《最新网络与信息系统安全应急预案》由会员分享,可在线阅读,更多相关《最新网络与信息系统安全应急预案(39页珍藏版)》请在金锄头文库上搜索。
1、网络与信息系统安全应急预案(可以直接使用,可编辑 优秀版资料,欢迎下载)XX公司网络与信息系统安全应急预案一、总则1、编制目的:为保证公司信息系统安全,最大限度地消除信息安全突发事件带来的危害和影响,维护公司信息系统和网络的正常运行,特制定本应急预案。2、编制依据:根据中华人民共和国计算机信息系统安全保护条例、互联网信息服务管理办法、计算机网络信息安全保密制度涉密存储介质保密管理规定相关法律法规、规章制度,制定本预案.3、适用范围:本预案适用于公司各科室、基层队。4、应急预案工作原则:预防为主,分级负责,快速反应,果断处置。二、组织体系公司成立网络与信息系统领导小组,为公司网络与信息系统应急处
2、置的主要机构,负责网络与信息系统应急响应工作的规划、协调和指挥。组长:组员:职责:1、负责处理应急小组的日常工作。2、负责网络与信息系统应急预案的管理,不断完善、修订网络和信息系统应急预案.3、做好网络与信息系统安全的宣传培训工作,提高职工网络安全意识。4、指导完成对于网络与信息系统突发事件的预案演习,检查预案的执行情况。三、预防与预警1、监测与报告.(1)按照“早发现、早报告、早处置”的原则,加强相关信息的收集、分析判断和持续监测。当发生网络与信息安全突发事件时,按规定及时向应急领导小组报告,初次报告最迟不得超过1小时,重大和特别重大的网络与信息安全突发事件实行态势进程报告.报告内容主要包括
3、事件的来源、事件的性质及发展趋势、影响的范围、造成的结果和采取的措施等。(2)建立报告制度。发现下列情况时应及时向应急领导小组报告:利用网络从事违法犯罪活动;制造网络和信息系统瘫痪,应用服务中断的情况;数据篡改,丢失或泄密的情况;其他影响网络与信息安全的情况。2、预警行动。(1)对于可能发生或已经发生的网络与信息安全突发事件,立即采取措施控制事态,并向应急领导小组汇报情况。(2)应急领导小组接到报告后,应迅速召开应急领导小组会议,研究确定网络与信息安全突发事件的等级,根据具体情况启动相应的应急预案,并向相关部门进行汇报.四、应急预案1、网站、网页出现非法言论时的应急预案当发现在网上出现非法信息
4、时,应立即向领导小组通报情况,并作好记录.清理非法信息,采取必要的安全防范措施,将网站、网页重新投入使用;情况紧急的,应先及时采取删除等处理措施,再按程序报告。并及时追查非法信息来源。2、黑客攻击或软件系统遭破坏性攻击时的应急预案重要的软件系统和数据平时必须存有备份,当发现有黑客正在进行攻击时,应立即向应急领导小组报告.软件或系统遭破坏性攻击(包括严重病毒)时要立即停止运行。并将被攻击(或病毒感染)的服务器等设备从网络中隔离出来,避免造成更大损失。应急领导小组负责恢复与重建被攻击或被破坏的系统,恢复系统数据,并及时追查非法信息来源,事态严重的,立即向上级部门报告。3、数据库发生故障时的应急预案
5、主要数据库系统应定时进行数据库备份。一旦数据库崩溃,管理员应立即进行数据及系统修复,修复困难的,可向上级部门汇报情况,以取得相应的技术支持。在此情况下无法修复的,应向应急领导小组报告,在征得许可的情况下,可立即向软硬件提供商请求支援。4、设备安全发生故障时的应急预案小型机、服务器等关键设备损坏后,管理员应立即向应急领导小组报告并负责查明原因。如果能够自行恢复,应立即用备件替换受损部件。如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修。5、内部局域网故障中断时的应急预案局域网中断后,网络安全员应立即判断故障节点,查明故障原因,并向应急领导小组汇报。如属线路故障,应立即修复线路.如
6、属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅.如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调测通畅。6、广域网外部线路中断时的应急预案广域网线路中断后,网络安全员管理员应立即判断故障原因,并向应急领导小组报告.如属可即时恢复范围,由网络管理员立即予以恢复。如属技术中心或通信公司管辖范围,应立即与其进行沟通联系,配合其完成网络修复工作.如果预计恢复时间,应向各部门通报,避免影响日常工作。7、机房发生火灾时的应急预案一旦机房发生火灾,应遵循下列原则:首先保证人员安全;其次保证关键设备、数据安全;三是保证一般设备安全。人员灭火和疏散的程序是:应首先切断
7、所有电源,同时通过119 报警.并从最近的位置取出灭火器进行灭火。五、应急响应1、先期处置。(1)当发生网络与信息安全突发公共事件时,值班人员应做好先期应急处置工作,立即采取措施控制事态,同时应急领导小组报告.(2)应急领导小组在接到网络与信息安全突发公共事件发生或可能发生的信息后,加强与有关方面的联系,并做好启动本预案的各项准备工作。2、应急指挥.预案启动后,要抓紧收集相关信息,掌握现场处置工作状态,分析事件发展态势,研究提出处置方案,由应急领导小组统一指挥网络与信息应急处置工作。3、应急支援。预案启动后,立即成立应急响应先遣小组,督促、指导和协调处置工作。根据事态的发展和处置工作需要,及时
8、与技术中心、通信公司建立联系,支援应急工作。4、信息处理。应对事件进行动态监测、评估,将事件的性质、危害程度和损失情况及处置工作等情况,及时汇报,不得隐瞒、缓报、谎报.同时,要明确信息采集、编辑、分析、审核、签发的责任人,做好信息分析、报告和发布工作。5、应急结束。网络与信息安全突发事件经应急处置后,由应急领导小组提出应急结束的建议并实施.六、后期处置1、善后处理。在应急处置工作结束后,要迅速采取措施,抓紧组织抢修受损的基础设备设施,减少损失,尽快恢复正常工作。2、分析评估。在应急处置工作结束后,应立即组织相关人员组成事件调查组,对事件发生及其处置过程进行全面的调查分析,查清事件发生的原因及财
9、产损失情况,总结经验教训,写出调查评估报告,并根据问责制的有关规定,对有关责任人员做出处理。七、保障措施1、数据保障。重要信息系统均应建立备份系统和相关工作机制,保证重要数据在受到破坏后,可紧急恢复。2、应急队伍保障。按照一专多能的要求建立网络信息安全应急保障队伍。八、监督管理1、宣传教育。要充分利用各种传播媒介及有效的形式,加强网络与信息安全突发公共事件应急和处置的有关法律法规和政策的宣传,普及应急救援的基本知识,提高防范意识和应急处置能力。2、责任与奖惩。网络与信息系统的管理部门要认真贯彻落实预案的各项要求与任务,建立监督检查和奖惩机制。计算机信息系统安全保护等级划分准则国家质量技术监督局
10、1、范围本标准规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级;本标准适用于计算机信息系统安全保护技术能力等级的划分.计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。2、引用标准下列标准所包含的条文,通过在标准中引用而构成本标准的条文.本标准出版时,所示版本均为有效.所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性.GB/T5271 数据处理词汇3、定义出本章定义外,其他未列出的定义见GB/T5271.3。1 计算机信息系统 computer i
11、nformation system计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。3。2计算机信息系统可信计算基 trusted computing base of computer information system计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基体的保护环境并提供一个可信计算系统所要求的附加用户服务。3.3客体 object信息的载体。3。4主体 subject引起信息在客体之间流动的人、进程或设备等。3。5敏感标记 sensit
12、ivity label表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。3.6安全策略 security policy有关管理、保护和发布敏感信息的法律、规定和实施细则。3.7信道 channel系统内的信息传输路径.3。8隐蔽信道 covert channel允许进程以危害系统安全策略的方式传输信息的通信信道/3。9访问监控器 reference monitor监控器主体和客体之间授权访问关系的部件。4、等级划分准则4。1第一级 用户自主保护级本级的计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。它具有多种形式的控制能
13、力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户信息,避免其他用户对数据的非法读写与破坏。4。1.1 自主访问控制计算机信息系统可信计算基定义和控制系统中命名拥护对命名客体的访问.实施机制(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息。4。1。2 身份鉴别计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,并使用保护机制(例如:口令)来鉴别用户的身份,阻止非授权用户访问用户身份鉴别数据。4.1。3 数据完整性计算机信息系统可信计算基通过自主完整性策略,阻止非授权用户修改或破坏敏感信息。4.2 第二级 系统审计
14、保护级与用户自主保护级相比,本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。4。2。1 自主访问控制计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息.并控制访问权限扩散。自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体.访问控制的粒度是单个用户.没有存取权的用户只允许由授权用户指定对客体的访问权。4。2。2 身份鉴别计算机信息系统可信计算基初始执行时,首先要求用户标
15、识自己的身份,并使用保护机制(例如:口令)来鉴别用户的身份;阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识,计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力。4.2。3 客体重用在计算机信息系统可信计算基的空闲存储客体空间中,对客体初始指定、分配或在分配一个主体之前,撤消该客体所含信息的所有授权.当主体获得对一个已被释放的客体的访问权时,当前主体不能获得原主体活动所产生的任何信息。4.2。4 审计计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件的日期和时
