2024網絡產品應急響應安全要求技術要求

網絡產品應急響應安全要求技術要求目次TOC\o"1-2"\h\u29216前言 Ⅱ23071引言 Ⅲ204251范圍 134662規(guī)范性引用文件 1166363術語和定義 1178393.1網絡產品 1273703.2應急事件 1286543.3應急響應 158143.4風險評估 213014縮略語 2177335技術支撐框架 26266應急事件監(jiān)測分析 274086.1異常事件監(jiān)測 2314326.2應急響應技術實施要素監(jiān)測 3179106.3系統(tǒng)應用信息收集 3123467應急響應技術保障 3246257.1設備的技術保障 3198267.2人員的技術保障 4291687.3事故上報通道保障 4216688應急事件響應 431663附錄A（資料性）網絡產品應急響應技術支撐預案 627685參考文獻 14TOC\o"1-1"\h\z\u 網絡產品應急響應安全要求技術要求范圍本文件規(guī)定了網絡產品在實際運行維護階段應滿足的應急響應安全技術要求，主要從應急事件監(jiān)測分析、應急響應技術保障、應急事件響應等方面提出針對使用網絡產品的實際運行維護方的安全技術要求。本文件適用于指導網絡產品的使用方建立和維護網絡產品應急響應技術體系，也可為第三方機構開展測評時提供參考。規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T28827.3信息技術服務運行維護第3部分：應急響應規(guī)范GB/T32914信息安全技術網絡安全服務能力要求GB/T39276-2020信息安全技術網絡產品和服務安全通用要求GB40050-2021網絡關鍵設備安全通用要求GB42250-2022信息安全技術網絡安全專用產品安全技術要求術語和定義下列術語和定義適用于本文件。網絡產品networkproduct作為網絡組成部分以及實現(xiàn)網絡功能的硬件、軟件或系統(tǒng)，按照一定的規(guī)則和程序實現(xiàn)信息的收集、存儲、傳輸、交換和處理。[來源：GB/T39276-2020,3.2]應急事件emergencyevent導致或即將導致運行維護服務對象運行中斷、運行質量降低，以及需要實施重點時段保障的事件。[來源：GB/T28827.3-2012,3.2]應急響應emergencyresponse組織為預防、監(jiān)控、處置和管理應急事件所采取的措施和活動。[來源：GB/T28827.3-2012,3.3]風險評估riskassessment特定威脅利用單個或一組資產脆弱性的可能性以及由此可能給組織帶來的損害。[來源：GB/T28827.3-2012,3.2]縮略語下列縮略語適用于本文件。ISP：網絡業(yè)務提供商（InternetServiceProvider）IPS：入侵防御系統(tǒng)（IntrusionPreventionSystem）IDS：入侵檢測系統(tǒng)（IntrusionDetectionSystem）技術支撐框架在執(zhí)行網絡產品應急響應安全管理過程中，本文提出了一種技術框架（如圖1所示），主要包含應急事件監(jiān)測分析、應急響應技術保障、應急事件響應等安全技術要求。圖1網絡產品應急響應安全技術框架應急事件監(jiān)測分析異常事件監(jiān)測網絡產品使用方應儲備支持監(jiān)測可疑網絡流量、業(yè)務服務器是否崩潰、訪問業(yè)務健康狀態(tài)、信息系統(tǒng)日志中的可疑配置更改操作、多次失敗登錄、未經授權的對外網絡連接、違反訪問業(yè)務安全策略的事件、感染蠕蟲、病毒、惡意軟件等以下監(jiān)測分析技術以能夠實時監(jiān)測網絡異常事件：應支持監(jiān)測出可疑網絡流量（如激增的拒絕服務類流量以及能夠影響網絡正常運行的流量）并產生告警；應支持監(jiān)測業(yè)務服務器是否崩潰；應支持監(jiān)測訪問業(yè)務健康狀態(tài)；應支持監(jiān)測信息系統(tǒng)日志中的可疑配置更改操作；應支持監(jiān)測針對網絡關鍵設備或信息系統(tǒng)接入多次失敗登錄等異常操作；應支持監(jiān)測未經授權的對外網絡連接；應支持監(jiān)測違反訪問業(yè)務安全策略的事件；應支持監(jiān)測利用已知漏洞攻擊的事件，并發(fā)出告警；宜支持監(jiān)測被感染蠕蟲、病毒，或其他形式的惡意邏輯命令符，并發(fā)出告警；宜支持監(jiān)測惡意軟件，對被懷疑為惡意代碼的軟件組件進行分析告警，并確定事件的影響范圍。應急響應技術實施要素監(jiān)測應定期通過以下技術手段監(jiān)測應急響應技術實施要素是否完備：開展風險評估中風險識別的脆弱點、風險點是否有缺失，規(guī)避風險的措施是否有效；在風險評估的基礎上監(jiān)測各種信息安全事件發(fā)生時對網絡運行環(huán)境可能產生的影響是否全面；在業(yè)務中斷、系統(tǒng)宕機、網絡癱瘓等信息安全事件發(fā)生后應急響應策略以及處理的技術手段是否完善；應急響應所需設施、工具等是否齊全。系統(tǒng)應用信息收集應通過以下技術手段對系統(tǒng)應用的信息進行收集，收集的信息包括應收集易變的數(shù)據、收集持久數(shù)據、證據收集過程日志：應收集易變的數(shù)據，最大限度減少對信息系統(tǒng)的影響，審核易變數(shù)據可以了解網絡系統(tǒng)的狀態(tài)和當前正在運行的進程，通常包括各種日志、文件、配置設置、當前/過去登錄用戶記錄、正在運行的進程、打開的文件、文件修改或系統(tǒng)設置（訪問控制列表、注冊表信息和權限）、捕捉的屏幕快照圖像等，以此確定事件的日期、事件和起因；收集持久數(shù)據同時要防止網絡系統(tǒng)的數(shù)據被覆蓋。持久數(shù)據是指網絡系統(tǒng)硬盤的數(shù)據和斷電后不會改變的移動存儲介質的數(shù)據，包括磁盤映像（文件、隱藏文件、刪除數(shù)據、閑置空間、交換文件和未分配空間）、精確復制原始數(shù)據的過程；證據收集過程日志，包含在證據收集過程中所采取的一切行動的時間標記記錄。記錄的目的是使過程得到驗證，并確保數(shù)字證書是對原始數(shù)據的精確標識。使用合理的取證方法和工具來捕捉數(shù)據或證據，可以避免或減少證據被污染的情況。獲取、保存、分析信息系統(tǒng)歷史文件的過程可以幫助描述事件和策劃下一步行動方案。應急響應技術保障設備的技術保障網絡產品中設備應至少滿足GB/T39276-2020《信息安全技術網絡產品和服務安全通用要求》中基本級安全要求，涉及網絡關鍵設備應滿足GB40050-2021《網絡關鍵設備安全通用要求》，涉及網絡安全專用產品的應滿足GB42250-2022《信息安全技術網絡安全專用產品安全技術要求》。人員的技術保障提供網絡安全服務應急響應工作的人員應具有與所開展網絡安全服務相適應的技術能力，并滿足GB/T32914《信息安全技術網絡安全服務能力要求》中關于技術能力的要求。事故上報通道保障個人或用戶的報告應具備通過個人或用戶上報應急事件的技術通道，當用戶或管理員發(fā)現(xiàn)網絡事件，報告相關信息到指定的事件收集聯(lián)絡點，可通過電話、電子信箱等方式上報，當指定事件收集聯(lián)絡部門收集到事件告警后，應按照應急事件類型快速制定應急預案。其他內部或外部構成組織機構的事故報告應支持通過其他內部或外部構成組織機構進行應急事件事故上報的技術管理通道，可通過電話、電子信箱等方式上報，當指定事件收集聯(lián)絡部門收集到事故告警后，應按照應急事件類型快速制定應急預案。應急事件響應進入應急響應環(huán)節(jié)，按照初步研判的安全事件等級進行應急響應。當網絡發(fā)生故障時，先判斷破壞的來源與性質：如果是自然災害導致的，根據網絡平臺的實時監(jiān)測，采取恢復措施；如果是設備損壞導致的故障，斷開影響安全和穩(wěn)定的信息網絡設備，斷開與破壞來源的物理鏈接，平滑過渡到備份設備，修理或更換損壞的設備；如果是人為破壞，定位損壞的設備，斷開影響安全和穩(wěn)定的信息網絡設備，斷開與破壞來源的物理鏈接，跟蹤并鎖定破壞來源的IP地址或其他網絡用戶信息，修復被破壞的信息，恢復網絡。按照故障發(fā)生的不同情況分別采取以下措施：網絡攻擊，當發(fā)現(xiàn)黑客正在進行攻擊時或者已經被攻擊時，可采用關閉接口的方式將被攻擊的路由器、交換機等設備從網絡中隔離出來，并將有關情況記錄并向上級匯報；應急實施人員在接到通知后立即趕往現(xiàn)場，對現(xiàn)場進行分析，并做好記錄；對該設備的配置進行數(shù)據備份；恢復與重建被攻擊或破壞的系統(tǒng)。廣域網外部線路中斷緊急處置措施，廣域網線路中斷后，應急日常運行小組人員應立即向負責人報告；負責人員接到報告后，應迅速判斷故障節(jié)點，查明故障原因并記錄；如屬于內部職責，應立即予以恢復；如屬于ISP部門管轄范圍，應立即與ISP維護部門聯(lián)系，要求修復；視故障嚴重性，如有必要，向上級部門主管書面匯報。局域網中斷緊急處置措施，設備管理部門準備好網絡備用設備，存放在指定的位置；局域網中斷后，應急日常運行小組人員應立即研判故障節(jié)點，查明故障原因，并向應急實施小組成員匯報；如屬于線路故障，應重新安裝線路；如屬于路由器、交換機等網絡設備故障，應立即從指定地點將備用設備取出調試；如屬于路由器、交換機配置文件破壞，應迅速按照要求重新配置或者啟用備份文件，并調試通暢；如有必要，需逐級向上級領導書面匯報。按照事件發(fā)生的不同類型采取不同的應急響應技術措施，參考附錄A網絡產品應急響應技術預案。

附錄A（資料性）網絡產品應急響應技術支撐預案僵尸網絡事件應急預案僵尸網絡事件屬于有害程序事件。僵尸網絡事件指攻擊者通過各種途徑傳播僵尸程序，感染互聯(lián)網上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵尸網絡。應急啟動在安全事件檢測過程中，如發(fā)現(xiàn)局域網連接數(shù)大大增加、對系統(tǒng)資源占用導致服務器明顯變慢或資源耗盡、網站服務器被遠程安裝異常軟件和程序等情況，應根據判定依據對安全事件類型進行確認，主要包括以下四點：在命令行（如windows中cmd.exe）里輸入“netstat-an”命令，如果出現(xiàn)本地IP向多個目標IP的相同端口（如135、445等）發(fā)起連接的現(xiàn)象，則很可能是掃描行為；IPS出現(xiàn)重復性地與外部的IP地址連接或非法的DNS地址連接日志；IDS上出現(xiàn)大量的協(xié)議監(jiān)測網絡通信內容；防病毒軟件上存在大量未查殺的病毒信息記錄。經現(xiàn)場確認為僵尸網絡事件時，啟動本預案。應急處置僵尸網絡事件應急預案啟動后，應根據以下流程進行應急處置：關閉或斷開問題服務器；查看防火墻策略、連接和端口流量，開啟調試模式（如Debug）并配置防火墻策略阻斷該問題IP；通過端口連接和異常的進程進行定位，查殺該進程；重新啟動問題服務器，刷新服務器的連接池，恢復應用初始狀態(tài)；通過持續(xù)關注服務器的連接數(shù)、訪問WEB頁面速度、安全設備相關告警信息等，確認網絡狀態(tài)是否恢復正常；如恢復則通過日志查找問題應用或進程，找到后卸載問題應用，關閉問題進程，修改注冊表；如未恢復或未找到問題應用或進程，則重新安裝問題服務器；使用補救工具，如防范惡意代碼或防病毒產品可以檢測并清除隱藏的rootkit感染；后續(xù)可利用蜜罐（Honeypot）部署多個蜜罐捕獲傳播中的僵尸程序（如Bot）記錄該程序的網絡行為（如網絡流量重定向工具Honeywall）。通過人工分析網絡日志并結合樣本分析結果，可以掌握該程序的屬性，包括它連接的服務器、端口、頻道、控制口令等信息，獲得該僵尸網絡的基本信息甚至控制權。蠕蟲事件應急預案蠕蟲事件屬于有害程序事件。本預案中蠕蟲事件按照表現(xiàn)形式分為網絡蠕蟲和主機蠕蟲兩大類：主機蠕蟲：主機蠕蟲完全包含在它們運行的計算機中，并且使用網絡的連接僅將自身拷貝到其他的計算機中，主計算機蠕蟲在將其自身的拷貝加入另外的主機后，就會終止它自身（因此在任意給定的時刻，只有一個蠕蟲的拷貝運行）；網絡蠕蟲：網絡蠕蟲是一種智能化、自動化，綜合網絡攻擊、密碼學和計算機的病毒技術，無須計算機使用者干預即可運行的攻擊程序或代碼，它會掃描和攻擊網絡上存在系統(tǒng)漏洞的節(jié)點主機，通過局域網或者互聯(lián)網從一個節(jié)點傳播到另外一個節(jié)點。新一代網絡蠕蟲具有智能化、自動化和高技術化的特征。應急啟動當網絡安全事件發(fā)生，經現(xiàn)場確認為蠕蟲事件時，啟動本預案，判定方式如下：網絡速度減慢，“DNS”和“IIS”服務遭到非法拒絕，用戶不能正常瀏覽網頁；網絡被阻塞，不穩(wěn)定甚至癱瘓，交換機資源被大量消耗，流量被大量占用，CPU、內存被大量占用；檢查防病毒網關的日志，查看異常告警信息；檢查IPS的日志，查看異常告警信息；檢查出口及各個網絡區(qū)域的IDS設備日志，查看異常告警信息；檢查系統(tǒng)服務器文件是否被篡改、加密。應急處置蠕蟲事件應急預案啟動后，應根據以下流程進行應急處置：隔離中毒服務器，啟用備用服務器或系統(tǒng)；根據病毒特征，使用專用工具進行查殺；重裝中毒服務器，導入備份數(shù)據；利用部署的企業(yè)版殺毒軟件對服務器進行清查；對涉事服務器同Vlan的服務器群進行相關蠕蟲的查殺。后門攻擊事件應急預案后門攻擊事件屬于網絡攻擊事件。本預案將后門攻擊事件按照表現(xiàn)形式分為基于網頁的后門攻擊事件及基于系統(tǒng)的后門攻擊事件兩大類：基于網頁后門攻擊：此類后門程序一般都是服務器上正常的WEB服務來構造自己的連接方式，比如現(xiàn)在流行的ASP、CGI腳本后門等；基于系統(tǒng)后門攻擊：攻擊者利用系統(tǒng)自身的某個服務或者線程、功能擴展、“客戶端/服務端”的控制和遠程安裝rootkit類工具的連接方式進行攻擊。應急啟動當網絡安全事件發(fā)生，經現(xiàn)場確認為后門攻擊事件時，啟動本預案?；诰W頁的后門攻擊在安全事件檢測過程中，如發(fā)現(xiàn)網站頁面被替換或者信息被篡改、頁面運行不正常、自動下載不明程序等情況，應根據判定依據對安全事件類型進行確認。主要包括以下三點：服務器區(qū)安全設備IPS發(fā)現(xiàn)木馬后門類檢測的告警日志。服務器區(qū)的安全設備WAF有大量攻擊日志。網站上有上傳的不明文件，如在圖片庫中發(fā)現(xiàn)可執(zhí)行文件等。基于系統(tǒng)的后門攻擊在安全事件檢測過程中，如發(fā)現(xiàn)植入的遠程控制軟件、惡意修改系統(tǒng)管理員口令或者WEB應用管理員口令、新增文件或丟失等情況，應根據判定依據對安全事件類型進行確認，主要包括以下五點：系統(tǒng)賬號無法登錄/異常登錄。有新增的不明用戶。新增異常進程。出現(xiàn)未知的端口連接行為。新增系統(tǒng)文件或丟失。應急處置后門攻擊事件應急預案啟動后，應根據以下流程進行應急處置：基于網頁的后門攻擊將問題頁面/服務器進行隔離。安裝Webshell查殺工具、安全狗等相關功能軟件，對網站上的后門進行及時的查殺。根據WEB日志和系統(tǒng)日志，人工排查可疑文件，查找后門程序，將發(fā)現(xiàn)的后門程序刪除。通過防火墻封禁觸發(fā)告警的源IP地址。針對頁面利用備份文件進行網站恢復。加強網站安全監(jiān)測，防范網頁惡意篡改及信息泄露?；谙到y(tǒng)的后門攻擊將問題服務器進行隔離。通過終端防病毒軟件、反rootkit工具等進行惡意程序查找，并清除惡意程序。通過防火墻封禁觸發(fā)告警的源IP地址。根據系統(tǒng)日志，人工排查可疑文件，注意系統(tǒng)運行狀況及文件增減情況，查看是否有異常服務啟動項運行，及時終止。使用第三方殺毒軟件全天監(jiān)控、定時掃描查殺，定時更新系統(tǒng)補丁。勒索攻擊事件應急預案勒索病毒是一種黑客通過技術手段將受害者機器內的重要數(shù)據文件進行加密，最終迫使受害者向黑客繳納文件解密贖金，黑客收到贖金后，進一步協(xié)助受害者恢復被加密數(shù)據，從而達到病毒非法牟利勒索錢財?shù)哪康?，勒索病毒是近年來極為流行的病毒類型之一。本預案將勒索病毒攻擊事件主要分為使用加密算法對攻擊機器內的文件進行加密、直接對磁盤分區(qū)進行加密和劫持操作系統(tǒng)引導區(qū)后禁止用戶正常登錄操作系統(tǒng)三種類型。應急啟動勒索病毒最終以勒索錢財為目的，當遭受勒索病毒攻擊后會產生極為明顯的受勒索特征。當網絡安全事件發(fā)生，經現(xiàn)場確認為勒索病毒攻擊事件時，啟動本預案，具體可通過以下三種方式來進行判斷中毒類型是否為勒索病毒：桌面壁紙被篡改，為了讓受害者第一時間感知到被病毒入侵，攻擊者通過修改用戶桌面壁紙的方式告知用戶已被病毒感染，需要繳納贖金。有明顯的勒索信息窗口展示，勒索病毒加密文件完成后，通常會在被加密文件所在目錄下創(chuàng)建一個勒索提示說明文檔，勒索病毒加密文件完成后通常會自動打開該文檔，通常以TXT、HTML或病毒程序彈出窗口的形式呈現(xiàn)。文件后綴被修改并且文件使用打開異常，勒索病毒通常為了標識文件被自身加密過，當對文件加密完成后，會修改被加密文件的原始后綴，被修改后的文件后綴區(qū)別于常見文件類型，通過該后綴可以判斷是否遭受到了勒索病毒攻擊。應急處置勒索病毒攻擊事件應急預案啟動后，應根據以下流程進行應急處置：采用物理隔離或訪問控制的方式隔離受感染的主機。物理隔離指對于受感染的主機，在局域網內進行斷網處理，確認勒索病毒清理完畢且經評估無風險后才能重新接入網絡。訪問控制指的是采用在安全設備中增加策略、關閉不必要的端口、修改登錄口令等方式對訪問的網絡資源的權限進行嚴格的認證和控制，避免勒索病毒橫向傳播導致局域網內其他主機被動染毒。檢查局域網內其他主機、核心業(yè)務系統(tǒng)等是否受到影響，備份系統(tǒng)是否被加密等，確定感染范圍，評估存在的風險。對勒索病毒進行殺毒處理，對勒索病毒的行為進行分析，了解攻擊發(fā)生的事件、現(xiàn)象，尋找并清理病毒進程，刪除相關注冊表及文件。及時更新安全補丁，對系統(tǒng)進行升級處理，關閉不必要的端口。計算機病毒事件應急預案計算機病毒事件屬于有害程序事件。本預案將計算機病毒事件按照表現(xiàn)形式大致分為以下幾種：按破壞性分：良性病毒、惡性病毒、極惡性病毒、災難性病毒。按傳染方式分：引導區(qū)型病毒、文件型病毒、混合型病毒宏病毒。按連接方式分：源碼型病毒、入侵型病毒、操作系統(tǒng)型病毒、外殼型病毒。應急啟動在安全事件檢測過程中，如發(fā)現(xiàn)正常網頁無法打開、遭到篡改、服務器出現(xiàn)宕機、藍屏等情況，應根據判定依據對安全事件類型進行確認，依據如下：網頁所屬服務器內的文件被刪除或受到不同程度的損壞。服務器系統(tǒng)出現(xiàn)可疑登錄信息。服務器系統(tǒng)出現(xiàn)新增的可疑用戶。破壞引導扇區(qū)及BIOS，硬件環(huán)境破壞。檢查防病毒網關的日志，查看異常告警信息。檢查IPS的日志，查看異常告警信息。服務器內出現(xiàn)多個相同名稱的進程。服務器系統(tǒng)文件出現(xiàn)非正常隱藏文件夾。注冊表中出現(xiàn)可疑的注冊項。經現(xiàn)場確認為計算機病毒事件時，啟動本預案。應急處置計算機病毒事件應急預案啟動后，應根據以下流程進行應急處置：隔離中毒服務器，啟用備用服務器或系統(tǒng)。根據病毒特征，使用專用工具進行查殺。重裝中毒服務器，導入備份數(shù)據。通過部署的企業(yè)版殺毒軟件對服務器進行清查。對涉事服務器同Vlan的服務群進行相關木馬文件的排查和查殺。網絡輿情炒作事件應急預案網絡輿情炒作事件屬于有害內容事件。本預案將網絡輿情炒作事件按照表現(xiàn)形式大致分為以下三種：攻擊、扭曲國家形象的內容：網站或信息系統(tǒng)出現(xiàn)惡意攻擊、扭曲國家形象的言論、圖片等。扭曲政策、惡意引導言論的內容：網站或信息系統(tǒng)上出現(xiàn)針對國家發(fā)布的政策、法規(guī)、條文等內容進行惡意解讀、歪曲內容、引導錯誤言論的行為。發(fā)布違法違規(guī)的內容：網站或信息系統(tǒng)上出現(xiàn)涉及黃賭毒、非法組織、非法言論等違法違規(guī)的內容。應急啟動在安全事件檢測過程中，如因出現(xiàn)的熱點輿論信息造成了負面影響，啟動本預案，負面影響主要包括以下內容：發(fā)現(xiàn)惡意攻擊、扭曲國家形象的言論、圖片等。發(fā)現(xiàn)針對國家發(fā)布的政策、法規(guī)、條文等內容進行惡意解讀、歪曲內容、引導錯誤言論的行為。發(fā)現(xiàn)涉及黃賭毒、非法組織、非法言論等違法違規(guī)的內容。應急處置網絡輿情炒作事件應急預案啟動后，應根據事件調查結果、事件的性質、重要程度及輿情發(fā)展的態(tài)勢（由一般到嚴重），分別采取以下信息公開方式：關閉相關問題網頁或網站，刪除網絡輿情炒作事件的相關內容。對涉事網站的信息平臺進行凍結，關閉評論或回復功能。或者進行已造成嚴重后果的，關停網站，關閉上述平臺的相關板塊。必要時限制或關閉涉事信息平臺的用戶注冊功能，并對相關敏感詞匯進行過濾。通知平臺管理人員對惡意敏感信息進行集中清理。對涉嫌煽動、鼓動行為的賬號進行禁封。條件許可情況下，針對輿論熱點所涉及的核心問題，在信息平臺上及時發(fā)送通告，闡明事實，穩(wěn)定輿論。對事件情節(jié)嚴重的、對社會造成嚴重影響、擾亂社會政策秩序的，應交由網安部門和司法機關處理。保留相關服務器原始數(shù)據，包括但不限于應用數(shù)據、服務器系統(tǒng)日志、應用日志等，以便網安部門和司法機關進行檢查。事件發(fā)生后或處于重大敏感時期時，應安排相關人員進行24小時值守，并隨時保持相關人員的通訊暢通，接到命令必須按時到達地點，應急日常運行小組人員要有健全的值班記錄制度。加大監(jiān)管力度，對有組織、有煽動性等網上行為的言論及時進行記錄、通報和處理，避免事態(tài)擴大。善后工作網絡輿情應急處置結束后，相關責任部門及人員應持續(xù)關注網絡上相關事件的輿情趨勢，判斷事件出現(xiàn)的緣由，必要時利用官方網站、媒體等方式進行公開聲明。軟硬件自身故障事件應急預案軟硬件自身故障事件屬于設備設施故障事件。軟硬件自身故障事件指因信息系統(tǒng)中硬件設備的自然故障、軟硬件設計缺陷或者軟硬件運行環(huán)境發(fā)生變化等而導致的信息安全事件。應急啟動在安全事件檢測過程中，如發(fā)現(xiàn)硬盤故障、應用系統(tǒng)崩潰、操作系統(tǒng)崩潰、關鍵網絡連接設備（如路由器、交換機等）故障時，啟動本預案。應急處置軟硬件自身故障事件應急預案啟動后，應根據設備類型、故障情況選擇不同的措施，應急處置方式主要包括以下內容：非硬盤硬件故障（CPU、內存、主板、網絡適配卡）更換損壞的硬件或直接更換主機（仍使用原來的硬盤）。修復或更新?lián)p壞的硬件作為新的備件。硬盤故障（RAID有效－文件系統(tǒng)仍可以正常讀?。┤〕鍪軗p硬盤。插入新的硬盤（相同容量和型號）并重建。硬盤故障（RAID無效）備份用戶數(shù)據（包括工作文件、電子郵件等）。備份關鍵配置文件和系統(tǒng)文件。取出受損硬盤并插入新硬盤。重建RAID系統(tǒng)。使用緊急恢復盤重新引導系統(tǒng)。載入鏡像文件（包含標準的操作系統(tǒng)、應用程序和其他必要工具軟件）恢復裝有系統(tǒng)的文件系統(tǒng)。恢復用戶數(shù)據和系統(tǒng)配置。應用系統(tǒng)崩潰。備份應用系統(tǒng)用戶數(shù)據、系統(tǒng)文件和配置文件。重新安裝應用系統(tǒng)和相應的補丁程序?；謴拖到y(tǒng)配置?；謴陀脩魯?shù)據。操作系統(tǒng)崩潰（軟件原因）關閉系統(tǒng)并使用緊急恢復盤重新引導系統(tǒng)。載入鏡像文件（包含標準的操作系統(tǒng)、應用程序和其他必要工具軟件）恢復裝有系統(tǒng)的文件系統(tǒng)。恢復原有系統(tǒng)配置。關鍵網絡連接設備（路由器、交換機等）故障（冗余設備失效）更換相同型號的備用設備。從備份恢復原先的系統(tǒng)配置。重建冗余設置。修復或替換損壞設備作為新的備用設備。防火墻硬件故障（冗余設備失效）更換相同型號的備用設備。從備份恢復原先的系統(tǒng)配置。重建冗余設置。修復或替換損壞設備作為新的備用設備。防火墻軟件故障（冗余設備失效）使用安裝盤重新初始化防火墻系統(tǒng)。從備份恢復原先的防火墻系統(tǒng)配置。重建冗余設置。惡意操作事件應急預案惡意操作事件屬于違規(guī)操作事件。本預案中惡意操作事件主要指人為破壞網絡線路、通信設施以及系統(tǒng)服務器遭到破壞兩大類。應急啟動當網絡安全事