1.总则
1.1 编写目的
为预防和处置网络信息突发事件的发生,保证网络信息安全,维护稳定,提高处置网络与信息安全突发事件能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网络与信息安全突发事件造成的损失,保障本单位信息系统长期安全稳定运行,为人民群众提供良好的信息服务,特编制本预案。
1.2 应急响应组织机构
当发生信息系统安全事件时,将启动相应的应急处置程序。组织成立深圳市司法局应急响应工作组人员组成如下,全面负责协调与应急处置工作:
组 长: 邹从兵(83053886)
副组长: 李玉祥(83053833)
成 员:魏宾(83053918)、刘剑(83053881)、陈志伟(83051161)、王亚(83053866)、袁军(83053896)
安全服务单位:深圳市能士信息安全有限公司应急服务人员:张鹏(18565699223)
门户网站建设单位:嘉美华科技有限公司应急服务人员:李本勇(18926512808)
综合办公(OA)管理系统建设单位:京华信息科技股份有限公司应急服务人员:傅文焕(18038064998)
1.3 工作原则
坚持在网络与信息安全领导小组的统一领导、统一指挥下,对信息系统安全事件分级负责。贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机网络国际互联管理暂行规定》等相关法律法规,坚持积极防御、综合防范的方针,本着以防为主。注重应急工作原则、预防和控制风险,在发生信息安全事故或事件时最大程度地减少损失、维护市司法局信息系统的稳定,尽快使网络和系统恢复正常,做好网络运行和信息安全保障工作。
1 统一指挥,整体作战。各部门要树立全局观念和大局意识,在安全领导小组的统一指挥下,认真履行各自职责,积极配合,协同作战,充分发挥整体效能。
2 反应迅速,高效灵敏。要准确确定事件发生的时间、地点、部位,判断事件的类型、性质、危害,及时实施处置措施。
3 控制事态,先期处置。当遇有网络突发事件、情况特别紧急、事态急剧恶化时,有关部门负责人要在本预案总的原则下,先期开展工作,边处置,边报告,及时控制事态,防止扩大蔓延,减少和降低危害。
4 严格执法,依法办事。在处置网络突发事件中,要严格执行国家有关法律法规,以事实为依据,以法律为准绳,判明性质,分清责任,依法行政,依法处理。
1.4 编制依据
依据《中华人民共和国国家安全法》、《中国突发事件应对法》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《计算机病毒防治管理办法》、《中共中央办公厅、国务院办公厅转发〈国家信息化领导小组关于加强网络与信息安全保障工作的意见〉的通知》等有关法规和规章制度,制定本预案。
1.5适用范围
本预案适用于深圳市司法局信息系统安全事件的应急处置。重点保障我单位的对外门户网站和综合办公(OA)管理系统等信息系统。
1.6工作原则
(1)预防为主,构筑体系。坚持“积极防御、综合防范”的方针,采取各类先进技术、管理等措施对我单位的信息网络实行全面监测、监控,及时发现不良事件的源头。
(2)快速反应,联动处置。及时对我单位的网络信息进行跟踪解决,做到当天问题当天解决。同时,加强和上级部门的沟通联系,做到“及时汇报,联动处理”,以最快、最优的方式解决我单位的网络信息安全问题。
2. 分类分级
2.1 保障对象
针对我单位的性质,对我单位的信息安全,按照保障力度不同,分为两个保障级别。
2.1.1 第一级保障对象
深圳市司法局门户网站为第一级保障对象。门户网站是深圳市司法局在互联网上建立的综合性政府门户网站,它提供对外政务信息公开,在线办事,便民服务等一系列对外公共服务和应用,是保障工作的重点。
2.1.2 第二级保障对象
深圳市司法局综合办公(OA)信息系统为第二级保障对象。
2.2 信息系统安全事件分类
信息系统常见安全事件一般有:
(1)页面无法访问
(2)页面被挂木马
(3)页面被篡改(包括含危害国家安全和社会稳定信息及其他恶意信息
(4)域名被劫持
(5)其他安全事件
2.3 信息系统安全事件分级
根据网络与信息系统安全突发事件的可控性、严重程度、影响范围和司法局信息系统的实际情况,分为四级:Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)和Ⅳ级(一般)。国家相关法律法规有明确规定的,按国家有关规定执行。
2.3.1 IV级(一般事件)
一般事件是指能够导致较小影响或破坏的信息安全事件。会使深圳市司法局信息系统遭受较小的系统损失,即造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。包括但不仅限于我局信息系统子页面无法访问、页面被挂马、页面被篡改、域名被劫持和其他涉及信息系统的安全事件等,均属于IV级一般事件。
2.3.2 Ⅲ级(较大事件)
较大事件会使深圳市司法局信息系统遭受较大的系统损失,即造成系统中断,明显影响系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大。包括但不仅限于我局信息系统首页无法访问(达24小时)、页面被挂马、页面被篡改、域名被劫持和其他涉及信息系统的安全事件等,均属于Ⅲ级较大事件。
2.3.3 II级(重大事件)
重大事件会使深圳市司法局信息系统遭受重大的系统损失,即造成系统长时间中断或局部瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大。
2.3.4 I级(特别重大事件)
特别重大事件会使深圳市司法局信息系统遭受特别重大的系统损失,即造成系统大面积瘫痪,使其丧失业务处理能力,或系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大。凡是我局网站出现网页篡改涉及危害国家安全和破坏社会公共秩序的政治言论和标识内容以及泄密等,均为I级特别重大事件。
3. 预防机制
积极推行信息安全等级保护,逐步实行信息安全风险评估,基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复。
3.1 日常运行维护
定期对我局信息系统进行完整的巡检,确认系统所有功能都能正常提供服务。
定期对我局信息系统的硬件设备进行巡检,检查硬件设备是否存告警等报警信息。
3.2 数据备份策略
定期安排技术人员对信息系统的代码和数据库进行本地完整备份,备份文件以文件形式进行保存。
3.3 备用设备保障
尽可能为重要信息系统准备冗余备用服务器,保障重要信息系统服务器出现故障时能及时将系统迁移至备用服务器。
3.4 人员技术保障
确保至少有两名以上的技术人员能熟练掌握重要信息系统的操作流程,包括系统的配置、安装、调式等。定期组织技术人员进行相关的技术培训,保障技术人员的技术能力能够应对突发事件的处理。
3.5 应急处理物资保障
准备好支撑信息系统运行的基础架构软件、数据库等应用程序的安装盘;准备好必要的硬件、软件、应急救援设备,保障信息系统服务器出现故障时有对应的维护工具。
4. 应急响应与处置
IV级事件发生时,由深圳市司法局组织自有信息系统和安全维护人员进行处理。处理不了的,请求信息安全应急响应服务公司指派专家协助处理。
III级事件发生时,首先由我局组织自有信息系统和安全维护人员进行处理,时限为两小时,两小时后仍无法解决的,联系维护支撑单位协助处理。处理不了的,请求信息安全应急响应服务公司指派信息安全应急处理专家协助处理。
II和I级事件发生时,直接启动应急处置程序,请求信息安全应急响应服务公司指派信息安全应急处理专家协助处理。充分利用现有的网络和信息系统监测服务,防范网络中断和信息系统异常中止和非法篡改,发生相应安全事件时,第一时间上报信息安全事件。
4.1 信息系统出现非法言论(Ⅰ级 特别重大事件)
事件:当深圳市司法局信息系统(尤其是门户网站系统)上出现危害国家安全和破坏社会公共秩序的政治言论等非法信息时。
恢复目标:删除非法信息,作好必要记录,强化安全防范措施。
恢复流程:
1) 情况紧急的应先及时采取删除等处理措施将非法信息从信息系统中清掉。
2) 记录当前连接,妥善保存有关记录、日志或审计记录;追查非法信息来源,向上级主管部门上报。
3) 在强化安全防范措施的基础上,修复信息系统页面后,并将页面重新投入使用。
4.2 信息系统数据遭到完整性破坏(Ⅰ级 特别重大事件)
事件:当深圳市司法局信息系统被挂马、内容被篡改或遭破坏性攻击时。
恢复目标:恢复与重建被攻击或被破坏的系统,恢复系统数据。
恢复流程:
1) 首先应将被攻击服务器等设备从网络中隔离出来,保护好现场。
2) 恢复与重建被攻击或被破坏的系统,恢复系统数据。
3) 追查非法信息来源,向上级主管部门上报。
4.3 拒绝服务攻击事件(II级 重大事件)
事件:当司法局信息系统有以大量消耗CPU、内存、磁盘空间或网络带宽等资源,从而影响信息系统正常运行时。
恢复目标:使系统CPU、内存,及网络带宽等资源恢复正常,追查攻击来源。
恢复流程:
1) 立即查看信息系统CPU、内存、及网络带宽资源被占用情况,做详细的记录,通知网络技术维护人员和网络安全员。
2) 网络技术维护人员和网络安全员立即赶到现场,并检查信息系统服务器的周边安全设备,如果发现有异常IP有大流量的行为,将异常情况做好记录。
3) 在防火墙上配置将该异常的IP地址禁止访问本网络资源,再将防拒绝服务攻击策略在防火墙开启。
4) 网络安全员将进一步追查拒绝服务攻击来源,应急响应工作小组认为情况极为严重的,向上级主管部门上报,需要支援的,立即请求技术支援。
4.4 远程与探测扫描攻击(II级 重大事件)
事件:当司法局信息系统遭受远程探测扫描攻击时。
恢复目标:追查攻击来源,禁止异常IP地址访问。
恢复流程:
1) 首先检查系统当前连接与系统服务器的周边安全设备,如果发现有异常IP有大流量的行为,将异常情况做好记录。
2) 检查防火墙的ARP欺骗攻击策略、拒绝服务器攻击策略、ICMP策略等安全策略是否正常开启,如未开启需要立即手动开启并在防火墙上配置将该异常的IP地址禁止访问本网络资源。
3) 网络安全员将进一步追查数据攻击者的来源,应急响应工作小组认为情况极为严重的,向上级主管部门上报。
4.5 病毒安全紧急处置措施(Ⅱ级 重大事件)
事件:当发现司法局信息系统感染病毒时。
恢复目标:清理系统中的病毒,确定病毒来源,恢复系统网络正常运作。
恢复流程:
1) 首先应将该服务器从网络中隔离出来,并对设备的硬盘数据进行备份。
2) 启动反病毒软件对该服务器进行杀毒处理,确定病毒传播途径,作好防范工作,同时用病毒检测软件对其他服务器进行病毒扫描和清除工作。
3) 如发现反病毒软件无法清除该病毒,应立即做好相关记录,同时立即向安全领导小组副组长报告,并迅速联系有关产品厂商研究解决。
4) 应急响应工作小组经商量后,认为情况极为严重,应立即向公安部门或上级机关报告。
4.6 软件系统完整性遭受破坏(Ⅱ级 重大事件)
事件:当发现司法局信息系统的软件系统遭受破坏性攻击时。
恢复目标:获得最近一次备份的数据对系统进行完整性恢复。
恢复流程:
1) 重要的软件系统平时必须存有备份,与软件系统相对应的数据必须按本单位容灾备份规定的周期按时进行备份,并将它们保存于安全处。
2) 一旦软件遭到破坏性攻击,有关人员应立即向网络技术维护人员和网络安全员报告,并将系统停止运行。
3) 检查信息系统的日志等资料,确定攻击来源,并将有关情况向应急响应工作小组汇报,再恢复软件系统和数据。
4) 应急响应工作小组认为情况极为严重的,应立即向公安部门或上级机关报告。
4.7 数据库安全紧急处置措施(Ⅱ级 重大事件)
事件:当发现司法局信息系统的数据库崩溃时。
恢复目标:恢复数据库系统或重新安新装数据库,导入备份的数据。
恢复流程:
1) 各数据库系统至少要准备两个以上数据库备份,平时一份放在机房,另一份放在另一安全的建筑物中。一旦数据库崩溃,应立即向网络安全员报告。
2) 网络安全员和网络技术维护人员应对主机系统进行维修,如遇无法解决的问题,立即向上级单位或软硬件提供商请求支援。
3) 系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中。
4) 如因第一个备份损坏,导致数据库无法恢复,则应取出第二套数据库备份加以恢复。
5) 如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。
4.8 信息系统服务器更换新机器(II级 重大事件)
事件:当信息系统服务器依托的硬件平台需要更换新机器、需要切换网络时。
恢复目标:在网络切换时,为确保系统能够顺利从老服务器过渡到新服务器,切换时间应选择下班时间,如果在第二天上班前两个时前还未能正常切换,应立即切回老服务器。
恢复流程:
1) 获得安装所需的硬件部件;
2) 获得异地备份数据库数据、配置文件、应用包文件和其它备份文件;
3) 在新机器中安装操作系统及补丁;
4) 恢复旧机器中的数据和应用程序;
5) 将新机器组成局域网;
6) 重启服务器,成功访问各应用系统;
7) 选择下班时间切换网络,将新机器切换到实际网络;
8) 成功访问信息系统。
4.9 外部电源中断(II级 重大事件)
事件:当发现外部电源中断故障时。
恢复目标:查明断电原因,如停电超过1小时,关闭机房所有设备。
恢复流程:
1) 立即查明断电原因。
2) 如因司法局内部线路故障,迅速联系大楼管理处恢复供电。
3) 预计停电1小时以内,由UPS供电。
4) 停电超过1小时,关闭服务器设备。
5. 后期处置
5.1 恢复工作
应急响应处置工作结束后,应迅速组织人员制定网络信息系统重建和恢复计划,按照业务影响分析结果,确定优先顺序,迅速恢复网络信息系统的正常运行,减少损失,尽快恢复正常工作。
5.2 情况总结
信息系统安全事件应急任务结束后,应急工作小组应做好突发事件中信息系统、网络设施损失情况的统计、汇总和相关资料的归档、任务完成情况的总结汇报,不断改进工作。
6. 监督管理
6.1 宣传教育
加强网络与信息系统安全等方面的知识培训,提高防范意识及技能,指定专人负责安全技术工作。并将网络与信息系统安全突发事件的应急管理、工作流程等列为培训内容,增强应急处置工作的组织能力。
6.2 演练
定期开展信息系统安全应急演练,检验本预案的可执行性。通过演练,及时发现和改进应急体系、工作机制存在的问题,完善应急预案,提高应急处置能力。
6.3 责任与奖惩
各相关工作人员要认真贯彻落实本预案的各项要求,应急工作小组将不定期组织检查,对未有效落实预案各项规定的工作人员进行通报批评。对在网络与信息系统安全突发事件应急处置中做出突出贡献的集体和个人,给予表彰奖励;对在网络与信息系统安全突发事件预防和应急处置中有玩忽职守、失职等行为者,依法追究责任。
7. 附则
7.1 解释机构
本预案由司法局办公室负责解释。
7.2 执行时间
本预案自发布之日起执行。
附件1:门户网站常见安全事件处置步骤
一、网站网页异常:
1、检查备份网站是否正常;
2、备份网站正常的情况下进行切换备用网站,确保页面的有效性和原始性;
3、停止后台发布系统;
4、检查并确保网页防篡改系统正常工作;
5、检查并确保本地安全系统正常工作;
6、移动异常页面至非发布目录保存证据;
7、利用备份数据恢复已移除的页面,确保页面的有效性;
8、继续收集其他异常页面,剪切保存,并替换正常更新;
9、对当前发布页面和备份页面进行全面的挂马检测;
10、导出操作系统相关日志(系统、应用、安全、数据库、存储系统、本地安全系统等)并进行外部保存;
11、导出WEB发布系统相关日志(IIS、Weblogic、Webspherre、Apache等发布系统、应用系统、中间件日志等)并进行外部保存;
12、导出安全设备日志(防篡改系统、IDS/IPS、网络/WEB防火墙、网络审计系统、认证网关等)并进行外部保存。
二、网络设备故障:
1、如果有备份网络设备,启用备份网络设备;
2、将最近一次备份的配置文件导入到备份网络设备;
3、检查并确认导入备份设备的配置及时生效;
4、进行线路切换,并保持原有的网络拓扑结构;
5、检查并确认设备工作正常;
6、进行通信连通性测试,确保备用设备已经成功切换;
7、密切监视新上线的设备工作状态、直至故障排除;
8、导出网络设备相关日志并进行外部保存。
三、域名劫持攻击:
1、第一时间联系域名服务提供商和ISP(互联网服务提供商),就发生的攻击现象进行简要说明;
2、进一步确认受攻击影响的范围(区、市、省等);
3、在可正常访问网站的用户端(未遭受域名劫持攻击的用户),使用ping命令尝试解析域名并记录返回的IP地址;
4、在受影响的用户端(遭受域名劫持攻击的用户),使用ping命令尝试解析域名并记录返回的IP地址;
5、将记录的非正常IP地址存档并提交给受攻击影响的域名服务提供商和ISP(互联网服务提供商);
6、在本地服务器对网站进行全面的安全检测,确保网站本身未受到破坏;
7、密切配合ISP和域名服务提供商对事件进行处理;
8、在2小时内,如果无法恢复正常服务,指派专人协助域名服务提供商和ISP并跟踪事件处理;
9、密切监视域名解析服务状态,直至危害排除。
附件下载:
粤公网安备 44030402002963号