某銀行業(yè)務(wù)連續(xù)性管理vnsfocus

Professional

SecuritySolutionProviderNSFocusInformationTechnologyCo.Ltd.

ProfessionalServices業(yè)務(wù)連續(xù)性管理(BusinessContinuityManagement)專業(yè)服務(wù)部高級安全顧問趙彥2005年11月提綱為什么需要業(yè)務(wù)連續(xù)性管理？業(yè)務(wù)連續(xù)性管理的國際專業(yè)操作步驟應(yīng)急處理為什么需要業(yè)務(wù)連續(xù)性管理ISO17799:2005紅色部分是2005版相對于2002版的改變部分BS7799-2:2002v.s.BS7799-2:2005A3～A1210個章節(jié)A5～A1511個章節(jié)機密信息丟失引發(fā)信任危機2005年6月1日，瑞士銀行集團(UBS)日本分行丟失了一張存有高度敏感客戶信息的磁盤。其中可能包含相當機密的交易、止損單記錄以及公司各類客戶的敏感信息。2005年6月6日，花旗銀行390萬客戶賬戶資料在快遞途中的神秘失蹤。2005年6月17日，由于美國信用卡系統(tǒng)解決方案公司CardSystems的安全漏洞，導致4000萬用戶的銀行資料被泄漏，其中包括MASTER公司的1390萬用戶、VISA的2200萬客戶。

信任危機銀行業(yè)賴以生存的重要信息資產(chǎn)帳戶信息客戶資料信用記錄交易明細業(yè)務(wù)數(shù)據(jù)大集中的同時，客觀上也把風險集中和放大起來。

7×24×365災(zāi)難、故障——中斷9/11東南亞海嘯直接和和間接接的損損失間接損損失新聞頭頭條公眾聲聲譽直接損損失數(shù)據(jù)丟丟失、、設(shè)備備損壞壞人員傷傷害……當前世世界所所面臨臨的風風險有有恐怖怖襲擊擊、黑黑客、、網(wǎng)網(wǎng)絡(luò)侵侵襲、、電腦腦病毒毒、自自然災(zāi)災(zāi)害、、大規(guī)規(guī)模停停電、、罷工工、環(huán)環(huán)保、、市場場惡性性競爭爭、企企業(yè)倒倒閉等等。根據(jù)權(quán)權(quán)威機機構(gòu)統(tǒng)統(tǒng)計，，美國國在近近10年間遭遭遇過過災(zāi)難難事件件的公公司中中，有有55%的公司司馬上上倒閉閉，因為數(shù)數(shù)據(jù)丟丟失造造成業(yè)業(yè)務(wù)無無法持持續(xù)，有29%的公司司在兩兩年之之內(nèi)倒倒閉。。根據(jù)明明尼蘇蘇達大大學統(tǒng)統(tǒng)計，，美國國證券券金融融行業(yè)業(yè)平均均可容容忍的的最大大停機機時間間是2天，沒有實實施災(zāi)災(zāi)難備備份措措施的的公司司在遇遇到災(zāi)災(zāi)難后后60%將在2～3年內(nèi)破破產(chǎn)。。據(jù)GartnerGroup統(tǒng)計，，在經(jīng)經(jīng)歷大大型災(zāi)災(zāi)難事事件而而導致致系統(tǒng)統(tǒng)停運運的公公司中中，有有2/5左右再再也沒沒有恢恢復運運營，，剩下下的公公司中中也有有接近近1/3在兩年年內(nèi)破破產(chǎn)。。9.11事件中中，1200家企業(yè)業(yè)受災(zāi)災(zāi)，400家企業(yè)業(yè)啟動動了災(zāi)災(zāi)難恢恢復計計劃，其中中摩根根士丹丹利公公司幾幾天后后在新新澤西西州恢恢復營營業(yè)，，而無無災(zāi)備備能力力的企企業(yè)損損失慘慘重。。傳統(tǒng)的的業(yè)務(wù)務(wù)管理理方法法及流流程，，在遭遭遇災(zāi)災(zāi)難事事件時時常常常不堪堪一擊擊，甚甚至可可能隨隨時崩崩潰。。但是在在災(zāi)難難尚未未降臨臨之前前，人人們的的警惕惕性都都不高高，仍仍沒有有看到到BCM的重要要性。。慶幸的的是，，越來來越多多深受受災(zāi)難難事件件影響響的企企業(yè)和和機構(gòu)構(gòu)已開開始認認識到到，只只有通通過更更加切切實的的手段段，借借助更更便捷捷的信信息技技術(shù)，，構(gòu)建建真正正有效效應(yīng)對對危機機事件件的管管理體體系，，并且且使管管理科科學化化、手手段現(xiàn)現(xiàn)代化化，才才能保保證業(yè)業(yè)務(wù)的的連續(xù)續(xù)運行行，才才能保保證各各類應(yīng)應(yīng)用系系統(tǒng)和和數(shù)據(jù)據(jù)的完完整性性。從國際際成功功經(jīng)驗驗來看看，那那些及及時引引入BCM的企業(yè)業(yè)和機機構(gòu)，，之所所以能能夠在在災(zāi)難難事件件面前前處亂亂不驚驚、化化險為為夷，，主要要在于于他們們能夠夠借助助先進進的業(yè)業(yè)務(wù)持持續(xù)管管理解解決方方案，，有效效地保保護其其核心心業(yè)務(wù)務(wù)的持持續(xù)運運行。。如今，，BCM已成為為應(yīng)對對危機機事件件的國國際通通用規(guī)規(guī)則。。業(yè)務(wù)連連續(xù)性性管理理(BCM:BusinessContinuityManagement)目的：：防止止業(yè)務(wù)務(wù)停頓頓，以以及保保護重重要業(yè)業(yè)務(wù)進進程不不受重重大失失效或或災(zāi)難難的影影響。。(BS7799)預防(Prevent)&恢復(Recovery)一項綜合管管理流程，，它使企業(yè)業(yè)認識到潛潛在的危機機和相關(guān)影影響，制訂訂響應(yīng)、業(yè)業(yè)務(wù)和連續(xù)續(xù)性的恢復復計劃，其其總體目標標是為了提提高企業(yè)的的風險防范范能力，以以有效的響響應(yīng)非計劃劃的業(yè)務(wù)破破壞并降低低不良影響響。BCM的出發(fā)點在在于對潛在在的災(zāi)難危危險加以辨辨別并進行行分析，以以確定其對對企業(yè)運作作造成的威威脅，并建建立一個完完善的持續(xù)續(xù)管理計劃劃來防止或或減少災(zāi)難難事件給企企業(yè)帶來的的損失。業(yè)務(wù)連續(xù)性性計劃BCP業(yè)務(wù)連續(xù)性性計劃是一一套高級管管理和規(guī)章章流程，它它使一個組組織在突發(fā)發(fā)事件面前前能夠迅速速做出反應(yīng)應(yīng)，以確保保關(guān)鍵業(yè)務(wù)務(wù)功能可以以持續(xù)，而而不造成業(yè)業(yè)務(wù)中斷或或業(yè)務(wù)流程程本質(zhì)的改改變。災(zāi)難恢復應(yīng)應(yīng)該是整個個應(yīng)急體系系中的最后后一道防線線。事實上，無無論備份等等級有多高高，任何災(zāi)災(zāi)備中心與與真正的業(yè)業(yè)務(wù)系統(tǒng)間間都還是會會存在或多多或少的時時點差距的的，切換恢恢復后的業(yè)業(yè)務(wù)系統(tǒng)不不一定是全全部；且系系統(tǒng)切換本本身也是要要付出時間間、人力、、物力等高高成本代價價的。而我們所該該做的，是是在災(zāi)難發(fā)發(fā)生后盡量量將損失降降到最低。。每一層為鄰鄰近層提供供穩(wěn)定的基基礎(chǔ)Construction,Environmental,Electro-Mechanical,UtilitiesServers,StorageDevices,Routers,SwitchesOperatingSystems,NetworkProtocolsOperationsAutomation,LogicalSecurity,Middleware,DatabaseChange,Problem,andConfigurationManagement,SDLC,DataStructures,NamingConventions,QualityStandardsStrategicPlanning,ArchitectureDefinition,Planning&ControlContinuousServiceFacilitiesHardwareSystemsSoftwareSupportSystemsBusinessApplicationsManagementPractices公司的員工工、供應(yīng)商商、顧客對對公司的信信心公司名譽品牌面臨的的風險BCM無疑等于給給股東吃了了一顆定心心丸業(yè)務(wù)連續(xù)性性管理的國國際專業(yè)操操作步驟從戰(zhàn)略管理理高度考慮慮BCM實施BCM，應(yīng)該從戰(zhàn)戰(zhàn)略管理的的高度，關(guān)關(guān)注流程、、人員、設(shè)設(shè)施和計劃劃。這四個要素素分別解決決了在應(yīng)對對災(zāi)難危機機時，什么么人(或組織)按照什么樣樣的流程操操作什么樣樣的資源，，而計劃正正是規(guī)范以以上要素的的文檔體現(xiàn)現(xiàn)。因此，BCM要從企業(yè)的的業(yè)務(wù)目標出發(fā)，分析析企業(yè)具體體的業(yè)務(wù)流流程，詳細細分析支持持這些業(yè)務(wù)務(wù)流程的應(yīng)應(yīng)用系統(tǒng)，，分析它們們一旦發(fā)生生危機對業(yè)業(yè)務(wù)的影響響。根據(jù)上上述影響，，制定相應(yīng)應(yīng)的規(guī)避方方法，包括括流程和技技術(shù)手段。。業(yè)務(wù)連續(xù)性性管理的國國際專業(yè)操操作步驟(10Steps)項目啟動和和管理確定業(yè)務(wù)持持續(xù)計劃（（BCP）實施過程程的相關(guān)需需求，包括括獲得管理理支持、以以及組織和和管理項目目使其符合合時間和預預算的限制制要求。風險評估和和控制確定可能造造成機構(gòu)及及其設(shè)施中中斷的災(zāi)難難、具有負負面影響的的事件和周周邊環(huán)境因因素，以及及事件可能能造成的損損失、防止止或減少潛潛在損失影影響的控制制措施，提提供成本效效益分析以以調(diào)整控制制措施方面面的投資，，達到消減減風險的目目的。同時時，由于風風險會隨著著系統(tǒng)的發(fā)發(fā)展而變化化，所以風風險管理過過程也必須須是動態(tài)的的。業(yè)務(wù)影響分分析確定由于中中斷和預期期災(zāi)難可能能對機構(gòu)造造成的影響響，以及用用來定量和和定性分析析這種影響響的技術(shù)。。確定關(guān)鍵鍵功能、恢恢復優(yōu)先順順序和相關(guān)關(guān)性以便確確定恢復時時間。制定業(yè)務(wù)連連續(xù)性戰(zhàn)略略確定和指導導備用業(yè)務(wù)務(wù)恢復運行行策略的選選擇，以便便在恢復時時間目標范范圍內(nèi)恢復復業(yè)務(wù)和信信息技術(shù)，，并維持機機構(gòu)的關(guān)鍵鍵功能。緊急響應(yīng)和和運行制定和實施施用于事件件響應(yīng)以及及對事件所所引起狀況況進行穩(wěn)定定的規(guī)程，，包括建立立和管理緊緊急事件運運作中心，，該中心用用于在緊急急事件中發(fā)發(fā)布命令。。制定和實實施業(yè)務(wù)務(wù)連續(xù)性性計劃設(shè)計、制制定和實實施業(yè)務(wù)務(wù)連續(xù)性性計劃，，以便在在恢復時時間目標標范圍內(nèi)內(nèi)完成恢恢復。意識培養(yǎng)養(yǎng)和培訓訓項目準備建立立對機構(gòu)構(gòu)人員進進行意識識培養(yǎng)和和技能培培訓的項項目，以以便業(yè)務(wù)務(wù)連續(xù)性性計劃能能夠得到到制定、、實施、、維護和和執(zhí)行。。業(yè)務(wù)連續(xù)續(xù)性計劃劃的演練練和維護護對預先計計劃和計計劃間的的協(xié)調(diào)性性進行演演練、并并評估和和記錄計計劃演練練的結(jié)果果。制定定維持連連續(xù)性能能力和BCP文檔更新新狀態(tài)的的方法，，使其與與機構(gòu)的的策略方方向保持持一致。。通過與與適當標標準的比比較來驗驗證BCP的效率，，并使用用簡明的的語言報報告驗證證的結(jié)果果。危機聯(lián)絡(luò)絡(luò)制定、協(xié)協(xié)調(diào)、評評價和演演練在危危機情況況下與媒媒體交流流的計劃劃；制定定、協(xié)調(diào)調(diào)、評價價和演練練與員工工及其家家庭、主主要客戶戶、關(guān)鍵鍵供應(yīng)商商、業(yè)主主／股東東以及機機構(gòu)管理理層進行行溝通和和在必要要情況下下提供心心理輔導導的計劃劃，確保保所有利利益群體體能夠得得到所需需的信息息。與外部機機構(gòu)的合合作建立適用用的規(guī)程程和策略略，用于于同地方方當局協(xié)協(xié)調(diào)響應(yīng)應(yīng)、連續(xù)續(xù)性和恢恢復活動動，以確確保符合合現(xiàn)行的的法令和和法規(guī)。。業(yè)務(wù)發(fā)生生中斷………恢復的時時間故障、災(zāi)災(zāi)難業(yè)務(wù)中斷斷緊急響應(yīng)應(yīng)重定位備備份資源在行動恢復操作作系統(tǒng)重裝載數(shù)據(jù)庫回滾和再同步業(yè)務(wù)重新新開始持續(xù)性計計劃同風風險管理理關(guān)系自然火災(zāi)颶風洪水臺風。。人陰謀破壞壞惡意代碼碼操作員錯錯誤技術(shù)硬件故障障數(shù)據(jù)殘缺缺電信故障障電力故障障潛在風險險風險評估估安全控制制管理控制制運行維護護控制技術(shù)控制制。。。持續(xù)性計計劃范圍颶風操作員錯錯誤硬件故障障數(shù)據(jù)殘缺缺。。自然火災(zāi)颶風洪水臺風。。人陰謀破壞壞惡意代碼碼操作員錯錯誤。。技術(shù)硬件故障障數(shù)據(jù)殘缺缺電信故障障電力故障障?；馂?zāi)颶風洪水陰謀破壞壞硬件故障障數(shù)據(jù)殘缺缺電信故障障操作員錯錯誤自然火災(zāi)颶風洪水臺風。。人陰謀破壞壞惡意代碼碼操作員錯錯誤。。技術(shù)硬件故障障數(shù)據(jù)殘缺缺電信故障障電力故障障。硬件故障障數(shù)據(jù)殘缺缺操作員錯錯誤颶風標識的風風險殘余的風風險持續(xù)性計計劃實施施流程開發(fā)持續(xù)性計計劃策略進行業(yè)務(wù)影響響分析標識預防性的的安全控制制開發(fā)恢復戰(zhàn)略略開發(fā)持續(xù)性計計劃計劃測試試、培訓訓和演練練計劃維護護標識現(xiàn)存存要求標識相關(guān)關(guān)計劃和和程序得到高層層管理支支持標識關(guān)鍵鍵IT資源標識中斷斷影響和和允許的的中斷時時間開發(fā)恢復優(yōu)先先級實現(xiàn)控制維護控制標識方法集成至系統(tǒng)體體系結(jié)構(gòu)中文檔恢復戰(zhàn)略略開發(fā)測試目標標開發(fā)成功準則則文檔所學教訓訓綜合至計劃中中培訓人員審閱和更新計計劃同內(nèi)部/外部組織機構(gòu)構(gòu)合作控制分發(fā)文檔變更持續(xù)性計劃內(nèi)內(nèi)容計劃開發(fā)綜合業(yè)務(wù)影響響分析的發(fā)現(xiàn)現(xiàn)文檔記錄恢復復戰(zhàn)略支持信息介紹運行操作的概概念通告/啟動階段通告流程損害評估計劃啟動恢復階段恢復行動的結(jié)結(jié)果恢復流程重構(gòu)階段恢復原站點測試系統(tǒng)結(jié)束操作計劃附錄聯(lián)系人列表系統(tǒng)要求至關(guān)重要的記記錄持續(xù)性計劃———呼叫樹實實例持續(xù)性計劃協(xié)調(diào)人后備持續(xù)性計劃協(xié)調(diào)人網(wǎng)絡(luò)恢復小組負責人數(shù)據(jù)庫恢復小組負責人通信小組負責人服務(wù)器恢復小組負責人網(wǎng)絡(luò)操作系統(tǒng)管理員數(shù)據(jù)庫管理員SQL管理員數(shù)據(jù)庫分析支持技術(shù)人員支持技術(shù)人員幫助臺技術(shù)人員廣域網(wǎng)工程師資深系統(tǒng)工程師通信技術(shù)人員通信技術(shù)人員電子郵件管理員服務(wù)器支持技術(shù)人員應(yīng)用服務(wù)器管理員服務(wù)器支持技術(shù)人員演練是非常必要的的環(huán)節(jié)每年至少1～2次制定災(zāi)難恢復復的流程，一一旦生產(chǎn)中心心遭遇災(zāi)難，，發(fā)出災(zāi)難宣宣告，災(zāi)難備備份中心數(shù)據(jù)據(jù)處理系統(tǒng)、、備份網(wǎng)絡(luò)系系統(tǒng)設(shè)備就緒緒，應(yīng)急中心心與災(zāi)難備份份中心網(wǎng)絡(luò)連連通，按災(zāi)難難備份切換操操作手冊完成成災(zāi)備系統(tǒng)切切換，業(yè)務(wù)終終端聯(lián)機交易易確認，災(zāi)難難備份中心接接替生產(chǎn)中心心運營。演練的意義在在于，當災(zāi)難難來臨時，相相關(guān)人員對自自己的職責，，以及災(zāi)難恢恢復的流程有有一個相當清晰的概念，并且且實際操作過，最終幫助助業(yè)務(wù)取得連連續(xù)性的發(fā)展展。與演練幾幾乎同等重要要的是系統(tǒng)的的維護。如果災(zāi)難恢復復小組中的某某一個關(guān)鍵人人物離開現(xiàn)職職，那么必須須實時的將信信息反饋，更更改有關(guān)的說說明書，以確確保災(zāi)難來臨臨時，相應(yīng)的的人員可以對對照說明書，，找到合適的的主管人員處處理相應(yīng)問題題。所有的的最佳佳實踐踐被匯匯總編編輯到到一本本說明明書中中，這這本說說明書書被要要求帶帶在每每一個個相關(guān)關(guān)人員員的身身邊，，災(zāi)難難發(fā)生生時，，按照照上面面的指指引，，就可可以立立即明明確自自己的的職責責。災(zāi)難防防備在大家家都沉沉睡時時，醒醒來應(yīng)急處處理任何組組織都都會遭遭受攻攻擊每年發(fā)發(fā)現(xiàn)的的漏洞洞數(shù)量量飛速速上升升每年發(fā)發(fā)現(xiàn)的的漏洞洞數(shù)量量飛速速上升升2004年CVE全年收收集漏漏洞信信息1707條到2005年到5月6日就已已經(jīng)達達到1470條綠盟科科技到到到5月份跟跟蹤的的漏洞洞也超超過了了1700條年份漏洞數(shù)量1999742200040420018322002100620031049200417072005***1479發(fā)起攻攻擊越越來越越容易易、攻攻擊能能力越越來越越強黑客的的職業(yè)業(yè)化之之路不再是是小孩孩的游游戲，，而是是與￥￥掛掛鉤鉤職業(yè)入入侵者者受網(wǎng)網(wǎng)絡(luò)商商人或或商業(yè)業(yè)間諜諜雇傭傭不在網(wǎng)網(wǎng)上公公開身身份，，不為為人知知，但但確實實存在在。攻擊者者對自自己提提出了了更高高的要要求，，不再再滿足足于普普通的的技巧巧而轉(zhuǎn)轉(zhuǎn)向底底層研研究。。安全形形勢永永遠都都是嚴嚴峻的的攻擊技技術(shù)已已經(jīng)開開始普普及，，SQLInjection、DOS等攻擊擊方式式對使使用者者要求求較低低緩沖區(qū)區(qū)溢出出、格格式串串攻擊擊已公公開流流傳多多年，，越來來越多多的人人掌握握這些些技巧巧少部分分人掌掌握自自行挖挖掘漏漏洞的的能力力，并并且這這個數(shù)數(shù)量在在增加加。漏漏洞挖挖掘流流程專專業(yè)化化，工工具自自動化化。Zero-day的攻擊擊無線安安全/手機安安全問問題開開始出出現(xiàn)不斷發(fā)發(fā)展的的攻擊擊技術(shù)術(shù)SQL注入GoogleHackingPhishing客戶端端攻擊擊混合拒拒絕服服務(wù)/BOTNET……攻擊技技術(shù)的的發(fā)展展密碼猜猜測社會工工程遠程溢溢出蠕蟲病病毒木馬拒絕服服務(wù)CGI……傳統(tǒng)的的攻擊擊技術(shù)術(shù)客戶端端攻擊擊技術(shù)術(shù)在攻擊擊服務(wù)務(wù)端變變得困困難時時，黑黑客把把目標標轉(zhuǎn)向向管理理員的的PC以及其其他客客戶機機群利用對對象：：Windows漏洞、、IE、Outlook、Foxmail、Serv-U、IRC軟件等等客戶端端往往往不被被重視視，加加上ARP欺騙、、SMB會話劫劫持技技術(shù)的的應(yīng)用用，大大多數(shù)數(shù)內(nèi)網(wǎng)網(wǎng)安全全性很很薄弱弱社會工工程學學的應(yīng)應(yīng)用Phishing攻攻擊的的流行行美國反反網(wǎng)絡(luò)絡(luò)釣魚魚攻擊擊工作作小組組(APWG)：2005年1月份共共接到到了12845起網(wǎng)絡(luò)絡(luò)釣魚魚電子子郵件件匯報報，支支持這這種欺欺詐性性郵件件信息息的網(wǎng)網(wǎng)站也也增加加到了了2560個。國家計計算機機網(wǎng)絡(luò)絡(luò)應(yīng)急急技術(shù)術(shù)處理理協(xié)調(diào)調(diào)中心心（CNCERT/CC）：2004年該中中心接接到網(wǎng)網(wǎng)絡(luò)釣釣魚欺欺詐事事件報報告達達223起；2004年7月份以以來，，該中中心接接到的的該類類報告告以月月均26％的速速度遞遞增。。美國的的網(wǎng)絡(luò)絡(luò)釣魚魚網(wǎng)站站最多多，占占全球球總量量的32%，中國國名列列第二二(13%)，韓國國位于于第三三(10%)Phishing的的技術(shù)術(shù)實現(xiàn)現(xiàn)GoogleHacking利用搜搜索引引擎輸輸入特特定語語法、、關(guān)鍵鍵字尋尋找可可利用用的滲滲透點點，最最終完完成入入侵。。敏感感的信信息包包括：：目標站站點的的信息息存儲密密碼的的文件件后臺管管理和和上傳傳文件件的Web頁數(shù)據(jù)庫庫特定擴擴展名名的文文件特定的的Web程序，，如論論壇Google蠕蟲已已經(jīng)出出現(xiàn)?。?。利用用用Google查詢來來發(fā)現(xiàn)現(xiàn)運行行phpBB論壇系系統(tǒng)的的Web站點系系統(tǒng)漏漏洞并并自動動修改改2004年在拉拉斯維維加斯斯舉行行的BlackHat大會上上，有有兩位位安全全專家家分別別作了了名為為《Youfoundthatongoogle?》和《googleattacks》》的主題題演講講GoogleHackingExampleintitle:““xxxshell*"““xxxstderr"filetype:phpGoogle信息收收集site:site:intext:*@…SQLInjectionAttackSQL注入攻攻擊就就其本本質(zhì)而而言，，利用用的工工具是是SQL的語法法，針針對的的是應(yīng)應(yīng)用程程序開開設(shè)計計中的的漏洞洞?！爱敼ス粽哒吣軌驂虿僮髯鲾?shù)據(jù)據(jù)，往往應(yīng)用用程序序中插插入一一些SQL語句時時，SQL注入攻攻擊就就發(fā)生生了””。攻擊目目標：：控制制服務(wù)務(wù)器/獲取敏敏感數(shù)數(shù)據(jù)2000年2001年2002年2003年2004年2005年簡單的的登陸陸驗證證繞過過針對asp+sqlserver的基本本注入入自動化化注入入攻擊擊工具具的出出現(xiàn)更多的的后臺臺數(shù)據(jù)據(jù)庫操操作研研究Php/JSP注入技技術(shù)高級注注入攻攻擊技技術(shù)應(yīng)急響響應(yīng)是是指針針對已已經(jīng)發(fā)發(fā)生或或可能能發(fā)生生的安安全事事件進進行監(jiān)監(jiān)控、、分析析、協(xié)協(xié)調(diào)、、處理理、保保護資資產(chǎn)安安全屬屬性的的活動動。網(wǎng)絡(luò)絡(luò)安安全全無無法法保保證證一一勞勞永永逸逸。。為為了了做做到到更更好好的的安安全全保保障障，，減減少少安安全全事事件件的的發(fā)發(fā)生生，，這這需需要要：：在事事件件發(fā)發(fā)生生前前從從最最壞壞處處考考慮慮，，做做好好應(yīng)應(yīng)急急響響應(yīng)應(yīng)計計劃劃。。在事事件件發(fā)發(fā)生生后后盡盡快快有有效效響響應(yīng)應(yīng)，，降降低低應(yīng)應(yīng)急急處處理理時時間間。。應(yīng)急急響響應(yīng)應(yīng)應(yīng)急急響響應(yīng)應(yīng)服服務(wù)務(wù)的的目目的的是是最最快快速速度度恢恢復復系系統(tǒng)統(tǒng)的的保保密密性性、、完完整整性性和和可可用用性性，，阻阻止止和和減減小小安安全全事事件件帶帶來來的的影影響響。。避免免沒沒有有章章法法、、可可能能造造成成災(zāi)災(zāi)難難的的響響應(yīng)應(yīng)。。更快快速速和和標標準準化化的的響響應(yīng)應(yīng)。。確認認或或排排除除是是否否發(fā)發(fā)生生了了緊緊急急事事件件。。使緊緊急急事事件件對對業(yè)業(yè)務(wù)務(wù)或或網(wǎng)網(wǎng)絡(luò)絡(luò)造造成成的的影影響響最最小小化化。。保護護企企業(yè)業(yè)、、組組織織的的聲聲譽譽和和資資產(chǎn)產(chǎn)。。教育育高高層層管管理理人人員員。。提供供準準確確的的報報告告和和有有價價值值的的建建議議。。應(yīng)急急響響應(yīng)應(yīng)是是重重要要的的在安安全全保保障障體體系系中中，，應(yīng)應(yīng)急急響響應(yīng)應(yīng)（（應(yīng)應(yīng)急急處處理理））是是一一個個重重要要的的過過程程，，也也是是必必要要的的環(huán)環(huán)節(jié)節(jié)。。從IT服務(wù)務(wù)最最佳佳實實踐踐流流程程(ITIL)來看看，，應(yīng)應(yīng)急急響響應(yīng)應(yīng)是是事事件件管管理理、、問問題題管管理理的的重重要要因因素素。。事事件件管管理理強強調(diào)調(diào)的的是是速速度度，，即即盡盡快快的的響響應(yīng)應(yīng)事事件件；；問問題題管管理理強強調(diào)調(diào)的的是是根根本本，，即即從從根根本本上上解解決決問問題題，，保保證證問問題題不不再再出出現(xiàn)現(xiàn)。。應(yīng)應(yīng)急急響響應(yīng)應(yīng)（（應(yīng)應(yīng)急急處處理理））應(yīng)應(yīng)當當涉涉及及這這兩兩方方面面的的內(nèi)內(nèi)容容。。應(yīng)急急響響應(yīng)應(yīng)是是可可行行的的應(yīng)急急響響應(yīng)應(yīng)（（應(yīng)應(yīng)急急處處理理））應(yīng)應(yīng)該該從從三三方方面面來來考考慮慮：：人人(People)、流流程程(Process)、技技術(shù)術(shù)(Technology)。在安安全全事事件件發(fā)發(fā)生生后后，，應(yīng)應(yīng)當當有有適適合合的的、、有有能能力力的的人人員員（（專專家家））進進行行響響應(yīng)應(yīng)，，他他們們的的技技能能和和經(jīng)經(jīng)驗驗是是有有效效的的應(yīng)應(yīng)急急響響應(yīng)應(yīng)的的基基礎(chǔ)礎(chǔ)。。僅僅僅僅有有勝勝任任的的人人員員也也是是不不足足的的，，盲盲目目的的沒沒有有章章法法的的應(yīng)應(yīng)急急響響應(yīng)應(yīng)往往往往會會事事與與愿愿違違，，帶帶來來更更大大的的災(zāi)災(zāi)難難，，因因此此流流程程、、程程序序、、計計劃劃都都變變得得非非常常重重要要。。由由于于安安全全事事件件的的不不可可預預知知性性，，所所以以需需要要先先進進的的技技術(shù)術(shù)（（產(chǎn)產(chǎn)品品、、工工具具、、研研究究成成果果））作作保保障障，，應(yīng)應(yīng)急急響響應(yīng)應(yīng)的的目目的的是是為為了了根根本本解解決決問問題題，，并并不不是是簡簡單單的的僅僅僅僅依依靠靠熱熱情情來來達達到到。。國際間的的協(xié)調(diào)組組織國內(nèi)的協(xié)協(xié)調(diào)組織織國內(nèi)的協(xié)協(xié)調(diào)組織織愿意付費費的任何用戶戶產(chǎn)品用戶戶網(wǎng)絡(luò)接入入用戶企業(yè)部門門、用戶戶商業(yè)IRT網(wǎng)絡(luò)服務(wù)務(wù)提供商商IRT廠商IRT企業(yè)/政府IRT如：綠盟盟科技如：CCERT如：Cisco、IBM如：中國國銀行、、公安部如CERT/CC,FIRST如CNCERT/CC應(yīng)急響應(yīng)應(yīng)組的分分類中國銀行行應(yīng)急響響應(yīng)需求求制定應(yīng)急急響應(yīng)計計劃信息安全全重要的的一個方方面是在在攻擊發(fā)發(fā)生時應(yīng)應(yīng)能知曉曉如何應(yīng)應(yīng)對，提提前的計計劃與準準備能夠夠盡快的的抑制攻攻擊、降降低影響響。但是是制定應(yīng)應(yīng)急響應(yīng)應(yīng)計劃是是一個非非常耗時時的工作作。培養(yǎng)中國國銀行應(yīng)應(yīng)急響應(yīng)應(yīng)專家在安全事事件處理理過程中中，“人人”的作作用是勿勿庸置疑疑的。為為了降低低第三方方安全服服務(wù)提供供商的風風險，所所以培養(yǎng)養(yǎng)中國銀銀行集團團應(yīng)急專專家是必必要的。。做好應(yīng)急急響應(yīng)知知識管理理要注意做做好應(yīng)急急響應(yīng)（（應(yīng)急處處理）知知識管理理工作，，知識管管理可以以通過創(chuàng)創(chuàng)建、固固化、掌掌握、傳傳播、改改進等一一系列的的方式實實現(xiàn)。知知識管理理的目標標很明確確，讓盡盡可能多多的人具具備良好好的思考考方式和和一定的的技能。。定期進行行應(yīng)急演演練如果僅僅僅將應(yīng)急急響應(yīng)計計劃束之之高閣，，長此以以往“人人”的警警惕將會會松懈，，直接后后果是在在安全事事件發(fā)生生后表現(xiàn)現(xiàn)混亂，，無從下下手，所所以要定定期進行行應(yīng)急演演練，每每次針對對不同的的主題，，在實戰(zhàn)戰(zhàn)情況下下演練效效果更佳佳。應(yīng)急急演練最最忌諱的的方式是是紙上談?wù)劚?，達達不到預預期的目目標。需要第三三方安全全服務(wù)廠廠商的應(yīng)應(yīng)急響應(yīng)應(yīng)支持由于資源源、精力力等限制制，中國國銀行集集團在進進行應(yīng)急急響應(yīng)（（應(yīng)急處處理）的的過程中中，不可可避免的的與其他他社會資資源協(xié)作作，共同同抵抗安安全威脅脅。安全全服務(wù)廠廠商在應(yīng)應(yīng)急響應(yīng)應(yīng)方面具具備一定定的經(jīng)驗驗和技術(shù)術(shù)，為中中國銀行行提供風風險降低低支持。。需要其他社會會資源的應(yīng)急急響應(yīng)支持國家計算機網(wǎng)網(wǎng)絡(luò)應(yīng)急響應(yīng)應(yīng)協(xié)調(diào)處理中中心(CNCERT/CC)、公安部、安安全部等也能能夠在全網(wǎng)協(xié)協(xié)作、調(diào)查取取證方面提供供必要的支持持。需要第三方安安全服務(wù)廠商商提供早期安安全預警智能能具備深入研究究能力的第三三方安全服務(wù)務(wù)廠商為中國國銀行提供早早期安全預警警智能，這些些知識將間接接的提高應(yīng)急急響應(yīng)的效能能：通過預先先的風險降低低措施減少安安全事件的發(fā)發(fā)生，通過知知識管理盡早早的獲得知識識并及時更新新。對合作的第三三方安全服務(wù)務(wù)廠商提出要要求這主要從兩個個方面來進行行考核：能力力與速度。毫毫無疑問，第第三方安全服服務(wù)廠商的能能力（研究能能力、漏洞發(fā)發(fā)現(xiàn)能力、應(yīng)應(yīng)急響應(yīng)能力力、技術(shù)領(lǐng)先先能力、經(jīng)驗驗等）是應(yīng)急急響應(yīng)是否成成功的關(guān)鍵。。速度是考察察第三方安全全服務(wù)廠商應(yīng)應(yīng)急響應(yīng)服務(wù)務(wù)的服務(wù)級別別協(xié)議(SLA)的一個重要指指標，在一定定程度上反映映了廠商的態(tài)態(tài)度與信譽。。矩陣需考慮的因素需包含的內(nèi)容緊急程度*人(People)建立應(yīng)急響應(yīng)小組培養(yǎng)中國銀行集團應(yīng)急響應(yīng)專家需要第三方安全服務(wù)廠商的支持需要其他社會資源的支持緊急一般緊急緊急流程(Process)制定應(yīng)急響應(yīng)計劃定期進行應(yīng)急響應(yīng)演練做好應(yīng)急響應(yīng)知識管理緊急一般一般技術(shù)(Technology)應(yīng)急響應(yīng)產(chǎn)品與工具需要第三方安全服務(wù)廠商提供早期安全預警智能對合作的第三方安全服務(wù)廠商提出要求緊急一般一般*僅供中國銀行行參考綠盟科技應(yīng)急急響應(yīng)小組(NSFIRST)7*24支持電話支持遠程支持現(xiàn)場支持具體需求與最最佳實踐完美美結(jié)合的應(yīng)急急響應(yīng)程序協(xié)助進行應(yīng)急急響應(yīng)演練，，改進應(yīng)急響響應(yīng)準備綠盟科技研究究院——安全小組(NSFOCUSSecurityTeam)的威脅智能分分析支持綠盟科技自有有的安全產(chǎn)品品（黑洞、NIPS/NIDS、Scanner、流量監(jiān)控與與分析、網(wǎng)絡(luò)絡(luò)誘騙系統(tǒng)））主要安全事件件拒絕服務(wù)攻擊擊網(wǎng)絡(luò)流量異常常服務(wù)器異常性能異常數(shù)據(jù)被破壞入侵攻擊蠕蟲病毒爆發(fā)發(fā)事件分級事件級別嚴重程度描述1輕微用戶網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)出現(xiàn)故障，但暫時不影響業(yè)務(wù)系統(tǒng)的運行。2普通用戶網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)出現(xiàn)異常，運行效率降低或出現(xiàn)錯誤。3嚴重用戶網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)無法正常工作。4緊急用戶網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)中斷或癱瘓。事件升級標準準負責人成員綠盟科技應(yīng)急響應(yīng)小組李鈉NSFIRST綠盟科技專業(yè)服務(wù)部王紅陽(Why)NSFIRST、PSD綠盟科技安全小組左磊(warning3)NSFOCUSSecurityTeam若未解決事件升級2小時綠盟科技應(yīng)急響應(yīng)小組4小時綠盟科技專業(yè)服務(wù)部8小時綠盟科技安全小組北京、上海、、廣州2個小時內(nèi)到達達指定現(xiàn)場。。其他城市8小時內(nèi)到達指指定現(xiàn)場。綠盟科技應(yīng)急急響應(yīng)服務(wù)方方法論People:NSFIRSTProcess:策略和程序Technology:硬件、軟件、、工具、文檔檔PreparationDetection&AnalysisContainmentEradication&Recovery應(yīng)急響應(yīng)流程程Post-IncidentActivityProcessTechnologyPeople事件起因分析析。事件取證追查查。系統(tǒng)后門檢查查、漏洞分析析。數(shù)據(jù)收集、數(shù)數(shù)據(jù)分析。PreparationDetection&AnalysisContainmentEradication&Recovery應(yīng)急響應(yīng)流程程Post-IncidentActivity調(diào)查事件分級決定什么對自自己最重要。。為緊急事件確確定優(yōu)先級，，更有效的利利用資源。不是每個緊急急事件都需要要平等對待。。緊急事件檢測測防火墻日志系統(tǒng)日志W(wǎng)eb服務(wù)器日志IDS日志可疑的用戶管理員報告初始響應(yīng)初步判定事件件類型、定義義事件級別。。準備相關(guān)資源源。為緊急事件的的處理取得管管理方面的支支持。組建事件處理理小組。制定安全事件件響應(yīng)策略。。PreparationDetection&AnalysisContainmentEradication&Recovery應(yīng)急響應(yīng)流程程Post-IncidentActivity抑制、消除除和恢復恢復系統(tǒng)正正常。確認系統(tǒng)是是否已經(jīng)完完全恢復正正常。修補系統(tǒng)漏漏洞，安全全性增強。。部署安全措措施。設(shè)置過濾策策略。PreparationDetection&AnalysisContainmentEradication&Recovery應(yīng)急響應(yīng)流流程Post-IncidentActivity追蹤提交事件處處理報告根據(jù)情況查查找事件來來源教育完善應(yīng)急處處理知識庫庫、流程和和規(guī)范教育、培訓訓，傳播經(jīng)經(jīng)驗WhyNSFOCUS?強大的基礎(chǔ)礎(chǔ)研究能力力。精湛的技術(shù)術(shù)水平。迅速的應(yīng)急急響應(yīng)能力力。完善的應(yīng)急急響應(yīng)體系系。豐富的解決決問題經(jīng)驗驗。主動的早期期預警通告告。及時的國際際安全信息息。公司榮譽服務(wù)資質(zhì)2001年首批安全全服務(wù)試點點企業(yè)2002年首批安全全服務(wù)一級級資質(zhì)企業(yè)業(yè)2004年首批安全全服務(wù)二級級資質(zhì)企業(yè)業(yè)2004年首批公共互聯(lián)網(wǎng)網(wǎng)應(yīng)急處理理國家級服服務(wù)試點單單位北京市應(yīng)急急響應(yīng)平臺臺合作單位位ISO9001國際、國內(nèi)內(nèi)雙認證用戶認可連續(xù)三年最最值得信賴賴的安全服服務(wù)品牌連續(xù)獲得兩兩年電子政政務(wù)百強稱稱號榮獲中關(guān)村村最佳客戶戶服務(wù)獎專業(yè)資質(zhì)榮譽證書MoreDetailsProfessionalSecuritySolutionProvider謝謝！9、靜靜夜夜四四無無鄰鄰，，荒荒居居舊舊業(yè)業(yè)貧貧。。。。1月月-231月月-23Friday,January6,202310、雨中中黃葉葉樹，，燈下下白頭頭人。。。01:39:0101:39:0101:391/6/20231:39:01AM11、以我我獨沈沈久，，愧君君相見見頻。。。1月-2301:39:0101:39Jan-2306-Jan-2312、故人江海別別，幾度隔山山川。。01:39:0101:39:0101:39Friday,January6,202313、乍見翻翻疑夢，，相悲各各問年。。。1月-231月-2301:39:0101:39:01January6,202314、他鄉(xiāng)生白發(fā)發(fā)，舊國見青青山。。06一月20231:39:01上午01:39:011月-2315、比不不了得得就不不比，，得不不到的的就不不要。。。。一月231:39上上午午1月-2301:39January6,202316、行動出出成果，，工作出出財富。。。2023/1/61:39:0101:39:0106Ja