在信息系统的日常运行过程中，协助客户及时发现并处理信息系统存在的各种风险，保障信息系统的安全稳定运行。

由于网络安全事件的发生时间是不可预测性的，除了我们提供定期为客户进行安全审计保障外，还为客户提供7×24小时的应急响应服务，将突发安全事件的影响控制到最小程度。

福建浩程信息科技有限公司安全项目成立了网络安全应急小组，小组成员24小时处于待命状态，一旦客户 计算机系统遭受入侵，安全专家将在2小时内到达现场帮助客户对入侵行为进行阻断、反击入侵行为，恢复客户系统的完整性和可用性，彻底清除入侵行为对客户 系统造成的影响，同时修补存在的安全漏洞。安全专家还将对入侵活动的全过程进行调查取证，获取入侵行为的相关证据，为公安机关的介入提供技术依据

紧急响应具体内容有

·    入侵来源分析

·     入侵行为特征分析

·     入侵目的分析

·     入侵方法分析

·     网络运行正常化

·     系统运行正常化

·      数据恢复

应急响应处理程序如下

准备阶段：人员准备——设备准备——预先分析

“凡事预则立，不预则废”。由于安全事件多数太复杂而且费时，在事件真正发生前为事件响应做好准备非常重要。准备是必须的，而不是一种奢侈。

检测阶段：异常分析情况——激活和增强审计——事件影响范围估计——检测阶段报告

就事件响应而 言，检测和入侵检测不是同义词。检测意味着弄清楚是否出现了恶意代码、文件和目录是否被篡改或其它异常特征，如果是的话，问题在哪里，影响范围有多大。入 侵检测是确定对系统的非法访问是否发生从操作的角度讲，事件响应过程中的所有动作依赖于检测。没有检测，就没有真正意义上的事件响应，检测触发了事件响 应。

抑制：抑制范围——抑制措施——抑制效果

抑制的目的是限制攻击的范围，同时也就限制了潜在的损失和破坏。抑制的相关活动只有在第二阶段，检测到事件已经的确发生的基础上才能进行。太多的安全事件可能迅速失控。抑制是非常重要的。

根除：根除措施——根除效果

在事件被抑制以后，应该找出事件根源并彻底根除。

恢复：恢复措施——恢复效果

根除之后是恢复。恢复过程因不同的组织机构而各异，不同的系统恢复过程必然不同，结构数据备份及灾难恢复系统完成
恢复时；
建议确保从完好的介质上执行一次完整的系统恢复，包括强制地修改所有的口令；
从最新的完整备份中恢复数据（或增量备份）；
从容错系统硬件如冗余磁盘阵列(RAID)中恢复镜象的数据或条纹数据(striped data)；
机密系统的恢复更为详细和费时，在此不赘述；
调整安全策略（修改防火墙、检测和日志设置）；
恢复正常的网络环境。

回顾：成果测试——差错处理——经验总结

跟进的整体目标是回顾并整合发生事件的相关信息

培训目标

通过全面、系统、最新、实用的网络安全专业课程，使得学员能全面掌握信息网络的安全体系、安全管理体系、信息安全标准、信息安全法律法规； 通过典型的网络安全攻防实践，使得学员掌握网络系统的安全特点，在实践中能够规划网络安全方案，搭建网络安全网络系统，制定网络安全策略，同时具有应对网络攻击的应急能力。 通过对各厂商产品的使用、维护、配置等方面的培训，使得学员在工作中能熟练的维护各安全产品。在出现各种安全事件时能很好的使用安全产品进行应急。

培训内容

管理层
1.安全意识培训
2.安全管理培训

应用层
1.安全意识培训
2.防病毒及桌面管理培训

系统维护层
1.产品使用、维护及故障排除等技术培训
2.提供新技术、新产品等方面的培训
3.安全攻防技术
4.UNIX安全管理
5.Windows系统安全管理