【正文】 譽、品牌等等已遠遠超過了購買價格 ? …… 有效保護網絡與信息安全的核心是進行持續(xù)、科學的風險管理！ 12 目錄 ?安全基本概念 ?安全工作范疇 ?安全事件分類分級 ?安全事件監(jiān)控和處理流程 ?安全事件案例 ?安全監(jiān)控工作思路 13 ? 惡意軟件類： 指蓄意制造、傳播惡意軟件，或是因受到惡意軟件的影響而導致的告警事件。包括計算機病毒、木馬和蠕蟲等。 ? 網絡攻擊類： 包括拒絕服務攻擊，是指利用信息系統(tǒng)缺陷、或通過暴力攻擊的手段，以大量消耗信息系統(tǒng)的 CPU、內存、磁盤空間或網絡帶寬等資源，從而影響信息系統(tǒng)正常運行為目的的信息安全事件，漏洞攻擊等子類。 ? 信息破壞類 ： 是指通過網絡或其他技術手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導致的安全告警 ，包括網頁篡改，釣魚網站等子類。 ? 信息內容安全類： 是指利用信息網絡發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的內容而導致的安全告警，包括垃圾郵件等子類。 ? 安全設備故障類： 是指由于安全設備自身故障或外圍保障設施故障而導致的安全告警，包括硬件告警和軟件告警子類，也可以歸入通信網元類告警事件。 安全事件告警分類 14 ? 安全告警的級別可參考下列三個要素：系統(tǒng)的重要程度、系統(tǒng)損失和社會影響 指蓄意 安全事件告警級別定義 重要 系統(tǒng) 重要 程度 中等 一般 一般 中等 重要 原始告警級別 15 ? 安全告警的分級需要考慮的因素包括：安全告警的原始告警級別、資產的重要等級以及實際安全告警本身相關的信息要素如（告警源和目的 IP、事件發(fā)生的頻率、事件的實際影響程度等等）。 ? 實際安全告警級別設定，需要在此基礎上，結合實際的網絡情況和告警信息相關要素綜合考慮，對安全事件重要等級進行相應調整。 ? 具體級別調整可以根據（但不局限）下列幾個條件進行： – 安全告警發(fā)生的頻度 – 告警事件本身的影響和破壞程度 – 時間敏感型的安全事件 – …… 安全事件告警級別調整 16 目錄 ?安全基本概念 ?安全事件分類分級 ?安全事件監(jiān)控和處理流程 ?安全事件案例 ?安全監(jiān)控工作思路 ?信息安全基礎知識 17 ? 安全事件監(jiān)控：負責本省通信網、業(yè)務系統(tǒng)和網管系統(tǒng)的安全告警監(jiān)控，及時發(fā)現安全事件并上報，并派單和督促解決。 ? 安全投訴受理：負責本省范圍的安全投訴的受理，及時受理并派單和督促解決，及時反饋處理省內處理結果。 安全監(jiān)控工作 18 ? 安全事件應急響應是指針對已經發(fā)生或可能發(fā)生的安全事件進行監(jiān)控、分析、協(xié)調、處理、保護資產安全屬性的活動 。 ? 一般包括 6個階段（ PDCERF）：準備、檢測、抑制、根除、恢復和跟進。 安全事件應急響應流程（ 1） 準備階段 /Prepairing 檢測階段 /Detection 抑制階段 /Control 根除階段 /Eradicate 恢復階段 /Restore 跟進階段 /Follow 19 ? 準備階段： 即在事件真正發(fā)生前為事件響應做好準備，如應急預案的準備和監(jiān)控人員和手段的準備。 ? 檢測階段： 檢測是指以適當的方法確認在系統(tǒng) /網絡中是否出現了惡意代碼、文件和目錄是否被篡改等異?；顒?/現象。如果可能的話同時確定它的影響范圍和問題原因。在操作的角度來講，事件響應過程中所有的后續(xù)階段都依賴于檢測，如果沒有檢測，就不會存在真正意義上的事件響應。檢測階段是事件響應的觸發(fā)條件。 ? 抑制階段： 抑制階段是事件響應的第三個階段，它的目的是限制攻擊 /破壞所波及的范圍，如對蠕蟲病毒傳播端口的封堵。 ? 根除階段： 即在準確的抑制事件后，找出事件的根源并徹底根除它，以避免攻擊者再次使用相同手段攻擊系統(tǒng)，引發(fā)安全事件。在根除階段中將需要利用到在準備階段中產生的結果，如病毒的根除。 ? 恢復階段： 將事件的根源根除后，將進入恢復階段?；謴碗A段的目標是把所有被攻破的系統(tǒng)或網絡設備還原到它們正常的任務狀態(tài)。 ? 跟進階段： 最后一個階段是跟進階段，其目標是回顧并整合發(fā)生事件的相關信息。跟進階段也是 6個階段中最可能被忽略的階段。但這一步也是非常關鍵的，如總結如何防范事件的發(fā)生等。 安全事件應急響應流程（ 2） 20 ? 安全事件監(jiān)控的流程舉例如下，應通過電子工單流轉并形成閉環(huán) 。 安全事件監(jiān)控流程 安 全 事 件 監(jiān) 控 流 程安全事件發(fā)現安全事件處理總結說 明相 關 處 室網 絡 監(jiān) 控 處 網 管 安 全 支 撐 崗網 絡 監(jiān) 控 處 網 管 安 全 監(jiān) 控 崗將 工 單 轉 發(fā) 至 所 屬系 統(tǒng) 對 應 負 責 處 室（ 維 護 優(yōu) 化 處 / 網 管支 撐 處 / 網 絡 安 全 處等 ）參 考 安 全 專業(yè) 重 大 故 障定 義 ， 按 照重 大 故 障 處理 流 程 處 理參 考 安 全 系 統(tǒng) 告 警處 理 手 冊 進 行 告 警分 析 及 預 處 理網 管 安 全 監(jiān)控 操 作 手冊 、 安 全 告警 處 理 手 冊1 、 本 流 程 適 用 于 網 絡 監(jiān) 控 處收 接 收 到 或 主 動 發(fā) 現 的 安 全 事件 后 續(xù) 處 理 。2 、 相 關 處 室 指 維 護 優(yōu) 化 處 /網 絡 安 全 處 / 網 管 支 撐 處 等 。能 否 參 考 手 冊 自 行完 成 告 警 分 析 及 預處 理 ？重 大 故障 定 義及 流 程日常安全監(jiān)控 維護作業(yè)C M N e t 骨 干 網 流 量 異 常移 動 夢 網 網 站 首 頁 異 常骨 干 路 由 器 異 常 登 錄入 侵 檢 測 、 防 病 毒 、 防火 墻 系 統(tǒng) 安 全 告 警E O M S 派 發(fā) 工 單至 相 關 處 室 （ 維護 優(yōu) 化 處 / 網 管支 撐 處 / 網 絡 安全 處 等 ） 處 理郵 件 投 訴安 全 事 件安 全 監(jiān) 控 崗轉 發(fā) 的 告 警事 件安 全 類 工 單支 撐 崗 判 斷 能否 進 行 分