江西省质量技术监督局信息安全应急响应预案

发布时间:2009-11-12 来源:江西质监网

  一、总则
  (一)编制目的
  为贯彻落实国家质检总局《关于转发工信部关于<2009年度政府信息系统安全检查指南>的通知》的要求,切实做好信息安全工作,有效防范突发事件对江西省质量技术监督系统信息安全的影响,最大限度地减少事故造成的损失,增强对突发事件的应变能力,并使应急工作安全、有序、科学、高效地实施,特制定《江西省质量技术监督局信息安全应急响应预案》。应急预案涉及到在紧急情况或系统中断后为恢复IT服务所采取的过渡手段。过渡手段可以包括将系统和操作重新安排到备用站点、使用备用恢复设备IT功能或其它应急措施。
  信息安全应急响应预案为由有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障等事件导致的业务中断、系统宕机、网络瘫痪等信息安全突发事件进行恢复建立规程。
  (二)编制依据
  我国相关法律、法规、规章和规范性文件。
  (三)适用范围
  1.组织实施机构
  江西省质量技术监督信息中心负责管理系统内信息安全工作,保障系统内信息网络畅通。各单位信息化分管领导负责本单位信息安全工作。
  2.范围
  本预案适用于省局中心机房所有设施,省局局域网、广域网,江西质监网站及和系统内各应用、业务系统。各设区市局及省局各直属单位参照执行管理本单位信息系统安全。
  (四)工作原则
  以人为本,预防为主;统一领导,分级负责;依法规范,加强管理;快速反应,协同应对;依靠科技,资源整合。

  二、组织机构和职责
  (一)领导机构
  根据省局信息化工作的职责分工,由省局信息办成立信息安全应急办公室。
  信息安全突发事件应急响应由应急办统一领导;日常事务由应急实施小组负责。
  应急办是信息安全应急响应工作的组织机构,应急办的职责是领导和决策信息安全应急响应的重大事宜,主要如下:
  1.审核并提出经费预算;
  2.审核并批准恢复策略;
  3.审核并批准应急响应计划;
  4.批准应急响应计划的执行。
  应急响应办公室主任:章志键
  应急响应办公室副主任:刘自宪、周光岚
  应急响应办公室成员:郑晓星、方莹、颜武、朱晖
  (二)工作机构
  信息安全突发事件应急响应实施小组主要负责综合协调信息安全保障工作并根据信息安全事件的发展态势和实际控制需要,具体负责现场应急处置工作。实施小组成员应当定期召开会议对近期发生的事故案例进行研究、分析;针对多发事故,制定具体的事故预防措施和应急处置规范。
  应急响应实施小组成员:颜武、王宇、项琼、余嘉、江莉、朱晖、郑晓燕。
  (三)部门职责
  1. 信息中心技术部:负责全省质监广域网、质检主干网及省局互联网接入的突发事件的应急处理;负责全省质监各应用系统和省局数据中心的突发事件的应急处理;负责省局中心机房和省局局域网的突发事件的应急处理。
  2. 信息中心网站:负责江西质监门户网站及相关应用系统的突发事件的应急处理。
  (四)外部协作部门
  工作机构应与相关管理部门、设备及服务提供商、电信、电力等支持单位保持联络和协作,以确保在信息安全突发事件发生时能及时通报准确情况和获得适当支持。

  三、预防与预警机制
  负责信息安全各单位及部门应从制度建立、技术实现、业务管理等方面健全信息安全的预防预警机制
  (一)信息监测及报告
  定时检测和汇总相关重要系统运行状态信息,分析系统安全状况,建立信息安全报告制度,发生信息安全突发事件的部门在事件发生后应及时向应急办做出信息安全事件的报告。
  (二)预警
  应急响应实施小组成员在接到信息安全突发事件报告后,应当初步核实后,进一步进行情况综合,研究分析可能造成损害的程度,提出初步行动对策,并及时将信息安全突发事件报应急响应领导小组。应急办视情况召集协调会,决策行动方案,发布指示和命令。
  (三)预防机制
  制定并不断完善信息安全应急响应计划,数据中心应建设异地灾备系统,门户网站应完善应急恢复系统。针对基础信息网络的突发性、大规模安全事件,各相关部门建立制度化、程序化的处理流程。完善设备动态监管系统,及早发现事故隐患,采取有效措施防止事故发生。逐步建立完善的设备安全监控系统,包括重大危险辨识系统、事故隐患预警系统、安全状况评价系统等,保证预警支持系统的信息传递准确、快捷、高效。

  四、应急响应程序
  (一)事件通告
  1.信息通报
  组织内信息通知顺序如下:
  (1)最初的反应是本部门及其他部门的监控反馈,启动突发事件流程,通知相关部门。
  (2)各部门应急响应实施小组成员根据情况判断,决定是否将信息通知小组其他成员并依据应急处理流程做好响应和重新配置的准备。
  (3)根据突发事件判断标准,启动处理流程。
  外部协作部门信息通报顺序如下:
  信息安全突发事件发生后,如果需要,应将相关信息准确通报给相关设备及服务提供商、电信等外部组织,以获得适当的应急响应支持。
  2.信息上报
  信息安全突发事件发生后,按照相关规定和要求,应急响应实施小组成员要主动与应急办联系,及时通报有关情况。如属于国家网络与安全信息通报中心要求通报的,应立即填写“质检网络与信息系统安全状况报告单”,按照《关于建立质检系统网络与信息安全信息通报机制的通知》(国质检办〔2007〕184号)的精神上报信息。
  (二)事件分类与定级
  信息安全事件发生后,应急响应实施小组成员按标准对信息安全事件进行评估,确定信息安全事件的类别与级别。
  1.事件分类
  信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类。
  有害程序事件:蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。
  网络攻击事件:通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。
  信息破坏事件:通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。
  信息内容安全事件:利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件,利用网络从事违法犯罪活动的情况,网络恐怖活动的嫌疑情况和预警信息。
  设备设施故障:由于信息系统自身故障或外围保障设施故障而导致的信息安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。
  灾害性事件:由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。
  其他信息安全事件:不能归为以上6个基本分类的信息安全事件。
  2.事件定级
  信息安全突发事件级别分为四级:特别重大(一级)、重大(二级)、较大(三级)和一般(四级),分别以红、橙、黄、蓝色来代表。
  红色预警(一级):指能够导致特别严重影响或破坏的信息安全事件。
  橙色预警(二级):指能够导致严重影响或破坏的信息安全事件。
  黄色预警(三级):指能够导致较严重影响或破坏的信息安全事件。
  蓝色预警(四级):指能够导致较小影响或破坏的信息安全事件。
  (三)应急启动
  在事件定级之后应立即启动应急,具体操作遵循如下规则:
  1.启动原则—快速、有序。
  2.启动依据—事件定级最终结果,实行分级响应。
  3.启动方法—由应急领导小组发布应急处理启动令。
  (四)应急处置流程
  “四级/一般”及四级以下级别的信息安全事件由部门内部及部门间进行信息沟通选择适当方案自行处置。
  如部门内技术人员能在30分钟内排除故障,应将故障处理结果向应急办汇报;如在60分钟内不能排除故障,应及时上报应急办,并通知应急响应实施小组成员做好应急准备。
  当信息安全应急实施小组成员得到“三级/较大” 、“二级/重大”、“一级/特别重大”级别的信息安全事件的报告后,应做好应急响应准备,待应急办批准后,启动应急预案并进入相应的应急响应工作程序。
  在“三级/较大” 、“二级/重大”、“一级/特别重大”安全事件发生或可能发生的情况下,按照以下流程进行处理:
  1.先期处置
  (1)各业务部门应急响应实施小组成员,发现需要启动应急响应实施小组的信息安全突发事件后,应填写故障报告工作单并立即上报部门负责人,同时通知应急响应实施小组成员做好应急方案启动准备。实施小组成员应加强与有关方面的联系,掌握最新发展动态,做好启动本预案的各项准备工作。
  (2)部门负责人及时向信息安全应急办负责人报告。应急办负责人确定是否启动应急预案并发布指令,同时根据问题严重情况及时报告上级部门。
  (3)应急办根据信息安全突发事件的发展态势,视情况决定赶赴现场指导,组织派遣应急支援力量。
  2.应急支援
  本预案启动后,应急办根据事态发展和处置工作需要,及时增派专家小组,调动必须的物资、设备,支援应急工作。参加现场处置的各有关部门和单位在应急办的统一指挥下,协调开展处置工作。
  3.信息处理
  (1)应对事件进行动态监测、评估,及时将事件的性质、危害程度和损失情况及处置工作等情况,及时报应急办,不得隐瞒、缓报、谎报。
  (2)应急办成员应做好信息分析、报告和发布工作,要组织专家和有关人员研判各类信息,研究提出对策措施,完善应急处置计划方案。
  4.应急结束
  信息安全突发事件经应急处置后,得到有效控制,事态下降到一定程度或基本得到解决,分析各监测统计数据后,确定是否结束应急。
  (五)启动应急预案的标准
  1.出现地震、水灾、雷电、火灾、爆炸等破坏情况。
  2.大楼双路供电系统故障。
  3.UPS供电中断。
  4.出现黑客攻击或计算机病毒造成网络瘫痪。
  5.专线和广域网中断。
  6.江西质监门户网站瘫痪。
  7.重要应用系统发生故障,导致应用中断。
  8.邮件服务器不能工作。
  9.网络系统严重故障导致应用中断。

  五、保障措施
  (一)应急人力保障
  加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息安全核心人才和管理队伍,提高信息安全防御意识。
  (二)物质条件保障
  在信息化专项经费中安排一定的资金用于预防或应对信息安全突发事件,对应急预案实施所需的物资器材应予以充分保障,提供必要的交通运输保障,优化信息安全应急处理工作的物资保障条件。
  (三)技术支撑保障
  设立信息安全应急响应中心,建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力。从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。

  六、应急响应总结
  回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录文档中。应急响应实施小组应当在事件处理完毕后三个工作日内将处理结果报应急办备案。通过对信息安全事件进行统计、汇总,及任务完成情况总结和汇报,不断改进信息安全应急响应预案。
  (一)指挥与协调
  应急办主任统一协调各部门共同完成应急预案的处置。
  (二)善后处置
  应急行动结束应由应急办根据上级指示和任务完成情况确定,行动结束后,各级应上报行动的书面总结。应急办将视情况对事故责任人做出相应处理。
  发生事故后,必须由有关部门对事故损坏的设备进行全面的检修,经检验合格后方可重新投入使用。对严重损毁、无维修价值的,使用单位应当予以报废。
  应急救援结束后,有关部门应当做好救助和保险等善后处理事项,并尽快恢复受影响的业务。
  (三)调查与评估
  在应急处置工作结束后,应急办应立即组织有关人员和专家组成事故调查组,按照国家有关规定组织事故调查,并提出调查报告,应急办适时公布发生事故的原因及预防措施。
  (四)后期处理信息采集
  收集事故中出现的各种数据资料,为今后的预防此类事故的发生和应急预案的修改提供依据。
  对事故中暴露的问题进行详细的记录,组织人员认真分析,总结经验,避免类似事故再次发生。