1、应急响应管理制度1 范围本制度适用于生态所信息系统的所有网络,在发生严重和重大信息安全事件的条件下使用。本制度适用于生态所开展信息安全管理工作。2 原则本制度的制订严格遵循“积极预防、及时发现、快速反应、确保恢复”的要求,其主要原则是:1) 指导性原则:本制度的制订是根据应急安全所涉及的各方面出发,从总体要求上进行阐述,对各系统建立应急计划、应急措施具有指导性。2) 完整性原则:本制度的制订是从应急处理的全过程的角度出发,从人员、组织、计划以及措施等方面进行阐述。3) 可操作性原则:本制度的制订根据总纲中的要求进行了更具体的要求,切实确保各系统的应急计划和应急措施具备可操作性。3 主要内容本制
2、度的主要内容是从应急的整体过程出发,分别阐述了应急处理和响应涉及的组织人员以及工作职责,安全事件的划分,应急计划的制订和执行,应急措施的要求以及整个应急响应流程。4 总体要求本制度的总体要求是根据生态所信息安全方针的要求进行设计和总结,主要包括以下内容:1) 生态所要结合实际人员和组织情况,规定应急小组成员,并制定应急小组的各项职责。2) 生态所各业务系统需要结合系统的重要性、系统受损后的各种影响程度划分本系统的安全事件等级,为启动响应的应急响应措施进行准备。3) 生态所各业务系统必须制定详细的业务应急计划。4) 业务系统应急措施的制定要严格确保业务系统的可用性,采用在最短的时间能够恢复系统的
3、措施为优先应急措施。5) 业务系统应制定详细的应急响应流程,整个流程包括安全事件发现、报告、事件分析、协调、处理、总结和奖惩等内容。5 组织和职责1) 生态所应急制度的制定、处理和响应等工作涉及的组织和人员包括:l 信息安全领导小组:主要负责单位全年应急工作的整体原则把控,是重大安全事件爆发时的决策层面;l 信息安全领导小组办公室:主要是落实和安排单位应急工作的具体事项,是重大安全事件发生时的管理协调层面;l 系统信息安全管理人员:应急工作和安全事件的发现和汇报人员。2) 根据应急工作的具体要求需要有以上人员组成临时的应急响应小组,需要在各种安全事件中承担不同的工作单位信息安全领导小组、信息安
4、全工作组的负责人共同组成,主要负责重大安全事件的应急指挥和决策。3) 单位应急技术小组是由单位信息安全专职技术人员和信息安全管理员共同组成,主要负责安全事件中技术问题的处理和解决。4) 快速反应通道是指生态所的应急响应组织、各业务系统产品厂商、集成商以及专业的安全厂商,主要负责具体设备、系统以及安全问题的处理和解决。6 安全事件根据生态所安全故障中的规定和要求,本应急规范从安全事件给业务系统和网络所带来的安全风险出发,分析对业务系统造成的损害等因素,划分不同的安全事件等级。这些因素具体包括以下内容:l 人员的生命安全;l 业务可用性;l 保护敏感信息;l 保护网络与信息资产,使遭受的损失降至最
5、小;l 业务关键程度;l 允许中断时间。通过对于以上因素的分析,可以把生态所的安全事件分为以下三级:重大安全事件:由于信息安全问题对关键业务造成直接影响,并导致全网瘫痪、业务中断数小时以上的事件,称为重大安全事件;严重安全事件:由于信息安全问题对重要业务造成直接影响,并导致网络与业务中断,称为严重安全事件。一般安全事件:由于信息安全问题对重要业务造成间接影响,一般业务造成直接影响,并导致网络与业务遭受严重影响的事件,称为一般安全事件。7 应急计划7.1 应急计划的制定12345677.17.1.1 制定原则l 完整性原则:应急计划的制定必须完整,要覆盖应急处理的全方位与全过程,并涵盖实施应急的
6、全部业务品种及相关机构、人员。l 关键业务优先原则:在分析业务的优先等级、风险危害程度的基础上,优先保证重要业务应用的持续运作。l 可操作性原则:应急措施必须明确、具体、切实、易行,操作对象与步骤必须有准确、详细的描述。l 经济与时效性原则:应急措施的选用要考虑成本与时效,必须把有限的资源用于关键业务的核心环节。充分考虑业务系统的时效性影响。l 可恢复性原则:应急计划中确定的各项处理措施必须为应急后的系统恢复提供必需的数据与资料,符合系统恢复所必须的基本处理逻辑,以便对业务系统进行有效恢复,保证系统恢复后的正常运行。l 责任明确原则:应急计划要明确各级领导、各业务部门、监管部门、技术部门及其他
7、各部门所属人员的职责,以保证计划实施过程中责任的落实,并最大限度地降低风险。l 可稽核性原则:有明确的实现标志和检查标准,使应急计划能够接受检查与验证。l 适应性原则:应急计划应根据各系统的变化和业务的变化进行适时修订。7.1.2 制定组织各业务系统应急计划的制定必须由信息安全领导小组办公室的信息安全专业技术人员和系统安全管理员共同制定。7.2 应急计划的主要内容在保证应急计划能够完整有效的执行并对安全事件的应急恢复有直接的指导和操作内容,各系统的应急计划的主要内容至少包括应急响应组织和人员、各业务系统安全事件的具体定义、应急响应措施、应急响应流程等详细内容。分别要求如下:1) 应急响应组织各
8、业务系统的应急响应组织应根据本规范中组织和职责的规定详细定义各系统的组织成员和职责,至少包括对于应急技术小组的组成成员和职责进行详细定义。2) 安全事件的定义各业务系统要根据本规范中安全事件的制定原则,结合各系统的特点,定义各系统的安全事件,并划分本系统的安全事件级别。3) 应急响应措施各业务系统要根据本规范中应急措施的内容,制定各业务系统应包括的应急技术。4) 应急响应流程各业务系统要根据本规范中第七章应急响应中的内容,制定各业务系统的应急响应流程。7.3 应急计划的测试与认证应急计划的测试是应急有效的关键要素,每一个措施都应得到测试,以确保各个应急(恢复)措施的正确性和应急计划的有效性。各
9、业务系统应急计划中的应急措施须经过单位应急技术小组严格的评估与测试,并由单位应急指挥中心的专家级成员对应急计划进行认证,确认其内容的可操作性、完整性和时效性,并给出指导性意见。7.4 应急计划的批准各业务系统应急计划需要在评估、测试以及认证后,由信息安全领导小组办公室进行批准,批准各系统应急计划可用,可以在紧急安全事件发生后启用。7.5 应急计划的培训各业务系统应急计划需要在生态所信息安全工作组批准后对计划中涉及的相关人员进行培训。7.6 应急计划的演练各业务系统应急计划需要定期组织相关的部门和人员进行演练,至少保证每年一次进行演练。7.7 应急计划的更新各业务系统应急计划在演练后,单位应急指
10、挥中心应对计划进行评估,作出相应的修订和完善,对应急计划进行更新。7.8 应急计划启用和终止7.8.1 应急计划启动的基本条件当各系统发生重大安全事件的时候,要及时启动应急计划中的组织人员和应急措施;针对各业务系统,单位应急指挥中心确认具备启动应急计划所必须的物质等后备支援条件,且启动应急计划可能带来的风险在可控制的范围之内。7.8.2 应急计划终止的基本条件生态所应急技术小组确认故障已排除,安全事件已解决,可恢复正常工作状态;生态所应急技术小组确认在应急计划实施过程中的业务已得到有效恢复。8 应急措施应急措施是应计划的核心内容,应急措施应根据不同的安全事件等级进行分析,针对不同的风险级别,给
11、出不同的技术应急措施。88.1 选择原则由于各种业务系统存在多样性,安全事件的形式存在多样性,因此在选择应急措施的时候要严格确保业务系统的可用性,采用在最短的时间能够恢复系统的措施为优先应急措施。8.2 应急措施各业务系统的根据各自的特点需要定制各自的应急措施,但应急措施应至少包括以下内容:8.2.1 预防和准备措施预防和准备性措施是应急措施的重要内容,它可以降低系统的风险或降低系统发生故障时的破坏性,有利于尽快恢复系统的运行。主要有以下内容:1) 设备冗余根据风险分析结果,对可能导致安全故障的单点故障的设备,考虑采用设备冗余的措施,避免设备的单点故障。2) 安全产品部署根据风险评估结果,对存
12、在的安全弱点进行分析,选用合适的控制措施,通过技术和管理的手段消除安全弱点。需要在各业务系统部署网络安全产品,提供防御和检测安全事件的作用,有效降低安全风险。3) 日常运行维护需要制定日常维护操作程序,加强日常运行维护管理,按照操作规程做好各业务系统的运行管理,确保各业务系统正常运行。4) 数据备份措施在进行数据备份时,应对备份的数据进行测试,确保数据的可靠、有效、便于恢复,同时,应根据具体系统,备份适当时间段和关键日期的数据,保证在发生系统故障导致数据破坏时,可以用于恢复或更换的系统,为有关的机构、需求者或接受者能简单、准确地恢复被破坏的记录,数据备份完成后应予以安全保护。5) 资源准备措施
13、应急过程中,如何能够可靠获取和合理分配资源,需要有清醒的判断和详细的计划。首先是人力资源,应确定内部技术应急人员、操作人员和外部支持人员名单,明确其职责,落实可靠的联络和交通措施,确保能够按要求及时到位;同时,应保证系统在进行修复或更替时所需的测试、运行和恢复环境,包括系统的硬件、软件、接口和数据等。8.2.2 监控措施1) 对各系统的运行状况进行跟踪监控,对故障高发部位实施重点监控,及时发现险情或隐患;2) 及时分析各系统的日志,及时发现可疑的安全事件;3) 采用各种监控措施对已经发生的安全事件进行判断并追查踪迹。8.2.3 安全技术措施技术措施是指在发生安全事件的时候,根据安全事件的特点和
14、状态分析,制定可能采用技术措施,通常采用的技术措施包括:1) 关闭主机系统的非业务端口;2) 关闭网络系统的非业务端口;3) 控制网络的访问等。8.2.4 紧急恢复措施紧急修复措施是指系统发生故障时,根据业务需要在规定的时间内尽快修复故障并恢复正常运行的措施。紧急修复措施应根据导致系统中断的原因和系统风险情况具体制定。通常采用的紧急修复措施包括:1) 备份数据修复措施;2) 备份系统启用措施;3) 备份设备启用措施;4) 备份网络启用措施。8.2.5 部分替换和替换措施部分替换和替换是指系统故障时,通过部分替换或替换系统的组成部分,维持系统的基本运行。部分替换和替换措施也以资源准备为前提,应与
15、业务和操作人员确认业务和操作的流程和有关计算方法,同时,需要完成相应功能的软件开发工作,以保证更换后业务的持续进行。部分替换或替换措施可分为全自动和半自动等方式,往往是“以低代高”、“以小替大”,应根据导致系统中断的原因和系统风险重估情况具体制定。9 应急响应流程应急响应的关键是根据流程进行有条不紊的对已经发生的安全事件进行解决,本规范会根据事件的从发现到最终总结提出流程性要求,以保证最大限度地减少安全事件造成的损害。具体的流程分为以下五个阶段:1) 安全事件的发现;2) 安全事件的报告;3) 安全事件的分析;4) 安全事件的处理;5) 安全事件的总结。99.1 安全事件的发现1) 各业务系统
16、应建立监控措施和日志查看制度,采用必要的技术手段,确保及时发现安全事件;2) 各业务系统可以查看风险评估结果和安全预警的内容,及时发现安全事件;3) 及时准确的发布可能出现的大规模的安全事件,并给出处理建议;9.2 安全事件的报告为确保及时、准确地报告安全事件,各业务系统应清晰建立安全事件报告流程,主要明确如下内容: 1) 安全事件的受理部门和人员;2) 报告的方式或途径,如电话、短信、传真等方式;3) 报告的内容,如安全事件发生的时间、地点、系统名称、现象描述、初步分析等;4) 对处理情况的反馈要求。9.3 安全事件的分析安全事件的分析可以通过对现象、状态以及影响程度进行全面分析,分析分为两
17、个阶段:1) 事中分析:主要侧重于为了及时恢复和解决问题而做出的标志性分析;2) 事后分析:主要侧重于总结性分析,确定安全事件的具体规模和影响程度。9.4 安全事件的处理安全事件的处理可分为抑制、根除、恢复等阶段,并应遵循以下标准:1) 应急技术小组首先对安全事件进行分析,并通报应急指挥中心协调处理;2) 除非经过特殊授权,否则未经单位信息安全领导小组的批准,任何人都不得试图证实安全缺陷的存在或者试图进行安全调查,以免破坏系统和证据;3) 未经单位人事部门、法律部门、信息安全领导小组的授权,任何人不得对员工和客户个体进行安全调查,也不得向任何人提供任何支持调查的数据;4) 违法犯罪行为的计算机
18、技术分析(Computer forensics)只能由经过单位安全机构授权的、受过特殊培训的人员予以执行;5) 安全事件处理人员应在不延长业务中断时间的前提下,尽量收集并记录事件数据,特别是采取处理措施后无法再获得的数据。例如:内存数据、进程状态、连接等;l 安全事件处理的主要流程如下:a) 安全事件的抑制 采用应急措施、应急指挥中心应协调单位相关人员、快速反应通道的人员对安全事件的蔓延进行抑制; 采用既定的应急措施进行恢复。b) 安全事件的根除 生态所应急技术小组的成员以及快速反应通道的人员应跟踪并验证处理效果是否达到可接受的水平。c) 系统恢复 系统的系统维护部门应确保系统正常稳定的运行,
19、表示系统恢复正常。9.5 安全事件的总结生态所信息安全工作组应对整个安全事件资料进行收集,分析安全事件的影响和损失,找出发生根源,确定责任人,并制定整改措施。对于反复发生的或影响巨大的安全事件,应考虑强化控制措施。10 应急响应流程1010.1 应急响应流程信息表流程名称:安全事件应急响应流程流程负责人:流程起点: 发现安全问题或异常现象流程目的:提高对事件的响应能力,最大限度地减小异常事件给公司带来的损失。流程终点:组织总结工作步骤编号操作步骤操作描述操作岗位第一步发现l 系统管理员/信息安全管理员发现并判断为一般/重大安全事件l 判断条件如下: 系统管理员通过日常巡检发现重要资产存在可疑事
20、件(启动不正常的服务、非法访问、异常进程等情况),分析判断可能为安全事件,且对网络、主机或系统已经造成影响的情况下,可以启动严重安全事件的响应流程; 系统管理员通过评估、检查等方式发现了安全问题(主机已被入侵、系统存在后门、网络蠕虫正在蔓延等情况),且可能对业务造成影响的情况下,可以启动严重安全事件的响应流程; 系统安全管理员在解决一般安全事件的过程中,由于处理不当或无法解决,造成安全事件的影响扩大或蔓延(病毒向网络中蔓延等情况),在一定时间内没有解决的情况下,可以启动严重安全事件的响应流程。系统管理员/安全管理员第二步报告l 上报信息安全工作组信息安全领导小组办公室第三步分析l 信息安全工作组分析/记录安全事件l 信息安全工作组协助安全分析l 组织专业安全厂商分析安全事件信息安全领导小组办公室第四步处理l 信息安全工作组判断安全事件是否能够被处理l 信息安全工作组判断安全事件的影响程度l 如果判断为重大安全事件,应报告公司信息安全领导小组服务决策和指挥信息安全领导小组办公室第五步恢复/总结l 信息安全工作组判断网络/系统是否恢复l 公司信息安全领导小组负责组织总结信息安全领导小组办公室/公司信息安全领导小组10.2 应急响应流程图
