1、信息安全應急響應流程目錄第一部分 導言31.1.文檔類別31.2.使用對象31.3.計劃目的31.4.適用范圍31.5.服務原則3第二部分 應急響應組織保障42.1.角色的劃分42.2.角色的職責42.3.組織的外部協作52.4.保障措施5第三部分 應急響應實施流程53.1.準備階段（Preparation stage）73.1.1 領導小組準備內容73.1.2 實施小組準備內容73.1.3 日常運行小組準備內容93.2.檢測階段（Examination stage）93.2.1 檢測范圍及對象的確定93.2.2 檢測方案的確定103.2.3 檢測方案的實施103.2.4 檢測結果的處理123

2、.3.抑制階段（Suppresses stage）123.3.1 抑制方案的確定133.3.2 抑制方案的認可133.3.3 抑制方案的實施133.3.4 抑制效果的判定133.4.根除階段（Eradicates stage）133.4.1 根除方案的確定143.4.2 根除方案的認可143.4.3 根除方案的實施143.4.4 根除效果的判定143.5.恢復階段（Restoration stage）153.5.1 恢復方案的確定153.5.2 恢復信息系統153.6.總結階段（Summary stage）153.6.1 事故總結163.6.2 事故報告16第一部分 導言1.1.文檔類別本文檔

3、是盈通公司信息技術安全IT技術部用以規范“信息安全應急響應服務流程”項目實施的指導性文件之一。1.2.使用對象本文檔作為公司內部文檔，具體使用人員包括：信息安全應急響應服務具體實施操作人員、及負責人。1.3.計劃目的制訂本規范的目的是為了指導應急響應服務操作人員按一定的實施辦法和操作流程，從接受應急響應服務申請到交付應急響應總結報告為止這段時間內，要求實施進度和質量可控，在規定的時間內完成應急響應服務。備注：操作實施人員在執行該規范時，應根據實際情況靈活運用和變通，并提出創新。同時為了有效的控制進度和質量，在實際操作中應遵循流程步驟。1.4.適用范圍全司。1.5.服務原則在整個應急響應處理過程

4、的中，本協會嚴格按照以下原則要求服務人員，并簽訂必要的保密協議。l 保密性原則應急服務提供者應對應急處理服務過程中獲知的任何關于服務對象的系統信息承擔保密的責任和義務，不得泄露給第三方的單位和個人，不得利用這些信息進行侵害服務對象的行為。l 規范性原則應急服務提供者應要求服務人員依照規范的操作流程進行應急處理服務，所有處理人員必須對各自的操作過程和結果進行詳細的記錄，最終按照規范的報告格式提供完整的服務報告。l 最小影響原則應急處理服務工作應盡可能減少對原系統和網絡正常運行的影響，盡量避免對原網絡運行和業務正常運轉產生顯著影響（包括系統性能明顯下降、網絡阻塞、服務中斷等），如無法避免，則必須向

5、服務對象說明。第二部分 應急響應組織保障2.1.角色的劃分本協會應急響應工作機構按角色劃分為三個：l 應急響應負責人，l 應急響應技術人員，l 應急響應市場人員。信息安全事件發生后，在應急響應領導小組的統一部署下，工作人員各施其職，并嚴格按照應急響應計劃組織實施應急響應工作。2.2.角色的職責l 應急響應負責人：應急響應負責人是信息安全應急響應工作的組織領導機構，組長應由組織最高管理層成員擔任。負責人的職責是領導和決策信息安全應急響應的重大事宜，主要職責如下： a) 制定工作方案；b) 提供人員和物質保證；c) 審核并批準經費預算；d) 審核并批準恢復策略；e) 審核并批準應急響應計劃；f)

6、批準并監督應急響應計劃的執行；g) 指導應急響應實施小組的應急處置工作；h) 啟動定期評審、修訂應急響應計劃以及負責組織的外部協作。l 應急響應技術人員，其主要職責如下：a) 編制應急響應計劃文檔；b) 應急響應的需求分析，確定應急策略和等級以及策略的實現；c) 備份系統的運行和維護，協助災難恢復系統實施；d) 信息安全突發事件發生時的損失控制和損害評估；e) 組織應急響應計劃的測試和演練。l 應急響應市場人員，其主要職責如下：a) 開拓新客戶，與客戶建立長期的合作關系；維護與公司老客戶的業務往來；b) 建立預防預警機制，及時進行信息上報；c) 參與和協助應急響應計劃的教育、培訓和演練；d)

7、信息安全事件發生后的外部協作。2.3.組織的外部協作依據服務對象信息安全事件的影響程度，如需向上級部門及時通報準確情況或向其他單位尋求支持時，應與相關管理部門以及外部組織機構保持聯絡和協作。主要包括國家計算機網絡應急技術處理協調中心(CNCERT/CC)華中地區分中心、國家計算機網絡應急技術處理協調中心(CNCERT/CC)、中國教育科研網絡華中地區網絡中心、中國教育科研網網絡中心、盈通公司市公安局網絡安全監察室、湖北省公安廳網絡安全監察處、及主要相關設備供應商。2.4.保障措施l 應急人力保障加強信息安全人才培養，強化信息安全宣傳教育，建設一支高素質、高技術的信息安全核心人才和管理隊伍，提高

8、信息安全防御意識。大力發展信息安全服務業，增強協會應急支援能力。l 物質條件保障安排一定的資金用于預防或應對信息安全突發事件，提供必要的交通運輸保障，優化信息安全應急處理工作的物資保障條件。l 技術支撐保障 設立信息安全應急響應中心，建立預警與應急處理的技術平臺，進一步提高安全事件的發現和分析能力。從技術上逐步實現發現、預警、處置、通報等多個環節和不同的網絡、系統、部門之間應急處理的聯動機制。第三部分 應急響應實施流程該服務流程并非一個固定不變的教條，需要應急響應服務人員在實際中靈活變通，可適當簡化，但任何變通都必須紀錄有關的原因。詳細的記錄對于找出事件的真相、查出威脅的來源與安全弱點、找到問

9、題正確的解決方法，甚至判定事故的責任，避免同類事件的發生都有著極其重要的作用。 3.1.準備階段（Preparation） l 目標：在事件真正發生前為應急響應做好預備性的工作。l 角色：技術人員、市場人員。l 內容：根據不同角色準備不同的內容。l 輸出：準備工具清單、事件初步報告表、實施人員工作清單3.1.1 負責人準備內容l 制定工作方案和計劃；l 提供人員和物質保證；l 審核并批準經費預算、恢復策略、應急響應計劃；l 批準并監督應急響應計劃的執行；l 指導應急響應實施小組的應急處置工作；l 啟動定期評審、修訂應急響應計劃以及負責組織的外部協作。3.1.2 技術人員準備內容l 服務需求界定

10、首先要對服務對象的整個信息系統進行評估，明確服務對象的應急需求，具體應包含以下內容：1) 應急服務提供者應了解應急服務對象的各項業務功能及其之間的相關性，確定支持各種業務功能的相關信息系統資源及其他資源，明確相關信息的保密性、完整性、和可用性要求；2) 對服務對象的信息系統，包括應用程序，服務器，網絡及任何管理和維護這些系統的流程進行評估，確定系統所執行的關鍵功能，并確定執行這些關鍵功能所需要的特定系統資源；3) 應急服務提供者應采用定性或定量的方法，對業務中斷、系統宕機、網絡癱瘓等突發安全事件造成的影響進行評估；4) 應急服務提供者應協助服務對象建立適當的應急響應策略，應提供在業務中斷、系統

11、宕機、網絡癱瘓等突發安全事件發生后快速有效的恢復信息系統運行的方法；5) 應急服務提供者宜為服務對象提供相關的培訓服務，以提高服務對象的安全意識，便于相關責任人明確自己的角色和責任，了解常見的安全事件和入侵行為，熟悉應急響應策略。l 主機和網絡設備安全初始化快照和備份在系統安全策略配置完成后，要對系統做一次初始安全狀態快照。這樣，如果以后在出現事故后對該服務器做安全檢測時，通過將初始化快照做的結果與檢測階段做的快照進行比較，就能夠發現系統的改動或異常。1) 對主機系統做一個標準的安全初始化的狀態快照，包括的主要內容有： 日志及審核策略快照等。 用戶賬戶快照； 進程快照； 服務快照； 自啟動快照

12、 關鍵文件簽名快照； 開放端口快照； 系統資源利用率的快照； 注冊表快照； 計劃任務快照等等；2) 對網絡設備做一個標準的安全初始化的狀態快照，包括的主要內容有： 路由器快照； 防火墻快照； 用戶快照； 系統資源利用率等快照。3) 信息系統的業務數據及辦公數據均十分重要，因此需要進行數據存儲及備份。目前，存儲備份結構主要有DAS、SAN和NAS，以及通過磁帶或光盤對數據進行備份。各服務對象可以根據自身的特點選擇不同的存儲產品構建自己的數據存儲備份系統。l 工具包的準備1) 應急服務提供者應根據應急服務對象的需求準備處置網絡安全事件的工具包，包括常用的系統基本命令、其他軟件工具等；2) 應急服務

13、提供者的工具包中的工具最好是采用綠色免安裝的，應保存在安全的移動介質上，如一次性可寫光盤、加密的U盤等；3) 應急服務提供者的工具包應定期更新、補充；l 必要技術的準備上述是針對應急響應的處理涉及到的安全技術工具涵蓋應急響應的事件取樣、事件分析、事件隔離、系統恢復和攻擊追蹤等各個方面，構成了網絡安全應急響應的技術基礎。所以我們的應急響應服務實施成員還應該掌握以下必要的技術手段和規范，具體包括以下內容：1) 系統檢測技術，包括以下檢測技術規范： Windows系統檢測技術規范； Unix系統檢測技術規范； 網絡安全事故檢測技術規范； 數據庫系統檢測技術規范； 常見的應用系統檢測技術規范；2) 攻

14、擊檢測技術，包括以下技術： 異常行為分析技術； 入侵檢測技術； 安全風險評估技術；3) 攻擊追蹤技術；4) 現場取樣技術；5) 系統安全加固技術；6) 攻擊隔離技術；7) 資產備份恢復技術；3.1.3 市場人員準備內容l 和服務對象建立長期友好的業務關系；l 和服務對象簽訂應急服務合同或協議；l 建立預防和預警機制，及時上報。1) 預防和預警機制 市場人員要嚴格按照應急響應負責人的安排和建議，及時提醒服務對象提高防范網絡攻擊、病毒入侵、網絡竊密等的能力，防止有害信息傳播，保障服務對象網絡的安全暢通。 將協會網絡信息中心會發布的病毒預防警報以及更新的防護策略及時有效地告知服務對象，做好防護策略的

15、更新。2) 信息系統檢測和報告 按照“早發現、早報告、早處置”的原則，市場人員要加強對服務對象信息系統的安全檢測結果的通告，收集可能引發信息安全事件的有關信息、進行分析判斷。 如服務對象發現有異常情況或有信息安全事件發生時，要立即向協會網絡信息中心應急響應負責人報告，并填寫事件初步報告表。 要求服務對象持續監測信息系統狀況，密切關注應急響應負責人提出初步行動對策和行動方案，聽從指令和安排，及時減小損失。3.2.檢測階段（Examination）l 目標：接到事故報警后在服務對象的配合下對異常的系統進行初步分析，確認其是否真正發生了信息安全事件，制定進一步的響應策略，并保留證據。l 角色：應急服

16、務實施小組成員、應急響應日常運行小組；l 內容：(1) 檢測范圍及對象的確定；(2) 檢測方案的確定；(3) 檢測方案的實施；(4) 檢測結果的處理。l 輸出：檢測結果記錄、3.2.1 實施小組人員的確定應急響應負責人根據事件初步報告表的內容，初步分析事故的類型、嚴重程度等，以此來確定臨時應急響應小組的實施人員的名單。3.2.2 檢測范圍及對象的確定l 應急服務提供者應對發生異常的系統進行初步分析，判斷是否正真發生了安全事件；l 應急服務提供者和服務對象共同確定檢測對象及范圍；l 檢測對象及范圍應得到服務對象的書面授權。3.2.3 檢測方案的確定l 應急服務提供者和服務對象共同確定檢測方案；l

17、 應急服務提供者制定的檢測方案應明確應急服務提供者所使用的檢測規范；l 應急服務提供者制定的檢測方案應明確應急服務提供者的檢測范圍，其檢測范圍應僅限于服務對象已授權的與安全事件相關的數據，對服務對象的機密性數據信息未經授權的不得訪問；l 應急服務提供者制定的檢測方案應包含實施方案失敗的應變和回退措施；l 應急服務提供者和服務對象充分溝通，并預測應急處理方案可能造成的影響。3.2.4 檢測方案的實施l 檢測搜集系統信息 記錄時使用目錄及文件名約定： 在受入侵的計算機的D盤根目錄下（D:）（如果無D盤則在其他盤根目錄下）建立一個EEAN目錄，目錄中包含以下子目錄： artifact：用于存放可疑文

18、件樣本 cmdoutput：用于記錄命令行輸出結果 screenshot：用于存放屏幕拷貝文件 log：用于存放各類日志文件 文件格式： 命令行輸出文件缺省僅使用TXT格式。 日志文件及其他格式盡量使用TXT、CSV和其他不需要特殊工具就可以閱讀的格式。 屏幕拷貝文件應該使用BMP格式。 可疑文件樣本最好加密壓縮為zip格式，默認密碼為：eean 搜集操作系統基本信息1右鍵點擊“我的電腦屬性” 將“常規”、“自動更新”、“遠程”3個選卡各制作一個窗口拷貝（使用Alt+PrtScr）。并保存到EEANscreenshot目錄下，文件名稱應該使用：系統常規-01、自動更新-01、遠程-01等形式命

19、名。 2進入CMD狀態，“開始 運行 cmd”，進入D盤根目錄下的EEAN目錄，執行一下命令： netstat -nao netstat.txt (網絡連接信息)tasklist tasklist.txt （當前進程信息）ipconfig /all ipconfig.txt（IP屬性） ver ver.txt （操作系統屬性）. 日志信息目標：導出所有日志信息；說明：進入管理工具，將“管理工具 事件察看器”中，導出所有事件，分別使用一下文件名保存： application.txt、security.txt、system.txt。 帳號信息目標：導出所有帳號信息；說明：使用net user，ne

20、t group，net local group命令檢查帳號和組的情況，使用計算機管理查看本地用戶和組，將導出的信息保存在D:EEANuser中 l 主機檢測 日志檢查目標：1、從日志信息中檢測出未授權訪問或非法登錄事件；2、從IIS/FTP日志中檢測非正常訪問行為或攻擊行為；說明：1、檢查事件查看器中的系統和安全日志信息，比如：安全日志中異常登錄時間，未知用戶名登錄；2、檢查%WinDir%System32LogFiles 目錄下的WWW日志和FTP日志，比如WWW日志中的對cmd.asp文件的成功訪問。 帳號檢查目標：檢查帳號信息中非正常帳號，隱藏帳號；說明：通過詢問管理員或負責人，或者和系

21、統的所有的正常帳號列表做對比，判斷是否有可疑的陌生的賬號出現，利用這些獲得的信息和前面準備階段做的帳號快照工作進行對比。 進程檢查目標：檢查是否存在未被授權的應用程序或服務說明：使用任務管理器檢查或使用進程查看工具進行查看，利用這些獲得的信息和前面準備階段做的進程快照工作進行對比，判斷是否有可疑的進程。 服務檢查目標：檢查系統是否存在非法服務說明：使用“管理工具”中的“服務”查看非法服務或使用冰刃、Wsystem察看當前服務情況，利用這些獲得的信息和準備階段做的服務快照工作進行對比。 自啟動檢查目標：檢查未授權自啟動程序說明：檢查系統各用戶“啟動”目錄下是否存在未授權程序。 網絡連接檢查目標：

22、檢查非正常網絡連接和開放的端口說明：關閉所有的網絡通訊程序，以免出現干擾，然后使用ipconfig, netstat an或其它第三方工具查看所有連接，檢查服務端口開放情況和異常數據的信息。 共享檢查目標：檢查非法共享目錄。說明：使用net share或其他第三方的工具檢測當前開放的共享，使用$是隱藏目錄共享，通過詢問負責人看是否有可疑的共享文件。 文件檢查目標：檢查病毒、木馬、蠕蟲、后門等可疑文件。說明：使用防病毒軟件檢查文件，掃描硬盤上所有的文件，將可疑文件進行提取加密壓縮成.zip，保存到EEANartifact目錄下的相應子目錄中。 查找其他入侵痕跡目標：查找其它系統上的入侵痕跡，尋找

23、攻擊途徑說明：其它系統包括：同一IP地址段或同一網段的系統、同一域的其他系統、擁有相同操作系統的其他系統。3.2.5 檢測結果的處理l 確定安全事件的類型經過檢測，判斷出信息安全事件類型。信息安全事件可以有以下7個基本分類： 有害程序事件：蓄意制造、傳播有害程序，或是因受到有害程序的影響而導致的信息安全事件。 網絡攻擊事件：通過網絡或其他技術手段，利用信息系統的配置缺陷、協議缺陷、程序缺陷或使用暴力攻擊對信息系統實施攻擊，并造成信息系統異常或對信息系統當前運行造成潛在危害的信息安全事件。 信息破壞事件：通過網絡或其他技術手段，造成信息系統中的信息被篡改、假冒、泄漏、竊取等而導致的信息安全事件。

24、 信息內容安全事件：利用信息網絡發布、傳播危害國家安全、社會穩定和公共利益的內容的安全事件。 設備設施故障：由于信息系統自身故障或外圍保障設施故障而導致的信息安全事件，以及人為的使用非技術手段有意或無意的造成信息系統破壞而導致的信息安全事件。 災害性事件：由于不可抗力對信息系統造成物理破壞而導致的信息安全事件。 其他信息安全事件：不能歸為以上6個基本分類的信息安全事件。l 評估突發信息安全事件的影響采用定量和/或定性的方法，對業務中斷、系統宕機、網絡癱瘓數據丟失等突發信息安全事件造成的影響進行評估：l 確定是否存在針對該事件的特定系統預案，如有，則啟動相關預案；如果事件涉及多個專項預案，應同時

25、啟動所有涉及的專項預案；l 如果沒有針對該事件的專項預案，應根據事件具體情況，采取抑制措施，抑制事件進一步擴散。3.3.抑制階段（Suppresses）l 目標：及時采取行動限制事件擴散和影響的范圍，限制潛在的損失與破壞，同時要確保封鎖方法對涉及相關業務影響最小。l 角色：應急服務實施小組、應急響應日常運行小組。l 內容：(1) 抑制方案的確定；(2) 抑制方案的認可；(3) 抑制方案的實施；(4) 抑制效果的判定；l 輸出：抑制處理記錄表、3.3.1 抑制方案的確定l 應急服務提供者應在檢測分析的基礎上，初步確定與安全事件相對應的抑制方法，如有多項，可由服務對象考慮后自己選擇；l 在確定抑制

26、方法時應該考慮： 全面評估入侵范圍、入侵帶來的影響和損失； 通過分析得到的其他結論，如入侵者的來源； 服務對象的業務和重點決策過程； 服務對象的業務連續性。3.3.2 抑制方案的認可l 應急服務提供者應告知服務對象所面臨的首要問題；l 應急服務提供者所確定的抑制方法和相應的措施應得到服務對象的認可；l 在采取抑制措施之前，應急服務提供者要和服務對象充分溝通，告知可能存在的風險，制定應變和回退措施，并與其達成協議。3.3.3 抑制方案的實施l 應急服務提供者要嚴格按照相關約定實施抑制，不得隨意更改抑制的措施的范圍，如有必要更改，需獲得服務對象的授權；l 抑制措施易包含但不僅限于以下幾方面： 確定

27、受害系統的范圍后，將被害系統和正常的系統進行隔離，斷開或暫時關閉被攻擊的系統，使攻擊先徹底停止； 持續監視系統和網絡活動，記錄異常流量的遠程IP、域名、端口； 停止或刪除系統非正常帳號，隱藏帳號，更改口令，加強口令的安全級別； 掛起或結束未被授權的、可疑的應用程序和進程； 關閉存在的非法服務和不必要的服務； 刪除系統各用戶“啟動”目錄下未授權自啟動程序； 使用net share或其他第三方的工具停止所有開放的共享； 使用反病毒軟件或其他安全工具檢查文件，掃描硬盤上所有的文件，隔離或清除病毒、木馬、蠕蟲、后門等可疑文件； 設置陷阱，如蜜罐系統；或者反擊攻擊者的系統。3.3.4 抑制效果的判定l

28、防止事件繼續擴散，限制了潛在的損失和破壞，使目前損失最小化；l 對其它相關業務的影響是否控制在最小。3.4.根除階段（Eradicates）l 目標：對事件進行抑制之后，通過對有關事件或行為的分析結果，找出事件根源，明確相應的補救措施并徹底清除。l 角色：應急服務實施小組、應急響應日常運行小組。l 內容：(1) 根除方案的確定；(2) 根除方案的認可；(3) 根除方案的實施；(4) 根除效果的判定；l 輸出：根除處理記錄表、3.4.1 根除方案的確定l 應急服務提供者應協助服務對象檢查所有受影響的系統，在準確判斷安全事件原因的基礎上，提出方案建議；l 由于入侵者一般會安裝后門或使用其他的方法以

29、便于在將來有機會侵入該被攻陷的系統，因此在確定根除方法時，需要了解攻擊者時如何入侵的，以及與這種入侵方法相同和相似的各種方法。3.4.2 根除方案的認可l 應急服務提供者應明確告知服務對象所采取的根除措施可能帶來的風險，制定應變和回退措施，并得到服務對象的書面授權；l 應急服務提供者應協助服務對象進行根除方法的實施。3.4.3 根除方案的實施l 應急服務提供者應使用可信的工具進行安全事件的根除處理，不得使用受害系統已有的不可信的文件和工具；l 根除措施易包含但不僅限與以下幾個方面： 改變全部可能受到攻擊的系統帳號和口令，并增加口令的安全級別； 修補系統、網絡和其他軟件漏洞； 增強防護功能：復查

30、所有防護措施的配置，安裝最新的防火墻和殺毒軟件，并及時更新， 對未受保護或者保護不夠的系統增加新的防護措施； 提高其監視保護級別，以保證將來對類似的入侵進行檢測；3.4.4 根除效果的判定l 找出造成事件的原因，備份與造成事件的相關文件和數據；l 對系統中的文件進行清理，根除；l 使系統能夠正常工作。3.5.恢復階段（Restoration）l 目標：恢復安全事件所涉及到得系統，并還原到正常狀態，使業務能夠正常進行，恢復工作應避免出現誤操作導致數據的丟失。l 角色：應急服務實施小組、應急響應日常運行小組。l 內容：(1) 恢復方案的確定；(2) 恢復信息系統；l 輸出：恢復處理記錄表、.3.5

31、.1 恢復方案的確定l 應急服務提供者應告知服務對象一個或多個能從安全事件中恢復系統的方法，及他們可能存在的風險；l 應急服務提供者應和服務對象共同確定系統恢復方案，根據抑制和根除的情況，協助服務對象選擇合適的系統恢復的方案，恢復方案涉及到以下幾方面： 如何獲得訪問受損設施或地理區域的授權； 如何通知相關系統的內部和外部業務伙伴； 如何獲得安裝所需的硬件部件； 如何獲得裝載備份介質；如何恢復關鍵操作系統和應用軟件； 如何恢復系統數據； 如何成功運行備用設備l 如果涉及到涉密數據，確定恢復方法時應遵循相應的保密要求。3.5.2 恢復信息系統l 應急響應實施小組應按照系統的初始化安全策略恢復系統；

32、l 恢復系統時，應根據系統中個子系統的重要性，確定系統恢復的順序；l 恢復系統過程宜包含但不限于以下方面： 利用正確的備份恢復用戶數據和配置信息； 開啟系統和應用服務，將受到入侵或者懷疑存在漏洞而關閉的服務，修改后重新開放； 連接網絡，服務重新上線，并持續監控持續匯總分析，了解各網的運行情況；l 對于不能徹底恢復配置和清除系統上的惡意文件，或不能肯定系統在根除處理后是否已恢復正常時，應選擇徹底重建系統；l 應急服務實施小組應協助服務對象驗證恢復后的系統是否正常運行；l 應急服務實施小組宜幫助服務對象對重建后的系統進行安全加固；l 應急服務實施小組宜幫助服務對象為重建后的系統建立系統快照和備份；

33、3.6.總結階段（Summary）l 目標：通過以上各個階段的記錄表格，回顧安全事件處理的全過程，整理與事件相關的各種信息，進行總結，并盡可能的把所有信息記錄到文檔中。l 角色：應急服務實施小組、應急響應日常運行小組。l 內容：(1) 事故總結；(2) 事故報告；l 輸出：應急響應報告表、3.6.1 事故總結l 應急服務提供者應及時檢查安全事件處理記錄是否齊全，是否具備可塑性，并對事件處理過程進行總結和分析；l 應急處理總結的具體工作包括但不限于以下幾項： 事件發生的現象總結； 事件發生的原因分析； 系統的損害程度評估； 事件損失估計； 采取的主要應對措施； 相關的工具文檔（如專項預案、方案等）歸檔。3.6.2 事故報告l 應急服務提供者應向服務對象提供完備的網絡安全事件處理報告；l 應急服務提供者應向服務對象提供網絡安全方面的措施和建議；l 上述總結報告的具體信息參考Excel表應急響應報告表。