文档信息
文档名称
|
应急响应预案
|
文档编号
|
|
文档类别
|
策略方针 □管理制度 ■工作流程 □操作指南 □运维记录 □其他 □
|
当前版本
|
1.0
|
创建日期
|
2020-10-18
|
文档编辑部门
|
信息中心
|
文档作者
|
|
联系方式
|
|
修订记录
文档版本
|
日期
|
修改人员
|
审阅人员
|
修订摘要
|
V1.0
|
2020-10-18
|
|
|
建立文档
|
|
|
|
|
|
审批发布
序号
|
审核记录
|
日期
|
审阅人员
|
1
|
审阅
|
2020-10-18
|
|
2
|
正式核准发布
|
2020-10-18
|
|
3
|
|
|
|
一总则
目的。为规范应急响应工作内容和流程,提高自身的应急响应能力,完善应急响应机制,确保信息系统的安全和业务的连续性,依据《信息安全管理办法》制定本管理制度。
对象。本管理制度的对象针对网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件。
范围。本预案适用于本单位信息安全事件的应急响应工作。当发生重大信息安全事件时,启动本预案。
要求。信息系统的应急响应预案安全管理要求统一遵循《GB/T 22239-2019信息安全技术 信息系统安全等级保护基本要求》。
二应急响应策略
1.总体策略
(1)应急响应作为信息系统故障或发生异常事件的最后一道防线,必须高度重视,从技术、管理等多方面加以应对和处置;
(2)发生异常事件时不慌乱,接受应急响应及处置领导小组的统一管理,严密有序的组织应对和处置;
(3)发生泄密事件时,须提高事件处置的等级,优先处理泄密事件;
(4)发生异常事件时,须按照“快速恢复,减少损失”的要求来进行处置,以最快的速度恢复至事件前的状态,并将事件造成的不良影响降低至最低程度;
(5)按照PDCA模型处理应急响应事件,遵循“应急响应-知识查询-问题排除-知识库修复”的操作流程不断丰富应急响应知识库,为全面运行和管理涉密信息系统提供理论支撑和最佳实践经验;
(6)每年适当增加应急响应的工作经费,保障应急处置的顺利工作;
(7)应急培训和演练须务实,不留死角。对培训和演练须不断进行总结和评估。
2.泄密事件处置策略
(1)坚持预防为主的策略,最低程度减少泄密事件发生的可能性;
(2)发生泄密事件,首先要采取断开网络、改变或终止用户权限等措施切断泄密源头,控制泄密范围;
(3)发生泄密事件立即用口头或书面的形式向保密工作部门如实报告;
(4)在对泄密事件处置过程中,防止发生再次泄密事件;
(5)在对系统的泄漏隐患或风险进行重新评估,确认安全后,系统方能重新运行,对事件类型、发生原因、影响范围、补救措施和最终结果进行详细纪录;
(6)处置结束后,要针对本次泄密事件,进行认真总结和分析,防止今后在发生类似事件;
(7)若人为事故,对泄密责任人须采取处罚措施。
3.数据故障恢复事件策略
(1)首先要判断清楚故障原因,如分清是逻辑故障还是物理设备故障;
(2)如能简单恢复,则不需要进行复杂恢复;
(3)确保恢复数据的可用性。在恢复之前,对数据进行可用性测试;
(4)恢复之后必须进行新的数据库的备份;
(5)针对故障原因,调整数据备份和恢复策略;
(6)针对故障原因,针对硬件设备进行必要的调整和升级;
(7)若人为事故,对相关责任人员进行教育和处罚。
4.系统故障恢复策略;
(1)分析判断系统故障的准确原因,是操作不当还是软件漏洞;
(2)故障原因能够重现,应详细记录故障现象;
(3)分析系统故障原因是否与设置的策略有矛盾和冲突;
(4)系统重新安装或升级之前做好数据备份以及测试工作,以防无法回退;
(5)系统重新安装或升级之后须做好策略的调整工作;
(6)若人为事故,对相关责任人员进行教育和处罚。
5.设备故障恢复策略;
(1)分析判断是系统故障还是设备故障,若是设备故障,须定位故障设备;
(2)故障原因能够重现,应详细记录故障现象;
(3)故障设备替换之前,须做好数据备份、策略备份;
(4)故障设备在维修之前须查看设备是否涉密,若涉密,则按涉密维修的流程处理;
(5)涉密故障设备在维修之前须先用数据清除等工具彻底清除保密数据;
(6)新设备重新安装之后,须做好设备的安全策略设置;
(7)对关键设备实施冗余配置,提高其运行可靠性;
(8)若人为事故,对相关责任人员进行教育和处罚。
6.系统运行策略
(1)定期进行数据备份;
(2)不得在系统内安装非授权的软件;
(3)不得在系统内接入非授权的设备;
(4)每天进行数据的监控和审计工作;
(5)定期开展信息安全检查工作;
(6)各类信息或设备的访问权限须严格控制。
(7)针对应用需要,不断调整和优化详细安全策略。
(8)定期对系统风险、威胁等进行风险评估。
三基本原则
1.坚持预防为主
提高的信息安全防护意识和水平,加强信息系统安全体系建设,按照涉密系统信息系统建设运行的特点和规律积极做好日常安全工作,开展安全教育和培训工作,建立完善的安全管理、监督和审查制度,提高各部门应对突发信息安全事件的能力。
2.提高快速反应能力
建立信息安全预警和事件快速反应机制,建立高效的事件汇报渠道,强化人力、物力、财力储备,增强应急处理能力。保证对信息安全事件做到早发现、早报告、早处理、早恢复等环节的紧密衔接,一旦出现影响信息系统的安全事件,快速反应,及时准确处置。
3.加强安全监管
在网络安全监控系统的基础上,建立完善的信息系统安全监控和管理机制,对数据库服务器、业务系统、应用系统和网络状况进行持续和重点监控,及时发现信息安全隐患和事件迹象,进行安全预警并采取针对性的应对措施。
4.责任到人、制度保障
明确信息安全应急响应工作的角色和职责,保证各项工作责任到人,建立应急响应各项工作的处理流程,实现应急响应工作的规范化、制度化和流程化。
四组织指挥和职责
成立网络与信息安全应急响应小组,由张德超任组长,纪文杰任副组长,王学松,罗淮,高寒为成员。应急响应小组的主要职责与任务是统一领导单位内信息网络的安全应急工作,处置单位机关内信息网络的突发事件。
五应急响应的流程
1.事件分析
事件分析主要完成如下工作:
(1)在发生信息安全事件后,应急响应小组对事件进行确认。
(2)确认为信息安全事件后,根据应急处理事件分类规则对事件进行定性、定级和上报。
(3)根据对事件的初步分析,确定应急处理方式,如果应急响应小组以自身力量无法处理的事件,由信息安全领导小组提出应急支援请求。
2.事件处理
事件处理主要包括以下内容:
(1)泄密安全事件发生时,要及时的用口头或书面的形式向保密工作部门如实报告并上报上级主管部门的保密机构,同时采取断开网络、改变或终止用户权限等措施切断泄密源头,控制泄密范围,并及时对系统隐患进行修补。在对系统的泄漏隐患或风险进行重新评估,确认安全后,系统方能重新运行,对事件类型、发生原因、影响范围、补救措施和最终结果进行详细纪录。
(2)系统运行安全事件发生时,应分析是否存在针对该事件的特定系统预案,如果存在则启动特定系统应急预案,如果涉及多个特定系统预案,应同时启动所有涉及的特定系统预案。分析是否存在针对该事件的专题预案,如果存在则启动专题预案,如果事件涉及多个专题预案,应同时启动所有涉及的专题预案。
(3)如果没有针对该事件的应急预案,应根据事件具体情况,采取抑制措施,抑制事件进一步扩散,并根除事件影响,恢复系统运行。
3.结束响应
(1)系统恢复运行后,应急响应小组对事件造成的损失、事件处理流程、应急预案进行评估,对响应流程、预案提出修改意见,撰写事件处理报告。应急响应小组应根据《应急响应管理制度》要求,确定是否需要上报该事件及其处理过程,需要上报的应及时准备相关材料,上报上级机关。
(2)对于蠕虫、病毒等易造成大范围传播的信息安全事件,应及时向应急办提交预警信息。
(3)应急响应流程结束。
六不同事件的应急预案
当人为、病毒破坏或设备损坏的灾害发生时,具体按以下顺序进行:判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的IP或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照灾害发生的性质分别采用以下方案:
1.网站、网页出现非法言论事件紧急处置措施?
(1)网站、网页由信息所值班人员负责随时密切监视信息内容;
(2)发现在网上出现内容被篡改或非法信息时,值班人员立即向本单位信息安全负责人通报情况;情况紧急的,首先中断服务器网线连接,再按程序报告;?
(3)信息安全相关负责人应在接到通知后立即赶到现场,作好必要记录,清理非法信息,妥善保存有关记录及日志或审计记录,强化安全防范措施,并将网站网页重新投入使用;?
(4)追查非法信息来源,并将有关情况向本单位信息安全领导小组汇报;
(5)信息安全领导小组召开会议,如认为事态严重,立即向公安部门报警。
2.黑客攻击事件紧急处置措施??
(1)当发现黑客正在进行攻击时或者已经被攻击时,首先将被攻击的服务器等设备从网络中隔离出来,保护现场,并将有关情况向信息安全领导小组汇报;
(2)信息安全相关负责人应在接到通知后立即赶到现场,对现场进行分析,并做好记录,必要时上报主管部门;??
(3)恢复与重建被攻击或破坏系统;
(4)信息化领导小组召开会议,如认为事态严重则立即公安部门报警。??
3.病毒事件紧急处置措施?
(1)当发现有计算机被感染上病毒后,应立即向信息安全负责任人报告,将该机从网络上隔离开;
(2)信息安全相关负责人员在接到通报后立即赶到现场,对该设备的硬盘进行数据备份;
(3)启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作;
(4)如果现行反病毒软件无法清除该病毒,应及时向信息安全领导小组报告,并迅速联系有关产品商研究解决;
(5)信息安全领导小组开会研究,认为情况严重的,立即向公安部门报警。
4.软件系统遭到破坏性攻击的紧急处置措施
(1)重要的软件系统平时必须有备份,与软件系统相对应的数据必须按容灾备份规定的间隔按时进行备份,并将它们保存于安全处;
(2)一旦软件遭到破坏性攻击立即将该系统停止,并信息安全负责人报告。
(3)检查信息系统的日志等资料,确定攻击来源,并将有关情况向信息安全领导小组汇报,再恢复软件系统和数据;
(4)信息安全领导小组召开会议,如认为事态严重,立即向公安部门报警
5.数据库安全紧急处置措施
(1)对于重要的信息系统,主要数据库系统应按双机设备设置,并至少要准备两个以上数据库备份,一个备份放在机房,一个备份放在另一安全建筑物中;
(2)若数据库崩溃,值班人员立即启动备用系统,向信息安全负责人报告;
(3)在备用系统运行期间,信息安全工作人员应对主机系统进行维修并作数据恢复;
(4)如果两套系统均崩溃而无法恢复,应立即向有关厂商请求紧急支援
6.广域网外部线路中断紧急处置措施
(1)广域网线路中断后,值班人员应立即向信息安全负责人报告;
(2)信息安全相关负责人员接到报告后,应迅速判断故障节点,查明故障原因,如书我方管辖范围,应立即予以恢复,如属电信部门管辖范围,立即与电信维护部门联系,要求恢复。
(3)如有必要,向信息安全领导小组汇报。
7.局域网中断紧急处置措施
(1)设备管理部门平时应将准备好网络设备放在指定的位置;
(2)局域网中断后,信息安全相关负责人应立即判断故障节点,查明故障原因并向网络安全小组汇报;
(3)如属线路故障,应重新安装线路,如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备去除接上,并调试通畅,如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试通畅;
(4)如有必要,向信息安全领导小组汇报。
8.设备安全紧急处置措施
(1)服务器等关键设备损坏后,值班人员应立即向信息安全小组汇报;
(2)信息安全相关负责人员立即查明原因,如果能够自行恢复,应立即用备用部件替换受损部件,如属不能自行恢复的。立即与设备提供商联系,请求派维护人员前来维修;
(3)如果设备一时不能恢复,立即向信息安全领导小组汇报。
当发生的灾害为自然灾害时,应根据当时的实际情况保障数据的安全,在保障人员人身安全的前提下,保障设备安全,如硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
当发生火灾时,若因用电等原因引出火灾,立即切断电源,拨打119报警,组织人员开启灭火器进行扑救:
1.对于初起火灾,现场人员应立即实施扑救工作,使用灭火器实施扑救工作;
2.火势较大时,应立即拨打119火灾报警电话和根据火灾情况启动有关消防设备,通知有关人员到场灭火;
3.在保障人员安全的情况下,保护数据及设备。
七应急处置演练制度
为保证应急行动的能力,应每年至少组织一次应急行动演练,以提高处理应急事件的能力,检验物资器材的完好情况。
应急响应演练按如下步骤进行:
(1)由信息安全工作小组确定应急响应演练的目标和应急响应演练的范围;
(2)按信息安全工作小组要求,由应急响应小组制定应急响应演练的方案;
(3)信息安全工作小组调配应急响应演练所需的各项资源,并协调应急响应演练过程中涉及的部门和单位;
(4)信息安全工作小组组织并监督应急响应小组进行应急演练;
(5)信息安全工作小组对应急演练进行评估,并向信息安全领导小组报告演练结果;
(6)信息安全应急响应小组总结经验,根据演练结果对应急预案进行更新,并对的应急工作整改。
(7)在应急响应演练结束之后,应急响应小组应针对应急响应工作过程中遇到的问题,分析应急响应预案的科学性和合理性,针对预案中的问题向应急办提出修改建议。信息安全工作小组组织对修改意见进行评估,修改后的预案应经评估通过后,上报信息安全领导小组,经批准后发布实施。
(8)在上级部门预案或相关的法律标准修改后,本预案应进行调整与其保持一致。调整后,信息安全工作小组对其评审,评审通过后上报信息安全领导小组,经批准后发布实施。
八应急响应总结制度
应急处置结束后,须进行以下工作:
(1)召开应急事件总结会议。
(2)分析异常事件发生的原因,形成信息安全事件原因分析报告。
(3)有关人员编制安全事件处置报告。报告内容包括事件发生事件、地点,监测到时间的事件、地点,事件的处理过程,事件的处理方法,事件造成的影响,可吸取的经验报告。
(4)对相关责任人员进行严肃的批评和教育,指出其工作中的缺陷,并让其提供总结报告。情节严重的,给予书面警告、除名等处罚措施。
(5)针对发生的事件的起因,分析改进的措施和补救方法,从技术和管理上加以改进,坚决杜绝类似事件在今后发生。
(6)技术改进措施:
n
针对脆弱性或漏洞,检查涉密信息系统的位置,找出并进行改进或加固;
n
改进应急方案内容,使应急方案满足今后的日常监测和应急需要;
n
增加可能出现故障设备的备份设备,增加单点设备的备份设备;
n
更换或升级经常出故障的产品。
n
对本次应急处理的处理方法进行归档,作为知识库进行保管。
(7)管理改进措施:
n
修改相关制度和岗位工作任务和职责;
n
落实人员的岗位职责;
n
进一步做好系统的日常运维工作;
n
加强教育,培养人员的安全意识;
n
进一步加强安全检查,以检查促安全。
九保障措施
1.人员保障
人力资源的保障是应急保障措施中的一项重要工作内容。为了提高应急响应小组的人员素质,应针对本单位的应急响应工作任务,对系统相关的人员进行培训,知道如何以及何时使用应急计划中的控制手段及恢复策略,保证执行应急计划应具有的能力。
在应急响应工作中,各部门工作人员应服从应急办的统一协调和安排。
2.设备保障
为保证在发生信息安全事件时应急工具及设备能够立即投入使用,有效支持应急响应工作,应加强对这些工具及设备的日常维护,保证其随时处于可用状态。应急工作中涉及的关键设备包括:网络分析仪、数据恢复工具、流量监控设备。
另外,应急响应小组还应注意跟踪最新的技术发展动态,收集、整理其他应急响应相关工具,包括文件完整性检测工具、木马/后门检测工具等等。对于病毒库、脆弱性评估系统插件库等应及时更新;根据工作需要,应急响应工作缺乏的设备或工具软件应及时采购。
3.技术资料保障
全面的技术资料是高效的应急响应工作的前提和基础,应急技术资料是网络和信息系统重要技术信息,包括网络拓扑结构、重要系统或设备的型号及配置(操作系统及版本号、应用软件及版本号等)、主要设备厂商信息、设备使用人员的详细信息等。这些信息必须及时更新,以保证与实际系统的一致性。
各部门还应根据需要对系统进行风险评估,随时掌握系统安全状况和存在的残余风险。
4.经费保障
财务部门应在每年的财务预算中安排应急响应工作所需网络与信息安全专项经费。
5.后勤保障
在应急响应工作中,行政部门应做好充分的后勤保障工作,包括应急人员的饮食,交通工具和通信联络等等,确保应急响应工作的顺利开展。
6.可持续保障
应针对计划的正确性和完整性进行定期检查,在计划发生重大变化时应立即检查;根据业务应用的重要程度的不同,不断对计划内容和规程进行评估和完善。
十应急预案的审查
为更好的处理安全事件以及可能发生的事件,应对应急预案进行定期的审查与更新。
1.评审方法?
应急预案评审采取形式评审和要素评审两种方法。形式评审主要用于应急预案备案时的评审,要素评审用于应急预案评审工作。应急预案评审采用符合、基本符合、不符合三种意见进行判定。对于基本符合和不符合的项目,应给出具体修改意见或建议。
(1)形式评审
依据有关规范,对应急预案的层次结构、内容格式、语言文字、附件项目以及编制程序等内容进行审查,重点审查应急预案的规范性和编制程序。
(2)要素评审
依据国家有关法律法规和行业规章,从合法性、完整性、针对性、实用性、科学性、操作性和衔接性等方面对应急预案进行评审。为细化评审,采用列表方式分别对应急预案的要素进行评审。评审时,将应急预案的要素内容与评审表中所列要素的内容进行对照,判断是否符合有关要求,指出存在问题及不足。应急预案要素分为关键要素和一般要素
①关键要素是指应急预案构成要素中必须规范的内容。包括风险分析、组织机构及职责、报告与处置和应急响应程序等要素。关键要素必须符合实际和有关规定。
②一般要素是指应急预案构成要素中可简写或省略的内容。包括应急预案中的编制目的、编制依据、适用范围、工作原则等要素。
2.评审程序?
应急预案编制完成后,应对应急预案进行评审。?
(1)评审准备
成立应急预案评审工作组,成员包括信息安全小组成员、相关负责人及安全管理人员。
(2)组织评审
评审工作由应急预案评审工作组讨论并提出会议评审意见。现场处置方案的评审,采取演练的方式对应急预案进行论证。
3.修订完善。
应急预案编制组织者及参与者应认真组织分析研究评审意见,按照评审意见与实际情况对应急预案进行修订和完善。
十一附则
对违反本制度的人员,将按照有关规定进行处罚。
本制度由信息安全工作小组负责制定、解释和修改。
本制度自发布之日起执行。
信息安全工作小组
2020年10月18日