应急响应策略

1、1应急计划和响应策略1.1策略的适用范围本应急计划和响应策略仅适用于中船重工第 XXXF 究所涉密信息系统出现系 统运行事件和出现泄密事件时，如何及时发现和有计划、有步骤的处置。1.2实施策略的主体本应急计划和响应策略的实施主体有：应急事件和状况发现人和执行人一一系统管理员、安全保密管理员、安全审计员等；应急响应的发起人和动员者一一所网管中心负责人、所保密办负责人、所保 密委负责人。1.3主要的策略规则应急计划主要针对涉密信息系统出现系统运行安全问题和泄密事件而实施 响应方式。其中系统运行安全问题的应急相应计划与响应方式：a） 对于系统运行安全问题的应急响应：1） 当系统管理员、安全保密管理员

2、、安全审计员发现系统内设备有掉 电、宕机；2） 系统内出现较大范围的病蠹及恶意代码问题；3） 网络系统出现非法入侵行为等，应按系统运行安全问题给予响应。b） 系统运行安全问题应急响应的决策人为网管中心负责人。c） 实施方式：1） 由系统管理员关闭个别设备；2） 由安全保密管理员在瑞星网络杀蠹软件控制台上， 发布系统内各终端及服务器立即查杀病蠹及恶意代码；3） 由安全保密管理员在绿盟冰之眼入侵检测系统V5.5 管理控制台上,核查入侵行为发生的源地址、目的地址、入侵行为的发生时间、入 侵攻击行为及结果。并通过防火墙联动方式、断开攻击源的网络连 线、关闭攻击源的交换机接入端口等任意一种方式，阻断入侵

3、攻击行为。其中系统泄密事件的应急相应计划与响应方式：a）对于系统泄密事件的应急响应：1） 当系统管理员发现涉密信息系统内，出现涉密存储设备、服务器及 终端设备有丢失、被盗、非许可的损毁等现象；2） 系统内，访问控制规则失效，导致系统内对涉密信息出现任意访问；3） 系统内，身份鉴别失效，导致终端、服务器出现非授权访问；4） 系统内发现涉密信息被非授权访问；5） 系统内存在涉密信息被非授权打印、复制输出；6） 涉密载体（纸介质、光介质、电磁介质等）丢失；7） 涉密计算机、涉密笔记本电脑丢失。b） 系统泄密事件应急响应的决策人为所保密办负责人、保密委负责人。c） 实施方式：1） 若发现设备被盗，应立

4、即启动应急响应计划。关闭涉密信息系统机 房服务器、存储设备操作系统及电源；首先，查活丢失设备的位置、 设备类型、设备中存储涉密信息的量及涉密程度。 然后，调出丢失 设备场所的视频监控录像及门禁系统资料。查活丢失设备的时间、 责任人等。依据相关规定和法律程序，追究当事人的法律责任。2） 若系统内，出现访问控制规则、身份鉴别规则失效，安全保密管理员发现涉密信息被非授权访问。应立即启动应急响应，首先立即关 闭网络设备电源，同时，迅速关闭涉密信息系统机房服务器、 存储 设备操作系统及电源。逐个开启绿盟冰之眼入侵检测系统V5.5 管理控制台服务器、中软主机监控与审计系统 V7.2R2 控制台服务器， 查

5、看涉密信息知悉范围扩大的状况，哪些涉密信息被非授权访问。 同时，调出相关场所的视频监控录像及门禁系统资料。查活复制、 输出打印的时间、当事人等，收缴非法获取的涉密介质、涉密信息 等。并依照相关规定和法律程序，追究当事人的法律责任。3） 若安全保密管理员发现系统内存在非授权打印、复制输出，应立即启动应急响应计划。关闭打印服务器、输入输出专用机操作系统及 电源。由安全保密管理员登陆到中软主机监控与审计系统V7.2R2控制台服务器查看输出打印和复制的涉密信息数量、涉密级别、输 出时间、操作人，同时调出输入输出专用机房、打印室的视频监控 录像及门禁系统资料。查活复制、输出打印的时间、当事人等，收缴非法获取的涉密介质、打印涉密资料等。并依照相关规定和法律程序，追究当事人的法律责任。4） 涉密载体（纸介质、光介质、电磁介质等）和涉密计算机、涉密笔 记本电脑丢失，应立即启动应急响应计划。查活丢失介质及设备的 涉密程度、处理或存储的涉密信息量，向有关部门报告。并依照相 关规定和法律程序，追究当事人的法律责任。1.4规则的更新要求由于应急计划与响应策略，需每年至少进行一次演练，并针对演练结果对应 急响应策略进行更新和修正。对采取的应急响应措施， 以及所发现的系统安全风险、 威胁及脆弱性应及时 封堵。对发生重大泄密事件后，需重新制定涉密信息分级保护设计方案， 提请相 关专家组