甲方:呼和浩特职业学院网络管理中心
乙方:内蒙古远维信息技术有限公司
乙方“安全应急响应”服务向我院提供必须的资源来完善安全防护,抵抗攻击,进行安全修复,并减少未来安全漏洞产生的可能性。安全响应服务提供了快捷的服务支持和7×24的紧急响应服务,保证网络安全无忧,预防危险发生。
紧急响应服务种类包括以下几个方面。
3.9.1入侵调查
当入侵事件正在发生或已经发生,乙方安全专家协助我院进行事件调查、保存证据、查找后门、追查来源等,同时提供事件处理报告以及后续的安全状况跟踪。
3.9.2主机、网络异常响应
当主机或者网络异常事件正在发生或已经发生,乙方安全专家协助我院进行事件调查、保存证据、查找问题的原因、追查来源等,同时提供事件处理报告以及后续的安全状况跟踪。
3.9.3其他紧急事件
只有出现了上述严重影响网络、主机正常运行的安全事件才启用紧急响应服务,其他日常安全事件均属于安全咨询及日常安全事件处理服务范围。
安全应急响应服务也可以帮助我院预防未来的攻击,高效地进行攻击发生时和事后的调查及收取攻击证据等工作,为起诉罪犯提供法律依据。
作为一个规范的网络安全服务商,乙方有一整套紧急响应机制,同时也具备处理各种紧急事件经验的工程师。我们把安全应急服务分为三等,具体请参见下表:
服务等级
| 服务内容
| 适用对象
|
一级
| 基本的反应策略与流程
5×8小时事件响应、处理及恢复服务
事故处理报告
| 日常运营期间,不影响用户业务的普通安全事件处理
|
二级
| 完整的反应策略与流程
7×24小时事件响应、处理及恢复服务
事故处理报告
| 节假日期间,较为严重的安全事件
|
三级
| 完整的反应策略与流程
7×24小时事件响应、应急响应、处理及恢复服务
安全专家现场守候服务
事故处理报告
安全突发事故反应预演
跟踪服务
| 重大事件、节日期间,用户业务重要性、时效性很强,发生严重影响用户业务开展、需要立即解决的的网络突发事故
|
3.9.4应急响应流程
遇到安全事件的发生,一般应该及时采取汇报机制。参考要求如下:
l 任何系统用户发现系统运行可疑现象后,立即报告本部门安全保密管理员;
l 安全保密管理员应尽可能采取相应措施保护现场,并在1小时内向应急响应小组进行报告,同时报本部门安全主管领导,召集安全应急服务厂商;
l 应急响应小组和安全服务厂商应在2小时内确定现象的性质,并采取措施,收集现场数据,避免严重安全后果的发生,同时,对于安全事故,要上报信息安全领导小组;
l 安全保密领导小组根据事故的性质,向相应的国家主管部门进行报告。
汇报完毕,将事故定性之后,接到上级指示,对于被破坏的系统和数据,采取可行的措施进行恢复,使之重新正常运行。安全紧急响应服务内容如下:
l 服务确认
l 临时支持账号
l 远程紧急响应
l 本地紧急响应
l 响应情况简报
l 紧急响应服务报告
l 事故跟踪分析报告
具体流程如下:
图3:应急响应流程示意图
对于每一个安全事件的处理,可以参照如上图所示的安全事故应急响应处理流程,具体流程包括:
1、记录系统安全事件,记录事件的每一环节,包括事件的时间、地点。要打印拷贝、记录拷贝时间、记录对话内容,并尽可能采用自动化的记录方法。
2、系统安全事件核实与判断
(1)核实系统安全事件真实性
(2)判断系统安全事件类型和范围
(3)判断系统安全事件危害性
(4)确定事件的威胁级别
3、系统安全事件现场处理方案选择
(1)克制态度
(2)紧急消除
(3)紧急恢复
(4)切换
(5)监视
(6)跟踪
(7)查证辅助代码开发
(8)报警
(9)权力机关的反击
4、系统安全事件处理服务和过程,系统安全事件处理过程本身需要工具,需要专门处理安全事件的服务和过程。这些过程包括:拷贝过程、监视过程、跟踪过程、报警过程、通报过程、对话过程、消除过程、恢复过程和其它过程等。
5、系统安全事件后处理,包括事件后消除、弥补系统脆弱性、分析原因、总结教训、完善安全策略、服务和过程
甲方:呼和浩特职业学院网络管理中心(盖章)
日期:2018年3月
已方:内蒙古远维信息技术有限公司(盖章)
日期:2018年3月
