服务流程
第一步:记录日志
当发生安全事件时,首先需要客户对环境现场进行记录,对事件的影响进行详细的描述。安全事件日志对于安全事件的识别、处理和调查非常重要,安全事件可能在其刚刚发生时就暴露,也可能在发生的过程中或发生以后才被发现,因此所有安全事件都应该有一份书面的经过调查证明足够客观的日志,而且应该把日志妥善保存以免被修改。由于在线日志很容易被修改和删除,所以手工记录是必要的。应该记录的信息有:
- 相关事件发生(或者发现)的日期和时间;
- 相值班人员或事件协调小组通知的人员和与事件相关的人员;
- 受影响的系统名称(或IP地址),受影响的程序和网络;
- 事件发生时对系统、程序或者网络的影响和现象。
记录完安全事件后,应该把安全事件上报给直接主管,同时提交事件响应申请给的事件响应小组,此时开始进入事件响应过程。
第二步:分析确认
接到事件响应申请后,事件响应小组会根据情况进行远程和现场的响应。事件响应小组会根据客户记录的安全事件描述,结合前期进行过的漏洞检测与分析结果、检查与审计结果、客户当前系统的网络状况,进行分析和判断,如果是典型的已知安全事件,部分案例可以仅通过远程方式就能解决。
如果通过远程指导客户无法进行自行解决,事件响应小组成员会赶往现场进行实际问题解决。事件响应小组可以实地看到安全事件的形态和影响,也可以通过工具直接进行测试,结合当前扫描、探测、实时监控和审计的结果进行分析,可以更容易定位出问题所在。
第三步:事件处理
事件响应小组最主要的任务就是维持或恢复组织的运作。因此,一旦发生意外事件,如何防止攻击或损害事件的扩大是其主要的目标,相关人员在现场或者远程依照不同事件类型进行事件处理。在事件处理过程中有一些重要决策要做:
- 是否要关闭或重启系统?
- 是否要中断系统的网络连接?
- 是否要关闭一些特定的服务,如Telnet、FTP等?
- 是否要调整网络设备或安全产品的策略配置?
- 是否需要国家网络安全机构协助处理?
某些处理办法可能会暂时影响到组织的业务运转,但都是为了避免安全事件事态的扩大,这也是在第一步中要把安全事件上报给上级领导的原因,事件处理过程中可能会带来一定的风险,需要和组织主管进行协商,确定风险可以接受才能真正实施事件处理方法。事件处理过程中,要对每个处理的动作进行详细的记录。
第四步:系统恢复
在抑制住了攻击或损害事件的扩大以后,就要对系统进行恢复,使客户业务重新运转。如果系统在故障点有备份,被攻击的系统就用备份来恢复;应该从系统中彻底删除诸如受到感染的文件;如果调整了网络或安全产品,要把所有安全上的变更作记录。
第五步:事后分析与跟踪
在安全事件处理完毕,所有系统恢复正常以后,应该针对事件进行分析。集中所有相关人员来讨论所发生的事件以及得到的经验教训,并对现有的一些流程进行重新评审,对不适宜的环节进行修改。
在安全事件处理后的一段事件内,应该密切关注系统恢复以后的安全状况,特别是曾经出问题的地方。
应急响应服务原则
实时原则
我方配备了7X24小时的人员值班机制,保证接受客户在任意事件提出的服务请求。并在接到客户的事件请求以后,快速给予响应。
规范性原则
对于每一次事件的发生都有严格的事件记录,并记录事件处理的全部过程,并对于现场处理事件由客户签署认可建议。
最小化原则
事件处理过程中,将事件对整个系统的影响降低到最小,强化处理前的分析与备份工作。
保密性原则
对于所有事件的处理内容、时间、地点,严格遵从保密原则,不向任何的第三方透漏。
工作流程
