信息安全事件与应急响应PPT课件.ppt

信息安全管理 第二版 信息安全事件与应急响应 提纲 1 引言2 国家标准3 网络与信息安全事件分级4 组织和制度5 应急预案6 应急处置流程 1 引言 中华人民共和国突发事件应对法 突发事件 指突然发生 造成或者可能造成严重社会危害 需要采取应急处置措施予以应对的自然灾害 事故灾难 公共卫生事件和社会安全事件 网络与信息安全事件 依据 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 文件精神 可理解为是由网络和信息系统直接或间接产生的 对 国家安全 社会稳定 经济发展 公众利益 造成或可能造成严重危害的事件 1 引言 网络与信息安全事件具有无征兆突发 可迅速扩散大范围传播 危害程度难以估测等特征正确应对和科学处置网络与信息安全事件就显得十分必要和重要 2 国家标准 信息安全技术信息安全事件分类分级指南 GB Z20986 2007 为信息安全事件的分类分级提供指导 用于信息安全事件的防范与处置 为事前准备 事中应对 事后处理提供一个基础指南 可供信息系统和基础信息传输网络的运营和使用单位以及信息安全主管部门参考使用 2 国家标准 信息安全技术信息安全事件分类分级指南 GB Z20986 2007 按信息安全事件的起因 表现 结果等把网络与信息安全事件分为有害程序事件 网络攻击事件 信息破坏事件 信息内容安全事件 设备设施故障和灾害性事件等6类30种 3 网络与信息安全事件分级 中华人民共和国突发事件应对法 规定 突发事件的分级标准 和 预警级别的划分标准 由国务院或者国务院确定的部门制定考虑到信息系统的重要程度 系统损失和社会影响等因素 将网络与信息安全事件分为四级 级 特别重大网络与信息安全事件 级 重大网络与信息安全事件 级 较大网络与信息安全事件 级 一般网络与信息安全事件 4 组织和制度 重大网络与信息安全事件的应急处置工作 应列入国家重大突发事件应对体系中建设规划 建立专业的网络与信息安全事件应急预案 建设国家 地区 部门 和企事业单位的三级应急处置组织指挥体系在组织应对网络与信息安全事件工作中 要建立常设或非常设的统一 灵敏 协调的组织机构 负责统一指挥 协调特别重大网络与信息安全事件的应急处置工作综合分析 研判网络与信息安全形势 制定应急处置预案 指导协调有关应急技术支撑队伍开展工作 4 组织和制度 国家机关部门对本行政区域内的网络与信息安全事件的应对工作负责 负责本区域自建自管信息系统网络与信息安全事件的预防 监测 报告和应急处置工作 并配合有关部门做好本行政区域内其他网络与信息安全事件的处置工作建立网络与信息安全应急专家咨询机制 为网络与信息安全事件的预防和处置提供技术咨询 4 组织和制度 建立网络与信息安全信息通报机制 公布信息安全事件接警窗口渠道 如报警电话等 广泛收集重要的网络与信息安全事件监测预警信息 为专业研判网络与信息安全事件部门提供情报信息建立健全规章制度 明确职责和运行规则 做到科学 有序 无缝隙连接高效运行 4 组织和制度 应急技术支援力量是处置信息安全事件工作中必不可少的技术保证网络与信息安全事件的起源 传播 危害及防范 处置等都表现出专业性 技术性和对抗性非常突出的特征建立国家 地方和企事业单位的三级应急技术支援保障体系 分别承担网络与信息安全事件的应急技术支援工作 5 应急预案 为提高应对网络与信息安全事件的能力 在发生网络与信息安全事件的情况下 高效有序地开展应急处置工作 必须编制 网络与信息安全事件应急预案 借鉴网络与信息安全保障和应急处置成功经验原则统一指挥 密切协同 快速反应 科学处置 5 应急预案 建立网络与信息安全事件应急组织机构 明确各成员单位的分工和职责提出监测预警 应急响应 信息管理 后期处置等工作措施突发事件预防应急处置在明确预警级别和应急响应机制的基础上 完善基本工作流程和信息安全预案体系 5 应急预案 编制依据 中华人民共和国突发安全事件应基处置能力应对法 国家突发公共安全事件应急处置能力总体应急预案 国家网络与信息安全事件应急处置能力应急预案 信息安全事件应急处置能力分类分级指南 GB Z20986 2007 5 应急预案 预案主要内容编制依据网络与信息安全事件分类分级组织体系预警预防机制 预警信息 预警级别与发布 应急处置 信息报告与处理 应急响应 先期处置 应急指挥与协调 后期处置 系统恢复 信息发布 应急保障监督管理 宣传教育 培训 演练 责任与奖惩 预案管理 5 应急处置流程 建立科学的网络与信息安全事件应急处置流程是规范处置重大网络与信息安全事件的重要保证 5 应急处置流程 网络与信息安全事件应急处置流程是以 网络与信息安全事件应急预案 为依据 以安全事件为牵引 建立各工作环节及其相关联系 可清晰描述安全事件应急处置过程 步骤 内容和动作的逻辑关系有助于规范相关部门充分发挥其依法采取的应急处置措施的主导作用 有效整合各种资源 协调指挥各种社会力量 科学开展信息安全事件应急处置工作 把应对突发事件的代价降到最低限度重点建立预警和响应过程规则明确预防与应急准备规则监测与预警规则应急处置与救援规则 5 应急处置流程 预警 预警自接警至预警解除 包括安全事件监测预警 警情研判 预警审定 预警发布 预警响应和预警解除对于可以预警的网络与信息安全事件的预警级别 按照事件发生的紧急程度 发展势态和可能造成的危害程度分为 级 特别严重 对应特别重大网络与信息安全事件 级 严重 对应重大网络与信息安全事件 级 较重 对应较大网络与信息安全事件 5 应急处置流程 预警 安全事件发生后 有关地区 部门要做好先期处置 边报告边开展应急响应相关工作基于对安全事件危害性的认识 应急预案对信息报告的第一要求就是 快 5 应急处置流程 预警 接警按属地管理原则 由本地区 本部门受理该地区 该部门警情信息 并进行初步甄别处理 对超出本地区 本部门的重大安全事件 应及时通报相关管理部门研判工作遵循及时 准确 保密的原则 一般情况按照先中央后地方 先上级后下级 先组织后个人的优先级处理警情信息 研判安全事件等级 5 应急处置流程 预警 研判工作预警前研判 初次接警的研判预警后研判 响应中对安全事件的跟踪研判研判的思想方法先排除高级别的安全事件 不放过 特别重大安全事件 争取每一秒钟的处置时间 5 应急处置流程 预警 启动应急预案 加强监测 预报和预警工作 加强对信息安全事件信息的分析评估 定时发布与公众有关的信息安全事件预测信息和分析评估结果 并对相关信息的报道工作进行管理 公布咨询电话必要时还应当责令应急救援队伍和有关人员进入待命状态 调集应急救援所需物资 设备 工具 准备应急设施 加强对重点单位 重要部位和重要基础设施的安全保卫 及时发布有关避免或者减轻损害的建议 易受危害的系统 设备 数据等予以妥善安置 转移 关闭或者限制使用易受危害的系统 服务 5 应急处置流程 预警 根据事态的发展 适时调整预警级别并重新发布 有事实证明不可能发生安全事件或者危害已经解除的 应当立即宣布解除警报 终止预警期并解除已采取的有关措施 5 应急处置流程 响应 自预警发布开始至总结评估 包括 确定响应等级启动应急指挥体系掌握事件动态决策部署处置实施应急结束总结评估 5 应急处置流程 响应 应急响应等级分为 级 级为最高级别响应 在确定响应等级 并经批准后进入响应状态启动应急指挥体系启动应急处置响应方案组建应急指挥协调班子进入应急状态 5 应急处置流程 响应 事件发生地区或部门要严密跟踪事态发展 及时将事态发展变化情况和处置进展情况报告上级应急指挥协调管理部门信息系统主管部门要立即全面了解本部门建设管理的信息系统受到事件波及或影响的范围及损失程度 并将有关情况及时上报 5 应急处置流程 响应 应急指挥部要全面掌握了解情况 在专家的指导下组织技术力量研究提出应对信息安全事件的策略和技术方案 部署应对处置工作采取技术措施控制事态发展 防止事件蔓延和有害信息扩散查找隐患 尽快恢复信息系统正常运行 及时有效控制 减轻和消除突发事