信息安全應急響應體系的建立

任惠 石海松 遼寧紅沿河核電有限公司

引言

信息化的高速發展和廣泛應用，為企業辦公和生產等各項業務的順利開展提供了高效有力的支撐。同時，由于信息化帶來的信息安全問題也日益增多，當遇到突發事件的時候，如果能做出及時應急響應，是非常必要的。因此構建有效的信息安全應急體系，是信息安全工作的重點內容之一。

1 應急組織的建立

一個高效的應急組織，在處理信息安全突發事件時，起著至關重要的作用。應急組織應包括：應急指揮部、應急響應隊伍及相應的值班制度。

1.1 應急指揮機構

企業應建立信息安全應急響應指揮部，并由信息化的主要負責領導擔任總指揮。全面負責企業信息安全事件的應急響應與處置的總協調。

為了應急指揮部的正常運行，還需要設置相應的秘書崗位或者助理崗位，比如：信息發布助理、技術支持助理等。其中，信息發布助理，負責應急指揮部跟各應急響應隊伍的協調及應急響應過程中的信息發布與傳達。技術支持助理，負責提供相應的問題解決支持及技術材料的收集。

1.2 應急響應隊伍

應急響應隊伍應抽調日常運維工作中比較精通信息安全各領域技術和業務的工作人員擔任。在網絡與信息安全事件發生情況下，按照應急指揮部的要求及時啟動應急響應行動。根據信息安全事件的等級及影響程度，提供相應的應急解決方案，協助應急指揮部做出相應決策，快速解決信息安全問題，進行系統的恢復。

1.3 應急值班制度

應急值班人員應實施24 小時待命值班制度，每周實行交接接班。在值班期間應隨時響應突發情況。若因特殊情況確定無法執行值班任務的，應該向應急指揮部請假，并找相應崗位的人員代替執行應急值班任務。

2 信息安全事件預警

在信息安全事件發生之前，可以對突發事件提前進行預防，并采取預防措施。這個階段稱為預警階段。

按照突發事件發生的緊急程度、發展態勢和可能造成的危害程度，可將信息系統安全預警分為特別重大預警、重大預警、較大預警和一般預警四級。

2.1 特別重大

外部出現嚴重不利于公司、行業的輿論，且已造成重大社會影響；國家或主管部門發布了嚴重的病毒或惡意程序的預警信息；外部出現嚴重的信息安全事件，可能會威脅企業自身信息安全。

2.2 重大

國家或主管部門發布了一般程度的病毒或惡意程序預警信息；核心系統短時間內（大于12 小時）預計無法恢復的。

2.3 較大

企業核心網絡設備單機運行，且工作狀態不穩定；重要業務系統單機運行，且工作狀態不穩定；企業內部郵件系統、OA 辦公自動化系統故障，且12 小時內無法恢復；

2.4 一般

局部網絡不穩定；一般性系統運行不穩定；接到上級主管部門的信息安全事件一般性提醒；外部環境發生一般性信息安全威脅事件。

針對信息安全預警，應及時發布信息，關注事態發展，并采取預防措施，防止事件擴大可能產生的影響。

3 信息安全事件分類、分級及響應

3.1 信息安全事件的分類

網絡與信息安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障和災害性事件等。

（1）有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合程序攻擊事件、網頁內嵌惡意代碼事件和其他有害程序事件。

（2）網絡攻擊事件分為拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件。

（3）信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。

（4）信息內容安全事件是指通過網絡傳播法律法規禁止信息，組織非法串聯、煽動集會游行或炒作敏感問題并危害國家安全、社會穩定和公眾利益的事件。

（5）設備設施故障分為軟硬件自身故障、外圍保障設施故障、人為破壞事故和其他設備設施故障。

（6）災害性事件是指由自然災害等其他突發事件導致的網絡與信息安全事件。

3.2 信息安全事件的分級

當事件發生時，則需要進行必要的應急響應。根據影響范圍、重要程度和預計故障恢復時間，建議將信息安全事件分為特別重大（Ⅰ級）、重大（Ⅱ級）、較大（Ⅲ級）和一般（Ⅳ級）四級。

3.2.1 特別重大（Ⅰ級）

如果發生如下情況，可以將事件定義為特別重大：

企業外部網站被攻擊或利用，已造成或有潛在不良政治和社會影響的事件；在企業網絡上出現黨和國家秘密信息的事件；在企業網絡上出現惡意攻擊中國共產黨、國家領導人和國家機關信息的事件；惡意散布反動言論和謠言并造成重大政治和社會影響的事件。影響到企業生產安全，并已造成或有潛在社會影響的信息安全事件；

3.2.2 重大（Ⅱ級）

如果發生如下情況，可以將事件定義為重大：

在企業網絡上出現惡意攻擊企業主要領導人員和干擾企業正常經營秩序信息，導致影響干部職工隊伍穩定等不良后果的事件；在企業網絡上非受控的涉及企業內部不應公開的敏感信息；企業骨干網絡癱瘓，喪失業務處理能力；企業核心系統故障，預計恢復時間t ≥24小時的事件。

3.2.3 較大（Ⅲ級）

如果發生如下情況，可以將事件定義為較大：

較重要的生產信息系統故障，預計恢復時間12 小時≤t ≤24 小時的事件；內部郵件系統、OA 系統等較重要的辦公系統故障，出現事故后，影響公司運轉及辦公的時間，預計恢復時間t ≥24 小時。

3.2.4 一般（Ⅳ級）

如果發生如下情況，可以將事件定義為一般：

一般性的生產及辦公系統出現故障；網絡局部中斷但不影響核心網絡使用；業務系統中斷，時間較短暫，或者只影響使用效率的信息安全事件。

3.3 信息安全應急響應

當啟動信息安全預警以后，如果信息安全事件已經發生，并影響到企業自身，則進入應急響應狀態。必要的時候，也可以不啟動預警而直接進行應急響應。

按照事件的嚴重程度和影響范圍，應急響應分別為特別重大（Ⅰ級）、重大（Ⅱ級）、較大（Ⅲ級）和一般（Ⅳ級）共四級。四個級別分別對應四級信息安全事件。

按照級別的不同，響應的組織級別也不同，可以分為外部支援、公司級響應、部門級響應以及專業內響應。不同級別的響應，應該有應急指揮部進行決策。

信息安全事件發生后，企業在做好先期處置的同時應立即組織研判，開展調查、收集、整理事件信息，保存證據，做好信息發布和通報工作。在應急響應過程中，應及時向信息安全主管部門報告信息安全事件及其隱患的處理情況。在事件處理過程中，如果發現事態嚴重，也可以提升響應級別，請求更多的技術支援。

信息安全事件應急響應的結束，應組織事態判斷，并由上級主管部門或者企業應急指揮部決定應急響應結束。

4 信息安全應急培訓及演練

為提高應急響應隊伍的技能，應該開展必要的應急培訓和演練。

信息安全應急培訓包括基礎知識培訓、應急啟動與響應培訓、應急預案培訓、處置方法培訓及專項技能培訓等。

按照國家等級保護制度的相關要求，對于重要信息系統應該每年開展一次信息安全應急演練。演練應該具備演習方案、演習模擬環境搭建、演習評估、演習總結等環節。通過演習不斷提升響應能力。

5 結論

企業信息安全應急響應體系的建立決定了在突發事件中的處置能力。應急響應體系的建立，應結合實際業務特點，在日常運維中不斷實踐、逐步探索并完善提升。本文對企業信息安全應急體系的建設情況進行了全面的歸納總結。后續可以考慮將信息安全應急體系與生產安全應急體系相結合，統籌開展綜合性的應急響應工作，為企業的突發事件應對能力提供有效的保障。