【正文】 確定l 應(yīng)急服務(wù)提供者應(yīng)協(xié)助服務(wù)對(duì)象檢查所有受影響的系統(tǒng)，在準(zhǔn)確判斷安全事件原因的基礎(chǔ)上，提出方案建議；l 由于入侵者一般會(huì)安裝后門或使用其他的方法以便于在將來有機(jī)會(huì)侵入該被攻陷的系統(tǒng)，因此在確定根除方法時(shí)，需要了解攻擊者時(shí)如何入侵的，以及與這種入侵方法相同和相似的各種方法。 服務(wù)對(duì)象的業(yè)務(wù)和重點(diǎn)決策過程；252。252。 自啟動(dòng)檢查目標(biāo)：檢查未授權(quán)自啟動(dòng)程序說明：檢查系統(tǒng)各用戶“啟動(dòng)”目錄下是否存在未授權(quán)程序。 216。l 角色：應(yīng)急服務(wù)實(shí)施小組成員、應(yīng)急響應(yīng)日常運(yùn)行小組；l 內(nèi)容：(1) 檢測(cè)范圍及對(duì)象的確定；(2) 檢測(cè)方案的確定；(3) 檢測(cè)方案的實(shí)施；(4) 檢測(cè)結(jié)果的處理。 數(shù)據(jù)庫(kù)系統(tǒng)檢測(cè)技術(shù)規(guī)范；252。 開放端口快照；252。詳細(xì)的記錄對(duì)于找出事件的真相、查出威脅的來源與安全弱點(diǎn)、找到問題正確的解決方法，甚至判定事故的責(zé)任，避免同類事件的發(fā)生都有著極其重要的作用。l 規(guī)范性原則應(yīng)急服務(wù)提供者應(yīng)要求服務(wù)人員依照規(guī)范的操作流程進(jìn)行應(yīng)急處理服務(wù)，所有處理人員必須對(duì)各自的操作過程和結(jié)果進(jìn)行詳細(xì)的記錄，最終按照規(guī)范的報(bào)告格式提供完整的服務(wù)報(bào)告。l 保密性原則應(yīng)急服務(wù)提供者應(yīng)對(duì)應(yīng)急處理服務(wù)過程中獲知的任何關(guān)于服務(wù)對(duì)象的系統(tǒng)信息承擔(dān)保密的責(zé)任和義務(wù)，不得泄露給第三方的單位和個(gè)人，不得利用這些信息進(jìn)行侵害服務(wù)對(duì)象的行為。第三部分 應(yīng)急響應(yīng)實(shí)施流程該服務(wù)流程并非一個(gè)固定不變的教條，需要應(yīng)急響應(yīng)服務(wù)人員在實(shí)際中靈活變通，可適當(dāng)簡(jiǎn)化，但任何變通都必須紀(jì)錄有關(guān)的原因。 關(guān)鍵文件簽名快照；252。 網(wǎng)絡(luò)安全事故檢測(cè)技術(shù)規(guī)范；252。（Examination）l 目標(biāo)：接到事故報(bào)警后在服務(wù)對(duì)象的配合下對(duì)異常的系統(tǒng)進(jìn)行初步分析，確認(rèn)其是否真正發(fā)生了信息安全事件，制定進(jìn)一步的響應(yīng)策略，并保留證據(jù)。 屏幕拷貝文件應(yīng)該使用BMP格式。252。 網(wǎng)絡(luò)攻擊事件：通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對(duì)信息系統(tǒng)實(shí)施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的信息安全事件。 通過分析得到的其他結(jié)論，如入侵者的來源；252。l 角色：應(yīng)急服務(wù)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)行小組。 如何成功運(yùn)行備用設(shè)備l 如果涉及到涉密數(shù)據(jù)，確定恢復(fù)方法時(shí)應(yīng)遵循相應(yīng)的保密要求。 相關(guān)的工具文檔（如專項(xiàng)預(yù)案、方案等）歸檔。 如何通知相關(guān)系統(tǒng)的內(nèi)部和外部業(yè)務(wù)伙伴；252。 使用反病毒軟件或其他安全工具檢查文件，掃描硬盤上所有的文件，隔離或清除病毒、木馬、蠕蟲、后門等可疑文件；252。（Suppresses）l 目標(biāo)：及時(shí)采取行動(dòng)限制事件擴(kuò)散和影響的范圍，限制潛在的損失與破壞，同時(shí)要確保封鎖方法對(duì)涉及相關(guān)業(yè)務(wù)影響最小。 檢測(cè)結(jié)果的處理l 確定安全事件的類型經(jīng)過檢測(cè)，判斷出信息安全事件類型。252。 命令行輸出文件缺省僅使用TXT格式。252。l 工具包的準(zhǔn)備1) 應(yīng)急服務(wù)提供者應(yīng)根據(jù)應(yīng)急服務(wù)對(duì)象的需求準(zhǔn)備處置網(wǎng)絡(luò)安全事件的工具包，包括常用的系統(tǒng)基本命令、其他軟件工具等；2) 應(yīng)急服務(wù)提供者的工具包中的工具最好是采用綠色免安裝的，應(yīng)保存在安全的移動(dòng)介質(zhì)上，如一次性可寫光盤、加密的U盤等；3) 應(yīng)急服務(wù)提供者的工具包應(yīng)定期更新、補(bǔ)充；l 必要技術(shù)的準(zhǔn)備上述是針對(duì)應(yīng)急響應(yīng)的處理涉及到的安全技術(shù)工具涵蓋應(yīng)急響應(yīng)的事件取樣、事件分析、事件隔離、系統(tǒng)恢復(fù)和攻擊追蹤等各個(gè)方面，構(gòu)成了網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的技術(shù)基礎(chǔ)。 用戶賬戶快照；252。大力發(fā)展信息安全服務(wù)業(yè)，增強(qiáng)協(xié)會(huì)應(yīng)急支援能力。 備注：操作實(shí)施人員在執(zhí)行該規(guī)范時(shí)，應(yīng)根據(jù)實(shí)際情況靈活運(yùn)用和變通，并提出創(chuàng)新。l 應(yīng)急響應(yīng)負(fù)責(zé)人：應(yīng)急響應(yīng)負(fù)責(zé)人是信息安全應(yīng)急響應(yīng)工作的組織領(lǐng)導(dǎo)機(jī)構(gòu)，組長(zhǎng)應(yīng)由組織最高管理層成員擔(dān)任。l 輸出：《準(zhǔn)備工具清單》、《事件初步報(bào)告表》、《實(shí)施人員工作清單》 負(fù)責(zé)人準(zhǔn)備內(nèi)容l 制定工作方案和計(jì)劃；l 提供人員和物質(zhì)保證；l 審核并批準(zhǔn)經(jīng)費(fèi)預(yù)算、恢復(fù)策略、應(yīng)急響應(yīng)計(jì)劃；l 批準(zhǔn)并監(jiān)督應(yīng)急響應(yīng)計(jì)劃的執(zhí)行；l 指導(dǎo)應(yīng)急響應(yīng)實(shí)施小組的應(yīng)急處置工作；l 啟動(dòng)定期評(píng)審、修訂應(yīng)急響應(yīng)計(jì)劃以及負(fù)責(zé)組織的外部協(xié)作。 路由器快照；252。 安全風(fēng)險(xiǎn)評(píng)估技術(shù)；3) 攻擊追蹤技術(shù)；4) 現(xiàn)場(chǎng)取樣技術(shù)；5) 系統(tǒng)安全加固技術(shù)；6) 攻擊隔離技術(shù)；7) 資產(chǎn)備份恢復(fù)技術(shù)； 市場(chǎng)人員準(zhǔn)備內(nèi)容l 和服務(wù)對(duì)象建立長(zhǎng)期友好的業(yè)務(wù)關(guān)系；l 和服務(wù)對(duì)象簽訂應(yīng)急服務(wù)合同或協(xié)議；l 建立預(yù)防和預(yù)警機(jī)制，及時(shí)上報(bào)。 檢測(cè)方案的實(shí)施l 檢測(cè)搜集系統(tǒng)信息252。 2．進(jìn)入CMD狀態(tài)，“開始 運(yùn)行 cmd”，進(jìn)入D盤根目錄下的EEAN目錄，執(zhí)行一下命令： 　　netstat nao (網(wǎng)絡(luò)連接信息)　　tasklist （當(dāng)前進(jìn)程信息）　　ipconfig /all （IP屬性） ver （操作系統(tǒng)屬性）.........