应急处理预案 1服务应急保障措施 1.1、应急服务在我们接到用户在出现安全事件或故障时提供现场应急服务。30分钟内恢复系统正常运行,紧急情况下2小时到达现场,2小时解决问题。信息识别(1)用户安全应急小组每周向用户信息安全领导小组上报本周安全事件处理报告;每月上报本网上本月网络安全事件分析报告。(2)信息监测发现可能发生黄色及以上网络安全事件情况时,用户安全应急小组按要求向用户信息安全领导小组上报有关预警信息。用户信息安全领导小组按《用户网络安全应急预案》要求将有关预警信息发布处理。 1.2、应急响应体系的建立为迅速、合理地响应和处置、最大程度减少用户的突发事件造成的损失和影响,必须建立应急响应体系。 1.3、组织体系和职责 1.3.1、网络安全应急组织机构和职责网络安全应急处理工作坚持统一领导、分工负责、及时预警、协作配合、快速处理、确保恢复的原则。信息安全应急组织结构和职责成立信息安全领导小组和网络应急小组,负责领导、组织、协调其用户络与信息安全各方面工作。安全领导小组职责用户信息安全领导小组在网络安全应急处理方面职责如下:(1)贯彻国家有关方针政策,审定安全事件应急响应相关政策及规定;(2)启动/终止预案,并负责网络安全应急工作的总体指挥和协调;(3)根据上级部门指示,决策重大安全事件的应急处理实施方案,并向上级部门汇报实施和进展情况;网络应急小组安全应急职责在用户安全事件应急处理方面职责如下:负责与用户内相关部门的沟通协调,并向用户网络安全领导小组提出相关工作建议;组织起草、修改用户网络安全应急处理预案及相关规定;按照用户信息安全领导小组下达的命令和指示,具体协调处理用户网络安全应急工作;在应急响应期间,负责用户各相关部门和其他各用户相关单位之间的现场指挥协调,接受信息安全领导小组的指示,组织用户各相关部门落实用户网络安全应急处理技术措施; 在应急响应期间,及时收集汇总用户各相关部门上报/反馈的事件进展情况,向用户信息安全领导小组报告并提出建议,并向其他各主管单位上报相关安全事件处理信息;在应急响应期间,承担与用户、国家计算机网络应急技术处理协调中心(以下简称CNCERT/CC)、国内其他互联网单位以及其他国家和地区相关应急响应组织的联络,。 1.3.2、网络安全应急组织体系用户信息安全领导小组负责组织、协调用户各部门、用户安全应急协调小组进行用户网络安全应急工作。用户安全应急小组负责监测和分析用户的运行状况,采集用户的日常运行数据;及时上报发现的网络异常和安全事件;在用户信息安全领导小组的统一指挥下,采取有效措施,处理所管网络的网络安全事件;通知本网用户及时进行安全加固。消除安全隐患;配合其他部门处理与所管网络有关的安全事件。用户安全应急小组负责为整个用户应急处理工作提供技术支撑;协调和配合各部门的应急技术处理及演练;利用技术手段,对用户网络安全事件进行监测,及时收集、核实、汇总、分析、上报有关网络安全信息;保持与CNCERT/CC、国内其他单位以及其他国家和地区相关应急响应组织的安全事件应急处理合作。 2、预警和预防体制用户应从制度建立、技术实现、业务管理等方面建立健全用户网络安全的预警预防机制。 3、应急响应过程据本方案对网络安全事件的蓝色分类,“一般/蓝色警报”级别的网络安全事件随时随地都在发生,因此这类事件作为日常监测、维护的内容,由通过预警信息沟通,自行处置。用户信息安全领导小组在接到用户信息安全领导小组关于启动《网络安全应急预案》的指示或接到关于发生或可能发生“预警/黄色警报”、“报警/橙色警报”,“紧急/红色警报”级别的网络安全事件的紧急报告时,信息安全领导小组批准,指示用户各相关部门及启动本预案进入相应的分级应急响应工作程序。在国内发生特别重大突发公共事件、以及奥运会测试赛、奥运会正式赛等特殊重要时期,没有发生黄色以上重大安全事件时,用户信息安全领导小组通知各相关部门、用户按照“预警/黄色警报”级别安全事件的处理要求和流程做好应急准备;当发生或可能发生黄色以上重大安全事件时,用户应根据本预案,按红色级别安全事件的处理要求和流程进行各项应急处理。 4、应急结束根据各相关部门和用户应急小组报告的网络安全事件发展和应急处理效果等情况,用户应急小组对网络安全状况进行分析,判断事件影响已降低到最低级别安全事件影响水平之下时,报经用户信息安全领导小组批准后,指示各相关部门后期处置。 5、应急预案应急预案是用于网络与通信系统出现突发事件时,为迅速、合理地响应和处置、最大程度减少事件造成的损失和影响而预先制定的可操作的紧急行动方案。我方在项目开始后,将根据威胁要素视图,结合奥运会期间可能发生的网络安全事件,协助用户制定用户应急预案。在应急预案中将明确应急事件中的工作原则、组织体系、预防和预警机制、预警分级和发布、应急响应和处置的流程手段、后期处置和保障措施等内容。项目提交成果:《用户网络安全应急预案》该预案将对应急响应起指导作用,其主要内容如下: 6、组织体系和职责制定合理的安全应急组织体系和明确的职责是整个应急预案的重要前提。用户应当成立用户信息安全领导小组,负责领导、组织、协调其用户络与信息安全各方面工作。安全应急组织体系中将明确定义如下人员:实时监测人员:负责实时的监测和记录安全事件的发生,对于较大的安全事件,上报至相关的管理协调人员和应急保障人员进行处理,并协助处理事件。应急保障人员:对发生的安全事件进行分析,识别事件的性质和攻击特征,采取适当的措施控制攻击的强度,恢复系统对外服务,以及追踪攻击来源。管理协调人员:在应急响应中协调各方人员,使得人员以一种有序的方式完成各自的工作,提高工作效率,尽快解决问题。系统维护人员:负责系统的日常维护,以及预防措施的实施,并在应急响应中对应急保障人员提供支持。高层管理人员:负责与总部和公安机关的协调,协调所需的资源,为应急保障准备工作提供支持,审核批准相关策略、方案。 7、相关组织结构 7.1、应急预案的内函与作用应急预案是对应急响应起指导性作用,应急响应工作的特点是高度的压力,短暂的时间和有限的资源。应急响应是一项需要充分的准备并严密组织的工作。它必须避免不正确的和可能是灾难性的动作或忽略了关键步骤的情况发生。它的大部分工作应该是对各种可能发生的安全事件制定应急预案,并通过多种形式的应急演练,不断提高应急预案的实际可操作性。具有必要技能和相当资源的应急响应组织是安全事件响应的保障。参与具体安全事件应急响应的人员应当不仅包括应急组织的人员,还应包括安全事件涉及到的业务系统维护人员、设备提供商、集成商和第三方安全应急服务提供人员等,从而保证具有足够的知识和技能应对当前的安全事件。应急响应除了需要技术方面的技能外,还需要管理能力,相关的法律知识、沟通协调的技能、写作技巧、甚至心理学的知识。在系统通常存在各种残余风险的客观情况下,应急响应是一个必要的保护策略。同时需要强调的是,尽管有效的应急响应可以在某种程度上弥补安全防护措施的不足,但不可能完全代替安全防护措施。缺乏必要的安全措施,会带来更多的安全事件,最终造成资源的浪费。安全事件应急响应的目标通常包括:采取紧急措施,恢复业务到正常服务状态;调查安全事件发生的原因,避免同类安全事件再次发生;在需要司法机关介入时,提供法律任何的数字证据等。在应急预案中以安全事件应急响应6阶段(PDCERF)方法学为主线介绍安全事件应急响应的过程和具体工作内容。6阶段(PDCERF)方法学不是安全事件应急响应唯一的方法,结合安全事件应急响应工作经验,在实际应急响应过程中,也不一定严格存在这6个阶段,也不一定严格按照6阶段的顺序进行。但它是目前适用性较强的应急响应的通用方法学。它包括准备、检测、抑制、根除、恢复和跟进6个阶段。6阶段方法学的简要关系见下图。 7.2、应急预案中六要素的内容的涵盖准备阶段:准备阶段是安全事件响应的第一个阶段,即在事件真正发生前为事件响应做好准备。这一阶段极为重要,因为事件发生时可能需要在短时间内处理较多的事物,如果没有足够的准备,那么将无法正确的完成响应工作。在准备阶段请关注以下信息:基于威胁建立合理的安全保障措施建立有针对性的安全事件应急响应预案,并进行应急演练为安全事件应急响应提供足够的资源和人员建立支持事件响应活动管理体系检测阶段:检测是指以适当的方法确认在系统/网络中是否出现了恶意代码、文件和目录是否被篡改等异常活动/现象。如果可能的话同时确定它的影响范围和问题原因。在操作的角度来讲,事件响应过程中所有的后续阶段都依赖于检测,如果没有检测,就不会存在真正意义上的事件响应。检测阶段是事件响应的触发条件。抑制阶段:抑制阶段是事件响应的第三个阶段,它的目的是限制攻击/破坏所波及的范围。同时也是限制潜在的损失。所有的抑制活动都是建立在能正确检测事件的基础上,抑制活动必须结合检测阶段发现的安全事件的现象、性质、范围等属性,制定并实施正确的抑制策略。抑制策略可能包含以下内容:完全关闭所有系统;从网络上断开主机或部分网络;修改所有的防火墙和路由器的过滤规则;封锁或删除被攻击的登陆账号;加强对系统或网络行为的监控;设置诱饵服务器进一步获取事件信息;关闭受攻击系统或其他相关系统的部分服务;根除阶段:安全事件应急响应6阶段方法论的第4阶段是根除阶段,即在准确的抑制事件后,找出事件的根源并彻底根除它,以避免攻击者再次使用相同手段攻击系统,引发安全事件。在根除阶段中将需要利用到在准备阶段中产生的结果。恢复阶段:将事件的根源根除后,将进入恢复阶段。恢复阶段的目标是把所有被攻破的系统或网络设备还原到它们正常的任务状态。跟进阶段:安全事件应急响应6阶段方法论的最后一个阶段是跟进阶段,其目标是回顾并整合发生事件的相关信息。跟进阶段也是6个阶段中最可能被忽略的阶段。但这一步也是非常关键的。该阶段需要完成的原因有以下几点:有助于从安全事件中吸取经验教训,提高技能;有助于评判应急响应组织的事件响应能力; 8、文档与记录应急预案必须由正式的文档记录,一方面为下一阶段的工作提供依据,同时为以后的审查、统计与总结提供基本的素材。
