xxx信息系统安全应急预案v1.0
1 目的
随着大量信息技术的采用,公司信息化建设发展迅速,并日益成为提高公司竞争力的重要因素。公司建立了支持全公司业务经营的核心业务处理系统、财务处理系统、OA系统和邮件系统,实现了数据的集中管理。但伴随着公司信息化建设的发展,IT系统的安全性也越发重要,需要全面加强信息安全性的建设,确保系统不受到来自内部和外部的攻击,实现对非法入侵的安全审计与跟踪,保证业务应用和数据的安全性。同时还必须建立起一套完善、可行的应急处理规章制度,在出现重大情况后能及时响应,尽最大可能减少损失。
1. 2 公司系统架构和现状
2.1 IT应用系统架构
公司的IT系统以总公司为中心,各分支机构通过租用专用线路同总公司连通,在各分支机构内部也建立较完善的多级综合网络,包括中心支公司、支公司、出单点等等。在网络上运行着以下系统:
(一)生产系统
包括核心业务处理系统、财务处理系统、再保险处理系统等,贯穿公司的各个层面,包括总公司、分公司、支公司、出单点等,是公司整个IT系统的核心部件,也是最需要投入资源的部分。
(二)办公自动化系统
辅助公司日常办公的系统,实现公司上下级之间的公文与协同工作信息传递。
(三)邮件系统
为公司内、外部信息交流提供方便、快捷的通道。
(四)公司网站
发布公司信息,在宣传公司,提升公司形象上发挥重要作用。
2.2 系统安全隐患
由于公司的系统是多应用、多连接的平台,本身就可能存在着难于觉察的安全隐患,同时又面临来自各方面的安全威胁,这些威胁既可能是恶意的攻击,又可能是某些员工无心的过失。下面从网络系统、操作系统与数据库、数据以及管理等方面进行描述:
(一)网络
与公司各级网络进行互联的外部网络用户及Internet黑客对各级单位网络的非法入侵和攻击;公司内部各级单位网络相互之间的安全威胁,例如某个分支单位网络中的人员对网络中关键服务器的非法入侵和破坏;在各级单位网络中,对于关键的生产业务应用和办公应用系统而言,可能会受到局域网上一些无关用户的非法访问。
(二)操作系统与数据库
操作系统与数据库都存在一定的安全缺陷或者后门,很容易被攻击者用来进行非法的操作;系统管理员经验不足或者工作疏忽造成的安全漏洞,也很容易被攻击者利用;系统合法用户特别是拥有完全操作权限的特权用户的误操作可能导致系统瘫痪、数据丢失等情况。
(三)网络应用
网络上多数应用系统采用客户/服务器体系或衍生的方式运行,对应用系统访问者的控制手段是否严密将直接影响到应用自身的安全性;由于实现了Internet接入,各级单位的计算机系统遭受病毒感染的机会也更大,且很容易通过文件共享、电子邮件等网络应用迅速蔓延到整个公司网络中;网络用户自行指定IP地址而产生IP地址冲突,将导致业务系统的UNIX小型机服务器自动宕机。
(四)数据
数据存储和传输所依赖的软、硬件环境遭到破坏,或者操作系统用户的误操
作,以及数据库用户在处理数据时的误操作,都会使严重威胁数据的安全。
(五)管理
如果缺乏严格的企业安全管理,信息系统所受到的安全威胁即使是各种安全技术手段也无法抵抗。
在充分认识到确保核心业务和应用有效运转的前提下,公司已经采取了一定的措施,如利用操作系统和应用系统自身的功能进行用户访问控制,建立容错和备份机制,采用数据加密等。但是这些措施所能提供的安全功能和安全保护范围都非常有限,为了在不断发展变化着的网络计算环境中保护公司信息系统的安全,特制定了IT系统重大事件应急方案。
2. 3 IT系统重大事件的界定
IT系统的脆弱性体现在很多方面,小到短暂的电力不足或磁盘错误,大到设备的毁坏或火灾等等。很多系统弱点可以在组织风险管理控制过程中通过技术的、管理的或操作的方法消除,但理论上是不可能完全消除所有的风险。为了能更好的制定针对IT系统重大事件的应急方案,必须先对所有可能发生的重大事件进行详细的描述和定义。下面将从IT系统相关联的电源、网络、主机及存储设备、数据库、病毒、信息中心机房等多个方面进行说明。
3.1 电源
电源是IT系统最基础的部分,也是最容易受到外界干扰的部分之一。在既能保证公司系统平稳运行,又能保证关键或重要设备安全的前提下,根据目前配备的UPS电源的实际情况,将电源事件分为三个层次:
一般性电源事件:停电时间在1小时以内的(包括1小时);
需关注电源事件:停电时间在2小时以内的(包括2小时);
密切关注电源事件:停电时间在2小时以上的。
3.2 网络
网络是IT系统及网络客户进行通讯的通道,也是最容易受到外界干扰或攻击的部分之一。目前总公司主要对各地分公司到总公司的网络线路进行管控,而公司又是采用数据集中的运营模式,鉴于这种情况,将网络事件分为三个层次:
一般性网络事件:楼层交换机出现异常,或局域网络中断时间在5分钟以内的(包括5分钟);
需关注网络事件:主交换机、防火墙、上网设备出现异常,或局域网络中断时间在30分钟以内的(包括30分钟),广域网络中断时间在5分钟以内的(包括5分钟);
密切关注网络事件:主干交换机、核心路由器、VPN设备出现异常,或广域网络中断时间在30分钟以上的。
3.3 主机及存储设备
主机及存储设备是IT系统运行的关键和核心,也是相对脆弱的部分,对工作环境的要求是相当高的,任何外部的变化都可能导致这些设备出现异常。根据出现的异常情况,将主机及存储设备事件分成三个层次:
一般性事件:非系统关键进程或文件系统出现异常,不影响生产系统运行的; 需关注事件:根文件系统或生产系统所在的文件系统的磁盘空间将满/已满或系统关键进程异常,即将影响或已经影响生产系统运行的;主机或存储设备的磁盘异常并发出警告的;
密切关注事件:主机宕机;存储设备不能正常工作的;主机与存储设备中断连接的;主机性能严重降低,影响终端用户运行的;系统用户误操作导致重要文件丢失的。
3.4 数据库
数据库是存储公司经营信息的关键部分,由于数据库是建立在主机及存储设备上的应用,任何主机及存储设备的变化都会对数据库产生或大或小的影响,同时数据库也是公司各个层面用户的使用对象,用户对数据的操作可能导致不可预料的影响。根据数据库对外界操作的反映,将数据库事件分为两个层次:
一般事件:不影响大量用户或应用系统正常运行的警告或错误报告; 重要事件:数据库的系统表空间将满/已满的;业务系统表空间将满/已满的;数据库网络监视进程终止运行的;数据库内部数据组织出现异常的;数据库用户误操作导致数据丢失的;数据库关键进程异常;数据库性能严重降低,影响终端用户运行;数据库宕机。
3.5 电脑病毒
由于Internet接入,员工从Internet上进行下载或者接收邮件,都有感染病毒的可能性。某些病毒带有极大的危害性和极快的传播速度,从而可能导致在公司内部的病毒大范围传播。针对病毒在公司内部的传播范围或危害程度,分为三个层次:
一般性事件:独立的病毒感染,并没有传播和造成损失的;
密切关注事件:病毒小范围传播,并造成一定损失,但不是重大损失的; 严重关注事件:病毒大范围传播,并造成重大损失的;
3.6 其他事件
信息中心机房其他影响IT系统运行的因素可能会产生一些突然事件,主要有以下一些方面:
(一)空调工作异常,导致机房温度过高;
(二)空调防水保护出现异常导致渗水;
(三)发生火灾;
(四)粉尘导致主机或存储设备异常的。
3. 4 信息系统重大事件的应急方案
根据上节对IT系统重大事件的界定,公司已经建立了一套完整的应急方案,在硬件方面采用双机热备机制,同时加强日常的系统监控,保持完整的数据备份,及时进行灾难恢复,和储备必要的系统备件等多种技术和方法。下面按照IT系统相关联的电源、网络、主机及存储设备、数据库、电脑病毒等多个方面进行说明。
4.1 电源
采用UPS为主要设备进行供电,为了应对重大突发事件,采用以下了手段:
(一)加强UPS的维护,保证UPS的正常工作;
(二)在必要情况下,交流输入供电系统采用双路市电供电和发电机联合供电,保证市电使长期停电, UPS仍能正常供电;
(三)直流输入方面,采用公用一组电池组的设计,配置长达4小时的后备电池, 并提供交流输入瞬变或市电与发电机供电切换时的短时供电;
(四)根据停电时间的长短,依次发布一般性通知、较紧急通知和紧急通知给相关部门和机构;
(五)停电发生后,及时联系供电部门和物业管理部门。
4.2 网络
(一)核心路由器做双以太口绑定,如一端口发生故障,自动切换到VPN备份线路接入主机系统,直到修复使用正常,同时由网络集成商提供技术和备件支持,一旦出现紧急故障,1小时赶到现场处理故障;
(二)到分支机构专线采用2M数字线路,如2M数字线路发生故障断开则自
动切换到VPN备份线路接入主机系统,直到专线修复则使用正常2M线路通信;
(三)对于网络核心设备出现重大故障,尽快了解情况,分析问题和提出应急解决方案,做好现场应急处理,立即通知网络集成服务商到现场处理,主干交换机由网络集成商提供技术和备件支持,一旦出现紧急故障,1小时内赶到现场处理故障;
(四)为防止核心路由器或主干交换机发生故障后无法解决问题,在必要情况下,配备一台备用路由器和主干交换机,配置接口与核心路由器和主干交换机相同,一旦出现故障,能在十分种内进行更换;
(五)采用CISCO PIX FIREWALL在网络入口处检查网络通讯,根据设定的安全规则,在保护内部网络安全的前提下,保障内外网络通讯,实现了内部网络与外部网络有效的隔离,所有来自外部网络的访问请求都要通过防火墙的检查,内部网络的安全将会得到保证。具体有:
1、设置源地址过滤,拒绝外部非法IP地址,有效避免了外部网络上与业务无关的主机的越权访问;
2、防火墙只保留有用的WEB服务和邮件服务,将其它不需要的服务关闭(含即时通信QQ或其它,MSN控制在一定范围使用),将系统受攻击的可能性降低到最小限度,使黑客无机可乘;
3、防火墙制定访问策略,只有被授权的外部主机可以访问内部网络的有限IP地址,保证外部网络只能访问内部网络中的必要资源,与业务无关的操作将被拒绝;
4、全面监视外部网络对内部网络的访问活动,并进行详细的记录,及时分析得出可疑的攻击行为;
5、网络的安全策略由防火墙集中管理,使黑客无法通过更改某一台主机的安全策略来达到控制其他资源访问权限的目的;
6、设置地址转换功能,使外部网络用户不能看到内部网络的结构,使黑客攻击失去目标。
4.3 主机、存储设备及数据库
为保证生产系统稳定运行,主机与存储系统保持7X24小时的可用。为应对可能发生的重大事件或突发事件,采取以下措施:
(一)在接到紧急停电通知后30-40分钟内按照先数据库、次主机、最后存储设备的顺序停止所有系统运行,在必要的情况下,须拔掉所有电源插头;
(二)采用双机热备技术,在其中一台主机出现异常时,及时进行切换;
(三)采用硬盘、磁带库等设备作好日常数据备份;
(四)如果发生误删除操作系统文件,立即进行文件系统恢复(必须有备份);
(五)如果发生误删除数据,立即进行数据库恢复(必须有备份);
(六)如果文件系统空间不够,导致系统不能正常运行,立即进行文件系统扩展。
(七)如果数据库表空间不足,立即进行表空间扩展,同时可能还进行文件系统扩展;
(八)在必要情况下,建立异地数据备份中心,以保持数据安全性。
(九)出现重大故障,尽快了解情况,分析问题和提出应急解决方案,做好现场应急处理,立即通知系统服务商到现场处理,并由系统服务商提供备件支援。
4.4 电脑病毒
为防止电脑病毒在公司内部的传播,反毒和信息安全应按照“整体防御,整体解决”的原则实施,采用多种手段和产品来切断电脑病毒的传播“通道”。具体措施如下:
(一)配置企业级网络版杀毒软件,在公司总部、分公司、营业部所有联网的PC机、PC服务器上安装病毒/邮件防火墙,部署统一的公司网络防毒系统,实现反毒分级防范和集中安全管理;
(二)在公司总部和分公司配置防毒网关服务器,检查所有进出邮件、所访问的网页和FTP文件,防止病毒通过外部网络进入公司内网进行传播;
(三)建立定时自动更新防病毒软件和病毒库的机制,确保杀毒软件的有效性;
(四)建立集中的网络入侵检测和漏洞扫描系统,防范黑客入侵和攻击,及时给系统打补丁;
(五)加强对用户的教育,不从不明网站下载,不查看来源不明的邮件,不运行可能含有病毒的程序等;
(六)如果用户机器发现病毒,应立即终止网络连接并通知信息部门进行相关处理;
(七)如果因病毒发作而导致数据丢失,应立即与信息部门联系,不要自行处理。
第二篇:XX县国家税务局信息系统安全应急预案
XX县国家税务局信息系统安全应急预案
为保证我局信息系统安全,防范蓄意攻击,破坏网络系统及传播,粘贴非法信息等紧急突发事件的发生,特制定本应急预案。
一,工作目标及基本原则
(一)工作目标
保障信息的合法性,完整性,准确性,保障网络,计算机,相关配套设备设施及系统运行环境的安全,其中重点维护网络系统,"金税"工程各业务系统, FTP服务器及国税网站的安全。
(二)基本原则
1。预防为主。根据《税务计算机信息安全管理规定》的要求,建立,健全税务计算机信息安全管理制度,有效预防网络与信息安全事故的发生。
2。分级负责。计算机信息安全管理由信息中心负责,并实行局长负责制。各单位应积极支持和协助应急处置工作。
3。果断处置。一旦发生网络与信息安全事故,应迅速反应,及时启动应急处置预案,尽最大力量减少损失和影响,尽快恢复网络与系统运行。
二,组织机构
成立XX县国税局信息安全领导小组。分管信息中心的局领导任组长,办公室,信息中心负责人为领导小组成员。领导小组下设日常应急办公室,办公室设在信息中心,其中,信息安全岗由各业务应用系统管理员担任,网络安全岗由网络管理员担任,计算机硬件安全岗由硬件管理员担任。
三,预案的启动
在发生网络与信息安全事故时,应根据具体情况启动相应的应急预案。
四,应急预案
(一)县局网站出现非法言论时的应急预案
1。网站由负责网站维护的管理员随时监控信息内容。
2。发现在网上出现非法信息时,网站管理员立即向信息安全领导小组通报情况,并作好记录。清理非法信息,采取必要的安全防范措施,将网站网页重新投入使用;情况紧急的,应先及时采取删除等处理措施,再按程序报告。
3。网站管理员应妥善保存有关记录,日志,将有关情况向安全领导小组汇报,并及
时追查非法信息来源。
(二)黑客攻击或软件系统遭破坏性攻击时的应急预案
1。 重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日的备份,并将它们保存于安全处。
2。当值班人员发现有黑客正在进行攻击时,应立即向信息安全领导小组日常应急办公室报告。软件遭破坏性攻击(包括严重病毒)时要将系统停止运行。
3。管理员首先要将被攻击(或病毒感染)的服务器等设备从网络中隔离出来,保护现场,并同时向信息安全领导小组通报情况。
4。日常应急办公室负责恢复与重建被攻击或被破坏的系统,恢复系统数据,并及时追查非法信息来源。必要时,可向上一级国税信息中心汇报情况,取得相应的技术支持。
(三)网络线路中断或硬件设备故障时的应急预案
1。网络主,备用线路有一条中断或硬件设备发生故障,网络管理员应立即启动备用线路或备用设备接续工作。
2。网络管理员要迅速判断故障节点,查明故障原因,并及时予以恢复。如广域网线路中断属电信运行商原因的,应立即与电信运行商的维护部门联系,要求尽快恢复。
3。如果主,备份线路同时中断,或者发生故障的硬件设备一时无法修复的,网络管理员应在判断故障节点,查明故障原因后,尽快处理解决,同时向信息安全领导小组汇报。自己一时无法处理解决的,经信息安全领导小组组长同意后,通告各单位暂停业务操作。并立即向有协议的网络维护商请求援助解决。
(五)外部电中断后的应急预案
1。外部电中断后,机房值班人员应立即向硬件管理员汇报情况。
2。如因局内线路故障,请物业管理部门迅速恢复。
3。如果是供电局的原因,应由办公室立即与供电局联系,请供电局迅速恢复供电;如果供电局告知需长时间停电,应做如下安排:
(1)预计停电4小时以内,由UPS供电;
(2)预计停电4-24小时,关掉非关键设备,确保各主机,路由器,交换机供电;
(3)预计停电超过24-72小时,白天工作时间关键设备运行,晚上所有设备停机;
(六)机房发生火灾时的应急预案
1。一旦机房发生火灾,应遵循下列原则:首先保证人员安全;其次保证关键设备,数据安全;三是保证一般设备安全。
2。人员灭火和疏散的程序是:机房值班人员应首先切断所有电源,同时通过119电话报警。灭火值班人员戴好防毒面具,从最近的位置取出灭火器进行灭火,其他人员按照预先确定的路线,迅速从机房中有序撤出。
(七)发生自然灾害后的应急预案
1。一旦发生自然灾害,导致设备损坏,由灾害发生单位向计算机网络与信息安全领导小组请求支援。
2。计算机网络与信息安全领导小组接到各单位的支援请求后,应在4时内派遣人员携带有关设备赶到现场。
3。支援小组帮助灾害发生单位恢复系统和网络,配置硬件设备,以尽快开展相应的业务工作。在经测试符合要求,工作正常开展的情况下,支援小组才能撤离。