信息系统安全应急处置预案

《信息系统安全应急处置预案》由会员分享，可在线阅读，更多相关《信息系统安全应急处置预案（7页珍藏版）》请在装配图网上搜索。

1、信息系统安全应急预案一、总则一编制目的公司网络和信息安全涉及以设备为中心的信息安全，技术涵盖网络系统、计算机操作系统、数据库治理系统和应用软件系统；涉及计算机病毒的防范、入侵的监控；涉及以用户包括内部员工和外部相关机构人员为中心的安全治理，包括用户的身份治理、身份认证、授权、审计等；涉及信息传输的机密性、完整性、不行抵赖性等等。为切实加强我司网络运行安全与信息安全的防范，做好应对网络与信息安全突发公共大事的应急处理工作，进一步提高预防和掌握网络和信息安全突发大事的力量和水平，昀大限度地减轻或消退网络与信息安全突发大事的危害和影响，确保网络运行安全与信息安全，结合公司工作实际， 特制定本应急预案

2、。二编制依据依据中华人民共和国计算机信息系统安全保护条例、信息安全 3 级评级方法、GB/T20269-2006信息安全技术信息系统安全治理要求、GB/T20270-2006信息安全技术网络根底安全技术要求、 GB/T20281-2006信息安全技术防火墙技术要求和测试评价方法、GB/T19716-2005信息技术信息安全治理使用规章等有关法规、规定，制定本预案。三本预案适用于*有限责任公司网络与信息安全应急处理工作。二、应急组织机构及职责成立信息系统应急处理领导小组，负责领导、组织和协调全公司信息系统突发大事的应急保障工作。一应急小组成员： 组长：副组长： 成员：应急小组日常工作由公司技术部

3、担当，其他各相关部门乐观协作。二应急小组职责：制订专项应急预案，负责定期组织演练，监视检查各部门在本预案中履行职责状况。对发生大事启动应急救援预案进展决策，全面指挥应急救援工作。三、工作原则一乐观防范、综合防范立足安全防护，加强预警，重点保护重要信息网络和关系社会稳定的重要信息系统；从预防、监控、应急处理、应急保障和打击不法行为等环节，在治理、技术、宣传等方面，实行多种措施，充分发挥各方面的作用，构筑网络与信息安全保障体系二明确责任、分级负责依据“谁主管谁负责”的原则，分级分类建立和完善安全责任制度、协调治理机制和联开工作机制。加强计算机信息网络安全的宣传和教育，进一步提高工作人员的信息安全意

4、识。三落实措施、确保安全要对机房、网络设备等设施定期开展安全检查，对觉察安全漏洞和隐患的进展准时整改。四科学决策，快速反响加强技术储藏，标准应急处置措施和操作流程，网络与信息安全突发公共大事发生时，要快速反响， 准时猎取准确信息，跟踪研判，准时报告，坚决决策，快速处理，昀大限度地削减危害和影响。四、大事分类和风险程度分析一物理层的安全风险分析1、系统环境安全风险（1） 水灾、火灾、雷电等灾难性故障引发的网络中断、系统瘫痪、数据被毁等；（2） 因接地不良、机房屏蔽性能差引起的静电干扰或外界的电磁干扰使系统不能正常工作；（3） 机房电力设备和其它配套设备本身缺陷诱发信息系统故障；（4） 机房安全设

5、施自动化水平低，不能有效监控环境和信息系统工作；（5） 其它环境安全风险。2、物理设备的安全风险由于信息系统中大量地使用了网络设备如交换机、路由器等，效劳器，移动设备，使得这些设备的自身安全性也会直接关系信息系统和各种网络应用的正常运转。例如，路由设备存在路由信息泄漏，交换机和路由器设备配置风险等。二网络安全风险1、网络体系构造的安全风险网络平台是一切应用系统建设的根底平台，网络体系构造是否依据安全体系构造和安全机制进展设计，直接关系到网络平台的安全保障力量。公司的网络是由多个局域网和广域网组成，网络体系构造比较简单。内部应用信息网、Internet 网之间是否进展隔离及如何进展隔离，网段划分

6、是否合理，路由是否正确，网络的容量、带宽是否考虑客户上网的峰值，网络设备有无冗余设计等都与安全风险亲热相关。2、网络通信协议的安全风险。网络通信协议存在安全漏洞，网络黑客就能利用网络设备和协议的安全漏洞进展网络攻击和信息窃取。例如未经授权非法访问内部网络和应用系统；对其进展监听，窃取用户的口令密码和通信密码；对网络的安全漏洞进展探测扫描；对通信线路和网络设备实施拒绝效劳攻击，造成线路拥塞和系统瘫痪。3、网络操作系统的安全风险网络操作系统，不管是 IOS，Android，还是 Windows，都存在安全漏洞；一些重要的网络设备， 如路由器、交换机、网关，防火墙等，由于操作系统存在安全漏洞，导致网

7、络设备的担忧全；有些网络设备存在“后门”back door。三系统安全风险 1、操作系统安全风险操作系统的安全性是系统安全治理的根底。数据库效劳器、中间层效劳器，以及各类业务和办公客户机等设备所使用的操作系统，不管是 Win2008/XP/7，还是 Unix 都存在信息安全漏洞，由操作系统信息安全漏洞带来的安全风险是昀普遍的安全风险。2、数据库安全风险全部的业务应用、决策支持、行政办公的信息治理核心都是数据库，而涉及公司运行的数据都是昀需要安全保护的信息资产，不仅需要统一的数据备份和恢复以及高可用性的保障机制，还需要对数据库的安全治理，包括访问掌握，敏感数据的安全标签，日志审计等多方面提升安全

8、治理级别，躲避风险。虽然， 目前公司的数据库治理系统可以到达较高的安全级别，但仍存在安全漏洞。建立在其上的各种应用系统软件在数据的安全治理设计上也不行避开地存在或多或少的安全缺陷，需要对数据库和应用的安全性能进展综合的检测和评估。3、应用系统的安全风险为优化整个应用系统的性能，无论是承受CS 应用模式或是 BS 应用模式，应用系统都是其系统的重要组成局部，不仅是用户访问系统资源的入口，也是系统治理员和系统安全治理员治理系统资源的入口，桌面应用系统的治理和使用不当，会带来严峻的安全风险。例如当口令或通信密码丧失、泄漏，系统治理权限丧失、泄漏时，轻者假冒合法身份用户进展非法操作。重者，“黑客”对系

9、统实施攻击，造成系统崩溃。4、病毒危害风险计算机病毒的传播会破坏数据信息，占用系统资源，影响计算机运行速度，引起网络堵塞甚至瘫痪。尽管防病毒软件安装率已大幅度提升，但假设没有好的防毒概念，从不进展病毒代码升级，而病毒层出不穷，因此威逼性愈来愈大。5、黑客入侵风险一方面风险来自于内部，入侵者利用 Sniffer 等嗅探程序通过网络探测、扫描网络及操作系统存在的安全漏洞，如网络 IP 地址、应用操作系统的类型、开放哪些 TCP 端口号、系统保存用户名和口令等安全信息的关键文件等，并承受相应的攻击程序对内网进展攻击。入侵者通过拒绝效劳攻击，使得效劳器超负荷工作以至拒绝效劳甚至系统瘫痪。另一方面风险来

10、自外部，入侵者通过网络监听、用户渗透、系统渗透、拒绝效劳、木马等综合手段获得合法用户的用户名、口令等信息，进而假冒内部合法身份进展非法登录，窃取内部网重要信息，或使系统终止效劳。所以，必需要对外部和内部网络进展必要的隔离，避开信息外泄；同时还要对外网的效劳恳求加以过滤，只允许正常通信的数据包到达相应主机，其它的恳求效劳在到达主机之前就应当遭到拒绝。四应用安全风险1、身份认证与授权掌握的安全风险依靠用户 ID 和口令的认证很担忧全，简洁被猜测或盗取，会带来很大的安全风险。为此，动态口令认证、CA 第三方认证等被认为是先进的认证方式。但是，假设使用和治理不当，同样会带来安全风险。要基于应用效劳和外

11、部信息系统建立基于统一策略的用户身份认证与授权掌握机制，以区分不同的用户和信息访问者，并授予他们不同的信息访问和事务处理权限。2、信息传输的机密性和不行抵赖性风险实时信息是应用系统的重要事务处理信息，必需保证明时信息传输的机密性和网上活动的不行抵赖性，能否做到这一点，关键在于承受什么样的加密方式、密码算法和密钥治理方式。承受国内经过国家密码治理委员会和公安部批准的加密方式、密码算法和密钥治理技术来强化这一环节的安全保障。3、治理层安全风险分析安全的网络设备要靠人来实施，治理是整个网络安全中昀为重要的一环，认真地分析治理所带来的安全风险，并实行相应的安全措施。责权不明、治理混乱、安全治理制度不健

12、全及缺乏可操作性等都可能引起治理安全的风险。当网络消灭攻击行为或网络受到其它一些安全威逼时如内部人员的违规操作等，无法进展实时的检测、监控、报告与预警。同时，当故障发生后，也无法供给黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求人们必需对站点的访问活动进展多层次的记录，准时觉察非法入侵行为。五、预防预警一完善网络与信息安全突发公共大事监测、推测和预警制度。加强对各类网络与信息安全突发大事和可能引起突发网络与信息安全突发公共大事的有关信息的收 集、分析、推断和持续监测。当检查到有网络与信息安全突发大事发生或可能发生时，应准时对发生大事或可能发生大事进展调查核实、保存相

13、关证据，并马上向应急领导小组报告。报告内容主要包括信息来源、影响范围、大事性质、大事进展趋势和实行的措施建议等。假设觉察以下状况应准时向应急领导小组报告：利用网络从事违法犯罪活动；网络或信息系统通信和资源使用特别；网络或信息系统瘫痪，应用效劳中断或数据篡改、丧失；网络恐惧活动的嫌疑和预警信息； 其他影响网络与信息安全的信息。二设定信息安全等级保护，实行信息安全风险评估。通过相关设备实时监控网络工作与信息安全状况。各根底信息网络和重要信息系统建设要充分考虑抗毁性和灾难恢复，制定并不断完善信息安全应急处理预案。针对信息网络的突发性、大规模安全大事，建立制度优化、程序化的处理流程。三做好效劳器及数据

14、中心的数据备份及登记工作，建立灾难性数据恢复机制。一旦发生网络与信息安全大事，马上启动应急预案，实行应急处置措施，判定大事危害程度，并马上将状况向有关领导报告。在处置过程中，应准时报告处置工作进展状况，直至处置工作完毕。六、处置流程一预案启动在发生网络与信息安全大事后，信息中心应尽昀大可能快速收集大事相关信息，鉴别大事性质，确定大事来源，弄清大事范围和评估大事带来的影响和损害，一旦确认为网络与信息安全大事后，马上将大事上报工作组并着手处置。二应急处理1、电源断电（1） 查明故障缘由。（2） 检查 UPS 是否正常供电。（3） 汇报相关领导，确认市电恢复时间，评估 UPS 供电力量。（4） 备份

15、效劳器数据、交换机配置。（5） 通知机房进展电源修理。做好大事记录。（6） 必要时请示公司负责人及公司领导，主动关闭效劳器、交换机、存储等设备，以免设备损坏或数据损失。2、局域网中断紧急处理措施（1） 信息安全负责人员马上推断故障节点，查明故障缘由，准时汇报。（2） 假设是线路故障，重安装线路。（3） 假设是路由器、交换机等设备故障，应马上从指定位置将备用设备取出接上，并调试畅通。（4） 假设是路由器、交换机等配置文件损坏，应快速依据要求重配置，并调试畅通。（5） 汇报相关领导，做好大事记录。3、广域网线路中断（1） 信息安全负责人员应马上推断故障节点，查明故障缘由。（2） 如是我方管辖范围，

16、由信息安全负责人员马上修理恢复。（3） 如是电信部门管辖范围，应马上与电信维护部门联系修复。（4） 做好大事记录。4、核心交换机故障（1） 检查、备份核心交换机日志。（2） 启用备用核心交换机，检查接收状况。（3） 备份核心交换机配置信息。（4） 将效劳器接入备用核心交换机，检查效劳器运行状况，将楼层交换机、接入交换机接入备用核心交换机，检查各交换机运行状况。（5） 汇报有关领导，做好大事记录。（6） 联系修理核心交换机。5、光缆线路故障（1） 马上联系光纤熔接人员携带尾纤等关心材料，准时熔接连通。（2） 检查并做好备用光缆或备用芯的跳线工作，随时切换到备用网络。（3） 做好大事记录，准时上报

17、。6、计算机病毒爆发（1） 关闭计算机病毒爆发网段上联端口。（2） 隔离中病毒计算机。（3） 关闭中病毒计算机上联端口。（4） 依据病毒特征使用专用工具进展查杀。（5） 系统损坏计算机在备份其数据后，进展重装。（6） 通过专用工具对网络进展清查。（7） 做好大事记录，准时上报。7、效劳器设备故障（1） 主要效劳器应做多个数据备份。（2） 如能自行恢复，则马上用备件替换受损部件，如：电源损坏更换备用电源，硬盘损坏更换备用硬盘，网卡、主板损坏启用备用效劳器。（3） 假设数据库崩溃应马上启用备用系统。并检查备用效劳器启用状况。（4） 对主机系统进展修理并做数据恢复。（5） 如不能恢复，马上联系设备供

18、给商，要求派维护人员前来修理。（6） 汇报有关领导，做好大事记录。8、黑客攻击大事（1） 假设通过入侵监测系统觉察有黑客进展攻击，马上通知相关人员处理。（2） 将被攻击的效劳器等设备从网络中隔离出来。（3） 准时恢复重建被攻击或被破坏的系统（4） 记录大事，准时上报，假设事态严峻，应准时向信息化主管部门和公安部门报警。9、数据库安全大事（1） 寻常应对数据库系统做多个备份。（2） 发生数据库数据丧失、受损、篡改、泄露等安全大事时，信息安全人员应查明缘由，依据状况实行相应措施：如更改数据库密码，修复错误受损数据。（3） 假设数据库崩溃，信息安全人员应马上启用备用系统，并向信息安全负责人报告；在备

19、用系统运行期间，信息安全人员应对主机系统进展修理并作数据恢复。（4） 做好大事记录，准时上报。10、人员疏散与机房灭火预案（1） 当班人员觉察机房内有起火、冒烟现象或闻到烧焦气味时，应马上查明缘由和地点，准时上报并针对不同状况，实行关闭电源总开关、隔离火源四周易燃物、用消防栓、灭火器等器材灭火等措施，组织本单位、部门在场的人员有序地投入扑救工作，将火扑灭或掌握火势集中。（2） 当火势已无法掌握时，一是指定专人马上拨打“119”火警 报警和向上级保卫部门报告， 并打破报警器示警。二是组织四周人员快速撤离。（3） 在保障人员安全的状况下，马上组织人员疏散和转移重要物品，特别是易燃、易爆物品和重要的

20、机器、数据要准时转移到安全地点，并派人员守护，确保安全。（4） 火情完毕之后，组织相关人员准时进展网络系统恢复，准时向上级有关部门和领导汇报，并做好现场保护工作和防止起火点复燃。11、发生自然灾难后的紧急措施（1） 遇到重大雷暴天气，可能对机房设备造成损害时，应关闭全部效劳器，切断电源，暂停内部计算机网络工作。雷暴天气完毕后，准时开通效劳器，恢复内部计算机网络工作。（2） 确认灾难不会造成人身损害后，尽快将网络恢复正常，假设有设备、数据损坏，准时使用备份设备或备用数据。（3） 准时核实、报损，并将具体状况向部门领导汇报。12、关键人员不在岗的紧急处置措施（1） 对于关键岗位寻常应做好人员储藏，

21、确保一项工作有两人能够操作。对于关键账户和密码进展密封保存。（2） 一旦发生系统安全大事，关键人员不在岗且联系不上或 1 小时内不能到达机房的状况，首先应向领导小组汇报状况。（3） 经领导小组批准后，启用公司备份治理员密码，由备用人员上岗操作。（4） 假设备用人员无法上岗，恳求软件公司技术支援。（5） 关键人员到岗后，依据相关规定进展密码设定和封存。（6） 做好大事记录。三后续处理安全大事进展昀初的应急处置以后，应准时实行行动，抑制其影响的进一步扩大，限制潜在的损失与破坏，同时要确保应急处置措施对涉及的相关业务影响昀小。安全大事被抑制之后，通过对有关大事或行 为的分析结果，找出其根源，明确相应

22、的补救措施并彻底去除。在确保安全大事解决后，要准时清理系统、恢复数据、程序、效劳，恢复工作应避开消灭误操作导致数据丧失。四记录上报网络与信息安全大事发生时，应准时向网络与信息安全应急处置工作组汇报，并在大事处置工作中作好完整的过程记录，准时报告处置工作进展状况，保存各相关系统日志，直至处置工作完毕。七、保障措施一应急设备保障对于重要网络与信息系统，在建设系统时应事先预留肯定的应急设备，建立信息网络硬件、软件、应急救援设备等应急物资库。在网络与信息安全突发公共大事发生时，报领导同意后，由应急工作组负责统一调用。二数据保障重要信息系统均应建立容灾备份系统和相关工作机制，保证重要数据在遭到破坏后，可紧急恢复。各容灾备份系统应具有肯定的兼容性，在特别状况下各系统间可互为备份。日期：2018 年 7 月