王希忠 黄俊强 马 遥 吴 琼
(黑龙江省信息安全测评中心 黑龙江 150090)
如今,信息安全事件频发,且影响日益严重,信息安全的问题已上升到国家战略高度。在进行信息安全管理过程中,如何做好信息安全的监控、防范、处置和恢复是信息安全的重中之重。
追溯应急管理,其定义可以简单理解为一门处理风险和预防风险的学科,应急管理是政府的职责。应急管理是用来应对突发事件的机制。在应急管理中主要包括信息发布机制、应急预警机制、社会心理监控机制和应急法制机制等,这些机制在应急管理中起到至关重要的作用。一个完整的应急管理流程包括减灾、备灾、应急和灾后恢复阶段。
在信息安全领域,应急管理也是针对信息安全突发事件而采取的一系列预防、,信息安全应急管理是指政府及其他公共机构在突发网络与信息安全事件的事前预防、事发应对、事中处置和善后管理的过程,通过建立必要的应急机制,采取一系列必要措施,保障网络与信息系统安全,保障社会公共财产安全,促进社会和谐健康发展的一系列活动。信息安全的应急管理同样可分为四个阶段,针对信息安全事件的预防、灾备、应急处理和事后恢复阶段(如图1所示)。这四个阶段都是围绕信息安全事件来进行管理。
图1 信息安全应急管理阶段
做好信息安全应急管理能够科学地预防、应对网络与信息安全事件,提高信息安全事件的防范能力,最大程度减少信息安全事件造成的损失和危害,为公众利益和社会稳定提供保障。
一个国家的应急管理体系应自上而下做好层次规划,由国家应急管理部门、省级应急管理部门、地市级与运营使用单位组成垂直管理体系,由平级单位间互通信息、分工负责组成横向通信及管理模式,形成一个纵横结合的网络与信息安全管理机制。
信息安全应急管理通报机制是由政府组织的,对所辖范围内的信息系统进行实时监控,对系统状态、发生的安全事件等进行通知通告、对可能发生的安全事件进行预警通报的一种机制。建立良好的信息安全通报机制是做好应急管理的基础,及时发布网络与信息安全事件信息,进行预警,避免信息安全事件大规模爆发,及时进行事后总结,进行趋势分析,为信息安全应急管理提供必要依据。同时,建立网络与信息安全的信息共享和通报机制,能够确保在发生网络与信息安全事件时能统一协调行动,及时有效处置,加强联合防护减少危害损失和影响。
建立信息安全应急管理的通报机制,应本着统一领导、快速反应、分工协作、及时预警等原则。通报机制的内容应涵盖组织机构、信息来源、通报内容、通报对象、通报流程与方式、通报后期处置等内容。省级信息安全管理通报机制的组织机构,包括应急管理的指挥机构、办事机构、监测成员单位(含各行业主管单位)、信息系统运营使用单位、处置专家组、技术支持单位等。其中指挥机构主要负责统筹协调跨部门的信息安全工作;办事机构是指挥机构的具体执行部门,承担安全信息的收集、汇总和上报,以及其他日常事务处理工作;实施监测单位主要负责对各类信息安全事件和可能引发信息安全事件的有关信息进行安全监测工作;信息系统运营使用单位、处置专家组、技术支持单位主要执行应急处置决定等。
在信息安全应急管理中,对信息安全事件的分类、分级是做好应急管理的基础,根据事件等级进行相应处理,做到适时适度地利用人力、物力等资源。网络与信息安全事件一般分为信息安全事件是已经发生的网络信息安全事件。信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、系统故障和灾害性事件等。这些事件可以按照严重程度划分为四个级别:I级(特别重大)、II级(重大)、III级(较大)、IV级(一般)。其中特别重大事件对国家安全、社会秩序、经济建设和公众利益造成的损害特别严重;重大事件指对国家安全、社会秩序、经济建设和公众利益造成严重损害,需要跨部门、跨地区协同处置的信息安全事件;较大事件是指某一区域或部门范围内发生的,对国家安全、社会秩序、经济建设和公众利益造成较严重损害的事件;一般事件是指对国家安全、社会秩序、经济建设和公众利益构成一定威胁,对公民、法人和其他组织的权益有一定影响的信息安全事件为一般信息安全事件。在信息安全通报机制中,还应对预警信息进行分级。预警信息是指预警信息是指存在潜在安全威胁或隐患但尚未造成实际危害和影响的信息,或者对事件信息分析后得出的预防性信息。预警信息分为四级:I级、II级、III级、IV级,依次为红色、橙色、黄色和蓝色表示,分别对应可能发生特别重大、重大、较大和一般的信息安全事件。
省级信息安全应急通报应根据实际情况分为两种时期的通报,即紧急通报和常态化通报两种。常态化通报主要用于日常信息的统计、预测和汇报。不定期通报是指紧急状态下的信息安全情况通报。所谓紧急状态,是指发生或者即将发生特别重大信息安全事件,需要国家机关及我省应急指挥部依照宪法、法律规定,行使紧急权力予以控制、消除其社会危害和威胁时的一种临时性的严重危急状态。在此状态下,实施监测单位、事发行业主管单位及事发单位应执行24小时实时监测,并于每日16时前将当日监测结果报送至省协调小组办公室。
信息安全通报机制的信息来源应包括对重点领域网站的安全性监测信息、横向信息来源、纵向信息来源和其他方面信息来源。网站监测信息是由省级网站监测部门实施的对全省的重点网站的信息安全事件及潜在风险进行的实时监测;横向来源是指政府中具有监管职能的部门实施监测所获得信息;纵向信息来源一般应由省级行业主管单位对本行业内部的信息安全事件和潜在风险实施监测所获信息,如电力、证券期货、银行、卫生、通讯、广电、教育,以及其他涉及国计民生的行业主管单位;其他信息来源指的是网络安全产品研发企业提供的信息。这些信息经过汇总与研判再进行下发、通报与汇报等,如下图所示。
图2 信息通报内容与方式
作为信息安全应急管理工作的重要环节,应急通报过程中及过程后的工作响应情况、信息准确情况、及时程度等都是决定应急处理工作成败的关键因素。因此,在进行应急信息通报及处理过程中,对通报的内容、结果进行考核是十分必要的。
建立通报机制时,应考虑责任与考核问题。应能保证通报过程中各单位能够认真履行职责,保证通报信息的及时、准确,因瞒报、缓报、谎报而产生的后果,将依法追究其相关责任。对落实信息安全工作中表现突出的部门也应予以表彰奖励,对违反有关规定、未按要求落实工作或处理信息安全事件不积极、不及时的主管单位予以通报批评。
考核能容至少包括安全整改情况、处置情况,信息安全事件等级与数量,预警信息等级和预警信息数量等因素。
综上所述,信息安全应急管理是一个多部门、多组织共同协调的过程,其中的信息安全应急通报机制也是实行分级管理、分级负责、统一指挥、立足防护的综合过程,各级通报单位和部门主管单位通过建立和完善信息通报、报告制度与联动工作机制,各司其职,形成合力,共同推进网络与信息安全保障工作。
[1]互联网网络安全信息通报实施办法[EB].
[2]北京市网络与信息安全事件应急预案(2012).
[3]姚国章,应急管理信息化建设[M],北京:北京大学出版社,2009.
[4]龚晶 等译,应急管理概论(第3版)[M],北京:知识产权出版社,2012.
[5]谢宗晓,刘琦,信息安全管理体系实施及文件集[M].北京:中国标准出版社,2010.
[6]GB/T 22081-2008,信息技术 安全技术 信息安全管理实用规则[s].