处置规程 I 应急演练 I 应急预案信息安全应急相应处置方案信息安全应急相应处置方案汇报人:时间:2023.08.17CONCENTS目录01信息安全应急响应处置方案规程02信息安全应急预案编制与演练信息安全应急响应处置方案规程PART-01处置规程 I 应急演练 I 应急预案信息安全应急响应处置方案规程应急响应响应对象应急处置组织为了应对突发 / 重大信息安全事件的发生所做的准备,已及在事件发生后所采取的的措施。信息安全应急响应是指在计算机系统或网络上的威胁安全的事件发生后采取的措施和行动。——(信息安全应急响应计划规范 GB/T 24363-2009 )指针对信息系统所存储、传输、处理的信息的安全事件。事件的主体可能来自自然界、系统自身故障、组织内部或外部的人为攻击等。按照信息系统安全的三个特性,可以把安全事件定义为破坏信息或信息处理系统 CIA 的行为,即破坏保密性的安全事件、破坏完整性的安全事件和破坏可用性的安全事件等。 ——(信息系统等保体系框架 GA/T 708-2007 )启动应急响应计划后,应立即采取相关措施抑制信息安全事件影响,避免造成更大损失。在确定有效控制了信息安全事件影响后,开始实施恢复操作。恢复阶段的行动集中于建立临时业务处理能力、修复原系统的损害、在原系统或新设施中恢复运行业务能力等应急措施。——(信息安全应急响应计划规范GB/T 24363-2009 )应急响应定义处置规程 I 应急演练 I 应急预案信息安全应急响应处置方案规程信息安全应急响应要求—信息安全等级保护应急预案管理a) 应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;b) 应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障;c) 应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次;d) 应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期;e) 应规定应急预案需要定期审查和根据实际情况更新的内容,并按照执行。安全事件处置a) 应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;b) 应制定安全事件报告和处置管理制度,明确安全事件的类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责;c) 应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分;d) 应制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等;f) 对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。处置规程 I 应急演练 I 应急预案信息安全应急响应处置方案规程信息安全应急响应要求—总体指导思想与原则3W1H原则易失性原则要素原则避害原则应急响应的基本流程应急输入应急输出应急工具集日志分析威胁情报漏洞补丁知识样本分析操作系统知识处置规程 I 应急演练 I 应急预案信息安全应急响应处置方案规程信息安全应急响应要求—总体指导思想与原则3W1H 原则3W 即 Who 、 What 、 Why , 1H 即 How ,做应急响应要带着疑问来做事,一定要收集清楚这些信息。网络拓扑是怎么样的?需求是啥?发生了什么事?你能做什么?用户用了什么产品?产品版本多少?病毒库版本多少?多少主机中了?主机是普通 PC 还是服务器?服务器是做什么的?……信息收集越多,对应急响应越有利。避害原则做应急响应,要做到趋利避害,不能问题还没有解决,反而引入了新的问题。譬如,自己使用的工具被感染而不知情;给用户使用不恰当的工具或软件造成客户主机出现问题;给别人发样本,不加密,不压缩,导致别人误点中毒,最极端的场景就是给别人发勒索样本不加密压缩,导致别人误点中毒。易失性原则做应急响应免不了要做信息收集和取证的,但这里是有一定的先后顺序的,即最容易丢失数据,应该最先收集,其它的依次类推。要素原则做应急响应,主要是抓关键证据,即要素,这些要素包括样本、流量、日志、进程及模块、内存、启动项。处置规程 I 应急演练 I ...
