業(yè)務連續(xù)性管理業(yè)務連續(xù)性管理(BusinessContinuityManagement)

1、Professional Security Solution ProviderNSFocus Information Technology Co. Ltd.Professional Services業(yè)務(yw)連續(xù)性管理(Business Continuity Management)共六十五頁提綱(tgng)為什么需要業(yè)務連續(xù)性管理？業(yè)務連續(xù)性管理的國際(guj)專業(yè)操作步驟應急處理共六十五頁為什么需要(xyo)業(yè)務連續(xù)性管理共六十五頁ISO 17799:2005紅色(hngs)部分是2005版相對于2002版的改變部分共六十五頁BS7799-2:2002 v.s. BS7799-2:2005

2、A3 A12 10 個章節(jié)(zhngji)A5 A15 11 個章節(jié)共六十五頁機密信息丟失(dis)引發(fā)信任危機2005年6月1日，瑞士銀行集團(UBS)日本分行丟失了一張存有高度敏感客戶信息的磁盤。其中可能包含相當機密的交易、止損單記錄以及公司各類客戶的敏感信息。 2005年6月6日，花旗銀行390萬客戶賬戶資料在快遞途中的神秘失蹤。2005年6月17日，由于(yuy)美國信用卡系統(tǒng)解決方案公司 CardSystems 的安全漏洞，導致4000萬用戶的銀行資料被泄漏，其中包括 MASTER 公司的1390萬用戶、VISA 的2200萬客戶。 信任危機共六十五頁銀行業(yè)賴以生存的重要信息(xnx

3、)資產(chǎn)帳戶信息客戶資料信用記錄交易明細業(yè)務數(shù)據(jù)大集中(jzhng)的同時，客觀上也把風險集中(jzhng)和放大起來。 724365共六十五頁災難、故障(gzhng) 中斷共六十五頁9/11共六十五頁東南亞海嘯(hixio)共六十五頁直接(zhji)和間接的損失間接(jin ji)損失新聞頭條公眾聲譽直接損失數(shù)據(jù)丟失、設備損壞人員傷害共六十五頁當前世界所面臨的風險有恐怖襲擊、黑客、 網(wǎng)絡侵襲、電腦病毒、自然災害、大規(guī)模停電、罷工、環(huán)保、市場惡性競爭、企業(yè)倒閉等。根據(jù)權威機構統(tǒng)計，美國在近10年間遭遇過災難事件的公司中，有55%的公司馬上倒閉，因為數(shù)據(jù)丟失造成業(yè)務無法持續(xù)，有29%的公司在兩年之

4、內(nèi)倒閉。根據(jù)明尼蘇達大學統(tǒng)計，美國證券金融行業(yè)平均可容忍的最大停機時間是2天，沒有實施災難備份措施的公司在遇到災難后60%將在23年內(nèi)破產(chǎn)。 據(jù)Gartner Group統(tǒng)計，在經(jīng)歷大型災難事件而導致系統(tǒng)停運的公司中，有2/5左右再也沒有恢復運營，剩下的公司中也有接近1/3在兩年內(nèi)破產(chǎn)。9.11事件中，1200家企業(yè)(qy)受災，400家企業(yè)啟動了災難恢復計劃，其中摩根士丹利公司幾天后在新澤西州恢復營業(yè)，而無災備能力的企業(yè)損失慘重。 共六十五頁傳統(tǒng)的業(yè)務管理方法及流程，在遭遇災難事件時常常不堪一擊，甚至可能隨時崩潰。但是在災難尚未降臨之前，人們的警惕性都不高，仍沒有看到BCM的重要性。慶幸的是

5、，越來越多深受災難事件影響的企業(yè)和機構已開始認識到，只有通過更加切實的手段，借助更便捷的信息技術，構建真正有效應對危機事件的管理體系，并且使管理科學化、手段現(xiàn)代化，才能保證業(yè)務的連續(xù)(linx)運行，才能保證各類應用系統(tǒng)和數(shù)據(jù)的完整性。從國際成功經(jīng)驗來看，那些及時引入BCM的企業(yè)和機構，之所以能夠在災難事件面前處亂不驚、化險為夷，主要在于他們能夠借助先進的業(yè)務持續(xù)管理解決方案，有效地保護其核心業(yè)務的持續(xù)運行。如今，BCM已成為應對危機事件的國際通用規(guī)則。 共六十五頁業(yè)務(yw)連續(xù)性管理(BCM: Business Continuity Management)目的：防止業(yè)務停頓，以及保護重要業(yè)

6、務進程不受重大失效或災難的影響。 (BS7799)預防(Prevent) & 恢復(Recovery)一項綜合管理流程，它使企業(yè)認識到潛在的危機和相關影響，制訂響應、業(yè)務和連續(xù)性的恢復計劃，其總體目標是為了提高企業(yè)的風險防范能力(nngl)，以有效的響應非計劃的業(yè)務破壞并降低不良影響。BCM的出發(fā)點在于對潛在的災難危險加以辨別并進行分析，以確定其對企業(yè)運作造成的威脅，并建立一個完善的持續(xù)管理計劃來防止或減少災難事件給企業(yè)帶來的損失。 共六十五頁業(yè)務(yw)連續(xù)性計劃 BCP業(yè)務連續(xù)性計劃(jhu)是一套高級管理和規(guī)章流程，它使一個組織在突發(fā)事件面前能夠迅速做出反應，以確保關鍵業(yè)務功能可以持續(xù)，

7、而不造成業(yè)務中斷或業(yè)務流程本質(zhì)的改變。 共六十五頁災難恢復應該是整個應急體系中的最后一道防線。事實上，無論備份等級有多高，任何災備中心與真正的業(yè)務系統(tǒng)間都還是會存在或多或少(hu du hu sho)的時點差距的，切換恢復后的業(yè)務系統(tǒng)不一定是全部；且系統(tǒng)切換本身也是要付出時間、人力、物力等高成本代價的。而我們所該做的，是在災難發(fā)生后盡量將損失降到最低。共六十五頁每一層為鄰近層提供(tgng)穩(wěn)定的基礎Construction, Environmental, Electro-Mechanical, Utilities Servers, Storage Devices, Routers, Swit

8、chesOperating Systems, Network ProtocolsOperations Automation, Logical Security, Middleware, DatabaseChange, Problem, and Configuration Management, SDLC, Data Structures, Naming Conventions, Quality StandardsStrategic Planning, Architecture Definition, Planning & ControlContinuousServiceFacilitiesHa

9、rdwareSystems SoftwareSupport SystemsBusinessApplicationsManagement Practices共六十五頁公司的員工、供應商、顧客對公司的信心公司名譽(mngy)品牌面臨的風險BCM無疑等于(dngy)給股東吃了一顆定心丸 共六十五頁業(yè)務連續(xù)性管理的國際(guj)專業(yè)操作步驟共六十五頁從戰(zhàn)略管理(gunl)高度考慮BCM實施BCM，應該從戰(zhàn)略管理的高度，關注流程、人員、設施和計劃。這四個要素分別解決了在應對災難危機時，什么人(或組織)按照什么樣的流程操作什么樣的資源，而計劃正是規(guī)范以上要素的文檔體現(xiàn)。因此，BCM要從企業(yè)的業(yè)務目標出發(fā)，

10、分析(fnx)企業(yè)具體的業(yè)務流程，詳細分析(fnx)支持這些業(yè)務流程的應用系統(tǒng)，分析(fnx)它們一旦發(fā)生危機對業(yè)務的影響。根據(jù)上述影響，制定相應的規(guī)避方法，包括流程和技術手段。 共六十五頁業(yè)務(yw)連續(xù)性管理的國際專業(yè)操作步驟(10 Steps)項目啟動和管理確定業(yè)務持續(xù)計劃（BCP）實施過程的相關需求，包括獲得管理支持、以及組織和管理項目使其符合時間和預算的限制要求。風險評估和控制確定可能造成機構及其設施中斷的災難、具有負面影響的事件和周邊環(huán)境因素，以及事件可能造成的損失、防止或減少潛在損失影響的控制措施，提供成本效益分析以調(diào)整控制措施方面的投資，達到消減風險的目的。同時，由于風險會隨著

11、系統(tǒng)的發(fā)展而變化，所以風險管理過程也必須是動態(tài)的。 業(yè)務影響分析確定由于中斷和預期災難可能對機構造成的影響，以及用來定量和定性分析這種影響的技術。確定關鍵功能、恢復優(yōu)先順序和相關性以便確定恢復時間。 制定業(yè)務連續(xù)性戰(zhàn)略確定和指導備用業(yè)務恢復運行策略的選擇，以便在恢復時間目標(mbio)范圍內(nèi)恢復業(yè)務和信息技術，并維持機構的關鍵功能。緊急響應和運行制定和實施用于事件響應以及對事件所引起狀況進行穩(wěn)定的規(guī)程，包括建立和管理緊急事件運作中心，該中心用于在緊急事件中發(fā)布命令。共六十五頁制定和實施業(yè)務連續(xù)性計劃設計、制定和實施業(yè)務連續(xù)性計劃，以便在恢復時間目標范圍內(nèi)完成恢復。意識培養(yǎng)和培訓項目準備建立對機

12、構人員進行意識培養(yǎng)和技能培訓的項目，以便業(yè)務連續(xù)性計劃能夠(nnggu)得到制定、實施、維護和執(zhí)行。 業(yè)務連續(xù)性計劃的演練和維護對預先計劃和計劃間的協(xié)調(diào)性進行演練、并評估和記錄計劃演練的結果。制定維持連續(xù)性能力和BCP文檔更新狀態(tài)的方法，使其與機構的策略方向保持一致。通過與適當標準的比較來驗證BCP的效率，并使用簡明的語言報告驗證的結果。危機聯(lián)絡制定、協(xié)調(diào)、評價和演練在危機情況下與媒體交流的計劃；制定、協(xié)調(diào)、評價和演練與員工及其家庭、主要客戶、關鍵供應商、業(yè)主股東以及機構管理層進行溝通和在必要情況下提供心理輔導的計劃，確保所有利益群體能夠得到所需的信息。與外部機構的合作建立適用的規(guī)程和策略，用

13、于同地方當局協(xié)調(diào)響應、連續(xù)性和恢復活動，以確保符合現(xiàn)行的法令和法規(guī)。共六十五頁業(yè)務(yw)發(fā)生中斷恢復(huf)的時間故障、災難業(yè)務中斷緊急響應重定位備份資源在行動恢復操作系統(tǒng)重裝載數(shù)據(jù)庫回滾和再同步業(yè)務重新開始共六十五頁持續(xù)性計劃(jhu)同風險管理關系自然火災颶風洪水臺風。人陰謀破壞惡意代碼操作員錯誤技術(jsh)硬件故障數(shù)據(jù)殘缺電信故障電力故障潛在風險風險評估安全控制管理控制運行維護控制技術控制。持續(xù)性計劃范圍颶風操作員錯誤硬件故障數(shù)據(jù)殘缺。自然火災颶風洪水臺風。人陰謀破壞惡意代碼操作員錯誤。技術硬件故障數(shù)據(jù)殘缺電信故障電力故障?；馂娘Z風洪水陰謀破壞硬件故障數(shù)據(jù)殘缺電信故障操作員錯誤自然

14、火災颶風洪水臺風。人陰謀破壞惡意代碼操作員錯誤。技術硬件故障數(shù)據(jù)殘缺電信故障電力故障。硬件故障數(shù)據(jù)殘缺操作員錯誤颶風標識的風險殘余的風險共六十五頁持續(xù)性計劃(jhu)實施流程開發(fā)持續(xù)性計劃(jhu)策略進行業(yè)務影響分析標識預防性的安全控制開發(fā)恢復戰(zhàn)略開發(fā)持續(xù)性計劃計劃測試、培訓和演練計劃維護標識現(xiàn)存要求標識相關計劃和程序得到高層管理支持標識關鍵IT資源標識中斷影響和允許的中斷時間開發(fā)恢復優(yōu)先級實現(xiàn)控制維護控制標識方法集成至系統(tǒng)體系結構中文檔恢復戰(zhàn)略開發(fā)測試目標開發(fā)成功準則文檔所學教訓綜合至計劃中培訓人員審閱和更新計劃同內(nèi)部/外部組織機構合作控制分發(fā)文檔變更共六十五頁持續(xù)性計劃(jhu)內(nèi)容計劃

15、開發(fā)綜合業(yè)務影響分析的發(fā)現(xiàn)文檔記錄恢復(huf)戰(zhàn)略支持信息介紹運行操作的概念通告/啟動階段通告流程損害評估計劃啟動恢復階段恢復行動的結果恢復流程重構階段恢復原站點測試系統(tǒng)結束操作計劃附錄聯(lián)系人列表系統(tǒng)要求至關重要的記錄共六十五頁持續(xù)性計劃(jhu)呼叫樹實例持續(xù)性計劃協(xié)調(diào)人后備持續(xù)性計劃協(xié)調(diào)人網(wǎng)絡恢復小組負責人數(shù)據(jù)庫恢復小組負責人通信小組負責人服務器恢復小組負責人網(wǎng)絡操作系統(tǒng)管理員數(shù)據(jù)庫管理員SQL管理員數(shù)據(jù)庫分析支持技術人員支持技術人員幫助臺技術人員廣域網(wǎng)工程師資深系統(tǒng)工程師通信技術人員通信技術人員電子郵件管理員服務器支持技術人員應用服務器管理員服務器支持技術人員共六十五頁演練(yn li

16、n)是非常必要的環(huán)節(jié)每年至少12次制定災難恢復的流程，一旦生產(chǎn)中心遭遇災難，發(fā)出災難宣告，災難備份中心數(shù)據(jù)處理系統(tǒng)、備份網(wǎng)絡系統(tǒng)設備就緒，應急中心與災難備份中心網(wǎng)絡連通，按災難備份切換操作手冊完成災備系統(tǒng)切換，業(yè)務終端聯(lián)機交易確認，災難備份中心接替生產(chǎn)中心運營。 演練的意義在于，當災難來臨時，相關人員對自己的職責，以及災難恢復的流程有一個相當清晰的概念(ginin)，并且實際操作過，最終幫助業(yè)務取得連續(xù)性的發(fā)展。與演練幾乎同等重要的是系統(tǒng)的維護。 共六十五頁如果災難恢復小組中的某一個關鍵人物離開現(xiàn)職，那么必須實時的將信息反饋，更改有關的說明書，以確保災難來臨時，相應(xingyng)的人員可以

17、對照說明書，找到合適的主管人員處理相應(xingyng)問題。 所有的最佳實踐被匯總編輯到一本說明書中，這本說明書被要求帶在每一個相關人員的身邊，災難發(fā)生時，按照上面的指引，就可以立即明確自己的職責。 共六十五頁 災難(zinn)防備在大家都沉睡時，醒來 共六十五頁應急(yng j)處理共六十五頁任何(rnh)組織都會遭受攻擊共六十五頁每年發(fā)現(xiàn)的漏洞(ludng)數(shù)量飛速上升每年(minin)發(fā)現(xiàn)的漏洞數(shù)量飛速上升 2004年CVE全年收集漏洞信息1707條 到2005年到5月6日就已經(jīng)達到1470條綠盟科技到到5月份跟蹤的漏洞也超過了1700條年份漏洞數(shù)量199974220004042001

18、8322002100620031049200417072005*1479共六十五頁發(fā)起(fq)攻擊越來越容易、攻擊能力越來越強共六十五頁黑客(hi k)的職業(yè)化之路不再是小孩的游戲，而是與 ￥ 掛鉤職業(yè)入侵者受網(wǎng)絡商人或商業(yè)間諜雇傭不在網(wǎng)上公開身份，不為人知，但確實存在。攻擊者對自己(zj)提出了更高的要求，不再滿足于普通的技巧而轉向底層研究。共六十五頁安全形勢永遠都是嚴峻(ynjn)的攻擊技術已經(jīng)開始普及，SQL Injection、DOS等攻擊方式對使用者要求較低緩沖區(qū)溢出、格式串攻擊已公開流傳多年，越來越多的人掌握這些技巧少部分人掌握自行挖掘漏洞的能力，并且這個數(shù)量在增加。漏洞挖掘流程(

19、lichng)專業(yè)化，工具自動化。Zero-day的攻擊無線安全/手機安全問題開始出現(xiàn)共六十五頁不斷發(fā)展的攻擊(gngj)技術SQL注入Google HackingPhishing客戶端攻擊(gngj)混合拒絕服務/BOTNET攻擊技術的發(fā)展密碼猜測社會工程遠程溢出蠕蟲病毒木馬拒絕服務CGI傳統(tǒng)的攻擊技術共六十五頁客戶端攻擊(gngj)技術在攻擊服務端變得困難時，黑客把目標轉向管理員的PC以及其他客戶機群利用對象：Windows漏洞、IE、Outlook、Foxmail、Serv-U、IRC軟件等客戶端往往不被重視，加上ARP欺騙、SMB會話劫持技術的應用(yngyng)，大多數(shù)內(nèi)網(wǎng)安全性很薄

20、弱社會工程學的應用共六十五頁Phishing攻擊(gngj)的流行美國反網(wǎng)絡釣魚攻擊工作小組(APWG) ：2005年1月份共接到了12845起網(wǎng)絡釣魚電子郵件匯報，支持這種欺詐性郵件信息的網(wǎng)站也增加到了2560個。國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心（CNCERT/CC）：2004年該中心接到網(wǎng)絡釣魚欺詐事件報告達223起；2004年7月份以來，該中心接到的該類報告以月均26的速度遞增。美國的網(wǎng)絡釣魚網(wǎng)站最多，占全球總量的32%，中國名列第二(13%)，韓國(hn u)位于第三(10%)共六十五頁Phishing的技術(jsh)實現(xiàn)以假亂真，視覺陷阱域名類似 姜太公釣魚，愿者上鉤身份偽裝：基于

21、郵件(yujin)的網(wǎng)頁欺騙，社會工程的應用Admin ?DNS 劫持+網(wǎng)頁偽造：更難以察覺的攻擊方式共六十五頁Google Hacking利用搜索引擎輸入特定語法、關鍵字尋找可利用的滲透點，最終完成入侵。敏感的信息包括：目標站點的信息存儲密碼的文件后臺管理和上傳文件的 Web 頁數(shù)據(jù)庫特定擴展名的文件特定的 Web 程序，如論壇(lntn)Google蠕蟲已經(jīng)出現(xiàn)！Net-Worm.Perl.Santy.a。利用用Google查詢來發(fā)現(xiàn)運行phpBB論壇系統(tǒng)的Web站點系統(tǒng)漏洞并自動修改2004年在拉斯維加斯舉行的BlackHat大會上，有兩位安全專家(zhunji)分別作了名為You fo

22、und that on google ? 和google attacks 的主題演講 共六十五頁Google Hacking Exampleintitle:“xxx shell* “xxx stderr filetype:php Google信息(xnx)收集site: site: intext:* 共六十五頁SQL Injection Attack SQL注入攻擊就其本質(zhì)而言，利用的工具是SQL的語法(yf)，針對的是應用程序開設計中的漏洞?！爱敼粽吣軌虿僮鲾?shù)據(jù)，往應用程序中插入一些SQL語句時，SQL注入攻擊就發(fā)生了”。 攻擊目標：控制服務器/獲取敏感數(shù)據(jù)2000年2001年2002年2

23、003年2004年2005年簡單(jindn)的登陸驗證繞過針對asp+sql server的基本注入自動化注入攻擊工具的出現(xiàn)更多的后臺數(shù)據(jù)庫操作研究Php/JSP注入技術高級注入攻擊技術共六十五頁應急響應是指針對已經(jīng)發(fā)生或可能發(fā)生的安全事件進行監(jiān)控、分析、協(xié)調(diào)、處理、保護資產(chǎn)安全屬性的活動。網(wǎng)絡安全無法保證一勞永逸(y lo yng y)。為了做到更好的安全保障，減少安全事件的發(fā)生，這需要：在事件發(fā)生前從最壞處考慮，做好應急響應計劃。在事件發(fā)生后盡快有效響應，降低應急處理時間。共六十五頁應急(yng j)響應應急響應服務的目的是最快速度恢復系統(tǒng)的保密性、完整性和可用性，阻止和減小安全事件帶來

24、的影響。避免沒有章法、可能造成災難的響應。更快速和標準化的響應。確認或排除是否發(fā)生了緊急事件。使緊急事件對業(yè)務或網(wǎng)絡造成的影響最小化。保護企業(yè)、組織的聲譽和資產(chǎn)。教育高層(o cn)管理人員。提供準確的報告和有價值的建議。共六十五頁應急響應(xingyng)是重要的在安全保障體系中，應急響應（應急處理）是一個重要的過程，也是必要的環(huán)節(jié)。從 IT 服務最佳實踐流程(ITIL)來看，應急響應是事件管理、問題管理的重要因素。事件管理強調(diào)的是速度，即盡快的響應事件；問題管理強調(diào)的是根本，即從根本上解決問題，保證問題不再出現(xiàn)。應急響應（應急處理）應當涉及這兩方面(fngmin)的內(nèi)容。 共六十五頁應急響

25、應(xingyng)是可行的應急響應（應急處理）應該從三方面來考慮：人(People)、流程(Process)、技術(Technology)。在安全事件發(fā)生后，應當有適合的、有能力的人員（專家(zhunji)）進行響應，他們的技能和經(jīng)驗是有效的應急響應的基礎。僅僅有勝任的人員也是不足的，盲目的沒有章法的應急響應往往會事與愿違，帶來更大的災難，因此流程、程序、計劃都變得非常重要。由于安全事件的不可預知性，所以需要先進的技術（產(chǎn)品、工具、研究成果）作保障，應急響應的目的是為了根本解決問題，并不是簡單的僅僅依靠熱情來達到。共六十五頁國際間的協(xié)調(diào)(xitio)組織國內(nèi)的協(xié)調(diào)(xitio)組織國內(nèi)的協(xié)調(diào)

26、組織愿意付費的任何用戶產(chǎn)品用戶網(wǎng)絡接入用戶企業(yè)部門、用戶商業(yè)IRT網(wǎng)絡服務提供商 IRT廠商 IRT企業(yè) /政府 IRT如：綠盟科技如：CCERT如：Cisco、IBM如：中國銀行、 公安部如CERT/CC, FIRST如CNCERT/CC應急響應組的分類共六十五頁中國銀行(zhn u yn xn)應急響應需求制定應急響應計劃信息安全重要的一個方面是在攻擊發(fā)生時應能知曉如何應對(yngdu)，提前的計劃與準備能夠盡快的抑制攻擊、降低影響。但是制定應急響應計劃是一個非常耗時的工作。 培養(yǎng)中國銀行應急響應專家在安全事件處理過程中，“人”的作用是勿庸置疑的。為了降低第三方安全服務提供商的風險，所以培

27、養(yǎng)中國銀行集團應急專家是必要的。 做好應急響應知識管理要注意做好應急響應（應急處理）知識管理工作，知識管理可以通過創(chuàng)建、固化、掌握、傳播、改進等一系列的方式實現(xiàn)。知識管理的目標很明確，讓盡可能多的人具備良好的思考方式和一定的技能。 定期進行應急演練如果僅僅將應急響應計劃束之高閣，長此以往“人”的警惕將會松懈，直接后果是在安全事件發(fā)生后表現(xiàn)混亂，無從下手，所以要定期進行應急演練，每次針對不同的主題，在實戰(zhàn)情況下演練效果更佳。應急演練最忌諱的方式是紙上談兵，達不到預期的目標。 共六十五頁需要第三方安全服務廠商的應急響應支持由于資源、精力等限制，中國銀行集團在進行應急響應（應急處理）的過程中，不可避

28、免的與其他社會資源協(xié)作，共同抵抗安全威脅。安全服務廠商在應急響應方面具備一定的經(jīng)驗和技術，為中國銀行提供風險降低支持。需要其他社會資源的應急響應支持國家計算機網(wǎng)絡應急響應協(xié)調(diào)處理中心(CNCERT/CC)、公安部、安全部等也能夠在全網(wǎng)協(xié)作、調(diào)查取證方面提供必要的支持。需要第三方安全服務廠商提供早期(zoq)安全預警智能具備深入研究能力的第三方安全服務廠商為中國銀行提供早期安全預警智能，這些知識將間接的提高應急響應的效能：通過預先的風險降低措施減少安全事件的發(fā)生，通過知識管理盡早的獲得知識并及時更新。對合作的第三方安全服務廠商提出要求這主要從兩個方面來進行考核：能力與速度。毫無疑問，第三方安全服

29、務廠商的能力（研究能力、漏洞發(fā)現(xiàn)能力、應急響應能力、技術領先能力、經(jīng)驗等）是應急響應是否成功的關鍵。速度是考察第三方安全服務廠商應急響應服務的服務級別協(xié)議(SLA)的一個重要指標，在一定程度上反映了廠商的態(tài)度與信譽。共六十五頁矩陣(j zhn)需考慮的因素需包含的內(nèi)容緊急程度*人(People)建立應急響應小組培養(yǎng)中國銀行集團應急響應專家需要第三方安全服務廠商的支持需要其他社會資源的支持緊急一般緊急緊急流程(Process)制定應急響應計劃定期進行應急響應演練做好應急響應知識管理緊急一般一般技術(Technology)應急響應產(chǎn)品與工具需要第三方安全服務廠商提供早期安全預警智能對合作的第三方安

30、全服務廠商提出要求緊急一般一般* 僅供中國銀行(zhn u yn xn)參考共六十五頁綠盟科技應急響應小組(xioz)(NSFIRST) 7*24 支持電話支持遠程支持現(xiàn)場支持具體需求與最佳實踐完美結合的應急響應程序協(xié)助進行應急響應演練，改進應急響應準備綠盟科技研究院安全小組(NSFOCUS Security Team) 的威脅智能分析支持綠盟科技自有的安全產(chǎn)品（黑洞、NIPS/NIDS、Scanner、流量監(jiān)控與分析、網(wǎng)絡誘騙系統(tǒng)）共六十五頁主要(zhyo)安全事件拒絕服務攻擊網(wǎng)絡流量異常服務器異常性能(xngnng)異常數(shù)據(jù)被破壞入侵攻擊蠕蟲病毒爆發(fā)共六十五頁事件(shjin)分級事件級別

31、嚴重程度描述1輕微用戶網(wǎng)絡或業(yè)務系統(tǒng)出現(xiàn)故障，但暫時不影響業(yè)務系統(tǒng)的運行。 2普通用戶網(wǎng)絡或業(yè)務系統(tǒng)出現(xiàn)異常，運行效率降低或出現(xiàn)錯誤。 3嚴重用戶網(wǎng)絡或業(yè)務系統(tǒng)無法正常工作。 4緊急用戶網(wǎng)絡或業(yè)務系統(tǒng)中斷或癱瘓。 共六十五頁事件(shjin)升級標準負責人成員綠盟科技應急響應小組李鈉NSFIRST綠盟科技專業(yè)服務部王紅陽 (Why)NSFIRST、PSD綠盟科技安全小組左磊(warning3)NSFOCUS Security Team若未解決事件升級2小時綠盟科技應急響應小組4小時綠盟科技專業(yè)服務部8小時綠盟科技安全小組北京(bi jn)、上海、廣州2個小時內(nèi)到達指定現(xiàn)場。其他城市8小時內(nèi)到達

32、指定現(xiàn)場。共六十五頁綠盟科技應急(yng j)響應服務方法論共六十五頁People: NSFIRSTProcess: 策略和程序(chngx)Technology: 硬件、軟件、工具、文檔PreparationDetection&AnalysisContainmentEradication& Recovery應急響應(xingyng)流程Post-IncidentActivityProcessTechnologyPeople共六十五頁事件起因分析。事件取證(q zhn)追查。系統(tǒng)后門檢查、漏洞分析。數(shù)據(jù)收集、數(shù)據(jù)分析。PreparationDetection&AnalysisContainme

33、ntEradication& Recovery應急(yng j)響應流程Post-IncidentActivity調(diào)查事件分級決定什么對自己最重要。為緊急事件確定優(yōu)先級，更有效的利用資源。不是每個緊急事件都需要平等對待。緊急事件檢測防火墻日志系統(tǒng)日志W(wǎng)eb 服務器日志IDS 日志可疑的用戶管理員報告初始響應初步判定事件類型、定義事件級別。準備相關資源。為緊急事件的處理取得管理方面的支持。組建事件處理小組。制定安全事件響應策略。共六十五頁PreparationDetection&AnalysisContainmentEradication& Recovery應急(yng j)響應流程Post-IncidentActivity抑制、消除和恢復恢復系統(tǒng)正常。確認系統(tǒng)是否已經(jīng)完全恢復正常。修補(xib)系統(tǒng)漏洞，安全性增強。部署安全措施。設置過濾策略。共六十五頁PreparationDetection&AnalysisContainmentEradication