的渠道应该得到保证，应急小组及设备厂商人员电话、手机应保持 24 小时开机状态。

8.2 物资保障在应急响应工作中，包括应急人员的饮食、办公地点、交通工具等应充分保障。 8.3 技术保障配备应急所涉及的关键工具和设备，如网络分析仪、数据恢复工具、流量监控设备等，支持应急响应工作。在系统正常运行期间，应急小组应注意收集各类信息系统突发事件的应急处置实例，总结经验和教训，开展信息系统事件预测、预防、预警和应急处置的技术研究，加强技术储备。在信息系统各项目建设和服务合同中应包含相关设备厂商、技术服务厂商在信息系统应急方面的技术支持内容。 8.4 资金保障应保障应急培训、演练、添置应急装备物资等所需经费。 8.5 人员保障应急响应工作需要的人员包括 XXXXXX 中心网络管理人员、系统管理人员、数据库管理人员等。为了提高应急工作小组的人员素质，应针对 XXXXXX 中心信息系统的应急响应工作任务，制定并实施完善、高效、合理的人员培训和演练计划。 8.6 技术资料保障全面的技术资料是高效的应急响应工作的前提和基础，应急技术资料是网络和信息系统重要技术信息，包括网络拓扑结构、重要系统或设备的型号及配置（操作系统及版本号、应用软件及版本号等）等。这些信息必须及时更新，以保证与实际系统的一致性。

分享到：

赞收藏

相关推荐