信息安全专家谈：应急处理服务实践探索.doc

信息安全专家谈：应急处理服务实践探索 应急处理服务是指在处理信息安全事件时提供现场或远程紧急援助的一系列技术和非技术措施和行动。由于信息安全本身具有的专业性和复杂性，同时应急处理服务要求技术人员在不断变化的压力环境中能够快速专业的解决信息安全问题，客户一般必须依赖专业的信息安全单位才能处理。依据相关标准，联想网御结合自身在实际项目的经验，总结出以下七类应急响应事件：一般应急处理服务包括准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段和总结六阶段，联想网御根据实际项目中的可操作性总结实际流程和服务内容如下：联想网御基于对国内外相关应急处理理论的理解，结合自身多年大型安全服务的实际经验，凭借高素质的安全服务专家队伍，承担实施了某国家部委连续5年应急处理服务、某国内大型保险公司全国连续3年应急处理服务、国内大型电信客户应急处理服务等数十个应急处理服务项目；奥运期间承担了部分国家部委和北京市政府应急处理服务，为奥运安保做出了重要的贡献，联想网御安全服务团队经过一系列大项目和紧急项目实施的锤炼，具备了丰富的项目实践经验和较高的项目实施水平。我们认为应急处理中有以下几方面值得用户重视和注意：资质的可信度：由于安全服务商必须深入掌握用户的内部信息，如果安全服务商不可信，会引入更大信息安全风险。信息安全目前国内是一个多部门管理的行业，包括信息安全认证中心、信息安全测评中心、公安部、保密局、机要局、信息办等部门都有专业资质要求，相对于安全服务企业也有资质要求，因此在选择信息安全服务企业时应该搞清楚服务商有没有国家权威机构颁发的服务资质、资质的级别以及是否有能力胜任此项工作。认识水平：该服务商是否具有对信息系统、业务系统、安全系统的一个正确评价和与之相关的对国外相关理论、标准、体系、管理等方面的最新的知识，如服务商依据本身长期服务经验形成自身的方法论，才能从理论高度保证信息安全服务的先进性、全面性、系统性。实践经验：要看服务商是否有成功的案例，能否真正的解决疑难问题，是否有技术管理和专家顾问来保证疑难问题的解决，是否有一套标准的服务、响应、测试程序或软件，是否有成熟的项目管理流程等。人员素质：拥有CISP、CISA、CCIE、BSI、PMP等专业认证的信息安全专家、网络专家及项目管理专家，以及经过实际项目锤炼的电信、政府、金融等领域的行业资深专家，另外，由知名的网络安全渗透测试和漏洞研究专家组成的安全服务专家组也甚为重要。团队稳定性：看服务商是否拥有相对稳定的服务人员，能够延续服务的稳定成熟，并切实保守自己和相关公司的秘密等。服务覆盖范围：该公司不仅仅应对病毒、防火墙、VPN、入侵检测、加密等产品的技术层面能够提供响应、监控和以及与厂商有良好关系，还能够对安全漏洞、安全隐患和安全状态做出专业报告，更应该对安全策略、安全管理、安全投资提供一体化的建议，如本身是全线安全产品和服务提供商能提供更有服务深度和快速的服务。中国信息安全认证中心的信息安全应急处理服务资质规范了管理与技术措施，包括人员、规模与资产要求、设备与环境、项目管理、响应时间、业绩、质量保证和应急服务能力要求等，共划分三级，其中一级为最高级，此项资质是目前国内安全应急处理服务的最高资质。2008年12月22日，联想网御科技（