中國銀行.業(yè)務連續(xù)性管理.ppt

1、Professional Security Solution Provider,NSFocus Information Technology Co. Ltd.Professional Services,業(yè)務連續(xù)性管理(Business Continuity Management),專業(yè)服務部 高級安全顧問 趙彥 2005 年 11 月,提綱,為什么需要業(yè)務連續(xù)性管理？ 業(yè)務連續(xù)性管理的國際專業(yè)操作步驟 應急處理,為什么需要業(yè)務連續(xù)性管理,ISO 17799:2005,紅色部分是2005版相對于2002版的改變部分,BS7799-2:2002 v.s. BS7799-2:2005,A3 A12

2、10 個章節(jié) A5 A15 11 個章節(jié),機密信息丟失引發(fā)信任危機,2005年6月1日，瑞士銀行集團(UBS)日本分行丟失了一張存有高度敏感客戶信息的磁盤。其中可能包含相當機密的交易、止損單記錄以及公司各類客戶的敏感信息。 2005年6月6日，花旗銀行390萬客戶賬戶資料在快遞途中的神秘失蹤。 2005年6月17日，由于美國信用卡系統(tǒng)解決方案公司 CardSystems 的安全漏洞，導致4000萬用戶的銀行資料被泄漏，其中包括 MASTER 公司的1390萬用戶、VISA 的2200萬客戶。,信任危機,銀行業(yè)賴以生存的重要信息資產(chǎn),帳戶信息 客戶資料 信用記錄 交易明細 業(yè)務數(shù)據(jù)大集中的同時，

3、客觀上也把風險集中和放大起來。,724365,災難、故障 中斷,9/11,東南亞海嘯,直接和間接的損失,間接損失,新聞頭條,公眾聲譽,直接損失,數(shù)據(jù)丟失、設備損壞 人員傷害,當前世界所面臨的風險有恐怖襲擊、黑客、 網(wǎng)絡侵襲、電腦病毒、自然災害、大規(guī)模停電、罷工、環(huán)保、市場惡性競爭、企業(yè)倒閉等。 根據(jù)權威機構統(tǒng)計，美國在近10年間遭遇過災難事件的公司中，有55%的公司馬上倒閉，因為數(shù)據(jù)丟失造成業(yè)務無法持續(xù)，有29%的公司在兩年之內(nèi)倒閉。 根據(jù)明尼蘇達大學統(tǒng)計，美國證券金融行業(yè)平均可容忍的最大停機時間是2天，沒有實施災難備份措施的公司在遇到災難后60%將在23年內(nèi)破產(chǎn)。 據(jù)Gartner Grou

4、p統(tǒng)計，在經(jīng)歷大型災難事件而導致系統(tǒng)停運的公司中，有2/5左右再也沒有恢復運營，剩下的公司中也有接近1/3在兩年內(nèi)破產(chǎn)。9.11事件中，1200家企業(yè)受災，400家企業(yè)啟動了災難恢復計劃，其中摩根士丹利公司幾天后在新澤西州恢復營業(yè)，而無災備能力的企業(yè)損失慘重。,傳統(tǒng)的業(yè)務管理方法及流程，在遭遇災難事件時常常不堪一擊，甚至可能隨時崩潰。 但是在災難尚未降臨之前，人們的警惕性都不高，仍沒有看到BCM的重要性。 慶幸的是，越來越多深受災難事件影響的企業(yè)和機構已開始認識到，只有通過更加切實的手段，借助更便捷的信息技術，構建真正有效應對危機事件的管理體系，并且使管理科學化、手段現(xiàn)代化，才能保證業(yè)務的連續(xù)

5、運行，才能保證各類應用系統(tǒng)和數(shù)據(jù)的完整性。 從國際成功經(jīng)驗來看，那些及時引入BCM的企業(yè)和機構，之所以能夠在災難事件面前處亂不驚、化險為夷，主要在于他們能夠借助先進的業(yè)務持續(xù)管理解決方案，有效地保護其核心業(yè)務的持續(xù)運行。 如今，BCM已成為應對危機事件的國際通用規(guī)則。,業(yè)務連續(xù)性管理(BCM: Business Continuity Management),目的：防止業(yè)務停頓，以及保護重要業(yè)務進程不受重大失效或災難的影響。 (BS7799) 預防(Prevent) & 恢復(Recovery) 一項綜合管理流程，它使企業(yè)認識到潛在的危機和相關影響，制訂響應、業(yè)務和連續(xù)性的恢復計劃，其總體目標是

6、為了提高企業(yè)的風險防范能力，以有效的響應非計劃的業(yè)務破壞并降低不良影響。 BCM的出發(fā)點在于對潛在的災難危險加以辨別并進行分析，以確定其對企業(yè)運作造成的威脅，并建立一個完善的持續(xù)管理計劃來防止或減少災難事件給企業(yè)帶來的損失。,業(yè)務連續(xù)性計劃 BCP,業(yè)務連續(xù)性計劃是一套高級管理和規(guī)章流程，它使一個組織在突發(fā)事件面前能夠迅速做出反應，以確保關鍵業(yè)務功能可以持續(xù)，而不造成業(yè)務中斷或業(yè)務流程本質(zhì)的改變。,災難恢復應該是整個應急體系中的最后一道防線。 事實上，無論備份等級有多高，任何災備中心與真正的業(yè)務系統(tǒng)間都還是會存在或多或少的時點差距的，切換恢復后的業(yè)務系統(tǒng)不一定是全部；且系統(tǒng)切換本身也是要付出時

7、間、人力、物力等高成本代價的。 而我們所該做的，是在災難發(fā)生后盡量將損失降到最低。,每一層為鄰近層提供穩(wěn)定的基礎,Construction, Environmental, Electro-Mechanical, Utilities,Servers, Storage Devices, Routers, Switches,Operating Systems, Network Protocols,Operations Automation, Logical Security, Middleware, Database,Change, Problem, and Configuration Manage

8、ment,SDLC, Data Structures, Naming Conventions, Quality Standards,Strategic Planning, Architecture Definition, Planning & Control,Continuous Service,Facilities,Hardware,Systems Software,Support Systems,Business,Applications,Management Practices,公司的員工、供應商、顧客對公司的信心 公司名譽 品牌面臨的風險,BCM無疑等于給股東吃了一顆定心丸,業(yè)務連續(xù)性

9、管理的國際專業(yè)操作步驟,從戰(zhàn)略管理高度考慮BCM,實施BCM，應該從戰(zhàn)略管理的高度，關注流程、人員、設施和計劃。 這四個要素分別解決了在應對災難危機時，什么人(或組織)按照什么樣的流程操作什么樣的資源，而計劃正是規(guī)范以上要素的文檔體現(xiàn)。 因此，BCM要從企業(yè)的業(yè)務目標出發(fā)，分析企業(yè)具體的業(yè)務流程，詳細分析支持這些業(yè)務流程的應用系統(tǒng)，分析它們一旦發(fā)生危機對業(yè)務的影響。根據(jù)上述影響，制定相應的規(guī)避方法，包括流程和技術手段。,業(yè)務連續(xù)性管理的國際專業(yè)操作步驟(10 Steps),項目啟動和管理 確定業(yè)務持續(xù)計劃（BCP）實施過程的相關需求，包括獲得管理支持、以及組織和管理項目使其符合時間和預算的限制

10、要求。 風險評估和控制 確定可能造成機構及其設施中斷的災難、具有負面影響的事件和周邊環(huán)境因素，以及事件可能造成的損失、防止或減少潛在損失影響的控制措施，提供成本效益分析以調(diào)整控制措施方面的投資，達到消減風險的目的。同時，由于風險會隨著系統(tǒng)的發(fā)展而變化，所以風險管理過程也必須是動態(tài)的。 業(yè)務影響分析 確定由于中斷和預期災難可能對機構造成的影響，以及用來定量和定性分析這種影響的技術。確定關鍵功能、恢復優(yōu)先順序和相關性以便確定恢復時間。 制定業(yè)務連續(xù)性戰(zhàn)略 確定和指導備用業(yè)務恢復運行策略的選擇，以便在恢復時間目標范圍內(nèi)恢復業(yè)務和信息技術，并維持機構的關鍵功能。 緊急響應和運行 制定和實施用于事件響應

11、以及對事件所引起狀況進行穩(wěn)定的規(guī)程，包括建立和管理緊急事件運作中心，該中心用于在緊急事件中發(fā)布命令。,制定和實施業(yè)務連續(xù)性計劃 設計、制定和實施業(yè)務連續(xù)性計劃，以便在恢復時間目標范圍內(nèi)完成恢復。 意識培養(yǎng)和培訓項目 準備建立對機構人員進行意識培養(yǎng)和技能培訓的項目，以便業(yè)務連續(xù)性計劃能夠得到制定、實施、維護和執(zhí)行。 業(yè)務連續(xù)性計劃的演練和維護 對預先計劃和計劃間的協(xié)調(diào)性進行演練、并評估和記錄計劃演練的結果。制定維持連續(xù)性能力和BCP文檔更新狀態(tài)的方法，使其與機構的策略方向保持一致。通過與適當標準的比較來驗證BCP的效率，并使用簡明的語言報告驗證的結果。 危機聯(lián)絡 制定、協(xié)調(diào)、評價和演練在危機情況

12、下與媒體交流的計劃；制定、協(xié)調(diào)、評價和演練與員工及其家庭、主要客戶、關鍵供應商、業(yè)主股東以及機構管理層進行溝通和在必要情況下提供心理輔導的計劃，確保所有利益群體能夠得到所需的信息。 與外部機構的合作 建立適用的規(guī)程和策略，用于同地方當局協(xié)調(diào)響應、連續(xù)性和恢復活動，以確保符合現(xiàn)行的法令和法規(guī)。,業(yè)務發(fā)生中斷,恢復的時間,故障、災難 業(yè)務中斷,緊急響應,重定位備份,資源 在行動,恢復操作系統(tǒng),重裝載 數(shù)據(jù)庫,回滾和 再同步,業(yè)務重新開始,持續(xù)性計劃同風險管理關系,自然 火災 颶風 洪水 臺風 。 。 人 陰謀破壞 惡意代碼 操作員錯誤 技術 硬件故障 數(shù)據(jù)殘缺 電信故障 電力故障,潛在風險,風險評

13、估,安全控制 管理控制 運行維護控制 技術控制 。 。 。,持續(xù)性計劃 范圍 颶風 操作員錯誤 硬件故障 數(shù)據(jù)殘缺 。 。,自然 火災 颶風 洪水 臺風 。 。 人 陰謀破壞 惡意代碼 操作員錯誤 。 。 技術 硬件故障 數(shù)據(jù)殘缺 電信故障 電力故障 。,火災 颶風 洪水,陰謀破壞,硬件故障 數(shù)據(jù)殘缺 電信故障,操作員錯誤,自然 火災 颶風 洪水 臺風 。 。 人 陰謀破壞 惡意代碼 操作員錯誤 。 。 技術 硬件故障 數(shù)據(jù)殘缺 電信故障 電力故障 。,硬件故障 數(shù)據(jù)殘缺,操作員錯誤,颶風,標識的風險,殘余的風險,持續(xù)性計劃實施流程,開發(fā) 持續(xù)性計劃 策略,進行 業(yè)務影響 分析,標識 預防性的

14、 安全控制,開發(fā) 恢復戰(zhàn)略,開發(fā) 持續(xù)性計劃,計劃測試、培訓和演練,計劃維護,標識現(xiàn)存要求 標識相關計劃和程序 得到高層管理支持,標識關鍵IT資源 標識中斷影響和允許的中斷時間 開發(fā)恢復優(yōu)先級,實現(xiàn)控制 維護控制,標識方法 集成至系統(tǒng)體系結構中,文檔恢復戰(zhàn)略,開發(fā)測試目標 開發(fā)成功準則 文檔所學教訓 綜合至計劃中 培訓人員,審閱和更新計劃 同內(nèi)部/外部組織機構合作 控制分發(fā) 文檔變更,持續(xù)性計劃內(nèi)容,計劃開發(fā) 綜合業(yè)務影響分析的發(fā)現(xiàn) 文檔記錄恢復戰(zhàn)略,支持信息 介紹 運行操作的概念,通告/啟動階段 通告流程 損害評估 計劃啟動,恢復階段 恢復行動的結果 恢復流程,重構階段 恢復原站點 測試系統(tǒng)

15、 結束操作,計劃附錄 聯(lián)系人列表 系統(tǒng)要求 至關重要的記錄,持續(xù)性計劃呼叫樹實例,演練,是非常必要的環(huán)節(jié) 每年至少12次 制定災難恢復的流程，一旦生產(chǎn)中心遭遇災難，發(fā)出災難宣告，災難備份中心數(shù)據(jù)處理系統(tǒng)、備份網(wǎng)絡系統(tǒng)設備就緒，應急中心與災難備份中心網(wǎng)絡連通，按災難備份切換操作手冊完成災備系統(tǒng)切換，業(yè)務終端聯(lián)機交易確認，災難備份中心接替生產(chǎn)中心運營。 演練的意義在于，當災難來臨時，相關人員對自己的職責，以及災難恢復的流程有一個相當清晰的概念，并且實際操作過，最終幫助業(yè)務取得連續(xù)性的發(fā)展。與演練幾乎同等重要的是系統(tǒng)的維護。,如果災難恢復小組中的某一個關鍵人物離開現(xiàn)職，那么必須實時的將信息反饋，更改

16、有關的說明書，以確保災難來臨時，相應的人員可以對照說明書，找到合適的主管人員處理相應問題。 所有的最佳實踐被匯總編輯到一本說明書中，這本說明書被要求帶在每一個相關人員的身邊，災難發(fā)生時，按照上面的指引，就可以立即明確自己的職責。,災難防備 在大家都沉睡時，醒來,應急處理,任何組織都會遭受攻擊,每年發(fā)現(xiàn)的漏洞數(shù)量飛速上升,每年發(fā)現(xiàn)的漏洞數(shù)量飛速上升 2004年CVE全年收集漏洞信息1707條 到2005年到5月6日就已經(jīng)達到1470條 綠盟科技到到5月份跟蹤的漏洞也超過了1700條,發(fā)起攻擊越來越容易、攻擊能力越來越強,黑客的職業(yè)化之路,不再是小孩的游戲，而是與 ￥ 掛鉤 職業(yè)入侵者受網(wǎng)絡商人或

17、商業(yè)間諜雇傭 不在網(wǎng)上公開身份，不為人知，但確實存在。 攻擊者對自己提出了更高的要求，不再滿足于普通的技巧而轉向底層研究。,安全形勢永遠都是嚴峻的,攻擊技術已經(jīng)開始普及，SQL Injection、DOS等攻擊方式對使用者要求較低 緩沖區(qū)溢出、格式串攻擊已公開流傳多年，越來越多的人掌握這些技巧 少部分人掌握自行挖掘漏洞的能力，并且這個數(shù)量在增加。漏洞挖掘流程專業(yè)化，工具自動化。 Zero-day的攻擊 無線安全/手機安全問題開始出現(xiàn),不斷發(fā)展的攻擊技術,SQL注入 Google Hacking Phishing 客戶端攻擊 混合拒絕服務/BOTNET ,攻擊技術的發(fā)展,密碼猜測 社會工程 遠程

18、溢出 蠕蟲病毒 木馬 拒絕服務 CGI ,傳統(tǒng)的攻擊技術,客戶端攻擊技術,在攻擊服務端變得困難時，黑客把目標轉向管理員的PC以及其他客戶機群 利用對象：Windows漏洞、IE、Outlook、Foxmail、Serv-U、IRC軟件等 客戶端往往不被重視，加上ARP欺騙、SMB會話劫持技術的應用，大多數(shù)內(nèi)網(wǎng)安全性很薄弱 社會工程學的應用,Phishing攻擊的流行,美國反網(wǎng)絡釣魚攻擊工作小組(APWG) ：2005年1月份共接到了12845起網(wǎng)絡釣魚電子郵件匯報，支持這種欺詐性郵件信息的網(wǎng)站也增加到了2560個。 國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心（CNCERT/CC）：2004年該中心接到

19、網(wǎng)絡釣魚欺詐事件報告達223起；2004年7月份以來，該中心接到的該類報告以月均26的速度遞增。 美國的網(wǎng)絡釣魚網(wǎng)站最多，占全球總量的32%，中國名列第二(13%)，韓國位于第三(10%),Phishing的技術實現(xiàn),以假亂真，視覺陷阱 域名類似 姜太公釣魚，愿者上鉤 身份偽裝：基于郵件的網(wǎng)頁欺騙，社會工程的應用 A ? DNS 劫持+網(wǎng)頁偽造：更難以察覺的攻擊方式,Google Hacking,利用搜索引擎輸入特定語法、關鍵字尋找可利用的滲透點，最終完成入侵。敏感的信息包括： 目標站點的信息 存儲密碼的文件 后臺管理和上傳文件的 Web 頁 數(shù)據(jù)庫 特定擴展名的文件

20、特定的 Web 程序，如論壇 Google蠕蟲已經(jīng)出現(xiàn)！ Net-Worm.Perl.Santy.a。 利用用Google查詢來發(fā)現(xiàn)運行phpBB論壇系統(tǒng)的Web站點系統(tǒng)漏洞并自動修改,2004年在拉斯維加斯舉行的BlackHat大會上，有兩位安全專家分別作了名為You found that on google ? 和google attacks 的主題演講,Google Hacking Example,intitle:“xxx shell* “xxx stderr filetype:php,Google信息收集 site: site: intext:* ,SQL Injection Atta

21、ck,SQL注入攻擊就其本質(zhì)而言，利用的工具是SQL的語法，針對的是應用程序開設計中的漏洞。 “當攻擊者能夠操作數(shù)據(jù)，往應用程序中插入一些SQL語句時，SQL注入攻擊就發(fā)生了”。 攻擊目標：控制服務器/獲取敏感數(shù)據(jù),簡單的登陸驗證繞過,針對asp+sql server的基本注入,自動化注入攻擊工具的出現(xiàn) 更多的后臺數(shù)據(jù)庫操作研究,Php/JSP注入技術 高級注入攻擊技術,應急響應是指針對已經(jīng)發(fā)生或可能發(fā)生的安全事件進行監(jiān)控、分析、協(xié)調(diào)、處理、保護資產(chǎn)安全屬性的活動。 網(wǎng)絡安全無法保證一勞永逸。為了做到更好的安全保障，減少安全事件的發(fā)生，這需要： 在事件發(fā)生前從最壞處考慮，做好應急響應計劃。 在

22、事件發(fā)生后盡快有效響應，降低應急處理時間。,應急響應,應急響應服務的目的是最快速度恢復系統(tǒng)的保密性、完整性和可用性，阻止和減小安全事件帶來的影響。 避免沒有章法、可能造成災難的響應。 更快速和標準化的響應。 確認或排除是否發(fā)生了緊急事件。 使緊急事件對業(yè)務或網(wǎng)絡造成的影響最小化。 保護企業(yè)、組織的聲譽和資產(chǎn)。 教育高層管理人員。 提供準確的報告和有價值的建議。,應急響應是重要的,在安全保障體系中，應急響應（應急處理）是一個重要的過程，也是必要的環(huán)節(jié)。 從 IT 服務最佳實踐流程(ITIL)來看，應急響應是事件管理、問題管理的重要因素。事件管理強調(diào)的是速度，即盡快的響應事件；問題管理強調(diào)的是根本

23、，即從根本上解決問題，保證問題不再出現(xiàn)。應急響應（應急處理）應當涉及這兩方面的內(nèi)容。,應急響應是可行的,應急響應（應急處理）應該從三方面來考慮：人(People)、流程(Process)、技術(Technology)。 在安全事件發(fā)生后，應當有適合的、有能力的人員（專家）進行響應，他們的技能和經(jīng)驗是有效的應急響應的基礎。僅僅有勝任的人員也是不足的，盲目的沒有章法的應急響應往往會事與愿違，帶來更大的災難，因此流程、程序、計劃都變得非常重要。由于安全事件的不可預知性，所以需要先進的技術（產(chǎn)品、工具、研究成果）作保障，應急響應的目的是為了根本解決問題，并不是簡單的僅僅依靠熱情來達到。,國際間的協(xié)調(diào)組

24、織,國內(nèi)的協(xié)調(diào)組織,國內(nèi)的協(xié)調(diào)組織,愿意付費的 任何用戶,產(chǎn)品用戶,網(wǎng)絡接入用戶,企業(yè)部門、用戶,商業(yè)IRT,網(wǎng)絡服務提供商 IRT,廠商 IRT,企業(yè) /政府 IRT,如：綠盟科技,如：CCERT,如：Cisco、IBM,如：中國銀行、 公安部,如CERT/CC, FIRST,如CNCERT/CC,應急響應組的分類,中國銀行應急響應需求,制定應急響應計劃 信息安全重要的一個方面是在攻擊發(fā)生時應能知曉如何應對，提前的計劃與準備能夠盡快的抑制攻擊、降低影響。但是制定應急響應計劃是一個非常耗時的工作。 培養(yǎng)中國銀行應急響應專家 在安全事件處理過程中，“人”的作用是勿庸置疑的。為了降低第三方安全服務

25、提供商的風險，所以培養(yǎng)中國銀行集團應急專家是必要的。 做好應急響應知識管理 要注意做好應急響應（應急處理）知識管理工作，知識管理可以通過創(chuàng)建、固化、掌握、傳播、改進等一系列的方式實現(xiàn)。知識管理的目標很明確，讓盡可能多的人具備良好的思考方式和一定的技能。 定期進行應急演練 如果僅僅將應急響應計劃束之高閣，長此以往“人”的警惕將會松懈，直接后果是在安全事件發(fā)生后表現(xiàn)混亂，無從下手，所以要定期進行應急演練，每次針對不同的主題，在實戰(zhàn)情況下演練效果更佳。應急演練最忌諱的方式是紙上談兵，達不到預期的目標。,需要第三方安全服務廠商的應急響應支持 由于資源、精力等限制，中國銀行集團在進行應急響應（應急處理）

26、的過程中，不可避免的與其他社會資源協(xié)作，共同抵抗安全威脅。安全服務廠商在應急響應方面具備一定的經(jīng)驗和技術，為中國銀行提供風險降低支持。 需要其他社會資源的應急響應支持 國家計算機網(wǎng)絡應急響應協(xié)調(diào)處理中心(CNCERT/CC)、公安部、安全部等也能夠在全網(wǎng)協(xié)作、調(diào)查取證方面提供必要的支持。 需要第三方安全服務廠商提供早期安全預警智能 具備深入研究能力的第三方安全服務廠商為中國銀行提供早期安全預警智能，這些知識將間接的提高應急響應的效能：通過預先的風險降低措施減少安全事件的發(fā)生，通過知識管理盡早的獲得知識并及時更新。 對合作的第三方安全服務廠商提出要求 這主要從兩個方面來進行考核：能力與速度。毫無

27、疑問，第三方安全服務廠商的能力（研究能力、漏洞發(fā)現(xiàn)能力、應急響應能力、技術領先能力、經(jīng)驗等）是應急響應是否成功的關鍵。速度是考察第三方安全服務廠商應急響應服務的服務級別協(xié)議(SLA)的一個重要指標，在一定程度上反映了廠商的態(tài)度與信譽。,矩陣,* 僅供中國銀行參考,綠盟科技應急響應小組(NSFIRST) 7*24 支持 電話支持 遠程支持 現(xiàn)場支持 具體需求與最佳實踐完美結合的應急響應程序 協(xié)助進行應急響應演練，改進應急響應準備 綠盟科技研究院安全小組(NSFOCUS Security Team) 的威脅智能分析支持 綠盟科技自有的安全產(chǎn)品（黑洞、NIPS/NIDS、Scanner、流量監(jiān)控與分

28、析、網(wǎng)絡誘騙系統(tǒng)）,主要安全事件,拒絕服務攻擊 網(wǎng)絡流量異常 服務器異常 性能異常 數(shù)據(jù)被破壞 入侵攻擊 蠕蟲病毒爆發(fā),事件分級,事件升級標準,北京、上海、廣州2個小時內(nèi)到達指定現(xiàn)場。 其他城市8小時內(nèi)到達指定現(xiàn)場。,綠盟科技應急響應服務方法論,People: NSFIRST Process: 策略和程序 Technology: 硬件、軟件、工具、文檔,Preparation,Detection & Analysis,Containment Eradication & Recovery,應急響應流程,Post-Incident Activity,Process,Technology,Peopl

29、e,事件起因分析。 事件取證追查。 系統(tǒng)后門檢查、漏洞分析。 數(shù)據(jù)收集、數(shù)據(jù)分析。,Preparation,Detection & Analysis,Containment Eradication & Recovery,應急響應流程,Post-Incident Activity,調(diào)查,事件分級 決定什么對自己最重要。 為緊急事件確定優(yōu)先級，更有效的利用資源。 不是每個緊急事件都需要平等對待。,緊急事件檢測 防火墻日志 系統(tǒng)日志 Web 服務器日志 IDS 日志 可疑的用戶 管理員報告,初始響應 初步判定事件類型、定義事件級別。 準備相關資源。 為緊急事件的處理取得管理方面的支持。 組建事件處理小組。 制定安全事件響應策略。,Preparation,Detection & Analysis,Containment Eradication & Re