信息安全应急响应体系的建立

任惠 石海松 辽宁红沿河核电有限公司

引言

信息化的高速发展和广泛应用，为企业办公和生产等各项业务的顺利开展提供了高效有力的支撑。同时，由于信息化带来的信息安全问题也日益增多，当遇到突发事件的时候，如果能做出及时应急响应，是非常必要的。因此构建有效的信息安全应急体系，是信息安全工作的重点内容之一。

1 应急组织的建立

一个高效的应急组织，在处理信息安全突发事件时，起着至关重要的作用。应急组织应包括：应急指挥部、应急响应队伍及相应的值班制度。

1.1 应急指挥机构

企业应建立信息安全应急响应指挥部，并由信息化的主要负责领导担任总指挥。全面负责企业信息安全事件的应急响应与处置的总协调。

为了应急指挥部的正常运行，还需要设置相应的秘书岗位或者助理岗位，比如：信息发布助理、技术支持助理等。其中，信息发布助理，负责应急指挥部跟各应急响应队伍的协调及应急响应过程中的信息发布与传达。技术支持助理，负责提供相应的问题解决支持及技术材料的收集。

1.2 应急响应队伍

应急响应队伍应抽调日常运维工作中比较精通信息安全各领域技术和业务的工作人员担任。在网络与信息安全事件发生情况下，按照应急指挥部的要求及时启动应急响应行动。根据信息安全事件的等级及影响程度，提供相应的应急解决方案，协助应急指挥部做出相应决策，快速解决信息安全问题，进行系统的恢复。

1.3 应急值班制度

应急值班人员应实施24 小时待命值班制度，每周实行交接接班。在值班期间应随时响应突发情况。若因特殊情况确定无法执行值班任务的，应该向应急指挥部请假，并找相应岗位的人员代替执行应急值班任务。

2 信息安全事件预警

在信息安全事件发生之前，可以对突发事件提前进行预防，并采取预防措施。这个阶段称为预警阶段。

按照突发事件发生的紧急程度、发展态势和可能造成的危害程度，可将信息系统安全预警分为特别重大预警、重大预警、较大预警和一般预警四级。

2.1 特别重大

外部出现严重不利于公司、行业的舆论，且已造成重大社会影响；国家或主管部门发布了严重的病毒或恶意程序的预警信息；外部出现严重的信息安全事件，可能会威胁企业自身信息安全。

2.2 重大

国家或主管部门发布了一般程度的病毒或恶意程序预警信息；核心系统短时间内（大于12 小时）预计无法恢复的。

2.3 较大

企业核心网络设备单机运行，且工作状态不稳定；重要业务系统单机运行，且工作状态不稳定；企业内部邮件系统、OA 办公自动化系统故障，且12 小时内无法恢复；

2.4 一般

局部网络不稳定；一般性系统运行不稳定；接到上级主管部门的信息安全事件一般性提醒；外部环境发生一般性信息安全威胁事件。

针对信息安全预警，应及时发布信息，关注事态发展，并采取预防措施，防止事件扩大可能产生的影响。

3 信息安全事件分类、分级及响应

3.1 信息安全事件的分类

网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。

（1）有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

（2）网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

（3）信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

（4）信息内容安全事件是指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。

（5）设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

（6）灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。

3.2 信息安全事件的分级

当事件发生时，则需要进行必要的应急响应。根据影响范围、重要程度和预计故障恢复时间，建议将信息安全事件分为特别重大（Ⅰ级）、重大（Ⅱ级）、较大（Ⅲ级）和一般（Ⅳ级）四级。

3.2.1 特别重大（Ⅰ级）

如果发生如下情况，可以将事件定义为特别重大：

企业外部网站被攻击或利用，已造成或有潜在不良政治和社会影响的事件；在企业网络上出现党和国家秘密信息的事件；在企业网络上出现恶意攻击中国共产党、国家领导人和国家机关信息的事件；恶意散布反动言论和谣言并造成重大政治和社会影响的事件。影响到企业生产安全，并已造成或有潜在社会影响的信息安全事件；

3.2.2 重大（Ⅱ级）

如果发生如下情况，可以将事件定义为重大：

在企业网络上出现恶意攻击企业主要领导人员和干扰企业正常经营秩序信息，导致影响干部职工队伍稳定等不良后果的事件；在企业网络上非受控的涉及企业内部不应公开的敏感信息；企业骨干网络瘫痪，丧失业务处理能力；企业核心系统故障，预计恢复时间t ≥24小时的事件。

3.2.3 较大（Ⅲ级）

如果发生如下情况，可以将事件定义为较大：

较重要的生产信息系统故障，预计恢复时间12 小时≤t ≤24 小时的事件；内部邮件系统、OA 系统等较重要的办公系统故障，出现事故后，影响公司运转及办公的时间，预计恢复时间t ≥24 小时。

3.2.4 一般（Ⅳ级）

如果发生如下情况，可以将事件定义为一般：

一般性的生产及办公系统出现故障；网络局部中断但不影响核心网络使用；业务系统中断，时间较短暂，或者只影响使用效率的信息安全事件。

3.3 信息安全应急响应

当启动信息安全预警以后，如果信息安全事件已经发生，并影响到企业自身，则进入应急响应状态。必要的时候，也可以不启动预警而直接进行应急响应。

按照事件的严重程度和影响范围，应急响应分别为特别重大（Ⅰ级）、重大（Ⅱ级）、较大（Ⅲ级）和一般（Ⅳ级）共四级。四个级别分别对应四级信息安全事件。

按照级别的不同，响应的组织级别也不同，可以分为外部支援、公司级响应、部门级响应以及专业内响应。不同级别的响应，应该有应急指挥部进行决策。

信息安全事件发生后，企业在做好先期处置的同时应立即组织研判，开展调查、收集、整理事件信息，保存证据，做好信息发布和通报工作。在应急响应过程中，应及时向信息安全主管部门报告信息安全事件及其隐患的处理情况。在事件处理过程中，如果发现事态严重，也可以提升响应级别，请求更多的技术支援。

信息安全事件应急响应的结束，应组织事态判断，并由上级主管部门或者企业应急指挥部决定应急响应结束。

4 信息安全应急培训及演练

为提高应急响应队伍的技能，应该开展必要的应急培训和演练。

信息安全应急培训包括基础知识培训、应急启动与响应培训、应急预案培训、处置方法培训及专项技能培训等。

按照国家等级保护制度的相关要求，对于重要信息系统应该每年开展一次信息安全应急演练。演练应该具备演习方案、演习模拟环境搭建、演习评估、演习总结等环节。通过演习不断提升响应能力。

5 结论

企业信息安全应急响应体系的建立决定了在突发事件中的处置能力。应急响应体系的建立，应结合实际业务特点，在日常运维中不断实践、逐步探索并完善提升。本文对企业信息安全应急体系的建设情况进行了全面的归纳总结。后续可以考虑将信息安全应急体系与生产安全应急体系相结合，统筹开展综合性的应急响应工作，为企业的突发事件应对能力提供有效的保障。