信息系統(tǒng)安全應急預案

33信息系統(tǒng)安全應急預案一、總則〔一〕編制目的系統(tǒng)和應用軟件系統(tǒng)；涉及計算機病毒的防范、入侵的監(jiān)控；涉及以用戶〔包括內部員工和外部相關機構人員〕為中心的安全治理，包括用戶的身份治理、身份認證、授權、審計等；涉及信息傳輸?shù)臋C密性、完整性、不行抵賴性等等。為切實加強我司網絡運行安全與信息安全的防范，做好應對網絡與信息安全突發(fā)公共大事的應急處理工作，進一步提高預防和把握網絡和信息安全突發(fā)大事的力量和水平，昀大限度地減輕或消退網絡與信息安全突發(fā)大事的危害和影響，確保網絡運行安全與信息安全，結合公司工作實際，特制定本應急預案。〔二〕編制依據(jù)3GB/T20269-2023《信息安全技術信息系統(tǒng)安全治理要求》、GB/T20270-2023《信息安全技術網絡根底安全技術要求》、GB/T20281-2023《信息安全技術防火墻技術要求和測試評價方法》、GB/T19716-2023《信息技術信息安全治理使用規(guī)章》等有關法規(guī)、規(guī)定，制定本預案。〔三〕本預案適用于******有限責任公司網絡與信息安全應急處理工作。二、應急組織機構及職責成立信息系統(tǒng)應急處理領導小組，負責領導、組織和協(xié)調全公司信息系統(tǒng)突發(fā)大事的應急保障工作。應急小組成員：組長：成員：應急小組日常工作由公司技術部擔當，其他各相關部門樂觀協(xié)作。應急小組職責：制訂專項應急預案，負責定期組織演練，監(jiān)視檢查各部門在本預案中履行職責狀況。對發(fā)生大事啟動應急救援預案進展決策，全面指揮應急救援工作。三、工作原則〔一〕樂觀防范、綜合防范應急處理、應急保障和打擊不法行為等環(huán)節(jié)，在治理、技術、宣傳等方面，實行多種措施，充分發(fā)揮各方面的作用，構筑網絡與信息安全保障體系〔二〕明確責任、分級負責加強計算機信息網絡安全的宣傳和教育，進一步提高工作人員的信息安全意識。〔三〕落實措施、確保安全要對機房、網絡設備等設施定期開展安全檢查，對覺察安全漏洞和隱患的進展準時整改?！菜摹晨茖W決策，快速反響準時獵取準確信息，跟蹤研判，準時報告，堅決決策，快速處理，昀大限度地削減危害和影響。四、大事分類和風險程度分析物理層的安全風險分析1、系統(tǒng)環(huán)境安全風險水災、火災、雷電等災難性故障引發(fā)的網絡中斷、系統(tǒng)癱瘓、數(shù)據(jù)被毀等；因接地不良、機房屏蔽性能差引起的靜電干擾或外界的電磁干擾使系統(tǒng)不能正常工作；機房電力設備和其它配套設備本身缺陷誘發(fā)信息系統(tǒng)故障；機房安全設施自動化水平低，不能有效監(jiān)控環(huán)境和信息系統(tǒng)工作；其它環(huán)境安全風險。2、物理設備的安全風險由于信息系統(tǒng)中大量地使用了網絡設備如交換機、路由器等，效勞器，移動在路由信息泄漏，交換機和路由器設備配置風險等?！捕尘W絡安全風險1、網絡體系構造的安全風險網絡平臺是一切應用系統(tǒng)建設的根底平臺，網絡體系構造是否依據(jù)安全體系構造和安全機制進展設計，直接關系到網絡平臺的安全保障力量。公司的網絡是由多個局域網和廣域網組成，網絡體系構造比較確，網絡的容量、帶寬是否考慮客戶上網的峰值，網絡設備有無冗余設計等都與安全風險親熱相關。2、網絡通信協(xié)議的安全風險。網絡通信協(xié)議存在安全漏洞，網絡黑客就能利用網絡設備和協(xié)議的安全漏洞進展網絡攻擊和信息竊絡的安全漏洞進展探測掃描；對通信線路和網絡設備實施拒絕效勞攻擊，造成線路擁塞和系統(tǒng)癱瘓。3、網絡操作系統(tǒng)的安全風險網絡操作系統(tǒng)，不管是IOS，Android，還是Windows，都存在安全漏洞；一些重要的網絡設備，備存在“后門”〔backdoor〕?！踩诚到y(tǒng)安全風險，還是Unix全漏洞帶來的安全風險是昀普遍的安全風險。2、數(shù)據(jù)庫安全風險要安全保護的信息資產，不僅需要統(tǒng)一的數(shù)據(jù)備份和恢復以及高可用性的保障機制，還需要對數(shù)據(jù)庫的安全治理，包括訪問把握，敏感數(shù)據(jù)的安全標簽，日志審計等多方面提升安全治理級別，躲避風險。雖然，目前公司的數(shù)據(jù)庫治理系統(tǒng)可以到達較高的安全級別，但仍存在安全漏洞。建立在其上的各種應用系統(tǒng)軟件在數(shù)據(jù)的安全治理設計上也不行避開地存在或多或少的安全缺陷，需要對數(shù)據(jù)庫和應用的安全性能進展綜合的檢測和評估。3、應用系統(tǒng)的安全風險為優(yōu)化整個應用系統(tǒng)的性能，無論是承受C／SB／S桌面應用系統(tǒng)的治理和使用不當，會帶來嚴峻的安全風險。例如當口令或通信密碼喪失、泄漏，系統(tǒng)治理權限喪失、泄漏時，輕者假冒合法身份用戶進展非法操作。重者，“黑客”對系統(tǒng)實施攻擊，造成系統(tǒng)崩潰。4、病毒危害風險盡管防病毒軟件安裝率已大幅度提升，但假設沒有好的防毒概念，從不進展病毒代碼升級，而病毒層出不窮，因此威逼性愈來愈大。5、黑客入侵風險Sniffer的安全漏洞，如網絡IP地址、應用操作系統(tǒng)的類型、開放哪些TCP安全信息的關鍵文件等，并承受相應的攻擊程序對內網進展攻擊。入侵者通過拒絕效勞攻擊，使得效勞器超負荷工作以至拒絕效勞甚至系統(tǒng)癱瘓。得合法用戶的用戶名、口令等信息，進而假冒內部合法身份進展非法登錄，竊取內部網重要信息，或使系統(tǒng)終止效勞。所以，必需要對外部和內部網絡進展必要的隔離，避開信息外泄；同時還要對外網的效勞懇求加以過濾，只允許正常通信的數(shù)據(jù)包到達相應主機，其它的懇求效勞在到達主機之前就應當遭到拒絕?！菜摹硲冒踩L險1、身份認證與授權把握的安全風險基于應用效勞和外部信息系統(tǒng)建立基于統(tǒng)一策略的用戶身份認證與授權把握機制，以區(qū)分不同的用戶和信息訪問者，并授予他們不同的信息訪問和事務處理權限。2、信息傳輸?shù)臋C密性和不行抵賴性風險實時信息是應用系統(tǒng)的重要事務處理信息，必需保證明時信息傳輸?shù)臋C密性和網上活動的不行抵賴碼治理委員會和公安部批準的加密方式、密碼算法和密鑰治理技術來強化這一環(huán)節(jié)的安全保障。3、治理層安全風險分析全風險，并實行相應的安全措施。責權不明、治理混亂、安全治理制度不健全及缺乏可操作性等都可能引起治理安全的風險。〔如內部人員的違規(guī)操作等〕，無法進展實時的檢測、監(jiān)控、報告與預警。同時，當故障發(fā)生后，也無法供給黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網絡的可控性與可審查性。這就要求人們必需對站點的訪問活動進展多層次的記錄，準時覺察非法入侵行為。五、預防預警〔一〕完善網絡與信息安全突發(fā)公共大事監(jiān)測、推測和預警制度。加強對各類網絡與信息安全突發(fā)大事和可能引起突發(fā)網絡與信息安全突發(fā)公共大事的有關信息的收集、分析、推斷和持續(xù)監(jiān)測。當檢查到有網絡與信息安全突發(fā)大事發(fā)生或可能發(fā)生時，應準時對發(fā)生大事影響范圍、大事性質、大事進展趨勢和實行的措施建議等。源使用特別；網絡或信息系統(tǒng)癱瘓，應用效勞中斷或數(shù)據(jù)篡改、喪失；網絡恐懼活動的嫌疑和預警信息；其他影響網絡與信息安全的信息。〔二〕設定信息安全等級保護，實行信息安全風險評估。毀性和災難恢復，制定并不斷完善信息安全應急處理預案。針對信息網絡的突發(fā)性、大規(guī)模安全大事，建立制度優(yōu)化、程序化的處理流程?！踩匙龊眯谄骷皵?shù)據(jù)中心的數(shù)據(jù)備份及登記工作，建立災難性數(shù)據(jù)恢復機制。將狀況向有關領導報告。在處置過程中，應準時報告處置工作進展狀況，直至處置工作完畢。六、處置流程〔一〕預案啟動大事來源，弄清大事范圍和評估大事帶來的影響和損害，一旦確認為網絡與信息安全大事后，馬上將大事上報工作組并著手處置。應急處理1、電源斷電查明故障緣由。檢查 UPS是否正常供電。匯報相關領導，確認市電恢復時間，評估UPS供電力量。備份效勞器數(shù)據(jù)、交換機配置。通知機房進展電源修理。做好大事記錄。數(shù)據(jù)損失。2、局域網中斷緊急處理措施信息安全負責人員馬上推斷故障節(jié)點，查明故障緣由，準時匯報。假設是線路故障，重安裝線路。假設是路由器、交換機等設備故障，應馬上從指定位置將備用設備取出接上，并調試暢通。假設是路由器、交換機等配置文件損壞，應快速依據(jù)要求重配置，并調試暢通。3、廣域網線路中斷信息安全負責人員應馬上推斷故障節(jié)點，查明故障緣由。如是我方管轄范圍，由信息安全負責人員馬上修理恢復。如是電信部門管轄范圍，應馬上與電信維護部門聯(lián)系修復。4、核心交換機故障檢查、備份核心交換機日志。啟用備用核心交換機，檢查接收狀況。備份核心交換機配置信息。心交換機，檢查各交換機運行狀況。匯報有關領導，做好大事記錄。5、光纜線路故障馬上聯(lián)系光纖熔接人員攜帶尾纖等關心材料，準時熔接連通。檢查并做好備用光纜或備用芯的跳線工作，隨時切換到備用網絡。6、計算機病毒爆發(fā)關閉計算機病毒爆發(fā)網段上聯(lián)端口。隔離中病毒計算機。關閉中病毒計算機上聯(lián)端口。依據(jù)病毒特征使用專用工具進展查殺。系統(tǒng)損壞計算機在備份其數(shù)據(jù)后，進展重裝。通過專用工具對網絡進展清查。7、效勞器設備故障主要效勞器應做多個數(shù)據(jù)備份。硬盤，網卡、主板損壞啟用備用效勞器。假設數(shù)據(jù)庫崩潰應馬上啟用備用系統(tǒng)。并檢查備用效勞器啟用狀況。對主機系統(tǒng)進展修理并做數(shù)據(jù)恢復。如不能恢復，馬上聯(lián)系設備供給商，要求派維護人員前來修理。8、黑客攻擊大事假設通過入侵監(jiān)測系統(tǒng)覺察有黑客進展攻擊，馬上通知相關人員處理。將被攻擊的效勞器等設備從網絡中隔離出來。準時恢復重建被攻擊或被破壞的系統(tǒng)9、數(shù)據(jù)庫安全大事尋常應對數(shù)據(jù)庫系統(tǒng)做多個備份。實行相應措施：如更改數(shù)據(jù)庫密碼，修復錯誤受損數(shù)據(jù)。運行期間，信息安全人員應對主機系統(tǒng)進展修理并作數(shù)據(jù)恢復。10、人員疏散與機房滅火預案當班人員覺察機房內有起火、冒煙現(xiàn)象或聞到燒焦氣味時，應馬上查明緣由和地點，準時上報織本單位、部門在場的人員有序地投入撲救工作，將火撲滅或把握火勢集中。打破報警器示警。二是組織四周人員快速撤離。的機器、數(shù)據(jù)要準時轉移到安全地點，并派人員守護，確保安全。好現(xiàn)場保護工作和防止起火點復燃。11、發(fā)生自然災難后的緊急措施算機網絡工作。雷暴天氣完畢后，準時開通效勞器，恢復內部計算機網絡工作。備或備用數(shù)據(jù)。準時核實、報損，并將具體狀況向部門領導匯報。12、關鍵人員不在崗的緊急處置措施密封保存。一旦發(fā)生系統(tǒng)安全大事，關鍵人員不在崗且聯(lián)系不上或1小時內不能到達機房的狀況，首先應向領導小組匯報狀況。經領導小組批準后，啟用公司備份治理員密碼，由備用人員上崗操作。假設備用人員無法上崗，懇求軟件公司技術支援。關鍵人員到崗后，依據(jù)相關規(guī)定進展密碼設定和封存。做好大事記錄?！踩澈罄m(xù)處理安全大事進展昀初的應急處置以后，應準時實行行動，抑制其影響的進一步擴大，限制潛在的損失與破壞，同時要確保應急處置措施對涉及的