应急响应

应急响应服务是当客户信息系统出现故障、安全事件时提供的远程或现场应急响应服务，协助客户进行有效的应急处理。帮助客户尽快确认和修复漏洞，恢复信息系统的正常运行，使信息系统所遭受的破坏减少，并在应急处理后提供准确有效的法律证据、分析统计报告和有价值的建议，在应急处理服务工作结束后对系统管理进行完善，减少损失和造成的消极影响。 结合国舜股份安全事件应急响应工作经验，以安全事件应急响应6阶段（PDCERF）方法学为主线开展安全事件应急响应的过程和具体工作内容。它包括准备、检测、抑制、根除、恢复和跟进6个阶段。 ▶ 准备阶段：在事件发生前为事件响应做好准备。这一阶段很重要，因为事件发生时可能需要在短时间内处理较多的事物，如果没有足够的准备，那么将无法正确的完成响应工作。 ▶ 检测阶段：检测是指以适当的方法确认在系统/网络中是否出现了恶意代码、文件和目录是否被篡改等异常活动/现象。如果可能的话同时确定它的影响范围和问题原因。在操作的角度来讲，事件响应过程中所有的后续阶段都依赖于检测，如果没有检测，就不会存在真正意义上的事件响应。检测阶段是事件响应的触发条件。 ▶ 抑制阶段：抑制阶段的目的是限制攻击/破坏所波及的范围。同时也是限制潜在的损失。所有的抑制活动都是建立在能正确检测事件的基础上，抑制活动必须结合检测阶段发现的安全事件的现象、性质、范围等属性，制定并实施正确的抑制策略。 ▶ 根除阶段：在准确的抑制事件后，找出事件的根源并彻底根除它，以避免攻击者再次使用相同手段攻击系统，引发安全事件。在根除阶段中将需要利用到在准备阶段中产生的结果。 ▶ 恢复阶段：将事件的根源根除后，将进入恢复阶段。恢复阶段的目标是把所有被攻破的系统或网络设备还原到它们正常的任务状态。 ▶ 总结阶段：对抑制或根除的效果进行审计，确认系统没有被再次入侵其目标是回顾并整合发生事件的相关信息。

▶ GB/T 20984-2007信息安全技术 信息安全风险评估规范 ▶ GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范 ▶ GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 ▶ GB/T 28827.1-2012信息技术服务 运行维护 第一部分 通用要求 ▶ GB/T 28827.2-2012信息技术服务 运行维护 第二部分 交付规范 ▶ GB/T 28827.3-2012信息技术服务 运行维护第三部分 应急响应规范安全保障