某银行业务连续性管理vnsfocus

Professional

SecuritySolutionProviderNSFocusInformationTechnologyCo.Ltd.

ProfessionalServices业务连续性管理(BusinessContinuityManagement)专业服务部高级安全顾问赵彦2005年11月提纲为什么需要业务连续性管理？业务连续性管理的国际专业操作步骤应急处理为什么需要业务连续性管理ISO17799:2005红色部分是2005版相对于2002版的改变部分BS7799-2:2002v.s.BS7799-2:2005A3～A1210个章节A5～A1511个章节机密信息丢失引发信任危机2005年6月1日，瑞士银行集团(UBS)日本分行丢失了一张存有高度敏感客户信息的磁盘。其中可能包含相当机密的交易、止损单记录以及公司各类客户的敏感信息。2005年6月6日，花旗银行390万客户账户资料在快递途中的神秘失踪。2005年6月17日，由于美国信用卡系统解决方案公司CardSystems的安全漏洞，导致4000万用户的银行资料被泄漏，其中包括MASTER公司的1390万用户、VISA的2200万客户。

信任危机银行业赖以生存的重要信息资产帐户信息客户资料信用记录交易明细业务数据大集中的同时，客观上也把风险集中和放大起来。

7×24×365灾难、故障——中断9/11东南亚海啸直接和和间接接的损损失间接损损失新闻头头条公众声声誉直接损损失数据丢丢失、、设备备损坏坏人员伤伤害……当前世世界所所面临临的风风险有有恐怖怖袭击击、黑黑客、、网网络侵侵袭、、电脑脑病毒毒、自自然灾灾害、、大规规模停停电、、罢工工、环环保、、市场场恶性性竞争争、企企业倒倒闭等等。根据权权威机机构统统计，，美国国在近近10年间遭遭遇过过灾难难事件件的公公司中中，有有55%的公司司马上上倒闭闭，因为数数据丢丢失造造成业业务无无法持持续，有29%的公司司在两两年之之内倒倒闭。。根据明明尼苏苏达大大学统统计，，美国国证券券金融融行业业平均均可容容忍的的最大大停机机时间间是2天，没有实实施灾灾难备备份措措施的的公司司在遇遇到灾灾难后后60%将在2～3年内破破产。。据GartnerGroup统计，，在经经历大大型灾灾难事事件而而导致致系统统停运运的公公司中中，有有2/5左右再再也没没有恢恢复运运营，，剩下下的公公司中中也有有接近近1/3在两年年内破破产。。9.11事件中中，1200家企业业受灾灾，400家企业业启动动了灾灾难恢恢复计计划，其中中摩根根士丹丹利公公司几几天后后在新新泽西西州恢恢复营营业，，而无无灾备备能力力的企企业损损失惨惨重。。传统的的业务务管理理方法法及流流程，，在遭遭遇灾灾难事事件时时常常常不堪堪一击击，甚甚至可可能随随时崩崩溃。。但是在在灾难难尚未未降临临之前前，人人们的的警惕惕性都都不高高，仍仍没有有看到到BCM的重要要性。。庆幸的的是，，越来来越多多深受受灾难难事件件影响响的企企业和和机构构已开开始认认识到到，只只有通通过更更加切切实的的手段段，借借助更更便捷捷的信信息技技术，，构建建真正正有效效应对对危机机事件件的管管理体体系，，并且且使管管理科科学化化、手手段现现代化化，才才能保保证业业务的的连续续运行行，才才能保保证各各类应应用系系统和和数据据的完完整性性。从国际际成功功经验验来看看，那那些及及时引引入BCM的企业业和机机构，，之所所以能能够在在灾难难事件件面前前处乱乱不惊惊、化化险为为夷，，主要要在于于他们们能够够借助助先进进的业业务持持续管管理解解决方方案，，有效效地保保护其其核心心业务务的持持续运运行。。如今，，BCM已成为为应对对危机机事件件的国国际通通用规规则。。业务连连续性性管理理(BCM:BusinessContinuityManagement)目的：：防止止业务务停顿顿，以以及保保护重重要业业务进进程不不受重重大失失效或或灾难难的影影响。。(BS7799)预防(Prevent)&恢复(Recovery)一项综合管管理流程，，它使企业业认识到潜潜在的危机机和相关影影响，制订订响应、业业务和连续续性的恢复复计划，其其总体目标标是为了提提高企业的的风险防范范能力，以以有效的响响应非计划划的业务破破坏并降低低不良影响响。BCM的出发点在在于对潜在在的灾难危危险加以辨辨别并进行行分析，以以确定其对对企业运作作造成的威威胁，并建建立一个完完善的持续续管理计划划来防止或或减少灾难难事件给企企业带来的的损失。业务连续性性计划BCP业务连续性性计划是一一套高级管管理和规章章流程，它它使一个组组织在突发发事件面前前能够迅速速做出反应应，以确保保关键业务务功能可以以持续，而而不造成业业务中断或或业务流程程本质的改改变。灾难恢复应应该是整个个应急体系系中的最后后一道防线线。事实上，无无论备份等等级有多高高，任何灾灾备中心与与真正的业业务系统间间都还是会会存在或多多或少的时时点差距的的，切换恢恢复后的业业务系统不不一定是全全部；且系系统切换本本身也是要要付出时间间、人力、、物力等高高成本代价价的。而我们所该该做的，是是在灾难发发生后尽量量将损失降降到最低。。每一层为邻邻近层提供供稳定的基基础Construction,Environmental,Electro-Mechanical,UtilitiesServers,StorageDevices,Routers,SwitchesOperatingSystems,NetworkProtocolsOperationsAutomation,LogicalSecurity,Middleware,DatabaseChange,Problem,andConfigurationManagement,SDLC,DataStructures,NamingConventions,QualityStandardsStrategicPlanning,ArchitectureDefinition,Planning&ControlContinuousServiceFacilitiesHardwareSystemsSoftwareSupportSystemsBusinessApplicationsManagementPractices公司的员工工、供应商商、顾客对对公司的信信心公司名誉品牌面临的的风险BCM无疑等于给给股东吃了了一颗定心心丸业务连续性性管理的国国际专业操操作步骤从战略管理理高度考虑虑BCM实施BCM，应该从战战略管理的的高度，关关注流程、、人员、设设施和计划划。这四个要素素分别解决决了在应对对灾难危机机时，什么么人(或组织)按照什么样样的流程操操作什么样样的资源，，而计划正正是规范以以上要素的的文档体现现。因此，BCM要从企业的的业务目标出发，分析析企业具体体的业务流流程，详细细分析支持持这些业务务流程的应应用系统，，分析它们们一旦发生生危机对业业务的影响响。根据上上述影响，，制定相应应的规避方方法，包括括流程和技技术手段。。业务连续性性管理的国国际专业操操作步骤(10Steps)项目启动和和管理确定业务持持续计划（（BCP）实施过程程的相关需需求，包括括获得管理理支持、以以及组织和和管理项目目使其符合合时间和预预算的限制制要求。风险评估和和控制确定可能造造成机构及及其设施中中断的灾难难、具有负负面影响的的事件和周周边环境因因素，以及及事件可能能造成的损损失、防止止或减少潜潜在损失影影响的控制制措施，提提供成本效效益分析以以调整控制制措施方面面的投资，，达到消减减风险的目目的。同时时，由于风风险会随着着系统的发发展而变化化，所以风风险管理过过程也必须须是动态的的。业务影响分分析确定由于中中断和预期期灾难可能能对机构造造成的影响响，以及用用来定量和和定性分析析这种影响响的技术。。确定关键键功能、恢恢复优先顺顺序和相关关性以便确确定恢复时时间。制定业务连连续性战略略确定和指导导备用业务务恢复运行行策略的选选择，以便便在恢复时时间目标范范围内恢复复业务和信信息技术，，并维持机机构的关键键功能。紧急响应和和运行制定和实施施用于事件件响应以及及对事件所所引起状况况进行稳定定的规程，，包括建立立和管理紧紧急事件运运作中心，，该中心用用于在紧急急事件中发发布命令。。制定和实实施业务务连续性性计划设计、制制定和实实施业务务连续性性计划，，以便在在恢复时时间目标标范围内内完成恢恢复。意识培养养和培训训项目准备建立立对机构构人员进进行意识识培养和和技能培培训的项项目，以以便业务务连续性性计划能能够得到到制定、、实施、、维护和和执行。。业务连续续性计划划的演练练和维护护对预先计计划和计计划间的的协调性性进行演演练、并并评估和和记录计计划演练练的结果果。制定定维持连连续性能能力和BCP文档更新新状态的的方法，，使其与与机构的的策略方方向保持持一致。。通过与与适当标标准的比比较来验验证BCP的效率，，并使用用简明的的语言报报告验证证的结果果。危机联络络制定、协协调、评评价和演演练在危危机情况况下与媒媒体交流流的计划划；制定定、协调调、评价价和演练练与员工工及其家家庭、主主要客户户、关键键供应商商、业主主／股东东以及机机构管理理层进行行沟通和和在必要要情况下下提供心心理辅导导的计划划，确保保所有利利益群体体能够得得到所需需的信息息。与外部机机构的合合作建立适用用的规程程和策略略，用于于同地方方当局协协调响应应、连续续性和恢恢复活动动，以确确保符合合现行的的法令和和法规。。业务发生生中断………恢复的时时间故障、灾灾难业务中断断紧急响应应重定位备备份资源在行动恢复操作作系统重装载数据库回滚和再同步业务重新新开始持续性计计划同风风险管理理关系自然火灾飓风洪水台风。。人阴谋破坏坏恶意代码码操作员错错误技术硬件故障障数据残缺缺电信故障障电力故障障潜在风险险风险评估估安全控制制管理控制制运行维护护控制技术控制制。。。持续性计计划范围飓风操作员错错误硬件故障障数据残缺缺。。自然火灾飓风洪水台风。。人阴谋破坏坏恶意代码码操作员错错误。。技术硬件故障障数据残缺缺电信故障障电力故障障。火灾飓风洪水阴谋破坏坏硬件故障障数据残缺缺电信故障障操作员错错误自然火灾飓风洪水台风。。人阴谋破坏坏恶意代码码操作员错错误。。技术硬件故障障数据残缺缺电信故障障电力故障障。硬件故障障数据残缺缺操作员错错误飓风标识的风风险残余的风风险持续性计计划实施施流程开发持续性计计划策略进行业务影响响分析标识预防性的的安全控制制开发恢复战略略开发持续性计计划计划测试试、培训训和演练练计划维护护标识现存存要求标识相关关计划和和程序得到高层层管理支支持标识关键键IT资源标识中断断影响和和允许的的中断时时间开发恢复优先先级实现控制维护控制标识方法集成至系统体体系结构中文档恢复战略略开发测试目标标开发成功准则则文档所学教训训综合至计划中中培训人员审阅和更新计计划同内部/外部组织机构构合作控制分发文档变更持续性计划内内容计划开发综合业务影响响分析的发现现文档记录恢复复战略支持信息介绍运行操作的概概念通告/启动阶段通告流程损害评估计划启动恢复阶段恢复行动的结结果恢复流程重构阶段恢复原站点测试系统结束操作计划附录联系人列表系统要求至关重要的记记录持续性计划———呼叫树实实例持续性计划协调人后备持续性计划协调人网络恢复小组负责人数据库恢复小组负责人通信小组负责人服务器恢复小组负责人网络操作系统管理员数据库管理员SQL管理员数据库分析支持技术人员支持技术人员帮助台技术人员广域网工程师资深系统工程师通信技术人员通信技术人员电子邮件管理员服务器支持技术人员应用服务器管理员服务器支持技术人员演练是非常必要的的环节每年至少1～2次制定灾难恢复复的流程，一一旦生产中心心遭遇灾难，，发出灾难宣宣告，灾难备备份中心数据据处理系统、、备份网络系系统设备就绪绪，应急中心心与灾难备份份中心网络连连通，按灾难难备份切换操操作手册完成成灾备系统切切换，业务终终端联机交易易确认，灾难难备份中心接接替生产中心心运营。演练的意义在在于，当灾难难来临时，相相关人员对自自己的职责，，以及灾难恢恢复的流程有有一个相当清晰的概念，并且且实际操作过，最终帮助助业务取得连连续性的发展展。与演练几几乎同等重要要的是系统的的维护。如果灾难恢复复小组中的某某一个关键人人物离开现职职，那么必须须实时的将信信息反馈，更更改有关的说说明书，以确确保灾难来临临时，相应的的人员可以对对照说明书，，找到合适的的主管人员处处理相应问题题。所有的的最佳佳实践践被汇汇总编编辑到到一本本说明明书中中，这这本说说明书书被要要求带带在每每一个个相关关人员员的身身边，，灾难难发生生时，，按照照上面面的指指引，，就可可以立立即明明确自自己的的职责责。灾难防防备在大家家都沉沉睡时时，醒醒来应急处处理任何组组织都都会遭遭受攻攻击每年发发现的的漏洞洞数量量飞速速上升升每年发发现的的漏洞洞数量量飞速速上升升2004年CVE全年收收集漏漏洞信信息1707条到2005年到5月6日就已已经达达到1470条绿盟科科技到到到5月份跟跟踪的的漏洞洞也超超过了了1700条年份漏洞数量1999742200040420018322002100620031049200417072005***1479发起攻攻击越越来越越容易易、攻攻击能能力越越来越越强黑客的的职业业化之之路不再是是小孩孩的游游戏，，而是是与￥￥挂挂钩钩职业入入侵者者受网网络商商人或或商业业间谍谍雇佣佣不在网网上公公开身身份，，不为为人知知，但但确实实存在在。攻击者者对自自己提提出了了更高高的要要求，，不再再满足足于普普通的的技巧巧而转转向底底层研研究。。安全形形势永永远都都是严严峻的的攻击技技术已已经开开始普普及，，SQLInjection、DOS等攻击击方式式对使使用者者要求求较低低缓冲区区溢出出、格格式串串攻击击已公公开流流传多多年，，越来来越多多的人人掌握握这些些技巧巧少部分分人掌掌握自自行挖挖掘漏漏洞的的能力力，并并且这这个数数量在在增加加。漏漏洞挖挖掘流流程专专业化化，工工具自自动化化。Zero-day的攻击击无线安安全/手机安安全问问题开开始出出现不断发发展的的攻击击技术术SQL注入GoogleHackingPhishing客户端端攻击击混合拒拒绝服服务/BOTNET……攻击技技术的的发展展密码猜猜测社会工工程远程溢溢出蠕虫病病毒木马拒绝服服务CGI……传统的的攻击击技术术客户端端攻击击技术术在攻击击服务务端变变得困困难时时，黑黑客把把目标标转向向管理理员的的PC以及其其他客客户机机群利用对对象：：Windows漏洞、、IE、Outlook、Foxmail、Serv-U、IRC软件等等客户端端往往往不被被重视视，加加上ARP欺骗、、SMB会话劫劫持技技术的的应用用，大大多数数内网网安全全性很很薄弱弱社会工工程学学的应应用Phishing攻攻击的的流行行美国反反网络络钓鱼鱼攻击击工作作小组组(APWG)：2005年1月份共共接到到了12845起网络络钓鱼鱼电子子邮件件汇报报，支支持这这种欺欺诈性性邮件件信息息的网网站也也增加加到了了2560个。国家计计算机机网络络应急急技术术处理理协调调中心心（CNCERT/CC）：2004年该中中心接接到网网络钓钓鱼欺欺诈事事件报报告达达223起；2004年7月份以以来，，该中中心接接到的的该类类报告告以月月均26％的速速度递递增。。美国的的网络络钓鱼鱼网站站最多多，占占全球球总量量的32%，中国国名列列第二二(13%)，韩国国位于于第三三(10%)Phishing的的技术术实现现GoogleHacking利用搜搜索引引擎输输入特特定语语法、、关键键字寻寻找可可利用用的渗渗透点点，最最终完完成入入侵。。敏感感的信信息包包括：：目标站站点的的信息息存储密密码的的文件件后台管管理和和上传传文件件的Web页数据库库特定扩扩展名名的文文件特定的的Web程序，，如论论坛Google蠕虫已已经出出现！！。利用用用Google查询来来发现现运行行phpBB论坛系系统的的Web站点系系统漏漏洞并并自动动修改改2004年在拉拉斯维维加斯斯举行行的BlackHat大会上上，有有两位位安全全专家家分别别作了了名为为《Youfoundthatongoogle?》和《googleattacks》》的主题题演讲讲GoogleHackingExampleintitle:““xxxshell*"““xxxstderr"filetype:phpGoogle信息收收集site:site:intext:*@…SQLInjectionAttackSQL注入攻攻击就就其本本质而而言，，利用用的工工具是是SQL的语法法，针针对的的是应应用程程序开开设计计中的的漏洞洞。“当攻攻击者者能够够操作作数据据，往往应用用程序序中插插入一一些SQL语句时时，SQL注入攻攻击就就发生生了””。攻击目目标：：控制制服务务器/获取敏敏感数数据2000年2001年2002年2003年2004年2005年简单的的登陆陆验证证绕过过针对asp+sqlserver的基本本注入入自动化化注入入攻击击工具具的出出现更多的的后台台数据据库操操作研研究Php/JSP注入技技术高级注注入攻攻击技技术应急响响应是是指针针对已已经发发生或或可能能发生生的安安全事事件进进行监监控、、分析析、协协调、、处理理、保保护资资产安安全属属性的的活动动。网络络安安全全无无法法保保证证一一劳劳永永逸逸。。为为了了做做到到更更好好的的安安全全保保障障，，减减少少安安全全事事件件的的发发生生，，这这需需要要：：在事事件件发发生生前前从从最最坏坏处处考考虑虑，，做做好好应应急急响响应应计计划划。。在事事件件发发生生后后尽尽快快有有效效响响应应，，降降低低应应急急处处理理时时间间。。应急急响响应应应急急响响应应服服务务的的目目的的是是最最快快速速度度恢恢复复系系统统的的保保密密性性、、完完整整性性和和可可用用性性，，阻阻止止和和减减小小安安全全事事件件带带来来的的影影响响。。避免免没没有有章章法法、、可可能能造造成成灾灾难难的的响响应应。。更快快速速和和标标准准化化的的响响应应。。确认认或或排排除除是是否否发发生生了了紧紧急急事事件件。。使紧紧急急事事件件对对业业务务或或网网络络造造成成的的影影响响最最小小化化。。保护护企企业业、、组组织织的的声声誉誉和和资资产产。。教育育高高层层管管理理人人员员。。提供供准准确确的的报报告告和和有有价价值值的的建建议议。。应急急响响应应是是重重要要的的在安安全全保保障障体体系系中中，，应应急急响响应应（（应应急急处处理理））是是一一个个重重要要的的过过程程，，也也是是必必要要的的环环节节。。从IT服务务最最佳佳实实践践流流程程(ITIL)来看看，，应应急急响响应应是是事事件件管管理理、、问问题题管管理理的的重重要要因因素素。。事事件件管管理理强强调调的的是是速速度度，，即即尽尽快快的的响响应应事事件件；；问问题题管管理理强强调调的的是是根根本本，，即即从从根根本本上上解解决决问问题题，，保保证证问问题题不不再再出出现现。。应应急急响响应应（（应应急急处处理理））应应当当涉涉及及这这两两方方面面的的内内容容。。应急急响响应应是是可可行行的的应急急响响应应（（应应急急处处理理））应应该该从从三三方方面面来来考考虑虑：：人人(People)、流流程程(Process)、技技术术(Technology)。在安安全全事事件件发发生生后后，，应应当当有有适适合合的的、、有有能能力力的的人人员员（（专专家家））进进行行响响应应，，他他们们的的技技能能和和经经验验是是有有效效的的应应急急响响应应的的基基础础。。仅仅仅仅有有胜胜任任的的人人员员也也是是不不足足的的，，盲盲目目的的没没有有章章法法的的应应急急响响应应往往往往会会事事与与愿愿违违，，带带来来更更大大的的灾灾难难，，因因此此流流程程、、程程序序、、计计划划都都变变得得非非常常重重要要。。由由于于安安全全事事件件的的不不可可预预知知性性，，所所以以需需要要先先进进的的技技术术（（产产品品、、工工具具、、研研究究成成果果））作作保保障障，，应应急急响响应应的的目目的的是是为为了了根根本本解解决决问问题题，，并并不不是是简简单单的的仅仅仅仅依依靠靠热热情情来来达达到到。。国际间的的协调组组织国内的协协调组织织国内的协协调组织织愿意付费费的任何用户户产品用户户网络接入入用户企业部门门、用户户商业IRT网络服务务提供商商IRT厂商IRT企业/政府IRT如：绿盟盟科技如：CCERT如：Cisco、IBM如：中国国银行、、公安部如CERT/CC,FIRST如CNCERT/CC应急响应应组的分分类中国银行行应急响响应需求求制定应急急响应计计划信息安全全重要的的一个方方面是在在攻击发发生时应应能知晓晓如何应应对，提提前的计计划与准准备能够够尽快的的抑制攻攻击、降降低影响响。但是是制定应应急响应应计划是是一个非非常耗时时的工作作。培养中国国银行应应急响应应专家在安全事事件处理理过程中中，“人人”的作作用是勿勿庸置疑疑的。为为了降低低第三方方安全服服务提供供商的风风险，所所以培养养中国银银行集团团应急专专家是必必要的。。做好应急急响应知知识管理理要注意做做好应急急响应（（应急处处理）知知识管理理工作，，知识管管理可以以通过创创建、固固化、掌掌握、传传播、改改进等一一系列的的方式实实现。知知识管理理的目标标很明确确，让尽尽可能多多的人具具备良好好的思考考方式和和一定的的技能。。定期进行行应急演演练如果仅仅仅将应急急响应计计划束之之高阁，，长此以以往“人人”的警警惕将会会松懈，，直接后后果是在在安全事事件发生生后表现现混乱，，无从下下手，所所以要定定期进行行应急演演练，每每次针对对不同的的主题，，在实战战情况下下演练效效果更佳佳。应急急演练最最忌讳的的方式是是纸上谈谈兵，达达不到预预期的目目标。需要第三三方安全全服务厂厂商的应应急响应应支持由于资源源、精力力等限制制，中国国银行集集团在进进行应急急响应（（应急处处理）的的过程中中，不可可避免的的与其他他社会资资源协作作，共同同抵抗安安全威胁胁。安全全服务厂厂商在应应急响应应方面具具备一定定的经验验和技术术，为中中国银行行提供风风险降低低支持。。需要其他社会会资源的应急急响应支持国家计算机网网络应急响应应协调处理中中心(CNCERT/CC)、公安部、安安全部等也能能够在全网协协作、调查取取证方面提供供必要的支持持。需要第三方安安全服务厂商商提供早期安安全预警智能能具备深入研究究能力的第三三方安全服务务厂商为中国国银行提供早早期安全预警警智能，这些些知识将间接接的提高应急急响应的效能能：通过预先先的风险降低低措施减少安安全事件的发发生，通过知知识管理尽早早的获得知识识并及时更新新。对合作的第三三方安全服务务厂商提出要要求这主要从两个个方面来进行行考核：能力力与速度。毫毫无疑问，第第三方安全服服务厂商的能能力（研究能能力、漏洞发发现能力、应应急响应能力力、技术领先先能力、经验验等）是应急急响应是否成成功的关键。。速度是考察察第三方安全全服务厂商应应急响应服务务的服务级别别协议(SLA)的一个重要指指标，在一定定程度上反映映了厂商的态态度与信誉。。矩阵需考虑的因素需包含的内容紧急程度*人(People)建立应急响应小组培养中国银行集团应急响应专家需要第三方安全服务厂商的支持需要其他社会资源的支持紧急一般紧急紧急流程(Process)制定应急响应计划定期进行应急响应演练做好应急响应知识管理紧急一般一般技术(Technology)应急响应产品与工具需要第三方安全服务厂商提供早期安全预警智能对合作的第三方安全服务厂商提出要求紧急一般一般*仅供中国银行行参考绿盟科技应急急响应小组(NSFIRST)7*24支持电话支持远程支持现场支持具体需求与最最佳实践完美美结合的应急急响应程序协助进行应急急响应演练，，改进应急响响应准备绿盟科技研究究院——安全小组(NSFOCUSSecurityTeam)的威胁智能分分析支持绿盟科技自有有的安全产品品（黑洞、NIPS/NIDS、Scanner、流量监控与与分析、网络络诱骗系统））主要安全事件件拒绝服务攻击击网络流量异常常服务器异常性能异常数据被破坏入侵攻击蠕虫病毒爆发发事件分级事件级别严重程度描述1轻微用户网络或业务系统出现故障，但暂时不影响业务系统的运行。2普通用户网络或业务系统出现异常，运行效率降低或出现错误。3严重用户网络或业务系统无法正常工作。4紧急用户网络或业务系统中断或瘫痪。事件升级标准准负责人成员绿盟科技应急响应小组李钠NSFIRST绿盟科技专业服务部王红阳(Why)NSFIRST、PSD绿盟科技安全小组左磊(warning3)NSFOCUSSecurityTeam若未解决事件升级2小时绿盟科技应急响应小组4小时绿盟科技专业服务部8小时绿盟科技安全小组北京、上海、、广州2个小时内到达达指定现场。。其他城市8小时内到达指指定现场。绿盟科技应急急响应服务方方法论People:NSFIRSTProcess:策略和程序Technology:硬件、软件、、工具、文档档PreparationDetection&AnalysisContainmentEradication&Recovery应急响应流程程Post-IncidentActivityProcessTechnologyPeople事件起因分析析。事件取证追查查。系统后门检查查、漏洞分析析。数据收集、数数据分析。PreparationDetection&AnalysisContainmentEradication&Recovery应急响应流程程Post-IncidentActivity调查事件分级决定什么对自自己最重要。。为紧急事件确确定优先级，，更有效的利利用资源。不是每个紧急急事件都需要要平等对待。。紧急事件检测测防火墙日志系统日志Web服务器日志IDS日志可疑的用户管理员报告初始响应初步判定事件件类型、定义义事件级别。。准备相关资源源。为紧急事件的的处理取得管管理方面的支支持。组建事件处理理小组。制定安全事件件响应策略。。PreparationDetection&AnalysisContainmentEradication&Recovery应急响应流程程Post-IncidentActivity抑制、消除除和恢复恢复系统正正常。确认系统是是否已经完完全恢复正正常。修补系统漏漏洞，安全全性增强。。部署安全措措施。设置过滤策策略。PreparationDetection&AnalysisContainmentEradication&Recovery应急响应流流程Post-IncidentActivity追踪提交事件处处理报告根据情况查查找事件来来源教育完善应急处处理知识库库、流程和和规范教育、培训训，传播经经验WhyNSFOCUS?强大的基础础研究能力力。精湛的技术术水平。迅速的应急急响应能力力。完善的应急急响应体系系。丰富的解决决问题经验验。主动的早期期预警通告告。及时的国际际安全信息息。公司荣誉服务资质2001年首批安全全服务试点点企业2002年首批安全全服务一级级资质企业业2004年首批安全全服务二级级资质企业业2004年首批公共互联网网应急处理理国家级服服务试点单单位北京市应急急响应平台台合作单位位ISO9001国际、国内内双认证用户认可连续三年最最值得信赖赖的安全服服务品牌连续获得两两年电子政政务百强称称号荣获中关村村最佳客户户服务奖专业资质荣誉证书MoreDetailsProfessionalSecuritySolutionProvider谢谢！9、静静夜夜四四无无邻邻，，荒荒居居旧旧业业贫贫。。。。1月月-231月月-23Friday,January6,202310、雨中中黄叶叶树，，灯下下白头头人。。。01:39:0101:39:0101:391/6/20231:39:01AM11、以我我独沈沈久，，愧君君相见见频。。。1月-2301:39:0101:39Jan-2306-Jan-2312、故人江海别别，几度隔山山川。。01:39:0101:39:0101:39Friday,January6,202313、乍见翻翻疑梦，，相悲各各问年。。。1月-231月-2301:39:0101:39:01January6,202314、他乡生白发发，旧国见青青山。。06一月20231:39:01上午01:39:011月-2315、比不不了得得就不不比，，得不不到的的就不不要。。。。一月231:39上上午午1月-2301:39January6,202316、行动出出成果，，工作出出财富。。。2023/1/61:39:0101:39:0106Ja