(1)紧急预案及基本内容。
  应急预案是指根据不同的突发紧急事件类型和意外情形预先制定的处理方案。
  应急预案一般包括如下内容:
  ①执行紧急预案的人员(姓名、住址、电话号码以及有关职能部门的联系方法);
  ②系统紧急事件类型及处理措施的详细说明;
  ③应急处理的具体步骤和操作顺序。
  (2)常见安全事件。
  紧急预案要根据安全事件的类型进行对应的处理。下面提供一些常见的安全事件类型供参考:
  ①物理实体及环境类安全事件,如意外停电、物理设备丢失、火灾和水灾等;
  ②网络通信类安全事件,如网络蠕虫侵害等;
  ③主机系统类安全事件,如计算机病毒、口令丢失等;
  ④应用系统类安全事件,如客户信息丟失等。
  (3)应急事件处理的基本流程。
  ①安全事件报警。
  值班人员发现紧急情况,要及时报告。报告要对安全事件进行准确描述并作书面记录。
  ②安全事件确认。
  确定安全事件的类型,以便启动相应的预案。
  ③启动紧急预案。
  首先要能够找到紧急预案,其次保护现场证据(如系统事件、处理者采取的行动与外界的沟通等),避免灾害扩大。
  ④恢复系统。包括:
  *9,安装干净的操作系统版本。如果主机被侵入,就应当考虑系统中的任何东西都可能被攻击者修改过了,包括内核、二进制可执行文件、数据文件、正在运行的进程以及内存。通常,需要从发布介质上重装操作系统,然后再重新连接到网络上之前安装所有的安全补丁,只有这样才会使系统不受后门和攻击者的影响。只是找出并修补被攻击者利用的安全缺陷是不够的。建议使用干净的备份程序备份整个系统,然后重装系统。
  第二,取消不必要的服务。只配置系统要提供的服务,取消那些没有必要的服务。检查并确信其配置文件没有脆弱性以及该服务是否可靠。通常,最保守的策略是取消所有的服务,只启动自己需要的服务。
  第三,安装供应商提供的所有补丁,建议安装所有的安全补丁,使系统能够抵御外来攻击,不被再次入侵,这是最重要的一步。
  第四,查阅计算机安全应急响应组的安全建议、安全总结和供应商的安全提示。
  第五,谨慎使用备份数据。在从备份中恢复数据时,要确认备份主机没有被入侵。一定要记住,恢复过程可能会重新带来安全缺陷,被入侵者利用。
  第六,改变密码。在弥补了安全漏洞或者解决了配置问题之后,建议改变系统中所有账户的密码。
  ⑤加强系统和网络的安全。
  ⑥进行应急工作总结。
  ⑦撰写安全事件报告。