smy_close
smy_ewm 手机版
smy_ewm 辽检微语
smy_ewm
smy_wyjc

辽宁出入境检验检疫局网络与信息安全应急响应预案

发布时间: (2014-11-21)

【字体:

一、总则

(一)编制目的

为了保证能够有效防范突发事件对辽宁局信息与网络安全的影响,最大限度地减少事故造成的损失,增强对突发事件的应变能力,建立健全信息与网络安全应急响应机制,并使应急工作安全、有序、科学、高效地实施,为网络与信息安全(以下简称信息安全)有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响,根据国家质检总局及省、市相关规定的要求,结合辽宁局实际情况特制定本预案。

(二)适用范围

本预案适用于辽宁局本部、各分支局、办事处内所有机房设施,辽宁局局域网、广域网,政府网站、视频监控系统和建立在辽宁局机房硬件环境之上的各种办公系统、业务系统。

(三)工作原则

以人为本,预防为主;统一领导,分级负责;依法规范,加强管理;快速反应,协同应对;依靠科技,资源整合。

(四)术语和定义

1.信息系统Information System

信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

2.信息安全事件Information Security Incident

信息安全事件是由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件。

3.应急响应计划Emergency Response Plan

应急响应计划是被设计用于在信息安全突发事件中维持或恢复包括计算机运行在内的业务运行的策略和规程。

4.备份Backup

备份是在需要的情况下协助进行恢复的文件和程序的复制件。

二、组织机构与职责

(一)组织机构

1.辽宁局信息安全突发事件应急领导小组

成立辽宁局信息安全突发事件应急领导小组(以下简称领导小组),由分管副局长任组长,信息化处处长任副组长,成员由辽宁局及各分支局、办事处(以下简称各部门)主管信息化工作的领导构成。

2.辽宁局信息安全突发事件应急实施小组

成立辽宁局信息安全突发事件应急实施小组(以下简称实施小组),由辽宁局信息化管理处及各部门负责信息化工作的技术人员构成。

(二)职责

1.领导小组是信息安全应急响应工作的组织领导机构,主要职责是领导和决策信息安全应急响应的重大事宜,如:审核并提出经费预算,审核并批准恢复策略,审核并批准应急响应计划,批准应急响应计划的执行。

2.实施小组主要负责日常事务的处理,综合协调信息安全保障工作并根据信息安全事件的发展态势和实际控制需要具体负责现场应急处置工作。实施小组应当定期召开会议,对近期发生的事故案例进行研究、分析。实施小组成员应当积极开展本部门的应急救援计划研究,起草或修订完善本部门的应急救援方案,针对本部门内的多发事故制定具体的故事预防措施和应急处置规范。

实施小组还应负责与相关管理部门、设备及服务提供商、电信、电力等支持单位保持联络和协作,以确保在信息安全突发事件发生时能及时通报准确情况和获得适当支持。

三、预防与预警机制

(一)信息监测及报告

实施小组应每天定时利用自身检测技术平台实时监测和汇总重要系统运行状态相关信息,如:路由器、交换机、小型机、存储设备、安全设备、应用系统、数据库系统的访问、运行、报错及流量等日志信息。分析系统安全状况,并及时向实施小组负责人报告。

1.辽宁局信息化管理处及各部门信息化管理人员要加强信息安全监测、分析和预警工作,进一步提高信息安全监察执法能力,加大对计算机犯罪的打击力度。

2.建立信息安全事件报告制度。发生信息安全突发事件的部门应当在事件发生后,立即对发生的事件进行调查核实、保存相关证据,并同时向实施小组报告事件的详细信息。

(二)预警

实施小组接到信息安全突发事件报告后,应当经初步核实后,进一步进行情况综合,在研究分析可能造成损害程度的基础上,提出初步行动对策,并及时报领导小组。领导小组视情况召集协调会,决策实施行动方案,发布指示和命令。

1.预防范围:

1)易发生事故的设备;

2)存在事故隐患的设备;

3)重要业务使用的设备;

4)关系重大经济安全的设备;

5)发生事故可能造成严重社会影响的设备。

2.预防措施:

1)建立完善的设备安全管理制度和岗位安全责任制度,并认真实施;

2)指定专人负责设备安全工作;

3)适时分析设备安全情况,制定、完善事故应急预案;

4)及时办理设备使用登记,保证设备登记率达到100% 

(三)预防机制

积极推行信息安全等级保护,逐步实行信息安全风险评估,制定并完善信息安全应急响应计划。针对基础信息网络的突发性、大规模安全事件,各部门建立制度化、程序化的处理流程。完善设备动态监管系统,及早发现事故隐患,采取有效措施防止事故发生。逐步建立完善的设备安全监控系统,包括重大危险辨识系统、事故隐患预警系统、安全状况评价系统等,保证预警支持系统的信息传递准确、快捷、高效。

四、应急响应程序

(一)事件通告

1.信息通报

辽宁局系统内信息通报顺序如下:

1)最初的反应是本部门或辽宁局信息化管理处监控反馈启动突发事件流程,通知实施小组;

2)实施小组成员根据情况判断,决定是否将信息上报领导小组并依据应急处理流程做好响应和重新配置的准备。

3)领导小组根据突发事件判断标准,启动处理流程。

辽宁局系统外信息通报顺序如下:

信息安全突发事件发生后,如果需要,应将相关信息准确通报给相关设备及服务提供商、电信等外部组织,已获得适当的应急响应支持。

2.信息上报

信息安全突发事件发生后,按照相关规定和要求,实施小组成员要及时将情况上报领导小组。如属于国家网络与信息安全信息通报中心要求通报的,应立即填写《辽宁检验检疫局网络与信息系统安全状况报告单》(见附件1)并按照《质检系统网络与信息安全通报管理暂行办法》(质检信办〔200837号)报辽宁局信息化管理处,以便统一上报。

(二)事件分类与定级

信息安全事件发生后,实施小组成员按标准对信息安全事件进行评估,确定信息安全事件的类别与级别。

1.事件分类

信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类。

有害程序事件:蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件,主要分为分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

网络攻击事件:通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。主要分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

信息破坏事件:通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件,主要分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

信息内容安全事件:利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件,利用网络从事违法犯罪活动的情况,网络恐怖活动的嫌疑情况和预警信息。

设备设施故障:由于信息系统自身故障或外围保障设施故障而导致的信息安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。

灾害性事件:由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。

其他信息安全事件:不能归为以上6个基本分类的信息安全事件。

2.事件定级

信息安全突发事件级别分为四级:特别重大(一级)、重大(二级)、较大(三级)和一般(四级),分别以红、橙、黄、蓝色来代表。

红色预警(一级):指能够导致特别严重影响或破坏的信息安全事件。

橙色预警(二级):指能够导致严重影响或破坏的信息安全事件。

黄色预警(三级):指能够导致较严重影响或破坏的信息安全事件。

蓝色预警(四级):指能够导致较小影响或破坏的信息安全事件。

(三)应急启动

在事件定级之后立即启动应急,具体操作遵循如下规则:

启动原则:快速、有序;

启动依据:事件定级最终结果,实行分级响应;

启动方法:由应急领导小组发布应急处理启动令。

(四)应急处理流程

“四级/一般”及四级以下级别的信息安全事件由本部门内部及部门间进行信息沟通选择适当方案自行处置。

如部门内实施小组成员(即负责信息化工作技术人员)能在30分钟内排除故障则不必上报分管领导,处理完故障或突发事件后将情况及处理方法汇总后以电子形式发到辽宁局信息化管理处,如在60分钟内不能排除故障但能准确定位问题所在,则必须上报分管领导,如在60分钟内不能准确定位故障原因,应及时上报领导小组执行负责人并做好应急准备。

当实施小组成员发现“三级/较大”、“二级/重大”、“一级/特别重大”级别的信息安全事件后,应做好应急响应准备并及时上报领导小组执行小组,待领导小组批准后,启动应急预案并进入相应的应急响应工作程序。

在“三级/较大”、“二级/重大”、“一级/特别重大”安全事件发生或可能发生的情况下,按照以下流程进行处理:

1.各部门的实施小组成员,发现需要启动应急预案的信息安全突发事件后,应填写故障报告工作单并立即上报部门负责人,同时做好应急方案启动准备。

2.部门负责人及时向应急领导小组执行负责人(闫国峰)报告。

3.领导小组执行负责人确定是否启动应急实施小组并发布指令,同时根据问题严重情况及时报告领导小组组长。

注:发生故障30分钟未排除,应报告部门负责人。发生故障1小时未排除,部门负责人应及时报告领导小组执行负责人,如部门负责人不在岗时应直接报告领导小组执行负责人,同时做好应急启动准备。

要采取多种方式进行通知,如电话、短信、邮件,务必保证通知到人。故障排除后,由故事处理当事人向部门负责人和辽宁局信息化管理处汇报故障解决情况,如启动了应急响应方案,则应向领导小组执行负责人汇报故障解决情况。

(五)启动应急预案的标准

1.出现地震、水灾、雷电、火灾、爆炸等破坏情况。

2.大楼双路供电系统故障。

3.UPS供电中断。

4.出现黑客攻击或计算机病毒造成网络瘫痪。

5.专线和广域网中断。

6.政府网站瘫痪。

7.“大通关”重要应用系统发生故障,导致应用中断。

8.邮件服务器不能工作。

9.OA服务器不能工作。

10.网络系统严重故障导致应用中断。

11.辽宁局视频监控系统严重故障导致应用中断。

五、现场应急处理

事件发生部门及实施小组成员要尽最大可能收集事件相关信息,判别事件类别,确定事件来源,保护证据,以便缩短应急响应时间。

检查威胁造成的结果,评估事件带来的影响和损害:如检查系统、服务、数据的完整性、保密性或可用性;检查攻击者是否侵入了系统;以后是否能再次随意进入;损失的程度;确定暴露出的主要危险等。

抑制事件的影响进一步扩大,限制潜在的损失与破坏。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统的物理链接,修改防火墙和路由器的过滤规则;封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路;提高系统或网络行为的监控级别;设置陷阱;启用紧急事件下的接管系统;实行特殊“防卫状态”安全警戒;反击攻击者的系统等。

根除。在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。与此同时,实施小组对攻击源进行准确定位并采取合适的措施将其中断。

清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到正常的任务状态。恢复工作应十分小心,避免出现操作失误而导致数据丢失。另外,恢复工作中如果涉及到机密数据,需要额外按照机密系统的恢复要求。如果攻击者获得了超级用户的访问权,一次完整的恢复应强制性地修改所有的口令。

如果启动了应急预案,则应在领导小组的统一领导下,按照应急响应计划和恢复策略进行现场处理。

六、应急响应总结

回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。发生重大信息安全事件的部门应当在事件处理完毕后三个工作日内将处理结果报辽宁局信息化管理处备案。通过对这些数据的统计、汇总、分析,从而不断改进信息安全应急响预案。

1.善后处理的指挥与协调

由领导小组统一协调各部门共同完成应急预案的处置。

2.善后处置

应急行动结束应由领导小组执行负责人根据上级指示和任务完成情况确定,行动结束后,各部门应上报行动的书面总结。

应急求援工作紧急调用物资、设备、人员和场地所发生的费用,按有关规定由有关单位负责。

发生事故后,设备使用部门对事故损坏的设备进行全面的检修,经检验合格后方可重新投入使用。对严重损毁、无维修价值的,经辽宁局信息化管理处确认后,予以报废。

应急救援结束后,有关部门应当做好救助和保险等善后处理事项,并尽快恢复受影响的业务。

3.调查与评估

事故调查组按照国家有关规定组织事故调查,并提出调查报告,辽宁局信息化管理处适时公布发生事故的原因及预防措施。

4.后期处理信息采集

收集事故中出现的各种数据资料,为今后的预防此类事故的发生和应急预案的修改提供依据。

对事故中暴露的问题进行详细的记录,组织人员认真分析,总结经验,避免类似事故再次发生。

5.宣传和培训

辽宁局信息化管理处应当做好事故的预防、避险、避灾、自救、互救等知识的宣传教育,并公布救援抢险电话,各部门应当开展相关人员的应急培训,锻炼和提高应急救援综合素质。

6.应急演习

为提高信息安全突发事件应急响应水平,辽宁局信息化管理处定期或不定期组织应急预案演练;检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充、完善。

7.监督检查

领导小组执行负责人依照有关技术标准,对各部门预案实施的全过程及演习情况进行监督检查。

七、保障措施

(一)应急人力保障

加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息安全核心人才和管理队伍,提高信息安全防御意识。

(二)物质条件保障

在相应专项资金中安排一定的资金用于预防或应对信息安全突发事件,提供必要的交通运输保障,优化信息安全应急处理工作的物资保障条件。

1.资金保障

做好事故应急救援的必要资金准备。应急救援资金由辽宁局计财处和信息化处统一调度。

2.物资保障

对应急预案实施所需的物资器材应予以充分保障,应坚持对应急行动的设备器材进行定期维护保养,以确保紧急情况发生时,能立即投入使用。

定期对冷备份设备进行更新,保证在线设备出现故障时,冷备份设备可以立即接入网络。

3.交通运输保障

应急预案需调用的车辆将由领导小组执行负责人根据应急救援的需要进行统一调度。

(三)技术支撑保障

建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力。从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。

八、附则

1.本预案自发布之日起开始实施

2.本预案由辽宁局信息化管理处负责解释。

附件:

  1. 辽宁检验检疫局网络与信息系统安全状况报告单