為提高中國共產黨建黨100周年期間我廳云計算中心網絡和信息系統安全應急協調聯動效率,有效應對重大網絡安全事件,按照《關于做好慶祝中國共產黨成立100周年全省網絡安全保障工作方案的通知》要求,信息中心將在此期間進行安全保障工作,并及時應對可能發生的安全事件。安全保障工作方案具體如下:
一、職責分工
為保障廳云計算中心關鍵基礎設施、廳門戶網站能夠安全穩定運行,特成立重保工作小組。負責對廳云計算中心的關鍵基礎設施、網絡和信息系統安全運行以及機房安全隱患檢查等工作(見附件)。
組織機構職責:
應急領導小組:負責網絡安全事件及相應工作的整體規劃和決策指揮;統一領導和組織指揮超出所控制范圍內的重大網絡安全突發事件的應急響應處置工作;對社會公眾發布網絡安全事件相關公示和公告;按照國家、省及我廳信息化工作要求開展應急處置工作;研究決定網絡安全應急工作的有關重大問題。
應急領導小組辦公室:設在信息中心,負責向應急領導小組報告有關工作開展及處置情況;負責落實應急領導小組做出的決定和措施;負責建立健全網絡安全應急協調機制和信息通報機制,及時收集、上報和通報突發事件情況,負責明確各處室(部門)在應急協調工作中的任務和責任;根據情況發布內部網絡安全事件預警預報及公告;按照應急領導小組的命令和指示,組織協調各相關處室(部門),落實網絡安全應急保障工作。
現場應急工作組:設在信息中心網絡科,負責網絡安全突發事件現場的應急處置和上報工作;對事發現場進行先期應急處置;結合現場處置情況,匯總有關網絡安全突發事件的各種重要信息,進行綜合分析,并提出建議;落實應急領導小組辦公室做出的決定和措施;負責網絡安全突發事件的補救和恢復及善后等相關工作;對處理完畢的網絡安全事件進行總結、上報和備案。
成員單位職責:
Ⅰ級網絡安全事件由應急領導小組進行處置決策;Ⅱ級信息安全突發事件由應急領導小組辦公室共同進行應急處置決策;Ⅲ級網絡安全事件由現場應急工作組進行處置決策;Ⅳ級網絡安全事件由其他直屬各處室及其他安全運維人員按照“屬地管理、分段影響、及時發現、及時報告、及時救治、及時控制”的要求,協調現場應急工作組,對網絡安全突發事件進行處置決策。
具體分工如下:
1、應急領導小組:
|
姓名 |
聯系方式 |
職責 |
|
潘井泉 |
|
組長,負責整體協調 |
|
韓純亮、靳秀英 |
|
副組長,負責技術方面協調 |
2、應急領導小組辦公室:
|
姓名 |
聯系方式 |
職責 |
|
谷巖 |
|
負責網絡、應用系統正常運行技術支持、應急 |
|
徐中華 |
|
負責視頻會議技術支持、應急 |
|
董麗 |
|
廳門戶網站信息更新技術支持、應急 |
|
李勇 |
|
負責重點污染源自動監控系統信息更新技術支持 |
|
于娜 |
|
負責協調、通知各處室網絡和信息系統安全管理員 |
3、現場應急工作組
|
姓名 |
聯系方式 |
職責 |
|
王振濤 |
17743778940 |
負責網絡、應用系統正常運行技術支持、應急 |
|
姚杰 |
18247673676 |
負責應急、保障網絡安全 |
|
盧宇 |
15100260161 |
負責應急、保障網絡安全 |
二、工作安排
1、前期準備工作
網絡科負責在2021年6月底前對廳云計算中心關鍵基礎設施的硬件及策略進行核對,確保安全設備的穩定運行,具體如下:
(1)硬件巡檢
將對廳云計算中心關鍵基礎設施安全設備進行硬件巡檢,檢查安全設備的指示燈情況、接口情況、電源情況、CPU、內存、硬盤工作情況等,確保安全設備運行正常(詳見附件)。
(2)策略核對
通過開展風險評估的方式對廳云計算中心關鍵基礎設施安全設備的策略進行核對。
2、駐場安全保障工作
現場駐場運維人員在建黨100周年網絡安全保障期間,對我廳網站進行重點保障。
3、應急保障工作
當發現網絡安全事件發生時,在場人員或當事人必須在第一時間內報告到現場應急工作組,并提交網絡安全突發事件報告表。
現場應急工作組根據現場情況進行先期處理,同時向應急領導小組辦公室報告,報告內容包括信息來源、影響范圍、事件性質、事件發展趨勢和采取的措施等。
應急領導小組辦公室在接到事件報告后,可根據情況組織協調各成員單位及相關處室或人員進行應急處置。如需其他有關單位或部門進行協調應急處置的,需報經應急領導小組同意后方可實施。
應急領導小組在接到事件報告后,根據事態的發展情況做相應的指揮和協調工作,當發生超出我廳控制范圍內的重大網絡與網絡安全事件時,應上報上級有關部門,并向公安機關報案。
三、應急處置流程:
1、確認階段:
現場應急工作組可根據網絡安全事件發生的性質和特征,初步判斷網絡安全事件等級,確定應急處理方式。
2、現場應急處置階段:
現場應急工作組在保留好相關證據后,立即出具相關應急措施,抑制事件的影響進一步擴大,同時區分事件發生是否為環境安全事件與網絡信息安全事件兩種情況,根據這兩種情況把應急處置方法分為兩個流程。
流程一:當發生的事件為環境安全事件時,應根據當時的實際情況,在保障人身安全的前提下,首先保障數據的安全,然后是設備安全。具體方法包括:硬盤的拔出與保存,設備的斷電與拆卸、搬遷等。
流程二:當發生網絡(系統)及信息安全事件時,具體按以下順序進行,判斷網絡信息安全事件的來源與性質,斷開影響安全與穩定的相關設備或網絡物理連接設備,采取相關措施保留證據,跟蹤并鎖定網絡信息安全事件來源的IP或其他網絡用戶信息,修復被破壞的信息,恢復信息系統等。
如果以自身力量無法處理的事件,應及時上報應急領導小組辦公室協調或請求應急支撐單位進行應急支援。
3、預警預報階段:
網絡安全事件對我中心重點業務應用系統產生影響后,在采取技術措施解決的同時,應急領導小組辦公室要加強宣傳,公布危害性和解決辦法,及時向社會公眾告知,以避免產生經濟損失及法律糾紛等。
4、根除階段:
在事件被抑制之后,現場應急工作組對事件進行分析,找出事件根源,進行相應的補救并徹底清除網絡安全事件殘留的和潛在的威脅。
5、恢復和跟蹤階段:
在確保不會再次產生網絡安全事件后,由現場應急工作組和建設集成單位、應急技術支撐單位對系統進行清理系統、恢復數據、程序、服務等工作恢復其正常使用,同時對系統運行進行跟蹤記錄直至系統正常運行超過3個工作日以上。
6、總結上報階段
在網絡安全處理過程中處理負責人要做好完整過程記錄,事件處理結束后,由現場應急工作組及相關技術單位對網絡安全事件進行總結并提出相應的改進或整改方案和建議,同時進行歸檔和備案工作,需要上報的由應急領導小組審核后進行上報。
7、應急結束階段
由處置決策部門組織召開結束會議,決定應急結束,同時對相關負責人進行獎懲,部署下一步工作。
四、事件處理方案
1) 基于安恒云平臺安全事件:
暗鏈監測、黑頁監測、篡改監測、網頁掛碼、js挖礦腳本、webshell監測、外鏈監測等監測頻率每分鐘1次。
2) 當發現存在安全事件時,安全運維人員及時通過微信工作群和電話向領導小組報告和業務系統管理員的通知。
3) 系統管理人員應立即對該設備的進行分析,妥善保存有關記錄及日志或審計記錄。
4) 領導小組召開會議,如認為事態嚴重,則立即向網信辦和公安部門報告。
監控到外部IP攻擊廳云計算中心內網絡和信息系統,安全值守人員應進行如下操作:
1) 發現攻擊。通過安全設備監控到受到外部攻擊的信息,第一時間在防火墻上配置訪問控制策略,阻斷攻擊IP;
2) 驗證攻擊。結合安全設備日志,利用工具對驗證攻擊者方式的可行性;
3) 查找攻擊痕跡。登陸被攻擊的網絡和信息系統等關鍵基礎設施,查看日志,查找攻擊者留下的痕跡;
4) 處理攻擊事件。若被攻擊服務器確實已被攻擊者控制,可以臨時采取斷網(物理斷網或添加“路由黑洞”)。待服務器負責人或網絡安保技術人員處理;若服務器沒有發現入侵痕跡,則繼續加強監控。
1) 發現攻擊。通過安全設備檢測待有內部IP感染木馬或者病毒,第一時間在防火墻上配置訪問控制策略,阻斷攻擊IP;
2) 確定被感染者。聯系值班人員,查找被攻擊IP,確定被感染目標;
3) 清除病毒木馬。找到目標主機,登陸系統進行查殺;
4) 持續監控。繼續對該主機進行監控。
1) 發現攻擊。通過監控流量,發現有大量異常流量,并占滿出口帶寬。第一時間在防火墻上配置訪問控制策略,阻斷攻擊IP;
2) 處理事件。若攻擊為外部對內攻擊,則在防火墻上開啟抗DDOS攻擊策略,盡量緩解攻擊帶來的影響;若攻擊為內部對完攻擊,則阻斷攻擊主機的網絡(物理阻斷或添加路由黑洞),登陸主機查看日志,并協調系統開發人員進行處理。
1)發現攻擊。通過監控流量,發現有大量異常流量,并占滿出口帶寬。第一時間在防火墻上配置訪問控制策略,阻斷攻擊IP;
2)處理事件。追查非法信息來源,采取抓屏截圖、查看并保留系統日志、網絡審計、文件審計相關記錄等操作,保留相關證據后刪除非法信息,修改網頁內并做好必要記錄,并協調有關部門對非法篡改人員或發布非法言論軟件進行責任追究工作。
1)當發現有服務器內存占用較大,中挖礦病毒時,應用過微信工作群或電話立即向信息安全負責人報告,并通知網絡運維人員將該機器從網絡隔離開。
2)安全運維人員接到通知應立即通過微信或電話進行遠程協助處理。
3)安全運維人員應立即對該設備的進行分析,妥善保存有關記錄及日志或審計記錄。
4)業務系統管理人員負責清除工作,修補漏洞,強化安全措施后方可將被攻擊的服務器設備接入網絡。
5)領導小組召開會議,如認為事態嚴重,則立即向網信辦和公安部門報告。
1)基于安恒云平臺安全事件:
暗鏈監測、黑頁監測、篡改監測、網頁掛碼、js挖礦腳本、webshell監測、外鏈監測等監測頻率每分鐘1次。
2)當發現存在安全事件時,安全運維人員及時通過微信工作群和電話向領導小組報告和業務系統管理員的通知。
3)系統管理人員應立即對該設備的進行分析,妥善保存有關記錄及日志或審計記錄。
領導小組召開會議,如認為事態嚴重,則立即向網信辦和公安部門報告。
1)發現不可訪問。根據實際情況,迅速判斷故障節點,查明事故原因。
2)處理事件。如屬線路故障,檢查本地網絡接口地址是否可ping通,若能ping通,可判斷為外端線路故障,應通知線路運營商檢查線路;若不能ping通本地接口地址,則逐級檢查各個路由交換設備,確定故障位置,予以排除。如果兩個小時內無法修復的,應先行啟動備用網絡或搭建臨時網絡保證網絡通暢后再進行原線路的修復。
如屬路由器、交換機等主要網絡設備發生故障或損壞,應立即從指定位置將備用取出接上,并調試暢通,同時將故障設備進行維修或送修。沒有備用設備的立即想應急技術單位請求設備支援。
如屬服務器或應用系統故障,應立即啟用備用服務器,并聯系系統建設集成單位進行應用系統的安裝調試回復系統運行。
如屬于網絡攻擊事件,通過入侵檢測系統、網絡安全審計系統可以發現某些ip會頻繁(每分鐘超過100次)對網內ip進行訪問,當確定攻擊源是來自于內部用戶終端時,直接封鎖相應源設備。
隨時對恢復時間進行估測,當事件升級時按時間級別進行處置。
1)當接到電力故障報警后,應立即向相關部門進行詢問,盡可能的確定電力回復事件。
2)如確定為短時停電(60分鐘內)則需要對UPS運行狀態進行持續觀測,直至電力恢復。當不能確定電力恢復事件或電力恢復時間超過60分鐘,立即關閉廳環保云計算中心機房內除小型機和存儲外的設備,以減少負載演唱UPS供電時間,當UPS蓄電量低于5%時,關閉所有設備。
關閉設備順序及方法如下:
關閉服務器:在內外網KVM控制臺上按兩下Ctrl鍵,選擇相應的服務器(除P560a、P560b外)進入后,點擊開始,選擇關閉計算機。
關閉網絡設備:找到網絡設備的開關按鈕后,將開關按鈕撥至0位置進行關閉,沒有開關按鈕的直接將電源線拔掉。
關閉小型機和存儲設備:關閉小型機,關閉存儲設備。
(1)火災未直接發生在廳環保云計算中心機房
當事人應立即向相關部門報告,并通知現場應急工作組和相關人員。
判斷火情大小(在3分鐘內有能力自救的,可視為初級火情,火勢超出初級火情的程度或火勢雖小,但周圍有易燃易爆物品,可能引起爆炸和火勢蔓延的,應視為中繼以上火情),火情較小的使用滅火器進行撲救,爭取將火情消滅在初發期。如果火情已超出撲滅的能力范圍內,立即撥打119進行火警求救,現場應急工作組隨時根據火勢蔓延方向和現場情況判斷是否影響數據安全中心安全,如影響則立即采取如下措施:
a.關閉廳環保云計算中心機房的所有設備。
b.關閉廳環保云計算中心機房電力供應。
關閉方法:當設備全部關閉后,打開UPS主機面板,將UPS輸出閘門向下拉掉進行關閉;打開電池組(兩組)面板,將電池供電閘(兩個)向下拉掉進行關閉;將配電柜最上方市電輸入閘向下拉掉進行關閉。
c.將存儲和服務器的硬盤轉移出來,存儲和服務器硬盤取出方法:將硬盤托向上,搬起后向外拉出硬盤,人員和設備迅速轉移至安全場地。
(2)火災直接發生在廳環保云計算中心機房
發現火情但尚未出發氣體滅火裝置的,立即使用滅火器進行撲救,爭取將火情消滅在初發期。
已觸發氣體滅火裝置的,現場人員必須屏住呼吸在5秒內撤離現場,待火災被撲滅,室內氣體氣壓恢復正常后才可以進入數據中心進行處置工作。
(1)漏水點在設備區外或地板儲水
立即向相關部門通報,然后采取用盆在漏水點接水和用盆向外舀水等措施。
(2)漏水點在設備區內
立即切斷廳環保云計算中心機房的電力供應,通知相關部門,同時采取用盆在漏水點接水或用防水材料覆蓋設備等措施保護設備。
當遇到強烈雷雨天氣時,現場應急工作組工作人員必須密切關注數據中心避雷設施的工作狀態,一旦接到廳環保云計算中心機房避雷模塊被擊穿后,且雷雨天氣持續時,應立即切斷廳環保云計算中心機房的電力供應,防止因再次雷擊而引發設備損壞或火災。
當接到廳環保云計算中心機房高溫報警(溫度超過30°C)后,立即到達現場查看,如空調損壞且短時間內無法修復,采取開門保持通風、關閉服務器等措施減少熱量散發,防止溫度的持續上升,當溫度超過45°C時,應立即關閉所有設備。
附件:廳云計算中心機房安全隱患檢查
附件:
廳云計算中心機房安全隱患檢查
為了有效消除機房安全隱患,做到防患于未然,杜絕一切事故的發生,結合我中心的實際,信息中心主任、副主任帶領網絡科、維護機房技術人員對我廳云計算中心機房的各項安全隱患進行了認真細致的排查。主要排查以下幾個方面:
一、消防安全方面
1、消防安全責任制的落實情況:主要負責人、重點崗位消防安全責任制的建立和落實情況。
2、消防安全管理工作運行情況
消防安全防火檢查巡查、火災隱患整改工作運行情況、疏散和初期火災撲救預案的制定。
3、建筑消防設施滅火器材管理情況,室內外消火栓系統、防排煙設施和滅火系統等消防設施的設置、運行、維護情況;滅火器的配置和管理情況
4、消防安全疏散和火災施救撲救條件,建筑內疏散通道;疏散指示標志配置和完好情況;是否存在違法使用明火作業;是否存在鎖閉安全出口、堵塞疏散通道;消防安全標志設置是否符合要求;自動消防設施是否完好、特別是建筑外窗和安全出口鐵柵欄等影響疏散、逃生和火災施救的障礙物的清理;防火安全管理及值班制度是否落實等。
5、用火、用電、用油、用氣等管理情況
二、防雷、防電方面
1、防雷防電安全責任人落實情況:主要負責人、重點崗位消防安全責任制的建立和落實情況。
2、對機房的各電器設備地線是否接地進行排查,
3、對機房的各電氣設備的電源線插座進行老損排查
4、對機房的UPS電源,電源柜,的各項參數進行校準和檢查。
三、傳輸線路方面
1、線路傳輸安全責任人落實情況:主要負責人、重點崗位消防安全責任制的建立和落實情況。
2、對機房的傳輸線路的各連接設備、連接接口、連線、進行安全排查,對老化的線路連線接頭進行替換,以保證業務正常傳輸。
3、對線路進行明確的標識,做到清晰明了。
4、對地板下的防潮、防鼠、散熱等隱患進行仔細排查。
冀公網安備13010402001751號