第一章 总 则
第一条 为了保障吉林财经大学信息管理中心(以下简称“中心”)网络与信息安全应急响应机制,规范信息安全突发事件的应急响应工作,全面提高网络与信息安全水平,切实防范和化解系统运行的风险,保障网络通信畅通,提高系统服务质量,特制定本规定。
第二条 本规范适用于吉林财经大学信息管理中心。
第二章 职 责
第三条 为有效落实中心信息安全事件的应急响应工作,中心设立信息安全应急响应工作组,由中心安全主管担任组长,各部门领导及信息安全工作组成员共同组成。信息安全应急响应工作组的职责是:
(一) 负责编制应急响应预案、信息安全事件应急处置流程和措施;
(二) 负责组织协调、处置和上报信息安全事件;
(三) 负责总结汇报信息安全事件处置情况和结果。
第三章 信息安全事件定义
第四条 信息安全事件是由于自然或者人为的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件。信息安全事件由单个或一系列意外或有害的信息安全异常现象所组成的,极有可能危害业务运行和威胁信息安全。
第五条 信息安全事件可以是有意的或意外的(如因错误或者自然灾害导致的事件),也可以由技术或物理原因引起。其后果包括如下异常现象:信息被未授权地泄露或修改、被破坏或无法使用,或者中心内部资产被毁坏或偷窃。未被报告和未被确定为事件的信息安全异常现象不能被调查,也无法采取防护措施来预防任何再发生。
第六条 信息安全事件包括但不限于以下事件:
(一)拒绝服务:导致系统、服务或网络失效而无法继续发挥其预期能力的信息
安全事件,最常见的情况是完全拒绝合法用户的访问。
(二)恶意代码:由于病毒、蠕虫和特洛伊木马等恶意代码引发的信息安全事件,
可能导致吉林财经大学信息泄露、信息系统和网络无法正常运行的后果。
(三)未授权访问:内部或外部人员由于未经过相关授权私自对信息系统进行操
作而引发了信息安全事件的行为,最常见的未授权的误操作。
第四章 信息安全事件级别
第七条 根据信息安全事件的危害程度,信息安全事件分为四个级别:特别重大事件、重大事件、较大事件、一般事件。
第八条 特别重大事件是指能够导致特别严重影响或破坏的信息安全事件,发生以下情况可定义为特别重大事件(I级):
(一)工作日内网络通信物理或逻辑中断,5小时内通信无法恢复;
(二)工作日内系统重要业务运行停止,5小时内业务无法恢复;
(三)工作日内信息系统重要业务数据损坏,5小时内损坏数据无法恢复。
第九条 重大事件是指能够导致严重影响或破坏的信息安全事件,发生以下情况可定义为重大事件(II级):
(一)工作日内网络通信物理或逻辑中断, 2小时内通信无法恢复;
(二)工作日内系统重要业务运行停止,2小时内业务无法恢复;
(三)工作日内信息系统重要业务数据损坏,2小时内损坏数据无法恢复。
第十条 较大事件是指能够导致较严重影响或破坏的信息安全事件,发生以下情况可定义为较大事件(III级):
(一)工作日内系统部分重要业务运行停止,并造成严重故障,2小时内能够恢复;
(二)工作日内信息系统部分重要业务数据损坏,2小时内能够恢复;
(三)工作日内大规模的病毒爆发和传染,2小时内能够控制病毒传染范围;
(四)非工作日内发生上述事件,并能够在员工上班前得到解决,不影响吉林财经大学正
常工作开展;
第十一条 一般事件是指能够导致较小影响或破坏的信息安全事件,发生以下情况可定义为一般事件(IV级):
(一)由于安全隐患或系统遭受入侵、尝试性入侵造成网络通信或系统业务运行
中出现的一般故障;
(二)利用吉林财经大学网络发起的对其它网络的攻击,但未造成严重损失。
第五章 信息安全事件发现
第十二条 系统维护人员应加强监控措施和日志查看,采用必要的技术手段,确保及时发现信
息安全事件。
第六章 信息安全事件分级处理
第十三条 对于特别重大事件,应启动应急预案,信息安全应急响应工作组组织应急响应相关
工作,并第一时间上报中心安全主管,由安全主管协调中心各领导、各部门、相关
服务商共同解决特别重大事件,必要时,报请教育部及国家有关部门协调处置。
第十四条 对于重大事件,应启动应急预案,信息安全应急响应工作组组织应急响应相关工作,
并第一时间上报中心安全主管,由安全主管协调各部门、相关服务商共同解决重大
事件,如果未能解决则转入特别重大事件处理流程。
第十五条 对于较大事件,系统维护人员与安全管理员共同分析和解决,并依据有关信息安全
事件处置流程进行处置;必要时,对安全事件进行深入分析,并协调相关产品供应
商或集成商,共同解决较大事件,如果未能解决则转入重大事件处理流程。
第十六条 对于一般事件,系统维护人员在日常维护、巡检、日志检查等过程中发现异常,或
接到其他人员的异常报告判断为安全事件,并确定级别为一般安全事件后,安全管
理员应详细记录事件的情况并协调相关维护人员进行分析和处理,如果未能解决则
转入较大事件处理流程。
第七章 信息安全事件总结和上报
第十七条 信息安全事件处理完毕,系统恢复正常运行后,要对整个事故进行分析研究,并对
相关人员加强教育,总结经验教训,形成信息安全事件处理报告。
第十八条 报告中应详细记录事件的起因、处理过程、建议改进的安全方案,造成的直接损失
等。
第十九条 对于特别重大事件、重大事件和较大事件的处理报告应由安全管理员上报安全主
管,由安全主管审核并反馈相关意见,最后由信息安全应急响应工作组归档备案。
第二十条 中心每年至少进行一次信息安全事件的安全审计,在进行安全审计时,必须整理前
一阶段所有信息安全事件的档案,进行总结和统计。
第八章 附 则
第二十一条 本规定由信息安全工作组负责解释和修订。
第二十二条 本规定自发布之日起执行。
附件一
信息安全应急响应计划
第一章 应急管理要求
第一条 中心相关人员应通过业务影响分析,确定各信息系统关键资源、信息安全事件影响以及应急响应的恢复目标,包括关键业务功能及恢复的优先顺序和恢复时间范围。
第二条 信息安全应急响应工作组填写《信息管理中心信息安全事件应急响应人员职责清单》(见附件二)确立各类应急事件的相关责任人,并负责对清单及时更新,并每年对清单内容进行一次确认。
第三条 信息安全应急响应工作组建立《信息管理中心IT基础设施供应商联络清单》(见附件三)和《信息管理中心应用系统供应商联络清单》(见附件四),并负责对清单进行及时更新,每年对清单内容进行一次确认。
第四条 建立与完善信息安全事件检测、预测制度。按照“早发现、早报告、早处置”的原则,加强对信息安全事件和可能引发信息安全事件的有关信息的收集、分析判断和持续监测。如发现有异常情况或有信息安全事件发生时,安全管理员应及时进行初步处理并立即向信息安全应急响应工作组报告。
第二章 应急预案的制定
第五条 信息安全事件的应急预案由信息安全应急响应工作组制定,并确保应急响应工作能够贯彻落实。
第六条 信息安全事件应急预案的制定原则:
(一) 完整性原则:应急预案的制定必须完整,要覆盖应急处理的全方位与全过程,并涵盖实施应急的全部业务及相关机构、人员。
(二) 关键业务优先原则:在分析业务的优先等级、风险危害程度的基础上,优先保证重要业务应用的持续运作。
(三) 可操作性原则:应急响应措施必须明确、具体、切实、易行,操作对象与步骤必须有准确、详细的描述。
(四) 可恢复性原则:应急预案中确定的各项处理措施必须为应急后的系统恢复提供必需的数据与资料,符合系统恢复所必需的基本处理逻辑,以便对业务系统进行有效恢复,保证系统恢复后的正常运行。
(五) 责任明确原则:应急预案要明确各级领导、各部门人员的职责,以保证计划实施过程中责任的落实,并最大限度地降低风险。
第七条 信息安全事件应急预案需要在评估、测试以及认证后,由安全主管进行批准,经批准后,应急预案方可在安全事件发生后启用。
第八条 应急预案启动的基本条件为:
(一) 信息安全事件无法得到及时有效处理,已达到重大和特别重大的信息安全事件等级。
(二) 信息安全应急响应工作组判断无法及时进行处理的信息安全事件。
第九条 应急预案终止的基本条件为:
(一) 确认故障已排除,信息安全事件已解决,可恢复正常工作状态。
(二) 确认在应急预案实施过程中的业务已得到有效恢复。
第三章 应急响应执行和处理
第十条 信息安全事件发生后,信息安全应急响应工作组应对信息安全事件进行评估,确定信息安全事件的级别。
第十一条 在事件等级确定之后应立即启动应急。根据事件等级实行分级响应,并由信息安全应急响应工作组发布应急处理启动令。应急启动后,信息安全应急响应工作组要对人力、物力到位情况实施检查与督察,并记录实际发生情况。
第十二条 启动应急后开始应急处置工作。应急处置工作应集中于建立临时业务处理能力、修复原系统损害、在原系统或新设施中恢复运行业务能力等应急措施。
第十三条 在进行应急处置工作时,由信息安全应急响应工作组按照相关要求及时向上级报告。
第十四条 在应急处置工作结束后,信息安全应急响应工作组要通过统计各种数据,查明原因,对事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,迅速组织实施信息系统重建。
第十五条 应急响应总结是应急处置之后必须进行的工作,信息安全应急响应工作组要分析事件发生原因;总结事件现象;评估系统损害程度;估计事件损失;总结应急处置记录。同时填写《信息管理中心应急响应事件处理记录》(见附件五),由信息安全应急响应工作组备案。
第四章 应急响应措施
第十六条 发生信息安全突发事件后,信息安全应急响应工作组应立即判定事件危害程度,启动相应级别的应急预案,采取应急响应措施,并立即将情况向有关领导报告。在处置过程中,信息安全应急响应工作组应尽最大可能收集事件相关信息、鉴别事件性质、确定事件来源、弄清事件范围和评估事件带来的影响和损害,及时向安全主管报告工作进展情况,直至处置工作结束。
第十七条 按照信息安全突发事件引发原因的不同应区别对待,以下分别说明不同类型事件的应急响应措施。
(一)灾害事件
发生洪水、雷击、地震、火灾、台风等外力灾害事件时,根据当时的实际情况采取以下应急处置:
1. 任何距离机房、设备间或工作间最近的管理员或用户,在保障人身安全的前提下,首先保障数据的安全,其次是设备安全;
2. 保障数据安全:拔出服务器或终端机硬盘或其他存储介质,并转移至安全区域进行保存,灾后及时清点存储介质数量,确认是否有损坏或遗失情况,及时将情况上报信息安全应急响应工作组;
3. 保障设备安全:立刻切断所有设备的电源,并按照设备的重要程度尽可能进行拆迁,转移至安全区域,灾后及时清点设备数量,确认是否有设备损坏或遗失,将设备情况上报信息安全应急响应工作组;
(二)故障事件
1. 电力系统故障的应急处理
(1) 任何人员发现局域网电力供应出现异常情况时,及时通知供电部门。机房电力供应出现异常情况时,由机房管理员查看供电情况,确认UPS剩余电量和供电时间后,报告供电部门和信息安全应急响应工作组。
(2) 供电部门是电力系统故障应急处理的第一责任单位。
(3) 供电部门立即启动电力系统故障应急处理流程,尽快查清故障原因,提出解决办法,确定故障排除可能需要的时间,及时将相关情况通报信息安全应急响应工作组。
(4) 信息安全应急响应工作组根据故障排除时间和UPS剩余电量供应时间,并结合实际业务应用使用情况,提出机房设备部分关机或全部关机方案,上报安全主管。经批准后由信息安全应急响应工作组按照规定流程实施设备关机。
(5) 电力系统故障的应急处理过程中,机房管理人员须确认机房进出人员的管理和登记,全程旁站机房内部检修,防止设备损坏遗失和重要数据失窃。
(6) 电力系统恢复供电后,供电部门须在第一时间通知信息安全应急响应工作组,以便以最快的速度恢复关闭的网络应用。信息安全应急响应工作组在接到通知后,按照规定的流程开启相关设备,确认系统重新正常运行。
(7) 信息安全应急响应工作组和相关责任人应清点设备、存储介质数量,检查设备运行情况,并将相关情况及时上报安全主管。
2. 消防系统应急处理
(1) 当出现火情、火灾时,发现人员须在最短时间内报告中心领导,通知信息安全应急响应工作组。若火情严重时,须迅速拨打119电话报警,并尽可能采取一些简单可行的方法作初步处理。
(2) 信息安全应急响应工作组负责将应急处理进展情况随时向有关领导报告。
(3) 当中心机房出现火情并且无法进行局部处理时,机房管理人员在紧急报告信息安全应急响应工作组的同时,立即组织疏散物理场地楼层以内的工作人员。
(4) 在保障人身安全的前提下,转移系统内的存储介质和重要设备。
(5) 消防系统应急处理结束后,信息安全应急响应工作组和相关责任人应清点设备、存储介质数量,检查设备运行情况,并将相关情况及时上报安全主管。
3. 网络系统故障应急处理
(1) 发现网络设备、安全设备和应用系统故障后,信息安全应急响应工作组和相关责任人立即检查故障,进行初步故障定位。
(2) 对简单故障,信息安全应急响应工作组应迅速排除故障,解决问题并记录故障处理过程。
(3) 如需要更换设备,信息安全应急响应工作组应上报安全主管,经批准后马上更换故障设备,尽快恢复网络、应用系统运行。
(4) 当信息安全应急响应工作组判断无法及时修理时,立即上报安全主管,通知相关的系统运行服务提供商,在最短的时间内安排修理或更换系统。
(5) 启用备份线路、设备、系统(如果存在的话),迅速恢复相关的应用。
(三)攻击事件
发生攻击事件后,信息安全应急响应工作组需判断攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。(可参考附件六《常见攻击应急措施》)
按照攻击事件性质不同分别采用以下应急处置:
1. 病毒传播
(1) 发现网络上有病毒传播时,信息安全应急响应工作组应及时寻找并断开传播源,判断病毒的类型、性质和危害范围,将相关情况上报安全主管。
(2) 当病毒传播爆发规模较大时,由信息安全应急响应工作组组织应急响应,切断受攻击计算机与网络的连接,停止一切操作、保护现场。
(3) 对已发现的病毒,由信息安全应急响应工作组使用最新版本杀毒软件先对已染毒计算机进行全面杀毒和漏洞修复,然后在组织全网计算机进行全面杀毒和漏洞修复,确认网络中无病毒传播后再恢复网络连接。
(4) 如果现有防护工具及手动查杀方法均无法彻底清除病毒,可报安全主管批准后,与国家指定的反病毒部门联系协助恢复。
(5) 病毒清除完毕,系统恢复正常后,信息安全应急响应工作组负责完成相应的记录和报告,并公布病毒攻击信息和查杀方法,通知其他系统及时检查、修补系统漏洞。
2. 内部入侵
(1) 对内部入侵行为,信息安全应急响应工作组须尽快查清入侵来源,如IP地址、所在区域、所处办公室等信息,同时关闭对应的交换机端口,切断攻击源的网络连接。
(2) 信息安全应急响应工作组负责分析各种审计记录、安全日志等信息来追踪攻击源,查找攻击发起的内部人员,将相关情况及时上安全主管。
(3) 中心领导负责查处内部攻击行为发起者,进行相关记录及通告。
(四)其它事件
未列出的不确定因素造成的事件,信息安全应急响应工作组可根据总的安全原则,结合具体的情况,做出相应的处理。不能处理的及时上报安全主管。
第五章 应急响应的管理和维护
第十八条 经过审核和批准的应急预案文档应:
(一)由专人负责保存与分发;
(二)具有多份拷贝在不同的地点保存;
(三)分发给参与应急响应工作的所有人员,并对其进行培训;
(四)在每次修订后所有拷贝统一更新,并保留一套,以备查阅;
(五)旧版本应按有关规定销毁。
第十九条 为了保证应急预案的有效性,应从以下方面对应急预案文档进行严格的维护:
(一)业务流程的变化、信息系统的变更、人员的变更都应在应急预案文档中及时反映;
(二)应急响应计划在信息安全事件发生后实际执行时,其过程应有详细的记录,并应对执行的效果进行评估,同时对应急响应计划文档进行相应的修订;
应急响应计划文档应定期评审和修订,至少每年一次。
