网络安全防护应急预案
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全防护应急预案范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全防护应急预案范文第1篇
关键词:政务网站;安全防护;安全对策;解决方案
一、政务网站安全现状
互联网应急中心(CNCERT)每月的互联网安全报告数据统计,2016年7月互联网网络安全状况整体评价为中,政府等网站是不法分子攻击的重点目标,安全漏洞是遭遇攻击的主因,被篡改政府网站数为140个,被植入后门的政府网站数为241个,占被植入后门网站的比例2.9%上升到3.5%。为强化为了强化网站管理,网站管理部门制定了一些制度完善管理,如对网站信息的采集,审核,使用和环节进行规范并保证信息质量和保密,确保信息安全可靠。同时采取了一些技术措施和手段保障网站安全。
二、政务网站安全问题
(一)管理层面
认为搭建完政务网站就已实现网络化发展,缺少长远规划,缺乏后期系统化、制度化管理,难以形成有效的管理机制和持续更新的安全策略。新模块在使用前缺少安全评估。安全应急预案不全面,主要是范围不全面,针对性不强。
(二)技术层面
政务网站技术管理要不断优化及创新。当前政务网站技术管理落后,安全技术应用有限,导致管理的实效性较弱。部分政务网站网络防御系统落后,存在网络、服务器安全漏洞的情况。
(三)人员层面
部分政务网站投入运行后,没有一个专业的技术管理队伍进行日常管理,专业管理人才短缺,管理的专业性难以得到有效保障。
(四)制度层面
我国制定的关于计算机或网络信息安全方面的正式法律较少,在针对网络入侵的侦查、、量刑上存在一定困难。
三、安全策略与安全防护体系
(一)安全策略。
1.制定切实可行的政务网站安全标准规范,在其建设和运行时需遵循相应的安全标准,最大程度地减少网站安全事件发生。
2.建立应急预案。政务网站根据可能出现的各类情况制定相应的应急预案,当出现突发事件,启动该事件的应急预案进行处理,处理后及时的对处理效果进行评估,不断完善应急预案。
3.加强技术防护。政务网站运用入侵检测、防火墙、身份认证、访问控制、安全审计、病毒防护等技术手段来提高政务网站的防护能力。
4.专业队伍建设。组建政务网站技术运维团队,采用最新安全技术和方法培训,使技术管理人员掌握新技术原理并能熟练运用。同时通过采取各种措施和手段,加强政务网站的炔考喽焦芾恚提高内部控制水平,防止内部风险的发生。
5.加强法制建设。立法机构出台关于网络安全的法律,以法律形式规范网络使用,保障网络安全,同时加大对网络违法犯罪的打击力度。
(二).安全防护体系
安全防护体系包括物理、网络、应用和主机数据安全。
1.物理安全。避免政务网站出现的各类硬件故障。对于政务网站关键应用,应采用双机热备,定期对重要数据进行备份。
2.网络安全。在网络部署上遵守能不对外开放的服务器,尽量不对外开放的原则。针对政府网络系统中内部局域网、广域网和互联网三大区域之间,都部署了防火墙或网闸,依据安全政策对出入网络的信息流进行控制,有条件地允许、拒绝、检测或过滤信息。通过专业的漏洞扫描软件对网络设备及服务器系统进行扫描,及时发现安全漏洞。部署网络安全审计、内容安全管理、防病毒服务器等网络安全产品,构建严密安全保障体系。
3.应用安全。采用页面防篡改系统,对网站的全面监控,对网页应用漏洞进行预先扫描,实时捕获篡改事件,并在第一时间对发生自发的网页进行自动恢复和报警,同时具备对SQL注入、跨站脚本等入侵动作实时阻断,达到事前、事中、事后的防御效果。
4.数据安全。通过网络安全域划分,对数据库的访问权限做最为严格的设定,最大限定保证数据库安全。对于关键数据,增加交叉认证保证更高的安全性并定期对数据库备份。
政务网站是连接政府与社会公众之间的一座桥梁,为地区发展提供了有力的信息技术支持。构建安全的政务网站,是建设服务型政府的必然要求,是实现和谐社会的必要手段。
参考文献:
[1] 张婷 . 刍议网站的分类、组建、管理及维护 [J]. 科技创新与应用 ,2015(28).
[2] 于艳杰 . 网站安全防范浅析 [J]. 科技创新与应用 ,2013(16).
[3] 史京 . 网站安全维护的问题与建议综述[J]. 电子技术与软件工程 ,2016(04).
网络安全防护应急预案范文第2篇
关键词:网站;威胁;脆弱性
指出:“没有网络安全,就没有国家安全”。以互联网为核心的网络空间已成为继陆、海、空、天之后的第五大战略空间,各国均高度重视网络空间的安全问题。随着网络技术的飞速发展,网络安全攻击手段层出不穷,政府网站因其公信力高、影响力大,成为许多不法分子以及境外敌对势力的重点攻击目标。国家互联网应急中心的《2013年中国互联网网络安全报告》中显示,2013年政府网站被篡改数量为2430个,被植入后门的政府网站2425个。
近年来,随着电子政务系统的迅速发展,各级政府网站建设工作发生了变化,从初期主要为各级政府部门资讯信息,转向以提高政府的监管职能和服务水平为目的,整合政府内外部资源为主,因此各地均建立了以市或省为单位的政府网站群系统。
1 政府网站群系统安全现状
随着网站群系统的不断建立,政府网站群系统的安全性也越来越重要,―方面是因为一旦政府网站群中某个站点被攻击,将直接影响到整个网站群系统的安全运行,而网站群系统可能包含某个市的各个政府部门的门户网站系统,其影响范围与传统的门户网站相比得到一定的扩大。另一方面,通过对某市政府网站群系统的调查发现,该市在政府门户网站系统集中后,网站群系统被攻击的频率明显增加,说明政府门户网站在集中的同时,风险也被集中到网站群系统中。加强政府网站群系统的安全防护能力刻不容缓。
以某市为例,该市在建立起网站群系统后,该网站群系统基本在每个时刻均存在被攻击的现象。这种高频率的入侵,除了入侵者欲挑战政府的权威性和公信度,或者炫耀其技术水平,甚至对政府机密数据感兴趣之外,也暴露出政府相关管理部门自身的问题。
通过对某市网站群系统的调查,该市网站群系统由市信息中心负责统一规划建设,该市信息中心对信息安全工作较为重视,为保障网站群系统的稳定运行,将整个网站群系统托管于电信IDC机房,由电信负责该网站群系统的日常运行维护工作。并在网站群系统前部署防火墙和入侵检测设备进行安全防护。同时聘请了专业安全公司负责该网站群系统的安全运维工作。由安全公司定期对网站群系统进行安全检查,并根据安全检查结果进行整改。
从一定程度上来说,该市在信息安全方面做了大量工作,同时也产生了一定的安全效益。但由于该市对于网站群系统的安全状态均是通过周期性的安全检查来了解。如通过定期进行Web应用安全扫描,然后根据扫描报告进行安全加固和风险管理。这种措施虽然能起到一定的作用,但这种检查手段属于静态的工作方式,虽能够反映网站群系统被检查那一刻的安全状态,但缺少风险持续性监测。例如,通常情况下该市1个月做1次安全扫描,1周做1次安全巡检,而对于网站挂马、网站篡改等事件通常都是突发性的,持续时间较短,通过每周或每月1次的巡检或检查并不能够在第一时间发现并做出相应的处理工作。另一方面,该市网站群中包含100多个站点,传统安全扫描工具在扫描规模、页面爬取和分析能力、检测结果关联分析等方面存在一定的局限性,无法做到高频率的风险监测,及时发现安全风险。另外,通过调查还发现,该市网站群系统,还存在其他几点具备代表性的问题,具体如下:
(1)由于该市网站群系统在建设初期对信息安全考虑不到位,应用系统最初的架构设计不合理。网站群系统的后台管理平台与其他功能模块共用一台服务器,并且直接向互联网提供服务,这在一定程度上给网站群系统的安全运行带来了影响。
(2)网站群系统管理人员技术水平偏低。目前,虽然该市投入巨资建设政府网站群系统,但是没有建立起与之相配套的安全防护力量。加上信息技术日新月异,相关领导也忽视对各类管理员的技术培训。
(3)网站群系统管理人员安全意识薄弱,疏于防范。比如在系统中使用弱口令,不及时更新系统漏洞,在服务器上随意使用盗版软件以及移动存储设备的交叉使用,都可能会导致病毒、木马的感染。
(4)缺乏相关的应急机制。大多数政府网站都缺乏相应的应急预案,一旦出现安全事件,响应速度缓慢,甚至几天都得不到修复,这必将大大降低政府的公信度和权威性,并会带来一定的社会负面影响。
(5)域名系统也是影响政府网站群系统稳定运行的重要因素。域名解析服务是互联网重要的基础应用服务,其安全问题直接影响网站群的稳定运行。由于域名注册服务机构的域名管理系统存在漏洞,攻击者能随意篡改域名解析记录。
2 政府网站群安全防护体系建设思路
政府网站群系统的安全防护体系,应当覆盖风险事件管理的全过程,即事前、事中和事后。事前,对风险事件的有效预警;事中,对风险事件的有效防护;事后,有效快速的安全恢复,对风险事件的深入分析,有效防止此类风险事件的再次发生。
2.1 事前预警
在网站系统不断集中形成网站群系统后,如何及时了解网站新漏洞、网站挂马等情况,成为网站群系统管理员的一大难题。一个网站群系统中可能包含几十个、几百个甚至更多的网站系统,这么多的网站系统单靠传统的安全扫描或人工巡检发现安全威胁,显然是不可行的,所以在政府网站群系统安全防护体系中,除了增加基础的安全防护措施外,还需加入监测和管控机制,通过对目标站点的不间断抓取、分析,主动、实时地发现网站群系统存在的安全隐患,并及时采取整改措施。
安全监测措施可围绕网站群系统的特性进行设计,采用较为自动化的监测手段,通过高频率的页面嗅探分析能力来自动根据相应的安全策略进行监测,管理人员只需要关注系统中的各类报警信息,并对相应的报警事件采取相应的处理措施即可,这种方式有效区别于传统的安全扫描。传统的安全扫描往往是先对系统进行较长时间的扫描,然后根据扫描结果对漏洞进行整改,整改后,还需要重新扫描验证整改结果,在实时性方面有着明显的不足。而这种方式一旦目标网站发生网站挂马、篡改或其他安全事件都会及时出现在告警系统中,有效提高风险发现的时效性。在安全监测方面实时对网站进行监测分析,不但可以准确、深层次地发现安全隐患及现有安全问题,而且自动化的监测措施使用也极大地降低了维护成本。
2.2 事中防护
在建立好完善、有效的安全事前预警措施后,还需要针对政府网站群所面临的安全威胁采用专门的应用层攻击防护机制,对各种恶意攻击行为进行有效的监测和防护。如想有效防范OWASP TOP 10中相关的安全风险,网站群系统安全防护体系必须具备对来自应用层的各类请求进行内容检测和验证的能力,有效应对注入、跨站脚本及其变形攻击,实时检测网页篡改,提供网页挂马主动诊断,提供应用层DDOS攻击防护功能,确保其安全性与合法性。对非法的请求予以实时阻断,从而对网站群系统进行有效防护,降低攻击的影响,确保网站群系统的连续性和可用性,降低网站群安全风险,维护政府网站群系统的公信度。
2.3 事后应急
由于各种攻击手段的日新月异,即使在事中防护和事后应急方面建立了较为全面的监测和防护机制,依然无法保证网站群系统的绝对安全。为了在发生安全事件后将影响控制在最小范围,政府部门还必须建立一套成熟可行的应急预案体系。整个应急预案体系应尽量细化、详细,可针对各类安全事件建立专项应急预案,如遭受DDOS攻击专项应急预案、网站被挂马专项应急预案以及网页被篡改专项应急预案等。另外,应急预案中一定要明确各项岗位职责,各岗位必须明确到具体的人员,并就各应急预案定期组织培训和应急演练,根据培训和演练结果,及时、有效地调整应急预案,确保在发生安全事件时,各岗位人员能够做出快速、有效的应对措施,将安全事件影响范围降至最低点。
2.4 其他措施
在针对风险事件事前、事中、事后建立相应防护机制的同时,政府部门还需着重提高网站群系统管理人员的技术水平和安全意识。所谓“三分技术,七分管理”,在各级政府门户网站系统集中的同时,政府网站群系统所涉及的管理人员也在扩大,其中任何一个人的疏漏,都有可能给网站群系统带来高危风险。所以政府部门不仅要定期对网站群系统各类管理人员进行必要的技术培训,还需要建立起一套适用、有效、可行的安全管理体系,用于严格规范各类管理人员的日常维护管理操作,并加强对各类管理人员的安全意识培训,提高网站系统整体管理人员的安全意识,使得管理手段与技术措施形成有效互补,将各类安全风险尽量降至最低。
提前介入信息安全管理工作。信息安全工作应当贯穿整个信息系统的生命周期,但据调查发现,目前我国大部分政府单位在开发新系统时,安全方面的工作投入较少,基本都在系统上线后才开始考虑安全防护工作,而在系统上线后,才开始安全防护工作,会使得各项安全工作开展起来将相对被动,且成本也将加大。因此政府部门在新建或变更网站群系统时,应当在需求设计阶段就开展安全工作,这样不仅可以有效降低因需求分析不到位或开发人员代码编写不规范等原因而造成的安全漏洞风险,同时也可以最小化安全防护体系建设成本。另外,新系统或现有网站群系统在发生重大变更时,在系统上线前,需做好必要的安全测试验收工作,保证新系统在通过相应的安全测试验收才能上线,保证安全漏洞在测试环境中得到修复,避免将安全问题带到线上运营环境。
据调查,目前大部门政府单位门户网站群系统均托管于第三方单位运营,并将网站群系统的设备、系统均交于第三方单位进行维护。这种情况,在一定程度上来讲,第三方运营单位对网站群系统所拥有的权限比网站群系统所属政府部门大得多,所以如何规范运营单位各类维护人员的行为操作,也成为网站群安全防护工作中的一大难题。政府部门应当与第三方运营单位做好相关安全责任界定工作,并与第三方运营单位签订好相应的责任书以及保密协议等文档。
选择安全防护能力较强的域名服务商。对于政府部门而言,域名解析服务基本均由域名服务商提供,域名服务商的域名管理系统存在安全隐患,也将对政府网站群系统造成影响,所以政府部门在选择域名服务商时,应尽量选择公司规模较大、技术能力较强的公司,或者在选择域名服务商时,要求域名服务商提供有关域名管理系统的安全检测报告,从而判断域名管理系统是否安全可靠。
网络安全防护应急预案范文第3篇
随着全球信息化程度的加深,CDN已经成为互联网上向用户提供服务的重要系统之一,一方面由于CDN位于内容源站和终端用户之间的特殊物理位置,能够抵御一部分对源站的安全攻击,从而提高源站的安全性;另外一方面,随着CDN越来越多地服务于重要国家部门、金融机构、网络媒体、商业大型网站,并经常承担奥运会、国庆等重大活动,保障CDN自身的安全性、确保源站信息内容安全准确地分发给用户也非常重要。一旦CDN出现业务中断、数据被篡改等安全问题,可能对用户使用互联网服务造成大范围严重影响,甚至可能影响社会稳定。
标准工作开展背景
一直以来,国际国内缺乏专门的标准明确CDN应满足的安全要求,今年《互联网内容分发网络安全防护要求》和《互联网内容分发网络安全防护检测要求》在中国通信标准化协会(CCSA:ChinaCommunications StandardsAssociation)立项,“电信网安全防护标准起草组”讨论了征求意见稿,相信CDN安全的标准化工作,能对促进CDN服务商规范安全地提供服务,从整体上提高CDN行业的安全防护水平提供指导。
美英等国家从20世纪70年代就开始研究等级保护、风险评估的相关内容,制订了彩虹系列、BS7799、ISO27001等具有世界影响力的安全标准。随着通信网络在国家政治、经济和社会发展过程中的基础性和全局性作用与日俱增,这些发达国家越来越重视通信网络安全,并上升到国家安全高度。我国也越来越重视网络与信息安全保障,相继了中办【2003】27号《国家信息化领导小组关于加强信息安全保障工作的意见》、中办发【2006】11号《2006―2020年国家信息化发展战略》等文件指导基础信息网络和重要信息系统的安全保障体系建设。
近五年通信网络安全防护工作取得很大成效,指导通信网络从业务安全、网络安全、系统安全、数据安全、设备安全、物理环境安全、管理安全等各方面加固,提高了通信网络运行的稳定性和安全性、基础电信运营企业安全管理的规范性,也促进了通信行业安全服务产业的快速发展。
随着通信网络安全防护工作逐步深入规范开展,2011年工业和信息化部组织开展了增值运营企业的安全防护试点,率先对新浪、腾讯、百度、阿里巴巴、万网、空中信使运营管理的网络单元进行定级备案、安全符合性评测和风险评估。
2011年,“电信网安全防护标准起草组”组织研究起草《互联网内容分发网络安全防护要求》和《互联网内容分发网络安全防护检测要求》等8项安全防护标准,工业和信息化部电信研究院、蓝汛、网宿、清华大学、中国移动、中国电信、华为、中国互联网协会等单位研究人员参与了标准的起草,目前这两项标准的征求意见稿已经在CCSA讨论通过。
根据《通信网络安全防护管理办法》,按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高可划分为一级、二级、三级、四级、五级。因此《互联网内容分发网络安全防护要求》明确了一级至五级CDN系统应该满足的安全等级保护要求,级别越高,CDN需满足的安全要求越多或越严格。《互联网内容分发网络安全防护检测要求》明确了对CDN进行安全符合性评测的方法、内容、评价原则等,有助于深入检查企业是否落实了安全防护要求。
CDN安全防护内容
CDN位于内容源站与终端用户之间,主要通过内容的分布式存储和就近服务提高内容分发的效率,改善互联网络的拥塞状况,进而提升服务质量。通常CDN内部由请求路由系统、边缘服务器、运营管理系统、监控系统组成,CDN外部与内容源站以及终端用户相连。CDN是基于开放互联网的重叠网,与承载网松耦合。
CDN主要是为互联网上的各种业务应用提供内容分发服务,以显著提高互联网用户的访问速度,所以保障CDN分发的数据内容安全和CDN业务系统安全至关重要,保障CDN的基础设施安全、管理安全,有效实施灾难备份及恢复等也是CDN安全防护应该考虑的重要内容。因此CDN的安全防护可从数据内容安全、业务系统安全、基础设施安全、管理安全、灾难备份及恢复几方面考虑。
(1)CDN数据内容安全
为保障CDN分发的数据内容安全,需要确保CDN与源站数据内容一致,并进行版权保护,记录管理员的操作维护并定期审计,一旦发现不良信息能够及时清除,同时提供防御来自互联网的网络攻击并对源站进行保护的能力。
数据一致性:CDN企业提供对内容污染的防御能力,识别和丢弃污染的内容,保障重要数据内容的一致性和完整性;保证CDN平台内部传输数据的一致性;防止分发的内容被非法引用(即防盗链)。
版权保护:按照源站要求提供内容鉴权、用户鉴权、IP地址鉴权、终端鉴别以及组合鉴权等方式对源站内容进行版权保护。
安全审计:记录管理员(含源站管理员和CDN系统内部管理员)对CDN系统的管理操作,留存日志记录并定期审计。
不良信息清除:一旦发现CDN系统内部含不良信息,应在内容源站或主管部门要求时间内,完成全网服务器屏蔽或清除不良信息。
防攻击和源站保护:引入CDN后不应降低内容源站的安全水平,同时CDN在一定程度上提供对内容源站的抗攻击保护。
(2)CDN业务系统安全
为保障CDN的业务系统安全,需要从结构安全、访问控制、入侵防范等方面进行安全保护,另外鉴于请求路由系统(即DNS系统)在CDN系统中的重要性以及目前DNS系统存在脆弱性,需要保障请求路由系统的安全。
结构安全:CDN企业在节点部署时应考虑防范安全攻击,如为服务器单节点服务能力留出足够的冗余度、配置实时备份节点等。
访问控制:对管理员操作维护进行身份认证并进行最小权限分配,从IP地址等方面限制访问。
入侵防范:关闭不必要的端口和服务,CDN能够抵御一定的安全攻击并快速恢复。
请求路由系统安全:部署多个内部DNS节点进行冗余备份,并对DNS进行安全配置。
(3)CDN基础设施安全
保障CDN的基础设施安全,可从主机安全、物理环境安全、网络及安全设备防护等方面进行保护。
主机安全:企业对CDN的操作系统和数据库的访问进行访问控制,记录操作并定期进行安全审计;操作系统遵循最小授权原则,及时更新补丁,防止入侵;对服务器的CPU、硬盘、内存等使用情况进行监控,及时处置告警信息。
物理环境安全:机房应选择合适的地理位置,对机房访问应进行控制,防盗窃、防破坏、防雷击、防火、防水、防潮、防静电、温湿度控制、防尘、电磁防护等方面均应采取一定的防护措施,并确保电力持续供应。
网络及安全设备防护:IP承载网需要从网络拓扑结构、网络保护与恢复、网络攻击防范等方面进行保护。
(4)CDN管理安全
规范有效的管理对于保障信息系统的安全具有重要作用,可从机构、人员、制度等方面进行保障,同时应将安全管理措施贯穿系统建设、系统运维全过程。
机构:通过加强岗位设置、人员配备、授权审批、沟通合作等形成强有力的安全管理机构。
人员:在人员录用、离岗、考核、安全意识教育和培训、外部人员访问等环节加强对人员的管理。
制度:对重要的安全工作制订管理制度,确保制度贯彻执行,根据安全形势的变化和管理需要及时修订完善安全制度。
安全建设:在系统定级备案、方案设计、产品采购、系统研发、工程实施、测试验收、系统交付、选择安全服务商等环节进行安全管理,分析安全需求、落实安全措施。CDN企业在新建、改建、扩建CDN时,应当同步建设安全保障设施,并与主体工程同时验收和投入运行。安全保障设施的新建、改建、扩建费用,需纳入建设项目概算。
安全运维:在系统运行维护过程中对物理环境、介质、网络、业务系统、安全监测、密码、备份与恢复等加强安全管理,提高对恶意代码防范、安全事件处置、应急预案制订与演练的管理。
(5)灾难备份及恢复
可通过配置足够的冗余系统、设备及链路,备份数据,提高人员和技术支持能力、运行维护管理能力,制订完善的灾难恢复预案,提高CDN企业的抗灾难和有效恢复CDN的能力。
冗余系统、设备及链路:运营管理系统、请求路由系统等核心系统应具备冗余能力,在多个省份备份,发生故障后能及时切换;CDN设备的处理能力应有足够的冗余度;核心系统间的链路应有冗余备份。
备份数据:系统配置数据、源站托管数据等关键数据应定期同步备份。
人员和技术支持能力:应为用户提供7×24小时技术支持,员工应经过培训并通过考核才能上岗。
运行维护管理能力:运维人员应能及时发现系统异常事件,在规定事件内上报企业管理人员、客服人员,做好对客户的解释工作。
灾难恢复预案:应根据可能发生的系统故障情况制订详细的灾难恢复预案,组织对预案的教育、培训和演练。
CDN标准展望
2011年制订的CDN标准还只是一个尝试,目前《互联网内容分发网络安全防护要求》和《互联网内容分发网络安全防护检测要求》仅对作为第三方对外提供互联网内容分发服务的CDN提出安全防护要求和检测要求,随着后续CDN安全防护工作的深入开展、CDN面临的安全风险不断变化,CDN安全防护标准还会不断修订完善。
网络安全防护应急预案范文第4篇
关键词:网络信息安全;应急响应;联动系统
随着互联网对各个领域的渗透,我国的网络安全防护任务越来越重。从20世纪90年代至今网络信息安全可分为4个阶段的发展过程,即通信安全、计算机安全、网络安全、内容安全。在这4个阶段中,前两个发展阶段属于运行安全方面―OPSEC。而对于网络基础设施与信息的保护则称之为物理安全―PHYSEC。随着网络的发展,随后又提出了内容安全―CONTSEC,其目的是为了解决信息利用方面的安全问题。为了应对日益增加的网络安全事件,网络安全对抗必须进一步的细化以及升级。在此背景下,应急响应联动系统的建立尤为重要,因为通过系统的建立,可以提高政府对各种网络安全事件的解决能力,减少和预防网络安全事件造成的损失和危害。因此目前对应急响应及联动系统的基础理论、框架构建、技术操作方面的研究尤为重要。
1 应急响应的基本内容
1.1 应急响应系统的建立
为应对网络安全事件发生,事前准备工作或事后有效措施的实施便是应急响应系统建立的目的。应急响应系统包含5个步骤。
(1)管理。即组织对事情发生前后人员之间的职能划分。
(2)准备。对于各种网络安全事件提前制定的一些应急预案措施。
(3)响应。网络安全事件发生后进行,系统对事件进行安全检测有效防止系统信息进一步遭到破坏,并对已受到破坏的数据进行恢复。
(4)分析。为各种安全事件的应急预案提供调整的依据,提高防御能力。
(5)服务。通过对各种资源的整合为应急响应对计算机运行安全提供更多的有力的保障。
1.2 应急响应系统建立必须遵循的原则
(1)规范化原则。为能保证应急响应系统有效策略的实施,各个组织都应该建立相应的文档描述。任何组织应急响应系统应该有清晰和完全的文档。并有相关的规章条例保证系统的有效运行。组织成员作为应急响应系统的服务者必须遵守相关的条例,也可以写入工作职责来保证系统的有效运行。
(2)动态性原则。信息安全无时无刻不在发生变化,因此各种安全事件的复杂性使得应急响应策略的制定更加具有难度。为了完善应急响应策略就必须注重信息安全的动态性原则,并对策略实时作出相应调整。
(3)信息共享原则。应急响应过程中,系统会提供大量可能与安全事件无关的信息,如果提高应急响应系统中重要信息被发现的可能性,在信息提取过程中,信息共享是应急响应的关键,应该考虑将信息共享的对象与内容进行筛选,交叉分析。
(4)整体性原则。作为一个系统体系应急响应的策略具有整体性、全局性,应该在所有的互联网范中进行安全防护,不放过任何一点的细节,因为一点点的疏漏都会导致全网的瘫痪。整个应急响应策略体系除了要从技术层面考虑问题也要从管理方面着手,因为管理问题而导致的安全事件更为严重。因此,制定管理方法时要投入更多的精力来进行统筹安排,既要完善管理方法,也要注重技术层面。
(5)现实可行性原则。通过判断应急响应策略是否合理性来衡量是否在线上具有可行性。
(6)指导性原则。应急响应系统体系中的策略并非百分之百的解决方案,ψ橹而言,它只是对于处理网络安全事件方法进行一定的指导,而对整个组织工作也只是提供全局性的指导。
2 应急响应系统体系的总体框架
如果对应急响应系统体系进行划分,可以将其划分为两个中心和两个组。
(1)两个中心。应急响应中心与信息共享分析中心。应急响应系统体系的关键是信息共享分析中心。它主要负责的是对中心收集来的各级组织的信息进行交换和共享,并对整个网络作出预警或者事件的跟踪,并对收集来的信息进行整理。而应急响应中心的任务则是对系统体系预案进行管理,通过对信息共享分析中心各种信息安全事件的分类分析并进行应急响应。
(2)两个组。应急管理组及专业应急组。应急组对整个事件进行全局性指导,并协调各个机构,指导各个组织成员对事件进行应急策略的制定。在各类安全事件发生的过程中,应急响应与救援处于一个重要的环节,而专业应急组是环节的关键,是实现信息安全保障的核心。通过应急组的响应迅速使网络系统得到恢复。
3 应急响应的层次
“八方威胁,六面防护,四位一体,应急响应”这句话形容的则是应急响应体系的整个工作过程。
(1)“八方威胁”是指应急响应系统中的网络安全事件。而根据事件的危害程度对其进行编号的话,1类为有害程度最轻的事件,8类则最为严重,俨然一场网络战争。而且一般的安全事件都不是单独发生的,通常许多事件都是紧密联系环环相扣。
(2)“六面防护”防护是指技术层面的防御,主要是风险评估、等级保护、入侵检测、网络监审、事件跟踪和预防6个方面。
(3)“四位一体” 主要是指各个小组的组织保障体系,如应急组、专业组、组织协调机构、专家顾问组。
(4)应急响应。应急响应系统的核心为应急响应的实施功能。应急响应系统通过对网络安全事件的目标进行分类并分析,通过对事件的判断进行事件分级,制定具体的预案或措施,并有通过各个小组进行信息实施,并有技术组对系统进行恢复重建和应急管理,保证目标的信息系统安全。
4 应急响应体系的周期性
通过应急响应系统的工作,分析应急响应联动系统在网络安全事件中可能具有生命周期性。网络安全事件的生命周期从风险分析开始,一般的风险分析包括网络风险评估和资源损失评估等。对风险分析进行正确有效的分析有利于高效率的应急响应。为了这一阶段响应过程的顺利进行,需要制订安全政策以及各种应急响应优先权的各种规定。安全工具与系统、网络配置工具,使网络的安全性与可用性两者之间处于平衡状态。在检测阶段,通过各种手段收集信息,利用系统特征或IDS工具来预测安全事件的发生。之后响应阶段,利用各种手段抑制、消除安全事件并进行有利反击。最后在恢复阶段对受到攻击的对象进行恢复,使其恢复到事件发生之前。网络安全事件的周期性更全面,更实际地概括了应急响应系统的工作过程。
5 应急响应体系的联动性
(1)“六面防护”的联动。 首先由风险评估对网络安全事件作出安全评估并确定其“威胁”等,再由等级保护进行措施制定,对其入侵的主体进行入侵检测确定威胁漏洞所在,再通过网络监审发现安全事件并进行事件跟踪再由事件跟踪对其事件进行分析,并通过预防对响应策略进行调整,并分析防御的有效性。
(2)“四位一体”的联动。联动的主要目的是为了应急响应系统的有效运行,因此应急组、专业组、组织协调机构、专家顾问组之间就要努力做好协调工作。组织协调机构主要负责总体的协调工作,应急组与专家顾问组主要负责对网络安全事件的应急处理工作,同时应急组还承担着对突发的安全事件进行信息收集,分析以及信息上报的工作,并对组织协调机构提出的相关事件的应急预案或者保护措施进行执行的工作。
(3)应急响应的联动。作为应急响应系统的核心,应急响应实施功能通过信息,在应急预案或保护措施实施过程中,对事件的发展情况、处理进程进行全程跟踪。尤其是在事后对事件进行跟踪分析,从而进行恢复重建,排除事件对系统产生的威胁。除了对事件进行全程跟踪外,作为核心,还应对相关的应急资源进行协调,做好应急管理工作。
网络安全防护应急预案范文第5篇
关键词:地市烟草;网络安全;技术;管理
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2014) 02-0000-02
烟草行业自1985年有了第一台计算机以来,经过20多年行业信息化工作者孜孜不倦的努力,行业的信息化建设工作取得了长足的发展,建立了涵盖行业各个方面工作的完备的信息网络,为行业工作的便捷开展提供了可靠的信息化助力,为“卷烟上水平”做出了应有的贡献。但不可否认的是,在信息化建设之初,由于经验的缺乏及技术的限制,没有形成一个具有远见性及科学性,能与行业整体业务发展战略紧密融合的信息网络安全建设战略,导致多年来行业信息网络安全建设工作缺乏统一的导向和组织,虽然各省烟草公司都制定并出台了计算机网络建设与管理规范,指导各地市的信息网络建设,但因为制度出台时间较短,及网络改造需要流程与时间,可以说目前各地市网络安全建设水平仍不够理想,信息网络安全建设发展至今,越来越多的困难与矛盾开始逐渐凸显。
一、地市烟草公司信息网络安全建设现状
地市烟草信息网络是构成全省烟草信息网络的个体,因此地市信息网络安全建设水平便直接关系全省信息网络建设水平,是构成全省信息网络安全建设的一环,就像构成木桶的一板,依据管理学上“木桶效应”的短板理论,木桶的盛水量由构成木桶的最短的一板决定,当有一个地市信息网络安全建设水平大大低于平均水平,就将大大拉低全省烟草信息网络整体安全防护水平。可以说全省烟草的信息网路安全建设必将是环环相扣的,一环均不得松懈,一环均不得落后。
地市信息网络安全建设关系到全行业主干的网络的安全与稳定,而信息网络环境的复杂性、多变性以及系统的脆弱性、开放性和易受攻击性,决定了信息网络安全威胁的客观存在。当行业人员在享受着信息网络给日常办公带来便利性的同时,信息网络安全问题也日渐突出,信息网络安全建设形势日益严峻。结合地市烟草实际情况分析总结(某地市烟草信息网络安全结构图如下),以及笔者日常的实际工作体会,主要可以总结出当前地市烟草信息网络安全建设还主要存在着以下几方面问题:
(一)将信息网络安全建设理解为单纯的安全设备采购
经过多年的信息化网络安全建设投入,一种简单的理念容易令一些行业信息化工作从业者产生误解,即所谓的信息网络安全建设就是网络安全设备的采购,只要网络安全设备采购部署到位,信息网络安全便高枕无忧,从一定角度来说,这种观点并没有错误,随着信息技术的发展,日益先进强大的网络安全设备层出不穷,人性化的操作界面也使得设备使用与配置变得不再困难,对信息网络安全起到很好的保障。各地市烟草公司也在逐年增加着安全设备的采购数量,网络安全随着安全设备的增加看起来已经不再是问题。但实际情况是这样吗?在实际情况中我们仍然会发现,地市烟草在重视网络安全设备采购的时却较为忽视对网络安全设备采购的前期规划,导致亟需网络设备没有得到采购,或者采购的安全设备没有得到很好的实施。造成重复投资及资产浪费的局面,同时设备上线实施后期的运行维护及更新升级,随着时间的流逝,人为的懈怠与忽视,都导致购买的安全设备没有起到最大的作用。
(二)信网络安全建设偏重技术钻研,忽略日常管理
信息网络安全不能完全依赖技术手段来解决,更多的需要从信息安全日常管理上入手,毕竟信息网络的使用者是人,只有对人的管理到位,才能保证在技术手段搭建的网络安全保障平台下不出现人为操作引发的漏洞。当前地市信息化工作从业者在对信息安全技术钻研方面投以了很大的热情,但对信息网络安全日常管理方面却显得无能为力,或者说掌控能力还不够,虽然制定并颁布了涵盖网络安全各方面的信息化制度,但相关制度却没有得到很好的贯彻执行,很多制度名存实亡,而行业各级员工良好信息网络安全使用习惯始终没有得到养成,信息安全问责机制得不到很好实施,同时而信息中心作为相关信息安全管理制度的制定者,受限于部门职能及自身管理水平所限,导致对制度执行的监督管理能力低下。而在信息网络安全管理不力的情况下,致使再强大的技术防护都无法避免管理缺失形成的隐患。
(三)信息网络安全建设重视对外防护,忽视对内防护
当前网络安全建设更多的针对外来攻击的防护,而忽视对内的安全防护,更多的是在网络边界搭设安全设备抵御从外部而来的非法入侵及非法访问,而针对内部终端用户的审计及跟踪则较为缺失。根据统计结果标明,99.9%的网络安全事件来源于网络内部,而只有0.1%安全事件来自于外部,绝大多网络安全事件来自于以内部客户端为跳板进行的网络攻击。当企业内部存在有恶意的攻击者,他们就能较好的规避防火墙等安全设备的安全策略,并把安全策略转向对于他们有利的一面,对内部网络进行攻击。同时外部的黑客,也能通过木马,能让内部用户运行他们指定的程序,操纵主机,窃取数据,这些都源于当前的信息网络建设对来自网络内部攻击防护较为薄弱,同时对内部网络准入控制把控力度做得较为不足,虽部署有桌面终端管理系统,但在相应策略部署上,没有及时到位,而该系统特殊的技术阻断方式,也在一定程度容易导致其阻断率无法达到100%。
(四)网络安全建设应急机制不健全
目前地市信息网络安全建设更多的是重视的日常安全巡检等日常检查工作,但是对网络突发事件的应急处置则较为欠缺,地市网络安全建设应急机制建立不健全,缺乏相应网络事故应急预案及相关演练,对突况的应变不熟练,导致出现突发的网络安全事故时则会变得手忙脚乱,无法很好应对突发事件带来的异常,促使事故造成的损失愈发严重,同时没有良好的容灾备份机制,一旦信息安全事故发生,是否能快速有效的恢复关键数据成为疑问。
二、针对当前网络安全建设现状的一些建议
针对当前地市烟草信息网络安全建设过程中存在的问题,通过一定的分析总结,参照最新的技术规范及管理理念,以及上级的制度规定,我们试提出以下几条改进建议,以达到全面提升信息网络安全建设实用性、科学性、全面性、稳定性的效果,具体如下:
(一)加强网络安全设备采购的前期规划及合理配置实用
网络安全设备的采购应加强前期规划及需求分析工作,不能无目的,无原则的一味追求高新设备,当前的现状是各地市对网络安全的设备采购均存在着档次及匹配性问题,存在过大及追高的弊病,形成投资浪费,同时由于项目管控能力较弱,前期规划不足,购置的设备在配置实施后等不到很好的使用,或起不到原先预想的效果。因此要加强项目前期规划,做好需求调研与需求分析工作,对网络安全设备应起到的效果及采购设备级别有准确的预估,加强采购项目的整体实施管控,并重点关注设备采购后的实施上线工作,做好安全策略的制定和部署,要充分利用设备、活用设备,充分达到应起的效用,在设备正式上线运行后,要做好安全防护策略的及时更新与修订,作好安全设备的日常巡检工作,保证安全设备始终发挥作用,而不是上线运行一段时间后就闲置不管。通过对购置网络安全设备活用、善用,提升资产投资价值,搭建坚固稳妥信息网络安全环境,促进信息网络安全建设的实用性。
(二)建立完善的信息网络安全日常管理体系
加强网络安全建设的日常管理工作,应以培养员工的良好的网络安全习惯为工作重点。所谓信息网络安全建设“三分技术,七分管理”,管理到位,信息网络安全建设也将事半功倍。一味单纯的依靠技术进行网络安全防护,而管理上存在漏洞,再强大的技术也将一无所用。好的技术,加上完善严密的管理,才能确保信息网络安全、坚固、稳妥。因此要注重建立完善信息安全管理保障体系,加强安全监管和信息安全等级保护工作,要对网络设备的安全性和信息安全专用产品实行强制认证。同时在加强对员工日常信息安全理念培训的同时,要与接入网内的计算机终端使用者签订信息安全责任状,树立“谁使用、谁负责”、“谁管理、谁负责”的信息安全理念,严格落实信息安全责任制,确保员工不敢轻易触碰信息安全底限,养成良好信息网路安全使用习惯。通过建立全面多级信息网络安全管理体系,增进信息网络建设的科学性。
(三)加强信息网络安全建设对内防护工作
地市公司目前均在互联网出口及边界架设了硬件防火墙等安全设备,但由于防火墙的特殊技术架构,其对内部通过防火墙外部的数据是不进行检测的,这就导致黑客可以利用内网主机上的后门程序,建立隐蔽信道,攻破防火墙,因此其在抵御外部攻击上起到较好作用,但面对来自网络内部的攻击就显得束手无策,针对这一情况,在进行信息网络安全建设的同时,应重点加强信息网络安全的内部防护工作,而加强对客户端的上网行为审计及网络准入控制,就成了加强信息网络内部安全建设的必然选择。客户端接入网络的同时,通过对其安全状况及授权情况进行检测,只有安全状况符合要求,得到合理授权的客户端才能正常接入办公网络。应在互联网出口处,防火墙之前,部署上网行为管理设备,对客户端出互联网的数据进行检测及筛选,降低客户端进行危险的互联网访问,感染病毒,遭受攻击的分险。通过加强信息网络安全建设的内部防护,提升信息网络安全的全面性。
(四)加强信息网路安全建设应急机制建设及演练
要加强信息网络安全建设的应急机制建设,加强应急预案的实施演练,增强对网络安全突发事件的应急处理能力。每年应进行定期仿真度高的应急方案演练,模拟网络安全事故发生时可能发生的情况,进行针对性演习。在方案演练前,要做好演练前期的方案策划,演练过程的完全记录,演练过后的总结分析工作。并以此来不断改进现有的应急预案。同时应做好容灾备份工作,进行关键网络设备的冗余配置及重要数据库的备份工作,确保发生突发事件后,能够及时进行网络及数据恢复工作,将突发事件带来的影响降到最低,不过多的影响正常办公业务的开展,确保信息网络安全的稳定性。
四、结束语
烟草是个比较特殊的行业,在专卖体制下实行“统一领导?垂直管理?垄断经营”,处于一种行政限产型的垄断状态。行业的特殊性要求我们必须克服特殊体制带来的缺陷,高效的开展行业信息化建设工作。地市信息网络安络,作为全省信息网络的组成部分,其信息安全建设水平决定了全省信息网络安全性与稳定性,其重要性不言而喻,只有重视信息网络安全建设,重视当前信息网络安全建设过程中发现的问题,通过科学的规划,合理的布局,周密的实施,去逐渐改变当前的不利局面,才能确保信息网络安全建设的科学性、全面性、稳定性与实用性,确保日常信息网络的平稳运转,为全行业的快速发展提供稳定强大的信息化助力!
参考文献:
[1]福建省烟草公司.计算机网络建设与管理规范[Z].2012.
[2]卢昱,王宇.信息网络安全控制[M].北京:国防工业出版社,2011.
