1、密級(jí)：商密文檔編號(hào)：項(xiàng)目代號(hào)：xxxxxxxxxx x x有限公司應(yīng)急響應(yīng)規(guī)范xxxxxxxxx x x有限公司目錄1. 總貝ij 31.1 目的31.2 事件分類31.3 釋義31.4 讀者42. 組織與職責(zé)52應(yīng)急響應(yīng)小組52.2 高級(jí)安全顧問(wèn)52.3 安全顧問(wèn)52.4 安全服務(wù)工程師53. 應(yīng)急響應(yīng)處理流程64. 檢查要求75. 附則76. 應(yīng)急響應(yīng)處理流程圖87. 附表97.1 安全事件檢査記錄表97.2 安全事件分析處理表101總則1.1目的為增強(qiáng)x xxxxxx x安全服務(wù)中心應(yīng)對(duì)緊急安全事件的能力，規(guī)范安全服務(wù)應(yīng)急 響應(yīng)流程，保障用戶在遭受到緊急狀況時(shí)的資產(chǎn)損失降低到最小，并在規(guī)

2、范的流 程下進(jìn)行修復(fù)，保障業(yè)務(wù)的連續(xù)性和問(wèn)題的可追蹤性，特制定本應(yīng)急響應(yīng)流程。1.2事件分類1）物理安全事件指計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其它媒體遭到人為的或自然災(zāi)害引起的物理上的危害。2）邏輯安全事件指信息的完整性、保密性和可用性方面遭到破壞，從而導(dǎo)致涉及的網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、人員管理等方面正常業(yè)務(wù)運(yùn)行受到影響。1.3釋義一、本管理辦法中所描述的安全廣義上均指信息安全；二、物理安全事件定義（包含但不僅限于）：1）設(shè)備遺失，遭到物理闖入或計(jì)算機(jī)設(shè)備被竊；2）自然災(zāi)害，物理壞境或設(shè)備遭到火災(zāi)或水災(zāi)等事故；3）環(huán)境災(zāi)害，物理設(shè)備由于機(jī)房環(huán)境灰塵或靜電造成損壞；4）意外故障，設(shè)備在運(yùn)

3、行過(guò)程意外（如本身質(zhì)量等問(wèn)題）損壞，造成業(yè)務(wù)受損或服務(wù)中斷；5）人員誤操作，管理維護(hù)人員在日常維護(hù)中因誤操作導(dǎo)致物理設(shè)備、線纜等設(shè)施的損壞，造成業(yè)務(wù)受損或服務(wù)中斷。三、邏輯安全事件定義（包含但不僅限于）：1）菲授權(quán)訪問(wèn)，未經(jīng)授權(quán)或允許進(jìn)入到信息系統(tǒng)中，而導(dǎo)致數(shù)據(jù)信息受損或泄露；2）信息泄密，數(shù)據(jù)在傳輸中因數(shù)據(jù)被截取、篡改、分析等而造成信息的泄漏；3）拒絕服務(wù)，因遭受攻擊導(dǎo)致用戶不能正常訪問(wèn)服務(wù)器提供的相關(guān)服務(wù)；4）系統(tǒng)性能嚴(yán)重下降，有不明的進(jìn)程運(yùn)行并占用大量的cpu處理時(shí)間；5）日志審計(jì)異常，在日志中發(fā)現(xiàn)異常流量或異常訪問(wèn)記錄；6）計(jì)算機(jī)病毒，因計(jì)算機(jī)病毒造成的影響；7）網(wǎng)絡(luò)攻擊嘗試，發(fā)現(xiàn)止在

4、進(jìn)行的網(wǎng)絡(luò)攻擊行為；8）帳戶口令異常變更，發(fā)現(xiàn)未經(jīng)授權(quán)的帳戶及口令；9）來(lái)自集團(tuán)外部的警告，如反垃圾郵件組織、電信運(yùn)營(yíng)商、執(zhí)法部門等；10）訪問(wèn)權(quán)限被修改，文件或業(yè)務(wù)的訪問(wèn)權(quán)限被修改；11）系統(tǒng)的安全漏洞，包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、業(yè)務(wù)應(yīng)用；12）違反保密協(xié)議，員工或第三方違反相應(yīng)的保密條例。1.4讀者本文檔的讀者包括xxxxxxxx安全服務(wù)中心全體成員，客戶需求方和其他可能 涉及xxxxxxx x安全服務(wù)中心安全工作的內(nèi)外部人員。2. 組織與職責(zé)基于x x xxxxx x安全服務(wù)屮心組織架構(gòu)的特點(diǎn)，主要以服務(wù)部門經(jīng)理為主要領(lǐng)導(dǎo)，以應(yīng)急響應(yīng)小組為主要攻堅(jiān)力量，其它顧問(wèn)和工程師則輔助應(yīng)急響應(yīng)小組完成

5、應(yīng)急響應(yīng)流程。應(yīng)急響應(yīng)規(guī)范的修訂，以應(yīng)急響應(yīng)小組提議，高級(jí)顧問(wèn)協(xié)助服務(wù)部門經(jīng)理進(jìn)行統(tǒng)一修訂。安全服務(wù)中心必須每年統(tǒng)一檢查和評(píng)估此流程，并做出適當(dāng)更新。在內(nèi)外部環(huán)境需求發(fā)生重人變化吋，也將對(duì)本流程進(jìn)行檢查和更新。2.1應(yīng)急響應(yīng)小組主要職責(zé)：在啟動(dòng)應(yīng)急響應(yīng)之后，進(jìn)行現(xiàn)場(chǎng)的問(wèn)題處理，跟蹤記錄。2.2高級(jí)安全顧問(wèn)主要職責(zé)：在應(yīng)急響應(yīng)過(guò)程中處理需要一些額外的高級(jí)支持時(shí)，提供技術(shù)支持，并進(jìn)行應(yīng)急響應(yīng)規(guī)范的修訂與商議。2.3安全顧問(wèn)主要職責(zé)：協(xié)助應(yīng)急響應(yīng)小組進(jìn)行問(wèn)題追蹤。2.4安全服務(wù)工程師主要職責(zé)：主要負(fù)責(zé)應(yīng)急響應(yīng)的前期記錄，協(xié)助應(yīng)急響應(yīng)小組進(jìn)行簡(jiǎn)單的修復(fù)和加固工作。3. 應(yīng)急響應(yīng)處理流程服務(wù)臺(tái)在接受到信

6、息安全事件吋，進(jìn)行分類統(tǒng)計(jì)，如出現(xiàn)緊急響應(yīng)事件應(yīng) 及吋通知服務(wù)部門經(jīng)理，由部門經(jīng)理啟動(dòng)應(yīng)急響應(yīng)。在收到客戶直接請(qǐng)求應(yīng)急 響應(yīng)支持流程時(shí)，亦可直接啟動(dòng)應(yīng)急響應(yīng)。應(yīng)急響應(yīng)啟動(dòng)后，服務(wù)部門經(jīng)理指派應(yīng)急響應(yīng)小組組長(zhǎng)，負(fù)責(zé)此次應(yīng)急響 應(yīng)事件。應(yīng)急響應(yīng)小組在收到服務(wù)臺(tái)基本的事件介紹資料后，快速的做岀反應(yīng), 準(zhǔn)備好相關(guān)工具，以最快的速度趕往現(xiàn)場(chǎng)，進(jìn)行問(wèn)題處理。應(yīng)急響應(yīng)小組將在第一時(shí)間對(duì)問(wèn)題做出反應(yīng)，進(jìn)行數(shù)據(jù)包截獲分析等其他 技術(shù)手段進(jìn)行安全事件信息搜集，并通過(guò)相關(guān)工具及吋遏制住問(wèn)題擴(kuò)大，并對(duì) 重要資產(chǎn)進(jìn)行及吋的修護(hù)防范，及吋保障服務(wù)的運(yùn)行。現(xiàn)場(chǎng)不能完全解決問(wèn)題的，進(jìn)行事態(tài)控制后，由高級(jí)安全顧問(wèn)協(xié)助，進(jìn)行 應(yīng)

7、急安全事件分析狀態(tài)分析報(bào)告，并制定全面的檢測(cè)和修復(fù)計(jì)劃，進(jìn)行事件的 持續(xù)跟蹤處理；現(xiàn)場(chǎng)問(wèn)題直接解決，則由安金顧問(wèn)協(xié)助應(yīng)急響應(yīng)小組出具應(yīng)急 響應(yīng)報(bào)告，給出應(yīng)急事件的原因分析，加固方案。安全服務(wù)工程師協(xié)助應(yīng)急響應(yīng)小組，對(duì)事件處理過(guò)程和問(wèn)題進(jìn)行跟蹤記錄, 最終交付給服務(wù)臺(tái)，并對(duì)一些后續(xù)問(wèn)題給予持續(xù)處理。具體處理流程參見第六章應(yīng)急響應(yīng)處理流程圖。4. 檢查要求任務(wù) 編號(hào)檢查點(diǎn)檢查內(nèi)容檢查方法檢查周期1安全事件檢查記錄表安全服務(wù)中心檢杳是否對(duì)安全事件記錄的處理結(jié)果進(jìn)行檢查。閱讀文檔每月2安全事件分析處理表安全服務(wù)屮心檢查是否有事后分析報(bào)告，安全事件是否進(jìn)行有效 跟蹤。閱讀文檔每月5.附則1）本應(yīng)急響應(yīng)流程由x x xxxx x x安全服務(wù)中心負(fù)責(zé)解釋和修訂。2）本應(yīng)急響應(yīng)流程自2009年9月15 fi起試行，試行期為6個(gè)月。6個(gè)月內(nèi)若無(wú)修訂，則自動(dòng)轉(zhuǎn)入實(shí)施。6.應(yīng)急響應(yīng)處理流程圖7.附表7.1安全事件檢查記錄表安全事件檢查記錄表文件編號(hào)sn：客戶名稱檢查時(shí)間檢査項(xiàng)檢査結(jié)果負(fù)責(zé)人xx公司20xx年xx月本月安全事件總數(shù)事件名稱匯總安全事件類型匯總【病毒、木馬、黑客攻擊、硬件故障、軟件故障】交付物匯總問(wèn)題解決匯總【已解決、已控制、未解決】7.2安全事件