《网络安全事件应急处置流程、预案.docx》由会员分享,可在线阅读,更多相关《网络安全事件应急处置流程、预案.docx(4页珍藏版)》请在第一文库网上搜索。
1、网络安全事件应急处置流程应急处置流程图发生网络安全事件向单位负责人汇报记录情况,向上级主管部门汇报实施必要的安全加固总结事件处理情况并备案,提出防范的解决方案河西区中心幼儿园网络安全预案一、事件的检测及通报网管负责人通过互联网搜索、远程漏洞扫描等手段发现信息安全事件,第一时间赶赴现场做好记录,并向信息中心进行通报。二、事件处置1 .紧急处置对于突发的信息安全事件须控制事态发展,最大限度地防止事件蔓延。具体抑制措施应包含但不限于以下方面:(1)确定被破坏系统的范围后,将被破坏系统和正常的系统进行隔离,断开或暂时关闭被破坏系统;(2)持续监视系统和网络状态,记录异常流量的远程IP、域名和端口;(3
2、)停止或删除系统异常账号,重置口令,提升口令的复杂度;(4)挂起和结束未被授权的、可疑的应用程序和进程;(5)关闭不必要的服务;(6)删除系统各种用户“启动”目录下未被授权自行启动程序。2 .证据留存通过查看被攻击系统的硬件、软件配置参数、审计记录,以及从安全管理制度和人员状况等方面进行取证调查,通过截图、拍照、备份等方式收集被攻击证据,应包含但不限于以下方面:(1)查找信息系统异常现象并对异常现象进行拍照或截图;(2)留存当前信息系统网络拓扑图;(3)系统硬件设备及其配置参数清单;(4)系统软件、应用软件的配置参数清单;(5)应用程序文件列表及源代码;(6)系统运维记录、系统审计日志;(7)
3、网络、操作系统、数据库、中间件、应用程序操作等账号权限的分配列表。3 .恢复服务信息安全事件的恢复工作应避免出现误操作导致数据的丢失,对于不能彻底恢复配置和清除系统上的恶意文件,或不能肯定系统在根除处理后是否已恢复正常时,应选择彻底重建系统。(1)利用正确的备份恢复手段恢复用户数据和配置信息;(2)开启系统和应用服务,将受到入侵或者怀疑存在漏洞而关闭的服务,修改后重新开启;(3)连接网络,恢复业务,并持续监控并汇总分析,了解各网络的运行情况。4 .成因分析在信息安全事件发生后,应确定被破坏系统的范围。通过对证据的汇总和归纳、现象的推演和还原来论证事件产生的原因,回溯事件发生的过程。(1) 了解
4、事件破坏方法、破坏类型、破坏者或恶意程序的标识和特征,对异常文件进行备份;(2)明确破坏所跨越网络路径,涉及网络区域;(3)破坏者取得何种权限;(4)对所留存的证据进行合理的汇总和归纳。5 .系统加固系统加固应制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置和增加系统带宽等方法,对系统的安全性进行合理的增强,以达到消除与降低安全风险的目的。此外,在进行系统加固操作前应做好充分的风险规避措施,加固工作应有跟踪记录,以确保系统的可用性。6 .事件总结及通报在信息安全事件得到基本处置后,网管负责人应及时对信息安全事件的经过、成因、影响及整改情况进行总结并对其所造成的损失进行评估,上报信息中心。
免费区 
