事件发生的地点和时间、灾害类型、灾害的规模、可能的引发因素、发展趋势和拟采取或已经采取的措施等。Р第十九条信息收集Р事件发生单位和现场应急处理工作组应按照操作手册的要求最大可能收集事件相关信息,判别事件类别,确定事件来源,保护证据,以便缩短应急响应时间。Р第二十条应急处理Р(一)一般应急处理措施Р1、事件发生单位和现场应急处理工作组应初步检查威胁造成的结果,评估事件带来的影响和损害:如检查系统、服务、数据的完整性、保密性或可用性;检查攻击者是否侵入了系统;以后是否能再次随意进入;损失的程度;确定暴露出的主要危险等。Р2、事件发生单位和现场应急处理工作组应抑制事件的影响进一步扩大,限制潜在的损失与破坏。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统的物理链接,修改防火墙和路由器的过滤规则;封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路;提高系统或网络行为的监控级别;设置陷阱;启用紧急事件下的接管系统;实行特殊“防卫状态”安全警戒;反击攻击者的系统等。Р3、在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。与此同时,执法部门和其他相关机构对攻击源进行准确定位并采取合适的措施将其中断。清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到正常的任务状态。恢复工作应十分小心,避免出现操作失误而导致数据丢失。另外,恢复工作中如果涉及到机密数据,需要额外按照机密系统的恢复要求。如果攻击者获得了超级用户的访问权,一次完整的恢复应强制性地修改所有的口令Р(二)在发生影响人身安全的自然灾害、安全事件等情况下的紧急处置措施Р1、公司收到自然灾害即将发生的通知后,应第一时间按照灾害发生情况准备应急预案。Р2、信息管理部协助公司其他人员进行重要电子资料的备份工作。对于无法携带的设备,要切断设备电源。
全文预览
