浙江科技网网络与信息安全应急预案.docx
《浙江科技网网络与信息安全应急预案.docx》由会员分享,可在线阅读,更多相关《浙江科技网网络与信息安全应急预案.docx(8页珍藏版)》请在冰豆网上搜索。
浙江科技网网络与信息安全应急预案
浙江省科技网网络与信息安全应急预案
(版本号V1.0.0)
2006年3月
目 录
前言
一、总则
1.1目的
1.2工作原则
1.3编制依据
1.4现状及其成因
1.5适用范围
二、组织机构及职责
2.1应急指挥机构
2.1.1浙江省科技厅网络与信息安全应急委员会
2.1.2浙江省科技厅网络与信息安全应急办公室
2.3现场应急处理工作组
2.4应急指挥体系
三、预警和预防机制
3.1信息监测及报告
3.2预警
3.3预警支持系统
3.4预防机制
四、应急处理程序
4.1级别的确定
4.2预案启动
4.3现场应急处理
4.4报告和总结
4.5应急行动结束
五、保障措施
5.1技术支撑保障
5.2应急队伍保障
5.3物质条件保障
5.4技术储备保障
六、培训和演练
6.1人员培训
6.2应急演练
七、监督检查与奖惩
7.1预案执行监督
7.2奖惩与责任
前言
随着全球信息化的飞速发展,高度发达的信息网络和信息系统已经成为国家经济发展的重要支柱和动力,成为提高社会生活质量的基础设施。
但是,由于信息技术本身的特殊性,特别是信息和网络无国界性的特点,人类在享受信息化所带来巨大利益的同时,也面临着网络与信息安全的严峻考验。
本预案是浙江省科技网网络中心根据国家有关法律、法规和政策,结合当前浙江省科技系统信息化的基本情况,重点针对基础网络和重要信息系统中可能发生的重大事件编制的应急处置预案。
在编制过程中,重点研究了当前科技网信息化建设和网络与信息安全的现状及发展趋势,也认真分析了今后较长时间内国际国内网络与信息安全的可能变化,是保障浙江省科技系统网络与信息安全的重要工作手册。
本预案共分八章,内容包括总则、组织指挥体系及职责、预警和预防机制、应急处理程序、保障措施、培训和演练、监督检查与奖惩、附则等。
明确规定了在发生网络与信息安全重大突发事件情况下各部门的相关职能和工作方法,具有一定的宏观指导性和可操作性,对减少网络与信息安全突发事件,保障我省科技系统信息化发展起着重要作用。
本预案将根据浙江省科技系统信息化发展的需要及时进行修改补充。
一、总则
1.1目的
为科学应对网络与信息安全(以下简称信息安全)突发事件建立健全信息安全应急响应机制,有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响,制定本应急预案。
1. 2工作原则
Ø统一领导,协同作战。
信息安全突发事件应急工作由网络与信息安全应急委员会统一领导和协调,督促相关部门遵照“统一领导、归口负责、综合协调、各司其职”的原则协同配合、具体实施,完善应急工作体系和机制。
Ø明确责任,依法规范。
各级单位(部门),按照“分级响应、及时发现、及时报告、及时救治、及时控制”的要求,依法对信息安全突发事件进行防范、监测、预警、报告、响应、指挥和协调、控制。
按照“谁主管、谁负责,谁运营、谁负责”的原则,实行责任制和责任追究制。
Ø整合资源,条块结合。
充分利用现有信息安全应急支援服务设施,整合所属信息安全工作力量,进一步完善应急响应服务体系。
Ø防范为主,加强监控。
宣传普及信息安全防范知识,贯彻预防为主的思想,树立常备不懈的观念,经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备,提高防范意识以及基础网络和重要信息系统的信息安全综合保障水平。
加强对信息安全隐患的日常监测,发现和防范重大信息安全突发性事件,及时采取有效的可控措施,迅速控制事件影响范围,力争将损失降到最低程度。
1.3编制依据
Ø中华人民共和国计算机信息系统安全保护条例。
Ø中共中央办公厅、国务院办公厅转发《国家信息化领导小‘组关于加强网络与信息安全保障工作的意见》的通知(中办发[2O03]27号)。
1.4现状及其成因
人类在享受信息化所带来巨大利益的同时,也面临着信息安全问题的严峻考验,信息安全问题已覆盖了各个重要敏感的安全领域。
特别是信息与网络犯罪有快速蔓延之势,每年计算机犯罪发案率递增30%。
反动邪教法轮功和民运分子等境内外敌对势力利用因特网从事各种违法犯罪活动,对社会稳定和政权巩固造成了许多负面影响。
外国情报机关的情报手段现代化程度越来越高。
随着国家信息化的进一步发展,还将更充分更深入地暴露出我国信息网络的安全隐患,遭受更大的威胁和风险。
近年来,科技网信息安全工作得到加强。
但信息安全保障基础工作和技术保障措施比较薄弱,与信息化快速发展的要求和日趋严峻的信息安全形势很不协调。
信息安全突发事件成因可分为两个方面:
一是网络与信息系统自身的脆弱性,主要表现在:
安全漏洞的普遍性,攻击和恶意代码的流行性,入侵检测能力的局限性和准确性,网络和系统管理的复杂性。
二是网络与信息系统外部体制性的不安全性,主要表现在:
信息安全法制不健全,全社会的信息安全意识淡薄,科技网内部信息安全专业人才缺乏,专业队伍建设相对滞后。
1.5适用范围
本预案适用I、II、III、IV级应急处理工作。
二、组织机构及职责
2.1应急指挥机构
2.1.1浙江省科技厅网络与信息安全应急委员会
设立网络与信息安全应急委员会(以下简称应急委),应急委为浙江省科技厅处理信息安全突发事件应急工作的综合性议事、协调机构。
主要职责是:
按照国家、省信息安全应急机构的要求开展处置工作;研究决定省科技厅信息安全应急工作的有关重大问题;决定III、IV级信息安全突发事件应急预案的启动,组织力量对III级和IV级突发事件进行处置,决定启动网络与信息安全突发事件应急指挥部(以下简称信息安全应急指挥部),统一领导和组织指挥重大信息安全突发事件的应急处置工作;指导监督信息安全应急委的工作;省科技厅交办的事项和法律、法规、规章规定的其他职责。
2.1.2浙江省科技厅网络与信息安全应急办公室
信息安全应急委下设办公室,主持信息安全应急委的日常工作,负责信息安全突发事件日常监测与预警。
其主要职责是:
Ø督促落实应急委作出的决定和措施;
Ø督促检查下属单位信息安全应急预案的制订、修订和执行情况,并给予指导;
Ø督促检查下属单位信息安全应急委和有关专业技术机构的信息安全突发事件监测、预警工作情况,并给予指导;
Ø汇总有关信息安全突发事件的各种重要信息,进行综合分析,并提出建议;
Ø监督检查、协调指导相关部门信息安全应急委的信息安全突发事件预防、应急准备、应急处置和事后恢复与重建工作;
Ø组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划,报人民政府批准后督促落实;
Ø应急委交办的其他工作。
2.3现场应急处理工作组
现场应急处理工作组,在出现安全事件后,对计算机系统和网络安全事件的处理提供技术支持和指导,遵循正确的流程,采取正确快速的行动作出响应,提出事件统计分析报告。
现场应急处理工作组由以下各方面的人员组成:
管理方面包含应急委办公室主任或副主任,以及相关成员单位领导及部门负责人。
主要确保安全策略的制定与执行;识别网络与信息系统正常运行的主要威胁;在出现问题时决定所采取行动的先后顺序;做出关键的决定;批准例外的特殊情况等。
技术方面应包含网络与信息安全专家委员会有关专家、相关技术人员。
主要负责从技术方面处理发生问题的系统;检测入侵事件,并采取技术手段来降低损失。
2.4应急指挥体系
信息安全事件应急组织体系图
应急指挥系统图
三、预警和预防机制
3.1信息监测及报告
3.1.1信息中心相关人员应加强信息安全监测、分析和预警工作,进一步提高信息安全检测能力。
3.1.2建立信息安全事故报告制度。
3.1.2.1发生信息安全突发事件的单位(部门)应当在事件发生后,应当立即向信息安全应急委办公室报告。
3.1.2.2发生信息安全突发事件的单位应当立即对发生的事件进行调查核实、保存相关证据,并在事件被发现或应当被发现时起2小时内将有关材料报至应急委办公室。
3.2预警
信息安全应急委办公室接到信息安全突发事件报告后,应当经初步核实后,将有关情况及时向办公室主任报告,进一步进行情况综合,研究分析可能造成损害的程度,提出初步行动对策,并及时向上级汇报。
办公室主任视情况召集协调会,决策行动方案,发布指示和命令。
3.3预警支持系统
信息安全应急委办公室应建立和完善信息监测、传递网络和指挥决策支持系统,要保证资源共享、运转正常。
3.4预防机制
积极推行信息安全等级保护,定期进行信息安全风险评估。
各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定并不断完善信息安全应急处理预案。
针对基础信息网络的突发性、大规模安全事件,各相关部门建立制度化、程序化的处理流程。
四、应急处理程序
4.1级别的确定
信息安全事件分级的参考要素包括信息密级、公众影响、业务影响和资产损失等四项。
各参考要素分别说明如下:
(1)信息密级是衡量因信息失窃或泄密所造成的信息安全事件中所涉及信息的重要程度的要素;
(2)公众影响是衡量信息安全事件所造成的负面影响范围和程度的要素;
(3)业务影响是衡量信息安全事件对事发单位正常业务开展所造成的负面影响程度的要素;
(4)资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。
信息安全突发事件级别分为四级:
一般(IV级)、较大(III级)、重大(II级)和特别重大(I级),对应颜色依次为蓝色、黄色、橙色和红色。
IV级:
科技厅内部小范围出现并可能造成较大损害的信息安全事件。
Ⅲ级:
科技厅重要部门网络与信息系统、重点网站网络与信息系统受到大面积严重冲击。
II级:
科技厅重要部门或局部地区基础网络、重要信息系统、重点网站瘫痪,导致业务中断,但纵向或横向延伸可能造成严重社会影响或较大经济损失。
I级:
敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动,或者多地点或多地区基础网络、重要信息系统、重点网站瘫痪,导致业务中断,造成或可能造成严重社会影响或巨大经济损失的信息安全事件。
4.2预案启动
4.2.1发生IV级网络信息安全事件后,由发生事件的单位或部门启动相应预案,并负责急办处理工作;发生III级网络信息安全事件后,由发生事件的单位或部门启动相应预案,并由应急办负责指挥应急处理工作;发生I、II级的信息安全突发事件后,上报至应急委启动相应预案,并由应急委负责应急处理工作。
4.2.2应急办接到报告后,应当立即相关领导,并尽快组织专家组对突发事件性质、级别及启动预案的时机进行评估,向应急委提出启动预案的建议,报应急委批准。
4.2.3在启动预案决定后,应急小组立即启动应急处理工作。
4.3现场应急处理
事件发生单位和现场应急处理工作组尽最大可能收集事件相关信息,强别事件类别,确定事件来源,保护证据,以便缩短应急响应时间。
评估:
确定威胁造成的结果,评估事件带来的影响和损害:
如检查系统、服务、数据的完整性、保密性或可用性,检查攻击者是否侵入了系统,以后是否能再次随意进入,损失的程度,确定暴露出的主要危险等。
抑制:
抑制事件的影响进一步扩大,限制潜在的损失与破坏。
可能的抑制策略一般包括:
关闭服务,关闭所有的系统,从网络上断开相关系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路,提高系统或网络行为的监控级别,设置陷阱,启用紧急事件下的接管系统,实行特殊“防卫状态”安全警戒,反击攻击者的系统等。
根除:
在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。
与此同时,配合执法部门和其他相关机构将对攻击源进行定位并采取合适的措施将其中断。
恢复:
清理系统、恢复数据、程序、服务。
把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。
恢复工作应该十分小心,避免出现误操作导致数据的丢失。
另外,恢复工作中如果涉及到机密数据,需要额外遵照机密系统的恢复要求。
对不同任务的恢复工作的承担单位,要有不同的担保。
如果攻击者获得了超级用户的访问权,一次完整的恢复应该强制性地修改所有的口令。
4.4报告和总结
回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。
发生重大信息安全事件应当在事件处理完毕后5个工作日内将处理结果报省信息产业厅备案。
4.5应急行动结束
根据信息安全事件的处置进展情况和现场应急处理工作组意见,信息安全应急办公室应组织相关部门及专家组对信息安全事件的处置情况进行综合评估,并由应急办及时向应急委提出应急行动结束建议。
应急行动是否结束,由应急委决定。
五、保障措施
5.1技术支撑保障
设立信息安全应急响应中心,建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力:
从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。
5.2应急队伍保障
加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息安全核心人才和管理队伍,提高信息安全防御意识。
与相关厂商、当地安全公司等第三方单位建立长期合作关系,充分利用社会资源,加强安全应急队伍保障。
5.3物质条件保障
安排一定的资金用于预防或应对信息安全突发事件,提供必要的设备保障,优化信息安全应急处理工作的物资保障条件。
5.4技术储备保障
信息安全应急委办公室组织有关专家和科研力量,开展应急运作机制、应急处理技术、预警和控制等研究,推广新的应急技术。
六、培训和演练
6.1人员培训
为确保信息安全应急预案有效运行,信息安全应急委应定期或不定期地举办不同层次、不同类型的培训班或研讨会,以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。
6.2应急演练
为提高信息安全突发事件应急响应水平,信息安全应急委应定期或不定期组织预案演练;检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。
通过演练,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充、完善。
七、监督检查与奖惩
7.1预案执行监督
信息安全应急委办公室负责对预案实施的全过程进行监督检查,督促相关单位和部门按本预案指定的职责采取应急措施,确保及时、到位。
7.1.1发生重大信息安全事件的单位或部门应当按照规定及时如实地报告事件的有关信息,不得瞒报、缓报或者授意他人瞒报、缓报。
任何单位或个人发现有瞒报、缓报、谎报重大信息安全事件情况时,有权直接向信息安全应应急委举报。
7.1.2应急行动结束后,信息安全应急委办公室对相关成员单位采取的应急行动的及时性、有效性进行评估。
7.2奖惩与责任
7.2.1对下列情况可以经信息安全应急委办公室评估审核,报信息安全应急委批准后予以奖励。
Ø在应急行动中做出特殊贡献的先进单位和集体;
Ø在应急行动中提出重要建议、节约大量应急资源或避免重大损失的人员;
Ø在应急行动第一线做出重大成绩的现场作业人员。
7.2.2在发生重大信息安全事件后,有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的,信息安全应急委办公室将予以通报批评;对造成严重不良后果的,将视情节由有关主管部门追究责任领导和责任人的行政责任;构成犯罪的,由有关部门依法追究其法律责任。
7.2.3对未及时落实信息安全应急委指令,影响应急行动的效果的,按《国务院关于特大安全事故行政责任追究的规定》追究相关人员的责任。
升级会员 