安全应急响应服务形式有什么
安全应急响应活动包括下面两个方面:
第一、未雨绸缪,即在事件发生前事先做好准备,比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施;
第二、亡羊补牢,即在事件发生后采取的措施,期的在于把事件造成的损失降到最小。这些行动措施可能来自于人,也可能来自系统,不如发现事件发生后,系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。
以上两个方面的工作是相互补充的。首先,事前的计划和准备为事件发生后的响应动作提供了指导框架,否则,响应动作将陷入混乱,而这些毫无章法的响应动作有可能造成比事件本身更大的损失;其次,后的响应可能发现事前计划的不足,吸取教训,从而进一步完善安全计划。 因此,这两个方面应该形成一种正反馈的机制,逐步强化组织的安全防范体系。
应急响应服务形式包含远程应急响应服务和本地应急响应服务。
远程应急响应服务。
客户通过电话、Email、传真等方式请求安全事件响应,应急响应组通过相同的方式为客户解决问题。
经与客户网络相关人员确认后,客户方提供主机或设备的临时支持账号,由应急响应组远程登陆主机进行检测和服务,问题解决后出具详细的应急响应服务报告。
远程系统无法登陆,或无法通过远程访问的方式替客户解决问题,客户确认后,转到本地应急相应流程,同时此次远程响应无效,归于本地应急响应类型。
本地应急响应服务。
- 应急响应组在第一时间赶往客户系统安全事件的事发地点,在现场为客户查找事发原因并解决相应问题,最后出具详细的应急响应服务报告。
应急响应服务是对病毒事件、系统入侵事件、网络故障事件、拒绝服务攻击事件……做出快速响应。
应急响应服务主要解决以下问题:
及时解决入侵事件,修复系统,使网站恢复正常运行,尽可能挽回或减少损失;
对入侵事件发生的系统作安全检查和清理,保证信息系统安全;
弥补入侵事件发生系统上的安全漏洞,加强安全保护措施,防止类似事件的再次发生;
收集由于网站的入侵记录、破坏情况、直接损失情况等证据;
获得服务结果报告,内容包括在应急响应服务中的所遇到的安全问题、安全事故处理过程、处理结果。 针对在应急响应服务的所遇到的安全问题、安全事故处理过程、处理结果,48小时汇总形成应急响应服务结果报告,提交给用户。