資源描述:
《信息系統(tǒng)安全應(yīng)急預(yù)案》由會(huì)員上傳分享,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1、深圳市前海好彩金融服務(wù)有限公司信息系統(tǒng)安全應(yīng)急預(yù)案?一����、總則(一)編制目的公司網(wǎng)絡(luò)和信息安全涉及以設(shè)備為中心的信息安全,技術(shù)涵蓋網(wǎng)絡(luò)系統(tǒng)��、計(jì)算機(jī)操作系統(tǒng)���、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用軟件系統(tǒng)����;涉及計(jì)算機(jī)病毒的防范���、入侵的監(jiān)控����;涉及以用戶(包括內(nèi)部員工和外部相關(guān)機(jī)構(gòu)人員)為中心的安全管理�����,包括用戶的身份管理�、身份認(rèn)證、授權(quán)����、審計(jì)等�;涉及信息傳輸?shù)臋C(jī)密性����、完整性�、不可抵賴性等等。為切實(shí)加強(qiáng)我司網(wǎng)絡(luò)運(yùn)行安全與信息安全的防范����,做好應(yīng)對(duì)網(wǎng)絡(luò)與信息安全突發(fā)公共事件的應(yīng)急處理工作,進(jìn)一步提高預(yù)防和控制網(wǎng)絡(luò)和信息安全突發(fā)
2�����、事件的能力和水平�,昀大限度地減輕或消除網(wǎng)絡(luò)與信息安全突發(fā)事件的危害和影響,確保網(wǎng)絡(luò)運(yùn)行安全與信息安全�,結(jié)合公司工作實(shí)際,特制定本應(yīng)急預(yù)案�����。(二)編制依據(jù)根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》��、《信息安全3級(jí)評(píng)級(jí)方法》、GB/T20269-2006《信息安全技術(shù)信息系統(tǒng)安全管理要求》�����、GB/T20270-2006《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》�����、?GB/T20281-2006《信息安全技術(shù)防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法》��、GB/T19716-2005《信息技術(shù)信息安全管理使用規(guī)則》等有關(guān)
3�、法規(guī)、規(guī)定�����,制定本預(yù)案����。(三)本預(yù)案適用于深圳市前海好彩金融服務(wù)有限公司網(wǎng)絡(luò)與信息安全應(yīng)急處理工作。二����、應(yīng)急組織機(jī)構(gòu)及職責(zé)成立信息系統(tǒng)應(yīng)急處理領(lǐng)導(dǎo)小組,負(fù)責(zé)領(lǐng)導(dǎo)�、組織和協(xié)調(diào)全公司信息系統(tǒng)突發(fā)事件的應(yīng)急保障工作�����。(一)領(lǐng)導(dǎo)小組成員:組長(zhǎng):技術(shù)主管副組長(zhǎng):運(yùn)維經(jīng)理成員:開發(fā)部.運(yùn)維部.測(cè)試部.等部門負(fù)責(zé)人組成�����。應(yīng)急小組日常工作由公司技術(shù)部承擔(dān)�����,其他各相關(guān)部門積極配合。(二)領(lǐng)導(dǎo)小組職責(zé):制訂專項(xiàng)應(yīng)急預(yù)案����,負(fù)責(zé)定期組織演練,監(jiān)督檢查各部門在本預(yù)案中履行職責(zé)情況����。對(duì)發(fā)生事件啟動(dòng)應(yīng)急救援預(yù)案進(jìn)行決策,全面指
4����、揮應(yīng)急救援工作。三�����、工作原則(一)積極防御、綜合防范立足安全防護(hù)��,加強(qiáng)預(yù)警����,重點(diǎn)保護(hù)重要信息網(wǎng)絡(luò)和關(guān)系社會(huì)穩(wěn)定的重要信息系統(tǒng);從預(yù)防�����、監(jiān)控�、應(yīng)急處理、應(yīng)急保障和打擊不法行為等環(huán)節(jié)���,在管理�、技術(shù)�����、宣傳等方面��,采取多種措施�,充分發(fā)揮各方面的作用�����,構(gòu)筑網(wǎng)絡(luò)與信息安全保障體系(二)明確責(zé)任��、分級(jí)負(fù)責(zé)按照“誰主管誰負(fù)責(zé)”的原則����,分級(jí)分類建立和完善安全責(zé)任制度��、協(xié)調(diào)管理機(jī)制和聯(lián)動(dòng)工作機(jī)制����。加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)安全的宣傳和教育����,進(jìn)一步提高工作人員的信息安全意識(shí)。(三)落實(shí)措施�、確保安全7深圳市前海好彩金融服務(wù)有限
5、公司要對(duì)機(jī)房���、網(wǎng)絡(luò)設(shè)備���、服務(wù)器等設(shè)施定期開展安全檢查����,對(duì)發(fā)現(xiàn)安全漏洞和隱患的進(jìn)行及時(shí)整改����。(四)科學(xué)決策,快速反應(yīng)加強(qiáng)技術(shù)儲(chǔ)備�����,規(guī)范應(yīng)急處置措施和操作流程��,網(wǎng)絡(luò)與信息安全突發(fā)公共事件發(fā)生時(shí)���,要快速反應(yīng)��,及時(shí)獲取準(zhǔn)確信息�����,跟蹤研判����,及時(shí)報(bào)告,果斷決策�����,迅速處理�,昀大限度地減少危害和影響。四���、事件分類和風(fēng)險(xiǎn)程度分析(一)物理層的安全風(fēng)險(xiǎn)分析1����、系統(tǒng)環(huán)境安全風(fēng)險(xiǎn)(1)水災(zāi)�����、火災(zāi)�、雷電等災(zāi)害性故障引發(fā)的網(wǎng)絡(luò)中斷、系統(tǒng)癱瘓�����、數(shù)據(jù)被毀等�����;(2)因接地不良��、機(jī)房屏蔽性能差引起的靜電干擾或外界的電磁干擾使系統(tǒng)不能
6��、正常工作���;(3)機(jī)房電力設(shè)備和其它配套設(shè)備本身缺陷誘發(fā)信息系統(tǒng)故障�;(4)機(jī)房安全設(shè)施自動(dòng)化水平低��,不能有效監(jiān)控環(huán)境和信息系統(tǒng)工作���;(5)其它環(huán)境安全風(fēng)險(xiǎn)����。2���、物理設(shè)備的安全風(fēng)險(xiǎn)由于信息系統(tǒng)中大量地使用了網(wǎng)絡(luò)設(shè)備如交換機(jī)�、路由器等��,服務(wù)器���,移動(dòng)設(shè)備��,使得這些設(shè)備的自身安全性也會(huì)直接關(guān)系信息系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)���。例如�,路由設(shè)備存在路由信息泄漏�,交換機(jī)和路由器設(shè)備配置風(fēng)險(xiǎn)等。(二)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)1����、網(wǎng)絡(luò)體系結(jié)構(gòu)的安全風(fēng)險(xiǎn)網(wǎng)絡(luò)平臺(tái)是一切應(yīng)用系統(tǒng)建設(shè)的基礎(chǔ)平臺(tái),網(wǎng)絡(luò)體系結(jié)構(gòu)是否按照安全體系結(jié)構(gòu)和安全
7�����、機(jī)制進(jìn)行設(shè)計(jì)�,直接關(guān)系到網(wǎng)絡(luò)平臺(tái)的安全保障能力。公司的網(wǎng)絡(luò)是由多個(gè)局域網(wǎng)和廣域網(wǎng)組成��,網(wǎng)絡(luò)體系結(jié)構(gòu)比較復(fù)雜��。內(nèi)部應(yīng)用信息網(wǎng)����、Internet網(wǎng)之間是否進(jìn)行隔離及如何進(jìn)行隔離��,網(wǎng)段劃分是否合理,路由是否正確���,網(wǎng)絡(luò)的容量����、帶寬是否考慮客戶上網(wǎng)的峰值�,網(wǎng)絡(luò)設(shè)備有無冗余設(shè)計(jì)等都與安全風(fēng)險(xiǎn)密切相關(guān)。2����、網(wǎng)絡(luò)通信協(xié)議的安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)通信協(xié)議存在安全漏洞��,網(wǎng)絡(luò)黑客就能利用網(wǎng)絡(luò)設(shè)備和協(xié)議的安全漏洞進(jìn)行網(wǎng)絡(luò)攻擊和信息竊取��。例如未經(jīng)授權(quán)非法訪問內(nèi)部網(wǎng)絡(luò)和應(yīng)用系統(tǒng)��;對(duì)其進(jìn)行監(jiān)聽��,竊取用戶的口令密碼和通信密碼�����;對(duì)網(wǎng)絡(luò)的安
8�����、全漏洞進(jìn)行探測(cè)掃描;對(duì)通信線路和網(wǎng)絡(luò)設(shè)備實(shí)施拒絕服務(wù)攻擊�,造成線路擁塞和系統(tǒng)癱瘓。3�����、網(wǎng)絡(luò)操作系統(tǒng)的安全風(fēng)險(xiǎn)網(wǎng)絡(luò)操作系統(tǒng)����,不論是?IOS,Android��,還是?Windows�,都存在安全漏洞;一些重要的網(wǎng)絡(luò)設(shè)備��,如路由器���、交換機(jī)���、網(wǎng)關(guān),防火墻等����,由于操作系統(tǒng)存在安全漏洞,導(dǎo)致網(wǎng)絡(luò)設(shè)備的不安全���;有些網(wǎng)絡(luò)設(shè)備存在“后門”(backdoor)�����。(三)系統(tǒng)安全風(fēng)險(xiǎn)1�����、操作系統(tǒng)安全風(fēng)險(xiǎn)操作系統(tǒng)的安全性是系統(tǒng)安全管理的基礎(chǔ)�。數(shù)據(jù)庫(kù)服務(wù)器���、中間層服務(wù)器�����,以及各類業(yè)務(wù)和辦公客戶機(jī)等設(shè)備所使用的操作
