浅谈关于网络与信息安全应急预案的研究与实践
论文关键词:应急预案 编制 研究 实践
论文摘要:网络与信息安全应急预案是有效应对信息安全突发事件的关键。文章结合浙江地税编制网络与信息安全应急预案的实践,分析了预案编制中存在的问题和难点,以实用为目标,提出了预案编制的新思路。
0引言
网络与信息安全应急预案是信息安全突发事件应对工作的基础和关键。近年来,国家信息化主管部门编制了初成体系的网络与信息安全应急预案大纲,很多单位根据国家的有关要求,结合实际,纷纷着手编制各自的网络与信息安全应急预案。但完成编制后,应急预案往往只是挂在墙上,锁在抽屉里,而无法记在心里,在真正发生信息安全事件时,应急预案却不能发挥应有的作用。
1当前应急预案普遍存在的问题
1.1应付型预案大量存在
大部分单位编制的应急预案基本上是对上级单位应急预案的简单拷贝。通常上级单位发布网络与信息安全应急预案以后,下级单位往往只简单修改一下组织机构人员名单等,依葫芦画瓢,没有结合实际建立符合其工作实际的应急预案,编制的应急预案缺乏针对性。
1.2缺乏完整性
部分单位编制的应急预案内容过于简单,饱满度不够。这些应急预案往往只关注关键环节,而忽视其他环节。主要表现在只注重应急处置环节的编写,对于安全事件的报告、安全等级研判、决策指挥、信息发布及通报、应急响应报告、应急预案演练等方面的内容涉及太少,有些环节甚至不作任何描述。
1.3缺乏实用性
有些单位编制的应急预案内容较完善,要素较齐全,动辄几十页,甚至上百页,但缺乏实用性。具体表现在:这些应急预案过于注重环节到位,理论性太强,安全事件的定级、预案启动、应急处置等环节缺乏可操作性;没有明确的流程,不注重应急响应的工作“流”;职责分工不明确,各相关应急工作人员职责不清,无法迅速对照应急预案定位其应采取的措施;应急预案包含组织机构的工作人员,因人员工作岗位的变动需要频繁调整预案,不利于应急预案的相对稳定。
作为应急处置人员,面对厚厚的预案,发生安全事件时,往往会手足无措,难以迅速到位并有效发挥作用。从某种程度上讲,预案越厚、越复杂,实用性就越差。
1.4重技术轻业务
不少单位对网络与信息安全应急工作的认识不到位,在编制应急预案时,往往只从技术角度考虑,而忽视了业务方面的内容。实际上,应急处置工作离不开具体业务。
2应急预案编制的难点
2.1缺少直接参照的范本
通过对当前国内一些网络与信息安全应急预案的分析,我们发现编制全面、规范、可操作性强的应急预案缺乏可直接参照的范本。因此,需要通过自身工作实践,不断进行摸索和研究,在实践中不断完善预案编制工作。
2.2理论与实际如何完美结合
对于一个好的应急预案来说,理论体系全面、规范是基本的要求,而与实际工作紧密结合则是提高应急预案可行性的关键,理论体系与实际工作是相互依存、相互促进的关系。编制应急预案,既要保持安全事件报告、安全等级研判、决策指挥、信息发布及通报、应急响应报告、应急预案演练等理论体系的完整性,又要保证能针对实际,提出符合工作需要、切实可行的应急处置办法,是有相当难度的。
2.3难以兼顾全面性和实用性
一般来说,编制应急预案时,若考虑应急预案体系的所有部分,力求全面、规范,则预案会过于复杂,最终导致实用性差;若只考虑实用性,则很难做到内容全面。另外,应急响应工作会涉及到本单位高层领导、中层领导、专家顾问以及具体实施的工作人员等多层次的角色,不同角色在应急过程中有不同的工作职责,预案很难既兼顾所有角色的职责又很实用。
3编制实用、可操作应急预案的思路
3.1目标
(1)符合国家对网络与信息安全工作的要求,内容全面、规范。
(2)应急预案的框架设计合理,对不同的应急处置人员及
系统,应急预案都有相应内容。
(3)从实际出发,详略得当,有较强的实用性和可操作性。
(4)应急预案体系中的各部分内容密切衔接、协调一致。
3.2总体设想
制定应急预案,要避免对上级单位应急预案的生搬硬套,应结合实际,以国家制定的信息安全应急预案体系理论为,以实际信息安全事件发生时各部门的职责为出发点,全面考虑业务部门和技术部门的职责,力求使应急响应人员能借助应急预案迅速、准确地作出反应。
编制应急预案,可分三个阶段进行。首先,在目前条件下,以技术为主导,同时兼顾业务工作内容,根据各单位的信息化工作实际,编制出规范、全面的综合应急预案;然后,结合单位信息化工作的实际,梳理并确定有哪些重要信息系统应列入应急预案考虑的体系;第三步,根据涵盖这些重要信息系统的应急工作要求,对综合应急预案进行细化、提炼,将其分成两部分,一部分是面向层的应急预案操作办法,另一部分是面向具体应急处置人员并针对重要信息系统应急响应工作的特定系统应急预案,最终形成包括综合应急预案、应急预案操作办法和特定系统应急预案等三个部分的应急预案体系。
3.3重点
以实用为目标,理清各类应急预案、应急预案各环节的关系,明确组织机构在各环节的.应急响应职责,让各类应急响应工作人员对自己该干什么一目了然。
4浙江地税网络与信息安全应急预案编制的实践
根据局领导提出的编制实用、可操作的应急预案的要求,浙江省地方税务局成立了网络与信息安全应急预案编写小组。编写小组经过多次分析和讨论,提出了编写方案,经全省地税网络与信息安全专题工作会议讨论后着手编制工作。
4.1总体框架
如图1所示,我们把应急预案整体内容分成两大相对独立的部分,虚线右边是应急预案的主体内容,虚线左边是具体的组织机构。应急预案的主体内容又包括三块:综合应急预案、应急预案操作办法和特定系统应急预案。
组织机构原本是应急预案不可或缺的重要组成部分,但为了便于应急预案的执行,避免人员岗位变动导致预案的频繁调整,我们认为将其独立出来更为合适。组织机构包括网络与信息安全领导小组及其办公室、网络与信息安全专家组、信息上报及通报单位(主要指国家税务总局、浙江省网络与信息安全协调小组等单位),网络与信息安全领导小组办公室下设综合组、业务组、技术组。
综合应急预案是面向整体的、全面的、综合性应急预案,着重阐述基本原则、应急组织结构、组织职责、应急响应的总体思路、应急救援活动的组织协调等。它更多地体现应急预案的规范性、全面性,是应急预案操作办法以及特定系统应急预案的基础,即使对某些未能预料的重大突发事件,也能起到基本的应急作用。
应急预案操作办法是综合应急预案的直观化体现,是对综合应急预案的提炼。面向的对象主要是本单位高层领导和中层领导,侧重于应急处置的程序和整体性,确保迅速启动预案,有效协调各方力量,使得应急工作有条不紊。
特定系统应急预案是综合应急预案、应急预案操作办法的延伸和细化。面向的对象主要是具体实施的工作人员,侧重于对各个信息系统应急响应作出周密而细致的安排,规范各岗位的应急处置职责。
应急预案主体内容的三部分之问密切衔接,环环相扣,必需保持协调一致,避免重复、矛盾。
4.2综合应急预案
编制综合应急预案应根据国家有关应急预案体系的要求,从工作原则、组织结构及职责、事件等级划分、处置流程、应急保障、应急的组织协调等因素进行全面考虑,科学有效地划分事件等级,全面分析各种应急过程,编制规范、全面的综合预案。
其中,网络与信息安全事件的等级分级、应急响应流程是进行网络与信息安全事件响应工作的基础,只有准确分级、流程清晰才能有效地应对危机,因此,做好等级分级、应急响应流程的编制非常重要。
4.2.1安全事件等级划分
4.2.1.1划分原则
我们结合工作实际,经过探索,认为进行有效、准确的安全事件等级划分应遵循以下原则:
(1)可量化原则安全事件等级划分的要素,应着重考虑那些可以量化的要素,不可量化的因素只起辅助作用。
(2)从高原则
当安全事件等级难以判定具体级别、级别可上可下时,应划分为较高一级安全事件,避免安全事件等级划分不准确而导致应急措施不到位。
(3)升级原则
安全事件是动态变化的过程,在事件处置过程中,如事态和影响进一步扩大,且达到上一级标准的,应及时根据具体情况作升级处理,保证有效应对安全事件的变化。
4.2.1.2级别设计
根据国家有关要求,三级和三级以上的网络与信息安全事件才启动应急预案,但是,低级别安全事件的预警工作也非常重要。因为安全事件是动态变化的,随着事态的发展,低级别安全事件随时会演化为更高级别的安全事件,因此,在编写应急预案时,我们考虑了四级安全事件等级,把第四级视为重大网络与信息安全事件的预警级。
4.2.1.3划分标准
根据浙江地税信息化工作实际,我们着重考虑那些可以量化的要素,主要包括破坏程度、发生时期、影响时间等要素,比如数据丢失时间判断标准,如表1所示。
4-2_2安全事件应急响应流程图
4.22.1设计原则
应急响应时,为保证各类工作人员能迅速了解处置程序,定位其职责,需配以简明扼要的流程图。我们认为流程编写应遵循以下原则:
(1)突出重点
应急响应流程图应能清晰体现应急响应过程,但是只涉及报告处置、应急处置、后期处置等环节的重要处理程序,对于那些不是实际应急响应工作过程中必经的环节,比如应急演练、应急保障等,可以不在流程图中体现,确保流程图突出重点、直观明了。
(2)职责明确
应急响应流程图应能明确体现网络与信息安全领导小组及其办公室、应急小组、专家小组等组织机构在各环节、各处理过程的岗位责任,应急响应时,各类组织机构对照流程图就能对其主要职责一目了然。
42.2.2流程囤的设计
我们以“职能流程图”的形式来展现应急响应流程。“职能流程图”从横向展现应急响应的报告处置、应急处置、后期处置等环节的重要处理程序,从纵向展现网络与信息安全领导小组及其办公室、应急小组、专家小组等组织机构的职责,通过二维的表现形式使处理环节与组织机构有机地成为一个整体,如图2所示。
4.3应急预案操作办法
通过表、图等形式对综合应急预案进行提炼和直观化,只涉及安全事件等级划分、安全事件应急响应流程图、应急响应主要处置程序等三部分主要内容,将应急处置工作直观展现给各相关职责的领导层人员,以便领导层人员能快速进入应急状态,并实施处置工作。
安全事件等级划分主要以表格形式对综合应急预案中的安全事件等级划分部分进行提炼,如表2所示。
安全事件应急响应流程图引用综合预案中流程图部分,如图2所示。
应急响应的主要处置程序,以表格形式为主对综合预案中的报告、先期处理、应急处置、信息发布、应急结束、后期处置等部分进行提炼,所表3所示。
4.4特定系统应急预案
特定系统应急预案通过表、图等形式描述,以特定系统的网络拓扑结构、安全事件应急处置流程、特定系统主要应急处置程序等三部分内容为重点,力求流程简明扼要、职责明确。通过规范各岗位的应急处置职责,避免出现应急工作的效果过分依赖于具体人员的情况。根据浙江地税信息化工作实际,我们编制了因特网门户网站、因特网办税服务系统、浙江地税征管信息系统、广域网、机房等重要信息系统(或部位)的特定系统应急预案。
对于特定系统安全事件的应急处置,通过流程图着重说明特定系统可能出现的问题分类、主要处理程序,不涉及某一具体技术细节。以因特网办税服务系统为例,其应急处置流程如图3所示。
关于特定系统安全事件主要应急处置程序,主要以表格形式描述问题定位、应急修复、启动备份等过程。以因特网、税服务系统为例,其应急处置程序如表4所示。
5结束语
有了实用的应急预案,若要在发生信息安全事件时能真正发挥作用,必须重视应急演练工作。应急演练是完善应急预案、发挥应急预案作用的重要环节。应科学地制定应急演练计划,定期组织应急演练。通过演练,可以了解信息系统应急响应现状,应急工作人员对应急响应程序及职责的熟练程度,并促进应急预案的完善,以有效应对安全事件,保障信息系统安全运行。
【浅谈关于网络与信息安全应急预案的研究与实践】相关文章:
浅谈医德档案网络信息化管理的实践与成效09-23
信息安全与网络安全的论文08-27
提高网络与信息安全编程能力的实践探索论文12-11
浅谈网络安全与网络安全文化09-19
有关信息安全与网络安全论文09-30
信息安全应急预案13篇03-07
高校网络与信息安全解析08-17
计算机与网络信息安全的概念08-11