步骤名称

执行人

需时

执行内容

1

启动处置

首选执行人和备份执行人

根据专项预案流程，判断该事件类型为拒绝服务类攻击，确认人员到位后，启动对应的处置规程

2

记录特征

15分钟

记录攻击类型和特征，判断是流量型攻击还是CC攻击。如无法判断类型，应立即与安全服务商、运营商联系。等待xxx反馈后将情况报告部门负责人

3

攻击确认

10分钟

查看服务器应用、数据库连接数、日志及进程状态，确认是否存在攻击。确认后反馈给YYY

4

上报部门负责人

5分钟

将初步检查暗况通知相关部门负责人，要求派人协调处理，并同时将情况上报分管领导和总工办

5

上报应急领导小组组长

5分钟

将初步检查情况通知技术部负责人，要求派人协调处理。同时将情况上报应急领导小组组长

6

确认应急响应

5分钟

确认现场组织协调处理以及上报信息化主管部门

7

分析与处置

30分钟

通过分析当前的服务状况及攻击特征，结合其他安全记录，识别攻击类型、范围、受影响程度、来源和强度

8

控制与追踪

30分钟

通过主机、网络，安全设备调整策略控制并阻断攻击行为。通过日志审计、IDS及流量分析工具追踪攻击

9

清除与恢复

20分钟

通过网络设备、安全设备和其他监控手段，观察网络状态及系统运行状态。根据实际情况适当调整防御策略

10

网站恢复正常

5分钟

故障已经处理完毕，将情况报告部门负责人

11

上报分管领导

5分钟

将情况上报分管领导、总工办

12

上报应急领导小组组长

5分钟

将情况上报应急领导小组组长

13

攻击分析与风险检测

30分钟

(1)分析黑客攻击路径、影响范围及程度

(2)分析事件原因

14

完成事件报告

30分钟

编写事件报告