1、1.1.1 应急响应设计安全应急响应与计划是 XXX 涉密信息系统运行安全的主要内容之一。意外事件是不可避免的,即使 XXX 涉密信息系统有良好的安全系统,仍可能发生事故。当事故发生时,网络管理部门要在第一时间作出正确的响应。事件响应计划应指定事件响应小组和事件响应步骤。要在事件响应计划中包括所有可能的情况是不现实的,但一个设计良好的事件响应计划应该包括每一种合理的情况。对事故的响应要依赖于成员单位安全部门和其他小组成员的技术能力。XXX 涉密信息系统安全应急响应与计划包括如下部分:1) 事件响应小组;2) 事件确认;3) 事件升级;4) 控制措施;5) 事件根除;6) 事件文档;7) 事件响
2、应清单;8) 应急计划。1.1.1.1 泄密事件应急响应流程 (一)分级响应程序1) 保密应急事件等级标准 一级应急事件:受境内外情报部门派遣或间谍指使,通过非法手段窃取国家秘密的。 二级应急事件:严重违反保密规定或受重大突发事件影响,造成国家秘密发生失泄密,损失较大的;为个人或团体的私欲通过非法手段窃取敏感信息,严重影响企业发展的。 三级应急事件:违反保密规定或受重大突发事件影响,使国家秘密失泄密,损失轻微的。2) 凡发生上述应急等级事件,预案启动。发生三级应急事件,由应急现场处置指挥负责处理。其职责是:现场调查、宣传教育、堵塞漏洞,提出处理意见,向单位主管领导报告。3) 对一、二等级的应急
3、事件,由重大突发事件总指挥或副总指挥实施领导,指挥保密办、定(解)密工作领导小组、科技领导小组、计算机网络安全保密领导小组等部门的工作人员做出具体工作。(二)信息报送和处理原则上是书面报告,可先用电话向保密办报警,然后再用书面上报。信息要在第一时间内报送,一定要表述清楚事件发生的时间、地点、人物、性质、损失等。涉及机密以上失泄密事件时可直接向重大突发事件总指挥报告。如需要向上级业务部门报告信息时,应请示 XXX 主管部门领导批准,由保密办执行。(三)紧急处置1) 应急指挥部成员单位接到总指挥部的命令后,立即派相关专家和工作人员赶赴现场,并携带好必备的检测设备、勘查照相设备、取证物品设备。2)
4、事件发生单位安排人员控制出口,杜绝员工围观并将有关当事人留守在原地或安全场所,等待调查询问,保护有关取证实物。3) 备好有关检测软件和设施,电视台配备摄像机,备好车辆,以上部门根据指挥部命令,赶赴现场参加紧急处置。4) 保密办及时传达应急处置指挥部的命令,协调有关部门及配备设施赴现场,同时保密工作人员应尽快到达现场做好取证工作,落实紧急补救措施(四)应急人员和重要物资的安全防护1) 将密级载体转移到安全场所或加以保护;2) 停止涉密信息系统和涉密设备的工作状态;3) 将涉密人员转移到安全场所或加以保护;4) 对重大失泄密或窃密当事人加以监护,防止意外;5) 将参加研制工作的人员立即疏散到安全部
5、位。(五)突发事件保密方面的调查、处理、监测与后果评估突发事件保密方面的调查、处理、监测与后果评估,由保密办、定(解)密工作领导小组、计算机网络安全保密领导小组的专家和工作人员组成的联合小组负责,由保密办召集。(六)突发事件与新闻报道突发事件的新闻报道实行统一指挥,由宣传部门统一报道。需要保密的内容要严格防止外泄,对重大失泄密事件和窃密事件应严格控制知悉范围,待总指挥部决策后由保密办统一报告或接待有关部门。(七)应急结束根据应急处置总指挥部的指示,统一发布结束信息。五、应急保障(一)通信与信息保障应急期间,各信息员要继续注视事态发展,随时通报动态反映,确保信息畅通。保密办工作人员应不间断进行信
6、息采集和分析工作。(二)应急支援与装备保障为确保 XXX 保密要害部门部位、重点型号研制场所的安全,武装保卫部应派保卫人员协助做好现场保护和失泄密或窃密当事人的监护,提供必要的车辆和对讲设备,法律事务部协助损失后果的分析和处置工作。六、后期处理(一)各基层保领导小组在应急事件后,要对涉密载体、涉密信息网络进行检查和清理,将损失和检查情况报保密办,保密办要将突发事件保密工作情况和处理意见书面报 XXX 保密委员会。(二)对突发事件保密工作进行总结1) 依据保密法规对突发事件中出现失泄密、窃密的单位和当事人予以处理,应提交司法机关处理的应移交交司法机关处理。2) 依据 XXX 有关保密规定,对在突
7、发事件中杜绝了失泄密、窃密事件的发生,或者果断处置失泄密事件,避免扩大损失的有功人员进行表彰奖励。1.1.1.2 链路故障应急响应流程1) 广域网主、备用线路中断一条后,值班人员应立即启动备用线路接续工作,同时向信息安全负责人报告。2) 信息安全相关负责人员接到报告后,应迅速判断故障节点,查明故障原因。3) 如属我方管辖范围,由信息安全工作人员立即予以恢复。4) 如属电信部门管辖范围,立即与电信维护部门联系,要求修复。 5) 如果主、备用线路同时中断,信息安全相关负责人应在判断故障节点,查明故障原因后,尽快研究恢复措施,并立即向本单位信息化领导小组汇报。6) 如有必要,应向集团信息化主管部门汇
8、报。1.1.1.3 硬件设备故障紧急处理流程1) 设备损坏后,值班人员应立即向信息安全负责人报告。2) 信息安全相关负责人员立即查明原因。3) 如果能够自行恢复,应立即用备件替换受损部件。4) 如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修。 5) 如果设备一时不能修复,应向本单位信息化领导小组汇报。 1.1.1.4 系统软件故障应急响应流程1) 重要的软件系统平时必须存有备份,与软件系统相对应的数据必须按本单位容灾备份规定的间隔按时进行备份,并将它们保存于安全处。 2) 一旦软件遭到破坏性攻击,应立即向信息安全负责人报告,并将该系统停止运行。 3) 检查信息系统的日志等资料
9、,确定攻击来源,并将有关情况向本单位信息化领导小组汇报,再恢复软件系统和数据。4) 信息化领导小组组长召开小组会议,如认为事态严重,则立即向集团信息化主管部门报告。1.1.1.5 火灾应急响应流程当发生火情时,及时向相关负责人报告,根据火情决定是否启动应急预案。(一) 如局部发生火险,火势很小,极易扑灭时,发现人员在及时报警的同时,利用现场器具进行扑救,其它人员到场后,可视情况调集其他部位的灭火器进行扑救。(二) 如火势较大,有可能蔓延时,要立即向公安消防部门报警,同时向领导报告,并通知有关人员启动应急预案,打开消防通道,疏散人员,隔离电源,有关人员接到通知后,各工作小组自动组成,迅速到位,按
10、各自职责展开工作:1) 报警及扑救组要立即调集所属成员和灭火器具扑救和控制火灾。并随时向指挥部报告火场情况。2) 疏散组要迅速打开起火部位疏散门组织火场人员按疏散路线撤离至安全地带。3) 引导组要派出人员车辆到路口迎候消防车等并引导至现场。4) 在公安消防队到场后,扑救组撤出火场,转为警戒组,协助公安部门作好外围警戒。5) 医疗救护组根据现场情况做好伤员救治。1.1.1.6 水灾应急响应流程1) 日常用水后要关好阀门发现水管、暖气有渗露,要及时与维修部门联系;2) 一旦发现跑水,第一责任人应及时报告负责人:3) 在场的其他人员要立即关闭水、暖流气的总阀门,并向领导汇报;4) 值班人员根据现在情
11、况确定是否需要关闭设备、切断电源。5) 及时清理室内、外的积水。1.1.1.7 断电应急响应流程突发性停电事件:1) 发生停电故障时,相关设备应急供电由 UPS 负责。由于电池容量有限,应急供电主要保通讯设备、各类服务器供电。在供电正常后,技术管理人员负责通知内各单位恢复正常操作并上报应急领导小组,同时通知各部门恢复正常工作。2) 应及时判定故障原因,确定恢复供电时间,并由专人做好故障处理全过程的记录工作。3) 当确定恢复供电所需时间超过 UPS 可支持时间时,应立即关闭服务器及各种网络设备。4) 供电恢复后,应仔细核查设备的运行状态,待全部正常后由应急领导小组发布通知,解除应急状态。 5)
12、信息化应急领导小组组织专人对电源故障进行登记备案工作。计划性停电事件:1) 技术管理处和机关后勤服务中心向本单位各业务部门通报停电区域和停电时间。2) 应急领导小组负责安排指导各相关部门在停电期间的工作。3) 供电恢复后,应仔细核查设备的运行状态,确认全部正常后由信息化应急领导小组发布通知,解除应急状态。1.1.1.8 制冷设备故障应急响应流程1) 制冷设备损坏后,值班人员应立即向信息安全负责人报告。2) 如果能够自行恢复,应立即用备件替换受损部件。3) 如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修。 同时监控网络设备的运状况,关闭不重要的设备,避免机房温度过高。4) 如果
13、设备一时不能修复,应向本单位信息化领导小组汇报。 1.1.1.9 病毒爆发应急响应流程1) 当发现有计算机被感染上病毒后,应立即向信息安全负责人报告,将该机从网络上隔离开来。2) 信息安全相关负责人员在接到通报后立即赶到现场。3) 对该设备的硬盘进行数据备份。4) 启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。5) 如果现行反病毒软件无法清除该病毒,应立即向本单位网络信息安全工作小组报告,并迅速联系有关产品商研究解决。6) 各单位网络信息安全工作小组组长召开小组会议,如认为事态严重,则立即向上级单位报告。7) 如果感染病毒的设备是主服务器,经本单位网络
14、信息安全工作小组同意,应立即告知各下属单位做好相应的清查工作。8) 病毒爆发事件处理完毕,将计算机重新接入网络;9) 总结事件处理情况,并提出防范病毒再度爆发的解决方案;10) 实施必要的安全加固。1.1.1.10 网络攻击应急响应流程 1) 发现系统服务器被远程控制、植入后门程序,或发现有黑客正在进行攻击时,应立即向信息安全负责人通报情况;2) 如服务器已被入侵,将被攻击的服务器等设备从网络中隔离出来,保护现场;3) 信息安全负责人应在接到通知后立即赶到现场,做好必要记录,妥善保存有关记录及日志或审计记录;4) 由信息安全小组对受攻击的网站、业务系统和办公系统进行现场分析,追查攻击源,修改防火墙等设备的安全配置阻断黑客继续入侵。 5) 分析后台数据库操作日志,判断是否发生数据失窃。检查、校验数据的完整性和有效性;6) 信息安全小组提取相关数据样本后,恢复与重建被攻击或破坏的系统。如情节构成违法犯罪的,由公安系统立案侦查;重新将恢复后的服务系统接入网络; 7) 总结事件处理情况,并提出防范再度发生的解决方案;8) 实施必要的安全加固。
