信息安全應(yīng)急響應(yīng)體系的建立

任惠 石海松 遼寧紅沿河核電有限公司

引言

信息化的高速發(fā)展和廣泛應(yīng)用，為企業(yè)辦公和生產(chǎn)等各項業(yè)務(wù)的順利開展提供了高效有力的支撐。同時，由于信息化帶來的信息安全問題也日益增多，當(dāng)遇到突發(fā)事件的時候，如果能做出及時應(yīng)急響應(yīng)，是非常必要的。因此構(gòu)建有效的信息安全應(yīng)急體系，是信息安全工作的重點內(nèi)容之一。

1 應(yīng)急組織的建立

一個高效的應(yīng)急組織，在處理信息安全突發(fā)事件時，起著至關(guān)重要的作用。應(yīng)急組織應(yīng)包括：應(yīng)急指揮部、應(yīng)急響應(yīng)隊伍及相應(yīng)的值班制度。

1.1 應(yīng)急指揮機構(gòu)

企業(yè)應(yīng)建立信息安全應(yīng)急響應(yīng)指揮部，并由信息化的主要負(fù)責(zé)領(lǐng)導(dǎo)擔(dān)任總指揮。全面負(fù)責(zé)企業(yè)信息安全事件的應(yīng)急響應(yīng)與處置的總協(xié)調(diào)。

為了應(yīng)急指揮部的正常運行，還需要設(shè)置相應(yīng)的秘書崗位或者助理崗位，比如：信息發(fā)布助理、技術(shù)支持助理等。其中，信息發(fā)布助理，負(fù)責(zé)應(yīng)急指揮部跟各應(yīng)急響應(yīng)隊伍的協(xié)調(diào)及應(yīng)急響應(yīng)過程中的信息發(fā)布與傳達(dá)。技術(shù)支持助理，負(fù)責(zé)提供相應(yīng)的問題解決支持及技術(shù)材料的收集。

1.2 應(yīng)急響應(yīng)隊伍

應(yīng)急響應(yīng)隊伍應(yīng)抽調(diào)日常運維工作中比較精通信息安全各領(lǐng)域技術(shù)和業(yè)務(wù)的工作人員擔(dān)任。在網(wǎng)絡(luò)與信息安全事件發(fā)生情況下，按照應(yīng)急指揮部的要求及時啟動應(yīng)急響應(yīng)行動。根據(jù)信息安全事件的等級及影響程度，提供相應(yīng)的應(yīng)急解決方案，協(xié)助應(yīng)急指揮部做出相應(yīng)決策，快速解決信息安全問題，進(jìn)行系統(tǒng)的恢復(fù)。

1.3 應(yīng)急值班制度

應(yīng)急值班人員應(yīng)實施24 小時待命值班制度，每周實行交接接班。在值班期間應(yīng)隨時響應(yīng)突發(fā)情況。若因特殊情況確定無法執(zhí)行值班任務(wù)的，應(yīng)該向應(yīng)急指揮部請假，并找相應(yīng)崗位的人員代替執(zhí)行應(yīng)急值班任務(wù)。

2 信息安全事件預(yù)警

在信息安全事件發(fā)生之前，可以對突發(fā)事件提前進(jìn)行預(yù)防，并采取預(yù)防措施。這個階段稱為預(yù)警階段。

按照突發(fā)事件發(fā)生的緊急程度、發(fā)展態(tài)勢和可能造成的危害程度，可將信息系統(tǒng)安全預(yù)警分為特別重大預(yù)警、重大預(yù)警、較大預(yù)警和一般預(yù)警四級。

2.1 特別重大

外部出現(xiàn)嚴(yán)重不利于公司、行業(yè)的輿論，且已造成重大社會影響；國家或主管部門發(fā)布了嚴(yán)重的病毒或惡意程序的預(yù)警信息；外部出現(xiàn)嚴(yán)重的信息安全事件，可能會威脅企業(yè)自身信息安全。

2.2 重大

國家或主管部門發(fā)布了一般程度的病毒或惡意程序預(yù)警信息；核心系統(tǒng)短時間內(nèi)（大于12 小時）預(yù)計無法恢復(fù)的。

2.3 較大

企業(yè)核心網(wǎng)絡(luò)設(shè)備單機運行，且工作狀態(tài)不穩(wěn)定；重要業(yè)務(wù)系統(tǒng)單機運行，且工作狀態(tài)不穩(wěn)定；企業(yè)內(nèi)部郵件系統(tǒng)、OA 辦公自動化系統(tǒng)故障，且12 小時內(nèi)無法恢復(fù)；

2.4 一般

局部網(wǎng)絡(luò)不穩(wěn)定；一般性系統(tǒng)運行不穩(wěn)定；接到上級主管部門的信息安全事件一般性提醒；外部環(huán)境發(fā)生一般性信息安全威脅事件。

針對信息安全預(yù)警，應(yīng)及時發(fā)布信息，關(guān)注事態(tài)發(fā)展，并采取預(yù)防措施，防止事件擴大可能產(chǎn)生的影響。

3 信息安全事件分類、分級及響應(yīng)

3.1 信息安全事件的分類

網(wǎng)絡(luò)與信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障和災(zāi)害性事件等。

（1）有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。

（2）網(wǎng)絡(luò)攻擊事件分為拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。

（3）信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。

（4）信息內(nèi)容安全事件是指通過網(wǎng)絡(luò)傳播法律法規(guī)禁止信息，組織非法串聯(lián)、煽動集會游行或炒作敏感問題并危害國家安全、社會穩(wěn)定和公眾利益的事件。

（5）設(shè)備設(shè)施故障分為軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障。

（6）災(zāi)害性事件是指由自然災(zāi)害等其他突發(fā)事件導(dǎo)致的網(wǎng)絡(luò)與信息安全事件。

3.2 信息安全事件的分級

當(dāng)事件發(fā)生時，則需要進(jìn)行必要的應(yīng)急響應(yīng)。根據(jù)影響范圍、重要程度和預(yù)計故障恢復(fù)時間，建議將信息安全事件分為特別重大（Ⅰ級）、重大（Ⅱ級）、較大（Ⅲ級）和一般（Ⅳ級）四級。

3.2.1 特別重大（Ⅰ級）

如果發(fā)生如下情況，可以將事件定義為特別重大：

企業(yè)外部網(wǎng)站被攻擊或利用，已造成或有潛在不良政治和社會影響的事件；在企業(yè)網(wǎng)絡(luò)上出現(xiàn)黨和國家秘密信息的事件；在企業(yè)網(wǎng)絡(luò)上出現(xiàn)惡意攻擊中國共產(chǎn)黨、國家領(lǐng)導(dǎo)人和國家機關(guān)信息的事件；惡意散布反動言論和謠言并造成重大政治和社會影響的事件。影響到企業(yè)生產(chǎn)安全，并已造成或有潛在社會影響的信息安全事件；

3.2.2 重大（Ⅱ級）

如果發(fā)生如下情況，可以將事件定義為重大：

在企業(yè)網(wǎng)絡(luò)上出現(xiàn)惡意攻擊企業(yè)主要領(lǐng)導(dǎo)人員和干擾企業(yè)正常經(jīng)營秩序信息，導(dǎo)致影響干部職工隊伍穩(wěn)定等不良后果的事件；在企業(yè)網(wǎng)絡(luò)上非受控的涉及企業(yè)內(nèi)部不應(yīng)公開的敏感信息；企業(yè)骨干網(wǎng)絡(luò)癱瘓，喪失業(yè)務(wù)處理能力；企業(yè)核心系統(tǒng)故障，預(yù)計恢復(fù)時間t ≥24小時的事件。

3.2.3 較大（Ⅲ級）

如果發(fā)生如下情況，可以將事件定義為較大：

較重要的生產(chǎn)信息系統(tǒng)故障，預(yù)計恢復(fù)時間12 小時≤t ≤24 小時的事件；內(nèi)部郵件系統(tǒng)、OA 系統(tǒng)等較重要的辦公系統(tǒng)故障，出現(xiàn)事故后，影響公司運轉(zhuǎn)及辦公的時間，預(yù)計恢復(fù)時間t ≥24 小時。

3.2.4 一般（Ⅳ級）

如果發(fā)生如下情況，可以將事件定義為一般：

一般性的生產(chǎn)及辦公系統(tǒng)出現(xiàn)故障；網(wǎng)絡(luò)局部中斷但不影響核心網(wǎng)絡(luò)使用；業(yè)務(wù)系統(tǒng)中斷，時間較短暫，或者只影響使用效率的信息安全事件。

3.3 信息安全應(yīng)急響應(yīng)

當(dāng)啟動信息安全預(yù)警以后，如果信息安全事件已經(jīng)發(fā)生，并影響到企業(yè)自身，則進(jìn)入應(yīng)急響應(yīng)狀態(tài)。必要的時候，也可以不啟動預(yù)警而直接進(jìn)行應(yīng)急響應(yīng)。

按照事件的嚴(yán)重程度和影響范圍，應(yīng)急響應(yīng)分別為特別重大（Ⅰ級）、重大（Ⅱ級）、較大（Ⅲ級）和一般（Ⅳ級）共四級。四個級別分別對應(yīng)四級信息安全事件。

按照級別的不同，響應(yīng)的組織級別也不同，可以分為外部支援、公司級響應(yīng)、部門級響應(yīng)以及專業(yè)內(nèi)響應(yīng)。不同級別的響應(yīng)，應(yīng)該有應(yīng)急指揮部進(jìn)行決策。

信息安全事件發(fā)生后，企業(yè)在做好先期處置的同時應(yīng)立即組織研判，開展調(diào)查、收集、整理事件信息，保存證據(jù)，做好信息發(fā)布和通報工作。在應(yīng)急響應(yīng)過程中，應(yīng)及時向信息安全主管部門報告信息安全事件及其隱患的處理情況。在事件處理過程中，如果發(fā)現(xiàn)事態(tài)嚴(yán)重，也可以提升響應(yīng)級別，請求更多的技術(shù)支援。

信息安全事件應(yīng)急響應(yīng)的結(jié)束，應(yīng)組織事態(tài)判斷，并由上級主管部門或者企業(yè)應(yīng)急指揮部決定應(yīng)急響應(yīng)結(jié)束。

4 信息安全應(yīng)急培訓(xùn)及演練

為提高應(yīng)急響應(yīng)隊伍的技能，應(yīng)該開展必要的應(yīng)急培訓(xùn)和演練。

信息安全應(yīng)急培訓(xùn)包括基礎(chǔ)知識培訓(xùn)、應(yīng)急啟動與響應(yīng)培訓(xùn)、應(yīng)急預(yù)案培訓(xùn)、處置方法培訓(xùn)及專項技能培訓(xùn)等。

按照國家等級保護(hù)制度的相關(guān)要求，對于重要信息系統(tǒng)應(yīng)該每年開展一次信息安全應(yīng)急演練。演練應(yīng)該具備演習(xí)方案、演習(xí)模擬環(huán)境搭建、演習(xí)評估、演習(xí)總結(jié)等環(huán)節(jié)。通過演習(xí)不斷提升響應(yīng)能力。

5 結(jié)論

企業(yè)信息安全應(yīng)急響應(yīng)體系的建立決定了在突發(fā)事件中的處置能力。應(yīng)急響應(yīng)體系的建立，應(yīng)結(jié)合實際業(yè)務(wù)特點，在日常運維中不斷實踐、逐步探索并完善提升。本文對企業(yè)信息安全應(yīng)急體系的建設(shè)情況進(jìn)行了全面的歸納總結(jié)。后續(xù)可以考慮將信息安全應(yīng)急體系與生產(chǎn)安全應(yīng)急體系相結(jié)合，統(tǒng)籌開展綜合性的應(yīng)急響應(yīng)工作，為企業(yè)的突發(fā)事件應(yīng)對能力提供有效的保障。