前言:中文期刊網精心挑選了網絡安全應急處理流程范文供你參考和學習,希望我們的參考范文能激發你的文章創作靈感,歡迎閱讀。
網絡安全應急處理流程范文1
關鍵詞:金融風險;防范;管理
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)10-2201-02
隨著我國金融業的蓬勃發展,各金融機構不斷加大金融電子化建設投入,擴大其網絡規模和應用范圍。但是,應該看到,金融電子化在給我們提供便利的同時,也帶來了新的安全問題,并且,這個問題現在顯得越來越緊迫。
1金融網絡現狀與面臨的主要風險
金融活動越來越多地在計算機網絡上建立,網上證券交易、資金轉賬、清算支付、信用卡交易、信用查詢、電信銀行業務等基于網絡的金融產品不斷被開發出來,各種不同規模的金融系統也在迅速的發展壯大,金融業務的網絡化趨勢,已經成為不可避免的發展方向。
在網絡為我們提供巨大便利的同時,來自外部與內部的威脅與風險也在不斷加大。絕大多數銀行、金融機構都會通過各種方式進行互聯互通,并與國際互聯網直接或間接相連,如何有效防范來自外部的攻擊、竊聽、木馬、病毒的多重入侵是金融網絡組建與運行中必須首要考慮的問題。同時,機構內部的員工、終端、服務器、網絡設備、軟件等的管理也是不可忽視的,由于外部出口是一個點,而內部體系是一個面,所以來自內部的威脅往往要遠遠大于外部,必須加以足夠的重視。
2金融網絡的風險評估與防范
最有效的金融網絡風險防范措施就是對網絡系統進行等級保護,按照重要程度進行級別劃分,對不同等級的網絡系統通過物理隔離或邏輯隔離劃定邊界,并針對不同等級的網絡系統,特別是核心業務網絡定期進行風險評估,系統地分析所面臨的威脅及其存在的脆弱性,查找薄弱環節和安全隱患,有針對性的提出防范和化解風險的整改措施,并及時進行整改。
風險評估根據網絡系統等級劃分后的的重要程度和機構自身的條件選擇自評估或聘請第三方專業機構進行。評估過程大致可以分為現場檢查、風險分析及策略選擇3個步驟進行。
首先,現場檢查階段應明確目前網絡資產情況、網絡系統的安全需求、當前的安全控制措施情況、業務對網絡系統的依賴性,明確網絡系統的技術脆弱性,主要包括:設計弱點、實現弱點、配置弱點等等。現場檢查切勿走形式,務必提前制定詳細的檢查方案與實施細則,并嚴格按照檢查計劃進行。只有現場檢查階段得到了全面、真實的業務數據,才能為后面的綜合分析提供必要的基礎支持。
風險分析階段是整個風險評估的核心部分,需要利用現場檢查階段得到的各類數據,綜合分析金融網絡系統所存在的各類風險。具體實施則應包括關鍵資產安全需求(機密性、完整性和可用性)確定、關鍵資產威脅分析、脆弱性分析、綜合風險計算及風險分析總結等幾個方面。
安全需求分析包括應選擇關鍵資產、并對關鍵資產進行安全需求分析與賦值。威脅分析針對環境因素和人為因素分析威脅來源、對威脅進行分類、研究威脅發生的可能性、分析威脅的嚴重程度。脆弱性分析包括以下幾點:網絡安全策略及管理規章制度是否健全;安全組織體系是否健全,管理職責是否明確,安全管理機構崗位設置、人員配備是否合理;網絡系統的體系結構、各類安全保障措施的組合是否合理;網絡安全域劃分、邊界防護、內部網絡防護、外部設備接入控制、內外網隔離等是否到位;網絡設備、安全設備、主機和終端設備的安全性是否可靠,操作系統的安全配置、病毒防護、惡意代碼防范等是否有效。此外,還應檢查設備、系統的操作和維護記錄,變更管理,安全事件分析和報告;運行環境與開發環境的分離情況;安全審計、補丁升級管理、安全漏洞檢測、網管、權限管理及密碼管理情況;機房安全管控措施、防災措施、供電和通信系統的保障措施等;關鍵資產采購時是否進行了安全性測試,對外部服務機構和人員的保密約束情況,在服務提供過程中是否采取了管控措施;應急響應體系(應急組織、應急預案、應急物資)建設情況,應急演練情況等。
綜合風險分析主要是綜合分析網絡與信息系統的整體安全現狀,對資產、威脅、薄弱環節、已有安全措施進行綜合分析,分析安全事件發生的可能性;分析安全事件發生后可能造成的后果和影響;分析網絡和信息系統的整體風險狀況,最后根據風險的程度逐 條列出風險列表,通常可將風險劃分為3個等級,即一般風險、中級風險和高級風險。
策略選擇階段根據前一階段得到的風險列表,結合安全需求和業務目標,開展相應的整改工作,開發和選擇符合成本效益的信息安全保護策略,包括安全管理策略和安全運行策略,并制定合適的風險緩解計劃。特別是針對高級風險應立即采取相應措施進行化解,對于短時間內受各種客觀條件限制而不能及時處理的高級風險,應制定專項風險防范方案,并提出后期整改計劃。
經過較為全面的風險評估與相應的整改,可以極大的降低金融網絡安全事件的發生概率。需要注意的是,風險評估保證必須定期組織進行,并將責任落實到人,確保整改到位。
3金融網絡的應急體系
做好風險評估與防范,千萬不能忽視應急體系的建立與管理,即使金融網絡各方面風險已得到控制,仍避免不了各類突發事件的發生,如何在緊急情況下以最快的速度恢復系統運行或使用替代方式繼續進行業務處理,是衡量一個網絡體系是否健全完善的重要指標。
金融網絡比起其他普通網絡系統,有著更加重要的地位,一個社區的網絡或是一所學校的網絡系統出現故障所產生的社會不良影響遠不及一家銀行資金業務或支付清算系統網絡所出現的事故。金融網絡的應急處理必須得到高度的重視。
金融網絡應急體系建立的首要環節就是要建立一套全方位的應急組織協調機制,應涉及應急處理的各個部門、單位及相關政府職能部門,能在突發事件發生后的第一時間進行組織協調,確定應急方案,調動各方力量,實現應急聯動。
其次,金融機構應結合自身的實際情況,制定和不斷完善IT層面的應急預案,完善網絡、機房環境等應急操作手冊,提高金融網絡系統應對突發事件的能力,有效、快速、合理地應對突發事件,最大程度地減少金融網絡信息安全事件造成損失和影響,保障金融業務的連續運行。
應急預案的有效性取決于預案所涉及的人員對預案的理解。因此必須定期組織要對預案的宣傳、培訓和實戰演練,確保參與應急處理的每個人均能充分理解應急預案的中心思路、應急處理的原則、應急處理的具體執行流程,以便在實際應急處理過程中迅速進入狀態,確保應急處理的效果。
實戰演練是為檢驗應急設施的有效性、鍛煉應急隊伍、改進應急預案等,針對真實運行的系統主動進行的演練,實戰演練前應檢查預防性措施的就緒情況,以防止可能發生的演練風險。演練必須注重真實性,不能走過場,要模擬出真實事件發生的效果,最好由第三方組織在不通知預案執行者的前提下進行,以達到更真實的現場效果。
4結束語
金融網絡必須有足夠強的安全防衛措施,否則將會影響到金融業的可持續發展。網絡安全保障是一個綜合集成的系統,它的規劃、管理要求國家有關部門、金融機構及IT技術公司通力合作,進行科學的、強有力的干預、導向和防護。隨著金融信息化的迅猛發展,金融網絡不再局限于專網,而必須使用如互聯網那樣的公網。通過風險評估機制來建立完善的安全管理制度和智能、深度的安全防御技術手段,構建一個管理手段與技術手段相結合的全方位、多層次、可動態發展的縱深安全防范體系,為金融業務的發展提供一個堅實的信息系統基礎保障。
參考文獻:
網絡安全應急處理流程范文2
關鍵詞:網絡安全事件;應急響應;聯動系統
一、應急響應的技術特點
網絡安全事件指影響計算機系統與網絡安全的不正當行為。網絡安全事件一般在很短時間內產生,且引起的損失巨大。應對網絡事件關鍵是速度與效率。應急響應(即“Incident Response),指某組織為了應對意外事件發生所做的準備及事件發生后采取的措施。本文網絡安全事件的應急響應則指應急響應組織根據對可能情況的準備,在網絡安全事件發生后,盡快作出正確反應,減少損失或盡快恢復正常運行,追蹤攻擊者,搜集證據直至采取法律措施等行動。網絡安全事件應急響應的對象,又稱應急響應的客體,指:針對計算機與網絡信息的安全事件。除了傳統的針對保密性、完整性和可用性分類外,廣義上應急響應的對象還包括:掃描等違反安全政策的事件。應急響應過程包含三種角色:事件發起者、事件受害者與應急響應的人員。應急響應是被動性的安全體系。它的作用主要表現:1、事先的充分準備;2、事件發生后的采取的抑制、根除和恢復等措施。
(一)入侵檢測
應急響應由事件引發,同時發現事件依靠檢測手段。入侵檢測技術指由系統自動完成的檢測,是目前最主要檢測手段(IDS)。
(二)事件隔離與快速恢復
首先,在檢測基礎上,確定事件類型和攻擊源后,對于安全性、保密性要求高的環境,應及時隔離攻擊源,制止事件影響進一步惡化;其次,對外提供不可中斷服務的環境,如運營平臺、門戶網站等,應急響應過程應側重考慮盡快恢復系統并使之正常運行。這其中涉及事件優先級認定、完整性檢測及域名切換等技術。
(三)網絡追蹤和定位
確定攻擊者網絡地址及輾轉攻擊路徑,在現在的TCP/IP網絡基礎設備上網絡追蹤及定位很困難;新的源地址確認的路由器雖然能夠解決問題,但它與現在網絡隱私保護存在矛盾。
(四)取證技術
取證是一門針對不同情況要求靈活處理的技術,它要求實施者全面、詳細的了解系統、網絡和應用軟件的使用與運行狀態,對人的要求十分的高(這一點與應急響應本身的情況類似)。目前主要的取證對象是各種日志的審計,但并不是絕對的,取證可能來自任何一點蛛絲馬跡。但是在目前的情況下,海量的日志信息為取證造成的麻煩越來越大。
二、網絡安全事件應急響應聯動系統模型
網絡安全事件應急響應聯動系統模型是從應急響應組及協調中心發展起來的一套應急響應聯動體系。它立足于協調地理分布的人力與信息等資源,協同應對網絡安全事件,屬于應急響應組織發展后期的組織形式。聯動含義:1、組織間的協作;2、功能上統一;3、網絡安全策略上聯合。
(一)聯動系統的體系結構
圖1 聯動系統的體系結構
1、應急響應協調中心。是信息共享、交換與分析中心,負責協調體系正常運行,屬于聯動系統的核心。
2、應急響應組。應急響應組以應對網絡安全事件為目標,根據技術力量與資源狀況設置機構,甚至承擔部分協調中心功能。
3、客戶。客戶方應在應急響應組協助下進行風險分析、建立安全政策與設立聯系人員,增強自身主動防御能力及采取合理措施能力。
(二)應急響應協調中心
應急響應組織具備四核心功能:分類、事件響應、公告與反饋;與此同時還具有非核心功能:分析、信息整理、研發、教育及推廣。
圖2 應急響應協調中心機構設置
1、研發。研發部門,也是實驗部門,主要負責研究安全技術與安全工具,以及與網絡相關的技術測試、系統測試、產品測試、漏洞測試等。
2、專家顧問。技術專家對于確定研究與形勢影響很大。法律顧問與客戶、其他應急響應組織的合作及與法律部門、新聞媒體等合作應有法律依據。
3、信息整理與事件跟蹤。體系內的具備ISAC功能機構,該部門承擔著公告、反饋和信息整理的功能,在研發機構協助下實現信息資源(包括漏洞及補丁信息、新聞動態、技術文獻資料、法律法規、公告、安全警報、安全政策、建議等)共享,;還應提供網站資源鏈接,常見問題(FAQ),常用工具,技術論壇與事件及漏洞的上報渠道等。
4、應急響應。是一線應對事件的機構。響應是聯動系統的根本任務,但是聯動系統的響應人員在響應過程中可得到體系援助,使應急響應更及時有效。
5、聯絡。協調應急響應組、應對事件的聯動響應及與客戶聯絡。聯絡中心應具有對應急響應組的約束力,并與該部門承擔應急響應功能。
6、培訓。包括對組織內人員的技術培訓、固定客戶的技術支持與培訓和面向社會的安全培訓三個方面,是保持體系鍵康發展,提高客戶合作能力的機構。
7、公共關系。負責處理應急響應不能回避的與法律組織、媒體、行政部門、科研組織等實體的關系,以及與其他應急響應組織間的聯絡與合作;承擔部分推廣的功能。
8、管理機構。協調中心及聯動系統運作。
(三)聯動系統的功能
聯動系統功能包括兩方面:1、提供安全事件的應急響應服務;2、信息共享、交換與分析。兩功能互相融合、取長補短,使應急響應更加高效、便捷。
1、協調應急響應。在事件響應過程中,響應人員通過網絡或傳真方式向組織報告事件詳細信息,并取得幫助與建議,最終完成響應。依靠資源共享與聯動響應期間各響應組的密切聯系,響應過程中響應人員得到的建議。事件響應結束后,響應人員要完成事件跟蹤報告與總結,并由中心備案。
2、信息共享、交換和分析。信息整理與公告功能是維護網絡安全的主動防線。中心通過對組織的安全信息進行統計分析,找出易發生的安全事件,并以預警信息結合預防建議的形式,遏制類似事件發生;中心在安全信息整理和共享等的貢獻可大提高應急響應質量,對響應人員和客戶方的在線幫助意義重大義。
三、模型其它重要內容
(一)應用應急專線與無線通信手段
在報告事件時,受害者的理想方式:通過網絡,交互性較強。但為防止網絡受到破壞性攻擊、須預先設定緊急聯系手段。對事件的即時報告、意見反饋、協調中心或其它幫助都通過響應人員與中心聯系實現。除應急響應過程中的聯系,客戶報告事件也應在網絡或專用 軟件外擁有應急報告方式,比如傳真、移動電話。
(二)事件并行處理的協調
協調中心須實現為事件開辟聯動空間保證其獨立、高效及可持續。
(三)信息共享與隱私保護以及配套法律建設
聯動系統的本就是實現質信息共享。敏感信息應予以保護,比如客戶聲譽、穩私、機密等。聯動系統的信息共享不是完全共享,而是多級權限的共享。此外取證效力及責任、損失鑒定及量刑等的配套法律建設不完善,聯動系統也應根據實踐建立起自身的規范約束。
(四)異地數據備份與同步和自身的健壯性
應急響應聯動系統要求一定權限的數據由協調中心及應急響應組互為備份。依靠體系地理分布實現數據異地備份,保證數據安全性。
參考文獻:
網絡安全應急處理流程范文3
關于做好網絡安全自查情況總結為了提高網絡安全防控水平,避免和減少網絡安全事故的發生,嚴格落實《網絡安全法》,根據縣委網絡安全和信息化委員會辦公室[2020]04號文件《關于做好2020年度關鍵信息基礎設施安全保障工作的通知》文件精神,縣公共資源交易中心結合工作實際,扎實推進網絡安全自查工作,積極組織落實,認真對照進行了自查,對交易中心的網絡安全和信息化建設進行了深刻的剖析,現將自查情況報告如下:
一、基本情況
近年來,為保證網絡安全和信息化工作順利開展,交易中心先后為各職能股室分別配備了信息化工作辦公電腦,安裝辦公軟件系統及信息安全防護系統。同時,確定了網絡信息系統管理人員,具體負責信息系統及電腦的日常維護。目前,交易中心各信息系統運行平穩安全,并開始了自查工作,不斷完善,查漏補缺。
交易中心網絡信息化建設經過不斷發展,逐漸由原來的小型局域網發展成為目前實現與省、市、縣互聯互通網絡。
現有信息系統X個,其中網站數X個,業務系統X個,辦公系統X個;互聯網接口數X個,其中中國電信接入口X個,中國移動接入口X個;建立門戶網站域名為:XXXXX,IP地址段為:XXXX。
二、網絡安全和信息化工作落實情況
交易中心完善了網絡安全管理制度。為了加強網絡安全管理,保護單位網絡系統的安全,按照省市關于推進全流程電子化招標工作要求,中心分節點、按步驟扎實推進全流程電子化招標進程,進一步夯實交易服務設施,在開評標室配備了相應的音像、投影、電腦、高清攝像頭、音視頻監控等設備,夯實了硬件基礎。做好網絡安全及設備維護,依據國家有關涉密信息系統管理辦法和技術規范,認真抓好了安全保密體系建設,做到了物理隔離和專機專用,安裝了網絡信息安全監控系統,做到軟件及時升級、打補丁、更新病毒庫。使網站可管并可控,達到了網絡安全保密要求。全年無失泄密事件,無重要數據丟失現象發生。
(一)網絡安全責任落實情況
交易中心成立了網絡安全和信息化工作領導小組,落實領導責任制。明確分管此項工作的領導和日常應用操作管理人員,做到了人員到位,責任明確,工作落實。網絡安全和信息化工作領導小組組長為中心主任丁顯明,副組長為辦公室主任,其他單位干部職工為成員,領導小組下設辦公室,由吳兆華同志兼任辦公室主任,負責網絡安全管理日常工作,并設置鄒凱為網絡信息系統管理人員。保障了網絡平臺和信息系統的健康平穩運行,為推動中心交易工作公開、公平、公正開展發揮了積極作用。
(二)網絡安全日常管理及網絡安全防護情況
結合交易中心實際,按照“誰使用,誰負責”的原則,在日常管理及網絡安全防護工作中,要求各股室嚴格按照以下規定執行,確保網絡和信息系統的安全。
1.計算機必須設置系統啟動密碼,密碼嚴禁外泄,避免外部人員登錄對本單位計算機網絡進行攻擊。
2.辦公計算機在使用過程中,要定期進行系統備份,以提高突發事件發生時的應對能力。
3.不得隨意接入網絡設備,避免因擅自接入影響網絡和信息系統的正常運行,確因工作需要接入網絡設備,必須經網絡安全和信息化工作辦公室允許方可接入。對于移動存儲設備,不得與涉密計算機及政務專網以外計算機共用。
4.所有計算機必須安裝防火墻,定期查殺網絡病毒,防止病毒、不良信息入侵網絡、Web服務器,移動存儲設備在接入計算機使用前,必須進行殺毒。
5.對重要文件、信息資源、網站數據庫做到及時備份,數據恢復。
6.安排專人每周定期檢查中心計算機系統,確保無隱患問題,做到了發現問題及時解決,進一步增強了中心網站和信息系統的穩定性、可靠性、快速性和安全性。
7.不使用無線路由器默認管理地址及口令,并對無線網絡采取地址過濾措施。
8.終端計算機實行集中統一管理,并綁定計算機IP對接入互聯網、辦公系統進行控制,發現不良信息可以定位信息來源。
(三)網絡安全應急工作及教育培訓情況
為切實做好網絡突發事件的防范和應急處理工作,進一步提高預防和控制網絡突發事件的能力和水平,減輕或消除突發事件的危害和影響,確保交易中心網絡與信息安全,交易中心認真落實“教育在先,預防在前,積極處置”的工作原則,牢固樹立安全意識,提髙防范和救護能力,以維護正常的工作秩序和營造綠色健康的網絡環境為中心,進一步完善網絡管理機制,提高突發事件的應急處置能力。
一是積極開展網絡信息安全宣傳教育及演練。
深入開展網絡信息安全教育,組織相關計算機安全技術培訓,增強了干部職工對殺毒軟件的熟練使用,以及安全意識和責任意識。
二是通過定期對網站上的所有信息進行整理,未發現涉及到安全保密內容的信息,并且上網信息必須由分管領導和具體人員審核和監控,按要求配置了必要的設備,并定期和不定期計算機進行檢査。
確保了網站安全、可靠使用。
三是確保計算機使用做到“誰使用、誰負責”;
對交易中心內網產生的數據信息進行嚴格、規范管理,并及時存檔備份。
四是當人為、病毒破壞、設備損壞、自然災害、火災及市電不正常等因素造成災害發生時,按照災害發生的性質,應立即采取組織人員自救或報警,在保障人身安全的前提下,首先保障數據的安全,然后是設備安全。
不能處理的可以請示相關的專業人員。其它沒有列出的不確定因素造成的災害,可根據總的安全原則,結合具體的情況,做出相應的處理。
網絡安全應急處理流程范文4
一、總則
(一)編制目的
為提處置網絡與信息安全突發事件的能力,形成科學、有效、反應迅速的應急工作機制,確保重要計算機信息系統的實體安全、運行安全和數據安全,最大程度地預防和減少網絡與信息安全突發事件及其造成的損害,保障信息資產安全,特制定本預案。
(二)編制依據
根據《中華人民共和國計算機信息系統安全保護條例》、公安部《計算機病毒防治管理辦法》,制定本預案。
(三)分類分級
本預案所稱網絡與信息安全突發事件,是指本系統信息系統突然遭受不可預知外力的破壞、毀損、故障,發生對國家、社會、公眾造成或者可能造成重大危害,危及公共安全的緊急事件。
1、事件分類
根據網絡與信息安全突發事件的性質、機理和發生過程,網絡與信息安全突發事件主要分為以下三類:
(1)自然災害。指地震、臺風、雷電、火災、洪水等引起的網絡與信息系統的損壞。
(2)事故災難。指電力中斷、網絡損壞或是軟件、硬件設備故障等引起的網絡與信息系統的損壞。
(3)人為破壞。指人為破壞網絡線路、通信設施,黑客攻擊、病毒攻擊、恐怖襲擊等引起的網絡與信息系統的損壞。
2、事件分級
根據網絡與信息安全突發事件的可控性、嚴重程度和影響范圍,縣上分類情況。
(1)i級、ⅱ級。重要網絡與信息系統發生全局大規模癱瘓,事態發展超出控制能力,需要縣級各部門協調解決,對國家安全、社會秩序、經濟建設和公共利益造成特別嚴重損害的信息安全突發事件。
(2)ⅲ級。某一部分的重要網絡與信息系統癱瘓,對國家安全、社會秩序、經濟建設和公共利益造成一定損害,屬縣內控制之內的信息安全突發事件。
(3)ⅳ級。重要網絡與信息系統使用效率上受到一定程度的損壞,對公民、法人和其他組織的權益有一定影響,但不危害國家安全、社會秩序、經濟建設和公共利益的信息安全突發事件。
(四)適用范圍
適用于本系統發生或可能導致發生網絡與信息安全突發事件的應急處置工作。
(五)工作原則
1、居安思危,預防為主。立足安全防護,加強預警,重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定的重要信息系統,從預防、監控、應急處理、應急保障和打擊犯罪等環節,在法律、管理、技術、人才等方面,采取多種措施,充分發揮各方面的作用,共同構筑網絡與信息安全保障體系。
2、提高素質,快速反應。加強網絡與信息安全科學研究和技術開發,采用先進的監測、預測、預警、預防和應急處置技術及設施,充分發揮專業人員的作用,在網絡與信息安全突發事件發生時,按照快速反應機制,及時獲取充分而準確的信息,跟蹤研判,果斷決策,迅速處置,最大程度地減少危害和影響。
3、以人為本,減少損害。把保障公共利益以及公民、法人和其他組織的合法權益的安全作為首要任務,及時采取措施,最大限度地避免公共財產、信息資產遭受損失。
4、加強管理,分級負責。按照“條塊結合,以條為主”的原則,建立和完善安全責任制及聯動工作機制。根據部門職能,各司其職,加強部門間協調與配合,形成合力,共同履行應急處置工作的管理職責。
5、定期演練,常備不懈。積極參與縣上組織的演練,規范應急處置措施與操作流程,確保應急預案切實有效,實現網絡與信息安全突發事件應急處置的科學化、程序化與規范化。
二、組織指揮機構與職責
(一)組織體系
成立網絡安全工作領導小組,組長局黨委書記、局長擔任,副組長由局分管領導,成員包括:信息全體人員、各通信公司相關負責人。
(二)工作職責
1、研究制訂我中心網絡與信息安全應急處置工作的規劃、計劃和政策,協調推進我中心網絡與信息安全應急機制和工作體系建設。
2、發生i級、ⅱ級、ⅲ級網絡與信息安全突發事件后,決定啟動本預案,組織應急處置工作。如網絡與信息安全突發事件屬于i級、ⅱ級的,向縣有關部門通報并協調縣有關部門配合處理。
3、研究提出網絡與信息安全應急機制建設規劃,檢查、指導和督促網絡與信息安全應急機制建設。指導督促重要信息系統應急預案的修訂和完善,檢查落實預案執行情況。
4、指導應對網絡與信息安全突發事件的科學研究、預案演習、宣傳培訓,督促應急保障體系建設。
5、及時收集網絡與信息安全突發事件相關信息,分析重要信息并提出處置建議。對可能演變為i級、ⅱ級、ⅲ級的網絡與信息安全突發事件,應及時向相關領導提出啟動本預案的建議。
6、負責提供技術咨詢、技術支持,參與重要信息的研判、網絡與信息安全突發事件的調查和總結評估工作,進行應急處置工作。
三、監測、預警和先期處置
(一)信息監測與報告
1、要進一步完善各重要信息系統網絡與信息安全突發事件監測、預測、預警制度。按照“早發現、早報告、早處置”的原則,加強對各類網絡與信息安全突發事件和可能引發網絡與信息安全突發事件的有關信息的收集、分析判斷和持續監測。當發生網絡與信息安全突發事件時,在按規定向有關部門報告的同時,按緊急信息報送的規定及時向領導匯報。初次報告最遲不得超過4小時,較大、重大和特別重大的網絡與信息安全突發事件實行態勢進程報告和日報告制度。報告內容主要包括信息來源、影響范圍、事件性質、事件發展趨勢和采取的措施等。
2、重要信息系統管理人員應確立2個以上的即時聯系方式,避免因信息網絡突發事件發生后,必要的信息通報與指揮協調通信渠道中斷。
3、及時上報相關網絡不安全行為:
(1)惡意人士利用本系統網絡從事違法犯罪活動的情況。
(2)網絡或信息系統通信和資源使用異常,網絡和信息系統癱瘓、應用服務中斷或數據篡改、丟失等情況。
(3)網絡恐怖活動的嫌疑情況和預警信息。
(4)網絡安全狀況、安全形勢分析預測等信息。
(5)其他影響網絡與信息安全的信息。
(二)預警處理與預警
1、對于可能發生或已經發生的網絡與信息安全突發事件,系統管理員應立即采取措施控制事態,請求相關職能部門,協作開展風險評估工作,并在2小時內進行風險評估,判定事件等級并預警。必要時應啟動相應的預案,同時向信息安全領導小組匯報。
2、領導小組接到匯報后應立即組織現場救援,查明事件狀態及原因,技術人員應及時對信息進行技術分析、研判,根據問題的性質、危害程度,提出安全警報級別。
(三)先期處置
1、當發生網絡與信息安全突發事件時,及時請技術人員做好先期應急處置工作并立即采取措施控制事態,必要時采用斷網、關閉服務器等方式防止事態進一步擴大,同時向上級信息安全領導小組通報。
2、信息安全領導小組在接到網絡與信息安全突發事件發生或可能發生的信息后,應加強與有關方面的聯系,掌握最新發展態勢。對有可能演變為ⅲ級網絡與信息安全突發事件,技術人員處置工作提出建議方案,并作好啟動本預案的各項準備工作。信息安全領導小組根據網絡與信息安全突發事件發展態勢,視情況決定現場指導、組織設備廠商或者系統開發商應急支援力量,做好應急處置工作。對有可能演變為ⅱ級或i級的網絡與信息安全突發事件,要根據縣有關部門的要求,上報縣政府有關部門,趕赴現場指揮、組織應急支援力量,積極做好應急處置工作。
四、應急處置
(一)應急指揮
1、本預案啟動后,領導小組要迅速建立與現場通訊聯系。抓緊收集相關信息,掌握現場處置工作狀態,分析事件發展趨勢,研究提出處置方案,調集和配置應急處置所需要的人、財、物等資源,統一指揮網絡與信息安全應急處置工作。
2、需要成立現場指揮部的,立即在現場開設指揮部,并提供現場指揮運作的相關保障。現場指揮部要根據事件性質迅速組建各類應急工作組,開展應急處置工作。
(二)應急支援
本預案啟動后,領導小組可根據事態的發展和處置工作需要,及時申請增派專家小組和應急支援單位,調動必需的物資、設備,支援應急工作。參加現場處置工作的有關人員要在現場指揮部統一指揮下,協助開展處置行動。
(三)信息處理
現場信息收集、分析和上報。技術人員應對事件進行動態監測、評估,及時將事件的性質、危害程度和損失情況及處置工作等情況及時報領導小組,不得隱瞞、緩報、謊報。符合緊急信息報送規定的,屬于i級、ⅱ級信息安全事件的,同時報縣委、縣政府相關網絡與信息安全部門。
(四)擴大應急
經應急處置后,事態難以控制或有擴大發展趨勢時,應實施擴大應急行動。要迅速召開信息安全工作領導小組會議,根據事態情況,研究采取有利于控制事態的非常措施,并向縣政府有關部門請求支援。
(五)應急結束
網絡與信息安全突發事件經應急處置后,得到有效控制,將各監測統計數據報信息安全工作領導小組,提出應急結束的建議,經領導批準后實施。
五、相關網絡安全處置流程
(一)攻擊、篡改類故障
指網站系統遭到網絡攻擊不能正常運作,或出現非法信息、頁面被篡改。現網站出現非法信息或頁面被篡改,要第一時間請求相關職能部門取證并對其進行刪除,恢復相關信息及頁面,同時報告領導,必要時可請求對網站服務器進行關閉,待檢測無故障后再開啟服務。
(二)病毒木馬類故障
指網站服務器感染病毒木馬,存在安全隱患。
1)對服務器殺毒安全軟件進行系統升級,并進行病毒木馬掃描,封堵系統漏洞。
2)發現服務器感染病毒木馬,要立即對其進行查殺,報告領導,根據具體情況,酌情上報。
3)由于病毒木馬入侵服務器造成系統崩潰的,要第一時間報告領導,并聯系相關單位進行數據恢復。
(三)突發性斷網
指突然性的內部網絡中某個網絡段、節點或是整個網絡業務中斷。
1)查看網絡中斷現象,判定中斷原因。若不能及時恢復,應當開通備用設備和線路。
2)若是設備物理故障,聯系相關廠商進行處理。
(四)數據安全與恢復
1.發生業務數據損壞時,運維人員應及時報告領導,檢查、備份系統當前數據。
2.強化數據備份,若備份數據損壞,則調用異地光盤備份數據。
3.數據損壞事件較嚴重無法保證正常工作的,經部門領導同意,及時通知各部門以手工方式開展工作。
4.中心應待數據系統恢復后,檢查基礎數據的完整性;重新備份數據,并寫出故障分析報告。
(五)有害信息大范圍傳播
系統內發生對互聯網電子公告服務、電子郵件、短信息等網上服務中大量出現危害國家安全、影響社會穩定的有害、敏感信息等情況進行分析研判,報經縣委、縣政府分管領導批準后啟動預案;或根據上進部門要求對網上特定有害、敏感信息及時上報,由上級職能部門采取封堵控制措施,按照市上職能部門要求統一部署啟動預案。
(六)惡意炒作社會熱點、敏感問題
本系統互聯網網站、電子公告服務中出現利用社會熱點、敏感問題集中、連續、反復消息,制造輿論焦點,夸大、捏造、歪曲事實,煽動網民與政府對立、對黨對社會主義制度不滿情緒,形成網上熱點問題惡意炒作事件時,啟動預案。
(七)敏感時期和重要活動、會議期間本地互聯網遭到網絡攻擊
敏感時期和重要活動、會議期間,本系統互聯網遭受網絡攻擊時,啟動預案。要加強值班備勤,提高警惕,密切注意本系統網上動態。收到信息后,及時報警,要迅速趕赴案(事)發網站,指導案(事)件單位采取應急處置措施,同時收集、固定網絡攻擊線索,請求縣上技術力量,分析研判,提出技術解決方案,做好現場調查和處置工作記錄,協助網站恢復正常運行并做好防范工作。
六、后期處置
(一)善后處置
在應急處置工作結束后,要迅速采取措施,抓緊組織搶修受損的基礎設施,減少損失,盡快恢復正常工作,統計各種數據,查明原因,對事件造成的損失和影響以及恢復重建能力進行分析評估,認真制定恢復重建計劃,迅速組織實施。
(二)調查和評估
在應急處置工作結束后,信息安全工作領導小組應立即組織有關人員和專家組成事件調查組,對事件發生及其處置過程進行全面的調查,查清事件發生的原因及財產損失狀況和總結經驗教訓,寫出調查評估報告。
七、應急保障
(一)通信與信息保障
領導小組各成員應保證電話24小時開機,以確保發生信息安全事故時能及時聯系到位。
(二)應急裝備保障
各重要信息系統在建設系統時應事先預留出一定的應急設備,做好信息網絡硬件、軟件、應急救援設備等應急物資儲備工作。在網絡與信息安全突發事件發生時,由領導小組負責統一調用。
(三)應急隊伍保障
按照一專多能的要求建立網絡與信息安全應急保障隊伍。選擇若干經國家有關部門資質認可的,具有管理規范、服務能力較強的企業作為我縣網絡與信息安全的社會應急支援單位,提供技術支持與服務;必要時能夠有效調動機關團體、企事業單位等的保障力量,進行技術支援。
(四)交通運輸保障
應確定網絡與信息安全突發事件應急交通工具,確保應急期間人員、物資、信息傳遞的需要,并根據應急處置工作需要,由領導小組統一調配。
(五)經費保障
網絡與信息系統突發公共事件應急處置資金,應列入年度工作經費預算,切實予以保障。
八、工作要求
(一)高度重視。互聯網信息安全突發事件應急處置工作事關國家安全、社會政治穩定和經濟發展,要切實增強政治責任感和敏感性,建立應急處置的快速反應機制。
網絡安全應急處理流程范文5
【 關鍵詞 】 云計算;云安全;運營商
1 引言
云計算是繼微型計算機、互聯網后的再一次IT革命,其是互聯網技術發展、優化的必然結果,它的出現,充分體現了“網絡就是計算機”的思想,尤其是其創新的計算模式和商業模式,給信息產業帶來了深刻的變化。隨著云計算市場規模的擴大,一個完整的產業鏈也在形成,而云計算也將成為互聯網的核心,一些使用過云計算服務的企業和個人,其數據和信息的安全將取決于相關系統的安全性和保密性。在這過程中,云計算的安全問題不時出現,給企業,尤其是運營商的可持續發展帶來了挑戰。通過對運營商當前安全服務中的主要問題進行探討,并提出全新的云安全服務體系,以實現安全的數據訪問與控制,這具有重要的意義。
2 運營商云計算服務中存在的問題
2.1 身份假冒
對于運營商云計算服務而言,身份假冒是最主要的安全問題。從用戶身份安全角度來看,客戶所需要的是一種強認證機制,這種認證機制應綜合一般的ID和密碼保護,以確保用戶在得到授權以后方可訪問特定的系統和應用。而在云計算服務領域,沒有身份認證這一定義,從一個云服務轉移到另一個云服務的時候,如何驗證用戶的身份是合法、真實、有效的?如何確定用戶是在其權限范圍內享受云服務?因此在云服務領域,只有通過聯合身份認證技術,才能實現服務和應用在云領域的安全轉移。但由于云計算與其他網絡服務相同,其存在著一定的虛擬性,不法分子可以通過攻擊客戶端、網絡傳輸和服務器等環節,來獲取客戶信息,從而成為合法用戶,使用戶的信息完全暴露在不法分子面前。
2.2 共享風險
在云計算中,共享風險是一種特有的安全風險。云計算服務,通過虛擬化技術,將軟硬件平臺共享給多個用戶使用,從而提高IT資源的利用效率,節省硬件設備。正是由于云計算的這一特性,使云計算服務中存在著一定的風險。虛擬化技術使認證、授權和訪問更加難以控制,并且在用戶體驗過程中,不法分子傳播惡意代碼的行為也難以發現,這將會感染主機。此外,虛擬化技術如同虛擬機,如果虛擬機因故障而消失,存儲在虛擬機上的數據將會隨之擴散到不安全的地方。因此,在運營商的云安全中,要解決虛擬平臺的安全問題,尤其是虛擬機管理軟件的安全問題。
2.3 隱私泄漏
數據安全與否和隱私泄漏,是用戶最為關注的問題,這類問題如果解決不好將會給用戶帶來巨大的損失。一般而言,數據安全風險,主要包括數據泄漏、數據丟失、數據篡改等,這些風險點集中在數據傳輸、處理和存儲環節。如果用戶在傳輸數據的過程中,沒有采取足夠的安全防范措施,將面臨泄漏和篡改的風險,這將給用戶造成嚴重的影響。
2.4 不安全接口
云計算服務有一個重要的特點,即開放性,服務商根據不同的商務模式,將軟件、硬件和應用,劃分成不同的權限,向用戶提供相應的標準化應用程序接口,即API。API是用戶進行管理和服務的平添,其安全性,也體現了云服務的安全性。如果接口不安全,產生API漏洞,或造成API密鑰丟失,將使得不法分子能夠輕易地通過虛擬機的安全機制,從而獲得相應的系統管理權限,這將會云計算服務一路帶來嚴重的后果。
3 運營商的云安全框架設計
運營商移動的云安全服務,主要是基于其在云計算領域所具有的計算、存儲和網絡安全防護資源,通過虛擬化技術對其進行整合,將業務受理、技術支撐和計費結算等系統融合在一起,實行集中管理,以實現虛擬資源在全國范圍內的調度,按需分配。
3.1 運營商云安全的模塊框架
運營商的云安全模型框架,應與云計算的三層SPI模型相對應,即基礎設施層(IaaS)、功能與服務平臺層(PaaS)、服務展現層(SaaS),每一層之間都通過資源接口、安全接口、服務支持接口等與接口層相連接。
基礎設施層(IaaS)主要包括基礎設施(如防火墻、主機、IPS、網絡設備等)、采集適配裝置(如采集配置、采集調度、事件過渡、狀態監測、管理、協議適配等)、虛擬化資源池、Web應用云中間件(服務、彈性擴充、云事務處理等)。在基礎設施層中,采集適配裝置,用來收集來自相關安全對象,如主機、安全設備的安全事件和示警信息,并進行基本的過渡,同時通過協議適配裝置來處理不同協議的Syslog示警。當這些信息進入虛擬化資源池后,由虛擬機監控器進行監控和管理,并根據用戶的權限,進行相應的資源分配。IaaS通過Web應用云中間件與PaaS實現連接。
功能與服務平臺層(PaaS),既包括了服務子層,又包括了安全功能子層。其中服務子層,由數據管理區和服務管理區組成,數據管理區與基礎設施層(IaaS)相連,該區域主要是為整個安全框架提供數據交換和存儲服務,如安全事件和漏洞庫、解決方案庫、專家知識庫等,相關知識庫的自動更新,為安全事件和漏洞的應急處理,提供充足的知識儲備。服務管理區,包括資產管理、策略管理、故障相應管理、SLA質量管理等,并與服務展現層(SaaS)相連,向上管理與安全相關的業務,而向下則負責處理安全事件,為運營商的云安全服務提供保障。安全功能子層,包括安全評估、安全監控、DDoS 流量清洗、基本關聯分析、事件匹配等,該子層作為具體的安全業務功能承載和輸出組件,同時負責對各類安全事件處理,是云安全事件處理的核心。
服務展現層(SaaS)是云安全服務的門戶,其用來為用戶提供按需自助服務,如統計分析相關的安全事件、輸出安全事件報表等。此外,在這一層,用戶還可根據自己的需要,定制云安全服務,通過SaaS層,可方便地了解云安全服務的計費信息,并實時了解云安全服務的使用狀況。
除了與云計算相呼應的三大層次以外,要實現云安全服務,還需通過一系列接口進行連接,如通過資源接口與基礎設施層(IaaS)進行連接,同時與國家計算機應急處理中心、國家病毒處理中心和其他資質較高的安全廠商的數據接口進行連接,不斷完善運營商的云安全服務能力。通過安全接口與功能與服務平臺層(PaaS)進行連接,收集來自其他安全服務中的數據,向有需要的客戶提供運營商基層網絡數據。通過服務支持接口與服務展現層(SaaS)連接,隨時隨地獲取有關運營服務的安全信息,并通過運營商在全國范圍內統一的業務受理號,如移動的10086,實現云安全服務的一站式受理,通過運營商的計費系統實現服務收費,通過資源管理,實現全國范圍內的資源統一調度和技術支持,優化資源配置。
3.2 云安全服務的主要內容
安全檢測服務。安全檢測是運營商云安全服務的重要內容,其主要通過云端探針,對系統、主機、網絡及相應應用的行為和態勢進行收集,并通過安全分析,發現其中的隱患。對于發現的安全隱患,通過PaaS層中的基本關聯分析,與相應的安全規則進行匹配,再將結果提交到云平臺,由云安全服務平臺對客戶的安全行為和安全事件監控,隨時收集安全事件信息,并對此進行匯總生成報表傳送給客戶,而對于應急事件,可通過示警機制提交應急流程進行處理。安全檢測服務,具體包括對主機狀況、網絡可用性、數據庫、Web應用安全等進行檢測。
安全防護與相應服務。通過運營商在云安全服務PaaS層中設置的分布式安全事件處理模塊,能夠對非法入侵進行防護、對DDOS 流量進行清洗、溯源攻擊、過濾Web惡意攻擊等,為用戶提供24小時安全事故處理、在線技術咨詢,對突發的安全事件,能夠幫助用戶分析原因,發現問題來源,排除安全隱患。
3.3 云安全服務的演進部署
按照運營商云安全服務的業務模式、演進原則和部署時序,對云安全服務的演進部署可劃分為三個階段,即基礎安全服務、安全增值服務和集中安全管理等。在基礎安全服務階段,要完成云安全模塊中的基礎設施層建設,利用運營商現有的安全服務平臺進行功能擴展,要實現云安全平臺的身份鑒別、訪問控制、邊界保護和安全監控等功能。在安全增值服務階段,要進一步整合流量監控系統、Web 安全檢測系統、安全網關、流量清洗防護單元和解決方案庫、專家知識庫等,實現用戶應用、數據安全等安全增值服務。而在集中安全管理階段,對數據、應用進一步整合,實現云端大規模安全檢測、漏洞掃描等,將區域本地漏洞樣本庫與虛擬安全網關進行關聯,同時實現安全檢測與安全防護聯動,按需過濾存在漏洞的應用鏈接。此外,還應推進安全接口的標準化,降低第三方安全應用的準入門檻,以統一和標準化的形式呈現安全應用。
4 運營商云安全框架的支撐體系
要真正推廣運營商的云安全服務,不僅要設計和建設完整的云安全框架,還要依托現有的增值服務平臺,建設相應的支撐體系,與現有流程相配合,提高云安全服務能力。云安全服務支撐體系主要由營銷體系、運營體系和服務體系構成。其中營銷體系,由運營商的各級業務部門所組成,其負責本區域內的業務受理及處理、市場開拓和客戶維護等。而運營體系通過設立運營中心而成,在總部設立一個統一的云安全服務運營中心,負責業務平臺的日常運營和系統維護工作,如業務定制中,為業務部門提供業務受理和技術支撐,對用戶的網絡安全和應用安全進行監控,而在服務中,根據客戶對安全服務的需求,將安全事件信息匯總,形成報表發送給客戶。對于安全業務計費,也可利用運營商現有的統一計費體系,進行付費。在服務體系中,要實現運營商云安全服務的標準化,除了推進安全接口的標準化,還要規范相應的服務體系,從服務推廣、業務受理、服務實施到服務結束全過程,同時還要對應急服務流程進行規范。
5 結束語
隨著云計算的不斷發展,數據和信息安全顯得越來越重要,而運營商擁有雄厚的資本實力、先進的技術、完整的服務體系和廣泛的客戶資源,為云安全應用的發展提供了良好的基礎。對此,應通過整合現有的網絡、存儲和虛擬機等云計算基礎設施,構建云安全服務體系。
參考文獻
[1] 馮登國,張敏,張妍等.云計算安全研究[J]軟件學報,2011(22).
[2] 張新躍,劉志勇,趙進延等.基于電信運營商的安全應急響應體系研究[J]信息網絡安全,2011(8).
網絡安全應急處理流程范文6
趨勢科技針對中型企業的IT信息安全需求為中型企業量身定制了企業防毒服務“一站式”解決方案,力求達到如下效果:
通過產品,落實基礎的安全架構框架,分層次部署,加大防護力度。
通過服務,改善網絡環境,縮短病毒處理周期,提升安全管理水準,合理降低維護成本。
統一管理防毒更簡單有效
中型企業的信息化建設一般正處于構建基礎架構階段,網絡結構具有分散、多級、多節點等特點。目前中型企業存在的主要問題有:防牌復雜,管理難度大;網絡結構復雜,防毒產品更新、部署困難;終端用戶安全意識差,病毒的傳播防不勝防。
趨勢科技防毒服務“一站式”解決方案中所含的OfficeScan防毒墻網絡版軟件產品采用最新的云安全2.0技術,從大量病毒入侵互聯網的主要途徑入手,通過Web信譽服務和文件信譽服務將各類病毒擋在網絡之外,同時又加強了對終端的應用行為的監控和移動設備的管理(如U盤、MP3等),增強了各終端節點自身針對病毒與攻擊的防護能力,做到兼顧內外的雙層防護,幫助企業的網絡在面臨各種來自內部、外部威脅時靈活應對。
OfficeScan 10.0的云掃描模式在檢測病毒時,大量的病毒掃描任務被移到云端服務器完成,從而減少掃描病毒對本機的資源占用,不需頻繁更新病毒特征庫,節約了網絡流量,也從根本上解決了復雜網絡環境中由于病毒碼更新不到位造成的防護等級下降的問題。
針對內部威脅,趨勢科技利用先進的終端防護技術,及扎根于本地的防病毒監測中心,為客戶機、服務器提供強大的本地病毒、間諜軟件、Rootkit、新變種等惡意軟件防護及惡意程序清除、防火墻等。全新的插件式體系架構將終端防護變成了一個網絡節點安全的承載平臺,方便客戶在未來不斷通過插件擴展實現更嚴密的節點防護。
專業響應快速修復
目前國內中型企業的IT相關人員對網絡安全概念還比較模糊, 還不具備專業的防病毒技能,應對嚴重的病毒事件和網絡病毒爆發,無法快速地進行問題定位、分析、測試和解決。
防毒服務“一站式”解決方案的服務部分整合了趨勢科技原廠的EOG專家值守服務,幫助企業的網絡管理人員快速有效地應對病毒。多種組件形成的靈活的配套方案可以使企業選擇的空間更大。EOG服務所包含的專屬的原廠專家提供7×12小時或7×24小時的技術支持,可以為用戶提供快速的案件提交通道,并精準診斷、快速處理各類病毒問題。在應急處理過程中,有專業工程師現場配合MOC專家一起處理病毒,并有原廠6小時的快速響應承諾,為企業有效處理病毒危機提供了充分保障。
對有更高管理要求的企業客戶,可以提供遠程安全監控服務。趨勢科技監控中心根據客戶的需求定義出安全監控的關鍵指標,并在出現威脅時主動發出警報和配套解決方案,同時也提供內容豐富的每日、每周、每月防病毒數據分析報告,便于IT管理人員隨時清晰了解網絡安全現狀并向領導匯報。
目前,趨勢科技的防毒服務“一站式”解決方案已經在多個中型企業成功應用,獲得了用戶好評。兄弟(中國)商業有限公司網絡中心黃主任反映:“采用趨勢科技的網絡安全系統之前,我工作壓力很大,電話響個不停,而應用了趨勢科技產品后,網絡的病毒源、病毒規模和破壞力都降到了可控的范圍!采用了趨勢科技的EOG專家服務后,每次發生嚴重問題,專家都打電話給我提醒,監控中心的嚴格案件處理流程確保了我們問題的及時處理,而且專家們很快就給出來有效解決方案,大量減少了我們的工作量!”
