1、征信信息安全應急處置預案一、總則(一)編制目的 信息安全涉及以設備為中心的信息安全,技術涵蓋網絡系統、計算機操作系統、數據庫管理系統和應用軟件系統;涉及計算機病毒的防范、入侵的監控;涉及以用戶(包括內部員工和外部相關機構人員)為中心的安全管理,包括用戶的身份管理、身份認證、授權、稽查等;涉及征信信息傳輸的機密性、完整性等。為切實加強我中心征信信息運行安全與信息安全的防范,做好應對征信信息安全突發公共事件的應急處置工作,進一步提高預防和控制征信信息安全突發事件的能力和水平,最大限度地減輕或消除征信信息安全突發事件的危害和影響,確保征信信息安全,結合本中心工作實際,特制定本應急預案。 (二)本預案
2、適用于石嘴山市住房公積金管理中心征信信息安全應急處理工作。二、應急組織機構及職責 成立征信信息安全事件應急處置領導小組,負責領導、組織和協調全中心征信信息安全突發事件的應急保障工作。 (一)領導小組成員: 組長:中心主任、黨組書記 梁慶 副組長:分管征信信息副主任 王敏 成員:由貸款管理科、辦公室、歸集執法科、稽查科、核算監審科、大武口管理部、平羅管理部、惠農區管理部科部負責人組成。 應急小組日常工作由核算監審科承擔,信息安全責任人:柏瓊,安全員為齊巍、樊一馨,其他各相關科室、管理部積極配合。 (二)領導小組職責:制訂專項應急預案,負責定期組織演練,監督檢查各科室、管理部在本預案中履行職責情況
3、。對發生事件啟動應急處置預案進行決策,全面指揮應急處置工作。三、工作原則(一)積極防御、綜合防范 立足安全防護,加強預警,重點保護征信信息安全;從預防、監控、應急處理、應急保障和打擊不法行為等環節,在管理、技術、宣傳等方面,采取多種措施,充分發揮各方面的作用,構筑征信信息安全保障體系。 (二)明確責任、分級負責 按照“分級管理、逐級負責”和“誰主管誰負責、誰使用誰負責”的原則,分級分類建立和完善安全責任制度、協調管理機制和聯動工作機制。切實加強對中心各級征信管理人員和從業人員的全員征信合規性教育培訓,進一步提高工作人員的征信信息安全意識。 (三)落實措施、確保安全定期對征信管理工作開展檢查,檢
4、查內容包括用戶安全管理、異議管理、查詢使用、數據上報、個人不良信息告知等。對出現的異常查詢、違規查詢、非法提供、違規使用、信用報告泄漏等征信信息安全漏洞和隱患進行及時整改。(四)科學決策,快速反應加強技術儲備,規范應急處置措施和操作流程,征信信息安全突發公共事件發生時,要快速反應,及時獲取準確信息,跟蹤研判,及時報告,果斷決策,迅速處理,最大限度地減少危害和影響。四、 事件分類和風險程度分析(一)物理層的安全風險分析主要為系統環境安全風險1. 水災、火災、雷電等災害性故障引發的征信信息網絡中斷、系統癱瘓、數據被毀等;2. 因接地不良、機房屏蔽性能差引起的靜電干擾或外界的電磁干擾使系統不能正常工
5、作;3. 機房電力設備和其它配套設備本身缺陷誘發征信信息系統故障;4. 機房安全設施自動化水平低,不能有效監控環境和征信信息系統工作;5. 征信信息系統中網絡設備交換機,服務器,移動設備自身的安全性也會直接關系征信信息系統的正常運轉。6. 其它環境安全風險。(二)網絡安全風險1.網絡體系結構的安全風險網絡平臺是一切應用系統建設的基礎平臺,網絡體系結構是否按照安全體系結構和安全機制進行設計,直接關系到網絡平臺的安全保障能力。中心網絡是由多個局域網和廣域網組成,網絡體系結構比較復雜。征信信息網、因特網之間是否進行隔離及如何進行隔離,網段劃分是否合理,路由是否正確,網絡的容量、帶寬是否考慮客戶上網的
6、峰值,網絡設備有無冗余設計等都與安全風險密切相關。2.網絡通信協議的安全風險網絡通信協議存在安全漏洞,網絡黑客就能利用網絡設備和協議的安全漏洞進行網絡攻擊和信息竊取。例如未經授權非法訪問征信信息系統;對其進行監聽,竊取用戶的口令密碼和通信密碼;對征信信息系統安全漏洞進行探測掃描;對通信線路和網絡設備實施拒絕服務攻擊,造成線路擁塞和系統癱瘓。3. 網絡操作系統的安全風險網絡操作系統,不論是蘋果操作系統,安卓操作系統,還是微軟操作系統,都存在安全漏洞;一些重要的網絡設備,如路由器、交換機、網關,防火墻等,由于操作系統存在安全漏洞,導致網絡設備的不安全;有些網絡設備存在“后門”。(三) 系統安全風險
7、1.操作系統安全風險操作系統的安全性是系統安全管理的基礎。數據庫服務器、中間層服務器,以及各類業務和辦公客戶機等設備所使用的操作系統,不論是微軟操作系統,還是Unix操作系統都存在信息安全漏洞,由操作系統信息安全漏洞帶來的安全風險是最普遍的安全風險。2. 數據庫安全風險征信信息系統運行的數據都是需要安全保護的信息資產,不僅需要統一的數據備份和恢復以及高可用性的保障機制,還需要對數據庫的安全管理,包括訪問控制,敏感數據的安全標簽,日志審計等多方面提升安全管理級別,規避風險。建立在征信信息系統上的各種應用系統軟件在數據的安全管理設計上也不可避免地存在或多或少的安全缺陷,需要對數據庫和應用的安全性能
8、進行綜合的檢測和評估。3. 病毒危害風險 計算機病毒的傳播會破壞數據信息,占用系統資源,影響計算機運行速度,引起網絡堵塞甚至癱瘓。盡管防病毒軟件安裝率已大幅度提升,但如果沒有好的防毒概念,從不進行病毒代碼升級,而新病毒層出不窮,因此威脅性愈來愈大。 4.黑客入侵風險 一方面入侵者通過網絡探測、掃描征信信息系統存在的安全漏洞,如網絡IP地址、應用操作系統的類型、開放TCP端口號、系統保存用戶名和口令等安全信息的關鍵文件等,并采用相應的攻擊程序進行攻擊。另一方面入侵者通過網絡監聽、用戶滲透、系統滲透、拒絕服務、木馬等綜合手段獲得合法用戶的用戶名、口令等信息,進而假冒內部合法身份進行非法登錄,竊取征
9、信信息,或使系統終止服務。所以,必須要對外部和內部網絡進行必要的隔離,避免信息外泄;同時還要對外網的服務請求加以過濾,只允許正常通信的數據包到達相應主機,其它的請求服務在到達主機之前就應該遭到拒絕。(四) 應用安全風險 1.身份認證與授權控制的安全風險 依靠用戶名和口令的認證很不安全,容易被猜測或盜取,會帶來很大的安全風險。為此,動態口令認證、CA第三方認證等被認為是先進的認證方式。但是,如果使用和管理不當,同樣會帶來安全風險。要基于征信信息系統建立基于統一策略的用戶身份認證與授權控制機制,以區別不同的用戶和信息訪問者,并授予他們不同的信息訪問和事務處理權限。 2.信息傳輸的機密性和不可抵賴性
10、風險 必須保證征信信息系統處理的實時信息傳輸的機密性和網上活動的不可抵賴性,能否做到這一點,關鍵在于采用什么樣的加密方式、密碼算法和密鑰管理方式。采用國內經過國家密碼管理委員會和公安部批準的加密方式、密碼算法和密鑰管理技術來強化這一環節的安全保障。 3.管理層安全風險分析 管理是整個征信信息安全中最為重要的一環,認真地分析管理所帶來的安全風險,并采取相應的安全措施。責權不明、管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。由于征信安全管理、異議管理、查詢使用、數據上報、個人不良信息告知等級方面存在違規操作造成信用報告泄露等征信信息安全事故,未能進行實時的檢測、監控、報告與
11、預警。五、 預防預警 (一)完善征信信息安全突發公共事件監測、預測和預警制度。加強對征信信息安全突發事件和可能引起突發征信信息安全突發公共事件的有關信息的收集、分析、判斷和持續監測。當檢查到有征信信息安全突發事件發生或可能發生時,應及時對發生事件或可能發生事件進行調查核實、保存相關證據,并立即向應急領導小組報告。報告內容主要包括信息來源、影響范圍、事件性質、事件發展趨勢和采取的措施建議等。若發現下列情況應及時向應急領導小組報告:利用征信信息從事違法犯罪活動;征信信息系統通信和資源使用異常;征信信息系統癱瘓,應用服務中斷或數據篡改、丟失;其他影響征信信息安全的信息。(二) 設定征信信息安全等級保
12、護,實行征信信息安全風險評估。 通過相關設備實時監控征信信息安全狀況。征信信息系統建設要充分考慮抗毀性和災難恢復,制定并不斷完善征信信息安全應急處理預案。針對征信信息的突發性、大規模安全事件,建立制度優化、程序化的處理流程。(三) 做好服務器及數據中心的數據備份及登記工作,建立災難性數據恢復機制。一旦發生征信信息安全事件,立即啟動應急預案,采取應急處置措施,判定事件危害程度,并立即將情況向有關領導報告。在處置過程中,應及時報告處置工作進展情況,直至處置工作結束。六、 處置流程(一)預案啟動在發生征信信息安全事件后,核算監審科應盡最大可能迅速收集事件相關信息,鑒別事件性質,確定事件來源,弄清事件
13、范圍和評估事件帶來的影響和損害,一旦確認為征信信息安全事件后,立即將事件上報應急處置領導小組并著手處置。(二) 應急處理1.電源斷電 (1)查明故障原因。(2)檢查UPS是否正常供電。(3)匯報相關領導,確認供電恢復時間,評估UPS供電能力。(4)備份服務器數據、交換機配置。(5)通知網信辦進行電源維修,做好事件記錄。(6)必要時請示應急處置領導小組,主動關閉服務器、交換機、存儲等設備,以免設備損壞或數據損失。2.局域網中斷緊急處理措施(1)信息安全負責人立即判斷故障節點,查明故障原因,及時匯報應急處置領導小組 (2)若是專線故障,及時通知網絡運營商搶修。 (3)若是路由器、交換機等設備故障,
14、應立即從將備用設備取出接上,并調試暢通。 (4)若是路由器、交換機等配置文件損壞,應迅速按照要求重新配置,并調試暢通。 (5)匯報應急處置領導小組,做好事件記錄。 3.廣域網線路中斷 (1)信息安全負責人員應立即判斷故障節點,查明故障原因。 (2)如是本中心管轄范圍,由信息安全負責人員立即維修恢復。 (3)如是電信部門管轄范圍,應立即與電信運營商聯系修復。 (4)做好事件記錄。 4.核心交換機故障 (1)檢查、備份核心交換機日志。 (2)啟用備用核心交換機,檢查接管情況。 (3)備份核心交換機配置信息。 (4)將服務器接入備用核心交換機,檢查服務器運行情況,將樓層交換機、接入交換機接入備用核心
15、交換機,檢查各交換機運行情況。 (5)匯報應急處置領導小組,做好事件記錄。 (6)聯系維修核心交換機。 5.光纜線路故障 (1)立即聯系光纖熔接人員攜帶尾纖等輔助材料,及時熔接連通。 (2)檢查并做好備用光纜或備用芯的跳線工作,隨時切換到備用網絡。 (3)做好事件記錄,及時上報。 6.計算機病毒爆發 (1)關閉計算機病毒爆發網段上聯端口。 (2)隔離中病毒計算機。 (3)關閉中病毒計算機上聯端口。 (4)根據病毒特征使用專用工具進行查殺。 (5)系統損壞計算機在備份其數據后,進行重裝。 (6)通過專用工具對網絡進行清查。 (7)做好事件記錄,及時上報。 7.服務器設備故障 (1)主要服務器應做
16、多個數據備份。 (2)如能自行恢復,則立即用備件替換受損部件,如:電源損壞更換備用電源,硬盤損壞更換備用硬盤,網卡、主板損壞啟用備用服務器。 (3)若數據庫崩潰應立即啟用備用系統。并檢查備用服務器啟用情況。 (4)對主機系統進行維修并做數據恢復。 (5)如不能恢復,立即聯系系統集成商,要求派維護人員前來維修。 (6)匯報應急處置領導小組,做好事件記錄。 8.黑客攻擊事件 (1)若通過入侵監測系統發現有黑客進行攻擊,立即通知系統集成商和維保單位處理。 (2)將被攻擊的服務器等設備從網絡中隔離出來。 (3)及時恢復重建被攻擊或被破壞的系統 (4)記錄事件,及時上報,若事態嚴重,應及時向信息化主管部
17、門和公安部門報警。 9.數據庫安全事件 (1)平時應對數據庫系統做多個備份。 (2)發生數據庫數據丟失、受損、篡改、泄露等安全事件時,信息安全人員應查明原因,按照情況采取相應措施:如更改數據庫密碼,修復錯誤受損數據。 (3)如果數據庫崩潰,信息安全人員應立即啟用備用系統,并向應急處置領導小組報告;在備用系統運行期間,信息安全人員應對主機系統進行維修并作數據恢復。(4)做好事件記錄,及時上報。 10.發生自然災害后的緊急措施 (1)遇到重大雷暴天氣,可能對機房設備造成損害時,應關閉所有服務器,切斷電源,暫停內部計算機網絡工作。雷暴天氣結束后,及時開通服務器,恢復內部計算機網絡工作。 (2)確認災
18、害不會造成人身傷害后,盡快將網絡恢復正常,若有設備、數據損壞,及時使用備份設備或備用數據。 (3)及時核實、報損,并將詳細情況向應急處置領導小組匯報。 11.關鍵人員不在崗的緊急處置措施 (1)對于關鍵崗位平時應做好人員儲備,確保一項工作有兩人能夠操作。對于關鍵賬戶和密碼進行密封保存。 (2)一旦發生征信信息系統安全事件,關鍵人員不在崗且聯系不上或1小時內不能到達機房的情況,首先應向領導小組匯報情況。 (3)經應急處置領導小組批準后,請求系統集成商技術支援。 (4)做好事件記錄。 12.對異常查詢、違規查詢、信息泄露的緊急處置措施 (1)根據監測發現的線索,與對應的業務進行逐筆核實,從授權、審
19、核、查詢、使用、存儲等各環節梳理是否存在征信違規風險隱患。 (2)確認存在隱患,立即停用該用戶查詢權限。 (3)記錄事件,及時上報,若事態嚴重,應及時向信息化主管部門和公安部門報警。(三)后續處理 征信信息安全事件應急處置以后,應及時采取行動,抑制其影響的進一步擴大,限制潛在的損失與破壞,同時要確保應急處置措施對涉及的相關業務影響最小。安全事件被抑制之后,通過對有關事件或行為的分析結果,找出其根源,明確相應的補救措施并徹底清除。在確保安全事件解決后,要及時清理系統、恢復數據、程序、服務,恢復工作應避免出現誤操作導致數據丟失。(四) 記錄上報征信信息安全事件發生時,應及時向征信信息應急處置工作組
20、匯報,并在事件處置工作中作好完整的過程記錄,及時報告處置工作進展情況,保存各相關系統日志,直至處置工作結束。七、 保障措施 (一)應急設備保障征信信息系統建設系時應事先預留一定的應急設備,建立信息網絡硬件、軟件、應急救援設備等應急物資庫。在征信信息安全突發公共事件發生時,報應急處置領導小組同意后,由應急工作組負責統一調用。(二) 數據保障 征信信息系統應建立容災備份系統和相關工作機制,保證重要數據在遭到破壞后,可緊急恢復。各容災備份系統應具有一定的兼容性,在特殊情況下各系統間可互為備份。 (三)組織管理將征信管理納入重要的工作議事日程,統籌規劃,不斷加強對從業人員在征信法律知識和規章制度方面的學習和培訓,嚴格執行征信業管理條例個人信用信息基礎數據庫管理暫行辦法等法規、規章及征信相關制度,使大家正確理解征信相關制度及要求,提高征信人員業務素質及處理征信問題的能力,依法合規操作,確保征信業務持續健康發展。
全部分類
標準檢索
招標公告
免費下載資料庫
10000份+資源包
千萬vip文檔暢享下載
下載文檔文件編輯即用
網站精選百萬好案
百萬工程地產工作者都在用
微信掃一掃登錄
