论信息通信工作隐患排查治理
2017-04-15
(湖南省送变电工程公司 湖南 长沙 410000)
论信息通信工作隐患排查治理
唐琪雯
(湖南省送变电工程公司湖南长沙410000)
为深入贯彻落实国家电网公司和省公司隐患排查治理工作要求,全面彻底排查公司信息通信的安全隐患,做到不留死角,不放过任何一个安全隐患,切实把隐患排查治理工作做实做好,做出成效,确保公司信息通信的安全。
网络;隐患排查;漏洞攻击
一、网络隐患排查
a)隐患分类
防火墙、IDS等安全设备告警,发生网络DOS攻击、恶意扫描、利用系统漏洞攻击事件。
b)事件处置程序
(1)网络DOS攻击
故障情况及影响范围
安全设备告警,网络用户对服务器发起DOS攻击,导致服务器无法响应正常请求,影响所有用户对该服务的访问。
处理方案及恢复程度
检查主机及防火墙日志,确定攻击源并处理,可完全恢复,但攻击源确定难度较大,恢复时间较长。
处理工作程序
检查主机审计日志。
检查防火墙审计日志。
在网络设备上逐级配置ACL或逐级断网,以确定攻击源。
断开攻击源的网络联接,如攻击源为内部用户,检查该用户工作站,如为二级单位用户通知该单位进行处理,如为外省网络用户,向上级报告处理。
验证恢复
访问受攻击服务,验证是否恢复。
恶意扫描
故障情况及影响范围
安全设备告警,网络用户对网络设备或服务器进行恶意扫描,导致潜在的安全风险。
应急处理方案及恢复程度
检查主机及防火墙日志,确定攻击源并处理,可完全恢复。
处理工作程序
检查主机审计日志。
检查防火墙审计日志。
确定攻击源。
处理攻击源:如攻击源为内部用户,先断开该用户网络联接再检查工作站;如为二级单位用户,在防火墙上封禁该地址,再通知该单位进行处理。
验证恢复
检查主机和防火墙网络联接,验证是否恢复。
(2)利用系统漏洞进行远程攻击
故障情况及影响范围
安全设备告警,网络用户利用网络设备或服务器系统漏洞进行远程攻击,后果视攻击效果而定,包括从潜在的安全风险直至夺取系统权限,可能导致系统瘫痪、数据被纂改或丢失。
应急处理方案及恢复程度
检查主机文件系统、系统配置、审计日志等,检查防火墙日志,确定攻击受损程度,确定攻击源,在数据备份措施完善的情况下系统可完全恢复,但攻击源不一定能确定。
处理工作程序
检查主机文件系统、系统配置、审计日志等,确定攻击源及受损程度。
检查防火墙审计日志,确定攻击源。
拷贝主机相关证据。
如能确定攻击源,在防火墙上封禁该地址,再行处理攻击源。
重装主机系统,恢复数据,及时安装补丁。
验证恢复
检查主机运行情况,验证是否恢复。
二、信息涉密信息隐患排查
(a)涉密信息(系统)
1、计算机信息系统应当按照国家信息安全等级保护的要求实行分类分级管理,中心负责信息系统的安全等级保护评估、定级和申报备案工作。
2、涉及企业秘密的信息系统(以下简称涉密信息系统)应当按照国家保密法规和标准管理,涉密信息系统的建设应当与保密设施的建设同步进行。涉密信息系统必须与互联网及其它公共信息网络实行物理隔离。
3、涉及企业秘密的信息(以下简称涉密信息)应当在涉密信息系统中处理,非涉密信息系统不得处理涉密信息。
4、内外网物理强效隔离;加强对互联网联接的信息网络管理,采取有效措施,防止违规接入,防范外部攻击,并留存互联网访问日志。
b)计算机使用
1、各部门应对办公用计算机及软件安装情况应进行登记备案,并定期进行核查。
2、办公用计算机均应设置开机口令,长度不得少于8个字符,并定期进行更换,防止口令被盗。
3、办公用计算机均应安装省公司统一部署的Symantec防病毒等安全防护软件,并及时更新操作系统补丁程序。
4、办公用计算机不得安装、运行、使用与工作无关的软件。
5、严禁同一计算机既上互联网又连接电力内网。
6、严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息。
7、严禁将涉密计算机带到与工作无关的场所。
c)移动存储设备使用
1、移动存储设备不得在涉密信息系统和非涉密信息系统间交叉使用,涉密移动存储设备不得在非涉密信息系统中使用。
2、移动存储设备在接入公司计算机信息系统之前,应当查杀病毒、木马等恶意代码。
3、应尽量采用密码技术等对移动存储设备中的信息进行保护。
4、严禁将涉密存储设备带到与工作无关的场所。
d)数据复制操作
1、将互联网上的信息复制到处理内部信息的系统时,应当采取严格的技术防护措施,查杀病毒、木马等恶意代码,严防病毒等传播。
2、原则上不允许直接从互联网向内网系统复制数据。确需复制的,应当严格按照国家有关保密标准执行。
3、不得使用移动存储设备从涉密计算机向非涉密计算机复制数据。确需复制的,应采取严格的保密措施,防止泄密。
4、复制和传递涉密电子文档,应当严格按照复制和传递同等密级纸质文件的有关规定办理。
三、机房运行隐患排查
第一条 机房管理员职责
1、负责机房的运行维护工作管理;
2、负责机房值班人员的管理;
3、负责机房内各专业设备的准入核定、设备摆放区域的划分、UPS电源负荷的分配;
4、负责“机房运行值班日志”、“信息机房出入记录”、“设备缺陷记录”、“信息系统及设备技术档案”、“信息机房系统/设备操作票”等记录的管理;5、负责机房各种图纸、技术资料的管理工作;
6、负责机房设备的缺陷管理工作;
7、参与机房及相关设备和系统新建、扩建、改建工程的设计、验收工作;
8、负责所辖机房及相关设备的技术改造验收工作。
第二条 机房值班员职责
1、严格按照“机房及设备巡视”要求,执行机房(包括蓄电池室)及设备的巡视检查;
2、严格按照“值班管理”要求,认真监视网络和软硬件平台运行情况以及机房动力环境情况,检查监视各系统和设备的运行状况,发现问题及时处理或通知有关人员处理,并及时填写值班日志;
3、严格按照“缺陷管理”规定,及时报告和处理发现的缺陷,并负责缺陷消缺的跟踪和验收;
4、严格执行“机房出入管理”规定,履行机房出入管理的职责;
5、严格执行“机房环境管理”规定,保持机房环境干净整齐,保持机房电源、温湿度等符合A类机房要求,确保机房安全;
6、严格遵循机房运行管理制度其它规定,负责本班值班时机房的日常管理。
第三条 运行系统(设备)责任人职责:
1、负责所辖系统(设备)的运行维护、故障及异常处理;
2、严格执行机房运行管理制度。
第四条 网络部安排专人负责机房运行值班。
第五条 值班员发现系统(设备)运行异常、故障时,应及时处理或调度相关人员进行处理,发现重大设备故障、系统停运等情况还应及时报告部门负责人。
第六条 非值班人员发现系统(设备)运行异常、故障等情况,应立即告知值班员,值班员应及时处理或调度相应人员进行处理。故障处理完成后由值班员在值班日志中填写相应故障处理记录。
第七条 对机房内的系统(设备)进行维护时,应由工作负责人填写“机房系统/设备操作票”,在工作开始、间断和结束后,工作负责人应及时告知值班员。
第八条 值班员应认真规范、完整、准确地填写好“信息机房运行日志”。
第九条 值班员应对上一班已解决的故障,进行跟踪观察以确认故障确实排除,对于上一班遗留尚未解决的故障,应继续联系、督促有关责任人及时解决,并督促处理人填写处理情况及结果记录。
第十条 漏交或错交系统(设备)运行状况的责任由交班人员承担;漏接或错接系统(设备)运行状况的责任由接班人员承担;交接双方均未交接清楚系统(设备)运行状况的责任由交接双方共同承担。
四、注意事项及要求
1.提高认识。各部室、班组要充分认识隐患排查治理工作是国务院、国网公司和省电力公司加强安全生产工作的重大决策部署,是促进安全生产形势进一步好转的重要举措。各部室、班组在事故隐患排查治理常态化工作基础上,结合此次隐患排查治理工作,加强组织领导,落实工作责任,认真开展隐患排查治理,确保不发生八级及以上信息系统事件。
2.认真排查。严格按照方案要求,结合本班组实际情况,认真实施,确保工作取得实效。
3.严格整改。对排查梳理出的事故隐患,要加大治理力度,切实做到治理责任、措施、资金、期限和应急预案“五落实”,及时消除隐患。对重大事故隐患,立即上报。