政治其它相關(guān)論文-淺談關(guān)于網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案的研究與實踐.doc

政治其它相關(guān)論文-淺談關(guān)于網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案的研究與實踐論文關(guān)鍵詞：應(yīng)急預(yù)案編制研究實踐論文摘要：網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案是有效應(yīng)對信息安全突發(fā)事件的關(guān)鍵。文章結(jié)合浙江地稅編制網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案的實踐，分析了預(yù)案編制中存在的問題和難點，以實用為目標，提出了預(yù)案編制的新思路。0引言網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案是信息安全突發(fā)事件應(yīng)對工作的基礎(chǔ)和關(guān)鍵。近年來，國家信息化主管部門編制了初成體系的網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案大綱，很多單位根據(jù)國家的有關(guān)要求，結(jié)合實際，紛紛著手編制各自的網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案。但完成編制后，應(yīng)急預(yù)案往往只是掛在墻上，鎖在抽屜里，而無法記在心里，在真正發(fā)生信息安全事件時，應(yīng)急預(yù)案卻不能發(fā)揮應(yīng)有的作用。1當前應(yīng)急預(yù)案普遍存在的問題11應(yīng)付型預(yù)案大量存在大部分單位編制的應(yīng)急預(yù)案基本上是對上級單位應(yīng)急預(yù)案的簡單拷貝。通常上級單位發(fā)布網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案以后，下級單位往往只簡單修改一下組織機構(gòu)人員名單等，依葫蘆畫瓢，沒有結(jié)合實際建立符合其工作實際的應(yīng)急預(yù)案，編制的應(yīng)急預(yù)案缺乏針對性。12缺乏完整性部分單位編制的應(yīng)急預(yù)案內(nèi)容過于簡單，飽滿度不夠。這些應(yīng)急預(yù)案往往只關(guān)注關(guān)鍵環(huán)節(jié)，而忽視其他環(huán)節(jié)。主要表現(xiàn)在只注重應(yīng)急處置環(huán)節(jié)的編寫，對于安全事件的報告、安全等級研判、決策指揮、信息發(fā)布及通報、應(yīng)急響應(yīng)報告、應(yīng)急預(yù)案演練等方面的內(nèi)容涉及太少，有些環(huán)節(jié)甚至不作任何描述。13缺乏實用性有些單位編制的應(yīng)急預(yù)案內(nèi)容較完善，要素較齊全，動輒幾十頁，甚至上百頁，但缺乏實用性。具體表現(xiàn)在：這些應(yīng)急預(yù)案過于注重環(huán)節(jié)到位，理論性太強，安全事件的定級、預(yù)案啟動、應(yīng)急處置等環(huán)節(jié)缺乏可操作性；沒有明確的流程，不注重應(yīng)急響應(yīng)的工作“流”；職責分工不明確，各相關(guān)應(yīng)急工作人員職責不清，無法迅速對照應(yīng)急預(yù)案定位其應(yīng)采取的措施；應(yīng)急預(yù)案包含組織機構(gòu)的工作人員，因人員工作崗位的變動需要頻繁調(diào)整預(yù)案，不利于應(yīng)急預(yù)案的相對穩(wěn)定。作為應(yīng)急處置人員，面對厚厚的預(yù)案，發(fā)生安全事件時，往往會手足無措，難以迅速到位并有效發(fā)揮作用。從某種程度上講，預(yù)案越厚、越復(fù)雜，實用性就越差。14重技術(shù)輕業(yè)務(wù)不少單位對網(wǎng)絡(luò)與信息安全應(yīng)急工作的認識不到位，在編制應(yīng)急預(yù)案時，往往只從技術(shù)角度考慮，而忽視了業(yè)務(wù)方面的內(nèi)容。實際上，應(yīng)急處置工作離不開具體業(yè)務(wù)。2應(yīng)急預(yù)案編制的難點21缺少直接參照的范本通過對當前國內(nèi)一些網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案的分析，我們發(fā)現(xiàn)編制全面、規(guī)范、可操作性強的應(yīng)急預(yù)案缺乏可直接參照的范本。因此，需要通過自身工作實踐，不斷進行摸索和研究，在實踐中不斷完善預(yù)案編制工作。22理論與實際如何完美結(jié)合對于一個好的應(yīng)急預(yù)案來說，理論體系全面、規(guī)范是基本的要求，而與實際工作緊密結(jié)合則是提高應(yīng)急預(yù)案可行性的關(guān)鍵，理論體系與實際工作是相互依存、相互促進的關(guān)系。編制應(yīng)急預(yù)案，既要保持安全事件報告、安全等級研判、決策指揮、信息發(fā)布及通報、應(yīng)急響應(yīng)報告、應(yīng)急預(yù)案演練等理論體系的完整性，又要保證能針對實際，提出符合工作需要、切實可行的應(yīng)急處置辦法，是有相當難度的。23難以兼顧全面性和實用性一般來說，編制應(yīng)急預(yù)案時，若考慮應(yīng)急預(yù)案體系的所有部分，力求全面、規(guī)范，則預(yù)案會過于復(fù)雜，最終導(dǎo)致實用性差；若只考慮實用性，則很難做到內(nèi)容全面。另外，應(yīng)急響應(yīng)工作會涉及到本單位高層領(lǐng)導(dǎo)、中層領(lǐng)導(dǎo)、專家顧問以及具體實施的工作人員等多層次的角色，不同角色在應(yīng)急過程中有不同的工作職責，預(yù)案很難既兼顧所有角色的職責又很實用。3編制實用、可操作應(yīng)急預(yù)案的思路31目標(1)符合國家對網(wǎng)絡(luò)與信息安全工作的要求，內(nèi)容全面、規(guī)范。(2)應(yīng)急預(yù)案的框架設(shè)計合理，對不同的應(yīng)急處置人員及系統(tǒng)，應(yīng)急預(yù)案都有相應(yīng)內(nèi)容。(3)從實際出發(fā)，詳略得當，有較強的實用性和可操作性。(4)應(yīng)急預(yù)案體系中的各部分內(nèi)容密切銜接、協(xié)調(diào)一致。32總體設(shè)想制定應(yīng)急預(yù)案，要避免對上級單位應(yīng)急預(yù)案的生搬硬套，應(yīng)結(jié)合實際，以國家制定的信息安全應(yīng)急預(yù)案體系理論為指導(dǎo)，以實際信息安全事件發(fā)生時各部門的職責為出發(fā)點，全面考慮業(yè)務(wù)部門和技術(shù)部門的職責，力求使應(yīng)急響應(yīng)人員能借助應(yīng)急預(yù)案迅速、準確地作出反應(yīng)。編制應(yīng)急預(yù)案，可分三個階段進行。首先，在目前條件下，以技術(shù)為主導(dǎo)，同時兼顧業(yè)務(wù)工作內(nèi)容，根據(jù)各單位的信息化工作實際，編制出規(guī)范、全面的綜合應(yīng)急預(yù)案；然后，結(jié)合單位信息化工作的實際，梳理并確定有哪些重要信息系統(tǒng)應(yīng)列入應(yīng)急預(yù)案考慮的體系；第三步，根據(jù)涵蓋這些重要信息系統(tǒng)的應(yīng)急工作要求，對綜合應(yīng)急預(yù)案進行細化、提煉，將其分成兩部分，一部分是面向管理層的應(yīng)急預(yù)案操作辦法，另一部分是面向具體應(yīng)急處置人員并針對重要信息系統(tǒng)應(yīng)急響應(yīng)工作的特定系統(tǒng)應(yīng)急預(yù)案，最終形成包括綜合應(yīng)急預(yù)案、應(yīng)急預(yù)案操作辦法和特定系統(tǒng)應(yīng)急預(yù)案等三個部分的應(yīng)急預(yù)案體系。33重點以實用為目標，理清各類應(yīng)急預(yù)案、應(yīng)急預(yù)案各環(huán)節(jié)的關(guān)系，明確組織機構(gòu)在各環(huán)節(jié)的應(yīng)急響應(yīng)職責，讓各類應(yīng)急響應(yīng)工作人員對自己該干什么一目了然。4浙江地稅網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案編制的實踐根據(jù)局領(lǐng)導(dǎo)提出的編制實用、可操作的應(yīng)急預(yù)案的要求，浙江省地方稅務(wù)局成立了網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案編寫小組。編寫小組經(jīng)過多次分析和討論，提出了編寫方案，經(jīng)全省地稅網(wǎng)絡(luò)與信息安全專題工作會議討論后著手編制工作。41總體框架如圖1所示，我們把應(yīng)急預(yù)案整體內(nèi)容分成兩大相對獨立的部分，虛線右邊是應(yīng)急預(yù)案的主體內(nèi)容，虛線左邊是具體的組織機構(gòu)。應(yīng)急預(yù)案的主體內(nèi)容又包括三塊：綜合應(yīng)急預(yù)案、應(yīng)急預(yù)案操作辦法和特定系統(tǒng)應(yīng)急預(yù)案。組織機構(gòu)原本是應(yīng)急預(yù)案不可或缺的重要組成部分，但為了便于應(yīng)急預(yù)案的執(zhí)行，避免人員崗位變動導(dǎo)致預(yù)案的頻繁調(diào)整，我們認為將其獨立出來更為合適。組織機構(gòu)包括網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組及其辦公室、網(wǎng)絡(luò)與信息安全專家組、信息上報及通報單位(主要指國家稅務(wù)總局、浙江省網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組等單位)，網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組辦公室下設(shè)綜合組、業(yè)務(wù)組、技術(shù)組。綜合應(yīng)急預(yù)案是面向整體的、全面的、綜合性應(yīng)急預(yù)案，著重闡述基本原則、應(yīng)急組織結(jié)構(gòu)、組織職責、應(yīng)急響應(yīng)的總體思路、應(yīng)急救援活動的組織協(xié)調(diào)等。它更多地體現(xiàn)應(yīng)急預(yù)案的規(guī)范性、全面性，是應(yīng)急預(yù)案操作辦法以及特定系統(tǒng)應(yīng)急預(yù)案的基礎(chǔ)，即使對某些未能預(yù)料的重大突發(fā)事件，也能起到基本的應(yīng)急指導(dǎo)作用。應(yīng)急預(yù)案操作辦法是綜合應(yīng)急預(yù)案的直觀化體現(xiàn)，是對綜合應(yīng)急預(yù)案的提煉。面向的對象主要是本單位高層領(lǐng)導(dǎo)和中層領(lǐng)導(dǎo)，側(cè)重于應(yīng)急處置的程序和整體性，確保迅速啟動預(yù)案，有效協(xié)調(diào)各方力量，使得應(yīng)急工作有條不紊。特定系統(tǒng)應(yīng)急預(yù)案是綜合應(yīng)急預(yù)案、應(yīng)急預(yù)案操作辦法的延伸和細化。面向的對象主要是具體實施的工作人員，側(cè)重于對各個信息系統(tǒng)應(yīng)急響應(yīng)作出周密而細致的安排，規(guī)范各崗位的應(yīng)急處置職責。應(yīng)急預(yù)案主體內(nèi)容的三部分之問密切銜接，環(huán)環(huán)相扣，必需保持協(xié)調(diào)一致，避免重復(fù)、矛盾。42綜合應(yīng)急預(yù)案編制綜合應(yīng)急預(yù)案應(yīng)根據(jù)國家有關(guān)應(yīng)急預(yù)案體系的要求，從工作原則、組織結(jié)構(gòu)及職責、事件等級劃分、處置流程、應(yīng)急保障、應(yīng)急的組織協(xié)調(diào)等因素進行全面考慮，科學有效地劃分事件等級，全面分析各種應(yīng)急過程，編制規(guī)范、全面的綜合預(yù)案。其中，網(wǎng)絡(luò)與信息安全事件的等級分級、應(yīng)急響應(yīng)流程是進行網(wǎng)絡(luò)與信息安全事件響應(yīng)工作的基礎(chǔ)，只有準確分級、流程清晰才能有效地應(yīng)對危機，因此，做好等級分級、應(yīng)急響應(yīng)流程的編制非常重要。421安全事件等級劃分4211劃分原則我們結(jié)合工作實際，經(jīng)過探索，認為進行有效、準確的安全事件等級劃分應(yīng)遵循以下原則：(1)可量化原則安全事件等級劃分的要素，應(yīng)著重考慮那些可以量化的要素，不可量化的因素只起輔助作用。(2)從高原則當安全事件等級難以判定具體級別、級別可上可下時，應(yīng)劃分為較高一級安全事件，避免安全事件等級劃分不準確而導(dǎo)致應(yīng)急措施不到位。(3)升級原則安全事件是動態(tài)變化的過程，在事件處置過程中，如事態(tài)和影響進一步擴大，且達到上一級標準的，應(yīng)及時根據(jù)具體情況作升級處理，保證有效應(yīng)對安全事件的變化。4212級別設(shè)計根據(jù)國家有關(guān)要求，三級和三級以上的網(wǎng)絡(luò)與信息安全事件才啟動應(yīng)急預(yù)案，但是，低級別安全事件的預(yù)防預(yù)警工作也非常重要。因為安全事件是動態(tài)變化的，隨著事態(tài)的發(fā)展，低級別安全事件隨時會演化為更高級別的安全事件，因此，在編寫應(yīng)急預(yù)案時，我們考慮了四級安全事件等級，把第四級視為重大網(wǎng)絡(luò)與信息安全事件的預(yù)警級。4213劃分標準根據(jù)浙江地稅信息化工作實際，我們著重考慮那些可以量化的要素，主要包括破壞程度、發(fā)生時期、影響時間等要素，比如數(shù)據(jù)丟失時間判斷標準，如表1所示。4-2_2安全事件應(yīng)急響應(yīng)流程圖4221設(shè)計原則應(yīng)急響應(yīng)時，為保證各類工作人員能迅速了解處置程序，定位其職責，需配以簡明扼要的流程圖。我們認為流程編寫應(yīng)遵循以下原則：(1)突出重點應(yīng)急響應(yīng)流程圖應(yīng)能清晰體現(xiàn)應(yīng)急響應(yīng)過程，但是只涉及報告處置、應(yīng)急處置、后期處置等環(huán)節(jié)的重要處理程序，對于那些不是實際應(yīng)急響應(yīng)工作過程中必經(jīng)的環(huán)節(jié)，比如應(yīng)急演練、應(yīng)急保障等，可以不在流程圖中體現(xiàn)，確保流程圖突出重點、直觀明了。(2)職責明確應(yīng)急響應(yīng)流程圖應(yīng)能明確體現(xiàn)網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組及其辦公室、應(yīng)急小組、專家小組等組織機構(gòu)在各環(huán)節(jié)、各處理過程的崗位責任，應(yīng)急響應(yīng)時，各類組織機構(gòu)對照流程圖就能對其主要職責一目了然。4222流程囤的設(shè)計我們以“職能流程圖”的形式來展現(xiàn)應(yīng)急響應(yīng)流程?！奥毮芰鞒虉D”從橫向展現(xiàn)應(yīng)急響應(yīng)的報告處置、應(yīng)急處置、后期處置等環(huán)節(jié)的重要處理程序，從縱向展現(xiàn)網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組及其辦公室、應(yīng)急小組、專家小組等組織機構(gòu)的職責，通過二維的表現(xiàn)形式使處理環(huán)節(jié)與組織機構(gòu)有機地成為一個整體，如圖2所示。43應(yīng)急預(yù)案操作辦法通過表、圖等形式對綜合應(yīng)急預(yù)案進行提煉和直觀化，只涉及安全事件等級劃分、安全事件應(yīng)急響應(yīng)流程圖、應(yīng)急響應(yīng)主要處置程序等三部分主要內(nèi)容，將應(yīng)急處置工作直觀展現(xiàn)給各相關(guān)職責的領(lǐng)導(dǎo)層人員，以便領(lǐng)導(dǎo)層人員能快速進入應(yīng)急狀態(tài)，并實施處置工作。安全事件等級劃分主要以表格形式對綜合應(yīng)急預(yù)案中的安全事件等級劃分部分進行提煉，如表2所示。安全事件應(yīng)急響應(yīng)流程圖引用綜合預(yù)案中流程圖部分，如圖2所示。應(yīng)急響應(yīng)的主要處置程序，以表格形式為主對綜合預(yù)案中的報告、先期處理、應(yīng)急處置、信息發(fā)布、應(yīng)急結(jié)束、后期處置等部分進行提煉，所表3所示。44特定系統(tǒng)應(yīng)急預(yù)案特定系統(tǒng)應(yīng)急預(yù)案通過表、圖等形式描述，以特定系統(tǒng)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)、安全事件應(yīng)急處置流程、特定系統(tǒng)主要應(yīng)急處置程序等三部分內(nèi)容為重點，力求流程簡明扼要、職責明確。通過規(guī)范各崗位的應(yīng)急處置職責，避免出現(xiàn)應(yīng)急工作的效果過分依賴于具體人員的情況。根據(jù)浙江地稅信息化工作實際，我們編制了因特網(wǎng)門戶網(wǎng)站、因特網(wǎng)辦稅服務(wù)系統(tǒng)、浙江地稅征管信息系統(tǒng)、廣域網(wǎng)、計算機機房等重要信息系統(tǒng)(或部位)的特定系統(tǒng)應(yīng)急預(yù)案。對于特定系統(tǒng)安全事件的應(yīng)急處置，通過流程圖著重說明特定系統(tǒng)可能出現(xiàn)的問題分類、主要處理程序，不涉及某一具體技術(shù)細節(jié)。以因特網(wǎng)辦稅服務(wù)系統(tǒng)為例，其應(yīng)急處置流程如圖3所示。關(guān)于特定