(1)緊急預案及基本內(nèi)容。
  應急預案是指根據(jù)不同的突發(fā)緊急事件類型和意外情形預先制定的處理方案。
  應急預案一般包括如下內(nèi)容:
 ?、賵?zhí)行緊急預案的人員(姓名、住址、電話號碼以及有關(guān)職能部門的聯(lián)系方法);
 ?、谙到y(tǒng)緊急事件類型及處理措施的詳細說明;
 ?、蹜碧幚淼木唧w步驟和操作順序。
  (2)常見安全事件。
  緊急預案要根據(jù)安全事件的類型進行對應的處理。下面提供一些常見的安全事件類型供參考:
 ?、傥锢韺嶓w及環(huán)境類安全事件,如意外停電、物理設備丟失、火災和水災等;
 ?、诰W(wǎng)絡通信類安全事件,如網(wǎng)絡蠕蟲侵害等;
  ③主機系統(tǒng)類安全事件,如計算機病毒、口令丟失等;
 ?、軕孟到y(tǒng)類安全事件,如客戶信息丟失等。
  (3)應急事件處理的基本流程。
 ?、侔踩录缶?。
  值班人員發(fā)現(xiàn)緊急情況,要及時報告。報告要對安全事件進行準確描述并作書面記錄。
 ?、诎踩录_認。
  確定安全事件的類型,以便啟動相應的預案。
  ③啟動緊急預案。
  首先要能夠找到緊急預案,其次保護現(xiàn)場證據(jù)(如系統(tǒng)事件、處理者采取的行動與外界的溝通等),避免災害擴大。
 ?、芑謴拖到y(tǒng)。包括:
  *9,安裝干凈的操作系統(tǒng)版本。如果主機被侵入,就應當考慮系統(tǒng)中的任何東西都可能被攻擊者修改過了,包括內(nèi)核、二進制可執(zhí)行文件、數(shù)據(jù)文件、正在運行的進程以及內(nèi)存。通常,需要從發(fā)布介質(zhì)上重裝操作系統(tǒng),然后再重新連接到網(wǎng)絡上之前安裝所有的安全補丁,只有這樣才會使系統(tǒng)不受后門和攻擊者的影響。只是找出并修補被攻擊者利用的安全缺陷是不夠的。建議使用干凈的備份程序備份整個系統(tǒng),然后重裝系統(tǒng)。
  第二,取消不必要的服務。只配置系統(tǒng)要提供的服務,取消那些沒有必要的服務。檢查并確信其配置文件沒有脆弱性以及該服務是否可靠。通常,最保守的策略是取消所有的服務,只啟動自己需要的服務。
  第三,安裝供應商提供的所有補丁,建議安裝所有的安全補丁,使系統(tǒng)能夠抵御外來攻擊,不被再次入侵,這是最重要的一步。
  第四,查閱計算機安全應急響應組的安全建議、安全總結(jié)和供應商的安全提示。
  第五,謹慎使用備份數(shù)據(jù)。在從備份中恢復數(shù)據(jù)時,要確認備份主機沒有被入侵。一定要記住,恢復過程可能會重新帶來安全缺陷,被入侵者利用。
  第六,改變密碼。在彌補了安全漏洞或者解決了配置問題之后,建議改變系統(tǒng)中所有賬戶的密碼。
  ⑤加強系統(tǒng)和網(wǎng)絡的安全。
 ?、捱M行應急工作總結(jié)。
  ⑦撰寫安全事件報告。