中国移动四川公司业务支撑中心应急预案及处理流程.doc

中国移动四川公司业务支撑中心 应急预案及处理流程 四川移动业务支撑中心安全应急预案 1 目的 目前BOSS系统在安全建设上，通过划分安全域，部署访问控制和身份认证、入侵检测、日志审计设备，对来自外网对BOSS系统内网的访问进行了严密的安全控制。为了保障四川移动业务支撑中心BOSS业务系统能够安全稳定正常可靠的运行，加强四川移动业务支撑中心业务支撑网全网安全管理工作，有效预防、及时监控并及时处理全网重大安全事件，最大限度的消除信息安全各类突发事件的危害和影响，特制定本安全防御和应急预案。 预案适用于四川移动业务支撑中心支撑网安全突发事件应急处理工作。 2 组织结构 为了保证安全事件能及时、有效的得到处理，业务支撑中心建立安全事件应急响应的组织，以下简称应急小组。应急小组包括领导小组和安全工作组。如下图所示： 2.1 安全领导小组职责 1. 贯彻国家、有限公司有关方针政策，审定安全事件应急响应相关政策及规定； 2. 启动/终止应急预案，并负责安全应急工作的总体指挥和协调； 3. 根据上级部门指示，决策重大安全事件的应急处理实施方案，并向上级部门汇报实施和进展情况； 2.2 安全工作小组的职责 1. 制订、修改业务支撑网的安全事件应急预案，并提交领导小组审定与发布； 2. 应急预案需要经过预演、模拟或演练等方式，保证其可用性； 3. 联系相关集成商、设备厂商、安全服务商等，在安全事件发生和处理前后提供相应支持； 4. 根据发生的安全事件的不同级别，分别按照应急流程进行上报； 5. 根据发生的安全事件的不同级别，分别按照应急流程进行分析、处理、恢复等工作； 6. 需要对安全事件发生、上报、处理与恢复、跟踪等全过程进行记录； 2.3 安全管理组织各成员单位的主要职责 1. 各成员单位应按照安全管理组织的决定，组织力量对负责范围内的网络与信息系统安全突发事件进行处置； 2. 各成员单位在对安全突发事件进行处置时，应贯彻执行应急处理预案； 3. 安全服务商应对安全突发事件进行及时响应，并组织和协调其他成员单位及时进行处置工作。 2.4 现场应急处理人员主要职责 1. 遵循应急处理预案的流程和方法，及时有效的处理安全突发事件； 2. 具备相应的应急处理技术手段，确保处理安全突发事件的顺利完成； 2.5 相关厂商联系人列表 具体的相关厂商联系人列表，详见附件《相关厂商联系人列表.xls》 3 应急处理流程 3.1 安全事件级别定义 根据安全事件对业务支撑网造成的影响程度，安全级别从低到高可以分为以下四个级别。 1、四级/一般 安全事件未造成业务中断，或中断时间少于10分钟，并且未造成业务系统数据损坏、丢失。例如，误操作加入了一项访问控制列表，造成业务系统暂时无法访问，及时发现并进行了恢复。 2、三级/预警 安全事件造成业务中断或间断，中断时间10-30分钟，并且未造成业务系统数据损坏、丢失。例如，蠕虫病毒造成局部网络拥塞，未对数据破坏，及时进行了防毒与恢复。 3、二级/告警 安全事件造成业务中断或间断时间在30-60分钟，或者业务系统数据部分损坏、丢失，可以通过备份进行恢复。例如，某服务器被入侵后，计费数据被删除，被删除数据有备份。 4、一级/紧急 安全事件造成业务中断或间断时间在60分钟以上，或者影响的范围涉及两个或两个以上业务系统，或者业务系统数据损坏、丢失，并且无法恢复，或者重要数据泄露，或者业务系统或网络被破坏或损坏，并且预计在60分钟内无法恢复。 3.2 应急响应时间 故障等级 响应时间 故障处理时间 紧急故障 10分钟 1小时以内 告警故障 30分钟 4小时以内 预警故障 60分钟 7个小时以内 一般故障 90分钟 1个工作日以内 3.3 应急响应步骤 在出现突发安全事件的情况下，应该按如下步骤进行响应： 1. 确定故障现象。通过对网络流量进行分析确认故障现象： 1) 网络流量超出正常通讯流量极限 2) 大量的反向域名解析 3) 超常大小的ICMP和UDP数据包 4) 异常的TCP及UDP数据包 5) 异常编码数据包 6) 安全设备（IDS、防火墙等）告警信息 2. 检查系统、防火墙、路由器等系统安全日志，并配合相关安全手段，明确故障影响范围。如影响范围呈扩大趋势，可报经数据中心相关领导同意，暂时断开网络通路，避免网络攻击影响范围扩大。 3. 对故障现象进行调查和检测分析，判断故障类型、特征及引起故障的原因。 4. 确定故障是由病毒引起时，立即启动病毒应急处理流程进行相应处理。 5. 确定故障是由攻击行为引起时，根据确定的攻击类型和攻击特征，采取对应措施，对网络层、系统层及应用层的安全策略进行相应的调整和修改，以阻断攻击和防范后续攻击。 6. 恢复业务系统的正常运行。如主机系统不能恢复正常运行的情况下，调用备份数据，及时恢复系统运行。 7. 持续监控系统运行状态，防止攻击行为的再次出现。 8. 总结故障事件处理过程，并生成事件处理报告提交数据中心安全管理组织备案。 3.4 安全事件上报 (一)上报内容 三级和三级以上的安全事件上必须上报给有限公司，并且继续跟踪和上报事件的进展。上报内容包括事件发生时间（校准为北京时间）、事件描述、造成的影响和范围、已采取的措施、阶段处理结果。 (二)上报时间 1、四级一般事件可以不上报；三级预警事件需要在事件处理完毕后24小时内上报；二级告警事件需要在4小时内上报；一级紧急事件需要立即上报（1小时内）。 2、省公司无法自行处理的三级和三级以上事件，需要在4小时内上报，以有限公司进行协调、资源调配和援助。 3、二级以上事件上报后需定期向集团通报阶段性处理情况。二级告警事件需要每天通报一次，直至所有处理完毕。一级紧急事件需要每两小时通报一次，直至所有处理完毕。 (三)上报方式 1、三级事件上报使用传真或电子邮件方式，传真或电子邮件需要使用电话进行确认。 2、二级以上事件的上报必须使用电话上报，同时使用传真或电子邮件方式上报事件具体情况。 3、具体的上报表格详见附件A (四)有限公司业务支撑系统部联系人 田峰 电话 01066006688－2320 13911605750 传真 01066006452 电子邮件 tianfeng@ 3.5 应急处理流程 3.6 应急处理预案 3.6.1 DoS/DDos处理流程 DoS的英文全称是Denial of Service，也就是“拒绝服务”的意思。从网络攻击的各种方法和所产生的破坏情况来看，DoS算是一种很简单但又很有效的进攻方式。它的目的就是拒绝你的服务访问，破坏组织的正常运行。 四川移动业务支撑中心内大部分业务系统是属于内部提供数据访问，只有网上营业厅是对外提供访问的。因此面临DoS攻击的范围较小，一旦遭受DoS攻击，如何在最短的时间内进行抵御和恢复是我们面临的重要问题。 1. 确定DoS攻击类型 在确认遭受DoS攻击时，应首先确定DoS攻击的类型。DoS攻击类型比较多，如SYN FLOOD、IP欺骗DOS攻击、Ping FLOOD、自身消耗的DOS攻击等。而smurf、trinoo、tfn、tfn2k以及stacheldraht是比较常见的DoS攻击程序。 2. 抵御DoS攻击 对不同的DoS攻击类型，我们可采用不同的抵御手段，如抵御 Smurf攻击可采用以下方法： 1）确定你是否成为了攻击平台：对不是来自于你的内部网络的信息包进行监控；监控大容量的回音请求和回音应答信息包。 2）避免被当做一个攻击平台：在所有路由器上禁止IP广播功能；将不是来自于内部网络的信息包过滤掉。 3）减轻攻击的危害：在边界路由器对回音应答信息包进行过滤，并丢弃；对于Cisco路由器，使用CAR来规定回音应答信息包可以使用的带宽最大值。 此外，可采用专业抗DoS攻击的设备进行抵御，最大限度的降低攻击带来的危害。 3. 恢复受攻击的系统 3.6.2 病毒应急事故处理 1. 紧急病毒事件的定义 出现大规模的病毒侵害，并有进一步扩大的趋势；或者关键业务系统和数据受到病毒侵害，并已经或即将影响到业务的正常运作，甚至导致关键业务数据丢失。 1) 系统当机或重复当机 2) 因病毒原因造成业务系统或数据无法正常启动和使用。 3) 其它因病毒引发的严重事故。 2. 紧急病毒事件处理流程 1) 病毒事件诊断：对病毒事件情况作诊断，记录，分析； 2) 病毒事件修复：尽可能减少用户安全病毒事件造成的损失，并修复系统； 3) 系统清理：对病毒事件发生的系统作系统完整性审计、系统安全检查、清理； 4) 系统防护：对安全病毒事件发生过的系统增加、加强安全保护措施； 5) 证据收集：对由于安全病毒事件造成的入侵记录、破坏情况、直接损失情况收集证据； 在故障解决后的72小时内，安排专人从远程或本地跟踪系统运营情况，确保故障根本上得到解决。 3.6.3 网上营业厅出现重大安全事件及解决流程 1. 网站被入侵 网站安装有入侵检测系统，实时监控入侵行为。入侵监测系统设置了全面的入侵模式，当发现有入侵行为时，可以自动切断对方到服务器的连接，并在数据库中记录对方的ip地址以及入侵方式，作为证据。 如果不幸发现网站已经被黑客攻击，可以从备份主机上取出备份数据，在10分钟内恢复。在服务器和入侵监控设备上查找攻击者。 2. 网上营业厅危害信息应急处理措施 应急处理流程图说明： 1) 安全值班人员发现网上营业厅发生故障，立即报告安全工作小组，填写故障报告，记录故障现象，并对安全故障做出初步分析。 2) 业务支撑中心安全工作小组根据分析结果调用相关紧急预案，安全相关流程进行实施。 3) 对实施的结果进行评估，判读故障是否解决。如果未解决，安全工作小组确认是否需要进行各单位的协调工作。 4) 如果需要，立即组织相关厂商技术人员和主管协商分析，判断故障原因，确定应急方案并进行实施。实施结束，对实施结果进行评估。 5) 如果不需要，重新分析原因，制定解决方案并实施。实施结束，对实施结果进行评估。 6) 确认问题解决后，填写相应的故障报告，记录采取的安全措施和技术手段，即实施后的效果。 7) 安全工作小组应在整个过程中，负责统计系统中危害信息的数量，影响的用户范围。以备作为追究责任的依据。并将造成的危害上报领导小组。 3.6.4 内部越权处理 由于业务支撑中心的业务主要是针对内部的数据访问，又牵扯到经济利益。所以来自外部的威胁相对较小，主要就是内部的安全管理。而内部的安全管理最重要的就是权限的管理。 应急处理流程图说明： 1) 外部业务对计费的内部的业务访问必须要通过异构的防火墙体系和启明天钥访问控制三道关口。而内部的业务访问主要是通过启明天钥审计系统来进行权限管理，并通过由业务应用系统开发商和系统厂商分配账号来管理的。对内部的越权访问主要通过几个途径来发现，包括了安全服务商的日常维护、启明天钥审计系统的日志分析和业务厂商的应用发现。 2) 业务支撑中心安全工作小组由各种渠道收集到关于越权访问的情况，应立即根据发现的情况进行分析判断。 3) 根据判断结果，找到越权访问的途径，然后组织相关厂商进行处理、阻断。 4) 阻断成功后，根据日志记录追查访问源。 5) 安全工作小组应在整个过程中，负责统计越权访问影响的范围。以备作为追究责任的依据。在阻断完成后，安全工作小组收集整理统计数据，将造成的危害上报领导小组。 附件 A 省公司上报表格 主送：有限公司 安全事件报告表 级别：[三]级 填报时间： 05年 08月 10日 15时 26分 省公司： XX移动 安全事件简称： IRCBot病毒影响网管系统维护工作 填报人： 张三 安 全 事 件 描 述 业务系统： 业务支撑网网管 事件发生时间： 10日 14时 30分 事件处理时间： 10日 14时 40分 事件详细说明，包括业务影响程度： IRCBot病毒爆发，许多管理终端被感染，造成网络暂时拥塞，未影响到业务系统正常运行，在网络设备上设置访问控制，已控制了病毒。下一步准备进行病毒的查杀、终端的管理工作。 已 采 取 的 措 施 1． 在网络设备上设置访问控制 2． 对终端进行全范围的查杀病毒和更新补丁 3． 派专人进行监控 联系人： 李四 电话： 13999999999 , 0123456789 传真：0123456789 邮件：lisi@