業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理

Professional

SecuritySolutionProviderNSFocusInformationTechnologyCo.Ltd.

ProfessionalServices業(yè)務(wù)連續(xù)性管理(BusinessContinuityManagement)提綱為什么需要業(yè)務(wù)連續(xù)性管理？業(yè)務(wù)連續(xù)性管理的國際專業(yè)操作步驟應(yīng)急處理為什么需要業(yè)務(wù)連續(xù)性管理ISO17799:2005紅色局部是2005版相對(duì)于2002版的改變局部BS7799-2:2002v.s.BS7799-2:2005A3～A1210個(gè)章節(jié)A5～A1511個(gè)章節(jié)機(jī)密信息喪失引發(fā)信任危機(jī)2005年6月1日，瑞士銀行集團(tuán)(UBS)日本分行喪失了一張存有高度敏感客戶信息的磁盤。其中可能包含相當(dāng)機(jī)密的交易、止損單記錄以及公司各類客戶的敏感信息。2005年6月6日，花旗銀行390萬客戶賬戶資料在快遞途中的神秘失蹤。2005年6月17日，由于美國信用卡系統(tǒng)解決方案公司CardSystems的平安漏洞，導(dǎo)致4000萬用戶的銀行資料被泄漏，其中包括MASTER公司的1390萬用戶、VISA的2200萬客戶。信任危機(jī)銀行業(yè)賴以生存的重要信息資產(chǎn)帳戶信息客戶資料信用記錄交易明細(xì)業(yè)務(wù)數(shù)據(jù)大集中的同時(shí)，客觀上也把風(fēng)險(xiǎn)集中和放大起來。

7×24×365災(zāi)難、故障——中斷9/11東南亞海嘯直接和間接的損失間接損失新聞?lì)^條公眾聲譽(yù)直接損失數(shù)據(jù)喪失、設(shè)備損壞人員傷害……當(dāng)前世界所面臨的風(fēng)險(xiǎn)有恐怖襲擊、黑客、網(wǎng)絡(luò)侵襲、電腦病毒、自然災(zāi)害、大規(guī)模停電、罷工、環(huán)保、市場惡性競爭、企業(yè)倒閉等。根據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，美國在近10年間遭遇過災(zāi)難事件的公司中，有55%的公司馬上倒閉，因?yàn)閿?shù)據(jù)喪失造成業(yè)務(wù)無法持續(xù)，有29%的公司在兩年之內(nèi)倒閉。根據(jù)明尼蘇達(dá)大學(xué)統(tǒng)計(jì)，美國證券金融行業(yè)平均可容忍的最大停機(jī)時(shí)間是2天，沒有實(shí)施災(zāi)難備份措施的公司在遇到災(zāi)難后60%將在2～3年內(nèi)破產(chǎn)。據(jù)GartnerGroup統(tǒng)計(jì)，在經(jīng)歷大型災(zāi)難事件而導(dǎo)致系統(tǒng)停運(yùn)的公司中，有2/5左右再也沒有恢復(fù)運(yùn)營，剩下的公司中也有接近1/3在兩年內(nèi)破產(chǎn)。9.11事件中，1200家企業(yè)受災(zāi)，400家企業(yè)啟動(dòng)了災(zāi)難恢復(fù)方案，其中摩根士丹利公司幾天后在新澤西州恢復(fù)營業(yè)，而無災(zāi)備能力的企業(yè)損失沉重。傳統(tǒng)的業(yè)務(wù)管理方法及流程，在遭遇災(zāi)難事件時(shí)常常不堪一擊，甚至可能隨時(shí)崩潰。但是在災(zāi)難尚未降臨之前，人們的警惕性都不高，仍沒有看到BCM的重要性。慶幸的是，越來越多深受災(zāi)難事件影響的企業(yè)和機(jī)構(gòu)已開始認(rèn)識(shí)到，只有通過更加切實(shí)的手段，借助更便捷的信息技術(shù)，構(gòu)建真正有效應(yīng)對(duì)危機(jī)事件的管理體系，并且使管理科學(xué)化、手段現(xiàn)代化，才能保證業(yè)務(wù)的連續(xù)運(yùn)行，才能保證各類應(yīng)用系統(tǒng)和數(shù)據(jù)的完整性。從國際成功經(jīng)驗(yàn)來看，那些及時(shí)引入BCM的企業(yè)和機(jī)構(gòu)，之所以能夠在災(zāi)難事件面前處亂不驚、化險(xiǎn)為夷，主要在于他們能夠借助先進(jìn)的業(yè)務(wù)持續(xù)管理解決方案，有效地保護(hù)其核心業(yè)務(wù)的持續(xù)運(yùn)行。如今，BCM已成為應(yīng)對(duì)危機(jī)事件的國際通用規(guī)那么。業(yè)務(wù)連續(xù)性管理(BCM:BusinessContinuityManagement)目的：防止業(yè)務(wù)停頓，以及保護(hù)重要業(yè)務(wù)進(jìn)程不受重大失效或?yàn)?zāi)難的影響。(BS7799)預(yù)防(Prevent)&恢復(fù)(Recovery)一項(xiàng)綜合管理流程，它使企業(yè)認(rèn)識(shí)到潛在的危機(jī)和相關(guān)影響，制訂響應(yīng)、業(yè)務(wù)和連續(xù)性的恢復(fù)方案，其總體目標(biāo)是為了提高企業(yè)的風(fēng)險(xiǎn)防范能力，以有效的響應(yīng)非方案的業(yè)務(wù)破壞并降低不良影響。BCM的出發(fā)點(diǎn)在于對(duì)潛在的災(zāi)難危險(xiǎn)加以區(qū)分并進(jìn)行分析，以確定其對(duì)企業(yè)運(yùn)作造成的威脅，并建立一個(gè)完善的持續(xù)管理方案來防止或減少災(zāi)難事件給企業(yè)帶來的損失。業(yè)務(wù)連續(xù)性方案BCP業(yè)務(wù)連續(xù)性方案是一套高級(jí)管理和規(guī)章流程，它使一個(gè)組織在突發(fā)事件面前能夠迅速做出反響，以確保關(guān)鍵業(yè)務(wù)功能可以持續(xù)，而不造成業(yè)務(wù)中斷或業(yè)務(wù)流程本質(zhì)的改變。災(zāi)難恢復(fù)應(yīng)該是整個(gè)應(yīng)急體系中的最后一道防線。事實(shí)上，無論備份等級(jí)有多高，任何災(zāi)備中心與真正的業(yè)務(wù)系統(tǒng)間都還是會(huì)存在或多或少的時(shí)點(diǎn)差距的，切換恢復(fù)后的業(yè)務(wù)系統(tǒng)不一定是全部；且系統(tǒng)切換本身也是要付出時(shí)間、人力、物力等高本錢代價(jià)的。而我們所該做的，是在災(zāi)難發(fā)生后盡量將損失降到最低。每一層為鄰近層提供穩(wěn)定的根底Construction,Environmental,Electro-Mechanical,UtilitiesServers,StorageDevices,Routers,SwitchesOperatingSystems,NetworkProtocolsOperationsAutomation,LogicalSecurity,Middleware,DatabaseChange,Problem,andConfigurationManagement,SDLC,DataStructures,NamingConventions,QualityStandardsStrategicPlanning,ArchitectureDefinition,Planning&ControlContinuousServiceFacilitiesHardwareSystemsSoftwareSupportSystemsBusinessApplicationsManagementPractices公司的員工、供給商、顧客對(duì)公司的信心公司名譽(yù)品牌面臨的風(fēng)險(xiǎn)BCM無疑等于給股東吃了一顆定心丸

業(yè)務(wù)連續(xù)性管理的國際專業(yè)操作步驟從戰(zhàn)略管理高度考慮BCM實(shí)施BCM，應(yīng)該從戰(zhàn)略管理的高度，關(guān)注流程、人員、設(shè)施和方案。這四個(gè)要素分別解決了在應(yīng)對(duì)災(zāi)難危機(jī)時(shí)，什么人(或組織)按照什么樣的流程操作什么樣的資源，而方案正是標(biāo)準(zhǔn)以上要素的文檔表達(dá)。因此，BCM要從企業(yè)的業(yè)務(wù)目標(biāo)出發(fā)，分析企業(yè)具體的業(yè)務(wù)流程，詳細(xì)分析支持這些業(yè)務(wù)流程的應(yīng)用系統(tǒng)，分析它們一旦發(fā)生危機(jī)對(duì)業(yè)務(wù)的影響。根據(jù)上述影響，制定相應(yīng)的躲避方法，包括流程和技術(shù)手段。業(yè)務(wù)連續(xù)性管理的國際專業(yè)操作步驟(10Steps)工程啟動(dòng)和管理確定業(yè)務(wù)持續(xù)方案〔BCP〕實(shí)施過程的相關(guān)需求，包括獲得管理支持、以及組織和管理工程使其符合時(shí)間和預(yù)算的限制要求。風(fēng)險(xiǎn)評(píng)估和控制確定可能造成機(jī)構(gòu)及其設(shè)施中斷的災(zāi)難、具有負(fù)面影響的事件和周邊環(huán)境因素，以及事件可能造成的損失、防止或減少潛在損失影響的控制措施，提供本錢效益分析以調(diào)整控制措施方面的投資，到達(dá)消減風(fēng)險(xiǎn)的目的。同時(shí)，由于風(fēng)險(xiǎn)會(huì)隨著系統(tǒng)的開展而變化，所以風(fēng)險(xiǎn)管理過程也必須是動(dòng)態(tài)的。業(yè)務(wù)影響分析確定由于中斷和預(yù)期災(zāi)難可能對(duì)機(jī)構(gòu)造成的影響，以及用來定量和定性分析這種影響的技術(shù)。確定關(guān)鍵功能、恢復(fù)優(yōu)先順序和相關(guān)性以便確定恢復(fù)時(shí)間。制定業(yè)務(wù)連續(xù)性戰(zhàn)略確定和指導(dǎo)備用業(yè)務(wù)恢復(fù)運(yùn)行策略的選擇，以便在恢復(fù)時(shí)間目標(biāo)范圍內(nèi)恢復(fù)業(yè)務(wù)和信息技術(shù)，并維持機(jī)構(gòu)的關(guān)鍵功能。緊急響應(yīng)和運(yùn)行制定和實(shí)施用于事件響應(yīng)以及對(duì)事件所引起狀況進(jìn)行穩(wěn)定的規(guī)程，包括建立和管理緊急事件運(yùn)作中心，該中心用于在緊急事件中發(fā)布命令。制定和實(shí)施業(yè)務(wù)連續(xù)性方案設(shè)計(jì)、制定和實(shí)施業(yè)務(wù)連續(xù)性方案，以便在恢復(fù)時(shí)間目標(biāo)范圍內(nèi)完成恢復(fù)。意識(shí)培養(yǎng)和培訓(xùn)工程準(zhǔn)備建立對(duì)機(jī)構(gòu)人員進(jìn)行意識(shí)培養(yǎng)和技能培訓(xùn)的工程，以便業(yè)務(wù)連續(xù)性方案能夠得到制定、實(shí)施、維護(hù)和執(zhí)行。業(yè)務(wù)連續(xù)性方案的演練和維護(hù)對(duì)預(yù)先方案和方案間的協(xié)調(diào)性進(jìn)行演練、并評(píng)估和記錄方案演練的結(jié)果。制定維持連續(xù)性能力和BCP文檔更新狀態(tài)的方法，使其與機(jī)構(gòu)的策略方向保持一致。通過與適當(dāng)標(biāo)準(zhǔn)的比較來驗(yàn)證BCP的效率，并使用簡明的語言報(bào)告驗(yàn)證的結(jié)果。危機(jī)聯(lián)絡(luò)制定、協(xié)調(diào)、評(píng)價(jià)和演練在危機(jī)情況下與媒體交流的方案；制定、協(xié)調(diào)、評(píng)價(jià)和演練與員工及其家庭、主要客戶、關(guān)鍵供給商、業(yè)主／股東以及機(jī)構(gòu)管理層進(jìn)行溝通和在必要情況下提供心理輔導(dǎo)的方案，確保所有利益群體能夠得到所需的信息。與外部機(jī)構(gòu)的合作建立適用的規(guī)程和策略，用于同地方當(dāng)局協(xié)調(diào)響應(yīng)、連續(xù)性和恢復(fù)活動(dòng)，以確保符合現(xiàn)行的法令和法規(guī)。業(yè)務(wù)發(fā)生中斷……恢復(fù)的時(shí)間故障、災(zāi)難業(yè)務(wù)中斷緊急響應(yīng)重定位備份資源在行動(dòng)恢復(fù)操作系統(tǒng)重裝載數(shù)據(jù)庫回滾和再同步業(yè)務(wù)重新開始持續(xù)性方案同風(fēng)險(xiǎn)管理關(guān)系自然火災(zāi)颶風(fēng)洪水臺(tái)風(fēng)。。人陰謀破壞惡意代碼操作員錯(cuò)誤技術(shù)硬件故障數(shù)據(jù)殘缺電信故障電力故障潛在風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)估平安控制管理控制運(yùn)行維護(hù)控制技術(shù)控制。。。持續(xù)性方案范圍颶風(fēng)操作員錯(cuò)誤硬件故障數(shù)據(jù)殘缺。。自然火災(zāi)颶風(fēng)洪水臺(tái)風(fēng)。。人陰謀破壞惡意代碼操作員錯(cuò)誤。。技術(shù)硬件故障數(shù)據(jù)殘缺電信故障電力故障?；馂?zāi)颶風(fēng)洪水陰謀破壞硬件故障數(shù)據(jù)殘缺電信故障操作員錯(cuò)誤自然火災(zāi)颶風(fēng)洪水臺(tái)風(fēng)。。人陰謀破壞惡意代碼操作員錯(cuò)誤。。技術(shù)硬件故障數(shù)據(jù)殘缺電信故障電力故障。硬件故障數(shù)據(jù)殘缺操作員錯(cuò)誤颶風(fēng)標(biāo)識(shí)的風(fēng)險(xiǎn)剩余的風(fēng)險(xiǎn)持續(xù)性方案實(shí)施流程開發(fā)持續(xù)性方案策略進(jìn)行業(yè)務(wù)影響分析標(biāo)識(shí)預(yù)防性的平安控制開發(fā)恢復(fù)戰(zhàn)略開發(fā)持續(xù)性方案方案測試、培訓(xùn)和演練方案維護(hù)標(biāo)識(shí)現(xiàn)存要求標(biāo)識(shí)相關(guān)方案和程序得到高層管理支持標(biāo)識(shí)關(guān)鍵IT資源標(biāo)識(shí)中斷影響和允許的中斷時(shí)間開發(fā)恢復(fù)優(yōu)先級(jí)實(shí)現(xiàn)控制維護(hù)控制標(biāo)識(shí)方法集成至系統(tǒng)體系結(jié)構(gòu)中文檔恢復(fù)戰(zhàn)略開發(fā)測試目標(biāo)開發(fā)成功準(zhǔn)那么文檔所學(xué)教訓(xùn)綜合至方案中培訓(xùn)人員審閱和更新方案同內(nèi)部/外部組織機(jī)構(gòu)合作控制分發(fā)文檔變更持續(xù)性方案內(nèi)容方案開發(fā)綜合業(yè)務(wù)影響分析的發(fā)現(xiàn)文檔記錄恢復(fù)戰(zhàn)略支持信息介紹運(yùn)行操作的概念通告/啟動(dòng)階段通告流程損害評(píng)估方案啟動(dòng)恢復(fù)階段恢復(fù)行動(dòng)的結(jié)果恢復(fù)流程重構(gòu)階段恢復(fù)原站點(diǎn)測試系統(tǒng)結(jié)束操作方案附錄聯(lián)系人列表系統(tǒng)要求至關(guān)重要的記錄持續(xù)性方案——呼叫樹實(shí)例持續(xù)性計(jì)劃協(xié)調(diào)人后備持續(xù)性計(jì)劃協(xié)調(diào)人網(wǎng)絡(luò)恢復(fù)小組負(fù)責(zé)人數(shù)據(jù)庫恢復(fù)小組負(fù)責(zé)人通信小組負(fù)責(zé)人服務(wù)器恢復(fù)小組負(fù)責(zé)人網(wǎng)絡(luò)操作系統(tǒng)管理員數(shù)據(jù)庫管理員SQL管理員數(shù)據(jù)庫分析支持技術(shù)人員支持技術(shù)人員幫助臺(tái)技術(shù)人員廣域網(wǎng)工程師資深系統(tǒng)工程師通信技術(shù)人員通信技術(shù)人員電子郵件管理員服務(wù)器支持技術(shù)人員應(yīng)用服務(wù)器管理員服務(wù)器支持技術(shù)人員演練是非常必要的環(huán)節(jié)每年至少1～2次制定災(zāi)難恢復(fù)的流程，一旦生產(chǎn)中心遭遇災(zāi)難，發(fā)出災(zāi)難宣告，災(zāi)難備份中心數(shù)據(jù)處理系統(tǒng)、備份網(wǎng)絡(luò)系統(tǒng)設(shè)備就緒，應(yīng)急中心與災(zāi)難備份中心網(wǎng)絡(luò)連通，按災(zāi)難備份切換操作手冊(cè)完成災(zāi)備系統(tǒng)切換，業(yè)務(wù)終端聯(lián)機(jī)交易確認(rèn)，災(zāi)難備份中心接替生產(chǎn)中心運(yùn)營。演練的意義在于，當(dāng)災(zāi)難來臨時(shí)，相關(guān)人員對(duì)自己的職責(zé)，以及災(zāi)難恢復(fù)的流程有一個(gè)相當(dāng)清晰的概念，并且實(shí)際操作過，最終幫助業(yè)務(wù)取得連續(xù)性的開展。與演練幾乎同等重要的是系統(tǒng)的維護(hù)。如果災(zāi)難恢復(fù)小組中的某一個(gè)關(guān)鍵人物離開現(xiàn)職，那么必須實(shí)時(shí)的將信息反響，更改有關(guān)的說明書，以確保災(zāi)難來臨時(shí)，相應(yīng)的人員可以對(duì)照說明書，找到適宜的主管人員處理相應(yīng)問題。所有的最正確實(shí)踐被匯總編輯到一本說明書中，這本說明書被要求帶在每一個(gè)相關(guān)人員的身邊，災(zāi)難發(fā)生時(shí)，按照上面的指引，就可以立即明確自己的職責(zé)。

災(zāi)難防范在大家都沉睡時(shí)，醒來應(yīng)急處理任何組織都會(huì)遭受攻擊每年發(fā)現(xiàn)的漏洞數(shù)量飛速上升每年發(fā)現(xiàn)的漏洞數(shù)量飛速上升2004年CVE全年收集漏洞信息1707條到2005年到5月6日就已經(jīng)到達(dá)1470條綠盟科技到到5月份跟蹤的漏洞也超過了1700條年份漏洞數(shù)量1999742200040420018322002100620031049200417072005***1479發(fā)起攻擊越來越容易、攻擊能力越來越強(qiáng)黑客的職業(yè)化之路不再是小孩的游戲，而是與￥掛鉤職業(yè)入侵者受網(wǎng)絡(luò)商人或商業(yè)間諜雇傭不在網(wǎng)上公開身份，不為人知，但確實(shí)存在。攻擊者對(duì)自己提出了更高的要求，不再滿足于普通的技巧而轉(zhuǎn)向底層研究。平安形勢永遠(yuǎn)都是嚴(yán)峻的攻擊技術(shù)已經(jīng)開始普及，SQLInjection、DOS等攻擊方式對(duì)使用者要求較低緩沖區(qū)溢出、格式串攻擊已公開流傳多年，越來越多的人掌握這些技巧少局部人掌握自行挖掘漏洞的能力，并且這個(gè)數(shù)量在增加。漏洞挖掘流程專業(yè)化，工具自動(dòng)化。Zero-day的攻擊無線平安/平安問題開始出現(xiàn)不斷開展的攻擊技術(shù)SQL注入GoogleHackingPhishing客戶端攻擊混合拒絕效勞/BOTNET……攻擊技術(shù)的開展密碼猜測社會(huì)工程遠(yuǎn)程溢出蠕蟲病毒木馬拒絕效勞CGI……傳統(tǒng)的攻擊技術(shù)客戶端攻擊技術(shù)在攻擊效勞端變得困難時(shí)，黑客把目標(biāo)轉(zhuǎn)向管理員的PC以及其他客戶機(jī)群利用對(duì)象：Windows漏洞、IE、Outlook、Foxmail、Serv-U、IRC軟件等客戶端往往不被重視，加上ARP欺騙、SMB會(huì)話劫持技術(shù)的應(yīng)用，大多數(shù)內(nèi)網(wǎng)平安性很薄弱社會(huì)工程學(xué)的應(yīng)用Phishing攻擊的流行美國反網(wǎng)絡(luò)釣魚攻擊工作小組(APWG)：2005年1月份共接到了12845起網(wǎng)絡(luò)釣魚電子郵件匯報(bào)，支持這種欺詐性郵件信息的網(wǎng)站也增加到了2560個(gè)。國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心〔CNCERT/CC〕：2004年該中心接到網(wǎng)絡(luò)釣魚欺詐事件報(bào)告達(dá)223起；2004年7月份以來，該中心接到的該類報(bào)告以月均26％的速度遞增。美國的網(wǎng)絡(luò)釣魚網(wǎng)站最多，占全球總量的32%，中國名列第二(13%)，韓國位于第三(10%)Phishing的技術(shù)實(shí)現(xiàn)以假亂真，視覺陷阱域名類似lcc1cc姜太公釣魚，愿者上鉤身份偽裝：基于郵件的網(wǎng)頁欺騙，社會(huì)工程的應(yīng)用Admin@hotmail?DNS劫持+網(wǎng)頁偽造：更難以覺察的攻擊方式GoogleHacking利用搜索引擎輸入特定語法、關(guān)鍵字尋找可利用的滲透點(diǎn)，最終完成入侵。敏感的信息包括：目標(biāo)站點(diǎn)的信息存儲(chǔ)密碼的文件后臺(tái)管理和上傳文件的Web頁數(shù)據(jù)庫特定擴(kuò)展名的文件特定的Web程序，如論壇Google蠕蟲已經(jīng)出現(xiàn)！Net-Worm.Perl.Santy.a。利用用Google查詢來發(fā)現(xiàn)運(yùn)行phpBB論壇系統(tǒng)的Web站點(diǎn)系統(tǒng)漏洞并自動(dòng)修改2004年在拉斯維加斯舉行的BlackHat大會(huì)上，有兩位平安專家分別作了名為?Youfoundthatongoogle??和?googleattacks?的主題演講GoogleHackingExampleintitle:“xxxshell*"“xxxstderr"filetype:php

Google信息收集site:xxxxsite:xxxxintext:*@xxxx…SQLInjectionAttackSQL注入攻擊就其本質(zhì)而言，利用的工具是SQL的語法，針對(duì)的是應(yīng)用程序開設(shè)計(jì)中的漏洞?！爱?dāng)攻擊者能夠操作數(shù)據(jù)，往應(yīng)用程序中插入一些SQL語句時(shí)，SQL注入攻擊就發(fā)生了〞。攻擊目標(biāo)：控制效勞器/獲取敏感數(shù)據(jù)2000年2001年2002年2003年2004年2005年簡單的登陸驗(yàn)證繞過針對(duì)asp+sqlserver的根本注入自動(dòng)化注入攻擊工具的出現(xiàn)更多的后臺(tái)數(shù)據(jù)庫操作研究Php/JSP注入技術(shù)高級(jí)注入攻擊技術(shù)應(yīng)急響應(yīng)是指針對(duì)已經(jīng)發(fā)生或可能發(fā)生的平安事件進(jìn)行監(jiān)控、分析、協(xié)調(diào)、處理、保護(hù)資產(chǎn)平安屬性的活動(dòng)。網(wǎng)絡(luò)平安無法保證一勞永逸。為了做到更好的平安保障，減少平安事件的發(fā)生，這需要：在事件發(fā)生前從最害處考慮，做好應(yīng)急響應(yīng)方案。在事件發(fā)生后盡快有效響應(yīng)，降低應(yīng)急處理時(shí)間。應(yīng)急響應(yīng)應(yīng)急響應(yīng)效勞的目的是最快速度恢復(fù)系統(tǒng)的保密性、完整性和可用性，阻止和減小平安事件帶來的影響。防止沒有章法、可能造成災(zāi)難的響應(yīng)。更快速和標(biāo)準(zhǔn)化的響應(yīng)。確認(rèn)或排除是否發(fā)生了緊急事件。使緊急事件對(duì)業(yè)務(wù)或網(wǎng)絡(luò)造成的影響最小化。保護(hù)企業(yè)、組織的聲譽(yù)和資產(chǎn)。教育高層管理人員。提供準(zhǔn)確的報(bào)告和有價(jià)值的建議。應(yīng)急響應(yīng)是重要的在平安保障體系中，應(yīng)急響應(yīng)〔應(yīng)急處理〕是一個(gè)重要的過程，也是必要的環(huán)節(jié)。從IT效勞最正確實(shí)踐流程(ITIL)來看，應(yīng)急響應(yīng)是事件管理、問題管理的重要因素。事件管理強(qiáng)調(diào)的是速度，即盡快的響應(yīng)事件；問題管理強(qiáng)調(diào)的是根本，即從根本上解決問題，保證問題不再出現(xiàn)。應(yīng)急響應(yīng)〔應(yīng)急處理〕應(yīng)當(dāng)涉及這兩方面的內(nèi)容。應(yīng)急響應(yīng)是可行的應(yīng)急響應(yīng)〔應(yīng)急處理〕應(yīng)該從三方面來考慮：人(People)、流程(Process)、技術(shù)(Technology)。在平安事件發(fā)生后，應(yīng)當(dāng)有適合的、有能力的人員〔專家〕進(jìn)行響應(yīng)，他們的技能和經(jīng)驗(yàn)是有效的應(yīng)急響應(yīng)的根底。僅僅有勝任的人員也是缺乏的，盲目的沒有章法的應(yīng)急響應(yīng)往往會(huì)事與愿違，帶來更大的災(zāi)難，因此流程、程序、方案都變得非常重要。由于平安事件的不可預(yù)知性，所以需要先進(jìn)的技術(shù)〔產(chǎn)品、工具、研究成果〕作保障，應(yīng)急響應(yīng)的目的是為了根本解決問題，并不是簡單的僅僅依靠熱情來到達(dá)。國際間的協(xié)調(diào)組織國內(nèi)的協(xié)調(diào)組織國內(nèi)的協(xié)調(diào)組織愿意付費(fèi)的任何用戶產(chǎn)品用戶網(wǎng)絡(luò)接入用戶企業(yè)部門、用戶商業(yè)IRT網(wǎng)絡(luò)效勞提供商IRT廠商IRT企業(yè)/政府IRT如：綠盟科技如：CCERT如：Cisco、IBM如：中國銀行、公安部如CERT/CC,FIRST如CNCERT/CC應(yīng)急響應(yīng)組的分類中國銀行應(yīng)急響應(yīng)需求制定應(yīng)急響應(yīng)方案信息平安重要的一個(gè)方面是在攻擊發(fā)生時(shí)應(yīng)能知曉如何應(yīng)對(duì)，提前的方案與準(zhǔn)備能夠盡快的抑制攻擊、降低影響。但是制定應(yīng)急響應(yīng)方案是一個(gè)非常耗時(shí)的工作。培養(yǎng)中國銀行應(yīng)急響應(yīng)專家在平安事件處理過程中，“人〞的作用是勿庸置疑的。為了降低第三方平安效勞提供商的風(fēng)險(xiǎn)，所以培養(yǎng)中國銀行集團(tuán)應(yīng)急專家是必要的。做好應(yīng)急響應(yīng)知識(shí)管理要注意做好應(yīng)急響應(yīng)〔應(yīng)急處理〕知識(shí)管理工作，知識(shí)管理可以通過創(chuàng)立、固化、掌握、傳播、改進(jìn)等一系列的方式實(shí)現(xiàn)。知識(shí)管理的目標(biāo)很明確，讓盡可能多的人具備良好的思考方式和一定的技能。定期進(jìn)行應(yīng)急演練如果僅僅將應(yīng)急響應(yīng)方案束之高閣，長此以往“人〞的警惕將會(huì)松懈，直接后果是在平安事件發(fā)生后表現(xiàn)混亂，無從下手，所以要定期進(jìn)行應(yīng)急演練，每次針對(duì)不同的主題，在實(shí)戰(zhàn)情況下演練效果更佳。應(yīng)急演練最忌諱的方式是紙上談兵，達(dá)不到預(yù)期的目標(biāo)。需要第三方平安效勞廠商的應(yīng)急響應(yīng)支持由于資源、精力等限制，中國銀行集團(tuán)在進(jìn)行應(yīng)急響應(yīng)〔應(yīng)急處理〕的過程中，不可防止的與其他社會(huì)資源協(xié)作，共同抵抗平安威脅。平安效勞廠商在應(yīng)急響應(yīng)方面具備一定的經(jīng)驗(yàn)和技術(shù)，為中國銀行提供風(fēng)險(xiǎn)降低支持。需要其他社會(huì)資源的應(yīng)急響應(yīng)支持國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急響應(yīng)協(xié)調(diào)處理中心(CNCERT/CC)、公安部、平安部等也能夠在全網(wǎng)協(xié)作、調(diào)查取證方面提供必要的支持。需要第三方平安效勞廠商提供早期平安預(yù)警智能具備深入研究能力的第三方平安效勞廠商為中國銀行提供早期平安預(yù)警智能，這些知識(shí)將間接的提高應(yīng)急響應(yīng)的效能：通過預(yù)先的風(fēng)險(xiǎn)降低措施減少平安事件的發(fā)生，通過知識(shí)管理盡早的獲得知識(shí)并及時(shí)更新。對(duì)合作的第三方平安效勞廠商提出要求這主要從兩個(gè)方面來進(jìn)行考核：能力與速度。毫無疑問，第三方平安效勞廠商的能力〔研究能力、漏洞發(fā)現(xiàn)能力、應(yīng)急響應(yīng)能力、技術(shù)領(lǐng)先能力、經(jīng)驗(yàn)等〕是應(yīng)急響應(yīng)是否成功的關(guān)鍵。速度是考察第三方平安效勞廠商應(yīng)急響應(yīng)效勞的效勞級(jí)別協(xié)議(SLA)的一個(gè)重要指標(biāo)，在一定程度上反映了廠商的態(tài)度與信譽(yù)。矩陣需考慮的因素需包含的內(nèi)容緊急程度*人(People)建立應(yīng)急響應(yīng)小組培養(yǎng)中國銀行集團(tuán)應(yīng)急響應(yīng)專家需要第三方安全服務(wù)廠商的支持需要其他社會(huì)資源的支持緊急一般緊急緊急流程(Process)制定應(yīng)急響應(yīng)計(jì)劃定期進(jìn)行應(yīng)急響應(yīng)演練做好應(yīng)急響應(yīng)知識(shí)管理緊急一般一般技術(shù)(Technology)應(yīng)急響應(yīng)產(chǎn)品與工具需要第三方安全服務(wù)廠商提供早期安全預(yù)警智能對(duì)合作的第三方安全服務(wù)廠商提出要求緊急一般一般*僅供中國銀行參考綠盟科技應(yīng)急響應(yīng)小組(NSFIRST)7*24支持支持遠(yuǎn)程支持現(xiàn)場支持具體需求與最正確實(shí)踐完美結(jié)合的應(yīng)急響應(yīng)程序協(xié)助進(jìn)行應(yīng)急響應(yīng)演練，改進(jìn)應(yīng)急響應(yīng)準(zhǔn)備綠盟科技研究院——平安小組(NSFOCUSSecurityTeam)的威脅智能分析支持綠盟科技自有的平安產(chǎn)品〔黑洞、NIPS/NIDS、Scanner、流量監(jiān)控與分析、網(wǎng)絡(luò)誘騙系統(tǒng)〕主要平安事件拒絕效勞攻擊網(wǎng)絡(luò)流量異常效勞器異常性能異常數(shù)據(jù)被破壞入侵攻擊蠕蟲病毒爆發(fā)事件分級(jí)事件級(jí)別嚴(yán)重程度描述1輕微用戶網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)出現(xiàn)故障，但暫時(shí)不影響業(yè)務(wù)系統(tǒng)的運(yùn)行。2普通用戶網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)出現(xiàn)異常，運(yùn)行效率降低或出現(xiàn)錯(cuò)誤。3嚴(yán)重用戶網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)無法正常工作。4緊急用戶網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)中斷或癱瘓。事件升級(jí)標(biāo)準(zhǔn)負(fù)責(zé)人成員綠盟科技應(yīng)急響應(yīng)小組李鈉NSFIRST綠盟科技專業(yè)服務(wù)部王紅陽(Why)NSFIRST、PSD綠盟科技安全小組左磊(warning3)NSFOCUSSecurityTeam若未解決事件升級(jí)2小時(shí)綠盟科技應(yīng)急響應(yīng)小組4小時(shí)綠盟科技專業(yè)服務(wù)部8小時(shí)綠盟科技安全小組北京、上海、廣州2個(gè)小時(shí)內(nèi)到達(dá)指定現(xiàn)場。其他城市8小時(shí)內(nèi)到達(dá)指定現(xiàn)場。綠盟科技應(yīng)急響應(yīng)效勞方法論P(yáng)eople:NSFIRSTProcess:策略和程序Technology:硬件、軟件、工具、文檔PreparationDetection&AnalysisContainmentEradication&Recovery應(yīng)急響應(yīng)流程Post-IncidentActivityProcessTechnologyPeople事件起因分析。事件取證追查。系統(tǒng)后門檢查、漏洞分析。數(shù)據(jù)收集、數(shù)據(jù)分析。PreparationDetection&AnalysisContainmentEradication&Recovery應(yīng)急響應(yīng)流程Post-IncidentActivity調(diào)查事件分級(jí)決定什么對(duì)自己最重要。為緊急事件確定優(yōu)先級(jí)，更有效的利用資源。不是每個(gè)緊急事件都需要平等對(duì)待。緊急事件檢測防火墻日志系統(tǒng)日志W(wǎng)eb效勞器日志IDS日志可疑的用戶管理員報(bào)告初始響應(yīng)初步判定事件類型、定義事件級(jí)別。準(zhǔn)備相關(guān)資源。為緊急事件的處理取得管理方面的支