IT系統(tǒng)安全應(yīng)急預(yù)案

江蘇IT系統(tǒng)安全應(yīng)急預(yù)案1目的伴隨著公司信息化建設(shè)的發(fā)展，IT系統(tǒng)的安全性也越發(fā)重要，需要全面加強信息安全性的建設(shè)，確保系統(tǒng)不受到來自內(nèi)部和外部的攻擊，實現(xiàn)對非法入侵的安全審計與跟蹤，保證業(yè)務(wù)應(yīng)用和數(shù)據(jù)的安全性。同時還必須建立起一套完善、可行的應(yīng)急處理規(guī)章制度，在出現(xiàn)重大情況后能及時響應(yīng)，盡最大可能減少損失。2公司系統(tǒng)架構(gòu)和現(xiàn)狀2.1IT應(yīng)用系統(tǒng)架構(gòu)公司的IT系統(tǒng)以總公司為中心，各分支機構(gòu)通過租用專用線路或VPN同總公司連通，在各分支機構(gòu)內(nèi)部也建立較完善的多級綜合網(wǎng)絡(luò)，包括中心支公司、支公司、出單點等等。在網(wǎng)絡(luò)上運行著以下系統(tǒng)：視頻會議系統(tǒng)各分公司之間、分公司與總公司之間、各辦事處與公司之間進行的網(wǎng)絡(luò)視頻會議。（二）辦公自動化系統(tǒng)輔助公司日常辦公的系統(tǒng)，如OA\ERP，實現(xiàn)公司上下級之間的公文與協(xié)同工作信息傳遞。（三）郵件系統(tǒng)公司的內(nèi)部及外部郵箱系統(tǒng)，為公司內(nèi)、外部信息交流提供方便、快捷的通道。2.2系統(tǒng)安全隱患由于公司的系統(tǒng)是多應(yīng)用、多連接的平臺，本身就可能存在著難于覺察的安全隱患，同時又面臨來自各方面的安全威脅，這些威脅既可能是惡意的攻擊，又可能是某些員工無心的過失。下面從網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)與數(shù)據(jù)庫、數(shù)據(jù)以及管理等方面進行描述：（一）網(wǎng)絡(luò)與公司各級網(wǎng)絡(luò)進行互聯(lián)的外部網(wǎng)絡(luò)用戶及Internet黑客對各級單位網(wǎng)絡(luò)的非法入侵和攻擊；公司內(nèi)部各級單位網(wǎng)絡(luò)相互之間的安全威脅，例如某個分支單位網(wǎng)絡(luò)中的人員對網(wǎng)絡(luò)中關(guān)鍵服務(wù)器的非法入侵和破壞；在各級單位網(wǎng)絡(luò)中，對于關(guān)鍵的生產(chǎn)業(yè)務(wù)應(yīng)用和辦公應(yīng)用系統(tǒng)而言，可能會受到局域網(wǎng)上一些無關(guān)用戶的非法訪問。（二）操作系統(tǒng)與數(shù)據(jù)庫操作系統(tǒng)與數(shù)據(jù)庫都存在一定的安全缺陷或者后門，很容易被攻擊者用來進行非法的操作；系統(tǒng)管理員經(jīng)驗不足或者工作疏忽造成的安全漏洞，也很容易被攻擊者利用；系統(tǒng)合法用戶特別是擁有完全操作權(quán)限的特權(quán)用戶的誤操作可能導(dǎo)致系統(tǒng)癱瘓、數(shù)據(jù)丟失等情況。（三）網(wǎng)絡(luò)應(yīng)用網(wǎng)絡(luò)上多數(shù)應(yīng)用系統(tǒng)采用客戶/服務(wù)器體系或衍生的方式運行，對應(yīng)用系統(tǒng)訪問者的控制手段是否嚴(yán)密將直接影響到應(yīng)用自身的安全性；由于實現(xiàn)了Internet接入，各級單位的計算機系統(tǒng)遭受病毒感染的機會也更大，且很容易通過文件共享、電子郵件等網(wǎng)絡(luò)應(yīng)用迅速蔓延到整個公司網(wǎng)絡(luò)中；網(wǎng)絡(luò)用戶自行指定IP地址而產(chǎn)生IP地址沖突，將導(dǎo)致業(yè)務(wù)系統(tǒng)的UNIX小型機服務(wù)器自動宕機。（四）數(shù)據(jù)數(shù)據(jù)存儲和傳輸所依賴的軟、硬件環(huán)境遭到破壞，或者操作系統(tǒng)用戶的誤操作，以及數(shù)據(jù)庫用戶在處理數(shù)據(jù)時的誤操作，都會使嚴(yán)重威脅數(shù)據(jù)的安全。（五）管理一般事件：不影響大量用戶或應(yīng)用系統(tǒng)正常運行的警告或錯誤報告；重要事件：數(shù)據(jù)庫的系統(tǒng)表空間將滿/已滿的；業(yè)務(wù)系統(tǒng)表空間將滿/已滿的；數(shù)據(jù)庫網(wǎng)絡(luò)監(jiān)視進程終止運行的；數(shù)據(jù)庫內(nèi)部數(shù)據(jù)組織出現(xiàn)異常的；數(shù)據(jù)庫用戶誤操作導(dǎo)致數(shù)據(jù)丟失的；數(shù)據(jù)庫關(guān)鍵進程異常；數(shù)據(jù)庫性能嚴(yán)重降低，影響終端用戶運行；數(shù)據(jù)庫宕機。3.5電腦病毒由于Internet接入，員工從Internet上進行下載或者接收郵件，都有感染病毒的可能性。某些病毒帶有極大的危害性和極快的傳播速度，從而可能導(dǎo)致在公司內(nèi)部的病毒大范圍傳播。針對病毒在公司內(nèi)部的傳播范圍或危害程度，分為三個層次：一般性事件：獨立的病毒感染，并沒有傳播和造成損失的；密切關(guān)注事件：病毒小范圍傳播，并造成一定損失，但不是重大損失的；嚴(yán)重關(guān)注事件：病毒大范圍傳播，并造成重大損失的；3.6其他事件信息中心機房其他影響IT系統(tǒng)運行的因素可能會產(chǎn)生一些突然事件，主要有以下一些方面：（一）空調(diào)工作異常，導(dǎo)致機房溫度過高；（二）空調(diào)防水保護出現(xiàn)異常導(dǎo)致滲水；（三）發(fā)生火災(zāi)；（四）粉塵導(dǎo)致主機或存儲設(shè)備異常的。4信息系統(tǒng)重大事件的應(yīng)急方案根據(jù)上節(jié)對IT系統(tǒng)重大事件的界定，公司已經(jīng)建立了一套完整的應(yīng)急方案，在硬件方面采用雙機熱備機制，同時加強日常的系統(tǒng)監(jiān)控，保持完整的數(shù)據(jù)備份，及時進行災(zāi)難恢復(fù)，和儲備必要的系統(tǒng)備件等多種技術(shù)和方法。下面按照IT系統(tǒng)相關(guān)聯(lián)的電源、網(wǎng)絡(luò)、主機及存儲設(shè)備、數(shù)據(jù)庫、電腦病毒等多個方面進行說明。4.1電源機房采用UPS為主要設(shè)備進行供電，為了應(yīng)對重大突發(fā)事件，采用以下了手段：（一）加強UPS的維護，保證UPS的正常工作;（二）在必要情況下，交流輸入供電系統(tǒng)采用雙路市電供電和發(fā)電機聯(lián)合供電，保證市電使長期停電,UPS仍能正常供電；（三）直流輸入方面，采用公用一組電池組的設(shè)計，配置長達48小時的后備電池,并提供交流輸入瞬變或市電與發(fā)電機供電切換時的短時供電；（四）根據(jù)停電時間的長短，依次發(fā)布一般性通知、較緊急通知和緊急通知給相關(guān)部門和機構(gòu)；（五）停電發(fā)生后，及時聯(lián)系設(shè)備部門和供電部門。4.2網(wǎng)絡(luò)（一）核心路由器做雙以太口綁定，如一端口發(fā)生故障，自動切換到VPN備份線路接入主機系統(tǒng)，直到修復(fù)使用正常，同時由網(wǎng)絡(luò)集成商提供技術(shù)和備件支持，一旦出現(xiàn)緊急故障，1小時趕到現(xiàn)場處理故障；（二）到分支機構(gòu)專線采用2M數(shù)字線路，如2M數(shù)字線路發(fā)生故障斷開則自動切換到VPN備份線路接入主機系統(tǒng)，直到專線修復(fù)則使用正常2M線路通信；（三）對于網(wǎng)絡(luò)核心設(shè)備出現(xiàn)重大故障，盡快了解情況，分析問題和提出應(yīng)急解決方案，做好現(xiàn)場應(yīng)急處理，立即通知網(wǎng)絡(luò)集成服務(wù)商到現(xiàn)場處理，主干交換機由網(wǎng)絡(luò)集成商提供技術(shù)和備件支持，一旦出現(xiàn)緊急故障，1小時內(nèi)趕到現(xiàn)場處理故障；（四）為防止核心路由器或主干交換機發(fā)生故障后無法解決問題，在必要情況下，配備一臺備用路由器和主干交換機，配置接口與核心路由器和主干交換機相同，一旦出現(xiàn)故障，能在十分種內(nèi)進行更換；（五）在網(wǎng)絡(luò)入口處檢查網(wǎng)絡(luò)通訊，根據(jù)設(shè)定的安全規(guī)則，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，保障內(nèi)外網(wǎng)絡(luò)通訊，實現(xiàn)了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)有效的隔離，所有來自外部網(wǎng)絡(luò)的訪問請求都要通過防火墻的檢查，內(nèi)部網(wǎng)絡(luò)的安全將會得到保證。具體有：1、設(shè)置源地址過濾，拒絕外部非法IP地址，有效避免了外部網(wǎng)絡(luò)上與業(yè)務(wù)無關(guān)的主機的越權(quán)訪問；2、防火墻只保留有用的WEB服務(wù)和郵件服務(wù)，將其它不需要的服務(wù)關(guān)閉，將系統(tǒng)受攻擊的可能性降低到最小限度，使黑客無機可乘；3、防火墻制定訪問策略，只有被授權(quán)的外部主機可以訪問內(nèi)部網(wǎng)絡(luò)的有限IP地址，保證外部網(wǎng)絡(luò)只能訪問內(nèi)部網(wǎng)絡(luò)中的必要資源，與業(yè)務(wù)無關(guān)的操作將被拒絕；4、全面監(jiān)視外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問活動，并進行詳細(xì)的記錄，及時分析得出可疑的攻擊行為；5、網(wǎng)絡(luò)的安全策略由防火墻集中管理，使黑客無法通過更改某一臺主機的安全策略來達到控制其他資源訪問權(quán)限的目的；6、設(shè)置地址轉(zhuǎn)換功能，使外部網(wǎng)絡(luò)用戶不能看到內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，使黑客攻擊失去目標(biāo)。4.3主機、存儲設(shè)備及數(shù)據(jù)庫為保證生產(chǎn)系統(tǒng)穩(wěn)定運行，主機與存儲系統(tǒng)保持7X24小時的可用。為應(yīng)對可能發(fā)生的重大事件或突發(fā)事件，采取以下措施：（一）在接到緊急停電通知后30-40分鐘內(nèi)按照先數(shù)據(jù)庫、次主機、最后存儲設(shè)備的順序停止所有系統(tǒng)運行，在必要的情況下，須拔掉所有電源插頭；（二）采用雙機熱備技術(shù)，在其中一臺主機出現(xiàn)異常時，及時進行切換；（三）采用硬盤、磁帶庫等設(shè)備作好日常數(shù)據(jù)備份；（四）如果發(fā)生誤刪除操作系統(tǒng)文件，立即進行文件系統(tǒng)恢復(fù)（必須有備份）；（五）如果發(fā)生誤刪除數(shù)據(jù)，立即進行數(shù)據(jù)庫恢復(fù)（必須有備份）；（六）如果文件系統(tǒng)空間不夠，導(dǎo)致系統(tǒng)不能正常運行，立即進行文件系統(tǒng)擴展。（七）如果數(shù)據(jù)庫表空間不足，立即進行表空間擴展，同時可能還進行文件系統(tǒng)擴展；（八）在必要情況下，建立異地數(shù)據(jù)備份中心，以保持?jǐn)?shù)據(jù)安全性。（九）出現(xiàn)重大故障，盡快了解情況，分析問題和提出應(yīng)急解決方案，做好現(xiàn)場應(yīng)急處理，立即通知系統(tǒng)服務(wù)商到現(xiàn)場處理，并由系統(tǒng)服務(wù)商提供備件支援。4.4電腦病毒為防止電腦病毒在公司內(nèi)部的傳播，反毒和信息安全應(yīng)按照“整體防御，整體解決”的原則實施，采用多種手段和產(chǎn)品來切斷電腦病毒的傳播“通道”。具體措施如下：（一）配置企業(yè)級網(wǎng)絡(luò)版殺毒軟件，在公司總部、分公司、營業(yè)部所有聯(lián)網(wǎng)的PC機、PC服務(wù)器上安裝病毒/郵件防火墻，部署統(tǒng)一的公司網(wǎng)絡(luò)防毒系統(tǒng)，實現(xiàn)反毒分級防范和集中安全管理；（二）在公司總部和分公司配置防毒網(wǎng)關(guān)服務(wù)器，檢查所有進出郵件、所訪問的網(wǎng)頁和FTP文件，防止病毒通過外部網(wǎng)絡(luò)進入公司內(nèi)網(wǎng)進行傳播；（三）建立定時自動更新防病毒軟件