网络安全应急响应工作流程

微信公众号：计算机与网络安全

一、事前准备

“事前准备”是网络安全应急响应的前期铺垫龙之谷更新程序初始化失败 。其目标是在事件真正发生前为应急响应做好预备性的工作。具体负责人员有事故单位负责人、技术人员、市场人员，根据各自的角色准备不同的内容。最后输出的文档包括《准备工具清单》《事件初步报告表》《实施人员工作清单》等。

1、负责人准备内容

（1）制定工作方案和计划龙之谷更新程序初始化失败 。

（2）提供人员和物质保证龙之谷更新程序初始化失败 。

（3）审核并批准经费预算、恢复策略、应急响应计划龙之谷更新程序初始化失败 。

（4）批准并监督应急响应计划的执行龙之谷更新程序初始化失败 。

（5）指导应急响应实施小组的应急处置工作龙之谷更新程序初始化失败 。

（6）启动定期评审、修订应急响应计划以及负责组织的外部协作龙之谷更新程序初始化失败 。

2、技术人员准备内容

（1）服务需求界定

首先要对服务对象的整个信息系统进行评估，明确服务对象的应急需求，具体应包含以下内容龙之谷更新程序初始化失败 。

1）应急服务提供者应了解应急服务对象的各项业务功能及其之间的相关性，确定支持各种业务功能的相关信息系统资源及其他资源，明确相关信息的保密性、完整性、可用性要求龙之谷更新程序初始化失败 。

2）对服务对象的信息系统，包括应用程序、服务器、网络及任何管理和维护这些系统的流程进行评估，确定系统所执行的关键功能，并确定执行这些关键功能所需要的特定系统资源龙之谷更新程序初始化失败 。

3）应急服务提供者应采用定性或定量的方法，对业务中断、系统宕机、网络瘫痪等突发安全事件造成的影响进行评估龙之谷更新程序初始化失败 。

4）应急服务提供者应协助服务对象建立适当的应急响应策略，应提供在业务中断、系统宕机、网络瘫痪等突发安全事件发生后快速有效地恢复信息系统运行的方法龙之谷更新程序初始化失败 。

5）应急服务提供者宜为服务对象提供相关的培训服务，以提高服务对象的安全意识，便于相关责任人明确自己的角色和责任，了解常见的安全事件和入侵行为，熟悉网络安全应急响应策略龙之谷更新程序初始化失败 。

（2）主机和网络设备安全初始化快照和备份

在系统安全策略配置完成后，要对系统做一次初始安全状态快照龙之谷更新程序初始化失败 。这样，如果以后再出现事故后对该服务器做安全检测时，通过将初始化快照做的结果与检测阶段做的快照进行比较，就能够发现系统的改动或异常。

（3）工具包的准备

1）应急服务提供者应根据应急服务对象的需求准备处置网络安全事件的工具包，包括常用的系统基本命令、其他软件工具等龙之谷更新程序初始化失败 。

2）应急服务提供者的工具包中的工具最好是采用绿色免安装的，应保存在安全的移动介质上，如一次性可写光盘、加密的U盘等龙之谷更新程序初始化失败 。

3）应急服务提供者的工具包应定期更新、补充龙之谷更新程序初始化失败 。

（4）必要技术的准备

上述针对应急响应的处理涉及的安全技术工具涵盖应急响应的事件取样、事件分析、事件隔离、系统恢复和攻击追踪等各个方面，构成了网络安全应急响应的技术基础龙之谷更新程序初始化失败 。所以应急响应服务实施成员还应该掌握必要的技术手段和规范，具体包括以下内容。

1）系统检测技术，包括以下检测技术规范：Windows系统检测技术规范、Unix系统检测技术规范、网络安全事故检测技术规范、数据库系统检测技术规范和常见的应用系统检测技术规范龙之谷更新程序初始化失败 。

2）攻击检测技术，包括以下技术：异常行为分析技术、入侵检测技术、安全风险评估技术、攻击追踪技术、现场取样技术、系统安全加固技术、攻击隔离技术、资产备份恢复技术等龙之谷更新程序初始化失败 。

3、市场或公共关系人员准备内容

市场人员需要和合作对象建立长期友好的业务关系；和合作对象签订应急服务合同或协议；建立预防和预警机制，及时上报龙之谷更新程序初始化失败 。

二、事中发现

“事中发现”的目标是接到事故报警后在事故单位的配合下对异常的系统进行初步分析，确认其是否真正发生了网络安全事件，制定进一步的响应策略，并保留证据龙之谷更新程序初始化失败 。负责人员包括应急服务实施小组成员、应急响应日常运行小组。此步骤的工作内容包括以下几个方面。

（1）检测范围及对象的确定龙之谷更新程序初始化失败 。

（2）检测方案的确定龙之谷更新程序初始化失败 。

（3）检测方案的实施龙之谷更新程序初始化失败 。

（4）检测结果的处理龙之谷更新程序初始化失败 。

最终输出《检测结果记录》及其他报告龙之谷更新程序初始化失败 。

“事中发现”确认了网络攻击的行为、初步发现了问题的特征及影响波及面，从而针对安全事件需要确定实施小组成员、下一步检测范围及对象、确定检测方案、实施检测方案、处理检测结果等龙之谷更新程序初始化失败 。

1、确定实施小组人员

应急响应负责人根据《事件初步报告表》的内容，初步分析事故的类型、严重程度等，以此来确定临时应急响应小组的实施人员的名单龙之谷更新程序初始化失败 。

2、确定检测范围及对象

应急服务提供者应对发生异常的系统进行初步分析，判断是否真正发生了网络安全事件；应急服务提供者和事故单位共同确定检测对象及范围；检测对象及范围应得到事故单位的书面授权龙之谷更新程序初始化失败 。

3、确定检测方案

应急服务提供者和事故单位共同确定检测方案；应急服务提供者制定的检测方案应明确应急服务提供者所使用的检测规范；应急服务提供者制定的检测方案应明确应急服务提供者的检测范围，其检测范围应仅限于服务对象已授权的与安全事件相关的数据，对服务对象的机密性数据信息未经授权的不得访问；应急服务提供者制定的检测方案应包含实施方案失败的应变和回退措施；应急服务提供者和事故单位充分沟通，并预测应急处理方案可能造成的影响龙之谷更新程序初始化失败 。

4、实施检测方案

（1）检测搜集系统信息

检测搜集系统信息时，记录平时使用目录及文件名约定，以及约定文件格式龙之谷更新程序初始化失败 。搜集操作系统基本信息，并导出日志信息、导出账号信息等。

（2）主机检测

需要检测以下各项：日志检查、账号检查、进程检查、服务检查、自启动检查、网络连接检查、共享检查、文件检查、查找其他入侵痕迹等龙之谷更新程序初始化失败 。

5、处理检测结果

（1）确定安全事件的类型龙之谷更新程序初始化失败 。经过检测，判断出网络安全事件类型。

（2）评估突发信息安全事件的影响龙之谷更新程序初始化失败 。采用定量和/或定性的方法，对业务中断、系统宕机、网络瘫痪、数据丢失等突发信息安全事件造成的影响进行评估；确定是否存在针对该事件的特定系统预案，如有，则启动相关预案；如果事件涉及多个专项预案，应同时启动所有涉及的专项预案；如果没有针对该事件的专项预案，应根据事件具体情况，采取抑制措施，抑制事件进一步扩散。

（3）制定具体响应策略，必要时进行事件调查龙之谷更新程序初始化失败 。

三、事后响应

“事后响应”阶段，也是全力以赴行动的阶段龙之谷更新程序初始化失败 。其目标是及时采取行动限制事件扩散和影响的范围，限制潜在的损失与破坏，同时要确保封锁方法对涉及相关业务影响最小。负责主体包括应急服务实施小组、应急响应日常运行小组。其工作内容如下。

（1）响应方案的确定龙之谷更新程序初始化失败 。

（2）响应方案的认可龙之谷更新程序初始化失败 。

（3）响应方案的实施龙之谷更新程序初始化失败 。

（4）响应效果的判定龙之谷更新程序初始化失败 。

执行响应工作之后，输出《响应处理记录表》报告龙之谷更新程序初始化失败 。

- The end -

网络安全资料列表