网络与信息安全应急处理服务资质评估方法.docx

ICS 33040M 21Y中华人民共和国通信行业标准YD厂r 1 799-2008网络与信息安全应急处理服务资质评估方法 Evaluation Methods for Qualification of Network and Information Security Emergency Response Service2008-05-04发布2008-08-01实施中华人民共和国工业和信息化部发布YD下1 799-2008目次前言 I1范围 12 规范性引用文件13术语和缩略语131术语和定义132缩略语24网络与信息安全应急处理服务概述25网络与信息安全应急处理服务资质等级26三级网络与信息安全应急处理服务商资质要求361基本要求362人员构成与素质要求363规模与资产要求364设备、设施与环境要求 365项目管理要求366应急响应时间要求467业绩要求468质量保证要求469应急服务能力47二级网络与信息安全应急处理服务商资质要求471基本要求472人员构成与素质要求473规模与资产要求574设备、设施与环境要求575项目管理要求576应急响应时间要求577业绩要求578质量保证要求 579应急服务能力要求58一级网络与信息安全应急处理服务商资质要求681基本要求68 2人员构成与素质要求683规模与资产要求684设备、设施与环境要求6YD厂r 1 799-200885项目管理要求686应急响应时间要求687业绩要求788质量保证要求789应急服务能力要求79网络与信息安全应急处理服务过程能力要求791应急处理服务的原则792应急处理服务过程793准备阶段894检测阶段995抑制阶段lO96根除阶段1197恢复阶段1l98总结阶段12 lO评估方法13 lO1文档审核13102现场审核13103评估报告 14 附录A(规范性附录)网络与信息安全应急处理服务过程各个阶段要求 15 附录B(资料性附录) 网络与信息安全应急处理服务分级资质要求简表 20 参考文献 21IlYD厂r 1 799-2008刖吾 本标准根据我国网络与信息安全应急处理服务管理的需求，同时考虑到国内网络与信息安全应急处理服务提供商的实际情况，参考YDI16212007网络与信息安全服务资质评估准则、计算机信息 系统集成资质管理办法、计算机信息系统集成资质等级评定条件等文件和相关国际国内标准制定 而成。本标准的评估方法面向对象是为信息系统所有者提供网络与信息安全应急处理服务的组织。本标准的附录A为规范性附录，附录B为资料性附录。 本标准由中国通信标准化协会提出并归口。 本标准起草单位；国家计算机网络应急技术处理协调中心、中国信息安全认证中心、北京启明星辰信息技术有限公司、北京天融信科技有限公司、北京神卅I绿盟科技有限公司、沈阳东软软件股份有限公 司、北京瑞星科技股份有限公司、浪潮集团有限公司、北京安氏领信科技发展有限公司、上海中科网威 信息技术有限公司、华为技术有限公司、武汉邮电科学研究院本标准主要起草人：黄元飞、舒敏、纪玉春、孙蔚敏、杨臻、王明华、布宁、翟亚红、翟爽、 王红阳、彭新春、徐懿巍、李宗洋、刘院清、万振华、桑梓勤llIYD，丁1 799-2008网络与信息安全应急处理服务资质评估方法1范围本标准规定了为信息系统所有者提供网络与信息安全应急处理服务的组织应具备的服务资质要求， 以及对提供网络与信息安全应急处理服务的组织进行评估的方法。本标准适用于第三方评估机构和认证机构对提供网络与信息安全应急处理服务的组织进行网络与信 息安全应急处理服务资质评估和认证，可作为信息系统所有者选择提供网络与信息安全应急处理服务组 织的依据，可作为有关主管部门对提供网络与信息安全应急处理服务的组织进行管理的技术性规范，也 可为提供网络与信息安全应急处理服务的组织改进自身能力提供指导。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的 修改单(不包括勘误的内容)或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GBT 1900032001 质量管理和质量保证标准第3部分：GBI19001在计算机软件开发、供应、安装和 维护中的使用指南GBT 190012000质量体系要求GBT 1900421994 质量管理和质量体系要素第2部分：服务指南 GBT 1900441994 质量管理和质量体系要素第4部分：质量改进指南 GBZ 202862007信息安全技术信息安全事件分类分级指南YDT 1622007网络与信息安全服务资质评估准则GBT 19716 信息技术安全技术信息安全管理实用规则3术语和缩略语31术语和定义GBr!r 52718-2001中的术语和定义适用于本标准，另外以下术语和定义也适用于本标准。311网络与信息安全事件network and information security incident网络与信息安全事件(以下简称安全事件)是指由于自然或者人为的原因，对信息系统造成危害， 或在信息系统内发生对社会造成负面影响的事件。312网络与信息安全应急处理服务network and information security emergency response service网络与信息安全应急处理服务(以下简称应急处理服务)是指在处置网络与信息安全事件时提供紧 急现场或远程援助的一系列技术的和非技术的措施和行动，以降低安全事件给用户造成的损失或影响。YD厂r 1 7992008313网络与信息安全应急处理服务提供者 network and information security emergency response service provider网络与信息安全应急处理服务提供者(以下简称应急服务提供者)是指按照一定的合同或协议，为信息系统所有者提供网络与信息安全应急处理服务的组织，也常称为网络与信息安全应急处理服务商。314系统快照system snapshot关于指定数据集合的一个完全可用拷贝，该拷贝包括相应数据在某个时间点(拷贝开始的时间点) 的映像。快照可以是其所表示的数据的一个副本，也可以是数据的一个复制品。32缩略语下列缩略语适用于本标准。CISACertified Information Security Auditor注册信息安全审核员 CISSPCertified Information Systems Security Professional 注册信息系统安全专家 IDS Intrusion Detection Systems 入侵检测系统IP Internet Protocol 网际互连协议IPMP International Project Management Professional 国际项目管理专业资质认证 ISMSInformation Security Management System 信息安全管理体系ITInformation Technology信息技术PMPProject Management Professional 项目管理专业人员资格认证NCSENational Certification ofInformmion Security Engineer 国家信息安全技术水平考试4网络与信息安全应急处理服务概述 网络与信息安全应急处理服务指通过制定应急计划使得影响网络与信息系统安全的安全事件能够得到及时响应，并在安全事件一旦发生后进行标识、记录、分类和处理，直到受影响的业务恢复正常运行的过程。这里的安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备 设施故障、灾害性事件和其他信息安全事件等七大类，见GBZ 20286。网络与信息安全应急处理服务是保障业务连续性的重要手段之，涵盖了在安全事件发生后为了维 持和恢复关键的应用所进行的系列活动。与应急处理服务容易发生混淆的是灾难恢复服务。灾难恢复服务指的是将信息系统从灾难造成的故 障或瘫痪状态恢复到可正常运行的状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受 状态的活动和流程。与应急处理服务相比，灾难恢复服务的应用范闹较窄，通常应用于重大的，特别是 灾难性的、造成长时间无法正常访问系统和设施的事件。5网络与信息安全应急处理服务资质等级网络与信息安全应急处理服务资质等级是衡量服务提供者应急处理服务资格和能力的尺度。 网络与信息安全应急处理服务资质等级分为三级，一级最高，三级最低。在本标准中，高等级资质的要求涵盖了低等级资质要求的所有方面。在本标准中，网络与信息安全应急处理服务资质评估要求包含分级资质要求和过程能力要求两部分。 分级资质要求包含基本要求、人员构成与素质要求、规模与资产要求、设备设施与环境要求、项目管理2YD厂r 1799-2008要求、应急响应时间要求、业绩要求、质量保证要求、应急服务能力等，具体要求见第6、7、8牵：过程 能力要求包含准备、检测、抑制、根除、恢复、总结等6个阶段，17个主要安全控制点，具体要求见第9 章。6三级网络与信息安全应急处理服务商资质要求61基本要求 从事应急处理服务的组织： a)应是一个独立的实体，具有独立法人资格，具有相关部门颁发的合法经营资格； b)应遵守国家现行法律、法规的规定； c)从事涉及国家秘密的应急服务提供者必须获得国家保密机关的资质认证； d)应制定符合国家保密部门要求的工作保密制度和建立相应的组织监管体系，在获取、保存、传播和销毁与网络安全事件处理服务有关信息等方面做出明确规定；e)应与应急服务人员签订保密协议，并有义务对应急服务人员进行保密教育；f) 应急服务提供者应具备安全保密的工作环境，主要体现在：指派专人负责将事件处理服务的资 料进行单独保管，采用安全的措施存放有关纸介文档和其他媒体介质资料，准备独立且不联网的计算机 以存放有保密要求的电子文档。6-2人员构成与素质要求 从事应急处理服务的组织： a)至少应有2名安全注册工程师，包括NCSE、CISSP、CISA等： b)直接从事安全服务的人员不低于10人，大学本科以上学历不少于80；c)至少有项目经理3名，其中2人具有安全应急处理服务项目的成功案例，且项目金额不低于lO万元人民币；d)应有一批相对稳定的技术队伍，至少有5人具有2年以上的安全应急处理服务项目经验。63规模与资产要求 从事应急处理服务的组织： a)公司人员应不少于50人； b)注册资金应不低于200万元人民币。64设备、设施与环境要求从事应急处理服务的组织： a)应有固定的办公场所； b)应有处理网络安全事件的工具或软件； c)应有进行服务所必需的实验环境。65项目管理要求 从事应急处理服务的组织： a)应有成文的项目管理制度，并符合相关项目管理标准； b)应建立健全监督检查机制。3YD厂r 1 799-200866应急响应时间要求 从事应急处理服务的组织：a)应提供7 X 24tJ,时应急处理热线、支持岗位及相应人员； b)应保证在设有办事机构的城市同城现场响应在4个小时之内，其他城市现场响应：E48个小时之内； c) 电子邮件支持应在6J,时内回复。67业绩要求 从事应急处理服务的组织： a)从业时间：应有1年以上相应从业时间；b)项目规模：至少有2个项目中涉及应急处理服务的金额超过lO万元人民币； c)项目数量：至少完成5个以上应急处理服务项目； d)完成结果评价：至少有80的项目成功率。68质量保证要求 从事应急处理服务的组织： a)应建立并落实质量管理体系；b)能够自行评估服务质量的状况，并能对服务质量进行持续改进。69应急服务能力 从事应急处理服务的组织： a)应有专门的技术人员关注国内外权威机构发布的安全公告及漏洞公告； b)了解信息安全技术、标准的动向，应有能力掌握信息安全的最新技术和标准； c)应有一定的研究能力，具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力； d)能够定期对负责网络安全事件处理服务的专职技术人员进行培训； e)具有对突发性安全事件进行分析和解决的能力；f)应具备快速的事件消除、事件恢复和事件追踪能力： g)应具有完善的应急处理工作流程和操作规范； h)应具有切实可行的应急服务方案。7二级网络与信息安全应急处理服务商资质要求71基本要求应达到61所有要求。72人员构成与素质要求 从事应急处理服务的组织； a)至少应有4名安全注册工程师，包括NCSE、CISSP、CISA等； b)至少有1名高级网络认证工程师； c)宜接从事安全服务的人员不低于30人，大学本科以上学历不少于80；d)至少有项目经理4人、高级项目经理2人(具有IPMP、PMP认证)，至少4人具有大型安全应急 处理服务项目的成功案例，项目金额不低于100万元人民币；4YD厂r 17992008e)应有一批相对稳定的技术队伍，至少10人具有3年以上的安全应急处理服务项目经验。73规模与资产要求 从事应急处理服务的组织： a)公司人员不少于100人； b)注册资金不低于500万元人民币；c)至少在5个省(直辖市、自治区)内设有固定的办事机构。74设备、设施与环境要求 从事应急处理服务的组织： a)具有实施应急处理服务所必需的研究和实验环境； b)应有处理网络安全事件的工具或软件。75项目管理要求 从事应急处理服务的组织： a)应具有成文的项目管理制度，并符合相关项目管理标准；b)应提供证据，证明项目管理制度能成功管理50万元以上人民币规模的安全工程项目；c)建立健全监督检查机制。76应急响应时间要求 从事应急处理服务的组织： a)应提供724+时应急处理热线、支持岗位及相应人员；b)应保证在设有办事机构的城市同城现场响应在4个小时之内，其他城市现场响应在48个小时之内；c)邮件支持鹿在38时内回复。77业绩要求 从事应急处理服务的组织： a)从业时间：应有3年以上相应从业时间；b)项目规模：至少有4个项目中涉及安全服务的金额超过20万元人民币，至少2个项目中涉及的安全服务金额超过50万元人民币： c)项Pl数量：至少完成15个以上应急处理服务项目： d)完成结果评价：至少有80的项目成功率。78质量保证要求从事应急处理服务的组织应通过GBT 19001认证。79应急服务能力要求 从事应急处理服务的组织： a)有专门的技术人员关注国内外权威机构发布的安全公告及漏洞公告； b)了解信息安全技术、标准的动向，有能力掌握信息安全的最新技术和标准； c)有专门的人员持续对最新的网络安全技术进行研究： d)能够定期对负责网络安全事件处理服务的专职技术人员进行培训； e)能够独立完成信息安全渗透测试；YD，r 17992008f)具有对突发性安全事件进行分析和解决的能力： g)应具备快速的事件消除、事件恢复和事件追踪能力； h)应具有完善的应急事件处理的工作流程和操作规范； i)应具有切实可行的应急服务方案。8一级网络与信息安全应急处理服务商资质要求81基本要求 应达到61所有要求。82人员构成与素质要求、 从事应急处理服务的组织： a)至少应有6名安全注册工程师，包括NCSE、CISSP、CISA等； b)至少有3名高级网络认证工程师； c)直接从事安全服务的人员不低于50人，大学本科咀上学历不少于80；d)至少有项目经理6人、高级项目经理3人(具有IPMP、PMP认证)，至少6人具有大型安全应急处理服务项目成功案例，项目金额不低于100万元人民币；e)应有一批相对稳定的技术队伍，有至少20人具有3年以上的安全应急处理服务项目经验。83规模与资产要求 从事应急处理服务的组织： a)注册资金在1000万元人民币以-： b)公司人员在300人以上；c)至少在15个省(直辖市、自治区)内殴有固定的办事机构。84设备、设施与环境要求 从事应急处理服务的组织； a)具有实施应急处理服务必需的研究和实验环境； b)应有处理网络安全事件的工具或软件。85项目管理要求 从事应急处理服务的组织： a)应具有成文的项目管理制度，并符合相关项目管理标准；b)应提供证据，证明项目管理制度能成功管理100万元人民币以上规模的安全工程项目；c)有项目风险预防或规避制度与措施；d)建立健全监督检查机制。86应急响应时间要求 从事应急处理服务的组织： a)应提供724小时应急处理热线、支持岗位及相应人员；b)应保证在没有办事机构的城市同城现场响应在4个小时之内，其他城市现场响应在48个小时之 内；c)邮件支持应在1小时内回复。6YD_丌1799-200887业绩要求 从事应急处理服务的组织： a)从业时间：应有5年以上相应从业时问；b)项目规模：完成的安全服务项目规模至少有5个项目涉及安全服务的金额超过100万元人民币； c)项目数量：至少完成30个以上应急处理服务项目； d)完成结果评价：至少有90的项目成功率。88质量保证要求 从事应急处理服务的组织： a)应通过GBfr 19001认证；b)应参考GBr 19716建立信息安全管理体系。89应急服务能力要求 从事应急处理服务的组织： a)有专门的技术人员关注国内外权威组织机构发布的安全公告及漏洞公告； b)有专门的人员持续对最新的网络安全技术进行研究； c)能够定期对负责网络安全事件处理服务的专职技术人员进行培训； d)能够定期组织或参与各种形式的网络与信息安全领域的学术交流活动； e)能够独立完成信息安全渗透测试：f)能够独立挖掘和发现系统安全漏洞；2)具有对发生的突发性安全事件进行分析和解决的能力； h)应具备快速的事件消除、事件设复、事件追踪和事件预防能力； i)应具有完善的应急事件处理的工作流程和操作规范：i)应具有切实可行的应急服务方案。9网络与信息安全应急处理服务过程能力要求91应急处理服务的原则1)保密性原则 应急服务提供者应对应急处理服务过程中获知的任何服务对象的系统信息承担保密责任和义务，不得泄露给第三方单位或个人，不得利用这些信息进行任俺侵害服务对象的行为。2)规范性原则应急服务提供者应要求服务人员依照规范的操作流程进行应急处理服务，所有服务人员必须对各自 的操作过程和结果进行详细记录，最终按照规范的报告格式提供完整的服务报告。3)最小影响原则应急处理服务工作应尽可能减少对原系统和网络正常运行的影响，尽量避免对原网络运行和业务正 常运转产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等)，如无法避免，则必须向服务 对象予以说明。92应急处理服务过程 网络与信息安全应急处理服务过程包括6个阶段，17个主要安全控制点。YD厂r 1 799-2008表1 网络与信息安全应急处理服务过程控制点列表阶段控制点数量 辩糕蠢o。簪、服务需求界定 服务合IN-戋协议签订准备阶段 4服务方案制定人员和工具准备 检测对象及范围确定检测方案确定检测阶段 3检测实旆抑制方法确定 抑制阶段 3抑制方法认可抑制实施 根除方法确定根除阶段 3根除方法认可 根除实施恢复方法确定 恢复阶段 2恢复系统总结 总结阶段 2报告控制点定义满足控制目标的要点以及支持控制点的最佳实践，其中某些内容可能不适用于所有情况， 有可能其他实现控制点的方法可能更为合适。93准备阶段931目标：在安全事件真正发生之前为处理事件做好准备工作932控制点：服务需求界定1)应急服务提供者应明确服务对象的应急需求；2)应急服务提供者宜了解服务对象的各项业务功能及各项业务功能之间的相关性，确定支持各种 业务功能的相应信息系统资源及其它资源，明确相关信息的保密性、完整性和可用性要求；3)应急服务提供者宜帮助服务对象建立系统快照；4)应急服务提供者宜对服务对象的信息系统进行评估，确定系统所执行关键功能，并确定执行这些功能所需的特定系统资源：5)应急服务提供者宜采用定量或定性的方法，对业务中断、系统宕机、网络瘫痪等突发安全事件造成的影响进行评估：6)应急服务提供者宜协助服务对象建立适当的应急响应策略，应急策略应提供在业务中断、系统 宕机、网络瘫痪等突发安全事件发生后，快速有效地恢复信息系统运行的方法；7)应急服务提供者宜为服务对象提供相关的培口llN务，以提高服务对象的安全意识，便于相关人 员明确自己的角色和责任，了解常见的安全事件和入侵行为，熟悉应急响应策略。933控制点：服务合同或协议签订1)应急服务提供者应与服务对象签订应急服务合同或协议：2)应急服务合同或协议应明确双方的职责和责任；3)应急服务合同或济议宣明确哪些类型安全事件的应急响应行为需要系统管理者批准，哪些需要事先批准；8YD厂r 1 799-20084)应急服务合同或协议应明确服务提供者的保密责任。934控制点：服务方案制定1)应急服务提供者应在了解服务对象应急需求的基础上制定服务方案。2)服务方案应根据业务影响分析的结果，明确应急响应的恢复目标，包括：一关键业务功能及恢复的优先顺序；一恢复时间目标和恢复点的范围。3)服务方案应带有完善的检测技术规范，检测技术规范至少包含检测目的、工具、步骤等内容。 常见的检测技术规范有，但不限于：一Windows系统检测技术规范；一UNIX系统检测技术规范； 一数据库系统检测技术规范； 一常用应用系统检测技术规范； 一常见网络安全事件检测技术规范。935控制点：人员和工具准备1)应急服务提供者应根据服务对象的需求准备处置网络安全事件的工具包，包括常用的系统命令、工具软件等；2)应急服务提供者的工具包应保存在不可更改的移动介质上，如一次性可写光盘；3)应急服务提供者的：【具包应定期更新，并有完善的版本控制；4)应急服务提供者应能随时调动一定数量的应急服务人员。94检测阶段941目标：对网络安全事件做出初步的动作和响应，根据获得的初步材料和分析结果，预估事件的范 围和影响程度，制定进一步的响应策略，并且保留相关证据942控制点：检测对象及范围确定1)应急服务提供者应对发生异常的系统进行初步分析，判断是否真正发生了安全事件；2)应急服务提供者应与服务对象共同确定检测对象及范围；3)检测对象及范围应得到服务对象的书面授权。943控制点：检测方案确定1)应急服务提供者应和服务对象共同确定检测方案；2)应急服务提供者制定的检测方案应明确应急服务提供者所使用的检测规范；3)应急服务提供者制定的检测方案应明确应急服务提供者的检测范围，其检测范围应仅限于服务 对象已授权的与安全事件相关的数据，对服务对象的机密性数据信息未经授权不得访问；4)应急服务提供者制定的检测方案应包含实施方案失败的应变和回退措施；5)应急服务提供者应与服务对象充分沟通，并预测应急处理方案可能造成的影响。944控制点：检测实施1)应急服务提供者应按照检测方案实施检测。2)检测宜包含但不限于以下几个方面： 一收集并记录系统信息，特别是在执行备份的过程中可能遗失或无法捕获的信息，如所有当前网9YD厂r 1 7992008络连接；所有当前进程；当前登陆的活动用户：所有打开了的文件，在断开网络连接时可能有些文件会被删除：其他所有容易丢失的数据，如内存和缓存中的数据。 一备份被入侵的系统，至少应备份己确认被攻击了的系统及系统上的用户数据。 一隔离被入侵的系统。把备份的文件传到与生产系统相隔离的测试系统，并在测试系统上恢复被入侵系统，或者断开被破坏的系统许且直接在这系统上进行分析。一查找其他系统上的入侵痕迹。其他系统包括同一口地址段或同一网段的系统、处于同一域的其 他系统、具有相同网络服务的系统、具有同一操作系统的系统等。一检查防火墙、s和路由器等设备的日志，分析哪些臼志信息源于以前从未注意到的系统连接或事件，并且确定哪些系统已经被攻击。一确定攻击者的入侵路径和方法。分析系统的日志或通过使用工具，判断攻击者的入侵路径和方法。一确定入侵者进入系统后的行为。分析各种日志文件或借用一些检测工具和分析工具，确定入侵 者如何实施攻击并获得系统的访问权限。3)应急服务提供者的检测工作应在服务对象的监督与配合下完成。4)应急服务提供者应配合服务对象，将所检测到的安全事件向有关部门和人员通报或报告。95抑制阶段951目标：限制攻击的范围，抑制潜在的或进一步的攻击和破坏952控制点：抑制方法确定1)应急服务提供者应在检测分析的基础上确定与安全事件相应的抑制方法。2)在确定抑制方法时，需要考虑： 一全面评估入侵范围，入侵带来的影响和损失； 一通过分析得到的其它结论，例如入侵者的来源： 一服务对象的业务和重点决策过程； 一服务对象的业务连续性。953控制点：抑制方法认可I)应急服务提供者应告知服务对象所面临的首要问题；2)应急服务提供者所确定的抑制方法和相应的措施应得到服务对象的认可；3)在采取抑制措施之前，应急服务提供者应与服务对象充分沟通，告知可能存在的风险，制定应 变和回退措施，井与其达成协议。954控制点：抑制实施1)应急服务提供者应严格按照相关约定实施抑制，不得随意更改抑制措施和范围，如有必要更改，须获得服务对象的授权。2)抑制措施宜包含但不限二F以下几个方面： 一监视系统和网络活动； 一提高系统或网络行为的监控级别； 一修改防火墙、路由器等设备的过滤规则； 一尽可能停用系统服务；IOYD，T 1 799-2008一停止文件共享； 一改变口令； 一停用或删除被攻破的登录账号； 一将被攻陷系统从网络断开； 一暂时关闭被攻陷系统： 一设置陷阱，如蜜罐系统： 一反击攻击者的系统。3)应急服务提供者应使用可信的工具进行安全事件的抑制处理，不得使用受害系统已有的不可信文件。96根除阶段961目标：在事件被抑制之后，通过对有关恶意代码或行为的分析，找出导致安全事件发生的根源，并予以彻底消除962控制点：根除方法确定1)应急服务提供者应协助服务对象检查所有受影响的系统，在准确判断安全事件原因的基础上， 提出根除的方案建议；2)由于入侵者一般都会安装后门或使用其他的方法以便于在将来有机会侵入该被攻陷的系统，因 此在确定根除方法时，需要了解攻击者是如何入侵的，以及与这种入侵方法相同和类似的各种方法。963控制点：根除方法认可1)应急服务提供者应明确告知服务对象所采取的根除措施可能带来的风险，制定应变和回退措施， 并获得服务对象的书面授权：2)应急服务提供者应协助服务对象进行根除方法的具体实施。964控制点：根除实施1)应急服务提供者应使用可信的工具进行安全事件的根除处理，不得使用受害系统已有的不可信文件。2)根除措施宜包含但不限于以下几个方面： 一改变全部可能受到攻击的系统的口令； 一去除所有的入侵通路和入侵者做的修改：一修补系统和网络漏洞； 一增强防护功能，复查所有防护措施(如防火墙)的配置，并依照不同的入侵行为进行调整，对未受防护或者防护不够的系统增加新的防护措施；一提高检测能力，及时更新诸如IDS和其他入侵报告工其等的检测策略，以保证将来对类似的入 侵进行检测；一重新安装系统，并对系统进行调整，包括打补丁、修改系统错误等，以保证系统不会出现新的漏洞。97恢复阶段971目标：恢复安全事件所涉及到的系统，并还原到正常状态。恢复工作应十分小心，避免出现误操作导致数据的丢失YD，T 1 799-2008972控制点：恢复方法确定 I)应急服务提供者应告知服务对象一个或多个能从安全事件中恢复系统的方法，以及每种方法可能存在的风险。2)应急服务提供者应与服务对象共同制定系统恢复的方案，根据抑制和根除的情况，协助服务对 象选择合理的恢复方法。恢复方案涉及到以下方面：一如何获得访闻受损设施或地理区域的授权； 一如何通知相关系统的内部和外部业务伙伴； 一如何获得安装所需的硬件部件； 一如何获得装载备份介质； 一如何恢复关键操作系统和应用软件： 一如何恢复系统数据； 一如何成功运行备用设备。3)如果涉及到涉密数据，确定恢复方法时应遵守相关的保密要求。9，73控制点：恢复系统1)应急服务提供者应按照系统的初始化安全策略恢复系统。2)恢复系统时，应根据系统中各子系统的重要性，确定系统恢复的顺序。3)系统恢复过程宜包含但不限于： 一利用正确的备份恢复用户数据和配置信息； 一开启系统和应用服务，将受到入侵或者怀疑存在漏洞而关闭的服务，修改后重新开放； 一将恢复后的系统连接到网络。4)对于不能彻底恢复配置和清除系统上的恶意文件，或不能肯定系统经过根除处理后是否已恢复正常时，应选择彻底重建系统。5)应急服务提供者应协助服务对象验证恢复后的系统是否运行正常。6)应急服务提供者宜帮助服务对象对重建后的系统进行安全加固。7)应急服务提供者宜帮助服务对象为重建后的系统建立系统快照。98总结阶段981目标：回顾安全事件处理的全过程，整理与事件相关的各种信息，进行总结，并尽可能地把所有情况记录到文档中982控制点：总结1)应急服务提供者应及时检查安全事件处理记录是否齐全，是否具备可追溯性，并对事件处理过程进行总结和分析。2)应急处理总结的具体：作包括但不限于：一事件发生原因分析； 一事件现象总结： 一系统的损害程度评估； 一事件损失估计； 一形成总结报告：YD，l 17992008一相关工具和文档(如记录、方案、报告等)归档。983控制点：报告1)应急服务提供者应向服务对象提供完备的网络安全事件处理报告；2)应急服务提供者应向服务对象提供网络安全方面的建议和意见，必要时指导和协助服务对象实施；3)应急服务提供者宜告知服务对象可能涉及法律诉讼方面的要求或影响。10评估方法101文档审核 文档审核是对申请评估的应急服务提供者(以下简称评估申请者)提供的申请材料进行审查。 评估申请者应先确定需要申请的资质等级，提交符合相应等级要求的材料(具体要求见6、7、8章)。提交的证明材料至少应包含：1)独立法人资格证明；2)从事安全服务的相关资质证明；+3)工作保密制度及相应组织监管体系业已建立的证明材料；4)与应急处理服务人员签订的保密协议复印件；5)人员构成与素质证明材料；6)规模与资产证明材料：7)公司组织结构证明材料；8)具备固定办公场所的证明材料；9)项目管理制度文档；10)应急响应时间书面承诺；11)项目案例及业绩证明材料；12)质量管理体系文件；13)应急处理能力证明材料。 评审机构审查评估申请者提交的申请材料，并判断所提交的证明材料是否满足相应资质等级的要求，如果满足则文档审核为通过，否则为不通过。102现场审核 评审机构在文档审核通过后，将对评估申请者进行现场审核，见证评估申请者的应急服务过程，验证其应急处理能力。 现场审核主要以第9章规定的应急处理服务过程各个阶段的关键控制点为依据，对服务过程进行评估。现场评审结论分为通过、基本通过但需要整改和不通过三种。 现场审核结果满足所有必备要求和可选要求的，其评审结论为通过；只满足必备要求，部分可选要求不满足，其评审结论为基本通过但需要整改；不完全满足必备要求，其评审结论为不通过。附录A列出了应急处理服务过程各个阶段的必备要求与可选要求。YD厂r 1 799-2008103评估报告 评审机构根据文档审核和现场审核的结果出具评估报告。若文档审核或现场审核的结论为不通过，则评估结论为不合格。对于评估结论为不合格的组织，评审机构应提出整改建议，评估申请者需要在其 能力达到相关资质要求后重新申请评估。14YD，r 1 7992008附录A (规范性附录) 网络与信息安全应急处理服务过程各个阶段要求A1网络与信息安全应急处理服务过程各个阶段要求分类表A1列出了网络与信息安全应急处理服务过程各个阶段要求是必备要求，还是可选要求。是必备要求，则在必备栏目打“”，是可选要求，则在可选栏目打“”。表A1网络与信息安全应急处理服务过程各个阶段要求列表要求必备可选 准备阶段应急服务提供者应明确服务对象的应急需求应急服务提供者宜了解服务对象的各项业务功能及各项业务功能之间的相关性，应确定 支持各种业务功能的相应信息系统资源及其它资源，明确相关信息的保密性、完整性和 可用性要求应急服务提供者宜帮助服务对象建立系统快照应急服务提供者宜对服务对象的信息系统进行评估，确定系统所执行关键功能，并确定服务 一执行这些功能所需的特定系统资源 需求应急服务提供者宜采用定量或定性的方法，对业务中断、系统宕机、网络瘫痪等突发网界定 络安全事件造成的影响进行评估应急服务提供者宜协助服务对象建立适当的应急响应策略。应急镱略应提供在业务中 断、系统宕机、网络瘫痪等突发信息安全事件发生后，快速有效地恢复信息系统运行的 方法应急服务提供者宜为服务对象提供相关的培训服务，以提高服务对象的安全意识，便于相关人员明确自己的角色和责任，了解常见的安全事件和入侵行为熟悉应急响应策略服务 应急服务提供者应与服务对象签订应急服务合同或协议 合同 应急服务合同或协议应明确双方的职责和责任 一 或协 应急服务合同或协议宜明确哪些类型安全事件的应急响应行为需要系统管理者批准，哪议签 些需要事先批准订应急服务合同或协议应明确服务提供者的保密责任 应急服务提供者应在服务对象应急需求基础上制定服务方案 服务方案应根据业务影响分析的结果，明确应急响应的恢复目标，包括： 一关键业务功能及恢复的优先顺序一恢复时间目标和恢复点的范围服务 服务方案应带有完善的检测技术规范，检测技术规范至少检测目的、工具、步骤等内容。 方案 常见的检测技术规范有，但不限于：制定 一Windows系统检测技术规范一UNIX系统检测技术规范一数据库系统检测技术规范 一常用应用系统检测技术规范 一常见网络安全事件检测技术规范YD厂r 1 799-2008表A1(续)要求必备可选 应急服务提供者应根据服务对象的需求准备处理网络安全事件的】：具包，包括常用的系人员 统命令、：【具软件等和工应急服务提供者的工具包应保存在不可更改的移动介质上。如次性可写光盘一具准备应急服务提供者的工具包应定期更新，并有完善的版本控制0应急服务提供者应能随时调动一定数量的应急服务人员 检测阶段检测应急服务提供者应对发生异常的系统进行初步分析，判断是否真正发生r安全事件一对象及范 应急服务提供者应与服务对象共同初步确定检测对象及范围-q圈确定检测对象及范围应得到服务对象的书面授权应急服务提供者应和服务对象共同确定检测方案-,应急服务提供者制定的检测方案应明确应急服务提供者所使用的检测规范 检测 应急服务提供者制定的检测方案应明确应急服务提供者的检测范围，其检测范围应仅限方案 于服务对象已授权的与安全事件相关的数据，对服务对象的机密性数据信息未经授权不确定 得访闻应急服务提供者制定的检测方案应包含实施方案失败的应变和回退措施 应急服务提供者应与服务对象充分沟通，并预测应急处理方案可能造成的影响 应急服务提供者应按照检测方案实施检测 检测宜包含但不限于以下几个方面： 一收集并记录系统信息，特别是在执行各份的过程中可能遗失或无法捕获的信息。 如所有当前网络连接；所有当前进程：当前登陆的活动用户；所有打开了的文件，在断 开网络连接时可能有些文件会被删除；其他所有容易丢失的数据，如内存和缓存中的数据 一备份被入侵的系统，至少应备份已确认被攻击了的系统及系统上的用户数据 一隔离被入侵的系统。把备份的文件传到与生产系统相隔离的测试系统，并在测试系统上恢复被入侵系统，或者断开被破坏的系统并且直接在这系统上进行分析检测 一查找其他系统上的入侵痕迹。其他系统包括同一IP地址段或同一网段的系统、处实施于同一域的其他系统、具有相同两络服务的系统、具有同一操作系统的系统等一检查防火墙、IDs和路由器等设各的日志，分析哪些日志信息源于以前从未注意到 的系统连接或事件，并且确定哪些系统已经被攻击 一确定攻击者的入侵路径和方法。分析系统的曰志或通过使用工具，判断攻击者的 入侵路径和方法 一确定入侵者进入系统后的行为。分析各种日志文件或借用一些检测工具和分析工 具，确定入侵者如何实施攻击并获得系统的访问权限应急服务提供者的检测工作应在服务对象的监督与配合下完成 应急服务提供者应配合服务对象将所检测到的安全事件向有关部门和人员通报或报告16YDT 1 799-2008 表A1(续)要求必各可选抑制阶段应急服务提供者应在检测分析的基础上确定与安全事件相应的抑制方法 在确定抑制方法时，需要考虑：抑制一全面评估入侵范围，入侵带来的影响和损失方法一通过分析得到的其它结论，例如入侵者的来源确定一服务对象的业务和重点决策过程一服务对象的业务连续性应急服务提供者应告知服务对象所面临的首要问题 抑制应急服务提供者所确定的抑制方法和相应的措施应得到服务对象的认可方法在采取抑制措旌之前，应急服务提供者应与服务对象充分沟通，告知可能存在的风险认可-1制定应变和回退措施，并与其达成协议应急服务提供者应严格按照相关约定实施抑制，不得随意更改抑制措施和范围，如有必一要更改，须获得服务对象的授权抑制措施宜包含但不限于以下几个方面： 一监视系统和网络活动 一提高系统或网络行为的监控级别 一修改防火墙和路由器等设