網絡安全防護應急預案

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網絡安全防護應急預案范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

網絡安全防護應急預案范文第1篇

關鍵詞：政務網站；安全防護；安全對策；解決方案

一、政務網站安全現狀

互聯網應急中心（CNCERT）每月的互聯網安全報告數據統計，2016年7月互聯網網絡安全狀況整體評價為中，政府等網站是不法分子攻擊的重點目標，安全漏洞是遭遇攻擊的主因，被篡改政府網站數為140個，被植入后門的政府網站數為241個，占被植入后門網站的比例2.9%上升到3.5%。為強化為了強化網站管理，網站管理部門制定了一些制度完善管理，如對網站信息的采集，審核，使用和環節進行規范并保證信息質量和保密，確保信息安全可靠。同時采取了一些技術措施和手段保障網站安全。

二、政務網站安全問題

（一）管理層面

認為搭建完政務網站就已實現網絡化發展，缺少長遠規劃，缺乏后期系統化、制度化管理，難以形成有效的管理機制和持續更新的安全策略。新模塊在使用前缺少安全評估。安全應急預案不全面，主要是范圍不全面，針對性不強。

（二）技術層面

政務網站技術管理要不斷優化及創新。當前政務網站技術管理落后，安全技術應用有限，導致管理的實效性較弱。部分政務網站網絡防御系統落后，存在網絡、服務器安全漏洞的情況。

（三）人員層面

部分政務網站投入運行后，沒有一個專業的技術管理隊伍進行日常管理，專業管理人才短缺，管理的專業性難以得到有效保障。

（四）制度層面

我國制定的關于計算機或網絡信息安全方面的正式法律較少，在針對網絡入侵的偵查、、量刑上存在一定困難。

三、安全策略與安全防護體系

（一）安全策略。

1.制定切實可行的政務網站安全標準規范，在其建設和運行時需遵循相應的安全標準，最大程度地減少網站安全事件發生。

2.建立應急預案。政務網站根據可能出現的各類情況制定相應的應急預案，當出現突發事件，啟動該事件的應急預案進行處理，處理后及時的對處理效果進行評估，不斷完善應急預案。

3.加強技術防護。政務網站運用入侵檢測、防火墻、身份認證、訪問控制、安全審計、病毒防護等技術手段來提高政務網站的防護能力。

4.專業隊伍建設。組建政務網站技術運維團隊，采用最新安全技術和方法培訓，使技術管理人員掌握新技術原理并能熟練運用。同時通過采取各種措施和手段，加強政務網站的炔考嘍焦芾恚提高內部控制水平，防止內部風險的發生。

5.加強法制建設。立法機構出臺關于網絡安全的法律，以法律形式規范網絡使用，保障網絡安全，同時加大對網絡違法犯罪的打擊力度。

（二）.安全防護體系

安全防護體系包括物理、網絡、應用和主機數據安全。

1.物理安全。避免政務網站出現的各類硬件故障。對于政務網站關鍵應用，應采用雙機熱備，定期對重要數據進行備份。

2.網絡安全。在網絡部署上遵守能不對外開放的服務器，盡量不對外開放的原則。針對政府網絡系統中內部局域網、廣域網和互聯網三大區域之間，都部署了防火墻或網閘，依據安全政策對出入網絡的信息流進行控制，有條件地允許、拒絕、檢測或過濾信息。通過專業的漏洞掃描軟件對網絡設備及服務器系統進行掃描，及時發現安全漏洞。部署網絡安全審計、內容安全管理、防病毒服務器等網絡安全產品，構建嚴密安全保障體系。

3.應用安全。采用頁面防篡改系統，對網站的全面監控，對網頁應用漏洞進行預先掃描，實時捕獲篡改事件，并在第一時間對發生自發的網頁進行自動恢復和報警，同時具備對SQL注入、跨站腳本等入侵動作實時阻斷，達到事前、事中、事后的防御效果。

4.數據安全。通過網絡安全域劃分，對數據庫的訪問權限做最為嚴格的設定，最大限定保證數據庫安全。對于關鍵數據，增加交叉認證保證更高的安全性并定期對數據庫備份。

政務網站是連接政府與社會公眾之間的一座橋梁，為地區發展提供了有力的信息技術支持。構建安全的政務網站，是建設服務型政府的必然要求，是實現和諧社會的必要手段。

參考文獻：

[1] 張婷 . 芻議網站的分類、組建、管理及維護 [J]. 科技創新與應用 ，2015（28）.

[2] 于艷杰 . 網站安全防范淺析 [J]. 科技創新與應用 ，2013（16）.

[3] 史京 . 網站安全維護的問題與建議綜述[J]. 電子技術與軟件工程 ，2016（04）.

網絡安全防護應急預案范文第2篇

關鍵詞：網站；威脅；脆弱性

指出：“沒有網絡安全，就沒有國家安全”。以互聯網為核心的網絡空間已成為繼陸、海、空、天之后的第五大戰略空間，各國均高度重視網絡空間的安全問題。隨著網絡技術的飛速發展，網絡安全攻擊手段層出不窮，政府網站因其公信力高、影響力大，成為許多不法分子以及境外敵對勢力的重點攻擊目標。國家互聯網應急中心的《2013年中國互聯網網絡安全報告》中顯示，2013年政府網站被篡改數量為2430個，被植入后門的政府網站2425個。

近年來，隨著電子政務系統的迅速發展，各級政府網站建設工作發生了變化，從初期主要為各級政府部門資訊信息，轉向以提高政府的監管職能和服務水平為目的，整合政府內外部資源為主，因此各地均建立了以市或省為單位的政府網站群系統。

1 政府網站群系統安全現狀

隨著網站群系統的不斷建立，政府網站群系統的安全性也越來越重要，―方面是因為一旦政府網站群中某個站點被攻擊，將直接影響到整個網站群系統的安全運行，而網站群系統可能包含某個市的各個政府部門的門戶網站系統，其影響范圍與傳統的門戶網站相比得到一定的擴大。另一方面，通過對某市政府網站群系統的調查發現，該市在政府門戶網站系統集中后，網站群系統被攻擊的頻率明顯增加，說明政府門戶網站在集中的同時，風險也被集中到網站群系統中。加強政府網站群系統的安全防護能力刻不容緩。

以某市為例，該市在建立起網站群系統后，該網站群系統基本在每個時刻均存在被攻擊的現象。這種高頻率的入侵，除了入侵者欲挑戰政府的權威性和公信度，或者炫耀其技術水平，甚至對政府機密數據感興趣之外，也暴露出政府相關管理部門自身的問題。

通過對某市網站群系統的調查，該市網站群系統由市信息中心負責統一規劃建設，該市信息中心對信息安全工作較為重視，為保障網站群系統的穩定運行，將整個網站群系統托管于電信IDC機房，由電信負責該網站群系統的日常運行維護工作。并在網站群系統前部署防火墻和入侵檢測設備進行安全防護。同時聘請了專業安全公司負責該網站群系統的安全運維工作。由安全公司定期對網站群系統進行安全檢查，并根據安全檢查結果進行整改。

從一定程度上來說，該市在信息安全方面做了大量工作，同時也產生了一定的安全效益。但由于該市對于網站群系統的安全狀態均是通過周期性的安全檢查來了解。如通過定期進行Web應用安全掃描，然后根據掃描報告進行安全加固和風險管理。這種措施雖然能起到一定的作用，但這種檢查手段屬于靜態的工作方式，雖能夠反映網站群系統被檢查那一刻的安全狀態，但缺少風險持續性監測。例如，通常情況下該市1個月做1次安全掃描，1周做1次安全巡檢，而對于網站掛馬、網站篡改等事件通常都是突發性的，持續時間較短，通過每周或每月1次的巡檢或檢查并不能夠在第一時間發現并做出相應的處理工作。另一方面，該市網站群中包含100多個站點，傳統安全掃描工具在掃描規模、頁面爬取和分析能力、檢測結果關聯分析等方面存在一定的局限性，無法做到高頻率的風險監測，及時發現安全風險。另外，通過調查還發現，該市網站群系統，還存在其他幾點具備代表性的問題，具體如下：

（1）由于該市網站群系統在建設初期對信息安全考慮不到位，應用系統最初的架構設計不合理。網站群系統的后臺管理平臺與其他功能模塊共用一臺服務器，并且直接向互聯網提供服務，這在一定程度上給網站群系統的安全運行帶來了影響。

（2）網站群系統管理人員技術水平偏低。目前，雖然該市投入巨資建設政府網站群系統，但是沒有建立起與之相配套的安全防護力量。加上信息技術日新月異，相關領導也忽視對各類管理員的技術培訓。

（3）網站群系統管理人員安全意識薄弱，疏于防范。比如在系統中使用弱口令，不及時更新系統漏洞，在服務器上隨意使用盜版軟件以及移動存儲設備的交叉使用，都可能會導致病毒、木馬的感染。

（4）缺乏相關的應急機制。大多數政府網站都缺乏相應的應急預案，一旦出現安全事件，響應速度緩慢，甚至幾天都得不到修復，這必將大大降低政府的公信度和權威性，并會帶來一定的社會負面影響。

（5）域名系統也是影響政府網站群系統穩定運行的重要因素。域名解析服務是互聯網重要的基礎應用服務，其安全問題直接影響網站群的穩定運行。由于域名注冊服務機構的域名管理系統存在漏洞，攻擊者能隨意篡改域名解析記錄。

2 政府網站群安全防護體系建設思路

政府網站群系統的安全防護體系，應當覆蓋風險事件管理的全過程，即事前、事中和事后。事前，對風險事件的有效預警；事中，對風險事件的有效防護；事后，有效快速的安全恢復，對風險事件的深入分析，有效防止此類風險事件的再次發生。

2.1 事前預警

在網站系統不斷集中形成網站群系統后，如何及時了解網站新漏洞、網站掛馬等情況，成為網站群系統管理員的一大難題。一個網站群系統中可能包含幾十個、幾百個甚至更多的網站系統，這么多的網站系統單靠傳統的安全掃描或人工巡檢發現安全威脅，顯然是不可行的，所以在政府網站群系統安全防護體系中，除了增加基礎的安全防護措施外，還需加入監測和管控機制，通過對目標站點的不間斷抓取、分析，主動、實時地發現網站群系統存在的安全隱患，并及時采取整改措施。

安全監測措施可圍繞網站群系統的特性進行設計，采用較為自動化的監測手段，通過高頻率的頁面嗅探分析能力來自動根據相應的安全策略進行監測，管理人員只需要關注系統中的各類報警信息，并對相應的報警事件采取相應的處理措施即可，這種方式有效區別于傳統的安全掃描。傳統的安全掃描往往是先對系統進行較長時間的掃描，然后根據掃描結果對漏洞進行整改，整改后，還需要重新掃描驗證整改結果，在實時性方面有著明顯的不足。而這種方式一旦目標網站發生網站掛馬、篡改或其他安全事件都會及時出現在告警系統中，有效提高風險發現的時效性。在安全監測方面實時對網站進行監測分析，不但可以準確、深層次地發現安全隱患及現有安全問題，而且自動化的監測措施使用也極大地降低了維護成本。

2.2 事中防護

在建立好完善、有效的安全事前預警措施后，還需要針對政府網站群所面臨的安全威脅采用專門的應用層攻擊防護機制，對各種惡意攻擊行為進行有效的監測和防護。如想有效防范OWASP TOP 10中相關的安全風險，網站群系統安全防護體系必須具備對來自應用層的各類請求進行內容檢測和驗證的能力，有效應對注入、跨站腳本及其變形攻擊，實時檢測網頁篡改，提供網頁掛馬主動診斷，提供應用層DDOS攻擊防護功能，確保其安全性與合法性。對非法的請求予以實時阻斷，從而對網站群系統進行有效防護，降低攻擊的影響，確保網站群系統的連續性和可用性，降低網站群安全風險，維護政府網站群系統的公信度。

2.3 事后應急

由于各種攻擊手段的日新月異，即使在事中防護和事后應急方面建立了較為全面的監測和防護機制，依然無法保證網站群系統的絕對安全。為了在發生安全事件后將影響控制在最小范圍，政府部門還必須建立一套成熟可行的應急預案體系。整個應急預案體系應盡量細化、詳細，可針對各類安全事件建立專項應急預案，如遭受DDOS攻擊專項應急預案、網站被掛馬專項應急預案以及網頁被篡改專項應急預案等。另外，應急預案中一定要明確各項崗位職責，各崗位必須明確到具體的人員，并就各應急預案定期組織培訓和應急演練，根據培訓和演練結果，及時、有效地調整應急預案，確保在發生安全事件時，各崗位人員能夠做出快速、有效的應對措施，將安全事件影響范圍降至最低點。

2.4 其他措施

在針對風險事件事前、事中、事后建立相應防護機制的同時，政府部門還需著重提高網站群系統管理人員的技術水平和安全意識。所謂“三分技術，七分管理”，在各級政府門戶網站系統集中的同時，政府網站群系統所涉及的管理人員也在擴大，其中任何一個人的疏漏，都有可能給網站群系統帶來高危風險。所以政府部門不僅要定期對網站群系統各類管理人員進行必要的技術培訓，還需要建立起一套適用、有效、可行的安全管理體系，用于嚴格規范各類管理人員的日常維護管理操作，并加強對各類管理人員的安全意識培訓，提高網站系統整體管理人員的安全意識，使得管理手段與技術措施形成有效互補，將各類安全風險盡量降至最低。

提前介入信息安全管理工作。信息安全工作應當貫穿整個信息系統的生命周期，但據調查發現，目前我國大部分政府單位在開發新系統時，安全方面的工作投入較少，基本都在系統上線后才開始考慮安全防護工作，而在系統上線后，才開始安全防護工作，會使得各項安全工作開展起來將相對被動，且成本也將加大。因此政府部門在新建或變更網站群系統時，應當在需求設計階段就開展安全工作，這樣不僅可以有效降低因需求分析不到位或開發人員代碼編寫不規范等原因而造成的安全漏洞風險，同時也可以最小化安全防護體系建設成本。另外，新系統或現有網站群系統在發生重大變更時，在系統上線前，需做好必要的安全測試驗收工作，保證新系統在通過相應的安全測試驗收才能上線，保證安全漏洞在測試環境中得到修復，避免將安全問題帶到線上運營環境。

據調查，目前大部門政府單位門戶網站群系統均托管于第三方單位運營，并將網站群系統的設備、系統均交于第三方單位進行維護。這種情況，在一定程度上來講，第三方運營單位對網站群系統所擁有的權限比網站群系統所屬政府部門大得多，所以如何規范運營單位各類維護人員的行為操作，也成為網站群安全防護工作中的一大難題。政府部門應當與第三方運營單位做好相關安全責任界定工作，并與第三方運營單位簽訂好相應的責任書以及保密協議等文檔。

選擇安全防護能力較強的域名服務商。對于政府部門而言，域名解析服務基本均由域名服務商提供，域名服務商的域名管理系統存在安全隱患，也將對政府網站群系統造成影響，所以政府部門在選擇域名服務商時，應盡量選擇公司規模較大、技術能力較強的公司，或者在選擇域名服務商時，要求域名服務商提供有關域名管理系統的安全檢測報告，從而判斷域名管理系統是否安全可靠。

網絡安全防護應急預案范文第3篇

隨著全球信息化程度的加深，CDN已經成為互聯網上向用戶提供服務的重要系統之一，一方面由于CDN位于內容源站和終端用戶之間的特殊物理位置，能夠抵御一部分對源站的安全攻擊，從而提高源站的安全性；另外一方面，隨著CDN越來越多地服務于重要國家部門、金融機構、網絡媒體、商業大型網站，并經常承擔奧運會、國慶等重大活動，保障CDN自身的安全性、確保源站信息內容安全準確地分發給用戶也非常重要。一旦CDN出現業務中斷、數據被篡改等安全問題，可能對用戶使用互聯網服務造成大范圍嚴重影響，甚至可能影響社會穩定。

標準工作開展背景

一直以來，國際國內缺乏專門的標準明確CDN應滿足的安全要求，今年《互聯網內容分發網絡安全防護要求》和《互聯網內容分發網絡安全防護檢測要求》在中國通信標準化協會（CCSA：ChinaCommunications StandardsAssociation）立項，“電信網安全防護標準起草組”討論了征求意見稿，相信CDN安全的標準化工作，能對促進CDN服務商規范安全地提供服務，從整體上提高CDN行業的安全防護水平提供指導。

美英等國家從20世紀70年代就開始研究等級保護、風險評估的相關內容，制訂了彩虹系列、BS7799、ISO27001等具有世界影響力的安全標準。隨著通信網絡在國家政治、經濟和社會發展過程中的基礎性和全局性作用與日俱增，這些發達國家越來越重視通信網絡安全，并上升到國家安全高度。我國也越來越重視網絡與信息安全保障，相繼了中辦【2003】27號《國家信息化領導小組關于加強信息安全保障工作的意見》、中辦發【2006】11號《2006―2020年國家信息化發展戰略》等文件指導基礎信息網絡和重要信息系統的安全保障體系建設。

近五年通信網絡安全防護工作取得很大成效，指導通信網絡從業務安全、網絡安全、系統安全、數據安全、設備安全、物理環境安全、管理安全等各方面加固，提高了通信網絡運行的穩定性和安全性、基礎電信運營企業安全管理的規范性，也促進了通信行業安全服務產業的快速發展。

隨著通信網絡安全防護工作逐步深入規范開展，2011年工業和信息化部組織開展了增值運營企業的安全防護試點，率先對新浪、騰訊、百度、阿里巴巴、萬網、空中信使運營管理的網絡單元進行定級備案、安全符合性評測和風險評估。

2011年，“電信網安全防護標準起草組”組織研究起草《互聯網內容分發網絡安全防護要求》和《互聯網內容分發網絡安全防護檢測要求》等8項安全防護標準，工業和信息化部電信研究院、藍汛、網宿、清華大學、中國移動、中國電信、華為、中國互聯網協會等單位研究人員參與了標準的起草，目前這兩項標準的征求意見稿已經在CCSA討論通過。

根據《通信網絡安全防護管理辦法》，按照各通信網絡單元遭到破壞后可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度，由低到高可劃分為一級、二級、三級、四級、五級。因此《互聯網內容分發網絡安全防護要求》明確了一級至五級CDN系統應該滿足的安全等級保護要求，級別越高，CDN需滿足的安全要求越多或越嚴格。《互聯網內容分發網絡安全防護檢測要求》明確了對CDN進行安全符合性評測的方法、內容、評價原則等，有助于深入檢查企業是否落實了安全防護要求。

CDN安全防護內容

CDN位于內容源站與終端用戶之間，主要通過內容的分布式存儲和就近服務提高內容分發的效率，改善互聯網絡的擁塞狀況，進而提升服務質量。通常CDN內部由請求路由系統、邊緣服務器、運營管理系統、監控系統組成，CDN外部與內容源站以及終端用戶相連。CDN是基于開放互聯網的重疊網，與承載網松耦合。

CDN主要是為互聯網上的各種業務應用提供內容分發服務，以顯著提高互聯網用戶的訪問速度，所以保障CDN分發的數據內容安全和CDN業務系統安全至關重要，保障CDN的基礎設施安全、管理安全，有效實施災難備份及恢復等也是CDN安全防護應該考慮的重要內容。因此CDN的安全防護可從數據內容安全、業務系統安全、基礎設施安全、管理安全、災難備份及恢復幾方面考慮。

（1）CDN數據內容安全

為保障CDN分發的數據內容安全，需要確保CDN與源站數據內容一致，并進行版權保護，記錄管理員的操作維護并定期審計，一旦發現不良信息能夠及時清除，同時提供防御來自互聯網的網絡攻擊并對源站進行保護的能力。

數據一致性：CDN企業提供對內容污染的防御能力，識別和丟棄污染的內容，保障重要數據內容的一致性和完整性；保證CDN平臺內部傳輸數據的一致性；防止分發的內容被非法引用（即防盜鏈）。

版權保護：按照源站要求提供內容鑒權、用戶鑒權、IP地址鑒權、終端鑒別以及組合鑒權等方式對源站內容進行版權保護。

安全審計：記錄管理員（含源站管理員和CDN系統內部管理員）對CDN系統的管理操作，留存日志記錄并定期審計。

不良信息清除：一旦發現CDN系統內部含不良信息，應在內容源站或主管部門要求時間內，完成全網服務器屏蔽或清除不良信息。

防攻擊和源站保護：引入CDN后不應降低內容源站的安全水平，同時CDN在一定程度上提供對內容源站的抗攻擊保護。

（2）CDN業務系統安全

為保障CDN的業務系統安全，需要從結構安全、訪問控制、入侵防范等方面進行安全保護，另外鑒于請求路由系統（即DNS系統）在CDN系統中的重要性以及目前DNS系統存在脆弱性，需要保障請求路由系統的安全。

結構安全：CDN企業在節點部署時應考慮防范安全攻擊，如為服務器單節點服務能力留出足夠的冗余度、配置實時備份節點等。

訪問控制：對管理員操作維護進行身份認證并進行最小權限分配，從IP地址等方面限制訪問。

入侵防范：關閉不必要的端口和服務，CDN能夠抵御一定的安全攻擊并快速恢復。

請求路由系統安全：部署多個內部DNS節點進行冗余備份，并對DNS進行安全配置。

（3）CDN基礎設施安全

保障CDN的基礎設施安全，可從主機安全、物理環境安全、網絡及安全設備防護等方面進行保護。

主機安全：企業對CDN的操作系統和數據庫的訪問進行訪問控制，記錄操作并定期進行安全審計；操作系統遵循最小授權原則，及時更新補丁，防止入侵；對服務器的CPU、硬盤、內存等使用情況進行監控，及時處置告警信息。

物理環境安全：機房應選擇合適的地理位置，對機房訪問應進行控制，防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電、溫濕度控制、防塵、電磁防護等方面均應采取一定的防護措施，并確保電力持續供應。

網絡及安全設備防護：IP承載網需要從網絡拓撲結構、網絡保護與恢復、網絡攻擊防范等方面進行保護。

（4）CDN管理安全

規范有效的管理對于保障信息系統的安全具有重要作用，可從機構、人員、制度等方面進行保障，同時應將安全管理措施貫穿系統建設、系統運維全過程。

機構：通過加強崗位設置、人員配備、授權審批、溝通合作等形成強有力的安全管理機構。

人員：在人員錄用、離崗、考核、安全意識教育和培訓、外部人員訪問等環節加強對人員的管理。

制度：對重要的安全工作制訂管理制度，確保制度貫徹執行，根據安全形勢的變化和管理需要及時修訂完善安全制度。

安全建設：在系統定級備案、方案設計、產品采購、系統研發、工程實施、測試驗收、系統交付、選擇安全服務商等環節進行安全管理，分析安全需求、落實安全措施。CDN企業在新建、改建、擴建CDN時，應當同步建設安全保障設施，并與主體工程同時驗收和投入運行。安全保障設施的新建、改建、擴建費用，需納入建設項目概算。

安全運維：在系統運行維護過程中對物理環境、介質、網絡、業務系統、安全監測、密碼、備份與恢復等加強安全管理，提高對惡意代碼防范、安全事件處置、應急預案制訂與演練的管理。

（5）災難備份及恢復

可通過配置足夠的冗余系統、設備及鏈路，備份數據，提高人員和技術支持能力、運行維護管理能力，制訂完善的災難恢復預案，提高CDN企業的抗災難和有效恢復CDN的能力。

冗余系統、設備及鏈路：運營管理系統、請求路由系統等核心系統應具備冗余能力，在多個省份備份，發生故障后能及時切換；CDN設備的處理能力應有足夠的冗余度；核心系統間的鏈路應有冗余備份。

備份數據：系統配置數據、源站托管數據等關鍵數據應定期同步備份。

人員和技術支持能力：應為用戶提供7×24小時技術支持，員工應經過培訓并通過考核才能上崗。

運行維護管理能力：運維人員應能及時發現系統異常事件，在規定事件內上報企業管理人員、客服人員，做好對客戶的解釋工作。

災難恢復預案：應根據可能發生的系統故障情況制訂詳細的災難恢復預案，組織對預案的教育、培訓和演練。

CDN標準展望

2011年制訂的CDN標準還只是一個嘗試，目前《互聯網內容分發網絡安全防護要求》和《互聯網內容分發網絡安全防護檢測要求》僅對作為第三方對外提供互聯網內容分發服務的CDN提出安全防護要求和檢測要求，隨著后續CDN安全防護工作的深入開展、CDN面臨的安全風險不斷變化，CDN安全防護標準還會不斷修訂完善。

網絡安全防護應急預案范文第4篇

關鍵詞：網絡信息安全；應急響應；聯動系統

隨著互聯網對各個領域的滲透，我國的網絡安全防護任務越來越重。從20世紀90年代至今網絡信息安全可分為4個階段的發展過程，即通信安全、計算機安全、網絡安全、內容安全。在這4個階段中，前兩個發展階段屬于運行安全方面―OPSEC。而對于網絡基礎設施與信息的保護則稱之為物理安全―PHYSEC。隨著網絡的發展，隨后又提出了內容安全―CONTSEC，其目的是為了解決信息利用方面的安全問題。為了應對日益增加的網絡安全事件，網絡安全對抗必須進一步的細化以及升級。在此背景下，應急響應聯動系統的建立尤為重要，因為通過系統的建立，可以提高政府對各種網絡安全事件的解決能力，減少和預防網絡安全事件造成的損失和危害。因此目前對應急響應及聯動系統的基礎理論、框架構建、技術操作方面的研究尤為重要。

1 應急響應的基本內容

1.1 應急響應系統的建立

為應對網絡安全事件發生，事前準備工作或事后有效措施的實施便是應急響應系統建立的目的。應急響應系統包含5個步驟。

（1）管理。即組織對事情發生前后人員之間的職能劃分。

（2）準備。對于各種網絡安全事件提前制定的一些應急預案措施。

（3）響應。網絡安全事件發生后進行，系統對事件進行安全檢測有效防止系統信息進一步遭到破壞，并對已受到破壞的數據進行恢復。

（4）分析。為各種安全事件的應急預案提供調整的依據，提高防御能力。

（5）服務。通過對各種資源的整合為應急響應對計算機運行安全提供更多的有力的保障。

1.2 應急響應系統建立必須遵循的原則

（1）規范化原則。為能保證應急響應系統有效策略的實施，各個組織都應該建立相應的文檔描述。任何組織應急響應系統應該有清晰和完全的文檔。并有相關的規章條例保證系統的有效運行。組織成員作為應急響應系統的服務者必須遵守相關的條例，也可以寫入工作職責來保證系統的有效運行。

（2）動態性原則。信息安全無時無刻不在發生變化，因此各種安全事件的復雜性使得應急響應策略的制定更加具有難度。為了完善應急響應策略就必須注重信息安全的動態性原則，并對策略實時作出相應調整。

（3）信息共享原則。應急響應過程中，系統會提供大量可能與安全事件無關的信息，如果提高應急響應系統中重要信息被發現的可能性，在信息提取過程中，信息共享是應急響應的關鍵，應該考慮將信息共享的對象與內容進行篩選，交叉分析。

（4）整體性原則。作為一個系統體系應急響應的策略具有整體性、全局性，應該在所有的互聯網范中進行安全防護，不放過任何一點的細節，因為一點點的疏漏都會導致全網的癱瘓。整個應急響應策略體系除了要從技術層面考慮問題也要從管理方面著手，因為管理問題而導致的安全事件更為嚴重。因此，制定管理方法時要投入更多的精力來進行統籌安排，既要完善管理方法，也要注重技術層面。

（5）現實可行性原則。通過判斷應急響應策略是否合理性來衡量是否在線上具有可行性。

（6）指導性原則。應急響應系統體系中的策略并非百分之百的解決方案，ψ櫓而言，它只是對于處理網絡安全事件方法進行一定的指導，而對整個組織工作也只是提供全局性的指導。

2 應急響應系統體系的總體框架

如果對應急響應系統體系進行劃分，可以將其劃分為兩個中心和兩個組。

（1）兩個中心。應急響應中心與信息共享分析中心。應急響應系統體系的關鍵是信息共享分析中心。它主要負責的是對中心收集來的各級組織的信息進行交換和共享，并對整個網絡作出預警或者事件的跟蹤，并對收集來的信息進行整理。而應急響應中心的任務則是對系統體系預案進行管理，通過對信息共享分析中心各種信息安全事件的分類分析并進行應急響應。

（2）兩個組。應急管理組及專業應急組。應急組對整個事件進行全局性指導，并協調各個機構，指導各個組織成員對事件進行應急策略的制定。在各類安全事件發生的過程中，應急響應與救援處于一個重要的環節，而專業應急組是環節的關鍵，是實現信息安全保障的核心。通過應急組的響應迅速使網絡系統得到恢復。

3 應急響應的層次

“八方威脅，六面防護，四位一體，應急響應”這句話形容的則是應急響應體系的整個工作過程。

（1）“八方威脅”是指應急響應系統中的網絡安全事件。而根據事件的危害程度對其進行編號的話，1類為有害程度最輕的事件，8類則最為嚴重，儼然一場網絡戰爭。而且一般的安全事件都不是單獨發生的，通常許多事件都是緊密聯系環環相扣。

（2）“六面防護”防護是指技術層面的防御，主要是風險評估、等級保護、入侵檢測、網絡監審、事件跟蹤和預防6個方面。

（3）“四位一體” 主要是指各個小組的組織保障體系，如應急組、專業組、組織協調機構、專家顧問組。

（4）應急響應。應急響應系統的核心為應急響應的實施功能。應急響應系統通過對網絡安全事件的目標進行分類并分析，通過對事件的判斷進行事件分級，制定具體的預案或措施，并有通過各個小組進行信息實施，并有技術組對系統進行恢復重建和應急管理，保證目標的信息系統安全。

4 應急響應體系的周期性

通過應急響應系統的工作，分析應急響應聯動系統在網絡安全事件中可能具有生命周期性。網絡安全事件的生命周期從風險分析開始，一般的風險分析包括網絡風險評估和資源損失評估等。對風險分析進行正確有效的分析有利于高效率的應急響應。為了這一階段響應過程的順利進行，需要制訂安全政策以及各種應急響應優先權的各種規定。安全工具與系統、網絡配置工具，使網絡的安全性與可用性兩者之間處于平衡狀態。在檢測階段，通過各種手段收集信息，利用系統特征或IDS工具來預測安全事件的發生。之后響應階段，利用各種手段抑制、消除安全事件并進行有利反擊。最后在恢復階段對受到攻擊的對象進行恢復，使其恢復到事件發生之前。網絡安全事件的周期性更全面，更實際地概括了應急響應系統的工作過程。

5 應急響應體系的聯動性

（1）“六面防護”的聯動。 首先由風險評估對網絡安全事件作出安全評估并確定其“威脅”等，再由等級保護進行措施制定，對其入侵的主體進行入侵檢測確定威脅漏洞所在，再通過網絡監審發現安全事件并進行事件跟蹤再由事件跟蹤對其事件進行分析，并通過預防對響應策略進行調整，并分析防御的有效性。

（2）“四位一體”的聯動。聯動的主要目的是為了應急響應系統的有效運行，因此應急組、專業組、組織協調機構、專家顧問組之間就要努力做好協調工作。組織協調機構主要負責總體的協調工作，應急組與專家顧問組主要負責對網絡安全事件的應急處理工作，同時應急組還承擔著對突發的安全事件進行信息收集，分析以及信息上報的工作，并對組織協調機構提出的相關事件的應急預案或者保護措施進行執行的工作。

（3）應急響應的聯動。作為應急響應系統的核心，應急響應實施功能通過信息，在應急預案或保護措施實施過程中，對事件的發展情況、處理進程進行全程跟蹤。尤其是在事后對事件進行跟蹤分析，從而進行恢復重建，排除事件對系統產生的威脅。除了對事件進行全程跟蹤外，作為核心，還應對相關的應急資源進行協調，做好應急管理工作。

網絡安全防護應急預案范文第5篇

關鍵詞：地市煙草；網絡安全；技術；管理

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-7712 （2014） 02-0000-02

煙草行業自1985年有了第一臺計算機以來，經過20多年行業信息化工作者孜孜不倦的努力，行業的信息化建設工作取得了長足的發展，建立了涵蓋行業各個方面工作的完備的信息網絡，為行業工作的便捷開展提供了可靠的信息化助力，為“卷煙上水平”做出了應有的貢獻。但不可否認的是，在信息化建設之初，由于經驗的缺乏及技術的限制，沒有形成一個具有遠見性及科學性，能與行業整體業務發展戰略緊密融合的信息網絡安全建設戰略，導致多年來行業信息網絡安全建設工作缺乏統一的導向和組織，雖然各省煙草公司都制定并出臺了計算機網絡建設與管理規范，指導各地市的信息網絡建設，但因為制度出臺時間較短，及網絡改造需要流程與時間，可以說目前各地市網絡安全建設水平仍不夠理想，信息網絡安全建設發展至今，越來越多的困難與矛盾開始逐漸凸顯。

一、地市煙草公司信息網絡安全建設現狀

地市煙草信息網絡是構成全省煙草信息網絡的個體，因此地市信息網絡安全建設水平便直接關系全省信息網絡建設水平，是構成全省信息網絡安全建設的一環，就像構成木桶的一板，依據管理學上“木桶效應”的短板理論，木桶的盛水量由構成木桶的最短的一板決定，當有一個地市信息網絡安全建設水平大大低于平均水平，就將大大拉低全省煙草信息網絡整體安全防護水平。可以說全省煙草的信息網路安全建設必將是環環相扣的，一環均不得松懈，一環均不得落后。

地市信息網絡安全建設關系到全行業主干的網絡的安全與穩定，而信息網絡環境的復雜性、多變性以及系統的脆弱性、開放性和易受攻擊性，決定了信息網絡安全威脅的客觀存在。當行業人員在享受著信息網絡給日常辦公帶來便利性的同時，信息網絡安全問題也日漸突出，信息網絡安全建設形勢日益嚴峻。結合地市煙草實際情況分析總結（某地市煙草信息網絡安全結構圖如下），以及筆者日常的實際工作體會，主要可以總結出當前地市煙草信息網絡安全建設還主要存在著以下幾方面問題：

（一）將信息網絡安全建設理解為單純的安全設備采購

經過多年的信息化網絡安全建設投入，一種簡單的理念容易令一些行業信息化工作從業者產生誤解，即所謂的信息網絡安全建設就是網絡安全設備的采購，只要網絡安全設備采購部署到位，信息網絡安全便高枕無憂，從一定角度來說，這種觀點并沒有錯誤，隨著信息技術的發展，日益先進強大的網絡安全設備層出不窮，人性化的操作界面也使得設備使用與配置變得不再困難，對信息網絡安全起到很好的保障。各地市煙草公司也在逐年增加著安全設備的采購數量，網絡安全隨著安全設備的增加看起來已經不再是問題。但實際情況是這樣嗎？在實際情況中我們仍然會發現，地市煙草在重視網絡安全設備采購的時卻較為忽視對網絡安全設備采購的前期規劃，導致亟需網絡設備沒有得到采購，或者采購的安全設備沒有得到很好的實施。造成重復投資及資產浪費的局面，同時設備上線實施后期的運行維護及更新升級，隨著時間的流逝，人為的懈怠與忽視，都導致購買的安全設備沒有起到最大的作用。

（二）信網絡安全建設偏重技術鉆研，忽略日常管理

信息網絡安全不能完全依賴技術手段來解決，更多的需要從信息安全日常管理上入手，畢竟信息網絡的使用者是人，只有對人的管理到位，才能保證在技術手段搭建的網絡安全保障平臺下不出現人為操作引發的漏洞。當前地市信息化工作從業者在對信息安全技術鉆研方面投以了很大的熱情，但對信息網絡安全日常管理方面卻顯得無能為力，或者說掌控能力還不夠，雖然制定并頒布了涵蓋網絡安全各方面的信息化制度，但相關制度卻沒有得到很好的貫徹執行，很多制度名存實亡，而行業各級員工良好信息網絡安全使用習慣始終沒有得到養成，信息安全問責機制得不到很好實施，同時而信息中心作為相關信息安全管理制度的制定者，受限于部門職能及自身管理水平所限，導致對制度執行的監督管理能力低下。而在信息網絡安全管理不力的情況下，致使再強大的技術防護都無法避免管理缺失形成的隱患。

（三）信息網絡安全建設重視對外防護，忽視對內防護

當前網絡安全建設更多的針對外來攻擊的防護，而忽視對內的安全防護，更多的是在網絡邊界搭設安全設備抵御從外部而來的非法入侵及非法訪問，而針對內部終端用戶的審計及跟蹤則較為缺失。根據統計結果標明，99.9%的網絡安全事件來源于網絡內部，而只有0.1%安全事件來自于外部，絕大多網絡安全事件來自于以內部客戶端為跳板進行的網絡攻擊。當企業內部存在有惡意的攻擊者，他們就能較好的規避防火墻等安全設備的安全策略，并把安全策略轉向對于他們有利的一面，對內部網絡進行攻擊。同時外部的黑客，也能通過木馬，能讓內部用戶運行他們指定的程序，操縱主機，竊取數據，這些都源于當前的信息網絡建設對來自網絡內部攻擊防護較為薄弱，同時對內部網絡準入控制把控力度做得較為不足，雖部署有桌面終端管理系統，但在相應策略部署上，沒有及時到位，而該系統特殊的技術阻斷方式，也在一定程度容易導致其阻斷率無法達到100%。

（四）網絡安全建設應急機制不健全

目前地市信息網絡安全建設更多的是重視的日常安全巡檢等日常檢查工作，但是對網絡突發事件的應急處置則較為欠缺，地市網絡安全建設應急機制建立不健全，缺乏相應網絡事故應急預案及相關演練，對突況的應變不熟練，導致出現突發的網絡安全事故時則會變得手忙腳亂，無法很好應對突發事件帶來的異常，促使事故造成的損失愈發嚴重，同時沒有良好的容災備份機制，一旦信息安全事故發生，是否能快速有效的恢復關鍵數據成為疑問。

二、針對當前網絡安全建設現狀的一些建議

針對當前地市煙草信息網絡安全建設過程中存在的問題，通過一定的分析總結，參照最新的技術規范及管理理念，以及上級的制度規定，我們試提出以下幾條改進建議，以達到全面提升信息網絡安全建設實用性、科學性、全面性、穩定性的效果，具體如下：

（一）加強網絡安全設備采購的前期規劃及合理配置實用

網絡安全設備的采購應加強前期規劃及需求分析工作，不能無目的，無原則的一味追求高新設備，當前的現狀是各地市對網絡安全的設備采購均存在著檔次及匹配性問題，存在過大及追高的弊病，形成投資浪費，同時由于項目管控能力較弱，前期規劃不足，購置的設備在配置實施后等不到很好的使用，或起不到原先預想的效果。因此要加強項目前期規劃，做好需求調研與需求分析工作，對網絡安全設備應起到的效果及采購設備級別有準確的預估，加強采購項目的整體實施管控，并重點關注設備采購后的實施上線工作，做好安全策略的制定和部署，要充分利用設備、活用設備，充分達到應起的效用，在設備正式上線運行后，要做好安全防護策略的及時更新與修訂，作好安全設備的日常巡檢工作，保證安全設備始終發揮作用，而不是上線運行一段時間后就閑置不管。通過對購置網絡安全設備活用、善用，提升資產投資價值，搭建堅固穩妥信息網絡安全環境，促進信息網絡安全建設的實用性。

（二）建立完善的信息網絡安全日常管理體系

加強網絡安全建設的日常管理工作，應以培養員工的良好的網絡安全習慣為工作重點。所謂信息網絡安全建設“三分技術，七分管理”，管理到位，信息網絡安全建設也將事半功倍。一味單純的依靠技術進行網絡安全防護，而管理上存在漏洞，再強大的技術也將一無所用。好的技術，加上完善嚴密的管理，才能確保信息網絡安全、堅固、穩妥。因此要注重建立完善信息安全管理保障體系，加強安全監管和信息安全等級保護工作，要對網絡設備的安全性和信息安全專用產品實行強制認證。同時在加強對員工日常信息安全理念培訓的同時，要與接入網內的計算機終端使用者簽訂信息安全責任狀，樹立“誰使用、誰負責”、“誰管理、誰負責”的信息安全理念，嚴格落實信息安全責任制，確保員工不敢輕易觸碰信息安全底限，養成良好信息網路安全使用習慣。通過建立全面多級信息網絡安全管理體系，增進信息網絡建設的科學性。

（三）加強信息網絡安全建設對內防護工作

地市公司目前均在互聯網出口及邊界架設了硬件防火墻等安全設備，但由于防火墻的特殊技術架構，其對內部通過防火墻外部的數據是不進行檢測的，這就導致黑客可以利用內網主機上的后門程序，建立隱蔽信道，攻破防火墻，因此其在抵御外部攻擊上起到較好作用，但面對來自網絡內部的攻擊就顯得束手無策，針對這一情況，在進行信息網絡安全建設的同時，應重點加強信息網絡安全的內部防護工作，而加強對客戶端的上網行為審計及網絡準入控制，就成了加強信息網絡內部安全建設的必然選擇。客戶端接入網絡的同時，通過對其安全狀況及授權情況進行檢測，只有安全狀況符合要求，得到合理授權的客戶端才能正常接入辦公網絡。應在互聯網出口處，防火墻之前，部署上網行為管理設備，對客戶端出互聯網的數據進行檢測及篩選，降低客戶端進行危險的互聯網訪問，感染病毒，遭受攻擊的分險。通過加強信息網絡安全建設的內部防護，提升信息網絡安全的全面性。

（四）加強信息網路安全建設應急機制建設及演練

要加強信息網絡安全建設的應急機制建設，加強應急預案的實施演練，增強對網絡安全突發事件的應急處理能力。每年應進行定期仿真度高的應急方案演練，模擬網絡安全事故發生時可能發生的情況，進行針對性演習。在方案演練前，要做好演練前期的方案策劃，演練過程的完全記錄，演練過后的總結分析工作。并以此來不斷改進現有的應急預案。同時應做好容災備份工作，進行關鍵網絡設備的冗余配置及重要數據庫的備份工作，確保發生突發事件后，能夠及時進行網絡及數據恢復工作，將突發事件帶來的影響降到最低，不過多的影響正常辦公業務的開展，確保信息網絡安全的穩定性。

四、結束語

煙草是個比較特殊的行業，在專賣體制下實行“統一領導?垂直管理?壟斷經營”，處于一種行政限產型的壟斷狀態。行業的特殊性要求我們必須克服特殊體制帶來的缺陷，高效的開展行業信息化建設工作。地市信息網絡安絡，作為全省信息網絡的組成部分，其信息安全建設水平決定了全省信息網絡安全性與穩定性，其重要性不言而喻，只有重視信息網絡安全建設，重視當前信息網絡安全建設過程中發現的問題，通過科學的規劃，合理的布局，周密的實施，去逐漸改變當前的不利局面，才能確保信息網絡安全建設的科學性、全面性、穩定性與實用性，確保日常信息網絡的平穩運轉，為全行業的快速發展提供穩定強大的信息化助力！

參考文獻：

[1]福建省煙草公司.計算機網絡建設與管理規范[Z].2012.

[2]盧昱，王宇.信息網絡安全控制[M].北京：國防工業出版社，2011.