11网络与信息安全
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
11网络与信息安全
哈尔滨铁路房建集团公司
网络与信息安全事件应急预案
一、总则
(一)目的
为了切实做好哈铁房建集团公司网络突发事件的防范和应急处理工作,进一步提高预防和控制网络突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保哈铁房建集团公司网络与信息安全,结合实际工作,特制定本预案。
(二)工作原则
1.统一领导,协同配合
2.明确责任,依法规范
3.条块结合,整合资源
4.防范为主,加强监控
二、组织机构及职责
(一)应急指挥机构
网络与信息安全应急领导组
组长:集团公司总经理集团公司党委书记
副组长:集团公司副总经理
组员:综合管理部部长安全管理部部长技术设备部部长
网络与信息安全应急办公室
由综合管理部、安全管理部、技术设备部组成
在集团公司应急领导组的统一领导下,设立集团公司网络与信息安全应急办公室,该应急办公室设在集团公司综合管理部,其主要职责是:
1.督促各分公司、子公司和直属车间落实应急领导组做出的决定和措施;
2.拟订或者组织拟订集团公司应对信息安全突发事件的工作规划和应急预案,报区人民政府批准后组织实施;
3.督促检查各分公司、子公司和直属车间网络与信息安全专项应急预案的制订、修订和执行情况,并给予指导;
4.督促检查各分公司、子公司和直属车间的信息安全突发事件监测、预警工作情况,并给予指导;
5.汇总有关网络与信息安全突发事件的各种重要信息,进行综合分析,并提出建议;
6.监督检查、协调指导各分公司、子公司和直属车间的信息安全突发事件预防、应急准备、应急处置、事后恢复与重建工作;
7.组织制订网络与信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划;
8.集团公司网络与信息化工作领导组交办的其他工作。
(二)现场应急处理工作组
发生安全事件后,集团公司网络与信息安全应急领导组成立现场应急处理工作组,对计算机系统和网络安全事件的处理提供技术支持和指导,按照正确流程,快速响应,提出事件统计分析报告。
三、预警和预防机制
(一)信息监测及报告
1.集团公司综合管理部、技术设备部、安全管理部要加强信息安全监测、分析和预警工作,进一步提高信息安全监察执法能力,加大对计算机犯罪的打击力度。
2.建立网络与信息安全事故报告制度。发生信息安全突发事件的单位应当在事件发生后,立即对发生的事件进行调查核实、保存相关证据,并在事件被发现或应当被发现时起5小时内将有关材料报至集团公司综合管理部。
(二)预警
集团公司计算机信息中心接到网络与信息安全突发事件报告后,在经初步核实后,将有关情况及时向集团公司应急领导组报告。在进一步综合情况,研究分析可能造成损害程度的基础上,提出初步行动对策,视情况召集协调会,并根据应急领导组的决策实施行动方案,发布指示和命令。
(三)预警支持系统
集团公司计算机信息中心建立和逐步完善信息监测、传递网络和指挥决策支持系统,要保证资源共享、运转正常、指挥有力。
(四)预防机制
积极推行信息安全等级保护,逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件,各相关部门建立制度化、程序化的处理流程。
四、应急处理程序
(一)预案启动
1.发生网络信息安全事件后,集团公司启动相应预案,并由集团公司应急领导组负责应急处理工作;发生性质严重信息安全突发事件后,上报路局启动相应预案。
2.集团公司网络与信息安全应急办公室接到报告后,应当立即上报集团公司应急领导组,并会同相关成员单位尽快组织专家组对突发事件性质、级别及启动预案的时机开展评估,向集团公司应急领导组提出启动预案的建议,由应急领导组批准。
3.在应急领导组做出启动预案决定后,集团公司网络与信息安全应急办公室立即启动应急处理工作。
(三)现场应急处理
到事件发生单位和现场后应急处理工作组尽最大可能收集事件相关信息,判别事件类别,确定事件来源,保护证据,以便缩短应急响
应时间。
检查威胁造成的结果,评估事件带来的影响和损害:如检查系统、服务、数据的完整性、保密性或可用性;检查攻击者是否侵入了系统;以后是否能再次随意进入;损失的程度;确定暴露出的主要危险等。
抑制事件的影响进一步扩大,限制潜在的损失与破坏。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统的物理链接,修改防火墙和路由器的过滤规则;封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路;提高系统或网络行为的监控级别;设置陷阱;启用紧急事件下的接管系统;实行特殊“防卫状态”安全警戒;反击攻击者的系统等。
在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。与此同时,执法部门和其他相关机构对攻击源进行准确定位并采取合适的措施将其中断。清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到正常的任务状态。恢复工作应十分小心,避免出现操作失误而导致数据丢失。另外,恢复工作中如果涉及到机密数据,需要额外按照机密系统的恢复要求。如果攻击者获得了超级用户的访问权,一次完整的恢复应强制性地修改所有的口令。
(四)报告和总结
回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。发生重大信息安全事件的单位应当在事件处理完毕后5个工作日内将处理结果报集团公司信息化工作领导组备案。
(五)应急行动结束
根据网络与信息安全事件的处置进展情况和现场应急处理工作组意见,集团公司计算机信息中心组织相关部门及专家组对信息安全事件处置情况进行综合评估,并提出应急行动结束建议,报应急领导组批准。应急行动是否结束,由应急领导组决定。