IT系統(tǒng)安全應(yīng)急預(yù)案說(shuō)課講解

1、江蘇 IT 系統(tǒng)安全應(yīng)急預(yù)案1 目的伴隨著公司信息化建設(shè)的發(fā)展， IT 系統(tǒng)的安全性也越發(fā)重要，需要全面加強(qiáng)信息安全性的建設(shè)， 確保系統(tǒng)不受到來(lái)自內(nèi)部和外部的攻擊， 實(shí)現(xiàn)對(duì)非法入侵的安全審計(jì)與跟蹤， 保證業(yè)務(wù)應(yīng)用和數(shù)據(jù)的安全性。 同時(shí)還必須建立起一套完善、可行的應(yīng)急處理規(guī)章制度， 在出現(xiàn)重大情況后能及時(shí)響應(yīng)， 盡最大可能減少損失。2 公司系統(tǒng)架構(gòu)和現(xiàn)狀I(lǐng)T 應(yīng)用系統(tǒng)架構(gòu)公司的IT系統(tǒng)以總公司為中心，各分支機(jī)構(gòu)通過(guò)租用專用線路或VPN同總公司連通，在各分支機(jī)構(gòu)內(nèi)部也建立較完善的多級(jí)綜合網(wǎng)絡(luò)，包括中心支公司、支公司、出單點(diǎn)等等。在網(wǎng)絡(luò)上運(yùn)行著以下系統(tǒng)：（一） 視頻會(huì)議系統(tǒng)各分公司之間、 分公司與總

2、公司之間、 各辦事處與公司之間進(jìn)行的網(wǎng)絡(luò)視頻會(huì)議。（二）辦公自動(dòng)化系統(tǒng)輔助公司日常辦公的系統(tǒng)，如 OAERP實(shí)現(xiàn)公司上下級(jí)之間的公文與協(xié)同工作信息傳遞。（三）郵件系統(tǒng)公司的內(nèi)部及外部郵箱系統(tǒng)，為公司內(nèi)、外部信息交流提供方便、快捷的通道。系統(tǒng)安全隱患由于公司的系統(tǒng)是多應(yīng)用、 多連接的平臺(tái)， 本身就可能存在著難于覺(jué)察的安全隱患， 同時(shí)又面臨來(lái)自各方面的安全威脅， 這些威脅既可能是惡意的攻擊， 又 可能是某些員工無(wú)心的過(guò)失。 下面從網(wǎng)絡(luò)系統(tǒng)、 操作系統(tǒng)與數(shù)據(jù)庫(kù)、 數(shù)據(jù)以及管理等方面進(jìn)行描述：（一）網(wǎng)絡(luò)與公司各級(jí)網(wǎng)絡(luò)進(jìn)行互聯(lián)的外部網(wǎng)絡(luò)用戶及Internet 黑客對(duì)各級(jí)單位網(wǎng)絡(luò)的非法入侵和攻擊； 公司內(nèi)

3、部各級(jí)單位網(wǎng)絡(luò)相互之間的安全威脅， 例如某個(gè)分支單位網(wǎng)絡(luò)中的人員對(duì)網(wǎng)絡(luò)中關(guān)鍵服務(wù)器的非法入侵和破壞；在各級(jí)單位網(wǎng)絡(luò)中，對(duì)于關(guān)鍵的生產(chǎn)業(yè)務(wù)應(yīng)用和辦公應(yīng)用系統(tǒng)而言， 可能會(huì)受到局域網(wǎng)上一些無(wú)關(guān)用戶的非法訪問(wèn)。（二）操作系統(tǒng)與數(shù)據(jù)庫(kù)操作系統(tǒng)與數(shù)據(jù)庫(kù)都存在一定的安全缺陷或者后門(mén)， 很容易被攻擊者用來(lái)進(jìn)行非法的操作； 系統(tǒng)管理員經(jīng)驗(yàn)不足或者工作疏忽造成的安全漏洞， 也很容易被攻擊者利用； 系統(tǒng)合法用戶特別是擁有完全操作權(quán)限的特權(quán)用戶的誤操作可能導(dǎo)致系統(tǒng)癱瘓、數(shù)據(jù)丟失等情況。（三）網(wǎng)絡(luò)應(yīng)用網(wǎng)絡(luò)上多數(shù)應(yīng)用系統(tǒng)采用客戶 / 服務(wù)器體系或衍生的方式運(yùn)行，對(duì)應(yīng)用系統(tǒng)訪問(wèn)者的控制手段是否嚴(yán)密將直接影響到應(yīng)用自身的安

4、全性；由于實(shí)現(xiàn)了Internet 接入，各級(jí)單位的計(jì)算機(jī)系統(tǒng)遭受病毒感染的機(jī)會(huì)也更大，且很容易通過(guò)文件共享、 電子郵件等網(wǎng)絡(luò)應(yīng)用迅速蔓延到整個(gè)公司網(wǎng)絡(luò)中； 網(wǎng)絡(luò)用戶自行指定IP地址而產(chǎn)生IP地址沖突，將導(dǎo)致業(yè)務(wù)系統(tǒng)的UNIX小型機(jī)服務(wù)器自動(dòng)宕機(jī)。（四）數(shù)據(jù)數(shù)據(jù)存儲(chǔ)和傳輸所依賴的軟、 硬件環(huán)境遭到破壞， 或者操作系統(tǒng)用戶的誤操作，以及數(shù)據(jù)庫(kù)用戶在處理數(shù)據(jù)時(shí)的誤操作，都會(huì)使嚴(yán)重威脅數(shù)據(jù)的安全。（五）管理如果缺乏嚴(yán)格的企業(yè)安全管理， 信息系統(tǒng)所受到的安全威脅即使是各種安全技術(shù)手段也無(wú)法抵抗。在充分認(rèn)識(shí)到確保核心業(yè)務(wù)和應(yīng)用有效運(yùn)轉(zhuǎn)的前提下， 公司已經(jīng)采取了一定的措施， 如利用操作系統(tǒng)和應(yīng)用系統(tǒng)自身的功

5、能進(jìn)行用戶訪問(wèn)控制， 建立容錯(cuò)和備份機(jī)制， 采用數(shù)據(jù)加密等。 但是這些措施所能提供的安全功能和安全保護(hù)范圍都非常有限，為了在不斷發(fā)展變化著的網(wǎng)絡(luò)計(jì)算環(huán)境中保護(hù)公司信息系統(tǒng)的安全，特制定了 IT 系統(tǒng)重大事件應(yīng)急方案。3 IT 系統(tǒng)重大事件的界定IT 系統(tǒng)的脆弱性體現(xiàn)在很多方面，小到短暫的電力不足或磁盤(pán)錯(cuò)誤，大到設(shè)備的毀壞或火災(zāi)等等。 很多系統(tǒng)弱點(diǎn)可以在組織風(fēng)險(xiǎn)管理控制過(guò)程中通過(guò)技術(shù)的、 管理的或操作的方法消除， 但理論上是不可能完全消除所有的風(fēng)險(xiǎn)。 為了能更好的制定針對(duì)IT 系統(tǒng)重大事件的應(yīng)急方案，必須先對(duì)所有可能發(fā)生的重大事件進(jìn)行詳細(xì)的描述和定義。下面將從IT 系統(tǒng)相關(guān)聯(lián)的電源、網(wǎng)絡(luò)、主機(jī)及

6、存儲(chǔ)設(shè)備、數(shù)據(jù)庫(kù)、病毒、信息中心機(jī)房等多個(gè)方面進(jìn)行說(shuō)明。電源電源是 IT 系統(tǒng)最基礎(chǔ)的部分，也是最容易受到外界干擾的部分之一。在既能保證公司系統(tǒng)平穩(wěn)運(yùn)行， 又能保證關(guān)鍵或重要設(shè)備安全的前提下， 根據(jù)目前配備的UPS電源的實(shí)際情況，將電源事件分為三個(gè)層次：一般性電源事件：停電時(shí)間在1 小時(shí)以內(nèi)的（包括1 小時(shí)）；需關(guān)注電源事件：停電時(shí)間在2 小時(shí)以內(nèi)的（包括2 小時(shí)）；密切關(guān)注電源事件：停電時(shí)間在 2 小時(shí)以上的。網(wǎng)絡(luò)網(wǎng)絡(luò)是 IT 系統(tǒng)及網(wǎng)絡(luò)客戶進(jìn)行通訊的通道，也是最容易受到外界干擾或攻擊的部分之一。 目前總公司主要對(duì)各地分公司到總公司的網(wǎng)絡(luò)線路進(jìn)行管控， 而公司又是采用數(shù)據(jù)集中的運(yùn)營(yíng)模式，鑒于

7、這種情況，將網(wǎng)絡(luò)事件分為三個(gè)層次：一般性網(wǎng)絡(luò)事件： 樓層交換機(jī)出現(xiàn)異常， 或局域網(wǎng)絡(luò)中斷時(shí)間在 5 分鐘以內(nèi)的（包括 5 分鐘） ；需關(guān)注網(wǎng)絡(luò)事件：主交換機(jī)、防火墻、上網(wǎng)設(shè)備出現(xiàn)異常，或局域網(wǎng)絡(luò)中斷時(shí)間在 30 分鐘以內(nèi)的（包括30 分鐘） ，廣域網(wǎng)絡(luò)中斷時(shí)間在5 分鐘以內(nèi)的（包括 5 分鐘） ；密切關(guān)注網(wǎng)絡(luò)事件：主干交換機(jī)、核心路由器、VPNS備出現(xiàn)異常，或廣域網(wǎng)絡(luò)中斷時(shí)間在 30 分鐘以上的。主機(jī)及存儲(chǔ)設(shè)備主機(jī)及存儲(chǔ)設(shè)備是IT 系統(tǒng)運(yùn)行的關(guān)鍵和核心，也是相對(duì)脆弱的部分，對(duì)工作環(huán)境的要求是相當(dāng)高的， 任何外部的變化都可能導(dǎo)致這些設(shè)備出現(xiàn)異常。 根據(jù)出現(xiàn)的異常情況，將主機(jī)及存儲(chǔ)設(shè)備事件分成三個(gè)

8、層次：一般性事件： 非系統(tǒng)關(guān)鍵進(jìn)程或文件系統(tǒng)出現(xiàn)異常， 不影響生產(chǎn)系統(tǒng)運(yùn)行的；需關(guān)注事件：根文件系統(tǒng)或生產(chǎn)系統(tǒng)所在的文件系統(tǒng)的磁盤(pán)空間將滿/ 已滿或系統(tǒng)關(guān)鍵進(jìn)程異常， 即將影響或已經(jīng)影響生產(chǎn)系統(tǒng)運(yùn)行的； 主機(jī)或存儲(chǔ)設(shè)備的磁盤(pán)異常并發(fā)出警告的；密切關(guān)注事件： 主機(jī)宕機(jī)； 存儲(chǔ)設(shè)備不能正常工作的； 主機(jī)與存儲(chǔ)設(shè)備中斷連接的； 主機(jī)性能嚴(yán)重降低， 影響終端用戶運(yùn)行的； 系統(tǒng)用戶誤操作導(dǎo)致重要文件丟失的。數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)是存儲(chǔ)公司經(jīng)營(yíng)信息的關(guān)鍵部分， 由于數(shù)據(jù)庫(kù)是建立在主機(jī)及存儲(chǔ)設(shè)備上的應(yīng)用， 任何主機(jī)及存儲(chǔ)設(shè)備的變化都會(huì)對(duì)數(shù)據(jù)庫(kù)產(chǎn)生或大或小的影響， 同時(shí)數(shù)據(jù)庫(kù)也是公司各個(gè)層面用戶的使用對(duì)象， 用戶對(duì)數(shù)據(jù)

9、的操作可能導(dǎo)致不可預(yù) 料的影響。根據(jù)數(shù)據(jù)庫(kù)對(duì)外界操作的反映，將數(shù)據(jù)庫(kù)事件分為兩個(gè)層次：一般事件：不影響大量用戶或應(yīng)用系統(tǒng)正常運(yùn)行的警告或錯(cuò)誤報(bào)告；重要事件： 數(shù)據(jù)庫(kù)的系統(tǒng)表空間將滿/ 已滿的； 業(yè)務(wù)系統(tǒng)表空間將滿/ 已滿的；數(shù)據(jù)庫(kù)網(wǎng)絡(luò)監(jiān)視進(jìn)程終止運(yùn)行的； 數(shù)據(jù)庫(kù)內(nèi)部數(shù)據(jù)組織出現(xiàn)異常的； 數(shù)據(jù)庫(kù)用戶誤操作導(dǎo)致數(shù)據(jù)丟失的； 數(shù)據(jù)庫(kù)關(guān)鍵進(jìn)程異常； 數(shù)據(jù)庫(kù)性能嚴(yán)重降低， 影響終端用戶運(yùn)行；數(shù)據(jù)庫(kù)宕機(jī)。電腦病毒由于 Internet 接入， 員工從 Internet 上進(jìn)行下載或者接收郵件， 都有感染病毒的可能性。 某些病毒帶有極大的危害性和極快的傳播速度， 從而可能導(dǎo)致在公司內(nèi)部的病毒大范圍傳播。 針

10、對(duì)病毒在公司內(nèi)部的傳播范圍或危害程度， 分為三個(gè)層次：一般性事件：獨(dú)立的病毒感染，并沒(méi)有傳播和造成損失的；密切關(guān)注事件：病毒小范圍傳播，并造成一定損失，但不是重大損失的；嚴(yán)重關(guān)注事件：病毒大范圍傳播，并造成重大損失的；其他事件信息中心機(jī)房其他影響 IT 系統(tǒng)運(yùn)行的因素可能會(huì)產(chǎn)生一些突然事件，主要有以下一些方面：（一）空調(diào)工作異常，導(dǎo)致機(jī)房溫度過(guò)高；（二）空調(diào)防水保護(hù)出現(xiàn)異常導(dǎo)致滲水；（三）發(fā)生火災(zāi)；（四）粉塵導(dǎo)致主機(jī)或存儲(chǔ)設(shè)備異常的。4 信息系統(tǒng)重大事件的應(yīng)急方案根據(jù)上節(jié)對(duì) IT 系統(tǒng)重大事件的界定， 公司已經(jīng)建立了一套完整的應(yīng)急方案，在硬件方面采用雙機(jī)熱備機(jī)制， 同時(shí)加強(qiáng)日常的系統(tǒng)監(jiān)控， 保

11、持完整的數(shù)據(jù)備份， 及時(shí)進(jìn)行災(zāi)難恢復(fù)，和儲(chǔ)備必要的系統(tǒng)備件等多種技術(shù)和方法。下面按照 IT 系統(tǒng)相關(guān)聯(lián)的電源、網(wǎng)絡(luò)、主機(jī)及存儲(chǔ)設(shè)備、數(shù)據(jù)庫(kù)、電腦病毒等多個(gè)方面進(jìn)行說(shuō)明。電源機(jī)房采用UPS為主要設(shè)備進(jìn)行供電，為了應(yīng)對(duì)重大突發(fā)事件，采用以下了手段：（一）加強(qiáng)UPS的維護(hù)，保證UPS的正常工作；（二） 在必要情況下， 交流輸入供電系統(tǒng)采用雙路市電供電和發(fā)電機(jī)聯(lián)合供電，保證市電使長(zhǎng)期停電 , UPS 仍能正常供電；（三）直流輸入方面，采用公用一組電池組的設(shè)計(jì)，配置長(zhǎng)達(dá)48 小時(shí)的后備電池 , 并提供交流輸入瞬變或市電與發(fā)電機(jī)供電切換時(shí)的短時(shí)供電；（四） 根據(jù)停電時(shí)間的長(zhǎng)短， 依次發(fā)布一般性通知、 較緊

12、急通知和緊急通知給相關(guān)部門(mén)和機(jī)構(gòu)；（五）停電發(fā)生后，及時(shí)聯(lián)系設(shè)備部門(mén)和供電部門(mén)。網(wǎng)絡(luò)（一）核心路由器做雙以太口綁定，如一端口發(fā)生故障，自動(dòng)切換到 VPN備份線路接入主機(jī)系統(tǒng)， 直到修復(fù)使用正常， 同時(shí)由網(wǎng)絡(luò)集成商提供技術(shù)和備件支持，一旦出現(xiàn)緊急故障， 1 小時(shí)趕到現(xiàn)場(chǎng)處理故障；（二）到分支機(jī)構(gòu)專線采用2M數(shù)字線路，如2M數(shù)字線路發(fā)生故障斷開(kāi)則自動(dòng)切換到VPN&份線路接入主機(jī)系統(tǒng)，直到專線修復(fù)則使用正常2M線路通信；對(duì)于網(wǎng)絡(luò)核心設(shè)備出現(xiàn)重大故障， 盡快了解情況， 分析問(wèn)題和提出應(yīng)急解決方案， 做好現(xiàn)場(chǎng)應(yīng)急處理， 立即通知網(wǎng)絡(luò)集成服務(wù)商到現(xiàn)場(chǎng)處理， 主干交換機(jī)由網(wǎng)絡(luò)集成商提供技術(shù)和備件支持，一旦出

13、現(xiàn)緊急故障， 1 小時(shí)內(nèi)趕到現(xiàn)場(chǎng)處理故障；為防止核心路由器或主干交換機(jī)發(fā)生故障后無(wú)法解決問(wèn)題， 在必要情況下， 配備一臺(tái)備用路由器和主干交換機(jī)， 配置接口與核心路由器和主干交換機(jī)相同，一旦出現(xiàn)故障，能在十分種內(nèi)進(jìn)行更換；在網(wǎng)絡(luò)入口處檢查網(wǎng)絡(luò)通訊， 根據(jù)設(shè)定的安全規(guī)則， 在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下， 保障內(nèi)外網(wǎng)絡(luò)通訊， 實(shí)現(xiàn)了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)有效的隔離， 所有來(lái)自外部網(wǎng)絡(luò)的訪問(wèn)請(qǐng)求都要通過(guò)防火墻的檢查， 內(nèi)部網(wǎng)絡(luò)的安全將會(huì)得到保證。具體有：設(shè)置源地址過(guò)濾， 拒絕外部非法IP 地址， 有效避免了外部網(wǎng)絡(luò)上與業(yè)務(wù)無(wú)關(guān)的主機(jī)的越權(quán)訪問(wèn)；2、防火墻只保留有用的WEEK務(wù)和郵件服務(wù)，將其它不需要的服務(wù)關(guān)

14、閉，將系統(tǒng)受攻擊的可能性降低到最小限度，使黑客無(wú)機(jī)可乘；3、防火墻制定訪問(wèn)策略，只有被授權(quán)的外部主機(jī)可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)的有限IP 地址，保證外部網(wǎng)絡(luò)只能訪問(wèn)內(nèi)部網(wǎng)絡(luò)中的必要資源，與業(yè)務(wù)無(wú)關(guān)的操作將被拒絕；4、全面監(jiān)視外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)活動(dòng)，并進(jìn)行詳細(xì)的記錄，及時(shí)分析得出可疑的攻擊行為；5、網(wǎng)絡(luò)的安全策略由防火墻集中管理，使黑客無(wú)法通過(guò)更改某一臺(tái)主機(jī)的安全策略來(lái)達(dá)到控制其他資源訪問(wèn)權(quán)限的目的；6、設(shè)置地址轉(zhuǎn)換功能，使外部網(wǎng)絡(luò)用戶不能看到內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，使黑客攻擊失去目標(biāo)。主機(jī)、存儲(chǔ)設(shè)備及數(shù)據(jù)庫(kù)為保證生產(chǎn)系統(tǒng)穩(wěn)定運(yùn)行，主機(jī)與存儲(chǔ)系統(tǒng)保持 7X24 小時(shí)的可用。為應(yīng)對(duì)可能發(fā)生的重大事件或突發(fā)事件

15、，采取以下措施：（一） 在接到緊急停電通知后 30-40 分鐘內(nèi)按照先數(shù)據(jù)庫(kù)、 次主機(jī)、 最后存儲(chǔ)設(shè)備的順序停止所有系統(tǒng)運(yùn)行，在必要的情況下，須拔掉所有電源插頭；（二）采用雙機(jī)熱備技術(shù)，在其中一臺(tái)主機(jī)出現(xiàn)異常時(shí)，及時(shí)進(jìn)行切換；（三）采用硬盤(pán)、磁帶庫(kù)等設(shè)備作好日常數(shù)據(jù)備份；（四） 如果發(fā)生誤刪除操作系統(tǒng)文件， 立即進(jìn)行文件系統(tǒng)恢復(fù) （必須有備份） ；（五）如果發(fā)生誤刪除數(shù)據(jù)，立即進(jìn)行數(shù)據(jù)庫(kù)恢復(fù)（必須有備份） ；如果文件系統(tǒng)空間不夠， 導(dǎo)致系統(tǒng)不能正常運(yùn)行， 立即進(jìn)行文件系統(tǒng)擴(kuò)展。如果數(shù)據(jù)庫(kù)表空間不足， 立即進(jìn)行表空間擴(kuò)展， 同時(shí)可能還進(jìn)行文件系統(tǒng)擴(kuò)展；（八）在必要情況下，建立異地?cái)?shù)據(jù)備份中心，以保持?jǐn)?shù)據(jù)安全性。（九）出現(xiàn)重大故障，盡快了解情況，分析問(wèn)題和提出應(yīng)急解決方案，做好現(xiàn)場(chǎng)應(yīng)急處理， 立即通知系統(tǒng)服務(wù)商到現(xiàn)場(chǎng)處理， 并由系統(tǒng)服務(wù)商提供備件支援。4.4 電腦病毒為防止電腦病毒在公司內(nèi)部的傳播， 反毒和信息安全應(yīng)按照 “整體防御， 整體解決”的原則實(shí)施，采用多種手段和產(chǎn)品來(lái)切斷電腦病毒的傳播“通道” 。具體措施如下：（一）配置企業(yè)級(jí)網(wǎng)絡(luò)版殺毒軟件，在公司總部、分公司、營(yíng)業(yè)部所有聯(lián)網(wǎng)的PC機(jī)、PC服務(wù)器上安裝病毒/郵件防火墻，部署統(tǒng)一的公司網(wǎng)絡(luò)防毒系統(tǒng)，實(shí)現(xiàn)反毒分級(jí)防范和集中安全管理；在公司總部和分公司配置