應(yīng)急響應(yīng)策略

1、1應(yīng)急計(jì)劃和響應(yīng)策略1.1策略的適用范圍本應(yīng)急計(jì)劃和響應(yīng)策略僅適用于中船重工第 XXXF 究所涉密信息系統(tǒng)出現(xiàn)系 統(tǒng)運(yùn)行事件和出現(xiàn)泄密事件時(shí)，如何及時(shí)發(fā)現(xiàn)和有計(jì)劃、有步驟的處置。1.2實(shí)施策略的主體本應(yīng)急計(jì)劃和響應(yīng)策略的實(shí)施主體有：應(yīng)急事件和狀況發(fā)現(xiàn)人和執(zhí)行人一一系統(tǒng)管理員、安全保密管理員、安全審計(jì)員等；應(yīng)急響應(yīng)的發(fā)起人和動(dòng)員者一一所網(wǎng)管中心負(fù)責(zé)人、所保密辦負(fù)責(zé)人、所保 密委負(fù)責(zé)人。1.3主要的策略規(guī)則應(yīng)急計(jì)劃主要針對(duì)涉密信息系統(tǒng)出現(xiàn)系統(tǒng)運(yùn)行安全問(wèn)題和泄密事件而實(shí)施 響應(yīng)方式。其中系統(tǒng)運(yùn)行安全問(wèn)題的應(yīng)急相應(yīng)計(jì)劃與響應(yīng)方式：a） 對(duì)于系統(tǒng)運(yùn)行安全問(wèn)題的應(yīng)急響應(yīng)：1） 當(dāng)系統(tǒng)管理員、安全保密管理員

2、、安全審計(jì)員發(fā)現(xiàn)系統(tǒng)內(nèi)設(shè)備有掉 電、宕機(jī)；2） 系統(tǒng)內(nèi)出現(xiàn)較大范圍的病蠹及惡意代碼問(wèn)題；3） 網(wǎng)絡(luò)系統(tǒng)出現(xiàn)非法入侵行為等，應(yīng)按系統(tǒng)運(yùn)行安全問(wèn)題給予響應(yīng)。b） 系統(tǒng)運(yùn)行安全問(wèn)題應(yīng)急響應(yīng)的決策人為網(wǎng)管中心負(fù)責(zé)人。c） 實(shí)施方式：1） 由系統(tǒng)管理員關(guān)閉個(gè)別設(shè)備；2） 由安全保密管理員在瑞星網(wǎng)絡(luò)殺蠹軟件控制臺(tái)上， 發(fā)布系統(tǒng)內(nèi)各終端及服務(wù)器立即查殺病蠹及惡意代碼；3） 由安全保密管理員在綠盟冰之眼入侵檢測(cè)系統(tǒng)V5.5 管理控制臺(tái)上,核查入侵行為發(fā)生的源地址、目的地址、入侵行為的發(fā)生時(shí)間、入 侵攻擊行為及結(jié)果。并通過(guò)防火墻聯(lián)動(dòng)方式、斷開(kāi)攻擊源的網(wǎng)絡(luò)連 線、關(guān)閉攻擊源的交換機(jī)接入端口等任意一種方式，阻斷入侵

3、攻擊行為。其中系統(tǒng)泄密事件的應(yīng)急相應(yīng)計(jì)劃與響應(yīng)方式：a）對(duì)于系統(tǒng)泄密事件的應(yīng)急響應(yīng)：1） 當(dāng)系統(tǒng)管理員發(fā)現(xiàn)涉密信息系統(tǒng)內(nèi)，出現(xiàn)涉密存儲(chǔ)設(shè)備、服務(wù)器及 終端設(shè)備有丟失、被盜、非許可的損毀等現(xiàn)象；2） 系統(tǒng)內(nèi)，訪問(wèn)控制規(guī)則失效，導(dǎo)致系統(tǒng)內(nèi)對(duì)涉密信息出現(xiàn)任意訪問(wèn)；3） 系統(tǒng)內(nèi)，身份鑒別失效，導(dǎo)致終端、服務(wù)器出現(xiàn)非授權(quán)訪問(wèn)；4） 系統(tǒng)內(nèi)發(fā)現(xiàn)涉密信息被非授權(quán)訪問(wèn)；5） 系統(tǒng)內(nèi)存在涉密信息被非授權(quán)打印、復(fù)制輸出；6） 涉密載體（紙介質(zhì)、光介質(zhì)、電磁介質(zhì)等）丟失；7） 涉密計(jì)算機(jī)、涉密筆記本電腦丟失。b） 系統(tǒng)泄密事件應(yīng)急響應(yīng)的決策人為所保密辦負(fù)責(zé)人、保密委負(fù)責(zé)人。c） 實(shí)施方式：1） 若發(fā)現(xiàn)設(shè)備被盜，應(yīng)立

4、即啟動(dòng)應(yīng)急響應(yīng)計(jì)劃。關(guān)閉涉密信息系統(tǒng)機(jī) 房服務(wù)器、存儲(chǔ)設(shè)備操作系統(tǒng)及電源；首先，查活丟失設(shè)備的位置、 設(shè)備類型、設(shè)備中存儲(chǔ)涉密信息的量及涉密程度。 然后，調(diào)出丟失 設(shè)備場(chǎng)所的視頻監(jiān)控錄像及門禁系統(tǒng)資料。查活丟失設(shè)備的時(shí)間、 責(zé)任人等。依據(jù)相關(guān)規(guī)定和法律程序，追究當(dāng)事人的法律責(zé)任。2） 若系統(tǒng)內(nèi)，出現(xiàn)訪問(wèn)控制規(guī)則、身份鑒別規(guī)則失效，安全保密管理員發(fā)現(xiàn)涉密信息被非授權(quán)訪問(wèn)。應(yīng)立即啟動(dòng)應(yīng)急響應(yīng)，首先立即關(guān) 閉網(wǎng)絡(luò)設(shè)備電源，同時(shí)，迅速關(guān)閉涉密信息系統(tǒng)機(jī)房服務(wù)器、 存儲(chǔ) 設(shè)備操作系統(tǒng)及電源。逐個(gè)開(kāi)啟綠盟冰之眼入侵檢測(cè)系統(tǒng)V5.5 管理控制臺(tái)服務(wù)器、中軟主機(jī)監(jiān)控與審計(jì)系統(tǒng) V7.2R2 控制臺(tái)服務(wù)器， 查

5、看涉密信息知悉范圍擴(kuò)大的狀況，哪些涉密信息被非授權(quán)訪問(wèn)。 同時(shí)，調(diào)出相關(guān)場(chǎng)所的視頻監(jiān)控錄像及門禁系統(tǒng)資料。查活復(fù)制、 輸出打印的時(shí)間、當(dāng)事人等，收繳非法獲取的涉密介質(zhì)、涉密信息 等。并依照相關(guān)規(guī)定和法律程序，追究當(dāng)事人的法律責(zé)任。3） 若安全保密管理員發(fā)現(xiàn)系統(tǒng)內(nèi)存在非授權(quán)打印、復(fù)制輸出，應(yīng)立即啟動(dòng)應(yīng)急響應(yīng)計(jì)劃。關(guān)閉打印服務(wù)器、輸入輸出專用機(jī)操作系統(tǒng)及 電源。由安全保密管理員登陸到中軟主機(jī)監(jiān)控與審計(jì)系統(tǒng)V7.2R2控制臺(tái)服務(wù)器查看輸出打印和復(fù)制的涉密信息數(shù)量、涉密級(jí)別、輸 出時(shí)間、操作人，同時(shí)調(diào)出輸入輸出專用機(jī)房、打印室的視頻監(jiān)控 錄像及門禁系統(tǒng)資料。查活復(fù)制、輸出打印的時(shí)間、當(dāng)事人等，收繳非法獲取的涉密介質(zhì)、打印涉密資料等。并依照相關(guān)規(guī)定和法律程序，追究當(dāng)事人的法律責(zé)任。4） 涉密載體（紙介質(zhì)、光介質(zhì)、電磁介質(zhì)等）和涉密計(jì)算機(jī)、涉密筆 記本電腦丟失，應(yīng)立即啟動(dòng)應(yīng)急響應(yīng)計(jì)劃。查活丟失介質(zhì)及設(shè)備的 涉密程度、處理或存儲(chǔ)的涉密信息量，向有關(guān)部門報(bào)告。并依照相 關(guān)規(guī)定和法律程序，追究當(dāng)事人的法律責(zé)任。1.4規(guī)則的更新要求由于應(yīng)急計(jì)劃與響應(yīng)策略，需每年至少進(jìn)行一次演練，并針對(duì)演練結(jié)果對(duì)應(yīng) 急響應(yīng)策略進(jìn)行更新和修正。對(duì)采取的應(yīng)急響應(yīng)措施， 以及所發(fā)現(xiàn)的系統(tǒng)安全風(fēng)險(xiǎn)、 威脅及脆弱性應(yīng)及時(shí) 封堵。對(duì)發(fā)生重大泄密事件后，需重新制定涉密信息分級(jí)保護(hù)設(shè)計(jì)方案， 提請(qǐng)相 關(guān)專家組