《信息安全应急响应服务方案模板之欧阳治创编.docx》由会员分享,可在线阅读,更多相关《信息安全应急响应服务方案模板之欧阳治创编.docx(29页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全应急响应时间 2021.03. 10创作:欧阳治服务方案XXXX科技有限公司2018年5月目录第一部分概述31.1.信息安全应急响应312应急安全响应事件313服务原则3第二部分应急响应组织保障42.1. 角色的划分422角色的职责42.3. 组织的外部协作42.4. 保障措施5第三部分应急响应实施流程53.1. 准备阶段(Preparation) 7负责人准备内容7计划;上批准并监督应急响应计划的执行;,指导应急响应实施小组的应急处置工作;,启动定期评审、修订应急响应计划以及负责 组织的外部协作。3.1.1 技术人员准备内容,服务需求界定首先要对服务对象的整个信息系统进行评 估,明确
2、服务对象的应急需求,具体应包含 以下内容:1)应急服务提供者应了解应急服务对象的各 项业务功能及其之间的相关性,确定支持 各种业务功能的相关信息系统资源及其他 资源,明确相关信息的保密性、完整性、 和可用性要求;2)对服务对象的信息系统,包括应用程序, 服务器,网络及任何管理和维护这些系统 的流程进行评估,确定系统所执行的关键 功能,并确定执行这些关键功能所需要的 特定系统资源;3)应急服务提供者应采用定性或定量的方 法,对业务中断、系统宕机、网络瘫痪等 突发安全事件造成的影响进行评估;4)应急服务提供者应协助服务对象建立适当 的应急响应策略,应提供在业务中断、系 统宕机、网络瘫痪等突发安全事
3、件发生后 快速有效的恢复信息系统运行的方法;5)应急服务提供者宜为服务对象提供相关的 培训服务,以提高服务对象的安全意识, 便于相关责任人明确自己的角色和责任, 了解常见的安全事件和入侵行为,熟悉应 急响应策略。,主机和网络设备安全初始化快照和备份在系统安全策略配置完成后,要对系统做一 次初始安全状态快照。这样,如果以后在出 现事故后对该服务器做安全检测时,通过将 初始化快照做的结果与检测阶段做的快照进 行比较,就能够发现系统的改动或异常。1)对主机系统做一个标准的安全初始化的状态快照,包括的主要内容有:,日志及审核策略快照等。/用户账户快照;/进程快照;/服务快照;/自启动快照/关键文件签名
4、快照;,开放端口快照;/系统资源利用率的快照;/注册表快照;/计划任务快照等等;2)对网络设备做一个标准的安全初始化的状 态快照,包括的主要内容有:/路由器快照;/防火墙快照;/用户快照;/系统资源利用率等快照。3)信息系统的业务数据及办公数据均十分重 要,因此需要进行数据存储及备份。目 前,存储备份结构主要有DAS、SAN和NAS,以及通过磁带或光盘对数据进行备 份。各服务对象可以根据自身的特点选择 不同的存储产品构建自己的数据存储备份 系统。,工具包的准备1)应急服务提供者应根据应急服务对象的需 求准备处置网络安全事件的工具包,包括 常用的系统基本命令、其他软件工具等;2)应急服务提供者的
5、工具包中的工具最好是 采用绿色免安装的,应保存在安全的移动 介质上,如一次性可写光盘、加密的U盘 等;3)应急服务提供者的工具包应定期更新、补 充;,必要技术的准备上述是针对应急响应的处理涉及到的安全技 术工具涵盖应急响应的事件取样、事件分 析、事件隔离、系统恢复和攻击追踪等各个 方面,构成了网络安全应急响应的技术基础。所以我们的应急响应服务实施成员还应 该掌握以下必要的技术手段和规范,具体包 括以下内容:1)系统检测技术,包括以下检测技术规范:/ Windows系统检测技术规范;/ Unix系统检测技术规范;/网络安全事故检测技术规范;/数据库系统检测技术规范;/常见的应用系统检测技术规范;
6、2)攻击检测技术,包括以下技术:/异常行为分析技术;/入侵检测技术;/安全风险评估技术;3)攻击追踪技术;4)现场取样技术;5)系统安全加固技术;6)攻击隔离技术;7)资产备份恢复技术;3.1.2 市场人员准备内容,和服务对象建立长期友好的业务关系;,和服务对象签订应急服务合同或协议;,建立预防和预警机制,及时上报。1)预防和预警机制/市场人员要严格按照应急响应负责人的 安排和建议,及时提醒服务对象提高防 范网络攻击、病毒入侵、网络窃密等的 能力,防止有害信息传播,保障服务对 象网络的安全畅通。,将协会网络信息中心会发布的病毒预防 警报以及更新的防护策略及时有效地告 知服务对象,做好防护策略的
7、更新。2)信息系统检测和报告/按照“早发现、早报告、早处置”的原 则,市场人员要加强对服务对象信息系 统的安全检测结果的通告,收集可能引 发信息安全事件的有关信息、进行分析 判断。/如服务对象发现有异常情况或有信息安 全事件发生时,要立即向协会网络信息 中心应急响应负责人报告,并填写事件 初步报告表。/要求服务对象持续监测信息系统状况, 密切关注应急响应负责人提出初步行动 对策和行动方案,听从指令和安排,及 时减小损失。3.2. 检测阶段(Examination),目标:接到事故报警后在服务对象的配合下 对异常的系统进行初步分析,确认其是 否真正发生了信息安全事件,制定进一 步的响应策略,并保
8、留证据。,角色:应急服务实施小组成员、应急响应日 常运行小组;,内容: 检测范围及对象的确定;检测方案的确定;检测方案的实施;(4)检测结果的处理。,输出:检测结果记录、实施小组人员的确定应急响应负责人根据事件初步报告表的内 容,初步分析事故的类型、严重程度等,以此来确 定临时应急响应小组的实施人员的名单。3.2.1 检测范围及对象的确定上应急服务提供者应对发生异常的系统进行初 步分析,判断是否正真发生了安全事件;,应急服务提供者和服务对象共同确定检测对 象及范围;,检测对象及范围应得到服务对象的书面授 权。323检测方案的确定,应急服务提供者和服务对象共同确定检测方 案;工应急服务提供者制定
9、的检测方案应明确应急 服务提供者所使用的检测规范;工应急服务提供者制定的检测方案应明确应急 服务提供者的检测范围,其检测范围应仅限 于服务对象已授权的与安全事件相关的数 据,对服务对象的机密性数据信息未经授权 的不得访问;,应急服务提供者制定的检测方案应包含实施 方案失败的应变和回退措施;,应急服务提供者和服务对象充分沟通,并预 测应急处理方案可能造成的影响。检测方案的实施,检测搜集系统信息/记录时使用目录及文件名约定:在受入侵的计算机的D盘根目录下(D:)(如果无D盘则在其他盘根目录 下)建立一个EEAN目录,目录中 包含以下子目录: artifact:用于存放可疑文件样本cmdoutput
10、 :用于记录命令行输出结果 screenshot:用于存放屏幕拷贝文件log:用于存放各类日志文件文件格式:命令行输出文件缺省仅使用TXT格 式。日志文件及其他格式尽量使用TXT、 CSV和其他不需要特殊工具就可以阅 读的格式。屏幕拷贝文件应该使用BMP格式。可疑文件样本最好加密压缩为zip格 式,默认密码为:eean搜集操作系统基本信息1 .右键点击“我的电脑属性”将“常 规”、“自动更新”、“远程” 3个选 卡各制作一个窗口拷贝(使用 Alt+PrtScr )。 并保存到EEANscreenshot目录下,文件名称应 该使用:系统常规-01、自动更新-01、远 程-01等形式命名。2 .进
11、入CMD状态,开始 运行 cmd”,进入D盘根目录下的EEAN目 录,执行一下命令:1.1.2 技术人员准备内容7市场人员准备内容93.2. 检测阶段(Examination) 9实施小组人员的确定9322检测范围及对象的确定10323检测方案的确定10324检测方案的实施10325检测结果的处理123.3. 抑制阶段(Suppresses) 12抑制方案的确定13332抑制方案的认可13抑制方案的实施13334抑制效果的判定133.3. 根除阶段(Eradicates) 14341根除方案的确定143.4.2 根除方案的认可14343根除方案的实施143.4.4 根除效果的判定143.5.
12、恢复阶段(Restoration) 15351恢复方案的确定15netstat -nao netstat.txt (网络连 接信息)tasklist tasklist.txt (当前进程 信息)ipconfig /all ipconfig.txt (IP属性)ver ver.txt (操作系统属性)日志信息目标:导出所有日志信息;说明:进入管理工具,将“管理工具 事件察看器”中,导出所有事 件,分别使用一下文件名保存: application.txt 、 security.txt 、 system.txto帐号信息目标:导出所有帐号信息;说明: 使用 net user, net group,
13、net local group命令检查帐号和组的情况, 使用计算机管理查看本地用户和组,将导出的信息保存在D:EEANuser 中,主机检测/日志检查目标:1、从日志信息中检测出未授权访 问或非法登录事件;2、从IIS/FTP日志中检测非正 常访问行为或攻击行为;说明:1、检查事件查看器中的系统和安 全日志信息,比如:安全日志 中异常登录时间,未知用户名 登录;2、检查 %WinDir%System32LogFiles 目录下的WWW日志和FTP日 志,比如 WWW 日志中的对cmd.asp 文件的成功访问。/帐号检查目标:检查帐号信息中非正常帐号,隐藏帐号;说明:通过询问管理员或负责人,或者
14、 和系统的所有的正常帐号列表做 对比,判断是否有可疑的陌生的 账号出现,利用这些获得的信息 和前面准备阶段做的帐号快照工 作进行对比。进程检查目标:检查是否存在未被授权的应用程 序或服务说明:使用任务管理器检查或使用进程 查看工具进行查看,利用这些获 得的信息和前面准备阶段做的进 程快照工作进行对比,判断是否 有可疑的进程。服务检查目标:检查系统是否存在非法服务说明:使用“管理工具”中的“服务” 查看非法服务或使用冰刃、 Wsystem察看当前服务情况,利用这些获得的信息和准备阶段做的 服务快照工作进行对比。自启动检查目标:检查未授权自启动程序说明:检查系统各用户“启动”目录下 是否存在未授权
15、程序。网络连接检查目标:检查非正常网络连接和开放的端口说明:关闭所有的网络通讯程序,以免 出现干扰,然后使用ipconfig, nets tat - an或其它第三方工具查 看所有连接,检查服务端口开放 情况和异常数据的信息。共享检查目标:检查非法共享目录。说明:使用net share或其他第三方的工 具检测当前开放的共享,使用$是 隐藏目录共享,通过询问负责人 看是否有可疑的共享文件。/文件检查目标:检查病毒、木马、蠕虫、后门等 可疑文件。说明:使用防病毒软件检查文件,扫描 硬盘上所有的文件,将可疑文件 进行提取加密压缩成.zip,保存到 EEANartifact目录下的相应子目 录中。/查
16、找其他入侵痕迹目标:查找其它系统上的入侵痕迹,寻 找攻击途径说明:其它系统包括:同一 IP地址段或 同一网段的系统、同一域的其他 系统、拥有相同操作系统的其他 系统。检测结果的处理,确定安全事件的类型经过检测,判断出信息安全事件类型。信息安全事件可以有以下7个基本分类:有害程序事件:蓄意制造、传播有害程 序,或是因受到有害程序的影响而导致的 信息安全事件。网络攻击事件:通过网络或其他技术手 段,利用信息系统的配置缺陷、协议缺 陷、程序缺陷或使用暴力攻击对信息系统 实施攻击,并造成信息系统异常或对信息 系统当前运行造成潜在危害的信息安全事 件。信息破坏事件:通过网络或其他技术手 段,造成信息系统
17、中的信息被篡改、假 冒、泄漏、窃取等而导致的信息安全事 件。信息内容安全事件:利用信息网络发布、 传播危害国家安全、社会稳定和公共利益 的内容的安全事件。设备设施故障:由于信息系统自身故障或 外围保障设施故障而导致的信息安全事 件,以及人为的使用非技术手段有意或无 意的造成信息系统破坏而导致的信息安全 事件。,灾害性事件:由于不可抗力对信息系统造 成物理破坏而导致的信息安全事件。/其他信息安全事件:不能归为以上6个基 本分类的信息安全事件。,评估突发信息安全事件的影响采用定量和/或定性的方法,对业务中断、系 统宕机、网络瘫痪数据丢失等突发信息安全 事件造成的影响进行评估:上确定是否存在针对该事
18、件的特定系统预案, 如有,则启动相关预案;如果事件涉及多个 专项预案,应同时启动所有涉及的专项预 案;,如果没有针对该事件的专项预案,应根据事 件具体情况,采取抑制措施,抑制事件进一 步扩散。3.3.抑制阶段(Suppresses),目标:及时采取行动限制事件扩散和影响的 范围,限制潜在的损失与破坏,同时要 确保封锁方法对涉及相关业务影响最 小。,角色:应急服务实施小组、应急响应日常运 行小组。,内容:抑制方案的确定;抑制方案的认可;抑制方案的实施;(4)抑制效果的判定;上输出:抑制处理记录表、抑制方案的确定,应急服务提供者应在检测分析的基础上,初 步确定与安全事件相对应的抑制方法,如有 多项
19、,可由服务对象考虑后自己选择;,在确定抑制方法时应该考虑:/全面评估入侵范围、入侵带来的影响和损 失; 通过分析得到的其他结论,如入侵者的来源;/服务对象的业务和重点决策过程;,服务对象的业务连续性。332抑制方案的认可,应急服务提供者应告知服务对象所面临的首 要问题;,应急服务提供者所确定的抑制方法和相应的 措施应得到服务对象的认可;,在采取抑制措施之前,应急服务提供者要和 服务对象充分沟通,告知可能存在的风险, 制定应变和回退措施,并与其达成协议。333抑制方案的实施,应急服务提供者要严格按照相关约定实施抑 制,不得随意更改抑制的措施的范围,如有 必要更改,需获得服务对象的授权;上抑制措施
20、易包含但不仅限于以下几方面:,确定受害系统的范围后,将被害系统和正 常的系统进行隔离,断开或暂时关闭被攻 击的系统,使攻击先彻底停止;/持续监视系统和网络活动,记录异常流量的远程IP、域名、端口;/停止或删除系统非正常帐号,隐藏帐号, 更改口令,加强口令的安全级别;/挂起或结束未被授权的、可疑的应用程序 和进程;/关闭存在的非法服务和不必要的服务;/删除系统各用户“启动”目录下未授权自 启动程序;,使用net share或其他第三方的工具停止所 有开放的共享;/使用反病毒软件或其他安全工具检查文 件,扫描硬盘上所有的文件,隔离或清除 病毒、木马、蠕虫、后门等可疑文件;,设置陷阱,如蜜罐系统;或
21、者反击攻击者 的系统。334抑制效果的判定4防止事件继续扩散,限制了潜在的损失和破坏,使目前损失最小化;对其它相关业务的影响是否控制在最小。恢复信息系统153.6.总结阶段(Summary) 15事故总结163.6.1 事故报告16第一部分概述L1.信息安全应急响应应急响应服务是为满足企业发生安全事件、需要紧 急解决问题的情况下提供的一项安全服务。当企业 发生黑客入侵、系统崩溃或其它影响业务正常运行 的安全事件时,安全专家会在第一时间赶到事件现 场,使企业的网络信息系统在最短时间内恢复正常 工作,帮助企业查找入侵来源,给出入侵事故过程 报告,同时给出解决方案与防范报告,为企业挽回 或减少经济损
22、失。提供入侵调查,拒绝服务攻击响 应,主机、网络、业务异常紧急响应和处理。12应急安全响应事件 计算机病毒事件; 蠕虫病毒事件; 特洛伊木马事件;根除阶段(Eradicates)*目标:对事件进行抑制之后,通过对有关事 件或行为的分析结果,找出事件根源, 明确相应的补救措施并彻底清除。,角色:应急服务实施小组、应急响应日常运 行小组。,内容:根除方案的确定;根除方案的认可;根除方案的实施;(4)根除效果的判定;上输出:根除处理记录表、根除方案的确定,应急服务提供者应协助服务对象检查所有受 影响的系统,在准确判断安全事件原因的基 础上,提出方案建议;上由于入侵者一般会安装后门或使用其他的方 法以
23、便于在将来有机会侵入该被攻陷的系 统,因此在确定根除方法时,需要了解攻击者时如何入侵的,以及与这种入侵方法相同 和相似的各种方法。3.4.1 根除方案的认可,应急服务提供者应明确告知服务对象所采取 的根除措施可能带来的风险,制定应变和回 退措施,并得到服务对象的书面授权;上应急服务提供者应协助服务对象进行根除方 法的实施。3.4.2 根除方案的实施上应急服务提供者应使用可信的工具进行安全 事件的根除处理,不得使用受害系统已有的 不可信的文件和工具;,根除措施易包含但不仅限与以下几个方面:/改变全部可能受到攻击的系统帐号和口 令,并增加口令的安全级别;/修补系统、网络和其他软件漏洞;/增强防护功
24、能:复查所有防护措施的配 置,安装最新的防火墙和杀毒软件,并及 时更新,对未受保护或者保护不够的系统增加新的防护措施;/提高其监视保护级别,以保证将来对类似 的入侵进行检测;除效果的判定,找出造成事件的原因,备份与造成事件的相 关文件和数据;,对系统中的文件进行清理,根除;,使系统能够正常工作。3.5. 恢复阶段(Restoration)人目标:恢复安全事件所涉及到得系统,并还 原到正常状态,使业务能够正常进行, 恢复工作应避免出现误操作导致数据的 丢失。,角色:应急服务实施小组、应急响应日常运 行小组。,内容:恢复方案的确定;恢复信息系统;,输出:恢复处理记录表、恢复方案的确定工应急服务提供
25、者应告知服务对象一个或多个 能从安全事件中恢复系统的方法,及他们可 能存在的风险;,应急服务提供者应和服务对象共同确定系统 恢复方案,根据抑制和根除的情况,协助服 务对象选择合适的系统恢复的方案,恢复方 案涉及到以下几方面:/如何获得访问受损设施或地理区域的授 权;/如何通知相关系统的内部和外部业务伙 伴;/如何获得安装所需的硬件部件;/如何获得装载备份介质;如何恢复关键操 作系统和应用软件;/如何恢复系统数据;/如何成功运行备用设备人如果涉及到涉密数据,确定恢复方法时应遵循相应的保密要求。3.5.1 恢复信息系统4应急响应实施小组应按照系统的初始化安全 策略恢复系统;,恢复系统时,应根据系统
26、中个子系统的重要 性,确定系统恢复的顺序;,恢复系统过程宜包含但不限于以下方面:/利用正确的备份恢复用户数据和配置信 息;,开启系统和应用服务,将受到入侵或者怀 疑存在漏洞而关闭的服务,修改后重新开 放;/连接网络,服务重新上线,并持续监控持 续汇总分析,了解各网的运行情况;上对于不能彻底恢复配置和清除系统上的恶意 文件,或不能肯定系统在根除处理后是否已 恢复正常时,应选择彻底重建系统;,应急服务实施小组应协助服务对象验证恢复 后的系统是否正常运行;工应急服务实施小组宜帮助服务对象对重建后的系统进行安全加固;工应急服务实施小组宜帮助服务对象为重建后的系统建立系统快照和备份;3.6. 总结阶段(
27、Summary),目标:通过以上各个阶段的记录表格,回顾 安全事件处理的全过程,整理与事件相 关的各种信息,进行总结,并尽可能的 把所有信息记录到文档中。,角色:应急服务实施小组、应急响应日常运 行小组。,内容:事故总结;事故报告;,输出:应急响应报告表、事故总结,应急服务提供者应及时检查安全事件处理记 录是否齐全,是否具备可塑性,并对事件处 理过程进行总结和分析;,应急处理总结的具体工作包括但不限于以下几项:/事件发生的现象总结;,事件发生的原因分析;/系统的损害程度评估;/事件损失估计;/采取的主要应对措施;/相关的工具文档(如专项预案、方案等) 归档。3.6.1 事故报告,应急服务提供者
28、应向服务对象提供完备的网 络安全事件处理报告;上应急服务提供者应向服务对象提供网络安全 方面的措施和建议;上上述总结报告的具体信息参考Excel表应急 响应报告表。时间 创作:欧阳治 网页内嵌恶意代码事件;拒绝服务攻击事件;.后门攻击事件;漏洞攻击事件; 网络扫描窃听事件;.信息篡改事件; 信息假冒事件;信息窃取事件。13服务原则在整个应急响应处理过程的中,本协会严格按 照以下原则要求服务人员,并签订必要的保密协 议。 保密性原则应急服务提供者应对应急处理服务过程中获知 的任何关于服务对象的系统信息承担保密的责任和 义务,不得泄露给第三方的单位和个人,不得利用 这些信息进行侵害服务对象的行为。
29、 规范性原则应急服务提供者应要求服务人员依照规范的操 作流程进行应急处理服务,所有处理人员必须对各 自的操作过程和结果进行详细的记录,最终按照规 范的报告格式提供完整的服务报告。 最小影响原则应急处理服务工作应尽可能减少对原系统和网 络正常运行的影响,尽量避免对原网络运行和业务 正常运转产生显著影响(包括系统性能明显下降、 网络阻塞、服务中断等),如无法避免,则必须向 服务对象说明。第二部分应急响应组织保障角色的划分本公司应急响应工作机构按角色划分为三个: 应急响应负责人, 应急响应技术人员, 应急响应市场人员。信息安全事件发生后,在应急响应领导小组的 统一部署下,工作人员各施其职,并严格按照
30、应急 响应计划组织实施应急响应工作。22角色的职责 应急响应负责人:应急响应负责人是信息安全应急响应工作的组 织领导机构,组长应由组织最高管理层成员担任。 负责人的职责是领导和决策信息安全应急响应的重 大事宜,主要职责如下:a)制定工作方案;b)提供人员和物质保证;c)审核并批准经费预算;d)审核并批准恢复策略;e)审核并批准应急响应计划;f)批准并监督应急响应计划的执行;g)指导应急响应实施小组的应急处置工作;h)启动定期评审、修订应急响应计划以及负 责组织的外部协作。 应急响应技术人员,其主要职责如下:a)编制应急响应计划文档;b)应急响应的需求分析,确定应急策略和等 级以及策略的实现;c
31、)备份系统的运行和维护,协助灾难恢复系统实施;d)信息安全突发事件发生时的损失控制和损 害评估;e)组织应急响应计划的测试和演练。应急响应市场人员,其主要职责如下:a)开拓新客户,与客户建立长期的合作关 系;维护与公司老客户的业务往来;b)建立预防预警机制,及时进行信息上报;c)参与和协助应急响应计划的教育、培训和 演练;d)信息安全事件发生后的外部协作。23组织的外部协作依据服务对象信息安全事件的影响程度,如需 向上级部门及时通报准确情况或向其他单位寻求支 持时,应与相关管理部门以及外部组织机构保持联 络和协作。主要包括国家计算机网络应急技术处理 协调中心(CNCERT/CC)华中地区分中心
32、、国家计算 机网络应急技术处理协调中心(CNCERT/CC)、中国 教育科研网络华中地区网络中心、中国教育科研网网络中心、#市公安局网络安全监察室、湖北省公 安厅网络安全监察处、中国电信#分公司网管中心 以及主要相关设备供应商。2.4. 保障措施 应急人力保障加强信息安全人才培养,强化信息安全宣传教 育,建设一支高素质、高技术的信息安全核心人才 和管理队伍,提高信息安全防御意识。大力发展信 息安全服务业,增强协会应急支援能力。 物质条件保障安排一定的资金用于预防或应对信息安全突发 事件,提供必要的交通运输保障,优化信息安全应 急处理工作的物资保障条件。 技术支撑保障设立信息安全应急响应中心,建
33、立预警与应急 处理的技术平台,进一步提高安全事件的发现和分 析能力。从技术上逐步实现发现、预警、处置、通 报等多个环节和不同的网络、系统、部门之间应急 处理的联动机制。第三部分应急响应实施流程该服务流程并非一个固定不变的教条,需要应急 响应服务人员在实际中灵活变通,可适当简化,但 任何变通都必须纪录有关的原因。详细的记录对于 找出事件的真相、查出威胁的来源与安全弱点、找 到问题正确的解决方法,甚至判定事故的责任,避 免同类事件的发生都有着极其重要的作用。3.1. 准备阶段(Preparation)人目标:在事件真正发生前为应急响应做好预 备性的工作。,角色:协会负责人、技术人员、市场人员。4内容:根据不同角色准备不同的内容。上输出:准备工具清单、事件初步报告 表、实施人员工作清单负责人准备内容,制定工作方案和计划;,提供人员和物质保证;心审核并批准经费预算、恢复策略、应急响应