《福建联通互联网应急预案》由会员分享,可在线阅读,更多相关《福建联通互联网应急预案(15页珍藏版)》请在金锄头文库上搜索。
1、 福建联通数据固定与互联网通信业务部福建联通互联网应急预案目 录前言3第一章 应急处置流程3一 、组织机构和职责3二 、应急处置原则4三、应急处置工作规范5四、应急处置保密制度5五、组织结构图6六、各分公司与省分公司应急处置流程图8(一)各分公司应急处置流程图(安全事件主要指:破坏性程序与病毒、有害短消息传播、IP电话大量有害信息、互联网有害信息、有害电子邮件、要害网站受攻击等)8(二)省分公司应急处置流程9第二章 技术处置预案10一、网络安全应急预案10(一)福建联通应对互联网网络节点间突发大流量攻击的策略10(二)福建联通应对DNS业务服务器受攻击的策略11二、公司企业门户网站、165业务
2、网站、福建如意邮箱、信息公告网站等公司网站网络与信息安全应急处理办法12(一)网络设备与网站局域网内软硬件系统安全的应急处理办法12(二)网站信息安全的应急处理办法14(三)福建联通如意邮箱信息安全的应急处理办法16前言为确保福建联通互联网网络与信息安全工作高效、有序地进行,最大限度的减少网络与信息安全突发事故为福建联通互联网业务带来的损失,保证网络通畅与信息安全,防范并及时、高效处理网络与信息安全突发事件,特制定本安全处置预案。当发生网络与信息安全突发事件时,应按照本预案立即采取紧急措施。本预案所称的网络与信息安全应急,是指在境内外敌对势力、敌对分子利用通信网络进行有组织的大规模宣传、煽动和
3、渗透活动,对国内重点网站、网络设施进行的大规模黑客攻击和利用计算机病毒进行的破坏活动,以及在社会发生重大突发事件期间对网络所采取的紧急处置措施。本预案分为应急处置流程及技术应急处置预案两部分。 第一章 应急处置流程一 、组织机构和职责为保证福建联通互联网应急处置工作高效有序的进行,按照中国联通总部的要求,福建联通公司成立了互联网安全应急小组,其中包含网络和网站两个应急处置小组,负责处理与本公司互联网相关的安全突发事件。1 互联网安全应急小组组成及职责:组长: 副组长: 组员: 职责:接受上级单位的业务指导,做好互联网网络安全保障工作;协调本网有关人员和技术力量,做好本网内的网络安全事件的应急处
4、置工作;遇有突发事件,立即向上级相关部门报告,并接受相应的指导。2各小组成员联系方式:二 、应急处置原则1 统一指挥,协同作战。福建省各分公司互联网应急处置小组应在福建联通应急通信保障指挥调度领导小组和总部互联网部应急处置小组的共同领导的领导、统一指挥下工作进行工作。遇到突发事件,各级应急小组应根据本预案要求和处置办法,认真履行各自职责,密切配合、协同作战,充分发挥整体效能。2 实时监控,加强防范。加强对骨干网和省网网络、网站的实时监控和防范,一方面要防止不法分子利用本网络进行有害信息的传播,另一方面要加强对本网络的监控力度,及早发现网络及系统隐患,提前做好应急处置工作。3 快速反应,控制事态
5、。突发事件发生时,总部和省分应急处置小组可以根据预案总原则,在迅速上报上级相关单位的同时,及时采取行之有效的措施,防止事态进一步扩展蔓延,将对网络和业务的损失和危害降至最小。4 全程记录,追查根源。发生网络信息安全事故时,各分公司应急小组首先要及时做好事故情况记录,以便与各有关部门紧密配合,追查事故根源,并积极协助相关单位进行处理。5 定期交流,提高应急处置能力。省分公司和各分公司的应急处置小组应在总部应急小组的协调下,定期召开应急处置工作交流会,定期通报各自的工作情况,及时总结、交流应急处置经验,提高自身应急处置能力。三、应急处置工作规范1 省分及各分公司应急处置小组必须及时响应、处理各种网
6、络应急事件,确保福建联通互联网的信息安全。2 工作时间内所有处置系统均保证正常工作,各工作人员按应急工作流程工作。3 确保各应急处置值班电话(省网管中心值班电话:13075841347 )7X24小时的畅通,并认真进行电话记录工作。各级应急小组对所有处理的事件要有详细记录,并定期提交给上级应急领导小组。4 遇到不能判定或特殊情况,须及时向上级应急领导小组说明,由上级协调相关单位进行处理。四、应急处置保密制度1 确保应急事件处置系统和信息数据存放于安全的网络环境中,并定期进行备份。2 确保网络与信息安全相关文件,数据的保密性,非相关人员不得接触此类文件和数据。3 省分与各分公司应急小组间的信息交
7、流必须确保安全性,防止因中间环节疏漏造成信息泄密。4 省分与各分公司应急处置小组必须确保所提供的各种信息的准确性。5 确保应急办公室的安全性,非相关的人员不得进入办公场所。五、组织结构图中国联通应急通信保障指挥调度领导小组福建联通应急通信保障指挥调度领导小组互联网安全应急小组网络应急处置小组网站应急处置小组各分公司应急通信保障指挥调度领导小组分公司网站/165短信平台应急处置小组分公司网络/邮件/计费应急处置小组六、各分公司与省分公司应急处置流程图(一)各分公司应急处置流程图(安全事件主要指:破坏性程序与病毒、有害短消息传播、IP电话大量有害信息、互联网有害信息、有害电子邮件、要害网站受攻击等
8、)发生安全事件各分公司安全应急处置小组保护现场,保存原始数据,记录并确定事件级别报备福建联通应急通信保障指挥调度领导小组一般事件严重事件是防止危害恶化与扩散,过滤或删除有害信息,严重时停闭相关业务与网络服务否寻求其它支持是是否需要向上级或其他单位寻求帮助决?向上级或其他单位寻求支援否恢复数据否问题解决决?完成事件处理报告报备福建联通应急通信保障指挥调度领导小组结束(二)省分公司应急处置流程省分发生安全事件省分公司应急处置小组保护现场,保存原始数据,记录并确定事件级别记录并确定事件级别报总部互联网安全应急处置小组一般事件严重事件是防止危害恶化与扩散,过滤或删除有害信息,严重时停闭相关业务与网络服
9、务否寻求其它支持是是否需要向总部互联网安全应急小组寻求帮助向总部互联网安全应急处置小组寻求支持否恢复数据否问题解决决?完成事件处理报告报备总部互联网安全应急处置小组结束第二章 技术处置预案技术处置预案中包括网络安全应急预案、网站应急预案两大部分,在预案中分别介绍了有关这部分可能发生的安全问题,并提出详细的解决方法。一、网络安全应急预案(一)福建联通应对互联网网络节点间突发大流量攻击的策略由于目前福建联通互联网网络带宽资源的限制,当突发大流量攻击时(异常大流量是指某条链路的流量在短时间内突增几十兆),对网络的影响较大,省分和各分公司需有专门的维护人员对骨干网和省网链路每半小时监测一次,及早发现问
10、题,及时处理,属于骨干网链路的,由总部应急小组牵头,省分公司配合处理;属于省网内链路的,由省分公司应急小组牵头解决,处理步骤如下:1 总部、省分和各分公司通过流量监测系统分析、判断异常流量的大小及流向。2 骨干网链路出现异常流量时,省分请总部应急处置小组处理。3当各分公司的省网链路出现异常流量时,省分将在省网骨干路由器相关端口打开netflow,采集相关的数据送到专用的数据采集服务器。2 省分应急处置小组对netflow所采集数据进行分析,确认异常流量的源、目的IP地址。4 如果攻击源地址来自网外,由省分上报总部应急小组,请总部同时申报CNCERT协调相关运营商进一步查找攻击来源。5攻击源地址
11、来自网内,在距发起流量攻击最近的路由器上将攻击的目的地址指向null0,必要时可以关停发起攻击的接入链路,同时要求总部请相关省分,或直接要求相关分公司应急小组查找最终攻击来源。(二)福建联通应对DNS业务服务器受攻击的策略福建联通现有域名解析服务器分为二级域名解析服务器和三级域名解析服务器两类,二级域名服务器即联通主域名服务器由总部应急处置小组负责;三级域名服务器即省级域名服务器由省分应急处置小组负责。为保证DNS的正常运行,应加强DNS所在局域网段流量的监控,值班人员应做到每一小时监测一次流量,若此网段流量突增,须立即分析判断是否为针对DNS的攻击。当DNS受到攻击时,不能简单将DNS的IP
12、地址指向Null0,否则将不能用该DNS解析。在这种情况下,一方面对DNS系统进行加固,另一方面需在网络层面上对DNS进一步保护。在发生攻击事件时,应采取下列步骤:1 首先检查DNS能否维持正常的服务,用nslookup命令来测试服务器是否能对域名进行正常解析,如果可以正常解析则进行第2步,否则重启DNS进程。确保DNS能正常提供服务。2 检查DNS上的进程状况,并在该主机上通过Sniffer等软件进行网络数据包侦测,根据包的类型判断攻击类型。检索是否存在引起该类型攻击的操作系统或应用系统的漏洞,并做软件的升级或调整。3 如果由于流量过高或因请求过多引起负荷过重,在DNS所在网段的网络接入设备
13、端口上做流量限制,如在路由器上配置CAR,将去往DNS的流量限制在一定的带宽之内,这样能确保DNS的正常服务不会中断。(注:在配置CAR时,有可能对路由器的性能造成影响,应急时监控路由器的状态)。4 将攻击流量限定后,应将攻击源的IP地址提交总部应急处置小组。对于来自外网的攻击,需要总部应急处置小组将源IP通过CNCERT提交给对端的运营商,进一步找出攻击主机。对于来自网内的攻击,总部应急处置小组将源IP提交给相关省分应急处置小组,进一步查找攻击主机。二、公司企业门户网站、165业务网站、福建如意邮箱、信息公告网站等公司网站网络与信息安全应急处理办法(一)网络设备与网站局域网内软硬件系统安全的应急处理办法1 网站页面信息被恶意篡改由网站网管人员、信息编辑人员定期检查网站信息,做到在正常工作时间每间隔一小时、其它时间采用抽查方式检查网站各栏目信息。发现情况应立即处理,利用网站信息后台管理系统及时定位出现问题的信息,网站信息后台管理系统提供正确信息的备份,恢复替代被篡改的信息,并保存相关系统日志,及时通知总部应急处置小组相关人员,具体流程如下:1) 定位被篡改的信息所涉及到的WEB服务器。2) 如果涉及到多台服务器,则暂时中断该服务器的网络连接,防止在屏蔽攻击前再次遭到攻击。3) 停止域名解析到该台服务器的IP地
