(一)信息安全事件分類
網(wǎng)絡(luò)與信息安全事件一般可以分為攻擊類、故障類和災(zāi)害類等,可能造成的后果是業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓、信息破壞等。根據(jù)專網(wǎng)的網(wǎng)絡(luò)與信息安全事件的發(fā)生原因、性質(zhì)和機(jī)理,網(wǎng)絡(luò)與信息安全事件主要分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、設(shè)備設(shè)施故障和災(zāi)害性事件五類:
1、有害程序事件分為計(jì)算機(jī)病毒事件、蠕蟲事件、特洛伊木馬、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。
2、網(wǎng)絡(luò)攻擊事件分為拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。
3、信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。
4、設(shè)備設(shè)施故障分為軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障。
5、災(zāi)害性事件是指自然災(zāi)害等其他突發(fā)事件導(dǎo)致的網(wǎng)絡(luò)和信息系統(tǒng)故障。
(二)信息安全事件分級(jí)
根據(jù)信息安全事件的分級(jí)考慮要素,并結(jié)合杭州的工作特點(diǎn),將信息安全事件劃分為四個(gè)級(jí)別:特別重大事件、重大事件、較大事件和一般事件。
1、特別重大事件,是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件,包括以下情況:全部或大部分主要信息系統(tǒng)癱瘓,造成本單位全部業(yè)務(wù)長(zhǎng)時(shí)間無法正常進(jìn)行;數(shù)據(jù)由于各種原因遭受特別嚴(yán)重?fù)p壞,導(dǎo)致核心數(shù)據(jù)無法恢復(fù);對(duì)公眾發(fā)布信息功能受到特別嚴(yán)重破壞,或者所發(fā)布信息被篡改,引起社會(huì)不良影響。
2、重大事件,是指能夠?qū)е聡?yán)重影響或破壞的信息安全事件,包括以下情況:核心業(yè)務(wù)信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失,導(dǎo)致業(yè)務(wù)工作在一段時(shí)間內(nèi)無法正常進(jìn)行;或核心業(yè)務(wù)信息系統(tǒng)的數(shù)據(jù)遭受嚴(yán)重?fù)p失,數(shù)據(jù)庫需要作恢復(fù)備份操作。
3、較大事件,是指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件,包括以下情況:核心業(yè)務(wù)信息系統(tǒng)局部遭受較嚴(yán)重的系統(tǒng)損失,但不影響整體業(yè)務(wù)正常開展;核心業(yè)務(wù)數(shù)據(jù)局部遭到嚴(yán)重破壞,但不影響整體數(shù)據(jù)質(zhì)量。
4、一般事件,是指能夠?qū)е螺^小影響或破壞的信息安全事件,包括以下情況:業(yè)務(wù)系統(tǒng)運(yùn)行維護(hù)過程中,出現(xiàn)的常見故障,能夠及時(shí)恢復(fù),損失在可控范圍內(nèi),不會(huì)影響業(yè)務(wù)數(shù)據(jù)的完整性和正確性。
(三)信息安全事件的通報(bào)
突發(fā)事件具有突發(fā)性、不可預(yù)測(cè)性和緊急性,信息系統(tǒng)及運(yùn)行環(huán)境遇突發(fā)事件時(shí)應(yīng)及時(shí)通報(bào),可通過IT服務(wù)臺(tái)、郵箱、電話、短信等通知形式,向突發(fā)事件領(lǐng)導(dǎo)小組及時(shí)通報(bào),提高突發(fā)事件的預(yù)警管理水平。
業(yè)務(wù)系統(tǒng)恢復(fù)正常后,皖南醫(yī)學(xué)院第二附屬醫(yī)院信息科負(fù)責(zé)通過IT服務(wù)臺(tái)公告、手機(jī)短信等方式通知突發(fā)事件領(lǐng)導(dǎo)小組及相關(guān)業(yè)務(wù)部門。
(四)信息安全事件的預(yù)防
必須積極貫徹預(yù)防為主、嚴(yán)格管理的原則,評(píng)價(jià)事件發(fā)生的潛在因素和可能程度;組織制定和監(jiān)督實(shí)施預(yù)防措施、操作規(guī)程或工作標(biāo)準(zhǔn);配置必要資源;開展教育培訓(xùn)、檢查、考核和整改活動(dòng),控制或消除可能導(dǎo)致事件發(fā)生的各種因素。預(yù)防措施應(yīng)下達(dá)至直接相關(guān)的層次和崗位。
信息科應(yīng)根據(jù)事件發(fā)生可能造成的危害、損失,組織制定不同級(jí)別的應(yīng)急預(yù)案,并對(duì)應(yīng)急預(yù)案的可靠性進(jìn)行評(píng)價(jià)。應(yīng)急預(yù)案應(yīng)當(dāng)受控和備案,并發(fā)放至直接相關(guān)層次和崗位,保存相關(guān)記錄。
應(yīng)急預(yù)案應(yīng)定期進(jìn)行演練和培訓(xùn),必要時(shí)組織修訂。
(五)信息安全事件的應(yīng)對(duì)
1、事件發(fā)生時(shí),皖南醫(yī)學(xué)院第二附屬醫(yī)院信息科應(yīng)立即啟動(dòng)應(yīng)急預(yù)案或采取有效措施,組織相關(guān)人員全力而有序地組織搶救搶修,防止事件擴(kuò)大,消除各種危險(xiǎn),盡快恢復(fù)系統(tǒng),將損失減到最低程度。
2、相關(guān)人員應(yīng)在事發(fā)或接到事發(fā)報(bào)告后盡快到達(dá)事發(fā)現(xiàn)場(chǎng),開展事件處理工作。發(fā)生重大信息安全事件,在迅速進(jìn)行應(yīng)急處理或者請(qǐng)求其他力量支援進(jìn)行應(yīng)急處理的同時(shí),盡可能保存好原始證據(jù),保護(hù)好現(xiàn)場(chǎng);如涉及違法犯罪的,還應(yīng)當(dāng)同時(shí)依法報(bào)告公安、安全等部門。
3、在應(yīng)急處理過程中,應(yīng)當(dāng)采取手工記錄、截屏、文件備份和影像設(shè)備記錄等多種手段,對(duì)應(yīng)急處理的步驟和結(jié)果進(jìn)行詳細(xì)記錄。
(六)信息安全事件的事后處理
對(duì)于信息安全事件,在故障排除或采取必要措施后,信息科應(yīng)做出事故評(píng)定報(bào)告,存檔備案。必要時(shí),可邀請(qǐng)托維護(hù)單位以外有能力的機(jī)構(gòu)做出技術(shù)鑒定;
信息科應(yīng)在事后了解事件發(fā)生經(jīng)過,收集相關(guān)資料,查明事件發(fā)生的原因、危害程度及造成的損失等情況,檢查預(yù)防和控制事件發(fā)生的措施以及事件發(fā)生后應(yīng)急預(yù)案是否得當(dāng)并得到落實(shí),確定事件的級(jí)別和性質(zhì),查明相關(guān)責(zé)任并提出處理建議,提出防止類似事件再次發(fā)生的措施和建議。
(七)信息安全事件的整改
信息科應(yīng)在事件調(diào)查結(jié)束后迅速組織制定和下達(dá)事件整改措施,明確措施內(nèi)容、完成期限和檢查方式,并監(jiān)督實(shí)施。在規(guī)定的期限內(nèi),完成相應(yīng)的整改工作,防止同類事件的再次發(fā)生。
(八)事件備案
事后應(yīng)當(dāng)及時(shí)登記存檔備案,對(duì)事件發(fā)生原因,造成損失,處理方法,解決時(shí)間,最終結(jié)果等相關(guān)信息詳細(xì)記錄。并為相關(guān)問題處理提出方案,防止事件再次發(fā)生。
(九)附表:《信息安全事件登記表》
Copyrights © 2018 版權(quán)所有:皖南醫(yī)學(xué)院第二附屬醫(yī)院 地址:安徽省蕪湖市康復(fù)路10號(hào)
備案號(hào):皖I(lǐng)CP備19000100號(hào)-1