网络安全和应急工作机制篇1
1总则
为做好应对网络与信息安全事件的各项准备工作,提高应急处理能力,结合本市实际,制定本预案。
1.1编制依据
《中华人民共和国突发事件应对法》、《北京市实施办法》、《北京市信息化促进条例》等法律法规,《国家突发公共事件总体应急预案》、《国家网络与信息安全事件应急预案》、《北京市突发公共事件应急总体预案》、《信息安全事件分类分级指南》(GB/Z20986-2007)等相关规定。
1.2事件分类分级
1.2.1事件分类
网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。
(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障分为软硬件自身故障、保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。
1.2.2事件分级
网络与信息安全事件分为四级:特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)。
(1)符合下列情形之一的,为特别重大网络与信息安全事件(Ⅰ级):
①信息系统中断运行2小时以上、影响人数100万人以上。
②信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁,或导致10亿元人民币以上的经济损失。
③其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络与信息安全事件。
(2)符合下列情形之一且未达到特别重大网络与信息安全事件(Ⅰ级)的,为重大网络与信息安全事件(Ⅱ级):
①信息系统中断运行30分钟以上、影响人数10万人以上。
②信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁,或导致1亿元人民币以上的经济损失。
③其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络与信息安全事件。
(3)符合下列情形之一且未达到重大网络与信息安全事件(Ⅱ级)的,为较大网络与信息安全事件(Ⅲ级):
①信息系统中断运行造成较严重影响的。
②信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁,或导致1000万元人民币以上的经济损失。
③其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络与信息安全事件。
(4)除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络与信息安全事件,为一般网络与信息安全事件(Ⅳ级)。
2组织机构与职责
2.1办事机构及其职责
市通信保障和信息安全应急指挥部办公室作为市通信保障和信息安全应急指挥部常设办事机构,设在市经济信息化委,办公室主任由市经济信息化委主任担任。主要职责是:
(1)承担本指挥部值守应急工作;
(2)收集、分析工作信息,及时上报重要信息;
(3)负责本市网络与信息安全的监测预警和风险评估控制、隐患排查整改工作;
(4)负责和取消蓝色、黄色预警信息,向市应急办提出和取消橙色、红色预警信息的建议;
(5)负责本市网络与信息安全突发事件新闻报道相关工作;
(6)组织制订、修订与本指挥部职能相关的专项应急预案,指导区县、部门、单位制定、修订网络与信息安全突发事件相关的应急预案;
(7)负责组织协调网络与信息安全突发事件应急演练;
(8)负责本市应对网络与信息安全突发事件的宣传教育与培训。
2.2网络与信息安全专家顾问组
专家顾问组的职责:
(1)在网络与信息安全突发事件预防与应急处置时,提供咨询与建议,必要时参与值班;
(2)在制定网络与信息安全应急有关规定、预案、制度和项目建设的过程中提供参考意见;
(3)及时反映网络与信息安全应急工作中存在的问题与不足,并提出改进建议;
(4)对本市网络与信息安全突发事件发生和发展趋势、处置措施、恢复方案等进行研究、评估,并提出相关建议;
(5)参与网络与信息安全突发事件应急培训及相关教材编审等工作。
3监测预警
3.1监测
建立网络与信息安全事件信息接收机制
市通信保障和信息安全应急指挥部办公室、市经济信息化委、市公安局、市通信管理局、市广播电影电视局、市国家保密局以及市级应急救援机构应通过媒体、网站等途径公布网络与信息安全事件接报电话、传真、电子邮箱等信息,加强宣传培训,做好来自社会公众和网络与信息系统运营使用管理单位的预警信息、事件信息的接收,建立并完善网络与信息安全事件信息的接收机制。
3.2预警分级及
预警分级
根据监测信息或是相关单位提供的预警信息,分析研判,对可能发生的网络与信息安全事件进行预警。预警级别分为四级,从低到高表示为:蓝色预警、黄色预警、橙色预警和红色预警。
3.3预警响应
预警信息后,各相关部门、单位应依据的预警级别,启动相应的应急预案,组织部署所属技术力量、应急救援队伍立即响应,进入应急状态,履行承担的职责。
3.3.1蓝色预警响应
(1)市通信保障和信息安全应急指挥部办公室及各成员单位实行24小时值班,保持通信联络畅通,市通信保障和信息安全应急指挥部办公室要密切关注事态发展,收集、汇总监测信息,重要信息及时向指挥部领导、市应急办报告。
(2)市级网络与信息安全应急队伍进入应急状态,确保60%应急技术人员处于待命状态,检查应急车辆、设备、软件工具等,确保处于可用状态;针对预警内容研究制定防范措施,指导各网络与信息系统运营使用管理单位做好安全加固和预防工作;联系社会应急力量做好应急支援准备工作。
3.3.2黄色预警响应
(1)在蓝色预警响应的基础上,加强领导带班和24小时值班,保持通信联络畅通;实行每日信息报送制度,各单位、各行业主管部门、监管部门指挥部办公室逐级上报相关信息;指挥部办公室及时联系专家顾问组相关专业专家,组织专家和市级应急队伍及时对预警信息和事态发展进行研判,制定防范措施,指导各网络与信息系统运营使用管理单位做好预防工作。
(2)市级网络与信息安全应急队伍进入应急状态,确保80%应急技术人员处于待命状态,检查应急车辆、设备、软件工具等,确保处于可用状态;联系相关社会应急力量进入应急支援状态。
3.3.3橙色预警响应
在黄色预警响应的基础上,市通信保障和信息安全应急指挥部第一副总指挥应全面掌握情况,部署预警响应措施;各行业主管部门和监管部门加强监测和情报搜集工作,每天两次向指挥部办公室报送相关信息,重要信息随时报告,市通信保障和信息安全应急指挥部办公室及时向市应急办报告相关信息;市级应急队伍在开展应急处置的同时,制定预警防范措施,指导其他网络与信息系统运营使用管理单位开展风险控制工作;各网络与信息系统运营使用管理单位加强风险评估与控制工作,做好数据备份等技术防范工作。
3.3.4红色预警响应
在橙色预警响应的基础上,市通信保障和信息安全应急指挥部进入应急状态,在国家指挥部的领导下开展预警响应工作。市通信保障和信息安全应急指挥部总指挥掌握情况,部署预警响应措施,市通信保障和信息安全应急指挥部办公室、各行业主管部门、监管部门、市级应急队伍要加强与国家相关部门、国家网络与信息安全应急技术支援队伍的沟通、联系、协调,加强综合研判和情报共享,高度关注事态发展,本市各级、各类网络与信息安全应急队伍和支撑力量除参与应急处置工作的,要全面做好应急准备,并指导其他网络与信息系统运营使用管理单位开展风险控制工作。
4应急响应
4.1基本响应
网络与信息安全事件发生后,事发单位应立即启动相关应急预案,实施处置并及时报送信息。
(1)控制事态发展,防控蔓延。事发单位先期处置,采取各种技术措施,及时控制事态发展,最大限度地防止事件蔓延。
(2)快速判断事件性质和危害程度。尽快分析事件发生原因,根据网络与信息系统运行和承载业务情况,初步判断事件的影响、危害和可能波及的范围,提出应对措施建议。
(3)及时报告信息。事发单位在先期处置的同时要按照预案要求,及时向上级主管部门、属地区县、市通信保障和信息安全应急指挥部办公室报告事件信息。
(4)做好事件发生、发展、处置的记录和证据留存。
4.2分级响应
4.2.1Ⅰ级响应
Ⅰ级响应由国家指挥部启动,市通信保障和信息安全应急指挥部在国家指挥部的统一指挥下,开展应急处置工作。
(1)启动指挥体系。
市通信保障和信息安全应急指挥部办公室组织专家顾问组专家、人才库专家及专业技术人员研究对策,提出处置方案建议,为领导决策提供支撑。
(2)掌握事件动态。
事件影响单位及时将事态发展变化情况和处置进展情况及时上报,市通信保障和信息安全应急指挥部办公室组织全面了解本市行政区域内的基础网络和信息系统受到事件波及或影响情况,及时汇总并上报市应急办、国家指挥部办公室。
(3)处置实施。
①控制事态防止蔓延。现场指挥部根据国家指挥的部署,组织事发单位及应急队伍,采取各种技术措施、管控手段,最大限度地阻止和控制事态发展;市通信保障和信息安全应急指挥部办公室全面启动预警机制,及时督促、指导本市网络与信息系统运营使用管理单位有针对性地加强防范,防止事件进一步蔓延。
②做好处置消除隐患。现场指挥部组织专家、应急技术力量、事发单位尽快分析事件发生原因、特点、发展趋势,快速制定具体的解决方案,组织实施处置,对业务连续性要求高的受破坏网络与信息系统要及时组织恢复。
4.2.2Ⅱ级响应
市应急办或市通信保障和信息安全应急指挥部启动Ⅱ级响应,统一指挥、协调、组织应急处置工作。
(1)启动指挥体系。
市通信保障和信息安全应急指挥部办公室组织专家顾问组专家、人才库专家及专业技术人员研究对策,提出处置方案建议,为领导决策提供支撑。
(2)掌握事件动态。
事件影响单位及时将事态发展变化情况和处置进展情况及时上报,市通信保障和信息安全应急指挥部办公室组织全面了解本市网络与信息系统运行情况,及时汇总有关情况并上报市应急办、国家指挥部办公室。
(3)处置实施。
①控制事态防止蔓延。现场指挥部全力组织事发单位及应急队伍,采取各种技术措施、管理手段,最大限度地阻止和控制事态发展;市通信保障和信息安全应急指挥部办公室全面启动预警机制,及时督促、指导本市网络与信息系统运营使用管理单位有针对性地加强防范,防止事件蔓延到其他信息系统。
②做好处置消除隐患。现场指挥部组织专家、应急技术力量、事发单位尽快分析事件发生原因、特点、发展趋势,快速制定具体的解决方案,组织实施处置,对业务连续性要求高的受破坏网络与信息系统要及时组织恢复。
4.2.3Ⅲ级响应
事件发生单位主管部门或属地区县启动Ⅲ级响应,按照相关预案进行应急处置,市通信保障和信息安全应急指挥部办公室根据需要指导、检查、协助应急处置工作。
(1)启动指挥体系。
市通信保障和信息安全应急指挥部办公室组织相关专家指导现场处置。
(2)掌握事件动态。
现场指挥部及时了解事发单位主管范围内的信息系统是否受到事件的波及或影响,并将有关情况及时报市通信保障和信息安全应急指挥部办公室。
(3)处置实施。
①控制事态防止蔓延。现场指挥部及时采取技术措施阻止事件蔓延;市通信保障和信息安全应急指挥部办公室向全市预警信息,督促、指导相关运行单位有针对性地加强防范。
②做好处置消除隐患。尽快分析事件发生原因,并根据原因有针对性地采取措施,恢复受破坏信息系统正常运行。
4.2.4Ⅳ级响应
事件发生区县、部门、单位启动Ⅳ级响应,按照相关预案进行应急处置,事件发生区县、部门、单位负责同志及时赶赴现场,组织协调、指挥所属技术力量进行事件处置工作,必要时请求市网络与信息安全应急队伍支援处置;事发单位负责将事件信息、处置进展情况及时向市通信保障和信息安全应急指挥部办公室报告;根据需要,市通信保障和信息安全应急指挥部办公室有关人员及时赶赴现场,指导、检查事发单位开展应急处置工作,协调相关专家、应急队伍参加应急救援。
5信息管理
5.1信息报告
各相关部门和机构应根据各自职责分工,及时收集、分析、汇总本地区、本部门或本系统网络与信息系统安全运行情况信息,安全风险及事件信息及时报告市指挥办公室。
倡导社会公众参与网络、网站和信息系统安全运行的监督和信息报告,发现本市网络、网站和信息系统发生安全事件时,应及时报告。
5.2信息报告内容
事件信息一般包括以下要素:事件发生时间、发生事故网络信息系统名称及运营使用管理单位、地点、原因、信息来源、事件类型及性质、危害和损失程度、影响单位及业务、事件发展趋势、采取的处置措施等。
5.3信息和新闻报道
5.3.1网络与信息安全事件的新闻报道工作,须遵守相关法律法规以及《北京市突发公共事件新闻应急预案》的相关规定
5.3.2网络与信息安全事件发生后,需要开展新闻报道时,在市突发公共事件新闻工作协调小组的领导下,市通信保障和信息安全应急指挥部成立新闻宣传组,指派专人负责新闻报道工作,起草新闻稿和情况公告,及时、准确、客观报道事件信息,正确引导舆论导向
6后期处置
恢复重建
恢复重建工作按照“谁主管谁负责,谁运行谁负责”的原则,由事发单位负责组织制定恢复、整改或重建方案,报相关主管部门审核实施。
7保障措施
7.1专业支撑队伍
7.1.1加强市网络与信息安全应急队伍建设
加强北京市政务信息安全应急处置中心、北京网络行业协会信息安全应急响应和处置中心、北京信息安全测评中心、北京市广播电视监测中心、北京市保密技术检查中心等应急队伍建设,作为市网络与信息安全应急队伍做好网络与信息安全事件的应急救援和支援工作。
市网络与信息安全应急队伍承担以下主要职责:
(1)按照市通信保障和信息安全应急指挥部及其办公室的指令,开展应急救援;
(2)承办网络与信息安全事件应急处置培训工作;
(3)负责抢险队伍设备、器材及相关软件的日常管理和维护工作;
(4)负责网络与信息安全社会应急力量的联系和组织工作;
(5)负责协助市通信保障和信息安全应急指挥部办公室做好网络与信息安全事件应急演练工作;
(6)根据事发单位应急支援请求,提供应急救援服务;
(7)承办市通信保障和信息安全应急指挥部交办的其他事项。
7.1.2加强本市网络与信息安全人才库和志愿者队伍建设
依托优秀信息安全企业建立本市网络与信息安全事件应急处置社会网络,发挥社会力量和人才在本市网络与信息安全事件应对工作中的积极作用,提高本市网络与信息安全事件应对能力和水平。
7.2合作机制建设
市通信保障和信息安全应急指挥部办公室负责本市网络与信息安全应急合作机制建设。
8宣传、培训和演练
8.1宣传教育
市通信保障和信息安全应急指挥部办公室制定应对网络与信息安全事件的宣传教育规划,组织有关部门、专家、应急队伍编制公众预防、应对信息安全事件宣传资料,组织开展宣传教育活动。
各区县、各部门应充分利用各种传播媒介及其他有效的宣传形式,加强网络与信息安全事件预防和处置的有关法律、法规和政策的宣传,开展网络与信息安全基本知识和技能的宣讲活动。
8.2培训
市通信保障和信息安全应急指挥部办公室组织各有关单位,开展信息安全法规标准、信息安全预案编制、风险评估、事件分析处置、容灾备份等方面的专业技术培训。
8.3演练
市通信保障和信息安全应急指挥部每年至少组织一次预案演练,模拟处置重大或较大网络与信息安全事件,提高实战能力,检验和完善预案。
9预案体系
本市网络与信息安全事件应急预案分为专项预案、部门预案和单位预案,分市、区(县)两级管理。
市级部门预案由市通信保障和信息安全应急指挥部根据本预案要求,负责制定和修订,依据处置网络与信息安全事件分工,由相关成员单位负责起草和解释;
市级单位预案由市级网络与信息系统运营使用管理单位负责制定、修订;
各区县政府根据本预案和相关市级部门预案规定,结合本地区实际情况负责建立与完善本地区网络与信息安全应急预案体系。
目录
1总则
1.1编制依据
1.2事件分类分级
2组织机构与职责
2.1办事机构及其职责
2.2网络与信息安全专家顾问组
3监测预警
3.1监测
3.2预警分级及
3.3预警响应
4应急响应
4.1基本响应
4.2分级响应
5信息管理
5.1信息报告
5.2信息报告内容
5.3信息和新闻报道
6后期处置
恢复重建
7保障措施
7.1专业支撑队伍
7.2合作机制建设
8宣传、培训和演练
8.1宣传教育
8.2培训
8.3演练
9预案体系
网络安全和应急工作机制篇2
1网络信息安全应急机制的理论基础
1.1宪政基础宪政是以良宪为基础,民主为基石,法治为载体,人权实现为宗旨的一种政治理念、政治形态和政治过程,宪法至上是宪政最重要的标志,也是法治文明的核心和首要要求[1]。政府要在紧急状态应急中发挥积极作用,必须具有宪政上的法律基础。我国《宪法》第67条第20项规定了全国人大常委会行使决定全国或个别省、自治区、直辖市进入紧急状态的权力;第80条规定了国家主席根据全国人大及其全国人大常委会的决定,有宣布进入紧急状态的权力。这充分说明了紧急状态下政府权力来源必须有法律依据。
在网络信息安全应急方面,政府是应急的组织者和指挥者。对于涉及国家安全或经济发展的网络信息安全紧急事件,必须由政府统一协调指挥,控制事态的进一步恶化,尽快恢复网络的正常运行和正常的社会生活秩序。首先,政府有控制一般网络信息安全事件演变为紧急或者危机事件的职责。在早期的计算机发展过程中,“应急”是单位保障计算机连续运营的重要举措。即使到现在,应急保障也是应用单位的工作重点。但是,在网络成为国家信息基础设施之后,网络信息安全应急已经成为国家整体安全战略的重要组成部分。互联互通中网络的一般性局部事件都可以快速演变为全局性的重大事件,使国家和社会处于危机状态,政府对此负有快速应对的职责。其次,政府有能力控制紧急事件和尽快恢复正常的社会生活秩序。网络紧急状态的恶性发展,威胁着社会公共利益和国家安全。而采取的特殊对抗措施,必然要求储备关键技术设备和人、财、物的事前准备。只有政府才能有这样的实力,同时,政府掌握着大量的网络安全信息,可在关键时刻启动“可生存网络”,保障国家基础设施的连续运营。
1.2社会连带责任思想社会连带责任思想定位于社会存在为统一整体,认为人们在社会中存在相互作用、相互依存的社会连带关系,表明了人们在社会中共同生活、共同生产的一种模式,这种模式更多的关注了人在社会中的合作与责任[2]。主张社会各方参与网络信息安全应急活动,正是强调了应急保障中的这种合作、责任思想。
首先,网络空间强化了社会成员之间的联系、合作和责任。这是一种新型的网络信息安全“文化观”。这种“文化观”认为,在各国政府和企业越来越来依赖于超越国界的计算机网络时代,有必要在全球倡导和建立起一种“信息安全文化”,参与者应当履行网络安全责任,提升网络安全意识,及时对危害网络信息安全的紧急事件作出反应,不定期地评估网络和信息系统的安全风险。
其次,网络安全威胁要求政府与社会成员之间合作。面对当前复杂多变的网络信息安全形势,政府应对紧急状态需要有社会各方的积极参与。提倡社会力量参与网络应急保障工作,是政府网络信息安全应急管理的新思路。以指挥命令为特征的狭隘行政观念,将被执政为民的现代行政理念所代替。按照社会连带责任思想中的“合作”精神,没有社会力量的参与配合,政府将难以在应急响应、检测预警中起主导作用,无法履行其对网络社会危机管理的职责。
美国《网络空间安全国家战略》指出,保护广泛分布的网络空间资源需要许多美国人的共同努力,仅仅依靠联邦政府无法充分保护美国的网络安全,应鼓励所有的美国人保护好自己的网络空间。联邦政府欢迎公共和私人机构在提高网络安全意识、人员培训、激励劳动力,改善技术、确定脆弱性并提高恢复能力、交换信息、计划恢复运行等方面开展合作。
1.3权利平衡理念从公法和私法的关系看,公法之设乃是为了实现私法的目的。网络信息安全应急立法必须考虑到政府紧急权力对公民、单位私权益保护的积极方面,又要防止应急部门在行使行政紧急权力时侵犯公民的私权利。解决冲突,寻求平衡,始终是对“法治文明”的积极追求。尽快恢复网络秩序,稳定社会则是应对紧急状态的最高目的。
为了保障公民的权利不因紧急状态的发生而被政府随意剥夺,许多国家宪法和国际人权文件都规定,即使是在紧急状态时期,一些最基本的人权,如生命权、语言权、宗教信仰权等也不得被限制,更不得被剥夺,这些规定都是防止政府随意滥用行政紧急权,而使公民失去不应当失去的权利[3]。如1976年1月3日生效的《公民及政治权利国际公约》、1953年9月3日生效的《欧洲人权公约》以及1969年11月22日在哥斯达黎加圣约翰城制定的《美洲人权公约》都规定在紧急状态下不得剥夺公民的某些基本权利。这些基本权利包括:生命权、人道待遇权、不受奴役的自由、不受有追溯力的法律的约束等。《美国人权公约》还规定不得中止保障公民家庭的权利、姓名的权利、国籍的权利和参加政府的权利。1976年国际法协会组织小组委员会专门研究在紧急状态下如何处理维护国家生存和保护公民权利的关系,经过6年的研究,起草了《国际法协会紧急状态下人权准则巴黎最低标准》,为各国制定和调整紧急状态的法律提出了指导性的原则,通过规定实施紧急状态和行使紧急权力的基本条件和应遵循的基本原则以及各种监督措施,以防止政府滥用紧急权力,最低限度地保障公民的权利。
2网络信息安全应急机制的价值目标
所谓价值目标是指为了实现某种目的或达到某种社会效果而进行的价值取舍和价值选择。它既反映了法律的根本目的,也是解释、执行和研究法律的出发点和根本归宿。在每一个历史时期,“人们都使各种价值准则适应当时的法学任务,并使它符合一定时间和地点的社会理想”。[4]网络信息安全应急机制的价值目标包括两个方面:一是实现网络安全、提高网络紧急事件处理效率、促进国民经济发展;二是确立以实现网络安全为最高价值目标的价值层次配置。
2.1安全价值安全价值是网络信息安全应急机制的最高价值目标,也是信息安全保障的主要内容。随着网络信息技术的不断发展,关键基础设施越来越依赖于复杂的网络空间,网络空间是这些基础设施的神经系统,是一个国家的控制系统。一旦网络空间突发紧急事件,将威胁国家的整体安全,其后果不堪设想。信息技术革命带来的经济发展潜力也部分地被网络安全风险所淹没,网络空间的脆弱性使得商事交易面临着严重的危险。有资料显示,金融业在灾难停机2天内所受损失为日营业额的50%,如果两个星期内无法恢复信息系统,75%的公司业务会被中止,43%的公司将再也无法开业[5]。
安全价值反映了人们应对网络安全紧急状态的积极态度,是人们在长期社会实践中的经验总结。首先,在认识到网络脆弱性之后,人们不是拒绝、放弃网络技术给人类所带来的文明,而是积极地通过适当途径对网络技术中的风险加以认识和积极防御,并以此实现社会的“跨越式”发展。其次,在国民经济和人类社会对网络空间高度依赖之后,应对网络紧急状态就成为人类生存的基本需求。第三,网络的国际化进一步加剧了网络紧急状态的突发性、复杂性和隐蔽性。网络恐怖活动、敌对势力集团的信息战威胁等等,使人类社会面临前所未有过的安全威胁,应急因而成为信息安全保障体系的重要组成部分。
2.2经济价值网络信息安全应急机制的本质在于对网络紧急事件的快速响应,有效处理网络紧急事件,将事件造成的危害降到最低,同时保护人民的合法权益。必须指出的是,这里的效率价值主要是处理紧急事件的时间效率而非金钱效率,因为在网络空间,因系统遭受攻击等紧急事件造成的重要信息丢失是难以用金钱来衡量的。
网络信息安全应急的效率价值首先表现在对紧急事件的快速响应方面。快速应对紧急事件必须建立有效的应急管理机构,保证政令畅通。其次,效率价值要求应急管理机构必须建立完善的预警检测、通报机制,分析安全信息,告警信息和制订预警预案,做到有备无患。同时,建立应急技术储备的法律保障机制。应急本质是一种信息对抗,对抗就是控制紧急状态的恶性发展,对抗就是防御网络紧急事件的信息技术。因此,必须有先进的应急技术来提高紧急事件的预防和处理能力。第三,效率价值要求赋予应急响应组织行政紧急权力,以控制损失,尽快恢复网络秩序。以尽快恢复秩序为目的对私权益进行的要干预是必要的。
2.3发展价值发展价值是应对网络安全紧急状态的约束价值,是人们应对紧急状态这种非常态规则的限制思想,是正确认识发展与安全、效率之间关系的理性抉择。首先,根据心理学理论,企业长期处于应急状态,必然会影响发展,所以应急立法应当以“尽快结束紧急状态”为其基本原则,设计制度、建立机制。其次,对应急过程中的行政紧急权力进行必要的限制,以防止行政紧急权力的滥用对重要领域企业的发展造成不利的影响。同时,建立合理的紧急状态启动程序和终止程序,这对于企业健康快速发展也至关重要。第三,对政府在紧急状态下的征用、断开、责令停产停业等措施对公司、企业造成的经济损失,在紧急状态结束后应该给予相应的赔偿,以增加企业对政府的信任度,促进企业经济发展。
网络信息安全应急机制的价值目标是一个由安全价值、经济价值和发展价值构成的有机体系。安全价值是核心,是首要目标,位于第一层次。网络信息安全应急机制中安全价值的地位类似于法律制度中位阶最高的法律价值,它指导和贯穿整个网络信息安全应急的过程。在目标体系中,经济价值是第二价值目标,位于第二层次;发展价值是第三价值目标,位于第三层次。经济目标和发展目标必须服从于安全目标的要求,只能在保障安全的基础上考虑应急的效率性和国民经济的发展。
3网络信息安全应急机制的法律保障
从网络信息安全应急机制的理论基础出发,为实现网络信息安全应急机制的安全价值目标,笔者认为,法律应从以下几方面进行界定:
3.1建立适合我国国情的网络信息安全应急管理体系应急管理体系是网络信息安全应急保障的重要内容。应急管理体系是否合理直接关系到法律实施的效果。根据国务院27号文的总体精神,文章认为,我国网络信息安全应急管理体系应为一元化的两层结构。所谓一元化,是指国家应当建立应急协调机构,统一负责网络信息安全应急管理工作。所谓两层结构是指应当发挥行业和地方政府的优势,加强应急管理。
a.国家应急协调机构及其职责。国家应急协调机构是我国网络信息安全紧急状态应急的最高决策机构[6]。在美国,主要由国土安全部负责开发国家网络空间安全响应系统,对网络攻击进行分析,告警、处理部级重要事故,促进政府系统和私人部门基础设施的持续运行。在我国,国家应急协调机构为信息产业部互联网应急处理协调办公室。国家应急协调机构应当履行以下主要职责:协调制定和贯彻国家信息安全应急法律法规政策;协调国家应急响应基础设施建设;协调国家紧急状态下应急技术的攻关和开发;授权、终止国家和区域性的紧急状态命令。
b.行业应急管理部门及其职责。行业应急管理部门是指根据国家法律和行政规章授予的职权,建立行业内网络应急管理的部门,如军队可以分兵种建立信息安全应急管理体系,国务院可以按照行政职权的不同分别建立网络安全应急管理体系,中共中央和政协系统也可以建立各自应急管理体系。行业应急管理部门依法对管辖的国家关键基础设施的紧急状态进行管理。
行业应急管理部门的主要职责应当包括:贯彻落实国家关于网络信息安全应急的政策和法律;实施行业应急响应基础设施的规划、建设;在行业内部建立应急预警和检测体系,建立预警网络平台,加强与其他行业之间的合作;对行业内重要部门有关危害网络安全的警告;组织协调行业应急响应工作。
c.地方政府应急管理部门及其职责。地方政府应急管理部门负责其辖区内的网络信息安全应急管理工作。在美国,新墨西哥关键基础设施保护委员会(nmCiaC)就是一个私人-公共部门的合作机构,它的建立最初是为了商业团体、工业、教育机构、联邦调查局(FBi)、新墨西哥州政府和其他联邦、州和地方机构之间的信息交换,以确保对新墨西哥关键基础设施的保护。nmCiaC致力于研究威胁、脆弱性和对策,还针对基础设施攻击、非法系统入侵以及可能影响nmCiaC成员组织和普通民众的那些因素所采取的各种响应进行研究。
3.2建立准确、快速的预警检测机制建立一套快速有效的网络信息安全应急预警、检测和通报机制,成为实际处理突发事件成功的关键。网络信息安全应急的目的就是要预防网络安全紧急事件的发生,或者是将紧急事件的危害降到最低。建立常设的预警机构,及时准确地收集掌握各种情报信息,把握事件发生的规律和动态,才能对事件的性质、范围、严重程度做出准确的判断,最终才能打赢应急这场仗。
美国《网络空间安全国家战略》指出,在网络信息安全应急响应检测预警机制的建设上,将网络告警与信息网从联邦政府网络检测中心扩展到联邦政府的网络运行中心和私人部门的信息共享与分析中心,为政府部门和产业界提供了一个共享网络告警信息的专用、安全通信网络,以支持国土安全部在网络空间危机管理中的协调。这种建立统一平台、共享网络告警信息的做法对我国有着非常重要的借鉴价值。
笔者认为,一个完善的预警检测应包括以下几个方面的内容:a.建立一个全国性的能够对重大基础设施攻击发出预警的国家中心,各个部门还应该建立事前收集掌握各种紧急状态信息的检测判定和应急响应的日常机构。同时,建立自己的网络监测平台,连入CnCeRt/CC的监测平台,实现信息共享。b.各级政府、行业应急部门及其社会性的应急部门要制定预防网络安全紧急事件的应急预案,针对不同的计算机信息系统,按照事件发生后的影响程度(时间长短、业务范围、地域范围等因素)制定不同的预案。要对应急预案进行测试和演练,不演练和改进,所有好的预案都等于零。c.建立统一的网络安全紧急事件预防控制体系,及时准确地收集掌握各种深层次、前瞻性的情报信息,及时把握事件发生的规律和动态。d.对预警、检测规定法律责任。
3.3明确应急过程中的行政紧急权力的限制和法律救济机制为了应对紧急状态,临时剥夺某些公民、单位的私权益,是各国应急法的普遍实践。行政紧急权力是一种必要的权利,但又是一种最为危险的权利,这些权利一旦滥用,社会就会出现新的混乱。关闭网络、封堵部分网络路由,征用关键通信设施、监控电子通信等等应急措施可能将引发行政紧急权力与私权益之间的冲突,稍有不慎就可能影响国家命运和人民的根本利益,必须将其纳入法制的轨道。
a.严格界定紧急状态的定义及其分级。为了防止政府随意宣布进入紧急状态,随意启动行政紧急权力,同时也为了防止政府在紧急状态下的消极不作为,有必要通过法律界定紧急状态的定义。一般认为,网络信息安全紧急状态是指由于自然灾害、计算机系统本身故障、组织内部和外部人员违规(违法)操作、计算机病毒或蠕虫及网络恶意攻击等因素引起的,对计算机信息系统的正常运行造成严重影响的危机状态[7]。同时,根据紧急状态涉及范围的大小、影响程度的严重与否,对紧急状态的启动进行分级管理。
b.明确宣布进入紧急状态的主体。紧急状态是否形成危险以及危险的程度,不同人会有不同的认识和判断,为了减少紧急状态确认的随意性,增加宣告的权威性和认同感,紧急状态的宣布主体必须是法定的权威机关。
c.对行使行政紧急权力的具体程序进行严格的规定,不但要规定启动行政紧急权的程序,而且还要规定撤销紧急状态的程序,以及发生与公民隐私权冲突情况下的处理程序。同时要确保对紧急事实和危险程度判断的准确性,建立制约机制以防止权利的滥用。
d.建立首席信息安全官(Cio)制度,确保对私权益的尊重和保护。
e.确定私权保护的最低标准。政府活动的底线就是尊重和保护基本人权,即使是在紧急状态情况下,也不得随意克减基本人权,否则就很容易放纵国家权利机关滥用行政紧急权利。
f.明确规定应急主管机关在紧急状态下的职责和义务,防止渎职和失职现象。为防止在关键时刻出现渎职和失职情况,法律必须明确规定应急主管机关的具体职责,为渎职和失职设定明确的法律后果,并建立有效的责任监督和追究机制。
在隐私权的保护方面,美国信息系统保护国家计划V1.o要求,国家计划中所有的提议要与现有的隐私期望完全一致,要求每年召开一次关于计算机安全、公民自由和公民权利的公-私讨论会,以确保国家计划的执行者始终关注公民的自由。政府检查公民计算机或电子通信的任何举动必须与现有法律如《电子通信隐私法案》相一致。
在紧急状态得到控制后,应急计划的启动者应当终止紧急状态的命令,恢复正常的社会秩序。结束紧急状态意味着被暂时剥夺的私权益将得到恢复。网络紧急状态终止后,国家基础设施运营部门应当向国家应急协调机构、行业和地方应急管理机构提交详细的应急响应报告,行业和地方应急管理部门应当向国家应急协调机构提交应急管理工作的总结报告。对政府在紧急状态下的征用、责令停产停业等措施对公司、企业或个人财产造成损失,在紧急状态结束后应该给予相应的赔偿,对补偿的标准要予以明确的规定。要明确规定受害人获得行政救济和司法救济的途径。
法律救济始终是各部门法律不可欠缺的重要环节。没有救济规定的法律是不完整的法律。如法国《紧急状态法》就规定,凡依法受到紧急处置措施羁束的人,可以要求撤销该措施。韩国《戒严法》也规定,从宣布“非常戒严”时起,戒严司令官掌管戒严区域内的一切行政和司法事务,在“非常戒严”地区,戒严司令官在不得已时,可在“非常地区”破坏或烧毁国民财产,但必须在事后对造成的损失进行适当的赔偿。
3.4建立应急技术储备的法律保障网络信息安全应急需要装备先进技术,这已是不争的事实。应急本质是一种信息对抗。控制紧急状态的恶性发展,对抗就是防御网络恐怖突发事件的信息技术,因此,应急不能仅依靠管理,必须具有先进的应急技术。但是依赖进口,将无法摆脱应急受制于人的被动局面,国家必须化大力气,扭转被动局面,关键应急技术的自主研究是我们掌握网络信息安全主动权的根本出路。美国信息系统保护国家计划V1.o规定,在技术的研究、开发和人员的培训方面,由科技政策办公室(oStp)来领导,并与各机构和私营部门合作来进行技术开发。
建立应急技术储备的法律保障首先要明确国家对关键应急技术研究的责任,以及应急响应的经费保障问题;其次,要明确调动民间资本展开应急技术研究的范围,以及国家、社会采购、征用的条件;第三,要明确应急技术市场化的管制方式和控制环节;第四,对必要引进的国外应急产品和服务的范围和控制力度要有明确的法律规定;第五,国家要进行财政预算,对应急技术开发支持;第六,要在一定的限度内加强国际间的应急技术交流与合作。
【参考文献】
1商继政,傅华.“宪政概念辨析”.四川大学学报(哲学社会科学版),2003;(6)
2郑尚元.社会法的存在与社会法理论探索.法律科学(西北政法学院学报),2003;(3)
3江必新.紧急状态与行政法治.中国法学,2004;(2)
4庞德.通过法律的社会控制.北京:商务印书馆.1984
网络安全和应急工作机制篇3
(一)指导思想
以新时代中国特色社会主义思想和同志关于网络安全的重要讲话精神为指导,进一步强化管理,完善信息安全技术服务体系,提升网络安全防护能力。全面提高全局干部职工的网络与信息安全意识,建立完备的网络与信息安全保障体系。
(二)基本原则
1.规范管理,协调联动。健全网络安全组织管理体系,落实网络安全责任,明确网络安全职能,形成安全防范和监督管理协调机制。
2.自主防范,逐级负责。按照“谁主管谁负责,谁运营谁负责”的要求,严格落实网络与信息安全责任制和责任追究制,落实系统运行中使用机构、管理者和使用者的责任,明确网络与信息安全管理、技术、运维、应急等各工作环节的安全责任。
(三)总体目标
建立健全网络安全防控体系、网络信任体系,进一步完善网络安全管理、技术支撑和技术服务体系,配合做好应急响应体系和政策法规标准体系建设,为基础信息网络、重要信息系统和信息内容提供高效的安全防护。
二、重点任务
(一)加强网络安全保障,提高综合防范能力
1.信息系统安全保障。要加强安全管理制度建设,明确安全管理责任,配套相关技术防护措施。
2.信息内容安全保障。按照“上网信息不、信息不上网”的要求,对信息应当在信息系统中处理。要制定和督促落实各项保密措施,严防泄密事件的发生;要加大对各类信息内容的监管力度,确保信息采集、处理、更新和入库过程中安全可靠。同时保证信息内容的真实性、准确性和实效性。
(二)加快应急响应体系建设,增强应急保障能力
1.提高突发安全事件的应急处置能力。加强网络与信息安全事件的通报、汇总、研判、分析、报告和预警工作。加快应急处置与技术支撑服务队伍和网络安全员队伍建设,提高应对突发网络与信息安全事件的综合能力。
2.加强应用管理、备案与更新工作。要组织开展应急预案的编制、、备案和修订工作,保证应急预案体系的组织机构、事故预警、响应程序、应急保障、应急培训、预案管理等工作的系统性和完整性。建立完善信息系统安全台账,为处置网络与信息安全事件提供决策依据。
3.加强网络安全管理人员培训
建立人才培养机制,加强对领导干部、管理人员的网络安全培训,提高领导干部和管理人员的责任意识和管理水平。
三、保障措施
(一)加强协作配合
机关各处及直属单位要按照职责分工,认真落实各项工作任务,加强协调配合,形成合力,共同推进网络信息安全保障工作,提升安全防范能力。及时反馈网络安全管理中发现的新问题,加强沟通,妥善处置。
网络安全和应急工作机制篇4
作为中国应对网络安全事件的“国家队”,CnCeRt/CC担负着开展中国网络安全事件的预防、发现、预警和协调处置等工作,以维护中国公共互联网环境的安全、保障基础信息网络和网上重要信息系统的安全运行。
而随着中国网络事业的迅速发展,以它为核心的国家公共互联网安全事件应急处理体系,正承担着越来越重的压力和任务。
网络安全的国家队
在CnCeRt/CC内行走,需要身份卡才能打开各种大门。作为来访者,即使在接待处换取了卡片,也无法乘坐电梯:电梯等候区外侧还有一道门禁,需要由CnCeRt/CC工作人员从内侧打开。
CnCeRt/CC发端于1999年9月,它被称为“非政府、非盈利的网络安全技术协调组织”,挂靠在工业和信息化部。
在CnCeRt/CC运行部主任王明华看来,CnCeRt/CC是国家公共互联网安全事件应急处理体系的核心。“在国家的网络安全体系中,是部级的队伍之一。”他对《瞭望东方周刊》说。
CnCeRt/CC的主要部门有运行部、保障部、技术部等,“网络安全的事件监测、预警与处置等日常工作,由运行部负责。”他介绍。
目前CnCeRt/CC主要有四项业务。
首先是监测发现。依托“863-917公共互联网网络安全监控基础平台”开展对基础网络安全、移动互联网安全、iDC安全、增值业务安全和网上金融证券等重要信息系统网络攻击行为的监测发现,包括对安全漏洞、网络病毒(例如木马和僵尸网络等)、网页篡改、网页挂马、拒绝服务攻击、域名劫持、路由劫持、网络钓鱼等各种网络攻击的监测发现能力。
“863-917公共互联网网络安全监控基础平台”是国家863计划支持设立的网络安全应急项目,也是国家公共互联网应急响应的一个重要的基础支撑平台。
另外,CnCeRt/CC还通过国内外合作伙伴的数据和信息共享,以及通过热线电话、传真、电子邮件、网站等接收国内外用户的网络安全事件报告等,多种渠道发现网络攻击威胁和网络安全事件。
第二是预警通报。依托对丰富数据资源的综合分析和多渠道的信息获取,实现网络安全威胁的分析预警、网络安全事件的情况通报、宏观网络安全状况的态势分析等。为用户单位提供互联网网络安全态势信息通报、网络安全技术和资源信息共享等服务。
第三是应急处置。CnCeRt筛选危害较大的事件进行及时响应和协调处置,重点处置的事件包括:影响互联网运行安全的事件、波及较大范围互联网用户的事件、涉及重要政府部门和重要信息系统的事件、用户投诉造成较大影响的事件,以及境外部级应急组织投诉的各类网络安全事件等。依托与运营商、域名注册商、安全服务厂商等相关部门的快速工作机制,与涉及国计民生的重要信息系统部门及执法机关密切合作机制,实现网络安全事件的快速处置。
同时,CnCeRt/CC作为国际著名网络安全合作组织FiRSt和apCeRt的重要成员,与多个世界著名的网络安全机构和各个部级应急组织建立了网络安全事件处理合作机制。面向国内外用户受理网络安全事件报告,及时掌握和处置突发重大网络安全事件。
第四则是按照相关标准为企业提供安全评测服务。
王明华介绍说,CnCeRt/CC在全国有31个分中心,其中广东、上海、江苏等经济发达地区的分中心业务最为繁忙。
各省区分中心都依托当地的通信管理局,大部分与当地通信管理局一起办公,有时工作人员还会有交叉。不过,各分中心的经费都是由北京总部拨付。
在处置境内网络安全事件中,各省区的分中心可以直接联系,密切协作。除了接受当地投诉,各分中心还有总部派发的任务。
不过,它只是通过组织网络安全企业、学校、民间团体和研究机构,协调骨干网络运营单位、域名服务机构和其他应急组织等,共同处理中国互联网相关各类重大的网络安全事件,与军方没有业务上的往来。
“红色代码”推动应急体系
CnCeRt/CC源自中国在新世纪开始逐步建立的国家公共互联网安全事件应急处理体系。后者也是中国应急处理体系的重要组成部分,通过建立一个专业化、高效率、密切配合的合作体系,解决公共互联网络面临的安全危机。其他同类体系还包括卫生、救灾等。
而CnCeRt/CC成为公共互联网应急响应体系的运行核心,同时也成为政府和安全业界的一个联系纽带。
其实从2000年以来,中国境内严重的互联网安全事件层出不穷。这一年,原国家信息化领导小组计算机网络与信息安全管理办公室召开关于建立国家公共互联网安全事件应急处理体系的工作会议,提出由CnCeRt/CC承担核心任务。
而2001年“红色代码”病毒入侵中国,促使加速推动建立国家公共互联网安全事件应急处理体系。
最终在全球造成数百亿美元损失的“红色代码”,于2001年8月初开始在中国境内大规模蔓延。当时病毒做了一些修改,针对中文操作系统加强了攻击能力。在北京、上海等信息化程度较高的地区,受灾情况相当严重。公安部专门紧急通告,要求对该病毒严加防范。
当时,虽然中国已经有网络安全专业机构,但没人能够掌握各骨干网受感染的整体情况。
在CnCeRt/CC的建议下,原信息产业部组织了各个互联网单位和网络安全企业参加的应急响应会,汇总了全国当时受影响的情况,约定了协调处理的临时机制,确定了联系方式,并最终组成了一个网络安全应急处理联盟。
然而每次开会都要两三天时间。“红色代码”事件后,专业人员判断,这种能够高速蔓延的蠕虫病毒将成为一种趋势,必须在两三个小时甚至更短时间内对大规模网络安全事件进行响应。
2001年10月,原信息产业部提出建立国家计算机紧急响应体系,并且要求各互联网运营单位成立紧急响应组织,能够加强合作、统一协调、互相配合。自此,中国的网络安全应急体系应运而生。
到2002年,中国的骨干互联网运营商都成立了应急响应组织,整个国家公共互联网安全事件应急处理体系初步形成。
到2003年上半年,一种新的蠕虫病毒“SQL杀手”在几小时内使中国几乎所有的互联网运营商都受到损失,部分骨干网甚至一度瘫痪。
由于应急体系在初期就监测到了网络流量异常,且CnCeRt/CC可以居中协调,因此成功应对了这一危机。
2003年,中编办正式批复同意建立CnCeRt/CC,在业务上还增加了“跨国网络安全事件处置”,参与国际合作。至此,CnCeRt/CC完成了组织和基本业务能力建设。
单位应对网络安全
除了CnCeRt/CC,国家公共互联网安全事件应急处理体系还有若干支撑机构。
其中,国家计算机病毒应急处理中心、国家计算机网络入侵防范中心和国家863计划反计算机入侵和防病毒研究中心等三个专业机构,主要从事计算机病毒的发现、分析及预警工作,入侵技术的研究及应对方法研究等。它们都受到CnCeRt/CC协调和指导。
在国家层面,国家网络与信息安全协调小组办公室全面负责中国各类网络与信息安全应急响应体系,负责协调政府有关管理部门互相配合。同时,国家网络与信息安全协调小组下还建立了网络与信息安全通报中心,加强信息安全分析和共享。
工业和信息化部互联网应急处理协调办公室是面向公共互联网的网络安全工作的主管机构。它还参与国际网络安全任务组的工作,并与其他经济体之间进行联系。
王明华介绍说,在国家公共互联网安全事件应急处理体系中,除了作为核心骨架的CnCeRt/CC,下面还有400多家企业和运行服务支撑单位。
2004年,CnCeRt/CC首次面向社会公开选拔了一批部级、省级公共互联网应急服务试点单位。通过公开选拔方式,选择部分在中国境内从事公共互联网网络安全服务的机构作为“CnCeRt网络安全应急服务支撑单位”。在CnCeRt/CC的统一协调与指导下,各应急服务支撑单位共同参与中国互联网安全事件的应急处理工作,维护国家互联网网络安全。
目前,共有北京启明星辰有限公司、哈尔滨安天科技股份有限公司等8家部级应急服务支撑单位,北京互联通网络科技有限公司、北京网秦天下科技有限公司、北京知道创宇信息技术有限公司等37家省级应急服务支撑单位。
王明华透露,CnCeRt/CC正在制定2020年发展规划。该规划由运行部自2013年6月底开始起草,计划在9月。
他进一步介绍,该规划为CnCeRt/CC制定的未来目标主要包括四个方面。
第一,作为与网络安全和技术相关的组织,要承担相应的技术职能,发展成为国家的网络安全技术核心。
第二,要建立自上而下的完备的国家网络应急体系。
网络安全和应急工作机制篇5
【关键词】金融机构;供电;网络;应急演练
一、引言
随着经济和社会的发展,全社会对金融服务质量、效率以及资金安全的要求不断提高,与此同时,针对金融业务的违法犯罪活动呈快速发展趋势,金融机构面临的信息安全形势越来越复杂,金融信息安全工作越来越艰巨,并日益成为社会各界关注的焦点。金融机构面临的信息安全风险主要有网络通信中断、电力供应中断、网络攻击、网络犯罪等,这些风险的处置将涉及到公安部门、通信管理部门、电力监管部门等多个不同领域的机构。因此,金融行业主管部门适时组织金融机构与公安部门、通信管理部门共同开展网络攻击事件协同处置应急演练,对增强各行业主管部门和金融机构共同处置网络攻击事件的能力,建立各行业主管部门和金融机构之间的长效沟通机制具有重要意义。
二、演练目的
通过组织开展金融机构网络攻击事件协同处置应急演练,达到以下目的:
?增强金融机构和通信行业、公安部门等行业主管部门共同处置金融业信息安全风险的能力;
?建立金融行业主管部门、各行业主管部门、各金融机构之间的长效沟通机制;
?掌握相关应急资源的实际操作数据,为今后应急预案的制定提供真实、可靠的依据。
三、演练组织
应急演练可由金融行业主管部门负责组织,选择一家金融机构为应急演练主体单位,公安部门、通信管理局为演练协同处置单位,负责配合金融行业主管部门和金融机构开展应急处置;基础通信公司(电信公司、联通公司等)负责配合上述机构开展网络攻击事件应急演练。具体职责分工如下:
单位职责分工
金融行业主管部门组织、指挥、协调各参加单位开展应急演练,制定网络攻击事件协同处置应急演练方案。
公安部门配合金融机构共同开展网络攻击事件演练。
通信管理局1、对网络攻击事件进行监控和预警,配合金融机构共同开展网络攻击事件演练;
2、协调基础通信公司配合金融机构共同开展网络攻击事件演练;
金融机构应急演练主体单位,制定供电故障和网络攻击应急演练方案,负责演练具体实施。
基础通信公司(电信公司、
联通公司等)配合行业主管部门及金融机构开展网络攻击应急演练。
四、演练场景
网络攻击应急演练场景
金融机构网上银行系统受到synflood网络恶意攻击,对网上银行服务造成影响,监控人员监测发现网络攻击情况(于此同时,通信管理局监控人员发现网络攻击情况)后,立即启动应急预案,同时向金融行业主管部门(电话报告和传真事件报告单),请求协调通信管理局技术人员帮助查找攻击源;金融行业主管部门将情况告之通信管理局和公安部门,并派员赶赴事件现场协同处置网络攻击事件;通信管理局协调基础通信公司查找攻击源ip,定位攻击者物理位置;公安厅网警总队执法人员及时赶赴网络攻击现场,对网络攻击犯罪人员实施抓捕。
五、应急演练流程图(见图1)
六、演练风险评估及风险防范措施
为确保演练不影响业务系统的恢复运行,演练实施中采取以下风险防范措施:
?将演练时间安排在非关键性日期和非业务时段进行,并预留足够时间防止演练失败时有进行生产系统恢复;
?演练期间,要求相关基础通信公司提供现场技术保障,确保演练期间线路的正常;
?详细记录演练操作步骤及操作指令,以便追溯;
?密切监控演练每一步骤的执行结果,若某一步骤失败则停止演练,恢复生产系统,确保系统的正常运行。
图1
七、总结
金融业信息安全事关经济金融的稳定大局,责任重大,切实做好应急准备工作,定期开展应急演练是保障金融业信息安全的重要手段,本文所设计的应急演练方案为实际工作中总结出来的经验,期望能对金融机构应急演练工作起到抛砖引玉之用,共同维护金融业信息安全。
作者简介:
邢诒俊(1983-),男,海南海口人,硕士研究生,主任科员,现供职于中国人民银行海口中心支行科技处,研究方向:计算机技术。
网络安全和应急工作机制篇6
关键词应急响应;保障措施;网络安全;安全事件
中图分类号:tp3文献标识码:a文章编号:1671-7597(2014)15-0196-01
迄今为止,网络信息安全问题不断变更,给社会的发展带来了严重的影响,在经历了通讯安全、计算机安全、网络安全和内容安全四个过程后,重要网络基础设施及信息的保护已经受到国家的高度关注,并成为国家安全战略的重要组成部分,目前,网络信息安全问题备受人们关注,面对网络和系统日趋复杂,解决网络安全事件成为应急响应体系建设的重点工作。
1应急响应的基本内容
当前,应急响应主要包括应急响应、信息安全事件和应急响应体系的总体架构三个方面的内容。
1)应急响应是指一个组织在各种安全事件发生前后所采取的准备工作及相应的紧急措施,应急响应主要是为了保护网络基础设施的安全性,降低网络的脆弱性和缩短网络攻击事件发生后对相关信息的破坏时间和恢复时间。
2)信息安全事件,即信息系统、服务或网络的某种不安全状态。而信息安全事件就是导致信息资产丢失或损坏的一种信息安全事故,且其损坏的发生具有一定的特殊性。当然,信息安全事件的发生也具有因果性、必然性、偶然性、规律性等特点,因此也就是说信息安全事件的发生是可以通过相应的措施进行相关事件的预防,而应急响应则是事件发生后减少损失的一个重要手段。
3)应急响应体系的总体架构,而应急响应体系由两个中心和两个组组合而成。而两个中心只要是指信息共享与分析中心和应急响应中心,其两个组则由应急管理组和专业应急组组成。其中,作为处于系统最高层的应急响应指挥协调中心,主要负责协调体系、维护信息共享与分析中心平台、管理协调各个应急响应组,并且也是系统联动的控制中心。而信息共享主要负责与组织进行信息共享和交换,它是整个架构的核心。应急响应中心包含了整个体系的核心任务,即信息安全事件的分类、预案管理及应急响应等。作为整个体系和联动运作的总协调机构应急管理组,其主要包括:技术研发与策略制定组和专家咨询组等。专业应急组直接对安全事件实施响应的联动措施。
2应急响应体系的层次结构
对与应急响应体系的层次结构,主要是针对在具体的应急响应工作中,相关应急响应体系的层次结构对安全事件的处理,以此体现层次结构在应急响应体系中的作用,对此,基于动态对等网层次结构中的网络预警模型展开相应的研究。这里主要以DpoH模型为例,这种DpoH模型广泛分布于受保护网络中,由自治节点构建而成的层次化对等覆盖网体系。DpoH模型主要是提供底层的分布式协作和数据共享框架,从而使得各类异构防护设施能够接入到一个自适应的全局安全防护体系中,因此具有跨安全域的数据共享和相应的对等协作能力,为此,可以有效地执行协同检测和防护任务。
DpoH模型主要是为了保护规模较大的网络环境的安全而构建的,其重点是对恶意代码实施协同检测和防护而构建的。其包括层次化对等结构、数据分布式共享和动态自适应协作等
特点。
其层次化对等结构具有鲁棒性、可拓展性和可管理性优点。在DpoH模型中具有控制中心、任务协调中心和安全三类核心节点角色,然而三种角色又有各自不同的权限,自上而下形成控制中心群体和任务组两层对等覆盖网体系,使得层次化和对等有机结合在一起。
而对于数据分布式共享,DpoH模型将niDS、防火墙安全网关等设施通过协议注册到相关的安全节点,将异构报警源生成的报警数据通过XmL技术进行一致化处理,然后再由DHt分布式消息共享机制发到整个网络安全防护体系中。对此,DpoH模型还可以整合各类异构网络安全防护设施的数据资源,从而实现了安全报警消息的分析式存储和查询机制,并对分布式网络入侵和攻击行为进行关联分析和协调检测,从而明确入侵意图,为深层次信息提供了基本的支撑。
针对动态适应协作,DpoH模型提供了其机制的底层支持,主要体现在以下两点。
1)预警模型可以完全摆脱节点物理拓扑的约束对网络安全资源进行调整分配。
2)当安全节点处于模型底层,并由控制中心根据所需资源,然后动态地组织任务组覆盖网,在任务组只占必要的资源的同时实现多任务并行处理。
3应急响应体系的联动
应急响应体系的联动包含技术防御层的联动、组织保障层的联动、响应实施层的联动和以事件为中心的层间联动。对此,应急响应体系的联动主要体现于各层内实体和层间实体的联动,若没有实体间的联动,其功能就无法进行发挥。所以,实体间的联动是十分重要的。而层级结构图越园,表明其实体间的联系就越紧密,其活跃度就更高。由外而内,区域逐渐变小,而其功能越来越复杂,各层间的联动活跃度也就越高。
对于无大规模的网络攻击或者网络战争的发生,其联动是最少的。在技术防御层中的六个实体间的联动是通过彼此间的因果关系传递的,而组织保障层中的四个实体间的联动在同种形式下是十分紧密的,其信息的传递可通过双向传递或者点与点直接传递,对于响应实施层内的六个功能在通常情况下实体联动可表现为一体。
4结束语
在目前网络飞速的发展中,由于各种因素的影响所造成的网络漏洞较多,网络信息安全事件的发生给人们,尤其是事业单位造成了很大的困扰,而应急响应防御体系中的一道重要的防线,是网络信息安全的可靠保障。急响应体系的建立其工程十分复杂,应该为此加强安全措施的联动,并全面了解层次结构,才能解决主要的问题,才能进一步完善应急响应体系。保证各类信息的安全。
参考文献
[1]王瑞刚.网络与信息安全事件应急响应体系层次结构与联动研究[J].计算机应用与软件,2011,28(10):117-119.
[2]王茹.安全信息管理(Sim)风险管理的研究与实现[D].北京邮电大学,2010.
[3]胡文龙.蜜网的数据融合与关联分析的研究与实现[D].北京邮电大学,2009.
网络安全和应急工作机制篇7
1 网络信息安全应急机制的理论基础
1.1 宪政基础 宪政是以良宪为基础,民主为基石,法治为载体,人权实现为宗旨的一种政治理念、政治形态和政治过程,宪法至上是宪政最重要的标志,也是法治文明的核心和首要要求[1]。政府要在紧急状态应急中发挥积极作用,必须具有宪政上的法律基础。我国《宪法》第67条第20项规定了全国人大常委会行使决定全国或个别省、自治区、直辖市进入紧急状态的权力;第80条规定了国家主席根据全国人大及其全国人大常委会的决定,有宣布进入紧急状态的权力。这充分说明了紧急状态下政府权力来源必须有法律依据。
在网络信息安全应急方面,政府是应急的组织者和指挥者。对于涉及国家安全或经济发展的网络信息安全紧急事件,必须由政府统一协调指挥,控制事态的进一步恶化,尽快恢复网络的正常运行和正常的社会生活秩序。首先,政府有控制一般网络信息安全事件演变为紧急或者危机事件的职责。在早期的计算机发展过程中,“应急”是单位保障计算机连续运营的重要举措。即使到现在,应急保障也是应用单位的工作重点。但是,在网络成为国家信息基础设施之后,网络信息安全应急已经成为国家整体安全战略的重要组成部分。互联互通中网络的一般性局部事件都可以快速演变为全局性的重大事件,使国家和社会处于危机状态,政府对此负有快速应对的职责。其次,政府有能力控制紧急事件和尽快恢复正常的社会生活秩序。网络紧急状态的恶性发展,威胁着社会公共利益和国家安全。而采取的特殊对抗措施,必然要求储备关键技术设备和人、财、物的事前准备。只有政府才能有这样的实力,同时,政府掌握着大量的网络安全信息,可在关键时刻启动“可生存网络”,保障国家基础设施的连续运营。
1.2 社会连带责任思想 社会连带责任思想定位于社会存在为统一整体,认为人们在社会中存在相互作用、相互依存的社会连带关系,表明了人们在社会中共同生活、共同生产的一种模式,这种模式更多的关注了人在社会中的合作与责任[2]。主张社会各方参与网络信息安全应急活动,正是强调了应急保障中的这种合作、责任思想。
首先,网络空间强化了社会成员之间的联系、合作和责任。这是一种新型的网络信息安全“文化观”。这种“文化观”认为,在各国政府和企业越来越来依赖于超越国界的计算机网络时代,有必要在全球倡导和建立起一种“信息安全文化”,参与者应当履行网络安全责任,提升网络安全意识,及时对危害网络信息安全的紧急事件作出反应,不定期地评估网络和信息系统的安全风险。
其次,网络安全威胁要求政府与社会成员之间合作。面对当前复杂多变的网络信息安全形势,政府应对紧急状态需要有社会各方的积极参与。提倡社会力量参与网络应急保障工作,是政府网络信息安全应急管理的新思路。以指挥命令为特征的狭隘行政观念,将被执政为民的现代行政理念所代替。按照社会连带责任思想中的“合作”精神,没有社会力量的参与配合,政府将难以在应急响应、检测预警中起主导作用,无法履行其对网络社会危机管理的职责。
美国《网络空间安全国家战略》指出,保护广泛分布的网络空间资源需要许多美国人的共同努力,仅仅依靠联邦政府无法充分保护美国的网络安全,应鼓励所有的美国人保护好自己的网络空间。联邦政府欢迎公共和私人机构在提高网络安全意识、人员培训、激励劳动力,改善技术、确定脆弱性并提高恢复能力、交换信息、计划恢复运行等方面开展合作。
1.3 权利平衡理念 从公法和私法的关系看,公法之设乃是为了实现私法的目的。网络信息安全应急立法必须考虑到政府紧急权力对公民、单位私权益保护的积极方面,又要防止应急部门在行使行政紧急权力时侵犯公民的私权利。解决冲突,寻求平衡,始终是对“法治文明”的积极追求。尽快恢复网络秩序,稳定社会则是应对紧急状态的最高目的。
为了保障公民的权利不因紧急状态的发生而被政府随意剥夺,许多国家宪法和国际人权文件都规定,即使是在紧急状态时期,一些最基本的人权,如生命权、语言权、宗教信仰权等也不得被限制,更不得被剥夺,这些规定都是防止政府随意滥用行政紧急权,而使公民失去不应当失去的权利[3]。如1976年1月3日生效的《公民及政治权利国际公约》、1953年9月3日生效的《欧洲人权公约》以及1969年11月22日在哥斯达黎加圣约翰城制定的《美洲人权公约》都规定在紧急状态下不得剥夺公民的某些基本权利。这些基本权利包括:生命权、人道待遇权、不受奴役的自由、不受有追溯力的法律的约束等。《美国人权公约》还规定不得中止保障公民家庭的权利、姓名的权利、国籍的权利和参加政府的权利。1976年国际法协会组织小组委员会专门研究在紧急状态下如何处理维护国家生存和保护公民权利的关系,经过6年的研究,起草了《国际法协会紧急状态下人权准则巴黎最低标准》,为各国制定和调整紧急状态的法律提出了指导性的原则,通过规定实施紧急状态和行使紧急权力的基本条件和应遵循的基本原则以及各种监督措施,以防止政府滥用紧急权力,最低限度地保障公民的权利。
2 网络信息安全应急机制的价值目标
所谓价值目标是指为了实现某种目的或达到某种社会效果而进行的价值取舍和价值选择。它既反映了法律的根本目的,也是解释、执行和研究法律的出发点和根本归宿。在每一个历史时期,“人们都使各种价值准则适应当时的法学任务,并使它符合一定时间和地点的社会理想”。[4]网络信息安全应急机制的价值目标包括两个方面:一是实现网络安全、提高网络紧急事件处理效率、促进国民经济发展;二是确立以实现网络安全为最高价值目标的价值层次配置。
2.1 安全价值 安全价值是网络信息安全应急机制的最高价值目标,也是信息安全保障的主要内容。随着网络信息技术的不断发展,关键基础设施越来越依赖于复杂的网络空间,网络空间是这些基础设施的神经系统,是一个国家的控制系统。一旦网络空间突发紧急事件,将威胁国家的整体安全,其后果不堪设想。信息技术革命带来的经济发展潜力也部分地被网络安全风险所淹没,网络空间的脆弱性使得商事交易面临着严重的危险。有资料显示,金融业在灾难停机2天内所受损失为日营业额的50%,如果两个星期内无法恢复信息系统,75%的公司业务会被中止,43%的公司将再也无法开业[5]。
安全价值反映了人们应对网络安全紧急状态的积极态度,是人们在长期社会实践中的经验总结。首先,在认识到网络脆弱性之后,人们不是拒绝、放弃网络技术给人类所带来的文明,而是积极地通过适当途径对网络技术中的风险加以认识和积极防御,并以此实现社会的“跨越式”发展。其次,在国民经济和人类社会对网络空间高度依赖之后,应对网络紧急状态就成为人类生存的基本需求。第三,网络的国际化进一步加剧了网络紧急状态的突发性、复杂性和隐蔽性。网络恐怖活动、敌对势力集团的信息战威胁等等,使人类社会面临前所未有过的安全威胁,应急因而成为信息安全保障体系的重要组成部分。
2.2 经济价值 网络信息安全应急机制的本质在于对网络紧急事件的快速响应,有效处理网络紧急事件,将事件造成的危害降到最低,同时保护人民的合法权益。必须指出的是,这里的效率价值主要是处理紧急事件的时间效率而非金钱效率,因为在网络空间,因系统遭受攻击等紧急事件造成的重要信息丢失是难以用金钱来衡量的。
网络信息安全应急的效率价值首先表现在对紧急事件的快速响应方面。快速应对紧急事件必须建立有效的应急管理机构,保证政令畅通。其次,效率价值要求应急管理机构必须建立完善的预警检测、通报机制,分析安全信息,告警信息和制订预警预案,做到有备无患。同时,建立应急技术储备的法律保障机制。应急本质是一种信息对抗,对抗就是控制紧急状态的恶性发展,对抗就是防御网络紧急事件的信息技术。因此,必须有先进的应急技术来提高紧急事件的预防和处理能力。第三,效率价值要求赋予应急响应组织行政紧急权力,以控制损失,尽快恢复网络秩序。以尽快恢复秩序为目的对私权益进行的要干预是必要的。
网络安全和应急工作机制篇8
一、贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规;落实贯彻公安部门和省教育厅关网络和信息安全管理的有关文件精神,坚持积极防御、综合防范的方针,本着以防为主、注重应急工作原则,预防和控制风险,在发生信息安全事故或事件时最大程度地减少损失,尽快使网络和系统恢复正常,做好网络和信息安全保障工作。
二、信息网络安全事件定义:
1、网络突然发生中断,如停电、线路故障、网络通信设备损坏等。
2、单位网站受到黑客攻击,主页被恶意篡改、交互式栏目里发表有煽动分裂国家、破坏国家统一和民族团结、社会主义制度;煽动抗拒、破坏宪法和国家法律、行政法规的实施;捏造或者歪曲事实,故意散布谣言,扰乱秩序;破坏社会稳定的信息及损害国家、学校声誉和稳定的谣言等。
3、单位内网络服务器及其他服务器被非法入侵,服务器上的数据被非法拷贝、修改、删除,发生泄密事件。
三、设置网上应急小组,组长由单位有关领导担任,成员由信息中心人员组成。采取统一管理体制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法。
四、单位网络信息工作
1、加强网络信息审查工作,若发现单位主页被恶意更改,应立即停止主页服务并恢复正确内容,同时检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放主页服务。
2、信息服务,必须落实责任人,实行先审后发,并具备相应的安全防范措施(如:日志留存、安全认证、实时监控、防黑客、防病毒等)。建立有效的网络防病毒工作机制,及时做好防病毒软件的网上升级,保证病毒库的及时更新。
五、信息中心对单位网实施24小时值班责任制,开通值班电话,保证与上级主管部门、相关网络部门和当地公安机关的热线联系。若发现异常应立即向应急小组及有关部门、上级领导报告。
六、加强突发事件的快速反应。单位信息中心具体负责相应的网络安全和信息安全工作,对突发的信息网络安全事件应做到:
七、做好准备,加强防范。信息中心成员对相应工作要有应急准备。针对网络存在的安全隐患和出现的问题,及时提出整治方案并具体落实到位,创造良好的网络环境。
八、加强网络用户的法律意识和网络安全意识教育,提高其安全意识和防范能力;净化网络环境,严禁用于上网浏览与工作无关的网站。
九、做好网络机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故,应立即组织人员自救,并报警。
十、网络安全事件报告与处置。
网络安全和应急工作机制篇9
关键词:高校;网络安全建设;思考
1引言
网络安全,指的是计算机网络系统的安全,不仅包括网络系统正常运行的硬件、软件环境安全,也包括网络传输的资源、数据等信息安全[1]。网络安全不仅关系到我们每一个公民,更是事关国家安全的重要问题。高校作为培养当代大学生的主要阵地,在网络安全建设及教育方面更是肩负着重要的责任。面对信息泄露等校园网络安全问题以及日趋严峻的网络安全形势,如何保障高校网络安全建设的稳步推进,已经成为重中之重。
2网络安全建设存在的问题
高校网络安全建设存在一些问题,主要有以下几点。(1)网络安全专业人员不足目前高校已基本上实现校园网络全覆盖。有成千上万的网络计算机,但与之配套的网络安全管理员却严重不足,甚至没有专职的网络安全管理员[2]。而且大部分网络安全管理人员没有接受过系统化的岗前培训,安全责任意识单薄,专业素养不够高,网络安全专业人员及其技能都存在严重不足。(2)师生网络安全意识不强高校网络的使用主体为本校师生,群体庞大,且大部分高校未开展系统、全面、全覆盖的网络安全主题教育,导致用户群体网络安全防范意识不强。部分教师在使用计算机时对病毒防护、密码保护、漏洞修复等基础网络安全操作无意识,使得计算机很容易被入侵而造成数据及资源丢失[3]。一些学生在面对复杂的网络环境时,由于猎奇心理及感情用事,可能会采用一些诸如“翻墙”等威胁高校网络安全的行为或者网络暴力等激进行为。(3)网络安全防护体系不完善截止到目前,很多高校尚未认识到加强网络安全管理的重要性,缺乏一套完善的网络安全防护体系。领导重视不够,未形成专门的网络安全领导小组;资金投入不足,无法购买各类网络安全防护设备;管理制度不完善,无应急预案等;技术防护手段不足,缺少各类必须的技术防护手段;网络安全人员不足,未设置网络安全技术专岗等。这些都是当前高校网络安全面临的突出问题。
3加强高校网络安全建设的对策
3.1网络安全防护体系
高校网络安全建设应以人员组织为基础,以管理制度为依据,以技术防护为手段,三管齐下,切实保障好高校的网络及信息安全。
3.1.1人员组织体系自上而下,建立起管理决策层、组织协调层、落实执行层的三层架构人员组织体系。管理决策层统一领导网络安全工作,研究制定网络安全发展规划,决策网络安全建设中的重大事项等。组织协调层统一协调学校网络安全建设工作,负责网络安全及运行保障项目的建设、改造、升级、维护等方面,负责制度与人员队伍建设等。落实执行层负责具体工作的落地执行。
3.1.2管理规范体系规范化是制度化的最高形式,是一种非常有效和严谨的管理方式。完善的管理规范体系是保障网络安全的法律基础,是通过建立标准规范来约束用户行为的制度。其实现的过程就是规范管理的过程。管理规范体系包括网络安全责任制、网络安全管理规范、应急响应机制、网络安全通报制度等方面的内容。(1)网络安全责任制按照“谁主管谁负责、谁运行谁负责”的原则,明确网络安全工作责任主体,各部门应有专人专岗负责网络安全具体工作,细化网络安全各关键岗位安全管理责任,签订安全责任书,建立安全责任体系,形成网络安全工作长效机制。(2)网络安全管理规范建立健全网络安全管理制度,明确信息系统管理、数据管理、信息管理、网站、微信、微博和移动应用管理、电子邮件管理、交互式栏目管理等的管理规范,使所有的网络安全活动都有规范可依,有制度约束。(3)应急响应机制制定完善网络安全应急预案、明确应急处置流程、处置权限、落实应急技术支撑队伍,强化技能训练,强化技能训练。至少一年两次开展网络应急演练。通过模拟网络安全事故现场环境,提高应急处置能力。(4)网络安全通报制度定期开展安全检查,全面、细致地排查安全隐患,并定期对检查结果进行通报,督促相关部门落实整改。如通过《网络安全简报》、《信息化简报》等手段,通报各业务系统漏洞扫描、数据备份、日志审计、数据库审计等各项安全指标,督促相关部门做好网络安全责任落实。
3.1.3技术防护体系网络安全及运行保障是一项系统工程,对系统的过程要素、组织结构和结构功能进行分析,主要分为预警层次、检测层次、保护层次、响应层次四个层级。预警层次主要是发现问题、记录问题和预警问题。检测层次主要是发现服务器存在的安全漏洞、安全配置问题、应用系统安全漏洞,形成完整的安全风险报告,帮助安全人员查漏补缺,防范风险于未然[4]。保护层次是对网络运行的实时保护,包括拒绝服务、入侵检测、流量分析、数据防泄露等。响应层次是对安全事件进行及时的响应,包括数据库审计、安全监管、安全服务等。
3.2网络安全宣传教育
维护高校网络安全是全校师生共同的责任,维护网络安全不仅需要学校的防护体系,更需要广大师生的共同参与,网络安全这道防线才能筑得牢固。因此,在制定完善的网络安全防护体系的基础上,更要通过定期的安全培训、知识讲座和学术交流,使全校师生不断增强网络安全意识,掌握网络安全知识,并有效提升各类网络安全事件的风险防范能力,进一步营造一个安全、健康、文明、和谐的网络环境。
4结束语
高校网络安全体系的建设是一个数据庞大、层次复杂、多点防御的工程,涉及到人员组织体系、管理规范体系、技术防护体系等多个层面。其建设的完成不是一蹴而就的,需要从全局进行总体规划,分步实施,才能实现高校网络安全管理的最终目标[5]。
参考文献
[1]王乔平.浅谈对网络安全的认识.信息系统工程,2019(07):78
[2]李佳霖.高校网络安全管理的现状及对策.通讯世界,2019,26(05):17-18
[3]文理卓,李东宸,郑宪,董石.浅析高校网络安全管理及对策探讨.中国管理信息化,2019,22(14):153-154
[4]梁艺军.高校web网站安全防护策略.中国教育网络,2015(02):57-58
网络安全和应急工作机制篇10
关键词:网络安全应急响应系统构建
中图分类号:tp309文献标识码:a文章编号:1007-9416(2015)12-0000-00
大力发展信息化至今,大部分网络设备和服务器已到更新换代之际,故障率和安全隐患逐年攀升,同时,网络攻击和病毒侵入带来的网络故障事故层出不穷。网络故障一旦发生,快速定位是解决问题的首要之举,直接关系到故障修复的时间,影响到引发损失的大小,网络应急响应已成为网络安全体系的重要组成部分。
1影响网络安全的主要因素
影响网络安全的因素有很多,比如病毒的侵袭、黑客的非法闯入、数据"窃听"和拦截、拒绝服务等等,园区网作为内部网络一般主要有以下安全隐患:
(1)ip地址滥用。对于实行静态ip地址分配的网络,非法接入、ip地址冒用、ip地址擅自更改,已成为网络管理人员最头痛的问题。另外,如何实现对识别后的违规行为进行快速定位,实现快速隔离阻断控制?如何及时发现、定位以及阻断未经授权情况下擅自接入我们网络的非法主机,及时防止信息泄漏、感染木马及病毒?上述诸多问题,将给运维工作带来极大困难。
(2)违法违规事件。随着个人网络意识和网络技术进步,经常有违规个人发动网络攻击、发表违法言论、窃取网络秘密等违法违规行为,一旦发生上述事件,网络管理人员追踪定位主机位置成为必然。由于ip地址和maC地址容易冒名顶替,根据一般性安全设备或网站记录的ip地址或maC地址追查到的结果并不能完全确定,因此完善认证审计系统势在必行。
(3)私接路由。用户利用路由器的maC克隆和nat转换模式,为图自己方便在内网中私自接入多台计算机,这种接入方式对外表现为单点普通接入,实际上却有几台甚至十几台设备同时在线,网络管理人员很难检测和监管,尤其是无线路由器的nat接入,不仅大大扩展了内网的网络边界,而且由于自身的不安全性,容易遭受外来无线攻击和入侵,带来的安全风险之大不可小觑。
(4)病毒攻击。园区网是一个相对封闭网络,但内网蠕虫病毒、aRp攻击仍然活跃,频频导致网络瘫痪,当蠕虫病毒爆发时,虽然有网络安全设备(如iDS等)的不断报警,管理员却无法及时定位感染主机,切断感染途径,唯一能做的就是守在机房搜寻并拔掉交换设备端口指示灯狂闪的下联网线,造成响应处理机制缓慢,处理时间过长,损失也就不可避免。
2网络应急响应系统构建
网络应急响应系统主要由ip地址管理模块、入网审计模块、nat设备检测模块、网络设备管理模块和应急响应管理模块。
2.1ip地址管理模块
该模块能够跨VLan跨路由自动收集网络内部所有主机的ip地址和其对应的maC地址,通过ip和maC的虚拟绑定技术,来实现对网络内部的违规行为进行有效监控。
2.2入网审计模块
该模块能够详细记录每一maC使用不同ip地址的时段,以及maC地址在网络的接入点及其接入时间段。可以根据ip地址结合发生时段,定位其该时段对应的maC地址,同时结合时段,进一步定位到该时段该maC地址在交换设备的接入端口,提供多种检索方式,便于安全事件关联ip的追踪和还原定位。
2.3nat设备检测模块
该模块通过远程扫描方式可以快速报警和定位私自接入的nat设备,包括nat私接设备的ip地址、maC地址和接入的交换设备端口。
2.4网络设备管理模块
该模块提供一个统一的安全管理平台,来兼容主流厂商众多型号的网络交换设备,对其安全运行和管理状态提供统一的控制和管理:
(1)网络设备物理通讯链路的监控,可以自动探测网络设备的链路运行状态,并对离线的重要设备进行报警。
(2)网络设备端口运行状态监控,能够识别设备端口的工作状态,包括设备端口启用状态以及端口关闭状态。
(3)交换机端口运行操作管理,支持对交换设备的端口操作管理,包括端口运行管理操作管理和部分设备端口的安全操作管理。
(4)交换机端口流量监控和管理,支持对交换设备的端口流量监控,并可设定阀值,对异常流量端口进行自动响应管理。
(5)交换机端口下联设备定位,能够自动定位交换设备端口的下联maC地址和ip地址,自动区分端口是否属于级联口,是应急响应管理的基础。
2.5应急响应管理模块
系统综合地址资源管理技术和交换机端口定位技术,通过阻断违规主机的上联交换机端口来实现对网络内部违规行为的应急响应控制。系统提供手动快速应急和自动应急两种响应管理模式。
(1)手动快速应急响应管理。用户只需要输入ip地址或maC地址,通过系统提供的查询接口就可以自动完成定位和进一步的隔离控制管理,相对于传统的手动处理模式,定位时间可以缩短一个量级。这个过程也可以通过直接查询报警信息,查询结果也会自动关联其定位信息,直接可以进行定位和隔离控制。
(2)自动应急响应管理。系统提供基于策略的自动应急响应管理机制,策略中可以自定义待响应处理的安全事件,系统在检测到该安全事件后(如非法接入),首先会根据ip自动获取其maC地址,然后根据maC地址自动关联其上联交换机端口,并根据响应策略要求决定是否自动关闭其上联端口来进行自动隔离控制,同时提供相应的报警信息。
3结语
该系统能够充分利用现有资源,兼容多家网络厂商设备,无须进行改变网络拓扑和架构,整合完成现有安全技术和自动响应管理技术的衔接。可以实现安全事件源的自动快速定位,自动隔离、阻断控制,响应处理时间可由原先手动响应的小时级缩短为自动响应的分秒级,可大大降低安全风险和损失。系统提供基于策略的应急响应管理机制,根据策略要求可以实现对安全事件的报警、自动关联定位及响应控制,保证了管理的灵活性。
参考文献