安全運(yùn)維服務(wù)規(guī)范

安全運(yùn)維服務(wù)規(guī)范且各個(gè)安全產(chǎn)品提供的信息均很少具有直觀性，并沒有放在網(wǎng)絡(luò)系統(tǒng)整體的架構(gòu)之中來考量。面對這樣的信息，運(yùn)維人員只能知道在網(wǎng)絡(luò)系統(tǒng)中發(fā)生過安全事件,卻很難對該安全事件有明晰的認(rèn)識。也即使說，這些信息是原始的，是有待進(jìn)一步整理的。安全管理平臺在安全監(jiān)控服務(wù)流程中的第一個(gè)重要作用就在于此：采集來自各個(gè)安全產(chǎn)品的原始安全信息，經(jīng)過關(guān)聯(lián)、分析和整理之后，形成更直觀的可視的“安全事件”。在該流程中，安全管理平臺首先接收來自各個(gè)安全產(chǎn)品的原始安全信息，之后在此基礎(chǔ)之上根據(jù)既定的安全策略進(jìn)行詳細(xì)的判斷，將相互之間存在關(guān)聯(lián)的看似孤立的原始信息整合在一起，形成安全事件，以等待下一步的處理。在此，我們可以更清楚地看到安全管理平臺與普通網(wǎng)管平臺之間的差異：安全管理平臺側(cè)重于在網(wǎng)絡(luò)基礎(chǔ)之上發(fā)生的安全事件，它關(guān)心表面上看來各個(gè)設(shè)備均正常運(yùn)行的網(wǎng)絡(luò)中出現(xiàn)的可疑現(xiàn)象；網(wǎng)管平臺側(cè)重于對網(wǎng)絡(luò)自身的管理，它關(guān)心各個(gè)網(wǎng)絡(luò)設(shè)備的運(yùn)轉(zhuǎn)是否正常，如是否還存活等等。安全報(bào)警在網(wǎng)絡(luò)安全管理過程中，相對于紛繁蕪雜的各種原始信息，我們更關(guān)心切實(shí)可見的有著明確的發(fā)生時(shí)間、發(fā)生過程、涉及對象和最終結(jié)果的安全事件。安全管理平臺會(huì)根據(jù)合理的安全策略，合并大量的重復(fù)信息，摒除暫時(shí)不具備明顯的構(gòu)成安全事件的特征的信息，提供一個(gè)相對簡明的安全事件描述。但是，在生成安全事件之后，及時(shí)的報(bào)警與響應(yīng)在安全運(yùn)行管理流程中顯然更為重要：在該流程中，報(bào)警實(shí)際上包含兩層意思。一層意思是一種通知。根據(jù)安全事件的緊急程度，安全管理平臺會(huì)自動(dòng)地采用不同的方式通知網(wǎng)絡(luò)安全運(yùn)維人員，對緊急事件將采用發(fā)手機(jī)短信的方式，對一般事件將可能僅僅是聲音和圖形報(bào)警。另一層意思是一種指示。將安全事件所涉及的范圍，在安全管理平臺中的網(wǎng)絡(luò)拓?fù)鋱D中清楚明確的指示出來。安全運(yùn)維人員在獲取報(bào)警之后，可以在安全管理平臺中詳細(xì)的查看該安全事件。并且，在察看之后，根據(jù)安全管理平臺所提供的建議，作相應(yīng)的調(diào)度處理工作，也即是響應(yīng)。調(diào)度響應(yīng)針對安全報(bào)警所作的調(diào)度，實(shí)際上是客戶安全監(jiān)控服務(wù)流程中的核心。在安全管理平臺中，如果僅僅對原始數(shù)據(jù)進(jìn)行分析，僅僅對安全事件作出報(bào)警是不夠的。安全管理平臺作為一個(gè)網(wǎng)絡(luò)安全管理業(yè)務(wù)系統(tǒng)，更重要的功能應(yīng)當(dāng)是輔助安全運(yùn)維人員完成從安全事件的檢測、分析、處理直到最終的總結(jié)報(bào)告的全部過程。在安全管理平臺最初的部署過程中，在安全管理平臺內(nèi)部建立一系列合理的并可靈活調(diào)整的安全策略和一系列包括網(wǎng)絡(luò)結(jié)構(gòu)（網(wǎng)絡(luò)拓?fù)涞龋?、組織結(jié)構(gòu)（各主機(jī)的安全責(zé)任人等）在內(nèi)的準(zhǔn)確的體系結(jié)構(gòu)是極為重要的。在數(shù)字化的安全策略和體系結(jié)構(gòu)的基礎(chǔ)之上，安全管理平臺可以為各個(gè)安全事件自動(dòng)的生成調(diào)度建議，并以友好的界面提供給安全管理員。安全運(yùn)維人員可以根據(jù)安全管理平臺所提供的建議，做出一定的修改調(diào)整后正式發(fā)出該調(diào)度。調(diào)度通常包括處理該安全事件的技術(shù)建議，處理該安全事件所必需參與的人員和處理該安全事件的時(shí)間節(jié)點(diǎn)等。在發(fā)出調(diào)度之后，安管系統(tǒng)中的該安全事件將從告警狀態(tài)調(diào)整為已發(fā)出調(diào)度，等待處理。在人工或者自動(dòng)的處置之后，系統(tǒng)應(yīng)得到特定的反饋，以決定是結(jié)束該事件的響應(yīng)，進(jìn)入總結(jié)報(bào)告流程，還是需要進(jìn)一步的處置，如提請網(wǎng)絡(luò)安全管理專家委員會(huì)支援等等。安全事件處置根據(jù)安全運(yùn)維人員所提交的調(diào)度，有一部分可以通過系統(tǒng)自身的功能自動(dòng)的完成，不需要人工的參與，如：為了封堵某一網(wǎng)絡(luò)蠕蟲病毒的傳播，自動(dòng)配置防火墻，阻塞己中病毒的主機(jī)的IP地址或者該病毒傳播所利用的TCP/UDP端口等等。但是，絕大多數(shù)的安全事件處置是需要人來參與才能完成的。舉例說明，當(dāng)安全管理平臺現(xiàn)某臺主機(jī)在做惡意的黑客攻擊嘗試的時(shí)候，首先通過入侵檢測系統(tǒng)等上報(bào)的檢測信息歸納總結(jié)出該主機(jī)存在攻擊可能的安全事件，接著向安全管理員提出相應(yīng)的安全報(bào)警，安全管理員在察看了該事件之后,選擇作進(jìn)一步的處置，那么安管平臺會(huì)提出2條處置建議：1、發(fā)送配置信息至防火墻，暫時(shí)停止該主機(jī)的網(wǎng)絡(luò)通信。2、發(fā)調(diào)度給網(wǎng)絡(luò)安全員要求其在某時(shí)間節(jié)點(diǎn)前至現(xiàn)場察看，報(bào)網(wǎng)絡(luò)安全管理中心負(fù)責(zé)人，送網(wǎng)絡(luò)管理員備案。安全運(yùn)維人員根據(jù)需要對處置建議進(jìn)行調(diào)整之后，正式發(fā)出調(diào)度請求。一方面由防火墻阻斷該主機(jī)的黑客攻擊行為，防止造成損失，另一方面由安全員等作深入的調(diào)查。那么，在該調(diào)度過程完成之前，實(shí)際上安全管理平臺就是處于安全事件處置的狀態(tài)。安全事件處置的結(jié)果如何，還需要對結(jié)果進(jìn)行追蹤。處置結(jié)果追蹤在安全管理平臺的調(diào)度明細(xì)中，己明確的確定了各責(zé)任人所應(yīng)作的工作，該工作的最后完成期限以及完成工作后應(yīng)給與系統(tǒng)的回饋。系統(tǒng)會(huì)自動(dòng)地跟蹤各個(gè)安全事件的處置結(jié)果。一般來說，處置結(jié)果有三種：1、各項(xiàng)工作順利完成，安管系統(tǒng)接到了全部的反饋，將該安全事件收尾歸檔。2、某項(xiàng)工作未能按時(shí)完成,安管系統(tǒng)會(huì)自動(dòng)向安全管理員發(fā)出報(bào)警，提請安全運(yùn)維人員人工干預(yù)。3、某項(xiàng)工作進(jìn)程受阻，安全管理平臺收到該種反饋后，將生成新的針對該調(diào)度的處置建議，進(jìn)入新一輪的調(diào)度響應(yīng)，直至該安全事件順利解決。安全事件詳細(xì)報(bào)告對于每一個(gè)安全事件，在完成了全部的調(diào)度響應(yīng)之后。系統(tǒng)會(huì)自動(dòng)的歸檔。在歸檔信息的基礎(chǔ)之上，安管系統(tǒng)提供了一個(gè)報(bào)表報(bào)告編輯器。以友好直觀的方式將該事件的處置全過程作一個(gè)詳盡的描述，便于安全運(yùn)維人員的管理，便于向領(lǐng)導(dǎo)和其他部門的報(bào)送。2.4安全事件處理流程提供安全緊急事件響應(yīng)服務(wù)。我們擁有專業(yè)、快速反應(yīng)的緊急事件響應(yīng)隊(duì)伍,幫助客戶公司在遇到網(wǎng)絡(luò)安全的突發(fā)事件時(shí)能夠迅速、準(zhǔn)確地發(fā)現(xiàn)并解決問題，將損失降低到最小。主要流程如下：1）客戶網(wǎng)絡(luò)發(fā)生安全突發(fā)事件，通知安全技術(shù)支持與工程部。2）安全工程師耐心、仔細(xì)與客戶交流，盡量準(zhǔn)確地了解并記錄問題情況。3）安全工程師迅速地分析問題，判斷其嚴(yán)重級別，并繼續(xù)同客戶溝通，在電話中給出響應(yīng)的應(yīng)急解決辦法。4）如果事件嚴(yán)重性較高，無法在電話中解決，立即安排工程師前往現(xiàn)場進(jìn)行處理。5）工程師在現(xiàn)場對事件進(jìn)行分析、處理。并仔細(xì)記錄問題內(nèi)容，處理經(jīng)過等。問題解決完后填寫《網(wǎng)絡(luò)安全突發(fā)事件處理表》并讓客戶確認(rèn)。6）安全工程師回公司后，向上提交《網(wǎng)絡(luò)安全突發(fā)事件處理表》，并根據(jù)整個(gè)事件情況寫《應(yīng)急處理分析報(bào)告》，文檔中闡述整個(gè)安全突發(fā)事件的原因分析，處理方法和過程，處理結(jié)果，根據(jù)此次問題提出客戶網(wǎng)絡(luò)系統(tǒng)的安全問題，并給出相應(yīng)的建議。確認(rèn)后將報(bào)告提交給客戶。7）繼續(xù)與客戶溝通，了解客戶是否需要其他安全服務(wù)如緊急7X24小時(shí)值班、安全事故應(yīng)急代碼開發(fā)等。8）調(diào)查客戶的滿意度?？蛻艟W(wǎng)絡(luò)突發(fā)事件通知客戶部或I技術(shù)支持與工程部記錄事件描述分析問題

初步處理aW..能否電話解決＞否I工程師現(xiàn)場處理網(wǎng)絡(luò)軍舍器宓事件客戶確認(rèn)躊應(yīng)急處..L是否需要應(yīng)急處理分析報(bào)告客戶滿意客戶投訴取證調(diào)查進(jìn)行相應(yīng)處理［服務(wù)結(jié)束..L是否需要應(yīng)急處理分析報(bào)告客戶滿意客戶投訴取證調(diào)查進(jìn)行相應(yīng)處理［服務(wù)結(jié)束J3.安全事件處理與應(yīng)急響應(yīng)在緊急事件或安全事故發(fā)生時(shí)，通過安全事件處理與應(yīng)急響應(yīng)機(jī)制保障計(jì)算機(jī)信息系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)?？蓺w納為三個(gè)方面：?緊急事件或安全事故發(fā)生時(shí)的影響分析?應(yīng)急計(jì)劃的概要設(shè)計(jì)或詳細(xì)制訂?應(yīng)急計(jì)劃的測試與完善安全事件處理的目標(biāo)是消除安全事件威脅，避免和減少事件的損失，打擊非法入侵者，健全和改善信息系統(tǒng)的安全措施。3.1安全事件分類首先要確定事件的威脅級別。非常重要的判斷是確定安全事件的威脅級別和性質(zhì)。不同的威脅級別，處理方法也不相同。我們將安全事故劃分成四個(gè)等級：A級：生產(chǎn)系統(tǒng)、重要業(yè)務(wù)系統(tǒng)或有重要影響的應(yīng)用系統(tǒng)宕機(jī)，系統(tǒng)重新引導(dǎo)后無法正常工作與恢復(fù)的事故；B級：重復(fù)產(chǎn)生或可以重復(fù)再現(xiàn)的并可產(chǎn)生較強(qiáng)破壞作用的事故、并與企業(yè)提供產(chǎn)品直接相關(guān)；C級：間歇產(chǎn)生、隨機(jī)產(chǎn)生的事故或引起較小破壞力的事故，并與企業(yè)提供的產(chǎn)品有關(guān)；D級：有關(guān)業(yè)務(wù)系統(tǒng)運(yùn)行或產(chǎn)品使用的問題，與公司提供產(chǎn)品有關(guān)；系統(tǒng)安全事件處理優(yōu)先級大致分為5個(gè)等級：?優(yōu)先級1：保護(hù)人員生命和人員安全?優(yōu)先級2：保護(hù)重要和敏感信息。阻止使用重要和敏感的系統(tǒng)、網(wǎng)絡(luò)和站點(diǎn)。通報(bào)受侵入影響的系統(tǒng)、網(wǎng)絡(luò)和站點(diǎn)?優(yōu)先級3：保護(hù)其它數(shù)據(jù)，包括一些特色、科學(xué)和管理數(shù)據(jù)，這些數(shù)據(jù)的丟失將導(dǎo)致經(jīng)濟(jì)損失。阻止使用其它系統(tǒng)、網(wǎng)絡(luò)和站點(diǎn)。通報(bào)受侵入影響的系統(tǒng)、網(wǎng)絡(luò)和站點(diǎn)?優(yōu)先級4：阻止系統(tǒng)危險(xiǎn)發(fā)生，包括防止文件的丟失和破壞，存儲介質(zhì)破壞

?優(yōu)先級5：減少計(jì)算資源的破壞，大多數(shù)情況可以采用關(guān)機(jī)和網(wǎng)絡(luò)關(guān)閉連接3.2安全事件處理與上報(bào)流程在整個(gè)的事件處理過程中，所有的人碰到安全事件的時(shí)候，應(yīng)該首先把相應(yīng)的事件報(bào)告給相應(yīng)行政等級的信息中心，安全小組或者系統(tǒng)管理人員處理。由相應(yīng)的專門的技術(shù)人員解決或者提交問題給上一級安全中心處理。遇到安全事件的發(fā)生，一般應(yīng)該及時(shí)采取匯報(bào)機(jī)制。參考要求如下：?任何系統(tǒng)用戶發(fā)現(xiàn)系統(tǒng)運(yùn)行可疑現(xiàn)象后，立即報(bào)告本部門安全保密管理員；?安全保密管理員應(yīng)盡可能采取相應(yīng)措施保護(hù)現(xiàn)場，并在一小時(shí)內(nèi)向應(yīng)急響應(yīng)小組進(jìn)行報(bào)告，同時(shí)報(bào)本部門安全主管領(lǐng)導(dǎo)；?應(yīng)急響應(yīng)小組應(yīng)在二小時(shí)內(nèi)確定現(xiàn)象的性質(zhì)，并采取措施，收集現(xiàn)場數(shù)據(jù)，避免嚴(yán)重安全后果的發(fā)生，同時(shí)，對于安全事故，要上報(bào)信息安全領(lǐng)導(dǎo)小組；?安全保密領(lǐng)導(dǎo)小組根據(jù)事故的性質(zhì)，向相應(yīng)的國家主管部門進(jìn)行報(bào)告。?回報(bào)完畢，將事故定性之后，接到上級指示，對于被破壞的系統(tǒng)和數(shù)據(jù),任全任全事件的［心日常安全監(jiān)控—4一詳細(xì)記錄安全小初步識別安仝事、^別與記錄）1/件發(fā)生的細(xì)V件的類型任全事件的［心日常安全監(jiān)控—4一詳細(xì)記錄安全小初步識別安仝事、^別與記錄）1/件發(fā)生的細(xì)V任全事件的［心日常安全監(jiān)控—4一詳細(xì)記錄安全小初步識別安仝事、^別與記錄）1/件發(fā)生的細(xì)V件的類型采取可行的措施進(jìn)行恢復(fù)，使之重新正常運(yùn)行。處理，安全事件的核、與報(bào)氣）凝證安仝事件\安仝事件的類、安全事件的嚴(yán)的真實(shí)性2型和范圍v/重程度和威脅處理現(xiàn)場值班人員伍全事件的誠、11j場處理/安全事件的消除系統(tǒng)緊急恢段-—%監(jiān)視與跟蹤報(bào)約與反擊I安全事件事后消除事后處理過程；——％分析院因以及弱點(diǎn)修補(bǔ)、加固安全體系的完善其故責(zé)任處理以及事件通報(bào)對于每一個(gè)安全事件的處理，可以參照安全事故應(yīng)急響應(yīng)處理流程，如上圖所示，具體流程包括:1、記錄系統(tǒng)安全事件，記錄事件的每一環(huán)節(jié)，包括事件的時(shí)間、地點(diǎn)。要打印拷貝、記錄拷貝時(shí)間、記錄對話內(nèi)容，并盡可能采用自動(dòng)化的記錄方法2、系統(tǒng)安全事件核實(shí)與判斷核實(shí)系統(tǒng)安全事件真實(shí)性判斷系統(tǒng)安全事件類型和范圍判斷系統(tǒng)安全事件危害性確定事件的威脅級別3、系統(tǒng)安全事件現(xiàn)場處理方案選擇克制態(tài)度緊急消除緊急恢復(fù)切換監(jiān)視跟蹤查證輔助代碼開發(fā)報(bào)警權(quán)力機(jī)關(guān)的反擊4、系統(tǒng)安全事件處理服務(wù)和過程，系統(tǒng)安全事件處理過程本身需要工具，需要專門處理安全事件的服務(wù)和過程。這些過程包括：拷貝過程、監(jiān)視過程、跟蹤過程、報(bào)警過程、通報(bào)過程、對話過程、消除過程、恢復(fù)過程和其它過程等。5、系統(tǒng)安全事件后處理，包括事件后消除、彌補(bǔ)系統(tǒng)脆弱性、分析原因、總結(jié)教訓(xùn)、完善安全策略、服務(wù)和過程。3.3安全事件現(xiàn)場處理系統(tǒng)安全事件現(xiàn)場處理方案選擇一般有以下幾種方式：1、克制態(tài)度所謂采取克制態(tài)度，是指安全人員雖發(fā)現(xiàn)安全事件系入侵行為而對入侵者采取的一種態(tài)度。安全人員除進(jìn)行記錄、甚至可以與入侵者進(jìn)行網(wǎng)絡(luò)對話外，基本采取不予理睬的態(tài)度。采取對話時(shí)要考慮是否打擾入侵者，如果判定可以與之對話，可以詢問入侵者是誰和想干什么等問題。2、緊急消除安全事件處理最核心的問題是消除當(dāng)前威脅，主要是指消除安全事件的原因。如果安全事件屬于計(jì)算機(jī)病毒，用殺毒軟件進(jìn)行消除。如果安全事件屬入侵者，應(yīng)當(dāng)首先對入侵者進(jìn)行監(jiān)視、跟蹤，確定入侵行為的痕跡并消除之（例如新帳號和被監(jiān)控文件被修改），然后利用完整性檢查工具進(jìn)行檢查，最后要擺脫入侵者。3、緊急恢復(fù)恢復(fù)系統(tǒng)可以采取現(xiàn)場聯(lián)機(jī)恢復(fù)和關(guān)閉網(wǎng)絡(luò)連接恢復(fù)兩種方法。一旦攻擊發(fā)生，如果不能采取關(guān)機(jī)和關(guān)閉網(wǎng)絡(luò)連接的措施，就只能采取現(xiàn)場聯(lián)機(jī)恢復(fù)。4、切換如果采用了雙機(jī)備份的系統(tǒng)結(jié)構(gòu)，可以采用聯(lián)機(jī)切換方式，先切換再恢復(fù)的方法。5、監(jiān)視發(fā)現(xiàn)入侵者后，監(jiān)視入侵者的行為是必要的。監(jiān)視時(shí)，可采用系統(tǒng)服務(wù)了解攻擊者使用了哪個(gè)進(jìn)程，監(jiān)視網(wǎng)絡(luò)出入的情況，最好采用它機(jī)監(jiān)視的方法，要注意反監(jiān)視問題的處理。安全事件發(fā)生時(shí)要記錄事件現(xiàn)場。在記錄安全事件時(shí)，要記錄事件的每一環(huán)節(jié)，包括事件的時(shí)間、地點(diǎn)。要打印拷貝、記錄拷貝時(shí)間、記錄對話內(nèi)容，并盡可能采用自動(dòng)化的記錄方法。6、跟蹤當(dāng)發(fā)現(xiàn)入侵者，在監(jiān)視的基礎(chǔ)上，有時(shí)有必要跟蹤入侵者。所謂跟蹤主要是跟蹤連接，以確定攻擊者的出發(fā)地和源頭。如果人侵者是通過電話和電信系統(tǒng)入侵的，問題要復(fù)雜得多，跟蹤活動(dòng)要通過電信部門才能實(shí)施。如果入侵者是通過計(jì)算機(jī)網(wǎng)絡(luò)入侵的，系統(tǒng)管理員可以直接實(shí)施跟蹤活動(dòng)。有時(shí)要借助其它站點(diǎn)的系統(tǒng)管理員的幫助及有關(guān)監(jiān)控中心的幫助。跟蹤后，要適時(shí)擺脫入侵者。當(dāng)然可以采用關(guān)機(jī)和關(guān)閉連接的方法。但這樣做的結(jié)果是把入侵的證據(jù)破壞了。采取簡單再開機(jī)的方法也是不可取的。可以采用“先禮后兵”的方法，直接與入侵者講明，希望他退出系統(tǒng)，要求撤消后門。聯(lián)機(jī)情況下撤消入侵帳戶，在做此工作時(shí)，首先把系統(tǒng)設(shè)置成單用戶使用狀o7、查證輔助代碼開發(fā)主要解決B級和C級事故。在時(shí)間要求不是很高的情況下，尋找合適的安全專家小組編制用于安全事故分析的程序代碼，或?yàn)榭赡馨l(fā)生的安全事故而專項(xiàng)開發(fā)的應(yīng)用程序，并且要求具有很強(qiáng)的針對性和時(shí)效性，為某個(gè)事件所專用。這類處理方式能夠更系統(tǒng)地、完整地了解網(wǎng)絡(luò)信息系統(tǒng)的安全威脅和安全隱患。8、報(bào)警攻擊自動(dòng)發(fā)現(xiàn)系統(tǒng)可發(fā)現(xiàn)攻擊行為，并為系統(tǒng)管理員和信息系統(tǒng)安全員發(fā)出報(bào)警信號。報(bào)警可以通過聲音、email、BP機(jī)、電話等方式表現(xiàn)。9、權(quán)力機(jī)關(guān)的反擊進(jìn)行網(wǎng)絡(luò)對抗反擊要向有關(guān)部門匯報(bào)并得到批準(zhǔn)，決不能隨便實(shí)施。這種網(wǎng)絡(luò)反擊必須由國家專門的權(quán)力機(jī)關(guān)技術(shù)機(jī)構(gòu)或國家規(guī)定信息戰(zhàn)機(jī)構(gòu)實(shí)施。3.4安全事件的事后處理系統(tǒng)安全事件后處理包括事件后消除、彌補(bǔ)系統(tǒng)脆弱性、分析原因、總結(jié)教訓(xùn)、完善安全策略、服務(wù)和過程。1、事件后消除消除威脅是安全事件處理最核心的問題，主要是指消除安全事件的原因。如果安全事件的原因是廠商的后門軟件、間諜軟件，不管廠商以什么目的采用了這些軟件（盡管廠商可能有正當(dāng)理由這樣做），只要斷定這些所謂后門軟件可以被攻擊者利用，就要向廠商提出交涉，消除該軟件或關(guān)閉廠商保留的端口。如果安全事件的原因是程序化入侵（例如安裝了口令嗅探器），則刪除入侵程序。但要注意這種入侵軟件往往在系統(tǒng)內(nèi)留有備份。如果安全事件的原因是破壞和刪除文件，則使用拷貝文件恢復(fù)。請注意，所有這些消除威脅都必須由安全管理中心主持進(jìn)行，不可以將信息運(yùn)維體系組織架構(gòu)錯(cuò)誤!未定義書簽。運(yùn)維服務(wù)流程錯(cuò)誤!未定義書簽。日常檢查流程錯(cuò)誤!未定義書簽。安全評估服務(wù)流程錯(cuò)誤!未定義書簽。安全監(jiān)控服務(wù)流程錯(cuò)誤!未定義書簽。安全事件處理流程錯(cuò)誤!未定義書簽。安全事件處理與應(yīng)急響應(yīng)錯(cuò)誤!未定義書簽。安全事件分類錯(cuò)誤!未定義書簽。安全事件處理與上報(bào)流程錯(cuò)誤!未定義書簽。安全事件現(xiàn)場處理錯(cuò)誤!未定義書簽。安全事件的事后處理錯(cuò)誤!未定義書簽。系統(tǒng)安全的漏洞和安全事件交給外包公司和不可信的單位進(jìn)行處理。2、彌補(bǔ)系統(tǒng)脆弱性當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)漏洞時(shí)，修補(bǔ)操作是必須的。修補(bǔ)的方法包括：包裝程序(wrapper).代理程序、隱匿程序、控制程序和改正程序錯(cuò)誤等。安全事件的發(fā)生，暴露出了信息系統(tǒng)的脆弱性。發(fā)現(xiàn)漏洞后可以提出修補(bǔ)漏洞的方法，實(shí)施修補(bǔ)過程。請注意，所有這些修補(bǔ)工作都必須由計(jì)算機(jī)安全主管部門主持進(jìn)行，不可以將信息系統(tǒng)的安全的修補(bǔ)工作和安全事件交給外包公司和不可信的單位進(jìn)行處理。3、分析原因安全事件的原因分析是必要的，分析清楚原因，可以提出改進(jìn)的辦法。4、總結(jié)教訓(xùn)根據(jù)安全事件的損失和后果，處罰或批評負(fù)有責(zé)任者。通過對安全事件的分析和處理，可明確在安全管理方面的缺陷，有針對性地加強(qiáng)和完善管理制度。5、完善安全策略、結(jié)構(gòu)、服務(wù)和過程發(fā)生安全事件后，要對信息系統(tǒng)的安全策略、安全結(jié)構(gòu)、安全服務(wù)和過程進(jìn)行全面的檢查，并對其進(jìn)行修改和完善。6、系統(tǒng)安全事件責(zé)任要明確系統(tǒng)安全事件的責(zé)任。攻擊成功往往與系統(tǒng)管理員的工作失誤有關(guān)。由于系統(tǒng)管理員、信息系統(tǒng)安全員和操作員對信息系統(tǒng)安全都有自己的職責(zé)，要檢查有關(guān)人員的失職問題。但有些安全事件的發(fā)生與安全結(jié)構(gòu)不合理有關(guān)，或是由信息系統(tǒng)安全措施落后造成的。7、系統(tǒng)安全事件處理通報(bào)如果認(rèn)為必要，可以將入侵事件報(bào)告公安和安全部門。如果上過相關(guān)保險(xiǎn)，可以向保險(xiǎn)公司提出索賠。運(yùn)維體系組織架構(gòu)一線支持崗位職責(zé)描述?安全服務(wù)顧問：管理安全運(yùn)維的駐場隊(duì)伍，保證服務(wù)品質(zhì)。7X24駐場工程師：為保障用戶的安全運(yùn)維服務(wù)，提供7X24小時(shí)的本地服務(wù)。?技術(shù)支持工程師：為保障用戶的安全運(yùn)維服務(wù)，提供技術(shù)支持。?二線支持崗位職責(zé)描述?值班顧問：響應(yīng)各駐場隊(duì)伍的安全服務(wù)請求，解決駐場安全運(yùn)維隊(duì)伍無法解決的問題。值班顧問組組長：管理值班顧問的工作，更好的響應(yīng)駐場隊(duì)伍的安全工作。三線支持崗位職責(zé)描述?行業(yè)信息化顧問專家：提供安全運(yùn)維中心關(guān)于行業(yè)信息化方面的咨詢，解決該領(lǐng)域中的重大問題。?網(wǎng)絡(luò)運(yùn)維專家：提供安全運(yùn)維中心關(guān)于網(wǎng)絡(luò)運(yùn)維方面的顧問服務(wù)，解決該領(lǐng)域中的重大技術(shù)難題。?系統(tǒng)運(yùn)維專家：提供安全運(yùn)維中心關(guān)于系統(tǒng)運(yùn)維方面的顧問服務(wù)，解決該領(lǐng)域中的重大技術(shù)難題。?數(shù)據(jù)庫運(yùn)維專家：提供安全運(yùn)維中心關(guān)于數(shù)據(jù)庫運(yùn)維方面的顧問服務(wù)，解決該領(lǐng)域中的重大技術(shù)難題。?安全運(yùn)維專家：提供安全運(yùn)維中心關(guān)于安全運(yùn)維方面的顧問服務(wù)，解決該領(lǐng)域中的重大技術(shù)難題。運(yùn)維服務(wù)流程1、安全策略制定、方案的設(shè)計(jì)以及實(shí)施在客戶安全需求產(chǎn)生的最初，做好完整詳盡的需求分析，并制定出指導(dǎo)整個(gè)客戶安全建設(shè)的核心策略，設(shè)計(jì)出相應(yīng)的方案，并進(jìn)行具體的實(shí)施工作。2、人員培訓(xùn)在客戶安全系統(tǒng)初步建設(shè)完成后，必須對參與建設(shè)和管理網(wǎng)絡(luò)信息系統(tǒng)的人員以及普通的網(wǎng)絡(luò)使用人員，做好培訓(xùn)和教育工作。3、日常安全維護(hù)與監(jiān)控制定周密的日常維護(hù)和監(jiān)控制度，并培訓(xùn)出一支能夠勝任的管理隊(duì)伍，保證客戶整個(gè)網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行在一個(gè)井然有序的安全狀態(tài)中。4、應(yīng)急事件響應(yīng)“安全是相對的，沒有絕對的安全”。因此，在客戶信息網(wǎng)絡(luò)系統(tǒng)中，無可避免安全緊急事件的產(chǎn)生，對突發(fā)事件應(yīng)做到忙而不亂，需要建立有序高效的匯報(bào)機(jī)制以及事件分析處理的制度，最短時(shí)間內(nèi)的系統(tǒng)和數(shù)據(jù)恢復(fù)，故障排除，將故障損失減到最小，對后續(xù)可能發(fā)生的類似事件做好防范和避免工作。具體流程如下圖所示。安全咨洵需求分析運(yùn)行狀態(tài)監(jiān)測全員安全意識、安個(gè)策略以及安全管理培訓(xùn)：系統(tǒng)全HII恢紅安全監(jiān)測網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估

系統(tǒng)漏洞檢測分析?般事件和故

障響應(yīng)處理系統(tǒng)脆弱點(diǎn)檢

測分析管理層信息安全管

理域木培訓(xùn)：技術(shù)人員定期技術(shù)

專題培訓(xùn)實(shí)施現(xiàn)場安全技術(shù)與產(chǎn)品培訓(xùn)事件上報(bào)0轉(zhuǎn)移安全應(yīng)急處理小組0定期提交報(bào)告羿件處理緊急小件告警、網(wǎng)路鏈路故障、黑客攻擊、病毒侵入...事件處理記錄漏洞報(bào)告

修補(bǔ)方案風(fēng)險(xiǎn)評估報(bào)告漏洞分析報(bào)告實(shí)施方案系統(tǒng)優(yōu)化報(bào)告7方案實(shí)施漏洞修補(bǔ)/系統(tǒng)優(yōu)化/系統(tǒng)加囚悟體解浜方案/建議書/計(jì)劃/安全咨洵需求分析運(yùn)行狀態(tài)監(jiān)測全員安全意識、安個(gè)策略以及安全管理培訓(xùn)：系統(tǒng)全HII恢紅安全監(jiān)測網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估

系統(tǒng)漏洞檢測分析?般事件和故

障響應(yīng)處理系統(tǒng)脆弱點(diǎn)檢

測分析管理層信息安全管

理域木培訓(xùn)：技術(shù)人員定期技術(shù)

專題培訓(xùn)實(shí)施現(xiàn)場安全技術(shù)與產(chǎn)品培訓(xùn)事件上報(bào)0轉(zhuǎn)移安全應(yīng)急處理小組0定期提交報(bào)告羿件處理緊急小件告警、網(wǎng)路鏈路故障、黑客攻擊、病毒侵入...事件處理記錄漏洞報(bào)告

修補(bǔ)方案風(fēng)險(xiǎn)評估報(bào)告漏洞分析報(bào)告實(shí)施方案系統(tǒng)優(yōu)化報(bào)告7方案實(shí)施漏洞修補(bǔ)/系統(tǒng)優(yōu)化/系統(tǒng)加囚悟體解浜方案/建議書/計(jì)劃/實(shí)施進(jìn)度0恪休解決方案一般書件姓理訕錄安全事件處理分析報(bào)告攻擊事件報(bào)告系統(tǒng)優(yōu)化報(bào)告改近解決方案漏澗分析報(bào)告方案實(shí)脆系統(tǒng)修補(bǔ)/優(yōu)化丑級為了客戶的信息化網(wǎng)絡(luò)能夠做的更好，提供更加細(xì)致的安全服務(wù)流程，具體內(nèi)容如下:2.1日常檢查流程提供完整的網(wǎng)絡(luò)日常維護(hù)服務(wù)，主要流程如下：1）客戶部人員與客戶溝通交流，與客戶簽訂《安全服務(wù)合同》；2）客戶部經(jīng)理填寫《任務(wù)單》，轉(zhuǎn)交技術(shù)支持與工程部；3）技術(shù)支持與工程部主管委任項(xiàng)目負(fù)責(zé)人，項(xiàng)目小組；4）項(xiàng)目負(fù)責(zé)人以及項(xiàng)目小組人員與用戶溝通并按照用戶需求制定維護(hù)服務(wù)計(jì)劃；5）按照制定的計(jì)劃定期實(shí)施維護(hù)服務(wù)，每次服務(wù)完成后制定《網(wǎng)絡(luò)維護(hù)服務(wù)報(bào)告》，同時(shí)將本次《網(wǎng)絡(luò)維護(hù)服務(wù)報(bào)告》、《任務(wù)單》提交給技術(shù)支持與工程部主管；6）技術(shù)支持與工程部主管最終審核此《網(wǎng)絡(luò)維護(hù)服務(wù)報(bào)告》，并將該報(bào)告提交客戶部，同時(shí)將該次最終《網(wǎng)絡(luò)維護(hù)服務(wù)報(bào)告》發(fā)給項(xiàng)目負(fù)責(zé)人，并在備份服務(wù)器上作備份；7）客戶部將《網(wǎng)絡(luò)維護(hù)服務(wù)報(bào)告》以書面或加密郵件的形式提交給客戶；8）客戶部與項(xiàng)目負(fù)責(zé)人為客戶解釋服務(wù)報(bào)告內(nèi)容結(jié)果；9）調(diào)查客戶滿意度。10）本次網(wǎng)絡(luò)維護(hù)服務(wù)完成。簽訂服務(wù)合同《服務(wù)合同》投訴

客戶部5

調(diào)查取證

進(jìn)行相應(yīng)處理客戶部提交任務(wù)至技術(shù)支持與工程部][」簽訂服務(wù)合同《服務(wù)合同》投訴

客戶部5

調(diào)查取證

進(jìn)行相應(yīng)處理客戶部提交任務(wù)至技術(shù)支持與工程部][」制定日常維護(hù)實(shí)施計(jì)劃《任務(wù)單》計(jì)劃審核通過]是yT具體實(shí)施][評估服務(wù)結(jié)果邑＜言戶