信息安全综合监管平台信息安全应急处置系统
信息安全应急处置系统
1 项目背景
2014 年,中央网络安全和信息化领导小组成立,习近平总书记任组长,并在领导小组第一次会议上指出:“没有网络安全就没有国家安全,没有信息化就没有现代化”、“网络安全和信息化事关国家安全和国家发展”,网络与信息安全工作已被提升至国家战略安全层面。国家信息化领导小组《关于加强信息安全保障工作的意见》(中办发[2003]27 号文)要求“坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全”。
2015 年,根据国家对信息安全管理工作的要求和部署,结合环境信息网络、数据、系统和网管安管平台等工作基础和信息安全现状,虚拟化、大数据、云计算、移动互联等技术对信息安全领域提出的新要求,围绕信息系统等级保护以及安全态势分析、风险监控、预测预警和应急响应等管理工作,编制了环保行业信息安全综合监管平台中长期建设总体方案,满足未来环保行业信息安全综合监管的业务需求。同时,依据总体方案建设完成了环保行业信息安全综合监管平台(二期)建设与安全技术服务,包括等级保护工作管理、信息安全通报管理、安全检查工作管理、信息安全宣传培训等业务管理工作模块,为环境信息安全管理提供全面的技术支持。
2017年06月27日,中央网信办关于印发《国家网络安全事件应急预案》的通知,建立健全国家网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,保护公众利益,维护国家安全、公共安全和社会秩序。结合环保部实际情况,特别是2016 年下半年以来,环保部面临前所未有的压力,多次接到国家相关部门的通报,以及在面临重大安全事件时(如“永恒之蓝”勒索软件),显得应急处理能力不足。
因此,依据平台总体方案的规划部署,为了继续完善并扩展平台功能,需要开展环保行业信息安全综合监管平台(三期)建设,在一期建设的等级保护管理工作和二期建设的安全检测与安全运维的基础上,增加信息安全应急处置
功能模块,以提升环保行业信息安全应急处置能力
2 项目目标
提高环保部信息中心信息系统安全事故应急响应和处置能力,对于可能发生的各种信息安全事故或灾害,能够在第一时间做出快速反应并采取应对措施,及时恢复信息网络和业务系统正常运行,最大程度控制和降低事件所带来的负面影响,确保信息系统运行的连续性、有效性。
3 项目建设内容
以信息安全应急处置系统为依托,建立健全信息安全事故应急处置策略和分级实施的应急预案体系;建立分级管理、分级负责的应急管理体制;建立统一指挥、反应灵敏、协调有序、运转高效的应急协调机制;健全专业化和社会化相结合的应急保障体系,实现全方位的、实用的、快捷的信息安全事故应急处置手段和能力。
4 项目技术要求
4.1 总体要求
投标人为本项目设计和开发的环保行业信息安全综合监管平台应符合以下基本要求:(1)规范性要求。平台应符合国家关于信息安全以及等级保护的各项管理规定和标准要求。
(2)实用性要求。平台应符合环保部现有的信息化和信息安全现状,能够满足环境信息安全管理的日常工作需求。
(3)扩展性要求。考虑到未来功能扩展的要求,平台应采用标准化接口设计和可持续发展体系结构。未来业务的扩展可在现有基础上,增加新的应用与服务模块。
(4)先进性要求。平台应采用当前业界主流开发和集成技术,在系统功能、性能、用户友好性等方面具有较好表现。
(5)兼容性要求。三期开发必须考虑与一期、二期开发内容进行对接,实现三期开发内容与一期、二期已开发内容的无缝对接,投标人须提供实现三期与一期、二期无缝集成的承诺函,并加盖印章。
4.2 开发要求
(1)技术路线。要求采用J2EE 技术作为项目的技术路线,为今后平台的可移植和可扩展打好基础。同时,兼顾目前环保业务系统普遍采用的跨平台应用现状,进行合理规划设计。
(2)系统架构。要求采用B/S 架构,便于用户远程访问操作。
(3)部署模式。集成部署在一期、二期平台基础上。依托于“国家环境信息与统计能力建设项目”的实施,环境保护部目前已建成了连接国家、省、市、县四级环保部门的环保业务专网,并建有统一用户信息管理系统和环境保护部电子政务信息交换平台门户。本项目将采用环境保护部集中统一部署方式,部署于环保部信息中心机房,在环保业务专网上运行。
(4)应用范围。平台的用户范围包括环境保护部机关、派出机构、直属单位、各省级环保厅(局)的信息安全主管部门及安全联络员。要求平台用户管理模块实现与环保业务专网统一用户信息管理系统的集成,通过电子政务信息交换平台实现用户单点登录。
(5)数据分析。要求采用高效数据分析技术,对平台积累的行业信息安全管理数据进行数据挖掘和综合分析,以便有效的发挥这些数据的价值。分析维度包括关联性分析,横向分析,纵向分析等。
4.3 系统功能要求
建立环保部信息安全应急指挥体系,明确各方的责任、义务以及相互之间的协调关系,对信息安全应急事件进行统一的评估、录入、处置和管理;同时,对应急预案(包括应急知识、应急工具、应急流程、解决方案、应急手册和应急知识库)和应急演练进行统一的管理,建立统一的应急处置学习交流平台,提
升环保部预警处置能力和应急处置能力,为环保部信息安全保驾护航。
4.3.1 应急指挥体系
可以依托信息安全应急处置系统,建立环保部信息中心信息安全应急指挥体系,确定应急指挥体系的相关人员和责任,对信息安全事件进行分级、分类响应。
在信息安全应急处置系上,应该具备建立相应的应急指挥体系能力,具体功能包括:
1、可以建立信息安全应急处置办公室(简称“应急办” ),明确相应的应急处理办公室成员和对应的职责,以及相关人员的联系方式等,系统管理人员可以更新、替换、删除相应的人员信息和联系方式,组织体系能够以图形化、层次化方式进行展示,展示信息不仅仅局限于姓名、联系方式等,系统应当具备扩展能力,可以展示其他信息,如技术专长、个人经历等相关信息。
2、可以建立信息安全应急处置联络组(简称“联络组”),明确相应的联络组成员和对应的职责,以及相关人员的联系方式等,系统管理人员可以更新、替换、删除相应的人员信息和联系方式,组织体系能够以图形化、层次化方式进行展示,展示信息不仅仅局限于姓名、联系方式等,系统应当具备扩展能力,可以展示其他信息,如技术专长、个人经历、等相关信息。;
3、可以建立安全技术组(简称“技术组” ),技术组可以选择有相关人员组成,如网络室、安全室、技术室、应用室以及物业管理人员,明确相关人员的技术特长和对应安全责任,系统管理人员可以更新、替换、删除相关人员的人员信息和联系方式等信息,组织体系能够以图形化、层次化方式进行展示,展示信息不仅仅局限于姓名、联系方式等,系统应当具备扩展能力,可以展示其他信息,如技术专长、个人经历、等相关信息。
4、通过信息安全应急处置系统,可以清晰看到环保部信息中心信息安全应急处置体系架构,明确相应组织的职责,在进行信息安全事件处置时可以快速的进行职责划分和高效沟通和及时的响应处置。
5、系统可以根据应急处置事件的不同级别,在发起应急响应处置时,通知相应的责任人进行响应处置。系统管理人员也可以灵活地选择相应的人员进行通报。
安全事件分级进行管理,具体分为四类,分别是特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。
4.3.2 应急预案管理
应急预案管理包括:应急预案管理、应急预案演练管理、应急协调管理等相关内容。
其中,应急预案管理包括应急预案的制定、应急预案的审核、应急预案的发布、应急预案的修订。应急预案演练管理包括应急预案演练计划制定、应急演练实施步骤、应
急演练总结。应急协调管理包括应急协调管理、工作协调管理管理、事故通报管理、信息交流管理等内容。
1、应急预案管理包括应急预案的制定、应急预案的审核、应急预案的发布、应急预案的修订。
系统提供应急预案管理接口,能够上传环保部信息中心各类信息安全应急预案,分类包括网站应急响应预案、业务系统应急响应预案、病毒蠕虫应急响应预案、DDOS应急响应预案,同时,系统也要支持用户自定义的类型的应急响应预案分类,系统应支持应急预案全生命周期的管理,包括应急预案的制定、应急预案的预发布审核、应急预案的正式发布以及应急预案的修订。系统并支持对预案对修订管理,并强制实行应急预案每年修订机制,从机制上保障应急预案的有效性和时效性。
2、应急预案演练管理包括应急预案演练计划制定、应急演练实施步骤、应急演练总结。
系统能够支持对应急预案演练进行管理,系统管理人员可以利用系统制定应急演练的计划,应急演练计划要包括演练的时间、地点、目的、内容、人员等相关信息,并可以根据时间或者响应步骤的先后顺序,制定相应的具体实施步骤,实施步骤展示可以图形化方式或流程图方式进行展示,展示要层次清晰、步骤明确。针对每次的应急预案演练,添加对应的演练总结。系统同时具备对应急预案演练的综合管理能力,对历次演练进行档案管理,系统能够按照时间和演练类型进行分类管理。
3、应急协调管理包括应急协调管理、工作协调管理、事故通报管理、信息交流管理等内容。
系统能够支持各体系之间的应急协调管理,通过系统可以建立一个统一的沟通和协调通道,信息进行对称和汇总,形成统一的管理渠道。
通过系统可以对各司局和信息中心,各部门之间、应用单位之间、工作体系之间,建立信息安全事故通报机制,开展横向、纵向间的事故通报:对于事故隐患、苗头、潜在威胁以及可能发生的事故发出预警;对于已经发生的事故及时通报,采取有效措施,防止类似事故发生;对于事故处置的情况进行通报,用以警示。
同时,通过系统可以建立一个信息交流的平台,多个工作体系之间可以进行信息的交流和沟通。通过系统可以对信息安全知识、技术、应用以及成功案例以及国内外信息安全发展趋势、最新解决方案、工作和经验等情况进行交流,实现信息资源共享,促进
信息安全工作。
4.3.3 预警与通报管理
1、预警管理
系统具备预警信息发布功能,支持对预警信息的管理,预警信息具备审核流程:待发布预警-预警审核-正式预警信息-预警解除。预警信息支持手工录入和按照一定格式自定导入两种方式,预警发布信息支持多种渠道的预警信息来源,包括国家互联网应急中心、公安部、网信办等不同预警发布渠道,也支持自定义的预警信息发布。
预警信息分类支持多种分类,如蠕虫病毒类、漏洞利用类、黑客攻击类、僵尸木马类等多种分类。
预警分级可以按照红色预警、橙色预警、黄色预警、蓝色预警进行分类。
2、通报管理
系统具备通报管理功能,环保部信息中心可以对接收到的各类安全事件通报按照不同的分类进行录入、发布,并进行通报的管理,如针对安全通报的解决方案、安全处置的过程记录、对相关处理的结果反馈、对后续事件的安全建议等,对安全通报进行全生命周期管理,安全通报的处理结果进行全体通告。
同时,系统能够按年度或者半年度对安全通报进行汇总和分析,为安全通报的整理和汇总提供分析数据。
4.3.4 应急处置平台
应急处置平台是信息安全应急处置系统的核心功能,应急处置平台作为环保部信息中心应急处置人员和一般员工进行应急处置的技术支持平台,在具体安全事件发生时起到关键性作用。应急处置平台包括:应急通报、应急通报处置流程、应急通报处置工具、应急处置的指导手册。
应急响应分级进行响应,分级可以分为I 级应急响应、II 级应急响应、III 级应急响应、IV 级应急响应。
1、应急接报:环保部信息中心安排相应的应急事故接报人员和固定、移动电话,对上报上来的信息安全事件进行接听和初步评估,并报请应急办、联络办,同时请安全技术
组进行评估,评估审核后安全事件才可以进入应急通报录入程序。
2、应急通报:应急通报应该是一个应急通报的权威发布模块,通过该模块应急人员和一般员工对应急通报将对通报内容进行详细对了解,了解通报对内容、影响对平台和范围、处置对思路和方法等。
应急通报以显著位置进行显示,如浮动窗口、滚动窗口、滑动窗口等方式,需在信息安全应急处置系统首页进行显示,应急处置人员和一般员工在登陆到系统时,可以方便到找到相应到信息入口。
3、应急通报处置流程:系统能够自定义或者上传相关的事件处理流程,应急处置人员和一般员工,可以清晰的了解整个应急通报的处置流程。
4、应急通报处置工具:系统能够提供统一入口,由系统管理员上传相应的应急通报处置工具,而应急处置人员和一般员工,可以通过系统提供的应急通报处置工具对相应对安全事件进行处置,处置工具类型包括但不限于:专杀工具、检测工具、免疫工具、补丁工具、以及各类的补丁信息(操作系统补丁、应用补丁、数据库补丁、中间件补丁)。应急处置人员和一般员工通过此模块,就可以找到相应的工具、补丁等修复手段,进行安全通报处置。
5、应急处置手册:系统能够提供入口,系统管理人员可以上传相关的应急处置手册,应急处置人员和一般员工可以通过应急处置手册进行操作,完成应急
处置工作。
6、应急响应结束:根据应急响应的级别,确定应急响应的结束条件,系统能够支持不同应急响应级别的结束方式。
7、调查与评估:系统能够支持应急响应的调查与评估,总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。
8、系统提供反馈渠道,应急处置人员和一般员工在应急处置时遇到各类问题时,能够有一个统一的渠道进行反馈,系统管理人员能够通过系统进行统一的回复。
4.3.5 应急工具库
系统提供接口,系统管理人员可以建立分类的应急工具,通过上传的应急处置工具,形成环保部信息中心的应急工具库,为应急处置提供技术支持。