腾讯云应急响应实施流程

准备阶段
准备阶段是安全事件响应的第一个阶段,即在事件真正发生前为事件响应做好准备。这一阶段极为重要,因为事件发生时可能需要在短时间内处理较多的事物,如果没有足够的准备,那么将无法正确的完成响应工作。
应急资源准备是指准备信息安全应急响应所需的各项资源,保证在发生紧急安全事件时这些资源能够及时投入使用。应急资源准备工作对信息安全事件发生时的应急响应工作至关重要,事件分析确认、应急抑制、应急根除、应急恢复、事后分析等各项响应工作都需要使用事先准备的应急资源,包括人员、工具、仪器、设备、软件和资料等。
参与人员:客户方负责人、腾讯云服务人员
阶段输出:《客户方应急小组人员联系表》《网络拓扑图》《信息系统资产清单》等

检测阶段
此阶段为应急响应启动第一阶段,是针对已发生的安全事件进行相应分析的阶段,主要的工作内容包含事件分析、判断事件定级,确定应急处理方式等工作。
参与人员:客户方负责人、腾讯云服务人员。

抑制阶段
此阶段为应急响应实际处置威胁的开始阶段,即安全事件处理阶段,是应急响应工作中的重要环节,在信息安全事件发生的第一时间内对故障系统或区域实施有效的隔离和处理,采用针对安全措施降低事件损失、避免安全事件的扩散和安全事件对受害系统的持续性破坏。可能采用的方法包括物理层面抑制、网络层面抑制、腾讯云服务器层面抑制以及应用层面抑制。
参与人员:客户方负责人、腾讯云服务人员。

根除阶段此
阶段是在信息安全事件被抑制之后,进一步分析信息安全事件,找出事件根源并将其彻底清除。此阶段区别于抑制阶段,是从根源上对系统脆弱性进行修复。应急根除分为物理根除、单机根除和网络根除三个层次。为了保证彻底从受保护网络系统中清除安全威胁,针对不同类型的安全事件,应综合采取不同层次的根除措施。
参与人员:客户方负责人、腾讯云服务人员。

恢复阶段
此阶段是完成安全事件的根除工作后,需要完全恢复系统的运行过程,把受影响系统、设备、软件和应用服务还原到它们正常的工作状态的阶段。此阶段工作以客户方相关工作为主,腾讯云服务人员进行辅助恢复工作。
参与人员:客户方负责人、腾讯云服务人员。

跟进阶段
此阶段是针对当次安全事件的处置全过程进行回顾、分析以及总结的阶段。回顾并整理发生信息安全事件的各种相关信息,尽可能将所有情况记录到文档中,研究事件发生的全过程,分析导致事件发生的根本原因,协助客户方评估系统遭受的损失,并根据分析和评估结果对现有的工作方案作出调整。
参与人员:客户方负责人、腾讯云服务人员。
阶段输出:《XXX安全事件应急响应报告》

标签