IT系统安全应急专项预案.doc

江苏IT系统安全应急预案 1 目标 伴伴随企业信息化建设发展，IT系统安全性也越发关键，需要全方面加强信息安全性建设，确保系统不受到来自内部和外部攻击，实现对非法入侵安全审计和跟踪，确保业务应用和数据安全性。同时还必需建立起一套完善、可行应急处理规章制度，在出现重大情况后能立即响应，尽最大可能降低损失。 1. 2 企业系统架构和现实状况 2.1 IT应用系统架构 企业IT系统以总企业为中心，各分支机构经过租用专用线路或VPN同总企业连通，在各分支机构内部也建立较完善多级综合网络，包含中心支企业、支企业、出单点等等。在网络上运行着以下系统： （一） 视频会议系统 各分企业之间、分企业和总企业之间、各办事处和企业之间进行网络视频会议。 （二）办公自动化系统 辅助企业日常办公系统，如OA\ERP，实现企业上下级之间公文和协同工作信息传输。 （三）邮件系统 企业内部及外部邮箱系统，为企业内、外部信息交流提供方便、快捷通道。 2.2 系统安全隐患 因为企业系统是多应用、多连接平台，本身就可能存在着难于觉察安全隐患，同时又面临来自各方面安全威胁，这些威胁既可能是恶意攻击，又可能是一些职员无心过失。下面从网络系统、操作系统和数据库、数据和管理等方面进行描述： （一）网络 和企业各级网络进行互联外部网络用户及Internet黑客对各级单位网络非法入侵和攻击；企业内部各级单位网络相互之间安全威胁，比如某个分支单位网络中人员对网络中关键服务器非法入侵和破坏；在各级单位网络中，对于关键生产业务应用和办公应用系统而言，可能会受到局域网上部分无关用户非法访问。 （二）操作系统和数据库 操作系统和数据库全部存在一定安全缺点或后门，很轻易被攻击者用来进行非法操作；系统管理员经验不足或工作疏忽造成安全漏洞，也很轻易被攻击者利用；系统正当用户尤其是拥有完全操作权限特权用户误操作可能造成系统瘫痪、数据丢失等情况。 （三）网络应用 网络上多数应用系统采取用户/服务器体系或衍生方法运行，对应用系统访问者控制手段是否严密将直接影响到应用本身安全性；因为实现了Internet接入，各级单位计算机系统遭受病毒感染机会也更大，且很轻易经过文件共享、电子邮件等网络应用快速蔓延到整个企业网络中；网络用户自行指定IP地址而产生IP地址冲突，将造成业务系统UNIX小型机服务器自动宕机。 （四）数据 数据存放和传输所依靠软、硬件环境遭到破坏，或操作系统用户误操作，和数据库用户在处理数据时误操作，全部会使严重威胁数据安全。 （五）管理 假如缺乏严格企业安全管理，信息系统所受到安全威胁即使是多种安全技术手段也无法抵御。 在充足认识到确保关键业务和应用有效运转前提下，企业已经采取了一定方法，如利用操作系统和应用系统本身功效进行用户访问控制，建立容错和备份机制，采取数据加密等。不过这些方法所能提供安全功效和安全保护范围全部很有限，为了在不停发展改变着网络计算环境中保护企业信息系统安全，特制订了IT系统重大事件应急方案。 2. 3 IT系统重大事件界定 IT系统脆弱性表现在很多方面，小到短暂电力不足或磁盘错误，大到设备毁坏或火灾等等。很多系统弱点能够在组织风险管理控制过程中经过技术、管理或操作方法消除，但理论上是不可能完全消除全部风险。为了能愈加好制订针对IT系统重大事件应急方案，必需先对全部可能发生重大事件进行具体描述和定义。下面将从IT系统相关联电源、网络、主机及存放设备、数据库、病毒、信息中心机房等多个方面进行说明。 3.1 电源 电源是IT系统最基础部分，也是最轻易受到外界干扰部分之一。在既能确保企业系统平稳运行，又能确保关键或关键设备安全前提下，依据现在配置UPS电源实际情况，将电源事件分为三个层次： 通常性电源事件：停电时间在1小时以内（包含1小时）； 需关注电源事件：停电时间在2小时以内（包含2小时）； 亲密关注电源事件：停电时间在2小时以上。 3.2 网络 网络是IT系统及网络用户进行通讯通道，也是最轻易受到外界干扰或攻击部分之一。现在总企业关键对各地分企业到总企业网络线路进行管控，而企业又是采取数据集中运行模式，鉴于这种情况，将网络事件分为三个层次： 通常性网络事件：楼层交换机出现异常，或局域网络中止时间在5分钟以内（包含5分钟）； 需关注网络事件：主交换机、防火墙、上网设备出现异常，或局域网络中止时间在30分钟以内（包含30分钟），广域网络中止时间在5分钟以内（包含5分钟）； 亲密关注网络事件：主干交换机、关键路由器、VPN设备出现异常，或广域网络中止时间在30分钟以上。 3.3 主机及存放设备 主机及存放设备是IT系统运行关键和关键，也是相对脆弱部分，对工作环境要求是相当高，任何外部改变全部可能造成这些设备出现异常。依据出现异常情况，将主机及存放设备事件分成三个层次： 通常性事件：非系统关键进程或文件系统出现异常，不影响生产系统运行； 需关注事件：根文件系统或生产系统所在文件系统磁盘空间将满/已满或系统关键进程异常，立即影响或已经影响生产系统运行；主机或存放设备磁盘异常并发出警告； 亲密关注事件：主机宕机；存放设备不能正常工作；主机和存放设备中止连接；主机性能严重降低，影响终端用户运行；系统用户误操作造成关键文件丢失。 3.4 数据库 数据库是存放企业经营信息关键部分，因为数据库是建立在主机及存放设备上应用，任何主机及存放设备改变全部会对数据库产生或大或小影响，同时数据库也是企业各个层面用户使用对象，用户对数据操作可能造成不可预料影响。依据数据库对外界操作反应，将数据库事件分为两个层次： 通常事件：不影响大量用户或应用系统正常运行警告或错误汇报； 关键事件：数据库系统表空间将满/已满；业务系统表空间将满/已满；数据库网络监视进程终止运行；数据库内部数据组织出现异常；数据库用户误操作造成数据丢失；数据库关键进程异常；数据库性能严重降低，影响终端用户运行；数据库宕机。 3.5 电脑病毒 因为Internet接入，职员从Internet上进行下载或接收邮件，全部有感染病毒可能性。一些病毒带有极大危害性和极快传输速度，从而可能造成在企业内部病毒大范围传输。针对病毒在企业内部传输范围或危害程度，分为三个层次： 通常性事件：独立病毒感染，并没有传输和造成损失； 亲密关注事件：病毒小范围传输，并造成一定损失，但不是重大损失； 严重关注事件：病毒大范围传输，并造成重大损失； 3.6 其它事件 信息中心机房其它影响IT系统运行原因可能会产生部分忽然事件，关键有以下部分方面： （一）空调工作异常，造成机房温度过高； （二）空调防水保护出现异常造成渗水； （三）发生火灾； （四）粉尘造成主机或存放设备异常。 3. 4 信息系统重大事件应急方案 依据上节对IT系统重大事件界定，企业已经建立了一套完整应急方案，在硬件方面采取双机热备机制，同时加强日常系统监控，保持完整数据备份，立即进行灾难恢复，和贮备必需系统备件等多个技术和方法。下面根据IT系统相关联电源、网络、主机及存放设备、数据库、电脑病毒等多个方面进行说明。 4.1 电源 机房采取UPS为关键设备进行供电，为了应对重大突发事件，采取以下了手段： （一）加强UPS维护，确保UPS正常工作; （二）在必需情况下，交流输入供电系统采取双路市电供电和发电机联合供电，确保市电使长久停电, UPS仍能正常供电； （三）直流输入方面，采取公用一组电池组设计，配置长达48小时后备电池, 并提供交流输入瞬变或市电和发电机供电切换时短时供电； （四）依据停电时间长短，依次公布通常性通知、较紧急通知和紧急通知给相关部门和机构； （五）停电发生后，立即联络设备部门和供电部门。 4.2 网络 （一）关键路由器做双以太口绑定，如一端口发生故障，自动切换到VPN备份线路接入主机系统，直到修复使用正常，同时由网络集成商提供技术和备件支持，一旦出现紧急故障，1小时赶到现场处理故障； （二）到分支机构专线采取2M数字线路，如2M数字线路发生故障断开则自动切换到VPN备份线路接入主机系统，直到专线修复则使用正常2M线路通信； （三）对于网络关键设备出现重大故障，立即了解情况，分析问题和提出应急处理方案，做好现场应急处理，立即通知网络集成服务商到现场处理，主干交换机由网络集成商提供技术和备件支持，一旦出现紧急故障，1小时内赶到现场处理故障； （四）为预防关键路由器或主干交换机发生故障后无法处理问题，在必需情况下，配置一台备用路由器和主干交换机，配置接口和关键路由器和主干交换机相同，一旦出现故障，能在十分种内进行更换； （五）在网络入口处检验网络通讯，依据设定安全规则，在保护内部网络安全前提下，保障内外网络通讯，实现了内部网络和外部网络有效隔离，全部来自外部网络访问请求全部要经过防火墙检验，内部网络安全将会得到确保。具体有： 1、设置源地址过滤，拒绝外部非法IP地址，有效避免了外部网络上和业务无关主机越权访问； 2、防火墙只保留有用WEB服务和邮件服务，将其它不需要服务关闭，将系统受攻击可能性降低到最小程度，使黑客无机可乘； 3、防火墙制订访问策略，只有被授权外部主机能够访问内部网络有限IP地址，确保外部网络只能访问内部网络中必需资源，和业务无关操作将被拒绝； 4、全方面监视外部网络对内部网络访问活动，并进行具体统计，立即分析得出可疑攻击行为； 5、网络安全策略由防火墙集中管理，使黑客无法经过更改某一台主机安全策略来达成控制其它资源访问权限目标； 6、设置地址转换功效，使外部网络用户不能看到内部网络结构，使黑客攻击失去目标。 4.3 主机、存放设备及数据库 为确保生产系统稳定运行，主机和存放系统保持7X二十四小时可用。为应对可能发生重大事件或突发事件，采取以下方法： （一）在接到紧急停电通知后30-40分钟内根据先数据库、次主机、最终存放设备次序停止全部系统运行，在必需情况下，须拔掉全部电源插头； （二）采取双机热备技术，在其中一台主机出现异常时，立即进行切换； （三）采取硬盘、磁带库等设备作好日常数据备份； （四）假如发生误删除操作系统文件，立即进行文件系统恢复（必需有备份）； （五）假如发生误删除数据，立即进行数据库恢复（必需有备份）； （六）假如文件系统空间不够，造成系统不能正常运行，立即进行文件系统扩展。 （七）假如数据库表空间不足，立即进行表空间扩展，同时可能还进行文件系统扩展； （八）在必需情况下，建立异地数据备份中心，以保持数据安全性。 （九）出现重大故障，立即了解情况，分析问题和提出应急处理方案，做好现场应急处理，立即通知系统服务商到现场处理，并由系统服务商提供备件支援。 4.4 电脑病毒 为预防电脑病毒在企业内部传输，反毒和信息安全应根据“整体防御，整体处理”标准实施，采取多个手段和产品来切断电脑病毒传输“通道”。具体方法以下： （一）配置企业级网络版杀毒软件，在企业总部、分企业、营业部全部联网PC机、PC服务器上安装病毒/邮件防火墙，布署统一企业网络防毒系统，实现反毒分级防范和集中安全管理； （二）在企业总部和分企业配置防毒网关服务器，检验全部进出邮件、所访问网页和FTP文件，预防病毒经过外部网络进入企业内网进行传输； （三）建立定时自动更新防病毒软件和病毒库机制，确保杀毒软件有效性； （四）建立集中网络入侵检测和漏洞扫描系统，防范黑客入侵和攻击，立即给系统打补丁； （五）加强对用户教育，不从不明网站下载，不查看起源不明邮件，不运行可能含有病毒程序等； （六）假如用户机器发觉病毒，应立即终止网络连接并通知信息部门进行相关处理； （七）假如因病毒发作而造成数据丢失，应立即和信息部门联络，不要自行处理。