应急响应流程Word文档格式.docx

1、2.每星期登陆一次国家计算机网络应急技术处理协调中心查看安 全公告内 容，对于安全警告信息确认分析，如果所管理网络存在警报中安全问题，应及时安装从站点下 载的补丁。3.在本组织内部制作一个信息安全相矢的发布页面，亲自负责来维护信息发布，定期发布安 全预警信息和安全维护文章，对于常用的杀毒软件等安全工具也应该提供下载，做到每一个新 员工加入后可以通过这个站点获取到全部所需要的软件和安全规定和相尖知识技巧。4.针对近三年来蠕虫病毒攻击分析后，内部网络大量的WINDOWS平台个人计算机是很大的 安全隐患，管理员应该提供一篇WINDOWS主机的安全配置方面文章，群发给普通用户进行 安全配置，必要时提供

2、一次统一的相尖操作培训。5.每月定期采用扫描软件对服务器进行安全评估工作，认真分析安全风险报告，每当升级新 的安全漏洞资料后，设置仅仅扫描新填风险对所管理网络进行全扫描，分析结果。6.在内部进行全面的IP地址和员工姓名，所在地理位置，使用情况，员工邮件地址统计， 建立标准电子档案，不推荐使用DHCP方式分配IP地址。如果设备支持可以在桌面交换机上 进行IP、MAC地址与物理端口限定的方法，防止IP地址盗用。7.对于服务器群业务主机建立IP地址，服务器名称，运行业务系统、网络维护人员、业务 管理使用人员相尖联名单。8.定期在组织内部举办网络安全相矢的知识培训讲座，可以从本企业的安全承包商中邀请一

3、 些熟悉安全技术的人进行讲座。9-对于重要服务器系统进行必要的安全加固工作，在加固完成后进行系统快照保存相矢数据 以备日后分析。10.安全管理员准备应急工具包，内容是指网络与信息安全应急事件处理过程中将使用工具集 合。该工具包应由安全技术人员及时建立，并定时更新。使用应急响应工具包中的工具所产生 的结果将是网络与信息安全应急事件处理过程中的可信基础。D检测1.在系统中部署入侵检测设备到整个系统中，安全管理员保证定期登陆入侵检测系统查看相 尖的告警信息并进行必要的事件排查与处理。2.网络内部配置一台专门的日志收集服务器，将企业网络内部的安全产品和网络设备的安全性相矢告警信息统一发送给日志收集服务

4、器进行报警显示。安全管理员每天上班或下班 前定时查看该服务器的的安全报警信息。3. 利用PING命令或者SNMP、NETFLOW协议监控网络设备端口工作状态、整体流量和连通性等 健康状态，实时监控网络访问流量，当发现异常网络访问流量时，马上报警。对于外网防火墙到 DMZ区域交换机进行端口流量监控，当流量一旦超过了当前接入带宽上限流量的时候，需要及时 发现情况。4.当流量出现异常的时候，需要借助各种分析工具例如前面章节所介绍的SNIFFER等参与到事 件的整体分析中。5.定期针对系统的各种日志进行分析，查看是否存在异常情况。C抑制和E根除阶段1.当攻击流量不大的时候，在防火墙，交换机、路由器上针

5、对各种危险的访问行为 进行访问 控制列表或者黑洞路由方式进行设置。2.当攻击流量过大超过目前租用线路上限数值时，及时联系ISP在上层路由器中进行封 堵。3.对系统当前状态逬行快照分析，对比以往系统快照结果分析查找问题。4.系统当前进程分析，查看相矢开放端口。5.各种日志收集分析软件和方法。6.评估类的工具软件进行自我评估主动发现问题，查找攻击者可能利用的攻击弱点。R恢复恢复阶段是指通过采取一系列的步骤将系统恢复到正常业务状态。尤其是与各个业务系 统实际情况相结合的部分，恢复的方式包含两种。一是在应急处理方案中列明所有系统变化 的情况下，直接删除并恢复所有变化。二是在应急处理方案中未列明所有系统

6、变化的情况 下，重装系统。本部分的主要内容是将系统恢复到正常的任务状态。在系统遭到入侵后，攻击者一定会 对入侵的系统进行更改。同时，攻击者还会想尽各种办法使这种修改不被系统维护人员发 现。从而达到隐藏自己的目的。在根除阶段能彻底恢复配置和清除系统上的恶意文件，并且能够确定系统经过根除已经 完全将系统的所有变化根除的情况下，可以通过直接恢复业务系统的方式来恢复系统。这种 恢复方式的优点是时间短、系统恢复快、系统维护人员工作量小和对业务的影响较小在根除阶段不能彻底恢复配置和清除系统上的恶意文件或不能肯定系统是否经过根除后已干净时，那么就一定要彻底的重装系统。系统重装往往是系统最可靠的系统恢复 手段

7、。F跟踪1.从安全事件中吸取经验教训非常尖键，不停的自我完善的防护体系和策略才是最 好的安全 设计思路。2.将每一次安全事故的表现和处理步骤发布在内部的信息安全发布站点上，方便以后内部出 现同样攻击事件后处理。3.对于内部需要改善和作出调整的安全配置在内部网络中即使发布更新策略。4.如果可以确定攻击者的来源IP地址，在网矢防火墙上将来源IP地址段及时封堵，例如垃圾邮件的发送者等等跟进阶段是应急响应的最后一个阶段，本部分的内容主要是对抑制或根除的效果进行审 计，确认系统没有被再次入侵。下面将详细说明跟进阶段的工作要如何进行、在何时进行比 较合适、具体的工作流程、要思考和总结的问题以及需要报告的内

8、容。跟进阶段的主要任务 是确认系统有没有被再入侵，确认系统有没有被再入侵是通过对 抑制或根除的效果进行审计 完成的。这种审计是一个需要定期进行的过程。通常，第一次审计应该在一定期限之内进 行,以后再进行复查。并输出跟进阶段的报告内容，包括安全事件的类型、时间、检测方 法、抑制方法、根除方法、事件影响范围等。要 在跟进阶段报告中详细记录这些内容。跟进阶段还需对事件处理情况进行总结，吸取经验教训，对已有安全防护措施和 安全事 件应急响应预案进行改进。跟进阶段是安全事件应急响应6阶段方法论的最后一个阶段。跟进阶段是6个阶段中最可能被忽略的阶段。但这一步也是非常矢键的。该阶段需要完成的原因有以下几点：有助于从安全事件中吸取经验教训，提咼技能，有助于评判应急响应组织的事件响应能力；如果可能的话，可以在更大范围推广介绍事件处理经验