应急处置制度
1.预防和预警机制措施
预防预警信息
分局信息中心通过实时监测,及时与上级信息中心交流,收集安全信息等手段获得安全预警信息,周期性或即时性地向网络中心各用户发布主要异常流量来源单位、可能招致攻击的网络互联设备和计算机的安全漏洞、网络蠕虫病毒的动态变化趋势统计等预警信息。
预防预警行动
网络和信息安全预防措施包括安全风险、准备应急处理措施,建立网络和信息系统的监测体系,控制有害信息的传播,预先制定信息安全重大事件的通报机制。
(1) 网络和信息安全风险定义
内部局域网(以下简称“内网”)面临网络和信息安全风险。一般包括:
关键设备或系统的故障;自然灾害(水、火、电等)造成的物理破坏;人为失误造成的安全事件;病毒蠕虫等恶意代码危害;人为的恶意攻击(包括拒绝服务、系统入侵、篡改主页、窃取敏感信息、散布有害信息等)。
(2) 应急准备
信息中心明确职责和管理范围,做出被管对象和相
应风险列表文档。
内网由分局统一安排、信息中心负责技术支持。
信息中心按要求安排应急值班,并将值班安排上报。确保到岗到位,联络畅通,处理及时准确。
(3) 具体措施
A.物理环境建立落实管理制度和技术防范措施,建立安全、可靠、稳定运行的机房环境,并落实以下预防措施:
防火、防盗、防雷电、防水、防静电、防尘,对运行关键部位实施24小时保卫。禁止任何非授权人员进入;
建立备份电源系统,并定期检查系统是否能够正常工作;
建立重大安全事件发生时的人员疏散机制;
对所有人员进行防火、防盗等基本技能进行培训。
B.网络设备和通信线路
核心设备和线路备份,避免单点故障;
核实路由器操作系统安全、打过补丁;
禁未授权访问,授予管理员不同权限,关闭非必要服务;
采用论证方式避免非法接入和虚假路由信息;
实时监视和入侵监测,及时排除故障、处理攻击;
保证足够带宽,防止突发流量造成拥塞导致网络瘫痪。
C.计算机系统
重要系统采用高可靠硬件、稳定软件、备份等措施,落实数据备份机制,遵守安全操作规范;
安全稳定的操作系统和最新补丁,并定期更新;
关闭所有不必要服务、帐号;
安装有效的防病毒软件,并及时更新病毒定义码;
严格限制内部用户的访问权限;
对用户和管理员进行安全技术培训;
对关键系统实施全时动态监测;
对重要的数据定期备份。
D.重要的信息系统
重要的信息服务实行登记备案制度;
建立严格的信息上网审查制度;
为避免域名系统的单点故障,建立至少主辅备份,并分布在不同的子网网络,并严格配置主机系统安全;
对于单位或部门的主页,除了严格配置主机系统安全以外,应该建立防火墻保护主机的安全;
对有重大影响的信息系统,建立建全监控机制,及时发现并解决问题。
E.各级网络边界控制
在各单位局域网边界建立防火墙,在重大安全事件爆发时可以实施访问控制;
在邮件服务器前配置反病毒和反垃圾邮件网关;
安装入侵检测系统,监测攻击、病毒和蠕虫的发展,及时发现重大安全攻击事件;
控制有害信息经过网络的传播,建立网关控制、内容过滤等控制手段。
(4) 报告
所管辖范围内的管理对象发生事件后,立即启动安全事件处理流程,分析、定位事件的来源和危害程度。
出现部门内所管辖的网络和信息安全事件时,一般事件在部门内报警并作相关处理。重大事件和影响超出管辖范围时,向管理上级紧急报警。必要时逐级上报。
一般安全事件,可向入侵者所在的网络管理员投诉;严重安全危害事件(如造成重大经济损失、涉及破坏国家信息安全的反动政治言论),应当及时消除、保留证据,并按应急组织体系向上一级报告,请示进一步处理的决策。
2.网络安全事件的应急处理措施
网络环境安全事件的应急处理
对火灾、盗窃、破坏等紧急事件按照国家消防有关法律法规、单位有关规定处理。影响网络运行和信息安全的重大事件由分局应急工作组统一指挥处置。
遇供电相关紧急事件,根据停电时间、用电功耗、电池电能储备、供电管理部门信息、网络和信息运行情况等
条件作调度,相关人员作现场维护。
网络运行事件处置
网络运行相关事件由网络中心网管人员负责,重大事件立即向中心应急工作组负责人报告。事件包括:线路中断、路由故障、流量异常、域名系统故障等;
网络攻击事件处置
对于大规模、影响较大的恶意移动代码、拒绝服务攻击、系统入侵和端口扫描处置:
(1) 通知应急负责人和中心主管,决定上报或通报;
(2) 按预案通知相关管理员采取措施,或直接实施控制;
(3) 处置人员记录事件处理步骤和结果,总结报告。
信息安全处置
发生信息安全事件应紧急通知信息主管负责人,及时消除非法信息,恢复系统。无法迅速消除或恢复系统、影响较大时实施紧急关闭,并紧急上报。
3.网络安全应急保障
组织保障
分局相关领导负责本单位的网络与信息安全保障工作。
通信保障
信息中心负责建立本分局范围内的应急处置通信联络信息。
环境保障
信息中心负责建立并保持本中心的电力、空调、机房等网络安全运行基本环境。并周期性检查运行安全环境的运行情况。
技术支持
分局负责筹措资金,酌情设立网络与信息安全建设项目,对日常安全保障和应急处置中的关键技术设备及软件予以支持,确保网络安全管理平台和技术标准的先进、实用和可行,满足网络安全管理需求。
流程保障
安全事件处置根据事件出现的位置和范围按分级原则进行。出现本层次应急处理流程中断、应急处置无法进行,或者事态范围扩大超出本管理区域时,按照事件升级的原则向更高层次紧急通报处理,避免延误。
4.网络安全善后和恢复
网络安全负责人对网络和信息应急事件,除在事发时按安全管理要求报告分局相关领导外,应急处置后还要对重大事件作总结报告,上报市局领导,经市局领导批准后,酌情向相关部门通报情况。