應急響應

應急響應服務(wù)是當客戶(hù)信息系統出現故障、安全事件時(shí)提供的遠程或現場(chǎng)應急響應服務(wù)，協(xié)助客戶(hù)進(jìn)行有效的應急處理。幫助客戶(hù)盡快確認和修復漏洞，恢復信息系統的正常運行，使信息系統所遭受的破壞減少，并在應急處理后提供準確有效的法律證據、分析統計報告和有價(jià)值的建議，在應急處理服務(wù)工作結束后對系統管理進(jìn)行完善，減少損失和造成的消極影響。 結合國舜股份安全事件應急響應工作經(jīng)驗，以安全事件應急響應6階段（PDCERF）方法學(xué)為主線(xiàn)開(kāi)展安全事件應急響應的過(guò)程和具體工作內容。它包括準備、檢測、抑制、根除、恢復和跟進(jìn)6個(gè)階段。 ? 準備階段：在事件發(fā)生前為事件響應做好準備。這一階段很重要，因為事件發(fā)生時(shí)可能需要在短時(shí)間內處理較多的事物，如果沒(méi)有足夠的準備，那么將無(wú)法正確的完成響應工作。 ? 檢測階段：檢測是指以適當的方法確認在系統/網(wǎng)絡(luò )中是否出現了惡意代碼、文件和目錄是否被篡改等異?；顒?dòng)/現象。如果可能的話(huà)同時(shí)確定它的影響范圍和問(wèn)題原因。在操作的角度來(lái)講，事件響應過(guò)程中所有的后續階段都依賴(lài)于檢測，如果沒(méi)有檢測，就不會(huì )存在真正意義上的事件響應。檢測階段是事件響應的觸發(fā)條件。 ? 抑制階段：抑制階段的目的是限制攻擊/破壞所波及的范圍。同時(shí)也是限制潛在的損失。所有的抑制活動(dòng)都是建立在能正確檢測事件的基礎上，抑制活動(dòng)必須結合檢測階段發(fā)現的安全事件的現象、性質(zhì)、范圍等屬性，制定并實(shí)施正確的抑制策略。 ? 根除階段：在準確的抑制事件后，找出事件的根源并徹底根除它，以避免攻擊者再次使用相同手段攻擊系統，引發(fā)安全事件。在根除階段中將需要利用到在準備階段中產(chǎn)生的結果。 ? 恢復階段：將事件的根源根除后，將進(jìn)入恢復階段?；謴碗A段的目標是把所有被攻破的系統或網(wǎng)絡(luò )設備還原到它們正常的任務(wù)狀態(tài)。 ? 總結階段：對抑制或根除的效果進(jìn)行審計，確認系統沒(méi)有被再次入侵其目標是回顧并整合發(fā)生事件的相關(guān)信息。

? GB/T 20984-2007信息安全技術(shù) 信息安全風(fēng)險評估規范 ? GB/T 24363-2009 信息安全技術(shù) 信息安全應急響應計劃規范 ? GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求 ? GB/T 28827.1-2012信息技術(shù)服務(wù) 運行維護 第一部分 通用要求 ? GB/T 28827.2-2012信息技術(shù)服務(wù) 運行維護 第二部分 交付規范 ? GB/T 28827.3-2012信息技術(shù)服務(wù) 運行維護第三部分 應急響應規范安全保障