网御星云安全专家为敏感时期安全服务支招

　　一年一度的两会即将召开，信息安全也随之进入敏感时期，其保障工作的重要程度相应上升，同时也在考验着各个信息安全企业的信息安全应急处理能力。因此不少用户，尤其是关系到国计民生的重要行业，如政府、金融、电信、能源等行业会在这段时期凸现出其特殊的安全需求--如安全值守和应急响应。

　　众所周知，信息安全具有机密性、完整性、可用性三个属性。而就目前来看，用户自身信息安全保障的技术力量普遍缺乏，尤其是相对要求较高的应急响应技术人员，也给信息安全保障工作的提升提出了新的挑战。

　　应急响应技术人员的缺乏除了没有人员编制的客观现实外，随技术更新持续增长的人力培训经费，目前相当多信息技术人员整天疲于奔命仍然不能完全避免运行故障的现状，以及ITIL日渐流行公司高层对降低IT运营风险和合理的经费投入的平衡要求等等也是因素所在，而这些复杂的问题无一不困扰着用户。

　　综上，采用安全外包的模式，引入服务提供商，使企业所面临的安全问题由繁至简已成为一些用户的必然选择。特别是在敏感时期，信息安全要求的机密性和可控性愈发重要，将信息安全的风险转移出去势在必行。

　　作为国内信息安全领军企业的网御星云公司已经有多年信息安全服务经验，拥有国家颁发的应急处理一级资质，严格按照国家标准规范进行某政府就连续七年的安全服务外包。

　　所谓安全服务外包，就是把企业的信息化建设和运行维护工作中的信息安全相关部分交给具有丰富专业知识和实践经验的专业服务公司来做；基于风险评估、策略开发、安装，测试、更新管理、服务的深层次专业化，直至开展运行维护、管理安全监视这样的深层次业务。越是到较为特殊的时期，这类专业性公司的作用就发挥的越明显，越会使用户的信息安全应急处理工作得到大幅度提升。目前大型重点单位正在逐步发现安全服务外包能起到的事半功倍效果。

　　以某政府部门信息安全保障工作为例。某两会期间，该政府部门基础网络设施基本完成，其网络包括百余台服务器和常见应用组件，操作系统包括WINDOWS、LINUX等。其中的应用组件涉及到IIS、sqlserver、oracle、MYSQL数据库等。

　　作为国家重要的政府部门之一，其信息安全在两会期间受到更为密切的关注。虽然其在安全基础建设初期以及安全管理工作推进之时已经解决了许多安全问题，但从该政府部门网络的整体发展和目前的外部网络环境来看，仍存在一些安全隐患。理由在于该政府部门面对的是动态性的、复杂的信息安全环境，包含应用系统层面的风险、系统开发、运行过程的安全隐患、安全技术发展情况的追踪等，再加上其自身缺乏足够的信息安全人才，所以选择专业、持续的安全服务来解决网络和应用系统日常运行维护中的安全问题，就成为降低安全风险、提高信息系统安全水平的一个重要手段。该政府部门在考察这些安全厂商的背景、文化、技术、相关人员各方面素质、职业道德、市场占有率，及其之前的客户的评价等相关的信息之后，从中挑选各方面都比较可靠的公司--网御星云进行合作。

　　下面我们简单介绍本次为该用户提供安全值守和应急响应的经验供大家参考，也希望与大家共同探讨。

　　安全值守

　　根据客户需求，网御星云1-2名安全服务技术人员在指定时期作为值班人员驻守客户网络部门，与客户正常白班人员组成专人7*24小时值班形式。这样就可以24小时不间断地监控、维护安全产品和网络设备、人工监测异常状况、处理日常安全事件。

　　需要监控与维护的设备包括多台关键服务器和交换机、WINDOWS和LINUX操作系统，以及IIS、sqlserver、oracle、MYSQL数据库、防病毒系统、重要应用系统等，协调系统厂商进行维护和安全事件处理，进行网络的故障处理、安全投诉处理、安全事件响应。

　　安全值守可以较好地解决客户人员编制缺乏、IT人员疲于奔命的问题，人工智能安全值守结合监控产品和软件可以有效缓解客户工作强度，再加上下面将要介绍的应急响应服务，客户就可以腾出精力解决信息安全发展趋势和相应整体规划等前瞻性工作，从而能提升信息安全工作规模和档次。

　　安全值守期间，网御星云派出的值守人员要求拥有良好的职业操守和至少2年以上的网络安全维护经验，且工作作风踏实认真。

　　应急响应

　　第一阶段：准备

　　网御星云应急响应根据国家标准GB/Z 20986-2007《信息安全技术 信息安全事件分类分级指南》分为以下七类安全事件：

　　事件分类 事件内容

　　有害程序 计算机病毒事件、蠕虫病毒事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件

　　网络攻击 拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰类安全事件

　　信息破坏 信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件

　　信息内容安全 违反宪法和法律、行政法规的信息安全事件

　　设备设施故障 软硬件自身故障、外围保障设施故障、人为破坏事故

　　灾害性事件 灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件

　　其他 其他事件类别是指不能归为以上6个基本分类的信息安全事件

　　网御星云根据国家标准GB/Z 20986-2007考虑信息系统的重要程度、系统损失和社会影响三个要素对信息安全事件的分级如下：

　　网御星云根据国标和用户实际情况（风险评估而来）为客户设计应急响应规划和具体的应急预案，作为事前预防性的信息安全措施。

　　第二阶段：确认

　　当客户发现安全事件发生时，随即触发应急响应条件，客户向网御星云发起应急响应申请，网御星云应急响应服务小组会马上从待命状态激活。根据客户应急申请描述的状况分析安全事件的级别和类别，调遣距离客户最近的应急响应工程师，在最短时间内赶到客户现场，对情况综合判断确认安全事件，同时给客户安心。

　　第三阶段：遏制

　　网御星云应急响应服务小组在客户现场利用自身的专业技能、经验尽快排除安全问题，防止进一步的攻击或恶意代码（病毒、木马等）蔓延，制止事态的扩大，降低或阻止安全威胁事件带来的严重性影响。

　　第四阶段：根除

　　网御星云应急响应服务小组帮助客户查找入侵来源，同时给出解决与防范方案，对安全故障发生的系统主机作安全检查并清除存在的安全隐患，修补安全故障点上的安全漏洞，加强安全保护措施，彻底进行补救，为客户减少损失、消除影响。

　　第五阶段：恢复

　　网御星云应急响应服务小组与客户协同，按照事先制订的应急预案进行操作（极端情况时使用备分系统和数据重装系统），使客户网络信息系统在最短时间内恢复正常工作。

　　第六阶段：跟踪

　　网御星云应急响应服务小组在系统恢复同时或之后经过回顾应急响应全过程，根据过程中收集的由于安全故障造成的入侵记录、破坏情况、直接损失情况等证据，全面分析安全事件成因和响应处理，给出应急响应报告，总结经验，亡羊补牢，防止类似事件的再次发生。

　　有时在与客户协调过程中，为了提高协调效率，上述标准应急过程在实际实施时可以相应简化，其简化程度根据客户实际情况进行调整。

　　网御星云安全外包运维服务体系，是基于IT服务管理（ITSM）的方法，以风险管理为核心，从安全事件管理着手，注重事前、事中、事后的各个安全运维环节的细微处理，尤其是敏感时期的安全值守和应急响应，可以全方位地帮助客户降低安全运维负担，控制安全风险，为保障用户业务目标的实现提供贴心的呵护。同时网御星云安全运维服务，配合国家信息安全应急响应中心的预警平台及与公安网监部门合作的安全事件报警平台，成功地为该国家部委的信息系统提供了长期的安全运行保障服务。