所有产品 > 信息化服务 > 其他
产品信息图片
应急响应
浏览量: 发布时间:
所在地:天津
服务承诺:客户至上 如实描述
  • 产品详情
  • 服务评价
  • 成交记录

    • 应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全属性的活动。良好的安全事件响应遵循事先制定的流程和技术规范。

    系统地响应安全事件,以采取适当的步骤;帮助客户迅速有效地从安全事件中恢复过来,并将信息丢失和被盗以及服务被破坏的程度降到最低;利用从处理过程中获得的信息做好更充分的准备,以处理未来的安全事件并对系统和数据进行更强的保护;妥善处理安全事件中可能出现的法律问题。

    应急响应能有效审查违反安全的原因,违反安全造成的代价,改善预防措施,防止未来再发生的意外事件和相关攻击;为管理或法律目的收集损失统计信息,帮助客户更新和完善现有信息安全策略。可提高安全保障水平;降低对业务的负面影向,例如由信息安全事件所导致的破坏和经济损失;强化着重预防信息安全事件;强化调查的优先顺序和证据;有利于预算和资源合理利用;改进风险分析和管理评审结果的更新;增强信息安全意识和提供培训计划材料;为信息安全策略及相关文件的评审提供信息。

    应急响应的目的

    在接到应急响应服务请求后,安全专家依据安全事件的分类与应急响应的目标,及时提供远程或现场应急响应,协助客户进行有效的应急处理,最大程度上减少损失和事件造成的消极影响。

    a)紧急热线,提供7×24小时紧急救援服务;

    b)远程支持:及时的电话、网络等形式的远程服务;

    c)现场支持:提供2小时上门服务(工作时间外4小时内上门),具体视地点而定;

    d)事后服务:追踪、总结与报告。

    应急响应的范围

    a)有害程序事件响应:有害程序事件响应是指解决因蓄意制造、传播有害程序,或是因受到有害程序性的影响而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序,有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性,或影响信息系统的正常运行。有害程序事件响应针对计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其他有害程序事件等7个子类事件执行检测、抑制根除、恢复。

    b)网络攻击事件响应:网络攻击事件响应是指解决因通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。网络攻击事件响应针对拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个子类事件执行检测、抑制根除、恢复。

    c)信息破坏事件响应:信息破坏事件响应是指解决因通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄露、窃取等而导致的信息安全事件;信息破坏事件响应针对信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其他信息破坏时间等6个子类事件执行检测、抑制根除、恢复。

    d)信息内容安全事件响应:信息内容安全事件响应是指解决因利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。信息内容安全事件响应针对以下4个子类事件执行检测、抑制根除、恢复。

    e)设备设施故障事件响应:设备设施故障响应是指解决因由于信息系统自身故障或外围保障设施故障而导致的信息安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。设备设施故障事件响应针对软硬件自身故障、外围保障设施故障、人为破坏故障、和其他设备设施故障等4个子类事件执行检测、抑制根除、恢复。

    应急响应的服务流程

    a)准备:此阶段以预防为主。主要工作涉及识别风险,比如扫描、风险分析、打补丁,如有条件且得到许可,建立监控设施,建立数据汇总分析的体系和能力;制订能够实现应急响应目标的策略和规程,建立信息沟通渠道和通报机制,创建能够使用的响应工作。

    b)检测:确定事件性质和影响的严重程度,预计采用什么样的专用资源来修复。选择检测工具,分析异常现象,提高系统或网络行为的监控级别,估计安全事件的范围。通过汇总,确定是否发生了全网的大规模事件;确定应急等级,决定启动哪一级应急响应。

    c)遏制:及时采取行动遏制事件发展。初步分析,重点确定适当的遏制方法,如隔离网络,修改所有防火墙和路由器的过滤规则,删除攻击者的登录账号,关闭被利用的服务或者关闭主机等;咨询安全政策;确定进一步操作的风险,控制损失保持最小;列出若干选项,讲明各自的风险,应该由服务对象来做决定。确保封锁方法对各网业务影响最小;通过协调争取各网一致行动,实施隔离;汇总数据,估算损失和隔离效果。

    d)根除:彻底解决问题隐患。分析原因和漏洞;进行安全加固;改进安全策略。加强宣传,公布危害性和解决办法,呼吁用户解决终端问题;加强检测工作,发现和清理行业与重点部门的问题。

    e)恢复:被攻击的系统由备份来恢复;做一个新的备份;对所有安全上的变更作备份;服务重新上线并持续监控。持续汇总分析,解各网的运行情况;根据各网的运行情况判断隔离措施的有效性;通过汇总分析的结果判断仍然受影响的终端的规模;发现重要用户及时通报解决;适当的时候解除封锁措施。

    f)跟踪:关注系统恢复以后的安全状况,特别是曾经出问题的地方;建立跟踪文档,规范记录跟踪结果;对响应效果给出评估;对进入司法程序的事件,进行进一步的调查,打击违法犯罪活动。


      联系我们

      王淑畔 

      更多推荐