生产系统运行应急计划

1.1 目的

本业务运行应急计划的目的是针对 业务系统的网络设备和/或安全设备等IT资产在发生安全事件的时候，可能对业务系统造成影响或已经对业务系统造成影响的情况下，指导各相关组织和人员如何根据有序的流程和计划对系统进行有效恢复。

 

1.2 范围

本业务运行应急计划适用于业务系统在发生安全事件时的应急处理。

 

1.3 启动条件

本业务运行应急计划在如下条件启动：

1. 本文档内定义的安全事件发生时。

2. 信息安全协调小组和相关部门领导确认，需要启动应急计划时。

 

1.4 组织机构

本业务运行应急计划涉及的组织和人员包括 的信息安全领导小组、信息安全协调小组、信息安全专业技术人员、部门信息安全管理员和网络管理员。

2.1 安全事件级别定义

业务系统安全事件是指针对TCP/IP网络中，由于硬件、软件、数据因非法攻击或病毒入侵等安全原因而遭到破坏、更改、泄漏（可能）造成系统不能正常运行，影响正常的业务发展，称为安全事件。根据安全事件对业务可能造成的影响或已经造成影响的严重程度并结合资产的重要程度把安全事件分为严重安全事件和重大安全事件。

2.2 严重安全事件

由于非法攻击、病毒入侵或后门等安全原因造成业务系统的主机、网络、数据库和数据等重要IT资产受到损害，可能对业务系统造成影响的安全问题称为严重安全事件。具体表现在，需要暂停业务在正常工作时间内超过30分钟但不超过1个小时的事件。

2.3 重大安全事件

由于非法攻击、病毒入侵或后门等安全原因造成业务系统的主机、网络、数据库和数据等重要IT资产受到损害，并且已经对业务系统造成一定范围的影响，有可能产生业务中断的安全问题称为重大安全事件。具体表现在，需要暂停业务在正常工作时间内超过1小时但不超过2个小时的事件。

3.1 组织人员职责

1. 应急指挥中心：由信息安全领导小组、信息安全工作协调小组的负责人共同组成，主要负责安全事件的应急指挥和决策。

2. 应急领导小组：由信息安全工作协调小组、部门信息安全负责人共同组成，主要负责安全事件的管理和调度。

应急工作领导小组可不单独设立，但必须明确组成人员的职责分工。

应急领导小组的工作主要包括下列内容：

a) 应急响应规划

确定应急响应工作的基本内容和重点，成立部门应急工作小组，分配应急响应工作的角色和职责，并制定应急响应预案。

b) 应急资源准备

准备信息安全应急响应时所需的各项资源，保证在发生信息安全事件时这些资源能够及时投入使用。

c) 应急响应培训及演练

组织应急响应培训和应急响应演练工作。

d) 关系协调

协调与信息安全应急响应相关的各方面关系。

3. 部门应急工作小组：由部门信息安全负责人以及部门内安全管理员、系统管理员、网络管理员、应用管理员、开发管理员等共同组成，主要负责安全事件的汇报及处理。

部门应急工作小组的工作主要包括下列内容：

n 事件报告

部门应急工作小组对信息安全事件进行定级，向应急工作领导小组报告发生的信息安全事件。事件响应过程结束后，整理信息安全事件和应急响应工作的详细信息，提交事件处理报告。

n 应急响应

部门应急工作小组负责在出现信息安全事件时启动应急预案，及时采取本地响应措施，阻止或抑制信息安全事件的进一步发展。

4. 快速反应通道：各业务系统产品厂商、集成商以及专业的安全厂商，主要负责具体设备、系统以及安全问题的处理和解决。

3.2 应急响应流程

安全事件的应急响应一般包括发现、报告、分析、处理、总结几个程序。

 

3.2.1 安全事件的发现

安全事件的发现方式至少包括日安全维护、系统评估、安全产品监控信息等方式。在发现安全事件后立即向相应的安全组织进行安全事件的报告，进入安全事件的响应流程。

3.2.2 安全时间的报告

在确认是安全事件的情况下，应在第一时间以电话形式向应急领导小组报告，并在事后提交书面报告。

应急领导小组收到报告后，应根据事件的严重程度向应急指挥中心负责人汇报，并随时关注事态发展，及时报送后续情况。

应急指挥中心指导和决策应急的各项工作，由应急领导小组负责组织和管理，通知相关责任部门组织人员形成部门应急工作小组的实体，以负责分析处理安全事件，并由应急领导小组负责通知专业安全厂商协助对安全事件进行处理。

 

3.2.3 安全事件的分析

部门应急工作小组组成后，对安全事件的严重程度和影响程度进行分析和判断，并组织专业的安全服务厂商对安全事件进行分析，并进入处理过程。

在专业的安全服务厂商没有到场之前，部门应急工作小组可通过一些简单的应急措施对安全事件进行处理，并研究部署处理方案。

 

3.2.4 安全事件的处理

进行安全事件处理过程后，应急领导小组牵头，由安全服务厂商协助进行处理和解决，具体的处理措施和应对流程可以参照下面的应急处理措施。

如果安全事件无法处理，则需要由应急领导小组向安全应急指挥中进行汇报，由安全应急指挥中心进行决策。

 

3.2.5 安全事件的总结

在安全事件处理和解决后，要由安全应急的相关人员共同确认系统恢复正常，能够正常工作的情况下，由应急领导小组负责牵头，对整个安全事件进行评估和总结，分析出事件发生的起因，确定相关的责任人。

应急响应工作内容包括信息安全事件的定级和报告，清除或抑制安全事件对业务系统产生的影响，恢复业务系统的运行，并开展相应的事后分析。

4.1 启动预案

发生信息安全事件时，应立即启动应急预案。启动应急预案后，对事件进行确认定级并报告，由应急领导小组根据事件级别决定相应的应急处理方式。

4.2 应急抑制

应急抑制的目的是限制安全事件对受保护信息系统造成影响的范围和程度。应急抑制是信息安全应急响应工作中的重要环节，在信息安全事件发生的第一时间内对故障系统或区域实施有效的隔离和处理，或者根据所拥有的资源状况和事件的等级，采用临时切换到备份系统等措施降低事件损失、避免安全事件的扩散（例如蠕虫的大规模传播）和安全事件对受害系统的持续性破坏，有利于应急响应工作人员对安全事件做出迅速、准确的判断并采取正确的应对策略。

应急抑制过程中，重要的是确保业务连续性，应尽量保证在备份系统中完全运行原来的业务。如果出现资源紧张，应尽可能保证重要资产优先运行，维持最基本的业务能力。

应急抑制分为物理抑制、网络抑制、主机抑制和应用抑制4个层次的工作内容，在发生信息安全事件时，应根据对事件定级的结果，综合利用多个层次的抑制措施，保证抑制工作的及时、有效。

1. 物理抑制

n 关闭主机：避免主机遭受外界的安全事件影响，或避免主机对外部环境产生影响。

n 切断网络连接：关闭网络设备或切断线路，避免安全事件在网络之间的扩散。

n 提高物理安全级别：实施更为严格的人员身份认证和物理访问控制机制。

n 环境安全抑制：主要针对环境安全的威胁因素，例如发生火灾时关闭防火门、启用消防设备和防火通道、启动排烟装置、切断电源，发生水灾时启用排水设备、关闭密封门，发生电力故障时启用UPS和备用发动机等。

2. 网络抑制

n 网络边界过滤：对路由器等网络边界设备的过滤规则进行动态配置，过滤包含恶意代码、攻击行为或有害信息的数据流，切断安全事件在网络之间的传播途径。

n 网关过滤：对防火墙等网关设备的过滤规则进行动态配置，阻断包含恶意代码、攻击行为或有害信息的数据流进入网关设备保护的网络区域，有效实施针对信息安全事件的网络隔离。

n 网络延迟：采用蠕虫延迟和识别技术，限制恶意代码在单位时间内的网络连接，有效降低蠕虫等恶意代码在网内和网间的传播速度，减少蠕虫事件对受保护网络系统的影响范围。

n 网络监控：提高网络入侵检测系统、专网安全监控系统的敏感程度和监控范围，收集更为细致的网络监控数据。

3. 主机抑制

n 系统账号维护：禁用或删除主机中被攻破的系统账号和攻击者生成的系统账号，避免攻击者利用这些账号登录主机系统，进行后续的破坏行为。

n 提高主机安全级别：实施更为严格的身份认证和访问控制机制，启用主机防火墙或提高防火墙的安全级别，过滤可疑的访问请求。

n 提高主机监控级别：提高主机入侵检测系统、主机监控系统的敏感程度和监控范围，收集更为细致的主机监控数据。

4. 应用抑制

n 应用账号维护：禁用或删除被攻破的应用账号和攻击者生成的应用账号，避免攻击者利用这些账号登录应用服务，进行后续的破坏行为。

n 提高应用安全级别：针对应用服务，实施更为严格的身份认证和访问控制机制，提高攻击者攻击应用服务的难度。

n 提高应用监控级别：提高应用入侵检测和监控系统的敏感程度和监控范围，收集更为细致的应用服务监控数据。

n 关闭应用服务：杜绝应用服务遭受来自网络的安全事件影响，或避免应用服务对外部网络环境产生影响。

4.3 应急根除

在信息安全事件被抑制之后，进一步分析信息安全事件，找出事件根源并将其彻底清除。对于单机的事件，可以根据各种操作系统平台的具体检查和根除程序进行操作；针对大规模爆发的带有蠕虫性质的恶意程序，要根除各个主机上的恶意代码，则是一项艰巨的任务。

应急根除分为物理根除、单机根除和网络根除3个层次。为了保证彻底从受保护网络系统中清除安全威胁，针对不同类型的安全事件，应综合采取不同层次的根除措施。

1. 物理根除

n 统一采用严格的物理安全措施：例如针对关键的物理区域，统一实施基于身份认证和物理访问控制机制，实现对身份的鉴别。

n 环境安全保障：主要针对环境安全的威胁因素，例如使用消防设施扑灭火灾，更换出现故障的电力设备并恢复正常的电力供应，修复网络通信线路，修复被水浸湿的服务器等。

n 物理安全保障：加强视频监控、人员排查等措施，最大限度减少对受保护信息系统可能造成威胁的人员和物理因素。

2. 单机根除（包括服务器、客户机、网络设备及其它计算设备）

n 清除恶意代码：清除感染计算设备的恶意代码，包括文件型病毒、引导型病毒、网络蠕虫、恶意脚本等，清除恶意代码在感染和发作过程中产生的数据。

n 清除后门：清除攻击者安装的后门，避免攻击者利用该后门登录受害计算设备。

n 安装补丁和升级：安装安全补丁和升级程序，但必须事先进行严格的审查和测试，并统一发布。

n 系统修复：修复由于黑客入侵、网络攻击、恶意代码等信息安全事件对计算设备的文件、数据、配置信息等造成的破坏，例如被非法篡改的系统注册表、信任主机列表、用户账号数据库、应用配置文件等。

n 修复安全机制：修复并重新启用计算设备原有的访问控制、日志、审计等安全机制。

3. 网络根除

n 所有单机根除：对受保护网络系统中所有的服务器、客户机、网络设备和其它计算设备进行上述单机根除工作。

n 评估排查：对受保护网络系统中所有计算设备进行评估排查，测试是否仍然存在被同种信息安全事件影响的单机。

n 网络安全保障升级：对网络中的安全设备、安全工具进行升级，使其具备对该安全事件的报警、过滤和自动清除功能，例如向防火墙增加新的过滤规则，向入侵检测系统增加新的检测规则等。

4.4 应急恢复

完成安全事件的根除工作后，需要完全恢复系统的运行过程，把受影响系统、设备、软件和应用服务还原到它们正常的工作状态。如果在抑制过程中切换到了备份系统，则需要重新切换到已完成恢复工作的原系统。恢复工作应该十分小心，避免出现误操作导致数据的丢失或损坏。恢复工作中如果涉及到国家秘密信息，须遵守保密主管部门的有关要求。

恢复工作共分为五个阶段：系统恢复阶段、网络恢复阶段、用户恢复阶段、抢救阶段和重新部署/重入阶段。

1. 系统恢复阶段

负责恢复关键业务需要的服务器及应用程序。系统恢复过程完成的标志是数据库已经可用、用户的数据通讯链路已经重新建立、系统操作用户也已经开始工作。网络和用户恢复任务与系统恢复是同步进行的。

2. 网络恢复阶段

负责安装通信设备和网络软件，配置路由及远程访问系统，恢复数据通信，部署设置网络管理软件和网络安全软件等，恢复受灾系统的网络通信能力。

3. 用户恢复阶段

用户恢复任务与系统恢复任务和网络恢复任务同步进行。当系统和网络就绪之后，使用抢救出来的记录和备份存储的数据和信息，尽快恢复数据库。

4. 抢救阶段

抢救行动与其它灾难恢复工作同步进行，包括收集和保存证据，评估数据中心和用户操作区环境的恢复可行性和花费，抢救数据、信息和设备并转移到备份区域。

5. 重新部署/重入阶段

根据灾难恢复计划中定义的工作职能，使系统、网络和用户重新部署到原有的或新的设施中，并把应急状态下的服务级别逐步切换回正常服务级别。

4.5 事后分析

信息安全事件的应急响应工作除保证实施准确、高效的应急处理之外，另一重要事项是及时吸取经验教训，及时整改修正，避免相同或类似安全事件的再次发生。事后分析工作的意义不仅体现在本次信息安全事件的处理上，更重要的是有助于确定安全问题的深层次原因，总结处理紧急安全问题的经验和教训，评估和修正现有安全机制的不足，为后续可能发生的信息安全事件的响应过程提供参考。

事后分析工作的目标是回顾并整理发生信息安全事件的各种相关信息，尽可能将所有情况记录到文档中，研究事件发生的全过程，分析导致事件发生的根本原因，评估系统遭受的损失，并根据分析和评估结果对现有的工作方案作出调整。对累次事件或同期多个事件的事后联合分析更有意义。

针对信息安全事件的事后分析工作包括损失评估、审计分析以及对应急预案的评估修正。

1. 损失评估

评估信息安全事件对受保护信息系统在各方面所造成的损失。

2. 审计分析

对发生的信息安全事件进行审计分析，确定受保护信息系统中被安全事件所利用的漏洞，查明事件发生的原因，并提出相应的整改措施，综合利用技术、人员、管理等各方面的手段，避免相同或类似信息安全事件的再次发生。

3. 应急预案的评估修正

对事先制定的信息安全事件应急预案进行评估，包括预案与实际事件的吻合性，预案的合理性、实用性、可操作性，分析预案在制定和实施过程中存在的问题和缺陷，在此基础上提出相应的整改方案建议，经批准后供应急预案修正使用。