中国银行业务连续性管理v10-nsfocu

《中国银行业务连续性管理v10-nsfocu》由会员分享，可在线阅读，更多相关《中国银行业务连续性管理v10-nsfocu（64页珍藏版）》请在装配图网上搜索。

1、Professional Security Solution Provider NSFocus Information Technology Co. Ltd. Professional Services 业务连续性管理 (Business Continuity Management) 专业服务部 高级安全顾问 赵彦 2005 年 11 月 1 Professional Security Solution Provider 提 纲 为什么需要业务连续性管理 ？ 业务连续性管理的国际专业操作步骤 应急处理 2 Professional Security Solution Provider 为 什么

2、需要 业务连续 性管理 3 Professional Security Solution Provider ISO 17799:2005 红色 部分是 2005版相对于 2002版的改变部分 4 Professional Security Solution Provider BS7799-2:2002 v.s. BS7799-2:2005 A3 A12 10 个章节 A5 A15 11 个章节 5 Professional Security Solution Provider 机密信息 丢 失引 发 信任危机 2005年 6月 1日 ， 瑞士银行集团 (UBS)日本分行丢失了一张存有高度敏感客

3、户 信息的磁盘 。 其中可能包含相当机密的交易 、 止损单记录以及公司各类客户的 敏感信息 。 2005年 6月 6日 ， 花旗银行 390万客户账户资料在快递途中的神秘失踪 。 2005年 6月 17日 ， 由于美国信用卡系统解决方案公司 CardSystems 的安全漏 洞 ， 导致 4000万用户的银行资料被泄漏 ， 其中包括 MASTER 公司的 1390万 用户 、 VISA 的 2200万客户 。 信任危机 6 Professional Security Solution Provider 银 行 业赖 以生存的重要信息 资产 帐户信息 客户资料 信用记录 交易明细 业务数据大集中

4、的同时 ， 客观上也把风险集中和放 大起来 。 7 24 365 7 Professional Security Solution Provider 灾 难 、故障 中断 8 Professional Security Solution Provider 9/11 9 Professional Security Solution Provider 东 南 亚 海 啸 10 Professional Security Solution Provider 直接和 间 接的 损 失 间接损失 新闻头条 公众声誉 直接损失 数据丢失、设备损坏 人员伤害 11 Professional Security

5、 Solution Provider 当前世界所面临的风险有恐怖袭击 、 黑客 、 网络侵袭 、 电脑病毒 、 自然灾 害 、 大规模停电 、 罢工 、 环保 、 市场恶性竞争 、 企业倒闭等 。 根据权威机构统计 ， 美国在近 10年间遭遇过灾难事件的公司中 ， 有 55%的 公司马上倒闭 ， 因为数据丢失造成业务无法持续 ， 有 29%的公司在两年之 内倒闭 。 根据明尼苏达大学统计 ， 美国证券金融行业平均可容忍的最大停机时间是 2天 ， 没有实施灾难备份措施的公司在遇到灾难后 60%将在 2 3年内破产 。 据 Gartner Group统计 ， 在经历大型灾难事件而导致系统停运的公司

6、中 ， 有 2/5左右再也没有恢复运营 ， 剩下的公司中也有接近 1/3在两年内破产 。 9.11事件中 ， 1200家企业受灾 ， 400家企业启动了灾难恢复计划 ， 其中摩 根士丹利公司几天后在新泽西州恢复营业 ， 而无灾备能力的企业损失惨重 。 12 Professional Security Solution Provider 传统的业务管理方法及流程 ， 在遭遇灾难事件时常常不堪一击 ， 甚至可能 随时崩溃 。 但是在灾难尚未降临之前 ， 人们的警惕性都不高 ， 仍没有看到 BCM的重要 性 。 庆幸的是 ， 越来越多深受灾难事件影响的企业和机构已开始认识到 ， 只有 通过更加切实的

7、手段 ， 借助更便捷的信息技术 ， 构建真正有效应对危机事 件的管理体系 ， 并且使管理科学化 、 手段现代化 ， 才能保证业务的连续运 行 ， 才能保证各类应用系统和数据的完整性 。 从国际成功经验来看 ， 那些及时引入 BCM的企业和机构 ， 之所以能够在灾 难事件面前处乱不惊 、 化险为夷 ， 主要在于他们能够借助先进的业务持续 管理解决方案 ， 有效地保护其核心业务的持续运行 。 如今 ， BCM已成为应对危机事件的国际通用规则 。 13 Professional Security Solution Provider 业务连续 性管理 (BCM: Business Continuity

8、 Management) 目的：防止业务停顿 ， 以及保护重要业务进程不受重大失效 或灾难的影响 。 (BS7799) 预防 (Prevent) & 恢复 (Recovery) 一项综合管理流程 ， 它使企业认识到潜在的危机和相关影响 ， 制 订响应 、 业务和连续性的恢复计划 ， 其总体目标是为了提高企业 的风险防范能力 ， 以有效的响应非计划的业务破坏并降低不良影 响 。 BCM的出发点在于对潜在的灾难危险加以辨别并进行分析 ， 以确 定其对企业运作造成的威胁 ， 并建立一个完善的持续管理计划来 防止或减少灾难事件给企业带来的损失 。 14 Professional Security So

9、lution Provider 业务连续 性 计 划 BCP 业务连续性计划是一套高级管理和规章流程 ， 它使一个组织在突发事件面前能够迅速做出反应 ， 以确保关键业务功能可以持续 ， 而不造成业务中断或业务流程本质的改变 。 15 Professional Security Solution Provider 灾难恢复应该是整个应急体系中的最后一道防线 。 事实上 ， 无论备份等级有多高 ， 任何灾备中心与真 正的业务系统间都还是会存在或多或少的时点差距 的 ， 切换恢复后的业务系统不一定是全部；且系统 切换本身也是要付出时间 、 人力 、 物力等高成本代 价的 。 而我们所该做的 ， 是在

10、灾难发生后尽量将损失降到 最低 。 16 Professional Security Solution Provider 每一 层为邻 近 层 提供 稳 定的基 础 Construction, Environmental, Electro-Mechanical, Utilities Servers, Storage Devices, Routers, Switches Operating Systems, Network Protocols Operations Automation, Logical Security, Middleware, Database Change, Problem

11、, and Configuration Management, SDLC, Data Structures, Naming Conventions, Quality Standards Strategic Planning, Architecture Definition, Planning & Control Continuous Service Facilities Hardware Systems Software Support Systems Business Applications Management Practices 17 Professional Security Sol

12、ution Provider 公司的员工 、 供应商 、 顾客对公司的信心 公司名誉 品牌面临的风险 BCM无疑等于给股东吃了一颗定心丸 18 Professional Security Solution Provider 业务连续性管理的国际专业操作步骤 19 Professional Security Solution Provider 从 战 略管理高度考 虑 BCM 实施 BCM， 应该从战略管理的高度 ， 关注流程 、 人 员 、 设施和计划 。 这四个要素分别解决了在应对灾难危机时 ， 什么人 (或组织 )按照什么样的流程操作什么样的资源 ， 而计 划正是规范以上要素的文档体现 。

13、 因此 ， BCM要从企业的 业务目标 出发 ， 分析企业具 体的业务流程 ， 详细分析支持这些业务流程的应用 系统 ， 分析它们一旦发生危机对业务的影响 。 根据 上述影响 ， 制定相应的规避方法 ， 包括流程和技术 手段 。 20 Professional Security Solution Provider 业务连续性管理的国际专业操作步骤 (10 Steps) 1. 项目启动和管理 确定业务持续计划 （ BCP） 实施过程的相关需求 ， 包括获得管理支持 、 以及组织和管理项目使其符合时间和预算 的限制要求 。 2. 风险评估和控制 确定可能造成机构及其设施中断的灾难 、 具有负面影响

14、的事件和周边环境因素 ， 以及事件可能造成的损失 、 防止 或减少潜在损失影响的控制措施 ， 提供成本效益分析以调整控制措施方面的投资 ， 达到消减风险的目的 。 同时 ， 由于风险会随着系统的发展而变化 ， 所以风险管理过程也必须是动态的 。 3. 业务影响分析 确定由于中断和预期灾难可能对机构造成的影响 ， 以及用来定量和定性分析这种影响的技术 。 确定关键功能 、 恢 复优先顺序和相关性以便确定恢复时间 。 4. 制定业务连续性战略 确定和指导备用业务恢复运行策略的选择 ， 以便在恢复时间目标范围内恢复业务和信息技术 ， 并维持机构的关键 功能 。 5. 紧急响应和运行 制定和实施用于事

15、件响应以及对事件所引起状况进行稳定的规程 ， 包括建立和管理紧急事件运作中心 ， 该中心用 于在紧急事件中发布命令 。 21 Professional Security Solution Provider 6. 制定和实施业务连续性计划 设计 、 制定和实施业务连续性计划 ， 以便在恢复时间目标范围内完成恢复 。 7. 意识培养和培训项目 准备建立对机构人员进行意识培养和技能培训的项目 ， 以便业务连续性计划能够得到制定 、 实施 、 维护和执行 。 8. 业务连续性计划的演练和维护 对预先计划和计划间的协调性进行演练 、 并评估和记录计划演练的结果 。 制定维持连续性能力和 BCP文档更新状

16、态的方法 ， 使其与机构的策略方向保持一致 。 通过与适当标准的比较来验证 BCP 的效率 ， 并使用简明的语言报告验证的结果 。 9. 危机联络 制定 、 协调 、 评价和演练在危机情况下与媒体交流的计划；制定 、 协调 、 评价和演练与员工及其 家庭 、 主要客户 、 关键供应商 、 业主股东以及机构管理层进行沟通和在必要情况下提供心理辅 导的计划 ， 确保所有利益群体能够得到所需的信息 。 10. 与外部机构的合作 建立适用的规程和策略 ， 用于同地方当局协调响应 、 连续性和恢复活动 ， 以确保符合现行的法令 和法规 。 22 Professional Security Solutio

17、n Provider 业务发 生中断 恢复的时间 故障、灾难 业务中断 紧急响应 重定位备份 资源 在行动 恢复操作系统 重装载 数据库 回滚和 再同步 23 Professional Security Solution Provider 持 续 性 计 划同 风险 管理关系 自然 火灾 飓风 洪水 台风 。 。 人 阴谋破坏 恶意代码 操作员错误 技术 硬件故障 数据残缺 电信故障 电力故障 潜在风险 风险评估 安全控制 管理控制 运行维护控制 技术控制 。 。 。 持续性计划 范围 飓风 操作员错误 硬件故障 数据残缺 。 。 自然 火灾 飓风 洪水 台风 。 。 人 阴谋破坏 恶意代码

18、操作员错误 。 。 技术 硬件故障 数据残缺 电信故障 电力故障 。 火灾 飓风 洪水 阴谋破坏 硬件故障 数据残缺 电信故障 操作员错误 自然 火灾 飓风 洪水 台风 。 。 人 阴谋破坏 恶意代码 操作员错误 。 。 技术 硬件故障 数据残缺 电信故障 电力故障 。 硬件故障 数据残缺 操作员错误 飓风 标识的风险 残余的风险 24 Professional Security Solution Provider 持 续 性 计 划 实 施流程 开发 持续性计划 策略 进行 业务影响 分析 标识 预防性的 安全控制 开发 恢复战略 开发 持续性计划 计划测试、 培训和演 练 计划维护 标识现

19、存 要求 标识相关 计划和程序 得到高层 管理支持 标识关键 IT资源 标识中断 影响和允许 的中断时间 开发恢复 优先级 实现控制 维护控制 标识方法 集成至系 统体系结构 中 文档恢复 战略 开发测试 目标 开发成功 准则 文档所学 教训 综合至计 划中 培训人员 审阅和更 新计划 同内部 /外 部组织机构 合作 控制分发 文档变更 25 Professional Security Solution Provider 持 续 性 计 划内容 计划开发 综合业务影响分析的发现 文档记录恢复战略 支持信息 介绍 运行操作的概念 通告 /启动阶段 通告流程 损害评估 计划启动 恢复阶段 恢复行动

20、的结果 恢复流程 重构阶段 恢复原站点 测试系统 结束操作 计划附录 联系人列表 系统要求 至关重要的记录 26 Professional Security Solution Provider 持 续 性 计 划 呼叫 树实 例 持续性计划 协调人 后备持续性计划 协调人 网络恢复小组 负责人 数据库恢复小组 负责人 通信小组 负责人 服务器恢复小组 负责人 网络操作系统 管理员 数据库 管理员 SQL管理员 数据库分析 支持技术人员 支持技术人员 帮助台技术人员 广域网工程师 资深系统工程师 通信 技术人员 通信 技术人员 电子邮件 管理员 服务器支持 技术人员 应用服务器 管理员 服务器支

21、持 技术人员 27 Professional Security Solution Provider 演 练 是非常必要的环节 每年至少 1 2次 制定灾难恢复的流程 ， 一旦生产中心遭遇灾难 ， 发出灾难宣告 ， 灾难备份中心数据处理系统 、 备份网络系统设备就绪 ， 应急中心 与灾难备份中心网络连通 ， 按灾难备份切换操作手册完成灾备系 统切换 ， 业务终端联机交易确认 ， 灾难备份中心接替生产中心运 营 。 演练的意义在于 ， 当灾难来临时 ， 相关人员对自己的职责 ， 以及 灾难恢复的流程有一个 相当清晰 的概念 ， 并且 实际操作 过 ， 最终 帮助业务取得连续性的发展 。 与演练几乎

22、同等重要的是系统的维 护 。 28 Professional Security Solution Provider 如果灾难恢复小组中的某一个关键人物离开现职 ， 那么必须实时的将信息反馈 ， 更改有关的说明书 ， 以确保灾难来临时 ， 相应的人员可以对照说明书 ， 找到合适的主管人员处理相应问题 。 所有的最佳实践被汇总编辑到一本说明书中 ， 这本 说明书被要求带在每一个相关人员的身边 ， 灾难发 生时 ， 按照上面的指引 ， 就可以立即明确自己的职 责 。 29 Professional Security Solution Provider 灾难防备 在大家都沉睡时，醒来 30 Profe

23、ssional Security Solution Provider 应急处理 31 Professional Security Solution Provider 任何组织都会遭受攻击 32 Professional Security Solution Provider 每年发现的漏洞数量飞速上升 每年发现的漏洞数量飞速上升 2004年 CVE全年收集漏洞信息 1707条 到 2005年到 5月 6日就已经达到 1470条 绿盟科技到到 5月份跟踪的漏洞也 超过了 1700条 年份 漏洞数量 1999 742 2000 404 2001 832 2002 1006 2003 1049 200

24、4 1707 2005* 1479 33 Professional Security Solution Provider 发起攻击越来越容易、攻击能力越来越强 34 Professional Security Solution Provider 黑客的职业化之路 不再是小孩的游戏 ， 而是与 ￥ 挂钩 职业入侵者受网络商人或商 业间谍雇佣 不在网上公开身份 ， 不为人 知 ， 但确实存在 。 攻击者对自己提出了更高的 要求 ， 不再满足于普通的技 巧而转向底层研究 。 35 Professional Security Solution Provider 安全形势永远都是严峻的 攻击技术已经开始

25、普及 ， SQL Injection、 DOS等攻击方式对使用者 要求较低 缓冲区溢出 、 格式串攻击已公开流传 多年 ， 越来越多的人掌握这些技巧 少部分人掌握自行挖掘漏洞的能力 ， 并且这个数量在增加 。 漏洞挖掘流程 专业化 ， 工具自动化 。 Zero-day的攻击 无线安全 /手机安全问题开始出现 36 Professional Security Solution Provider 不断发展的攻击技术 SQL注入 Google Hacking Phishing 客户端攻击 混合拒绝服务 /BOTNET 攻 击 技 术 的 发 展 密码猜测 社会工程 远程溢出 蠕虫病毒 木马 拒绝服务

26、 CGI 传统 的攻 击 技 术 37 Professional Security Solution Provider 客户端攻击技术 在攻击服务端变得困难时 ， 黑客 把目标转向管理员的 PC以及其他 客户机群 利用对象： Windows漏洞 、 IE、 Outlook 、 Foxmail 、 Serv-U 、 IRC软件等 客户端往往不被重视 ， 加上 ARP 欺骗 、 SMB会话劫持技术的应用 ， 大多数内网安全性很薄弱 社会工程学的应用 38 Professional Security Solution Provider Phishing攻 击 的流行 美国反网络钓鱼攻击工作小组 (A

27、PWG) ： 2005年 1月份共接到了 12845起网络钓鱼电子邮件 汇报 ， 支持这种欺诈性邮件信息的网站也增加到了 2560个 。 国家计算机网络应急技术处理协调中心 （ CNCERT/CC） ： 2004年该中心接到网络钓鱼欺 诈事件报告达 223起； 2004年 7月份以来 ， 该中心接到的该类报告以月均 26 的速度递增 。 美国的网络钓鱼网站最多 ， 占全球总量的 32%， 中国名列第二 (13%)， 韩国位于第三 (10%) 39 Professional Security Solution Provider Phishing的技 术实现 以假乱真 ， 视觉陷阱 域名 类 似

28、www.lcc.org 姜太公 钓鱼 ，愿者上 钩 身份伪装：基于邮件的网页欺骗 ， 社会工程的应用 A ? DNS 劫持 +网页伪造：更难以察觉的攻击方式 40 Professional Security Solution Provider Google Hacking 利用搜索引擎输入特定语法 、 关键字寻 找可利用的渗透点 ， 最终完成入侵 。 敏 感的信息包括： 目标站点的信息 存储密码的文件 后台管理和上传文件的 Web 页 数据库 特定扩展名的文件 特定的 Web 程序 ， 如论坛 Google蠕虫已经出现 ！ Net-Worm.Perl.Santy.a。 利用用 Google查询

29、来发现运行 phpBB 论坛系统的 Web站点系统漏洞并自动 修改 2004年在拉斯维加斯举行的 BlackHat 大会上 ， 有两位安全专家分别作了名为 You found that on google ? 和 google attacks 的主题演讲 41 Professional Security Solution Provider Google Hacking Example intitle:“xxx shell* “xxx stderr filetype:php Google信息收集 site: site: intext:* 42 Professional Security Solu

30、tion Provider SQL Injection Attack SQL注入攻击就其本质而言 ， 利用的工具是 SQL的语法 ， 针对的是应用程序开设计 中的漏洞 。 “ 当攻击者能够操作数据 ， 往应用程序中插入一些 SQL语句时 ， SQL注入攻击就发 生了 ” 。 攻击目标：控制服务器 /获取敏感数据 2000年 2001年 2002年 2003年 2004年 2005年 简单的登陆验证绕过 针对 asp+sql server的基本注入 自动化注入攻击工具的出现 更多的后台数据库操作研究 Php/JSP注入技术 高级注入攻击技术 43 Professional Security So

31、lution Provider 应急响应是指针对已经发生或可能发生的安全事件进行监控 、 分析 、 协调 、 处理 、 保护资产安全属性的活动 。 网络安全无法保证一劳永逸 。 为了做到更好的安全保障 ， 减 少安全事件的发生 ， 这需要： 在事件发生前从最坏处考虑 ， 做好应急响应计划 。 在事件发生后尽快有效响应 ， 降低应急处理时间 。 44 Professional Security Solution Provider 应急响应 应急响应服务的目的是最快速度恢复系统的保密性 、 完整性 和可用性 ， 阻止和减小安全事件带来的影响 。 避免没有章法 、 可能造成灾难的响应 。 更快速和标

32、准化的响应 。 确认或排除是否发生了紧急事件 。 使紧急事件对业务或网络造成的影响最小化 。 保护企业 、 组织的声誉和资产 。 教育高层管理人员 。 提供准确的报告和有价值的建议 。 45 Professional Security Solution Provider 应急响应是重要的 在安全保障体系中 ， 应急响应 （ 应急处理 ） 是一个重要的过程 ， 也是必要的环节 。 从 IT 服务最佳实践流程 (ITIL)来看 ， 应急响应是事件管理 、 问题 管理的重要因素 。 事件管理强调的是速度 ， 即尽快的响应事件； 问题管理强调的是根本 ， 即从根本上解决问题 ， 保证问题不再出 现 。

33、 应急响应 （ 应急处理 ） 应当涉及这两方面的内容 。 46 Professional Security Solution Provider 应 急响 应 是可行的 应急响应 （ 应急处理 ） 应该从三方面来考虑：人 (People)、 流程 (Process)、 技术 (Technology)。 在安全事件发生后 ， 应当有适合的 、 有能力的人员 （ 专家 ） 进行响应 ， 他们的技能和经验是有效的应急响应的基础 。 仅 仅有胜任的人员也是不足的 ， 盲目的没有章法的应急响应往 往会事与愿违 ， 带来更大的灾难 ， 因此流程 、 程序 、 计划都 变得非常重要 。 由于安全事件的不可预知

34、性 ， 所以需要先进 的技术 （ 产品 、 工具 、 研究成果 ） 作保障 ， 应急响应的目的 是为了根本解决问题 ， 并不是简单的仅仅依靠热情来达到 。 47 Professional Security Solution Provider 国际间的协调组织 国内的协调组织 国内的协调组织 愿意付费的 任何用户 产品用户 网络接入用户 企业部门、用户 商业 IRT 网络服务提供商 IRT 厂商 IRT 企业 /政府 IRT 如：绿盟科技 如： CCERT 如： Cisco、 IBM 如：中国银行、 公安部 如 CERT/CC, FIRST 如 CNCERT/CC 应急响应组的分类 48 Pro

35、fessional Security Solution Provider 中国银行应急响应需求 制定应急响应计划 信息安全重要的一个方面是在攻击发生时应能知晓如何应对 ， 提前的计划与准备能够尽 快的抑制攻击 、 降低影响 。 但是制定应急响应计划是一个非常耗时的工作 。 培养中国银行应急响应专家 在安全事件处理过程中 ， “ 人 ” 的作用是勿庸置疑的 。 为了降低第三方安全服务提供商 的风险 ， 所以培养中国银行集团应急专家是必要的 。 做好应急响应知识管理 要注意做好应急响应 （ 应急处理 ） 知识管理工作 ， 知识管理可以通过创建 、 固化 、 掌握 、 传播 、 改进等一系列的方式实

36、现 。 知识管理的目标很明确 ， 让尽可能多的人具备良好的 思考方式和一定的技能 。 定期进行应急演练 如果仅仅将应急响应计划束之高阁 ， 长此以往 “ 人 ” 的警惕将会松懈 ， 直接后果是在安 全事件发生后表现混乱 ， 无从下手 ， 所以要定期进行应急演练 ， 每次针对不同的主题 ， 在实战情况下演练效果更佳 。 应急演练最忌讳的方式是纸上谈兵 ， 达不到预期的目标 。 49 Professional Security Solution Provider 需要第三方安全服务厂商的应急响应支持 由于资源 、 精力等限制 ， 中国银行集团在进行应急响应 （ 应急处理 ） 的过程中 ， 不可避免

37、的与其他 社会资源协作 ， 共同抵抗安全威胁 。 安全服务厂商在应急响应方面具备一定的经验和技术 ， 为中国 银行提供风险降低支持 。 需要其他社会资源的应急响应支持 国家计算机网络应急响应协调处理中心 (CNCERT/CC)、 公安部 、 安全部等也能够在全网协作 、 调 查取证方面提供必要的支持 。 需要第三方安全服务厂商提供早期安全预警智能 具备深入研究能力的第三方安全服务厂商为中国银行提供早期安全预警智能 ， 这些知识将间接的提 高应急响应的效能：通过预先的风险降低措施减少安全事件的发生 ， 通过知识管理尽早的获得知识 并及时更新 。 对合作的第三方安全服务厂商提出要求 这主要从两个方

38、面来进行考核：能力与速度 。 毫无疑问 ， 第三方安全服务厂商的能力 （ 研究能力 、 漏洞发现能力 、 应急响应能力 、 技术领先能力 、 经验等 ） 是应急响应是否成功的关键 。 速度是考察 第三方安全服务厂商应急响应服务的服务级别协议 (SLA)的一个重要指标 ， 在一定程度上反映了厂 商的态度与信誉 。 50 Professional Security Solution Provider 矩 阵 需考虑的因素 需包含的内容 紧急程度 * 人 (People) 建立应急响应小组 培养中国银行集团应急响应专家 需要第三方安全服务厂商的支持 需要其他社会资源的支持 紧急 一般 紧急 紧急 流

39、程 (Process) 制定应急响应计划 定期进行应急响应演练 做好应急响应知识管理 紧急 一般 一般 技术 (Technology) 应急响应产品与工具 需要第三方安全服务厂商提供早期安全预警 智能 对合作的第三方安全服务厂商提出要求 紧急 一般 一般 * 仅供中国银行参考 51 Professional Security Solution Provider 绿盟科技应急响应小组 (NSFIRST) 7*24 支持 电话支持 远程支持 现场支持 具体需求与最佳实践完美结合的应急响应程序 协助进行应急响应演练 ， 改进应急响应准备 绿盟科技研究院 安全小组 (NSFOCUS Security

40、Team) 的威胁智能分析支 持 绿盟科技自有的安全产品 （ 黑洞 、 NIPS/NIDS、 Scanner、 流量监控与分析 、 网络诱骗系统 ） 52 Professional Security Solution Provider 主要安全事件 拒绝服务攻击 网络流量异常 服务器异常 性能异常 数据被破坏 入侵攻击 蠕虫病毒爆发 53 Professional Security Solution Provider 事件分 级 事件级别 严重程度 描述 1 轻微 用户网络或业务系统出现故障 ， 但暂时不影响业务系统的运行 。 2 普通 用户网络或业务系统出现异常 ， 运行效率降低或出现错误

41、。 3 严重 用户网络或业务系统无法正常工作 。 4 紧急 用户网络或业务系统中断或瘫痪 。 54 Professional Security Solution Provider 事件升 级标 准 负责人 成员 绿盟科技应急响应小组 李钠 NSFIRST 绿盟科技专业服务部 王红阳 (Why) NSFIRST、 PSD 绿盟科技安全小组 左磊 (warning3) NSFOCUS Security Team 若未解决 事件升级 2小时 绿盟科技应急响应小组 4小时 绿盟科技专业服务部 8小时 绿盟科技安全小组 北京、上海、广州 2个小时内到达指定现场。 其他城市 8小时内到达指定现场。 55

42、Professional Security Solution Provider 绿 盟科技 应 急响 应 服 务 方法 论 56 Professional Security Solution Provider People: NSFIRST Process: 策略和程序 Technology: 硬件、软件、工具、文档 Preparation Detection & Analysis Containment Eradication & Recovery 应急响应流程 Post-Incident Activity Technology 57 Professional Security Soluti

43、on Provider 事件起因分析。 事件取证追查。 系统后门检查、漏洞分析。 数据收集、数据分析。 Preparation Detection & Analysis Containment Eradication & Recovery 应急响应流程 Post-Incident Activity 调查 事件分级 决定什么对自己最重 要。 为紧急事件确定优先 级，更有效的利用资 源。 不是每个紧急事件都 需要平等对待。 紧急事件检测 防火墙日志 系统日志 Web 服务器日志 IDS 日志 可疑的用户 管理员报告 初始响应 初步判定事件类型、 定义事件级别。 准备相关资源。 为紧急事件的处理取

44、得管理方面的支持。 组建事件处理小组。 制定安全事件响应策 略。 58 Professional Security Solution Provider Preparation Detection & Analysis Containment Eradication & Recovery 应急响应流程 Post-Incident Activity 抑制、消除和恢复 恢复系统正常。 确认系统是否已经完 全恢复正常。 修补系统漏洞，安全 性增强。 部署安全措施。 设置过滤策略。 59 Professional Security Solution Provider Preparation Detect

45、ion & Analysis Containment Eradication & Recovery 应急响应流程 Post-Incident Activity 追踪 提交事件处理报告 根据情况查找事件来源 教育 完善应急处理知识库、 流程和规范 教育、培训，传播经验 60 Professional Security Solution Provider Why NSFOCUS? 强大的基础研究能力 。 精湛的技术水平 。 迅速的应急响应能力 。 完善的应急响应体系 。 丰富的解决问题经验 。 主动的早期预警通告 。 及时的国际安全信息 。 61 Professional Security Sol

46、ution Provider 公司荣誉 服务资质 2001年首批安全服 务试 点企 业 2002年首批安全服 务 一 级资质 企 业 2004年首批安全服 务 二 级资质 企 业 2004年首批 公共互联网应急处理国 家级服务试点单位 北京市应急响应平台合作单位 ISO 9001 国 际 、国内双 认证 用户认可 连续 三年最 值 得信 赖 的安全服 务 品牌 连续获 得两年 电 子政 务 百 强 称号 荣 获 中关村最佳客 户 服 务奖 专业资质 荣誉证书 62 Professional Security Solution Provider More Details http:/ http:

47、/www.thebci.org/ The Business Continuity Institute (BCI) was established in 1994 to enable members to obtain guidance and support from fellow business continuity practitioners. http:/www.drii.org/ DRI International was founded in 1988 as the Disaster Recovery Institute in order to develop a base of knowledge in contingency planning and the management of risk, a rapidly growing profession. Professional Security Solution Provider 谢 谢 ！