安全运维服务白皮书v

-.z.----.可修编.红科网安安全运维服务白皮书目录TOC\o"1-2"\h\z\u1.前言32.运维目标43.运维服务内容53.1日常检查维护53.2安全通告服务53.3安全评估服务63.4安全风险评估113.5渗透测试143.6补丁分发143.7安全配置与加固163.8安全保障173.9安全监控服务183.10安全产品实施服务193.11安全应急响应193.12安全培训服务234.运维体系组织架构265.运维服务流程285.1日常检查流程295.2安全评估服务流程305.3安全监控服务流程325.4安全事件处理流程365.5安全培训服务流程395.6渗透测试的流程406.安全事件处理与应急响应436.1安全事件分类436.2安全事件处理与上报流程446.3安全事件现场处理456.4安全事件的事后处理47-.z.前言经过多年的信息化建设，大多数企业已经建立起了比较完整的信息系统。但是，在安全运维及应急响应方面缺少一套完整的运维和应急体系来保证各类紧急事件的处理。因此，客户通过引入专业的信息安全服务团队，来保障自身信息系统的稳定安全运行，同时通过专业的安全咨询和服务，逐步构建动态、完整、高效的客户信息安全整体，形成能持续完善、自我优化的安全运维体系和安全管理体系，提高客户信息系统的整体安全等级，为保证业务的健康发展和提升核心竞争力提供坚实的基础保障。运维目标红科网安(简称：M-Sec)是国内专业的信息安全服务及咨询公司，同时，拥有国内一流的安全服务团队M-SecTeam。我们可以为用户提供全面的、专业的、客户化的安全服务及其相关信息安全管理咨询，从而保障用户的安全系统的正常运行和持续优化。我们以客户信息安全服务的总体框架为基础、以安全策略为指导，通过统一的安全综合管理平台，提供全面的安全服务内容，覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求，保障信息平台的稳定持续运行。运维服务内容红科网安根据建立的信息安全管理运维体系对客户的信息安全系统进行实时的维护管理，针对客户信息安全软、硬件提供全面的安全运维服务。日常检查维护红科网安下属的M-Sec安全专业团队提供网络安全日常维护服务，来帮助用户管理日益复杂的系统和应用平台，以减轻用户的压力，使客户公司以最优的性价比得到最有效的网络安全管理，主要内容如下：主机系统的运行检测包括系统日志检查与问题分析、开放服务检查、系统自身漏洞检查、漏洞补丁更新病毒系统的运行检测、病毒库更新入侵检测、CA、扫描系统等安全系统的运行检测、漏洞库更新防火墙运行状态检测、策略配置校验网络设备运行检测、策略配置校验安全通告服务对于网络管理人员，特别是复杂网络的管理人员，由于时间和工作关系，通常会遇到无法收集并分类相关的安全报告，使得网络中总或多或少的存在被忽视的安全漏洞。而安全问题目前正以每周新增几十甚至几百例的速度在全世界得到反馈，并同时涉及信息技术的众多领域。企业所掌握的安全知识的更新速度所受到的压力非常大。M-SecTeam凭借国内领先的安全研究能力，广泛的采集途径，以及完善的漏洞信息收集系统，使得我们能高质量，高效率的完成安全信息整理、分析、测试、分类等工作。将最新最严重的网络安全问题以最快的速度通报给客户公司，并且给出相应的解决办法，从而大大减轻网管人员做安全技术追踪和分析的压力。在多年服务经验的积累之上，M-Sec将以安全通告的形式为客户提供最新的安全动态、技术和定制的安全信息，包括实时安全漏洞通知、病毒、补丁升级、定期安全通告汇总和安全知识库更新等。M-Sec的安全通告服务有：厂商安全通告：提供主流厂商的中文安全通告，包括Windows、AI*、HP-U*、Solaris、Linu*、CISCO等。M-Sec安全通告：M-Sec发现的安全问题通告和其他有必要预警的重要安全问题通告。其他安全通告：其他应用系统和安全组织（如CERT等）的安全通告。安全通告服务为客户安全创造了远远大于它自身价值的无形财富，节省了大量的人力资源，是客户安全预警体系建立的基本安全需求。同时，M-Sec将通过电子和的方式向客户提供相应回访服务，对信息安全事件发出预警，协助客户在大规模安全事件爆发前做好预防和处理工作。M-Sec以安全通告的形式为客户提供最新的安全动态、技术和定制的安全信息，包括实时安全漏洞通知、病毒、补丁升级、定期安全知识库更新等。登记通告服务用户信息，分配用户支持号，提供服务热线，服务支持以供联系。以、传真和电子等方式回答客户的相关安全咨询。提供7×24小时技术支持。专人记录用户技术人员的咨询、投诉，并及时反馈。定期提交相应的安全咨询服务汇总。必要时，安全技术人员会到现场做咨询支持。安全评估服务您的网络安全状况如何？存在那些安全问题？哪里是高安全风险的地带？在日常的安全运维工作当中，定期进行安全评估服务将全面有效地为您解释这些问题。首先，M-Sec将定义客户公司的安全需求，然后实施最有效的诊断服务来评估。服务的*围从网络元素配置评估到风险评估、漏洞分析及模拟入侵测试等等。安全评估对象安全评估的主要对象分为以下几个层次，各部分相对独立，而又相互关联相互作用着，通过对每一层次各方面详细深入的分析、评估，才能提供一个完整的结果，对整体的信息体系进行说明。物理层安全评估物理基础设施的安全是保障信息系统安全的基础，对物理层的安全评估主要包括这几个部分：1、机房安全场地安全机房环境、温度、湿度、电磁、噪声、防尘、静电、振动建筑、防火、防雷、围墙、门禁、监控2、设施安全设备可靠性通讯线路安全性辐射控制与防泄露电源、空调网络安全评估从网络层出发，深入了解客户公司的逻辑网络结构，由什么物理网络组成以及网络关键设备的位置所在。了解网络基本信息包括网络带宽，协议，硬件（例如：交换机，路由器等）Internet接入，地理分布方式和网络管理方式等。通过对网络结构的分析以及对网络设备的扫描等多种手段，提出用户目前网络结构所存在的不足和潜在的安全隐患。如像客户公司这样庞大复杂的网络，需要从网络上进行统一合理的规划、策略配置和管理策划，我们将针对具体的情况进行评估，然后提出适合的评估意见，包括通过对资源的重新分配合规划、划分功能域、划分VLAN、加强访问控制等等措施。主机与系统安全评估由于现代操作系统的代码庞大，从而不同程度上都存在安全漏洞。一些广泛应用的操作系统，如Uni*，WindowNT，其安全漏洞更是广为流传。客户公司复杂信息平台中多种系统并存，系统管理员或使用人员可能对复杂的操作系统和其自身的安全机制了解不够，配置不当等会造成许多安全隐患。我们对用户整个网络平台中的所有特别是重要的主机与系统使用多种方法对其进行分析、检查。提出各主机系统自身存在的漏洞并且给出弥补的措施和改进的建议。应用系统安全评估目前随着客户公司各种信息系统业务的扩展，大量复杂的应用软件在设计、使用中不可避免地存在着安全隐患，因此通过应用安全评估来针对客户公司的这些应用进行有针对性的检测、评估，以保证这些体系在业务交往中是否发挥应有的作用。本服务主要包括以下几个方面：应用软件的程序安全性检测(bug分析)业务交换的防抵赖评估业务资源的访问控制验证检测业务实体的身份鉴别检测业务现场的备份与恢复机制检查业务数据的唯一性/一致性/防冲突检测业务数据的**性评估业务系统的可靠性评估业务系统的可用性评估数据安全评估信息安全非常基本的一点就是数据的安全，主要是体现了数据的**性，完整性和不可抵赖性等指标。针对数据的安全评估，包括以下几点：介质与载体安全保护系统数据访问控制检查标识与鉴别数据完整性数据可用性数据监控和审计机制评估数据存储与备份机制评估通信安全评估客户公司中心机房与各分支机房联成一个整体网络，在各部分之间每时每刻都有大量的业务数据交换，因此数据在通信中的安全问题也是至关重要的。对系统之间通信的数据安全性进行评估，主要包括：通信线路和网络基础设施安全性检测加密系统的检测身份认证机制的有效性、可靠性、安全性评估安全通道测试管理安全评估网络安全“三分技术、七分管理”，良好、系统的管理体系是信息系统安全的根本保障，管理安全评估是对人员、操作、文档、设备和运行等安全管理机制进行稽核和诊断，主要内容有：人员管理、培训管理、应用系统管理、软件管理、设备管理、文档管理、数据管理、操作管理、运行管理、机房管理等。安全评估内容安全评估的主要内容包括以下几个方面：信息收集/需求分析风险评估绘制网络拓扑图网络设备配置审计漏洞分析数据分析模拟入侵检测源代码分析信息收集/需求分析从客户公司的资源、组织人员、管理等各方面入手，与客户公司的相关人员合作，对所有需要的信息进行统一的收集、整理、分析，在实际调查之后，从安全角度生成信息报告。报告从网络的可用性、功能性和成本花费等方面说明各网络风险元素（包括软硬件、人员、管理）的现状。绘制网络拓扑图通常，在网络工程结束后，经过一段时间的运行和调整（包括人员的调整和网络设备的调整），用户会在一定程度上对网络的实际情况有所失控。以M-Sec的经验来看，引发网络安全漏洞的一个重要原因是对网络中的设备和主机不了解。制作清晰有效的拓扑图并及时更新是了解自身网络的基础。环境风险评估生成详尽全面的有关客户公司整个机构当前信息安全环境的评估报告。M-Sec将使用专用的检测工具在网络的重要位置，收集有关攻击的频率和复杂度等重要信息。这些工具包括可用的商业入侵检测产品和特殊安全工具。专家小组对收集到的数据进行分析，评估入侵行为，并提供一份报告记录所有的发现。这份报告可以使客户公司了解到真正的威胁，以便采取合理的措施来保护企业资产。设备、应用配置审计从工程的角度来审计各种网络设备、主机系统、各主要应用系统以及其他设备的配置和网络结构，确保防火墙、路由器、交换机、主机设备或其他应用系统的配置使用规则的有效性、安全性、可靠性，确保其符合客户公司的安全策略。此工作是对正确实施和配置各对象的独立认可。漏洞扫描分析漏洞分析比做一次扫描要复杂得多，M-Sec可以提供对客户公司当前外部和/或内部网络或计算机系统的漏洞分析，以确保识别漏洞并减少其发生的可能性。我们将使用各类先进的漏洞扫描工具对用户的系统主机和各类设备进行安全检测，我们的专家小组将分析扫描检测后所得到的数据，评估这些已被检测到的漏洞的存在将可能产生的影响。源代码分析针对应用程序的源代码，从安全的角度进行分析、审计，提出改善意见。渗透性测试M-Sec将集合各类安全专家利用各种黑客工具和手段通过扫描当前网络、从黑客角度做仿真模拟攻击测试，并对结果进行数据采集，产生评估报告，报告将直观地暴露出一些不为人注意或忽视的安全漏洞和可入侵点。在网络中使用模拟入侵测试,以确保漏洞被识别和修补。我们使用商业化、大众化和M-Sec自有的成熟工具和技术来收集漏洞数据。我们的工作专家组会分析数据，通过攻击尝试来评估可能造成的影响。安全风险评估评估方法为了充分了解客户信息系统存在的安全风险，以及面临的网络安全威胁，就需要使用多种安全检查方法收集准确的基础数据信息，从而客观的从技术脆弱性上分析出客户网络中存在的安全风险。漏洞扫描运用安全扫描工具效果好、见效快、与网络的运行相对独立、安装运行简单，有利于保持全网安全政策的统一和稳定，是进行风险分析的有力工具之一。在本项目中，安全扫描主要是通过评估工具以本地扫描的方式对安全检查*围内的系统和网络进行安全扫描，从网络内部和外部两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。安全扫描项目包括如下内容：信息探测类网络设备与防火墙RPC服务Web服务CGI问题文件服务域名服务Windows远程访问数据库问题后门程序其他服务其他问题从网络层次的角度来看，扫描项目涉及了如下三个层面的安全问题。1．系统层安全：该层的安全问题来自网络运行的操作系统，安全性问题表现在两方面：一是操作系统本身的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是操作系统的安全配置存在问题。身份认证：通过telnet进行口令猜测，……访问控制：注册表HKEY_LOCAL_MACHINE普通用户可写，远程主机允许匿名FTP登录，ftp服务器存在匿名可写目录，……系统漏洞：SystemV系统Login远程缓冲区溢出漏洞，MicrosoftWindowsLocator服务远程缓冲区溢出漏洞，……安全配置问题：部分SMB用户存在薄弱口令，试图使用rsh登录进入远程系统，…………2．网络层安全：该层的安全问题主要指网络信息的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的**与完整性、远程接入、域名系统、路由系统的安全，入侵检测的手段等。网络资源的访问控制：检测到无线访问点，……域名系统：ISCBINDSIG资源记录无效过期时间拒绝服务攻击漏洞，MicrosoftWindowsNTDNS拒绝服务攻击，……路由器：CiscoIOSWeb配置接口安全认证可被绕过，交换机/路由器缺省口令漏洞…………3．应用层安全：该层的安全考虑网络对用户提供服务所采用的应用软件和数据的安全性，包括：数据库软件、Web服务、域名系统、交换与路由系统、防火墙及应用网管系统、业务应用软件以及其它网络服务系统等。数据库软件：没有设置口令，MicrosoftSQLServer2000Resolution服务多个安全漏洞，……Web服务器：ApacheMod_SSL/Apache-SSL远程缓冲区溢出漏洞，MicrosoftIIS.printerISAPI远程缓冲区溢出，SunONE/iPlanetWeb服务程序分块编码传输漏洞，……防火墙及应用网管系统：A*entRaptor防火墙拒绝服务漏洞，……其它网络服务系统：WingatePOP3USER命令远程溢出漏洞，Linu*系统LPRng远程格式化串漏洞，…………为了确保扫描的可靠性和安全性，M-Sec将根据客户网络系统评估业务情况，与客户一起确定扫描计划。计划主要包括扫描开始时间、扫描对象、预计结束时间、扫描项目、预期影响、需要对方提供的支持等等。手工检查安全扫描是利用安全评估工具对绝大多数安全检查*围内的主机、网络设备等系统环境进行的漏洞扫描。但是，评估*围内的网络设备安全策略的弱点和部分主机的安全配置错误等并不能被扫描器全面发现，因此有必要对评估工具扫描*围之外的系统和设备进行手工检查。系统的网络设备和主机的安全性评估应主要考虑以下几个方面：是否最优的划分了VLAN和不同的网段，保证了每个用户的最小权限原则；内外网之间、重要的网段之间是否进行了必要的隔离措施；路由器、交换机等网络设备的配置是否最优，是否配置了安全参数；安全设备的接入方式是否正确，是否最大化的利用了其安全功能而又占系统资源最小，是否影响业务和系统的正常运行；主机服务器的安全配置策略是否严谨有效。同时，许多安全设备如防火墙、入侵检测等设备也是人工评估的主要对象。因为这些安全系统的作用是为网络和应用系统提供必要的保护，其安全性也必然关系到网络和应用系统的安全性是否可用、可控和可信。目前还没有针对安全系统进行安全评估的系统和工具，只能通过手工的方式进行安全评估。安全系统的安全评估内容主要包括：安全系统是否配置最优，实现其最优功能和性能，保证网络系统的正常运行；安全系统自身的保护机制是否实现；安全系统的管理机制是否安全；安全系统为网络提供的保护措施，且这些措施是否正常和正确；安全系统是否定期升级或更新；安全系统是否存在漏洞或后门。渗透测试渗透测试，也叫白客攻击测试，它是一种从攻击者的角度来对主机系统的安全程度进行安全评估的手段，在对现有信息系统不造成任何损害的前提下，模拟入侵者对指定系统进行攻击测试。渗透测试通常能以非常明显，直观的结果来反映出系统的安全现状。该手段也越来越受到国际/国内信息安全业界的认可和重视。为了解本项目主机系统的安全现状，在许可和控制的*围内，将对主机系统进行渗透测试，。本次测试将作为安全评估的一个重要组成部分。测试*围渗透测试的*围限制于经过客户以书面形式进行授权的主机，使用的手段也须经过客户的书面同意。M－Sec承诺不会对授权*围之外的主机及网络设备进行测试和模拟攻击。本项测试内容以抽样测试的方式进行，在实施中会与客户具体协商。注：所有白客攻击测试将在客户的授权和监督下进行，详细内容可参见《红科网安渗透测试安全服务白皮书》。客户职责：指定需要进行测试的设备，安排测试时间。补丁分发补丁分发服务如下图所示：图1：补丁管理功能构架图补丁分析：自动建立补丁库，支持补丁库信息查询。针对下载的补丁进行归类存放，按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类，帮助管理人员快速识别补丁。补丁策略制订：支持用户自定义补丁策略自由配置分发，发送至客户端后统一按策略执行应用。补丁文件自动分发：在指定时间、指定网络*围内以不同方式（如推、拉）分发补丁，或者根据脚本策略统一控制客户端下载补丁。当系统监测到有客户端未打补丁时，可对漏打补丁客户端进行推送补丁。同时，通过推送安装，也可以为SUS系统不支持的客户端安装补丁及应用软件（补丁）。补丁分发流量控制功能：为了适应将来可能的系统扩展，系统特别设计了利用多种方式进行下载流量控制：补丁安全性测试：测试是补丁安装前必须进行的，系统支持网管测试组定义进行自动补丁安全性测试，即首先选定一定区域的计算机作为测试计算机，首先对这些计算机进行新补丁的安装测试，以便网管可选择有效对象，进行非模拟性自动测试。补丁自动测试可提高打补丁的成功性、安全性、可靠性，降低网管工作量。图2：补丁自动测试图报表输出查询：服务器端补丁查询模块基于补丁名称等关键字对区域网络*围内的计算机终端进行补丁安装状况查询，通过相应的查询条件，能快速的获知所查询补丁的安装情况并生成报表，以保证补丁及时的安装。客户端网页查询补丁安装信息：系统客户端的计算机可以通过访问内网的特定网页，对本机所缺少的计算机补丁进行查询，查询结果在网页上进行显示，计算机用户根据需要进行安装。新（长时间关机）客户端入网先打补丁：系统可保证此新（长时间关机）的客户端刚接入网络时，不与网络中除补丁服务器外其它计算机的通讯，只有在上网后首先进行补丁安装工作；只有在补丁安装完成后，才开放其与网内其它计算机的通讯，防止有漏洞的计算机在网上出现。客户责任：提供需要补丁的计算机信息，为补丁分发安装相应软件。安全配置与加固系统安全是信息安全中的基础组成部分，关键数据和信息直接由系统平台提供。计算环境中不断增长的系统平台面临各种安全威胁，包括数据窃取、数据篡改、非授权访问等。这时就需要专业的安全服务，以保障运行和存贮在这些系统平台上数据的**性、完整性和可用性。系统安全加固是指通过一定的技术手段，提高操作系统或网络设备安全性和抗攻击能力，通常这些技术手段，只能为实施这项技术的这一台主机服务。常见的安全加固服务手段有：基本安全配置检测和优化密码系统安全检测和增强**、口令策略调整系统后门检测提供访问控制策略和工具增强远程维护的安全性文件系统完整性审计增强的系统日志分析系统升级与补丁安装网络与服务加固文件系统权限增强内核安全参数调整经过良好配置的系统或设备抗攻击性会有极大增强。在对系统作相应的安全配置后，结合定期的安全评估和维护服务就使得系统保持在一个较高的安全线之上。安全保障安全加固随着技术的不断发展和信息系统应用的不断拓宽，要应对随之而来的风险也变得更为重要。M-Sec将为客户公司提供独特的安全加固服务，快速有效地弥补安全漏洞，以降低企业的风险策略保护客户公司的网络。伴随着软件和硬件开发商对产品的不断更新，黑客也不断的在寻找新的漏洞，探求破解信息系统的新方法，攻防双方斗争的关键，是在于时间。安全加固服务可帮助客户公司及时有效地发现问题并且在漏洞转变为威胁，威胁转变为损失之前解决它。经过良好配置的系统或设备，除了免除现有安全漏洞的威胁外，系统的抗攻击性也会有极大的增强。采用安全服务的方式对主机安全作加固，我们将对系统作相应的安全配置，并结合检测服务使得系统保持在一个较高的安全水准之上。在操作系统级别上，我们使用M-Sec自有的SecurityToolsKit，为客户进行系统后门检测、基本系统安全配置、口令与**安全、修补常见网络服务安全性问题等工作。在网络设备级别上，主要进行远程管理和维护的安全、口令安全性、配置确认与清理、系统升级与补丁安装等工作。在防火墙部分，主要进行远程维护安全性设置、防火墙规则的确认、审计与清理等工作。3.8.2安全保障严格的讲，真正全面的信息安全管理是需要一个时时刻刻对网络施行监控的专家团队来解析网络结构中发生的每一个变化的，然而精通安全管理的专职人员目前在国内非常短缺，很少有企业机构能真正具有这样一支属于自己的专注于信息系统安全的团队，通常将信息系统安全的维护任务交由系统管理员团队承担。此外，网络安全管理工作复杂性和技术的不断发展与挑战要求安全管理专家们承担更多的责任，不断提高自己专业技能，这一切使系统管理员的工作日趋复杂沉重。除专业公司外，很少有公司拥有足够雄厚的实力来自理网络安全。越来越多的企业通过M-Sec的安全保障服务来确保他们业务的安全运行。M-Sec提供面向全面的信息安全管理周期的模式和方法，这包括行业认可的最佳策略、规*和程序化的流程、完善的咨询服务和丰富的安全管理服务，从而使企业把精力集中在最关键的信息安全需求上。针对客户公司，我们的安全保障服务能为客户公司提供前所未有的方便，成为理想的安全资源。客户公司将再也不用为从各种不同的厂商定购安全咨询服务，防火墙，反病毒，入侵检测软件而烦恼，我们通过对客户公司进行周密的安全需求分析可以提供完整的、可定制的服务。安全监控服务在安全监控服务中，将完成以下工作：1、通过安全管理平台实时监控客户防火墙、IPS系统及Bypass设备的运行状态。发现问题，通过界面报警、声音、手机短信、电子等方式及时通知运维人员处理解决。同时根据需要有选择的监控防火墙产生的安全事件或日志信息，从中及时发现异常连接以及为事件溯源提供依据。2、通过安全管理平台实时监控客户防病毒系统产生的病毒事件，及时进行病毒预警和病毒扩散*围分析。发现严重病毒问题，通过界面报警、声音、手机短信、电子等方式及时通知运维人员处理解决。3、通过安全管理平台实时监控客户其他安全系统，实时监控客户现有的HIDS软件系统、反垃圾系统、漏洞扫描软件系统、SESA安全设备管理系统等的运行状态和安全事件。发现严重安全问题，通过界面报警、声音、手机短信、电子等方式及时通知运维人员处理解决。4、通过安全管理平台实时监控终端管理系统。发现问题，通过界面报警、声音、手机短信、电子等方式及时通知运维人员处理解决。5、运维人员每天通过安全管理平台对各种安全事件进行综合分析，根据安全风险和安全问题情况有针对性地采取措施解决问题，降低风险。6、在安全管理平台上，运维人员对安全系统的运行情况进行纪录，形成日检报告，并提供每周、每月、每年的分析报告。同时安全主管通过安全管理平台可以对这些报告进行检查、分析、统计。7、运维人员定期通过评估工具软件和专用安全评估系统自动获取评估对象的脆弱性信息，包括主机扫描、网络扫描、数据库扫描等，用于分析系统、应用、网络设备存在的常见漏洞，并通过安全管理平台结合资产信息和安全事件对这些漏洞信息进行综合分析，提供详细的情况报告和处理办法。8、通过安全管理平台实时监控IBM小型机、关键Windows服务器、重要网络设备的性能状况，包括：设备运行状态、CPU和内存利用率、磁盘利用率、网络流量、关键应用进程状态、网络端口状态和流量等。9、通过分析各类安全设备产生的安全事件或日志信息，获取网络中存在的各类病毒、蠕虫、非法访问、攻击事件，并进行及时的处理。安全产品实施服务M-Sec提供完整的安全产品实施服务，协助客户公司建设完善的信息安全体系。主要内容包括：安全产品的现场安装、调试安全产品现场技术培训安全体系构建与运行检测安全应急响应M-Sec的“安全应急响应”服务向客户公司提供必须的资源来完善安全防护，抵抗攻击，进行安全修复，并减少未来安全漏洞产生的可能性。安全响应服务提供了快捷的服务支持和7×24的紧急响应服务，保证网络安全无忧，预防危险发生。在目前电子商务和网络安全市场上，M-Sec的安全响应是同行业中出类拔萃的，提供计算机反击、事故反应、诉讼支持等咨询顾问服务。无论相关数据以任何形式存在或栖身与任何地方，使用专用的工具和方法，我们的专家能够发现并抽取相关的有害数据，我们的专家队伍拥有多种专业技能，包括攻击识别、反击技术、介质取证、安全修复，这一切都将成为企业的强大的后盾。紧急响应服务种类包括以下几个方面。3.11.1入侵调查当入侵事件正在发生或已经发生，M-Sec安全专家协助客户进行事件调查、保存证据、查找后门、追查来源等，同时提供事件处理报告以及后续的安全状况跟踪。3.11.2主机、网络异常响应当主机或者网络异常事件正在发生或已经发生，M-Sec安全专家协助客户进行事件调查、保存证据、查找问题的原因、追查来源等，同时提供事件处理报告以及后续的安全状况跟踪。3.11.3其他紧急事件只有出现了上述严重影响网络、主机正常运行的安全事件才启用紧急响应服务，其他日常安全事件均属于安全咨询及日常安全事件处理服务*围。安全应急响应服务也可以帮助客户公司预防未来的攻击，高效地进行攻击发生时和事后的调查及收取攻击证据等工作，为起诉罪犯提供法律依据。作为一个规*的网络安全服务商，M-Sec有一整套紧急响应机制，同时也具备处理各种紧急事件经验的工程师。我们把安全应急服务分为三等，具体请参见下表：服务等级服务内容适用对象一级基本的反应策略与流程5×8小时事件响应、处理及恢复服务、传真、email技术支持24小时内现场技术支持事故处理报告日常运营期间，不影响用户业务的普通安全事件处理二级完整的反应策略与流程7×24小时事件响应、处理及恢复服务、传真、email技术支持4小时内现场技术支持事故处理报告节假日期间，较为严重的安全事件三级完整的反应策略与流程7×24小时事件响应、应急响应、处理及恢复服务、传真、email技术支持2小时内现场技术支持安全专家现场守候服务事故处理报告安全突发事故反应预演两周内跟踪服务重大事件、节日期间，用户业务重要性、时效性很强，发生严重影响用户业务开展、需要立即解决的的网络突发事故3.11.4应急响应流程遇到安全事件的发生，一般应该及时采取汇报机制。参考要求如下：任何系统用户发现系统运行可疑现象后，立即报告本部门安全**管理员；安全**管理员应尽可能采取相应措施保护现场，并在1小时内向应急响应小组进行报告，同时报本部门安全主管领导，召集安全应急服务厂商；应急响应小组和安全服务厂商应在2小时内确定现象的性质，并采取措施，收集现场数据，避免严重安全后果的发生，同时，对于安全事故，要上报信息安全领导小组；安全**领导小组根据事故的性质，向相应的国家主管部门进行报告。汇报完毕，将事故定性之后，接到上级指示，对于被破坏的系统和数据，采取可行的措施进行恢复，使之重新正常运行。安全紧急响应服务内容如下：服务确认临时支持账号远程紧急响应本地紧急响应响应情况简报紧急响应服务报告事故跟踪分析报告具体流程如下：图3：应急响应流程示意图对于每一个安全事件的处理，可以参照如上图所示的安全事故应急响应处理流程，具体流程包括：1、记录系统安全事件，记录事件的每一环节，包括事件的时间、地点。要打印拷贝、记录拷贝时间、记录对话内容，并尽可能采用自动化的记录方法。2、系统安全事件核实与判断(1)核实系统安全事件真实性(2)判断系统安全事件类型和*围(3)判断系统安全事件危害性(4)确定事件的威胁级别3、系统安全事件现场处理方案选择(1)克制态度(2)紧急消除(3)紧急恢复(4)切换(5)监视(6)跟踪(7)查证辅助代码开发(8)报警(9)权力机关的反击4、系统安全事件处理服务和过程，系统安全事件处理过程本身需要工具，需要专门处理安全事件的服务和过程。这些过程包括：拷贝过程、监视过程、跟踪过程、报警过程、通报过程、对话过程、消除过程、恢复过程和其它过程等。5、系统安全事件后处理，包括事件后消除、弥补系统脆弱性、分析原因、总结教训、完善安全策略、服务和过程。安全培训服务网络安全是动态的，技术的发展永无止境。站在最新的安全解决方案的制高点上就显得尤为重要，同时也很困难。M-Sec的安全培训课程为每个用户提供从最新技术到高级管理的操作简介，也包括对日常安全基础知识的强化教育。以下是部分培训课程的简单介绍：安全基础知识培训与教育课程名称培训内容课程说明时间信息安全基础知识A什么是信息安全；安全问题的原因、威胁；常见攻击和威胁及解决办法；典型安全案例分析；个人安全防护意识与手段面对普通企业员工和非技术人员，提高安全意识和个人安全防护知识，了解企业的安全策略。1天信息安全基础知识B什么是信息安全；安全问题的原因及对企业的影响；典型安全案例分析；如何从管理上实施安全措施；安全方面的投入与效益面对企业管理人员，使学员掌握管理对于安全的影响，对企业信息安全的建设打下良好的基础1天高级安全技术培训课程名称培训内容课程说明时间系统安全培训（windows）Windows平台安全分析；Windows的主要漏洞分析；IIS/ASP/ISAPI安全问题；Windows系统安全加固；日常安全管理；安全工具的使用与编译面向系统管理员，通过培训使学员能够掌握Windows系列平台的安全问题及解决方法1天系统安全培训（Uni*）安全综述；Uni*平台安全分析；Uni*的主要漏洞分析；Uni*系统安全加固；基本的系统安全处理；安全工具的使用与编译面向系统管理员，通过培训使学员能够掌握Uni*系统安全的实施和分析1天Internet应用安全服务介绍、配置及安全问题；email服务介绍、配置及安全问题；DNS服务介绍、配置及安全问题；FTP服务介绍、配置及安全问题；数据库服务介绍、配置及安全问题；面向系统管理员，通过培训使学员能够掌握各应用系统的安全策略制定和实施3天路由与交换安全网络基础知识；TCP/IP基础；路由、交换原理；CiscoIOS配置；路由器交换机的安全配置方法；试验操作面向系统管理员，通过培训，掌握路由器、交换机的合理配置2天黑客攻击手段与防御黑客历史；黑客攻击手段概述；Dos攻击与防*；利用性攻击与防*；信息收集性攻击与防*；欺骗性攻击与防*；攻击手段详解面向网络管理员，为用户培养高素质的网络与系统安全管理人员，使客户自身具备一定的安全管理水平2天安全产品培训；课程名称培训内容课程说明时间防火墙/VPN安全设计网络安全基础；TCP/IP基础；防火墙基础知识；主流产品介绍；防火墙的作用、策略配置及高级应用面向系统、网络管理员，使学员了解防火墙基本原理，掌握一般的配置、部署和选型1天入侵检测系统入侵检测系统的功能、基本原理；常见几种入侵检测系统介绍、比较及典型产品举例；各入侵检测系统的部署原则、工作原理；实例讲解面向系统、网络管理员，使学员理解入侵检测系统的概念，并能使用它来增加网络的防御能力1天防病毒防病毒系统的功能、基本原理；防病毒部署方法及工作原理；主流产品介绍；实例讲解面向系统、网络管理员，使学员理解防病毒系统的原理，并能用它来增加网络的防御能力1天安全审计安全审计产品的原理、功能；产品介绍、使用方法及数据的分析面向系统、网络管理员，使学员掌握使用漏洞扫描工具分析系统的问题1天桌面及终端安全管理系统原理、功能；产品介绍、使用方法面向系统、网络管理员，使学员掌握使用桌面安全管理系统分的方法1天安全管理平台原理、功能；产品介绍、使用方法面向系统、网络管理员，使学员掌握使用安全管理平台的方法。1天运维体系组织架构图4：M-Sec安全运维体系组织架构图岗位职责说明一线支持岗位职责描述安全服务顾问驻场维护组长：管理安全运维的驻场队伍，保证服务品质。7×24驻场工程师：为保障用户的安全运维服务，提供7×24小时的本地服务。技术支持工程师：为保障用户的安全运维服务，提供技术支持。二线支持岗位职责描述值班顾问：响应各驻场队伍的安全服务请求，解决驻场安全运维队伍无法解决的问题。值班顾问组组长：管理值班顾问的工作，更好的响应驻场队伍的安全工作。三线支持岗位职责描述行业信息化顾问专家：提供安全运维中心关于行业信息化方面的咨询，解决该领域中的重大问题。网络运维专家：提供安全运维中心关于网络运维方面的顾问服务，解决该领域中的重大技术难题。系统运维专家：提供安全运维中心关于系统运维方面的顾问服务，解决该领域中的重大技术难题。数据库运维专家：提供安全运维中心关于数据库运维方面的顾问服务，解决该领域中的重大技术难题。安全运维专家：提供安全运维中心关于安全运维方面的顾问服务，解决该领域中的重大技术难题。运维服务流程M-Sec的安全服务流程重点包括以下几个方面：1、安全策略制定、方案的设计以及实施在客户安全需求产生的最初，做好完整详尽的需求分析，并制定出指导整个客户安全建设的核心策略，设计出相应的方案，并进行具体的实施工作。2、人员培训在客户安全系统初步建设完成后，必须对参与建设和管理网络信息系统的人员以及普通的网络使用人员，做好培训和教育工作。3、日常安全维护与监控制定周密的日常维护和监控制度，并培训出一支能够胜任的管理队伍，保证客户整个网络信息系统运行在一个井然有序的安全状态中。4、应急事件响应“安全是相对的，没有绝对的安全”。因此，在客户信息网络系统中，无可避免安全紧急事件的产生，对突发事件应做到忙而不乱，需要建立有序高效的汇报机制以及事件分析处理的制度，最短时间内的系统和数据恢复，故障排除，将故障损失减到最小，对后续可能发生的类似事件做好防*和避免工作。具体流程如下图所示。图5：客户安全服务的流程图为了客户的信息化网络能够做的更好，M-Sec承诺提供更加细致的安全服务流程，具体内容如下：日常检查流程M-Sec提供完整的网络日常维护服务，主要流程如下：客户部人员与客户沟通交流，与客户签订《安全服务合同》；客户部经理填写《任务单》，转交技术支持与工程部；技术支持与工程部主管委任项目负责人，项目小组；项目负责人以及项目小组人员与用户沟通并按照用户需求制定维护服务计划；按照制定的计划定期实施维护服务，每次服务完成后制定《网络维护服务报告》，同时将本次《网络维护服务报告》、《任务单》提交给技术支持与工程部主管；技术支持与工程部主管最终审核此《网络维护服务报告》，并将该报告提交客户部，同时将该次最终《网络维护服务报告》发给项目负责人，并在备份服务器上作备份；客户部将《网络维护服务报告》以书面或加密的形式提交给客户；客户部与项目负责人为客户解释服务报告内容结果；调查客户满意度。本次网络维护服务完成。图6：网络维护流程图安全评估服务流程安全评估是指对客户的网络环境、主机操作系统、应用系统等进行的漏洞检测和脆弱性分析，评估以上各方面是否存在着安全问题、安全问题的严重程度等，以及根据用户需要，对上述风险及脆弱性提供相关的处理建议和补救手段。该项工作主要由技术支持与工程服务部完成。具体流程如下：客户部人员与客户沟通交流，与客户签订《安全服务合同—安全评估许可协议书》、《**协议》；客户部经理填写《任务单》，转交技术支持与工程部；技术支持与工程部主管委任项目负责人，项目小组；项目负责人以及项目小组人员在规定的期限内进行并完成漏洞扫描；完成漏洞扫描后，该次评估的主要项目负责人在任务单上填写相关内容并签字，同时将本次《安全评估报告》、《任务单》提交给技术支持与工程部主管；技术支持与工程部主管最终审核此《安全评估报告》，并将该《安全评估报告》提交客户部，同时将该次最终《安全评估报告》发给项目负责人，并在备份服务器上作备份；客户部将《安全评估报告》以书面或加密的形式提交给客户；客户部与项目负责人为客户解析漏洞扫描结果；对于其中由安全设置引发的漏洞，而不关联影响到其它应用系统正常运行的漏洞，项目负责人提出相应的修改建议，用户需要的情况下，为其做适当的设置。调查客户满意度。本次评估服务完成。图7：安全评估服务流程图安全监控服务流程通过运维人员和安全管理平台的有机结合，安全监控和安全处置的流程如下：图8：安全监控服务流程图5.3.1采集原始安全信息并生成安全事件安全管理平台所管理的数据全部来自各类安全产品。在客户信息系统中，目前已经成功部署了防火墙、防病毒、入侵检测、反垃圾系统、漏洞扫描软件系统等安全产品，而不同类型的安全产品所提供的信息，相互之间缺乏关联，而且各个安全产品提供的信息均很少具有直观性，并没有放在网络系统整体的架构之中来考量。面对这样的信息，运维人员只能知道在网络系统中发生过安全事件，却很难对该安全事件有明晰的认识。也即使说，这些信息是原始的，是有待进一步整理的。安全管理平台在安全监控服务流程中的第一个重要作用就在于此：采集来自各个安全产品的原始安全信息，经过关联、分析和整理之后，形成更直观的可视的“安全事件”。在该流程中，安全管理平台首先接收来自各个安全产品的原始安全信息，之后在此基础之上根据既定的安全策略进行详细的判断，将相互之间存在关联的看似孤立的原始信息整合在一起，形成安全事件，以等待下一步的处理。举一个最简单的例子：入侵检测系统向安全管理平台报告*台主机在发起端口扫描，网络管理系统向安全管理平台报告该主机的流量与平时相比大大增加，反病毒系统向安全管理平台报告该主机中了病毒，则综合以上信息，安全管理平台可以智能化的分析得出一个安全事件：该主机中了蠕虫病毒，并正在尝试通过网络感染网络中的其他主机。在此，我们可以更清楚地看到安全管理平台与普通网管平台之间的差异：安全管理平台侧重于在网络基础之上发生的安全事件，它关心表面上看来各个设备均正常运行的网络中出现的可疑现象；网管平台侧重于对网络自身的管理，它关心各个网络设备的运转是否正常，如是否还存活等等。5.3.2安全报警在网络安全管理过程中，相对于纷繁芜杂的各种原始信息，我们更关心切实可见的有着明确的发生时间、发生过程、涉及对象和最终结果的安全事件。安全管理平台会根据合理的安全策略，合并大量的重复信息，摒除暂时不具备明显的构成安全事件的特征的信息，提供一个相对简明的安全事件描述。但是，在生成安全事件之后，及时的报警与响应在安全运行管理流程中显然更为重要：在该流程中，报警实际上包含两层意思。一层意思是一种通知。根据安全事件的紧急程度，安全管理平台会自动地采用不同的方式通知网络安全运维人员，对紧急事件将采用发手机短信的方式，对一般事件将可能仅仅是声音和图形报警。另一层意思是一种指示。将安全事件所涉及的*围，在安全管理平台中的网络拓扑图中清楚明确的指示出来。安全运维人员在获取报警之后，可以在安全管理平台中详细的查看该安全事件。并且，在察看之后，根据安全管理平台所提供的建议，作相应的调度处理工作，也即是响应。5.3.3调度响应针对安全报警所作的调度，实际上是客户安全监控服务流程中的核心。在安全管理平台中，如果仅仅对原始数据进行分析，仅仅对安全事件作出报警是不够的。安全管理平台作为一个网络安全管理业务系统，更重要的功能应当是辅助安全运维人员完成从安全事件的检测、分析、处理直到最终的总结报告的全部过程。在安全管理平台最初的部署过程中，在安全管理平台内部建立一系列合理的并可灵活调整的安全策略和一系列包括网络结构（网络拓扑等）、组织结构（各主机的安全责任人等）在内的准确的体系结构是极为重要的。在数字化的安全策略和体系结构的基础之上，安全管理平台可以为各个安全事件自动的生成调度建议，并以友好的界面提供给安全管理员。安全运维人员可以根据安全管理平台所提供的建议，做出一定的修改调整后正式发出该调度。调度通常包括处理该安全事件的技术建议，处理该安全事件所必需参与的人员和处理该安全事件的时间节点等。在发出调度之后，安管系统中的该安全事件将从告警状态调整为已发出调度，等待处理。在人工或者自动的处置之后，系统应得到特定的反馈，以决定是结束该事件的响应，进入总结报告流程，还是需要进一步的处置，如提请网络安全管理专家委员会支援等等。5.3.4安全事件处置根据安全运维人员所提交的调度，有一部分可以通过系统自身的功能自动的完成，不需要人工的参与，如：为了封堵*一网络蠕虫病毒的传播，自动配置防火墙，阻塞已中病毒的主机的IP地址或者该病毒传播所利用的TCP/UDP端口等等。但是，绝大多数的安全事件处置是需要人来参与才能完成的。举例说明，当安全管理平台现*台主机在做恶意的黑客攻击尝试的时候，首先通过入侵检测系统等上报的检测信息归纳总结出该主机存在攻击可能的安全事件，接着向安全管理员提出相应的安全报警，安全管理员在察看了该事件之后，选择作进一步的处置，则安管平台会提出2条处置建议：1、发送配置信息至防火墙，暂时停止该主机的网络通信。2、发调度给网络安全员要求其在*时间节点前至现场察看，报网络安全管理中心负责人，送网络管理员备案。安全运维人员根据需要对处置建议进行调整之后，正式发出调度请求。一方面由防火墙阻断该主机的黑客攻击行为，防止造成损失，另一方面由安全员等作深入的调查。则，在该调度过程完成之前，实际上安全管理平台就是处于安全事件处置的状态。安全事件处置的结果如何，还需要对结果进行追踪。5.3.5处置结果追踪在安全管理平台的调度明细中，已明确的确定了各责任人所应作的工作，该工作的最后完成期限以及完成工作后应给与系统的回馈。系统会自动地跟踪各个安全事件的处置结果。一般来说，处置结果有三种：1、各项工作顺利完成，安管系统接到了全部的反馈，将该安全事件收尾归档。2、*项工作未能按时完成，安管系统会自动向安全管理员发出报警，提请安全运维人员人工干预。3、*项工作进程受阻，安全管理平台收到该种反馈后，将生成新的针对该调度的处置建议，进入新一轮的调度响应，直至该安全事件顺利解决。5.3.6安全事件详细报告对于每一个安全事件，在完成了全部的调度响应之后。系统会自动的归档。在归档信息的基础之上，安管系统提供了一个报表报告编辑器。以友好直观的方式将该事件的处置全过程作一个详尽的描述，便于安全运维人员的管理，便于向领导和其他部门的报送。安全事件处理流程M-Sec提供安全紧急事件响应服务。我们拥有专业、快速反应的紧急事件响应队伍，帮助客户公司在遇到网络安全的突发事件时能够迅速、准确地发现并解决问题，将损失降低到最小。主要流程如下：客户网络发生安全突发事件，通知M-Sec安全技术支持与工程部。M-Sec的安全工程师耐心、仔细与客户交流，尽量准确地了解并记录问题情况。安全工程师迅速地分析问题，判断其严重级别，并继续同客户沟通，在中给出响应的应急解决办法。如果事件严重性较高，无法在中解决，立即安排工程师前往现场进行处理。工程师在现场对事件进行分析、处理。并仔细记录问题内容，处理经过等。问题解决完后填写《网络安全突发事件处理表》并让客户确认。安全工程师回公司后，向上提交《网络安全突发事件处理表》，并根据整个事件情况写《应急处理分析报告》，文档中阐述整个安全突发事件的原因分析，处理方法和过程，处理结果，根据此次问题提出客户网络系统的安全问题，并给出相应的建议。确认后将报告提交给客户。继续与客户沟通，了解客户是否需要其他安全服务如紧急7×24小时值班、安全事故应急代码开发等。调查客户的满意度。图9：安全事件处理流程安全培训服务流程M-Sec为客户公司客户提供整体的网络安全培训服务，协助客户建立优秀的网络管理团队。主要流程为：客户提出培训需求，签订相应培训合同；了解用户知识层次，确定培训内容，准备相应电子幻灯片和培训文档；对客户作现场培训，填写《用户培训记录表》。听取客户培训反馈，了解客户满意度；若客户认可，本次培训完毕，若客户就本次培训内容的仍然不能理解，培训人员有责任继续培训工作。图10：安全培训服务流程渗透测试的流程图11：渗透测试流程图客户委托是M-Sec进行渗透测试的必要条件。M-Sec将尽最大努力做到使客户对渗透测试所有细节和风险的知晓、所有过程都在客户的控制下进行。这也是M-Sec的专业服务与黑客攻击入侵的本质不同。信息收集分析几乎是所有入侵攻击的前提/前奏/基础。“知己知彼，百战不殆”，信息收集分析就是完成的这个任务。通过信息收集分析，攻击者（测试者）可以相应地、有针对性地制定入侵攻击的计划，提高入侵的成功率、减小暴露或被发现的几率。信息收集的方法包括主机网络扫描、端口扫描、操作类型判别、应用判别、账号扫描、配置判别等等。入侵攻击常用的工具包括nmap、nessus、InternetScanner等，有时，操作系统中内置的许多工具（例如telnet）也可以成为非常有效的攻击入侵武器。通过收集信息和分析，存在两种可能性，其一是目标系统存在重大弱点：测试者可以直接控制目标系统，这时测试者可以直接调查目标系统中的弱点分布、原因，形成最终的测试报告；其二是目标系统没有远程重大弱点，但是可以获得远程普通权限，这时测试者可以通过该普通权限进一步收集目标系统信息。接下来，尽最大努力获取本地权限，收集本地资料信息，寻求本地权限升级的机会。这些不停的信息收集分析、权限升级的结果构成了整个渗透测试过程的输出。渗透测试结果输出渗透测试的结果将以报告（《白客渗透测试报告》）的形式提交，渗透测试也将作为综合安全评估的一个重要数据来源。系统备份与恢复措施为防止在渗透测试过程中出现的异常的情况，所有被评估系统均应在被评估之前作一次完整的系统备份或者关闭正在进行的操作，以便在系统发生灾难后及时恢复。操作系统类：制作系统应急盘，对系统信息，注册表，sam文件，/etc中的配置文件以及其他含有重要系统配置信息和用户信息的目录和文件进行备份，并应该确保备份的自身安全。数据库系统类：对数据库系统进行数据转储，并妥善保护好备份数据。同时对数据库系统的配置信息和用户信息进行备份。网络应用系统类：对网络应用服务系统及其配置、用户信息、数据库等进行备份。网络设备类：对网络设备的配置文件进行备份。桌面系统类：备份用户信息，用户文档，电子等信息资料。风险与应对措施渗透测试过程的最大的风险在于测试过程中对业务产生影响，为此我们在本项目采取以下措施来减小风险：在渗透测试中不使用含有拒绝服务的测试策略。渗透测试时间尽量安排在业务量不大的时段或者晚上。在渗透测试过程中如果出现被评估系统没有响应的情况，应当立即停止测试工作，与客户工作人员一起分析情况，在确定原因后，并待正确恢复系统，采取必要的预防措施（比如调整测试策略等）之后，才可以继续进行。M-Sec测试工程师会与客户管理员保持良好沟通。随时协商解决出现的各种难题。安全事件处理与应急响应在紧急事件或安全事故发生时，通过安全事件处理与应急响应机制保障计算机信息系统继续运行或紧急恢复。可归纳为三个方面：紧急事件或安全事故发生时的影响分析应急计划的概要设计或详细制订应急计划的测试与完善安全事件处理的目标是消除安全事件威胁，避免和减少事件的损失，打击非法入侵者，健全和改善信息系统的安全措施。安全事件分类首先要确定事件的威胁级别。非常重要的判断是确定安全事件的威胁级别和性质。不同的威胁级别，处理方法也不相同。我们将安全事故划分成四个等级：A级：生产系统、重要业务系统或有重要影响的应用系统宕机，系统重新引导后无法正常工作与恢复的事故；B级：重复产生或可以重复再现的并可产生较强破坏作用的事故、并与企业提供产品直接相关；C级：间歇产生、随机产生的事故或引起较小破坏力的事故，并与企业提供的产品有关；D级：有关业务系统运行或产品使用的问题，与公司提供产品有关；系统安全事件处理优先级大致分为5个等级：优先级1：保护人员生命和人员安全优先级2：保护重要和敏感信息。阻止使用重要和敏感的系统、网络和站点。通报受侵入影响的系统、网络和站点优先级3：保护其它数据，包括一些特色、科学和管理数据，这些数据的丢失将导致经济损失。阻止使用其它系统、网络和站点。通报受侵入影响的系统、网络和站点优先级4：阻止系统危险发生，包括防止文件的丢失和破坏，存储介质破坏优先级5：减少计算资源的破坏，大多数情况可以采用关机和网络关闭连接安全事件处理与上报流程在整个的事件处理过程中，所有的人碰到安全事件的时候，应该首先把相应的事件报告给相应行政等级的信息中心，安全小组或者系统管理人员处理。由相应的专门的技术人员解决或者提交问题给上一级安全中心处理。遇到安全事件的发生，一般应该及时采取汇报机制。参考要求如下：任何系统用户发现系统运行可疑现象后，立即报告本部门安全**管理员；安全**管理员应尽可能采取相应措施保护现场，并在一小时内向应急响应小组进行报告，同时报本部门安全主管领导；应急响应小组应在二小时内确定现象的性质，并采取措施，收集现场数据，避免严重安全后果的发生，同时，对于安全事故，要上报信息安全领导小组；安全**领导小组根据事故的性质，向相应的国家主管部门进行报告。回报完毕，将事故定性之后，接到上级指示，对于被破坏的系统和数据，采取可行的措施进行恢复，使之重新正常运行。图12：安全应急响应流程示意图对于每一个安全事件的处理，可以参照安全事故应急响应处理流程，如上图所示，具体流程包括：1、记录系统安全事件，记录事件的每一环节，包括事件的时间、地点。要打印拷贝、记录拷贝时间、记录对话内容，并尽可能采用自动化的记录方法。2、系统安全事件核实与判断(1)核实系统安全事件真实性(2)判断系统安全事件类型