中国银行.业务连续性管理课件.ppt

Professional Security Solution ProviderNSFocus Information Technology Co. Ltd.Professional Services业务连续性管理(Business Continuity Management)专业服务部 高级安全顾问赵彦 2005 年 11 月1Professional Security Solution Provider提提纲•为什么需要业务连续性管理？•业务连续性管理的国际专业操作步骤•应急处理2Professional Security Solution Provider为什么需要什么需要业务连续性管理性管理3Professional Security Solution ProviderISO 17799:2005红色红色部分是2005版相对于2002版的改变部分4Professional Security Solution ProviderBS7799-2:2002 v.s. BS7799-2:2005A3 ～～ A12 10 个章节个章节A5 ～～ A15 11 个章节个章节5Professional Security Solution Provider机密信息机密信息丢失引失引发信任危机信任危机•2005年6月1日，瑞士银行集团(UBS)日本分行丢失了一张存有高度敏感客户信息的磁盘。

其中可能包含相当机密的交易、止损单记录以及公司各类客户的敏感信息 •2005年6月6日，花旗银行390万客户账户资料在快递途中的神秘失踪•2005年6月17日，由于美国信用卡系统解决方案公司 CardSystems 的安全漏洞，导致4000万用户的银行资料被泄漏，其中包括 MASTER 公司的1390万用户、VISA 的2200万客户 信任危机信任危机6Professional Security Solution Provider银行行业赖以生存的重要信息以生存的重要信息资产•帐户信息•客户资料•信用记录•交易明细•业务数据大集中的同时，客观上也把风险集中和放大起来 7×24×3657Professional Security Solution Provider灾灾难、故障、故障 —— 中断中断8Professional Security Solution Provider9/119Professional Security Solution Provider东南南亚海海啸10Professional Security Solution Provider直接和直接和间接的接的损失失间接损失间接损失新闻头条新闻头条公众声誉公众声誉直接损失直接损失数据丢失、设备损坏数据丢失、设备损坏人员伤害人员伤害……11Professional Security Solution Provider•当前世界所面临的风险有恐怖袭击、黑客、 网络侵袭、电脑病毒、自然灾害、大规模停电、罢工、环保、市场恶性竞争、企业倒闭等。

•根据权威机构统计，美国在近10年间遭遇过灾难事件的公司中，有55%的公司马上倒闭，因因为为数数据据丢丢失失造造成成业业务务无无法法持持续续，有29%的公司在两年之内倒闭•根据明尼苏达大学统计，美国证券金融行业平均可容忍的最大停机时间是2天，没有实施灾难备份措施的公司在遇到灾难后没有实施灾难备份措施的公司在遇到灾难后60%将在将在2～～3年内破产年内破产 •据Gartner Group统计，在经历大型灾难事件而导致系统停运的公司中，有2/5左右再也没有恢复运营，剩下的公司中也有接近1/3在两年内破产9.11事件中，1200家家企企业业受受灾灾，，400家家企企业业启启动动了了灾灾难难恢恢复复计计划划，其中摩根士丹利公司几天后在新泽西州恢复营业，而无灾备能力的企业损失惨重 12Professional Security Solution Provider•传统的业务管理方法及流程，在遭遇灾难事件时常常不堪一击，甚至可能随时崩溃•但是在灾难尚未降临之前，人们的警惕性都不高，仍没有看到BCM的重要性•庆幸的是，越来越多深受灾难事件影响的企业和机构已开始认识到，只有通过更加切实的手段，借助更便捷的信息技术，构建真正有效应对危机事件的管理体系，并且使管理科学化、手段现代化，才能保证业务的连续运行，才能保证各类应用系统和数据的完整性。

•从国际成功经验来看，那些及时引入BCM的企业和机构，之所以能够在灾难事件面前处乱不惊、化险为夷，主要在于他们能够借助先进的业务持续管理解决方案，有效地保护其核心业务的持续运行•如今，如今，BCM已成为应对危机事件的国际通用规则已成为应对危机事件的国际通用规则 13Professional Security Solution Provider业务连续性管理性管理(BCM: Business Continuity Management)•目的：防止业务停顿，以及保护重要业务进程不受重大失效或灾难的影响 (BS7799)•预防预防(Prevent) & 恢复恢复(Recovery)•一项综合管理流程，它使企业认识到潜在的危机和相关影响，制订响应、业务和连续性的恢复计划，其总体目标是为了提高企业的风险防范能力，以有效的响应非计划的业务破坏并降低不良影响•BCM的出发点在于对潜在的灾难危险加以辨别并进行分析，以确定其对企业运作造成的威胁，并建立一个完善的持续管理计划来防止或减少灾难事件给企业带来的损失 14Professional Security Solution Provider业务连续性性计划划 BCP•业务连续性计划是一套高级管理和规章流程，它使一个组织在突发事件面前能够迅速做出反应，以确保关键业务功能可以持续，而不造成业务中断或业务流程本质的改变。

15Professional Security Solution Provider•灾难恢复应该是整个应急体系中的最后一道防线•事实上，无论备份等级有多高，任何灾备中心与真正的业务系统间都还是会存在或多或少的时点差距的，切换恢复后的业务系统不一定是全部；且系统切换本身也是要付出时间、人力、物力等高成本代价的•而而我我们们所所该该做做的的，，是是在在灾灾难难发发生生后后尽尽量量将将损损失失降降到到最低16Professional Security Solution Provider每一每一层为邻近近层提供提供稳定的基定的基础FacilitiesHardwareSystems SoftwareSupport SystemsBusinessApplicationsManagement Practices17Professional Security Solution Provider•公司的员工、供应商、顾客对公司的信心•公司名誉•品牌面临的风险BCM无疑等于给股东吃了一颗定心丸无疑等于给股东吃了一颗定心丸 18Professional Security Solution Provider业务连续性管理的国际专业操作步骤业务连续性管理的国际专业操作步骤19Professional Security Solution Provider从从战略管理高度考略管理高度考虑BCM•实施BCM，应该从战略管理的高度，关注流程、人员、设施和计划。

•这四个要素分别解决了在应对灾难危机时，什么人(或组织)按照什么样的流程操作什么样的资源，而计划正是规范以上要素的文档体现•因此，BCM要从企业的业业务务目目标标出发，分析企业具体的业务流程，详细分析支持这些业务流程的应用系统，分析它们一旦发生危机对业务的影响根据上述影响，制定相应的规避方法，包括流程和技术手段 20Professional Security Solution Provider业务连续性管理的国际专业操作步骤业务连续性管理的国际专业操作步骤(10 Steps)1.项目启动和管理–确定业务持续计划（BCP）实施过程的相关需求，包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制要求2.风险评估和控制–确定可能造成机构及其设施中断的灾难、具有负面影响的事件和周边环境因素，以及事件可能造成的损失、防止或减少潜在损失影响的控制措施，提供成本效益分析以调整控制措施方面的投资，达到消减风险的目的同时，由于风险会随着系统的发展而变化，所以风险管理过程也必须是动态的 3.业务影响分析–确定由于中断和预期灾难可能对机构造成的影响，以及用来定量和定性分析这种影响的技术确定关键功能、恢复优先顺序和相关性以便确定恢复时间。

4.制定业务连续性战略–确定和指导备用业务恢复运行策略的选择，以便在恢复时间目标范围内恢复业务和信息技术，并维持机构的关键功能5.紧急响应和运行–制定和实施用于事件响应以及对事件所引起状况进行稳定的规程，包括建立和管理紧急事件运作中心，该中心用于在紧急事件中发布命令21Professional Security Solution Provider6.制定和实施业务连续性计划–设计、制定和实施业务连续性计划，以便在恢复时间目标范围内完成恢复7.意识培养和培训项目–准备建立对机构人员进行意识培养和技能培训的项目，以便业务连续性计划能够得到制定、实施、维护和执行 8.业务连续性计划的演练和维护–对预先计划和计划间的协调性进行演练、并评估和记录计划演练的结果制定维持连续性能力和BCP文档更新状态的方法，使其与机构的策略方向保持一致通过与适当标准的比较来验证BCP的效率，并使用简明的语言报告验证的结果9.危机联络–制定、协调、评价和演练在危机情况下与媒体交流的计划；制定、协调、评价和演练与员工及其家庭、主要客户、关键供应商、业主／股东以及机构管理层进行沟通和在必要情况下提供心理的计划，确保所有利益群体能够得到所需的信息。

10.与外部机构的合作–建立适用的规程和策略，用于同地方当局协调响应、连续性和恢复活动，以确保符合现行的法令和法规22Professional Security Solution Provider业务发生中断生中断……恢复的时间恢复的时间故障、灾难业务中断紧急响应紧急响应重定位备份重定位备份资源资源在行动在行动恢复操作系统恢复操作系统重装载重装载数据库数据库回滚和回滚和再同步再同步23Professional Security Solution Provider持持续性性计划同划同风险管理关系管理关系自然自然•火灾火灾•飓风飓风•洪水洪水•台风台风人人•阴谋破坏阴谋破坏•恶意代码恶意代码•操作员错误操作员错误技术技术•硬件故障硬件故障•数据残缺数据残缺•电信故障电信故障•电力故障电力故障潜在风险潜在风险风险评估风险评估安全控制安全控制•管理控制•运行维护控制•技术控制持续性计划持续性计划范围范围•飓风•操作员错误•硬件故障•数据残缺自然自然•火灾火灾•飓风飓风•洪水洪水•台风台风人人•阴谋破坏阴谋破坏•恶意代码恶意代码•操作员错误操作员错误•技术技术•硬件故障硬件故障•数据残缺数据残缺•电信故障电信故障•电力故障电力故障。

•火灾火灾•飓风飓风•洪水洪水•阴谋破坏阴谋破坏•硬件故障硬件故障•数据残缺数据残缺•电信故障电信故障•操作员错误操作员错误自然自然•火灾火灾•飓风飓风•洪水洪水•台风台风人人•阴谋破坏阴谋破坏•恶意代码恶意代码•操作员错误操作员错误•技术技术•硬件故障硬件故障•数据残缺数据残缺•电信故障电信故障•电力故障电力故障•硬件故障硬件故障•数据残缺数据残缺•操作员错误操作员错误•飓风飓风标识的风险标识的风险残余的风险残余的风险24Professional Security Solution Provider持持续性性计划划实施流程施流程开发开发持续性计划持续性计划策略策略进行进行业务影响业务影响分析分析标识标识预防性的预防性的安全控制安全控制开发开发恢复战略恢复战略开发开发持续性计划持续性计划计划测试、计划测试、培训和演培训和演练练计划维护计划维护•标识现存要求•标识相关计划和程序•得到高层管理支持•标识关键IT资源•标识中断影响和允许的中断时间•开发恢复优先级•实现控制•维护控制•标识方法•集成至系统体系结构中•文档恢复战略•开发测试目标•开发成功准则•文档所学教训•综合至计划中•培训人员•审阅和更新计划•同内部/外部组织机构合作•控制分发•文档变更25Professional Security Solution Provider持持续性性计划内容划内容计划开发计划开发•综合业务影响分析的发现•文档记录恢复战略支持信息支持信息•介绍•运行操作的概念通告通告/启动阶段启动阶段•通告流程•损害评估•计划启动恢复阶段恢复阶段•恢复行动的结果•恢复流程重构阶段重构阶段•恢复原站点•测试系统•结束操作计划附录计划附录•联系人列表•系统要求•至关重要的记录26Professional Security Solution Provider持持续性性计划划——呼叫呼叫树实例例持续性计划持续性计划协调人协调人后备持续性计划后备持续性计划协调人协调人网络恢复小组网络恢复小组负责人负责人数据库恢复小组数据库恢复小组负责人负责人通信小组通信小组负责人负责人服务器恢复小组服务器恢复小组负责人负责人网络操作系统网络操作系统管理员管理员数据库数据库管理员管理员SQL管理员管理员数据库分析数据库分析支持技术人员支持技术人员支持技术人员支持技术人员帮助台技术人员帮助台技术人员广域网工程师广域网工程师资深系统工程师资深系统工程师通信通信技术人员技术人员通信通信技术人员技术人员电子邮件电子邮件管理员管理员服务器支持服务器支持技术人员技术人员应用服务器应用服务器管理员管理员服务器支持服务器支持技术人员技术人员27Professional Security Solution Provider演演练•是非常必要的环节•每年至少1～2次•制定灾难恢复的流程，一旦生产中心遭遇灾难，发出灾难宣告，灾难备份中心数据处理系统、备份网络系统设备就绪，应急中心与灾难备份中心网络连通，按灾难备份切换操作手册完成灾备系统切换，业务终端联机交易确认，灾难备份中心接替生产中心运营。

•演练的意义在于，当灾难来临时，相关人员对自己的职责，以及灾难恢复的流程有一个相相当当清清晰晰的概念，并且实实际际操操作作过，最终帮助业务取得连续性的发展与演练几乎同等重要的是系统的维护 28Professional Security Solution Provider•如果灾难恢复小组中的某一个关键人物离开现职，那么必须实时的将信息反馈，更改有关的说明书，以确保灾难来临时，相应的人员可以对照说明书，找到合适的主管人员处理相应问题 •所有的最佳实践被汇总编辑到一本说明书中，这本说明书被要求带在每一个相关人员的身边，灾难发生时，按照上面的指引，就可以立即明确自己的职责 29Professional Security Solution Provider 灾难防备灾难防备在大家都沉睡时，醒来在大家都沉睡时，醒来 30Professional Security Solution Provider应急处理应急处理31Professional Security Solution Provider任何组织都会遭受攻击任何组织都会遭受攻击32Professional Security Solution Provider每年发现的漏洞数量飞速上升每年发现的漏洞数量飞速上升•每年发现的漏洞数量飞速上升– 2004年CVE全年收集漏洞信息1707条– 到2005年到5月6日就已经达到1470条–绿盟科技到到5月份跟踪的漏洞也超过了1700条年份年份漏洞数量漏洞数量1999742200040420018322002100620031049200417072005***147933Professional Security Solution Provider发起攻击越来越容易、攻击能力越来越强发起攻击越来越容易、攻击能力越来越强34Professional Security Solution Provider黑客的职业化之路黑客的职业化之路•不再是小孩的游戏，而是与 ￥ 挂钩•职业入侵者受网络商人或商业间谍雇佣•不在网上公开身份，不为人知，但确实存在。

•攻击者对自己提出了更高的要求，不再满足于普通的技巧而转向底层研究35Professional Security Solution Provider安全形势永远都是严峻的安全形势永远都是严峻的•攻 击 技 术 已 经 开 始 普 及 ， SQL Injection、DOS等攻击方式对使用者要求较低•缓冲区溢出、格式串攻击已公开流传多年，越来越多的人掌握这些技巧•少部分人掌握自行挖掘漏洞的能力，并且这个数量在增加漏洞挖掘流程专业化，工具自动化•Zero-day的攻击•无线安全/安全问题开始出现36Professional Security Solution Provider不断发展的攻击技术不断发展的攻击技术•SQL注入•Google Hacking•Phishing•客户端攻击•混合拒绝服务/BOTNET•……攻攻击技技术的的发展展•密码猜测•社会工程•远程溢出•蠕虫病毒•木马•拒绝服务•CGI•……传统的攻的攻击技技术37Professional Security Solution Provider客户端攻击技术客户端攻击技术•在攻击服务端变得困难时，黑客把目标转向管理员的PC以及其他客户机群•利用对象：Windows漏洞、IE、Outlook、 Foxmail、 Serv-U、IRC软件等•客户端往往不被重视，加上ARP欺骗、SMB会话劫持技术的应用，大多数内网安全性很薄弱•社会工程学的应用38Professional Security Solution ProviderPhishing攻攻击的流行的流行•美国反网络钓鱼攻击工作小组(APWG) ：2005年1月份共接到了12845起网络钓鱼电子邮件汇报，支持这种欺诈性邮件信息的网站也增加到了2560个。

•国家计算机网络应急技术处理协调中心（CNCERT/CC）：2004年该中心接到网络钓鱼欺诈事件报告达223起；2004年7月份以来，该中心接到的该类报告以月均26％的速度递增•美国的网络钓鱼网站最多，占全球总量的32%，中国名列第二(13%)，韩国位于第三(10%)39Professional Security Solution ProviderPhishing的技的技术实现•以假乱真，视觉陷阱–域名类似 –姜太公钓鱼，愿者上钩•身份伪装：基于邮件的网页欺骗，社会工程的应用– ?•DNS 劫持+网页伪造：更难以察觉的攻击方式40Professional Security Solution ProviderGoogle Hacking利用搜索引擎输入特定语法、关键字寻找可利用的渗透点，最终完成入侵敏感的信息包括：–目标站点的信息–存储密码的文件–后台管理和上传文件的 Web 页–数据库–特定扩展名的文件–特定的 Web 程序，如论坛Google蠕虫已经出现！–Net-–利 用 用 Google查 询 来 发 现 运 行phpBB论坛系统的Web站点系统漏洞并自动修改2004年在拉斯维加斯举行的BlackHat大会上，有两位安全专家分别作了名为《You found that on google ?》 和《google attacks 》的主题演讲 41Professional Security Solution ProviderGoogle Hacking Exampleintitle:“xxx shell*" “xxx stderr" filetype:php Google信息收集信息收集•site: •site: intext:*@•… 42Professional Security Solution ProviderSQL Injection Attack •SQL注入攻击就其本质而言，利用的工具是SQL的语法，针对的是应用程序开设计中的漏洞。

•“当攻击者能够操作数据，往应用程序中插入一些SQL语句时，SQL注入攻击就发生了” •攻击目标：控制服务器/获取敏感数据2000年2001年2002年2003年2004年2005年简单的登陆验证绕过简单的登陆验证绕过针对针对asp+sql server的基本注入的基本注入自动化注入攻击工具的出现自动化注入攻击工具的出现更多的后台数据库操作研究更多的后台数据库操作研究Php/JSP注入技术注入技术高级注入攻击技术高级注入攻击技术43Professional Security Solution Provider•应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全属性的活动•网络安全无法保证一劳永逸为了做到更好的安全保障，减少安全事件的发生，这需要：ü在事件发生前从最坏处考虑，做好应急响应计划ü在事件发生后尽快有效响应，降低应急处理时间44Professional Security Solution Provider应急响急响应•应急响应服务的目的是最快速度恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的影响–避免没有章法、可能造成灾难的响应。

–更快速和标准化的响应–确认或排除是否发生了紧急事件–使紧急事件对业务或网络造成的影响最小化–保护企业、组织的声誉和资产–教育高层管理人员–提供准确的报告和有价值的建议45Professional Security Solution Provider应急响急响应是重要的是重要的•在安全保障体系中，应急响应（应急处理）是一个重要的过程，也是必要的环节•从 IT 服务最佳实践流程(ITIL)来看，应急响应是事件管理、问题管理的重要因素事件管理强调的是速度，即尽快的响应事件；问题管理强调的是根本，即从根本上解决问题，保证问题不再出现应急响应（应急处理）应当涉及这两方面的内容 46Professional Security Solution Provider应急响急响应是可行的是可行的•应急响应（应急处理）应该从三方面来考虑：人(People)、流程(Process)、技术(Technology)•在安全事件发生后，应当有适合的、有能力的人员（专家）进行响应，他们的技能和经验是有效的应急响应的基础仅仅有胜任的人员也是不足的，盲目的没有章法的应急响应往往会事与愿违，带来更大的灾难，因此流程、程序、计划都变得非常重要。

由于安全事件的不可预知性，所以需要先进的技术（产品、工具、研究成果）作保障，应急响应的目的是为了根本解决问题，并不是简单的仅仅依靠热情来达到47Professional Security Solution Provider国际间的协调组织国际间的协调组织国内的协调组织国内的协调组织国内的协调组织国内的协调组织愿意付费的任何用户产品用户网络接入用户企业部门、用户商业商业IRT网络服务提供商网络服务提供商 IRT厂商厂商 IRT企业企业 /政府政府 IRT如：绿盟科技如：CCERT如：Cisco、IBM如：中国银行、 公安部如CERT/CC, FIRST如CNCERT/CC应急响急响应组的分的分类48Professional Security Solution Provider中国中国银行行应急响急响应需求需求•制定应急响应计划–信息安全重要的一个方面是在攻击发生时应能知晓如何应对，提前的计划与准备能够尽快的抑制攻击、降低影响但是制定应急响应计划是一个非常耗时的工作 •培养中国银行应急响应专家–在安全事件处理过程中，“人”的作用是勿庸置疑的为了降低第三方安全服务提供商的风险，所以培养中国银行集团应急专家是必要的。

•做好应急响应知识管理–要注意做好应急响应（应急处理）知识管理工作，知识管理可以通过创建、固化、掌握、传播、改进等一系列的方式实现知识管理的目标很明确，让尽可能多的人具备良好的思考方式和一定的技能 •定期进行应急演练–如果仅仅将应急响应计划束之高阁，长此以往“人”的警惕将会松懈，直接后果是在安全事件发生后表现混乱，无从下手，所以要定期进行应急演练，每次针对不同的主题，在实战情况下演练效果更佳应急演练最忌讳的方式是纸上谈兵，达不到预期的目标 49Professional Security Solution Provider•需要第三方安全服务厂商的应急响应支持–由于资源、精力等限制，中国银行集团在进行应急响应（应急处理）的过程中，不可避免的与其他社会资源协作，共同抵抗安全威胁安全服务厂商在应急响应方面具备一定的经验和技术，为中国银行提供风险降低支持•需要其他社会资源的应急响应支持–国家计算机网络应急响应协调处理中心(CNCERT/CC)、公安部、安全部等也能够在全网协作、调查取证方面提供必要的支持•需要第三方安全服务厂商提供早期安全预警智能–具备深入研究能力的第三方安全服务厂商为中国银行提供早期安全预警智能，这些知识将间接的提高应急响应的效能：通过预先的风险降低措施减少安全事件的发生，通过知识管理尽早的获得知识并及时更新。

•对合作的第三方安全服务厂商提出要求–这主要从两个方面来进行考核：能力与速度毫无疑问，第三方安全服务厂商的能力（研究能力、漏洞发现能力、应急响应能力、技术领先能力、经验等）是应急响应是否成功的关键速度是考察第三方安全服务厂商应急响应服务的服务级别协议(SLA)的一个重要指标，在一定程度上反映了厂商的态度与信誉50Professional Security Solution Provider矩矩阵需考需考虑的因素的因素需包含的内容需包含的内容紧急程度急程度*人(People)建立应急响应小组培养中国银行集团应急响应专家需要第三方安全服务厂商的支持需要其他社会资源的支持紧急一般紧急紧急流程(Process)制定应急响应计划定期进行应急响应演练做好应急响应知识管理紧急一般一般技术(Technology)应急响应产品与工具需要第三方安全服务厂商提供早期安全预警智能对合作的第三方安全服务厂商提出要求紧急一般一般* 仅供中国银行参考仅供中国银行参考51Professional Security Solution Provider•绿盟科技应急响应小组(NSFIRST) 7*24 支持–支持–远程支持–现场支持•具体需求与最佳实践完美结合的应急响应程序•协助进行应急响应演练，改进应急响应准备•绿盟科技研究院——安全小组(NSFOCUS Security Team) 的威胁智能分析支持•绿盟科技自有的安全产品（黑洞、NIPS/NIDS、Scanner、流量监控与分析、网络诱骗系统）52Professional Security Solution Provider主要安全事件主要安全事件•拒绝服务攻击•网络流量异常•服务器异常–性能异常–数据被破坏•入侵攻击•蠕虫病毒爆发53Professional Security Solution Provider事件分事件分级事件级别严重程度描述1轻微用户网络或业务系统出现故障，但暂时不影响业务系统的运行。

2普通用户网络或业务系统出现异常，运行效率降低或出现错误 3严重用户网络或业务系统无法正常工作 4紧急用户网络或业务系统中断或瘫痪 54Professional Security Solution Provider事件升事件升级标准准负责人成员绿盟科技应急响应小组李钠NSFIRST绿盟科技专业服务部王红阳 (Why)NSFIRST、PSD绿盟科技安全小组左磊(warning3)NSFOCUS Security Team若未解决若未解决事件升级事件升级2小时绿盟科技应急响应小组4小时绿盟科技专业服务部8小时绿盟科技安全小组北京、上海、广州2个小时内到达指定现场其他城市8小时内到达指定现场55Professional Security Solution Provider绿盟科技盟科技应急响急响应服服务方法方法论56Professional Security Solution ProviderPeople: NSFIRSTProcess: 策略和程序策略和程序Technology: 硬件、软件、工具、文档硬件、软件、工具、文档PreparationDetection&AnalysisContainmentEradication& Recovery应急响应流程应急响应流程Post-IncidentActivityProcessTechnologyPeople57Professional Security Solution Provider•事件起因分析。

事件起因分析•事件取证追查事件取证追查•系统后门检查、漏洞分析系统后门检查、漏洞分析•数据收集、数据分析数据收集、数据分析PreparationDetection&AnalysisContainmentEradication& Recovery应急响应流程应急响应流程Post-IncidentActivity调查调查事件分级事件分级•决定什么对自己最重决定什么对自己最重要•为紧急事件确定优先为紧急事件确定优先级，更有效的利用资级，更有效的利用资源•不是每个紧急事件都不是每个紧急事件都需要平等对待需要平等对待紧急事件检测紧急事件检测•防火墙日志防火墙日志•系统日志系统日志•Web 服务器日志服务器日志•IDS 日志日志•可疑的用户可疑的用户•管理员报告管理员报告初始响应初始响应•初步判定事件类型、初步判定事件类型、定义事件级别定义事件级别•准备相关资源准备相关资源•为紧急事件的处理取为紧急事件的处理取得管理方面的支持得管理方面的支持•组建事件处理小组组建事件处理小组•制定安全事件响应策制定安全事件响应策略58Professional Security Solution ProviderPreparationDetection&AnalysisContainmentEradication& Recovery应急响应流程应急响应流程Post-IncidentActivity抑制、消除和恢复抑制、消除和恢复•恢复系统正常。

恢复系统正常•确认系统是否已经完确认系统是否已经完全恢复正常全恢复正常•修补系统漏洞，安全修补系统漏洞，安全性增强•部署安全措施部署安全措施•设置过滤策略设置过滤策略59Professional Security Solution ProviderPreparationDetection&AnalysisContainmentEradication& Recovery应急响应流程应急响应流程Post-IncidentActivity追踪追踪•提交事件处理报告提交事件处理报告•根据情况查找事件来源根据情况查找事件来源教育教育•完善应急处理知识库、完善应急处理知识库、流程和规范流程和规范•教育、培训，传播经验教育、培训，传播经验60Professional Security Solution ProviderWhy NSFOCUS?•强大的基础研究能力•精湛的技术水平•迅速的应急响应能力•完善的应急响应体系•丰富的解决问题经验•主动的早期预警通告•及时的国际安全信息61Professional Security Solution Provider公司荣誉公司荣誉•服务资质服务资质–2001年首批安全服务试点企业–2002年首批安全服务一级资质企业–2004年首批安全服务二级资质企业–2004年首批公共互联网应急处理国家级服务试点单位–北京市应急响应平台合作单位–ISO 9001 国际、国内双认证•用户认可用户认可–连续三年最值得信赖的安全服务品牌–连续获得两年电子政务百强称号–荣获中关村最佳客户服务奖专业资质专业资质荣誉证书荣誉证书62Professional Security Solution ProviderMore Details The Business Continuity Institute (BCI) was established in 1994 to enable members to obtain guidance and support from fellow business continuity practitioners. DRI International was founded in 1988 as the Disaster Recovery Institute in order to develop a base of knowledge in contingency planning and the management of risk, a rapidly growing profession. Professional Security Solution Provider谢 谢！！。