服务介绍
应急响应指遇到重大或突发事件后所采取的措施和行动。应急响应所处置的突发事件不仅仅包括硬件、产品、网络、配置等方面的故障,也包括各类安全事件。本文阐述的应急响应指对各类安全事件的处置,包括黑客攻击、木马病毒、异常流量、web 攻击等。
服务的主要目的是帮助客户正确应对安全事件,降低安全事件带来的损失和影响,并将业务以及网络恢复到正常状态;通过对日志、流量、文件、情报等维度的关联分析与深度挖掘,定位各类安全事件发生的原因;协助客户进行恶意文件清除、漏洞修复、安全加固、避免同类安全事件再次发生;对相关日志、流量、文件等数据进行取证溯源,配合执法机构进行事件的取证。
为什么需要应急响应
安全事件发生后,通常会造成严重的影响,如数据被加密、文件被破坏、业务中断、数据被贩卖、内容被篡改等,给客户带来较大的经济损失、政治以及声誉上的影响。客户迫切需要快速处置安全事件,将其影响降低到最低。
同时应急响应是一项技术难度较大的工作,其需要掌握足够的安全技能,具备一定的追踪侦查能力、沟通能力、心理学知识并且掌握必要法律知识的专业安全人士的参与。大多数情况下,企业和组织不具有具备以上知识的专业人员。这就需要专业的安全服务厂商为客户提供专业的应急响应服务。
服务原则
成都华软在应急响应服务过程中,遵循下列原则:
保密性原则,保密性原则是安全服务中最重要的原则,应急相应的保密范围,包括实施过程的保密性和输出成果的保密性。不会透露在服务过程获知的任何客户系统信息,不会利用这些信息进行任何侵害客户的行为;对客户服务的报告不会扩散给未经授权的第三方单位或者个人。
标准性原则,成都华软应急急响应服务将在国家法律、法规允许的范围内进行,特别是遵照并履行《全国人大常委会关于维护互联网安全的决定》相关规定等。
规范性原则,实施流程必须由专业的安全服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,提供完整的服务报告。
最小影响原则,应急响应服务工作应尽可能控制事件影响范围,避免其它系统和网络的二次事件扩散,快速控制、恢复以保证业务的正常运行。
应急服务方式
远程和现场,现场服务是在接到客户服务请求,技术专家在最短时间内赶赴客户现场,协助客户分析事件原因、解决各类安全事件并进行相应的安全加固与处置工作。远程服务是通过电话、QQ 远程协助、远程临时接入等非现场的活动,协助客户分析事件原因,解决各类安全事件并进行相应的安全加固与处置工作。这种服务模式多在应急响应专家短时间内无法到达客户现场或用户选择通过远程方式处置时使用。
按次服务,用户可以按次采购服务。单次服务是为客户提供一次性应急响应服务。一般由发生安全事件的客户临时申请,应急响应人员参与应急事件处理,应急人员在分析并处置事件后,向客户提交应急响应报告。年度服务是客户按照单次报价购买一定次数的应急响应服务,每次服务均会提供详细的应急相应报告。
应急服务范围
成都华软的应急服务包括WEB安全事件、恶意程序事件、网络攻击事件、信息破坏事件等。
WEB 安全事件是指 B/S 类信息系统或网站遭受恶意入侵,利用网站进行反动信息、赌博、黄色等信息发布,传播危害国家安全、社会稳定和公共利益的内容的安全事件。
恶意程序事件是指蓄意制造、传播恶意程序,或是因受到恶意程序的影响而导致的信息安全事件。恶意程序是指插入到信息系统中的一段程序,恶意程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性,或影响信息系统的正常运行。
网络攻击是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。
信息破坏事件是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。
定级与响应
根据网络与信息系统突发事件对服务的社会客户和组织生产、经营和管理的影响范围、危害程度、可能产生的后果和损失等因素,将安全事件分为Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)、IV 级(一般)。
特别重大事件(Ⅰ级)指网络及信息系统出现特别重大故障,造成单位网络大面积中断或主营业务系统大面积瘫痪,对单位造成巨大经济损失、影响系统所有客户的正常业务工作或对公众服务产生严重不良社会影响。发生 I 级安全事件,或 II 级安全事件演化为 I 级,提供远程 7*24 小时、现场 2 小时应急响应服务。突发事件联络员全天候值班,安全服务管理职能部门负责人、与应急相关的其他部门负责人以及应急服务团队主管,取消休假,处于随时待命状态。
重大事件(Ⅱ级)指网络与信息系统安全事件造成单位网络较大面积中断或主营业务系统较大面积瘫痪,影响系统重要客户的正常业务工作、对单位造成重大经济损失的或产生较严重不良社会影响。发生Ⅱ级安全事件,或Ⅲ级安全事件演化为Ⅱ级,提供远程 7*24 小时、本地 2 小时应急响应服务。安全事件联络员全天候值班,安全服务管理职能部门负责人、与应急相关的其他部门负责人以及应急服务团队主管,取消休假,处于随时待命状态。
较大突发事件(Ⅲ级)指网络与信息系统安全事件造成单位网络中断、主营业务系统瘫痪、主营业务系统数据毁坏、经营管理数据泄密、信息系统发布和传播系统发生政治敏感信息事件,影响系统部分客户的正常业务工作,对单位造成较大经济损失或产生一定程度不良社会影响的。发生Ⅲ级安全事件,或Ⅳ级安全事件演化为Ⅲ级,提供远程 7*24 小时、现场 4 小时应急响应服务。安全事件联络员全天候值班,安全服务部管理职能部门负责人与应急相关的其他部门人员处于随时待命状态。
一般突发事件(Ⅳ级)指网络与信息系统安全事件造成单位网络中断、主营业务系统瘫痪、部分主营业务系统数据毁坏,影响极少数客户的正常业务工作,对单位造成一定的经济损失。发生Ⅳ级安全事件,提供远程 7*24 小时、现场 4 小时应急响应服务。安全事件联络员全天候值班。