应急响应服务白皮书.pdfVIP

密级:公开 应急响应服务白皮书 东软 应急响应服务白皮书 目录 一、东软应急响应服务介绍3 二、应急响应服务形式 4 三、应急响应服务流程 5 四、应急响应服务方法 6 东软 2 应急响应服务白皮书 一、东软应急响应服务介绍 在组织运营维护自己的业务系统过程中，系统管理员由于时间和精力的问题，常常对于一些 紧急安全事件缺乏有效的处理，这样往往会对业务系统的正常、连续运转造成重大影响。面 对现今复杂的网络安全环境，越来越多的企事业单位开始考虑将信息安全事件的应急响应进 行服务外包，从而可以更好的降低重大信息安全事件的影响面。 作为国内领先的整体信息安全解决方案提供商，东软拥有专业的信息安全服务团队 NCSIRT （Neusoft Computer Security Incident Response Team），以及投资4000 万元组建的 信息安全攻防研究实验室和解决方案验证中心，同时东软也是中国最大的漏洞库提供者之一。 2004 年，东软入选首批国家计算机网络应急技术处理协调中心“公共互联网应急处理国家级 服务试点单位” ，2007 年成为首批正式国家级应急服务支撑单位。近 10 年来为各行业客户 组织处理了包括大规模病毒爆发、网络入侵事件、拒绝服务攻击、主机或网络异常事件在内 的上百项重大紧急事故，以最快速度恢复系统的保密性、完整性和可用性，保障客户组织业 务系统的连续性，阻止和减小安全事件带来的负面影响。 东软 3 应急响应服务白皮书 二、应急响应服务形式 1. 本地应急响应 由项目管理组指派安全服务工程师在第一时间赶往客户现场进行处理。原则上，对本 地范围内的用户，3 －6 小时候到达现场；对异地用户，24 小时内到达现场。 2. 远程应急响应 （备选，仅当事件并非应急时） 用户通过电话、Email、传真等方式请求安全事件响应，应急响应组通过相同的方式 为用户解决问题。 当无法通过远程访问的方式为用户解决问题时，经用户确认后，转到本地应急响应 相关流程，同时此次远程响应无效，归于本地应急响应类型。 东软 4 应急响应服务白皮书 三、应急响应服务流程 东软 5 应急响应服务白皮书 四、应急响应服务方法 1. 预先准备与计划 基于该事件可能的威胁建立一组合理的防御和控制措施方案 确定处理问题必须的组织和人员 启动文档记录（服务操作的每一步都必须详细记录，包括由何人收集、如何收集、 何时收集以及何人进行了访问。） 建立一个支持事件响应活动的基础设施 独立和安全的物理环境 优先的网络访问通道与权限 充足的应急资源（各种利用工具、备份介质、监控系统等） 1.检测与分析事件 迅速创建 2 份完整系统备份（一份用来充当日后的举报证据，一份可用来做系统恢 复） 初步评估： 确定事件是已经发生了还是在进行当中 根据严重程度和安全策略，判断是否需要通过让受影响的系统脱机将其隔离起来 估计事件的范围 查找黑客踪迹 检查审计日志是否存在异常活动（不正常连接、安全审计失败，失败的登录尝试， 非工作时间的活动）、日志不存在或日志有空缺 检查黑客工具（密码破解工具、特洛伊木马等等） 文件、目录和共享权限的更改 检查是否有未经授权的应用程序被配置为自动启动 检查帐户是否权限提高或有未经授权的组成员 检查是否有未经授权的进程 东软