IT系统安全系统应急预案

江苏IT系统安全应急预案1目的随着着公司信息化建设的发展，IT系统的安全性也越发重要，需要全方面加强信息安全性的建设，确保系统不受到来自内部和外部的攻击，实现对非法入侵的安全审计与跟踪，确保业务应用和数据的安全性。同时还必须建立起一套完善、可行的应急解决规章制度，在出现重大状况后能及时响应，尽最大可能减少损失。2公司系统架构和现状2.1IT应用系统架构公司的IT系统以总公司为中心，各分支机构通过租用专用线路或VPN同总公司连通，在各分支机构内部也建立较完善的多级综合网络，涉及中心支公司、支公司、出单点等等。在网络上运行着下列系统：视频会议系统各分公司之间、分公司与总公司之间、各办事处与公司之间进行的网络视频会议。（二）办公自动化系统辅助公司日常办公的系统，如OA\ERP，实现公司上下级之间的公文与协同工作信息传递。（三）邮件系统公司的内部及外部邮箱系统，为公司内、外部信息交流提供方便、快捷的通道。2.2系统安全隐患由于公司的系统是多应用、多连接的平台，本身就可能存在着难于察觉的安全隐患，同时又面临来自各方面的安全威胁，这些威胁既可能是恶意的攻击，又可能是某些员工无心的过失。下面从网络系统、操作系统与数据库、数据以及管理等方面进行描述：（一）网络与公司各级网络进行互联的外部网络顾客及Internet黑客对各级单位网络的非法入侵和攻击；公司内部各级单位网络互相之间的安全威胁，例如某个分支单位网络中的人员对网络中核心服务器的非法入侵和破坏；在各级单位网络中，对于核心的生产业务应用和办公应用系统而言，可能会受到局域网上某些无关顾客的非法访问。（二）操作系统与数据库操作系统与数据库都存在一定的安全缺点或者后门，很容易被攻击者用来进行非法的操作；系统管理员经验局限性或者工作疏忽造成的安全漏洞，也很容易被攻击者运用；系统正当顾客特别是拥有完全操作权限的特权顾客的误操作可能造成系统瘫痪、数据丢失等状况。（三）网络应用网络上多数应用系统采用客户/服务器体系或衍生的方式运行，对应用系统访问者的控制手段与否严密将直接影响到应用本身的安全性；由于实现了Internet接入，各级单位的计算机系统遭受病毒感染的机会也更大，且很容易通过文献共享、电子邮件等网络应用快速蔓延到整个公司网络中；网络顾客自行指定IP地址而产生IP地址冲突，将造成业务系统的UNIX小型机服务器自动宕机。（四）数据数据存储和传输所依赖的软、硬件环境遭到破坏，或者操作系统顾客的误操作，以及数据库顾客在解决数据时的误操作，都会使严重威胁数据的安全。（五）管理如果缺少严格的公司安全管理，信息系统所受到的安全威胁即使是多个安全技术手段也无法抵抗。在充足认识到确保核心业务和应用有效运转的前提下，公司已经采用了一定的方法，如运用操作系统和应用系统本身的功效进行顾客访问控制，建立容错和备份机制，采用数据加密等。但是这些方法所能提供的安全功效和安全保护范畴都非常有限，为了在不停发展变化着的网络计算环境中保护公司信息系统的安全，特制订了IT系统重大事件应急方案。3IT系统重大事件的界定IT系统的脆弱性体现在诸多方面，小到短暂的电力局限性或磁盘错误，大到设备的毁坏或火灾等等。诸多系统弱点能够在组织风险管理控制过程中通过技术的、管理的或操作的办法消除，但理论上是不可能完全消除全部的风险。为了能更加好的制订针对IT系统重大事件的应急方案，必须先对全部可能发生的重大事件进行具体的描述和定义。下面将从IT系统有关联的电源、网络、主机及存储设备、数据库、病毒、信息中心机房等多个方面进行阐明。3.1电源电源是IT系统最基础的部分，也是最容易受到外界干扰的部分之一。在既能确保公司系统平稳运行，又能确保核心或重要设备安全的前提下，根据现在配备的UPS电源的实际状况，将电源事件分为三个层次：普通性电源事件：停电时间在1小时以内的（涉及1小时）；需关注电源事件：停电时间在2小时以内的（涉及2小时）；亲密关注电源事件：停电时间在2小时以上的。3.2网络网络是IT系统及网络客户进行通讯的通道，也是最容易受到外界干扰或攻击的部分之一。现在总公司重要对各地分公司到总公司的网络线路进行管控，而公司又是采用数据集中的运行模式，鉴于这种状况，将网络事件分为三个层次：普通性网络事件：楼层交换机出现异常，或局域网络中断时间在5分钟以内的（涉及5分钟）；需关注网络事件：主交换机、防火墙、上网设备出现异常，或局域网络中断时间在30分钟以内的（涉及30分钟），广域网络中断时间在5分钟以内的（涉及5分钟）；亲密关注网络事件：主干交换机、核心路由器、VPN设备出现异常，或广域网络中断时间在30分钟以上的。3.3主机及存储设备主机及存储设备是IT系统运行的核心和核心，也是相对脆弱的部分，对工作环境的规定是相称高的，任何外部的变化都可能造成这些设备出现异常。根据出现的异常状况，将主机及存储设备事件分成三个层次：普通性事件：非系统核心进程或文献系统出现异常，不影响生产系统运行的；需关注事件：根文献系统或生产系统所在的文献系统的磁盘空间将满/已满或系统核心进程异常，即将影响或已经影响生产系统运行的；主机或存储设备的磁盘异常并发出警告的；亲密关注事件：主机宕机；存储设备不能正常工作的；主机与存储设备中断连接的；主机性能严重减少，影响终端顾客运行的；系统顾客误操作造成重要文献丢失的。3.4数据库数据库是存储公司经营信息的核心部分，由于数据库是建立在主机及存储设备上的应用，任何主机及存储设备的变化都会对数据库产生或大或小的影响，同时数据库也是公司各个层面顾客的使用对象，顾客对数据的操作可能造成不可预料的影响。根据数据库对外界操作的反映，将数据库事件分为两个层次：普通事件：不影响大量顾客或应用系统正常运行的警告或错误报告；重要事件：数据库的系统表空间将满/已满的；业务系统表空间将满/已满的；数据库网络监视进程终止运行的；数据库内部数据组织出现异常的；数据库顾客误操作造成数据丢失的；数据库核心进程异常；数据库性能严重减少，影响终端顾客运行；数据库宕机。3.5电脑病毒由于Internet接入，员工从Internet上进行下载或者接受邮件，都有感染病毒的可能性。某些病毒带有极大的危害性和极快的传输速度，从而可能造成在公司内部的病毒大范畴传输。针对病毒在公司内部的传输范畴或危害程度，分为三个层次：普通性事件：独立的病毒感染，并没有传输和造成损失的；亲密关注事件：病毒小范畴传输，并造成一定损失，但不是重大损失的；严重关注事件：病毒大范畴传输，并造成重大损失的；3.6其它事件信息中心机房其它影响IT系统运行的因素可能会产生某些忽然事件，重要有下列某些方面：（一）空调工作异常，造成机房温度过高；（二）空调防水保护出现异常造成渗水；（三）发生火灾；（四）粉尘造成主机或存储设备异常的。4信息系统重大事件的应急方案根据上节对IT系统重大事件的界定，公司已经建立了一套完整的应急方案，在硬件方面采用双机热备机制，同时加强日常的系统监控，保持完整的数据备份，及时进行灾难恢复，和储藏必要的系统备件等多个技术和办法。下面按照IT系统有关联的电源、网络、主机及存储设备、数据库、电脑病毒等多个方面进行阐明。4.1电源机房采用UPS为重要设备进行供电，为了应对重大突发事件，采用下列了手段：（一）加强UPS的维护，确保UPS的正常工作;（二）在必要状况下，交流输入供电系统采用双路市电供电和发电机联合供电，确保市电使长久停电,UPS仍能正常供电；（三）直流输入方面，采用公用一组电池组的设计，配备长达48小时的后备电池,并提供交流输入瞬变或市电与发电机供电切换时的短时供电；（四）根据停电时间的长短，依次公布普通性告知、较紧急告知和紧急告知给有关部门和机构；（五）停电发生后，及时联系设备部门和供电部门。4.2网络（一）核心路由器做双以太口绑定，如一端口发生故障，自动切换到VPN备份线路接入主机系统，直到修复使用正常，同时由网络集成商提供技术和备件支持，一旦出现紧急故障，1小时赶到现场解决故障；（二）到分支机构专线采用2M数字线路，如2M数字线路发生故障断开则自动切换到VPN备份线路接入主机系统，直到专线修复则使用正常2M线路通信；（三）对于网络核心设备出现重大故障，尽快理解状况，分析问题和提出应急解决方案，做好现场应急解决，立刻告知网络集成服务商到现场解决，主干交换机由网络集成商提供技术和备件支持，一旦出现紧急故障，1小时内赶到现场解决故障；（四）为避免核心路由器或主干交换机发生故障后无法解决问题，在必要状况下，配备一台备用路由器和主干交换机，配备接口与核心路由器和主干交换机相似，一旦出现故障，能在十分种内进行更换；（五）在网络入口处检查网络通讯，根据设定的安全规则，在保护内部网络安全的前提下，保障内外网络通讯，实现了内部网络与外部网络有效的隔离，全部来自外部网络的访问请求都要通过防火墙的检查，内部网络的安全将会得到确保。具体有：1、设立源地址过滤，回绝外部非法IP地址，有效避免了外部网络上与业务无关的主机的越权访问；2、防火墙只保存有用的WEB服务和邮件服务，将其它不需要的服务关闭，将系统受攻击的可能性减少到最小程度，使黑客无机可乘；3、防火墙制订访问方略，只有被授权的外部主机能够访问内部网络的有限IP地址，确保外部网络只能访问内部网络中的必要资源，与业务无关的操作将被回绝；4、全方面监视外部网络对内部网络的访问活动，并进行具体的统计，及时分析得出可疑的攻击行为；5、网络的安全方略由防火墙集中管理，使黑客无法通过更改某一台主机的安全方略来达成控制其它资源访问权限的目的；6、设立地址转换功效，使外部网络顾客不能看到内部网络的构造，使黑客攻击失去目的。4.3主机、存储设备及数据库为确保生产系统稳定运行，主机与存储系统保持7X24小时的可用。为应对可能发生的重大事件或突发事件，采用下列方法：（一）在接到紧急停电告知后30-40分钟内按照先数据库、次主机、最后存储设备的次序停止全部系统运行，在必要的状况下，须拔掉全部电源插头；（二）采用双机热备技术，在其中一台主机出现异常时，及时进行切换；（三）采用硬盘、磁带库等设备作好日常数据备份；（四）如果发生误删除操作系统文献，立刻进行文献系统恢复（必须有备份）；（五）如果发生误删除数据，立刻进行数据库恢复（必须有备份）；（六）如果文献系统空间不够，造成系统不能正常运行，立刻进行文献系统扩展。（七）如果数据库表空间局限性，立刻进行表空间扩展，同时可能还进行文献系统扩展；（八）在必要状况下，建立异地数据备份中心，以保持数据安全性。（九）出现重大故障，尽快理解状况，分析问题和提出应急解决方案，做好现场应急解决，立刻告知系统服务商到现场解决，并由系统服务商提供备件增援。4.4电脑病毒为避免电脑病毒在公司内部的传输，反毒和信息安全应按照“整体防御，整体解决”的原则实施，采用多个手段和产品来切断电脑病毒的传输“通道”。具体方法以下：（一）配备公司级网络版杀毒软件，在公司总部、分公司、营业部全部联网的PC机、PC服务器上安装病毒/邮件防火墙，布署统一的公司网络防毒系统，实现反毒分级防备和集中安全管理；（二）在公司总部和分公司配备防毒