网络安全应急响应服务范文
时间:2023-10-26 12:24:14
网络安全应急响应服务篇1
为了确保奥运期间网络系统安全稳定的运行,必须保证国内外参与2008奥运盛事的广大用户安全畅通的移动信息服务,所以移动运营商需要在已有安全体系的基础上引入专业的安全服务,来增强有关网络承载平台、数据业务系统、业务支撑系统等方面的安全风险控制能力,以保证能够持续不断地发现系统安全风险,选择适当控制措施及时进行纠正。
日常安全服务
日常安全服务主要在非奥运赛时进行,服务的内容主要包括安全预警服务、安全系统评估/抽查、安全加固、安全巡检等服务。重点关注是在检查奥运有关系统的安全性,修补信息安全的短板,降低出现安全问题的可能性,并对可预见的安全问题进行适当的演练。具体步骤如下:
首先要通过从专业安全服务组织获取安全预警信息,为奥运有关系统的运维人员提供最新的安全动态、技术和定制的安全信息。具体包括实时安全漏洞通知、定期安全通告汇总、临时安全解决方案等。同时将这些信息与建设的网络安全预警系统进行结合,实时反映网络运行的安全状况,分析监控过程中不正常的网络参数或者业务流量,并进行同步响应。
其次要通过对奥运有关系统进行安全风险评估,以准确掌握各个系统的安全风险状况,为安全防护体系的建设提供客观依据。为了降低安全评估可能给有关系统带来的影响,建议对涉及的主机系统、网络设备、安全设备采用安全专家手工检查的方式进行,而终端设备的数量众多,重要性相对较低,可采用工具自动扫描的方式进行安全检查。同时,可以考虑对奥运直接提供服务的奥运产品系统进行全面的评估,对奥运有关系统的承载和运行支撑平台进行抽查。
再次,在安全评估/抽查以后可以采用修改安全配置、添加安全策略、更新系统补丁、建立安全防护措施等方式,进行安全风险点的修补和加固,以促使奥运相关系统的安全风险级别降低到安全水平。
由专业安全服务组织协助进行安全巡检工作,一方面对网络中的主机系统、业务系统、数据库系统进行基本的安全检查,发现是否有启动异常服务、非法访问等情况存在;另一方面对安全设备如防火墙、入侵检测、防病毒、动态口令认证等安全系统进行定期安全检查,核查安全策略,以起到防微杜渐的作用。
奥运会期间安全驻点服务
经过在奥运开赛之前的充分准备,奥运有关网络系统的安全建设业已完成,已经形成了较为完善的安全管控体系。在奥运会期间最重要的就是依据既定的策略使业务系统安全、稳定地运行,而不适合再进行安全建设的施工操作,需要尽可能少的进行网络架构、主机系统、安全控制措施等方面的调整。
针对这个阶段的安全防护特点,适合引入专业的安全驻点服务。安全驻点服务在现场提供奥运会期间全网系统的安全职守,主要内容包括:奥运相关系统运行状态安全检查、第三方维护人员安全指导、安全检测系统日志分析(比如入侵检测系统)、安全优化需求分析和方案提供、安全事件处理等,同时协助处理日常安全工作,加快响应时间,保证业务质量。
在安全驻点服务中的重要工作还包括对紧急安全事件的响应,这方面在下面进行介绍。
应急响应服务
应急响应服务是在奥运有关网络出现紧急安全问题的时候,由专业安全服务组织提供有效的预案流程、技术手段等综合措施,对已发生或可能发生的有重大危害的网络与信息安全事件进行响应,以尽量降低可能造成的损失,并使业务尽快恢复正常运转。
经过对奥运有关网络系统分析,可能会出现的安全事件主要有:网络速度缓慢、堵塞,重要业务系统出现资源占用异常升高,业务应用系统出现异常,重要业务系统出现异常进程、非法访问、爆发病毒等,重要系统出现启动或关机异常、系统崩溃,重要业务系统数据被篡改等。
在出现上述安全事件的时候,可以通过应急响应服务对疑似安全事件进行准确判定,对确认的安全事件进行处理和清除,以尽快恢复业务系统的运行,分析和追踪攻击源。
应急响应服务的方式通常有远程响应和现场服务。建议在奥运赛事期间采用现场服务方式,现场方式不仅能第一时间对突发安全事件进行及时的处理,而且还能由应急响应的安全专家在现场协助分析安全状况。而在非奥运赛事期间,可以考虑采用远程响应方式,保证在出现安全事件的时候能及时得到专业应急响应服务支持。
网络安全应急响应服务篇2
突发公共事件按影响范围可分为部级、地区级、行业级和社区级。突发公共事件具有不确定性、突发性和破坏性等基本特征。随着信息化、工业化进程的不断推进和城市的数量及规模的迅速扩大,突发公共事件又表现出连动性、并发性和综合性等特点,从而显著地放大了破坏力,增加了应对的难度。建立健全突发公共事件的应急体系已成为一个世界性的课题,受到了各国政府的高度重视。网络和信息安全的策略制定经历了由“静”到“动”的转变,安全应急响应机制正是信息安全保护向动态转换的标志。直接推动此机制建立的是20世纪80年代末期发生在西方的两起重大信息安全事件。其一是“莫里斯蠕虫”入侵互联网。在短短12小时内,6200台工作站和小型机陷入瘫痪或半瘫痪状态,不计其数的数据和资料毁于一夜之间,造成一场损失近亿美元的大劫难。其二是美国和西德联手破获了前苏联收买西德大学生黑客,渗入欧美十余个国家的计算机,获取了大量敏感信息的计算机间谍案。因此,建立一种全新的安全防护及管理机制以应对日益严峻的网络安全状况成为共识。于是,1989年,世界上第一个计算机紧急响应小组——美国计算机紧急事件响应小组及其协调中心(简称CERT/CC)建立,由美国国防部资助,信息安全进入了以动态防护机制为主的时代。在互联网不断发展、虚拟社会逐渐成型的当下,政府进行治理模式的转型迫在眉睫,对国家网络安全应急体系的建设与完善提出了更高更新的要求。
二、中国网络安全应急体系存在的问题
(一)整体网络安全应急响应组织和应急体系不完备
中国网络安全应急体系主要分为网络基础设施、公共基础设施信息系统、网络内容管理应急几个部分,其应急管理部门是由国务院应急管理办公室、国家互联网信息管理办公室、工业和信息化部、公安部、国家保密局(机要局)、国家安全部、总参三部等部门共同组成,其应急响应分别由这些不同部门来指导、协调和督促管理,其中,国务院应急办只是在形式上对其他部门进行应急协调,没有统一的顶层领导体系,形成职责不清和应急响应不及时的格局,对于同时涉及跨网络、网络基础设施、公共基础设施信息系统、网络内容管理等方面的应急响应难以形成统一应对措施。地方网络安全应急部门机构的设置更是五花八门,有的地方设有专门的应急办,有的地方设在经信局、科技局、政府办、信息中心、公安局、安全厅等不同部门,没有统一的管理机构,从上到下的整体应急响应效率较差。
(二)网络安全风险形势研判能力不足
当前,网络信息安全态势处于一个新的形势之下,从信息技术发展的角度来说,随着物联网、云计算、大数据和移动互联网等新技术的大规模应用,业务与信息技术的融合程度不断提高,网络和信息安全的风险点不断增加;从信息安全威胁的角度来说,随着高级持续性威胁的案例层出不穷,攻击者已经从攻击信息系统本身,转向攻击其背后的业务目标和政治目标。网络安全应急作为网络信息安全风险应对的重要过程和方法,不同于其他常规行业应急,我们当前还是局限于传统的应急角度,没有将防御和应急救助结合起来,对中国各类信息系统的运行状态、网络攻击行为、网络攻击目的等方面的形势研判能力不足。对中国目前面临的网络和信息安全威胁缺少精准案例和证据,首先是数量不清,很多部门对有没有受到攻击不清楚,国家多大范围的网络和信息产业受到威胁不清楚;其次是问题不清楚,到底入侵渗透到什么程度不清楚,对于真正的攻击源头不清楚。
(三)重大网络安全应急预案不完备
在网络安全应急预案制定方面,国务院应急管理办公室已经制定涉及网络基础设施的国家通信保障应急预案,国家互联网信息管理办公室对于网络舆情的应急也有一定的预案,有些部门和地方也都不同程度制定了一些网络安全应急预案。不过,各地、各部门的工作不平衡,预案操作性较差,存在一些缺陷。对于涉及到国家安全、民生和经济等重大基础设施信息系统的安全应急没有整体完备的预案。
(四)网络安全应急响应措施缺乏
中国的网络安全技术装备市场大部分被国外公司占据,从网络设备到网络之上的软硬件设备,大多采用国外装备和技术,一旦发生涉及国家利益的突发事件,在国外技术装备被攻击的情况下,我们很难找到可替代的应急设备。例如,2014年4月8日微软停止了对WindowsXP的服务,据不完全统计,中国当前使用WindowsXP的用户占到70%-80%份额,这些用户有半数没有升级到更高操作系统的打算,针对这种情况,我们到目前还没有具体的应急措施。如果一旦出现更严重的国际争端甚至发生战争,我们受制于人的这些网络技术装备难以采取必要的应急措施。
(五)核心信息技术装备的自主化水平较低
网络信息安全与核心信息技术装备的自主化息息相关,核心信息技术装备的自主化是网络安全应急体系的战略性产业基础。目前,虽然中国的信息技术产业规模不断扩大,产业体系逐渐完善,但是整体来看,国产核心信息技术装备的市场占有率不高,与国外的技术差距也比较大。在市场占有率方面,国内浪潮、曙光、华为和联想等高性能服务器企业的整体市场占有率不足三分之一;虽有服务器和客户端相关的研发产品,但并未走向市场化。国内计算机、通信和消费电子等主要应用领域的芯片企业的市场占有率低。在技术差距方面,中国高性能计算机的关键元器件特别是中央处理器芯片目前仍依赖国外厂商,数据库的发展水平和成熟度与国际标准也存在较大差距。由于市场占有率、技术差距等因素,直接导致了中国自主可控的安全技术装备不足,存在数据泄漏风险和情报监控风险。目前,国外企业已广泛参与了中国所有大型网络项目的建设,涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等重要行业,长此以往,中国的社会、经济、军事等方面将存在严重的战略风险。有数据显示,中国主要金融机构的信息化设备国产化率不足2%,面向复杂业务处理的中高端服务器几乎全部采用了国外产品。如大中型主机、高端服务器产品基本上以IBM、HP、SUN为主,而这样的选择也直接导致了处理器、部件甚至操作系统和应用软件相互之间并不兼容,用户一旦采用某厂家的小型机后,就很难摆脱高额投资与服务追加的恶性循环,更为严重的是它直接导致了被境外控制的威胁,对设备带有的“漏洞”和“后门”抵抗力、免疫力减弱。不能预先检测到间谍软件和隐蔽通道,就无法有效遏制数据窃取。据统计,2013年前8个月,境外有2.2万个IP地址通过植入后门对中国境内4.6万个网络实施控制。中国关键信息系统对国外主机的长期依赖,使得信息安全不可控的问题日益突出。WindowsXP停止服务的事件也是冲击国内2亿用户的重要信息安全事件。对国外信息产品的严重依赖导致中国信息化建设的安全底数不清,国外垄断信息产品对中国而言是一个“黑盒子”,无法准确判断其安全隐患的严重程度。
三、加强中国网络安全应急体系建设的建议
(一)建设完备网络安全应急体系
网络安全应急体系关系国计民生,这个系统性的体系是否完备、运转是否得当,会对网络安全应急工作产生重大直接影响。因而,理顺网络安全应急机制、清晰地明确权责是统筹完善网络安全应急体系的首要工作。可以从两个层面进行顶层设计:一是成立网络安全应急中心,由中央网络安全和信息化领导小组直接领导。该中心作为中央政府应对特别重大突发公共事件的应急指挥机构,统一指导、协调和督促网络基础设施应急、公共基础设施信息系统应急、网络内容管理应急等网络安全应急工作,建立不同网络、系统、部门之间应急处理的联动机制。如果在短时间内难以实现,可以考虑另行成立相关的指挥协调机构,由中央网络安全和信息化领导小组领导,也可以在一定程度上发挥有效的作用。二是把仍然分散在各部门的网络安全应急管理职能适当加以整合。同时,根据突发公共事件分类的特点及管理的重点,从中央到地方统一网络安全应急管理机构。将不同业务部门所涉及到的不同类型的网络安全应急机制与系统有机地统筹、结合在一个子体系中,以提升网络安全应急体系与系统的应急指挥、协同部署的效率与效能。
(二)加快网络应急法制建设
当前,国家对于自然灾害类、事故灾难类、公共卫生事件类、社会安全事件类应急管理已制订了相关的法律法规和制度条例,来保障此类事件发生时的有效应急管理,而对于网络安全应急尚缺少相应的法律法规和制度条例。相关管理部门应该尽快出台有关业务流程和相关业务标准,进一步加强有关信息安全的标准规范、管理办法,并进一步细化相关配套措施。与此同时,全国立法机关也应该从战略全局的高度,尽量加快有关国家网络安全、网络安全应急体系与应急机制的相关法律法规的规划、制定工作,将网络应急工作全面纳入系统化的法制建设轨道中来。
(三)健全应急情报共享机制
任何应急响应的效果主要取决于两个环节。一是未雨绸缪,即在事件发生前的充分准备,包括风险评估、制定安全计划、安全意识的培训,以安全通告的方式进行的预警及各种防范措施等;二是亡羊补牢,即在事件发生后采取的措施,以期把事件造成的损失降到最低。在这里,措施的执行者可能是人,也可能是系统。这些措施包括:系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。可见,对相关信息的及时掌控是预警和采取科学性措施的关键,必须建立应急情报共享机制。通过可信的信息共享,实现网络安全信息情报的及时、有效沟通,能够为网络安全应急提供充足的预警、决策、反应时间。在条件允许的情况下,可以考虑由中央网络安全和信息化领导小组直接领导的网络安全应急中心负责协调关键基础设施拥有者和经营者,保障在业务连续性、危害管理、信息系统攻击、网络犯罪、保护关键场所免受破坏等方面的信息共享,并与中国情报分析相关部门建立密切联系,共享网络威胁情报,提高网络安全风险形势研判能力。要充分利用目前相关政府部门推进电子政务业务协同、信息共享这一有利契机,在做好顶层设计的前提下,积极推进社会各方在网络安全方面的共建、共享。建立有效的应急管理机构,保证政令畅通。建立完善的预警检测、通报机制,分析安全信息,警报信息和制订预警预案,做到有备无患。
(四)强化网络安全应急演练
应急预案最早始于军队,是将平时制定和执行决策的科学性、严谨性与战时的灵活性结合起来的一种有效形式。应急预案基于对潜在危险源可能导致的突发公共事件的预测,将应对的全过程进行全方位的合理规划,落实应对过程中预测、预警、报警、接警、处置、结束、善后和灾后重建等相关环节的责任部门和具体职责,是实现“反应及时、措施果断”的有效途径。由于应急预案是在平时研制的,时间上比较从容,因此可以采用科学的方法,并在较大的范围内征求意见、深入论证,从而提高其科学性、可行性、有效性。通过应急预案的研制,可以增强政府及有关部门的风险意识,加强对危险源的分析,研究和制定有针对性的防范措施;也有利于对应急资源的需求和现状进行系统评估与论证,提高应急资源的使用效率。基于网络安全的应急演练工作需要各有关单位根据各自的网络安全应急预案定期组织应急演练,网络安全应急中心应根据重大网络安全应急预案,定期组织网络基础营运部门、国家计算机网络应急技术处理协调中心(CNCERT/CC)、中国互联网络信息中心(CNNIC)和相关网络应急部门开展网络安全事件演练,以网络安全保障为场景,采用实战方式,通过演练有效检验各单位的网络安全应急工作水平,及时发现和改进存在的问题和不足,提高网络安全保障能力。可以考虑建立由网络基础运营部门、国家计算机网络应急技术处理协调中心(CNCERT/CC)、中国互联网络信息中心(CNNIC)和相关网络应急的一级部门以及涉及安全保密的科研机构、民族企业共同参与的“网络安全应急演练”联盟,在应急演练方面形成部级的权威标准,定期进行不同业务部门的网络安全应急演练与评测,以“应急演练”的方式促进网络安全应急工作的发展完善。
(五)加强人才队伍的建设和培训
网络属于高新技术领域,不断加强能力建设是有效提升网络安全应急管理的关键。要牢固树立人才是第一资源的观念,加快网络信息安全人才培养和队伍建设的步伐,建立健全合理的选人、用人机制和高效的人才培训机制,以及广泛的人才交流机制。要发挥科学研究部门和高等院校的优势,积极支持网络安全学科专业和培训机构建设,努力培养一支管理能力强、业务水平高、技术素质过硬的复合型人才队伍,为加强网络安全应急管理提供坚实的人才保障和智力支持。同时,要密切跟踪网络信息安全领域新技术、新应用的发展,加强相关技术特别是关键核心技术的攻关力度,着力开展新的网络框架下网络安全问题的研究,推动网络信息安全产业的发展,以有效应对网络信息安全面临的各种挑战。同时,应不断提高网络安全应急人才队伍素质,定期组织对网络安全应急人员的能力培训,强化和补充新的网络安全威胁知识,进一步加强对有关网络安全应急一线工作人员、科研人员的有关政治素养和技术业务培训。网络安全应急工作与互联网技术密切相关,新技术新思想的发展日新月异,相关领域一线的工作人员与科研人员只有不断地学习新知识、探索新问题、发现新矛盾、寻求新方法,才能有力地促进网络安全应急工作的不断发展;只有培养和储备足够的网络安全应急专业人才,我们的网络安全最后一道屏障才能得到保障。
(六)加速基础技术与相关标准的研究
与网络安全应急相关的业务部门、科研机构、民族企业等有关单位应进一步组织有关专家和科研力量,开展面向全局、着眼未来的网络安全应急运作机制、网络安全应急处理技术、网络安全预警和控制等研究,组织参加相关培训,推广和普及新的网络安全应急技术。在充分研究论证的基础上,尽快制定具有高度概括性与实际可操作性,又能在短时间内部署测试的,能够与不同地方、不同业务部门相适应的网络安全应急相关标准,建立包括技术标准、业务标准、流程标准、配套设施标准在内的网络安全应急标准体系。
(七)加快核心信息技术装备国产化逐步替代的步伐
为实现核心信息技术装备国产化逐步替代的良好局面,需要有短期和长期目标。在短期内,确保中国网络空间和数据信息运行的安全可靠;从长期看,要确保中国网络和信息的自主可控和网络空间的长治久安。为实现自主可控的长期目标,在信息技术产业自主创新方面肩负重大责任,事关国家信息安全的大事应该由国家来推动。在过去的几年中,政府在推动使用国产信息产品方面的力度很大,希望国家今后更加注重基础研究和核心产品的研发,有效汇聚国家重要资源,在影响产业发展的安全芯片、操作系统、应用软件、安全终端等核心技术和关键产品上加大科研资源和优势要素的投入,实现信息安全中关键技术和产品的技术突破。整合国家科研资源,通过多部委合作,加强安全芯片、安全操作系统、安全数据库等基础信息安全技术的攻关。促进上下游应用产品的开发,完善自主技术产品应用环境,提高相关技术产品的可用性。为实现安全可靠的短期目标,可依托高校、研究机构、民族企业和特定行业用户打造自主创新的大平台,加大核心信息技术的投入,在严格管理的同时相互搭桥,推动研究成果的转化速度。当今世界大项目的运作多采用“团队制”,信息安全技术攻关和成果向产品的转化应进行机制创新。为实现以上目标,需要从科技攻关、重点企业培育和政府采购等方面下大力气。一是调动各方积极性和主动性,依托核高基重大专项,及时跟踪新兴信息技术发展趋势,引入风险投资机制,建立广泛的政产学研用结合的创新体系;二是重点培育若干具有较强信息安全实力的企业,专门为政府、军队等提供整体架构设计和集成解决方案,形成解决部级信息安全问题的承包商;三是加快立法,促进政府采购自主产品工作有序开展。在一些涉及国计民生的信息枢纽和关键网络系统的采购中,禁止具有重大安全隐患的公司介入。军事国防、政府办公、海关、金融等重要的部门或行业在采购网络信息安全设备时,要坚持采用自主可控产品优先原则。
(八)开展网络安全应急多方合作
随着网络威胁的多样化、国际化、复杂化,近年来全球正面临着针对关键信息基础设施的网络攻击持续增长、针对网络的安全问题层出不穷的严重态势,尤其是“棱镜门”事件的发生,更是在更大的范围内对于全世界各国的网络安全问题敲响了警钟。为此,在国内应加强各部门、各行业的网络安全应急合作,共同应对网络风险。面对当前复杂多变的网络信息安全形势,政府应对紧急状态需要有社会各方的积极参与。没有社会力量的参与配合,政府将难以在应急响应、监测预警中起主导作用,无法履行其对网络社会危机管理的职责。在国际合作层面上,应以保证国家网络与信息安全为前提,进一步加强网络安全保障领域的国际交流与合作,建立畅通和可信的沟通渠道,开展联合处置行动,与世界各国共同维护和营造良好的网络环境,在维护全球网络社会持续、稳定、健康发展的工作方面作出更大的贡献。
网络安全应急响应服务篇3
(一)指导思想
以新时代中国特色社会主义思想和同志关于网络安全的重要讲话精神为指导,进一步强化管理,完善信息安全技术服务体系,提升网络安全防护能力。全面提高全局干部职工的网络与信息安全意识,建立完备的网络与信息安全保障体系。
(二)基本原则
1.规范管理,协调联动。健全网络安全组织管理体系,落实网络安全责任,明确网络安全职能,形成安全防范和监督管理协调机制。
2.自主防范,逐级负责。按照“谁主管谁负责,谁运营谁负责”的要求,严格落实网络与信息安全责任制和责任追究制,落实系统运行中使用机构、管理者和使用者的责任,明确网络与信息安全管理、技术、运维、应急等各工作环节的安全责任。
(三)总体目标
建立健全网络安全防控体系、网络信任体系,进一步完善网络安全管理、技术支撑和技术服务体系,配合做好应急响应体系和政策法规标准体系建设,为基础信息网络、重要信息系统和信息内容提供高效的安全防护。
二、重点任务
(一)加强网络安全保障,提高综合防范能力
1.信息系统安全保障。要加强安全管理制度建设,明确安全管理责任,配套相关技术防护措施。
2.信息内容安全保障。按照“上网信息不、信息不上网”的要求,对信息应当在信息系统中处理。要制定和督促落实各项保密措施,严防泄密事件的发生;要加大对各类信息内容的监管力度,确保信息采集、处理、更新和入库过程中安全可靠。同时保证信息内容的真实性、准确性和实效性。
(二)加快应急响应体系建设,增强应急保障能力
1.提高突发安全事件的应急处置能力。加强网络与信息安全事件的通报、汇总、研判、分析、报告和预警工作。加快应急处置与技术支撑服务队伍和网络安全员队伍建设,提高应对突发网络与信息安全事件的综合能力。
2.加强应用管理、备案与更新工作。要组织开展应急预案的编制、、备案和修订工作,保证应急预案体系的组织机构、事故预警、响应程序、应急保障、应急培训、预案管理等工作的系统性和完整性。建立完善信息系统安全台账,为处置网络与信息安全事件提供决策依据。
3.加强网络安全管理人员培训
建立人才培养机制,加强对领导干部、管理人员的网络安全培训,提高领导干部和管理人员的责任意识和管理水平。
三、保障措施
(一)加强协作配合
机关各处及直属单位要按照职责分工,认真落实各项工作任务,加强协调配合,形成合力,共同推进网络信息安全保障工作,提升安全防范能力。及时反馈网络安全管理中发现的新问题,加强沟通,妥善处置。
(二)加强宣传引导
网络安全应急响应服务篇4
1.总则
1.1目的
认真践行“与客户共创成功”的服务理念,努力实现“三个满意”,全面提升服务客户的能力,全力打造“中国烟草·__”商业服务品牌。
1.2编制依据
《__省局(公司)卷烟销售网络建设全面提升工作方案》。
1.3工作原则
预防为主,常备不懈;统一领导、分工负责;反应灵敏,实用高效;诚信守法,规范操作。
1.4适用范围
本市范围内发生的,对卷烟销售网络正常运行某一环节(订货、结算、分拣和送货工作)产生影响的突发性事件,以及零售客户突发性卷烟货源需求。突发性事件包括:网络运行硬件及软件故障、送货车辆故障,恶劣性天气变化等。突发性卷烟货源需求主要指婚丧嫁娶、集团消费等原因引发的客户临时补货。
2.组织指挥体系及职责
2.1应急组织机构与职责分工
2.1.1指挥机构:
成立__市烟草公司客户服务应急指挥领导小组:
组长:蒋银(局长、经理)
副组长:孙爱平(副经理)
成员:由营销中心、配送中心、信息中心、财务管理处、安保处、督察考评中心和各区域营销部主要负责人组成
因网络硬件及软件运行故障或重大恶劣性天气影响导致网络运行系统出现重大故障或瘫痪的,客户服务应急指挥领导小组要立即成立应急指挥部,由客户服务应急指挥领导小组组长、副组长分别担任总指挥、副总指挥,组长和副组长不在本市区域的,由组长或副组长根据突发性事件性质授权相关部门负责人担任临时总指挥,全权负责处理客户服务应急工作,尽快恢复网络系统正常运行。
因网络运行硬件及软件故障、送货车辆故障,恶劣性天气变化等影响局部工作正常运行的,由组长或副组长指示相关部门按照本预案规定限时进行处理。
对因婚丧嫁娶、集团消费等原因引发的客户临时补货或其他突发性客户卷烟货源需求,由营销中心及所属各营销部会同配送中心及所属送货中转站按本预案规定进行处理。
2.1.2职责分工
2.1.2.1客户服务应急指挥领导小组:
——负责《客户服务应急预案》的修订。
——组织协调人力、财力、物资,指挥处理重大客户服务应急工作。
——责令有关部门限期完成一般性客户服务应急工作。
——对贯彻落实《客户服务应急预案》的情况进行检查督促,并通报相关情况。
2.1.2.2信息中心:
——做好信息网络设备及软件系统日常维护,对网络运行的硬件设备及软件系统的正常运转负责。
——负责或协调联系软、硬件供应商排除设备及系统故障,保证网络的正常运行。
——负责对网络运行客户及销售数据的安全备份,以期达到在硬件设备及软件系统发生故障时,能根据需求迅速进行数据恢复。
2.1.2.3营销中心:
——及时向信息中心提报营销中心网络运行各环节部门(订单部、客户服务部、采供部)软、硬件系统运行过程中产生的故障,并配合信息中心及软、硬件系统供应服务商排除故障。
——按本预案规定,做好影响客户服务的突发事件发生后的货源分配、订货、结算等客户服务工作。
——按本预案规定,配合其他部门处理好客户应急服务工作。
2.1.2.4营销部:
——对网络运行的系统软、硬件故障自身无法排除的,可直接向信息中心提报。
——按本预案规定对客户的突发性货源需求进行处理。
——组织市场经理、客户经理落实“客户服务应急指挥领导小组”下达的对重大客户服务应急事件进行处理的指令。积极配合订单部、采供部和配送中心处理其他客户服务应急事项。
2.1.2.5配送中心:
——对仓储、分拣软件及设备故障及时提报有关部门联系排除和恢复。
——对送货车辆送货前或途中出现故障,按本预案规定进行处理,以确保卷烟送货工作不被延误或最大程度地减少延误时间。
——对突发性恶劣天气导致送货工作不能正常进行,按预案规定需要调整送货时间的,负责向相关部门提报配合工作事项。
——组织所属员工落实“客户服务应急指挥领导小组”下达的对重大客户服务应急事件进行处理的指令。积极配合相关部门处理其他客户服务应急事项。
2.1.2.6财务管理处:
——对电子结算发生故障和差错的,按预案规定联系协调工商银行迅速排除故障、纠正差错。
——组织所属员工落实“客户服务应急指挥领导小组”下达的对重大客户服务应急事件进行处理的指令。积极配合相关部门处理其他客户服务应急事项。
2.1.2.7安保处:
——发生的客户服务应急事件属于安全事故的,对安全责任事故按相关安全应急处置方案处理。安保处和事发单位(部门)负责人要及时赶赴现场处理。
——对系统内发生的其他安全事故,影响或可能影响卷烟销售网络正常运转和影响客户服务工作正常开展的,在启动安全事故应急处置预案时,要及时通报相关领导和部门负责人,启动客户服务应急预案。
——对重要场所和设备(如信息中心机房、单位配电室、卷烟仓库、专卖营销办公场所、送货车辆)定期或不定期进行重点安全检查,以确保支撑营销服务的基本资源(卷烟货源、信息技术、设备器具)处于良好状况。
2.1.2.8督察考评中心:
——根据本预案和“客户服务应急指挥领导小组”要求,对相关部门落实《客户服务应急预案》情况进行督察考评、通报情况并责令整改。
——搜集信息,组织客户服务应急处置工作情况的交流、经验 总结和推广。
3.客户服务突发性事件及应急处置方案
3.1网络运行软、硬件故障及处置
3.1.1数据机房、订单部由ups供电,当发生断电时,ups自动供电,保证使用5-6个小时。
3.1.2建立重要网络设备的重要数据及时备份和数据恢复机制,当网络设备损害或毁损时,重要数据能通过备份得以及时恢复。
3.1.3采取多层次的有害信息、恶意攻击防范与处理措施。具体计算机使用人员为第一层防线,发现有害信息保留原始数据后及时删除;信息中心为第二层防线,负责对所有网络进行监视及检查,发现问题及时解决。
3.1.4当网络线路发生故障,及时自检确定故障原因,通知电信部门、移动公司及时维护。
3.1.5当网络设备发生故障,及时通知维报单位及省公司,第一时间解决问题。
3.1.6卷烟营销业务系统数据采用本地冷备份方式,机房主机每天执行批处理后的备份数据当日必须送磁带库存储。
3.1.7卷烟营销业务系统程序文件分置两台小型机,采取双机热备方式,任一台机器出现宕机事故,不会影响系统的正常工作,由于机器系统故障导致业务系统无法工作则即由信息中心及时联系东软工程师一个工作日内解决问题。
3.1.8订单采集系统内外线模块预留相当数量有效插孔,如发生相关模块损坏,可以及时更换,如发生语音板无法使用,则由信息中心及时联系东软公司,在一个工作日内赶赴现场维修并提供备板使用。
3.1.9行业卷烟生产经营决策管理系统商品到货扫描平台采用双机采集、多机扫描,确保扫描客户端和手持扫描仪出现故障时有备机使用。
3.1.10做好计算机网络设备的防雷、防火,并定期检查。
3.1.11信息中心技术人员在工作日期间离开本单位办公场所,必须与本部门保持适时联系,以期在故障发生后,能及时赶赴现场处理、通过远程处理或联系服务商处理。
3.1.12当订货电话线路或电脑出现故障时,使用公司备用电脑(或其他办公场所电脑),故障电脑及时联系维修,保证订货工作的正常进行。
3.1.1(来源:文秘站 )3信息中心提供本部门负责人及各类技术人员、各类设备售后服务商、省局(公司)信息中心负责人及技术服务人员的联系电话,以保证客户服务紧急处置预案得到有效实施。
3.2恶劣性天气变化及处置
恶劣性天气主要是指由台风、暴雨、强降雪等不可抗力的影响致使无法正常为零售客户提供货源供应服务的自然状况。
3.2.1因台风、暴雨、强降雪等恶劣性天气引发全区重大灾害的,无法对大多数客户提供货源供应服务的,由“客户服务应急指挥领导小组”研究决定暂停、变更和恢复服务的时间、区域,并通过电视台、电台、手机平台向社会公告信息。
3.2.2因台风、暴雨、强降雪等恶劣性天气引发局部重大灾害的,无法对少部分客户提供货源供应服务的,由相关部门将情况及应急措施报“客户服务应急指挥领导小组”办公室研究决定暂停、变更和恢复服务的时间、地点,并通过客户经理电话逐户通知客户。
3.2.3因暴雨造成卷烟仓库严重进水的,按《暴雨造成烟草仓库严重进水时紧急处置方案》处置。
3.2.4在订货当天,因台风、暴雨、强降雪等恶劣性天气时影响,客户无法到银行存款的,对该部分客户可临时改为现金结算。
3.2.5因台风、暴雨、强降雪等恶劣性天气引发对部分区域客户无法提供货源供应服务的,一旦影响提供货源供应服务的状态消除,向该区域重点客户提供临时补货。
3.2.6配送中心及各区域中转站必须保证至少一辆送货服务应急(备用)车辆,并在工作日保持良好的运行状态。
3.2.7客户经理必须备有本区域客户的详细档案(电子或书面),并有安全备份,以便在实施应急措施时及时联系客户。
3.2.8营销中心及所属营销部、配送中心及所属中转站必须备有所属工作人员的全部通讯联系电话,以便相关应急措施得到及时落实。
3.2.9营销部、订单部、送货部、仓储部每日上网查询本地区三日内天气预报,向员工,对恶劣性天气要重点做好提醒工作。
3.3送货车辆故障及处置
3.3.1送货车辆在送货途中出现故障,送货(驾驶)员要立即通知部门负责人,说明送货车辆故障发生的详细地点,并随时保持通讯联系,配送中心要立即安排备用送货车辆迅速前往接替,恢复正常送货,并安排对故障车辆及时进行维修,保证送货通道安全畅通。
3.3.2全市备用送货车辆可统一调配使用,一个营销部送货区域内有多辆送货车辆同时发生故障的,本区域备用车辆不足以替补故障车送货的,可以调用最邻近的营销部备用送货车辆,故障车辆要及时送修。
3.3.3因发生交通事故,本单位没有替补故障车送货的,也可以根据市公司与有关部门统一签订的保险合同,向当地有关部门请求安排送货车(要说明请求的车辆类型)进行临时替补送货。
3.3.4送货车辆故障如是交通安全事故造成的,未造成人员伤亡的,要立即派人前往处理交通事故,尽快恢复对客户送货,如车辆损坏无法送货的,要同时安排替补车辆前往;如造成人员伤亡的,现场负责人员要立即组织抢救,并 请示领导决定调整送货时间。
3.3.5对上款后一种情形,原送货(驾驶)员无法参加送货的,熟悉线路的客户经理、稽查队员可作为替补临时引路或替补送货。
3.4突发性货源需求及处置
3.4.1突发性货源需求是指因消费者婚丧嫁娶、集团性消费等原因引发的客户临时补货需求。其特点是需求不稳定、一次性需求量较大、需求要求在较短时间内满足。
3.4.2因突发性货源需求涉及到的临时补货,只对守法、明码实价执行到位的客户,补货卷烟限用于一般性货源,紧俏烟及受控烟不予补货。
3.4.3不同性质的突发性货源需求按不同办法处理。
3.4.3.1因结婚、生日等喜事或大型会议引发的零售客户货源需求,有一定的计划性,可通过客户经理的市场信息搜集,填写《客户应急货源报批表》,报客户服务部主任或营销部副经理批准(不同职级设置数量权限),在该客户订货日纳入正常的电话订货,尽量减少因此类情况造成的非正常供货;特殊情况可由市场经理审核后报营销部副经理批准,作为临时补货。如是消费者提出的,由消费者申请,各区域营销部指定专人负责审批和办理,为消费者提供方便(按零售价格供应)。
3.4.4通过在市区、县城、乡镇的卷烟零售户中开展“诚信经营、明码实价”创建活动,培养一批守法、规范经营的忠诚客户,适当加大对其红白事用烟的供应力度,保持部分红白事用常用品牌卷烟(非紧俏烟)的库存量,满足特殊消费群体的需求,缓解供需矛盾。
3.5货源供需异常情况及处置
3.5.1货源供需异常情况是指货源供应不能满足市场需求或货源供应超出市场需求造成供需不平衡;以及在货源调拨过程中由于种种原因不能正常到货,造成临时性货源短缺。
3.5.2为了保证货源供需基本平衡,对出现的货源供需异常情况采取如下措施:
3.5.2.1建立和完善货源预警机制。因货源供应不能满足市场需求的情况,必须及时进行市场调研。如因卷烟总货源不能满足而造成的市场供应不足的,则应及时向省局(公司)提出增加商流计划的请示,补充货源满足市场供应;如因个别畅销品牌货源短缺造成市场供应不平衡,引起零售户意见较大的,则应及时对前期调运计划适当进行调整。因卷烟质量造成品牌滞销的,要及时联系厂方改善卷烟质量或调整卷烟计划。
3.5.2.2因在货源调拨过程中发生意外不能正常到货,造成临时性货源短缺,因不同情况采取不同措施。如工业企业延迟生产计划造成临时性货源短缺的,则应及时与工业企业驻地代表进行联系,催调货源,必要时营销中心可派专人到烟厂催调货源;如因送货车辆发生故障不能及时到货的情况,可及时与烟厂或我公司配送中心联系,安排替补车辆前往完成送货任务,及时满足货源供应。如某一品牌卷烟确实不能在规定发货周期到货的,则要及时联系相关厂方,增加该档次的替代品牌的发货数量。
3.5.3建立全国卷烟工业企业品牌档案,包括工业企业名称、地址,所生产的卷烟品牌、规格、价格、规模,品牌的发展前景及规划,以期更为充分地选择适应本地市场需求的品牌,确定品牌培育的中长期目标。
3.5.4建立与卷烟工业企业营销部门的日常沟通机制,搜集各卷烟工业企业营销机构通讯联系方式(营销主管和分管领导,营销部门负责人及相关人员,各区域负责人及业务员),以便在货源供需异常情况发生时,及时进行沟通和协调。
4.本预案的解释、修改权属“客户服务应急指挥领导小组”。
网络安全应急响应服务篇5
关键词: 网络信息系统;信息安全;措施;检测;方案设计
随着信息化的高速发展,信息安全已成为网络信息系统能否正常运行所必须面对的问题,它贯穿于网络信息系统的整个生命周期。安全检测是保障网络信息系统安全的重要手段,通过安全检测,我们可以提前发现系统漏洞,分析安全风险,及时采取安全措施。
1 物理安全措施和检测方法
物理安全是信息系统安全中的基础,如果无法保证实体设备的安全,就会使计算机设备遭到破坏或是被不法分子入侵,计算机系统中的物理安全,首先要采取有效的技术控制手段来控制接触计算机系统的人员,确保计算机系统物理环境的安全;其次要采取是设备标记、计算机设备维护以及机房防盗等安全措施,确保计算机设备的安全。另外,通信线路是网络信息系统正常运行的信息管道,物理安全还包括通信线路实体的安全。检测网络信息系统物理安全的主要方法是现场检查、方案审查以及调查问卷检查等。
2 网络安全措施及检测方法
网络的开放性带来了方便的可用性,但也使其更容易受到外界的攻击和威胁。入侵者可以利用系统中的安全漏洞,采用恶意程序来攻击网络,篡改、窃取网络信息,从而导致网络瘫痪、系统停止运行。在网络维护过程中,应采用合适的检测手段,采用严格的措施与网络攻防行为对抗,保障网络安全。检测方法可从下面三个角度考虑。
2.1 网络结构安全要求
网络信息系统为了保证内部网络拓扑信息不被非法获得,在不对性能造成影响的前提下,采用动态地址映射隔离内部网络;在网络信息系统内部采用使用加密设备以及划分VLAN的方法来防止非法窃听;采取监控、隔离的措施来保护重要的服务器。网络结构安全可以采取方案审查和现场检查的方法来检测网络信息系统网络结构是否合理,是否安全。
2.2 网络系统设备安全要求
网络系统的网络设备包括防火墙、入侵检测系统、以及安全评估系统等。1)防火墙。防火墙的抗攻击能力特别强,它是不同网络以及网络安全域信息交换的唯一出入口,在检测网络信息系统安全时,需检测防火墙功能是否正常,包括:网络数据包过滤功能、访问控制功能、网络访问行为功能以及安全审计、安全告警功能;2)路由器。路由器的检测主要包括对其管理功能的检测以及基本功能的检测,路由器是否具备路由加密功能、访问控制功能、审计数据生成功能以及身份鉴别等功能,是否只有授权的管理员才能对路由器进行管理;3)入侵检测系统。入侵检测系统可以它可以协助系统对付网络攻击,主动保护自己免受攻击,使信息安全基础的结构更加的完整。入侵检测系统的检测主要包括:实时监测网络上的数据流,分析处理和过滤生成的审计数据;联动功能和自动响应功能是否正常;身份认识功能是否合理有效,什么权限的授权人员才有资格设置入侵管理规则,才能查阅、统计、管理以及维护日志记录,其他人不能任意的更改或删除日志记录;4)病毒防范系统。病毒防范系统应保证以下功能正常运行:病毒防范功能、病毒特征库更新功能以及审计数据生成与管理。病毒防范系统安全检测包括:系统是否能控制病毒侵入途径,控制并阻断病毒在系统内传播;系统是否能在病毒侵入时应及时的隔离、清除病毒,在日志上详细记录病毒时间的发生及处理过程;病毒特征库是否定期更新,定期统计和分析病毒的相关日志记录,及时的对病毒防范策略进行调整;5)漏洞扫描仪。漏洞扫描仪可定期扫描系统,发现系统漏洞,防范于未然。系统漏洞信息具有双面性,维护人员尽早发现它可采取措施填补,不法份子也可利用它搞破坏。在检测网络信息系统的安全时,应考虑到系统安全设备中是否包括有安全漏洞扫描系统,只有授权人员才能对漏洞扫描器进行查阅、管理、统计、维护扫描报告,只有授权人员才能制定扫描规则,比如说定义攻击类型、标准服务类型以及IP地址,授权使用者要定期的更新扫描特征数据库,并及时的调整安全策略,更新反病毒数据库或设置更高的保护级别。6)安全审计系统。审计数据是系统根据设置的审计规则产生的,审计系统应具备审计查阅功能、选择性审计功能。只有授权人才有权查阅审计系统的日志记录;采取加密保护措施来确保日志的安全,任何人不得随意更改日志记录。
2.3 网络系统可用性要求
网络系统的可用性是网络信息系统安全要求的重要组成部分,保证网络系统安全的技术手段有:网络冗余、技术方案验证、网络管理和监控等方面。其中,网络冗余是解决网络故障的重要措施,备份重要的网络设备和网络线路,实时监控网络的运行状态,一旦网络出现故障或是信息流量突变可以及时的切换分配,确保网络的正常运行。我们应适当的采用网络监控系统、网络管理系统这些网络管理和监控手段,或是运用网络故障发现、网络异常报警等功能来确保网络运行的安全。
3 运行安全措施和检测方法
信息系统的安全与运行密不可分,网络信息系统的运行安全主要包括以下几个方面的内容:
3.1 备份与恢复
为了使数据保持一致和完整,需要对网络系统的数据进行备份,以此来确保整体网络系统数据的安全。备份和恢复的检测方案是:1)如果系统的硬件或存储媒体发生故障,使用系统自带的备份功能,进行单机备份,然后将数据存储到其他存储设备;2)使用经过认证的备份软件进行数据备份。在计算机信息系统中,系统应能提供定时的自动备份,备份的自动化,降低由维护员的操作带来的风险;在自动备份的过程中,如果出现异常情况,可自动报警;为了确保备份的实时性,应该进行事务跟踪;应该指派专人来负责备份和恢复;应按照数据等级对备份数据进行分级管理;使用的备份软件应该先经过认证再进行数据备份,并能够与操作系统兼容。3)在建立系统时要进行设备备份冗余备份。局域网内存在备份服务器,备份的数据保存在本地和异地;为了确保备份的高效性,要采用多个磁带机并行的方法共同执行的方法;采用RAID等技术,确保备份的容错性。
3.2 恶意代码
恶意代码是指没有作用却会带来危险的代码。恶意代码本身是程序,通过执行可能会利用网络信息系统的漏洞来攻击和破坏系统。处理恶意代码的类别有两种:1)系统应审查从非安全途径,比如网络、光盘等途径获取的文件的安全;一旦发现恶意代码,要及时的采取有效措施最大限度的清除恶意代码;2)系统应审查所有从外界获取的文件;在一定范围内建立防恶意代码体系,具有防恶意代码工具,在造成损失之前彻底清除恶意代码。
3.3 入侵检测
入侵检测可以实时保护和防范网络恶意攻击以及误操作,它能够提前拦截和响应系统的入侵。入侵检测应保证在线有效运行:1)可分析处理和过滤安全事件报警记录,全方位的反映系统的安全情况;2)支持用户根据系统安全需求定义用户规则模板;3)能实时监测系统活动,寻找敏感或可疑的系统活动;4)和防火墙机及其他网络设备联动,实施阻断连接。
3.4 应急响应
应急响应的目的是在发生紧急事件或是安全事件时,确保系统不中断或紧急恢复。应急响应方案应包括的措施有:1)能够在发生安全事件或是紧急事件时及时的做出影响分析,并组成应急小组,在法定时间内对发生的事件做出响应;2)具有完善的应急计划和多种切实可行的备选方案,要有由外地和本地专家组成的应急小组,在法定时间内对发生的事件做出响应。
3.5 系统维护
维护的目的是确保系统的正常运行,减少安全风险,不同信息系统的安全要求不同,其维护安全的要求也会不同,可以分这几种:一种是对所有系统进行一般性的检测和维护,这是几乎所有计算机信息系统都需注意到的问题。另一种是对特殊的设备进行特别维护,对特殊设备进行维护,要针对特殊设备自身的特点进行。无论是一般性的检测和维护,还是特殊设备的特殊维护,在维护过程中,都要考虑到可能造成数据的丢失的问题,并提出相应的解决方案,使系统具有完善的维护设备。
4 系统软件安全措施及检测方法
软件安全是网络信息安全应考虑的一部分。软件安全是指确保计算机软件的完整性以及不被破坏或是泄漏。软件的完整性指的是系统应用软件、数据库管理软件等相关资料的完整性,系统软件在保证网络系统正常运行中发挥着重要的作用。
4.1 系统软件安全检查与验收
定期检查软件,对软件进行有效管理,定期的检查是为了及时的发现安全隐患,针对存在的问题来适当的改进现行的软件,以保证软件的安全。
在正式对软件进行加载之前,应该先检测软件,确定软件和其他应用软件之间是否兼容,检测人员必须对检测结果的真实性、准确性负责,对检测软件的结果应做好完整的记录。
4.2 软件安全的检测方法
软件安全的检测方法有两种:双份比较法和软件安全设置支持系统法。双份比较法是指在计算机中安装两份软件,一份运行,一份备份,当运行的软件出现问题影响到系统的正常运行时,就运行备份软件。比较这两个软件,如果备份软件也在运行中出现问题,则说明该软件存在造成网络信息系统出现故障的隐患,面临着安全的威胁;如果备份软件在运行过程中是正常的,就将备份软件复制一份,再进行相同的检测。
5 应用安全措施及检测方法
网络信息系统的安全因素是动态变化的,其中,应用安全指的是解决用户在应用业务程序过程中的安全问题。应用系统的服务将网络用户连接起来,一般包括电子邮件服务、FTP服务、WWW服务、以及文件共享等应用,无论信息的传递,还是信息的共享,在检测网络信息系统的安全时,必须对网络和信息系统的安全性进行测试。
5.1 电子邮件服务
电子邮件服务安全可以借助病毒防火墙等工具,查杀和过滤病毒,过滤收发电子邮件中可能隐藏的对邮件客户端形成危害的恶意代码;安装电子邮件过滤工具,以有效防御拒绝服务攻击,比如说垃圾邮件或是电子邮件炸弹等;应使服务器只提供电子邮件服务,并安装电子邮件服务检测引擎。
5.2 FTP服务
FTP服务器的应采取的安全措施是:应该在FTP服务器中安装检测引擎;应该使用强鉴别机制来认证FTP的用户身份;应该使用安全工具来保护FIP会话;应加密FTP的数据传输;采取专机专用的形式;另外,对FTP服务器的访问要进行日志审计。
5.3 WWW服务
WWW服务是目前应用最广的一种基本互联网应用,WWW服务的安全措施包括服务器安全状态、服务器操作系统平台、服务器配置以及服务器软件等方面,在查找、检索、浏览及添加信息时,应使用网页防篡改工具来实时监测和刷新WWW服务器的内容。
参考文献:
[1]叶里莎,网络信息系统安全检测方案设计[D].四川大学,2004(9).
[2]王永刚,浅析网络信息系统技术安全与防范[J].科技创新与应用,2012(4).
[3]赵军勇,网络信息系统技术安全与防范[J].视听界,2011(8).
[4]李曼、台飞,网络信息系统技术安全与防范[J].科技风,2009(6).
[5]张茹冰,网络信息系统技术安全与防范[J].计算机光盘软件与应用,2012(2).
[6]宫兆斌,网络入侵检测技术研究与应用[J].大连海事大学,2010(5).
作者简介:
网络安全应急响应服务篇6
自然灾害、事故灾难等事件的发生,通常都不是单一事件,而是复合事件。这种复合事件的应急处理往往涉及到多个部门,需要由政府牵头进行统一协调、集中调配。以地震为例,地震往往造成道路瘫痪、人员伤亡。抢险救灾需要军队、医疗卫生、公安、消防、交通等多个部门协同作战,由政府统一调度,实现应急联动。另外,大型城市举办国际化赛事等活动也需要组委会、应急办、急救中心、公安、消防、交通等多个部门协同工作。这时只有建立起一个跨部门的横向通信系统,集中指挥,才能确保各项工作高效、有序的实施,这个横向通信就需要依托无线政务网实现。与此同时,在城市生活中,一旦突发事件发生,政府协调各个部门进行紧急响应和处置也是一个城市智慧管理能力的体现。
政务网构筑应急管理体系根基
政务网在国外被称为无线政务通讯网,国内简称为政务网,全称为“无线政务指挥调度通讯网”,意指在通讯行业建立起来的一套网络。这些网络重点为政府部门服务,为政府部门的管理提供强有力的的通讯保障。
无线政务网早在上世纪90年代就有模拟系统在中国应用,目前数字集群网已经覆盖北京、成都、上海、南宁等八个代表性的城市。经过多年的部署与应用,这些网络为当地政府指挥调度服务做出了卓越贡献。
提到政务网的日常功能,可谓涉及了城市日常管理的方方面面,这些都是政府所管辖的部门和涉及的行业。因为一旦发生突发事件,就需要去协调各方面的力量,来为政府的城市管理进行服务。虽然有些行业拥有自身的指挥调度网络,但是一旦发生大规模事件,需要政府在统一平台上指挥和调度,这样才能最高效率地完成各项抢险任务。从大型活动、赛事的组织协调、应急管理方面很好理解,无线政务网在横向通信系统,集中指挥等方面都有很好的表现。上海政务网就是我国无线政务网应用的一个典范,2010年上海世博会期间,上海无线政务网在维护世博会的安保与应急调度方面起到了关键的作用。作为全球首例被世博会使用的数字集群调度网,在长达六个月的服务周期,服务的受众超过七千万人,远超之前我国所有重大活动保障时长和服务人群规模。
除了对大型自然灾害与重要活动赛事起到保障和支撑外,在日常城市管理中,解决火灾等安全隐患,为日后的城市管理和应急提供非常便利的服务和通讯。另外,我们还可以看到现在各大城市的质检部门、卫生防疫部门都配上了政府统一的指挥调度手段,可以在大街上、各个商铺之间,通过无线调度来检测,发现问题,及时上报政府,第一时间把食品安全得到保障。这些都是为政府的指挥、调度和管理提供了手段。所以,城市的应急体系是政府管理的一个基础,建立在一个城市中心的无线管理网络,在应对各种事件的时候提供方便。
TETRA助力政务网“畅”行
2001年,在南宁市政府的领导下,摩托罗拉系统公司作为一个系统总集成商参与了我国第一个南宁政府应急联动中心的建设。作为第一个在城市应急管理和应急联动中最早在中国向各级政府推出“畅”概念的外资企业,摩托罗拉系统同时也最早在无线政务网的建设方面积极倡导,并提供了自己的技术支持。南宁应急联动中心的建设对于我国的应急处理等是非常好的探索和实践,得到了广泛的认同并引发了全社会讨论。可以说在中国的应急管理进程中成为了一个重要标志,得到了党和国家领导人的高度评价,两届中央领导同志都前往南宁参观并肯定,在国际上也得到了很好的反响。2007年联合国就曾为南宁市颁发了“人居奖”,颁奖词中讲到 “南宁市政府部署了中国第一套应急联动系统,建设了中国第一个应急联动中心,为整个城市和市民的安全提供了服务。”
这样一个里程碑式的系统,在二期建设的时候就从模拟系统升级到了800兆数字集群TETRA系统。与此同时,我国很多城市已经陆续开始建立了自己的数字集群系统,开创了TETRA无线政务网建设的新高潮。另一个代表性城市就是成都,成都市政府建立了一套TETRA成都系统网络,这套网络在汶川、雅安两次地震和多次重大活动中都发挥了很重要的作用。
据摩托罗拉系统(中国)有限公司业务拓展总监史晓东介绍,在无线政务网的建立过程中有很多的技术体制可选择,在这些技术体制中,每一个技术体制都有自己的侧重点,而TETRA在全球各大洲都在使用,是最被广泛接受的一种通信技术,而且不管是它的标准、产业还是产品都受到大家广泛的认同。
TETRA拥有如此广泛认可的原因有三:一、技术规范最全面,产业最成熟;二、最广泛地被公共安全用户所接受,同时也最广泛地被用户运用到其他的行业市场;三、它的标准在应急指挥通信领域最具先进性。可以说从任何一方面来说,TETRA都是最适合政府无线通信网建设需要的,尤其在中国。
无线政务网加快智慧城市脚步
在现今这个网络化的社会里,工业生产、日常生活都离不开网络的应用,从政府管理层面来说,高速网络的兴起及普及对正在规划建设的智慧城市将起到明显的推动作用。而智慧城市的核心就是通各类细分化的网络体系实现城市生活的安全、便捷、舒适。在这一过程中,网络的重要作用无可替代,众多的城市职能都需要高效的网络传输来实现。
为了满足人们对高速网络的需求,几年前已建成的3G网络比传统的2G网络有明显优势。 3G网络虽然在目前看来已是非常快的一种无线通信手段,但是在智慧城市的建设过程中,传输速率并不能满足用户日益增长的网络需求,所以4G专用网络应时而生。虽然我国是4G网络标准制定国之一,特别是在专用网络的发展与应用上还比较滞后,直到目前都没有一个正式网络投入商用的4G无线专网。在智慧城市建设及网络需求应用的双重刺激下,专网4G化的进程正在加快。
那么,即将到来的4G时代,也必将会对无线政务网的建设带来新的发展契机。目前,三大运营商已获得TD-LTE牌照,中国移动将专属经营TD-LTE 4G网络,而中国电信和中国联通未来或将随着FDD-LTE牌照的颁发,采用TD-LTE和FDD-LTE融合组网方式,完善网络质量和覆盖。随着4G商用进程加快,一个无处不在的商用高速移动网络正在织就。
专网宽带4G技术主要用于移动视频、大量数据的传输,而窄带TETRA数字集群技术主要用于语音调度和实时性短数据,它们的定位和业务目标是不同的。但政府应急管理部门在城市管理过程中既需要大话务量的指挥调度,又需要大数据量的视频来做支持。
所以,4G的到来对于TETRA数字集群技术的发展和演进有着重要的推动作用,这一点毋庸置疑。
网络安全应急响应服务篇7
关键词 应急响应;保障措施;网络安全;安全事件
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2014)15-0196-01
迄今为止,网络信息安全问题不断变更,给社会的发展带来了严重的影响,在经历了通讯安全、计算机安全、网络安全和内容安全四个过程后,重要网络基础设施及信息的保护已经受到国家的高度关注,并成为国家安全战略的重要组成部分,目前,网络信息安全问题备受人们关注,面对网络和系统日趋复杂,解决网络安全事件成为应急响应体系建设的重点工作。
1 应急响应的基本内容
当前,应急响应主要包括应急响应、信息安全事件和应急响应体系的总体架构三个方面的内容。
1)应急响应是指一个组织在各种安全事件发生前后所采取的准备工作及相应的紧急措施,应急响应主要是为了保护网络基础设施的安全性,降低网络的脆弱性和缩短网络攻击事件发生后对相关信息的破坏时间和恢复时间。
2)信息安全事件,即信息系统、服务或网络的某种不安全状态。而信息安全事件就是导致信息资产丢失或损坏的一种信息安全事故,且其损坏的发生具有一定的特殊性。当然,信息安全事件的发生也具有因果性、必然性、偶然性、规律性等特点,因此也就是说信息安全事件的发生是可以通过相应的措施进行相关事件的预防,而应急响应则是事件发生后减少损失的一个重要手段。
3)应急响应体系的总体架构,而应急响应体系由两个中心和两个组组合而成。而两个中心只要是指信息共享与分析中心和应急响应中心,其两个组则由应急管理组和专业应急组组成。其中,作为处于系统最高层的应急响应指挥协调中心,主要负责协调体系、维护信息共享与分析中心平台、管理协调各个应急响应组,并且也是系统联动的控制中心。而信息共享主要负责与组织进行信息共享和交换,它是整个架构的核心。应急响应中心包含了整个体系的核心任务,即信息安全事件的分类、预案管理及应急响应等。作为整个体系和联动运作的总协调机构应急管理组,其主要包括:技术研发与策略制定组和专家咨询组等。专业应急组直接对安全事件实施响应的联动措施。
2 应急响应体系的层次结构
对与应急响应体系的层次结构,主要是针对在具体的应急响应工作中,相关应急响应体系的层次结构对安全事件的处理,以此体现层次结构在应急响应体系中的作用,对此,基于动态对等网层次结构中的网络预警模型展开相应的研究。这里主要以DPOH模型为例,这种DPOH模型广泛分布于受保护网络中,由自治节点构建而成的层次化对等覆盖网体系。DPOH模型主要是提供底层的分布式协作和数据共享框架,从而使得各类异构防护设施能够接入到一个自适应的全局安全防护体系中,因此具有跨安全域的数据共享和相应的对等协作能力,为此,可以有效地执行协同检测和防护任务。
DPOH模型主要是为了保护规模较大的网络环境的安全而构建的,其重点是对恶意代码实施协同检测和防护而构建的。其包括层次化对等结构、数据分布式共享和动态自适应协作等
特点。
其层次化对等结构具有鲁棒性、可拓展性和可管理性优点。在DPOH模型中具有控制中心、任务协调中心和安全三类核心节点角色,然而三种角色又有各自不同的权限,自上而下形成控制中心群体和任务组两层对等覆盖网体系,使得层次化和对等有机结合在一起。
而对于数据分布式共享,DPOH模型将NIDS、防火墙安全网关等设施通过协议注册到相关的安全节点,将异构报警源生成的报警数据通过XML技术进行一致化处理,然后再由DHT分布式消息共享机制发到整个网络安全防护体系中。对此,DPOH模型还可以整合各类异构网络安全防护设施的数据资源,从而实现了安全报警消息的分析式存储和查询机制,并对分布式网络入侵和攻击行为进行关联分析和协调检测,从而明确入侵意图,为深层次信息提供了基本的支撑。
针对动态适应协作,DPOH模型提供了其机制的底层支持,主要体现在以下两点。
1)预警模型可以完全摆脱节点物理拓扑的约束对网络安全资源进行调整分配。
2)当安全节点处于模型底层,并由控制中心根据所需资源,然后动态地组织任务组覆盖网,在任务组只占必要的资源的同时实现多任务并行处理。
3 应急响应体系的联动
应急响应体系的联动包含技术防御层的联动、组织保障层的联动、响应实施层的联动和以事件为中心的层间联动。对此,应急响应体系的联动主要体现于各层内实体和层间实体的联动,若没有实体间的联动,其功能就无法进行发挥。所以,实体间的联动是十分重要的。而层级结构图越园,表明其实体间的联系就越紧密,其活跃度就更高。由外而内,区域逐渐变小,而其功能越来越复杂,各层间的联动活跃度也就越高。
对于无大规模的网络攻击或者网络战争的发生,其联动是最少的。在技术防御层中的六个实体间的联动是通过彼此间的因果关系传递的,而组织保障层中的四个实体间的联动在同种形式下是十分紧密的,其信息的传递可通过双向传递或者点与点直接传递,对于响应实施层内的六个功能在通常情况下实体联动可表现为一体。
4 结束语
在目前网络飞速的发展中,由于各种因素的影响所造成的网络漏洞较多,网络信息安全事件的发生给人们,尤其是事业单位造成了很大的困扰,而应急响应防御体系中的一道重要的防线,是网络信息安全的可靠保障。急响应体系的建立其工程十分复杂,应该为此加强安全措施的联动,并全面了解层次结构,才能解决主要的问题,才能进一步完善应急响应体系。保证各类信息的安全。
参考文献
[1]王瑞刚.网络与信息安全事件应急响应体系层次结构与联动研究[J].计算机应用与软件,2011,28(10):117-119.
[2]王茹.安全信息管理(SIM)风险管理的研究与实现[D].北京邮电大学,2010.
[3]胡文龙.蜜网的数据融合与关联分析的研究与实现[D].北京邮电大学,2009.
[4]蒲天银.基于灰色理论的网络安全态势感知模型[D].湖南大学,2009.
网络安全应急响应服务篇8
1月21日15时20分,全国各地的网友发现,我国境内大量互联网用户无法正常访问域名以“.com”、“.net”等结尾的网站,如每天都要登录的新浪、百度等,统统都“无法显示网页”。15时36分,@DNSpod(国内第一大DNS解析服务提供商和域名托管商,管理着超过270万域名)在微博通知,“国内所有通用顶级域的根出现异常”。而国家互联网应急中心在第一时间启动应急响应机制,协调组织部分技术支撑单位进行调查和应急处置,16时50分左右,用户访问基本恢复正常。
1月22日,国家互联网应急中心称,经过对已掌握的数据进行分析,初步判断此次事件是由于网络攻击导致我国境内互联网用户通过国际顶级域名服务解析时出现异常,攻击来源正在进一步调查中。
IP地址实际上就是一段数字,但不利于记忆,于是有了域名,让IP地址以另一种方式体现,由DNS(域名解析服务)将域名翻译成网络设备能听懂的IP地址,并指向最近的DNS服务器查询,若无结果会继续向上一级请求,由此一级一级直到全球13台根服务器。
DNS则相当于网络中的指路牌或地图导航,如果它出现故障,网络的访问请求就不能传输到正确的IP地址而无法访问网站。因此,在互联网世界中,只需要攻击专门管理“互联网门牌号”的机构DNS服务商,瞬间就能让大量网站的域名功能瘫痪。
而在此次事件中,很多DNS服务器都把包括在内的许多网站解析到了65.49.
2.178上。这个神秘IP地址又是什么来头?
经网络安全厂商测试,这一IP位于美国北卡罗莱纳州卡里镇Dynamic Internet Technology公司,这个IP上捆绑的网站不计其数。据环球时报报道,这家公司正是“自由门”翻墙软件的开发者。它的服务对象包括大纪元、美国之音、自由亚洲电台等,为中国的互联网用户提供被屏蔽网页的访问服务。
那么,这种捆绑会带来怎样的后果?有技术员给出了这样的解释:该事件在网络安全和黑客攻防里有个专业术语,叫DNS欺骗,65.49.2.178这个IP地址如果是黑客的电脑,他会模仿网银、淘宝做一个一模一样的网站,把你的账户和密码全部记录下来,意味着你访问的百度不是真正的百度,你看见的微博也不是真正的微博,你访问的网银、支付宝都可能已经被盗走。如果事件真变成这样,那可算是一场真正的网络浩劫。
据粗略估算,受此次事件影响的国内用户超过2亿,平均受影响的时间约在3小时左右。
互联网信息的传播本身并无国界,但它在实际的操作中是存在国别的。互联网的普及让有关国家都意识到,网络空间的信息战是全新的战场。但令人尴尬的是,中国的网络命运却掌握在他国手中。
全球共有13台根域名服务器。这13台根域名服务器中名字分别为“A”至“M”,其中10台设置在美国,另外各有一台设置于英国、瑞典和日本。
1个为主根服务器,放置在美国,其余12个均为辅根服务器。
所有根服务器均由美国政府授权的互联网域名与号码分配机构ICANN统一管理,负责全球互联网域名根服务器、域名体系和IP地址等的管理。
中国用户在访问带有.com等后缀的国外网站时,大多仍需要经过国外的域名服务器进行解析,中美海底光缆一旦发生断裂,便会发生解析问题,中国东部、太平洋西海岸地区,属于地震多发地带,再加上台风等环境因素影响,形势显得更加严峻。
飞象网总裁项立刚认为:“根服务器解析出问题,反映这样一个严峻又无奈的现实:互联网时代,世界的咽喉都在外国人手中,若有重大冲突,所有建立在互联网上的民航、铁路、金融、政府服务都可能崩溃。”
360网站安全专家董方则直接表示:“我国对根域名几乎没有掌控权。”
一位互联网资深专家解释说,美国控制了域名解析的根服务器,也就控制了相应的所有域名,如果美国不想让人访问某些域名,就可以屏蔽掉这些域名,使它们的IP地址无法解析出来,那么这些域名所指向的网站就相当于从互联网上消失了。比如,2004年4月,由于“.ly”域名瘫痪,导致利比亚从互联网上消失了3天。
美国及西方高科技企业对中国的渗透超乎想象,在它们面前,中国的信息安全几乎毫无秘密可言。中国国家互联网应急中心抽样监测显示,2011年有近5万个境外IP地址作为木马或僵尸网络控制服务器,参与控制了我国境内近890万台主机,其中有超过99.4%的被控主机,源头在美国。而仿冒我国境内银行网站站点的IP也有将近3/4来自美国。
这组数据也显示出中国网络安全的脆弱现状。中国的信息安全在以思科为代表的美国“金刚”(思科、IBM、Google、高通、英特尔、苹果、Oracle、微软)面前形同虚设。在绝大多数核心领域,这八家企业都占据了庞大的市场份额。一位在信息安全领域工作了20多年的专家称:“作为全球第二大经济体,中国几乎是赤身地站在已经武装到牙齿的美国‘金刚’面前。”
多位信息安全专家表示,在全球范围内,除美国在信息安全方面采用进攻型策略以外,其他国家都只能防守。而如何防范可能被体内的“獠牙”,国内相关部门应当拿出更多办法。
数据显示,全球有超过九成的网络战发端于美国。而网络设备正是网络战必备的武器。“对于一些国家来说,目标国的电力、铁路、民航系统成为入侵的重点目标。”有黑客表示说,“甚至造成基础设施系统完全瘫痪,这是有先例的”。
网络安全被称为“没有硝烟的战争”。目前,互联网已深度渗透到经济、政治、文化、社会等领域,成为事关国家安全的基础设施和斗争“阵地”。此次“1·21大断网”折射出我国看似繁荣的互联网背后的脆弱,也迫使我们警醒和思考。
此次“断网”事件中,多数根域名服务器在境外的以“.com”、“.net”结尾的网站受影响较大,而由中国互联网信息中心负责管理的“.cn”域名服务器在国内,没有受到任何影响。这是否意味着是域名解析故障出现在境外?网络安全专家、北京邮电大学教授李欲晓分析说,就目前的情况看,仍不能确切判断到底是国内还是境外的域名解析环节出现问题。但不能否认的是,根服务器分布在海外是存在风险的。
李欲晓认为,目前网络发展迅速,各国将共担网络利益和网络风险,我国需积极推动国际合作,力争建立起多方参与的国际网络安全协调机制,共同防范网络威胁。以本次“断网”为例,很多网站被解析到一个美国的IP地址,这说明该IP地址受到了污染,美国有责任采取应急处理措施,中美应合作查找原因。
另外,此次“断网”并不是我国第一次遭遇域名服务安全威胁。去年8月25日,国家“.cn”顶级域名系统曾遭受大规模攻击,一些用户无法正常访问“.cn”网站。有报告显示,我国大部分域名权威服务器安全指数较低。
业内人士认为,这与我国对域名系统安全重视不够有关。李欲晓等专家建议,我国应加强国家域名系统基础设施建设,尽快建立一套完善的DNS灾备系统,健全域名系统安全联动机制,提高对域名解析异常状况的应急处理能力。
国防大学教授许蔓舒指出,整体而言,我国信息安全自主可控的进展相对有限。目前,高端信息产品尚不能完全自主,特别是核心设备技术、整体解决方案、信息安全标准等严重依赖于国外厂商,国民经济重要部门有近70%的信息设备来自国外。
即便是自主产品,多数仍属“穿衣”模式,基本建立在以WINTEL(微软+英特尔的缩写)为代表的国外技术平台上,硬件主要通过对外采购产品或向外购买专利获得,仍然严重受制于人。
西方出口到我国的关键大型设备和工业控制软件中,秘密预设后门是不争的事实。所以,无论是开放的国际互联网,还是封闭的企业内联网,在现有技术框架下,利用硬件和软件中的后门或漏洞,西方国家一定程度上能够实现对我国信息系统的远程监控。
有业内专家表示,我们在网络空间里不可能当一辈子租客,必须在关键技术和重点防护手段上有所突破,构建自主可信的国家网络安全防护体系。即使掌握信息技术绝对优势的美国,近来也特别关注供应链安全。其中,美军提出,必须发展少量的绝对安全的计算机和通信系统,这样在履行重要的政府职能的关键活动时才可以得到某种保证。
专家建议,一方面,要抓紧建设保底工程。在关键信息的应用上,宁愿慢一点,性能稍差一点,也要分阶段地在关键领域完成国产化信息产品替代。另一方面,要加紧对物联网、云计算、量子通信和生物计算机等前沿尖端技术的自主开发和应用,使国家的网络安全获取可持续的技术支撑。
许蔓舒介绍说,从世界总体形势看,各国对网络空间安全越来越重视。在提高自身信息系统防御水平方面,多采取这样四条措施:一是成立部级的协调管理机构,二是加大投入,三是加强立法,授权和扩大执法部门的监管,四是不断更新技术手段。
此外,各国军队在维护网络安全中发挥的作用越来越大,有的甚至起着主体作用。联合国裁军机构报告称,世界上有46个国家建立了网络作战部队,100多个国家在发展网络战装备。近两年,周边国家如韩国、日本、印度以及朝鲜都开始有所动作。美国、英国、日本、以色列、法国则正式宣布开发进攻性武器,提高网络攻击能力。
许蔓舒表示,我国的网络与信息安全近年来虽已取得长足发展,但随着物联网、云计算和移动互联等新技术的应用,网络安全任务将更加繁重。不妨自问:我们的能源、金融、交通、电子等关键信息系统能否应对“网络导弹”?如果某个城市的基础设施信息系统受到网络攻击,我们的信息系统多长时间能够恢复?我们的军队又能否应国家的要求提供应急支援?从发展趋势看,未来陆、海、空、天每一个作战领域都将与网络联在一起,军队如何保持在这些空间的行动自由,或者说,如何保证关键行动的实施?