项目安全保障体系建设方案

1、项目安全保障体系建设方案 目录 TOC o 1-2 h z u HYPERLINK l _Toc43372266 第一部分系统建设方案 PAGEREF _Toc43372266 h 2 HYPERLINK l _Toc43372267 1项目概述 PAGEREF _Toc43372267 h 2 HYPERLINK l _Toc43372268 1.1项目背景 PAGEREF _Toc43372268 h 2 HYPERLINK l _Toc43372269 1.2建设单位概况 PAGEREF _Toc43372269 h 2 HYPERLINK l _Toc43372270 1.3建设目标

2、PAGEREF _Toc43372270 h 2 HYPERLINK l _Toc43372271 2项目建设依据 PAGEREF _Toc43372271 h 2 HYPERLINK l _Toc43372272 3安全保障体系建设方案 PAGEREF _Toc43372272 h 3 HYPERLINK l _Toc43372273 3.1安全保障体系总体设计 PAGEREF _Toc43372273 h 3 HYPERLINK l _Toc43372274 3.2安全保障技术设计 PAGEREF _Toc43372274 h 4 HYPERLINK l _Toc43372275 3.3安

3、全管理设计 PAGEREF _Toc43372275 h 10 HYPERLINK l _Toc43372276 3.4安全服务设计 PAGEREF _Toc43372276 h 15系统建设方案项目概述项目背景建设单位概况建设目标项目建设依据中心城区非生活用水户远程监控系统（一期）建设依据的相关标准规范包括：国家电子政务标准化体系电子政务工程技术指南（国信办20032 ）关于我国电子政务建设的指导意见（即17号文件）信息资源规划信息化建设基础工程关于加强信息资源开发利用工作的若干意见（中办发200434号）国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)电子政务信息安

4、全等级保护实施指南（国信办200525号）信息系统安全等级保护基本要求（GB/T 222392008）关于信息安全等级保护工作的实施意见（公通字200466号）信息安全等级保护管理办法（公通字200743号）电子政务业务流程设计方法通用规范（GB/T 19487-2004）计算机软件需求说明编制指南（GB/T 9385-2008）计算机软件文档编制规范（GB/T 8567-2006）中华人民共和国计算机信息系统安全保护条例（国务院令第147号）信息技术安全技术信息技术安全性评估准则（GB/T 18336-2001）GB/T 9385-2008 计算机软件需求规格说明规范计算机软件需求说明编制指

5、南（GB9385-1988）功能建模方法IDEF0（IEEE 1320.1-1998）信息建模方法（IEEE 1320.2-1998）中华人民共和国计算机信息系统安全保护条例计算机信息系统保密管理暂行规定（国保发19981号）计算机软件产品开发文件编制指南（GB/T 8567-1988）计算机信息系统安全保护等级划分准则（GB/T 17859-1999）涉及国家秘密的计算机信息系统安全保密方案设计指南（BMZ2-2001）信息技术开放系统互联高层安全模型（GB/T 17965-2000）信息技术开放系统互联基本参考模型（GB/T 9387）信息技术开放系统互联应用层结构（GB/T 17176-

6、1997）信息技术开放系统互联开放系统安全框架（GB/T 18794）信息技术开放系统互联通用高层安全（GB/T 18237）数据元和交换格式信息交换日期和时间表示法ISO 86011988电子政务数据元计算机软件需求说明编制指南（GB/T 9385-1988）计算机软件产品开发文件编制指南GB/T 8567-1988。安全保障体系建设方案安全保障体系总体设计安全保障体系设计如下图所示：图 STYLEREF 2 s 3.1 SEQ 图 * ARABIC s 2 1安全体系设计示意图上图中的安全体系设计需要依托电子政务云计算中心的信息化安全保障体系来建设。本项目需要建设的内容主要涉及到本项目相关

7、的网络安全、主机系统安全、应用安全、数据安全及备份恢复等内容。安全保障技术设计网络安全网络安全设计应分析非生活用户远程监控系统局域网网内、网络边界以及广域网络间面临的安全风险，从优化局域网网络结构、提高网络边界抗攻击能力、保障网络边界完整、保障网络间传输安全以及全面提升网络的可审计能力等多方面，全方位整体设计，力求构筑非生活用户远程监控系统安全可靠的网络平台。网络结构安全局域网网络结构可以采用三层的网络拓扑设计：即接入层、汇聚层、核心层。关键核心网络设备根据需要进行冗余备份及负载均衡设计。根据机构业务的特点，在满足业务高峰期需要的基础上，进行网络带宽管理及流量控制。局域网根据各部门的工作职能、

8、重要性、所涉及信息的重要程度等因素，划分不同的安全域。安全域通过可以划分VLAN的方式或通过部署防火墙等安全设备的方式隔离不同安全区域。安全域需要保证边界清晰，并设置合理的域间安全控制策略及措施。网络边界的抗攻击网络边界抗攻击防护设计的思想是部署防火墙、网络病毒防护等边界防护产品，并统一对各产品集中管理。使产品优势互补，集中联动，最大限度的实现提高网络边界的抗非法攻击能力。防火墙用来防止来自外部的网络非法接入和访问。它根据系统管理员设定的安全规则把守网络，提供强大的访问控制、入侵防御等功能。防火墙可以根据需要部署在网络出口处。并根据需要做备份及负载均衡设置。天融信NGFW4000防火墙具备入侵

9、检测功能。入侵检测是一种在网络上自动、实时的入侵检测和响应系统，它能够实时监控网络传输情况，自动检测可疑行为，分析来自网络外部和内部的入侵信号，在网络受到危害前发出警告，最大程度地为网络提供安全保障。发现非法行为并报警的同时，防火墙进行及时阻断。网络传输加密对于市级应急信息平台、区县应急信息平台和乡镇应急信息平台需要通过专线方式接入市政务外网与其他外部网络互连。由于传输的数据可能属于涉密工作秘密的敏感信息，而公共网络平台的开放性会造成系统泄密或被恶意存在的风险，因此需要做加密保护。网络传输加密设计可以有两种实现方式：适用于实现局域网间传输加密的IPSEC VPN和适用于移动单机与局域网间传输加

10、密的SSL VPN。使用VPN技术构建传输加密通道通常使用IPSEC VPN或者SSL VPN技术。SSL VPN技术比IPSEC VPN方式更为灵活，管理简单，适合非生活用户远程监控系统的网络环境。SSL VPN功能优势：SSL VPN不需要安装客户端软件。远程用户只需借助标准的浏览器连接Internet，即可访问企业的网络资源。这就易于安装和配置，明显降低成本只要安装好SSL VPN，后需的专业服务需求较少，所以维护成本可以忽略不计。SSL VPN可以在任何地点，利用任何设备，连接到相应的网络资源上。SSL VPN通信运行在TCP/ UDP协议上，具有穿越防火墙和NAT的能力。这种能力使S

11、SL VPN能够从网络防火墙背后的客户端安全访问处于中心网络内中的服务器资源。IPSec VPN通常不能支持复杂的网络，这是因为它们需要克服穿越防火墙、IP地址冲突等困难。良好的安全性：SSL VPN使用SSL代理为上层应用提供服务，只向用户提供针对授权资源的代理连接，远程用户不会直接连接到网络上，因而不会威胁到其他网络资源，提供更高的安全性。SSL VPN还具有精细的访问控制能力，可以为不同的用户提供不同的访问权限。这种精确的访问控制功能是IPSec VPN通常所不具有的。主机系统安全病毒防护非生活用户远程监控系统需要构建整体的病毒防护系统。包括服务器及终端的病毒防护、邮件及其他应用系统的病

12、毒防护等。防病毒软件的功能是否强大除了体现在查毒和杀毒功能外，还体现在病毒库的升级速度上。因此，防病毒系统必须具有快速统一的升级能力。同时，为了保证系统整体的安全性，防病毒系统必须建立统一的升级机制，以进行全系统的升级。补丁升级操作系统以及数据库的补丁系统需要定期更新升级以减少安全漏洞。补丁的升级较为频繁，需要构建自动的补丁升级系统和策略。补丁程序的更新升级频率可以视情况而定，如政务外网可以定为至少一天一次。操作系统及数据库安全操作系统安全及时安装升级操作系统补丁，定期进行漏洞扫描；充分利用网络监控与审计功能，对操作系统的漏洞所带来的安全隐患问题进行监控。重要服务器和安全保密设备尽可能采用经国

13、家相关主管部门认可的安全操作系统，并对其采取安全加固措施。处理核心业务及涉密信息的应用终端要使用C2级或C2以上安全级别的操作系统产品，并进行安全配置。使用基于主机的入侵检测系统、病毒和恶意代码检查系统对核心重要的服务器主机进行保护。数据库安全数据库内存在大量敏感数据，需要做重点保护。选用经国家相关主管部门批准使用的安全数据库，或采用安全技术措施（如安全中间件）对数据库在数据存储与访问的保密性、完整性和可用性方面进行安全增强改造。数据库系统都需要及时安装最新补丁，定期进行漏洞扫描，发现漏洞及时处理。同时，还可以使用基于主机的入侵检测系统对数据库进行保护。数据库对于系统可靠性有极高要求，需要具备

14、高效的备份容灾及恢复机制。应用安全统一用户管理非生活用户远程监控系统中存在多个应用子系统，每个应用系统都具备用户管理功能。从系统运行维护角度来看，如果不同应用系统的身份管理部分均相互独立，则对于一个相同用户的管理，需要管理员对多套系统进行类似的输入、编辑及配置，不仅工作重复复杂，而且一旦出错就可能导致各个系统中相同用户信息不一致，加大系统管理与维护难度。因此在本项目中采用统一的用户管理机制。分级授权管理作为三级应急管理应用体系，系统中包含了市级、区县和乡镇的重要政务信息资源，必须避免出现越权访问而导致信息泄露或非法访问，因此需要统一身份认证的基础上，实行严格授权管理与访问控制，为不同的部门和用

15、户精确定义各自的资源访问权限，从而提供责权分明的资源保护机制，真正实现“各职其责，杜绝越权”。即要做到既不影响用户对合法资源的访问，又能防止用户越权访问其它重要系统资源，防止用户危害整个系统安全，同时做到“谁的资源谁管理、谁的资源谁授权”。安全单点登录、信息同步信息系统涉及到全市多个委办局的应用系统，同时在平台内部构成中，也包含了多套应用子系统。为防止在多应用环境下，所导致最终用户在使用性上的不方便，进而影响对整个平台推广使用，因此在可信身份认证的前提下，还需要进一步实现单点登录功能，即用户完成一次系统登录认证后，即可以访问许可范围之内的应用系统，从而减少用户的操作复杂，提高办公效率。统一规范

16、用户标识应急指挥系统需要实现统一入口、统一认证、单点登录和统一访问控制的目标，实现这一目标的基础是需建立起统一命名规则的认证管理规范，包括用户标识、角色标识、机构标识等，简化和降低各实体的命名工作，减少命名重复的几率，方便工作人员记忆和使用，方便信息系统的开发和管理，方便各个信息系统之间用户信息共享与交换。安全审计统一认证管理系统提供了完善的安全审计功能，对系统操作日志、用户操作日志进行详尽审计，提供日志管理、日志策略设置功能。数据安全及备份恢复数据安全设计数据安全设计主要从满足数据的保密性和完整性两个方面考虑。数据保密性通过对重要数据的加密实现文件的存储加密，保证数据在机器中存储以及在网络间

17、传输过程中都是密文。数据完整性保护主要通过数字摘要技术，保证数据的接受方首先验证数据是否被篡改，及时发现数据的完整性是否被破坏。数据备份与恢复应急指挥系统内承载着大量的应急指挥方面的重要数据及信息。一旦数据被意外毁坏将造成重大损失，应急指挥系统对于数据收集的实时性要求非常高，对于业务系统的可用性也是很高的，所以需要一套健全的备份及恢复机制来保证业务系统的可用性。使用数据备份与恢复技术，可以确保在网络系统出现意外事件甚至灾难时，如主机发生故障、数据丢失等现象发生时，可在可控的时间内对业务系统进行恢复，以保证网络服务的顺利进行，提高系统的整体业务连续性。数据备份恢复主要是为了防止因意外或受攻击时造

18、成系统数据和业务数据丢失、损毁，保证数据的安全、可靠、准确。需要对系统数据和业务数据进行自动备份和灾难恢复，同时还需要制订数据存储管理策略和数据备份策略。网络中部署备份服务器、专业备份恢复软件来实现对重要系统数据和业务数据的高效全自动备份和灾难恢复。同时，通过制订灵活的数据存储管理策略可实现无人值守的安全备份，使网络数据存储管理自动化，减少系统管理员的工作量，实现数据存储介质的有效管理，自动检测介质的使用次数、误码率、保存时间等，生成可异地保留的、为灾难恢复为目的的备份数据存储介质。网络中数据备份策略为：利用假日或晚上系统相对空闲的时间，对重要数据每周进行一次全备份，每天进行差分备份；对非重要

19、数据每月进行一次全备份，每个星期进行一次增量或差分备份；同时每月采用磁带或光盘备份方式对所有数据冷备份两份，其中一份异地保存，以防止本地备份数据意外损坏；对存储备份数据介质要按照介质保护要求规范保存。安全管理设计安全管理机构设立信息安全管理工作的职能部门，设立安全主管人、安全管理各个方面的负责人，定义各负责人的职责；设立系统管理人员、网络管理人员、安全管理人员岗位，定义各个工作岗位的职责；成立指导和管理信息安全工作的委员会或领导小组，其最高领导应由单位主管领导委任或授权；制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。配备一定数量的系统管理人员、网络管理人员和安全管理人员等；配备

20、专职安全管理人员，不可兼任；关键区域或部位的安全管理人员应按照机要人员条件配备；关键岗位应定期轮岗；关键事务应配备多人共同管理；授权审批部门及批准人，对关键活动进行审批；列表说明须审批的事项、审批部门和可批准人；建立各审批事项的审批程序，按照审批程序执行审批过程；建立关键活动的双重审批制度；不再适用的权限应及时取消授权；定期审查、更新需授权和审批的项目；记录授权过程并保存授权文档；加强各类管理人员和组织内部机构之间的合作与沟通，定期或不定期召开协调会议，共同协助处理信息安全问题；信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会议，协调安全工作的实施；信息安全领导小组或者安全管理委

21、员会定期召开例会，对信息安全工作进行指导、决策；加强与兄弟单位、公安机关、电信公司的合作与沟通，以便在发生安全事件时能够得到及时的支持；加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通，获取信息安全的最新发展动态，当发生紧急事件的时候能够及时得到支持和帮助；文件说明外联单位、合作内容和联系方式；聘请信息安全专家，作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等；由安全管理人员定期进行安全检查，检查内容包括用户账号情况、系统漏洞情况、系统审计情况等；由安全管理部门组织相关人员定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理

22、制度的执行情况等；由安全管理部门组织相关人员定期分析、评审异常行为的审计记录，发现可疑行为,形成审计分析报告，并采取必要的应对措施；制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报；制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动。安全管理制度制定信息安全工作的总体方针、政策性文件和安全策略等，说明机构安全工作的总体目标、范围、方针、原则、责任等；对安全管理活动中的各类管理内容建立安全管理制度，以规范安全管理活动，约束人员的行为方式；对要求管理人员或操作人员执行的日常管理操作，建立操作规程，以规范操作行为，防

23、止操作失误；形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系；由安全管理职能部门定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。在信息安全领导小组的负责下，组织相关人员制定；保证安全管理制度具有统一的格式风格，并进行版本控制；组织相关人员对制定的安全管理进行论证和审定；安全管理制度应经过管理层签发后按照一定的程序以文件形式发布；安全管理制度应注明发布范围，并对收发文进行登记；安全管理制度应注明密级，进行密级管理；定期对安全管理制度进行评审和修订，对存在不足或需要改进的安全管理制度进行修订；当发生重大安全事故、出现新的安全漏洞以及技术基础结构发

24、生变更时，应对安全管理制度进行检查、审定和修订；每个制度文档应有相应负责人或负责部门，负责对明确需要修订的制度文档的维护；评审和修订的操作范围应考虑安全管理制度的相应密级。人员安全管理保证被录用人具备基本的专业技术水平和安全管理知识；对被录用人声明的身份、背景、专业资格和资质等进行审查；对被录用人所具备的技术技能进行考核；对被录用人说明其角色和职责；签署保密协议；对从事关键岗位的人员应从内部人员选拔，并定期进行信用审查；对从事关键岗位的人员应签署岗位安全协议。立即终止由于各种原因即将离岗的员工的所有访问权限；取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；经机构人事部门办理严格的调离手

25、续，并承诺调离后的保密义务后方可离开；关键岗位的人员调离应按照机要人员的有关管理办法进行。对所有人员实施全面、严格的安全审查；定期对各个岗位的人员进行安全技能及安全认知的考核；对考核结果进行记录并保存；对违背安全策略和规定的人员进行惩戒。对各类人员进行安全意识教育；告知人员相关的安全责任和惩戒措施；制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训；针对不同岗位制定不同培训计划；对安全教育和培训的情况和结果进行记录并归档保存。系统建设管理1产品采购确保安全产品的使用符合国家的有关规定；确保密码产品的使用符合国家密码主管部门的要求；指定或授权专门的部门负责产品的采购；制定产品采购

26、方面的管理制度明确说明采购过程的控制方法和人员行为准则；预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单；2工程实施与工程实施单位签订与安全相关的协议，约束工程实施单位的行为；指定或授权专门的人员或部门负责工程实施过程的管理；制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行安全工程过程；制定工程实施方面的管理制度明确说明实施过程的控制方法和人员行为准则；3测试验收对系统进行安全性测试验收；在测试验收前根据设计方案或合同要求等制订测试验收方案，测试验收过程中详细记录测试验收结果，形成测试验收报告；委托公正的第三方测试单位对系统进行测试，并出具测试报告；制

27、定系统测试验收方面的管理制度明确说明系统测试验收的控制方法和人员行为准则；指定或授权专门的部门负责系统测试验收的管理，并按照管理制度的要求完成系统测试验收工作；组织相关部门和相关人员对系统测试验收报告进行审定，没有疑问后由双方签字。系统运维管理1安全事件处置所有用户均有责任报告自己发现的安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点；制定安全事件报告和处置管理制度，规定安全事件的现场处理、事件报告和后期恢复的管理职责；分析信息系统的类型、网络连接特点和信息系统用户特点，了解本系统和同类系统已发生的安全事件，识别本系统需要防止发生的安全事件，事件可能来自攻击、错误、故障、事故或灾难；根据

28、国家相关管理部门对计算机安全事件等级划分方法，根据安全事件在本系统产生的影响，将本系统计算机安全事件进行等级划分；制定的安全事件报告和响应处理程序，确定事件的报告流程，响应和处置的范围、程度，以及处理方法等；安全服务设计运行维护阶段是整个项目真正发挥作用的阶段，运行维护体系包括：组织与人员保障、日常维护管理制度、系统运行监测和故障预警、系统故障处理办法和运行费用预算等。组织与人员保障在系统运行期间，应有专门的组织机构和人员来承担系统的运行和维护工作，制定该机构的责任目标、确定机构的人员岗位编制，以及各岗位责任范围、任职资格和考核指标，并确保人员到位。同时人员保障的另一个重要工作是人员管理，人员

29、管理的主要内容包括：（1）坚持谁管理谁维护的原则：要保证信息系统有效、正确运行的一个重要前提是数据的准确性，在信息系统的运行过程中遵循谁管理谁维护的原则，确保信息的及时性和准确性。（2）用户管理：用户管理是系统运行过程中日常管理的一项重要内容，用户管理的核心内容是系统用户的“账号” 管理。用户管理应同工作人员的升迁、调动、退休等变动相关联。日常维护管理制度完善的维护管理制度是系统正常运行的重要保证。维护管理制度主要包括机房管理制度、运行日志制度、主机检查维护制度、数据备份存储制度、网络安全检测制度、有关系统安全保密的密钥生成、分发、跟踪制度等，并采取相应的措施确保制度得到贯彻和实施。系统运行监

30、测和故障预警充分利用系统提供的管理功能，包括网络管理、系统管理和应用管理等，随时监控系统的运行状况，并定期进行系统运行数据的统计与分析，一旦发现问题，利用管理工具找出问题的原因所在；同时利用相关管理系统中提供的故障预警功能，在系统出现故障之前预先发现问题，发出警报，以便采取相应的防范措施，达到防患于未然的目的。针对系统可能发生的所有类型的故障，制定相应的应急恢复办法和操作规程，并配备备品配件并安排好相应的技术力量，以保障系统在发生故障的情况下，满足业务对系统连续可用性的要求。应急响应及恢复机制应急工作组织应急指挥组应急指挥组由组长、执行组长、成员组成。应急指挥组负责组织应急响应工作的整体规划以

31、及各项应急准备工作，应急预案启动后，应急工作指挥中心负责应急行动后续工作的总体组织指挥工作，应急指挥组成员进入各自相应位置。应急行动的其它各组均在指挥组的统一领导下开展工作。应急指挥组主要职责：1.传达上级的有关指示精神；2.对应急行动的重大事项进行决策；3.应急行动期间的总体组织指挥；4.向上级汇报应急行动的进展情况和向有关单位通报相关情况；5.负责与有关单位进行重大事项的工作协调；6.负责应急行动其它的有关组织领导工作。应急协调组应急协调组由组长、执行组长、成员组成，应急预案启动后，应急协调组成员进入各自相应位置，负责应急行动的相关协调工作，确保各行动组统一协调的工作。应急工作协调中心主要

32、职责：1.传达上级的有关指示精神；2.研究布置应急行动有关具体事宜；3.应急行动期间的组织与协调；4.向上级汇报应急行动的进展情况和向有关单位通报相关情况；5.负责应急行动其它的有关组织协调工作。应急监测组应急监测组由组长、执行组长、成员组成，应急监测组的主要工作是对局域网的运行进行监控，发现（潜在）问题及时报告，并与相关人员进行问题分析，重大问题进入应急流程。应急执行组应急执行组由组长、执行组长、成员组成，应急执行组主要任务是在事件发生后，对事件进行处理与排除。按具体的专业划分为系统应急行动组、网络应急行动组。应急工作处理1）应急物资保障应急行动所需的物资器材应予以充分保障，以确保应急预案落

33、到实处。应坚持对应急行动的设备器材进行定期维护保养，保证完好率达到95%以上，所需的物资应坚持定期补充和更换，始终保持其有效性。2）应急处理程序应急抑制应急抑制的目的是限制安全事件对受保护信息系统造成影响的范围和程度。应急抑制是信息安全应急响应工作中的重要环节，在信息安全事件发生的第一时间内对故障系统或区域实施有效的隔离和处理，或者根据所拥有的资源状况和事件的等级，采用临时切换到备份系统等措施降低事件损失、避免安全事件的扩散（例如蠕虫的大规模传播）和安全事件对受害系统的持续性破坏，有利于应急响应工作人员对安全事件做出迅速、准确的判断并采取正确的应对策略。应急抑制过程中，重要的是确保业务连续性，

34、应尽量保证在备份系统中完全运行原来的业务。如果出现资源紧张，应尽可能保证重要资产优先运行，维持最基本的业务能力。应急抑制分为物理抑制、网络抑制、主机抑制和应用抑制4个层次的工作内容，在发生信息安全事件时，应根据对事件定级的结果，综合利用多个层次的抑制措施，保证抑制工作的及时、有效。物理抑制关闭主机：避免主机遭受外界的安全事件影响，或避免主机对外部环境产生影响。切断网络连接：关闭网络设备或切断线路，避免安全事件在网络之间的扩散。提高物理安全级别：实施更为严格的人员身份认证和物理访问控制机制。环境安全抑制：主要针对环境安全的威胁因素，例如发生火灾时关闭防火门、启用消防设备和防火通道、启动排烟装置、

35、切断电源，发生水灾时启用排水设备、关闭密封门，发生电力故障时启用UPS和备用发动机等。网络抑制网络边界过滤：对路由器等网络边界设备的过滤规则进行动态配置，过滤包含恶意代码、攻击行为或有害信息的数据流，切断安全事件在网络之间的传播途径。网关过滤：对防火墙等网关设备的过滤规则进行动态配置，阻断包含恶意代码、攻击行为或有害信息的数据流进入网关设备保护的网络区域，有效实施针对信息安全事件的网络隔离。网络延迟：采用蠕虫延迟和识别技术，限制恶意代码在单位时间内的网络连接，有效降低蠕虫等恶意代码在网内和网间的传播速度，减少蠕虫事件对受保护网络系统的影响范围。网络监测：提高网络入侵检测系统、专网安全监测系统的

36、敏感程度和监测范围，收集更为细致的网络监测数据。启用网络监测和网络边界过滤及网关过滤的联动机制，提高网络对攻击行为或恶意代码的响应速度。主机抑制系统账号维护：禁用或删除主机中被攻破的系统账号和攻击者生成的系统账号，避免攻击者利用这些账号登录主机系统，进行后续的破坏行为。提高主机安全级别：实施更为严格的身份认证和访问控制机制，启用主机防火墙或提高防火墙的安全级别，过滤可疑的访问请求。提高主机监测级别：提高主机入侵检测系统、主机监测系统的敏感程度和监测范围，收集更为细致的主机监测数据。启用主机监测和主机防火墙、网络边界过滤及网关过滤的联动机制，提高主机对攻击行为或恶意代码的响应速度。应用抑制应用账

37、号维护：禁用或删除被攻破的应用账号和攻击者生成的应用账号，避免攻击者利用这些账号登录应用服务，进行后续的破坏行为。提高应用安全级别：针对应用服务，实施更为严格的身份认证和访问控制机制，提高攻击者攻击应用服务的难度。提高应用监测级别：提高应用入侵检测和监测系统的敏感程度和监测范围，收集更为细致的应用服务监测数据。启用应用监测和主机防火墙、网络边界过滤及网关过滤的联动机制，提高应用服务对攻击行为或恶意代码的响应速度。关闭应用服务：杜绝应用服务遭受来自网络的安全事件影响，或避免应用服务对外部网络环境产生影响。启用陷阱：针对恶意的攻击行为，启用蜜罐陷阱系统，将攻击者转移到陷阱系统，以收集更为详细和准确

38、的信息，用于后续的应急处理和证据保留工作。应急根除在信息安全事件被抑制之后，进一步分析信息安全事件，找出事件根源并将其彻底清除。应急根除分为物理根除、单机根除和网络根除三个层次。为了保证彻底从受保护网络系统中清除安全威胁，针对不同类型的安全事件，应综合采取不同层次的根除措施。物理根除统一采用严格的物理安全措施：例如针对关键的物理区域，统一实施基于双因素或多因素的身份认证和物理访问控制机制，要求用户提供正确的口令和IC卡，并通过指纹识别来完成身份的准确鉴别。环境安全保障：主要针对环境安全的威胁因素，例如使用消防设施扑灭火灾，更换出现故障的电力设备并恢复正常的电力供应，修复网络通信线路，修复被水浸

39、湿的服务器等。物理安全保障：加强视频监测、人员排查等措施，最大限度减少对受保护信息系统可能造成威胁的人员和物理因素。单机根除（包括服务器、客户机、网络设备及其它计算设备）清除恶意代码：清除感染计算设备的恶意代码，包括文件型病毒、引导型病毒、网络蠕虫、恶意脚本等，清除恶意代码在感染和发作过程中产生的数据。清除后门：清除攻击者安装的后门，避免攻击者利用该后门登录受害计算设备。安装补丁和升级：安装安全补丁和升级程序，包括硬件补丁和升级、操作系统补丁和升级、应用系统补丁和升级、安全产品补丁和升级（例如病毒升级库），所安装的内容由各厂商提供，但必须事先由信息安全应急支援中心进行严格的审查和测试，并统一发

40、布。系统修复：修复由于黑客入侵、网络攻击、恶意代码等信息安全事件对计算设备的文件、数据、配置信息等造成的破坏，例如被非法篡改的系统注册表、信任主机列表、用户账号数据库、应用配置文件等。修复安全机制：修复并重新启用计算设备原有的访问控制、日志、审计等安全机制。网络根除所有单机根除：对受保护网络系统中所有的服务器、客户机、网络设备和其它计算设备进行上述单机根除工作。评估排查：对受保护网络系统中所有计算设备进行评估排查，测试是否仍然存在被同种信息安全事件影响的单机。网络安全保障升级：对网络中的安全设备、安全工具进行升级，使其具备对该安全事件的报警、过滤和自动清除功能，例如向防火墙增加新的过滤规则，向

41、入侵检测系统增加新的检测规则，升级网络病毒防御系统等。应急恢复完成安全事件的根除工作后，需要完全恢复系统的运行过程，把受影响系统、设备、软件和应用服务还原到它们正常的工作状态。如果在抑制过程中切换到了备份系统，则需要重新切换到已完成恢复工作的原系统。恢复工作应该十分小心，避免出现误操作导致数据的丢失或损坏。恢复工作中如果涉及到国家秘密信息，须遵守保密主管部门的有关要求。恢复工作共分为五个阶段：系统恢复阶段、网络恢复阶段、用户恢复阶段、抢救阶段和重新部署/重入阶段。系统恢复阶段负责恢复关键业务需要的服务器及应用程序。系统恢复过程完成的标志是数据库已经可用、用户的数据通讯链路已经重新建立、系统操作

42、用户也已经开始工作。网络和用户恢复任务与系统恢复是同步进行的。网络恢复阶段负责安装通信设备和网络软件，配置路由及远程访问系统，恢复语音通信及数据通信，部署设置网络管理软件和网络安全软件等，恢复受灾系统的网络通信能力。用户恢复阶段用户恢复任务与系统恢复任务和网络恢复任务同步进行，包括取回恢复工作所需的资料并分发，联系预先指定的供应商和服务商，协调工作站、外围设备、影印设备、传真和其它办公设备的运输工作，修复办公局域网和语音通信能力，协助安装和测试硬件，恢复用户相关的日常事务工作，例如邮政业务、交通运输、后勤保障等。当系统和网络就绪之后，使用抢救出来的记录和备份存储的数据和信息，尽快恢复数据库。抢

43、救阶段抢救行动与其它灾难恢复工作同步进行，包括收集和保存证据，评估数据中心和用户操作区环境的恢复可行性和花费，抢救数据、信息和设备并转移到备份区域。重新部署/重入阶段根据灾难恢复计划中定义的工作职能，使系统、网络和用户重新部署到原有的或新的设施中，并把应急状态下的服务级别逐步切换回正常服务级别。事后分析信息安全事件的应急响应工作除保证实施准确、高效的应急处理之外，另一重要事项是及时吸取经验教训，及时整改修正，避免相同或类似安全事件的再次发生。事后分析工作的意义不仅体现在本次信息安全事件的处理上，更重要的是有助于确定安全问题的深层次原因，总结处理紧急安全问题的经验和教训，评估和修正现有安全机制的

44、不足，为后续可能发生的信息安全事件的响应过程提供参考。事后分析工作的目标是回顾并整理发生信息安全事件的各种相关信息，尽可能将所有情况记录到文档中，研究事件发生的全过程，分析导致事件发生的根本原因，评估系统遭受的损失，并根据分析和评估结果对现有的工作方案作出调整。对累次事件或同期多个事件的事后联合分析更有意义。针对信息安全事件的事后分析工作包括损失评估、审计分析以及对应急预案的评估修正。损失评估评估信息安全事件对受保护信息系统在各方面所造成的损失。由于受保护系统本身的特性和安全需求有所不同，例如功能定位、服务需求、网络状况、系统状况、人员状况等，损失评估必须综合考虑信息安全事件造成的直接和间接的

45、影响，需考虑的因素包括：受损设备和设施：包括受到信息安全事件破坏或影响的服务器、客户机、输入输出设备、网络设备、通信线路、办公设备、安全设施、建筑物以及所有其它相关的设备设施。受损数据：包括受保护系统中由于信息安全事件而遭到窃取、篡改或删除的数据，例如人事档案、公文、安全日志等。受损服务：由于受到信息安全事件的影响，无法向用户或公众提供相应的服务，例如某单位的Web服务器由于遭受拒绝服务攻击，无法为公众提供信息查询和电子政务功能。人力耗费：发生信息安全事件后，应急响应体系为了完成事件分析、事件处理、灾难恢复等工作所耗费的人力资源。公众形象：由于信息安全事件的发生而影响到单位公众形象，由此导致的无形资产损失。某些敌对组织正是出于这个目的，对信息系统进行恶意攻击和破坏。重建资源：发生信息安全事件后，为了完成系统的重建恢复工作所耗费的各种资源，包括硬件、软件、人员、经费、通讯、能源、运输等。审计分析对发生的信息安全事件进行审计分析，确定受保护信息系统中被安全事件所利用的漏洞，查明事件发生的原因，并提出相应的整改措施，综合利用技术、人员、管理等各方面的手段，避免相同或类似信息安全事件的再次发生。该项