应急响应服务

1、概述
　　应急响应服务是为满足发生安全事件，需要紧急解决问题的情况而提供的一项安全服务。当单位发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，安全专家会在第一时间对安全事件进行应急响应处理，使单位的网络应用系统在最短时间内恢复正常运行，帮助单位查找入侵来源，为单位挽回或减少经济损失。

　　对安全事件进行应急响应处理后，我们将提供详细的应急响应报告，报告中将还原入侵过程，同时给出对应的解决方案。

2、服务内容
      服务期限内，提供7×24小时的远程安全应急响应，接到客户安全事件通知后，立即以远程方式对安全事件进行分析、抑制、溯源，如果远程无法进行应急，则指派经验丰富的安全服务工程师，赶到用户现场进行应急处理。最大程度降低安全事件对客户带来的损失。

　　安全应急响应包括以下服务内容：

• 从网络流量、系统和IDS日志记录、桌面日志中判断安全事件类型。查明安全事件原因，确定安全事件的威胁和破坏的严重程度。查明安全事件原因，确定安全事件的威胁和破坏的严重程度。

• 抑制事态发展是为了将事故的损害降低到最小化。在这一步中，通常会将受影响系统和服务隔离。这一点对保持系统的可用性是非常重要的。

• 针对发现的安全事件来源，排除潜在的隐患，消除安全威胁，彻底解决安全问题。

• 在根除问题后，将已经被攻击设备或由于事故造成的系统损坏做恢复性工作，使网络系统能在尽可能短的时间内恢复正常的网络服务。

• 对系统中发现的漏洞进行安全加固，消除安全隐患。

• 重新评价客户系统的安全特性，确保在一定的时间范围内，不发生同类的安全事件。

• 定期跟踪国内外的安全漏洞发布平台(如CNCERT、CNVD、乌云)，及时发现新近出现的安全漏洞，通过电话、邮箱等方式，及时向客户通告最新的针对业务的(或具有重大影响的)安全漏洞、安全病毒、安全攻击、安全技术等安全态势信息，并提供有参考意义的安全防护建议，保证客户信息安全工作的前瞻性和预判性。

3、输出成果
应急响应服务的输出成果如下：

• 《业务系统安全事件应急响应报告》

4、服务收益

　　应急响应服务，可带来如下收益：

• 还原攻击事件，收集由于安全故障造成的入侵记录、破坏情况、直接损失情况等证据;

• 提升安全事件处理效率，及时解决安全故障，恢复系统正常运行，尽可能挽回或减少安全事件带来的损失;

• 对安全故障发生的系统作安全检查和清理，保证信息系统安全;

• 弥补安全故障发生系统上的安全漏洞，加强安全保护措施，防止类似事件的再次发生。