(一)信息安全事件分類
網絡與信息安全事件一般可以分為攻擊類、故障類和災害類等,可能造成的后果是業(yè)務中斷、系統(tǒng)宕機���、網絡癱瘓����、信息破壞等�。根據專網的網絡與信息安全事件的發(fā)生原因、性質和機理�����,網絡與信息安全事件主要分為有害程序事件�����、網絡攻擊事件����、信息破壞事件����、設備設施故障和災害性事件五類:
1、有害程序事件分為計算機病毒事件��、蠕蟲事件��、特洛伊木馬、僵尸網絡事件���、混合程序攻擊事件��、網頁內嵌惡意代碼事件和其他有害程序事件�。
2����、網絡攻擊事件分為拒絕服務攻擊事件、后門攻擊事件�����、漏洞攻擊事件����、網絡掃描竊聽事件、網絡釣魚事件�、干擾事件和其他網絡攻擊事件。
3��、信息破壞事件分為信息篡改事件����、信息假冒事件�����、信息泄露事件����、信息竊取事件��、信息丟失事件和其他信息破壞事件����。
4、設備設施故障分為軟硬件自身故障�、外圍保障設施故障、人為破壞事故和其他設備設施故障�����。
5�、災害性事件是指自然災害等其他突發(fā)事件導致的網絡和信息系統(tǒng)故障。
(二)信息安全事件分級
根據信息安全事件的分級考慮要素����,并結合杭州的工作特點�,將信息安全事件劃分為四個級別:特別重大事件����、重大事件�����、較大事件和一般事件�����。
1����、特別重大事件,是指能夠導致特別嚴重影響或破壞的信息安全事件��,包括以下情況:全部或大部分主要信息系統(tǒng)癱瘓�,造成本單位全部業(yè)務長時間無法正常進行;數據由于各種原因遭受特別嚴重損壞�����,導致核心數據無法恢復�����;對公眾發(fā)布信息功能受到特別嚴重破壞,或者所發(fā)布信息被篡改����,引起社會不良影響。
2�、重大事件,是指能夠導致嚴重影響或破壞的信息安全事件�,包括以下情況:核心業(yè)務信息系統(tǒng)遭受嚴重的系統(tǒng)損失,導致業(yè)務工作在一段時間內無法正常進行��;或核心業(yè)務信息系統(tǒng)的數據遭受嚴重損失���,數據庫需要作恢復備份操作�����。
3����、較大事件�,是指能夠導致較嚴重影響或破壞的信息安全事件,包括以下情況:核心業(yè)務信息系統(tǒng)局部遭受較嚴重的系統(tǒng)損失����,但不影響整體業(yè)務正常開展;核心業(yè)務數據局部遭到嚴重破壞����,但不影響整體數據質量。
4��、一般事件��,是指能夠導致較小影響或破壞的信息安全事件�,包括以下情況:業(yè)務系統(tǒng)運行維護過程中,出現(xiàn)的常見故障���,能夠及時恢復����,損失在可控范圍內�����,不會影響業(yè)務數據的完整性和正確性����。
(三)信息安全事件的通報
突發(fā)事件具有突發(fā)性���、不可預測性和緊急性,信息系統(tǒng)及運行環(huán)境遇突發(fā)事件時應及時通報���,可通過IT服務臺����、郵箱��、電話���、短信等通知形式��,向突發(fā)事件領導小組及時通報���,提高突發(fā)事件的預警管理水平。
業(yè)務系統(tǒng)恢復正常后���,皖南醫(yī)學院第二附屬醫(yī)院信息科負責通過IT服務臺公告��、手機短信等方式通知突發(fā)事件領導小組及相關業(yè)務部門�。
(四)信息安全事件的預防
必須積極貫徹預防為主���、嚴格管理的原則�,評價事件發(fā)生的潛在因素和可能程度;組織制定和監(jiān)督實施預防措施�、操作規(guī)程或工作標準;配置必要資源�����;開展教育培訓�����、檢查����、考核和整改活動��,控制或消除可能導致事件發(fā)生的各種因素�����。預防措施應下達至直接相關的層次和崗位�����。
信息科應根據事件發(fā)生可能造成的危害、損失�����,組織制定不同級別的應急預案���,并對應急預案的可靠性進行評價���。應急預案應當受控和備案,并發(fā)放至直接相關層次和崗位�,保存相關記錄。
應急預案應定期進行演練和培訓�,必要時組織修訂。
(五)信息安全事件的應對
1����、事件發(fā)生時,皖南醫(yī)學院第二附屬醫(yī)院信息科應立即啟動應急預案或采取有效措施�,組織相關人員全力而有序地組織搶救搶修,防止事件擴大���,消除各種危險�,盡快恢復系統(tǒng)����,將損失減到最低程度�。
2����、相關人員應在事發(fā)或接到事發(fā)報告后盡快到達事發(fā)現(xiàn)場,開展事件處理工作�。發(fā)生重大信息安全事件,在迅速進行應急處理或者請求其他力量支援進行應急處理的同時���,盡可能保存好原始證據,保護好現(xiàn)場�����;如涉及違法犯罪的����,還應當同時依法報告公安、安全等部門���。
3�、在應急處理過程中����,應當采取手工記錄���、截屏、文件備份和影像設備記錄等多種手段�����,對應急處理的步驟和結果進行詳細記錄����。
(六)信息安全事件的事后處理
對于信息安全事件,在故障排除或采取必要措施后�,信息科應做出事故評定報告,存檔備案���。必要時��,可邀請托維護單位以外有能力的機構做出技術鑒定�;
信息科應在事后了解事件發(fā)生經過����,收集相關資料,查明事件發(fā)生的原因、危害程度及造成的損失等情況�����,檢查預防和控制事件發(fā)生的措施以及事件發(fā)生后應急預案是否得當并得到落實���,確定事件的級別和性質�����,查明相關責任并提出處理建議��,提出防止類似事件再次發(fā)生的措施和建議�����。
(七)信息安全事件的整改
信息科應在事件調查結束后迅速組織制定和下達事件整改措施,明確措施內容��、完成期限和檢查方式����,并監(jiān)督實施。在規(guī)定的期限內��,完成相應的整改工作���,防止同類事件的再次發(fā)生��。
(八)事件備案
事后應當及時登記存檔備案��,對事件發(fā)生原因�����,造成損失��,處理方法�����,解決時間�,最終結果等相關信息詳細記錄。并為相關問題處理提出方案���,防止事件再次發(fā)生��。
(九)附表:《信息安全事件登記表》
信息安全事件登記表
