信息安全事件处置规范
1 范围
本标准规定了信息安全事件编制依据、目的、工作原则、网络安全应急组织机构及职责及分类、等级、处置程序、处置措施等。
本标准适用于泉州市行政服务中心信息安全事件与应急管理。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
3 编制依据
编制的依据只要有:
a) 《中华人民共和国电信条例》;
b) 信息产业部《互联网网络安全应急预案》;
c) 公安部《互联网安全保护技术措施规定》。
4 目的
4.1 保证中心局域网和中心网站安全工作迅速、高效和有序进行。
4.2 提高中心处置突发事件的能力,形成科学、有效、反应迅速的工作机制。
4.3 确保重要计算机信息系统的实体安全、运行安全和数据安全。
4.4 最大限度地减轻网络与信息安全突发公共事件造成的危害保障国家和人民生命财产的安全。
4.5 维护中心网络正常运行与中心内部信息安全。
4.6 维护正常的经济、政治、社会秩序。
5 工作原则
信息系统应急工作应遵循以下原则:
00001——统一领导、统一指挥;
00002——分类管理、分级负责;
00003——严密组织、协作配合;
00004——预防为主、防处结合;
00005——发挥优势、保障安全。
6 机构职责
6.1 信息化工作分管领导为中心信息安全管理工作第一责任人,网络技术科为信息安全具体执行人。
6.2 网络技术科信息安全工作职责主要包括:
a) 根据国家和行业有关信息安全的政策、法律和法规,提出中心信息安全总体策略规划、管理规范和技术标准,报分管领导审阅;
b) 参与确定中心信息安全工作职责,指导、监督信息安全工作。
c) 贯彻执行中心信息安全工作的相关决议,协调和规范中心信息安全工作;
d) 根据信息安全工作部署,对信息安全、互联网信息、内网信息安全工作进行具体安排、落实;
e) 组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;
f) 负责协调、督促各部门窗口、单位、科的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;
g) 组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
h) 负责接受部门窗口、单位、科的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;
i) 及时向信息安全工作分管领导和上级有关部门、单位报告信息安全事件;
j) 跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作;
k) 审定中心网络与信息系统的安全应急策略及应急预案;
l) 当应急预案的启动时,负责现场指挥,并组织人员排除故障,恢复系统;
m) 每年组织对信息安全应急策略和应急预案进行测试和演练;
n) 对要信息安全检查过程中发现的问题要及时通报并提出整改建议;应周密制定应急预案,控制安全风险,加强保密措施,保证信息系统的安全正常运行。
7 各岗位安全职责
7.1 安全管理员安全职责
负责对安全产品购置提供建议,负责组织制定各种安全策略与配置规则;负责指导并监督各安全岗位工作人员及普通用户的安全相关工作;负责组织信息系统的安全风险评估工作;定期提出信息安全改进意见;定期查看信息安全站点的安全公告,跟踪和研究各种信息安全漏洞和攻击手段;负责整合各种安全方案、安全审计报告、应急计划以及整体安全管理制度。系统管理员安全职责
7.2 系统管理员安全职责
a)负责系统的运行管理,实施系统安全运行细则;严格用户权限管理,维护系统安全正常运行;认真记录系统安全事项,及时向信息安全人员报告安全事件;对进行系统操作的其他人员予以安全监督。
b)负责系统的维护,及时解除系统故障,确保系统正常运行;不得擅自改变系统功能;不得安装与系统无关的其他计算机程序;维护过程中,发现安全漏洞应及时报告信息安全人员。
c)负责智能化设备的日常管理。
7.3 网络管理员安全职责
负责网络的运行管理,实施网络安全策略和安全运行细则;安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;对操作网络管理功能的其他人员进行安全监督。
7.4 信息审查员安全责任
负责审查网站信息以及内部公文,对网站信息中出现的不良信息进行及时过滤;审查内部信息公文的格式及内容的规范性,判断有无涉及非授权信息;负责审查发布信息中是否存在工作敏感信息和国家秘密信息;制定网站规范有关规定,对不良信息进行明确划分。机房管理员岗位职责.
7.5 机房管理员安全职责
负责机房所有设备的台帐和事物管理;要定期或不定期检查机房内的空调、电源等电器设备,发现安全隐患要及时整改和上报,重要设备故障应做好维修记录;电器设备和线路应经常检查,发现可能引起火花线路、发热和即将破损、老化等情况必须立即停止设备使用,不得冒险使用。
7.6 网络用户安全职责
严格执行系统操作规程和运行安全管理制度;不得向他人提供自己的操作密码;及时向系统管理员报告系统各种异常事件。
8 信息安全事件的分类
按照信息安全事件的起因、性质等不同,对信息安全事件进行分类,详见表1。
表1 信息安全事件分类表
序号 |
信息安全事件类别 |
定义 |
1 |
有害程序事件 |
包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件等。 |
2 |
网络攻击事件 |
包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件等。 |
3 |
信息破坏事件 |
包括信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件等。 |
4 |
信息内容安全事件 |
违反宪法和法律、行政法规的信息安全事件; 针对社会事项进行讨论、评论,形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件; 组织串联、煽动集会游行的信息安全事件。 |
5 |
设施和设备故障 |
硬件设备的自然故障、软硬件设计缺陷或软硬件运行环境发生变化等而导致信息安全事件; 由于保障信息系统正常运行所必须的外部设施出现故障而导致的信息安全事件,如电力故障、空调故障; 人为破坏事故。 |
6 |
灾害性事件 |
包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击等。 |
7 |
其他事件 |
除以上六类事件以外的信息安全事件。 |
9 等级
按照信息安全事件造成的后果和影响的严重程度,对信息安全事件进行等级划分,详见表2。
表2 信息安全事件等级表
序号 |
信息安全事件等级 |
定义 |
1 |
特别重大安全事件 |
指能够导致特别严重影响或破坏的信息安全事件,包括以下情况: a)会使特别重要信息系统遭受特别严重的系统损失; b)产生特别重大的社会影响。 |
2 |
重大安全事件 |
指能够导致严重影响或破坏的信息安全事件,包括以下情况: a)会使特别重要信息系统遭受严重的系统损失,或重要信息系统遭受特别严重的系统融损失; b)产生重大的社会影响。 |
3 |
较大安全事件 |
指能够导致较严重影响或破坏的信息安全事件,包括以下情况: a) 会使特别重要信息系统遭受较大的系统损失,或使重要信息系统遭受严重的系统损失、一般信息系统遭受特别严重的系统损失; b)产生较大的社会影响。 |
4 |
一般安全事件 |
指不满足以上条件的信息安全事件,包括以下情况: a) 会使特别重要信息系统遭受较小的系统损失,或使重要信息系统遭受较大的系统损失、一般信息系统遭受严重以下级别的系统损失; b)产生一般的社会影响。 |
10 处置程序、处置措施、处置流程
10.1 应急预案处置程序
10.0.1 灾害发生后,判定灾害级别,初步估计灾害造成的损失,保留相关证据,并在10分钟内上报主管领导,由领导小组决定是否启动应急预案。
10.0.2 一旦启动应急预案,有关人员应及时到位,中心专职网络维护和管理人员进入应急处置工作状态,阻断网络连接,进行现场保护,协助调查取证和系统恢复等工作。
10.0.3 对相关事件进行跟踪,密切关注事件动向,协助调查取证。并将相关情况上报上级有关部门,有关违法事件移交公安机关处理。
10.0.4 安全事件处置程序按Q/QZZW GL 306.8的要求执行。
10.2 应急预案处置措施
在灾害发生时,首先应区别灾害发生是否人为与自然灾害两种情况,根据这两种情况,把灾害处置措施分成两个流程:
a) 流程一:
1) 当发生自然灾害危及中心局域网和中心网站信息安全时,根据灾害发生时情况,在确保在场人员安全前提下,首先保障数据安全,其次是设备安全;
2) 具体方法包括:安全关机、数据设备强行关机、数据备份物理转移等。
d) 流程二:
当人为或因病毒造成灾害发生时,具体按以下顺序进行:判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,并锁定破坏来源的相关网络用户信息,修复被破坏的信息,恢复信息系统。按照灾害发生的性质分别采用以下方案:
1) 病毒传播:针对这种现象,要及时断开传播源,判断病毒的性质、采用的端口,然后关闭相应的端口,在网上公布病毒攻击信息以及防御方法;
2) 入侵:对于网络入侵,首先要判断入侵的来源,区分外网与内网。入侵来自外网的,定位入侵的IP地址,及时关闭入侵的端口,限制入侵地IP地址的访问,在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的,查清入侵来源,如IP地址、上网用户等信息,同时断开对应的交换机端口。然后针对入侵方法更新入侵检测设备;
3) 信息被篡改:一经发现应马上断开相应的信息上网链接,并尽快恢复;
4) 网络故障:一旦发现,可根据相应工作流程尽快排除;
5) 其它没有列出的不确定因素造成的灾害,可根据总的安全原则,结合具体的情况,做出相应的处理。不能处理的可以及时请相关的专业人员处理。
10.3 处置流程
10.3.1 发现一般安全事件时,由网络技术科工作人员受理并记录归档,及时派人进行处理,并上报负责人。
10.3.2 发现较大安全事件时,应报网络技术科负责人派人进行事件处理,处理完毕上报负责人。
10.3.3 发现重大安全事件或特别重大安全事件时,应报网络技术科负责人,联系维护支撑单位协助处理安全事件,处理完毕上报中心管委会分管领导。
10.3.4 网络技术科负责人及时组织、跟踪信息安全事件的处理和完成情况,并针对安全事件进行原因分析,针对安全缺陷进行统计分析,并对事件及缺陷采取纠正、预防等措施。
10.3.5 安全事件处置简要流程:事件报告→事件受理→事件处理→事后总结。
11 应急保障
11.1 人员保障
加强应急处理人员必要的应急处理培训,使应急人员熟悉工作原则、工作流程,具备必要的技能,以满足中心局域网和中心网站信息安全应急工作的需要。
11.2 技术保障
重视网络信息技术的建设和升级换代,在灾害发生前确保网络信息系统的强劲与安全,灾害处置过程中和灾后重建中的相关技术支撑。
11.3 物资保障
中心网络与信息安全突发公共事件应急处理专项经费,应列入年度预算切实予以保障。
12 信息安全教育要求
12.1 网络技术科应组织信息安全教育会,对所有使用计算机的人员进行基本的信息安全知识和技能的培训,培养信息安全意识。
12.2 应参加下列信息安全知识和技能的培训:
a) 信息安全法律法规及行业规章制度的培训;
o) 信息安全基本知识的培训;
p) 信息安全专门技能的培训。
12.3 应定期接受政治思想教育、职业道德教育和安全保密教育。
附录A
(资料性附录)
安全管理员职责说明书
为了进一步落实网络安全和信息安全管理责任、明确安全管理员职责,确保网络安全和信息安全,安全管理员应落实如下责任:
1、负责对安全产品购置提供建议,负责组织制定各种安全策略与配置规则,负责跟踪安全产品投产后的使用情况。
2、负责指导并监督各安全岗位工作人员及普通用户的安全相关工作。
3、负责组织信息系统的安全风险评估工作,并定期进行系统漏洞扫描,形成安全评估报告。
4、根据信息安全需求,定期提出信息安全改进意见,并上报主管领导。
5、定期查看信息安全站点的安全公告,跟踪和研究各种信息安全漏洞和攻击手段,在发现可能影响信息安全的安全漏洞和攻击手段时,及时做出相应的对策,通知并指导系统管理员进行安全防范。
6、负责整合各种安全方案、安全审计报告、应急计划以及整体安全管理制度并报主管领导。
7、若由于安全管理员工作疏忽或失误而导致安全事故发生,安全管理员应承担相应责任。
附录B
(资料性附录)
系统管理员职责说明书
为进一步落实智能化设备安全和系统安全管理责任,明确系统管理员职责,确保智能化设备安全和系统安全,系统管理员应落实如下责任:
1、负责系统的安全配置和日常审计,系统应用软件的安装,从系统层面实现对用户与资源的访问控制。
2、协助安全管理员制定系统的安全配置规则,并落实执行。
3、负责智能化设备的日常管理与维护,保持系统处于良好的运行状态。
4、为安全审计员提供完整、准确的系统运行活动日志记录。
5、在系统异常或故障发生时,详细记载发生异常时的现象、事件和处理方式,并及时上报。
6、编制智能化设备的维修、报损、报废计划,报主管领导审核。
7、若由于系统管理员工作疏忽或失误而导致安全事故发生,系统管理员应承担相应责任。
附录C
(资料性附录)
网络管理员职责说明书
为了进一步落实网络安全和信息安全管理责任,明确网络管理员职责,确保网络安全和信息安全,网络管理员应落实如下责任:
1、负责网络的部署以及网络产品、相关安全产品的配置、管理与监控,并对关键网络配置文件进行备份,及时修补网络设备的漏洞。
2、协助安全管理员制定网络设备安全配置规则,并落实执行。
3、为安全审计员提供完整、准确的重要网络设备和网站进行活动日志。
4、在网络及设备异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报。
5、编制网络设备的维修、报损、报废等计划,报主管领导审核。
6、若由于网络管理员工作疏忽或失误而导致安全事故发生,网络管理员应承担相应责任。
附录D
(资料性附录)
安全审计员职责说明书
为了进一步落实网络安全和信息安全管理责任,明确安全审计员职责,确保信息系统安全,安全审计员应落实如下责任:
1、负责根据系统管理员提供的主机运行日志记录以及网络管理员提供的网络设备和网站运行日志进行安全审计工作,判断信息系统及资产是否安全,并按时上交安全审计报告。
2、对审计过程中发现的安全问题做出及时处理,上报备案,并通知相关负责人。
3、对于审计记录、内容以及存储设备必须给予保护(如一些文档的记录或者存储设备),以防止非授权的访问。
4、要建立与审计相关的监控程序,以确保只能进行已经明确规定的授权活动。要定期回顾监控活动记录。
5、确保对储存和处理的审计日志进行了保质期识别并登记;如果确定已过期记录无保存价值,则必须采取适当的措施销毁记录。
6、若由于安全审计员工作疏忽或失误导致安全事故发生,安全审计员应承担相应责任。
附录E
(资料性附录)
信息审查员职责说明书
为了进一步落实网络安全和信息安全管理责任,明确信息审查员职责,确保无不良信息传播以及公文的规范性,信息审查员应落实如下责任:
1、负责审查网站信息以及内部公文。对网站信息中出现的不良信息(包括言论、图片、网站链接等)进行及时过滤
2、审查内部信息公文的格式及内容的规范性,判断有无涉及非授权信息。
3、负责审查发布信息中是否存在工作敏感信息和国家秘密信息。
4、制定网站规范有关规定,对不良信息进行明确划分。
5、若由于信息审查工作疏忽或失误而导致安全事故发生,信息审查员应承担相应责任。
附录F
(资料性附录)
机房管理员职责说明书
为了进一步落实网络安全和信息安全管理责任,明确机房管理员职责,确保机房安全,机房管理员应落实如下责任:
1、负责机房所有设备的台帐和事物管理,固定资产帐、物相符应达到100%,设备完好率不低于90%。
2、要定期或不定期检查机房内的空调、电源等电器设备,发现安全隐患要及时整改和上报,重要设备故障应做好维修记录。
3、每周报告一次机房设备完好情况和维修情况。
4、严格核实出入机房人员审批手续的真实性和有效性,确保进入机房人员的作业内容与审批手续完全一致。
5、不得擅自将机房仪器设备外借给其他人使用。
6、电器设备和线路应经常检查,发现可能引起火花线路、发热和即将破损、老化等情况必须立即停止设备使用,报告修理,不得冒险使用。
7、保持机房环境整洁卫生,走道畅通,设备器材摆放整齐、排列有序机房外鞋柜内拖鞋摆放整齐、排列有序,机房外鞋柜内拖鞋摆放整齐。
8、若由于机房管理员工作疏忽或者失误而导致安全事故发生,机房管理员应承担相应责任。
附录G
(资料性附录)
网络用户职责说明书
为了进一步落实网络安全和信息安全管理责任,明确业务操作员职责,确保中心内网审批系统业务操作的规范性,网络用户应落实如下责任:
1、 严格执行系统操作规程和运行安全管理制度;
2、 不得向他人提供自己的操作密码;
3、 及时向系统管理员报告系统各种安全异常事件。
扫一扫在手机上查看当前页面
闽公网安备35050302000388号
