I N F O R M A T I O N S E C U R I T Y E M E R G E N C Y处置规程 I 应急演练 I 应急预案主讲：xxx时间：202XCONTENTS01.信息安全应急响应处置方案规程02.信息安全应急预案编制与演练I N F O R M A T I O N S E C U R I T Y E M E R G E N C YI N F O R M A T I O N S E C U R I T Y E M E R G E N C Y处置规程 I 应急演练 I 应急预案PART/01处置规程 I 应急演练 I 应急预案应急响应响应对象应急处置组织为了应对突发/重大信息安全事件的发生所做的准备，已及在事件发生后所采取的的措施。信息安全应急响应是指在计算机系统或网络上的威胁安全的事件发生后采取的措施和行动。（信息安全应急响应计划规范GB/T24363-2009）指针对信息系统所存储、传输、处理的信息的安全事件。事件的主体可能来自自然界、系统自身故障、组织内部或外部的人为攻击等。按照信息系统安全的三个特性，可以把安全事件定义为破坏信息或信息处理系统CIA的行为，即破坏保密性的安全事件、破坏完整性的安全事件和破坏可用性的安全事件等。（信息系统等保体系框架GA/T708-2007）启动应急响应计划后，应立即采取相关措施抑制信息安全事件影响，避免造成更大损失。在确定有效控制了信息安全事件影响后，开始实施恢复操作。恢复阶段的行动集中于建立临时业务处理能力、修复原系统的损害、在原系统或新设施中恢复运行业务能力等应急措施。（信息安全应急响应计划规范GB/T24363-2009）应急响应定义处置规程 I 应急演练 I 应急预案信息安全应急响应要求信息安全等级保护应急预案管理a)应在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容；b)应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障；c)应对系统相关的人员进行应急预案培训，应急预案的培训应至少每年举办一次；d)应定期对应急预案进行演练，根据不同的应急恢复内容，确定演练的周期；e)应规定应急预案需要定期审查和根据实际情况更新的内容，并按照执行。安全事件处置a)应报告所发现的安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点；b)应制定安全事件报告和处置管理制度，明确安全事件的类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责；c)应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响，对本系统计算机安全事件进行等级划分；d)应制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置的范围、程度，以及处理方法等；f)对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。处置规程 I 应急演练 I 应急预案信息安全应急响应要求总体指导思想与原则3W1H原则易失性原则要素原则避害原则应急响应的基本流程应急输入应急输出应急工具集日志分析威胁情报漏洞补丁知识样本分析操作系统知识处置规程 I 应急演练 I 应急预案信息安全应急响应要求总体指导思想与原则3W1H原则3W即Who、What、Why，1H即How，做应急响应要带着疑问来做事，一定要收集清楚这些信息。网络拓扑是怎么样的？需求是啥？发生了什么事？你能做什么？用户用了什么产品？产品版本多少？病毒库版本多少？多少主机中了？主机是普通PC还是服务器？服务器是做什么的？信息收集越多，对应急响应越有利。避害原则做应急响应，要做到趋利避害，不能问题还没有解决，反而引入了新的问题。譬如，自己使用的工具被感染而不知情；给用户使用不恰当的工具或软件造成客户主机出现问题；给别人发样本，不加密，不压缩，导致别人误点中毒，最极端的场景就是给别人发勒索样本不加密压缩，导致别人误点中毒。易失性原则做应急响应免不了要做信息收集和取证的，但这里是有一定的先后顺序的，即最容易丢失数据，应该最先收集，其它的依次类推。要素原则做应急响应，主要是抓关键证据，即要素，这些要素包括样本、流量、日志、进程及模块、内存、启动项。处置规程 I 应急演练 I 应急预案网络安全应急响应管理机制垂直或下机机构：市级分支机构或区县级分支机构网络安全应急办公室/小组（协调中心）顾问组技术专家组公共舆论组网络安全应急领导小组（决策中心）应急支撑单位通信/网络设施企业涉事互联网企业供应商电信运营商专业网络安全厂商业务关联单位受业务影响的主管公安、工信部门，金融监管、国家安全、工商、税务等部门及其他相关单位如部门。处置规程 I 应急演练 I 应急预案应急响应组织结构及职责应急领导小组应急专家小组应急领导小组应急领导小组应急领导小组应急事件技术能力的支撑技术资源协调.应急事件的日常监控应急事件的响应应急事件的处理重要信息系统的业务能力恢复.。组织开展应急响应工作应急响应启动条件的决策应急响应所需资源的协调.处置规程 I 应急演练 I 应急预案应急事件类型计算机病毒事件蠕虫事件特洛伊木马事件僵尸网络事件混合攻击程序事件网页内嵌恶意代码事件有害程序事件拒绝服务攻击事件后门攻击事件漏洞攻击事件网络扫描窃听事件网络钓鱼事件干扰事件网络攻击事件信息篡改事件信息内容安全事件信息假冒事件信息泄露事件信息窃取事件信息丢失事件信息破坏事件软硬件自身故障外围保障设施故障人为破坏事件设备设施故障处置规程 I 应急演练 I 应急预案应急事件等级事件描述等级信息安全事件影响信息系统损害程度特别重大事件I级特别严重影响或破坏特别严重重大事件II级严重影响或破坏重大较大事件III级较严重影响或破坏较大一般事件IV级较小影响或破坏较小处置规程 I 应急演练 I 应急预案信息安全应急响应流程信息安全应急响应流程1准备阶段2检测阶段3抑制阶段4根除阶段5恢复阶段6事后活动阶段处置规程 I 应急演练 I 应急预案分析资产的风险1）明确信息系统网络与系统架构。2）明确信息系统的管理人员。3）明确信息系统的保护要求。4）计算损失和影响。编制应急预案1）制定应急处理的操作步骤。2）制定应急处理的报告路线。3）制定信息系统恢复的优先级顺序。4）明确配合的人员信息。风险加固1）根据风险建立防御/控制措施。2）安全管理及安全技术层面要同时兼顾。处置规程 I 应急演练 I 应急预案组建应急响应团队组建管理人员团队。组建技术人员团队。明确人员职责。建立应急响应组织人员清单。保障资源储备信息安全应急响应专项资金。应急响应所需的软硬件设备。社会关系资源。技术支持资源库网络拓扑图。信息系统及设备安装配置文档。常见问题处理手册。信息安全应急响应流程准备阶段处置规程 I 应急演练 I 应急预案控制事件蔓延1）采取有效的措施防止事件的进一步扩大。2）尽可能减少负面影响。信息安全应急响应流程抑制阶段抑制响应1）采取常规的技术手段处理应急事件。2）尝试快速修复系统，消除应急事件带来的影响。抑制监测1）确认当前的抑制手段是否有效。2）分析应急事件发生的原因，为根除阶段提供解决方案。处置规程 I 应急演练 I 应急预案启动应急预案1）协调各应急响应小组人员到位。2）根据应急场景启动相关预案。信息安全应急响应流程根除、恢复阶段根除监测1）根据应急预案的执行情况确认处置是否有效。2）尝试恢复信息系统的正常运行。持续监测1）当应急处置成功后对应急事件持续监测。2）确认应急事件已根除。3）信息系统运行恢复到正常状况。处置规程 I 应急演练 I 应急预案应急事件调查1）对应急事件发生的原因进行调查。2）评估应急事件对信息系统造成的损失。3）评估应急事件对单位、组织带来的影响。信息安全应急响应流程事后活动阶段应急响应总结1）对存在的风险点进行加固和整改。2）评价应急预案的执行情况和后续改进计划。3）对应急响应组织成员进行评价，表彰立功人员。应急响应情况报告1）由应急响应实施小组报告应急事件的处置情况。2）由应急响应领导小组下达应急响应结束的指令。处置规程 I 应急演练 I 应急预案信息安全事故应急保障通信与信息保障在专业通信网的基础上，加强应急通信装备准备，建立备份系统和紧急保障措施，形成跨部门、多手段、多路由，有线和无线相结合、微波和卫星相结合的反应快速、灵活机动、稳定可靠通信系统。应急装备保障各重要信息系统的业主单位在建设系统时应事先预留出一定的应急设备，建立信息网络硬件、软件、应急救援设备等应急物资库。在网络与信息安全突发公共事件发生时，由省协调小组办公室负责统一调用。数据保障重要信息系统均应建立异地容灾备份系统和相关工作机制，保证重要数据在受到破坏后，可紧急恢复。处置规程 I 应急演练 I 应急预案信息安全事故应急保障应急队伍保障按照一专多能的要求建立网络与信息安全应急保障队伍。选择若干经国家有关部门资质认可的，具有管理规范、服务能力较强的企业作为全省网络与信息安全的社会应急支援单位，提供技术支持与服务；必要时能够有效调动机关团体、企事业单位等的保障力量，进行技术支援。交通运输保障主管部门应确定网络与信息安全突发公共事件应急交通工具，确保应急期间人员、物资、信息传递的需要。经费保障为网络安全事件应急处置提供必要的资金保障。利用现有政策和资金渠道，支持网络安全应急技术支撑队伍建设、专家队伍建设、基础平台建设、技术研发、预案演练、物资保障等工作开展。I N F O R M A T I O N S E C U R I T Y E M E R G E N C Y处置规程 I 应急演练 I 应急预案PART/02处置规程 I 应急演练 I 应急预案信息安全应急预案编制与演练应急预案的类型综合预案特定系统预案专题预案单项预案组织开展应急响应工作的指导性文件具体类型的安全事件解决方案特定环境下、特定安全事件的处理方案针对场景的一次性解决方案处置规程 I 应急演练 I 应急预案应急预案框架一级目录（行业指引）二级目录（综合预案）三级目录（特定系统预案）四级目录（专题预案）五级目录（技术资源库）组织开展信息安全应急响应工作指南信息安全应急综合预案应用系统专项应急预案XX机房空调应急预案XX产品安装配置文档XX产品常见问题处理手册XX产品问题处理单主机系统专项应急预案XX品牌服务器应急预案网络系统专项应急预案XX品牌网络交换机应急预案信息安全专项应急预案XX品牌防火墙应急预案处置规程 I 应急演练 I 应急预案应急预案的编制步骤01启动应急预案编制工作02调查和风险评估03应急资源和能力评估04编制应急预案05应急预案的评审与修改06应急预案的发布与生效处置规程 I 应急演练 I 应急预案应急预案的启动执行过程预案启动确定是否发生信息安全事件对事件定级上报是否有相应的特定系统预案是否有针对该类事件的专项预案采取措施抑制事件扩散对事件进行根除恢复系统运行评估损失编写事件处理报告结束响应结束响应启动特定系统预案启动专题预案处置规程 I 应急演练 I 应急预案应急演练基本过程与任务演习准备阶段演习实施阶段演习总结阶段任务1确定演习日期任务2确定演习目标和范围任务3编写演习方案任务4确定演习现场规则任务5指定评价人员任务6安排后勤工作任务7准备分发工作文件任务8培训评价人员任务9讲解演习方案和活动任务10记录参演组织演习活动任务11对演习的效果做出评价；提交演练报告处置规程 I 应急演练 I 应急预案信息安全应急演练流程开始确定演练目标确定演练涉及范围确定演练方案准备演练所需的各项资源协调相关部门及单位组织演练评估演练结果结果通报总结经验并提出整改措施整改实施工作结束I N F O R M A T I O N S E C U R I T Y E M E R G E N C Y处置规程 I 应急演练 I 应急预案主讲：xxx时间：202X