中国银行.业务连续性学习资料

《中国银行.业务连续性学习资料》由会员分享，可在线阅读，更多相关《中国银行.业务连续性学习资料（65页珍藏版）》请在装配图网上搜索。

1、中国银行.业务连续性管理1Professional Security Solution Provider提提纲纲为什么需要业务连续性管理？业务连续性管理的国际专业操作步骤应急处理2Professional Security Solution Provider3Professional Security Solution Provider4Professional Security Solution Provider5Professional Security Solution Provider机密信息机密信息丢丢失引失引发发信任危机信任危机2005年6月1日，瑞士银行集团(UBS)日本分行丢失

2、了一张存有高度敏感客户信息的磁盘。其中可能包含相当机密的交易、止损单记录以及公司各类客户的敏感信息。2005年6月6日，花旗银行390万客户账户资料在快递途中的神秘失踪。2005年6月17日，由于美国信用卡系统解决方案公司 CardSystems 的安全漏洞，导致4000万用户的银行资料被泄漏，其中包括 MASTER 公司的1390万用户、VISA 的2200万客户。信任危机信任危机6Professional Security Solution Provider银银行行业赖业赖以生存的重要信息以生存的重要信息资产资产帐户信息客户资料信用记录交易明细业务数据大集中的同时，客观上也把风险集中和放大

3、起来。7243657Professional Security Solution Provider灾灾难难、故障、故障中断中断8Professional Security Solution Provider9/119Professional Security Solution Provider东东南南亚亚海海啸啸10Professional Security Solution Provider直接和直接和间间接的接的损损失失间接损失间接损失新闻头条新闻头条公众声誉公众声誉直接损失直接损失数据丢失、设备损坏数据丢失、设备损坏人员伤害人员伤害11Professional Security Solu

4、tion Provider当前世界所面临的风险有恐怖袭击、黑客、网络侵袭、电脑病毒、自然灾害、大规模停电、罢工、环保、市场恶性竞争、企业倒闭等。根据权威机构统计，美国在近10年间遭遇过灾难事件的公司中，有55%的公司马上倒闭，因因为为数数据据丢丢失失造造成成业业务务无无法法持持续续，有29%的公司在两年之内倒闭。根据明尼苏达大学统计，美国证券金融行业平均可容忍的最大停机时间是2天，没有实施灾难备份措施的公司在遇到灾难后没有实施灾难备份措施的公司在遇到灾难后60%将在将在23年内破产。年内破产。据Gartner Group统计，在经历大型灾难事件而导致系统停运的公司中，有2/5左右再也没有恢复运

5、营，剩下的公司中也有接近1/3在两年内破产。9.11事件中，1200家家企企业业受受灾灾，400家家企企业业启启动动了了灾灾难难恢恢复复计计划划，其中摩根士丹利公司几天后在新泽西州恢复营业，而无灾备能力的企业损失惨重。12Professional Security Solution Provider传统的业务管理方法及流程，在遭遇灾难事件时常常不堪一击，甚至可能随时崩溃。但是在灾难尚未降临之前，人们的警惕性都不高，仍没有看到BCM的重要性。庆幸的是，越来越多深受灾难事件影响的企业和机构已开始认识到，只有通过更加切实的手段，借助更便捷的信息技术，构建真正有效应对危机事件的管理体系，并且使管理科学

6、化、手段现代化，才能保证业务的连续运行，才能保证各类应用系统和数据的完整性。从国际成功经验来看，那些及时引入BCM的企业和机构，之所以能够在灾难事件面前处乱不惊、化险为夷，主要在于他们能够借助先进的业务持续管理解决方案，有效地保护其核心业务的持续运行。如今，如今，BCM已成为应对危机事件的国际通用规则。已成为应对危机事件的国际通用规则。13Professional Security Solution Provider业务连续业务连续性管理性管理(BCM:BusinessContinuityManagement)目的：防止业务停顿，以及保护重要业务进程不受重大失效或灾难的影响。(BS7799)预

7、防预防(Prevent)&恢复恢复(Recovery)一项综合管理流程，它使企业认识到潜在的危机和相关影响，制订响应、业务和连续性的恢复计划，其总体目标是为了提高企业的风险防范能力，以有效的响应非计划的业务破坏并降低不良影响。BCM的出发点在于对潜在的灾难危险加以辨别并进行分析，以确定其对企业运作造成的威胁，并建立一个完善的持续管理计划来防止或减少灾难事件给企业带来的损失。14Professional Security Solution Provider业务连续业务连续性性计计划划BCP业务连续性计划是一套高级管理和规章流程，它使一个组织在突发事件面前能够迅速做出反应，以确保关键业务功能可以持

8、续，而不造成业务中断或业务流程本质的改变。15Professional Security Solution Provider灾难恢复应该是整个应急体系中的最后一道防线。事实上，无论备份等级有多高，任何灾备中心与真正的业务系统间都还是会存在或多或少的时点差距的，切换恢复后的业务系统不一定是全部；且系统切换本身也是要付出时间、人力、物力等高成本代价的。而而我我们们所所该该做做的的，是是在在灾灾难难发发生生后后尽尽量量将将损损失失降降到到最低。最低。16Professional Security Solution Provider每一每一层为邻层为邻近近层层提供提供稳稳定的基定的基础础Facilit

9、iesHardwareSystemsSoftwareSupportSystemsBusinessApplicationsManagementPractices17Professional Security Solution Provider公司的员工、供应商、顾客对公司的信心公司名誉品牌面临的风险BCM无疑等于给股东吃了一颗定心丸无疑等于给股东吃了一颗定心丸18Professional Security Solution Provider业务连续性管理的国际专业操作步骤业务连续性管理的国际专业操作步骤19Professional Security Solution Provider从从战战略管

10、理高度考略管理高度考虑虑BCM实施BCM，应该从战略管理的高度，关注流程、人员、设施和计划。这四个要素分别解决了在应对灾难危机时，什么人(或组织)按照什么样的流程操作什么样的资源，而计划正是规范以上要素的文档体现。因此，BCM要从企业的业业务务目目标标出发，分析企业具体的业务流程，详细分析支持这些业务流程的应用系统，分析它们一旦发生危机对业务的影响。根据上述影响，制定相应的规避方法，包括流程和技术手段。20Professional Security Solution Provider业务连续性管理的国际专业操作步骤业务连续性管理的国际专业操作步骤(10Steps)1.项目启动和管理确定业务持续

11、计划（BCP）实施过程的相关需求，包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制要求。2.风险评估和控制确定可能造成机构及其设施中断的灾难、具有负面影响的事件和周边环境因素，以及事件可能造成的损失、防止或减少潜在损失影响的控制措施，提供成本效益分析以调整控制措施方面的投资，达到消减风险的目的。同时，由于风险会随着系统的发展而变化，所以风险管理过程也必须是动态的。3.业务影响分析确定由于中断和预期灾难可能对机构造成的影响，以及用来定量和定性分析这种影响的技术。确定关键功能、恢复优先顺序和相关性以便确定恢复时间。4.制定业务连续性战略确定和指导备用业务恢复运行策略的选择，以便在恢复时

12、间目标范围内恢复业务和信息技术，并维持机构的关键功能。5.紧急响应和运行制定和实施用于事件响应以及对事件所引起状况进行稳定的规程，包括建立和管理紧急事件运作中心，该中心用于在紧急事件中发布命令。21Professional Security Solution Provider6.制定和实施业务连续性计划设计、制定和实施业务连续性计划，以便在恢复时间目标范围内完成恢复。7.意识培养和培训项目准备建立对机构人员进行意识培养和技能培训的项目，以便业务连续性计划能够得到制定、实施、维护和执行。8.业务连续性计划的演练和维护对预先计划和计划间的协调性进行演练、并评估和记录计划演练的结果。制定维持连续性能

13、力和BCP文档更新状态的方法，使其与机构的策略方向保持一致。通过与适当标准的比较来验证BCP的效率，并使用简明的语言报告验证的结果。9.危机联络制定、协调、评价和演练在危机情况下与媒体交流的计划；制定、协调、评价和演练与员工及其家庭、主要客户、关键供应商、业主股东以及机构管理层进行沟通和在必要情况下提供心理辅导的计划，确保所有利益群体能够得到所需的信息。10.与外部机构的合作建立适用的规程和策略，用于同地方当局协调响应、连续性和恢复活动，以确保符合现行的法令和法规。22Professional Security Solution Provider业务发业务发生中断生中断恢复的时间恢复的时间故障

14、、灾难业务中断紧急响应紧急响应重定位备份重定位备份资源资源在行动在行动恢复操作系统恢复操作系统重装载重装载数据库数据库回滚和回滚和再同步再同步23Professional Security Solution Provider持持续续性性计计划同划同风险风险管理关系管理关系自然自然火灾火灾飓风飓风洪水洪水台风台风。人人阴谋破坏阴谋破坏恶意代码恶意代码操作员错误操作员错误技术技术硬件故障硬件故障数据残缺数据残缺电信故障电信故障电力故障电力故障潜在风险潜在风险风险评估风险评估安全控制安全控制管理控制运行维护控制技术控制。持续性计划持续性计划范围范围飓风操作员错误硬件故障数据残缺。自然自然火灾火灾飓风

15、飓风洪水洪水台风台风。人人阴谋破坏阴谋破坏恶意代码恶意代码操作员错误操作员错误。技术技术硬件故障硬件故障数据残缺数据残缺电信故障电信故障电力故障电力故障。火灾火灾飓风飓风洪水洪水阴谋破坏阴谋破坏硬件故障硬件故障数据残缺数据残缺电信故障电信故障操作员错误操作员错误自然自然火灾火灾飓风飓风洪水洪水台风台风。人人阴谋破坏阴谋破坏恶意代码恶意代码操作员错误操作员错误。技术技术硬件故障硬件故障数据残缺数据残缺电信故障电信故障电力故障电力故障。硬件故障硬件故障数据残缺数据残缺操作员错误操作员错误飓风飓风标识的风险标识的风险残余的风险残余的风险24Professional Security Solution

16、 Provider持持续续性性计计划划实实施流程施流程开发开发持续性计划持续性计划策略策略进行进行业务影响业务影响分析分析标识标识预防性的预防性的安全控制安全控制开发开发恢复战略恢复战略开发开发持续性计划持续性计划计划测试、计划测试、培训和演培训和演练练计划维护计划维护标识现存要求标识相关计划和程序得到高层管理支持标识关键IT资源标识中断影响和允许的中断时间开发恢复优先级实现控制维护控制标识方法集成至系统体系结构中文档恢复战略开发测试目标开发成功准则文档所学教训综合至计划中培训人员审阅和更新计划同内部/外部组织机构合作控制分发文档变更25Professional Security Soluti

17、on Provider持持续续性性计计划内容划内容计划开发计划开发综合业务影响分析的发现文档记录恢复战略支持信息支持信息介绍运行操作的概念通告通告/启动阶段启动阶段通告流程损害评估计划启动恢复阶段恢复阶段恢复行动的结果恢复流程重构阶段重构阶段恢复原站点测试系统结束操作计划附录计划附录联系人列表系统要求至关重要的记录26Professional Security Solution Provider持持续续性性计计划划呼叫呼叫树实树实例例持续性计划持续性计划协调人协调人后备持续性计划后备持续性计划协调人协调人网络恢复小组网络恢复小组负责人负责人数据库恢复小组数据库恢复小组负责人负责人通信小组通信小

18、组负责人负责人服务器恢复小组服务器恢复小组负责人负责人网络操作系统网络操作系统管理员管理员数据库数据库管理员管理员SQL管理员管理员数据库分析数据库分析支持技术人员支持技术人员支持技术人员支持技术人员帮助台技术人员帮助台技术人员广域网工程师广域网工程师资深系统工程师资深系统工程师通信通信技术人员技术人员通信通信技术人员技术人员电子邮件电子邮件管理员管理员服务器支持服务器支持技术人员技术人员应用服务器应用服务器管理员管理员服务器支持服务器支持技术人员技术人员27Professional Security Solution Provider演演练练是非常必要的环节每年至少12次制定灾难恢复的流程，

19、一旦生产中心遭遇灾难，发出灾难宣告，灾难备份中心数据处理系统、备份网络系统设备就绪，应急中心与灾难备份中心网络连通，按灾难备份切换操作手册完成灾备系统切换，业务终端联机交易确认，灾难备份中心接替生产中心运营。演练的意义在于，当灾难来临时，相关人员对自己的职责，以及灾难恢复的流程有一个相相当当清清晰晰的概念，并且实实际际操操作作过，最终帮助业务取得连续性的发展。与演练几乎同等重要的是系统的维护。28Professional Security Solution Provider如果灾难恢复小组中的某一个关键人物离开现职，那么必须实时的将信息反馈，更改有关的说明书，以确保灾难来临时，相应的人员可以对

20、照说明书，找到合适的主管人员处理相应问题。所有的最佳实践被汇总编辑到一本说明书中，这本说明书被要求带在每一个相关人员的身边，灾难发生时，按照上面的指引，就可以立即明确自己的职责。29Professional Security Solution Provider 灾难防备灾难防备在大家都沉睡时，醒来在大家都沉睡时，醒来 30Professional Security Solution Provider应急处理应急处理31Professional Security Solution Provider任何组织都会遭受攻击任何组织都会遭受攻击32Professional Security Soluti

21、on Provider每年发现的漏洞数量飞速上升每年发现的漏洞数量飞速上升每年发现的漏洞数量飞速上升 2004年CVE全年收集漏洞信息1707条 到2005年到5月6日就已经达到1470条绿盟科技到到5月份跟踪的漏洞也超过了1700条年份年份漏洞数量漏洞数量1999742200040420018322002100620031049200417072005*147933Professional Security Solution Provider发起攻击越来越容易、攻击能力越来越强发起攻击越来越容易、攻击能力越来越强34Professional Security Solution Provide

22、r黑客的职业化之路黑客的职业化之路不再是小孩的游戏，而是与￥挂钩职业入侵者受网络商人或商业间谍雇佣不在网上公开身份，不为人知，但确实存在。攻击者对自己提出了更高的要求，不再满足于普通的技巧而转向底层研究。35Professional Security Solution Provider安全形势永远都是严峻的安全形势永远都是严峻的攻 击 技 术 已 经 开 始 普 及，SQL Injection、DOS等攻击方式对使用者要求较低缓冲区溢出、格式串攻击已公开流传多年，越来越多的人掌握这些技巧少部分人掌握自行挖掘漏洞的能力，并且这个数量在增加。漏洞挖掘流程专业化，工具自动化。Zero-day的攻击无

23、线安全/手机安全问题开始出现36Professional Security Solution Provider不断发展的攻击技术不断发展的攻击技术SQL注入Google HackingPhishing客户端攻击混合拒绝服务/BOTNET攻攻击击技技术术的的发发展展密码猜测社会工程远程溢出蠕虫病毒木马拒绝服务CGI传统传统的攻的攻击击技技术术37Professional Security Solution Provider客户端攻击技术客户端攻击技术在攻击服务端变得困难时，黑客把目标转向管理员的PC以及其他客户机群利用对象：Windows漏洞、IE、Outlook、Foxmail、Serv-U、

24、IRC软件等客户端往往不被重视，加上ARP欺骗、SMB会话劫持技术的应用，大多数内网安全性很薄弱社会工程学的应用38Professional Security Solution ProviderPhishing攻攻击击的流行的流行美国反网络钓鱼攻击工作小组(APWG)：2005年1月份共接到了12845起网络钓鱼电子邮件汇报，支持这种欺诈性邮件信息的网站也增加到了2560个。国家计算机网络应急技术处理协调中心（CNCERT/CC）：2004年该中心接到网络钓鱼欺诈事件报告达223起；2004年7月份以来，该中心接到的该类报告以月均26的速度递增。美国的网络钓鱼网站最多，占全球总量的32%，中国

25、名列第二(13%)，韩国位于第三(10%)39Professional Security Solution ProviderPhishing的技的技术实现术实现以假乱真，视觉陷阱域名类似 www.lcc.org姜太公钓鱼，愿者上钩身份伪装：基于邮件的网页欺骗，社会工程的应用A?DNS 劫持+网页伪造：更难以察觉的攻击方式40Professional Security Solution ProviderGoogleHacking利用搜索引擎输入特定语法、关键字寻找可利用的渗透点，最终完成入侵。敏感的信息包括：目标站点的信息存储密码的文件后台管理和上传文件的 Web 页数据库特定扩展名的文件特定的

26、 Web 程序，如论坛Google蠕虫已经出现！Net-Worm.Perl.Santy.a。利 用 用 Google查 询 来 发 现 运 行phpBB论坛系统的Web站点系统漏洞并自动修改2004年在拉斯维加斯举行的BlackHat大会上，有两位安全专家分别作了名为You found that on google?和google attacks 的主题演讲 41Professional Security Solution ProviderGoogleHackingExampleintitle:“xxxshell*“xxxstderrfiletype:php Google信息收集信息收集sit

27、e:site:intext:*42Professional Security Solution ProviderSQLInjectionAttackSQL注入攻击就其本质而言，利用的工具是SQL的语法，针对的是应用程序开设计中的漏洞。“当攻击者能够操作数据，往应用程序中插入一些SQL语句时，SQL注入攻击就发生了”。攻击目标：控制服务器/获取敏感数据2000年2001年2002年2003年2004年2005年简单的登陆验证绕过简单的登陆验证绕过针对针对asp+sqlserver的基本注入的基本注入自动化注入攻击工具的出现自动化注入攻击工具的出现更多的后台数据库操作研究更多的后台数据库操作研究P

28、hp/JSP注入技术注入技术高级注入攻击技术高级注入攻击技术43Professional Security Solution Provider应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全属性的活动。网络安全无法保证一劳永逸。为了做到更好的安全保障，减少安全事件的发生，这需要：在事件发生前从最坏处考虑，做好应急响应计划。在事件发生后尽快有效响应，降低应急处理时间。44Professional Security Solution Provider应应急响急响应应应急响应服务的目的是最快速度恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的影响。避免没

29、有章法、可能造成灾难的响应。更快速和标准化的响应。确认或排除是否发生了紧急事件。使紧急事件对业务或网络造成的影响最小化。保护企业、组织的声誉和资产。教育高层管理人员。提供准确的报告和有价值的建议。45Professional Security Solution Provider应应急响急响应应是重要的是重要的在安全保障体系中，应急响应（应急处理）是一个重要的过程，也是必要的环节。从 IT 服务最佳实践流程(ITIL)来看，应急响应是事件管理、问题管理的重要因素。事件管理强调的是速度，即尽快的响应事件；问题管理强调的是根本，即从根本上解决问题，保证问题不再出现。应急响应（应急处理）应当涉及这两方

30、面的内容。46Professional Security Solution Provider应应急响急响应应是可行的是可行的应急响应（应急处理）应该从三方面来考虑：人(People)、流程(Process)、技术(Technology)。在安全事件发生后，应当有适合的、有能力的人员（专家）进行响应，他们的技能和经验是有效的应急响应的基础。仅仅有胜任的人员也是不足的，盲目的没有章法的应急响应往往会事与愿违，带来更大的灾难，因此流程、程序、计划都变得非常重要。由于安全事件的不可预知性，所以需要先进的技术（产品、工具、研究成果）作保障，应急响应的目的是为了根本解决问题，并不是简单的仅仅依靠热情来达到

31、。47Professional Security Solution Provider国际间的协调组织国际间的协调组织国内的协调组织国内的协调组织国内的协调组织国内的协调组织愿意付费的任何用户产品用户网络接入用户企业部门、用户商业商业IRT网络服务提供商网络服务提供商 IRT厂商厂商 IRT企业企业/政府政府 IRT如：绿盟科技如：CCERT如：Cisco、IBM如：中国银行、公安部如CERT/CC,FIRST如CNCERT/CC应应急响急响应组应组的分的分类类48Professional Security Solution Provider中国中国银银行行应应急响急响应应需求需求制定应急响应计

32、划信息安全重要的一个方面是在攻击发生时应能知晓如何应对，提前的计划与准备能够尽快的抑制攻击、降低影响。但是制定应急响应计划是一个非常耗时的工作。培养中国银行应急响应专家在安全事件处理过程中，“人”的作用是勿庸置疑的。为了降低第三方安全服务提供商的风险，所以培养中国银行集团应急专家是必要的。做好应急响应知识管理要注意做好应急响应（应急处理）知识管理工作，知识管理可以通过创建、固化、掌握、传播、改进等一系列的方式实现。知识管理的目标很明确，让尽可能多的人具备良好的思考方式和一定的技能。定期进行应急演练如果仅仅将应急响应计划束之高阁，长此以往“人”的警惕将会松懈，直接后果是在安全事件发生后表现混乱，

33、无从下手，所以要定期进行应急演练，每次针对不同的主题，在实战情况下演练效果更佳。应急演练最忌讳的方式是纸上谈兵，达不到预期的目标。49Professional Security Solution Provider需要第三方安全服务厂商的应急响应支持由于资源、精力等限制，中国银行集团在进行应急响应（应急处理）的过程中，不可避免的与其他社会资源协作，共同抵抗安全威胁。安全服务厂商在应急响应方面具备一定的经验和技术，为中国银行提供风险降低支持。需要其他社会资源的应急响应支持国家计算机网络应急响应协调处理中心(CNCERT/CC)、公安部、安全部等也能够在全网协作、调查取证方面提供必要的支持。需要第三

34、方安全服务厂商提供早期安全预警智能具备深入研究能力的第三方安全服务厂商为中国银行提供早期安全预警智能，这些知识将间接的提高应急响应的效能：通过预先的风险降低措施减少安全事件的发生，通过知识管理尽早的获得知识并及时更新。对合作的第三方安全服务厂商提出要求这主要从两个方面来进行考核：能力与速度。毫无疑问，第三方安全服务厂商的能力（研究能力、漏洞发现能力、应急响应能力、技术领先能力、经验等）是应急响应是否成功的关键。速度是考察第三方安全服务厂商应急响应服务的服务级别协议(SLA)的一个重要指标，在一定程度上反映了厂商的态度与信誉。50Professional Security Solution Pr

35、ovider矩矩阵阵需考需考虑虑的因素的因素需包含的内容需包含的内容紧紧急程度急程度*人(People)建立应急响应小组培养中国银行集团应急响应专家需要第三方安全服务厂商的支持需要其他社会资源的支持紧急一般紧急紧急流程(Process)制定应急响应计划定期进行应急响应演练做好应急响应知识管理紧急一般一般技术(Technology)应急响应产品与工具需要第三方安全服务厂商提供早期安全预警智能对合作的第三方安全服务厂商提出要求紧急一般一般*仅供中国银行参考仅供中国银行参考51Professional Security Solution Provider绿盟科技应急响应小组(NSFIRST)7*24

36、 支持电话支持远程支持现场支持具体需求与最佳实践完美结合的应急响应程序协助进行应急响应演练，改进应急响应准备绿盟科技研究院安全小组(NSFOCUS Security Team)的威胁智能分析支持绿盟科技自有的安全产品（黑洞、NIPS/NIDS、Scanner、流量监控与分析、网络诱骗系统）52Professional Security Solution Provider主要安全事件主要安全事件拒绝服务攻击网络流量异常服务器异常性能异常数据被破坏入侵攻击蠕虫病毒爆发53Professional Security Solution Provider事件分事件分级级事件级别严重程度描述1轻微用户网络

37、或业务系统出现故障，但暂时不影响业务系统的运行。2普通用户网络或业务系统出现异常，运行效率降低或出现错误。3严重用户网络或业务系统无法正常工作。4紧急用户网络或业务系统中断或瘫痪。54Professional Security Solution Provider事件升事件升级标级标准准负责人成员绿盟科技应急响应小组李钠NSFIRST绿盟科技专业服务部王红阳(Why)NSFIRST、PSD绿盟科技安全小组左磊(warning3)NSFOCUS Security Team若未解决若未解决事件升级事件升级2小时绿盟科技应急响应小组4小时绿盟科技专业服务部8小时绿盟科技安全小组北京、上海、广州2个小时

38、内到达指定现场。其他城市8小时内到达指定现场。55Professional Security Solution Provider绿绿盟科技盟科技应应急响急响应应服服务务方法方法论论56Professional Security Solution ProviderPeople:NSFIRSTProcess:策略和程序策略和程序Technology:硬件、软件、工具、文档硬件、软件、工具、文档PreparationDetection&AnalysisContainmentEradication&Recovery应急响应流程应急响应流程Post-IncidentActivityProcessTech

39、nologyPeople57Professional Security Solution Provider事件起因分析。事件起因分析。事件取证追查。事件取证追查。系统后门检查、漏洞分析。系统后门检查、漏洞分析。数据收集、数据分析。数据收集、数据分析。PreparationDetection&AnalysisContainmentEradication&Recovery应急响应流程应急响应流程Post-IncidentActivity调查调查事件分级事件分级决定什么对自己最重决定什么对自己最重要。要。为紧急事件确定优先为紧急事件确定优先级，更有效的利用资级，更有效的利用资源。源。不是每个紧急事件

40、都不是每个紧急事件都需要平等对待。需要平等对待。紧急事件检测紧急事件检测防火墙日志防火墙日志系统日志系统日志Web服务器日志服务器日志IDS日志日志可疑的用户可疑的用户管理员报告管理员报告初始响应初始响应初步判定事件类型、初步判定事件类型、定义事件级别。定义事件级别。准备相关资源。准备相关资源。为紧急事件的处理取为紧急事件的处理取得管理方面的支持。得管理方面的支持。组建事件处理小组。组建事件处理小组。制定安全事件响应策制定安全事件响应策略。略。58Professional Security Solution ProviderPreparationDetection&AnalysisContai

41、nmentEradication&Recovery应急响应流程应急响应流程Post-IncidentActivity抑制、消除和恢复抑制、消除和恢复恢复系统正常。恢复系统正常。确认系统是否已经完确认系统是否已经完全恢复正常。全恢复正常。修补系统漏洞，安全修补系统漏洞，安全性增强。性增强。部署安全措施。部署安全措施。设置过滤策略。设置过滤策略。59Professional Security Solution ProviderPreparationDetection&AnalysisContainmentEradication&Recovery应急响应流程应急响应流程Post-IncidentAc

42、tivity追踪追踪提交事件处理报告提交事件处理报告根据情况查找事件来源根据情况查找事件来源教育教育完善应急处理知识库、完善应急处理知识库、流程和规范流程和规范教育、培训，传播经验教育、培训，传播经验60Professional Security Solution ProviderWhyNSFOCUS?强大的基础研究能力。精湛的技术水平。迅速的应急响应能力。完善的应急响应体系。丰富的解决问题经验。主动的早期预警通告。及时的国际安全信息。61Professional Security Solution Provider公司荣誉公司荣誉服务资质服务资质2001年首批安全服务试点企业2002年首批安

43、全服务一级资质企业2004年首批安全服务二级资质企业2004年首批公共互联网应急处理国家级服务试点单位北京市应急响应平台合作单位ISO 9001 国际、国内双认证用户认可用户认可连续三年最值得信赖的安全服务品牌连续获得两年电子政务百强称号荣获中关村最佳客户服务奖专业资质专业资质荣誉证书荣誉证书62Professional Security Solution ProviderMoreDetailshttp:/http:/www.thebci.org/The Business Continuity Institute(BCI)was established in 1994 to enable me

44、mbers to obtain guidance and support from fellow business continuity practitioners.http:/www.drii.org/DRI International was founded in 1988 as the Disaster Recovery Institute in order to develop a base of knowledge in contingency planning and the management of risk,a rapidly growing profession.Professional Security Solution Provider谢谢谢谢！结束语结束语谢谢大家聆听！谢谢大家聆听！64