应急响应处理

应急响应

What is

应急响应对应的英文是 Incident response或emergency responcse，通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。

当企业发生黑客入侵、系统崩溃货其他影响业务正常运行的安全时间是，急需第一时间进行处理，使企业的网络信息系统在最短的时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。

常见的应急响应事件

• web入侵：网页挂马、主页篡改、webshell
• 系统入侵：病毒木马、勒索软件、圆孔后门
• 网络攻击：DDoS攻击、DNS劫持、ARP攻击

网络信息安全应急处理服务原则

保密性原则

• 实施人员应对安全事件处理服务过程中获知的任何甲方的系统信息承担保密责任和义务，不得泄露给第三方单位或个人，不得利用这些信息进行任何侵害甲方的行为。

规范性原则

• 实施人员应提供专业的服务人员依照规范的操作流程进行安全事件处理服务，所有服务人员必须对各自的操作过程和结果进行详细记录，最终按照规范的报告格式提供完整的服务报告，重要操作需要获得甲方人员授权。
• 重要操作需要获得甲方人员授权。

最小影响原则

• 安全事件处理服务工作应尽可能减少对原系统和网络正常运行的影响，尽量避免对原网络运行和业务正常运转产生显著影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则必须向甲方予以说明。

应急响应工作流程 6个阶段 17个主要安全控制点

1、准备阶段

重要控制点

• 服务需求界定
• 服务合同或协议签订
• 服务方案制定
• 人员和工具准备

工作内容

• 对信息系统进行初始化的快照

  • 系统快照是信息系统进程、账号、服务端口和关键文件签名等状态信息的记录。通过在系统初始化或发生重要状态改变后，在确保系统未被入侵的前提下，立即制作并保存系统快照，并在检测的时候将保存的快照与信息系统当前状态进行对比，是发现安全事件的一种重要途径。

  • 系统快照是系统状态的精简化描述。在确保系统未被入侵的前提下，应在以下时机由