深圳市XXX信息安全应急响应体系建设.docx
《深圳市XXX信息安全应急响应体系建设.docx》由会员分享,可在线阅读,更多相关《深圳市XXX信息安全应急响应体系建设.docx(35页珍藏版)》请在冰豆网上搜索。
深圳市XXX信息安全应急响应体系建设
深圳市XXX
信息安全应急响应预案
深圳市XXX
XX年XX月
深圳市XXX信息系统突发事件应急预案
本预案内容包括总则、组织指挥体系及职责、预警和预防机制、应急处理程序、保障措施、各种突发事件应急预案等。
明确规定了深圳市XXX在发生网络与信息安全重大突发事件情况下各部门的相关职能和工作方法,具有一定的宏观指导性和可操作性,对减少网络与信息安全突发事件,保障业务系统正常开展起着重要作用。
1.总则
1.1目的
为科学应对网络与信息安全(以下简称“信息安全”)突发事件建立健全信息安全应急响应机制,有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响。
1.2现状及其成因
近年来,深圳市XXX信息安全工作得到加强。
但信息安全保障基础工作和技术保障措施比较薄弱,与信息化快速发展的要求和日趋严峻的信息安全形势不协调。
信息安全突发事件成因可分为两个方面:
一是网络与信息系统自身的脆弱性,主要表现在:
安全漏洞的普遍性,攻击和恶意代码的流行性,入侵检测能力的局限性,网络和系统管理的复杂性。
二是网络与信息系统外部体制性的不安全性,主要表现在:
信息安全法制不健全,全社会的信息安全意识淡薄,深圳市XXX信息安全自主可控能力不强,技术防御整体水平不高,信息安全专业人才缺乏,专业队伍建设严重滞后。
2.组织机构及职责
2.1应急指挥机构
2.1.1深圳市XXX信息系统突发事件应急领导小组
在深圳市XXX党组的统一领导下,设立深圳市XXX信息系统突发事件应急领导小组(以下简称“信息突发事件应急领导小组”),为深圳市XXX处理信息安全突发事件应急工作的综合性议事、协调机构。
主要职责是:
按照国家、广东省、深圳市政府信息安全应急机构的要求开展预防和处置工作;研究决定深圳市XXX信息安全应急工作的有关重大问题;决定III级和IV级信息安全突发事件应急预案的启动,组织力量对III级和IV级突发事件进行处置;接受深圳市政府信息安全应急机构的统一领导,组织指挥II级和I级突发事件的应急处置工作;指导监督信息安全应急小组的工作;法律、法规、规章规定的其他职责。
信息突发事件应急领导小组,由(最高领导人)作为主任,(分管信息化工作的领导)作为副主任,成员由深圳市XXX各部门部长组成。
信息突发事件应急领导小组下设应急小组,由信息部部长任组长,信息部副部长任副组长,信息部其它成员任组员。
承担深圳市XXX信息安全专项应急领导小组的日常工作,负责深圳市XXX信息安全突发事件日常监测与预警,其主要职责是:
督促落实上级部门和深圳市XXX信息突发事件应急领导小组做出的决定和措施;
拟订或者组织拟订深圳市XXX信息部应对信息安全突发事件的工作规划和应急预案,报深圳市XXX领导小组批准后组织实施;
督促检查信息安全专项应急预案的制订、修订和执行情况;
汇总有关信息安全突发事件的各种重要信息,进行综合分析,并提出建议;
监督检查、协调信息安全突发事件预防、应急准备、应急处置和事后恢复与重建工作;
组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划,报信息突发事件应急领导小组批准后督促落实;
组织专家组判定突发事件级别,根据情况提出加强或撤销控制措施的建议和意见;组织召开部门协调会议,协调各部门共同做好突发事件处置工作;检查督导突发事件应急措施的落实情况;及时收集、上报和通报突发事件有关情况,负责向信息突发事件应急领导小组报告有关工作情况;
2.1.2信息突发事件应急领导小组各成员部门的职责
信息部:
统筹规划建设应急处理技术平台,会同其他有关部门组织制定单位突发事件应急处理政策文件及技术方案,负责安全事件处理的培训,及时收集、上报和通报突发事件情况,负责向信息突发事件应急领导小组或中心领导报告有关工作情况。
相关部门:
配合信息部组织制定信息系统突发事件应急处理政策文件及技术方案及其他各项工作。
3.预警和预防机制
3.1信息监测及报告
信息部应加强信息安全监测、分析和预警工作,进一步提高信息安全监察能力。
建立信息安全事故报告制度。
在突发事件发生后,发现人应当立即向深圳市XXX信息突发事件应急小组报告。
发现人应当立即对发现的事件进行调查核实、保存相关证据,并在事件被发现时将证据报至信息突发事件应急小组。
3.2预警
信息突发事件应急小组接到信息安全突发事件报告后,应当经初步核实后,将有关情况及时向组长报告,进一步进行情况综合,研究分析可能造成损害的程度,提出初步行动对策,并及时报深圳市XXX应急领导小组。
领导小组主任视情况召集协调会,决策行动方案,发布指示和命令。
3.3预警支持系统
深圳市XXX信息突发事件应急领导小组应建立和完善信息监测、传递网络和指挥决策支持系统,要保证资源共享、运转正常、指挥有力。
3.4预防机制
积极推行信息安全等级保护,逐步实行信息安全风险评估。
各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定并不断完善信息安全应急处理预案。
针对基础信息网络的突发性、大规模安全事件,各相关部门建立制度化、程序化的处理流程。
4.应急处理程序
4.1级别的确定
信息安全事件分级的参考要素包括信息密级、公众影响、业务影响和资产损失等四项。
各参考要素分别说明如下:
(1)信息密级是衡量因信息失窃或泄密所造成的信息安全事件中所涉及信息的重要程度的要素;
(2)公众影响是衡量信息安全事件所造成的负面影响范围和程度的要素;
(3)业务影响是衡量信息安全事件对事发单位正常业务开展所造成的负面影响程度的要素;
(4)资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。
信息安全突发事件级别分为四级:
一般(IV级)、较大(III级)、重大(II级)和特别重大(I级),对应颜色依次为蓝色、黄色、橙色和红色。
一般-IV级:
深圳市XXX较小范围出现并可能造成较大损害的信息安全事件。
较大-Ⅲ级:
深圳市XXX部分网络与信息系统、网站受到大面积、严重冲击。
重大-II级:
深圳市XXX大部分网络、信息系统、网站基本瘫痪,导致业务中断,但纵向或横向延伸可能造成严重社会影响或较大经济损失。
特别重大-I级:
深圳市XXX所有基础网络(包括纵向或横向延伸)、信息系统、网站严重瘫痪,导致业务中断,造成或可能造成严重法律纠纷或对政府重大形象工程造成巨大负面影响的信息安全事件。
4.2预案启动
4.2.1启动预案的权限。
发生IV级网络信息安全事件后,信息突发事件应急领导小组负责启动相应预案,信息突发事件应急小组负责应急处理工作;发生III级网络信息安全事件后,信息突发事件应急领导小组负责启动相应预案,并负责应急处理工作;发生I、II级的信息安全突发事件后,上报市人民政府及上级主管部门启动相应预案,并由市信息安全应急指挥部负责应急处理工作。
4.2.2启动预案的流程。
深圳市XXX信息安全应急小组接到报告后,应当立即上报深圳市XXX信息突发事件应急领导小组有关负责人,并会同相关成员尽快组织专家组对突发事件性质、级别及启动预案的时机进行评估,向信息突发事件应急领导小组提出启动预案的建议,报信息突发事件应急领导小组批准。
4.2.3启动预案后的应急处理。
在信息突发事件应急领导小组作出启动预案决定后,信息突发事件应急小组立即启动应急处理工作。
4.3现场应急处理
现场应急处理工作组应尽最大可能收集事件相关信息,明确事件类别,确定事件来源,保护证据,以便缩短应急响应时间。
检查威胁造成的结果,评估事件带来的影响和损害:
如检查系统、服务、数据的完整性、保密性或可用性,检查攻击者是否侵入了系统,以后是否能再次随意进入,损失的程度,确定暴露出的主要危险等。
抑制事件的影响进一步扩大,限制潜在的损失与破坏。
根除恶意代码造成的不良影响。
在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。
与此同时,执法部门和其他相关机构将对攻击源进行定位并采取合适的措施将其中断。
清理系统、恢复数据、程序、服务。
把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。
恢复工作应该十分小心,避免出现误操作导致数据的丢失。
另外,恢复工作中如果涉及到机密数据,需要额外遵照机密系统的恢复要求。
4.4报告和总结
回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。
发生重大信息安全事件的单位应当在事件处理完毕后5个工作日内将处理结果报市经贸信委备案。
4.5应急行动结束
根据信息安全事件的处置进展情况和现场应急处理工作组意见,信息突发事件应急小组应组织相关部门及专家组对信息安全事件的处置情况进行综合评估,并向信息突发事件应急领导小组提出应急行动结束建议,并报信息突发事件应急领导小组批准。
应急行动是否结束,由组织决定。
5.保障措施
5.1技术支撑保障
信息突发事件应急小组应建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力:
从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统之间应急处理的联动机制。
5.2应急队伍保障
加强信息安全人才培养,建设一支高素质、高技术的信息安全核心人才和管理队伍,提高单位信息安全防御意识。
5.3物质条件保障
在深圳市XXX信息化专项资金中安排一定的资金用于预防或应对信息安全突发事件,提供必要的交通运输保障,提前采购信息安全应急处理工作需要的检测、维修工具和设备配件。
5.4技术储备保障
深圳市XXX信息突发事件应急小组组织有关专家和科研力量,开展应急运作机制、应急处理技术、预警和控制等研究,推广和普及新的应急技术。
6.培训和演习
6.1人员培训
为确保信息安全应急预案有效运行,信息突发事件应急小组应定期或不定期地举办不同层次、不同类型的培训班或研讨会,应利用已有的资源,采用案例教学、情景模拟、交流研讨、案例分析、应急演练、对策研究等方式,开展形式多样的培训工作,以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。
6.2应急演习
为提高信息安全突发事件应急响应水平,信息突发事件应急小组应定期或不定期组织预案演练;检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。
通过演习,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充、完善。
7.监督检查与奖惩
7.1预案执行监督
信息突发事件应急领导小组负责对预案实施的全过程进行监督检查,督促成员部门按本预案指定的职责采取应急措施,确保及时、到位。
发生重大信息安全事件的单位应当按照规定及时如实地报告事件的有关信息,不得瞒报、缓报或者授意他人瞒报、缓报。
任何单位或个人发现有瞒报、缓报、谎报重大信息安全事件情况时,有权直接向信息突发事件应急领导小组举报。
应急行动结束后,信息突发事件应急领导小组对相关成员单位采取的应急行动的及时性、有效性进行评估。
7.2奖惩与责任
对下列情况可以经信息突发事件应急小组评估审核,报信息突发事件应急领导小组批准后予以奖励:
在应急行动中做出特殊贡献的先进单位和集体;
在应急行动中提出重要建议方案,节约大量应急资源或避免重大损失的人员;
在应急行动第一线做出重大成绩的现场作业人员;
在发生重大信息安全事件后,有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的,信息突发事件应急领导小组将予以通报批评;对造成严重不良后果的,将视情节由有关主管部门追究责任领导和责任人的行政责任;构成犯罪的,由有关部门依法追究其法律责任。
对未及时落实市信息安全专项应急领导小组指令,影响应急行动的效果的,按《国务院关于特大安全事故行政责任追究的规定》、《广东省重大事故责任追究制度》追究相关人员的责任。
8.各种突发事件应急预案
本预案所称突发性事件,是指自然因素或者人为活动引发的危害机房或人身安全等有关的事件。
主要有以下几个类型:
1、地震、火灾、雷电、水灾等自然灾害造成的破坏性突发事件;
2、信息处理设备被盗、机房存在重大安全隐患而造成的损失等严重突发事件;
3、信息系统存在严重BUG造成业务操作失误,数据错误;
4、网络中断或网络大规模瘫痪;
5、病毒和黑客入侵或其他原因造成数据丢失、删改;
6、服务器、网络设备严重故障;
7、因大面积停电、外部网络中断等因素导致无法使用等突发事件。
本预案通过演习、实践检验,以及根据应急力量变更、新技术、新资源的应用和应急事件发展趋势,及时进行修订和完善;
本预案所附的成员、通信地址等发生变化时也应随时修订;
本预案由深圳市XXX信息部负责修订,报深圳市XXX领导批准后实施,授权深圳市XXX信息突发事件应急小组负责对本预案附件及附录的修改、审批和实施。
本预案修订采取改版或换页的方式进行。
本预案由深圳市XXX信息部制定,由信息突发事件应急领导小组负责解释。
本预案日常工作由深圳市XXX信息部负责。
联系电话:
(83948121)。
联系部门:
深圳市XXX信息部。
联系人清单:
角色
职责
联络信息
工作电话
手机
应急小组组长
应急小组副组长
协调人
局域网组
机房维护组
机房维护组
机房维护组
本预案自发布之日起实施。
深圳市XXX
二〇XX年月日
8.1通信网络故障应急预案
8.1.1通信网络日常管理
为了保证深圳市XXX通信网络的正常工作,信息部工作人员必须做好机房网络设施的日常维护。
8.1.2通信网络故障应急预案清单
预案名称
网络通信系统故障预案
预案编号
预案目的
网络通信系统发生故障后,应用本预案处理故障
预案启动条件
网络通信系统发生故障
预案执行实施日期
组织机构及职责
组成
联系方式
职责
负责人
安全主管
现场指挥
安全主管
成员
网络管理员
机房管理员
机房管理员
厂家联络方式
厂家名称
联系方式
软件介质名称
介质编号
存放地点
备注
备品备件名称
设备编号
存放地点
备注
交换机和路由器
供应商仓库
图纸名称
图纸编号
存放地点
备注
网络拓扑图
信息部
预案执行步骤及通告
一、故障通告
1.将故障情况向信息部部长汇报。
信息部通知受影响的用户,并视情况的严重程度通知应急领导小组。
二、预案执行步骤
1、信息部接到报障后,应立即安排维护工程师到现场查看;PING各关键设备的IP地址,来初步定位故障点(某设备,某端口)。
通过链路检查命令确定是网络通信故障,则启用一下预案。
如是服务器或其他设备,则启用相关预案。
确定故障类型及影响范围:
(1)链路故障
(2)核心、汇聚层设备硬件故障
(3)接入层设备硬件故障
(4)出口区域设备硬件故障
(5)非硬件故障
故障处理流程:
(1)链路故障处理流程:
先将故障汇报至信息部,通报给受影响的用户检查线路及链路转换设备是否工作正常(如:
光电转换器),物理链路包括双绞线、以太网光纤、广域网线路。
A.双绞线故障可以采用替换的方式解决;
B.以太网光纤故障,则联系局域网线路维护方进行重新熔接;
C.广域网线路故障,则联系运营商进行处理。
转换设备故障:
光电转换器、协议转换器、光纤模块等,根据设备的运维方分别联系对应的运维方进行处理。
所有链路故障能够临时替换解决的,先临时替换规避故障使网络恢复正常不能替换的汇报信息部,协商解决方案
(2)核心、汇聚层设备硬件故障:
核心、汇聚层设备相对比较高端,故障涉及引擎、业务板卡、电源模块等
引擎故障:
A.针对外网核心为双引擎配置,单个引擎损坏不影响设备正常工作。
向信息部汇报故障同时通知设备维护商上门检修;
B.针对内网核心,无引擎冗余设置,但有设备冗余,单个故障不会影响接入层的通迅,首先将故障机上的服务器、链路切换到另一台核心交换机上,调整相应的配置。
然后上报信息部并通知设备维护商上门检修;
C.汇聚层设备引擎损坏对网络不会造成网络中断,上报信息部,并通知设备维护商上门检修。
(3)业务板卡故障
A.如果设备其它业务板上未使用端口较多,则将故障板卡上的线路切到其它板卡未使用的端口,并将做好相关配置
B.如果设备其它板卡上未使用端口较少,则可以采取非故障业务板下挂交换机的方法来增加端口数量,将故障板卡上的线路切到新增交换机上。
临时规避处理后,然后上报信息部并通知设备维护商上门检修;
(4)电源模块、机箱、风扇等基础硬件故障。
A.双电源设计设备,单个电源损坏不会对设备造成影响,向信息部汇报并通知设备维护商上门检修;
B.单电源、机箱、风扇等故障,临时规避措施与内网核心引擎故障处理方法一致。
(5)接入层设备硬件故障:
A.接入层设备故障影响一般为单个楼层,如有备件,则现场更换备件,做好相关配置,并汇报信息部及通知设备维护商上门检修;
B.如果没有备件且下接为同一网段用户时,可临时采用傻瓜交换机对故障设备进行替换,并调整相应的汇聚交换机配置。
汇报信息部同时通知设备维护商上门检修;
C.如果没有备件且下接为不同网段用户时,只能保证关键网段的通迅,或者调整用户IP地址。
规避方法与同一网段用户相同。
D.如果备件或傻瓜交换机无光纤端口,则可采用增加光电转换器的方法,替换光纤模块,用双绞线接入交换机。
(6)出口区域故障:
出口区域包括防火墙、路由器、安全网关、网闸等,针对工作为透明模式的设备,直接将设备撤下,汇报信息部同时通知设备维护商上门检修;
A.非透明模式工作的设备,如有备件则调试好备件,将故障设备替换,并汇报信息部同时通知设备维护商上门检修;无备件的情况则上报信息部同时通知设备维护商上门检修;所有故障设备返修完毕后,正式上线前,需汇报信息部,确定上线时间,才能停机安装调试。
非硬件故障
进行设备各项信息收集:
接入CONSOLE线,能否进行设备操作界面:
(1)如能进行操作界面,则收集设备信息;
(2)如不能进入操作界面则判断为设备本身故障,升级设备软件看能否解决,如不能则为设备硬件故障,如有备件,则替换上备件,如无备件,向信息部负责人汇报故障处理情况,同时通知设备维护商上门检修;
查看CPU信息:
showcpu
结合以往经验,判断该设备CPU利用率是否在正常范围内
(3)如果CPU利用率比正常情况下高很多,则可能是攻击,如大量的主机扫描;或环路导致。
可以通过抓包分析来确定攻击源或环路端口。
如为攻击则断开攻击源,如为环路,则解除环路,并向信息部负责人汇报处理过程。
其它厂商设备,如深信服网关、天融信防火墙等,通过WEB方式可以查看CPU利用率
查看设备运行信息:
showrunning-config
与最近备份配置对比,看是否存在改动,如存在改动,则进行还原配置操作,是否能解决故障,如能解决,则先还原配置,分析改动配置存在的问题。
并将处理情况向信息部负责人汇报;如果还原配置后,故障依旧,则进行下一步操作。
如果配置未进行改动,则进行下一步操作。
查看MAC地址表:
showmac-address-table
查看故障设备是否学到对方的MAC地址,如没有学到或学到的信息不正确,则检查链路状态,或者是否存在MAC地址攻击等。
(4)如果MAC地址表正常,则进行下一步操作
查看ARP表:
showarp
查看故障设备是否学习到对方ARP信息或信息是否正确,如果没有学到,则分析是否病毒,如ARP病毒,或其它原因导致
如果能学到对方ARP信息,则进行下一步操作。
查看路由表:
showiprouter
检查到对方的路由是否正常,如果路由不正常,则分析路由不正常的原因
如果路由表正常,则进行下一步操作。
查看是否由于安全设备原因
安全设备是否限制了正常的通迅
安全设备是否将正常报文误断为攻击
8、经过以上操作仍无法定位原因解决故障,则联系第三方技术支持
9、确定故障原因后:
如为病毒导致,则按病毒处理预案进行
如为设备本身故障,则上报信息部,有备件的话,先用备件替换故障设备,无备件,则与信息部负责人协商解决方案
如果故障是因设备配置问题导致,则对原配置备份后,再调整相应的配置
10、故障解决后,进行经验总结,并提交至信息部负责人
预案流程
8.2
业务数据故障应急预案
8.2.1业务数据日常管理
为了加强深圳市XXX业务数据安全的管理,应对具有高可用性要求的业务数据进行备份,形成业务数据备份机制。
8.2.2业务数据故障预案清单
预案名称
业务数据故障预案
预案编号
预案目的
因各类原因导致业务数据丢失的处理方案
预案启动条件
因各类原因,导致业务数据丢失
预案执行实施日期
年月日
组织机构及职责
组成
联系方式
职责
负责人
安全主管
现场指挥
安全主管
成员
网络管理员
机房管理员
需通知的其他部门
部门名称
联系人
注意事项
厂家联络方式
厂家名称
联系方式
软件介质名称
介质编号
存放地点
备注
预案执行步骤及通告
一、故障通告
1.将故障情况向信息部部长汇报。
信息部通知受影响的用户,并视情况的严重程度通知应急领导小组。
二、预案执行步骤
发生业务数据故障(因硬件/软件故障或误操作导致)后,现场值班人员应及时联系数据库管理员,检查和备份业务系统当前数据;
由数据库管理员确定能用于恢复的数据备份及其介质(磁盘/磁带,本地/异地);
如果数据库管理员不能在短时间内修复数据,则需及时上报应急领导小组,由其通知业务部门以手工开展业务;
利用备份恢复业务数据后,需要协同业务部门的人员检查数据的有效性(历史数据和当前数据的差别),并根据需要,联合应用系统开发商,辅助相关的业务人员补录入数据;
完成修复后,立即备份当前数据;
编写故障分析报告,向应急领导小组汇报。
预案处理流程
8.3
服务器软件故障预案
预案名称
服务器软件故障预案
预案编号
预案目的
服务器发生软件故障后,应用本预案处理故障
预案启动条件
服务器发生软件故障(除应用软件系统外)
预案执行实施日期
年月日
组织机构及职责
组成
联系方式
职责
负责人
安全主管
现场指挥
安全主管
成员
网络管理员
机房管理员
厂家联络方式
厂家名称
联系方式
备注
软件介质名称
介质编号
存放地点
备注
备品备件名称
设备编号
存放地点
备注
仪器名称
仪器编号
存放地点
备注
预案执行步骤及通告
一、故障通告
1.将故障情况向信息部部长汇报。
信息
升级会员 