【正文】 及范圍；l 檢測(cè)對(duì)象及范圍應(yīng)得到服務(wù)對(duì)象的書面授權(quán)。 按照“早發(fā)現(xiàn)、早報(bào)告、早處置”的原則，市場(chǎng)人員要加強(qiáng)對(duì)服務(wù)對(duì)象信息系統(tǒng)的安全檢測(cè)結(jié)果的通告，收集可能引發(fā)信息安全事件的有關(guān)信息、進(jìn)行分析判斷。 異常行為分析技術(shù)；252。各服務(wù)對(duì)象可以根據(jù)自身的特點(diǎn)選擇不同的存儲(chǔ)產(chǎn)品構(gòu)建自己的數(shù)據(jù)存儲(chǔ)備份系統(tǒng)。 注冊(cè)表快照；252。252。l 角色：技術(shù)人員、市場(chǎng)人員。l 應(yīng)急人力保障加強(qiáng)信息安全人才培養(yǎng)，強(qiáng)化信息安全宣傳教育，建設(shè)一支高素質(zhì)、高技術(shù)的信息安全核心人才和管理隊(duì)伍，提高信息安全防御意識(shí)。第二部分 應(yīng)急響應(yīng)組織保障本協(xié)會(huì)應(yīng)急響應(yīng)工作機(jī)構(gòu)按角色劃分為三個(gè)：l 應(yīng)急響應(yīng)負(fù)責(zé)人，l 應(yīng)急響應(yīng)技術(shù)人員，l 應(yīng)急響應(yīng)市場(chǎng)人員。 制訂本規(guī)范的目的是為了指導(dǎo)應(yīng)急響應(yīng)服務(wù)操作人員按一定的實(shí)施辦法和操作流程，從接受應(yīng)急響應(yīng)服務(wù)申請(qǐng)到交付應(yīng)急響應(yīng)總結(jié)報(bào)告為止這段時(shí)間內(nèi)，要求實(shí)施進(jìn)度和質(zhì)量可控，在規(guī)定的時(shí)間內(nèi)完成應(yīng)急響應(yīng)服務(wù)。全司。負(fù)責(zé)人的職責(zé)是領(lǐng)導(dǎo)和決策信息安全應(yīng)急響應(yīng)的重大事宜，主要職責(zé)如下： a) 制定工作方案；b) 提供人員和物質(zhì)保證；c) 審核并批準(zhǔn)經(jīng)費(fèi)預(yù)算；d) 審核并批準(zhǔn)恢復(fù)策略；e) 審核并批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃；f) 批準(zhǔn)并監(jiān)督應(yīng)急響應(yīng)計(jì)劃的執(zhí)行；g) 指導(dǎo)應(yīng)急響應(yīng)實(shí)施小組的應(yīng)急處置工作；h) 啟動(dòng)定期評(píng)審、修訂應(yīng)急響應(yīng)計(jì)劃以及負(fù)責(zé)組織的外部協(xié)作。l 技術(shù)支撐保障 設(shè)立信息安全應(yīng)急響應(yīng)中心，建立預(yù)警與應(yīng)急處理的技術(shù)平臺(tái)，進(jìn)一步提高安全事件的發(fā)現(xiàn)和分析能力。 技術(shù)人員準(zhǔn)備內(nèi)容l 服務(wù)需求界定首先要對(duì)服務(wù)對(duì)象的整個(gè)信息系統(tǒng)進(jìn)行評(píng)估，明確服務(wù)對(duì)象的應(yīng)急需求，具體應(yīng)包含以下內(nèi)容：1) 應(yīng)急服務(wù)提供者應(yīng)了解應(yīng)急服務(wù)對(duì)象的各項(xiàng)業(yè)務(wù)功能及其之間的相關(guān)性，確定支持各種業(yè)務(wù)功能的相關(guān)信息系統(tǒng)資源及其他資源，明確相關(guān)信息的保密性、完整性、和可用性要求；2) 對(duì)服務(wù)對(duì)象的信息系統(tǒng)，包括應(yīng)用程序，服務(wù)器，網(wǎng)絡(luò)及任何管理和維護(hù)這些系統(tǒng)的流程進(jìn)行評(píng)估，確定系統(tǒng)所執(zhí)行的關(guān)鍵功能，并確定執(zhí)行這些關(guān)鍵功能所需要的特定系統(tǒng)資源；3) 應(yīng)急服務(wù)提供者應(yīng)采用定性或定量的方法，對(duì)業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等突發(fā)安全事件造成的影響進(jìn)行評(píng)估；4) 應(yīng)急服務(wù)提供者應(yīng)協(xié)助服務(wù)對(duì)象建立適當(dāng)?shù)膽?yīng)急響應(yīng)策略，應(yīng)提供在業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等突發(fā)安全事件發(fā)生后快速有效的恢復(fù)信息系統(tǒng)運(yùn)行的方法；5) 應(yīng)急服務(wù)提供者宜為服務(wù)對(duì)象提供相關(guān)的培訓(xùn)服務(wù)，以提高服務(wù)對(duì)象的安全意識(shí)，便于相關(guān)責(zé)任人明確自己的角色和責(zé)任，了解常見的安全事件和入侵行為，熟悉應(yīng)急響應(yīng)策略。 服務(wù)快照；252。 防火墻快照；252。 Windows系統(tǒng)檢測(cè)技術(shù)規(guī)范；252。1) 預(yù)防和預(yù)警機(jī)制252。252。 記錄時(shí)使用目錄及文件名約定： 在受入侵的計(jì)算機(jī)的D盤根目錄下（D:\）（如果無D盤則在其他盤根目錄下）建立一個(gè)EEAN目錄，目錄中包含以下子目錄： 216。 日志文件及其他格式盡量使用TXT、CSV和其他不需要特殊工具就可以閱讀的格式。 日志信息目標(biāo)：導(dǎo)出所有日志信息；說明：進(jìn)入管理工具，將“管理工具 事件察看器”中，導(dǎo)出所有事件，分別使用一下文件名保存： 、。252。說明：使用net share或其他第三方的工具檢測(cè)當(dāng)前開放的共享，使用$是隱藏目錄共享，通過詢問負(fù)責(zé)人看是否有可疑的共享文件。 有害程序事件：蓄意制造、傳播有害程序，或是因受到有害程序的影響而導(dǎo)致的信息安全事件。 設(shè)備設(shè)施故障：由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息安全事件，以及人為的使用非技術(shù)手段有意或無意的造成信息系統(tǒng)破壞而導(dǎo)致的信息安全事件。l 內(nèi)容：(1) 抑制方案的確定；(2) 抑制方案的認(rèn)可；(3) 抑制方案的實(shí)施；(4) 抑制效果的判定；l 輸出：《抑制處理記錄表》、《…》 抑制方案的確定l 應(yīng)急服務(wù)提供者應(yīng)在檢測(cè)分析的基礎(chǔ)上，初步確定與安全事件相對(duì)應(yīng)的抑制方法，如有多項(xiàng)，可由服務(wù)對(duì)象考慮后自己選擇；l 在確定抑制方法時(shí)應(yīng)該考慮：252。 持續(xù)監(jiān)視系統(tǒng)和網(wǎng)絡(luò)活動(dòng)，記錄異常流量的遠(yuǎn)程IP、域名、端口；252。 抑制效果的判定l 防止事件繼續(xù)擴(kuò)散，限制了潛在的損失和破壞，使目前損失最小化；l 對(duì)其它相關(guān)業(yè)務(wù)的影響是否控制在最小。 增強(qiáng)防護(hù)功能：復(fù)查所有防護(hù)措施的配置，安裝最新的防火墻和殺毒軟件，并及時(shí)更新， 對(duì)未受保護(hù)或者保護(hù)不夠的系統(tǒng)增加新的防護(hù)措施；252。 如何獲得裝載備份介質(zhì)；如何恢復(fù)關(guān)鍵操作系統(tǒng)和應(yīng)用軟件；252。l 內(nèi)容：(1) 事故總結(jié)；(2) 事故報(bào)告；l 輸出：《應(yīng)急響應(yīng)報(bào)告表》、《》 事故總結(jié)l 應(yīng)急服務(wù)提供者應(yīng)及時(shí)檢查安全事件處理記錄是否齊全，是否具備可塑性，并對(duì)事件處理過程進(jìn)行總結(jié)和分析；l 應(yīng)急處理總結(jié)的具體工作包括但不限于以下幾項(xiàng)：252。盈通網(wǎng)絡(luò)投資有限公司 行政人事部2011年3月15日