金融是影響國計民生的重要行業(yè)�,中央辦公廳����、國務(wù)院辦公廳、公安部�、人民銀行、銀監(jiān)會����、證監(jiān)會和保監(jiān)會等主管部門對金融系統(tǒng)的信息安全問題非常重視,先后對金融行業(yè)信息安全工作提出了指導(dǎo)建議和相關(guān)規(guī)定����,明確指出要加大在信息安全治理工作方面的投入��,特別是要保障對公眾提供服務(wù)的業(yè)務(wù)系統(tǒng)的安全性和可靠性�����。
以下是近年來各監(jiān)管部門出臺的一些指導(dǎo)建議和相關(guān)規(guī)定����。
主管部門 | 文號 | 日期 | 文件名 |
中央辦公廳和國務(wù)院辦公廳 | 中辦發(fā)[2003]27號 | 2003年8月 | 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見 |
中辦發(fā)〔2006〕18號 | 2006年5月 | 國家信息化領(lǐng)導(dǎo)小組關(guān)于推進(jìn)國家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見 |
國務(wù)院辦公廳 | 17號文 | 2008年 | 關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知 |
公安部�、國家保密局、國家密碼管理局和國務(wù)院信息化工作辦公室 | 公通字[2004]66號文 | 2004年9月 | 關(guān)于印發(fā)《關(guān)于信息安全等級保護(hù)工作的實施意見》的通知 |
公通字[2007]43號文 | 2007年6月 | 關(guān)于印發(fā)《信息安全等級保護(hù)管理辦法》的通知 |
公信安[2007]861號 | 2007年7月 | 關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知 |
銀監(jiān)會 |
| 2006年3月 | 《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評估指引》 |
銀監(jiān)發(fā)[2006]63號 | 2006年11月 | 關(guān)于印發(fā)《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險管理指引》的通知 |
銀監(jiān)辦通[2006] 313號 | 2006年11月 | 關(guān)于開展2006年度信息科技風(fēng)險內(nèi)部和外部評價審計的通知 |
| 2007年6月 | 中國銀監(jiān)會關(guān)于印發(fā)《商業(yè)銀行操作風(fēng)險管理指引》的通知 |
銀監(jiān)辦發(fā)[2007]134號 | 2007年6月 | 關(guān)于做好網(wǎng)上銀行風(fēng)險管理和服務(wù)的通知 |
| 2008年3月 | 關(guān)于開展銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險奧運專項自查工作的通知 |
中國人民銀行 | 中國人民銀行公告〔2005〕第 23 號 | 2005年10月 | 電子支付指引(第一號) |
銀發(fā)[2012]121號 | 2012年5月 | 中國人民銀行關(guān)于發(fā)布《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》 |
| 2012年12月 | 中國金融移動支付標(biāo)準(zhǔn) |
監(jiān)管政策的要求和日益嚴(yán)峻的網(wǎng)絡(luò)安全現(xiàn)狀要求我們加大安全防護(hù)力度�����,并開展定期的安全咨詢與評估工作
服務(wù)介紹
應(yīng)急響應(yīng)范圍包括網(wǎng)絡(luò)或系統(tǒng)中的計算機(jī)或網(wǎng)絡(luò)設(shè)備系統(tǒng)的硬件�����、軟件��、數(shù)據(jù)因非法攻擊或病毒入侵等安全原因而遭到破壞���、更改����、泄漏造成系統(tǒng)不能正常運行,或已經(jīng)發(fā)現(xiàn)的有可能造成上述現(xiàn)象的安全隱患��。
包括以下情況�,都屬于安全事件:
- 非授權(quán)訪問,通過入侵的方式進(jìn)入到未被授權(quán)訪問的網(wǎng)絡(luò)中���,而導(dǎo)致數(shù)據(jù)信息泄漏;
- 信息泄密�,數(shù)據(jù)在傳輸中因數(shù)據(jù)被截取、篡改����、分析等而造成信息的泄漏;
- 拒絕服務(wù)����,正常用戶不能正常訪問服務(wù)器提供的相關(guān)服務(wù);
- 在系統(tǒng)日志中發(fā)現(xiàn)非法登錄者��;
- 發(fā)現(xiàn)網(wǎng)絡(luò)大面積爆發(fā)計算機(jī)病毒感染��;
- 發(fā)現(xiàn)有人在不斷強(qiáng)行嘗試登錄系統(tǒng)�����;
- 系統(tǒng)中出現(xiàn)不明的新用戶賬號;
- 管理員收到來自其它站點系統(tǒng)管理員的警告信����,指出系統(tǒng)可能被威脅;
- 文件的訪問權(quán)限被修改���;
- 因安全漏洞導(dǎo)致的系統(tǒng)問題��;
- 其它的入侵行為�。
安全事件根據(jù)事件危害程度可以分為:
- 嚴(yán)重安全事件:XXX電子銀行系統(tǒng)由于安全原因崩潰�、系統(tǒng)性能嚴(yán)重下降,已無法提供正常服務(wù)�,出口路由由于網(wǎng)絡(luò)安全原因非正常中斷,嚴(yán)重影響用戶使用��,公眾服務(wù)由于安全原因停止服務(wù)或者造成惡劣影響的�。
- 普通安全事件:由于安全原因?qū)е孪到y(tǒng)出現(xiàn)故障,但不影響用戶正常使用���,XXX提出安全技術(shù)咨詢�����、索取安全技術(shù)資料��、技術(shù)支援等��。
服務(wù)級別
根據(jù)項目我方提供的應(yīng)急響應(yīng)級別如下:
1. 事件處理響應(yīng)時間:在10分鐘內(nèi)客戶能夠聯(lián)系到安全服務(wù)方�,并且安全服務(wù)方對于安全事件問題的解決給予答復(fù)。
2. 事件處理到場時間:嚴(yán)重安全事件:3小時�;普通安全事件:遠(yuǎn)程協(xié)助,必要時到場�。
3. 事件初步處理時間(指受影響的通信或者業(yè)務(wù)恢復(fù)網(wǎng)絡(luò)通信的狀態(tài),不包括系統(tǒng)或數(shù)據(jù)的恢復(fù)工作和時間):嚴(yán)重安全事件:3小時����;普通安全事件:一個工作日�����。
4. 事件最終處理時間:
安全事故:24小時����;
嚴(yán)重事件:24小時;
普通安全事件:三個工作日���。
安全服務(wù)方需針對常見的安全事件及XXX相關(guān)單位現(xiàn)有信息系統(tǒng)現(xiàn)狀制定應(yīng)急方案���,應(yīng)急方案通過XXX相關(guān)單位審批后����,定期進(jìn)行一次模擬演練�。演練包括發(fā)現(xiàn)問題,應(yīng)急反應(yīng)���,恢復(fù)等內(nèi)容����。
安全服務(wù)方在處理安全事件過程中�,可以通過分析網(wǎng)絡(luò)數(shù)據(jù)、檢查系統(tǒng)或應(yīng)用軟件相關(guān)參數(shù)���、病毒分析等多種技術(shù)措施和手段掌握事件相關(guān)信息�����,但要在進(jìn)行事件恢復(fù)操作之前���,需對相關(guān)情況做書面記錄和電子文檔記錄;同XXX相關(guān)人員商議����、確認(rèn)后�,才可以進(jìn)行�。
服務(wù)內(nèi)容
1.文檔審閱:審閱評估對象的網(wǎng)絡(luò)拓?fù)洹⒃O(shè)計����、開發(fā)、安裝配置��、運行維護(hù)�、安全管理等文檔。
2.代碼審閱:通過專業(yè)化的源代碼安全檢查����,發(fā)現(xiàn)應(yīng)用系統(tǒng)現(xiàn)有的和潛在的安全問題���。
3.人員訪談:與各評估對象的相關(guān)人員進(jìn)行溝通交流��,彌補(bǔ)文檔審閱等的不足��,進(jìn)一步了解各評估對象的信息���。
4.脆弱性掃描:使用脆弱性掃描軟件對各設(shè)備(包括其上所安裝的各關(guān)鍵軟件)進(jìn)行掃描�����。
5.本地審計:使用啟明星辰本地安全審計工具包�、命令行等方式收集各設(shè)備可能存在的技術(shù)脆弱性信息����,以便在分析階段進(jìn)行詳細(xì)分析。
6.現(xiàn)場觀測:觀察與應(yīng)用系統(tǒng)安全有關(guān)的機(jī)制�、配置現(xiàn)狀;現(xiàn)場巡視機(jī)房室內(nèi)室外實際環(huán)境����。
服務(wù)流程
廣聚安全為事件響應(yīng)建立自己的流程規(guī)范,經(jīng)過多次的響應(yīng)實踐證明其可行有效�����。我們提供的漏洞檢測服務(wù)�����、監(jiān)控審計服務(wù)����、DDOS防御服務(wù)都是在為事件響應(yīng)提供事件處理所需的原始資料�,一旦事件發(fā)生�����, 事件響應(yīng)小組分析的依據(jù)大部分來源于上述數(shù)據(jù)���。 還將協(xié)助服務(wù)對象組織建立應(yīng)急上報和聯(lián)絡(luò)機(jī)制���,以保證在安全事件發(fā)生時,能及時得到上級主管的指導(dǎo)并及時聯(lián)系到本組織相關(guān)人員和事件響應(yīng)人員��。
事件響應(yīng)必須遵循的流程分為以下步驟:
第一步:記錄日志
當(dāng)發(fā)生安全事件時����,首先需要客戶對環(huán)境現(xiàn)場進(jìn)行記錄,對事件的影響進(jìn)行詳細(xì)的描述����。安全事件日志對于安全事件的識別����、處理和調(diào)查非常重要,安全事件可能在其剛剛發(fā)生時就暴露�����,也可能在發(fā)生的過程中或發(fā)生以后才被發(fā)現(xiàn),因此所有安全事件都應(yīng)該有一份書面的經(jīng)過調(diào)查證明足夠客觀的日志�,而且應(yīng)該把日志妥善保存以免被修改。由于在線日志很容易被修改和刪除�����,所以手工記錄是必要的����。
應(yīng)該記錄的信息有:
- 相關(guān)事件發(fā)生(或者發(fā)現(xiàn))的日期和時間;
- 值班人員或事件協(xié)調(diào)小組通知的人員和與事件相關(guān)的人員�;
- 受影響的系統(tǒng)名稱(或IP地址),受影響的程序和網(wǎng)絡(luò)���;
- 事件發(fā)生時對系統(tǒng)��、程序或者網(wǎng)絡(luò)的影響和現(xiàn)象�。
記錄完安全事件后�����,應(yīng)該把安全事件上報給直接主管���,同時提交事件響應(yīng)申請給 的事件響應(yīng)小組�,此時開始進(jìn)入事件響應(yīng)過程。
第二步:分析確認(rèn)
接到事件響應(yīng)申請后���, 事件響應(yīng)小組會根據(jù)情況進(jìn)行遠(yuǎn)程和現(xiàn)場的響應(yīng)����。事件響應(yīng)小組會根據(jù)客戶記錄的安全事件描述�,結(jié)合前期進(jìn)行過的漏洞檢測與分析結(jié)果、實時監(jiān)控與審計結(jié)果等已有客戶系統(tǒng)和網(wǎng)絡(luò)狀況���,進(jìn)行分析和判斷�����,如果是典型的已知安全事件��,部分案例可以僅通過遠(yuǎn)程方式就能解決����。
如果通過遠(yuǎn)程指導(dǎo)客戶無法進(jìn)行自行解決�����,事件響應(yīng)小組成員會趕往現(xiàn)場進(jìn)行實際問題解決���。這時��,事件響應(yīng)小組可以實地看到安全事件的形態(tài)和影響����,也可以通過工具直接進(jìn)行測試�����,結(jié)合當(dāng)前掃描�、探測、實時監(jiān)控和審計的結(jié)果進(jìn)行分析����,可以更容易定位出問題所在。
第三步:事件處理
事件響應(yīng)小組最主要的任務(wù)就是維持或恢復(fù)組織的運作����。因此,一旦發(fā)生意外事件�����,如何防止攻擊或損害事件的擴(kuò)大是其主要的目標(biāo),相關(guān)人員在現(xiàn)場或者遠(yuǎn)程依照不同事件類型進(jìn)行事件處理����。
在事件處理過程中有一些重要決策可能必須要做:
1. 是否要關(guān)閉或重啟系統(tǒng)?
2. 是否要中斷系統(tǒng)的網(wǎng)絡(luò)連接����?
3. 是否要關(guān)閉一些特定的服務(wù),如Telnet��、FTP等�����?
4. 是否要調(diào)整網(wǎng)絡(luò)設(shè)備或安全產(chǎn)品的策略配置�����?
5. 是否需要國家網(wǎng)絡(luò)安全機(jī)構(gòu)協(xié)助處理����?
某些處理辦法可能會暫時影響到組織的業(yè)務(wù)運轉(zhuǎn),但都是為了避免安全事件事態(tài)的擴(kuò)大�����,這也是在第一步中要把安全事件上報給上級領(lǐng)導(dǎo)的原因,事件處理過程中可能會帶來一定的風(fēng)險����,需要和組織主管進(jìn)行協(xié)商��,確定風(fēng)險可以接受才能真正實施事件處理方法�����。事件處理過程中����,要對每個處理的動作進(jìn)行詳細(xì)的記錄。
第四步:系統(tǒng)恢復(fù)���,防御
在抑制住了攻擊或損害事件的擴(kuò)大以后��,就要對系統(tǒng)進(jìn)行恢復(fù)����,使客戶業(yè)務(wù)重新運轉(zhuǎn)��。如果系統(tǒng)在故障點有備份,被攻擊的系統(tǒng)就用備份來恢復(fù)����;應(yīng)該從系統(tǒng)中徹底刪除諸如受到感染的文件;如果調(diào)整了網(wǎng)絡(luò)或安全產(chǎn)品���,要把所有安全上的變更作記錄�����。
第五步:事后分析與跟蹤
在安全事件處理完畢��,所有系統(tǒng)恢復(fù)正常以后�����,應(yīng)該針對事件進(jìn)行分析�����。集中所有相關(guān)人員來討論所發(fā)生的事件以及得到的經(jīng)驗教訓(xùn)�,并對現(xiàn)有的一些流程進(jìn)行重新評審���,對不適宜的環(huán)節(jié)進(jìn)行修改���。
在安全事件處理后的一段事件內(nèi)�,應(yīng)該密切關(guān)注系統(tǒng)恢復(fù)以后的安全狀況�,特別是曾經(jīng)出問題的地方。
服務(wù)原則
- 實時原則
- 規(guī)范性原則
- 最小性原則
- 保密性原則
服務(wù)時間
提供7×24小時的網(wǎng)絡(luò)信息安全事件的應(yīng)急響應(yīng)和技術(shù)支持��,以及相關(guān)問題的深入分析和必要的整改建議���,如有必要需提供現(xiàn)場服務(wù),響應(yīng)時間要求如下:
事件級別 | 事件類型 | 響應(yīng)時間 | 到現(xiàn)場時間 |
緊急 | 網(wǎng)絡(luò)信息安全事件導(dǎo)致系統(tǒng)癱瘓����、系統(tǒng)性能嚴(yán)重下降、大批量數(shù)據(jù)泄露或巨大經(jīng)濟(jì)損失等情況�。 | 即時電話響應(yīng) | 3小時 |
嚴(yán)重 | 網(wǎng)絡(luò)信息安全事件導(dǎo)致系統(tǒng)部分重要功能失效、系統(tǒng)性能明顯下降�����、較大量數(shù)據(jù)泄露或較大經(jīng)濟(jì)損失等情況�����。 | 即時電話響應(yīng) | 5小時 |
一般 | 網(wǎng)絡(luò)信息安全事件導(dǎo)致系統(tǒng)部分非重要性功能失效���、系統(tǒng)性能稍微下降����、小量數(shù)據(jù)泄露或較小經(jīng)濟(jì)損失等情況。 | 即時電話響應(yīng) | 8小時 |
輕微 | 網(wǎng)絡(luò)信息安全事件導(dǎo)致系統(tǒng)輕微故障�����,沒有發(fā)生數(shù)據(jù)泄露或經(jīng)濟(jì)損失�。 | 即時電話響應(yīng) | 24小時 |
注:“到現(xiàn)場時間”以行方向廣聚安全項目組明確提出現(xiàn)場支持服務(wù)需求之時起計算。
400-001-9776
