1、信息安全事件应急处理预案1 目的规范业务信息安全事件的应急管理和应急相应程序,及时有效地应急处理工作,最大程度地减少信息安全事件对公司业务的影响,提高业务系统应急处理能力,保证业务信息安全,维护社会稳定,特制定信息安全事件应急处理预案。2 适用范围本预案针对现有 IPTV 增值业务信息安全事件的应急管理和应急处置工作3 定义和缩写3.1 信息安全事件定义:指由于业务系统处理能力不足、系统软硬件运行异常、软件系统遭遇病毒入侵、黑客恶意破坏与入侵、电力系统故障、网络与通讯系统故障等导致业务信息系统运行产生异常,在此阶段需要采取应急处理措施的事件。3.2 信息安全基础分类:3.2.1 有害程序破坏事
2、件:非法蓄意制造并传播有害程序导致业务系统受到有害程序的影响导致的信息安全事件;3.2.2 网络黑客攻击事件:不法分子通过网络或其他技术手段,利用业务系统的配置缺陷,协议缺陷、程序漏洞等或使用暴力攻击对业务系统实施攻击,并造成业务系统异常或对业务系统运行造成潜在危害的信息安全事件:3.2.3 信息破坏事件:不法分子通过网络或其他技术手段,造成业务系统中的信息被篡改、假冒、泄露、 、窃取等而导致的信息安全事件;3.2.4 信息内容安全事件:利用业务系统网络发布、传播危害国家安全、社会稳定和公共利益内容的安全事件;3.2.5 业务设备故障:由于业务系统自身故障或外围保障设备故障而导致的信息安全事件
3、,以及人为因素的使用非技术手段有意或无意的对业务系统造成破坏而导致的信息安全事件;3.2.6 灾害性事件:由于不可抗力对业务系统造成物理破坏而导致的信息安全事件;3.2.7 其他信息安全事件:不能归为以上 6 个基本分类的信息安全事件。4 工作原则统一管理,各部门协同配合。信息安全突发事件应急工作由应急指挥中心统一领导和工作协调协调,督促各个部门在信息安全应急事件发生是能够做到“责任明确、综合协调、各司其职”的原则协同配合、具体实施,完善应急工作体系和机制。明确责任,依法规范。按照“责任主体管理方式、实行分级响应、及时发现、及时报告、及时救治、及时控制”的要求,依法对信息安全突发事件进行防范、
4、监测、预警、报告、响应、指挥和协调、控制。按照“谁主管、谁负责,谁运营、谁负责”的原则,实行责任制和责任追究制。防范为主,加强信息安全监控。宣传普及信息安全防范知识,贯彻预防为主的思想,树立常备不懈的观念,经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备,提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测,发现和防范重大信息安全突发性事件,及时采取有效的可控措施,迅速控制事件影响范围,力争将损失降到最低程度。5 信息安全事件应急指挥中心:根据工作需要,成立针对业务处信息安全事件应急指挥中心,统一指挥事件的处理工作。5.1 职责
5、与权限岗位 职责应急指挥中心 1. 统一领导、指挥、协调处置突发的信息安全事件2. 决定启动或终止信息系统灾难级事件的应急预案 3. 确定有关部门应急处置工作职责及分工 4. 决定事件处置决策和应对措施 指挥、协调有关部门组织实施5. 决定事件的信息发布、媒体接触等事项6. 对在预防和处置信息安全事件工作中因失职、渎职或其他原因造成严重后果的责任单位和责任人员,提请有关部门按照公司规章制度追究其责任7. 研究解决事件处置过程中的其他重大事项。应急现场小组 1. 具体组织实施现场技术业务系统恢复6 工作程序 6.1 预防与预警机制 6.1.1 预防机制详细预案编制 各部门应结合本部门实际情况制定
6、全面、切实可行的具体应急处理详细步骤规范应急处理的操作流程,提高应急处理能力。其中,业务部署环境中心机房的预案应涵盖中心机房业务服务器主备机切换、网络系统、基础设施、冗余备份失效等方面的各种应急情况。包括应急处理的具体实施步骤、检验方法、实施时间等要素。预防性维护测试 业务部分和各分相关部门按照应急指挥中心统一制定的月、季度、年度的应急演练和预防性维护测试记录表单进行日常预防性维护工作,并做好书面的记录和总结。进行预防性维护测试时,主要检验备份设备以及切换流程是否正常和可操作,或者对可能导致风险的关键点进行设备检查,保证设备的正常进行。6.1.2 日常运行监测与预警机制 机房实行 724 小时
7、值班制度,随时响应公司内的信息安全事件。主机、网络、业务系统安排专岗负责监控,详细记录、统计系统运行状况 形成报表方便汇总、查询。采用智能图像化监控管理系统监控服务器状态、用户并发、资源利用等情况,通过报警功能及时查找业务问题。6.1.3 重要、敏感时期的预防和预警机制 在重要、敏感时期,为维护业务稳定开展和加强信息系统安全工作,加强全体员工的法律和信息资产保全工作2. 协助业务部门实施业务连续性保障工作 3. 对现场事态发展及处置情况及时向公司及外部单位报告4. 负责现场处置工作的总结、报告意识和安全意识教育,制定重要、敏感时期的应急预案 做到发现问题及时处理 提高业务系统的应急处理能力,坚
8、持重要、敏感时期的 24 小时值班制度,保证与上级主管部门、关键业务与设备服务商和当地公安机关的热线联系,积极做好各种风险防范工作。6.2 信息安全事件的应急响应信息安全事件分为一般、紧急、重大以及灾难,共四个等级1) 一般:指能够导致较小影响或破坏的信息安全事件2) 紧急:指能够导致较严重影响或破坏的信息安全事件3) 重大:指能够导致严重影响或破坏的信息安全事件4) 灾难:指能够导致特别严重影响或破坏的信息安全事件6.2.1 预案应急处理机制鉴别事件类别与事件等级,确定信息安全事件来源,保护证据,以便缩短应急响应时间。检查威胁造成的结果,评估事件带来的影响和损害:如检查系统、服务、数据的完整
9、性、保密性或可用性,检查攻击者是否侵入了系统,以后是否能再次随意进入,损失的程度,确定暴露出的主要危险等。抑制事件的影响进一步扩大,限制潜在的损失与破坏。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路,提高系统或网络行为的监控级别,设置陷阱,启用紧急事件下的接管系统,实行特殊“防卫状态”安全警戒,反击攻击者的系统等。根除。在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。与此同时,执法部门和其他相关机构将对攻击源进行定位并采取合适的措施将其中断。清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应该十分小心,避免出现误操作导致数据的丢失。另外,恢复工作中如果涉及到机密数据,需要额外遵照机密系统的恢复要求。对不同任务的恢复工作的承担单位,要有不同的担保。如果攻击者获得了超级用户的访问权,一次完整的恢复应该强制性地修改所有的口令。