網絡安全應急響應演練方案
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全應急響應演練方案范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡安全應急響應演練方案范文第1篇
一、大型醫院網絡安全管理工作要點
(一)安全規劃為了能夠使信息化建設順利開展,醫院必須要制定好全年的安全管理規劃。在制定計劃之前應該對國家剛剛出臺的法律法規進行充分了解,例如十三五規劃以及網絡安全法中所提出來的信息安全要求以及戰略,進一步制定有利于區域醫聯體,互聯網醫療,互聯網互通信共享平臺醫等網絡安全互聯策略,將相關的安全區域以及規則進行合理劃分。另外醫院還要對過去一年有關安全保護的措施進行整理,同時要對上級部門的檢查結果進行適當的經驗總結,根據已經發生的問題制定整改計劃,其中主要包括本年度應該實行的長期整改方案以及完成工作的時間節點,有利于保證醫院的安全建設計劃更加清晰有效。
(二)制度修訂與落實根據具體的整改和安全計劃制定醫院的安全管理制度,還要對當前已經實行的制度進行不定期的調整和審察。根據醫院對實際發展情況的需求對其進行改善,最終由安全管理委員會對相關制度進行進一步的修訂評審,完成之后需要通過信息中心進行信息的傳遞和,讓在醫院工作的所有人員都能夠深刻了解具體安全管理的內容以及審批流程,這樣可以有效地提高醫院信息中心技術工作人員對操作的深刻了解。另外還可以對制度配套的記錄單據以及審批過程進行進一步優化,保障網絡準入、物理變更、人員管理、權限分配、數據統計等信息安全保護要求。
(三)安全培訓要想進一步保證醫院網絡安全管理工作的落實,必須要對相關的工作人員進行安全意識的培訓,在醫院信息安全培訓制度的引導下制定適合工作人員的培訓計劃,針對進修醫師臨床管理人員和新入職的員工要每年培訓一次,同時在培訓過程當中還要進一步強調密碼安全、防病毒知識、風險上報等意識。對于信息技術人員來說,必須要要進行每年2~4次的技術以及安全意識培訓。其中網絡或者機房軟硬件變更后,所掌握的故障以及問題處理和排查方式需要由培訓中心提出,在進行安全意識培養的過程當中,主要內容是強化信息技術人員的職業道德意識。所有的安全培訓過程都必須要實時準確的記錄下來。
二、大型醫院網絡安全運維工作要點
大型醫院的網絡安全區域不可以只依靠一種防護措施,必須要進行差異性的防護,在內外網布置多臺的安全設備,同時也要做好安全防護政策,在進行安全防護的時候,大型醫院的網絡安全設備比較多,安全策略需要及時調整,而且信息系統業務也比較復雜,所以必須要對相關環節進行實時監控,定期優化和巡檢,保證醫院網絡安全防護手段能夠始終發揮作用,從而有效的防控風險。
(一)安全巡檢信息網絡中心工作中,必須要做好巡檢規范的書面文字記錄,可以根據醫院的安全管理制度做好記錄,同時安排好工作人員的排班情況,每日都要對機房內設備環境數據庫狀態以及備份情況進行檢查,同時還要將檢查的結果記錄下來,如果出現潛在風險,必須要及時反饋給管理人員進行解決。網絡管理員還要通過現場巡視以及監控平臺的方法對網絡設備進行巡檢,主要是對本地和異地所涉及到的備份內容進行驗證和檢查,特別是在非工作日以及節假日期間對重點設備進行備份,保證醫院在全年任何時間段都可以正常運轉。
(二)設備優化保證安全規劃管理正常運行的基礎上,要對網絡安全設備以及儲存設備進行優化,而且還要對磁盤陣列的CPU服務器以及內存存儲空間進行適當地擴充,對于一些老化的線路和老舊的網絡設備要及時更換,盡量延長網絡設備的壽命,保證醫院網絡能夠穩定應用。針對醫院內網中的安全區間以及防火墻的策略以及性能要進行及時檢查,以免影響工作,及時管理好網串聯鏈路上的單點設備,保證互聯網業務內外網之間的聯系通暢。
(三)安全監控與加固安全設備部署以及網絡安全防護工作需要對各類安全風險監控進行加強和管理,可以通過惡意代碼防護系統以及防毒墻來控制網絡病毒風險,出現了新型病毒需要及時關閉終端高危端口,并對服務器的防病毒系統進一步升級,保證在發現病毒之后能夠及時的查殺。最后還要對出現的高危風險以及漏洞進行總結,制定相應的修復方案以及安全策略,保證在不影響醫院業務運行的同時增強對防護系統的管理。
網絡安全應急響應演練方案范文第2篇
為了貫徹國家對信息系統安全保障工作的要求以及等級化保護堅持“積極防御、綜合防范”的方針,需要全面提高信息安全防護能力。貴州廣電網絡信息系統建設需要進行整體安全體系規劃設計,全面提高信息安全防護能力,創建安全健康的網絡環境,保護國家利益,促進貴州廣電網絡信息化的深入發展。
1安全規劃的目標和思路
貴州廣電網絡目前運營并管理著兩張網絡:辦公網與業務網;其中辦公網主要用于貴州廣電網絡各部門在線辦公,重要的辦公系統為OA系統、郵件系統等;業務網主要提供貴州廣電網絡各業務部門業務平臺,其中核心業務系統為BOSS系統、互動點播系統、安全播出系統、內容集成平臺以及寬帶系統等。
基于對貴州廣電網絡信息系統的理解和國家信息安全等級保護制度的認識,我們認為,信息安全體系是貴州廣電網絡信息系統建設的重要組成部分,是貴州廣電網絡業務開展的重要安全屏障,它是一個包含貴州廣電網絡實體、網絡、系統、應用和管理等五個層面,包括保護、檢測、響應、恢復四個方面,通過技術保障和管理制度建立起來的可靠有效的安全體系。
1.1設計目標
貴州廣電網絡就安全域劃分已經進行的初步規劃,在安全域整改中初見成效,然而,安全系統建設不僅需要建立重要資源的安全邊界,而且需要明確邊界上的安全策略,提高對核心信息資源的保護意識。貴州廣電網絡相關安全管理體系的建設還略顯薄弱,管理細則文件亟需補充,安全管理人員亟需培訓。因此,本次規劃重點在于對安全管理體系以及目前的各個業務系統進行了全面梳理,針對業務系統中安全措施進行了重點分析,綜合貴州廣電網絡未來業務發展的方向,進行未來五年的信息安全建設規劃。
1.2設計原則
1.2.1合規性原則
安全設計要符合國家有關標準、法規要求,符合廣電總局對信息安全系統的等級保護技術與管理要求。良好的信息安全保障體系必然是分為不同等級的,包括對信息數據保密程度分級,對用戶操作權限分級,對網絡安全程度分級(安全子網和安全區域),對系統實現結構的分級(應用層、網絡層、鏈路層等),從而針對不同級別的安全對象,提供全面、可選的安全技術和安全體制,以滿足貴州廣電網絡業務網、辦公網系統中不同層次的各種實際安全需求。
1.2.2技管結合原則
信息安全保障體系是一個復雜的系統工程,涉及人、技術、操作等要素,單靠技術或單靠管理都不可能實現。因此,必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。
1.2.3實用原則
安全是為了保障業務的正常運行,不能為了安全而妨礙業務,同時設計的安全措施要可以落地實現。
1.3設計依據
1.3.1“原則”符合法規要求
依據《中華人民共和國計算機信息系統安全保護條例K國務院147號令)、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[20〇3]27號)、《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)、《信息安全等級保護管理辦法》(公通字[2007]43號)和GB/T22240-2009《信息安全技術信息系統安全等級保護定級指南》、GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》、《廣播電視安全播出管理規定》(廣電總局62號令)、GDJ038-CATV|有線網絡。
2011《廣播電視播出相關信息系統等級保護基本要求》,對貴州省廣播電視相關信息系統安全建設進行規劃。
1.3.2“策略”符合風險管理
風險管理是基于“資產-價值-漏洞-風險-保障措施”的思想進行保障的。風險評估與管理的理論與方法已經成為國際信息安全的標準。
風險管理是靜態的防護策略,是在對方攻擊之前的自我鞏固的過程。風險分析的核心是發現信息系統的漏洞,包括技術上的、管理上的,分析面臨的威脅,從而確定防護需求,設計防護的措施,具體的措施是打補丁,還是調整管理流程,或者是增加、增強某種安全措施,要根據用戶對風險的可接受程度,這樣就可以與安全建設的成本之間做一個平衡。
1.3.3“措施”符合P2DR模型
美國ISS公司(IntemetSecuritySystem,INC)設計開發的P2DR模型包括安全策略(Policy)、檢測(Detection)、防護(Protection)和響應(Response)四個主要部分,是一個可以隨著網絡安全環境的變化而變化的、動態的安全防御系統。安全策略是整個P2DR模型的中樞,根據風險分析產生的安全策略描述了系統中哪些資源要得到保護,以及如何實現對它們的保護等,策略是模型的核心,所有的防護、檢測和響應都是依據安全策略實施的。
檢測(Detection)、防護(Protection)和響應(Response)三個部分又構成一個變化的、動態的安全防御體系。P2DR模型是在整體的安全策略的控制和指導下,在綜合運用防護工具(如防火墻、身份認證、加密等)的同時,利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統的安全狀態,通過適當的反應將系統調整至“最安全”和“風險最低”的狀態,在安全策略的指導下保證信息系統的安全[3]。
1.4安全規劃體系架構
在進行了規劃“原則”、“策略”、“措施”探討的基礎上,我們設計貴州廣電網絡的安全保障體系架構為“一個中心、兩種手段”。
“一個中心”,以安全管理中心為核心,構建安全計算環境、安全區域邊界和安全通信網絡,確保業務系統能夠在安全管理中心的統一管控下運行,不會進入任何非預期狀態,從而防止用戶的非授權訪問和越權訪問,確保業務系統的安全。
“兩種手段”,是安全技術與安全管理兩種手段,其中安全技術手段是安全保障的基礎,安全管理手段是安全技術手段真正發揮效益的關鍵,管理措施的正確實施同時需要有技術手段來監管和驗證,兩者相輔相成,缺一不可。
2安全保陳方案規劃
2.1總體設計
貴州廣電網絡的安全體系作為信息安全的技術支撐措施,分為五個方面:
邊界防護體系:安全域劃分,邊界訪問控制策略的部署,主要是業務核心資源的邊界,運維人員的訪問通道。
行為審計體系:通過身份鑒別、授權管理、訪問控制、行為曰志等手段,保證用戶行為的合規性。
安全監控體系:監控網絡中的異常,維護業務運行的安全基線,包括安全事件與設備故障,也包括系統漏洞與升級管理。
公共安全輔助:作為整個網絡信息安全的基礎服務系統,包括身份認證系統、補丁管理系統以及漏洞掃描系統等。
IT基礎設施:提供智能化、彈能力的基礎設施,主要的機房的智能化、服務器的虛擬化、存儲的虛擬化等。
2.2安全域劃分
劃分安全域的方法是首先區分網絡功能區域,服務器資源區、網絡連接區、用戶接入區、運維管理區、對外公共服務區;其次是在每個區域中,按照不同的安全需求區分不同的業務與用戶,進一步劃分子區域;最后,根據每個業務應用系統,梳理其用戶到服務器與數據庫的網絡訪問路徑,通過的域邊界或網絡邊界越少越好。
Z3邊界防護體系規劃
邊界包括網絡邊界、安全域邊界、用戶接口邊界(終端與服務器)、業務流邊界,邊界上部署訪問控制措施,是防止非授權的“外部”用戶訪問“里面”的資源,因此分析業務的訪問流向,是訪問控制策略設計的依據。
2.3.1邊界措施選擇
在邊界上我們建議四種安全措施:
1.網絡邊界:與外部網絡的邊界是安全防護的重點,我們建議采用統一安全網關(UTM),從網絡層到應用層的安全檢測,采用防火墻(FW)部署訪問控制策略,采用入侵防御系統(IPS)部署對黑客入侵的檢測,采用病毒網關(AV)部署對病毒、木馬的防范;為了方便遠程運維工作,與遠程辦公實施,在網絡邊界上部署VPN網關,對遠程訪問用戶身份鑒別后,分配內網地址,給予限制性的訪問授權。Web服務的SQL注入、XSS攻擊等。
3.業務流邊界:安全需求等級相同的業務應用采用VLAN隔離,采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離,防止二層廣播,通知可以在發現安全事件時,開啟不同子域的安全隔離。
4.終端邊界:重點業務系統的終端,如運維終端,采用終端安全系統,保證終端上系統的安全,如補丁的管理、黑名單軟件管理、非法外聯管理、移動介質管理等等。
2.3.2策略更新管理
邊界是提高入侵者的攻擊“門檻”的,部署安全策略重點有兩個方面:一是有針對性。允許什么,不允許什么,是明確的;二是動態性。就是策略的定期變化,如訪問者的口令、允許遠程訪問的端口等,變化的周期越短,給入侵者留下的攻擊窗口越小。
2.4行為審計體系規劃
行為審計是指對網絡用戶行為進行詳細記錄,直接的好處是可以為事后安全事件取證提供直接證據,間接的好處乇兩方面:對業務操作的日志記錄,可以在曰后發現操作錯誤、確定破壞行為恢復時提供操作過程的反向操作,最大程度地減小損失;對系統操作的日志記錄,可以分析攻擊者的行為軌跡,從而判斷安全防御系統的漏洞所在,亡羊補牢,可以彌補入侵者下次入侵的危害。
行為審計主要措施包括:一次性口令、運維審計(堡壘機)、曰志審計以及網絡行為審計。
2.5安全監控體系規劃
監控體系不僅是網絡安全態勢展示平臺,也是安全事件應急處理的指揮平臺。為了管理工作上的方便,在安全監控體系上做到幾方面的統一:
1.運維與安全管理的統一:業務運維與安全同平臺管理,提高安全事件的應急處理速度。
2.曰常安全運維與應急指揮統一:隨時了解網絡上的設備、系統、流量、業務等狀態變化,不僅是日常運維發現異常的平臺,而且作為安全事件應急指揮的調度平臺,隨時了解安全事件波及的范圍、影響的業務,同時確定安全措施執行的效果。
3.管理與考核的統一:安全運維人員的工作考核就是網絡安全管理的曰常工作與緊急事件的處理到位,在安全事件的定位、跟蹤、處理過程中,就體現了安全運維人員服務的質量。因此對安全運維平臺的行為記錄就可以為運維人員的考核提供一線的數據。
安全監控措施主要包括安全態勢監控以及安全管理平臺,2.6公共安全輔助系統
作為整個網絡信息安全的基礎服務系統,需要建設公共安全輔助系統:
1.身份認證系統:獨立于所有業務系統之外,為業務、運維提供身份認證服務。
2.補丁管理系統:對所有系統、應用的補丁進行管理,對于通過測試的補丁、重要的補丁,提供主動推送,或強制執行的技術手段,保證網絡安全基線。
3.漏洞掃描系統:對于網絡上設備、主機系統、數據庫、業務系統等的漏洞要及時了解,對于不能打補丁的系統,要確認有其他安全策略進行防護。漏洞掃描分為兩個方面,一是系統本身的漏洞,二是安全域邊界部署了安全措施之后,實際用戶所能訪問到的漏洞(滲透性測試服務)。
2.7IT基礎設施規劃
IT基礎設施是所有網絡業務系統服務的基礎,具備一個優秀的基礎架構,不僅可以快速、靈活地支撐各種業務系統的有效運行,而且可以極大地提高基礎IT資源的利用率,節省資金投入,達到環保的要求。
IT基礎設施的優化主要體現在三個方面:智能機房、服務器虛擬化、存儲虛擬化。
3安全筐理體系規劃
在系統安全的各項建設內容中,安全管理體系的建設是關鍵和基礎,建立一套科學的、可靠的、全面而有層次的安全管理體系是貴州省廣播電視信息網絡股份有限公司安全建設的必要條件和基本保證。
3_1安全管理標準依據
以GBAT22239-2008《信息安全技術信息系統安全等級保護基本要求》中二級、三級安全防護能力為標準,對貴州廣電網絡安全管理體系的建設進行設計。
3.2安全管理體系的建設目標
通過有效的進行貴州廣電網絡的安全管理體系建設,最終要實現的目標是:采取集中控制模式,建立起貴州廣電網絡完整的安全管理體系并加以實施與保持,實現動態的、系統的、全員參與的、制度化的、以預防為主的安全管理模式,從而在管理上確保全方位、多層次、快速有效的網絡安全防護。
3.3安全管理建設指導思想
各種標準體系文件為信息安全管理建設僅僅提供一些原則性的建議,要真正構建符合貴州廣電網絡自身狀況的信息安全管理體系,在建設過程中應當以以下思想作為指導:“信CATV丨有線網絡息安全技術、信息安全產品是信息安全管理的基礎,信息安全管理是信息安全的關鍵,人員管理是信息安全管理的核心,信息安全政策是進行信息安全管理的指導原則,信息安全管理體系是實現信息安全管理最為有效的手段。”
3.4安全管理體系的建設具體內容
GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》(以下簡稱《基本要求》)對信息系統的安全管理體系提出了明確的指導和要求。我們應以《基本要求》為標準,結合目前貴州廣電網絡安全管理體系的現狀,對廣電系統的管理機構、管理制度、人員管理、技術手段四個方面進行建設和加強。同時,由于信息安全是一個動態的系統工程,所以,貴州廣電網絡還必須對信息安全管理措施不斷的加以校驗和調整,以使管理體系始終適應和滿足實際情況的需要,使貴州廣電網絡的信息資產得到有效、經濟、合理的保護。
貴州廣電網絡的安全管理體系主要包括安全管理機構、安全管理制度、安全標準規范和安全教育培訓等方面。
通過組建完整的信息網絡安全管理機構,設置安全管理人員,規劃安全策略、確定安全管理機制、明確安全管理原則和完善安全管理措施,制定嚴格的安全管理制度,合理地協調法律、技術和管理三種因素,實現對系統安全管理的科學化、系統化、法制化和規范化,達到保障貴州廣電網絡信息系統安全的目的。
3.5曰常安全運維3.5.1安全風險評估
安全風險評估是建立主動防御安全體系的重要和關鍵環節,這環的工作做好了可以減少大量的安全威脅,提升整個信息系統的對網絡災難的免疫能力;風險評估是信息安全管理體系建立的基礎,是組織平衡安全風險和安全投入的依據,也是信息安全管理體系測量業績、發現改進機會的最重要途徑。
3.5.2網絡管理與安全管理
網絡管理與安全管理的主要措施包括:出入控制、場地與設施安全管理、網絡運行狀態監控、安全設備監控、安全事件監控與分析、提出預防措施。
3.5.3備份與容災管理
貴州廣電網絡主要關鍵業務系統需要雙機本地熱備、數據離線備份措施;其他相關業務應用系統需要數據離線備份措施。
3.5.4應急響應計劃
通過建立應急相應機構,制定應急響應預案,通過建立專家資源庫、廠商資源庫等人力資源措施,通過對應急響應有線網絡ICATV預案不低于一年兩次的演練,可以在發生緊急事件時,做到規范化操作,更快的恢復應用和數據,并最大可能的減少損失
3.6安全人員管理
信息系統的運行是依靠在各級黨政機構工作的人員來具體實施的,他們既是信息系統安全的主體,也是系統安全管理的對象。所以,要確保信息系統的安全,首先應加強人事安全管理。
安全人員應包括:系統安全管理員、系統管理員、辦公自動化操作人員、安全設備操作員、軟硬件維修人員和警衛人員。
其中系統管理員、系統安全管理員必須由不同人員擔當。3.7技術安全管理
主要措施包括:軟件管理、設備管理、備份管理以及技術文檔管理。
4安全規劃分期建設路線
信息安全保障重要的是過程,而不一定是結果,重要的是安全意識的提高,而不一定是安全措施的多少。因此,信息安全建設也應該從保障業務運營為目標,提高用戶自身的安全意識為思路,根據業務應用的模式與規模逐步、分階段建設,同時還要符合國家與廣電總局關于等級保護的技術與管理要求。
4.1主要的工作內容
根據安全保障方案規劃的設計,貴州廣電網絡的信息安全建設分為如下幾個方面的內容:
1.網絡優化改造:主要是安全域的劃分,網絡結構的改造。
2.安全措施部署:邊界隔離措施部署,行為審計系統部署、安全監控體系部署。
3.基礎設施改造:主要是數據大集中、服務器虛擬化、存儲虛擬化。
4.安全運維管理:信息安全管理規范、日常安全運維考核、安全檢查與審計流程、安全應急演練、曰常安全服務等。
4.2分期建設規劃
4_2.1達標階段(2015-2017)
1.等保建設
2.信任體系:網絡審計、運維審計、日志審計
3.身份鑒別(一次口令)
4.監控平臺:入侵檢測、流量監測、木馬監測
5.安全管理平臺建設
6.等保測評通過(2級3級系統)
7.安全服務:建立定期模式
8.滲透性測試服務(外部+內部)
9.安全加固服務,建立服務器安全底線
10.信息安全管理
11.落實安全管理細則文件制定
12.落實安全運維與應急處理流程
13.完善IT服務流程,建設安全運維管理平臺
14.定期安全演練與培訓
4.2.2持續改進階段(2018?2019)
1.等保建設
2.完善信息安全防護體系
3.提升整體防護能力
4.深度安全服務
5.有針對性安全演練,協調改進管理與技術措施
6.源代碼安全審計服務(新上線業務)
7.信息安全管理
8.持續改進運維與應急流程與制度,提高應急反應能力
9.提高運維效率,開拓運維增值模式
5結東語
網絡安全應急響應演練方案范文第3篇
一、征管信息系統運行的有條件性和應急管理
CTAIS2.0江蘇優化版綜合征管系統是支撐我省國稅部門稅收征管工作運轉的基礎性業務處理平臺,也是各類外掛系統(網上申報系統、電話申報系統、網上認證系統、一窗式票表比對系統、稅銀庫聯網系統等)進行信息交換的重要依托。我們認為,征管信息系統的正常運行依賴于外部運行環境、內部運維管理和硬件設備自身的穩定性三大類因素,這三大因素的有條件性就構成了征管系統正常運行的主要風險及其類型。
1、制約征管系統正常運行的外部因素
(1)電力供應和網絡連接。由于運營商的原因或雷擊等自然災害造成斷網、停電、電信故障,導致系統無法啟動運行。
(2)惡意攻擊導致系統運行故障。如黑客非法訪問和入侵系統,竊取口令、拒絕服務攻擊、越權訪問,假冒、篡改或刪除系統信息等。
(3)網絡病毒造成系統運行故障。
2、制約征管系統正常運行的內部因素
(1)系統運維的滯后。相關政策法規調整后,相應系統“補丁”下發及江蘇并版的滯后影響系統對部分征管業務的及時處理。
(2)網絡技術更新、業務流程的變更等。在進行升級和數據轉換時,可能會出現系統運轉緩慢甚至死機現象。
(3)內部人員的錯誤操作。這些錯誤包括缺乏數據安全和網絡安全意識,違反規定在工作機上瀏覽公共網站,未能按要求及時升級安全軟件和及時查、殺毒,部分系統用戶的密碼設置過于簡單、保密性差甚至公開化,使系統面臨被“合法”入侵的風險。
3、制約征管系統正常運行的硬件設備自身因素
這主要是指計算機、網絡等硬件設備在使用過程中出現的物理故障或由于網絡技術自身缺陷造成的軟件故障,以及計算機硬件設施提供的處理能力不足(如同一時間內集中的數據查詢等大規模的數據請求超過系統的承載能力)導致征管系統出現癱瘓、死機、信息交換遲緩甚至中斷等現象。
應該說,上述影響征管系統正常運行的因素是客觀存在的,這就意味著我們賴以開展工作的征管信息系統出現突發障礙的可能性也是客觀存在的,雖然其發生的概率不高,但決不應該被我們所忽視。
征管系統的故障,往往具有突然性、緊迫性、廣泛性、連續性和持久性等特點,通過技術維護消除系統障礙必然需要一定的時間,在這一時間段內,我們的征管工作的有序性會受到沖擊,其范圍可能是部分地區也可能是全省,其內容可能是部分業務也可能是全部業務,其持續時間可能較短也可能較長。因此,有必要建立應急機制,通過一系列的制度建設,使征管機構在面對系統故障時有高效的組織架構;通過不斷完善應急預案,使征管工作在面對系統故障時有可遵循的規范;通過必要的模擬演練,使征管人員在面對系統故障時有充分的心理和技術準備。
建立和運用這個機制的過程可稱為稅收征管應急管理(簡稱應急管理),定義為:面向征管信息系統可能或已經出現的突發故障,對稅收執法或納稅服務的全過程進行的預先或適時的控制,是稅收征收管理和信息化建設對信息系統突發故障的一種響應,是現階段稅收管理在這種突發故障背景下的理論延展。這一概念的內涵在于:應急管理重點是考察信息系統突發障礙對于征收管理的影響,并進行響應。開展應急管理,既是保障稅務機關依法履行職責的需要,也是提高服務能力、維護納稅人合法權益的需要,更是稅收征管和信息化建設不應或缺的內容。
二、應急管理的原則
應急管理所要規范的是一種特殊情況下的稅收征管活動,其根本目標是確保稅務機關在暫時失去征管信息系統支撐的情況下能夠依法履行職責,并向社會提有效率的納稅服務。據此,它應遵循以下原則:
1、分級分類管理
從縱向看,根據信息系統故障影響的地域范圍不同,可將應急響應分為三級,即全省范圍為一級,省轄市范圍為二級,縣(區)范圍為三級;從橫向看,根據信息系統故障影響的業務事項范圍的不同,可將應急響應分為三類,即影響所有業務操作的為一類,影響稅收執法和納稅服務的為二類,只影響內部管理事項的為三類。以省轄市級為例,當全市范圍內出現信息系統因故障不能支撐其接受納稅人電子申報時,即可由其本級決定啟動“二級二類”應急響應,并實施相應預案。
根據國稅機關稅收業務的特點及征管信息系統的實際,按照故障的可控性、對征管業務的影響程度、持續時間和影響的地域范圍等因素,將可能出現的信息系統故障及其影響作科學的分級和分類,有利于各級國稅機關“各就各位”開展應急管理,制定不同的預案,提高應急工作的針對性和效率,形成全省完備的應急體系。
2、規范執法
在應急狀態下,征管工作暫時失去了信息系統的制約,但稅收法制的要求不應降低,制定應急預案應堅持法制原則,實施具體的應急措施應確保規范操作。這里有兩層含義,一是面對納稅人的行政執法行為要規范,各類數據的采集要有依據,程序要合法;二是要滿足執法監督的需要,對應急狀態下由手工處理的征管業務,應制定各種相關的臺賬和表格,要求逐筆登記,便于系統恢復后的數據補錄。
3、服務優先
確保各級國稅機關的各項納稅服務措施不因征管信息系統的故障而中斷,確保納稅人到國稅機關辦理各類涉稅事項如稅務登記、資格認定、稅款申報、代開發票、購領發票等不因此而受到影響,是應急管理的主要目標。因此,預案的設置要體現服務優先的原則,一是要將處理涉及納稅人的涉稅事項作為預案的主要內容,使應急狀態給納稅人造成的影響減至最小;二是要在各基層單位預留必要的表、證、單、票等,確保應急狀態下的人工操作可以隨時響應;三是要以方便納稅人為主做好應急狀態下的辦稅場所的分布和設置,制定維護辦稅場所公共秩序的措施,堅決預防可能出現的等待、擁擠帶來不良事件。
4、協同高效
以流程為導向的CTAIS2.0江蘇優化版將征管活動的各個環節連接成一個有機的整體,當信息系統出現故障時,這種紐帶作用將暫時消失,在這種情況下,如何建立各工作部門、各工作環節及各工作人員之間必要的聯系,繼續保持征管工作的有序進行,是應急機管理所要實現的又一個目標。這就要求在應急狀態下,首先要有一個明確的指揮中心;其次,各部門及人員要有新的、不同于常態的職能定位;最后,還要制訂詳細的業務辦理流程。
三、應急管理的主要內容
從全省范圍來看,雖然也有部分地區開始涉及這項工作,但仍比較零散,更沒有形成全省統一的標準和體系。因此,在全省范圍內著手開展應急管理,既是應對潛在風險的現實工作的需要,也是完善我省國稅系統征管制度體系的需要。當前,主要應圍繞“一案二制”來開展這項工作,即制訂應急預案、建立管理體制、形成工作機制。
1、制訂科學的應急預案
這里的應急預案,是指各級國稅機關針對可能發生的稅收征管信息系統突發故障,為迅速、有效、有序地繼續履行法定職責、實施稅收執法和提供納稅服務而預先制定的方案。它是用以明確在信息系統突發故障的事前、事發、事中、事后的各個進程中,誰來做、怎樣做、何時做以及相應的資源和策略等的行動指南。
(1)預案體系的構成。按照分級分類的原則,首先,省局、市局和縣(區)局應分別制訂各自的預案,以應對不同地域范圍內的應急需要;其次,省局、市局和縣(區)局應根據信息系統可能的故障對涉稅事項影響的不同內容和緊迫性(如是否處于稅款申報期)制訂不同類型的預案,以適合不同的需要;最后,下級預案要以上級明確的要求和標準為依據,上級預案要以下級預案的內容為基礎,從而最終形成適應不同層級、針對不同問題、涵蓋所有業務、相互補充、有機協調的應急預案體系。
(2)預案的編制過程。如圖所示,我們將預案的編制過程分為三個階段:
第一階段:預案的準備
這是編制預案的前期工作階段:①成立預案編制小組;②收集資料,對影響信息系統正常運行的危險因素進行辨識、分析和評價;③對本級組織的應急能力與資源進行評估;④制定預案編制計劃。
第二階段:預案的編制
主要工作有:①按計劃編制預案;②預案的評審及修改;③本級領導批準并報上級機關備案。
第三階段:預案的演練(實施)與修訂
預案編寫完后的主要工作有:①宣傳;②培訓和演練(實施);③修訂和完善。
需要強調的是,管理學界認為,應急管理是一個獨立的理論體系,開展這項工作必須要掌握一些關鍵技術。因而,科學地編制預案,就不能僅僅立足于經驗、調研資料和主觀想象。應急管理的技術主要有魯棒計劃建模與求解、約束滿意決策、對應急系統初始狀態的處理、決策支持系統設計等,這里簡要介紹魯棒計劃的建模與求解。
魯棒性(robustness,健壯性)指控制系統在一定(結構,大小)的參數攝動下,維持某些性能的特性,它是在異常和危險情況下系統生存的關鍵。由于稅收管理也可被視為一個控制系統,因而盡管魯棒性一詞來源于工程技術領域,但將其擴展到稅收管理領域仍有益處。魯棒計劃包含兩個層次的含義,一是在突發事件發生之前所制訂的各項計劃和決策都應充分考慮環境的不確定性,制訂具有健壯性的計劃與決策,包括制訂應急預案;二是突發事件發生之后,采取的措施應能適應一定參數的變動范圍,采取的措施應盡可能在較大的參數波動范圍內有效。魯棒計劃的關鍵在于如何確定目標或約束函數,使最終得到的方案在參數擾動情況下滿足穩定性的要求。這里涉及到很多半結構、非結構性、非線性等問題,需要設計相應的算法進行模型求解。
(3)預案的主要內容
應急預案實際上是標準化的反應程序,以使應急工作能迅速、有序地按照計劃和最有效的步驟進行,它至少應包括以下內容要素:①監測:通過危險辨識,采用技術和管理手段掌握信息系統運行狀態,對事故發生的可能性進行預測;②響應:發生事故后,明確響應的原則、主體和程序,明確指揮協調、緊急處置的程序、部門和內容;③處置:一旦發生事故,具有應急處理的方法,能快速響應,履行法定職責,提供納稅服務;④保障:是指為保障應急處置的順利進行而采取的各種保證措施,包括足夠的辦稅人力、符合規范要求的辦稅文書及單證、必要的辦稅場所、秩序維護辦法、通訊與信息、社會溝通、技術支撐以及其他保障。⑤善后:是指應急狀態結束后,為使征管工作恢復常態所采取的一系列行動,包括文書歸檔,向信息系統補錄數據等。
2、建立高效的應急管理體制
根據稅收征管的屬地原則和征管信息系統的“省級數據集中”這一特點,應急管理以“省局主導、各級共管、綜合協調、分工負責”的體制為宜。
(1)省、市、縣局是管理主體。首先,省、市、縣局分別是本行政區域內應急工作的主體,各自制訂相關的制度、預案、決定進入應急工作狀態并對應急工作的后果負責。在這里,省局應承擔主導作用,制定全省統一的標準、要求,切實推動此項工作的開展;其次,下級局的應急管理必須以上級局的標準和要求為依據,上級局要將下級局的應急管理視為本級的有機組成部分;最后,應急狀態的進入由本級決定,但應及時報告上級局,上級局應從技術、物資和人力等方面給予支持。
(2)征管部門綜合協調。各級征管部門在應急管理中要承擔綜合協調任務,一是要建立應急管理制度、制訂應急預案、組織開展應急演練;二是在應急狀態下要協助領導落實預案,適時掌握和控制預案執行效果,確保征管工作有序進行;三是應急狀態結束后,負責督促文檔的歸集和系統數據的補充錄入。
(3)各個部門分工協作。在應急管理工作中,各部門都應樹立責任意識,稅政部門要明確應急狀態下的稅收業務工作標準;計統部門要提供應急狀態下需要手工填寫的表、證、單、書;宣傳部門要做好與社會輿論的溝通;其他還有做好應急狀態下的人力調配,將應急管理列為日常干部教育培訓的內容等等。
3、形成嚴密的工作機制
應急管理工作機制,就是要規范在信息系統突發故障的發生、發展、結束等整個過程中,應急工作的組織和各部門相互協作的工作方式。形成應急工作機制應從以下幾個方面入手:
(1)建立制度體系。這些制度的內容要涵蓋應急工作的組織指揮、應急狀態啟動和結束的審批程序、信息系統突發故障的報告、應急工作進展情況的通報、應急業務的指導、監督和檢查等應急管理的全過程。
(2)加大考核力度。應將應急管理列入各級各部門、特別是各級領導干部的崗位職責加以考核。對應急管理工作開展的好的地區要給予表彰,并及時總結經驗、加以推廣。對不按要求開展應急管理,特別是在應急狀態下組織不力、造成嚴重后果的,要追究責任。
網絡安全應急響應演練方案范文第4篇
第一部分:XX年工作總結
XX年在公司“效益質量年”的定位目標指導下,緊緊圍繞公司“加強管理、保證質量,降低成本、提高效益,深化改革、強化支撐”的網絡運維方針,確保網絡運行質量,加強了基礎管理、網絡優化、大客戶支撐以及安全生產等方面工作力度,積極開展降本增效活動,取得了一定的成績,現對全年工作總結如下。
一、加強基礎管理工作
我班組負責全區的網絡的維護、技術支持工作,為了更好的在數據網絡中開展各項數據業務和增值業務,我班組在中心的領導下嚴格落實省公司精細化管理的要求,按照“共識、細化、落實”的六字方針,堅持嚴格基礎管理工作,一年來,我班組堅持不斷完善客戶的資料工作、各種網絡設備以及大客戶的應急預案等各項基礎管理工作,特別是隨著三標一體以及內控工作的深入開展,更是要求我班組對擔負的各項工作必須有記錄,包括資料統計、障礙統計、網絡分析統計等,并且按照部門的各項規章制度和管理辦法,優化了各項工作流程,努力做到細化到人、優化到事、強化考核,確保提高員工工作效率,從管理中創造效益。
具體工作有:
1、按照維護規程嚴格執行各項維護作業計劃,結合內控,加大了對作業計劃、各種日志、記錄表格、安檢記錄等各項維護作業計劃和巡檢的檢查力度,保證內控審查可以順利通過,并根據實際工作需要不斷完善和更新相應的表格。
2、完善了對數據網絡各種統計維護資料并及時更新,保證基礎資料的準確性、完整性和及時性,安排專人制作了數據網絡資料庫程序并對該資料庫進行不斷完善和更新,特別對于光纖專線客戶和VPN客戶的資料管理,對涉及到的所有信息都在資料庫中均有詳細的體現。對全區的IP地址進行及時的備案并不斷完善IP地址管理系統,這些都為今年的全區IP地址優化工作打下了堅實的基礎。
3、為了更好地開展業務,理順流程,制定并完善了FTTX業務、基礎數據業務、VPN業務、數據設備維護等各種流程和基礎數據網、IP城域網的分析作業指導書,并結合內控和三標一體工作的要求對以上規范進行完善,并按照省運維文件的要求及時更新和調整各種數據網絡設備的應急預案,強化細化了應急預案的執行功效。
4、為了提高班組員工的綜合素質,我班組加強了對員工業務、技術、安全、保密、形勢教育等各方面的培訓,今年累計進行培訓32次,內容涵蓋業務、設備、維護經驗及本專業最新技術等,并組織培訓效果測試11次,取得了良好的效果,特別針對新員工,我班組制定了專門的培訓計劃并按照計劃進行實施,有力的提高全班員工的維護素質。
5、在公司及部門領導下,積極參于公司舉辦的數據專業維護規程及寬帶ADSL技能競賽,我中心取得了第一的優異成績,并且選派兩名技術骨干參加省公司組織的華為寬帶ADSL技能大賽,取得了全省三等獎的好成績。
6、配合網運部組織開展了多次對各縣公司及營銷中心的維護知識培訓,其中包括城域網交換機的培訓、ATM設備IP化改造的培訓等技術培訓,還安排專人去縣局進行現場講解,取得了良好的效果,提高了縣公司維護人員的綜合素質,為交換機權限下放打下了堅實的基礎。
7、為了達到內控的要求,我班組通過對***地區市內97個模塊局進行巡檢并在數據設備上粘貼了資產標簽,滿足了內控的要求。
二、強化維護手段,積極開展將本增效活動,積極優化網絡,發揮網絡最大效益
一年來,我中心維護工作未發生重大故障,各項考核指標均達標。其中省內考核互聯網時延≤40ms,實際為≤10ms;本地IP客戶考核接入認證平均響應時間≤8s,實際為≤3s;基礎數據網用戶電路考核故障修復及時率≥99%,實際為100%;數據設備考核故障修復及時率≥96%,實際為100%;大客戶業務考核響應及時率≥99%,實際為100%;考核電路開通及時率100%,實際為100%;重大障礙上報及時率為100%,圓滿地完成了上半年的各項維護指標。
1、通過充分利用現有的城域網網管,我中心加強了對網絡流量、設備利用率、日志及網絡安全的監控及分析,分析范圍由原來城域網幾臺設備擴大到整個城域網匯聚層以上設備,并新增了對ATM網絡流量的分析。結合網絡分析情況,及時地對網絡進行優化和調整,三月份新增城域網出口GE中繼一條,通過流量調整,緩解了城域網出口流量激增所帶來的壓力。由于寬帶Bras匯聚Ip上行設備的LPUK板卡和LPUH板卡接入客戶不同,***地區局下掛各縣寬帶客戶較多,***地區局下掛各縣寬帶客戶較少,通過將容量較大的LPUK板卡調整到***地區局,并將武安IP上行的寬帶客戶及時的調整到***地區BRAS,緩解了由于***寬帶客戶激增帶來的板卡利用率過高問題,保證了***方向寬帶業務的發展,隨后又對***地區Bras資源進行了適當均衡,使得全區Bras的資源得到了充分的利用。六月份對城域網核心層設備***地區局7609新增加一條至***地區方向的GE中繼,充分緩解了西部流量大的問題,通過安排專人對網絡中的各種設備定期觀察,及時地發現網絡中的安全隱患并給予解決,極大的保證了業務的順利開展。共3頁,當前第1頁1
2、配合網運部做好寬帶MA5300綁定用戶端口工作,截至目前全區主要縣市MA5300節點已實現用戶帳號及端口綁定。為了實現PPPOE+綁定測試,對全區MA5300設備的命名重新規范并進行命名更改,同時我中心***根據端口綁定工作的需要發明了小程序,使得帳號綁定可以實現批量操作,將幾十個人幾天的工作量壓縮到了一個人幾個小時就可以完成,從人力成本上起到了將本增效的作用。
3、對***地區路華為S8016交換機、華為S8512交換機及核心層7609路由器進行了升級打補丁操作,解決了由于客戶網絡攻擊及版本不穩定而可能造成系統瞬斷的隱患。并對華為UA5000寬帶設備進行統一升級,保證軟件版本的同一性。
4、在全省率先開展了華為UA5000和MA5300寬帶設備帳號和端口的綁定測試工作,并初步測試成功。由于我中心測試工作進展較早,所以省公司指定我公司和滄州分公司作為試點單位對各型號的BRAS和DSLAM進行測試,測試成功后將在全省進行推廣,通過測試為我公司下一步的寬帶賬號和端口綁定工作打下了堅實的基礎。
5、完成了城域網設備具備MPLS VPN條件的MPLS的部署。通過此次部署,我公司今后可以開展跨域的VPN業務,對市場部門開展新的業務起了有力的支撐。
8、實施了IP地址回收工作,
三、面向用戶、面向市場,做好
業務支撐
我班組按照部門一貫倡導的“維護就是經營”的大經營觀念,整個維護工作緊緊圍繞以效益中心,加強對客戶、對市場的支撐力度,全力作好后臺支撐工作。
2、逐步建立了金銀牌大客戶電路資料臺帳,并結合金牌大客戶使用數據電路的實際情況分別為其制作了客戶電路應急預案。為了實現大客戶等級化我中心安排對大客戶電路用不同顏色的插塞來進行識別;為了體現對大客戶單位的差異化服務,我班組定期對金牌大客戶進行巡檢,并按月制作大客戶單位的網絡運行報告。
3、在省公司網管中心指導配合下完成了對寬帶VPDN技術的測試工作,并對***地區市體彩大客戶利用該技術進行組網工作,涉及體彩客戶約300余戶。
4、全年為幾十個大客戶制作了大客戶電路接入方案,并到各個大客戶提供支撐數十次。配合大客戶服務部積極對教育局校校通客戶內網故障進行技術支持,并完成了多個校校通客戶VPN改IP專線的工作,尤其是對于***地區區電教站,我中心前后對該客戶進行了10余次技術支持。
5、面對福彩窄帶VPN客戶不斷增長的情況,我部積極協調設備維護中心,新增了窄帶A8010接入服務器至***地區、***地區匯接局中繼4條,滿足了客戶數量增長的需求。
6、為了及時了解縣公司以及各營銷中心寬帶維護情況,我中心安排專人到中華南營銷中心、***地區、***地區、***地區等縣分公司進行現場測試,并深入到客戶家中進行了解,掌握了全區客戶反映比較突出的問題并制定了相應的措施,取得了很好的效果。
7、全年網絡維護班組受理各類客戶技術咨詢上千次,受理縣市營銷人員技術問題達3000余次,強有力的支撐了前臺維護人員,由于機房人員服務水平高、服務態度熱情,深受廣泛的好評。為了保證增值業務的順利開展,班組在部門安排下多次派專人到各縣分公司和營銷中心進行現場技術培訓,通過多次的培訓,有力的支持了各營銷單位業務的順利開展。
四、抓緊安全生產,強化安全意識
一年來,我班組認真貫徹公司對安全生產工作的一系列指示精神,牢牢把握安全生產工作原則,堅持“安全第一、預防為主”的方針,認真落實各項安全措施,積極開展安全隱患整改,廣泛開展安全教育工作。
1、全年圓滿地完成了***地區局、***地區局、***地區局數據設備的安全整治工作,并配合完成了市內模塊局的整治工作,達到了安全生產的標準。
2、加大對員工的安全教育培訓,在職工中樹立“安全第一”的觀念。組織員工進行保密制度、交通安全、安全生、消防安全、防汛安全等安全教育達40余次,安全知識答題8次,配合部門進行消防演練4次,并根據根據班組的情況堅持每周一次安全培訓和每周一次安全檢查的制度。通過采取檢查、培訓及實際演練相結合的辦法,全面提高了員工的安全素質、安全意識和應變能力。在上半年生產樓電梯間著火事件中,我中心5名員工發現后按照消防要求及時向上級匯報并安全的將火撲滅,為公司挽回了損失。
4、加強了機房安全防火、防汛工作。始終把安全防火、防汛當作安全工作的重中之重,開展了經常性的安全檢查,要求班組員工熟練“四懂、四會”,熟練掌握初期火災撲救、防毒面具佩戴、消防水帶連接、滅火器等操作。
5、加強網絡設備巡檢,通過充分發揮IDS和掃描等網絡安全系統在漏洞掃描、入侵檢測等方面的作用,完善各項網絡安全管理制度,細化日常維護、權限管理、檢測分析和安全防范流程,有力地抵制了外界對網絡的各類攻擊。
第二部分:XX年年工作思路
XX年年我班組以內控工作為契機,不斷完善基礎管理制度,通過加強網絡安全檢測,健全綜合分析、安全管理、故障分析等制度,強化維護支撐和服務,優化網絡結構,強化網絡質量,提高網絡運行效率,提高維護效益,不斷加強安全生產管理工作,深入開展員工培訓教育,提高員工綜合素質,積極開展將本增效活動,不斷提高維護水平,保證各項生產指標。共3頁,當前第2頁2
1、結合內控工作和三標一體工作的開展,繼續按照維護規程嚴格執行各項維護作業計劃,加強基礎管理,完善部門管理制度,優化管理流程,簡化管理環節,努力實現部門維護工作效率最大化和效益的最大化,確保順利通過各項審查。
2、持續深入開展各種形勢的教育學習活動,為員工發展創造良好環境,鼓勵員工勤于思考,敢于創新,深入開展學習型班組,加強維護隊伍建設,提高維護人員的素質。
3、繼續科學管理網絡資源,提高網絡資源的利用率,做好資源分析預警工作,充分利用網絡的資源,使網絡資源的效益盡量最大化。繼續深入開展將本增效工作,從管理和技術入手,對現有設備進行優化和改造,有效地開展將本增效工作。
4、進一步完善各項應急預案,提高應急預案的可操作性。加強安全教育和應急演練,強化員工應急意識,提高全員應急操作能力。
5、積極配合計劃建設部工程建設。配合完成港灣設備替換工作和中華路機房搬遷工作。結合各項工程的建設,優化城域網的網絡結構,提高網絡健壯性,進一步完善城域網、基礎數據網等網絡的網絡監控工作,加強網絡運行狀況的分析,為業務發展提供有力支撐,繼續不斷對網絡進行優化調整,使網絡發揮最大效益,圓滿完成各項維護指標。
6、積極發揮網絡安全系統在漏洞掃描、入侵檢測等方面的作用,不斷完善各項網絡安全管理制度,細化日常維護、權限管理、監測分析及安全防范流程,預防外界對網絡的各類攻擊。
7、堅持以人為本,繼續作好安全生產工作,抓好行風建設,提供優質服務,為經營發展保駕護航。
8、加大市場支撐力度,為業務的順利開展保駕護航,進一步做好客戶響應及支撐工作,加強大客戶單位和光纖網吧等重要客戶的巡檢,提供差異化服務,在維護人員中樹立維護就是經營的服務理念,主動為客戶、市場提供服務,做好各項業務的測試、開通以及維護服務工作。
9、加大對企業轉型的支持力度,通過對網絡設備能力的深挖掘,抓住企業轉型的契機,使網絡不斷加大新業務的支撐力度,為企業的順利轉型提供有力的保障。
網絡安全應急響應演練方案范文第5篇
根據《基本要求》的規定,二級要求的系統防護能力為:信息系統具有抵御一般攻擊的能力,能防范常見計算機病毒和惡意代碼危害的能力,系統遭受破壞后,具有恢復系統主要功能的能力。數據恢復的能力要求為:系統具有一定的數據備份功能和設備冗余,在遭受破壞后能夠在有限的時間內恢復部分功能。按照二級的要求,一般情況下分為技術層面和管理層面的兩個層面對信息系統安全進行全面衡量,技術層面主要針對機房的物理條件、安全審計、入侵防范、邊界、主機安全審計、主機資源控制、應用資源控制、應用安全審計、通信完整性和數據保密性等多個控制點進行測評,而管理層面主要針對管理制度評審修訂、安全管理機構的審核和檢查、人員安全管理、系統運維管理、應急預案等方面進行綜合評測。其中技術類安全要求按照其保護的側重點不同分為業務信息安全類(S類)、系統服務安全類(A類)、通用安全防護類(G類)三類。水利信息系統通常以S和G類防護為主,既關注保護業務信息的安全性,又關注保護系統的連續可用性。
2水利科研院所信息安全現狀分析
水利科研院所信息系統結構相對簡單,在管理制度上基本建立了機房管控制度、人員安全管理制度等,技術上也都基本達到了一級防護的要求。下面以某水利科研單位為例分析。某水利科研單位主機房選址為大樓低層(3層以下),且不臨街。機房大門為門禁電磁防盜門,機房內安裝多部監控探頭。機房內部劃分為多個獨立功能區,每個功能區均安裝門禁隔離。機房鋪設防靜電地板,且已與大樓防雷接地連接。機房內按照面積匹配自動氣體消防,能夠對火災發生進行自動報警,人工干預滅火。機房內已安裝溫度濕度監控探頭,對機房內溫濕度自動監控并具有報警功能,機房配備較大功率UPS電源,能夠保障關鍵業務系統在斷電后2小時正常工作。機房采用通信線路上走線,動力電路下走線方式。以上物理條件均滿足二級要求。網絡拓撲結構分為外聯區、對外服務區、業務處理區和接入區4大板塊,對外服務區部署有VPN網關,外部人員可通過VPN網關進入加密SSL通道訪問業務處理區,接入區用戶通過認證網關訪問互聯網。整個網絡系統未部署入侵檢測(IDS)系統、非法外聯檢測系統、網絡安全審計系統以及流量控制系統。由上述拓撲結構可以看出,現有的安全防護手段可基本保障信息網絡系統的安全,但按照二級要求,系統內缺少IDS系統、網絡安全審計系統和非法外聯檢測系統,且沒有獨立的數據備份區域,給整個信息網安全帶來一定的隱患。新的網絡系統在外聯區邊界防火墻下接入了入侵檢測系統(IDS),新規劃了獨立的數據備份區域,在核心交換機上部署了網絡審計系統,并在接入區安裝了非法外聯檢測系統。形成了較為完整的信息網絡安全防護體系。
3信息系統安全等級測評的內容
3.1信息系統等級保護的總體規劃
信息系統從規劃到建立是一個復雜漫長的過程,需要做好規劃。一般情況下,信息系統的安全規劃分為計算機系統、邊界區域、通信系統的安全設計。相應的技術測評工作也主要圍繞這3個模塊展開。
3.2測評的要素
信息系統是個復雜工程,設備的簡單堆疊并不能有效保障系統的絕對安全,新建系統應嚴格按照等保規劃設計,已建系統要對信息系統進行安全測試,對于測評不合格項對照整改。信息系統安全測試范圍很廣,主要在網絡安全、主機安全、應用安全、數據安全、物理安全、管理安全六大方面展開測評。本文僅對測評內容要素進行描述,對具體測試方法及工具不作描述。
3.2.1網絡安全的測評
水利科研院所網絡安全的測評主要參照公安部編制《信息安全等級測評》條件對網絡全局、路由和交換設備、防火墻、入侵檢測系統展開測評。但應結合科研院所實際有所側重。水利科研院所信息系統數據傳輸量大,網絡帶寬占用比例相對較高,因此,在網絡全局中主要測試網絡設備是否具備足夠的數據處理能力,網絡設備資源占用情況,確保網絡設備的業務處理能力冗余性。科研院所地理位置相對分散,因此,需要合理的VLAN劃分,確保局部網絡攻擊不會引發全局癱瘓。科研院所擁有大量的研究生,這類人群對于制度的約束相對較差,網絡應用多伴有P2P應用,對出口帶寬影響極大,因此除了用經濟杠桿的手段外,在技術上要求防火墻配置帶寬控制策略。同時對“非法接入和外聯”行為進行檢查。網絡中應配置IDS對端口掃描,對木馬、后門攻擊、網絡蠕蟲等常見攻擊行為監視等等。
3.2.2主機安全測評
主機安全的測評主要對操作系統、數據庫系統展開測評。通常水利科研院所服務器種類繁多,從最多見的機架式服務器到曙光一類的大型并行服務器均有部署,同時操作系統有window系列、Linux、Unix、Solaris等多種操作系統,數據庫以主流SQLSERVER、ORACLE為主,早期開發的系統還有Sybase,DB2等數據庫。對于window操作系統是容易被攻擊的重點,因為二級等保為審計級保護所以重點在于身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼4個方面進行測評,主要審計重要用戶行為、系統資源的異常使用和重要信息的命令使用等系統內重要的安全相關事件。對于LINUX等其他系統和數據庫,主要審計操作系統和數據庫系統的身份標識唯一性,口令應復雜程度以及限制條件等。
3.2.3應用安全測評
水利科研院所內部業務種類繁多,如OA系統,科研管理系統,內部財務系統、網站服務器群,郵件服務器等,測評的重點主要是對這些業務系統逐個測評身份驗證,日志記錄,訪問控制、安全審計等功能。
3.2.4數據安全的測評
數據安全的測評主要就數據的完整性、保密性已及備份和恢復可靠性、時效性展開測評。水利科研院所數據量十分龐大,一般達到上百TB級數據量,一旦遭受攻擊,恢復任務十分艱巨,因此備份區和應用區應該選用光纖直連的方式,避免電纜數據傳輸效率的瓶頸。日常情況下應做好備份計劃,采用增量備份的方式實時對數據備份。
3.2.5物理安全測評
機房的物理安全測評主要是選址是否合理,機房大門防火防盜性能,機房的防雷擊、防火、防水防潮防靜電設施是否完好達標,溫濕度控制、電力供應以及電磁防護是否符合規定等物理條件。
3.2.6安全管理測評
安全管理主要就制定的制度文檔和記錄文檔展開評測。制度文檔主要分為3類,流程管理,人員管理和設備管理。記錄文檔主要為制度文檔的具體實施形式。在滿足二級的條件下,一般需要制度文檔有《信息安全管理辦法》、《安全組織及職責管理規定》、《安全審核與檢查管理制度》、《授權和審批管理規定》、《信息安全制度管理規范》、《內部人員安全管理規定》、《外部人員安全管理規定》、《系統設計和采購安全管理規定》、《系統實施安全管理規定》、《系統測試驗收和交付安全管理規定》、《軟件開發安全管理規定》、《系統運維和監控安全管理規定》、《網絡安全管理規定》、《系統安全管理規定》、《賬號密碼管理規定》等基本規章制度。同時對管理制度本身進行也要規范管理,如版本控制,評審修訂流程等。需要制定的記錄文檔有《機房出入登記記錄》、《機房基礎設施維護記錄》、《各類評審和修訂記錄》、《人員考核、審查、培訓記錄》、《各項審批和批準執行記錄》、《產品的測試選型測試結果記錄》、《系統驗收測試記錄報告》、《介質歸檔查詢等的等級記錄》、《主機系統,網絡,安全設備等的操作日志和維護記錄》、《機房日常巡檢記錄》、《安全時間處理過程記錄》、《應急預案培訓,演練,審查記錄》等。
4測評的方式方法
按照《基本要求》在等級測評中,對二級及二級以上的信息系統應進行工具測試。
4.1測試目的工具測試
是利用各種測試工具,通過對目標系統的掃描、探測等操作,使其產生特定的響應等活動,查看分析響應結果,獲取證據以證明信息系統安全保護措施是否得以有效實施的一種方法。工具測試種類繁多,這里特指適用于等保測評過程中的工具測試。利用工具測試不僅可以直接獲得系統本身存在的漏洞,同時也可以通過不同的區域接入測試工具所得到的測試結果判斷出不同區域之間的訪問控制情況。利用工具測試并結合其他的核查手段能為測試結果提供客觀準確的保障。
4.2測試流程
收集信息→規劃接入點→編制《工具測試作業指導書》→現場測試→結果整理。收集信息主要是對網絡設備、安全設備、主機設備型號、IP地址、操作系統以及網絡拓撲結構等信息進行收集。規劃接入點是保證不影響整個信息系統網絡正常運行的前提下嚴格按照方案選定范圍進行測試。接入點的規劃隨著網絡結構,訪問控制,主機位置等情況的不同而不同,但應該遵循以下規則。(1)由低級別系統向高級別系統探測。(2)同一系統同等重要程度功能區域之間要互相探測。(3)由外聯接口向系統內部探測。(4)跨網絡隔離設備(包括網絡設備和安全設備)要分段探測。
4.3測試手段
利用漏洞掃描器、滲透測試工具集、協議分析儀、網絡拓撲結構生成工具更能迅速可靠地找到系統的薄弱環節,為整改方案的編制提供依據。
5云計算與等級保護
近年來,隨著水利科研院各自的云計算中心相繼建立,云計算與以往的計算模式安全風險差異很大,面臨的風險也更大,因為以往的系統多數為集中式管理范圍較小,安全管理和設備資源是可控的,而云計算是分布式管理,是一個動態變化的計算環境,這種環境在某種意義上是無序的,這種虛擬動態的運行環境更不可控,傳統的安全邊界消失。同時,云計算在認證、授權、訪問控制和數據保密這些方面這對于信息網絡安全也提出了更高的要求。由云安全聯盟和惠普公司列出了云計算面臨的7宗罪(風險),說明云安全的狀況變化非常快,現有的技術和管理體系并不完全適應于云計算的模式,如何結合自身特點制定出適合云計算的等級保護體系架構是今后研究的方向。
6結語
