IT系統(tǒng)安全應急預案

IT系統(tǒng)安全應急預案1目的伴隨著公司信息化建設的發(fā)展，IT系統(tǒng)的安全性也越發(fā)重要，需要全面加強信息安全性的建設，確保系統(tǒng)不受到來自內部和外部的攻擊，實現(xiàn)對非法入侵的安全審計與跟蹤，保證業(yè)務應用和數據的安全性。同時還必須建立起一套完善、可行的應急處理規(guī)章制度，在出現(xiàn)重大情況后能及時響應，盡最大可能減少損失。1.2公司系統(tǒng)架構和現(xiàn)狀2.1IT應用系統(tǒng)架構公司的IT系統(tǒng)以總公司為中心，各分支機構通過租用專用線路或VPN同總公司連通，在各分支機構內部也建立較完善的多級綜合網絡，包括中心支公司、支公司、出單點等等。在網絡上運行著以下系統(tǒng)：（一）視頻會議系統(tǒng)各分公司之間、分公司與總公司之間、各辦事處與公司之間進行的網絡視頻會議。（二）辦公自動化系統(tǒng)輔助公司日常辦公的系統(tǒng)，如OA\\ERP，實現(xiàn)公司上下級之間的公文與協(xié)同工作信息傳遞。（三）郵件系統(tǒng)公司的內部及外部郵箱系統(tǒng)，為公司內、外部信息交流提供方便、快捷的通道。2.2系統(tǒng)安全隱患由于公司的系統(tǒng)是多應用、多連接的平臺，本身就可能存在著難于覺察的安全隱患，同時又面臨來自各方面的安全威脅，這些威脅既可能是惡意的攻擊，又可能是某些員工無心的過失。下面從網絡系統(tǒng)、操作系統(tǒng)與數據庫、數據以及管理等方面進行描述：（一）網絡與公司各級網絡進行互聯(lián)的外部網絡用戶及Internet黑客對各級單位網絡的非法入侵和攻擊；公司內部各級單位網絡相互之間的安全威脅，例如某個分支單位網絡中的人員對網絡中關鍵服務器的非法入侵和破壞；在各級單位網絡中，對于關鍵的生產業(yè)務應用和辦公應用系統(tǒng)而言，可能會受到局域網上一些無關用戶的非法訪問。（二）操作系統(tǒng)與數據庫操作系統(tǒng)與數據庫都存在一定的安全缺陷或者后門，很容易被攻擊者用來進行非法的操作；系統(tǒng)管理員經驗不足或者工作疏忽造成的安全漏洞，也很容易被攻擊者利用；系統(tǒng)合法用戶特別是擁有完全操作權限的特權用戶的誤操作可能導致系統(tǒng)癱瘓、數據丟失等情況。（三）網絡應用網絡上多數應用系統(tǒng)采用客戶/服務器體系或衍生的方式運行，對應用系統(tǒng)訪問者的控制手段是否嚴密將直接影響到應用自身的安全性；由于實現(xiàn)了Internet接入，各級單位的計算機系統(tǒng)遭受病毒感染的機會也更大，且很容易通過文件共享、電子郵件等網絡應用迅速蔓延到整個公司網絡中；網絡用戶自行指定IP地址而產生IP地址沖突，將導致業(yè)務系統(tǒng)的UNIX小型機服務器自動宕機。（四）數據數據存儲和傳輸所依賴的軟、硬件環(huán)境遭到破壞，或者操作系統(tǒng)用戶的誤操作，以及數據庫用戶在處理數據時的誤操作，都會使嚴重威脅數據的安全。（五）管理如果缺乏嚴格的企業(yè)安全管理，信息系統(tǒng)所受到的安全威脅即使是各種安全技術手段也無法抵抗。在充分認識到確保核心業(yè)務和應用有效運轉的前提下，公司已經采取了一定的措施，如利用操作系統(tǒng)和應用系統(tǒng)自身的功能進行用戶訪問控制，建立容錯和備份機制，采用數據加密等。但是這些措施所能提供的安全功能和安全保護范圍都非常有限，為了在不斷發(fā)展變化著的網絡計算環(huán)境中保護公司信息系統(tǒng)的安全，特制定了IT系統(tǒng)重大事件應急方案。2.3IT系統(tǒng)重大事件的界定IT系統(tǒng)的脆弱性體現(xiàn)在很多方面，小到短暫的電力不足或磁盤錯誤，大到設備的毀壞或火災等等。很多系統(tǒng)弱點可以在組織風險管理控制過程中通過技術的、管理的或操作的方法消除，但理論上是不可能完全消除所有的風險。為了能更好的制定針對IT系統(tǒng)重大事件的應急方案，必須先對所有可能發(fā)生的重大事件進行詳細的描述和定義。下面將從IT系統(tǒng)相關聯(lián)的電源、網絡、主機及存儲設備、數據庫、病毒、信息中心機房等多個方面進行說明。3.1電源電源是IT系統(tǒng)最基礎的部分，也是最容易受到外界干擾的部分之一。在既能保證公司系統(tǒng)平穩(wěn)運行，又能保證關鍵或重要設備安全的前提下，根據目前配備的UPS電源的實際情況，將電源事件分為三個層次：一般性電源事件：停電時間在1小時以內的（包括1小時）；需關注電源事件：停電時間在2小時以內的（包括2小時）；密切關注電源事件：停電時間在2小時以上的。3.2網絡網絡是IT系統(tǒng)及網絡客戶進行通訊的通道，也是最容易受到外界干擾或攻擊的部分之一。目前總公司主要對各地分公司到總公司的網絡線路進行管控，而公司又是采用數據集中的運營模式，鑒于這種情況，將網絡事件分為三個層次：一般性網絡事件：樓層交換機出現(xiàn)異常，或局域網絡中斷時間在5分鐘以內的（包括5分鐘）；需關注網絡事件：主交換機、防火墻、上網設備出現(xiàn)異常，或局域網絡中斷時間在30分鐘以內的（包括30分鐘），廣域網絡中斷時間在5分鐘以內的（包括5分鐘）；密切關注網絡事件：主干交換機、核心路由器、VPN設備出現(xiàn)異常，或廣域網絡中斷時間在30分鐘以上的。3.3主機及存儲設備主機及存儲設備是IT系統(tǒng)運行的關鍵和核心，也是相對脆弱的部分，對工作環(huán)境的要求是相當高的，任何外部的變化都可能導致這些設備出現(xiàn)異常。根據出現(xiàn)的異常情況，將主機及存儲設備事件分成三個層次：一般性事件：非系統(tǒng)關鍵進程或文件系統(tǒng)出現(xiàn)異常，不影響生產系統(tǒng)運行的；需關注事件：根文件系統(tǒng)或生產系統(tǒng)所在的文件系統(tǒng)的磁盤空間將滿/已滿或系統(tǒng)關鍵進程異常，即將影響或已經影響生產系統(tǒng)運行的；主機或存儲設備的磁盤異常并發(fā)出警告的；密切關注事件：主機宕機；存儲設備不能正常工作的；主機與存儲設備中斷連接的；主機性能嚴重降低，影響終端用戶運行的；系統(tǒng)用戶誤操作導致重要文件丟失的。3.4數據庫數據庫是存儲公司經營信息的關鍵部分，由于數據庫是建立在主機及存儲設備上的應用，任何主機及存儲設備的變化都會對數據庫產生或大或小的影響，同時數據庫也是公司各個層面用戶的使用對象，用戶對數據的操作可能導致不可預料的影響。根據數據庫對外界操作的反映，將數據庫事件分為兩個層次：一般事件：不影響大量用戶或應用系統(tǒng)正常運行的警告或錯誤報告；重要事件：數據庫的系統(tǒng)表空間將滿/已滿的；業(yè)務系統(tǒng)表空間將滿/已滿的；數據庫網絡監(jiān)視進程終止運行的；數據庫內部數據組織出現(xiàn)異常的；數據庫用戶誤操作導致數據丟失的；數據庫關鍵進程異常；數據庫性能嚴重降低，影響終端用戶運行；數據庫宕機。3.5電腦病毒由于Internet接入，員工從Internet上進行下載或者接收郵件，都有感染病毒的可能性。某些病毒帶有極大的危害性和極快的傳播速度，從而可能導致在公司內部的病毒大范圍傳播。針對病毒在公司內部的傳播范圍或危害程度，分為三個層次：一般性事件：獨立的病毒感染，并沒有傳播和造成損失的；密切關注事件：病毒小范圍傳播，并造成一定損失，但不是重大損失的；嚴重關注事件：病毒大范圍傳播，并造成重大損失的；3.6其他事件信息中心機房其他影響IT系統(tǒng)運行的因素可能會產生一些突然事件，主要有以下一些方面：（一）空調工作異常