名称 | 河北省生态环境厅重大活动期间网络和信息系统安全保障应急预案 | ||
发布机构 | 省生态环境信息中心 | 索引号 | 0218077J/2021-01183 |
主题分类 | 通知公告 | 文号 | |
发布日期 | 主题词 | ||
效力状态 |
为提高中国共产党建党100周年期间我厅云计算中心网络和信息系统安全应急协调联动效率,有效应对重大网络安全事件,按照《关于做好庆祝中国共产党成立100周年全省网络安全保障工作方案的通知》要求,信息中心将在此期间进行安全保障工作,并及时应对可能发生的安全事件。安全保障工作方案具体如下:
一、职责分工
为保障厅云计算中心关键基础设施、厅门户网站能够安全稳定运行,特成立重保工作小组。负责对厅云计算中心的关键基础设施、网络和信息系统安全运行以及机房安全隐患检查等工作(见附件)。
组织机构职责:
应急领导小组:负责网络安全事件及相应工作的整体规划和决策指挥;统一领导和组织指挥超出所控制范围内的重大网络安全突发事件的应急响应处置工作;对社会公众发布网络安全事件相关公示和公告;按照国家、省及我厅信息化工作要求开展应急处置工作;研究决定网络安全应急工作的有关重大问题。
应急领导小组办公室:设在信息中心,负责向应急领导小组报告有关工作开展及处置情况;负责落实应急领导小组做出的决定和措施;负责建立健全网络安全应急协调机制和信息通报机制,及时收集、上报和通报突发事件情况,负责明确各处室(部门)在应急协调工作中的任务和责任;根据情况发布内部网络安全事件预警预报及公告;按照应急领导小组的命令和指示,组织协调各相关处室(部门),落实网络安全应急保障工作。
现场应急工作组:设在信息中心网络科,负责网络安全突发事件现场的应急处置和上报工作;对事发现场进行先期应急处置;结合现场处置情况,汇总有关网络安全突发事件的各种重要信息,进行综合分析,并提出建议;落实应急领导小组办公室做出的决定和措施;负责网络安全突发事件的补救和恢复及善后等相关工作;对处理完毕的网络安全事件进行总结、上报和备案。
成员单位职责:
Ⅰ级网络安全事件由应急领导小组进行处置决策;Ⅱ级信息安全突发事件由应急领导小组办公室共同进行应急处置决策;Ⅲ级网络安全事件由现场应急工作组进行处置决策;Ⅳ级网络安全事件由其他直属各处室及其他安全运维人员按照“属地管理、分段影响、及时发现、及时报告、及时救治、及时控制”的要求,协调现场应急工作组,对网络安全突发事件进行处置决策。
具体分工如下:
1、应急领导小组:
姓名 |
联系方式 |
职责 |
潘井泉 |
|
组长,负责整体协调 |
韩纯亮、靳秀英 |
|
副组长,负责技术方面协调 |
2、应急领导小组办公室:
姓名 |
联系方式 |
职责 |
谷岩 |
|
负责网络、应用系统正常运行技术支持、应急 |
徐中华 |
|
负责视频会议技术支持、应急 |
董丽 |
|
厅门户网站信息更新技术支持、应急 |
李勇 |
|
负责重点污染源自动监控系统信息更新技术支持 |
于娜 |
|
负责协调、通知各处室网络和信息系统安全管理员 |
3、现场应急工作组
姓名 |
联系方式 |
职责 |
王振涛 |
17743778940 |
负责网络、应用系统正常运行技术支持、应急 |
姚杰 |
18247673676 |
负责应急、保障网络安全 |
卢宇 |
15100260161 |
负责应急、保障网络安全 |
二、工作安排
1、前期准备工作
网络科负责在2021年6月底前对厅云计算中心关键基础设施的硬件及策略进行核对,确保安全设备的稳定运行,具体如下:
(1)硬件巡检
将对厅云计算中心关键基础设施安全设备进行硬件巡检,检查安全设备的指示灯情况、接口情况、电源情况、CPU、内存、硬盘工作情况等,确保安全设备运行正常(详见附件)。
(2)策略核对
通过开展风险评估的方式对厅云计算中心关键基础设施安全设备的策略进行核对。
2、驻场安全保障工作
现场驻场运维人员在建党100周年网络安全保障期间,对我厅网站进行重点保障。
3、应急保障工作
当发现网络安全事件发生时,在场人员或当事人必须在第一时间内报告到现场应急工作组,并提交网络安全突发事件报告表。
现场应急工作组根据现场情况进行先期处理,同时向应急领导小组办公室报告,报告内容包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
应急领导小组办公室在接到事件报告后,可根据情况组织协调各成员单位及相关处室或人员进行应急处置。如需其他有关单位或部门进行协调应急处置的,需报经应急领导小组同意后方可实施。
应急领导小组在接到事件报告后,根据事态的发展情况做相应的指挥和协调工作,当发生超出我厅控制范围内的重大网络与网络安全事件时,应上报上级有关部门,并向公安机关报案。
三、应急处置流程:
1、确认阶段:
现场应急工作组可根据网络安全事件发生的性质和特征,初步判断网络安全事件等级,确定应急处理方式。
2、现场应急处置阶段:
现场应急工作组在保留好相关证据后,立即出具相关应急措施,抑制事件的影响进一步扩大,同时区分事件发生是否为环境安全事件与网络信息安全事件两种情况,根据这两种情况把应急处置方法分为两个流程。
流程一:当发生的事件为环境安全事件时,应根据当时的实际情况,在保障人身安全的前提下,首先保障数据的安全,然后是设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
流程二:当发生网络(系统)及信息安全事件时,具体按以下顺序进行,判断网络信息安全事件的来源与性质,断开影响安全与稳定的相关设备或网络物理连接设备,采取相关措施保留证据,跟踪并锁定网络信息安全事件来源的IP或其他网络用户信息,修复被破坏的信息,恢复信息系统等。
如果以自身力量无法处理的事件,应及时上报应急领导小组办公室协调或请求应急支撑单位进行应急支援。
3、预警预报阶段:
网络安全事件对我中心重点业务应用系统产生影响后,在采取技术措施解决的同时,应急领导小组办公室要加强宣传,公布危害性和解决办法,及时向社会公众告知,以避免产生经济损失及法律纠纷等。
4、根除阶段:
在事件被抑制之后,现场应急工作组对事件进行分析,找出事件根源,进行相应的补救并彻底清除网络安全事件残留的和潜在的威胁。
5、恢复和跟踪阶段:
在确保不会再次产生网络安全事件后,由现场应急工作组和建设集成单位、应急技术支撑单位对系统进行清理系统、恢复数据、程序、服务等工作恢复其正常使用,同时对系统运行进行跟踪记录直至系统正常运行超过3个工作日以上。
6、总结上报阶段
在网络安全处理过程中处理负责人要做好完整过程记录,事件处理结束后,由现场应急工作组及相关技术单位对网络安全事件进行总结并提出相应的改进或整改方案和建议,同时进行归档和备案工作,需要上报的由应急领导小组审核后进行上报。
7、应急结束阶段
由处置决策部门组织召开结束会议,决定应急结束,同时对相关负责人进行奖惩,部署下一步工作。
四、事件处理方案
1) 基于安恒云平台安全事件:
暗链监测、黑页监测、篡改监测、网页挂码、js挖矿脚本、webshell监测、外链监测等监测频率每分钟1次。
2) 当发现存在安全事件时,安全运维人员及时通过微信工作群和电话向领导小组报告和业务系统管理员的通知。
3) 系统管理人员应立即对该设备的进行分析,妥善保存有关记录及日志或审计记录。
4) 领导小组召开会议,如认为事态严重,则立即向网信办和公安部门报告。
监控到外部IP攻击厅云计算中心内网络和信息系统,安全值守人员应进行如下操作:
1) 发现攻击。通过安全设备监控到受到外部攻击的信息,第一时间在防火墙上配置访问控制策略,阻断攻击IP;
2) 验证攻击。结合安全设备日志,利用工具对验证攻击者方式的可行性;
3) 查找攻击痕迹。登陆被攻击的网络和信息系统等关键基础设施,查看日志,查找攻击者留下的痕迹;
4) 处理攻击事件。若被攻击服务器确实已被攻击者控制,可以临时采取断网(物理断网或添加“路由黑洞”)。待服务器负责人或网络安保技术人员处理;若服务器没有发现入侵痕迹,则继续加强监控。
1) 发现攻击。通过安全设备检测待有内部IP感染木马或者病毒,第一时间在防火墙上配置访问控制策略,阻断攻击IP;
2) 确定被感染者。联系值班人员,查找被攻击IP,确定被感染目标;
3) 清除病毒木马。找到目标主机,登录系统进行查杀;
4) 持续监控。继续对该主机进行监控。
1) 发现攻击。通过监控流量,发现有大量异常流量,并占满出口带宽。第一时间在防火墙上配置访问控制策略,阻断攻击IP;
2) 处理事件。若攻击为外部对内攻击,则在防火墙上开启抗DDOS攻击策略,尽量缓解攻击带来的影响;若攻击为内部对完攻击,则阻断攻击主机的网络(物理阻断或添加路由黑洞),登陆主机查看日志,并协调系统开发人员进行处理。
1)发现攻击。通过监控流量,发现有大量异常流量,并占满出口带宽。第一时间在防火墙上配置访问控制策略,阻断攻击IP;
2)处理事件。追查非法信息来源,采取抓屏截图、查看并保留系统日志、网络审计、文件审计相关记录等操作,保留相关证据后删除非法信息,修改网页内并做好必要记录,并协调有关部门对非法篡改人员或发布非法言论软件进行责任追究工作。
1)当发现有服务器内存占用较大,中挖矿病毒时,应用过微信工作群或电话立即向信息安全负责人报告,并通知网络运维人员将该机器从网络隔离开。
2)安全运维人员接到通知应立即通过微信或电话进行远程协助处理。
3)安全运维人员应立即对该设备的进行分析,妥善保存有关记录及日志或审计记录。
4)业务系统管理人员负责清除工作,修补漏洞,强化安全措施后方可将被攻击的服务器设备接入网络。
5)领导小组召开会议,如认为事态严重,则立即向网信办和公安部门报告。
1)基于安恒云平台安全事件:
暗链监测、黑页监测、篡改监测、网页挂码、js挖矿脚本、webshell监测、外链监测等监测频率每分钟1次。
2)当发现存在安全事件时,安全运维人员及时通过微信工作群和电话向领导小组报告和业务系统管理员的通知。
3)系统管理人员应立即对该设备的进行分析,妥善保存有关记录及日志或审计记录。
领导小组召开会议,如认为事态严重,则立即向网信办和公安部门报告。
1)发现不可访问。根据实际情况,迅速判断故障节点,查明事故原因。
2)处理事件。如属线路故障,检查本地网络接口地址是否可ping通,若能ping通,可判断为外端线路故障,应通知线路运营商检查线路;若不能ping通本地接口地址,则逐级检查各个路由交换设备,确定故障位置,予以排除。如果两个小时内无法修复的,应先行启动备用网络或搭建临时网络保证网络通畅后再进行原线路的修复。
如属路由器、交换机等主要网络设备发生故障或损坏,应立即从指定位置将备用取出接上,并调试畅通,同时将故障设备进行维修或送修。没有备用设备的立即想应急技术单位请求设备支援。
如属服务器或应用系统故障,应立即启用备用服务器,并联系系统建设集成单位进行应用系统的安装调试回复系统运行。
如属于网络攻击事件,通过入侵检测系统、网络安全审计系统可以发现某些ip会频繁(每分钟超过100次)对网内ip进行访问,当确定攻击源是来自于内部用户终端时,直接封锁相应源设备。
随时对恢复时间进行估测,当事件升级时按时间级别进行处置。
1)当接到电力故障报警后,应立即向相关部门进行询问,尽可能的确定电力回复事件。
2)如确定为短时停电(60分钟内)则需要对UPS运行状态进行持续观测,直至电力恢复。当不能确定电力恢复事件或电力恢复时间超过60分钟,立即关闭厅环保云计算中心机房内除小型机和存储外的设备,以减少负载演唱UPS供电时间,当UPS蓄电量低于5%时,关闭所有设备。
关闭设备顺序及方法如下:
关闭服务器:在内外网KVM控制台上按两下Ctrl键,选择相应的服务器(除P560a、P560b外)进入后,点击开始,选择关闭计算机。
关闭网络设备:找到网络设备的开关按钮后,将开关按钮拨至0位置进行关闭,没有开关按钮的直接将电源线拔掉。
关闭小型机和存储设备:关闭小型机,关闭存储设备。
(1)火灾未直接发生在厅环保云计算中心机房
当事人应立即向相关部门报告,并通知现场应急工作组和相关人员。
判断火情大小(在3分钟内有能力自救的,可视为初级火情,火势超出初级火情的程度或火势虽小,但周围有易燃易爆物品,可能引起爆炸和火势蔓延的,应视为中继以上火情),火情较小的使用灭火器进行扑救,争取将火情消灭在初发期。如果火情已超出扑灭的能力范围内,立即拨打119进行火警求救,现场应急工作组随时根据火势蔓延方向和现场情况判断是否影响数据安全中心安全,如影响则立即采取如下措施:
a.关闭厅环保云计算中心机房的所有设备。
b.关闭厅环保云计算中心机房电力供应。
关闭方法:当设备全部关闭后,打开UPS主机面板,将UPS输出闸门向下拉掉进行关闭;打开电池组(两组)面板,将电池供电闸(两个)向下拉掉进行关闭;将配电柜最上方市电输入闸向下拉掉进行关闭。
c.将存储和服务器的硬盘转移出来,存储和服务器硬盘取出方法:将硬盘托向上,搬起后向外拉出硬盘,人员和设备迅速转移至安全场地。
(2)火灾直接发生在厅环保云计算中心机房
发现火情但尚未出发气体灭火装置的,立即使用灭火器进行扑救,争取将火情消灭在初发期。
已触发气体灭火装置的,现场人员必须屏住呼吸在5秒内撤离现场,待火灾被扑灭,室内气体气压恢复正常后才可以进入数据中心进行处置工作。
(1)漏水点在设备区外或地板储水
立即向相关部门通报,然后采取用盆在漏水点接水和用盆向外舀水等措施。
(2)漏水点在设备区内
立即切断厅环保云计算中心机房的电力供应,通知相关部门,同时采取用盆在漏水点接水或用防水材料覆盖设备等措施保护设备。
当遇到强烈雷雨天气时,现场应急工作组工作人员必须密切关注数据中心避雷设施的工作状态,一旦接到厅环保云计算中心机房避雷模块被击穿后,且雷雨天气持续时,应立即切断厅环保云计算中心机房的电力供应,防止因再次雷击而引发设备损坏或火灾。
当接到厅环保云计算中心机房高温报警(温度超过30°C)后,立即到达现场查看,如空调损坏且短时间内无法修复,采取开门保持通风、关闭服务器等措施减少热量散发,防止温度的持续上升,当温度超过45°C时,应立即关闭所有设备。
附件:厅云计算中心机房安全隐患检查
附件:
厅云计算中心机房安全隐患检查
为了有效消除机房安全隐患,做到防患于未然,杜绝一切事故的发生,结合我中心的实际,信息中心主任、副主任带领网络科、维护机房技术人员对我厅云计算中心机房的各项安全隐患进行了认真细致的排查。主要排查以下几个方面:
一、消防安全方面
1、消防安全责任制的落实情况:主要负责人、重点岗位消防安全责任制的建立和落实情况。
2、消防安全管理工作运行情况
消防安全防火检查巡查、火灾隐患整改工作运行情况、疏散和初期火灾扑救预案的制定。
3、建筑消防设施灭火器材管理情况,室内外消火栓系统、防排烟设施和灭火系统等消防设施的设置、运行、维护情况;灭火器的配置和管理情况
4、消防安全疏散和火灾施救扑救条件,建筑内疏散通道;疏散指示标志配置和完好情况;是否存在违法使用明火作业;是否存在锁闭安全出口、堵塞疏散通道;消防安全标志设置是否符合要求;自动消防设施是否完好,特别是建筑外窗和安全出口铁栅栏等影响疏散、逃生和火灾施救的障碍物的清理;防火安全管理及值班制度是否落实等。
5、用火、用电、用油、用气等管理情况
二、防雷、防电方面
1、防雷防电安全责任人落实情况:主要负责人、重点岗位消防安全责任制的建立和落实情况。
2、对机房的各电器设备地线是否接地进行排查,
3、对机房的各电气设备的电源线插座进行老损排查
4、对机房的UPS电源,电源柜,的各项参数进行校准和检查。
三、传输线路方面
1、线路传输安全责任人落实情况:主要负责人、重点岗位消防安全责任制的建立和落实情况。
2、对机房的传输线路的各连接设备、连接接口、连线、进行安全排查,对老化的线路连线接头进行替换,以保证业务正常传输。
3、对线路进行明确的标识,做到清晰明了。
4、对地板下的防潮、防鼠、散热等隐患进行仔细排查。
扫一扫在手机打开当前页
河北省生态环境厅重大活动期间网络和信息系统安全保障应急预案
来源:省生态环境信息中心 时间:2021-06-18
为提高中国共产党建党100周年期间我厅云计算中心网络和信息系统安全应急协调联动效率,有效应对重大网络安全事件,按照《关于做好庆祝中国共产党成立100周年全省网络安全保障工作方案的通知》要求,信息中心将在此期间进行安全保障工作,并及时应对可能发生的安全事件。安全保障工作方案具体如下:
一、职责分工
为保障厅云计算中心关键基础设施、厅门户网站能够安全稳定运行,特成立重保工作小组。负责对厅云计算中心的关键基础设施、网络和信息系统安全运行以及机房安全隐患检查等工作(见附件)。
组织机构职责:
应急领导小组:负责网络安全事件及相应工作的整体规划和决策指挥;统一领导和组织指挥超出所控制范围内的重大网络安全突发事件的应急响应处置工作;对社会公众发布网络安全事件相关公示和公告;按照国家、省及我厅信息化工作要求开展应急处置工作;研究决定网络安全应急工作的有关重大问题。
应急领导小组办公室:设在信息中心,负责向应急领导小组报告有关工作开展及处置情况;负责落实应急领导小组做出的决定和措施;负责建立健全网络安全应急协调机制和信息通报机制,及时收集、上报和通报突发事件情况,负责明确各处室(部门)在应急协调工作中的任务和责任;根据情况发布内部网络安全事件预警预报及公告;按照应急领导小组的命令和指示,组织协调各相关处室(部门),落实网络安全应急保障工作。
现场应急工作组:设在信息中心网络科,负责网络安全突发事件现场的应急处置和上报工作;对事发现场进行先期应急处置;结合现场处置情况,汇总有关网络安全突发事件的各种重要信息,进行综合分析,并提出建议;落实应急领导小组办公室做出的决定和措施;负责网络安全突发事件的补救和恢复及善后等相关工作;对处理完毕的网络安全事件进行总结、上报和备案。
成员单位职责:
Ⅰ级网络安全事件由应急领导小组进行处置决策;Ⅱ级信息安全突发事件由应急领导小组办公室共同进行应急处置决策;Ⅲ级网络安全事件由现场应急工作组进行处置决策;Ⅳ级网络安全事件由其他直属各处室及其他安全运维人员按照“属地管理、分段影响、及时发现、及时报告、及时救治、及时控制”的要求,协调现场应急工作组,对网络安全突发事件进行处置决策。
具体分工如下:
1、应急领导小组:
姓名 |
联系方式 |
职责 |
潘井泉 |
|
组长,负责整体协调 |
韩纯亮、靳秀英 |
|
副组长,负责技术方面协调 |
2、应急领导小组办公室:
姓名 |
联系方式 |
职责 |
谷岩 |
|
负责网络、应用系统正常运行技术支持、应急 |
徐中华 |
|
负责视频会议技术支持、应急 |
董丽 |
|
厅门户网站信息更新技术支持、应急 |
李勇 |
|
负责重点污染源自动监控系统信息更新技术支持 |
于娜 |
|
负责协调、通知各处室网络和信息系统安全管理员 |
3、现场应急工作组
姓名 |
联系方式 |
职责 |
王振涛 |
17743778940 |
负责网络、应用系统正常运行技术支持、应急 |
姚杰 |
18247673676 |
负责应急、保障网络安全 |
卢宇 |
15100260161 |
负责应急、保障网络安全 |
二、工作安排
1、前期准备工作
网络科负责在2021年6月底前对厅云计算中心关键基础设施的硬件及策略进行核对,确保安全设备的稳定运行,具体如下:
(1)硬件巡检
将对厅云计算中心关键基础设施安全设备进行硬件巡检,检查安全设备的指示灯情况、接口情况、电源情况、CPU、内存、硬盘工作情况等,确保安全设备运行正常(详见附件)。
(2)策略核对
通过开展风险评估的方式对厅云计算中心关键基础设施安全设备的策略进行核对。
2、驻场安全保障工作
现场驻场运维人员在建党100周年网络安全保障期间,对我厅网站进行重点保障。
3、应急保障工作
当发现网络安全事件发生时,在场人员或当事人必须在第一时间内报告到现场应急工作组,并提交网络安全突发事件报告表。
现场应急工作组根据现场情况进行先期处理,同时向应急领导小组办公室报告,报告内容包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
应急领导小组办公室在接到事件报告后,可根据情况组织协调各成员单位及相关处室或人员进行应急处置。如需其他有关单位或部门进行协调应急处置的,需报经应急领导小组同意后方可实施。
应急领导小组在接到事件报告后,根据事态的发展情况做相应的指挥和协调工作,当发生超出我厅控制范围内的重大网络与网络安全事件时,应上报上级有关部门,并向公安机关报案。
三、应急处置流程:
1、确认阶段:
现场应急工作组可根据网络安全事件发生的性质和特征,初步判断网络安全事件等级,确定应急处理方式。
2、现场应急处置阶段:
现场应急工作组在保留好相关证据后,立即出具相关应急措施,抑制事件的影响进一步扩大,同时区分事件发生是否为环境安全事件与网络信息安全事件两种情况,根据这两种情况把应急处置方法分为两个流程。
流程一:当发生的事件为环境安全事件时,应根据当时的实际情况,在保障人身安全的前提下,首先保障数据的安全,然后是设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
流程二:当发生网络(系统)及信息安全事件时,具体按以下顺序进行,判断网络信息安全事件的来源与性质,断开影响安全与稳定的相关设备或网络物理连接设备,采取相关措施保留证据,跟踪并锁定网络信息安全事件来源的IP或其他网络用户信息,修复被破坏的信息,恢复信息系统等。
如果以自身力量无法处理的事件,应及时上报应急领导小组办公室协调或请求应急支撑单位进行应急支援。
3、预警预报阶段:
网络安全事件对我中心重点业务应用系统产生影响后,在采取技术措施解决的同时,应急领导小组办公室要加强宣传,公布危害性和解决办法,及时向社会公众告知,以避免产生经济损失及法律纠纷等。
4、根除阶段:
在事件被抑制之后,现场应急工作组对事件进行分析,找出事件根源,进行相应的补救并彻底清除网络安全事件残留的和潜在的威胁。
5、恢复和跟踪阶段:
在确保不会再次产生网络安全事件后,由现场应急工作组和建设集成单位、应急技术支撑单位对系统进行清理系统、恢复数据、程序、服务等工作恢复其正常使用,同时对系统运行进行跟踪记录直至系统正常运行超过3个工作日以上。
6、总结上报阶段
在网络安全处理过程中处理负责人要做好完整过程记录,事件处理结束后,由现场应急工作组及相关技术单位对网络安全事件进行总结并提出相应的改进或整改方案和建议,同时进行归档和备案工作,需要上报的由应急领导小组审核后进行上报。
7、应急结束阶段
由处置决策部门组织召开结束会议,决定应急结束,同时对相关负责人进行奖惩,部署下一步工作。
四、事件处理方案
1) 基于安恒云平台安全事件:
暗链监测、黑页监测、篡改监测、网页挂码、js挖矿脚本、webshell监测、外链监测等监测频率每分钟1次。
2) 当发现存在安全事件时,安全运维人员及时通过微信工作群和电话向领导小组报告和业务系统管理员的通知。
3) 系统管理人员应立即对该设备的进行分析,妥善保存有关记录及日志或审计记录。
4) 领导小组召开会议,如认为事态严重,则立即向网信办和公安部门报告。
监控到外部IP攻击厅云计算中心内网络和信息系统,安全值守人员应进行如下操作:
1) 发现攻击。通过安全设备监控到受到外部攻击的信息,第一时间在防火墙上配置访问控制策略,阻断攻击IP;
2) 验证攻击。结合安全设备日志,利用工具对验证攻击者方式的可行性;
3) 查找攻击痕迹。登陆被攻击的网络和信息系统等关键基础设施,查看日志,查找攻击者留下的痕迹;
4) 处理攻击事件。若被攻击服务器确实已被攻击者控制,可以临时采取断网(物理断网或添加“路由黑洞”)。待服务器负责人或网络安保技术人员处理;若服务器没有发现入侵痕迹,则继续加强监控。
1) 发现攻击。通过安全设备检测待有内部IP感染木马或者病毒,第一时间在防火墙上配置访问控制策略,阻断攻击IP;
2) 确定被感染者。联系值班人员,查找被攻击IP,确定被感染目标;
3) 清除病毒木马。找到目标主机,登录系统进行查杀;
4) 持续监控。继续对该主机进行监控。
1) 发现攻击。通过监控流量,发现有大量异常流量,并占满出口带宽。第一时间在防火墙上配置访问控制策略,阻断攻击IP;
2) 处理事件。若攻击为外部对内攻击,则在防火墙上开启抗DDOS攻击策略,尽量缓解攻击带来的影响;若攻击为内部对完攻击,则阻断攻击主机的网络(物理阻断或添加路由黑洞),登陆主机查看日志,并协调系统开发人员进行处理。
1)发现攻击。通过监控流量,发现有大量异常流量,并占满出口带宽。第一时间在防火墙上配置访问控制策略,阻断攻击IP;
2)处理事件。追查非法信息来源,采取抓屏截图、查看并保留系统日志、网络审计、文件审计相关记录等操作,保留相关证据后删除非法信息,修改网页内并做好必要记录,并协调有关部门对非法篡改人员或发布非法言论软件进行责任追究工作。
1)当发现有服务器内存占用较大,中挖矿病毒时,应用过微信工作群或电话立即向信息安全负责人报告,并通知网络运维人员将该机器从网络隔离开。
2)安全运维人员接到通知应立即通过微信或电话进行远程协助处理。
3)安全运维人员应立即对该设备的进行分析,妥善保存有关记录及日志或审计记录。
4)业务系统管理人员负责清除工作,修补漏洞,强化安全措施后方可将被攻击的服务器设备接入网络。
5)领导小组召开会议,如认为事态严重,则立即向网信办和公安部门报告。
1)基于安恒云平台安全事件:
暗链监测、黑页监测、篡改监测、网页挂码、js挖矿脚本、webshell监测、外链监测等监测频率每分钟1次。
2)当发现存在安全事件时,安全运维人员及时通过微信工作群和电话向领导小组报告和业务系统管理员的通知。
3)系统管理人员应立即对该设备的进行分析,妥善保存有关记录及日志或审计记录。
领导小组召开会议,如认为事态严重,则立即向网信办和公安部门报告。
1)发现不可访问。根据实际情况,迅速判断故障节点,查明事故原因。
2)处理事件。如属线路故障,检查本地网络接口地址是否可ping通,若能ping通,可判断为外端线路故障,应通知线路运营商检查线路;若不能ping通本地接口地址,则逐级检查各个路由交换设备,确定故障位置,予以排除。如果两个小时内无法修复的,应先行启动备用网络或搭建临时网络保证网络通畅后再进行原线路的修复。
如属路由器、交换机等主要网络设备发生故障或损坏,应立即从指定位置将备用取出接上,并调试畅通,同时将故障设备进行维修或送修。没有备用设备的立即想应急技术单位请求设备支援。
如属服务器或应用系统故障,应立即启用备用服务器,并联系系统建设集成单位进行应用系统的安装调试回复系统运行。
如属于网络攻击事件,通过入侵检测系统、网络安全审计系统可以发现某些ip会频繁(每分钟超过100次)对网内ip进行访问,当确定攻击源是来自于内部用户终端时,直接封锁相应源设备。
随时对恢复时间进行估测,当事件升级时按时间级别进行处置。
1)当接到电力故障报警后,应立即向相关部门进行询问,尽可能的确定电力回复事件。
2)如确定为短时停电(60分钟内)则需要对UPS运行状态进行持续观测,直至电力恢复。当不能确定电力恢复事件或电力恢复时间超过60分钟,立即关闭厅环保云计算中心机房内除小型机和存储外的设备,以减少负载演唱UPS供电时间,当UPS蓄电量低于5%时,关闭所有设备。
关闭设备顺序及方法如下:
关闭服务器:在内外网KVM控制台上按两下Ctrl键,选择相应的服务器(除P560a、P560b外)进入后,点击开始,选择关闭计算机。
关闭网络设备:找到网络设备的开关按钮后,将开关按钮拨至0位置进行关闭,没有开关按钮的直接将电源线拔掉。
关闭小型机和存储设备:关闭小型机,关闭存储设备。
(1)火灾未直接发生在厅环保云计算中心机房
当事人应立即向相关部门报告,并通知现场应急工作组和相关人员。
判断火情大小(在3分钟内有能力自救的,可视为初级火情,火势超出初级火情的程度或火势虽小,但周围有易燃易爆物品,可能引起爆炸和火势蔓延的,应视为中继以上火情),火情较小的使用灭火器进行扑救,争取将火情消灭在初发期。如果火情已超出扑灭的能力范围内,立即拨打119进行火警求救,现场应急工作组随时根据火势蔓延方向和现场情况判断是否影响数据安全中心安全,如影响则立即采取如下措施:
a.关闭厅环保云计算中心机房的所有设备。
b.关闭厅环保云计算中心机房电力供应。
关闭方法:当设备全部关闭后,打开UPS主机面板,将UPS输出闸门向下拉掉进行关闭;打开电池组(两组)面板,将电池供电闸(两个)向下拉掉进行关闭;将配电柜最上方市电输入闸向下拉掉进行关闭。
c.将存储和服务器的硬盘转移出来,存储和服务器硬盘取出方法:将硬盘托向上,搬起后向外拉出硬盘,人员和设备迅速转移至安全场地。
(2)火灾直接发生在厅环保云计算中心机房
发现火情但尚未出发气体灭火装置的,立即使用灭火器进行扑救,争取将火情消灭在初发期。
已触发气体灭火装置的,现场人员必须屏住呼吸在5秒内撤离现场,待火灾被扑灭,室内气体气压恢复正常后才可以进入数据中心进行处置工作。
(1)漏水点在设备区外或地板储水
立即向相关部门通报,然后采取用盆在漏水点接水和用盆向外舀水等措施。
(2)漏水点在设备区内
立即切断厅环保云计算中心机房的电力供应,通知相关部门,同时采取用盆在漏水点接水或用防水材料覆盖设备等措施保护设备。
当遇到强烈雷雨天气时,现场应急工作组工作人员必须密切关注数据中心避雷设施的工作状态,一旦接到厅环保云计算中心机房避雷模块被击穿后,且雷雨天气持续时,应立即切断厅环保云计算中心机房的电力供应,防止因再次雷击而引发设备损坏或火灾。
当接到厅环保云计算中心机房高温报警(温度超过30°C)后,立即到达现场查看,如空调损坏且短时间内无法修复,采取开门保持通风、关闭服务器等措施减少热量散发,防止温度的持续上升,当温度超过45°C时,应立即关闭所有设备。
附件:厅云计算中心机房安全隐患检查
附件:
厅云计算中心机房安全隐患检查
为了有效消除机房安全隐患,做到防患于未然,杜绝一切事故的发生,结合我中心的实际,信息中心主任、副主任带领网络科、维护机房技术人员对我厅云计算中心机房的各项安全隐患进行了认真细致的排查。主要排查以下几个方面:
一、消防安全方面
1、消防安全责任制的落实情况:主要负责人、重点岗位消防安全责任制的建立和落实情况。
2、消防安全管理工作运行情况
消防安全防火检查巡查、火灾隐患整改工作运行情况、疏散和初期火灾扑救预案的制定。
3、建筑消防设施灭火器材管理情况,室内外消火栓系统、防排烟设施和灭火系统等消防设施的设置、运行、维护情况;灭火器的配置和管理情况
4、消防安全疏散和火灾施救扑救条件,建筑内疏散通道;疏散指示标志配置和完好情况;是否存在违法使用明火作业;是否存在锁闭安全出口、堵塞疏散通道;消防安全标志设置是否符合要求;自动消防设施是否完好,特别是建筑外窗和安全出口铁栅栏等影响疏散、逃生和火灾施救的障碍物的清理;防火安全管理及值班制度是否落实等。
5、用火、用电、用油、用气等管理情况
二、防雷、防电方面
1、防雷防电安全责任人落实情况:主要负责人、重点岗位消防安全责任制的建立和落实情况。
2、对机房的各电器设备地线是否接地进行排查,
3、对机房的各电气设备的电源线插座进行老损排查
4、对机房的UPS电源,电源柜,的各项参数进行校准和检查。
三、传输线路方面
1、线路传输安全责任人落实情况:主要负责人、重点岗位消防安全责任制的建立和落实情况。
2、对机房的传输线路的各连接设备、连接接口、连线、进行安全排查,对老化的线路连线接头进行替换,以保证业务正常传输。
3、对线路进行明确的标识,做到清晰明了。
4、对地板下的防潮、防鼠、散热等隐患进行仔细排查。