‘壹’ 国家安全等级划分方法,定级对象
2018年6月27日,公安部正式发布《网络安全等级保护条例(征求意见稿)》(以下称“《等保条例》”),标志着《网络安全法》(以下称“《网安法》”)第二十一条所确立的网络安全等级保护制度有了具体的实施依据与有力抓手。《等保条例》共八章七十三条,包括总则、支持与保障、网络的安全保护、涉密网络的安全保护、密码管理、监督管理、法律责任和附则。相较于2007年实施的《信息安全等级保护管理办法》(以下称“《管理办法》”)所确立的等级保护1.0体系,《等保条例》在国家支持、定级备案、密码管理等多个方面进行了更新与完善,适应了现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求,标志着等级保护正式迈入2.0时代。
《等保条例》的具体规定
《管理办法》由公安部、国家保密局、国家密码管理局、国务院信息工作办公室共同发布,作为等保1.0体系的核心规定,其法律效力为部门规范性文件。另根据《管理办法》第一条规定,其制定依据为国务院行政法规《计算机信息系统安全保护条例》。
《等保条例》虽尚在征求意见稿阶段,根据《行政法规制定程序条例》第五条,行政法规的名称一般称“条例”,国务院各部门和地方人民政府制定的规章不得称“条例”,因此,《等保条例》应当属于行政法规范畴。此外,《等保条例》第一条规定了其制定依据为《网安法》与《保守国家秘密法》。
综上可知,《管理办法》为依据行政法规制定的部门规范性文件,而《等保条例》则属于依据国家法律制定的行政法规,显然,无论是自身法律效力亦或法律依据的效力位阶,等保2.0均优于等保1.0。
等级保护的适用范围
对于适用范围,《等保条例》概括性地规定为适用于网络运营者在我国境内建设、运营、维护、使用网络,开展网络安全等级保护以及监督管理工作,而个人及家庭自建自用的网络除外,内容较为简略。2018年1月19日,全国信息安全标准化技术委员会发布了《信息安全技术网络安全等级保护定级指南2.0(征求意见稿)》(以下称“《定级指南2.0》”),为等保的具体适用提供了指引。
等保1.0体系中,《管理办法》在第十条明确提到信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》(以下称“《定级指南1.0》”)确定信息系统的安全保护等级。因此,《定级指南2.0》的出台很大程度上得益于《定级指南1.0》的已有规定。
相比《定级指南1.0》将等级保护的对象笼统地定义为信息安全等级保护工作直接作用的具体的信息和信息系统,《定级指南2.0》细化了网络安全等级保护制度定级对象的具体范围,主要包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台。另外,作为定级对象的网络还应当满足三个基本特征:第一,具有确定的主要安全责任主体;第二,承载相对独立的业务应用;第三,包含相互关联的多个资源
根据《定级指南2.0》,定级对象在满足上述基本特征后仍需遵循相关要求。对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象,而跨省业务专网既可以作为一个整体定级,也可根据区域划分为若干对象定级。对于工业控制系统,应将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,而生产管理要素可以单独定级。对于云计算平台,则应区分为服务提供方与租户方,各自分别作为定级对象。对于物联网,虽然其包括感知、网络传输和处理应用等多种特征因素,但仍应将以上要素作为一个整体的定级对象,各要素并不单独定级。采用移动互联技术的网络与物联网类似,应将移动终端、移动应用、无线网络等要素与相关有线网络业务系统作为整体对象定级。对于大数据,除安全责任主体相同的平台和应用可以整体定级外,应单独定级。
网络等级
《等保条例》继受了《管理办法》所确立的五级安全保护等级体系,但进一步强化了对公民、法人和其他组织合法权益的保护。《管理办法》并未在主文中规定当遭受破坏后会对公民、法人和其他组织合法权益产生特别严重损害的信息系统应当如何定级,《定级指南1.0》仅在之后定级要素与安保等级关系的表格中显示上述信息系统应列为第二级,而《等保条例》则进行了相应修改,当等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害时,相应系统应当定为第三级保护对象。具体等级划分请参照以下表格:
网络安全保护义务
《管理办法》第五条规定信息系统的运营、使用单位应当依照该办法及其相关标准规范履行信息安全等级保护的义务和责任,但并未明确对应的义务。作为《网安法》配套法规的《等保条例》则沿袭了《网安法》已有的规定,就网络运营者的一般和特殊安全保护义务、网络产品和服务采购、应急预案制定等进行了详细的规定。
对于安全保护义务,除《网安法》第二十一条已经明确的内容外,一般网络运营者还应:一、建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度;二、落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程;三、在收集使用和处理个人信息时采取保护措施防止其泄露、损毁、篡改、窃取、丢失和滥用;四、落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施;五、落实违法信息发现、阻断、消除等措施,防范违法信息大量传播和违法犯罪证据的灭失。第三级以上的网络运营者除上述义务外,还应当着重落实网络安全管理负责人、关键岗位技术人员的安全背景审查和持证上岗制度,同时定期开展等级测评工作。
对于网络产品和服务采购,网络运营者应当采购、使用符合国家法律法规和有关标准规范要求的网络产品和服务,第三级以上网络运营者应当采用与其安全保护等级相适应的网络产品和服务,对重要部位使用的网络产品,还应当委托专业测评机构进行专项测试。2017年6月1日生效的《网络关键设备和网络安全专用产品目录(第一批)》与国家认监委等四部门于2018年3月15日发布的《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)》对网络运营者使用的网络产品的要求进行了详细的规定,因此建议网络运营者在采购网络产品和服务要求供应商提供专业机构出具的安全认证或检测证书,以减少运营法律风险。
对于应急预案的制定,第三级以上网络的运营者应当按照国家有关规定,制定网络安全应急预案,定期开展网络安全应急演练。除及时记录并留存事件数据信息,向公安机关和行业主管部门报告外,网络运营者还应当为重大网络安全事件处置和恢复提供支持和协助。根据工信部《公共互联网网络安全突发事件应急预案》,报告网络安全事件信息时,还应当说明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和有关建议等。
网络安全保护要求
近年来,随着人工智能、大数据、物联网、云计算等的快速发展,安全趋势和形势的急速变化,2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求》(简称等保1.0)已经不再适用于当前安全要求。从2015年开始,等级保护的安全要求逐步开始制定2.0标准,包括5个部分:安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求。2017年8月,公安部评估中心根据网信办和安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《网络安全等级保护基本要求》一个标准。等保1.0标准更偏重于对于防护的要求,而等保2.0标准更适应当前网络安全角势的发展,结合《网安法》中对于持续监测、威胁情报、快速响应类的要求提出了具体的落地措施。
‘贰’ 网管的总结报告
一、个人岗位主要职责
主要工作职责:协助杨主任做好运维部工作,兼任网管监控中心管理工作;1、负责每日24小时网络监控;2、管理网管监控中心日常生产工作;3、定期分析网络运行质量及业务响应工作情况并进行考核;4、负责电路调度及考核工作;5、网间通信质量管理,协调处理有关互联互通重大、疑难问题;6、网间业务码号开放管理;7、组织落实交换专业的日常维护工作,制订维护作业计划;8、制订交换专业应急调度预案,落实各项网络安全措施,确保交换专业网络的稳定运行;9、负责交换专业的技术支撑工作,确保网络安全运行。
二、个人岗位量化指标
(一)交换专业
主要工作任务:1、加强网络运行分析,合理优化网络,提高网络运行质量;2、组织落实各类数据统计、报表上报工作。管控数据及标准:1、合理组织安排交换网络调度;
2、落实应急调度预案,降低障碍处理时间,确保S1/2类故障,处理时限应不超过4小时;3、省公司考核:交换方面,长途电话网网络接通率≥97;本地来话接通率≥98;本地去话接通率≥97;4、省公司考核:网间信令数据传送准确率达到95以上;5、报表上报及时率100%。
(二)互联互通
主要工作:进一步提高互联互通网络运行质量,协调处理网间不规范主叫和异常话务问题。
1、负责协调处理本地网网间通信障碍;2、负责网间扩容改造协调(中继增开、交换机扩容等);3、网间业务码号开放管理。
管控数据及标准:根据管理局规定:要求网间话务传送每小时不规范主叫次数不大于50次。1、一般障碍处理,处理沟通时限为24小时,如超时未解决或对方没有对障碍原因进行书面回复时,上报省公司处理;2、重大事故后4小时内口头上报省公司,24小时内做出简要书面报告,事故处理结束后的5日内做出专题书面报告。3、在进行网间扩容改造时应视改造内容提前通知相关运营商,并做好网间应急预案;4、网间中继扩容因符合信产部相关技术标准(公用电信网间互联中继电路扩容技术要求)。5、按省公司要求:每月5日前完成报表上报工作。6、根据码号开放文件规定按时开放码号。(三)网管监控
主要工作:1、组织电路故障处理、派发、指挥调度,收集故障分析报告。2、组织电路调度、测试、开通测试报告收集。3、根据市场部的要求提供资源满足情况和投资需求。
管控数据及标准:1、制订并严格贯彻执行各类管理制度;2、故障处理及时;3、分析认真,及时提交报告和报表;4、电路调度准确合理,开通及时;5、响应大客户中心的方案和重保需求。
三、上半年指标完成情况
1、完成交换专业各项维护作业计划,完成上半年网络运行质量分析材料汇总上报。
2、完成各交换设备扩容、局数据修改,日常故障处理工作,完成了省公司上半年的各项考核指标。3、定期进行本网固话用户话务流量,IP电话业务流量分析,用户模块端口占用率分析,动态对全区模块进行资源调度,提高了模块端口占用率。4、分析完成了112用户故障数据的统计工作,通过详细的故障用户数据分析,用户故障类型统计,强化相关的故障处理流程,有效降低了故障历时,减少了用户的投诉数量。4、节前积极进行各交换设备巡检、故障排查工作,消除了节日期间的故障隐患,定时对各局向话务进行采集分析,对话务量接近门限值的局向作动态跟踪,及时通过增开电路来疏通话务。5、完成07年交换专业应急调度预案修订及本地网互联互通应急转接预案制订,确保了长途、本地网络节日期间高效、稳定的运行。6、制定实施技术方案5个,累计完成省公司各项报表92份,调单40项,反馈及时率99。7、制订完成本地网码号升位方案和工作计划,完善升位前相关信息的统计与采集分析,顺利完成全省升位演练配合工作。8、加强了与各运营商的沟通,节前与其它运营商商讨网间话务疏通应急预案,并及时对网间话务进行测算,对高话务量的网间中继与对方进行积极的协调与沟通及时增开电路,确保了网间通信正常。9、配合完成中兴第二关口局建设、本地调测及初验,完成第二关口局设备交换组网方案制定,配合了网间传输第二路由构建协谈。10、春节后对于电信拦截我方码号的情况进行积极处理,及时加强相关的观察与信令跟踪,掌握证据,上报省公司电信封堵码号情况表并提供拨测表,保持与电信进行不断的沟通、协商、处理。11、退租了1条高港长江导航处联通公司的2M电路,6条广电2M电路以及1条电信16900互联网电路,及时核实了我方资源,减少了租用资源,节约了公司运维成本。
四、上半年管理工作主要成绩
协助主任工作,量化落实运维部思路,使各项管理规范化、制度化。1、在做好日常监控管理、网络优化的基础上,较好的完成了一季度的维护工作。
2、认真履行中心的工作职责,尽一步完善了中心各项规章制度。3、加强了值班制度、交接班制度、机房管理制度的执行,对违规行为适度进行考核。4、制定了机房卫生值日制度并下发执行。5、对仓库物品整理归类,各专业的备品备件、仪器仪表进行了整理,补全了各项台帐。
五、目前工作中存在的主要问题
1、个人技术水平及管理水平有待进一步提高;2、中心的凝聚力和创新力还不够高,急需提高整体队伍的素质,加强人员的培训,提高中心人员的维护水平以及障碍处理能力。
六、下半年工作主要思路
1、进一步提高语音网络接通率;2、加强24小时网络监控工作;3、合理优化现有网络,提高现有网络质量;4、加强网管监控人员技术培训。
七、近期最重要的工作及工作思路
1、做好全网号码升位的准备工作,能顺利完成本次升位任务;2、盘活资源,合理利用网络资源;3、强化汛期24小时网络监控工作,保障全网网络安全。
1.本台帐作为企业安全管理基础台帐的范本,指导广大企业负责人、安全管理人员做好日常安全管理工作,留下安全管理痕迹。
2.本台帐所涉及的条款、表格是企业日常安全管理台帐资料最基本的要求,也是企业安全管理人员必须了解、日常安全管理必须做的台帐资料。
3.本台帐供企业负责人、安全管理人员以及特种设备维护管理人员使用。
4.本台帐将企业日常安全管理最基本的台帐资料划分成八个文件夹,企业可参考八个文件夹中的内容建立安全管理台帐,今后安监所将针对这八个文件夹内容的建立和完善情况开展企业安全管理台帐资料日常安全检查。
5.企业安全生产情况、安全管理难易程度各不相同,本台帐所涉及的条款、表格并不能涵盖安全管理台帐资料的全部,企业安全管理人员应根据企业自身安全生产特点,在本台帐的基础上逐步建立起完善的、适合本企业安全管理的台帐资料。
6.企业安全管理人员应认真负责,及时做好安全管理台帐资料的更新工作,确保企业安全管理规范,有序。
企业安全管理
基础台帐
文件夹一:安全生产责任制
一、营业执照
台帐资料:营业执照正、副本复印件;
二、安全生产许可证
台帐资料:安全生产许可证复印件
三、从事特种行业依法规定办理的相关证照
台帐资料:从事特种行业依法规定办理的相关证照复印件
四、安全生产责任制
台帐资料:
①企业各级、各部门安全生产责任制;
②作业人员岗位责任制
要求:企业制定各级(经理、副经理、车间主任、班组长等)、各职能部门(安全部、技术部、财务部等)安全生产责任制。
五、安全生产责任书
台帐资料:安全生产责任书
要求:
① 企业应在每年年初编制安全生产责任书并层层签订;
② 安全生产责任书一年一签;
③ 企业安全生产第一责任人与各级、各部门负责人,各部门与本部门员工层层签订安全生产责任书。
文件夹二:安全管理规章制度
一、安全生产管理网络
台帐资料:安全生产管理网络图
要求:
① 企业应建立企业安全管理体系网络图;
② 安全管理体系网络图应上墙;
二、安全生产规章制度
台帐资料:企业安全生产规章制度
要求:企业基本安全生产规章制度包括,安全生产教育培训制度,安全生产检查制度,事故隐患排查制度,安全生产投入保障制度,具有较大危险因素的生产经营场所、安全设施和设备管理制度,危险作业管理制度,职业安全卫生制度,劳动防护用品配备和管理制度,安全生产奖惩制度,安全生产事故报告和处理制度等。
三、安全生产操作规程
台帐资料:企业安全生产操作规程
要求:
① 各企业按照本企业岗位设置和生产情况制定相应的操作规程;
② 操作规程存档并上墙。
文件夹三:安全生产管理
一、安全生产例会
台帐资料:
① 安全生产会议签到表;
② 安全生产会议记录表
要求:
① 企业应定期召开安全生产会议(一月至少一次);
② 参会人员必须亲自签名,不得代签;
③ 安全生产会议记录表应按时记录,确保每次安全生产例会都有记录台帐。
二、特种设备安全管理
(一)特种设备注册登记、定期检测
台帐资料:
① 特种设备注册登记证明材料;
② 特种设备定期检测报告
要求:
① 特种设备使用前必须及时报镇安监所备案,注册登记后方能投入使用;
② 企业应掌握特种设备检验周期,对在用的特种设备定期申报检验。
(二)特种设备安全管理
台帐资料:
① 特种设备登记汇总表;
② 特种设备随机资料;
③ 特种设备定期检查维护表(锅炉使用情况定期检查表、压力容器使用情况定期检查表、电梯使用情况定期检查表、起重机械使用情况定期检查表、场(厂)内机动车辆使用情况定期检查表)
要求:
① 企业应汇总本企业特种设备,实时掌握特种设备的使用情况;
② 企业应为每一台特种设备建立单独的管理台帐,包括,特种设备注册登记证明材料,特种设备定期检测报告,特种设备随机资料(厂家提供),特种设备日常维护记录;
③ 企业应做好特种设备的日常维护,对特种设备进行安全检查,并及时记录台帐;
三、动火、动电作业票
台帐资料:
① 动火作业票;
② 动电作业票
要求:在有爆炸危险、易发生火灾的作业场所或重大危险源区域内动火和动电应执行动火、动电审批制度,进行作业交底、做好防范措施、落实专人监护方能作业。
四、安全奖惩台帐
台帐资料:安全生产奖惩管理台帐
文件夹四:职业安全卫生台帐
一、劳动防护用品管理
台帐资料:劳动防护用品发放记录表
要求:
① 企业应按规定发放劳动防护用品;
② 企业应做好劳动防护用品的发放记录,做到随发随记,实时掌握劳动防护用品发放情况。
二、职业安全卫生台帐
台帐资料:从业人员职业危害健康检查表
要求:
① 企业应在从业人员从事职业危害作业之前对其进行健康检查,在从业人员从事职业危害作业过程中定期对其进行健康检查,在从业人员结束职业危害作业时对其进行健康检查;
② 健康检查表全部复印作为从业人员健康档案存档;
③ 从业人员健康档案终生留档。
文件夹五:安全教育培训
一、安全教育培训计划
台帐资料:
① 安全教育培训计划表;
② 安全教育培训记录表
要求:企业应于年初制定本企业全年安全教育培训计划,按计划对从业人员进行安全教育培训,并建立本年度教育培训档案。
二、安全管理人员台帐
台帐资料:
① 安全管理人员名册;
② 主要负责人、分管安全负责人、安全员、危化品仓库保管员证件复印件
要求:
① 企业主要负责人、分管安全负责人、安全员、危化品仓库保管员必须参加资格培训后方能从事相应的生产经营活动;
② 企业从业人员超过五十人的应当配备符合规定的专职安全生产管理人员;
③ 安全管理人员应及时参加复训,确保证件在有效期内。
三、特种作业人员管理
台帐资料:
① 特种作业人员名册;
② 特种作业人员证件复印件
要求:
① 从事特种作业的人员必须参加资格培训后方能上岗;
② 特种作业人员必须定期进行特种作业操作证件的复审,确保证件在有效期内。
四、从业人员“三级”安全教育
台帐资料:从业人员三级安全教育卡
要求:
① 企业应对新进人员进行“三级”(公司级、车间级、班组级)安全教育,建立从业人员教育培训档案;
② 不经过“三级”安全教育的人员不得上岗。
五、“四新”教育培训
台帐资料:安全教育培训记录表
要求:
① 企业采用新工艺、新技术、新材料或使用新设备,必须对从业人员进行专门的教育培训;
② 参加安全教育培训人员必须当场亲自签到,并作为安全教育培训台帐资料保存;
③ 及时记录安全教育培训内容并保存。
文件夹六:安全检查和事故隐患排查
一、安全检查
台帐资料:
① 安全检查表;
② 整改反馈表
要求:
① 企业应定期开展安全检查(一月至少一次);
② 参检人员必须亲自签名,不得代签;
③ 安全检查完成后填写安全检查表,安全检查表原件由安全管理部门留存,复印件按检查表中责任部门(人)数量多少分别下发到责任人或其所在责任部门;
④ 责任人或责任部门负责人待整改完毕后填写整改反馈表,原件由责任部门留存,复印件交安全管理部门;
⑤ 安全管理部门接到整改反馈表后组织复查,复查合格并签字后,将安全检查表连同各责任部门上交的整改反馈表一起存档,作为安全检查台帐资料。
二、重大事故隐患
台帐资料:
① 重大事故隐患记录表;
② 重大事故隐患应急预案
要求:
① 定期进行安全检查,发现重大事故隐患及时记录;
② 整改时或因故未能及时进行整改的,应制定详细的整改计划和安全监控管理措施,确保不发生事故;
③ 对一时不能整改完毕的重大事故隐患,除采取临时措施减少隐患危害程度外,还应制定专门的应急预案。
文件夹七:应急救援预案及应急演练
台帐资料:
① 应急预案;
② 应急预案教育培训计划;
③ 应急预案教育培训表;
④ 应急预案演练记录表;
⑤ 应急预案演练评估报告
要求:
① 企业应制定并实施本企业生产安全事故应急救援预案;
② 应急救援预案应一年至少演练一次;
③ 应急预案演练前应组织参演人员进行教育培训,演练后应对演练情况及效果进行评估,编写评估报告,并对应急救援预案进行必要的修订。
文件夹八:事故调查处理台帐
台帐资料:
① 现场勘察、调查的情况记录、照片,伤情报告书或诊断、手术证明(复印件);
② 事故分析会记录;
③ 事故登记表。
‘肆’ 《网络安全法》对网络安全应急预案有哪些要求
《网络安全法》第25条规定:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病 毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
《网络安全法》第53条规定:国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。
负责关键基础信息设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。
网络安全应急预案应立足安全防护,加强预警,重点保护重要信息网络和关系社会稳定的重要信息系统, 在预防、监控、应急处理、应急保障等方面采取多种措施,构筑网络与信息安全保障体系。加强计算机信息网 络安全的宣传和教育,提高工作人员的信息安全意识。 要对机房、网络设备、服务器等设施定期开展安全检查, 密切关注互联网信息动态,及时获取充分而准确的信息, 跟踪研判,果断决策,迅速处置,最大限度地减少危害和影响。
希望可以帮到您,谢谢!
‘伍’ 网络安全法认为网络运营者的主要义务是什么
网络安全法认为网络运营者的主要义务是网络安全保护。
《网络安全法》是我国网络空间第一部基本大法,它强化了我国网络空间主权的战略意义与监管的范畴,其中第9条总括性地规定了网络运营者的网络安全义务。
同时,《网络安全法》第21条、第24条、第40—44条、第47条、48条、第49条,以及《刑法》第286条均对网络运营者的网络信息安全义务进行了规定。未来,网络网络运营者责任重大。
(5)网络安全应急演练记录表总结扩展阅读:
网络运营者,特别是大型互联网企业,拥有海量的用户,是网络社会最重要的节点,也是实施网络治理的关键主体。我国在网络政策上主张“谁接入,谁负责”、“谁运营,谁负责”,一直强调网络运营者的“主体责任”,要求网络运营者对其运营的网站和提供的网络产品和服务承担安全义务。
《网络安全法》则在法律层面将网络运营者的网络信息安全义务和责任法定化
‘陆’ 应急预案演练总结
我有我建议你到这里看看应急预案演练总结,之所以这里的应急预案演练总结比较全,其他地方的应急预案演练总结网,可能不如这里的应急预案演练总结全面,确定是
‘柒’ 网络安全处理过程
网络安全应急响应是十分重要的,在网络安全事件层出不穷、事件危害损失巨大的时代,应对短时间内冒出的网络安全事件,根据应急响应组织事先对各自可能情况的准备演练,在网络安全事件发生后,尽可能快速、高效的跟踪、处置与防范,确保网络信息安全。就目前的网络安全应急监测体系来说,其应急处理工作可分为以下几个流程:
1、准备工作
此阶段以预防为主,在事件真正发生前为应急响应做好准备。主要包括以下几项内容:制定用于应急响应工作流程的文档计划,并建立一组基于威胁态势的合理防御措施;制定预警与报警的方式流程,建立一组尽可能高效的事件处理程序;建立备份的体系和流程,按照相关网络安全政策配置安全设备和软件;建立一个支持事件响应活动的基础设施,获得处理问题必备的资源和人员,进行相关的安全培训,可以进行应急响应事件处理的预演方案。
2、事件监测
识别和发现各种网络安全紧急事件。一旦被入侵检测机制或另外可信的站点警告已经检测到了入侵,需要确定系统和数据被入侵到了什么程度。入侵响应需要管理层批准,需要决定是否关闭被破坏的系统及是否继续业务,是否继续收集入侵者活动数据(包括保护这些活动的相关证据)。通报信息的数据和类型,通知什么人。主要包括以下几种处理方法:
布局入侵检测设备、全局预警系统,确定网络异常情况;
预估事件的范围和影响的严重程度,来决定启动相应的应急响应的方案;
事件的风险危害有多大,涉及到多少网络,影响了多少主机,情况危急程度;
确定事件责任人人选,即指定一个责任人全权处理此事件并给予必要资源;
攻击者利用的漏洞传播的范围有多大,通过汇总,确定是否发生了全网的大规模入侵事件;
3、抑制处置
在入侵检测系统检测到有安全事件发生之后,抑制的目的在于限制攻击范围,限制潜在的损失与破坏,在事件被抑制以后,应该找出事件根源并彻底根除;然后就该着手系统恢复,把所有受侵害的系统、应用、数据库等恢复到它们正常的任务状态。
收集入侵相关的所有资料,收集并保护证据,保证安全地获取并且保存证据;
确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据和应用服务;
通过对有关恶意代码或行为的分析结果,找出事件根源明确相应的补救措施并彻底清除,并对攻击源进行准确定位并采取措施将其中断;
清理系统、恢复数据、程序、服务,把所有被攻破的系统和网络设备彻底还原到正常的任务状态。
4、应急场景
网络攻击事件:
安全扫描攻击:黑客利用扫描器对目标进行漏洞探测,并在发现漏洞后进一步利用漏洞进行攻击;
暴力破解攻击:对目标系统账号密码进行暴力破解,获取后台管理员权限;
系统漏洞攻击:利用操作系统、应用系统中存在漏洞进行攻击;
WEB漏洞攻击:通过SQL注入漏洞、上传漏洞、XSS漏洞、授权绕过等各种WEB漏洞进行攻击;
拒绝服务攻击:通过大流量DDOS或者CC攻击目标,使目标服务器无法提供正常服务;
信息破坏事件:
系统配置遭篡改:系统中出现异常的服务、进程、启动项、账号等等;
数据库内容篡改:业务数据遭到恶意篡改,引起业务异常和损失;
网站内容篡改事件:网站页面内容被黑客恶意篡改;
信息数据泄露事件:服务器数据、会员账号遭到窃取并泄露.
‘捌’ 网络安全应急响应的网络安全应急响应做什么
应急响应的活动应该主要包括两个方面:
第一、未雨绸缪,即在事件发生前事先做好准备,比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施;
第二、亡羊补牢,即在事件发生后采取的措施,其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人,也可能来自系统,不如发现事件发生后,系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。
以上两个方面的工作是相互补充的。首先,事前的计划和准备为事件发生后的响应动作提供了指导框架,否则,响应动作将陷入混乱,而这些毫无章法的响应动作有可能造成比事件本身更大的损失;其次,事后的响应可能发现事前计划的不足,吸取教训,从而进一步完善安全计划。因此,这两个方面应该形成一种正反馈的机制,逐步强化组织的安全防范体系。