安小圈
第591期
网络安全 · 应急响应

一、网络安全事件类型与分级
2017 年中央网信办发布《国家网络安全事件应急预案》,其中把网络信息安全事件分为恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类。根据网络安全事件对国家安全、社会秩序、经济建设和公众利益的影响程度,可以将网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件和一般网络安全事件,具体如下图所示。
网络安全应急响应预案是指在突发紧急情况下,按事先设想的安全事件类型及意外情形,制定处理安全事件的工作步骤。一般来说,网络安全应急响应预案的基本内容如下:
• 详细列出系统紧急情况的类型及处理措施。
• 事件处理基本工作流程。
• 应急处理所要采取的具体步骤及操作顺序。
• 执行应急预案有关人员的姓名、住址、电话号码以及有关职能部门的联系方法。
按照网络安全应急响应预案覆盖的管理区域,可以分为国家级、区域级、行业级、部门级等网络安全事件应急预案。不同级别的网络安全应急响应预案规定的具体要求不同,管理层级高的预案偏向指导,而层级较低的预案侧重于网络安全事件的处置操作规程。目前,国家相关部门、地方政府、行业机构都已经陆续开展网络安全应急响应机制的基础性工作。国家有关部门已经颁布了《国家网络安全事件应急预案》 《公共互联网网络安全突发事件应急预案》。网络安全应急响应要根据网络信息系统及业务特点,制订更具体化的应急响应预案, 一般要求针对特定的网络安全事件给出具体处置操作,如恶意代码应急预案、网络设备故障应急预案、机房电力供应中断应急预案、网站网页篡改应急预案等。下面列举出核心业务系统、门户网站、外部电源中断、黑客入侵等应急处置程序参考模板。
1、核心业务系统中断或硬件设备故障时的应急处置程序( I级)
事件触发:当发现核心业务系统中断或硬件设备故障时,启动I级处置程序。具体应急操作如下:
• 迅速判断故障节点,启用备用设备或线路。
• 如防火墙发生故障,将防火墙最近一次配置备份文件导入备用防火墙中,然后将故障设备替换为备用设备,设备替换完成之后,首先检查网络的连通性,确认能够正常访问业务系统,然后再检查防火墙的状态及策略是否正常。
• 如因交换机发生故障,启用备用设备,将故障交换机的备份配置文件导入备用设备, 然后检查各用户的网络访问是否正常。
• 如发生属于上级信息网络管理部门的网络故障,立即向上级信息网络管理部门报障, 要求尽快恢复网络运行。
2、门户网站及托管系统遭到完整性破坏时的应急处置程序( I级)
事件触发:当发现门户网站或本单位在互联网上运行的其他业务网站内容被篡改或遭破坏性攻击(包括严重病毒)时,启动I级处置程序。具体应急操作如下:
• 立即断开网站与互联网的连接,并停止系统运行。
• 首先将被攻击(或被病毒感染)的服务器等设备从网络中隔离出来,保护好现场。
• 由网站及相关业务系统人员负责恢复与重建被攻击或被破坏的系统,恢复系统数据。
• 追查非法信息来源,向上级主管部门或公安部门报警。
3、外网系统遭遇黑客入侵攻击时的应急处置程序(II级)
事件触发:当发现门户网站、电子邮件系统等遭遇黑客入侵攻击时,启动II级处置程序。具体应急操作如下:
• 立即断开网站和相关系统与互联网的连接。
• 使用防火墙对攻击来源进行封堵。
• 记录当前连接情况,保存相关日志。
• 向上级主管部门或网监部门报警。
• 在强化安全防范措施的基础上,修复网站或相关系统后,将其重新投入使用。
4、外网系统遭遇拒绝服务攻击时的应急处置程序(II级)
事件触发:当发现门户网站、电子邮件系统等互联网业务网站遭遇拒绝服务攻击时,启动II 级处置程序。具体应急操作如下:
• 使用防火墙对攻击来源进行封堵。
• 更改DNS解析,将拒绝服务攻击分流。
• 记录当前连接情况,保存相关曰志。
• 通过以上程序仍无法解决时,即断开网站与互联网的连接,并向上级主管部门或公安部门报警。
• 在互联网管理部门和公安部门的协助下解决此项应急工作。
5、外部电源中断后的应急处置程序 (II级)
事件触发:当发现外部电源中断故障时,启动II级处置程序。具体应急操作如下:
• 手动切换至备用供电线路。
• 立即查明断电原因。
• 如因局内部线路故障,迅速联系物业管理部门恢复供电。
• 预计停电 1 小时以内,由UPS供电(适用无备用供电线路的情况)。
• 停电超过 1 小时,关闭网络设备、服务器、精密空调、 UPS 电源设备和配电柜总开关等设备,并关闭机房所有设备。
END
原文始发于微信公众号(安小圈):网络安全应急响应预案内容与类型
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论