服务热线:4006 866 833
专.注. 信息安全
技术服务

咨询电话:4006-866-833-2 0755-26017989 

  • 服务简介
  • 服务内容
  • 优势特点

        易聆科应急响应中心是由技术攻防实验室、技术支持部和销售中心成立的跨部门协作团队。是一支经验丰富的专业团队,并且具有系统化的应急响应机制,能够协助用户建立行之有效的安全事件响应方案并且有序执行,以最快的速度解决问题。为客户提供7X24安全事件应急响应服务。
                  

 

 

 

 
        安全事件是指在客户信息系统中出现的影响业务正常运行的任何异常事件,以及安全咨询,病毒库升级,产品升级等事件。例如:破坏系统的完整性、系统资源拒绝服务、通过渗透或者入侵的方式来对系统进行非法访问,系统资源的滥用以及任何可能对系统造成损害的行为等。
 
 

分类
特性
等级
说明
响应方式
紧急事件
1:由攻击行为直接引起的相关事件,正在危害,或者即将危害到目标系统的业务持续性。
2:非攻击行为造成,但是影响到目标系统业务持续性的事件。
高危险
通过系统监控,安全产品日志发现了,长事件规律行攻击行为,同时这种攻击开始影响到目标系统业务持续性。
现场为主,远程
中等危险
通过系统监控,安全产品日志发现了,长事件规律行攻击行为,但是这种攻击没有影响到目标系统业务持续性。
现场为主,远程
低危险
通过系统监控,安全产品日志发现了无规律攻击行为,但是这种攻击没有影响到目标系统业务持续性。
远程为主,现场
一般事件
由非攻击行为直接引起的其他事件,而且这种事件没有直接影响到当前业务的持续性。
例如一般性安全咨询,产品升级,病毒库升级等等。
远程为主(电话,邮件,传真等)

                                                                                     事件响应分类表
        易聆科为事件响应建立自己的流程规范,经过多次的响应实践证明其可行有效。我们提供的漏洞检测服务、监控审计服务、DDOS防御服务都是在为事件响应提供事件处理所需的原始资料,一旦事件发生,易聆科事件响应小组分析的依据大部分来源于上述数据。易聆科还将协助服务对象组织建立应急上报和联络机制,以保证在安全事件发生时,能及时得到上级主管的指导并及时联系到本组织相关人员和易聆科事件响应人员。
事件响应必须遵循的流程分为以下步骤:
第一步:记录日志
        当发生安全事件时,首先需要客户对环境现场进行记录,对事件的影响进行详细的描述。安全事件日志对于安全事件的识别、处理和调查非常重要,安全事件可能在其刚刚发生时就暴露,也可能在发生的过程中或发生以后才被发现,因此所有安全事件都应该有一份书面的经过调查证明足够客观的日志,而且应该把日志妥善保存以免被修改。由于在线日志很容易被修改和删除,所以手工记录是必要的。
应该记录的信息有:
1)      相关事件发生(或者发现)的日期和时间;
2)      值班人员或事件协调小组通知的人员和与事件相关的人员;
3)      受影响的系统名称(或IP地址),受影响的程序和网络;
4)      事件发生时对系统、程序或者网络的影响和现象。
5)      记录完安全事件后,应该把安全事件上报给直接主管,同时提交事件响应申请给易聆科的事件响应小组,此时开始进入事件响应过程。
第二步:分析确认
        接到事件响应申请后,易聆科事件响应小组会根据情况进行远程和现场的响应。事件响应小组会根据客户记录的安全事件描述,结合前期进行过的漏洞检测与分析结果、实时监控与审计结果等已有客户系统和网络状况,进行分析和判断,如果是典型的已知安全事件,部分案例可以仅通过远程方式就能解决。
如果通过远程指导客户无法进行自行解决,事件响应小组成员会赶往现场进行实际问题解决。这时,事件响应小组可以实地看到安全事件的形态和影响,也可以通过工具直接进行测试,结合当前扫描、探测、实时监控和审计的结果进行分析,可以更容易定位出问题所在。
第三步:事件处理
        事件响应小组最主要的任务就是维持或恢复组织的运作。因此,一旦发生意外事件,如何防止攻击或损害事件的扩大是其主要的目标,相关人员在现场或者远程依照不同事件类型进行事件处理。
在事件处理过程中有一些重要决策可能必须要做:
1)      是否要关闭或重启系统?
2)      是否要中断系统的网络连接?
3)      是否要关闭一些特定的服务,如TelnetFTP等?
4)      是否要调整网络设备或安全产品的策略配置?
5)      是否需要国家网络安全机构协助处理? 
        某些处理办法可能会暂时影响到组织的业务运转,但都是为了避免安全事件事态的扩大,这也是在第一步中要把安全事件上报给上级领导的原因,事件处理过程中可能会带来一定的风险,需要和组织主管进行协商,确定风险可以接受才能真正实施事件处理方法。事件处理过程中,要对每个处理的动作进行详细的记录。
第四步:系统恢复,防御
        在抑制住了攻击或损害事件的扩大以后,就要对系统进行恢复,使客户业务重新运转。如果系统在故障点有备份,被攻击的系统就用备份来恢复;应该从系统中彻底删除诸如受到感染的文件;如果调整了网络或安全产品,要把所有安全上的变更作记录。
第五步:事后分析与跟踪
        在安全事件处理完毕,所有系统恢复正常以后,应该针对事件进行分析。集中所有相关人员来讨论所发生的事件以及得到的经验教训,并对现有的一些流程进行重新评审,对不适宜的环节进行修改。
在安全事件处理后的一段事件内,应该密切关注系统恢复以后的安全状况,特别是曾经出问题的地方。
 
 

 

实时原则

易聆科的服务体系配备了7X24的人员值班机制,保证接受客户在任意事件提出的服务请求。并在接到客户的事件请求以后,在4个小时之内给予响应。
 
规范性原则   
 
对于每一次事件的发生都有严格的事件记录,并记录事件处理的全部过程,并对于现场处理事件由客户签署认可建议。
 
最小性原则    
  
事件处理过程中,将事件对整个系统的影响降低到最小,强化处理前的分析与备份工作。
 
保密性原则  
    
对于所有事件的处理内容、时间、地点,严格遵从保密原则,不向任何的第三方透漏。