信息安全事件应急响应

事件前充分准备，事件中应对，事件后应急处置

应急响应事件分类分类：

分类分级依据：GB/Z 20986-2007

类型：7个

1、有害程序--木马，病毒，流氓软件

2、网络攻击--Dos攻击、探测、扫描、劫持

3、信息破坏--网页篡改为随机乱码

4、信息内容安全--反动言论、谣言

5、设施设备故障--电力中断

6、灾难性--地震，火山，海啸，台风

7、其他信息安全事件--诈骗，盗版，社工攻击

分级：4级

根据信息系统的重要程度、系统损失、社会影响判断

I级特大事件---红色

II级重大事件---橙色

III级较大事件---黄色

IV级一般事件---蓝色

应急响应组织

国际：CERT美国主导

国家：CNCERT中央网信部门

行业：公安、交通、电力

地方：北京，四川网新运营

组织：某国有企业应急部门

组织架构：领导组，专家组，实施组，日常运行组，技术保障组（决策，咨询，处理，实施，保障）

应急响应预案

分析突发事件后果和应急能力基础上，预先制定的行动计划或对策

计划---什么事，什么地方，谁负责，有什么资源，什么时间内处理

预案---怎么做，遇到大事谁处理，遇到小事谁处理，

分类---计划和预案可以合并，可以分开

要求---适用性，可行性，高效性，便捷性，变通性

内容---参考处理，不是操作手册

应急演练级响应

检验预案有效性，完善性，提升响应能力适应性和协同性

演练方式：练习，训练，演练，演习

可以参考CB/T 38645-2020 信息安全技术网络安全事件应急演练指南

演练过程：准备，实施，评估预总结，成果应用

响应流程：准备，检测，遏制，根除，恢复，跟踪总结

准备---预防为主

检测---主动检测确认发生事件的严重性、性质和影响---4级中哪级7类中哪类--责任人--影响范围

遏制---防止范围扩大损失上升---平衡时间空间---断网，封锁

根除---根源解决，标本兼治，避免在发生

恢复---恢复系统，业务，消除部分影响

跟踪总结---总结经验教训，标志应急响应报告，进入司法程序调查

计算机取证

原则：

合法，充分授权，优先保护，全程监督，存档（短，长，永久）

真实性，完整性，可验证性，可追溯性

程序文件：立案文件，授权数，介绍信，交接文件

取证流程：准备，保护，提取，分析，报告

      操作需要第三方在场监督或全程录像

      遵循最小干扰原则

      证据做好保管和保护

取证顺序：先动态证据，后静态证据；先有形证据，后无形证据。

保存固定：证据要生成2个及以上的副本，并都生成哈希值进行校验，证据保护起来。