(8)IT運維管理：ITIL先鋒論壇-某銀行BCM管理整體方案設(shè)計

Professional

SecuritySolutionProviderNSFocusInformationTechnologyCo.Ltd.

ProfessionalServices業(yè)務(wù)連續(xù)性管理(BusinessContinuityManagement)專業(yè)服務(wù)部高級安全顧問提綱為什么需要業(yè)務(wù)連續(xù)性管理？業(yè)務(wù)連續(xù)性管理的國際專業(yè)操作步驟應(yīng)急處理為什么需要業(yè)務(wù)連續(xù)性管理ISO17799:2005紅色部分是2005版相對于2002版的改變部分BS7799-2:2002v.s.BS7799-2:2005A3～A1210個章節(jié)A5～A1511個章節(jié)機密信息丟失引發(fā)信任危機2005年6月1日，瑞士銀行集團(UBS)日本分行丟失了一張存有高度敏感客戶信息的磁盤。其中可能包含相當(dāng)機密的交易、止損單記錄以及公司各類客戶的敏感信息。2005年6月6日，花旗銀行390萬客戶賬戶資料在快遞途中的神秘失蹤。2005年6月17日，由于美國信用卡系統(tǒng)解決方案公司CardSystems的安全漏洞，導(dǎo)致4000萬用戶的銀行資料被泄漏，其中包括MASTER公司的1390萬用戶、VISA的2200萬客戶。

信任危機銀行業(yè)賴以生存的重要信息資產(chǎn)帳戶信息客戶資料信用記錄交易明細(xì)業(yè)務(wù)數(shù)據(jù)大集中的同時，客觀上也把風(fēng)險集中和放大起來。

7×24×365災(zāi)難、故障——中斷9/11東南亞海嘯直接和間接的損失間接損失新聞頭條公眾聲譽直接損失數(shù)據(jù)丟失、設(shè)備損壞人員傷害……當(dāng)前世界所面臨的風(fēng)險有恐怖襲擊、黑客、網(wǎng)絡(luò)侵襲、電腦病毒、自然災(zāi)害、大規(guī)模停電、罷工、環(huán)保、市場惡性競爭、企業(yè)倒閉等。根據(jù)權(quán)威機構(gòu)統(tǒng)計，美國在近10年間遭遇過災(zāi)難事件的公司中，有55%的公司馬上倒閉，因為數(shù)據(jù)丟失造成業(yè)務(wù)無法持續(xù)，有29%的公司在兩年之內(nèi)倒閉。根據(jù)明尼蘇達大學(xué)統(tǒng)計，美國證券金融行業(yè)平均可容忍的最大停機時間是2天，沒有實施災(zāi)難備份措施的公司在遇到災(zāi)難后60%將在2～3年內(nèi)破產(chǎn)。據(jù)GartnerGroup統(tǒng)計，在經(jīng)歷大型災(zāi)難事件而導(dǎo)致系統(tǒng)停運的公司中，有2/5左右再也沒有恢復(fù)運營，剩下的公司中也有接近1/3在兩年內(nèi)破產(chǎn)。9.11事件中，1200家企業(yè)受災(zāi)，400家企業(yè)啟動了災(zāi)難恢復(fù)計劃，其中摩根士丹利公司幾天后在新澤西州恢復(fù)營業(yè)，而無災(zāi)備能力的企業(yè)損失慘重。傳統(tǒng)的業(yè)務(wù)管理方法及流程，在遭遇災(zāi)難事件時常常不堪一擊，甚至可能隨時崩潰。但是在災(zāi)難尚未降臨之前，人們的警惕性都不高，仍沒有看到BCM的重要性。慶幸的是，越來越多深受災(zāi)難事件影響的企業(yè)和機構(gòu)已開始認(rèn)識到，只有通過更加切實的手段，借助更便捷的信息技術(shù)，構(gòu)建真正有效應(yīng)對危機事件的管理體系，并且使管理科學(xué)化、手段現(xiàn)代化，才能保證業(yè)務(wù)的連續(xù)運行，才能保證各類應(yīng)用系統(tǒng)和數(shù)據(jù)的完整性。從國際成功經(jīng)驗來看，那些及時引入BCM的企業(yè)和機構(gòu)，之所以能夠在災(zāi)難事件面前處亂不驚、化險為夷，主要在于他們能夠借助先進的業(yè)務(wù)持續(xù)管理解決方案，有效地保護其核心業(yè)務(wù)的持續(xù)運行。如今，BCM已成為應(yīng)對危機事件的國際通用規(guī)則。

業(yè)務(wù)連續(xù)性管理(BCM:BusinessContinuityManagement)目的：防止業(yè)務(wù)停頓，以及保護重要業(yè)務(wù)進程不受重大失效或災(zāi)難的影響。(BS7799)預(yù)防(Prevent)&恢復(fù)(Recovery)一項綜合管理流程，它使企業(yè)認(rèn)識到潛在的危機和相關(guān)影響，制訂響應(yīng)、業(yè)務(wù)和連續(xù)性的恢復(fù)計劃，其總體目標(biāo)是為了提高企業(yè)的風(fēng)險防范能力，以有效的響應(yīng)非計劃的業(yè)務(wù)破壞并降低不良影響。BCM的出發(fā)點在于對潛在的災(zāi)難危險加以辨別并進行分析，以確定其對企業(yè)運作造成的威脅，并建立一個完善的持續(xù)管理計劃來防止或減少災(zāi)難事件給企業(yè)帶來的損失。

業(yè)務(wù)連續(xù)性計劃BCP業(yè)務(wù)連續(xù)性計劃是一套高級管理和規(guī)章流程，它使一個組織在突發(fā)事件面前能夠迅速做出反應(yīng)，以確保關(guān)鍵業(yè)務(wù)功能可以持續(xù)，而不造成業(yè)務(wù)中斷或業(yè)務(wù)流程本質(zhì)的改變。

災(zāi)難恢復(fù)應(yīng)該是整個應(yīng)急體系中的最后一道防線。事實上，無論備份等級有多高，任何災(zāi)備中心與真正的業(yè)務(wù)系統(tǒng)間都還是會存在或多或少的時點差距的，切換恢復(fù)后的業(yè)務(wù)系統(tǒng)不一定是全部；且系統(tǒng)切換本身也是要付出時間、人力、物力等高成本代價的。而我們所該做的，是在災(zāi)難發(fā)生后盡量將損失降到最低。每一層為鄰近層提供穩(wěn)定的基礎(chǔ)Construction,Environmental,Electro-Mechanical,UtilitiesServers,StorageDevices,Routers,SwitchesOperatingSystems,NetworkProtocolsOperationsAutomation,LogicalSecurity,Middleware,DatabaseChange,Problem,andConfigurationManagement,SDLC,DataStructures,NamingConventions,QualityStandardsStrategicPlanning,ArchitectureDefinition,Planning&ControlContinuousServiceFacilitiesHardwareSystemsSoftwareSupportSystemsBusinessApplicationsManagementPractices公司的員工、供應(yīng)商、顧客對公司的信心公司名譽品牌面臨的風(fēng)險BCM無疑等于給股東吃了一顆定心丸

業(yè)務(wù)連續(xù)性管理的國際專業(yè)操作步驟從戰(zhàn)略管理高度考慮BCM實施BCM，應(yīng)該從戰(zhàn)略管理的高度，關(guān)注流程、人員、設(shè)施和計劃。這四個要素分別解決了在應(yīng)對災(zāi)難危機時，什么人(或組織)按照什么樣的流程操作什么樣的資源，而計劃正是規(guī)范以上要素的文檔體現(xiàn)。因此，BCM要從企業(yè)的業(yè)務(wù)目標(biāo)出發(fā)，分析企業(yè)具體的業(yè)務(wù)流程，詳細(xì)分析支持這些業(yè)務(wù)流程的應(yīng)用系統(tǒng)，分析它們一旦發(fā)生危機對業(yè)務(wù)的影響。根據(jù)上述影響，制定相應(yīng)的規(guī)避方法，包括流程和技術(shù)手段。業(yè)務(wù)連續(xù)性管理的國際專業(yè)操作步驟(10Steps)項目啟動和管理確定業(yè)務(wù)持續(xù)計劃（BCP）實施過程的相關(guān)需求，包括獲得管理支持、以及組織和管理項目使其符合時間和預(yù)算的限制要求。風(fēng)險評估和控制確定可能造成機構(gòu)及其設(shè)施中斷的災(zāi)難、具有負(fù)面影響的事件和周邊環(huán)境因素，以及事件可能造成的損失、防止或減少潛在損失影響的控制措施，提供成本效益分析以調(diào)整控制措施方面的投資，達到消減風(fēng)險的目的。同時，由于風(fēng)險會隨著系統(tǒng)的發(fā)展而變化，所以風(fēng)險管理過程也必須是動態(tài)的。業(yè)務(wù)影響分析確定由于中斷和預(yù)期災(zāi)難可能對機構(gòu)造成的影響，以及用來定量和定性分析這種影響的技術(shù)。確定關(guān)鍵功能、恢復(fù)優(yōu)先順序和相關(guān)性以便確定恢復(fù)時間。制定業(yè)務(wù)連續(xù)性戰(zhàn)略確定和指導(dǎo)備用業(yè)務(wù)恢復(fù)運行策略的選擇，以便在恢復(fù)時間目標(biāo)范圍內(nèi)恢復(fù)業(yè)務(wù)和信息技術(shù)，并維持機構(gòu)的關(guān)鍵功能。緊急響應(yīng)和運行制定和實施用于事件響應(yīng)以及對事件所引起狀況進行穩(wěn)定的規(guī)程，包括建立和管理緊急事件運作中心，該中心用于在緊急事件中發(fā)布命令。制定和實施業(yè)務(wù)連續(xù)性計劃設(shè)計、制定和實施業(yè)務(wù)連續(xù)性計劃，以便在恢復(fù)時間目標(biāo)范圍內(nèi)完成恢復(fù)。意識培養(yǎng)和培訓(xùn)項目準(zhǔn)備建立對機構(gòu)人員進行意識培養(yǎng)和技能培訓(xùn)的項目，以便業(yè)務(wù)連續(xù)性計劃能夠得到制定、實施、維護和執(zhí)行。業(yè)務(wù)連續(xù)性計劃的演練和維護對預(yù)先計劃和計劃間的協(xié)調(diào)性進行演練、并評估和記錄計劃演練的結(jié)果。制定維持連續(xù)性能力和BCP文檔更新狀態(tài)的方法，使其與機構(gòu)的策略方向保持一致。通過與適當(dāng)標(biāo)準(zhǔn)的比較來驗證BCP的效率，并使用簡明的語言報告驗證的結(jié)果。危機聯(lián)絡(luò)制定、協(xié)調(diào)、評價和演練在危機情況下與媒體交流的計劃；制定、協(xié)調(diào)、評價和演練與員工及其家庭、主要客戶、關(guān)鍵供應(yīng)商、業(yè)主／股東以及機構(gòu)管理層進行溝通和在必要情況下提供心理輔導(dǎo)的計劃，確保所有利益群體能夠得到所需的信息。與外部機構(gòu)的合作建立適用的規(guī)程和策略，用于同地方當(dāng)局協(xié)調(diào)響應(yīng)、連續(xù)性和恢復(fù)活動，以確保符合現(xiàn)行的法令和法規(guī)。業(yè)務(wù)發(fā)生中斷……恢復(fù)的時間故障、災(zāi)難業(yè)務(wù)中斷緊急響應(yīng)重定位備份資源在行動恢復(fù)操作系統(tǒng)重裝載數(shù)據(jù)庫回滾和再同步業(yè)務(wù)重新開始持續(xù)性計劃同風(fēng)險管理關(guān)系自然火災(zāi)颶風(fēng)洪水臺風(fēng)。。人陰謀破壞惡意代碼操作員錯誤技術(shù)硬件故障數(shù)據(jù)殘缺電信故障電力故障潛在風(fēng)險風(fēng)險評估安全控制管理控制運行維護控制技術(shù)控制。。。持續(xù)性計劃范圍颶風(fēng)操作員錯誤硬件故障數(shù)據(jù)殘缺。。自然火災(zāi)颶風(fēng)洪水臺風(fēng)。。人陰謀破壞惡意代碼操作員錯誤。。技術(shù)硬件故障數(shù)據(jù)殘缺電信故障電力故障?；馂?zāi)颶風(fēng)洪水陰謀破壞硬件故障數(shù)據(jù)殘缺電信故障操作員錯誤自然火災(zāi)颶風(fēng)洪水臺風(fēng)。。人陰謀破壞惡意代碼操作員錯誤。。技術(shù)硬件故障數(shù)據(jù)殘缺電信故障電力故障。硬件故障數(shù)據(jù)殘缺操作員錯誤颶風(fēng)標(biāo)識的風(fēng)險殘余的風(fēng)險持續(xù)性計劃實施流程開發(fā)持續(xù)性計劃策略進行業(yè)務(wù)影響分析標(biāo)識預(yù)防性的安全控制開發(fā)恢復(fù)戰(zhàn)略開發(fā)持續(xù)性計劃計劃測試、培訓(xùn)和演練計劃維護標(biāo)識現(xiàn)存要求標(biāo)識相關(guān)計劃和程序得到高層管理支持標(biāo)識關(guān)鍵IT資源標(biāo)識中斷影響和允許的中斷時間開發(fā)恢復(fù)優(yōu)先級實現(xiàn)控制維護控制標(biāo)識方法集成至系統(tǒng)體系結(jié)構(gòu)中文檔恢復(fù)戰(zhàn)略開發(fā)測試目標(biāo)開發(fā)成功準(zhǔn)則文檔所學(xué)教訓(xùn)綜合至計劃中培訓(xùn)人員審閱和更新計劃同內(nèi)部/外部組織機構(gòu)合作控制分發(fā)文檔變更持續(xù)性計劃內(nèi)容計劃開發(fā)綜合業(yè)務(wù)影響分析的發(fā)現(xiàn)文檔記錄恢復(fù)戰(zhàn)略支持信息介紹運行操作的概念通告/啟動階段通告流程損害評估計劃啟動恢復(fù)階段恢復(fù)行動的結(jié)果恢復(fù)流程重構(gòu)階段恢復(fù)原站點測試系統(tǒng)結(jié)束操作計劃附錄聯(lián)系人列表系統(tǒng)要求至關(guān)重要的記錄持續(xù)性計劃——呼叫樹實例持續(xù)性計劃協(xié)調(diào)人后備持續(xù)性計劃協(xié)調(diào)人網(wǎng)絡(luò)恢復(fù)小組負(fù)責(zé)人數(shù)據(jù)庫恢復(fù)小組負(fù)責(zé)人通信小組負(fù)責(zé)人服務(wù)器恢復(fù)小組負(fù)責(zé)人網(wǎng)絡(luò)操作系統(tǒng)管理員數(shù)據(jù)庫管理員SQL管理員數(shù)據(jù)庫分析支持技術(shù)人員支持技術(shù)人員幫助臺技術(shù)人員廣域網(wǎng)工程師資深系統(tǒng)工程師通信技術(shù)人員通信技術(shù)人員電子郵件管理員服務(wù)器支持技術(shù)人員應(yīng)用服務(wù)器管理員服務(wù)器支持技術(shù)人員演練是非常必要的環(huán)節(jié)每年至少1～2次制定災(zāi)難恢復(fù)的流程，一旦生產(chǎn)中心遭遇災(zāi)難，發(fā)出災(zāi)難宣告，災(zāi)難備份中心數(shù)據(jù)處理系統(tǒng)、備份網(wǎng)絡(luò)系統(tǒng)設(shè)備就緒，應(yīng)急中心與災(zāi)難備份中心網(wǎng)絡(luò)連通，按災(zāi)難備份切換操作手冊完成災(zāi)備系統(tǒng)切換，業(yè)務(wù)終端聯(lián)機交易確認(rèn)，災(zāi)難備份中心接替生產(chǎn)中心運營。演練的意義在于，當(dāng)災(zāi)難來臨時，相關(guān)人員對自己的職責(zé)，以及災(zāi)難恢復(fù)的流程有一個相當(dāng)清晰的概念，并且實際操作過，最終幫助業(yè)務(wù)取得連續(xù)性的發(fā)展。與演練幾乎同等重要的是系統(tǒng)的維護。

如果災(zāi)難恢復(fù)小組中的某一個關(guān)鍵人物離開現(xiàn)職，那么必須實時的將信息反饋，更改有關(guān)的說明書，以確保災(zāi)難來臨時，相應(yīng)的人員可以對照說明書，找到合適的主管人員處理相應(yīng)問題。所有的最佳實踐被匯總編輯到一本說明書中，這本說明書被要求帶在每一個相關(guān)人員的身邊，災(zāi)難發(fā)生時，按照上面的指引，就可以立即明確自己的職責(zé)。

災(zāi)難防備在大家都沉睡時，醒來

應(yīng)急處理任何組織都會遭受攻擊每年發(fā)現(xiàn)的漏洞數(shù)量飛速上升每年發(fā)現(xiàn)的漏洞數(shù)量飛速上升

2004年CVE全年收集漏洞信息1707條

到2005年到5月6日就已經(jīng)達到1470條綠盟科技到到5月份跟蹤的漏洞也超過了1700條年份漏洞數(shù)量1999742200040420018322002100620031049200417072005***1479發(fā)起攻擊越來越容易、攻擊能力越來越強黑客的職業(yè)化之路不再是小孩的游戲，而是與￥掛鉤職業(yè)入侵者受網(wǎng)絡(luò)商人或商業(yè)間諜雇傭不在網(wǎng)上公開身份，不為人知，但確實存在。攻擊者對自己提出了更高的要求，不再滿足于普通的技巧而轉(zhuǎn)向底層研究。安全形勢永遠(yuǎn)都是嚴(yán)峻的攻擊技術(shù)已經(jīng)開始普及，SQLInjection、DOS等攻擊方式對使用者要求較低緩沖區(qū)溢出、格式串攻擊已公開流傳多年，越來越多的人掌握這些技巧少部分人掌握自行挖掘漏洞的能力，并且這個數(shù)量在增加。漏洞挖掘流程專業(yè)化，工具自動化。Zero-day的攻擊無線安全/手機安全問題開始出現(xiàn)不斷發(fā)展的攻擊技術(shù)SQL注入GoogleHackingPhishing客戶端攻擊混合拒絕服務(wù)/BOTNET……攻擊技術(shù)的發(fā)展密碼猜測社會工程遠(yuǎn)程溢出蠕蟲病毒木馬拒絕服務(wù)CGI……傳統(tǒng)的攻擊技術(shù)客戶端攻擊技術(shù)在攻擊服務(wù)端變得困難時，黑客把目標(biāo)轉(zhuǎn)向管理員的PC以及其他客戶機群利用對象：Windows漏洞、IE、Outlook、Foxmail、Serv-U、IRC軟件等客戶端往往不被重視，加上ARP欺騙、SMB會話劫持技術(shù)的應(yīng)用，大多數(shù)內(nèi)網(wǎng)安全性很薄弱社會工程學(xué)的應(yīng)用Phishing攻擊的流行美國反網(wǎng)絡(luò)釣魚攻擊工作小組(APWG)：2005年1月份共接到了12845起網(wǎng)絡(luò)釣魚電子郵件匯報，支持這種欺詐性郵件信息的網(wǎng)站也增加到了2560個。國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）：2004年該中心接到網(wǎng)絡(luò)釣魚欺詐事件報告達223起；2004年7月份以來，該中心接到的該類報告以月均26％的速度遞增。美國的網(wǎng)絡(luò)釣魚網(wǎng)站最多，占全球總量的32%，中國名列第二(13%)，韓國位于第三(10%)Phishing的技術(shù)實現(xiàn)以假亂真，視覺陷阱域名類似

姜太公釣魚，愿者上鉤身份偽裝：基于郵件的網(wǎng)頁欺騙，社會工程的應(yīng)用Admin@?DNS劫持+網(wǎng)頁偽造：更難以察覺的攻擊方式GoogleHacking利用搜索引擎輸入特定語法、關(guān)鍵字尋找可利用的滲透點，最終完成入侵。敏感的信息包括：目標(biāo)站點的信息存儲密碼的文件后臺管理和上傳文件的Web頁數(shù)據(jù)庫特定擴展名的文件特定的Web程序，如論壇Google蠕蟲已經(jīng)出現(xiàn)！Net-Worm.Perl.Santy.a。利用用Google查詢來發(fā)現(xiàn)運行phpBB論壇系統(tǒng)的Web站點系統(tǒng)漏洞并自動修改2004年在拉斯維加斯舉行的BlackHat大會上，有兩位安全專家分別作了名為《Youfoundthatongoogle?》和《googleattacks》的主題演講GoogleHackingExampleintitle:“xxxshell*"“xxxstderr"filetype:php

Google信息收集site:site:intext:*@…SQLInjectionAttackSQL注入攻擊就其本質(zhì)而言，利用的工具是SQL的語法，針對的是應(yīng)用程序開設(shè)計中的漏洞?！爱?dāng)攻擊者能夠操作數(shù)據(jù)，往應(yīng)用程序中插入一些SQL語句時，SQL注入攻擊就發(fā)生了”。攻擊目標(biāo)：控制服務(wù)器/獲取敏感數(shù)據(jù)2000年2001年2002年2003年2004年2005年簡單的登陸驗證繞過針對asp+sqlserver的基本注入自動化注入攻擊工具的出現(xiàn)更多的后臺數(shù)據(jù)庫操作研究Php/JSP注入技術(shù)高級注入攻擊技術(shù)應(yīng)急響應(yīng)是指針對已經(jīng)發(fā)生或可能發(fā)生的安全事件進行監(jiān)控、分析、協(xié)調(diào)、處理、保護資產(chǎn)安全屬性的活動。網(wǎng)絡(luò)安全無法保證一勞永逸。為了做到更好的安全保障，減少安全事件的發(fā)生，這需要：在事件發(fā)生前從最壞處考慮，做好應(yīng)急響應(yīng)計劃。在事件發(fā)生后盡快有效響應(yīng)，降低應(yīng)急處理時間。應(yīng)急響應(yīng)應(yīng)急響應(yīng)服務(wù)的目的是最快速度恢復(fù)系統(tǒng)的保密性、完整性和可用性，阻止和減小安全事件帶來的影響。避免沒有章法、可能造成災(zāi)難的響應(yīng)。更快速和標(biāo)準(zhǔn)化的響應(yīng)。確認(rèn)或排除是否發(fā)生了緊急事件。使緊急事件對業(yè)務(wù)或網(wǎng)絡(luò)造成的影響最小化。保護企業(yè)、組織的聲譽和資產(chǎn)。教育高層管理人員。提供準(zhǔn)確的報告和有價值的建議。應(yīng)急響應(yīng)是重要的在安全保障體系中，應(yīng)急響應(yīng)（應(yīng)急處理）是一個重要的過程，也是必要的環(huán)節(jié)。從IT服務(wù)最佳實踐流程(ITIL)來看，應(yīng)急響應(yīng)是事件管理、問題管理的重要因素。事件管理強調(diào)的是速度，即盡快的響應(yīng)事件；問題管理強調(diào)的是根本，即從根本上解決問題，保證問題不再出現(xiàn)。應(yīng)急響應(yīng)（應(yīng)急處理）應(yīng)當(dāng)涉及這兩方面的內(nèi)容。應(yīng)急響應(yīng)是可行的應(yīng)急響應(yīng)（應(yīng)急處理）應(yīng)該從三方面來考慮：人(People)、流程(Process)、技術(shù)(Technology)。在安全事件發(fā)生后，應(yīng)當(dāng)有適合的、有能力的人員（專家）進行響應(yīng)，他們的技能和經(jīng)驗是有效的應(yīng)急響應(yīng)的基礎(chǔ)。僅僅有勝任的人員也是不足的，盲目的沒有章法的應(yīng)急響應(yīng)往往會事與愿違，帶來更大的災(zāi)難，因此流程、程序、計劃都變得非常重要。由于安全事件的不可預(yù)知性，所以需要先進的技術(shù)（產(chǎn)品、工具、研究成果）作保障，應(yīng)急響應(yīng)的目的是為了根本解決問題，并不是簡單的僅僅依靠熱情來達到。國際間的協(xié)調(diào)組織國內(nèi)的協(xié)調(diào)組織國內(nèi)的協(xié)調(diào)組織愿意付費的任何用戶產(chǎn)品用戶網(wǎng)絡(luò)接入用戶企業(yè)部門、用戶商業(yè)IRT網(wǎng)絡(luò)服務(wù)提供商IRT廠商IRT企業(yè)/政府IRT如：綠盟科技如：CCERT如：Cisco、IBM如：中國銀行、公安部如CERT/CC,FIRST如CNCERT/CC應(yīng)急響應(yīng)組的分類中國銀行應(yīng)急響應(yīng)需求制定應(yīng)急響應(yīng)計劃信息安全重要的一個方面是在攻擊發(fā)生時應(yīng)能知曉如何應(yīng)對，提前的計劃與準(zhǔn)備能夠盡快的抑制攻擊、降低影響。但是制定應(yīng)急響應(yīng)計劃是一個非常耗時的工作。培養(yǎng)中國銀行應(yīng)急響應(yīng)專家在安全事件處理過程中，“人”的作用是勿庸置疑的。為了降低第三方安全服務(wù)提供商的風(fēng)險，所以培養(yǎng)中國銀行集團應(yīng)急專家是必要的。做好應(yīng)急響應(yīng)知識管理要注意做好應(yīng)急響應(yīng)（應(yīng)急處理）知識管理工作，知識管理可以通過創(chuàng)建、固化、掌握、傳播、改進等一系列的方式實現(xiàn)。知識管理的目標(biāo)很明確，讓盡可能多的人具備良好的思考方式和一定的技能。定期進行應(yīng)急演練如果僅僅將應(yīng)急響應(yīng)計劃束之高閣，長此以往“人”的警惕將會松懈，直接后果是在安全事件發(fā)生后表現(xiàn)混亂，無從下手，所以要定期進行應(yīng)急演練，每次針對不同的主題，在實戰(zhàn)情況下演練效果更佳。應(yīng)急演練最忌諱的方式是紙上談兵，達不到預(yù)期的目標(biāo)。需要第三方安全服務(wù)廠商的應(yīng)急響應(yīng)支持由于資源、精力等限制，中國銀行集團在進行應(yīng)急響應(yīng)（應(yīng)急處理）的過程中，不可避免的與其他社會資源協(xié)作，共同抵抗安全威脅。安全服務(wù)廠商在應(yīng)急響應(yīng)方面具備一定的經(jīng)驗和技術(shù)，為中國銀行提供風(fēng)險降低支持。需要其他社會資源的應(yīng)急響應(yīng)支持國家計算機網(wǎng)絡(luò)應(yīng)急響應(yīng)協(xié)調(diào)處理中心(CNCERT/CC)、公安部、安全部等也能夠在全網(wǎng)協(xié)作、調(diào)查取證方面提供必要的支持。需要第三方安全服務(wù)廠商提供早期安全預(yù)警智能具備深入研究能力的第三方安全服務(wù)廠商為中國銀行提供早期安全預(yù)警智能，這些知識將間接的提高應(yīng)急響應(yīng)的效能：通過預(yù)先的風(fēng)險降低措施減少安全事件的發(fā)生，通過知識管理盡早的獲得知識并及時更新。對合作的第三方安全服務(wù)廠商提出要求這主要從兩個方面來進行考核：能力與速度。毫無疑問，第三方安全服務(wù)廠商的能力（研究能力、漏洞發(fā)現(xiàn)能力、應(yīng)急響應(yīng)能力、技術(shù)領(lǐng)先能力、經(jīng)驗等）是應(yīng)急響應(yīng)是否成功的關(guān)鍵。速度是考察第三方安全服務(wù)廠商應(yīng)急響應(yīng)服務(wù)的服務(wù)級別協(xié)議(SLA)的一個重要指標(biāo)，在一定程度上反映了廠商的態(tài)度與信譽。矩陣需考慮的因素需包含的內(nèi)容緊急程度*人(People)建立應(yīng)急響應(yīng)小組培養(yǎng)中國銀行集團應(yīng)急響應(yīng)專家需要第三方安全服務(wù)廠商的支持需要其他社會資源的支持緊急一般緊急緊急流程(Process)制定應(yīng)急響應(yīng)計劃定期進行應(yīng)急響應(yīng)演練做好應(yīng)急響應(yīng)知識管理緊急一般一般技術(shù)(Technology)應(yīng)急響應(yīng)產(chǎn)品與工具需要第三方安全服務(wù)廠商提供早期安全預(yù)警智能對合作的第三方安全服務(wù)廠商提出要求緊急一般一般*僅供中國銀行參考綠盟科技應(yīng)急響應(yīng)小組(NSFIRST)7*24支持電話支持遠(yuǎn)程支持現(xiàn)場支持具體需求與最佳實踐完美結(jié)合的應(yīng)急響應(yīng)程序協(xié)助進行應(yīng)急響應(yīng)演練，改進應(yīng)急響應(yīng)準(zhǔn)備綠盟科技研究院——安全小組(NSFOCUSSecurityTeam)的威脅智能分析支持綠盟科技自有的安全產(chǎn)品（黑洞、NIPS/NIDS、Scanner、流量監(jiān)控與分析、網(wǎng)絡(luò)誘騙系統(tǒng)）主要安全事件拒絕服務(wù)攻擊網(wǎng)絡(luò)流量異常服務(wù)器異常性能異常數(shù)據(jù)被破壞入侵攻擊蠕蟲病毒爆發(fā)事件分級事件級別嚴(yán)重程度描述1輕微用戶網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)出現(xiàn)故障，但暫時不影響業(yè)務(wù)系統(tǒng)的運行。2普通用戶網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)出現(xiàn)異常，運行效率降低或出現(xiàn)錯誤。3嚴(yán)重用戶網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)無法正常工作。4緊急用戶網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)中斷或癱瘓。事件升級標(biāo)準(zhǔn)負(fù)責(zé)人成員綠盟科技應(yīng)急響應(yīng)小組李鈉NSFIRST綠盟科技專業(yè)服務(wù)部王紅陽(Why)NSFIRST、PSD綠盟科技安全小組左磊(warning3)NSFOCUSSecu