【正文】 ，最終按照規(guī)范的報告格式提供完整的服務(wù)報告。依據(jù)服務(wù)對象信息安全事件的影響程度，如需向上級部門及時通報準(zhǔn)確情況或向其他單位尋求支持時，應(yīng)與相關(guān)管理部門以及外部組織機構(gòu)保持聯(lián)絡(luò)和協(xié)作。詳細(xì)的記錄對于找出事件的真相、查出威脅的來源與安全弱點、找到問題正確的解決方法，甚至判定事故的責(zé)任，避免同類事件的發(fā)生都有著極其重要的作用。1) 對主機系統(tǒng)做一個標(biāo)準(zhǔn)的安全初始化的狀態(tài)快照，包括的主要內(nèi)容有：252。 開放端口快照；252。3) 信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)及辦公數(shù)據(jù)均十分重要，因此需要進(jìn)行數(shù)據(jù)存儲及備份。 數(shù)據(jù)庫系統(tǒng)檢測技術(shù)規(guī)范；252。 將協(xié)會網(wǎng)絡(luò)信息中心會發(fā)布的病毒預(yù)防警報以及更新的防護(hù)策略及時有效地告知服務(wù)對象，做好防護(hù)策略的更新。l 角色：應(yīng)急服務(wù)實施小組成員、應(yīng)急響應(yīng)日常運行小組；l 內(nèi)容：(1) 檢測范圍及對象的確定；(2) 檢測方案的確定；(3) 檢測方案的實施；(4) 檢測結(jié)果的處理。 screenshot：用于存放屏幕拷貝文件 216。 216。 日志檢查目標(biāo)：從日志信息中檢測出未授權(quán)訪問或非法登錄事件；從IIS/FTP日志中檢測非正常訪問行為或攻擊行為；說明：檢查事件查看器中的系統(tǒng)和安全日志信息，比如：安全日志中異常登錄時間，未知用戶名登錄；檢查%WinDir%\System32\LogFiles 目錄下的WWW日志和FTP日志。 自啟動檢查目標(biāo)：檢查未授權(quán)自啟動程序說明：檢查系統(tǒng)各用戶“啟動”目錄下是否存在未授權(quán)程序。說明：使用防病毒軟件檢查文件，掃描硬盤上所有的文件，保存到EEAN\artifact目錄下的相應(yīng)子目錄中。252。252。 服務(wù)對象的業(yè)務(wù)和重點決策過程；252。 關(guān)閉存在的非法服務(wù)和不必要的服務(wù)；252。l 內(nèi)容：(1) 根除方案的確定；(2) 根除方案的認(rèn)可；(3) 根除方案的實施；(4) 根除效果的判定；l 輸出：《根除處理記錄表》、《…》 根除方案的確定l 應(yīng)急服務(wù)提供者應(yīng)協(xié)助服務(wù)對象檢查所有受影響的系統(tǒng)，在準(zhǔn)確判斷安全事件原因的基礎(chǔ)上，提出方案建議；l 由于入侵者一般會安裝后門或使用其他的方法以便于在將來有機會侵入該被攻陷的系統(tǒng)，因此在確定根除方法時，需要了解攻擊者時如何入侵的，以及與這種入侵方法相同和相似的各種方法。l 角色：應(yīng)急服務(wù)實施小組、應(yīng)急響應(yīng)日常運行小組。 恢復(fù)信息系統(tǒng)l 應(yīng)急響應(yīng)實施小組應(yīng)按照系統(tǒng)的初始化安全策略恢復(fù)系統(tǒng)；l 恢復(fù)系統(tǒng)時，應(yīng)根據(jù)系統(tǒng)中個子系統(tǒng)的重要性，確定系統(tǒng)恢復(fù)的順序；l 恢復(fù)系統(tǒng)過程宜包含但不限于以下方面：252。 系統(tǒng)的損害程度評估；252。 采取的主要應(yīng)對措施；252。 開啟系統(tǒng)和應(yīng)用服務(wù)，將受到入侵或者懷疑存在漏洞而關(guān)閉的服務(wù)，修改后重新開放；252。 如何獲得訪問受損設(shè)施或地理區(qū)域的授權(quán)；252。 根除方案的實施l 應(yīng)急服務(wù)提供者應(yīng)使用可信的工具進(jìn)行安全事件的根除處理，不得使用受害系統(tǒng)已有的不可信的文件和工具；l 根除措施易包含但不僅限與以下幾個方面：252。 使用net share或其他第三方的工具停止所有開放的共享；252。 抑制方案的認(rèn)可l 應(yīng)急服務(wù)提供者應(yīng)告知服務(wù)對象所面臨的首要問題；l 應(yīng)急服務(wù)提供者所確定的抑制方法和相應(yīng)的措施應(yīng)得到服務(wù)對象的認(rèn)可；l 在采取抑制措施之前，應(yīng)急服務(wù)提供者要和服務(wù)對象充分溝通，告知可能存在的風(fēng)險，制定應(yīng)變和回退措施，并與其達(dá)成協(xié)議。l 評估突發(fā)信息安全事件的影響采用定量和/或定性的方法，對業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓數(shù)據(jù)丟失等突發(fā)信息安全事件造成的影響進(jìn)行評估：l 確定是否存在針對該事件的特定系統(tǒng)預(yù)案，如有，則啟動相關(guān)預(yù)案；如果事件涉及多個專項預(yù)案，應(yīng)同時啟動所有涉及的專項預(yù)案；l 如果沒有針對該事件的專項預(yù)案，應(yīng)根據(jù)事件具體情況，采取抑制措施，抑制事件進(jìn)一步擴散。252。 查找其他入侵痕跡目標(biāo)：查找其它系統(tǒng)上的入侵痕跡，尋找攻擊途徑說明：其它系統(tǒng)包括：同一IP地址段或同一網(wǎng)段的系統(tǒng)、同一域的其他系統(tǒng)、擁有相同操作系統(tǒng)的其他系統(tǒng)。 網(wǎng)絡(luò)連接檢查目標(biāo)：檢查非正常網(wǎng)絡(luò)連接和開放的端口說明：關(guān)閉所有的網(wǎng)絡(luò)通訊程序，以免出現(xiàn)干擾，然后使用ipconfig, netstat –an或其它第三方工具查看所有連接，檢查服務(wù)端口開放情況和異常數(shù)據(jù)的信息。 帳號檢查目標(biāo)：檢查帳號信息中非正常帳號，隱藏帳號；說明：通過詢問管理員或負(fù)責(zé)人，或者和系統(tǒng)的所有的正常帳號列表做對比，判斷是否有可疑的陌生的賬號出現(xiàn)，利用這些獲得的信息和前面準(zhǔn)備階段做的帳號快照工作進(jìn)行對比。 搜集操作系統(tǒng)基本信息1．右鍵點擊“我的電腦屬性” 將“常規(guī)”、“自動更新”、“遠(yuǎn)程”3個選卡各制作一個窗口拷貝（使用Alt+PrtScr）。 文件格式：216。 檢測范圍及對象的確定l 應(yīng)急服務(wù)提供者應(yīng)對發(fā)生異常的系統(tǒng)進(jìn)行初步分析，判斷是否正真發(fā)生了安全事件；l 應(yīng)急服務(wù)提供者和服務(wù)對象共同確定檢測對象