《信息安全应急响应服务方案模板.docx》由会员分享,可在线阅读,更多相关《信息安全应急响应服务方案模板.docx(14页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全应急响应效劳方案XXXX 科技2022 年 5 月名目第一局部概述 21。1.信息安全应急响应 21。2.应急安全响应大事 21。3.效劳原则 2其次局部应急响应组织保障 32.1.角色的划分 32.2 。角色的职责 32.3 。组织的外部协作 42。4。保障措施 4第三局部应急响应实施流程 43.1。预备阶段Preparation43。1。1 负责人预备内容 43。1.2 技术人员预备内容 53。1。3 市场人员预备内容 6 3.2。检测阶段(Examination73。2。1 实施小组人员确实定 73。2.2 检测范围及对象确实定 73。2。3 检测方案确实定 73。2.4 检测方
2、案的实施 83。2。5 检测结果的处理 9 3。3。抑制阶段Suppresses103。3。1 抑制方案确实定 103。3。2 抑制方案的认可 113.3。3 抑制方案的实施 113.3 。4 抑制效果的判定 11 3.4。铲除阶段Eradicates113.4.1 铲除方案确实定 123.4 。2 铲除方案的认可 123.4.3 铲除方案的实施 123.4 。4 铲除效果的判定 123。5.恢复阶段Restoration)123.5 。1 恢复方案确实定 133.5.2 恢复信息系统 13 3.6.总结阶段(Summary133。6。1 事故总结 133.6 。2 事故报告 14第一局部 概
3、述1。1。信息安全应急响应应急响应效劳是为满足企业发生安全大事、需要紧急解决问题的状况下供给的一项安全服 务。当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全大事时,安全专家会在第一时间赶到大事现场,使企业的网络信息系统在最短时间内恢复正常工作,帮助企业查找入侵来源,给出入侵事故过程报告,同时给出解决方案与防范报告,为企业挽回或削减经济 损失。供给入侵调查,拒绝效劳攻击响应,主机、网络、业务特别紧急响应和处理。1.2。应急安全响应大事计算机病毒大事;蠕虫病毒大事 ;特洛伊木马大事 ;网页内嵌恶意代码大事; 拒绝效劳攻击大事;后门攻击大事; 漏洞攻击大事;网络扫描窃听大事; 信息篡改大事
4、;信息假冒大事;信息窃取大事.1.3. 效劳原则在整个应急响应处理过程的中,本协会严格依据以下原则要求效劳人员,并签订必要的保密协议。u 保密性原则应急效劳供给者应对应急处理效劳过程中获知的任何关于效劳对象的系统信息担当保 密的责任和义务,不得泄露给第三方的单位和个人,不得利用这些信息进展侵害效劳对象的行为。u 标准性原则应急效劳供给者应要求效劳人员依照标准的操作流程进展应急处理效劳,全部处理人员必需对各自的操作过程和结果进展具体的记录,最终依据标准的报告格式供给完整的效劳报告。u 最小影响原则应急处理效劳工作应尽可能削减对原系统和网络正常运行的影响,尽量避开对原网络运行和业务正常运转产生显著
5、影响包括系统性能明显下降、网络堵塞、效劳中断等),如无法避开,则必需向效劳对象说明。其次局部 应急响应组织保障2。1.角色的划分本公司应急响应工作机构按角色划分为三个:u 应急响应负责人,u 应急响应技术人员,u 应急响应市场人员。信息安全大事发生后,在应急响应领导小组的统一部署下,工作人员各施其职,并严格依据应急响应打算组织实施应急响应工作。2。2.角色的职责u 应急响应负责人:应急响应负责人是信息安全应急响应工作的组织领导机构,组长应由组织最高治理层成员担当.负责人的职责是领导和决策信息安全应急响应的重大事宜,主要职责如下:a) 制定工作方案;b) 供给人员和物质保证;c) 审核并批准经费
6、预算;d) 审核并批准恢复策略;e) 审核并批准应急响应打算;f) 批准并监视应急响应打算的执行;g) 指导应急响应实施小组的应急处置工作;h) 启动定期评审、修订应急响应打算以及负责组织的外部协作。u 应急响应技术人员,其主要职责如下:a) 编制应急响应打算文档;b) 应急响应的需求分析,确定应急策略和等级以及策略的实现;c) 备份系统的运行和维护,帮助灾难恢复系统实施;d) 信息安全突发大事发生时的损失掌握和损害评估;e) 组织应急响应打算的测试和演练。u 应急响应市场人员,其主要职责如下:a) 开拓客户,与客户建立长期的合作关系;维护与公司老客户的业务往来;b) 建立预防预警机制,准时进
7、展信息上报;c) 参与和帮助应急响应打算的教育、培训和演练;d) 信息安全大事发生后的外部协作。2。3.组织的外部协作依据效劳对象信息安全大事的影响程度,如需向上级部门准时通报准确状况或向其他单 位寻求支持时,应与相关治理部门以及外部组织机构保持联络和协作。主要包括国家计算机 网络应急技术处理协调中心(CNCERT/CC华中地区分中心、国家计算机网络应急技术处理 协调中心CNCERT/CC)、中国教育科研网络华中地区网络中心、中国教育科研网网络中心、#市公安局网络安全监察室、湖北省公安厅网络安全监察处、中国电信分公司网管中心 以及主要相关设备供给商。2。4.保障措施u 应急人力保障加强信息安全
8、人才培育,强化信息安全宣传教育,建设一支高素养、高技术的信息安全核心人才和治理队伍,提高信息安全防范意识。大力进展信息安全效劳业,增加协会应急支援力量.u 物质条件保障安排肯定的资金用于预防或应对信息安全突发大事,供给必要的交通运输保障,优化信息安全应急处理工作的物资保障条件。u 技术支撑保障设立信息安全应急响应中心,建立预警与应急处理的技术平台,进一步提高安全大事的觉察和分析力量.从技术上逐步实现觉察、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。第三局部 应急响应实施流程该效劳流程并非一个固定不变的教条,需要应急响应效劳人员在实际中敏捷变通,可适当简化,但任何变
9、通都必需纪录有关的缘由.具体的记录对于找出大事的真相、查出威逼的来源与安全弱点、找到问题正确的解决方法,甚至判定事故的责任,避开同类大事的发生都有着极其重要的作用。3。1.预备阶段Preparation目标:在大事真正发生前为应急响应做好预备性的工作。角色:协会负责人、技术人员、市场人员.内容:依据不同角色预备不同的内容。输出:预备工具清单、大事初步报告表、实施人员工作清单3。1。1 负责人预备内容制定工作方案和打算;供给人员和物质保证;审核并批准经费预算、恢复策略、应急响应打算; 批准并监视应急响应打算的执行;指导应急响应实施小组的应急处置工作;启动定期评审、修订应急响应打算以及负责组织的外
10、部协作.3。1.2 技术人员预备内容效劳需求界定首先要对效劳对象的整个信息系统进展评估,明确效劳对象的应急需求,具体应包含以下内容:1) 应急效劳供给者应了解应急效劳对象的各项业务功能及其之间的相关性,确定支持各种业务功能的相关信息系统资源及其他资源,明确相关信息的保密性、完整性、和可用性要求;2) 对效劳对象的信息系统,包括应用程序,效劳器,网络及任何治理和维护这些系统的流程进展评估,确定系统所执行的关键功能,并确定执行这些关键功能所需要的特定系统资源;3) 应急效劳供给者应承受定性或定量的方法,对业务中断、系统宕机、网络瘫痪等突发安全大事造成的影响进展评估;4) 应急效劳供给者应帮助效劳对
11、象建立适当的应急响应策略,应供给在业务中断、系统宕机、网络瘫痪等突发安全大事发生后快速有效的恢复信息系统运行的方 法;5) 应急效劳供给者宜为效劳对象供给相关的培训效劳,以提高效劳对象的安全意识,便于相关责任人明确自己的角色和责任,了解常见的安全大事和入侵行为, 生疏应急响应策略.主机和网络设备安全初始化快照和备份在系统安全策略配置完成后,要对系统做一次初始安全状态快照。这样,假设以后在消灭事故后对该效劳器做安全检测时,通过将初始化快照做的结果与检测阶段做的快照进展比较,就能够觉察系统的改动或特别。1) 对主机系统做一个标准的安全初始化的状态快照,包括的主要内容有: 日志及审核策略快照等. 用
12、户账户快照; 进程快照; 效劳快照; 自启动快照 关键文件签名快照; 开放端口快照; 系统资源利用率的快照; 注册表快照; 打算任务快照等等;2) 对网络设备做一个标准的安全初始化的状态快照,包括的主要内容有: 路由器快照; 防火墙快照; 用户快照; 系统资源利用率等快照。3) 信息系统的业务数据及办公数据均格外重要,因此需要进展数据存储及备份。目前,存储藏份构造主要有 DAS、SAN 和 NAS,以及通过磁带或光盘对数据进展备份.各效劳对象可以依据自身的特点选择不同的存储产品构建自己的数 据存储藏份系统。工具包的预备1) 应急效劳供给者应依据应急效劳对象的需求预备处置网络安全大事的工具包,
13、包括常用的系统根本命令、其他软件工具等;2) 应急效劳供给者的工具包中的工具最好是承受绿色免安装的 ,应保存在安全的移动介质上,如一次性可写光盘、加密的U 盘等;3) 应急效劳供给者的工具包应定期更、补充; 必要技术的预备上述是针对应急响应的处理涉及到的安全技术工具涵盖应急响应的大事取样、大事 分析、大事隔离、系统恢复和攻击追踪等各个方面,构成了网络安全应急响应的技 术根底。所以我们的应急响应效劳实施成员还应当把握以下必要的技术手段和标准, 具体包括以下内容:1) 系统检测技术,包括以下检测技术标准: Windows 系统检测技术标准; Unix 系统检测技术标准; 网络安全事故检测技术标准;
14、 数据库系统检测技术标准; 常见的应用系统检测技术标准;2) 攻击检测技术,包括以下技术: 特别行为分析技术; 入侵检测技术; 安全风险评估技术;3) 攻击追踪技术;4) 现场取样技术;5) 系统安全加固技术;6) 攻击隔离技术;7) 资产备份恢复技术;3。1.3 市场人员预备内容和效劳对象建立长期友好的业务关系; 和效劳对象签订应急效劳合同或协议; 建立预防和预警机制,准时上报.1) 预防和预警机制 市场人员要严格依据应急响应负责人的安排和建议,准时提示效劳对象提高防范网络攻击、病毒入侵、网络窃密等的力量,防止有害信息传播,保障效劳对象网络的安全畅通。 将协会网络信息中心会公布的病毒预防警报
15、以及更的防护策略准时有效地告知效劳对象,做好防护策略的更.2) 信息系统检测和报告 依据“早觉察、早报告、早处置“的原则,市场人员要加强对效劳对象信 息系统的安全检测结果的通告,收集可能引发信息安全大事的有关信息、进展分析推断. 如效劳对象觉察有特别状况或有信息安全大事发生时,要马上向协会网络信息中心应急响应负责人报告,并填写大事初步报告表. 要求效劳对象持续监测信息系统状况,亲热关注应急响应负责人提出初步行动对策和行动方案,听从指令和安排,准时减小损失。3。2。检测阶段Examination目标:接到事故报警后在效劳对象的协作下对特别的系统进展初步分析,确认其是否真正发生了信息安全大事,制定
16、进一步的响应策略,并保存证据。角色:应急效劳实施小组成员、应急响应日常运行小组; 内容:(1) 检测范围及对象确实定;(2) 检测方案确实定;(3) 检测方案的实施;(4) 检测结果的处理。输出:检测结果记录、3.2.1 实施小组人员确实定应急响应负责人依据大事初步报告表的内容,初步分析事故的类型、严峻程度等,以此来确定临时应急响应小组的实施人员的名单.3.2 。2 检测范围及对象确实定应急效劳供给者应对发生特别的系统进展初步分析,推断是否正真发生了安全大事;应急效劳供给者和效劳对象共同确定检测对象及范围; 检测对象及范围应得到效劳对象的书面授权。3。2.3 检测方案确实定应急效劳供给者和效劳
17、对象共同确定检测方案;应急效劳供给者制定的检测方案应明确应急效劳供给者所使用的检测标准;应急效劳供给者制定的检测方案应明确应急效劳供给者的检测范围,其检测范围应仅限于效劳对象已授权的与安全大事相关的数据,对效劳对象的机密性数据信息未经授权的不得访问;应急效劳供给者制定的检测方案应包含实施方案失败的应变和回退措施;应急效劳供给者和效劳对象充分沟通,并推测应急处理方案可能造成的影响。3。2。4 检测方案的实施检测搜集系统信息 记录时使用名目及文件名商定:在受入侵的计算机的D 盘根名目下D:假设无 D 盘则在其他盘根名目下)建立一个EEAN 名目,名目中包含以下子名目: artifact:用于存放可
18、疑文件样本 cmdoutput:用于记录命令行输出结果 screenshot:用于存放屏幕拷贝文件 log:用于存放各类日志文件 文件格式: 命令行输出文件缺省仅使用TXT 格式。 日志文件及其他格式尽量使用TXT、CSV 和其他不需要特别工具就可以阅读的格式。 屏幕拷贝文件应当使用BMP 格式。 可疑文件样本最好加密压缩为zip 格式,默认密码为:eean 搜集操作系统根本信息1. 右键点击“我的电脑属性”将“常规“、“自动更”、“远程”3 个选卡各制作一个窗口拷贝(使用 Alt+PrtScr。并保存到 EEANscreenshot 名目下,文件名称应当使用:系统常规01、自动更-01、远程
19、01 等形式命名。2进入CMD 状态,“开头 运行 cmd”,进入 D 盘根名目下的EEAN 名目,执行一下命令:netstat -nao netstat。txt (网络连接信息 tasklist tasklist。txt 当前进程信息 ipconfig /all ipconfig。txt(IP 属性 ver ver。txt 操作系统属性。.。.。.。.。.。.。.。.。. 日志信息目标:导出全部日志信息;说明:进入治理工具,将“治理工具 大事观察器”中,导出全部大事,分别使用一下文件名保存: application。txt、security.txt、system。txt. 帐号信息目标:导出
20、全部帐号信息;说明:使用net user,net group,net local group 命令检查帐号和组的状况,使用计算机治理查看本地用户和组,将导出的信息保存在D:EEANuser 中主机检测 日志检查目标:1、从日志信息中检测出未授权访问或非法登录大事;2、从IIS/FTP 日志中检测非正常访问行为或攻击行为;说明:1、检查大事查看器中的系统和安全日志信息,比方:安全日志中特别登录时间,未知用户名登录;2、检查%WinDir%System32LogFiles 名目下的WWW 日志和FTP 日志, 比方 WWW 日志中的对cmd.asp 文件的成功访问。 帐号检查目标:检查帐号信息中非
21、正常帐号,隐蔽帐号;说明:通过询问治理员或负责人,或者和系统的全部的正常帐号列表做比照, 推断是否有可疑的生疏的账号消灭,利用这些获得的信息和前面预备 阶段做的帐号快照工作进展比照。 进程检查目标:检查是否存在未被授权的应用程序或效劳说明:使用任务治理器检查或使用进程查看工具进展查看,利用这些获得的信息和前面预备阶段做的进程快照工作进展比照 ,推断是否有可疑的进程。 效劳检查目标:检查系统是否存在非法效劳说明:使用“治理工具“中的“效劳”查看非法效劳或使用冰刃、Wsystem 观察当前效劳状况,利用这些获得的信息和预备阶段做的效劳快照工作进展比照. 自启动检查目标:检查未授权自启动程序说明:检
22、查系统各用户“启动”名目下是否存在未授权程序. 网络连接检查目标:检查非正常网络连接和开放的端口说明:关闭全部的网络通讯程序,以免消灭干扰,然后使用 ipconfig,netstatan 或其它第三方工具查看全部连接,检查效劳端口开放状况和特别数据的信息。 共享检查目标:检查非法共享名目。说明:使用 net share 或其他第三方的工具检测当前开放的共享,使用是隐蔽名目共享,通过询问负责人看是否有可疑的共享文件. 文件检查目标:检查病毒、木马、蠕虫、后门等可疑文件.说明:使用防病毒软件检查文件,扫描硬盘上全部的文件,将可疑文件进展提取加密压缩成。zip,保存到EEANartifact 名目下
23、的相应子名目中。 查找其他入侵痕迹目标:查找其它系统上的入侵痕迹,查找攻击途径说明:其它系统包括:同一IP 地址段或同一网段的系统、同一域的其他系统、拥有一样操作系统的其他系统。3。2。5 检测结果的处理确定安全大事的类型经过检测,推断出信息安全大事类型.信息安全大事可以有以下 7 个根本分类: 有害程序大事:蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全大事。 网络攻击大事:通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统特别或对信息系统当前运行造成潜在危害的信息安全大事。 信息破坏大事:通过网络或其他技术手
24、段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全大事。 信息内容安全大事:利用信息网络公布、传播危害国家安全、社会稳定和公共利益的内容的安全大事。 设备设施故障:由于信息系统自身故障或外围保障设施故障而导致的信息安全大事,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全大事. 灾难性大事:由于不行抗力对信息系统造成物理破坏而导致的信息安全大事. 其他信息安全大事:不能归为以上 6 个根本分类的信息安全大事。评估突发信息安全大事的影响承受定量和/或定性的方法,对业务中断、系统宕机、网络瘫痪数据丧失等突发信息安全大事造成的影响进展评估:确定是否存在针对该大事的
25、特定系统预案,如有,则启动相关预案;假设大事涉及多个专项预案,应同时启动全部涉及的专项预案;假设没有针对该大事的专项预案,应依据大事具体状况,实行抑制措施,抑制大事进一步集中。3。3。抑制阶段Suppresses目标:准时实行行动限制大事集中和影响的范围,限制潜在的损失与破坏,同时要确保封锁方法对涉及相关业务影响最小。角色:应急效劳实施小组、应急响应日常运行小组. 内容:(1) 抑制方案确实定;(2) 抑制方案的认可;(3) 抑制方案的实施;(4) 抑制效果的判定;输出:抑制处理记录表、3。3。1 抑制方案确实定应急效劳供给者应在检测分析的根底上,初步确定与安全大事相对应的抑制方法, 如有多项
26、,可由效劳对象考虑后自己选择;在确定抑制方法时应当考虑: 全面评估入侵范围、入侵带来的影响和损失; 通过分析得到的其他结论,如入侵者的来源; 效劳对象的业务和重点决策过程; 效劳对象的业务连续性.3.3.2 抑制方案的认可应急效劳供给者应告知效劳对象所面临的首要问题;应急效劳供给者所确定的抑制方法和相应的措施应得到效劳对象的认可;在实行抑制措施之前,应急效劳供给者要和效劳对象充分沟通,告知可能存在的风险,制定应变和回退措施,并与其达成协议。3。3。3 抑制方案的实施应急效劳供给者要严格依据相关商定实施抑制,不得随便更改抑制的措施的范围, 如有必要更改,需获得效劳对象的授权;抑制措施易包含但不仅
27、限于以下几方面: 确定受害系统的范围后,将被害系统和正常的系统进展隔离,断开或临时关闭被攻击的系统,使攻击先彻底停顿; 持续监视系统和网络活动,记录特别流量的远程IP、域名、端口; 停顿或删除系统非正常帐号,隐蔽帐号,更改口令,加强口令的安全级别; 挂起或完毕未被授权的、可疑的应用程序和进程; 关闭存在的非法效劳和不必要的效劳; 删除系统各用户“启动“名目下未授权自启动程序; 使用 net share 或其他第三方的工具停顿全部开放的共享; 使用反病毒软件或其他安全工具检查文件,扫描硬盘上全部的文件,隔离或去除病毒、木马、蠕虫、后门等可疑文件; 设置陷阱,如蜜罐系统;或者还击攻击者的系统.3。
28、3.4 抑制效果的判定防止大事连续集中,限制了潜在的损失和破坏,使目前损失最小化; 对其它相关业务的影响是否掌握在最小.3.4 。铲除阶段Eradicates目标:对大事进展抑制之后,通过对有关大事或行为的分析结果,找出大事根源, 明确相应的补救措施并彻底去除。角色:应急效劳实施小组、应急响应日常运行小组。内容:(1) 铲除方案确实定;(2) 铲除方案的认可;(3) 铲除方案的实施;(4) 铲除效果的判定;输出:铲除处理记录表、3。4。1 铲除方案确实定应急效劳供给者应帮助效劳对象检查全部受影响的系统,在准确推断安全大事缘由的根底上,提出方案建议;由于入侵者一般会安装后门或使用其他的方法以便于
29、在将来有时机侵入该被攻陷 的系统,因此在确定铲除方法时,需要了解攻击者时如何入侵的,以及与这种入侵方法一样和相像的各种方法.3.4 。2 铲除方案的认可应急效劳供给者应明确告知效劳对象所实行的铲除措施可能带来的风险,制定应变和回退措施,并得到效劳对象的书面授权;应急效劳供给者应帮助效劳对象进展铲除方法的实施。3。4。3 铲除方案的实施应急效劳供给者应使用可信的工具进展安全大事的铲除处理,不得使用受害系统已有的不行信的文件和工具;铲除措施易包含但不仅限与以下几个方面: 转变全部可能受到攻击的系统帐号和口令,并增加口令的安全级别; 修补系统、网络和其他软件漏洞; 增加防护功能:复查全部防护措施的配
30、置,安装最的防火墙和杀毒软件, 并准时更, 对未受保护或者保护不够的系统增加的防护措施; 提高其监视保护级别,以保证将来对类似的入侵进展检测;3。4.4 铲除效果的判定找出造成大事的缘由,备份与造成大事的相关文件和数据; 对系统中的文件进展清理,铲除;使系统能够正常工作。3.5 。恢复阶段Restoration)目标:恢复安全大事所涉及到得系统,并复原到正常状态,使业务能够正常进展, 恢复工作应避开消灭误操作导致数据的丧失。角色:应急效劳实施小组、应急响应日常运行小组。内容:(1) 恢复方案确实定;(2) 恢复信息系统;输出:恢复处理记录表、.。3.5 。1 恢复方案确实定应急效劳供给者应告知
31、效劳对象一个或多个能从安全大事中恢复系统的方法,及他们可能存在的风险;应急效劳供给者应和效劳对象共同确定系统恢复方案,依据抑制和铲除的状况,帮助效劳对象选择适宜的系统恢复的方案,恢复方案涉及到以下几方面: 如何获得访问受损设施或地理区域的授权; 如何通知相关系统的内部和外部业务伙伴; 如何获得安装所需的硬件部件; 如何获得装载备份介质;如何恢复关键操作系统和应用软件; 如何恢复系统数据; 如何成功运行备用设备假设涉及到涉密数据,确定恢复方法时应遵循相应的保密要求。3.5.2 恢复信息系统应急响应实施小组应依据系统的初始化安全策略恢复系统;恢复系统时,应依据系统中个子系统的重要性,确定系统恢复的
32、挨次; 恢复系统过程宜包含但不限于以下方面: 利用正确的备份恢复用户数据和配置信息; 开启系统和应用效劳,将受到入侵或者疑心存在漏洞而关闭的效劳,修改后重开放; 连接网络,效劳重上线,并持续监控持续汇总分析,了解各网的运行状况;对于不能彻底恢复配置和去除系统上的恶意文件,或不能确定系统在铲除处理后是否已恢复正常时,应选择彻底重建系统;应急效劳实施小组应帮助效劳对象验证恢复后的系统是否正常运行; 应急效劳实施小组宜帮助效劳对象对重建后的系统进展安全加固;应急效劳实施小组宜帮助效劳对象为重建后的系统建立系统快照和备份;3。6。总结阶段Summary)目标:通过以上各个阶段的记录表格,回忆安全大事处
33、理的全过程,整理与大事相关的各种信息,进展总结,并尽可能的把全部信息记录到文档中.角色:应急效劳实施小组、应急响应日常运行小组. 内容:(1) 事故总结;(2) 事故报告;输出:应急响应报告表、3.6 。1 事故总结应急效劳供给者应准时检查安全大事处理记录是否齐全,是否具备可塑性,并对事件处理过程进展总结和分析;应急处理总结的具体工作包括但不限于以下几项: 大事发生的现象总结; 大事发生的缘由分析; 系统的损害程度评估; 大事损失估量; 实行的主要应对措施; 相关的工具文档如专项预案、方案等归档。3。6。2 事故报告应急效劳供给者应向效劳对象供给完备的网络安全大事处理报告; 应急效劳供给者应向效劳对象供给网络安全方面的措施和建议; 上述总结报告的具体信息参考Excel 表应急响应报告表。