公司网络信息系统应急响应服务内容及方案.docxVIP

公司网络信息系统应急响应服务内容及方案 服务范围 绿盟应急响应服务主要面向客户提供已发生安全事件的事中、事后的取证、分析及提供解决方案等工作。 绿盟科技可以帮助客户完成下列类型安全事件的应急响应支持： 应用服务瘫痪问题 网络阻塞、DDoS攻击问题 服务器遭劫持问题 系统异常宕机问题 恶意入侵、黑客攻击问题 病毒爆发问题 内部安全事故 …… 服务方式 绿盟科技应急响应服务包括单次服务和年度服务两种形式，服务地点可以选择客户现场和远程两种方式，客户可以根据需要选择适合自己的服务。 现场服务和远程服务 根据服务地点，可以分为现场服务和远程服务两种。 现场服务：指接到客户紧急服务请求，支持人员在最短时间内赶赴客户现场，协助客户分析事件可能的原因，解决各类安全事件。 远程服务：指通过电话、QQ远程协助、远程临时接入等非现场的活动，协助客户分析事件可能的原因，解决各类安全事件。 单次服务和年度服务 根据服务的周期，可以分为单次服务和年度服务两种。 单次服务：指为客户提供的一次性应急响应服务。一般由发生安全事件的客户临时申请应急响应支持人员参与应急事件处理，支持人员在分析完所有客户提供的信息后，向客户提交应急响应报告。 年度服务：服务期限以年为单位，服务年度内为客户提供有限次数的应急响应支持工作，每次服务均会提供详细的应急响应报告。 服务流程 绿盟科技应急响应服务流程主要包括事件处理流程和事件升级流程两部分。 事件优先级定义 绿盟科技结合自身经验，在实践中总结制定出了一套合理的安全事件分级结构对应表，并且针对于不同级别的事件拟定切实可行的快速处理方式和临时解决办法。安全等级划分标准如下： 事件安全级别划分标准 事件优先级 描述 紧急事件 客户提供业务的系统由于安全原因崩溃、系统性能严重下降，已无法提供正常服务。本地区出口路由由于网络安全原因非正常中断，严重影响用户使用。公众服务由于安全原因停止服务或者造成恶劣影响的。 严重事件 用户内部的业务支持系统由于安全事件出现问题，导致不能运转正常不稳定。部分服务由于安全原因中断，影响用户正常使用 一般事件 由于安全原因导致系统出现故障，但不影响用户正常使用。客户提出安全技术咨询、索取安全技术资料、技术支援等。 事件处理流程 绿盟科技应急响应服务事件处理流程主要分为三个阶段，包括事件初期、应急响应实施及输出报告与汇报： 事件初期 在实施应急响应工作前，客户经理或项目经理收到客户申请应急响应支持，由客户经理或项目经理协调内部技术支持人员和客户技术人员第一时间取得联系，了解事件发生情况。技术人员判断事件类型，是否需要启用应急响应服务。 应急响应实施 在判断事件类型可能为安全事件，启用应急响应后，技术人员通过现场或非现场等方式进行信息收集工作，详细了解掌握事件发生的始终、现状、可能的影响，对事件进行详细分析，提供事件处理建议，并协助客户解决事件。 输出报告与汇报 待事件处理结束后，技术人员整理事件分析、事件处理的过程记录和相关资料，撰写应急响应服务记录报告，提交给客户。对于大型、复杂的应急响应过程还需进行整体的事件处理汇报工作。 事件升级流程 绿盟科技在收到事件告警后，15分钟内进行故障事件的鉴别，如果是安全事件，则立即启动应急响应服务流程，如果不是安全事件，立即回复相关人员，并建议寻求其他方面的支持，详细事件升级流程参看下表。 事件升级流程 事件等级 时间（小时） 紧急事件 严重事件 一般事件 0.5 客户经理 1 技术负责人 客户经理 4 服务总监 技术负责人 客户经理 12 技术总监 服务总监 咨询支持 24 总裁 技术总监 技术负责人 48 总裁 服务总监 72 技术总监 绿盟科技对于一般事件首先采取安全咨询的方式帮助用户自行解决，当用户安全管理员经过努力无法自行解决时，绿盟科技工程师将采用应急响应服务通过远程或本地服务方式帮助用户解决安全事件。 绿盟科技对于严重事件，将启用应急响应服务，在2个小时内（另加上路程时间）到达用户现场，采用本地服务方式帮助用户处理安全事件。 绿盟科技对于紧急事件的处理，承诺在一个小时内（另加路程时间）到达用户现场，采用安全应急响应服务流程为用户尽快解决紧急安全事件。 服务特点 经验主导，成果保证 在应急响应支持方面，绿盟科技多年来积累了丰富的经验。无论是所收集信息的完整性，还是事件分析过程的科学性和准确性都在业内处于领先的位置。在经验与技术的完美结合之下，能够更加容易捕获信息中的蛛丝马迹，为事件分析去的突破性进展打下基础。 流程清晰，规范服务 绿盟科技应急响应服务采用规范化管理，支持人员均严格按照设定的流程来进行各项工作。而绿盟科技的应急服务规范和流程均来自于多年的应急响应实践，完全符合应急响应事件处理的相关要求。在确保获得分析事件必需数据的同时，也防止了可能对事件目标