从沪医保系统业务中断，思考网络和信息安全应急管理及预案体系建设

来源：    发布日期：2018.06.15   点击量：

事件背景回顾
    6月13日，上海医保系统故障瘫痪导致近4小时的业务终端（http://sh.sina.com.cn/news/m/2018-06-13/detail-ihcwpcmq1594326.shtml），上海市人力资源和社会保障局关于本事件的声明表示此次问题主要由“医疗保险信息系统发生故障，对全市各医院医疗保险实时结算造成影响”，对当天就医诊疗的参保人员和医院的正常运行造成了一定社会影响，回顾去年Wannacry勒索式病毒席卷全球也不同程度的对社会、企业和个人造成了不同程度的影响。

    就本次事件，安安采访了安言咨询总经理秦峰关于信息安全应急管理体系等内容，并得到了专业的解答以及建议，下面为大家送上第一手资料。
    安安：请问对该事件您如何看待？
    安言咨询 秦峰：在此事件中我认为网络、系统和基础设施的可用性管理固然很重要，但当出现IT系统性的故障时，医院业务缺失IT系统的支撑同时如何确保业务结算依然能运行起来，业务侧的预警、响应和处置也就显得更为重要，否则就会如这次事件IT侧系统中断导致业务侧的业务同时中断，欠缺及时响应的能力。
    自从《网络安全法》发布实施后，各级政府、事业单位、关键信息基础设施单位和企业作为网络运营者已经明确了具体的法定职责，最核心是安全保护义务就是“保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改”，且网安法第五章就是关于“预警监测和应急处置”的具体法律规定要求，对于影响的后果也有具体规定“第五十七条 因网络安全事件，发生突发事件或者生产安全事故的，应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置”。
    各类网络运营者也空前积极关注内外部网络和信息基础安全的投资、建设和推进工作。确保网络和信息安全主要由“攻”和“防”两个核心组成，天下武功唯快不破，当网络运营者“安全长城”一旦某一脆弱性被安全风险所利用，极有可能造成全线的崩塌。由此，我们对于如何应对网络和信息安全危机以及发生危机后如何快速预警、响应、排查和恢复等一系列的问题，值得我们去深刻的思考和如何采取进一步的应急管理体系化建设工作，这也是信息安全防护的最后一道防线。


    安安：是否所有的网络安全事件都需要涉及建立预警监测和应急管理呢？
    安言咨询 秦峰：在此，我们得明确哪些事件是“网络安全事件”， 在2017年1月10日，中央网络安全和信息化领导小组办公室发布的关于《国家网络安全事件应急预案》的通知中关于“网络安全事件”的定义是指“由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件，可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。”
    因此我们看到网络安全事件所导致的危害后果主要针对三个对象：1. 对【网络和信息系统】造成危害；2.对【相关数据】造成危害；3.对【社会】造成负面影响。通过专业化的顶层设计分析，我们需要找到哪些关键业务和哪些关键风险，重点针对这些业务环境所面临的风险场景设计应急体系和应急预案就显得尤为重要。


    安安：网络运营者特别是关键信息基础设施用户着手进行应急体系的建设方面哪些误区？
    安言咨询 秦峰：在从我们安言咨询长期的信息安全和风险管理的咨询经验来说，我们大多看到的企业应急管理主要存在问题表现在：
    1.  仅有应急预案，缺乏应急体系化的管理和顶层设计；
    2.  应急预案基于设备或系统对象，缺乏基于从业务环境的影响分析到信息环境的风险评估分析，导致风险场景化的应急预案设计非常薄弱；
    3.  应急预案缺乏日常化的培训和演练，通常企业的IT应急预案设计和演练缺失业务部门的业务流程参与，导致IT和业务人员的应急流程接口和人员专业响应处理能力的不足。
    网络运营者在制定网络信息安全应急体系方面，可参照的法律、法规和标准包括：
    《中华人民共和国突发事件应对法》；
    《中华人民共和国网络安全法》；
    《国家突发公共事件总体应急预案》
    《突发事件应急预案管理办法》
    《信息安全技术信息安全事件分类分级指南》（GB/Z 20986-2007）
    《信息系统灾难恢复规范》（GB/T 20988-2007）
    《公共安全业务连续性管理体系要求》（GB/T30146-2013）
    《关于做好重要信息系统灾难备份工作的通知》2004年
    《关于印发“重要信息系统灾难恢复指南”的通知》2005年发布等
    相关行业主管单位也已发布行业指引和规范，可进一步参照或借鉴。


    安安：那如何合理的设计建立一套可行的网络和信息安全应急管理体系？
    安言咨询 秦峰：网络和信息应急管理体系应涵盖业务经营、运营支持、后勤保障等所有业务板块,涵盖事前、事中、事后等全程管理,构建完善网络和信息应急管理体系是一项长期性、系统性工程。目的在于提高企业抵御危机事件的能力,当危机真正发生时,确保有适当的人在适当的时间做适当的事,执行事先确定的管理程序、操作步骤,以达到减少损失、实现业务可持续。
    网络和信息应急管理体系实施方案的制定应遵循以关键业务为核心、以流程为基础的原则。“以关键业务为核心”指梳理业务流程,针对关键和支持性的业务环节制定解决方案,以确保关键业务的可持续性运作为目标。“以流程为基础”指进行合理的流程设计,当损坏事件出现时,按照设定的程序执行解决方案,确保适当的人在适当的时间做适当的事。 

    安安：能否重点介绍关于应急管理体系建设的关键步骤？
    安言咨询 秦峰：网络和信息应急管理体系应包括识别、报告、评估、处置、恢复与改进、培训与演练等六个部分。
    (1)在网络和信息应急管理体系的业务影响分析识别,应预先设计可能导致业务活动中断的损坏场景,明确事件触发要素,如涉及金额、损失金额、影响程度等。
(2)在网络和信息应急管理体系的报告部分,应明确信息收集、报告的人员及职责;报告的内容、形式及要求;报告程序;报告时限;报告路径及频率等要求。
(3) 在网络和信息应急管理体系的评估部分,应明确危机事件影响范围及损失评估;可以接受的损失范围;可容忍的最大中断时间等。
(4)在网络和信息应急管理体系的处置部分,处置是网络和信息应急管理体系的核心内容,应根据预设的损坏事件场景,确定处置的总体步骤和具体操作要求,以及人员备份和授权、技术保障、设施配备、通信联络等各项工作,以减少危机事件造成的损失,维持机构关键业务的运作。包括:业务处置的总体步骤和具体操作要求;人员的工作任务及职责;关键人员备份 和紧急授权方案;设施取得计划;技术保障计划;联络沟通计划;机构协作计划;危机公关计划;重要信息记录等。
(5)在网络和信息应急管理体系的恢复与改进部分,应明确业务恢复及改进运行策略的选择,以便在恢复时间目标范围内恢复主要业务,维持机构运行的关键功能。包括:确定业务恢复最低要求;关键业务恢复的目标、优先顺序、恢复时限;非正常状况下的运作程序及方法、所需资源、资源取得途径、恢复运作的步骤;迁回固定场地、恢复正常运作的步骤等。
(6)在网络和信息应急管理体系的培训与演练部分,应进行网络和信息应急管理体系实施方案培训,确保相关人员熟知实施方案及操作要求;进行网络和信息应急管理体系实施方案定期演练,不断提高相关方案的可操作性,确保方案的持续更新和完善。

相关新闻：