【正文】 急響應流程 ? 5 保障與監(jiān)督管理 ? 6計劃附則 總則 ? 指導思想 ? 編制目的 ? 編制依據(jù) ? 適用范圍 廣州市各級政府黨政機關、事業(yè)單位及與重點保護企業(yè) ? 工作原則 ? 分類與分級 ? 類別：有害程序事件、網(wǎng)絡攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設備設施故障、 災害性事件、 其他信息安全事件。 :11:2822:11Mar237Mar23 ? 1故人江海別，幾度隔山川。 , March 7, 2023 ? 很多事情努力了未必有結果，但是不努力卻什么改變也沒有。 2023年 3月 7日星期二 10時 11分 28秒 22:11:287 March 2023 ? 1空山新雨后，天氣晚來秋。 2023年 3月 7日星期二 下午 10時 11分 28秒 22:11: ? 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。勝人者有力，自勝者強。 。 2023年 3月 7日星期二 10時 11分 28秒 22:11:287 March 2023 ? 1做前，能夠環(huán)視四周；做時，你只能或者最好沿著以腳為起點的射線向前。 , March 7, 2023 ? 雨中黃葉樹，燈下白頭人。 領導小組的職責是領導和決策信息安全應急響應的重大事宜 ， 主要如下： （ 1） 對應急響應工作的承諾和支持 ， 包括發(fā)布正式文件 、 提供必要資源 （ 人財物 ） 等； （ 2） 審核并批準應急響應策略； （ 3） 審核并批準應急響應計劃； （ 4） 批準和監(jiān)督應急響應計劃的執(zhí)行； （ 5) 啟動定期評審 、 修訂應急響應計劃； （ 6） 負責組織的外部協(xié)作工作 。 ? （ 2）恢復規(guī)程 ? 為了進行恢復操作，應急響應計劃應提供恢復業(yè)務能力的詳細規(guī)程。損害評估規(guī)程對于不同的系統(tǒng)是不同的，但是應該涉及到以下領域： （ 1）造成緊急情況或中斷的原因； （ 2）潛在的附加中斷或損失； （ 3）受到緊急情況影響的區(qū)域； （ 4）物理構架（如計算機室結構的完整性、電源、電信以及制熱、通風和空調(diào)的情況）的狀況； （ 5）系統(tǒng)設備的總量和功能狀態(tài)（如具備完整功能、具備部分功能或喪失功能）； （ 6）系統(tǒng)設備及其存貨的損失類型（如水害、水災或熱能、物理以及電涌影響）； （ 7）被更換的項目（如硬件、軟件、固件或支持材料）； （ 8）估計恢復正常服務所需的時間。組織外信息通報目的是將相關信息及時通報給受到負面影響的外部機構、互聯(lián)的單位系統(tǒng)以及重要用戶，同時根據(jù)應急響應的需要，應將相關信息準確通報給相關設備設施及服務提供商（包括電信、電力等）等外部組織，以獲得適當?shù)膽表憫С帧? 2. 糾正正在被攻擊的漏洞或弱點 3. 讓 ISP 實施過濾 4. 重定位目標 5. 攻擊攻擊者 6. 設定證據(jù)保留時間 第四階段 —根除 27 ?長期的補救措施 ?微觀： ?詳細分析 ， 確定原因 ， 定義征兆 ?分析漏洞 ?加強防范 ?消除原因 ?修改安全政策 ?宏觀： ?加強宣傳 ， 公布危害性和解決辦法 ， 呼吁用戶解決終端的問題； ?加強檢測工作 ， 發(fā)現(xiàn)和清理行業(yè)與重點部門的問題； 準備 確認 遏制 根除 恢復 跟蹤 第五階段 —恢復 28 ?微觀： 被攻擊的系統(tǒng)恢復正常的工作狀態(tài) ?作一個新的備份 ?把所有安全上的變更作備份 ?服務重新上線 ?持續(xù)監(jiān)控 ?宏觀： ?持續(xù)匯總分析 ， 了解各網(wǎng)的運行情況 ?根據(jù)各網(wǎng)的運行情況判斷隔離措施的有效性 ?通過匯總分析的結果判斷仍然受影響的終端的規(guī)模 ?發(fā)現(xiàn)重要用戶及時通報解決 ?適當?shù)臅r候解除封鎖措施 準備 確認 遏制 根除 恢復 跟蹤 第六階段 —跟蹤 29 ?關注系統(tǒng)恢復以后的安全狀況，特別是曾經(jīng)出問題的地方 ?建立跟蹤文檔，規(guī)范記錄跟蹤結果 ?對響應效果給出評估 ?對進入司法程序的事件，進行進一步的調(diào)查，打擊違法犯罪活動 準備 確認 遏制 根除 恢復 跟蹤 事件的歸檔與統(tǒng)計 30 ?處理人 ?時間和時段 ?地點 ?工作量 ?事件的類型 ?對事件的處置情況 ?代價 ?細節(jié) 應急響應預案的制定 ? 應急響應預案的包括的主要內(nèi)容 – 確定風險場景 – 描述可能受到的業(yè)務影響 – 描述使用的預防性策略 – 描述應急響應策略 – 識別和排列關鍵應用系統(tǒng) – 行動計劃 – 團隊和人員的職責 – 聯(lián)絡清單 – 所需資源配置 31 應急響應預案的制定 ? 制定應急響應預案的原則 – 首先，必須集中管理應急響應預案的版本和發(fā)布。 損失最小 盡快恢復 應急響應與應急響應體系的關系 5 應急預案 應急演練 應急響應 技術管理措施 應急響應體系 政策要求 6 ?《 關于加強信息安全保障工作的意見 》 （ 中辦發(fā)『 2023』 27號文） 指出：“信息安全保障工作的要點在于，實行信息安全等級保護制度，建設基于密碼技術的網(wǎng)絡信任體系，建設信息安全監(jiān)控體系， 重視信息安全應急處理工作 ，推動信息安全技術研發(fā)與產(chǎn)業(yè)發(fā)展，建設信息安全法制與標準” ?國家信息安全戰(zhàn)略的近期目標：通過五年的努力，基本建成國家信息安全保障體系。這里的系統(tǒng)包括主機范疇內(nèi)的問題，也包括網(wǎng)絡范疇內(nèi)的問題，例如黑客入侵、信息竊取、拒絕服務攻擊、網(wǎng)絡流量異常等。 相關標準 8 ? GB/T 243642023 《 信息安全技術 信息安全應急響應計劃規(guī)范 》 ?GB/T 209882023 《信息安全技術 信息系統(tǒng) 應急響應 規(guī)范》 ?GB/Z 209852023 《信息技術 安全技術 信息安全事件管理指南》 ?GB/Z 209862023 《信息安全技術 信息安全事件分類分級指南》 應急響應六階段 9 ?第一階段：準備 —— 讓我們嚴陣以待 ?第二階段：確認 —— 對情況綜合判斷 ?第三階段：遏制 —— 制止事態(tài)的擴大 ?第四階段：根除 —— 徹底的補救措施 ?第五階段：恢復 —— 系統(tǒng)恢復常態(tài) ?第六階段：跟蹤 —— 還會有第二次嗎 第一階段 —準備 10 ?預防為主 ?微觀（一般觀點）： 幫助服務對象建立安全政策 幫助服務對象按照安全政策配置安全設備和軟件 掃描，風險分析，打補丁 如有條件且得到許可，建立監(jiān)控設施 ?宏觀： 建立協(xié)作體系和應急制度 建立信息溝通渠道和通報機制 如有條件，建立數(shù)據(jù)匯總分析的體系和能力 有關法律法規(guī)的制定 準備 確認 遏制 根除 恢復 跟蹤 第一階段 —準備 11 ?制定應急響應計劃 ?資源準備 ?應急經(jīng)費籌集 ?人力資源 ?軟硬件設備 ?現(xiàn)場備份 ?業(yè)務連續(xù)性保障 ?系統(tǒng)容災 ?搭建臨時業(yè)務系統(tǒng) 準備 確認 遏制 根除 恢復 跟蹤 人力資源準備 ? ? 指揮調(diào)度人員 ? ? 協(xié)作人員 ? ? 技術人員 ? ? 專家 ? ? 設備、系統(tǒng)和服務提供商 軟硬件設備準備 ? ? 硬件設備準備 ?數(shù)據(jù)保護設備 ? 磁盤、磁帶、光盤 ? SAN ?冗余設備