信息安全应急响应服务流程(共28页).doc

精选优质文档-倾情为你奉上For personal use only in study and research; not for commercial use薀膇螈芃羃袀芄莅肁芀羅信息安全应急响应流程膂腿虿螅芃薂聿蒅芅蚀薈膆肂肃羇广东盈通网络投资羆20011年07月膃膁蚁蚇膅目录艿肀蒇羂蚂葿膇肄螀罿羈膅膂莈蚈袂芁螈膄羄荿膇袅肅螂袀蚅袂袀莀莆袄节蝿膆羅莁膈袆螃蚃薈薇第一部分 导言螄1.1.文档类别袁本文档是盈通公司信息技术安全IT技术部用以规范“信息安全应急响应服务流程”项目实施的指导性文件之一。肇1.2.使用对象莇本文档作为公司内部文档，具体使用人员包括：信息安全应急响应服务具体实施操作人员、及负责人。袅1.3.计划目的羀制订本规范的目的是为了指导应急响应服务操作人员按一定的实施办法和操作流程，从接受应急响应服务申请到交付应急响应总结报告为止这段时间内，要求实施进度和质量可控，在规定的时间内完成应急响应服务。螁备注：操作实施人员在执行该规范时，应根据实际情况灵活运用和变通，并提出创新。同时为了有效的控制进度和质量，在实际操作中应遵循流程步骤。肈1.4.适用范围蚃全司。节1.5.服务原则膀在整个应急响应处理过程的中，本协会严格按照以下原则要求服务人员，并签订必要的保密协议。ll 袈保密性原则螄应急服务提供者应对应急处理服务过程中获知的任何关于服务对象的系统信息承担保密的责任和义务，不得泄露给第三方的单位和个人，不得利用这些信息进行侵害服务对象的行为。ll 蒁规范性原则蕿应急服务提供者应要求服务人员依照规范的操作流程进行应急处理服务，所有处理人员必须对各自的操作过程和结果进行详细的记录，最终按照规范的报告格式提供完整的服务报告。ll 莄最小影响原则螅应急处理服务工作应尽可能减少对原系统和网络正常运行的影响，尽量避免对原网络运行和业务正常运转产生显著影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则必须向服务对象说明。螃第二部分 应急响应组织保障罿2.1.角色的划分肅本协会应急响应工作机构按角色划分为三个：ll 薃应急响应负责人，ll 袁应急响应技术人员，ll 蒈应急响应市场人员。螅信息安全事件发生后，在应急响应领导小组的统一部署下，工作人员各施其职，并严格按照应急响应计划组织实施应急响应工作。蚄2.2.角色的职责ll 肀应急响应负责人：袇应急响应负责人是信息安全应急响应工作的组织领导机构，组长应由组织最高管理层成员担任。负责人的职责是领导和决策信息安全应急响应的重大事宜，主要职责如下： a)b) 薅制定工作方案；c)d) 蚆提供人员和物质保证；e)f) 莂审核并批准经费预算；g)h) 芇审核并批准恢复策略；i)j) 芆审核并批准应急响应计划；k)l) 蒃批准并监督应急响应计划的执行；m)n) 蒀指导应急响应实施小组的应急处置工作；o)p) 羀启动定期评审、修订应急响应计划以及负责组织的外部协作。ll 肆应急响应技术人员，其主要职责如下：a)b) 薄编制应急响应计划文档；c)d) 袃应急响应的需求分析，确定应急策略和等级以及策略的实现；e)f) 蒀备份系统的运行和维护，协助灾难恢复系统实施；g)h) 螇信息安全突发事件发生时的损失控制和损害评估；i)j) 莂组织应急响应计划的测试和演练。ll 羁应急响应市场人员，其主要职责如下：a)b) 衿开拓新客户，与客户建立长期的合作关系；维护与公司老客户的业务往来；c)d) 薇建立预防预警机制，及时进行信息上报；e)f) 莃参与和协助应急响应计划的教育、培训和演练；g)h) 肀信息安全事件发生后的外部协作。芈2.3.组织的外部协作芇依据服务对象信息安全事件的影响程度，如需向上级部门及时通报准确情况或向其他单位寻求支持时，应与相关管理部门以及外部组织机构保持联络和协作。主要包括国家计算机网络应急技术处理协调中心(CNCERT/CC)华中地区分中心、国家计算机网络应急技术处理协调中心(CNCERT/CC)、中国教育科研网络华中地区网络中心、中国教育科研网网络中心、盈通公司市公安局网络安全监察室、湖北省公安厅网络安全监察处、及主要相关设备供应商。蒄蒂2.4.保障措施ll 蚈应急人力保障羈加强信息安全人才培养，强化信息安全宣传教育，建设一支高素质、高技术的信息安全核心人才和管理队伍，提高信息安全防御意识。大力发展信息安全服务业，增强协会应急支援能力。ll 节物质条件保障薀安排一定的资金用于预防或应对信息安全突发事件，提供必要的交通运输保障，优化信息安全应急处理工作的物资保障条件。ll 膇技术支撑保障 螈设立信息安全应急响应中心，建立预警与应急处理的技术平台，进一步提高安全事件的发现和分析能力。从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。芃第三部分 应急响应实施流程羃该服务流程并非一个固定不变的教条，需要应急响应服务人员在实际中灵活变通，可适当简化，但任何变通都必须纪录有关的原因。详细的记录对于找出事件的真相、查出威胁的来源与安全弱点、找到问题正确的解决方法，甚至判定事故的责任，避免同类事件的发生都有着极其重要的作用。 袀芄3.1.准备阶段（Preparation） ll 莅目标：在事件真正发生前为应急响应做好预备性的工作。ll 肁角色：技术人员、市场人员。ll 芀内容：根据不同角色准备不同的内容。ll 羅输出：准备工具清单、事件初步报告表、实施人员工作清单膂3.1.1 负责人准备内容ll 腿制定工作方案和计划；ll 虿提供人员和物质保证；ll 螅审核并批准经费预算、恢复策略、应急响应计划；ll 芃批准并监督应急响应计划的执行；ll 薂指导应急响应实施小组的应急处置工作；ll 聿启动定期评审、修订应急响应计划以及负责组织的外部协作。蒅3.1.2 技术人员准备内容ll 芅服务需求界定蚀首先要对服务对象的整个信息系统进行评估，明确服务对象的应急需求，具体应包含以下内容：1)2) 薈应急服务提供者应了解应急服务对象的各项业务功能及其之间的相关性，确定支持各种业务功能的相关信息系统资源及其他资源，明确相关信息的保密性、完整性、和可用性要求；3)4) 膆对服务对象的信息系统，包括应用程序，服务器，网络及任何管理和维护这些系统的流程进行评估，确定系统所执行的关键功能，并确定执行这些关键功能所需要的特定系统资源；5)6) 肂应急服务提供者应采用定性或定量的方法，对业务中断、系统宕机、网络瘫痪等突发安全事件造成的影响进行评估；7)8) 肃应急服务提供者应协助服务对象建立适当的应急响应策略，应提供在业务中断、系统宕机、网络瘫痪等突发安全事件发生后快速有效的恢复信息系统运行的方法；9)10) 羇应急服务提供者宜为服务对象提供相关的培训服务，以提高服务对象的安全意识，便于相关责任人明确自己的角色和责任，了解常见的安全事件和入侵行为，熟悉应急响应策略。ll 羆主机和网络设备安全初始化快照和备份膃在系统安全策略配置完成后，要对系统做一次初始安全状态快照。这样，如果以后在出现事故后对该服务器做安全检测时，通过将初始化快照做的结果与检测阶段做的快照进行比较，就能够发现系统的改动或异常。1)2) 膁对主机系统做一个标准的安全初始化的状态快照，包括的主要内容有：üü 蚁日志及审核策略快照等。üü 蚇用户账户快照；üü 膅进程快照；üü 艿服务快照；üü 肀自启动快照üü 蒇关键文件签名快照；üü 羂开放端口快照；üü 蚂系统资源利用率的快照；üü 葿注册表快照；üü 膇计划任务快照等等；3)4) 肄对网络设备做一个标准的安全初始化的状态快照，包括的主要内容有：üü 螀路由器快照；üü 罿防火墙快照；üü 羈用户快照；üü 膅系统资源利用率等快照。5)6) 膂信息系统的业务数据及办公数据均十分重要，因此需要进行数据存储及备份。目前，存储备份结构主要有DAS、SAN和NAS，以及通过磁带或光盘对数据进行备份。各服务对象可以根据自身的特点选择不同的存储产品构建自己的数据存储备份系统。ll 莈工具包的准备1)2) 蚈应急服务提供者应根据应急服务对象的需求准备处置网络安全事件的工具包，包括常用的系统基本命令、其他软件工具等；3)4) 袂应急服务提供者的工具包中的工具最好是采用绿色免安装的，应保存在安全的移动介质上，如一次性可写光盘、加密的U盘等；5)6) 芁应急服务提供者的工具包应定期更新、补充；ll 螈必要技术的准备膄上述是针对应急响应的处理涉及到的安全技术工具涵盖应急响应的事件取样、事件分析、事件隔离、系统恢复和攻击追踪等各个方面，构成了网络安全应急响应的技术基础。所以我们的应急响应服务实施成员还应该掌握以下必要的技术手段和规范，具体包括以下内容：1)2) 羄系统检测技术，包括以下检测技术规范：üü 荿Windows系统检测技术规范；üü 膇Unix系统检测技术规范；üü 袅网络安全事故检测技术规范；üü 肅数据库系统检测技术规范；üü 螂常见的应用系统检测技术规范；3)4) 袀攻击检测技术，包括以下技术：üü 蚅异常行为分析技术；üü 袂入侵检测技术；üü 袀安全风险评估技术；5)6) 莀攻击追踪技术；7)8) 莆现场取样技术；9)10) 袄系统安全加固技术；11)12) 节攻击隔离技术；13)14) 蝿资产备份恢复技术；膆3.1.3 市场人员准备内容ll 羅和服务对象建立长期友好的业务关系；ll 莁和服务对象签订应急服务合同或协议；ll 膈建立预防和预警机制，及时上报。1)2) 袆预防和预警机制üü 螃市场人员要严格按照应急响应负责人的安排和建议，及时提醒服务对象提高防范网络攻击、病毒入侵、网络窃密等的能力，防止有害信息传播，保障服务对象网络的安全畅通。üü 蚃将协会网络信息中心会发布的病毒预防警报以及更新的防护策略及时有效地告知服务对象，做好防护策略的更新。3)4) 薈信息系统检测和报告üü 薇按照“早发现、早报告、早处置”的原则，市场人员要加强对服务对象信息系统的安全检测结果的通告，收集可能引发信息安全事件的有关信息、进行分析判断。üü 螄如服务对象发现有异常情况或有信息安全事件发生时，要立即向协会网络信息中心应急响应负责人报告，并填写事件初步报告表。üü 袁要求服务对象持续监测信息系统状况，密切关注应急响应负责人提出初步行动对策和行动方案，听从指令和安排，及时减小损失。肇3.2.检测阶段（Examination）ll 莇目标：接到事故报警后在服务对象的配合下对异常的系统进行初步分析，确认其是否真正发生了信息安全事件，制定进一步的响应策略，并保留证据。ll 袅角色：应急服务实施小组成员、应急响应日常运行小组；ll 羀内容：(1)(2) 螁检测范围及对象的确定；(3)(4) 肈检测方案的确定；(5)(6) 蚃检测方案的实施；(7)(8) 节检测结果的处理。ll 膀输出：检测结果记录、袈3.2.1 实施小组人员的确定螄应急响应负责人根据事件初步报告表的内容，初步分析事故的类型、严重程度等，以此来确定临时应急响应小组的实施人员的名单。蒁3.2.2 检测范围及对象的确定ll 蕿应急服务提供者应对发生异常的系统进行初步分析，判断是否正真发生了安全事件；ll 莄应急服务提供者和服务对象共同确定检测对象及范围；ll 螅检测对象及范围应得到服务对象的书面授权。螃3.2.3 检测方案的确定ll 罿应急服务提供者和服务对象共同确定检测方案；ll 肅应急服务提供者制定的检测方案应明确应急服务提供者所使用的检测规范；ll 薃应急服务提供者制定的检测方案应明确应急服务提供者的检测范围，其检测范围应仅限于服务对象已授权的与安全事件相关的数据，对服务对象的机密性数据信息未经授权的不得访问；ll 袁应急服务提供者制定的检测方案应包含实施方案失败的应变和回退措施；ll 蒈应急服务提供者和服务对象充分沟通，并预测应急处理方案可能造成的影响。螅3.2.4 检测方案的实施ll 蚄检测搜集系统信息üü 肀记录时使用目录及文件名约定：袇 在受入侵的计算机的D盘根目录下（D:）（如果无D盘则在其他盘根目录下）建立一个EEAN目录，目录中包含以下子目录： ØØ 薅artifact：用于存放可疑文件样本 ØØ 蚆cmdoutput：用于记录命令行输出结果 ØØ 莂screenshot：用于存放屏幕拷贝文件 ØØ 芇log：用于存放各类日志文件 üü 芆文件格式：ØØ 蒃命令行输出文件缺省仅使用TXT格式。 ØØ 蒀日志文件及其他格式尽量使用TXT、CSV和其他不需要特殊工具就可以阅读的格式。 ØØ 羀屏幕拷贝文件应该使用BMP格式。 ØØ 肆可疑文件样本最好加密压缩为zip格式，默认密码为：eeanüü 薄搜集操作系统基本信息袃1右键点击“我的电脑>属性” 将“常规”、“自动更新”、“远程”3个选卡各制作一个窗口拷贝（使用Alt+PrtScr）。并保存到EEANscreenshot目录下，文件名称应该使用：系统常规-01、自动更新-01、远程-01等形式命名。 蒀2进入CMD状态，“开始 > 运行 > cmd”，进入D盘根目录下的EEAN目录，执行一下命令： 螇netstat -nao > netstat.txt (网络连接信息)莂tasklist > tasklist.txt （当前进程信息）羁ipconfig /all > ipconfig.txt（IP属性） 衿ver > ver.txt （操作系统属性）薇.üü 莃日志信息肀目标：导出所有日志信息；芈说明：进入管理工具，将“管理工具 > 事件察看器”中，导出所有事件，分别使用一下文件名保存： application.txt、security.txt、system.txt。üü 芇帐号信息蒄目标：导出所有帐号信息；蒂说明：使用net user，net group，net local group命令检查帐号和组的情况，使用计算机管理查看本地用户和组，将导出的信息保存在D:EEANuser中 ll 蚈主机检测üü 羈日志检查节目标：1、从日志信息中检测出未授权访问或非法登录事件；薀2、从IIS/FTP日志中检测非正常访问行为或攻击行为；膇说明：1、检查事件查看器中的系统和安全日志信息，比如：安全日志中异常登录时间，未知用户名登录；螈2、检查%WinDir%System32LogFiles 目录下的WWW日志和FTP日志，芃比如WWW日志中的对cmd.asp文件的成功访问。üü 羃帐号检查袀目标：检查帐号信息中非正常帐号，隐藏帐号；芄说明：通过询问管理员或负责人，或者和系统的所有的正常帐号列表做对比，判断是否有可疑的陌生的账号出现，利用这些获得的信息和前面准备阶段做的帐号快照工作进行对比。üü 莅进程检查肁目标：检查是否存在未被授权的应用程序或服务芀说明：使用任务管理器检查或使用进程查看工具进行查看，利用这些获得的信息和前面准备阶段做的进程快照工作进行对比，判断是否有可疑的进程。üü 羅服务检查膂目标：检查系统是否存在非法服务腿说明：使用“管理工具”中的“服务”查看非法服务或使用冰刃、Wsystem察看当前服务情况，利用这些获得的信息和准备阶段做的服务快照工作进行对比。üü 虿自启动检查螅目标：检查未授权自启动程序芃说明：检查系统各用户“启动”目录下是否存在未授权程序。üü 薂网络连接检查聿目标：检查非正常网络连接和开放的端口蒅说明：关闭所有的网络通讯程序，以免出现干扰，然后使用ipconfig, netstat an或其它第三方工具查看所有连接，检查服务端口开放情况和异常数据的信息。üü 芅共享检查蚀目标：检查非法共享目录。薈说明：使用net share或其他第三方的工具检测当前开放的共享，使用$是隐藏目录共享，通过询问负责人看是否有可疑的共享文件。 üü 膆文件检查肂目标：检查病毒、木马、蠕虫、后门等可疑文件。肃说明：使用防病毒软件检查文件，扫描硬盘上所有的文件，将可疑文件进行提取加密压缩成.zip，保存到EEANartifact目录下的相应子目录中。üü 羇查找其他入侵痕迹羆目标：查找其它系统上的入侵痕迹，寻找攻击途径膃说明：其它系统包括：同一IP地址段或同一网段的系统、同一域的其他系统、拥有相同操作系统的其他系统。膁3.2.5 检测结果的处理ll 蚁确定安全事件的类型蚇经过检测，判断出信息安全事件类型。信息安全事件可以有以下7个基本分类：üü 膅有害程序事件：蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。üü 艿网络攻击事件：通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。üü 肀信息破坏事件：通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。üü 蒇信息内容安全事件：利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。üü 羂设备设施故障：由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。üü 蚂灾害性事件：由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。üü 葿其他信息安全事件：不能归为以上6个基本分类的信息安全事件。ll 膇评估突发信息安全事件的影响肄采用定量和/或定性的方法，对业务中断、系统宕机、网络瘫痪数据丢失等突发信息安全事件造成的影响进行评估：ll 螀确定是否存在针对该事件的特定系统预案，如有，则启动相关预案；如果事件涉及多个专项预案，应同时启动所有涉及的专项预案；ll 罿如果没有针对该事件的专项预案，应根据事件具体情况，采取抑制措施，抑制事件进一步扩散。羈3.3.抑制阶段（Suppresses）ll 膅目标：及时采取行动限制事件扩散和影响的范围，限制潜在的损失与破坏，同时要确保封锁方法对涉及相关业务影响最小。ll 膂角色：应急服务实施小组、应急响应日常运行小组。ll 莈内容：(1)(2) 蚈抑制方案的确定；(3)(4) 袂抑制方案的认可；(5)(6) 芁抑制方案的实施；(7)(8) 螈抑制效果的判定；ll 膄输出：抑制处理记录表、羄3.3.1 抑制方案的确定ll 荿应急服务提供者应在检测分析的基础上，初步确定与安全事件相对应的抑制方法，如有多项，可由服务对象考虑后自己选择；ll 膇在确定抑制方法时应该考虑：üü 袅全面评估入侵范围、入侵带来的影响和损失；üü 肅通过分析得到的其他结论，如入侵者的来源；üü 螂服务对象的业务和重点决策过程；üü 袀服务对象的业务连续性。蚅3.3.2 抑制方案的认可ll 袂应急服务提供者应告知服务对象所面临的首要问题；ll 袀应急服务提供者所确定的抑制方法和相应的措施应得到服务对象的认可；ll 莀在采取抑制措施之前，应急服务提供者要和服务对象充分沟通，告知可能存在的风险，制定应变和回退措施，并与其达成协议。莆3.3.3 抑制方案的实施ll 袄应急服务提供者要严格按照相关约定实施抑制，不得随意更改抑制的措施的范围，如有必要更改，需获得服务对象的授权；ll 节抑制措施易包含但不仅限于以下几方面：üü 蝿确定受害系统的范围后，将被害系统和正常的系统进行隔离，断开或暂时关闭被攻击的系统，使攻击先彻底停止；üü 膆持续监视系统和网络活动，记录异常流量的远程IP、域名、端口；üü 羅停止或删除系统非正常帐号，隐藏帐号，更改口令，加强口令的安全级别；üü 莁挂起或结束未被授权的、可疑的应用程序和进程；üü 膈关闭存在的非法服务和不必要的服务；üü 袆删除系统各用户“启动”目录下未授权自启动程序；üü 螃使用net share或其他第三方的工具停止所有开放的共享；üü 蚃使用反病毒软件或其他安全工具检查文件，扫描硬盘上所有的文件，隔离或清除病毒、木马、蠕虫、后门等可疑文件；üü 薈设置陷阱，如蜜罐系统；或者反击攻击者的系统。薇3.3.4 抑制效果的判定ll 螄防止事件继续扩散，限制了潜在的损失和破坏，使目前损失最小化；ll 袁对其它相关业务的影响是否控制在最小。肇3.4.根除阶段（Eradicates）ll 莇目标：对事件进行抑制之后，通过对有关事件或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。ll 袅角色：应急服务实施小组、应急响应日常运行小组。ll 羀内容：(1)(2) 螁根除方案的确定；(3)(4) 肈根除方案的认可；(5)(6) 蚃根除方案的实施；(7)(8) 肄根除效果的判定；ll 羂输出：根除处理记录表、蚀3.4.1 根除方案的确定ll 蒆应急服务提供者应协助服务对象检查所有受影响的系统，在准确判断安全事件原因的基础上，提出方案建议；ll 芃由于入侵者一般会安装后门或使用其他的方法以便于在将来有机会侵入该被攻陷的系统，因此在确定根除方法时，需要了解攻击者时如何入侵的，以及与这种入侵方法相同和相似的各种方法。莁3.4.2 根除方案的认可ll 肆应急服务提供者应明确告知服务对象所采取的根除措施可能带来的风险，制定应变和回退措施，并得到服务对象的书面授权；ll 薈应急服务提供者应协助服务对象进行根除方法的实施。薅3.4.3 根除方案的实施ll 螁应急服务提供者应使用可信的工具进行安全事件的根除处理，不得使用受害系统已有的不可信的文件和工具；ll 袇根除措施易包含但不仅限与以下几个方面：üü 莅改变全部可能受到攻击的系统帐号和口令，并增加口令的安全级别；üü 蚄修补系统、网络和其他软件漏洞；üü 芀增强防护功能：复查所有防护措施的配置，安装最新的防火墙和杀毒软件，并及时更新， 对未受保护或者保护不够的系统增加新的防护措施；üü 薇提高其监视保护级别，以保证将来对类似的入侵进行检测；蒆3.4.4 根除效果的判定ll 螂找出造成事件的原因，备份与造成事件的相关文件和数据；ll 蚀对系统中的文件进行清理，根除；ll 莈使系统能够正常工作。蒈3.5.恢复阶段（Restoration）ll 膄目标：恢复安全事件所涉及到得系统，并还原到正常状态，使业务能够正常进行，恢复工作应避免出现误操作导致数据的丢失。ll 聿角色：应急服务实施小组、应急响应日常运行小组。ll 肈内容：(1)(2) 芅恢复方案的确定；(3)(4) 芃恢复信息系统；ll 螂输出：恢复处理记录表、.袈3.5.1 恢复方案的确定ll 莇应急服务提供者应告知服务对象一个或多个能从安全事件中恢复系统的方法，及他们可能存在的风险；ll 蚅应急服务提供者应和服务对象共同确定系统恢复方案，根据抑制和根除的情况，协助服务对象选择合适的系统恢复的方案，恢复方案涉及到以下几方面：üü 膂如何获得访问受损设施或地理区域的授权；üü 蕿如何通知相关系统的内部和外部业务伙伴；üü 膄如何获得安装所需的硬件部件；üü 螃如何获得装载备份介质；如何恢复关键操作系统和应用软件；üü 蚁如何恢复系统数据；üü 荿如何成功运行备用设备ll 膅如果涉及到涉密数据，确定恢复方法时应遵循相应的保密要求。袂3.5.2 恢复信息系统ll 肀应急响应实施小组应按照系统的初始化安全策略恢复系统；ll 聿恢复系统时，应根据系统中个子系统的重要性，确定系统恢复的顺序；ll 芇恢复系统过程宜包含但不限于以下方面：üü 芄利用正确的备份恢复用户数据和配置信息；üü 蒀开启系统和应用服务，将受到入侵或者怀疑存在漏洞而关闭的服务，修改后重新开放；üü 螀连接网络，服务重新上线，并持续监控持续汇总分析，了解各网的运行情况；ll 肄对于不能彻底恢复配置和清除系统上的恶意文件，或不能肯定系统在根除处理后是否已恢复正常时，应选择彻底重建系统；ll 莂应急服务实施小组应协助服务对象验证恢复后的系统是否正常运行；ll 罿应急服务实施小组宜帮助服务对象对重建后的系统进行安全加固；ll 薀应急服务实施小组宜帮助服务对象为重建后的系统建立系统快照和备份；肅3.6.总结阶段（Summary）ll 螅目标：通过以上各个阶段的记录表格，回顾安全事件处理的全过程，整理与事件相关的各种信息，进行总结，并尽可能的把所有信息记录到文档中。ll 薃角色：应急服务实施小组、应急响应日常运行小组。ll 肇内容：(1)(2) 膇事故总结；(3)(4) 袃事故报告；ll 肂输出：应急响应报告表、螇3.6.1 事故总结ll 羄应急服务提供者应及时检查安全事件处理记录是否齐全，是否具备可塑性，并对事件处理过程进行总结和分析；ll 羂应急处理总结的具体工作包括但不限于以下几项：üü 蒁事件发生的现象总结；üü 薇事件发生的原因分析；üü 肆系统的损害程度评估；üü 莄事件损失估计；üü 袁采取的主要应对措施；üü 芈相关的工具文档（如专项预案、方案等）归档。肇3.6.2 事故报告ll 蒂应急服务提供者应向服务对象提供完备的网络安全事件处理报告；ll 莀应急服务提供者应向服务对象提供网络安全方面的措施和建议；ll 羈上述总结报告的具体信息参考Excel表应急响应报告表。袄盈通网络投资有限公司袅行政人事部2011年3月15日专心-专注-专业