金融行業信息化安全

    金融是影響國計民生的重要行業，中央辦公廳、國務院辦公廳、公安部、人民銀行、銀監會、證監會和保監會等主管部門對金融系統的信息安全問題非常重視，先后對金融行業信息安全工作提出了指導建議和相關規定，明確指出要加大在信息安全治理工作方面的投入，特別是要保障對公眾提供服務的業務系統的安全性和可靠性。

以下是近年來各監管部門出臺的一些指導建議和相關規定。

監管政策的要求和日益嚴峻的網絡安全現狀要求我們加大安全防護力度，并開展定期的安全咨詢與評估工作

服務介紹

    應急響應范圍包括網絡或系統中的計算機或網絡設備系統的硬件、軟件、數據因非法攻擊或病毒入侵等安全原因而遭到破壞、更改、泄漏造成系統不能正常運行，或已經發現的有可能造成上述現象的安全隱患。

包括以下情況，都屬于安全事件：

- 非授權訪問，通過入侵的方式進入到未被授權訪問的網絡中，而導致數據信息泄漏；

- 信息泄密，數據在傳輸中因數據被截取、篡改、分析等而造成信息的泄漏；

- 拒絕服務，正常用戶不能正常訪問服務器提供的相關服務；

- 在系統日志中發現非法登錄者；

- 發現網絡大面積爆發計算機病毒感染；

- 發現有人在不斷強行嘗試登錄系統；

- 系統中出現不明的新用戶賬號；

- 管理員收到來自其它站點系統管理員的警告信，指出系統可能被威脅；

- 文件的訪問權限被修改；

- 因安全漏洞導致的系統問題；

- 其它的入侵行為。

安全事件根據事件危害程度可以分為：

- 嚴重安全事件：XXX電子銀行系統由于安全原因崩潰、系統性能嚴重下降，已無法提供正常服務，出口路由由于網絡安全原因非正常中斷，嚴重影響用戶使用，公眾服務由于安全原因停止服務或者造成惡劣影響的。

- 普通安全事件：由于安全原因導致系統出現故障，但不影響用戶正常使用，XXX提出安全技術咨詢、索取安全技術資料、技術支援等。

服務級別

根據項目我方提供的應急響應級別如下：

1. 事件處理響應時間：在10分鐘內客戶能夠聯系到安全服務方，并且安全服務方對于安全事件問題的解決給予答復。

2. 事件處理到場時間：嚴重安全事件：3小時；普通安全事件：遠程協助，必要時到場。

3. 事件初步處理時間（指受影響的通信或者業務恢復網絡通信的狀態，不包括系統或數據的恢復工作和時間）：嚴重安全事件：3小時；普通安全事件：一個工作日。

4. 事件最終處理時間：

安全事故：24小時；

嚴重事件：24小時；

普通安全事件：三個工作日。

安全服務方需針對常見的安全事件及XXX相關單位現有信息系統現狀制定應急方案，應急方案通過XXX相關單位審批后，定期進行一次模擬演練。演練包括發現問題，應急反應，恢復等內容。

安全服務方在處理安全事件過程中，可以通過分析網絡數據、檢查系統或應用軟件相關參數、病毒分析等多種技術措施和手段掌握事件相關信息，但要在進行事件恢復操作之前，需對相關情況做書面記錄和電子文檔記錄；同XXX相關人員商議、確認后，才可以進行。

服務內容

1.文檔審閱：審閱評估對象的網絡拓撲、設計、開發、安裝配置、運行維護、安全管理等文檔。

2.代碼審閱：通過專業化的源代碼安全檢查，發現應用系統現有的和潛在的安全問題。

3.人員訪談：與各評估對象的相關人員進行溝通交流，彌補文檔審閱等的不足，進一步了解各評估對象的信息。

4.脆弱性掃描：使用脆弱性掃描軟件對各設備（包括其上所安裝的各關鍵軟件）進行掃描。

5.本地審計：使用啟明星辰本地安全審計工具包、命令行等方式收集各設備可能存在的技術脆弱性信息，以便在分析階段進行詳細分析。

6.現場觀測：觀察與應用系統安全有關的機制、配置現狀；現場巡視機房室內室外實際環境。

服務流程

    廣聚安全為事件響應建立自己的流程規范，經過多次的響應實踐證明其可行有效。我們提供的漏洞檢測服務、監控審計服務、DDOS防御服務都是在為事件響應提供事件處理所需的原始資料，一旦事件發生， 事件響應小組分析的依據大部分來源于上述數據。 還將協助服務對象組織建立應急上報和聯絡機制，以保證在安全事件發生時，能及時得到上級主管的指導并及時聯系到本組織相關人員和事件響應人員。

事件響應必須遵循的流程分為以下步驟：

第一步：記錄日志

    當發生安全事件時，首先需要客戶對環境現場進行記錄，對事件的影響進行詳細的描述。安全事件日志對于安全事件的識別、處理和調查非常重要，安全事件可能在其剛剛發生時就暴露，也可能在發生的過程中或發生以后才被發現，因此所有安全事件都應該有一份書面的經過調查證明足夠客觀的日志，而且應該把日志妥善保存以免被修改。由于在線日志很容易被修改和刪除，所以手工記錄是必要的。

應該記錄的信息有：

- 相關事件發生（或者發現）的日期和時間；

- 值班人員或事件協調小組通知的人員和與事件相關的人員；

- 受影響的系統名稱（或IP地址），受影響的程序和網絡；

- 事件發生時對系統、程序或者網絡的影響和現象。

記錄完安全事件后，應該把安全事件上報給直接主管，同時提交事件響應申請給 的事件響應小組，此時開始進入事件響應過程。

第二步：分析確認

    接到事件響應申請后， 事件響應小組會根據情況進行遠程和現場的響應。事件響應小組會根據客戶記錄的安全事件描述，結合前期進行過的漏洞檢測與分析結果、實時監控與審計結果等已有客戶系統和網絡狀況，進行分析和判斷，如果是典型的已知安全事件，部分案例可以僅通過遠程方式就能解決。

如果通過遠程指導客戶無法進行自行解決，事件響應小組成員會趕往現場進行實際問題解決。這時，事件響應小組可以實地看到安全事件的形態和影響，也可以通過工具直接進行測試，結合當前掃描、探測、實時監控和審計的結果進行分析，可以更容易定位出問題所在。

第三步：事件處理

    事件響應小組最主要的任務就是維持或恢復組織的運作。因此，一旦發生意外事件，如何防止攻擊或損害事件的擴大是其主要的目標，相關人員在現場或者遠程依照不同事件類型進行事件處理。

在事件處理過程中有一些重要決策可能必須要做：

1. 是否要關閉或重啟系統？

2. 是否要中斷系統的網絡連接？

3. 是否要關閉一些特定的服務，如Telnet、FTP等？

4. 是否要調整網絡設備或安全產品的策略配置？

5. 是否需要國家網絡安全機構協助處理？

    某些處理辦法可能會暫時影響到組織的業務運轉，但都是為了避免安全事件事態的擴大，這也是在第一步中要把安全事件上報給上級領導的原因，事件處理過程中可能會帶來一定的風險，需要和組織主管進行協商，確定風險可以接受才能真正實施事件處理方法。事件處理過程中，要對每個處理的動作進行詳細的記錄。

第四步：系統恢復，防御

    在抑制住了攻擊或損害事件的擴大以后，就要對系統進行恢復，使客戶業務重新運轉。如果系統在故障點有備份，被攻擊的系統就用備份來恢復；應該從系統中徹底刪除諸如受到感染的文件；如果調整了網絡或安全產品，要把所有安全上的變更作記錄。

第五步：事后分析與跟蹤

    在安全事件處理完畢，所有系統恢復正常以后，應該針對事件進行分析。集中所有相關人員來討論所發生的事件以及得到的經驗教訓，并對現有的一些流程進行重新評審，對不適宜的環節進行修改。

在安全事件處理后的一段事件內，應該密切關注系統恢復以后的安全狀況，特別是曾經出問題的地方。

服務原則

- 實時原則

- 規范性原則

- 最小性原則

- 保密性原則 

服務時間

提供7×24小時的網絡信息安全事件的應急響應和技術支持，以及相關問題的深入分析和必要的整改建議，如有必要需提供現場服務，響應時間要求如下：

注：“到現場時間”以行方向廣聚安全項目組明確提出現場支持服務需求之時起計算。