网络安全应急响应服务方案.docx

《网络安全应急响应服务方案.docx》由会员分享，可在线阅读，更多相关《网络安全应急响应服务方案.docx（23页珍藏版）》请在第一文库网上搜索。

1、网络安全应急响应服务方案目录1 应急响应服务范围及流程41.1 服务范围41.2 服务流程及内容42 准备阶段(Preparation)62.1 负责人准备内容62.2 技术人员准备内容62.3 市场人员准备内容93 检测阶段(Examination)113.1 实施小组人员的确定113.2 检测范围及对象的确定113.3 检测方案的确定113.4 检测方案的实施123.5 检测结果的处理154 抑制阶段(Suppresses)174.1 抑制方案的确定174.2 抑制方案的认可174.3 抑制方案的实施184.4 抑制效果的判定185 根除阶段(Eradicates)195.1 根除方案的确

2、定195.2 根除方案的认可195.3 根除方案的实施195.4 根除效果的判定206 恢复阶段(Restoration)216.1 恢复方案的确定216.2 恢复信息系统227 总结阶段(Summary)237.1 交付231应急响应服务范围及流程1.1 服务范围为采购人提供安全事件应急响应和处理服务，在发生信息破坏事件(篡改、泄露、窃取、丢失等)、大规模病毒事件、网站漏洞事件等信息安全事件时，提供应急响应专家协助处置。1.2 服务流程及内容该服务流程并非一个固定不变的教条，需要应急响应服务人员在实际中灵活变通，可适当简化，但任何变通都必须纪录有关的原因。详细的记录对于找出事件的真相、查出威

3、胁的来源与安全弱点、找到问题正确的解决方法，甚至判定事故的责任，避免同类事件的发生都有着极其重要的作用。突发事件应急处理流程包括：准备阶段(PreParatiOn)分检测阶段(Examination)抑制阶段(Suppresses)根除阶段(Eradicates)恢复阶段(Restoration)总结阶段(SUmmary)O如下图所示：2准备阶段(Preparation) 目标：在事件真正发生前为应急响应做好预备性的工作。 角色：技术人员、市场人员。 内容：根据不同角色准备不同的内容。 输出：准备工具清单、事件初步报告表、实施人员工作清单2.1 负责人准备内容 制定工作方案和计划； 提供人员和

4、物质保证； 审核并批准经费预算、恢复策略、应急响应计划； 批准并监督应急响应计划的执行； 指导应急响应实施小组的应急处置工作； 启动定期评审、修订应急响应计划以及负责组织的外部协作。2.2 技术人员准备内容（一）服务需求界定首先要对服务对象的整个信息系统进行评估，明确服务对象的应急需求，具体包含以下内容：（1）应急响应小组应了解应急服务对象的各项业务功能及其之间的相关性，确定支持各种业务功能的相关信息系统资源及其他资源，明确相关信息的保密性、完整性和可用性要求；（2）对服务对象的信息系统，包括应用程序，服务器，网络及任何管理和维护这些系统的流程进行评估，确定系统所执行的关键功能，并确定执行这些

5、关键功能所需要的特定系统资源；（3）应急响应小组采用定性或定量的方法，对业务中断、系统宕机、网络瘫痪等突发安全事件造成的影响进行评估；（4）应急响应小组协助服务对象建立适当的应急响应策略，应提供在业务中断、系统宕机、网络瘫痪等突发安全事件发生后快速有效的恢复信息系统运行的方法；（5）应急响应小组为服务对象提供相关的培训服务，以提高服务对象的安全意识，便于相关责任人明确自己的角色和责任，了解常见的安全事件和入侵行为，熟悉应急响应策略。（二）主机和网络设备安全初始化快照和备份在系统安全策略配置完成后，要对系统做一次初始安全状态快照。这样，如果以后在出现事故后对该服务器做安全检测时，通过将初始化快照

6、做的结果与检测阶段做的快照进行比较，就能够发现系统的改动或异常。（1）对主机系统做一个标准的安全初始化的状态快照，包括的主要内容有：/日志及审核策略快照等。/用户账户快照；/进程快照；/服务快照；/自启动快照/关键文件签名快照；/开放端口快照；/系统资源利用率的快照；/注册表快照；/计划任务快照等等；（2）对网络设备做一个标准的安全初始化的状态快照，包括的主要内容有:/路由器快照；/防火墙快照；/用户快照；/系统资源利用率等快照。(3)信息系统的业务数据及办公数据均十分重要，因此需要进行数据存储及备份。目前，存储备份结构主要有DAS、SAN和NAS,以及通过磁带或光盘对数据进行备份。各服务对象

7、可以根据自身的特点选择不同的存储产品构建自己的数据存储备份系统。工具包的准备应急服务提供者应根据应急服务对象的需求准备处置网络安全事件的工具包，包括常用的系统基本命令、其他软件工具等；应急服务提供者的工具包中的工具最好是采用绿色免安装的，应保存在安全的移动介质上，如一次性可写光盘、加密的U盘等；应急服务提供者的工具包应定期更新、补充；必要技术的准备上述是针对应急响应的处理涉及到的安全技术工具涵盖应急响应的事件取样、事件分析、事件隔离、系统恢复和攻击追踪等各个方面，构成了网络安全应急响应的技术基础。所以我们的应急响应服务实施成员还应该掌握以下必要的技术手段和规范，具体包括以下内容：(1)系统检测

8、技术，包括以下检测技术规范：/Windows系统检测技术规范；/Unix系统检测技术规范；/网络安全事故检测技术规范；/数据库系统检测技术规范;/常见的应用系统检测技术规范；(2)攻击检测技术，包括以下技术：/异常行为分析技术；/入侵检测技术；/安全风险评估技术；(3)攻击追踪技术；(4)现场取样技术；(5)系统安全加固技术；(6)攻击隔离技术；(7)资产备份恢复技术。2.3市场人员准备内容 和服务对象建立长期友好的业务关系； 和服务对象签订应急服务合同或协议； 建立预防和预警机制，及时上报。(1)预防和预警机制,市场人员要严格按照应急响应负责人的安排和建议，及时提醒服务对象提高防范网络攻击、

9、病毒入侵、网络窃密等的能力，防止有害信息传播，保障服务对象网络的安全畅通。/将协会网络信息中心会发布的病毒预防警报以及更新的防护策略及时有效地告知服务对象，做好防护策略的更新。(2)信息系统检测和报告/按照“早发现、早报告、早处置”的原则，市场人员要加强对服务对象信息系统的安全检测结果的通告，收集可能引发信息安全事件的有关信息、进行分析判断。/如服务对象发现有异常情况或有信息安全事件发生时，要立即向协会网络信息中心应急响应负责人报告，并填写事件初步报告表。/要求服务对象持续监测信息系统状况，密切关注应急响应负责人提出初步行动对策和行动方案，听从指令和安排，及时减小损失。3检测阶段(Examin

10、ation) 目标：接到事故报警后在服务对象的配合下对异常的系统进行初步分析,确认其是否真正发生了信息安全事件，制定进一步的响应策略，并保留证据。 角色：应急服务实施小组成员、应急响应日常运行小组； 内容：(1)检测范围及对象的确定；(2)检测方案的确定；(3)检测方案的实施；(4)检测结果的处理。 输出：检测结果记录3.1 实施小组人员的确定应急响应负责人根据事件初步报告表的内容，初步分析事故的类型、严重程度等，以此来确定临时应急响应小组的实施人员的名单。3.2 检测范围及对象的确定 应急服务提供者应对发生异常的系统进行初步分析，判断是否正真发生了安全事件； 应急服务提供者和服务对象共同确定

11、检测对象及范围； 检测对象及范围应得到服务对象的书面授权。3.3 检测方案的确定/应急服务提供者和服务对象共同确定检测方案；/应急服务提供者制定的检测方案应明确应急服务提供者所使用的检测规范;/应急服务提供者制定的检测方案应明确应急服务提供者的检测范围，其检测范围应仅限于服务对象已授权的与安全事件相关的数据，对服务对象的机密性数据信息未经授权的不得访问；/应急服务提供者制定的检测方案应包含实施方案失败的应变和回退措施;/应急服务提供者和服务对象充分沟通，并预测应急处理方案可能造成的影响。3.4 检测方案的实施（1）检测搜集系统信息记录时使用目录及文件名约定：在受入侵的计算机的D盘根目录下（D:

12、）（如果无D盘则在其他盘根目录下）建立一个qihoo目录，目录中包含以下子目录：artifact：用于存放可疑文件样本cmdoutput：用于记录命令行输出结果screenshot：用于存放屏幕拷贝文件1og：用于存放各类日志文件文件格式：命令行输出文件缺省仅使用TXT格式。日志文件及其他格式尽量使用TXT、CSV和其他不需要特殊工具就可以阅读的格式。屏幕拷贝文件应该使用JPG格式。可疑文件样本最好加密压缩为ZiP格式，默认密码为：qihoo360搜集操作系统基本信息a.右键点击“我的电脑属性”将“常规”、“自动更新”、“远程”3个选卡各制作一个窗口拷贝（使用A1t+PrtScr）o并保存到q

13、ihooscreenshot目录下，文件名称应该使用：系统常规-01、自动更新-01、远程-01等形式命名。b.进入CMD状态，开始运行Cn1d，进入D盘根目录下的qihoo目录，执行一下命令：netstat-naonetstat.txt（网络连接信息）task1isttask1ist.txt（当前进程信息）ipconfig/a11ipconfig,txt（IP属性）verver.txt（操作系统属性）日志信息目标：导出所有日志信息；说明：进入管理工具，将“管理工具事件察看器”中，导出所有事件，分别使用一下文件名保存：app1ication.txtsecurity.txtsystem.txt0

14、帐号信息目标：导出所有帐号信息；说明：使用netuser,netgroup,net1oca1group命令检查帐号和组的情况，使用计算机管理查看本地用户和组，将导出的信息保存在D:qihoouser中（2）主机检测日志检查目标：1、从日志信息中检测出未授权访问或非法登录事件；2、从HS/FTP日志中检测非正常访问行为或攻击行为;说明：1、检查事件查看器中的系统和安全日志信息，比如：安全日志中异常登录时间，未知用户名登录；2、检查%WinDir%System321ogFi1es目录下的WWW日志和FTP日志,比如WWW日志中的对SheI1aSP文件的成功访问。帐号检查目标：检查帐号信息中非正常帐

15、号，隐藏帐号；说明：通过询问管理员或负责人,或者和系统的所有的正常帐号列表做对比,判断是否有可疑的陌生的账号出现，利用这些获得的信息和前面准备阶段做的帐号快照工作进行对比。进程检查目标：检查是否存在未被授权的应用程序或服务说明：使用任务管理器检查或使用进程查看工具进行查看，利用这些获得的信息和前面准备阶段做的进程快照工作进行对比，判断是否有可疑的进程。服务检查目标：检查系统是否存在非法服务说明：使用“管理工具”中的“服务”查看非法服务或使用360安全卫士、Wsystem察看当前服务情况，利用这些获得的信息和准备阶段做的服务快照工作进行对比。自启动检查目标：检查未授权自启动程序说明：检查系统各用户“启动”目录下是否存在未授权程序。网络连接检查目标：检查非正常网络连接和开放的端口说明：关闭所有的网络通讯程序，