电子政务网络安全事件预警应急响应方案

　　政府是社会和经济运转的核心，业务职能非常广泛。电子政务作为国家信息化建设的重点工程，利用了现代网络技术，突破部门和区域限制，对于提高政府办公效率、增加政府办公透明度具有重要作用。

　　1 概述

　　政府是社会和经济运转的核心，业务职能非常广泛。电子政务作为国家信息化建设的重点工程，利用了现代网络技术，突破部门和区域限制，对于提高政府办公效率、增加政府办公透明度具有重要作用。电子政务网络按敏感级别和业务类型，可划分为：

　　1、 涉密机要专网

　　2、 电子政务专网

　　3、 电子政务外网

　　电子政务外网是为市民提供政务公开信息和网上服务场所的媒体，直接同因特网连接；政务专网上运行关键的政务应用，是为公务员提供协同办公、信息传输交互和业务数据处理的网络平台；电子政务专网和政府外网逻辑隔离；涉密机要专网与电子政务专网实行物理隔离、与政府外网实行物理隔离。

　　2 安全建设问题与需求

　　随着电子政务的建设发展，各级政府机构对网络安全也日益重视，政务网都对计算机网络采取了一定的安全防护措施，一般是：

　　有一定的安全方面投入，部署防火墙、防病毒系统等安全设备，有的网络零散部署了入侵检测系统

　　具有基本的安全管理制度和流程

　　网络中曾经出现了安全事件；甚至并不清楚网络是否出现过安全问题

　　分散处理遇到的安全问题

　　整个单位中安全管理人员的技术水平差异比较大

　　然而，在进行了一定的安全投资，采购了部分安全产品后，政务网中仍然存在比较多的安全问题，而这些安全问题导致已有的安全投资效果并不明显：

　　购买的安全设备起不到应有的作用，网络中仍旧频频出现安全事件。

　　网络出现安全事件时，不能及时发现、无法及时处理。

　　无法全面了解整个网络中正在发生的内部越权访问和外部攻击。

　　新出现的网络蠕虫病毒造成了较大的损失，甚至造成工作和业务的停顿，但无法根除。

　　在网络速度变慢的情况下，无法迅速查明真正的原因。

　　本系统的各个单位各自为政，没有对遇到的安全问题进行统一考虑，从而不能形成“一盘棋”的安全状态。

　　从网络安全的本质来看，为了保障政务网的安全，必须及时知道网络中出现的安全问题，把握网络风险，及时处理安全事件。为此，启明星辰公司推出了政务网安全事件预警与应急响应体系，力图真正、彻底解决政务网安全建设中遇到的这些问题。

　　3 应急响应体系概述

　　安全事件预警与应急响应体系（Venus Computer Emergency Response Team，简称VeCERT）是启明星辰公司协助客户单位建立的综合体系，是通过整体部署天阗入侵检测与预警系统作为有效的技术手段，建立以客户安全队伍为基础、启明星辰公司技术服务队伍为后备，建设组织管理、预案流程、制度规范等综合措施，以便尽早对有重大危害的计算机和网络安全事件进行发现、分析和确认，并对其进行响应，以降低可能造成的风险和损失的综合安全体系。

　　VeCERT响应的安全事件主要是指那些可能在较大范围内发生，传播速度快，影响范围广，造成危害大，紧急发生的网络违规行为。典型的应急响应安全事件包括网络蠕虫（如Nimda蠕虫、Sql slammer蠕虫）、恶意代码、网络攻击、异常网络流量、异常网络内容等。

　　这些安全事件的共同特点是：

　　1、 突发性

　　2、非典型性

　　3、 大范围、涉及面广

　　4、 有重要危害和影响

　　5、受影响的网络或系统存在显著的脆弱性

　　6、 需要动员内部和外部力量协同解决

　　4 应急响应体系建设内容

　　与政务网的网络体系和行政管理关系状况相适应，VeCERT是分层次建设的。对建设单位来说，应急响应中心建设在总部的相关部门（如信息中心），各级应急响应单元分布建设在下属的各级单位，共同组成一个分层次的、统一指挥的、协同工作的、一体化的预警与应急响应体系。

　　VeCERT的建设单位需要建设的和实施主要内容是：部署支撑系统，建立组织结构，制订应急预案、日常流程，建设应急响应知识库。

　　对客户建立的整个安全事件预警与响应体系来讲，包括了多个这样的单元。各个单元的网络之间是互联互通的，安全事件预警系统之间是上传下达的，日常流程是一致的，应急预案是统一的。

　　客户最上层的单位作为应急响应中心，在启明星辰的协助下，制订并下发统一的安全事件预警与应急响应策略，各级下属单位遵照应急响应中心的模式和要求进行建设。由于下属单位可能是多级的（如：省、地、县），应急响应体系也是多级的。

　　启明星辰应急队伍直接负责对客户最上层VeCERT单元（总控中心）的技术支持。