[精选]信息安全应急响应体系建设课程.pptx

《[精选]信息安全应急响应体系建设课程.pptx》由会员分享，可在线阅读，更多相关《[精选]信息安全应急响应体系建设课程.pptx（84页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、课程要点什么是应急响应和应急响应体系应急响应的六大阶段应急预案的编制和管理应急响应体系建立流程典型应急响应体系建设案例基本概念安全事件安全事件Security AccidentSecurity Accident 而安全事件则是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题，也包括网络范畴内的问题，例如黑客入侵、信息窃取、拒绝效劳攻击、网络流量异常等。应急响应应急响应Emergency ResponseEmergency Response是指组织为了应对突发/重大信息安全事件的发生所做的准备以及在事件发生后所采取的措施。应急响应是信息安全防护的最后一道防线！应急响应是信息安全防护的

2、最后一道防线！基本概念3应急响应应急响应体系体系Emergency Response SystemEmergency Response System 是指在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略和规程。信息安全应急响应体系的制定是一个周而复始、持续改进的过程，包含以下几个阶段：1应急响应需求分析和应急响应策略确实定；2编制应急响应方案文档；3应急响应方案的测试、培训、演练和维护。应急响应目的应急响应效劳的目的是尽可能地减小和控制住网络安全事件的损失，提供有效的响应和恢复指导，并努力防止安全事件的发生。损失最小尽快恢复应急响应与应急响应体系的关系

3、5应急预案应急演练应急响应技术管理措施应急响应体系政策要求6关于加强信息安全保障工作的意见中办发200327号文指出：“信息安全保障工作的要点在于，实行信息安全等级保护制度，建设基于密码技术的网络信任体系，建设信息安全监控体系，重视信息安全应急处理工作重视信息安全应急处理工作，推动信息安全技术研发与产业开展，建设信息安全法制与标准国家信息安全战略的近期目标：通过五年的努力，基本建成国家信息安全保障体系。政策要求7为了落实27号文精神国家网络与信息安全协调小组办公室于2003年10月发布了网络与信息安全信息通报暂行方法、2004年9月发布了关于做好重要信息系统灾难备份工作的通知，2004年8月发

4、布了关于建立健全基础信息网络和重要信息系统应急协调机制的意见等文件。这些文件对推动灾难备份和应急响应的开展起到了重要作用。相关标准8GB/T24364-2009信息安全技术信息安全应急响应方案标准GB/T20988-2007信息安全技术信息系统应急响应标准GB/Z20985-2007信息技术安全技术信息安全事件管理指南GB/Z20986-2007信息安全技术信息安全事件分类分级指南应急响应六阶段9第一阶段：准备第一阶段：准备让我们严阵以待让我们严阵以待第二阶段：确认第二阶段：确认对情况综合判断对情况综合判断第三阶段：遏制第三阶段：遏制制止事态的扩大制止事态的扩大第四阶段：铲除第四阶段：铲除彻底

5、的补救措施彻底的补救措施第五阶段：恢复第五阶段：恢复系统恢复常态系统恢复常态第六阶段：跟踪第六阶段：跟踪还会有第二次吗还会有第二次吗第一阶段准备10预防为主微观一般观点：帮助效劳对象建立安全政策帮助效劳对象按照安全政策配置安全设备和软件扫描，风险分析，打补丁如有条件且得到许可，建立监控设施宏观：建立协作体系和应急制度建立信息沟通渠道和通报机制如有条件，建立数据汇总分析的体系和能力有关法律法规的制定准备准备确认确认遏制遏制铲除铲除恢复恢复跟踪跟踪第一阶段准备11制定应急响应方案资源准备应急经费筹集人力资源软硬件设备现场备份业务连续性保障系统容灾搭建临时业务系统准备准备确认确认遏制遏制铲除铲除恢复

6、恢复跟踪跟踪人力资源准备指挥调度人员协作人员技术人员专家设备、系统和效劳提供商软硬件设备准备硬件设备准备n数据保护设备磁盘、磁带、光盘SANn冗余设备网络链路、网络设备关键计算机设备Anyelse?软硬件设备准备软件工具准备备份软件日志处理软件系统软件网络软件应急启动盘Anyelse?病毒/恶意软件查杀软件建立事件报告的机制和要求建立事件报告流建立事件报告流程和标准程和标准第二阶段确认16确定事件性质和处理人微观负责具体网络的CERT：确定事件的责任人指定一个责任人全权处理此事件给予必要的资源确定事件的性质误会？玩笑？还是恶意的攻击/入侵？影响的严重程度预计采用什么样的专用资源来修复？宏观负责

7、总体网络的CERT：通过汇总，确定是否发生了全网的大规模事件确定应急等级，以决定启动哪一级应急方案准备准备确认确认遏制遏制铲除铲除恢复恢复跟踪跟踪快速分析事故的标志事故的标志分为两类：征兆和预兆Web效劳器崩溃用户抱怨主机连接网络速度过慢子邮件管理员可以看到大批的反弹电子邮件与可疑内容网络管理员通告了一个不寻常的偏离典型的网络流量流向来源网络和主机IDS、防病毒软件、文件完整性检查软件系统、网络、蜜罐日志公开可利用的信息第三方监视效劳确认事故1确认网络和系统轮廓：分析事故的最好技术方法之一理解正常的行为基于处理事故的良好准备使用集中的日志管理并创立日志保存策略执行事件关联保持所有主机时钟同步确

8、认事故2维护和使用信息知识库分析事故时的快速参考使用互联网搜索引擎进行研究运行包嗅探器以搜集更多的数据过滤数据经验是不可替代的建立诊断矩阵寻求帮助诊断矩阵实例征兆征兆拒绝效劳拒绝效劳恶意代码恶意代码非授权访问非授权访问不正确使用不正确使用文件，关键，访问尝试低中高低文件，不适当的内容低中低高主机崩溃中中中低端口扫描，输入的，不正常的高低中低端口扫描，输出的，不正常的低高中低利用带宽高高中低中利用电子邮件中高中中事故优先级效劳水平协议效劳水平协议SLA定义效劳目标及双方的预期及责任效劳水平协议指标应急响应效劳的指标远程应急响应效劳在确认客户的应急响应请求后?小时内，交与相关应急响应人员进行处理。

9、无论是否解决，进行处理的当天必须返回响应情况的简报，直到此次响应效劳结束。本地应急响应效劳对本地范围内的客户，？小时内到达现场；对异地的客户，？小时加路途时间内到达现场。应急响应SLA矩阵事故当前或将来可能影响的资源的重要性事故当前或将来可能影响的资源的重要性事故当前或将来可能的影响高例如：互联网连接，公共Web服务器，防火墙，客户数据中例如：系统管理员工作站，文件和打印效劳器，XYZ应用数据低例如：用户工作站Root级访问15分钟30分钟1小时非授权的数据修改15分钟30分钟2小时对敏感信息的非授权访问15分钟1小时1小时非授权的用户级访问30分钟2小时4小时效劳不可用30分钟2小时4小时骚

10、扰30分钟不限不限第三阶段遏制24即时采取的行动微观：防止进一步的损失，确定后果初步分析，重点是确定适当的封锁方法咨询安全政策确定进一步操作的风险损失最小化最快最简单的方式恢复系统的基本功能，例如备机启动可列出假设干选项，讲明各自的风险，由效劳对象选择宏观：确保封锁方法对各网业务影响最小通过协调争取各网一致行动，实施隔离汇总数据，估算损失和隔离效果准备准备确认确认遏制遏制铲除铲除恢复恢复跟踪跟踪建立遏制策略建议组织机构为几类主要的事故建立单独的遏制策略，其标准包括：潜在的破坏和资源的窃取证据保存的需要效劳可用性例如：网络连接，提供给外部当事方的效劳实施战略需要的时间和资源战略的有效性例如：局部

11、遏制事故，完全遏制事故解决方案的期限例如：紧急事故工作区需在4小时内去除，临时工作区需在两周内去除，永久的解决方案。例：基于DDOS攻击的遏制策略1.基于攻击特征实施过滤。2.纠正正在被攻击的漏洞或弱点3.让ISP实施过滤4.重定位目标5.攻击攻击者6.设定证据保存时间第四阶段铲除27长期的补救措施微观：详细分析，确定原因，定义征兆分析漏洞加强防范消除原因修改安全政策宏观：加强宣传，公布危害性和解决方法，呼吁用户解决终端的问题；加强检测工作，发现和清理行业与重点部门的问题；准备准备确认确认遏制遏制铲除铲除恢复恢复跟踪跟踪第五阶段恢复28微观：被攻击的系统恢复正常的工作状态作一个新的备份把所有安

12、全上的变更作备份效劳重新上线持续监控宏观：持续汇总分析，了解各网的运行情况根据各网的运行情况判断隔离措施的有效性通过汇总分析的结果判断仍然受影响的终端的规模发现重要用户及时通报解决适当的时候解除封锁措施准备准备确认确认遏制遏制铲除铲除恢复恢复跟踪跟踪第六阶段跟踪29关注系统恢复以后的安全状况，特别是曾经出问题的地方建立跟踪文档，标准记录跟踪结果对响应效果给出评估对进入司法程序的事件，进行进一步的调查，打击违法犯罪活动准备准备确认确认遏制遏制铲除铲除恢复恢复跟踪跟踪事件的归档与统计30处理人时间和时段地点工作量事件的类型对事件的处置情况代价细节应急响应预案的制定应急响应预案的包括的主要内容确定风

13、险场景描述可能受到的业务影响描述使用的预防性策略描述应急响应策略识别和排列关键应用系统行动方案团队和人员的职责联络清单所需资源配置31应急响应预案的制定制定应急响应预案的原则首先，必须集中管理应急响应预案的版本和发布。其次，为了建立有效的版本控制体系，必须建立标准的应急响应预案的问题提交、解决、更新、跟踪、发布的渠道和流程。第三，建立相关的保密管理规定，保证应急响应预案中涉及的秘密信息得到保护。第四，应急响应预案在内容管理方面应注意内容的分布和粒度，可根据版本和内容的更新频度将应急响应的内容进行适当的分布。第五，建立合理的应急响应预案的保管制度，强调存放的安全性和易取得性。32应急响应预案的制

14、定清楚、简洁高级管理层支持/组织承诺不断改进和更新的恢复策略及时的更新维护v组织职责分工明确v保存、备份和异地存储方案v完整记录并定期演练v风险得到管理v弱点得到优先重视v灵活、可适应v成功预案的特点33应急响应预案的教育、培训和演练在灾难来临前使相关人员了解熟悉恢复流程使应急响应预案得到理解并可以使用促进应急响应预案活动、更新、实用展示恢复的能力到达法律和内部审计要求34演练与演习的类型演练和演习的主要方式有：桌面演练；模拟演练；实战演练等根据演练和演习的深度，可分为：系统级演练；应用级演练；业务级演练等根据演练和演习的准备情况，可分为：方案内的演练和演习；方案外的演练和演习等35参见应急演

15、练脚本预案维护管理核对预案的功能性验证预案文档的精确性和完整性分发更新的文档文档方案分发和发布流程确保相关的团队收到更新的文档依靠维护来改变管理流程提供培训作为持续维护预案的一局部为与应急响应的相关人员开展定期培训，如：复习进修课程或灾难备份研讨会指派培训责任，如：部门经理要确保员工被送去参加培训完成时报告预案维护情况毁掉旧应急响应预案的复印件或电子版本。36预案变更管理业务操作的增长或变化如：新的分支、产品和业务功能的增加公司所有权的变化关键人员的变化硬件配置的变化使用新操作系统预案审核和演练后软件/应用软件的变化新的法律或审计要求定期审核和更新如：每年两次37应急预案管理制度应急预案管理制

16、度应急预案变更记录变化记录变化记录页码页码变化备注变化备注变化日期变化日期签名签名应急响应体系建设流程参见XXX应急体系_工程方案_080821_C1信息安全应急响应方案编制方法40总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件总则总则角色及职角色及职责责预防和预预防和预警机制警机制应急响应应急响应流程流程应急响应应急响应保障措施保障措施附件附件总则41编制目的编制依据适应范围工作原则总则总则角色及职角色及职责责预防和预预防和预警机制警机制应急响应应急响应流程流程应急响应应急响应保障措施保障措施附件附件角色及职责42应急响应领导小组应急响应技术保障小组应急响应专家小组应急响应实施

17、小组应急响应日常运行小组总则总则角色及职角色及职责责预防和预预防和预警机制警机制应急响应应急响应流程流程应急响应应急响应保障措施保障措施附件附件预防和预警机制43总则总则角色及职角色及职责责预防和预预防和预警机制警机制应急响应应急响应流程流程应急响应应急响应保障措施保障措施附件附件早发现早报告早处置监测预测预警应急响应流程44总则总则角色及职角色及职责责预防和预预防和预警机制警机制应急响应应急响应流程流程应急响应应急响应保障措施保障措施附件附件事件通告1信息通报信息通报分为组织内信息通报和组织外信息通报两局部。组织内信息通报的目的是在信息安全事件发生后迅速通知应急响应日常运行小组，并根据评估结

18、果迅速通知所有相关人员，从而快速有序的实施应急响应方案。组织外信息通报目的是将相关信息及时通报给受到负面影响的外部机构、互联的单位系统以及重要用户，同时根据应急响应的需要，应将相关信息准确通报给相关设备设施及效劳提供商包括电信、电力等等外部组织，以获得适当的应急响应支持。值得注意的是对外信息通报应符合组织的对外信息发布策略。2信息上报信息安全事件发生后，应按照相关规定和要求，及时将情况上报相关主管或监管单位/部门。3信息披露信息发布的目的是防止信息安全事件影响被误传，同时标准组织内人员信息披露，保证信息的一致性。因此，信息安全事件发生后，应根据信息安全事件的严重程度，指定特定的小组及时向新闻媒

19、体发布相关信息，并且指定的小组应严格按照组织相关规定和要求对外发布信息，同时组织内其它部门或者个人不得随意接受新闻媒体采访或对外发表自己的看法。应急响应流程呼叫树46总则总则角色及职角色及职责责预防和预预防和预警机制警机制应急响应应急响应流程流程应急响应应急响应保障措施保障措施附件附件呼叫树小组名称姓名在小组中的职位联络信息工作 家庭 电子邮件家庭地址信息上报重大信息安全事件重大信息安全事件报报告表告表报告时间：年 月 日 时 分单位名称：报告人：联系 ：通讯地址：电子邮件：发生重大信息安全事件的信息系统名称及用途：负责部门：负责人：重大信息安全事件的简要描述如以前出现过类似情况也应加以说明：

20、初步判定的事故原因：当前采取的措施：本次重大信息安全事件的初步影响状况：事件后果：影响范围：严重程度：值班 ：事件分类与定级要确定信息安全事件后如何实施应急响应方案，对系统损害性质和程度的评估是非常重要的。这个损害评估应该在能够确保人员安全这个最优先任务的前提下尽快完成。所以，如果可能，应急响应日常运行小组是第一个得到事件通知的小组。损害评估规程对于不同的系统是不同的，但是应该涉及到以下领域：1造成紧急情况或中断的原因；2潜在的附加中断或损失；3受到紧急情况影响的区域；4物理构架如计算机室结构的完整性、电源、电信以及制热、通风和空调的情况的状况；5系统设备的总量和功能状态如具备完整功能、具备局

21、部功能或丧失功能；6系统设备及其存货的损失类型如水害、水灾或热能、物理以及电涌影响；7被更换的工程如硬件、软件、固件或支持材料；8估计恢复正常效劳所需的时间。我国信息安全事件分类方法50GB/Z 20986-2007信息安全事件分级分类指南有害程序事件MI网络攻击事件NAI信息破坏事件IDI信息内容安全事件ICSI设备设施故障FF灾害性事件DI其他信息安全事件OI我国信息安全事件分级方法51分级要素系统损失社会影响信息系统的重要程度我国信息安全事件分级方法52特别重大事件是指能够导致特别严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受特别严重的系统损失产生特别重大的社会影响

22、重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失产生重大的社会影响较大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失，一般信息系统遭受特别严重的系统损失产生较大的社会影响一般事件是指不满足以上条件的信息安全事件，包括以下情况：会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失，一般信息系统遭受严重或严重以下级别的系统损失产生一般的社会影响特别重大特别重大事件事件I级级重重 大大事事 件件II

23、级级较较 大大事事 件件III级级一一 般般事事 件件IV级级应急启动1启动原则快速、有序；2启动依据一般而言，对于导致业务中断、系统宕机、网络瘫痪等突发/重大信息安全事件应立即启动应急。但由于组织规模、构成、性质等的不同，不同组织对突发/重大信息安全事件的定义可能不一样，因此，各组织的应急启动条件可能各不相同。启动条件可以基于以下方面考虑：人员的安全和/或设施损失的程度；系统损失的程度如物理的、运作的或成本的；系统对于组织使命的影响程度如保护资产的关键基础设施；预期的中断持续时间等。只有当损害评估的结果显示一个或多个系统启动条件被满足时，应急响应方案才应被启动。3启动方法由应急响应领导小组发

24、布应急响应启动令。应急处置1恢复顺序当恢复复杂系统时，恢复进程应该反映出BIA中确定的系统优先顺序。恢复的顺序应该反映出系统允许的中断时间，以防止对相关系统及其应用的重大影响。2恢复规程为了进行恢复操作，应急响应方案应提供恢复业务能力的详细规程。规程应被设定给适当的恢复小组并且通常涉及到以下行动：1获得访问受损设施和或地理区域的授权；2通知相关系统的内部和外部业务伙伴；3获得所需的办公用品和工作空间；4获得安装所需的硬件部件；5获得装载备份介质；6恢复关键操作系统和应用软件；7恢复系统数据；8成功运行备用设备。例：局域网LAN恢复小组检查列表LAN恢复小组：恢复小组：这些规程用于从备份磁带中恢

25、复一个文件。LAN恢复小组负责继续进行生产活动所需的所有关键文件的重新装载。确定将要进行恢复的文件及其日期 时间：使用磁带记录本确定磁带编号 时间：如果磁带不在磁带库中，则要求恢复设施提供磁带；填写适当的授权签名 时间：收到磁带时，将日期和时间填入日志 时间：将磁带放入驱动器中并开始恢复进程 时间：当文件恢复完毕时，通知LAN恢复小组的负责人 时间：后期处置1信息系统重建在应急处置工作结束后，要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作。通过统计各种数据，查明原因，对信息安全事件造成的损失和影响以及恢复重建能力进行分析评估，认真制定恢复重建方案，迅速组织实施信息系统重

26、建。2应急响应总结应急响应总结是应急处置之后应进行的工作，具体工作包括：1分析和总结事件发生原因；2分析和总结事件现象；3评估系统的损害程度；4评估事件导致的损失；5分析和总结应急处置记录；6评审应急响应措施的效果和效率，并提出改进建议；7评审应急响应方案的效果和效率，并提出改进建议。信息安全事件应急响应总结模板信息安全事件应急响应结果报告表信息安全事件应急响应结果报告表原事件报告时间：年 月 日 时 分备案编号：年 月 日 第 号 总第 号单位名称：联系人：联系 ：通讯地址：信息系统名称及用途：已采用的安全措施：信息安全事件的补充描述及最后判定的事故原因：本次信息安全事件的初步影响状况：事件

27、后果：影响范围：严重程度：本次信息安全事件的主要处理过程及结果：针对此类信息安全事件应采取的保障信息系统安全的措施和建议：报告人签名：应急响应保障措施58总则总则角色及职角色及职责责预防和预预防和预警机制警机制应急响应应急响应流程流程应急响应应急响应保障措施保障措施附件附件人力保障管理人力技术人力物质保障财力交通运输通信技术保障应急响应技术支持事件监控与预警应急技术储备应急响应应急响应保障措施保障措施附件59具体的组织体系结构及人员职责应急响应方案各小组成员的联络信息供给商联络信息，包括离站存储和备用站点的外部联系点系统恢复或处理的标准操作规程和检查列表支持系统运行所需的硬件、软件、固件和其它

28、资源的设备和系统需求清单供给商效劳水平协议SLA、与其它机构的互惠协议和其它关键记录备用站点的描述和说明在方案制定前进行的BIA，包含关于系统各局部相互关系、风险、优先级别等应急响应方案文档的保存和分发方法总则总则角色及职角色及职责责预防和预预防和预警机制警机制应急响应应急响应流程流程应急响应应急响应保障措施保障措施附件附件应急响应工作机构图60职责例如61应急响应领导小组：应急响应领导小组：应急响应领导小组是信息安全应急响应工作的组织领导机构，组长应由组织最高管理层成员担任。领导小组的职责是领导和决策信息安全应急响应的重大事宜，主要如下：1对应急响应工作的承诺和支持，包括发布正式文件、提供必

29、要资源人财物等；2审核并批准应急响应策略；3审核并批准应急响应方案；4批准和监督应急响应方案的执行；5 启动定期评审、修订应急响应方案；6负责组织的外部协作工作。应急响应组IRT什么是应急响应组IRT应急响应组就是机构可以借助的网络安全专业组织。为什么需要成立应急响应组容易协调响应工作提高专业知识提高效率提高先期主动防御能力更加适合于满足机构的需要提高联络功能提高处理制度障碍方面的能力从应急组织到应急体系：信息安全保障的必要条件现实说明，单一的应急组织已经不能应对当今的网络安全威胁，我国的应急体系正是在实际工作的经验总结中逐渐形成的：平台从点到环到面；应急体系从点到树到网“现实世界中发生的任何

30、事情，在网络世界中都可以找到与之对应的事件SARS事件反映出社会防疫应急体系的重要红色代码、尼姆达、SQL、口令蠕虫等具有和现实世界中的疫病相同的特点处理方式也具有同样的特点：隔离-分析-治疗不同之处：“病人不自知；隔离缺乏法律依据或技术手段；应急缺乏成熟体系和工作制度.国际信息安全应急响应组织64 计算机紧急事件响应小组协调中心 puter Emergency Response Team/Coordination Center,CERT/CC事件响应与安全组织论坛Forum of Incident Response and Security Teams,FIRST亚太地区计算机应急响应组As

31、ia Pacific puter Emergency Response Team,APCERT欧洲计算机网络研究教育协会Trans-European Research and Education Networking Association,TERENA我国信息安全应急响应组织65国家计算机网络应急技术处理协调中心 National puter network Emergency Response technical Team/Coordination Center of China,CNCERT/CC中国教育和科研计算机网紧急响应组China Education and Research N

32、etwork puter Emergency Response Team,CCERT 国家计算机病毒应急处理中心国家计算机网络入侵防范中心国家863方案反计算机入侵和防病毒研究中心我国公共互联网应急体系从无到有从小到大从弱到强从点到面XX信息安全应急响应体系广州市突发公共广州市突发公共事件总体应急预案事件总体应急预案自然灾害自然灾害事故灾难事故灾难公共卫生公共卫生社会安全社会安全广州市信息安全广州市信息安全突发事件应急预案突发事件应急预案市级机关事业单市级机关事业单位应急预案位应急预案区县机关单位区县机关单位应急预案应急预案重点单位重点单位应急预案应急预案重大事件重大事件/活动活动应急预案应急

33、预案XX市电子政务网络应急预案1总则2组织结构与职责3预防和预警机制4应急响应流程5保障与监督管理6方案附则总则1.1指导思想1.2编制目的1.3编制依据1.4适用范围广州市各级政府政机关、事业单位及与重点保护企业1.5工作原则1.6分类与分级类别：有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件、其他信息安全事件。级别：信息安全事件级别根据信息系统的重要程度、系统损失和社会影响分为四级：安全事件级别划分1 特别重大事件级 特别重大事件是指能够导致特别严重影响或破坏的信息安全事件。2 重大事件级 重大事件是指能够导致严重影响或破坏的信息安全事件。3较大事件级

34、 较大事件是指能够导致较严重影响或破坏的信息安全事件。4一般事件级 一般事件是指能够导致较小影响或破坏的信息安全事件。组织结构与职责预防和预警机制预警简图预警简图应急响应流程应急响应简图应急响应简图应急响应之后期处理流程后期处理简图后期处理简图保障监督管理4.1应急人力保障信息安全专业人才、队伍4.2物质条件保障通信与信息、应急装备、交通运输、经费、治安4.3技术支撑保障信息安全应急平台支撑技术、信息安全领域技术研究、预先编制的预案、方案等4.4宣传教育向单位、公众及相关人员宣传，特别是向员宣传获得他们的支持4.5演练定期进行应急演练4.6责任与奖惩 依相关法规追究责任和奖惩方案及附则6.1人

35、员联络清单6.2信息系统标准操作规程6.3业务影响分析报告信息系统应急方案一般过程 SP800-34 信息技术系统应急方案信息技术系统应急方案/预案指南：预案指南：七步走七步走七步走第一步：制定应急方案/预案策略条款第二步：进行业务影响分析第三步：确定防御性控制第四步：制定恢复策略第五步：IT应急方案/预案的制定第六步：方案/预案的测试、培训和演习第七步：方案/预案的维护9、静夜四无邻，荒居旧业贫。4月-234月-23Monday,April17,202310、雨中黄叶树，灯下白头人。19:30:4119:30:4119:304/17/20237:30:41PM11、以我独沈久，愧君相见频。4

36、月-2319:30:4119:30Apr-2317-Apr-2312、故人江海别，几度隔山川。19:30:4119:30:4119:30Monday,April17,202313、乍见翻疑梦，相悲各问年。4月-234月-2319:30:4119:30:41April17,202314、他乡生白发，旧国见青山。17四月20237:30:41下午19:30:414月-2315、比不了得就不比，得不到的就不要。四月237:30下午4月-2319:30April17,202316、行动出成果，工作出财富。2023/4/1719:30:4119:30:4117April202317、做前，能够环视四周；

37、做时，你只能或者最好沿着以脚为起点的射线向前。7:30:41下午7:30下午19:30:414月-239、没有失败，只有暂时停止成功！。4月-234月-23Monday,April17,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。19:30:4119:30:4119:304/17/20237:30:41PM11、成功就是日复一日那一点点小小努力的积累。4月-2319:30:4119:30Apr-2317-Apr-2312、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。19:30:4119:30:4119:30Monday,April17,202313、不知香积寺，

38、数里入云峰。4月-234月-2319:30:4119:30:41April17,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17四月20237:30:41下午19:30:414月-2315、楚塞三湘接，荆门九派通。四月237:30下午4月-2319:30April17,202316、少年十五二十时，步行夺得胡马骑。2023/4/1719:30:4119:30:4117April202317、空山新雨后，天气晚来秋。7:30:41下午7:30下午19:30:414月-239、杨柳散和风，青山澹吾虑。4月-234月-23Monday,April17,202310、阅读一切好书如同

39、和过去最杰出的人谈话。19:30:4119:30:4119:304/17/20237:30:42PM11、越是没有本领的就越加自命非凡。4月-2319:30:4219:30Apr-2317-Apr-2312、越是无能的人，越喜欢挑剔别人的错儿。19:30:4219:30:4219:30Monday,April17,202313、知人者智，自知者明。胜人者有力，自胜者强。4月-234月-2319:30:4219:30:42April17,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17四月20237:30:42下午19:30:424月-2315、最具挑战性的挑战莫过于提升自我。

40、四月237:30下午4月-2319:30April17,202316、业余生活要有意义，不要越轨。2023/4/1719:30:4219:30:4217April202317、一个人即使已登上顶峰，也仍要自强不息。7:30:42下午7:30下午19:30:424月-23MOMODA POWERPOINTLoremipsumdolorsitamet,consecteturadipiscingelit.Fusceidurnablandit,eleifendnullaac,fringillapurus.Nullaiaculistemporfelisutcursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉