xx公司应急处理服务成技术白皮书.doc

xx科技专业服务技术白皮书 紧急响应服务 ■文档编号 MSS-2012SI ■密级 内部使用 ■版本编号 1.0 ■日期 2012/5/11   ■版权声明 ■版本变更记录 时间 版本 说明 修改人 2012/5/11 V1.0 文档创建、丰富内容专业服务部“xx科技”）的紧急响应服务具体内 容和方法，用于客户的相关人员了解xx科技的该项服务。  目录 一.概 述 1 1.1基本概念 1 1.2紧急响应的必要性 1 1.3客户收益 1 二.服务的实施标准或原 则 2 2.1政策文件或标准 2 2.2服务原则 2 三.xx科技紧急响应服 务 3 3.1服务范围 3 3.2服务方式 4 3.2.1现场服务和远程服务 4 3.2.2单次服务和年度服务 4 3.3服务流程 4 3.3.1事件优先级定义 4 3.3.2事件处理流程 5 3.3.3事件升级流程 6 3.4服务特点 7 3.5服务报告 7 3.6服务注意事项 7 3.6.1使用安全的工具 8 3.6.2严格流程化操作 8 3.6.3操作记录 8 四.紧急响应方法 论 8 4.1 Windows系统检测 8 常规 8 4.1.2恶意代码 9 4.2类Unix系统检测 9 常规 9 4.2.2恶意代码 10 Web应用检测 10 五.相关工 具 10 5.1信息收集 10 5.2恶意代码检测 11 Web日志分析 11 六.为什么选择xx科 技 11 一.概述 1.1基本概念 紧急响应（Emergency Response)又称为应急响应，是指安全技术人员在遇到突发事件 后所采取的措施和行动。而突发事件则是指影响一个系统正常工作的情况。这里的系统包括 主机范畴内的问题，也包括网络范畴内的问题，例如黑客入侵、信息窃取、拒绝服务攻击、 网络流量异常等。 紧急响应的目标通常包括采取紧急措施和行动，恢复业务到正常服务状态；调查安全事 件发生的原因，避免同类安全事件再次发生；在需要司法机关介入时，提供法律认可的数字 证据等。 1.21.3客户收益 对于客户而言，紧急响应可以为其带来以下收益： 问题快速定位与处理 安全厂商凭借其在紧急响应领域丰富的经验和强大的事件分析处理能力，能够更加快速 地帮助客户追踪到事件的源头。而且，对于事件的应对方法，各厂商也有自己独到的经验和 技巧。 提高安全技能 在支持人员与客户相关人员的交互过程中，可潜移默化地提升用户的安全技能。 二.服务的实施标准或原则 2.1政策文件或标准 xx科技紧急响应服务将参考下列标准进行工作。 ISO/IEC 27001:2005信息技术安全技术-信息系统规范与使用指南信息技术安全技术-信息技术安全管理指南信息技术安全保障框架信息技术安全技术运行系统安全评估信息安全技术信息安全风险评估规范信息技术-信息技术安全管理指南信息技术-信息安全管理实用规则GB/T 18336-2001信息技术-安全技术-信息技术安全性评估准则 GB/T17859-1999计算机信息系统安全保护等级划分准则 GB/T 20984-2007信息安全技术信息安全风险评估规范信息系统灾难恢复规范GB/Z 20986-2007信息安全事件分类分级指南 ?xx科技紧急响应事件最佳实践 ?xx科技安全服务工作规范、紧急响应实施规范 ?……. 2.2服务原则 xx科技在提供紧急响应服务中，将遵循下列原则。 ?保密性原则 保密性原则是安全服务中最重要的原则，它是鼓励客户实施安全服务的心理基础，同时 也是对客户的人格及隐私权的最大尊重。紧急响应的保密范围，包括实施过程的保密性和输 出成果的保密性。对服务过程中获知的任何客户系统信息均属秘密信息，不得泄露给第三方 单位或个人，不得利用这些信息进行任何侵害客户的行为；对服务的报告提交不得扩散给未 经授权的第三方单位或个人。 ?标准性原则 xx科技紧急响应服务将在国家法律、法规允许的范围内进行，特别是遵照并履行《全 国人大常委会关于维护互联网安全的决定》相关规定等。 ?规范性原则 xx科技紧急响应服务将按照NSFOCUS安全服务工作规范、NSFOCUS紧急响应实施 规范进行严格落实。实施必须由专业的安全服务人员依照规范的操作流程进行，对操作过程 和结果要有相应的记录，提供完整的服务报告。 ?最小影响原则 紧急响应服务工作应尽可能控制事件影响范围，避免其它系统和网络的二次事件扩散， 快速控制、恢复以保证业务的正常运行。 三.xx科技紧急响应服务 3.1服务范围 xx紧急响应服务主要面向客户提供已发生安全事件的事中、事后的取证、分析及提供 解决方案等工作。 xx科技可以帮助客户完成下列类型安全事件的紧急响应支持： ?应用服务瘫痪问题 ?网络阻塞、DDoS攻击问题 ?服务器遭劫持问题 ?系统异常宕机问题