1、及时解决安全故障修复系统,使客户网络和信息服务恢复正常运行;
2、及时对安全故障发生的系统主机作安全检查并清除存在的安全隐患;
3、及时修补安全故障点上的安全漏洞,加强安全保护措施,防止类似事件的再次发生;
4、及时收集由于安全故障造成的入侵记录、破坏情况、直接损失情况。
网络或系统中的计算机或网络设备系统的硬件、软件、数据,因非法攻击或病毒入侵等安全原因而遭到破坏、更改、泄漏造成系统不能正常运行,或已经发现的有可能造成上述现象的安全隐患。具体的可以触发应急响应服务的安全事件有如下所示:
1、非授权访问,通过入侵的方式进入到未被授权访问的网络中,而导致数据信息泄漏;
2、信息泄密,数据在传输中因数据被截取、篡改、分析等而造成信息的泄漏;
3、拒绝服务,正常用户不能正常访问服务器提供的相关服务;
4、在系统日志中发现非法登录者;
5、发现网络大面积爆发计算机病毒感染;
6、发现有人在不断强行尝试登录系统;
7、系统中出现不明的新用户账号;
8、接到监管部门的问题通报;
9、文件的访问权限被修改;
10、因安全漏洞导致的系统问题;
11、其它的入侵行为。
事件级别 |
事件内容 |
响应时间 |
一级 | 1、网络基础设施或核心业务信息系统(网站)被攻破或发生严重故障,造成系统无法使用,丧失业务处理能力; 2、网络病毒在企业范围内大面积爆发,内部网络瘫痪; 3、企业重要敏感信息或数据丢失或被窃取、加密、篡改; 4、其他对企业系统安全稳定和正常秩序构成特别严重威胁,造成特别严重影响的网络安全事件。 | 7×24小时热线电话服 务,10分钟响应,2小时 内到达用户现场,4小时内提供解决方案 |
二级 | 1、网络基础设施或核心业务信息系统(网站)遭受严重攻击或发生重大故障,系统无法正常使用,业务处理能力受到重大影响; 2、网络病毒在较大范围内爆发,对正常办公造成严重影响; 3、企业非重要敏感数据丢失或被窃取、加密、篡改; 4、其他对企业系统安全稳定和正常秩序构成严重威胁,造成严重影响的网络安全事件。 | 7×24小时热线电话服务,10分钟内响应,4小时内到达用户现场,4小时内提供解决方案 |
三级 | 1、重要业务信息系统(网站)遭受网络攻击,明显影响系统效率,业务处理能力受到影响; 2、网络病毒在企业部较小范围内传播,对正常办公产生一定影响; 3、因安全漏洞存在数据泄露隐患,被监管部门通报; 4、其他对企业系统安全稳定和正常秩序构成较大威胁,造成较大影响的网络安全事件 | 7×24小时热线电话服务,10分钟内响应,6小时内到达用户现场,6小时内提供解决方案 |
四级 | 除上述情形外,对企业安全稳定和正常秩序构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件 | 7×24小时热线电话服务,10分钟内响应,8小时内到达用户现场,8小时内提供解决方案 |
安全服务方在处理安全事件过程中,将会通过分析网络数据、检查系统或应用软件相关参数、病毒分析等多种技术措施和手段掌握事件相关信息,在进行事件恢复操作之前,会对相关情况做书面记录和电子文档记录,并同企业相关人员进行商议、确认后。
应急响应基本流程如下:
当发生安全事件时,首先需要客户对环境现场进行记录,对事件的影响进行详细的描述。安全事件日志对于安全事件的识别、处理和调查非常重要,安全事件可能在其刚刚发生时就暴露,也可能在发生的过程中或发生以后才被发现,因此所有安全事件都应该有一份书面的经过调查证明足够客观的日志,而且应该把日志妥善保存以免被修改。由于在线日志很容易被修改和删除,所以手工记录是必要的。应该记录的信息有:
1、相关事件发生(或者发现)的日期和时间;
2、值班人员或事件协调小组通知的人员和与事件相关的人员;
3、受影响的系统名称(或IP地址),受影响的程序和网络;
4、事件发生时对系统、程序或者网络的影响和现象。
记录完安全事件后,应该把安全事件上报给直接主管,同时提交事件响应申请给的事件响应小组,此时开始进入事件响应过程。
接到事件响应申请后,事件响应小组会根据情况进行远程和现场的响应。事件响应小组会根据客户记录的安全事件描述,结合前期进行过的漏洞检测与分析结果、检查与审计结果、客户当前系统的网络状况,进行分析和判断,如果是典型的已知安全事件,部分案例可以仅通过远程方式就能解决。
如果通过远程指导客户无法进行自行解决,事件响应小组成员会赶往现场进行实际问题解决。事件响应小组可以实地看到安全事件的形态和影响,也可以通过工具直接进行测试,结合当前扫描、探测、实时监控和审计的结果进行分析,可以更容易定位出问题所在。
事件响应小组最主要的任务就是维持或恢复组织的运作。因此,一旦发生意外事件,如何防止攻击或损害事件的扩大是其主要的目标,相关人员在现场或者远程依照不同事件类型进行事件处理。在事件处理过程中有一些重要决策要做:
1、是否要关闭或重启系统?
2、是否要中断系统的网络连接?
3、是否要关闭一些特定的服务,如Telnet、FTP等?
4、是否要调整网络设备或安全产品的策略配置?
5、是否需要国家网络安全机构协助处理?
某些处理办法可能会暂时影响到组织的业务运转,但都是为了避免安全事件事态的扩大,这也是在第一步中要把安全事件上报给上级领导的原因,事件处理过程中可能会带来一定的风险,需要和组织主管进行协商,确定风险可以接受才能真正实施事件处理方法。事件处理过程中,要对每个处理的动作进行详细的记录。
在抑制住了攻击或损害事件的扩大以后,就要对系统进行恢复,使客户业务重新运转。如果系统在故障点有备份,被攻击的系统就用备份来恢复;应该从系统中彻底删除诸如受到感染的文件;如果调整了网络或安全产品,要把所有安全上的变更作记录。
在安全事件处理完毕,所有系统恢复正常以后,应该针对事件进行分析。集中所有相关人员来讨论所发生的事件以及得到的经验教训,并对现有的一些流程进行重新评审,对不适宜的环节进行修改。
在安全事件处理后的一段事件内,应该密切关注系统恢复以后的安全状况,特别是曾经出问题的地方。
1、实时原则,我方需要配备了7X24小时的人员值班机制,保证接受客户在任意事件提出的服务请求。并在接到客户的事件请求以后,快速给予响应。
2、规范性原则,对于每一次事件的发生都有严格的事件记录,并记录事件处理的全部过程,并对于现场处理事件由客户签署认可建议。
3、最小化原则,事件处理过程中,将事件对整个系统的影响降低到最小,强化处理前的分析与备份工作。
4、保密性原则,对于所有事件的处理内容、时间、地点,严格遵从保密原则,不向任何的第三方透漏。
针对应急响应服务过程中所遇到的安全事件、处理过程、处理结果,48小时内汇总形成应急响应服务结果报告并提交给用户。
