网络安全之安全运维管理

发布日期:2019-09-22 11:39   来源:未知   阅读:

  IT系统能否正常运行直接关系到业务或生产是否能够正常进行。但IT管理人员经常面临的问题是:网络变慢、设备发生故障、应用系统运行效率很低。IT系统的任何故障如果没有及时得到妥善处理都将会产生很大的影响,甚至会造成巨大的经济损失。

  IT部门通过采用相关的方法、手段、技术、制度、流程和文档等,对IT运行环境(如软硬件环境、网络环境等)、IT业务系统和IT运维人员进行综合管理,构建安全运行维护体系。

  1)应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理。

  2)应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理做出规定。

  1)应确保介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点。

  2)应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录。

  2)应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等。

  3)应确保信息处理设备必须经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时其中重要数据必须加密。

  4)含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,确保该设备上的敏感数据和授权软件无法被恢复重用。

  1)应采取必要的措施识别安全和隐患,对发现的安全和隐患及时进行修补或评估可能的影响后进行修补。

  3)应建立网络和系统安全管理制度,对安全策略、账号管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面做出规定。

  6)应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库。

  7)应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据。

  8)应严格控制远程的开通,经过审批后才可开通远程接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道。

  9)应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为。

  1)应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等。

  3)应建立中止变更并从失败变更中恢复的程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。

  3)应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。

  2)应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等。

  3)应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训。

  1)应规定统一的应急预案框架,并在此框架下制定不同事件的应急预案,包括启动预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。

  3)应确保选择的外包服务商在技术和管理方面均具有按照要求开展安全工作的能力,并将能力要求在签订的协议中明确。

  4)应在与外包运维服务商签订的协议中明确所有相关的安全要求。如可能涉及对敏感信息的访问、处理、存储要求,对IT基础设施中断服务的应急保障要求等。

  应建立机房管理制度,组织机房管理,提高机房安全保障水平,确保机房安全,通过对机房出入、值班、设备进出等进行管理和控制,防止对机房内部设备的非受权访问和信息泄露。

  确定机房的第一责任人,所有外来人员进入机房必须填写《机房进出申请表》(见表1),且经过第一责任人或授权人书面审批后方可进入。

  审批后的机房进入人员由当日的值班人员陪同,并登记《机房出入管理登记簿》(见表2),记录出入机房时间、人员、操作内容和陪同人员。

  相关设备移入、移出机房应经过责任人审批并留有记录。严禁在通电的情况下拆卸、移动计算机等设备和部件。

  保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮,至少每月由信息中心协调清洁人员,清洁一次灰尘。清洁期间当日值班人员必须全程陪同,防止清洁人员误操作。

  定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房空调的正常运行。

  机房内禁止随意丢弃存储介质和有关业务保密数据资料,对废弃存储介质和业务保密资料要及时销毁,不得作为普通垃圾处理。严禁机房内的设备、存储介质、资料、工具等私自出借或带出。

  进入机房工作的人员有责任在工作完成后及时清理工作场地、清除垃圾、做好设备标签、关闭机柜柜门。

  机房值班员由内部人员当日轮值值班员负责。机房值班人员应具有高度责任心,做到不迟到、不早退、不擅离职守。

  机房值班人员应按要求及时监控机房内设备,包括网络设备、服务器、存储、安全设备、UPS、空调等设备的运行,发现问题妥善解决,并向相关岗位管理员报告。

  值班人员负责当日的机房管理、安全检查;发现问题应及时报告相应系统或设备管理员,可协助初步处理网络、服务器及其他各类设备的技术问题,并做好处理记录。

  值班人员须按照事先确定的巡检频率定时巡检机房(每日至少一次),并填写《机房巡检记录单》(见表3)。

  组织应根据国家法律法规、行业要求、自身业务目标等识别信息生命周期(包括信息的创建、处理、存储、传输、删除和销毁)中相关的重要资产,并根据这些资产形成一份统一的信息资产清单。资产清单应至少包括资产类别、信息资产编号、资产现有编号、资产名称、所属部门、管理者、使用者、地点等相关信息。资产清单应有人负责进行维护,保证实时更新。

  组织应建立资产安全管理制度,使拥有资产访问权限的人员意识到他们使用信息处理设施时是需要按照制度流程使用的,并且要对因使用不当造成的后果负责,确保组织资产管理顺利开展。

  关于资产的分类,原则上可以分为硬件(设备、存储设备、网络设备、安全设备、传输介质等)、软件(、系统软件、应用软件等)、电子数据(源、数据、各种数据资料、系统文档、运行管理规程、计划等)、实体信息(纸质的各种文件,如传真、电报、财务报告、发展计划、合同、图纸等)、基础设施(UPS、空调、保险柜、文件柜、门禁、消防设施等)、人员(各级领导、正式员工、临时雇员等)。

  此外,还需要对收集的资产进行分级,按照信息资产的公开和敏感程度,以及信息资产对系统和组织的重要性,建议按照如下原则进行分级:对于文档(含电子文档与纸质文档)、介质类的数据载体,按照承载信息本身的公开和敏感程度,该类信息资产拟划分为“工作秘密”“内部公开”“外部公开”三级,针对不同级别的资产标识不同的保护等级。

  对于其他物理设备,按照其对系统和组织的重要程度,该类信息资产拟划分为“关键资产”“重要资产”“普通资产”三级,针对不同级别的资产标识不同的防护等级。

  制定信息资产存储介质的管理规程,防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断,对介质进行管理控制和物理的保护。

  介质标识一般至少应包含存储内容描述、创建日期、创建人、安全级别、责任人、存储位置等信息,统一做记录。

  介质应根据所承载的数据和软件的重要程度对其加贴标识并进行分类,存储在由专人管理的介质库或档案室中,防止被盗、被毁以及信息的非法泄漏,必要时应加密存储。

  如果介质中含有敏感信息,在被对外或内部传递时,必须放在标记的密封套子或是包装盒中,对介质中的信息进行加密,并亲自交付或安排专门的人员负责运送,对于含有秘密信息的存储介质在传递过程中必须亲自交给接受方。

  敏感信息被传递到外部时,内部的标签需要明确标记为敏感信息,外盒或封套不标记内部信息字样,由介质保管者确定是否满足包装要求,并在介质授权人批准授权后方可带出。发送给外部的介质必须得到正确的追踪。

  存储设备的使用人员在安装和使用时必须防止未授权的访问;介质需提供给第三方使用时,应先进行审批登记。

  必须对所有介质的出库和入库及其存储记录进行控制,如要从库中移出,由申请人或申请部门填写《介质进出记录表》(见表4)。对标记为限制类的介质需经过领导和该介质所属业务部门领导签字同意,对标记为涉密的介质需由高级管理层以上负责人签字同意,方可移出。该记录表至少保存1年以上,以备库存管理和审计。

  所有含有敏感信息的介质必须做好保密工作,禁止任何人擅自带离;如更换或维修属于合作方保修范围内的损坏介质,需要和合作方签订保密协议,以防止泄漏其中的敏感信息。

  存储介质应保存在安全的物理环境下(如:防火、电力、空调、湿度、静电及其他环境保护措施);每年组织专门人员对物理环境的安全性进行评估,以确保存储环境的安全性。

  涉及业务信息、系统敏感信息的可移动介质应当存放在带锁的屏蔽文件柜中,对于重要的数据信息还需要做到异地存放,其他可移动介质应存放在统一的位置。

  任何的介质盘点与检查出现差异必须报告给部门负责人,并且介质库房的所有介质,包括打开过的空白带、格式化过的、擦除过的都必须包括在清单盘点中,对介质负责的管理者必须对所有的清单文档签字确认。

  使用者认为不能正常记录数据的介质,必须由使用者提出报废介质申请,由安全管理员进行测试后并提出处理意见,报部门负责人批准后方可进行销毁。

  介质销毁必须由安全管理员和使用部门组织实施,并填写《介质销毁记录表》(见表6)。其他单位或个人不得随意销毁或遗弃介质。

  应指定专人负责IT设备的外观保洁、保养和维护等日常管理工作。指定管理人员必须经常检查所管IT设备的状况,保持设备的清洁、整齐,及时发现和解决问题。

  IT设备使用者应保持设备及其所在环境的清洁。严禁在旁存放易燃品、易爆品、腐蚀品和强磁性物品。严禁在键盘附近放置水杯、食物,防止异物掉入键盘。

  指定管理人员要定期对进行维护。发现或发生故障时,使用者应及时与信息中心联系,设备使用人首先确保对数据、信息自行备份。

  当IT设备无法自行维修时,如设备在保修期内出现故障时,由信息中心直接与供应商联系维修事宜;如设备已过保修期需要报请外修时,信息中心要及时查明原因,填写《IT设备维修申请单》(见表7),经负责人审批后联系维修事宜。

  外包人员对IT设备进行维修时,信息中心指派人员陪同。若确实需要将含有敏感信息设备送至组织以外的地方进行维修,需要信息中心审批,经信息备份与清除处理后方可将设备带出并与维修方签订保密协议。

  如 IT 设备经鉴定无法维修,或修理费用相当于或超过购置相同或相似规格的新产品时,对无法维修的IT设备作报废处理,未到报废期限的设备,经信息中心批准后作待报废处理。

  当 IT 设备需要报废时,由申请报废的部门填写《IT 设备报废申请单》(见表8),信息中心根据设备管理相关规定进行审批。

  由申请报废的部门凭批准后的《IT设备报废申请单》将报废设备交由信息中心进行信息资源回收处理,含有涉密或敏感信息的存储介质需要进行数据清除,并按照保密相关规定进行报废,避免信息泄露。

  应制定和风险管理制度,制定的发现和补丁管理的获取、测试、实施的流程,来封堵安全,消除安全隐患,确保信息系统正常、稳定、可靠地运行,以及推进风险工作的开展,确保风险评估实施的科学性、规范性和客观性。

  管理是风险管理的过程,风险评估是风险管理的基础。风险管理是指导和控制组织风险的过程。风险管理遵循管理的一般循环模式—计划(Plan)、执行(Do)、检查(Check)、行动(Action)的持续改进模式。ISO27001标准要求企业设计、实施、维护信息安全管理体系都要依据PDCA循环模式。

  针对风险评估的范围,开展详细的风险分析(RA,Risks Analysis),包括业务影响分析(BIA,Business Impact Analysis)。风险分析的结果是风险评定的清单,并随后体现在风险图形化(又称风险轮廓)展示。

  风险图形化展示帮助决定哪些风险的风险值过高而不能作为残余风险被接受(用定性的方法评估风险和评级)。针对这些风险,需要定义进一步的安全控制措施,然后进行新的风险再计算。

  当所有的风险降到可以接受的水平,则产生了最终的风险展示图,余下的风险可以作为残余风险被接受,其结果可以被正式签署并公布。

  制定网络和系统安全管理制度,建立健全的IT系统的安全管理责任制,提高整体的安全水平,保证网络通信畅通和IT系统的正常运营,提高网络服务质量,确保各类应用系统稳定、安全、高效运行。

  网络资源命名按信息中心规范进行,建立完善的网络技术资料档案(包括:网络结构、设备型号、性能指标等)。

  重要网络设备的口令要定期更改(周期应不超过3个月),一般要设置八个字符以上,并且应包含大写字母、小写字母、数字、字符四类中的三类以上,口令设置应无任何意义;口令应密封后由专人保管。

  涉及与外单位联网的,应制定详细的资料说明;需要接入内部网络时,必须通过相关的安全管理措施,报主管领导审批后,方可接入。

  内部网络不得与进行物理连接;不得将有关涉密信息在上发布,不得在上发布非法信息;在上下载的文件需经过检测后方可使用,不得下载带有非法内容的文件、图片等。

  所有网络设备都必须根据采购要求购置,并根据安全防护等级要求放置在相应的安全区域内或区域边界处,合理设置访问规则,控制通过的应用及用户数据。

  仅系统管理员掌握应用系统的特权账号,系统管理员需要填写《系统特权用户授权记录》并由部门领导进行审批,该记录由文档管理员保管留存。

  为保证应用系统安全,保证权限管理的统一有序,除另有规定外,各应用系统的用户及其权限,由系统管理员负责进行设置,并汇总形成《用户权限分配表》(见表9)。

  加强系统运行日志和运维管理日志的记录分析工作,并定期(至少每季度一次)记录本阶段内的系统异常行为,记录结果填入《系统异常行为分析记录单》。

  应建立防病毒管理制度,对计算机进行预防和治理,进一步做好计算机的预防和控制工作,切实有效地防止病毒对计算机及网络的危害,实现对病毒的持续控制,保护计算机信息系统安全,保障计算机的安全应用。同时,这部分的管理制度要与应急管理和变更管理等相结合,防止在应急响应期间或因不正确的变更引入恶意代码。

  终端用户发现病毒必须立刻报告给信息中心,服务器人员发现病毒必须立刻报告给安全管理员,同时使用计算机自带的杀毒软件进行病毒查杀。若防病毒软件对病毒无效且病毒对系统、数据造成较大影响的,相关人员必须立刻联系信息中心安全管理员。

  安全管理员必须详细记录下发生的时间、位置、种类、的具体功能、数据的损坏情况、硬件的损坏情况以及系统情况并进行查杀处理;对于难以控制的恶性,为避免进一步传播,可以将被感染的从网络中断开;事后安全管理员必须调查和分析整个事件,并发出适当的警告。

  所有必须有防软件保护,同时对于文件保护不仅限于本地文件,也必须包括可移动存储设备中的文件。防软件必须被设置成禁止用户关闭警报、关闭防护功能和防卸载的措施,所有对防软件的升级都必须是自动的。

  目前通过网站传播及恶意软件的现象非常的常见,这些和软件利用浏览器可能传播到或工作站之中。为加强防范效果,应在处部署一个具有不同防策略的防网关设备。为了防止恶意软件,所有通过网站端口传输的数据包都必须被防网关实时监控和扫描。

  重要的网络设备策略调整,如安全策略调整、服务开启、服务关闭、网络系统外联、连接外部系统等变更操作必须填写《网络维护审批表》,经信息中心负责人同意后方可调整。

  建立变更管理制度,规范组织各信息系统需求变更操作,增强需求变更的可追溯性,控制需求变更风险。

  当需求发生变化,需对软件包进行修改/变更时,首先应和第三方企业/软件供应商取得联系并获得帮助,了解所需变更的可能性和潜在的风险,如项目进度、成本以及安全性等方面的风险。

  实施系统变更前,应先通过系统变更测试,并提交系统变更申请,由工作小组审批后实施变更,重大系统变更在变更前制定变更失败后的回退方案,并在变更前实施回退测试,测试通过后提交与信息化领导小组审批后实施。

  信息中心组织审核该项变更,如审核通过,则撰写解决方案,并评估工作量和变更完成时间,经信息中心领导确认后,交系统管理员安排实施变更。

  ① 系统管理员在需要变更前应明确本次变更所做的操作、变更可能会对系统稳定性和安全性带来的问题,以及因变更导致系统故障的处理方案和回退流程。

  ③ 安全管理员对《变更申请表》的内容进行仔细研读,确定变更操作安全可控后,在“××安全管理员意见”处签字认可后提交信息中心领导审批。

  ⑥ 变更结束后由系统管理员和安全管理员共同对配置的生效情况、系统的安全性及稳定性进行验证,验证结束后由系统管理员填写《变更申请表》的系统验证部分,由安全管理员签字确认后提交给政务网络中心领导审批。

  建立数据备份与恢复管理制度,保障组织业务数据的完整性及有效性,以便在发生信息安全事故时能够准确及时地恢复数据,避免业务的中断。

  完全备份:完全备份是执行全部数据的备份操作,这种备份方式的优点是可以在灾难发生后迅速恢复丢失的数据,但对整个系统进行完全备份会导致存在大量的冗余数据,因此这种备份方式的劣势也显而易见,如磁盘空间利用率低,备份所需时间较长等。

  增量备份:增量备份只会备份较上一次备份改变的数据,因此较完全备份方式可以大大减少备份空间,缩短备份时间。但在灾难发生时,增量备份的数据文件恢复起来会比较麻烦,也降低了备份的可靠性。在这种备份方式下,每次备份的数据文件都具有关联性,其中一部分数据出现问题会导致整个备份不可用。

  差量备份:差量备份的备份内容是较上一次完全备份后修改和增加的数据,这种备份方式在避免以上两种备份方式缺陷的同时,保留了它们的优点。按照差量备份的原理,系统无需每天做完全备份,这大大减少了备份空间,也缩短了备份时间,并且用差量备份的数据在进行灾难恢复时非常方便,管理员只需要完全备份的数据和上一次差量备份的数据就可以完成系统的数据恢复。

  各系统管理员根据自己负责系统的具体情况选择备份方式,基本原则是:保证数据的可用性、完整性和保密性均不受影响,且能够保证业务的连续性。

  存储备份系统由信息中心安排专人负责管理和日常运行维护,禁止不相关人员对系统进行操作。系统集成商或原厂商须经许可,方可进行操作,并要服从管理,接受监督和指导。

  任何人员不得随意修改系统配置、恢复数据,如需修改、恢复,须严格执行审批流程,经批准后方可操作。

  当存储备份系统出现告警或工作不正常,引起应用系统无法访问、系统不能备份时,应立即启动应急预案,恢复系统正常运行,并及时上报。

  系统需定期(每半年)进行一次健康检查,检查内容及工作方案由系统管理员配合系统集成商和原厂商制定,经批准后方可执行,并提交详细的定检报告。

  制定网络安全事件管理制度,规范管理信息系统的安全事件处理程序,确保各业务系统的正常运行和系统及网络的安全事件得到及时响应、处理和跟进,保障网络和系统持续安全稳定运行。

  网络安全事件的处理流程主要包括:发现、报告、响应(处理)、评价、整改、公告、备案等,如图1所示。

  建立网络安全事件应急预案管理制度,确保信息系统的连续性,系统、有组织地做好应急预案的管理工作。尽量降低风险,减少损失,最大限度地降低信息系统故障给工作所造成的影响。

  按照国家和行业标准建立总体预案,明确故障分类、事件级别、预案的启动和终止、事件的上报等,按照风险评估所发现的风险建立分项预案,如事件处置预案、设备故障事件处置预案、信息内容安全事件处置预案等,明确针对不同事件的办法,并定期进行演练和总结。

  建立健全网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,确保重要信息系统的实体安全、运行安全和数据安全,保护公众利益,维护国家安全、公共安全和社会秩序。

  (6)《国务院有关部门和单位制定和修订突发公共事件应急预案框架指南》(国办函[2004]33号,2004-04-06)。

  本预案所述网络安全事件是指由于自然灾害、人为原因、软硬件缺陷或故障等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、门户网站安全事件、设备设施故障、灾害性事件和其他事件。

  按照故障影响范围、系统损失和社会影响,分为四级:特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)。

  (1)由于自然灾害事故(如:水灾、地震、地质灾害、气象灾害、自然火灾等)、人为原因(如人为火灾、、战争等)、软硬件缺陷或故障等,导致xxx网络服务及业务系统发生灾难性破坏;

  (2)信息系统中的数据被篡改、窃取,导致数据的完整性、保密性遭到破坏,或业务系统出现反动、色情、赌博、毒品、谣言等违法内容,对国家安全和社会稳定构成特别严重影响。

  (1)由于自然灾害、人为原因、软硬件缺陷或故障等导致如下问题,且经应急响应调查处置小组及应急响应日常运行小组评估,预计8小时内不可恢复的。

  (2)信息系统中的数据被篡改、窃取,导致数据的完整性、保密性遭到破坏,对 xxx形象和xxx网络稳定造成严重影响。

  (1)自然灾害、人为原因、软硬件缺陷或故障等导致如下问题,且经应急响应调查处置小组及应急响应日常运行小组评估,预计在1小时以上8小时以内可以恢复的。

  (2)信息系统中的数据被篡改、窃取,导致数据的完整性、保密性遭到破坏,对 xxx形象和xxx网络稳定造成影响。

  自然灾害、人为原因、软硬件缺陷或故障等导致如下问题,且经应急响应调查处置小组及应急响应日常运行小组评估,预计1小时内可以恢复的。

  网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、网站安全事件、设备设施故障、灾害性事件和其他事件。

  (1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

  (2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

  (3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

  (4)网站安全事件是指网站访问异常,或页面异常,出现传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害社会稳定和公众利益的事件。

  建立健全统一指挥、密切配合、综合协调、分类管理、分级负责的应急管理体系,形成平战结合、预防为主、快速反应、科学处置的协调管理机制和联动工作机制。

  一旦发生突发事件,按照“分级响应、及时报告、及时救治、及时控制”的要求,确定事件分类、级别,启动对应的应急处置预案,明确职责,层层落实,采取有力措施积极应对,及时控制处理,防止产生连带风险。

  在应急准备和应急预案正式启动期间,各部门要明确数据资料保管责任人,资料接触人员要严格保密,做好敏感数据资料的防泄漏工作。应急处置结束后,对于为防止敏感数据资料丢失而保存的数据备份,要进行统一销毁。

  建立有效的沟通机制,各部门之间加强共同协作,确保信息畅通;要加强与新闻媒体等外部单位的沟通协调,及时、客观发布突发事件事态发展及处置工作情况,做好宣传解释工作,全面争取突发事件的内部处置和外部舆论主动权,正确引导社会舆论。

  应急组织体系由应急响应领导小组、应急响应调查处置小组、应急响应日常运行小组、应急响应协调小组及专家组组成。

  主要由xxx负责人、网络安全管理人员、机房管理人员、运维人员以及安全服务技术人员组成,由信息中心主要负责人任组长。

  (8)如有必要,在处理网络安全应急事件时配合 xxx 省国家安全局、xxx 省公安厅网络安全保卫总队、xxx 省网信办或 xxx 省通信管理局进行调查取证,为后期责任追查提供有力证据。

  主要由网络安全与信息化领导小组成员、信息中心主要负责人以及网络安全行业专家组成,由网络安全与信息化的分管领导任组长。

  (3)定期对应急预案进行评审,及时反映网络安全应急工作中存在的问题与不足,并提出相关改进建议;

  (4)对网络安全事件发生和发展趋势、处置措施、恢复方案等进行研究、评估,并提出相关改进建议。

  主要由机房管理人员、业务应用运营人员、运维人员以及安全服务技术人员组成,由信息中心机房管理人员任组长。

  (3)及时向应急响应协调小组汇报事件的发生时间、影响范围、事态发展变化情况和处置进展等情况;

  (1)控制事态发展,防控蔓延。先期处置,采取各种技术措施,及时控制事态发展,最大限度地防止事件蔓延。

  (2)快速判断事件性质和危害程度。尽快分析事件发生原因,根据网络与信息系统运行和承载业务情况,初步判断事件的影响、危害和可能波及的范围,提出应对措施和建议。

  (1)事件认定。由应急响应日常运行小组和应急响应调查处置小组的专业技术人员确定发生信息安全事件的系统受影响的程度,初步判定事件原因,并对事件影响状况进行评估。

  (2)事件上报。应急响应协调小组负责填写《附录 3 重大网络安全事件报告表》后上报给应急响应领导小组。应急响应领导小组组长按照事件级别决定是否向xxx网络安全与信息化领导小组组长报告,并决定是否通知和协调 xxx 省国家安全局、xxx 省公安厅网络安全保卫总队、xxx省网信办或xxx省通信管理局协助妥善处理信息安全事件。

  Ⅰ级响应由应急响应领导小组启动,并向xxx网络安全与信息化领导小组组长报告,其他各应急响应小组在应急响应领导小组的统一指挥下,开展应急处置工作。

  应急响应领导小组组织专家组专家、应急响应协调小组、应急响应日常运行小组和应急响应调查处置小组的专业技术人员研究对策,提出处置方案建议,为领导决策提供支撑。

  事件影响部门及时告知事态发展变化情况和处置进展情况,应急响应日常运行小组在全面了解信息系统受到事件波及或影响情况后,汇总并上报应急响应协调小组。

  Ⅱ级响应由应急响应协调小组启动,并报应急响应小组,其他各应急响应小组在应急响应领导小组的统一指挥下,开展应急处置工作。

  应急响应领导小组组织专家组专家、应急响应协调小组、应急响应日常运行小组和应急响应调查处置小组的专业技术人员研究对策,提出处置方案建议,为领导决策提供支撑。

  事件影响部门及时告知事态发展变化情况和处置进展情况,应急响应日常运行小组在全面了解信息系统受到事件波及或影响情况后,汇总并上报应急响应协调小组。

  Ⅲ级响应由应急响应协调小组启动,其他各应急响应小组在应急响应协调小组的统一指挥下,开展应急处置工作。

  应急响应协调小组组织应急响应日常运行小组和应急响应调查处置小组的专业技术人员研究对策,提出处置方案建议。

  事件影响部门及时告知事态发展变化情况和处置进展情况,应急响应日常运行小组在全面了解信息系统受到事件波及或影响情况后,汇总并上报应急响应协调小组。

  事件影响部门及时告知事态发展变化情况和处置进展情况,应急响应日常运行小组全面了解信息系统受到事件波及或影响的情况。

  (1)当发生水灾、火灾、地震等突发事件时,应根据当时的实际情况,在保障人身安全的前提下,首先保障数据的安全,然后保障设备安全。

  (2)当人为或病毒破坏信息系统安全时,按照网络安全事件发生的性质可采取隔离故障源、暂时关闭故障系统、保留痕迹、启用备用系统等措施。

  (1)事件认定。收集网络安全事件相关信息,识别事件类别,判断破坏的来源与性质,确保证据准确,以便缩短应急响应时间。

  (4)系统恢复。修复被破坏的信息,清理系统,恢复数据、程序、服务,恢复信息系统。把所有被破坏的系统和网络设备还原到正常运行状态。恢复工作中如果涉及敏感数据资料,要明确数据资料保管责任人,资料接触人员要严格保密,做好敏感数据资料的防泄漏工作。

  (5)事件追踪。关注系统恢复以后的安全状况,特别是曾经出现问题的地方;建立跟踪档案,规范记录跟踪结果;对进入司法程序的事件,配合国家相关部门进行进一步的调查,打击违法犯罪活动。

  (3)应急状态终止后,应急响应领导小组应根据xxx统一安排和实际情况,决定是否继续进行环境监测和评价工作。

  各应急响应小组和部门根据各自职责分工,及时收集、分析、汇总本部门或本系统网络与信息系统安全运行情况信息,安全风险及事件信息及时报告应急响应协调小组,由应急响应协调小组汇总后上报应急响应领导小组。

  倡导社会公众参与网络、网站和信息系统安全运行的监督和信息报告,发现网络、网站和信息系统发生安全事件时,应及时报告。

  发生Ⅰ级、Ⅱ级网络安全事件后,应由应急响应协调小组及时填报《重大网络安全事件报告表》,并在应急事件终止后填报《重大网络安全事件处理结果报告》。

  发生Ⅲ级、Ⅳ级网络安全事件并处置完成后,应由应急响应日常运行小组及时填报《网络安全事件故障分析处置报告》。

  信息报告内容一般包括以下要素:事件发生时间、发生事故网络信息系统名称及运营使用管理单位、地点、原因、信息来源、事件类型及性质、危害和损失程度、影响单位及业务、事件发展趋势、采取的处置措施等。

  发生Ⅰ级网络安全事件后,需要开展情况公告时,应由xxx网络与信息化领导小组负责外部媒体沟通及安全事件信息发布,正确引导舆论导向。

  发生Ⅱ级网络安全事件后,心水论坛高手资料需要开展情况公告时,应由应急响应领导小组负责外部媒体沟通及安全事件信息发布,正确引导舆论导向。

  建立应急响应设备库,包括信息系统的备用设备、应急响应过程所需要的工具。由应急响应日常运行小组进行保管,每季度进行定期检查,确保能够正常使用。

  技术保障由应急响应调查处置小组负责,该小组应制定信息安全事件技术应对表,全面考察和管理技术基础,选择合适的技术服务人员,明确职责和沟通方式。

  由应急响应协调小组分析应急过程所需有的各项技术,针对各项技术形成培训方案或操作手册,定期进行交流、演练。确保各应急技术岗位人员分工清晰,职责明确。

  (3)对不按照规定,迟报、谎报、瞒报和漏报网络安全事件重要情况或者应急管理工作中有其他失职、渎职行为的,依照相关规定对有关责任人给予处分;构成犯罪的,依法追究刑事责任。

  将突发信息网络事件的应急管理、工作流程等列为培训内容,增强应急处置能力。加强对突发信息网络事件的技术准备培训,提高技术人员的防范意识及技能。信息中心负责人每年至少开展一次信息网络安全教育,提高信息安全防范意识和能力。

  信息中心负责人每年定期安排演练,建立应急预案定期演练制度。通过演练,发现和解决应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力。

  在国家重要活动、会议期间,着重加强网络安全事件的防范和应急响应,及时预警可能造成重大影响的风险和隐患,确保网络安全。

  网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。

  ② 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。

  ③ 其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

  ① 重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。

  ② 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。

  ① 重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。

  ② 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。

  ③ 其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。

  (4)除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。

  业务网络恢复步骤主要分为三大部分:故障判断、故障处理、故障恢复。故障处理流程见附录6图1所示和附录6表1。

  当恢复复杂系统时,恢复进程应按照业务系统重要性的优先顺序进行恢复,三五图库大全网站,以避免对相关系统及业务产生重大影响。

  门户网站页面异常恢复步骤,主要分为三大部分:故障判断、故障处理、故障恢复。详细信息和故障处理流程见附录7图1和附录7表1。

  重要网站异常恢复步骤主要分为三大部分:故障判断、故障处理、故障恢复。详细信息和故障处理流程见附录7图2和附录7表2。

  当恢复复杂系统时,恢复进程应按照业务系统重要性的优先顺序进行恢复,以避免对相关系统及业务产生重大影响。

  确定关键应用损坏情况,检查故障源,针对故障源恢复。如下是可能出现的故障导致应用系统无法访问或缓慢,并进行恢复。

  及时重启软件,恢复应用,如果启动有问题,及时搭建新的应用环境恢复应用。查找故障原因,安装补丁。

  查看链路带宽利用情况和查看关键位置网络、安全设备的运行状况,判断故障设备或链路,切换备用设备或链路,修复故障设备或链路,修复完成后切换回原设备或链路。

  查看链路带宽利用情况和关键位置网络、安全设备的运行状况和安全设备的防护日志,进行网络流量分析并确定攻击流量流向和类型,通过临时策略阻断攻击流量,确定攻击被阻断后分析和还原攻击过程,必要时通知公安网监和运营商协助调查。

  大规模多点数据泄露时,经应急响应领导小组同意,可以采取临时切断互联网的方式防止数据持续泄露。

  (1)查看安全设备日志,第一时间发现可能的数据泄露区域或服务器/个人终端,并设计和实施临时策略封堵数据泄露途径,防止数据持续泄露;

  (3)会同新闻部门采取有效措施,防止新闻媒体对数据泄露的有关情况进行报道和抄作,造成社会动荡;会同公安部门和运营商加强对互联网的监控,防止泄露的数据在互联网上传播;

  (5)明确数据泄露点后尽快设计加固方案,减少数据泄露带来的影响,并邀请专家和安全服务团队进行审核和测试。

  人员资质要求:系统集成人员、安全服务人员以及相关管理人员应获得国家权威部门颁发的信息安全人员资质认证。

  应与选定的产品供应商、软件开发商、系统集成商、系统商和机构等签订安全责任合同书或保密协议等文档,其内容应至少包含保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等。

  应与安全服务商签订服务合同,至少包含服务内容、服务期限、双方签字或盖章,确保安全服务商提供技术培训和服务承诺。

  其他要求:系统符合国家相关、法规,按照相关主管部门的技术管理规定对非法信息和恶意进行有效控制,按照有关规定对设备进行控制,使之不被作为非法攻击的跳板。返回搜狐,查看更多