信息安全應(yīng)急響應(yīng)服務(wù)流程

信息安全應(yīng)急響應(yīng)程廣東盈通網(wǎng)絡(luò)投資2001107月目錄TOC\o"1-5"\h\z\o"CurrentDocument"第一部分導(dǎo)言 3\o"CurrentDocument"文檔類別 3\o"CurrentDocument"使用對(duì)象 3\o"CurrentDocument"計(jì)劃目的 3\o"CurrentDocument"適用范圍 3\o"CurrentDocument"服務(wù)原則 3\o"CurrentDocument"第二部分應(yīng)急響應(yīng)組織保障 4角色的劃分 4角色的職責(zé) 42.3.組織的外部協(xié)作 52.4.保障措施 5\o"CurrentDocument"第三部分應(yīng)急響應(yīng)實(shí)施程 5準(zhǔn)備階段(Preparationstage) 7領(lǐng)導(dǎo)小組準(zhǔn)備內(nèi)容 73.1.2實(shí)施小組準(zhǔn)備內(nèi)容 73.1.3日常運(yùn)小組準(zhǔn)備內(nèi)容 9\o"CurrentDocument"檢測(cè)階段(Examinationstage) 9\o"CurrentDocument"檢測(cè)范圍及對(duì)象的確定 10\o"CurrentDocument"檢測(cè)方案的確定 10\o"CurrentDocument"檢測(cè)方案的實(shí)施 10\o"CurrentDocument"檢測(cè)結(jié)果的處 12\o"CurrentDocument"抑制階段(Suppressesstage) 12\o"CurrentDocument"抑制方案的確定 13\o"CurrentDocument"抑制方案的認(rèn)可 13\o"CurrentDocument"抑制方案的實(shí)施 13\o"CurrentDocument"抑制效果的判定 14\o"CurrentDocument"根除階段(Eradicatesstage) 14根除方案的確定 14根除方案的認(rèn)可 14根除方案的實(shí)施 14\o"CurrentDocument"根除效果的判定 15\o"CurrentDocument"恢復(fù)階段(Restorationstage) 15\o"CurrentDocument"恢復(fù)方案的確定 15\o"CurrentDocument"恢復(fù)信息系統(tǒng) 15\o"CurrentDocument"總結(jié)階段(Summarystage) 16\o"CurrentDocument"事故總結(jié) 16\o"CurrentDocument"事故報(bào)告 16第一部分導(dǎo)言文檔類別本文檔是盈通公司信息技術(shù)安全I(xiàn)T技術(shù)部用以規(guī)范“信息安全應(yīng)急響應(yīng)服務(wù)程項(xiàng)目實(shí)施的指導(dǎo)性文件之一。使用對(duì)象本文檔作為公司內(nèi)部文檔，具體使用人員包括：信息安全應(yīng)急響應(yīng)服務(wù)具體實(shí)施操作人員、及負(fù)責(zé)人。計(jì)劃目的制訂本規(guī)范的目的是為指導(dǎo)應(yīng)急響應(yīng)服務(wù)操作人員按一定的實(shí)施辦法和操作程，從接受應(yīng)急響應(yīng)服務(wù)申請(qǐng)到交付應(yīng)急響應(yīng)總結(jié)報(bào)告為止這段時(shí)間內(nèi)，要求實(shí)施進(jìn)和質(zhì)可控，在規(guī)定的時(shí)間內(nèi)完成應(yīng)急響應(yīng)服務(wù)。備注：操作實(shí)施人員在執(zhí)該規(guī)范時(shí)，應(yīng)根據(jù)實(shí)際情況靈活運(yùn)用和變通，并提出創(chuàng)新。同時(shí)為有效的控制進(jìn)和質(zhì)，在實(shí)際操作中應(yīng)遵循程步驟。適用范圍全司。服務(wù)原則在整個(gè)應(yīng)急響應(yīng)處過(guò)程的中，本協(xié)會(huì)嚴(yán)格按照以下原則要求服務(wù)人員，并簽訂必要的保密協(xié)議。保密性原則應(yīng)急服務(wù)提供者應(yīng)對(duì)應(yīng)急處服務(wù)過(guò)程中獲知的任何關(guān)于服務(wù)對(duì)象的系統(tǒng)信息承擔(dān)保密的責(zé)任和義務(wù)，得泄給第三方的單位和個(gè)人，得用這些信息進(jìn)侵害服務(wù)對(duì)象的以O(shè)丄規(guī)范性原則應(yīng)急服務(wù)提供者應(yīng)要求服務(wù)人員依照規(guī)范的操作程進(jìn)應(yīng)急處服務(wù)，所有處人員必須對(duì)各自的操作過(guò)程和結(jié)果進(jìn)詳細(xì)的記錄，最終按照規(guī)范的報(bào)告格式提供完整的服務(wù)報(bào)告。最小影響原則應(yīng)急處服務(wù)工作應(yīng)盡可能減少對(duì)原系統(tǒng)和網(wǎng)絡(luò)正常運(yùn)的影響，盡避免對(duì)原網(wǎng)絡(luò)運(yùn)和業(yè)務(wù)正常運(yùn)轉(zhuǎn)產(chǎn)生顯著影響（包括系統(tǒng)性能明顯下、網(wǎng)絡(luò)阻、服務(wù)中斷等），如無(wú)法避免，則必須向服務(wù)對(duì)象說(shuō)明。第二部分應(yīng)急響應(yīng)組織保障2.1.角色的劃分本協(xié)會(huì)應(yīng)急響應(yīng)工作機(jī)構(gòu)按角色劃分為三個(gè)：應(yīng)急響應(yīng)負(fù)責(zé)人，丄應(yīng)急響應(yīng)技術(shù)人員，丄應(yīng)急響應(yīng)市場(chǎng)人員。信息安全事件發(fā)生后，在應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組的統(tǒng)一部署下，工作人員各施其職，并嚴(yán)格按照應(yīng)急響應(yīng)計(jì)劃組織實(shí)施應(yīng)急響應(yīng)工作。2.2.角色的職責(zé)丄應(yīng)急響應(yīng)負(fù)責(zé)人：應(yīng)急響應(yīng)負(fù)責(zé)人是信息安全應(yīng)急響應(yīng)工作的組織領(lǐng)導(dǎo)機(jī)構(gòu)，組長(zhǎng)應(yīng)由組織最高管層成員擔(dān)任。負(fù)責(zé)人的職責(zé)是領(lǐng)導(dǎo)和決策信息安全應(yīng)急響應(yīng)的重大事宜，主要職責(zé)如下：制定工作方案；提供人員和物質(zhì)保證；審核并批準(zhǔn)經(jīng)費(fèi)預(yù)算；審核并批準(zhǔn)恢復(fù)策；審核并批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃；批準(zhǔn)并監(jiān)督應(yīng)急響應(yīng)計(jì)劃的執(zhí)；指導(dǎo)應(yīng)急響應(yīng)實(shí)施小組的應(yīng)急處置工作；啟動(dòng)定期評(píng)審、修訂應(yīng)急響應(yīng)計(jì)劃以及負(fù)責(zé)組織的外部協(xié)作。丄應(yīng)急響應(yīng)技術(shù)人員，其主要職責(zé)如下：編制應(yīng)急響應(yīng)計(jì)劃文檔；應(yīng)急響應(yīng)的需求分析，確定應(yīng)急策和等級(jí)以及策的實(shí)現(xiàn)；備份系統(tǒng)的運(yùn)和維護(hù)，協(xié)助災(zāi)難恢復(fù)系統(tǒng)實(shí)施；信息安全突發(fā)事件發(fā)生時(shí)的損失控制和損害評(píng)估；組織應(yīng)急響應(yīng)計(jì)劃的測(cè)試和演練。丄應(yīng)急響應(yīng)市場(chǎng)人員，其主要職責(zé)如下：開(kāi)新客戶，與客戶建長(zhǎng)期的合作關(guān)系；維護(hù)與公司客戶的業(yè)務(wù)往來(lái)；建預(yù)防預(yù)警機(jī)制，及時(shí)進(jìn)信息上報(bào)；參與和協(xié)助應(yīng)急響應(yīng)計(jì)劃的教育、培訓(xùn)和演練；信息安全事件發(fā)生后的外部協(xié)作。2.3.組織的外部協(xié)作依據(jù)服務(wù)對(duì)象信息安全事件的影響程，如需向上級(jí)部門及時(shí)通報(bào)準(zhǔn)確情況或向其他單位尋求支持時(shí)，應(yīng)與相關(guān)管部門以及外部組織機(jī)構(gòu)保持聯(lián)絡(luò)和協(xié)作。主要包括國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處協(xié)調(diào)中心(CNCERT/CC)華中地區(qū)分中心、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處協(xié)調(diào)中心(CNCERT/CC)、中國(guó)教育科研網(wǎng)絡(luò)華中地區(qū)網(wǎng)絡(luò)中心、中國(guó)教育科研網(wǎng)網(wǎng)絡(luò)中心、盈通公司市公安局網(wǎng)絡(luò)安全監(jiān)察室、湖公安廳網(wǎng)絡(luò)安全監(jiān)察處、及主要相關(guān)設(shè)備供應(yīng)商。保障措施丄應(yīng)急人保障加強(qiáng)信息安全人才培養(yǎng)，強(qiáng)化信息安全宣傳教育，建設(shè)一支高素質(zhì)、高技術(shù)的信息安全核心人才和管隊(duì)伍，提高信息安全防御意識(shí)。大發(fā)展信息安全服務(wù)業(yè)，增強(qiáng)協(xié)會(huì)應(yīng)急支援能。物質(zhì)條件保障安排一定的資用于預(yù)防或應(yīng)對(duì)信息安全突發(fā)事件，提供必要的交通運(yùn)輸保障，優(yōu)化信息安全應(yīng)急處工作的物資保障條件。扶術(shù)支撐保障設(shè)信息安全應(yīng)急響應(yīng)中心，建預(yù)警與應(yīng)急處的技術(shù)平臺(tái)，進(jìn)一步提高安全事件的發(fā)現(xiàn)和分析能。從技術(shù)上逐步實(shí)現(xiàn)發(fā)現(xiàn)、預(yù)警、處置、通報(bào)等多個(gè)環(huán)節(jié)和同的網(wǎng)絡(luò)、系統(tǒng)、部門之間應(yīng)急處的聯(lián)動(dòng)機(jī)制。第三部分應(yīng)急響應(yīng)實(shí)施程該服務(wù)程并非一個(gè)固定變的教條，需要應(yīng)急響應(yīng)服務(wù)人員在實(shí)際中靈活變通，可適當(dāng)簡(jiǎn)化，但任何變通必須紀(jì)錄有關(guān)的原因。詳細(xì)的記錄對(duì)于找出事件的真相、查出威脅的來(lái)源與安全弱點(diǎn)、找到問(wèn)題正確的解決方法，甚至判定事故的責(zé)任，避免同類事件的發(fā)生有著極其重要的作用。

抑制階段根除階段恢復(fù)階段準(zhǔn)備階段檢測(cè)階段 否 市場(chǎng)人員準(zhǔn)備工作負(fù)責(zé)人準(zhǔn)備工作現(xiàn)場(chǎng)實(shí)施小人員的確定確定和認(rèn)可抑制的方案并

進(jìn)行抑制的實(shí)施確定和認(rèn)可根除的方法并進(jìn)行根除的實(shí)施啟動(dòng)專項(xiàng)預(yù)案根據(jù)確定的恢復(fù)方案進(jìn)行

信息系統(tǒng)的恢復(fù)抑制階段根除階段恢復(fù)階段準(zhǔn)備階段檢測(cè)階段 否 市場(chǎng)人員準(zhǔn)備工作負(fù)責(zé)人準(zhǔn)備工作現(xiàn)場(chǎng)實(shí)施小人員的確定確定和認(rèn)可抑制的方案并

進(jìn)行抑制的實(shí)施確定和認(rèn)可根除的方法并進(jìn)行根除的實(shí)施啟動(dòng)專項(xiàng)預(yù)案根據(jù)確定的恢復(fù)方案進(jìn)行

信息系統(tǒng)的恢復(fù)回顧并完善整個(gè)事件的處

理過(guò)程并進(jìn)行總結(jié)形成事故報(bào)告為服務(wù)對(duì)象提出安全建議3?1?準(zhǔn)備階段(Preparation)丄目標(biāo)：在事件真正發(fā)生前為應(yīng)急響應(yīng)做好預(yù)備性的工作。丄角色：技術(shù)人員、市場(chǎng)人員。丄內(nèi)容：根據(jù)同角色準(zhǔn)備同的內(nèi)容。丄輸出：《準(zhǔn)備工具清單》、《事件初步報(bào)告表》、《實(shí)施人員工作清單》3?1?1負(fù)責(zé)人準(zhǔn)備內(nèi)容丄制定工作方案和計(jì)劃；丄提供人員和物質(zhì)保證；丄審核并批準(zhǔn)經(jīng)費(fèi)預(yù)算、恢復(fù)策、應(yīng)急響應(yīng)計(jì)劃；丄批準(zhǔn)并監(jiān)督應(yīng)急響應(yīng)計(jì)劃的執(zhí)；丄指導(dǎo)應(yīng)急響應(yīng)實(shí)施小組的應(yīng)急處置工作；丄 啟動(dòng)定期評(píng)審、修訂應(yīng)急響應(yīng)計(jì)劃以及負(fù)責(zé)組織的外部協(xié)作。3?1?2技術(shù)人員準(zhǔn)備內(nèi)容丄服務(wù)需求界定首先要對(duì)服務(wù)對(duì)象的整個(gè)信息系統(tǒng)進(jìn)評(píng)估，明確服務(wù)對(duì)象的應(yīng)急需求，具體應(yīng)包含以下內(nèi)容：應(yīng)急服務(wù)提供者應(yīng)解應(yīng)急服務(wù)對(duì)象的各項(xiàng)業(yè)務(wù)功能及其之間的相關(guān)性，確定支持各種業(yè)務(wù)功能的相關(guān)信息系統(tǒng)資源及其他資源，明確相關(guān)信息的保密性、完整性、和可用性要求；對(duì)服務(wù)對(duì)象的信息系統(tǒng)，包括應(yīng)用程序，服務(wù)器，網(wǎng)絡(luò)及任何管和維護(hù)這些系統(tǒng)的程進(jìn)評(píng)估，確定系統(tǒng)所執(zhí)的關(guān)鍵功能，并確定執(zhí)這些關(guān)鍵功能所需要的特定系統(tǒng)資源；應(yīng)急服務(wù)提供者應(yīng)采用定性或定的方法，對(duì)業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等突發(fā)安全事件造成的影響進(jìn)評(píng)估；應(yīng)急服務(wù)提供者應(yīng)協(xié)助服務(wù)對(duì)象建適當(dāng)?shù)膽?yīng)急響應(yīng)策，應(yīng)提供在業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等突發(fā)安全事件發(fā)生后快速有效的恢復(fù)信息系統(tǒng)運(yùn)的方法；應(yīng)急服務(wù)提供者宜為服務(wù)對(duì)象提供相關(guān)的培訓(xùn)服務(wù)，以提高服務(wù)對(duì)象的安全意識(shí)，于相關(guān)責(zé)任人明確自己的角色和責(zé)任，解常見(jiàn)的安全事件和入侵為，熟悉應(yīng)急響應(yīng)策。丄主機(jī)和網(wǎng)絡(luò)設(shè)備安全初始化快照和備份在系統(tǒng)安全策配置完成后，要對(duì)系統(tǒng)做一次初始安全狀態(tài)快照。這樣，如果以后在出現(xiàn)事故后對(duì)該服務(wù)器做安全檢測(cè)時(shí)，通過(guò)將初始化快照做的結(jié)果與檢測(cè)階段做的快照進(jìn)比較，就能夠發(fā)現(xiàn)系統(tǒng)的改動(dòng)或異常。對(duì)主機(jī)系統(tǒng)做一個(gè)標(biāo)準(zhǔn)的安全初始化的狀態(tài)快照，包括的主要內(nèi)容有：日志及審核策快照等。/用戶賬戶快照；/進(jìn)程快照；/服務(wù)快照；/自啟動(dòng)快照/關(guān)鍵文件簽名快照；/開(kāi)放端口快照；/系統(tǒng)資源用的快照；/注冊(cè)表快照；/計(jì)劃任務(wù)快照等等；對(duì)網(wǎng)絡(luò)設(shè)備做一個(gè)標(biāo)準(zhǔn)的安全初始化的狀態(tài)快照，包括的主要內(nèi)容有：/由器快照；/防火墻快照；/用戶快照；/系統(tǒng)資源用等快照。信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)及辦公數(shù)據(jù)均十分重要，因此需要進(jìn)數(shù)據(jù)存儲(chǔ)及備份。目前，存儲(chǔ)備份結(jié)構(gòu)主要有DAS、SAN和NAS，以及通過(guò)磁帶或光盤對(duì)數(shù)據(jù)進(jìn)備份。各服務(wù)對(duì)象可以根據(jù)自身的特點(diǎn)選擇同的存儲(chǔ)產(chǎn)品構(gòu)建自己的數(shù)據(jù)存儲(chǔ)備份系統(tǒng)。丄工具包的準(zhǔn)備應(yīng)急服務(wù)提供者應(yīng)根據(jù)應(yīng)急服務(wù)對(duì)象的需求準(zhǔn)備處置網(wǎng)絡(luò)安全事件的工具包，包括常用的系統(tǒng)基本命、其他軟件工具等；應(yīng)急服務(wù)提供者的工具包中的工具最好是采用綠色免安裝的，應(yīng)保存在安全的移動(dòng)介質(zhì)上，如一次性可寫光盤、加密的U盤等；應(yīng)急服務(wù)提供者的工具包應(yīng)定期新、補(bǔ)充；丄必要技術(shù)的準(zhǔn)備上述是針對(duì)應(yīng)急響應(yīng)的處涉及到的安全技術(shù)工具涵蓋應(yīng)急響應(yīng)的事件取樣、事件分析、事件隔離、系統(tǒng)恢復(fù)和攻擊追蹤等各個(gè)方面，構(gòu)成網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的技術(shù)基礎(chǔ)。所以我們的應(yīng)急響應(yīng)服務(wù)實(shí)施成員還應(yīng)該掌握以下必要的技術(shù)手段和規(guī)范，具體包括以下內(nèi)容：系統(tǒng)檢測(cè)技術(shù)，包括以下檢測(cè)技術(shù)規(guī)范：/Windows系統(tǒng)檢測(cè)扶術(shù)規(guī)范；/Unix系統(tǒng)檢測(cè)扶術(shù)規(guī)范；/網(wǎng)絡(luò)安全事故檢測(cè)扶術(shù)規(guī)范；/數(shù)據(jù)庫(kù)系統(tǒng)檢測(cè)扶術(shù)規(guī)范；/常見(jiàn)的應(yīng)用系統(tǒng)檢測(cè)扶術(shù)規(guī)范；攻擊檢測(cè)技術(shù)，包括以下技術(shù)：/異常為分析扶術(shù)；/入侵檢測(cè)扶術(shù)；丁安全風(fēng)險(xiǎn)評(píng)估扶術(shù)；攻擊追蹤技術(shù)；現(xiàn)場(chǎng)取樣技術(shù)；系統(tǒng)安全加固技術(shù)；攻擊隔離技術(shù)；資產(chǎn)備份恢復(fù)技術(shù)；市場(chǎng)人員準(zhǔn)備內(nèi)容丄和服務(wù)對(duì)象建長(zhǎng)期友好的業(yè)務(wù)關(guān)系；丄和服務(wù)對(duì)象簽訂應(yīng)急服務(wù)合同或協(xié)議；丄建預(yù)防和預(yù)警機(jī)制，及時(shí)上報(bào)。預(yù)防和預(yù)警機(jī)制/市場(chǎng)人員要嚴(yán)格按照應(yīng)急響應(yīng)負(fù)責(zé)人的安排和建議及時(shí)提醒服務(wù)；寸象提高防范網(wǎng)絡(luò)攻擊、病毒入侵、網(wǎng)絡(luò)竊密等的能，防止有害信息傳播，保障服務(wù)寸象網(wǎng)絡(luò)的安全暢通。/將協(xié)會(huì)網(wǎng)絡(luò)信息中心會(huì)發(fā)布的病毒預(yù)防警報(bào)以及新的防護(hù)策及時(shí)有效地告知服務(wù)寸象，做好防護(hù)策的新。信息系統(tǒng)檢測(cè)和報(bào)告/按照“早發(fā)現(xiàn)、早報(bào)告、早處置的原則，市場(chǎng)人員要加強(qiáng)對(duì)服務(wù)對(duì)象信息系統(tǒng)的安全檢測(cè)結(jié)果的通告，收集可能引發(fā)信息安全事件的有關(guān)信息、進(jìn)分析判斷。/如服務(wù)對(duì)象發(fā)現(xiàn)有異常情況或有信息安全事件發(fā)生時(shí)要即向協(xié)會(huì)網(wǎng)絡(luò)信息中心應(yīng)急響應(yīng)負(fù)責(zé)人報(bào)告，并填寫事件初步報(bào)告表。/要求服務(wù)對(duì)象持續(xù)監(jiān)測(cè)信息系統(tǒng)狀況密關(guān)注應(yīng)急響應(yīng)負(fù)責(zé)人提出初步動(dòng)寸策和動(dòng)方案，聽(tīng)從指和安排，及時(shí)減小損失。檢測(cè)階段(Examination)丄 目標(biāo)：接到事故報(bào)警后在服務(wù)對(duì)象的配合下對(duì)異常的系統(tǒng)進(jìn)初步分析，確認(rèn)其是否真正發(fā)生信息安全事件，制定進(jìn)一步的響應(yīng)策，并保證據(jù)。丄角色：應(yīng)急服務(wù)實(shí)施小組成員、應(yīng)急響應(yīng)日常運(yùn)小組；丄內(nèi)容：檢測(cè)范圍及寸象的確定；檢測(cè)方案的確定；檢測(cè)方案的實(shí)施；檢測(cè)結(jié)果的處。丄輸出：《檢測(cè)結(jié)果記錄》、《…》實(shí)施小組人員的確定應(yīng)急響應(yīng)負(fù)責(zé)人根據(jù)《事件初步報(bào)告表》的內(nèi)容，初步分析事故的類型、嚴(yán)重程等，以此來(lái)確定臨時(shí)應(yīng)急響應(yīng)小組的實(shí)施人員的名單。檢測(cè)范圍及對(duì)象的確定丄應(yīng)急服務(wù)提供者應(yīng);寸發(fā)生異常的系統(tǒng)進(jìn)初步分析，判斷是否正真發(fā)生安全事件；丄應(yīng)急服務(wù)提供者和服務(wù)寸象共同確定檢測(cè)寸象及范圍；丄檢測(cè)寸象及范圍應(yīng)得到服務(wù)寸象的書(shū)面授權(quán)。檢測(cè)方案的確定丄應(yīng)急服務(wù)提供者和服務(wù)寸象共同確定檢測(cè)方案；丄應(yīng)急服務(wù)提供者制定的檢測(cè)方案應(yīng)明確應(yīng)急服務(wù)提供者所使用的檢測(cè)規(guī)范；丄應(yīng)急服務(wù)提供者制定的檢測(cè)方案應(yīng)明確應(yīng)急服務(wù)提供者的檢測(cè)范圍其檢測(cè)范圍應(yīng)僅限于服務(wù)寸象已授權(quán)的與安全事件相關(guān)的數(shù)據(jù)，寸服務(wù)寸象的機(jī)密性數(shù)據(jù)信息未經(jīng)授權(quán)的得訪問(wèn)；丄應(yīng)急服務(wù)提供者制定的檢測(cè)方案應(yīng)包含實(shí)施方案失敗的應(yīng)變和回退措施；丄應(yīng)急服務(wù)提供者和服務(wù)寸象充分溝通，并預(yù)測(cè)應(yīng)急處方案可能造成的影響。檢測(cè)方案的實(shí)施丄檢測(cè)搜集系統(tǒng)信息丁記錄時(shí)使用目錄及文件名約定：在受入侵的計(jì)算機(jī)的D盤根目錄下（D:\）（如果無(wú)D盤則在其他盤根目錄下）建一個(gè)EEAN目錄，目錄中包含以下子目錄：artifact:用于存放可疑文件樣本cmdoutput:用于記錄命輸出結(jié)果screenshot:用于存放屏幕拷貝文件log:用于存放各類日志文件/文件格式：命輸出文件缺僅使用 TXT格式。日志文件及其他格式盡使用TXT、CSV和其他需要特殊工具就可以閱讀的格式。屏幕拷貝文件應(yīng)該使用BMP格式?？梢晌募颖咀詈眉用軌嚎s為zip格式，默認(rèn)密碼為：eean/搜集操作系統(tǒng)基太信息1．右鍵點(diǎn)擊“我的電腦>屬性將“常規(guī)、“自動(dòng)新、“遠(yuǎn)程3個(gè)選卡各制作一個(gè)窗口拷貝（使用Alt+PrtScr）。并保存到EEAN'screenshot目錄下，文件名稱應(yīng)該使用:系統(tǒng)常規(guī)-01、自動(dòng)新-01、遠(yuǎn)程-01等形式命名。2?進(jìn)入CMD狀態(tài)，“開(kāi)始>運(yùn)>cmd，進(jìn)入D盤根目錄下的EEAN目錄，執(zhí)一下命:netstat-nao>netstat.txt（網(wǎng)絡(luò)連接信息）tasklist>tasklist.txt（當(dāng)前進(jìn)程信息）ipconfig/all>ipconfig.txt（IP屬性）ver>ver.txt（操作系統(tǒng)屬性）/日志信息目標(biāo)：導(dǎo)出所有日志信息；說(shuō)明：進(jìn)入管工具，將“管工具>事件察看器中，導(dǎo)出所有事件，分別使用一下文件名保存：application.txt、security.txt、system.txt。/帳號(hào)信息目標(biāo)：導(dǎo)出所有帳號(hào)信息；說(shuō)明：使用netuser，netgroup，netlocalgroup命檢查帳號(hào)和組的情況，使用計(jì)算機(jī)管查看本地用戶和組，將導(dǎo)出的信息保存在D:\EEAN\user中丄主機(jī)檢測(cè)/日志檢查目標(biāo)：1、從日志信息中檢測(cè)出未授權(quán)訪問(wèn)或非法登錄事件；2、從IIS/FTP卩志中檢測(cè)非正常訪問(wèn)為或攻擊為；說(shuō)明：1、檢查事件查看器中的系統(tǒng)和安全日志信息，比如：安全日志中異常登錄時(shí)間，未知用戶名登錄；2、檢查,％WinDir%\System32\LogFiles目錄下的WWW卩志和FTP卩志，比如WWW日志中的對(duì)cmd.asp文件的成功訪問(wèn)。/帳號(hào)檢查目標(biāo)：檢查帳號(hào)信息中非正常帳號(hào)，隱藏帳號(hào)；說(shuō)明：通過(guò)詢問(wèn)管員或負(fù)責(zé)人，或者和系統(tǒng)的所有的正常帳號(hào)表做對(duì)比，判斷是否有可疑的陌生的賬號(hào)出現(xiàn)，用這些獲得的信息和前面準(zhǔn)備階段做的帳號(hào)快照工作進(jìn)對(duì)比。/進(jìn)程檢查目標(biāo)：檢查是否存在未被授權(quán)的應(yīng)用程序或服務(wù)說(shuō)明：使用任務(wù)管器檢查或使用進(jìn)程查看工具進(jìn)查看，用這些獲得的信息和前面準(zhǔn)備階段做的進(jìn)程快照工作進(jìn)對(duì)比，判斷是否有可疑的進(jìn)程。/服務(wù)檢查目標(biāo)：檢查系統(tǒng)是否存在非法服務(wù)說(shuō)明：使用“管工具中的“服務(wù)查看非法服務(wù)或使用冰刃、 Wsystem察看當(dāng)前服務(wù)情況，用這些獲得的信息和準(zhǔn)備階段做的服務(wù)快照工作進(jìn)對(duì)比。/自啟動(dòng)檢查目標(biāo)：檢查未授權(quán)自啟動(dòng)程序說(shuō)明：檢查系統(tǒng)各用戶“啟動(dòng)目錄下是否存在未授權(quán)程序。/網(wǎng)絡(luò)連接檢查目標(biāo)：檢查非正常網(wǎng)絡(luò)連接和開(kāi)放的端口說(shuō)明：關(guān)閉所有的網(wǎng)絡(luò)通訊程序，以免出現(xiàn)干擾，然后使用ipconfig,netstat-an或其它第三方工具查看所有連接，檢查服務(wù)端口開(kāi)放情況和異常數(shù)據(jù)的信息。/共享檢查目標(biāo)：檢查非法共享目錄。說(shuō)明：使用netshare或其他第三方的工具檢測(cè)當(dāng)前開(kāi)放的共享，使用$是隱藏目錄共享，通過(guò)詢問(wèn)負(fù)責(zé)人看是否有可疑的共享文件。/文件檢查目標(biāo)：檢查病毒、木馬、蠕蟲(chóng)、后門等可疑文件。說(shuō)明：使用防病毒軟件檢查文件，掃描硬盤上所有的文件，將可疑文件進(jìn)提取加密壓縮成.zip，保存到EEAN'artifact目錄下的相應(yīng)子目錄中。/查找其他入侵痕跡目標(biāo)：查找其它系統(tǒng)上的入侵痕跡，尋找攻擊途徑說(shuō)明：其它系統(tǒng)包括：同一IP地址段或同一網(wǎng)段的系統(tǒng)、同一域的其他系統(tǒng)、擁有相同操作系統(tǒng)的其他系統(tǒng)。檢測(cè)結(jié)果的處丄確定安全事件的類型經(jīng)過(guò)檢測(cè)，判斷出信息安全事件類型。信息安全事件可以有以下7個(gè)基本分類：/有害程序事件：蓄意制造、傳播有害程序，或是因受到有害程序的影響而導(dǎo)致的信息安全事件。/網(wǎng)絡(luò)攻擊事件：通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用攻擊對(duì)信息系統(tǒng)實(shí)施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)造成潛在危害的信息安全事件。/信息破壞事件：通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄、竊取等而導(dǎo)致的信息安全事件。/信息內(nèi)容安全事件：用信息網(wǎng)絡(luò)發(fā)布、傳播危害國(guó)家安全、社會(huì)穩(wěn)定和公共的內(nèi)容的安全事件。/設(shè)備設(shè)施故障：由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息安全事件，以及人為的使用非技術(shù)手段有意或無(wú)意的造成信息系統(tǒng)破壞而導(dǎo)致的信息安全事件。/災(zāi)害性事件：由于可松寸信息系統(tǒng)造成物破壞而導(dǎo)致的信息安全事件。/其他信息安全事件：能歸為以上6個(gè)基本分類的信息安全事件。丄評(píng)估突發(fā)信息安全事件的影響采用定和/或定性的方法，寸業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓數(shù)據(jù)丟失等突發(fā)信息安全事件造成的影響進(jìn)評(píng)估：丄確定是否存在針寸該事件的特定系統(tǒng)預(yù)案'如有'則啟動(dòng)相關(guān)預(yù)案；如果事件涉及多個(gè)專項(xiàng)預(yù)案，應(yīng)同時(shí)啟動(dòng)所有涉及的專項(xiàng)預(yù)案；丄如果沒(méi)有針寸該事件的專項(xiàng)預(yù)案'應(yīng)根據(jù)事件具體情況'采取抑制措施'抑制事件進(jìn)一步擴(kuò)散。抑制階段(Suppresses)丄 目標(biāo)：及時(shí)采取動(dòng)限制事件擴(kuò)散和影響的范圍，限制潛在的損失與破壞'同時(shí)要確保封鎖方法寸涉及相關(guān)業(yè)務(wù)影響最小。丄角色：應(yīng)急服務(wù)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)小組。丄內(nèi)容：抑制方案的確定；抑制方案的認(rèn)可；抑制方案的實(shí)施；抑制效果的判定；丄輸出：《抑制處記錄表》、《…》抑制方案的確定丄應(yīng)急服務(wù)提供者應(yīng)在檢測(cè)分析的基礎(chǔ)上，初步確定與安全事件相對(duì)應(yīng)的抑制方法，如有多項(xiàng)’可由服務(wù)對(duì)象考慮后自己選擇；丄在確定抑制方法時(shí)應(yīng)該考慮：/全面評(píng)估入侵范圍、入侵帶來(lái)的影響和損失；/通過(guò)分析得到的其他結(jié)論，如入侵者的來(lái)源；/服務(wù)對(duì)象的業(yè)務(wù)和重點(diǎn)決策過(guò)程；丁服務(wù)對(duì)寸象的業(yè)務(wù)連續(xù)性。抑制方案的認(rèn)可丄應(yīng)急服務(wù)提供者應(yīng)告知服務(wù)對(duì)象所面臨的首要問(wèn)題；丄應(yīng)急服務(wù)提供者所確定的抑制方法和相應(yīng)的措施應(yīng)得到服務(wù)對(duì)象的認(rèn)可；丄在采取抑制措施之前，應(yīng)急服務(wù)提供者要和服務(wù)對(duì)象充分溝通，告知可能存在的風(fēng)險(xiǎn)，制定應(yīng)變和回退措施，并與其達(dá)成協(xié)議。抑制方案的實(shí)施丄應(yīng)急服務(wù)提供者要嚴(yán)格按照相關(guān)約定實(shí)施抑制，得隨意改抑制的措施的范圍，如有必要改，需獲得服務(wù)寸象的授權(quán)；丄抑制措施包含但僅限于以下幾方面：/確定受害系統(tǒng)的范圍后，將被害系統(tǒng)和正常的系統(tǒng)進(jìn)隔離，斷開(kāi)或暫時(shí)關(guān)閉被攻擊的系統(tǒng)，使攻擊先徹底停止；/持續(xù)監(jiān)視系統(tǒng)和網(wǎng)絡(luò)活動(dòng)，記錄異常的遠(yuǎn)程IP、域名、端口；/停止或刪除系統(tǒng)非正常帳號(hào)，隱藏帳號(hào)，改口，加強(qiáng)口的安全級(jí)別；/掛起或結(jié)束夫被授權(quán)的、可疑的應(yīng)用程序和進(jìn)程；/關(guān)閉存在的非法服務(wù)和必要的服務(wù)；/刪除系統(tǒng)各用戶“啟動(dòng)目錄下夫授權(quán)自啟動(dòng)程序；/使用netshare或其他第三方的工具停止所有開(kāi)放的共享；/使用反病毒軟件或其他安全工具檢查文件，掃描硬盤上所有的文件，隔離或清除病毒、木馬、蠕蟲(chóng)、后門等可疑文件；/設(shè)置陷阱，如蜜罐系統(tǒng)；或者反擊攻擊者的系統(tǒng)。

抑制效果的判定丄防止事件繼續(xù)擴(kuò)散，限制潛在的損失和破壞，使目前損失最小化；丄對(duì)其它相關(guān)業(yè)務(wù)的影響是否控制在最小。根除階段(Eradicates)4目標(biāo)：對(duì)事件進(jìn)抑制之后，通過(guò)對(duì)有關(guān)事件或?yàn)榈姆治鼋Y(jié)果，找出事件根源，4*明確相應(yīng)的補(bǔ)救措施并徹底清除。角色：應(yīng)急服務(wù)實(shí)施小組、應(yīng)急響應(yīng)日常運(yùn)小組。內(nèi)容：根除方案的確定；根除方案的認(rèn)可；根除方案的實(shí)施；根除效果的判定；輸出：《根除處記錄表》、《…》3.4.1根除方案的確定4應(yīng)急服務(wù)提供者應(yīng)協(xié)助服務(wù)對(duì)象檢查所有受影響的系統(tǒng)，在準(zhǔn)確判斷安全事件原因的基礎(chǔ)上，提出方案建議；4由于入侵者一般會(huì)安裝后門或使用其他的方法以于在將來(lái)有機(jī)會(huì)侵入該被攻陷的系統(tǒng)，因此在確定根除方法時(shí)，需要解攻擊者時(shí)如何入侵的，以及與這種入侵方法相同和相似的各種方法。3.4.2根除方案的認(rèn)可*應(yīng)急服務(wù)提供者應(yīng)明確告知服務(wù)對(duì)象所采取的根除措施可能帶來(lái)的風(fēng)險(xiǎn)，制定應(yīng)變和回退措施，并得到服務(wù)對(duì)象的書(shū)面授權(quán)；*應(yīng)急服務(wù)提供者應(yīng)協(xié)助服務(wù)對(duì)象進(jìn)根除方法的實(shí)施。3.4.3根除方案的實(shí)施4應(yīng)急服務(wù)提供者應(yīng)使用可信的工具進(jìn)安全事件的根除處， 得使用受害系統(tǒng)已有的可信的文件和工具；4根除措施包含但僅限與以下幾個(gè)方面：/改變?nèi)靠赡苁艿焦舻南到y(tǒng)帳號(hào)和口，并增加口的安全級(jí)別；/修補(bǔ)系統(tǒng)、網(wǎng)絡(luò)和其他軟件；/增強(qiáng)防護(hù)功能：復(fù)查所有防護(hù)措施的配置，安裝最新的防火墻和殺毒軟件，并及時(shí)新，對(duì)未受保護(hù)或者保護(hù)夠的系統(tǒng)增加新的防護(hù)措施；/提高其監(jiān)視保護(hù)級(jí)別，以保證將來(lái)對(duì)類似的入侵進(jìn)檢測(cè)；根除效果的判定丄找出造成事件的原因，備份與造成事件的相關(guān)文件和數(shù)據(jù)；丄對(duì)系統(tǒng)中的文件進(jìn)清’根除；丄使系統(tǒng)能夠正常工作?；謴?fù)階段(Restoration)丄