一. 项目概述

1.1 事件概述

应急响应开始时间	XXX
应急响应结束时间	XXX
事件描述	XXX
关键字	XXX

1.2 应急响应工作目标

1、查明XX原因
2、查明XX原因
3、……
4、提出修复建议

1.3 应急响应工作结果

XXX。

1.4 相关人员

二. 应急响应工作流程

2.1 检测阶段工作说明

……

2.2 抑制阶段工作说明

……

2.3 根除阶段工作说明

……

2.4 恢复阶段工作说明

…….

三. 总结及安全建议

3.1 应急响应总结

XXX。

3.2 相关安全建议

1、系统、应用相关的用户杜绝使用弱口令，同时，应该使用高复杂强度的密码，尽量包含大小写字母、数字、特殊符号等的混合密码，加强管理员安全意识，禁止密码重用的情况出现；
2、禁止服务器主动发起外部连接请求，对于需要向外部服务器推送共享数据的，应使用白名单的方式，在出口防火墙加入相关策略，对主动连接IP范围进行限制；
3、有效加强访问控制ACL策略，细化策略粒度，按区域按业务严格限制各个网络区域以及服务器之间的访问，采用白名单机制只允许开放特定的业务必要端口，其他端口一律禁止访问，仅管理员IP可对管理端口进行访问，如FTP、数据库服务、远程桌面等管理端口；
4、部署流量采集设备；
5、配置并开启相关关键系统、应用日志，对系统日志进行定期异地归档、备份，避免在攻击行为发生时，导致无法对攻击途径、行为进行溯源等，加强安全溯源能力；
6、对相关使用口令进行登录的服务，加入防爆破策略，对频繁进行登录尝试操作的攻击行为，将攻击源IP加入到黑名单，禁止对服务器进行访问；
7、加强入侵防御能力，建议在服务器上安装相应的防病毒软件或部署防病毒网关，即时对病毒库进行更新，并且定期进行全面扫描，加强入侵防御能力；
8、定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作，主动发现目前系统、应用存在的安全隐患；
9、建议部署全流量监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源能力，对安全事件发生时可提供可靠的追溯依据；
10、加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查，常态化信息安全工作；