Safe.sh安全应急响应服务

*  短时间内修复系统
*  查找入侵来源，清除系统中的后门
*  对被入侵系统进行安全增强和加固
*  为客户提供详细的解决方案
*  提供详细的事件处理报告

1、服务目标：
Safe.sh及时响应客户信息系统的安全紧急事件，保证事件的损失降到最小。
服务主要内容：
·Safe.sh 7*24*365快速响应服务，4小时响应（本地）
Safe.sh提供全天候的紧急响应服务，本地在4个小时内到达现场
· 判定安全事件类型
从网络流量、系统和IDS日志记录、桌面日志中判断安全事件类型。查明安全事件原因，确定安全事件的威胁和破坏的严重程度。查明安全事件原因，确定安全事件的威胁和破坏的严重程度。
· 抑制事态发展
抑制事态发展是为了将事故的损害降低到最小化。在这一步中，通常会将受影响系统和服务隔离。这一点对保持系统的可用性是非常重要的。
· 排除系统故障
针对发现的安全事件来源，排除潜在的隐患，消除安全威胁，彻底解决安全问题。
· 恢复信息系统正常操作
Safe.sh在根除问题后，将已经被攻击设备或由于事故造成的系统损坏做恢复性工作，使网络系统能在尽可能短的时间内恢复正常的网络服务。
· 客户信息系统安全加固
Safe.sh对系统中发现的漏洞进行安全加固，消除安全隐患。
· 重新评估客户信息系统的安全性能
Safe.sh将重新评价客户系统的安全特性，确保在一定的时间范围内，不发生同类的安全事件。

2、服务特点：
· Safe.sh资深安全专家随时待命，快速响应。
· 阻断、反击与调查取证相结合，既及时地保证客户系统的可用性又最大限度地取得攻击行为的法律证据，为将入侵者绳之以法提供足够的技术条件。
· 与公安机关配合，寻求法律的保护。

3 、实施流程：

 
4 、流程说明：
（ 1 ）客户提交紧急响应请求

客户发现以下现象时，可能发生了计算机安全事故：
•  系统性能严重下降，有奇怪的进程运行并占用大量的 CPU 处理时间；
•  网络性能严重下降，用户反映无法正常使用服务；
•  在系统日志中发现非法登录者；
•  发现系统感染计算机病毒；
•  发现有人在不断强行登录系统；
•  系统中出现奇怪的新用户帐号；
•  管理员收到来自其它站点系统管理员的警告信，指出系统可能被威胁；

客户发起紧急响应请求，打电话或传真紧急响应请求书，简单说明发现的事件现象、主机的物理位置、联系人、联系电话等。

（ 2 ）事件通告

值班人员快速将客户的紧急响应请求书通知咨询中心下设事件接收小组。事件接收小组第一时间通知最近的事件处理小组，然后通知紧急事件应急小组。由紧急事件应急小组主管负责是否通知其它技术和管理人员。在事件通告后，各部门应以文字方式记录以下信息：
•  安全事件的发现日期和时间；
•  与事件相关的电话联系日期和时间；
•  通知到的相关人员；
•  事故涉及的系统名称、现象等；

（ 3 ）确定事件等级
由事件处理小组成员分析事件的具体现象，确定是否属于安全事件。如果不属于安全事件，通报申请单位另做处理。如果为安全事件，则确定安全事件的等级，然后根据等级确定随后的处理步骤，确定到底需要调动哪些资源，是否需要联系相关机构、合作伙伴等，确定此事件的具体处理人员。

（ 4 ）事件处理
指派安全事件处理成员现场处理。
处理过程中，研究中心需要随时配合，如果事件处理小组无法解决问题，提交到紧急事件应急小组，由紧急事件应急小组处理。同时回复客户给出一个暂时建议。

紧急事件应急小组负责所有技术研究。对于所有事件，需要进行归类整理。

（ 5 ）事件总结和入侵分析报告
事件处理完毕，系统恢复正常运行后，要对整个事故进行分析研究，总结经验教训，并形成一个紧急响应总结报告。报告中应详细记录紧急响应事件的起因、处理过程、建议改进的安全方案等，备案做为内部参考。

向客户提供紧急响应和入侵分析报告，详细描述整个事件的经过，记录紧急响应事件的起因、处理过程等，说明我们所做的每一步工作内容。进行黑客的入侵行为分析，分析黑客的入侵程度、具体手法，如有可能追查到具体的人员。

报告由事件处理小组直接交与客户，并将付本交给紧急事件应急小组。由紧急事件应急小组归档备案。