(一)信息安全事件分類
網(wǎng)絡(luò)與信息安全事件一般可以分為攻擊類�、故障類和災(zāi)害類等�,可能造成的后果是業(yè)務(wù)中斷�、系統(tǒng)宕機(jī)�、網(wǎng)絡(luò)癱瘓、信息破壞等��。根據(jù)專網(wǎng)的網(wǎng)絡(luò)與信息安全事件的發(fā)生原因�、性質(zhì)和機(jī)理,網(wǎng)絡(luò)與信息安全事件主要分為有害程序事件����、網(wǎng)絡(luò)攻擊事件����、信息破壞事件�、設(shè)備設(shè)施故障和災(zāi)害性事件五類:
1、有害程序事件分為計(jì)算機(jī)病毒事件��、蠕蟲事件��、特洛伊木馬��、僵尸網(wǎng)絡(luò)事件�、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件����。
2、網(wǎng)絡(luò)攻擊事件分為拒絕服務(wù)攻擊事件�、后門攻擊事件、漏洞攻擊事件�、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件��、干擾事件和其他網(wǎng)絡(luò)攻擊事件��。
3����、信息破壞事件分為信息篡改事件��、信息假冒事件�、信息泄露事件��、信息竊取事件�、信息丟失事件和其他信息破壞事件。
4����、設(shè)備設(shè)施故障分為軟硬件自身故障、外圍保障設(shè)施故障����、人為破壞事故和其他設(shè)備設(shè)施故障。
5����、災(zāi)害性事件是指自然災(zāi)害等其他突發(fā)事件導(dǎo)致的網(wǎng)絡(luò)和信息系統(tǒng)故障�。
(二)信息安全事件分級(jí)
根據(jù)信息安全事件的分級(jí)考慮要素,并結(jié)合杭州的工作特點(diǎn)����,將信息安全事件劃分為四個(gè)級(jí)別:特別重大事件����、重大事件��、較大事件和一般事件����。
1、特別重大事件��,是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件����,包括以下情況:全部或大部分主要信息系統(tǒng)癱瘓,造成本單位全部業(yè)務(wù)長(zhǎng)時(shí)間無法正常進(jìn)行����;數(shù)據(jù)由于各種原因遭受特別嚴(yán)重?fù)p壞,導(dǎo)致核心數(shù)據(jù)無法恢復(fù)����;對(duì)公眾發(fā)布信息功能受到特別嚴(yán)重破壞,或者所發(fā)布信息被篡改��,引起社會(huì)不良影響。
2����、重大事件,是指能夠?qū)е聡?yán)重影響或破壞的信息安全事件��,包括以下情況:核心業(yè)務(wù)信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失��,導(dǎo)致業(yè)務(wù)工作在一段時(shí)間內(nèi)無法正常進(jìn)行����;或核心業(yè)務(wù)信息系統(tǒng)的數(shù)據(jù)遭受嚴(yán)重?fù)p失,數(shù)據(jù)庫需要作恢復(fù)備份操作����。
3、較大事件�,是指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件,包括以下情況:核心業(yè)務(wù)信息系統(tǒng)局部遭受較嚴(yán)重的系統(tǒng)損失�,但不影響整體業(yè)務(wù)正常開展;核心業(yè)務(wù)數(shù)據(jù)局部遭到嚴(yán)重破壞��,但不影響整體數(shù)據(jù)質(zhì)量�。
4����、一般事件��,是指能夠?qū)е螺^小影響或破壞的信息安全事件����,包括以下情況:業(yè)務(wù)系統(tǒng)運(yùn)行維護(hù)過程中�,出現(xiàn)的常見故障,能夠及時(shí)恢復(fù)�,損失在可控范圍內(nèi),不會(huì)影響業(yè)務(wù)數(shù)據(jù)的完整性和正確性����。
(三)信息安全事件的通報(bào)
突發(fā)事件具有突發(fā)性、不可預(yù)測(cè)性和緊急性�,信息系統(tǒng)及運(yùn)行環(huán)境遇突發(fā)事件時(shí)應(yīng)及時(shí)通報(bào),可通過IT服務(wù)臺(tái)����、郵箱、電話����、短信等通知形式,向突發(fā)事件領(lǐng)導(dǎo)小組及時(shí)通報(bào)�,提高突發(fā)事件的預(yù)警管理水平。
業(yè)務(wù)系統(tǒng)恢復(fù)正常后,皖南醫(yī)學(xué)院第二附屬醫(yī)院信息科負(fù)責(zé)通過IT服務(wù)臺(tái)公告����、手機(jī)短信等方式通知突發(fā)事件領(lǐng)導(dǎo)小組及相關(guān)業(yè)務(wù)部門。
(四)信息安全事件的預(yù)防
必須積極貫徹預(yù)防為主����、嚴(yán)格管理的原則,評(píng)價(jià)事件發(fā)生的潛在因素和可能程度�;組織制定和監(jiān)督實(shí)施預(yù)防措施、操作規(guī)程或工作標(biāo)準(zhǔn)��;配置必要資源��;開展教育培訓(xùn)����、檢查、考核和整改活動(dòng)�,控制或消除可能導(dǎo)致事件發(fā)生的各種因素。預(yù)防措施應(yīng)下達(dá)至直接相關(guān)的層次和崗位����。
信息科應(yīng)根據(jù)事件發(fā)生可能造成的危害、損失��,組織制定不同級(jí)別的應(yīng)急預(yù)案,并對(duì)應(yīng)急預(yù)案的可靠性進(jìn)行評(píng)價(jià)�。應(yīng)急預(yù)案應(yīng)當(dāng)受控和備案��,并發(fā)放至直接相關(guān)層次和崗位�,保存相關(guān)記錄。
應(yīng)急預(yù)案應(yīng)定期進(jìn)行演練和培訓(xùn)����,必要時(shí)組織修訂。
(五)信息安全事件的應(yīng)對(duì)
1�、事件發(fā)生時(shí),皖南醫(yī)學(xué)院第二附屬醫(yī)院信息科應(yīng)立即啟動(dòng)應(yīng)急預(yù)案或采取有效措施�,組織相關(guān)人員全力而有序地組織搶救搶修,防止事件擴(kuò)大�,消除各種危險(xiǎn),盡快恢復(fù)系統(tǒng)�,將損失減到最低程度。
2��、相關(guān)人員應(yīng)在事發(fā)或接到事發(fā)報(bào)告后盡快到達(dá)事發(fā)現(xiàn)場(chǎng)����,開展事件處理工作。發(fā)生重大信息安全事件����,在迅速進(jìn)行應(yīng)急處理或者請(qǐng)求其他力量支援進(jìn)行應(yīng)急處理的同時(shí)�,盡可能保存好原始證據(jù)����,保護(hù)好現(xiàn)場(chǎng);如涉及違法犯罪的��,還應(yīng)當(dāng)同時(shí)依法報(bào)告公安��、安全等部門�。
3、在應(yīng)急處理過程中����,應(yīng)當(dāng)采取手工記錄、截屏��、文件備份和影像設(shè)備記錄等多種手段����,對(duì)應(yīng)急處理的步驟和結(jié)果進(jìn)行詳細(xì)記錄。
(六)信息安全事件的事后處理
對(duì)于信息安全事件����,在故障排除或采取必要措施后��,信息科應(yīng)做出事故評(píng)定報(bào)告����,存檔備案�。必要時(shí)����,可邀請(qǐng)托維護(hù)單位以外有能力的機(jī)構(gòu)做出技術(shù)鑒定;
信息科應(yīng)在事后了解事件發(fā)生經(jīng)過��,收集相關(guān)資料��,查明事件發(fā)生的原因��、危害程度及造成的損失等情況�,檢查預(yù)防和控制事件發(fā)生的措施以及事件發(fā)生后應(yīng)急預(yù)案是否得當(dāng)并得到落實(shí),確定事件的級(jí)別和性質(zhì)�,查明相關(guān)責(zé)任并提出處理建議,提出防止類似事件再次發(fā)生的措施和建議�。
(七)信息安全事件的整改
信息科應(yīng)在事件調(diào)查結(jié)束后迅速組織制定和下達(dá)事件整改措施,明確措施內(nèi)容�、完成期限和檢查方式,并監(jiān)督實(shí)施��。在規(guī)定的期限內(nèi),完成相應(yīng)的整改工作�,防止同類事件的再次發(fā)生。
(八)事件備案
事后應(yīng)當(dāng)及時(shí)登記存檔備案����,對(duì)事件發(fā)生原因,造成損失�,處理方法,解決時(shí)間��,最終結(jié)果等相關(guān)信息詳細(xì)記錄����。并為相關(guān)問題處理提出方案,防止事件再次發(fā)生�。
(九)附表:《信息安全事件登記表》
信息安全事件登記表
