網(wǎng)絡(luò)安全應(yīng)急處置工作流程

1、文件名稱信息安全應(yīng)急預案密級內(nèi)部文件編號版本號V1.0編寫部門編寫人審批人發(fā)布時間信息安全應(yīng)急預案V 1.0總則為提高公司網(wǎng)絡(luò)與信息系統(tǒng)處理突發(fā)事件的能力，形成科學、有效、反應(yīng)迅速的應(yīng)急 工作機制，減輕或消除突發(fā)事件的危害和影響，確保公司信息系統(tǒng)安全運行，最大限 度地減少網(wǎng)絡(luò)與信息安全突發(fā)公共事件的危害，特制定本預案。適用范圍本預案適用于公司信息系統(tǒng)安全突發(fā)事件的應(yīng)急響應(yīng)。當發(fā)生重大信息安全事件時， 啟動本預案。編制依據(jù)國家通信保障應(yīng)急預案、中華人民共和國計算機信息系統(tǒng)安全保護條例、計 算機病毒防治管理辦法、信息安全應(yīng)急響應(yīng)計劃規(guī)范、信息安全技術(shù) 信息安 全事件分類分級指南組織機構(gòu)與職責公司信

2、息系統(tǒng)網(wǎng)絡(luò)與信息安全事件應(yīng)急響應(yīng)由公司信息安全領(lǐng)導小組統(tǒng)一領(lǐng)導。負責全中心系統(tǒng)信息安全應(yīng)急工作的領(lǐng)導、決策和重大工作部署。由公司董事長擔任領(lǐng)導小組組長，技術(shù)部負責人擔任領(lǐng)導小組副組長，各部門主要負 責人擔任小組成員。應(yīng)急領(lǐng)導小組下設(shè)應(yīng)急響應(yīng)工作小組，承擔領(lǐng)導小組的日常工作，應(yīng)急響應(yīng)工作小組 辦公室設(shè)在技術(shù)部。主要負責綜合協(xié)調(diào)網(wǎng)絡(luò)與信息安全保障工作，并根據(jù)網(wǎng)絡(luò)與信息 安全事件的發(fā)展態(tài)勢和實際控制需要，具體負責現(xiàn)場應(yīng)急處置工作。工作小組應(yīng)當經(jīng) 常召開會議，對近期發(fā)生的事故案例進行研究、分析，并積極開展應(yīng)急響應(yīng)具體實施 方案的研究、制定和修訂完善。預防與預警機制公司應(yīng)從制度建立、技術(shù)實現(xiàn)、業(yè)務(wù)管理等

3、方面建立健全網(wǎng)絡(luò)與信息安全的預防和預警機制。信息監(jiān)測及報告.應(yīng)加強網(wǎng)絡(luò)與信息安全監(jiān)測、分析和預警工作。公司應(yīng)每天定時利用自身監(jiān)測技術(shù)平臺實時監(jiān)測和匯總重要系統(tǒng)運行狀態(tài)相關(guān)信息， 如：路由器、交換機、小型機、存儲設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、機房系統(tǒng)的訪問、運行、報錯及流量等日志信息，分析系統(tǒng)安全狀況，及時獲得相關(guān)信息。.建立網(wǎng)絡(luò)與信息安全事件通報機制。發(fā)生網(wǎng)絡(luò)與信息安全事件后應(yīng)及時處理，并視嚴重程度向各自網(wǎng)絡(luò)與信息安全事件的應(yīng)急響應(yīng)執(zhí)行負責人、及上級主管部門報告。預警應(yīng)急響應(yīng)工作小組成員在發(fā)生網(wǎng)絡(luò)與信息安全事件后，應(yīng)當進行初步核實及情況綜合，快速研究分析可能造成損害的程度，提出初步行動

4、對策，并視事件的嚴重程度決定是否及時報各自應(yīng)急響應(yīng)執(zhí)行負責人。應(yīng)急響應(yīng)執(zhí)行負責人在接受嚴重事件的報告后，應(yīng)及時發(fā)布應(yīng)急響應(yīng)指令，并視事件嚴重程度向各自信息安全領(lǐng)導小組匯報。.預警范圍：(1)易發(fā)生事故的設(shè)備和系統(tǒng)；(2)存在事故隱患的設(shè)備和系統(tǒng)；(3)重要業(yè)務(wù)使用的設(shè)備和系統(tǒng)；(4)發(fā)生事故后可能造成嚴重影響的設(shè)備和系統(tǒng)。.預防措施：(1)建立完善的管理制度，并認真實施；(2)設(shè)立專門機構(gòu)或配備專人負責安全工作；(3)適時分析安全情況，制定、完善應(yīng)急響應(yīng)具體實施方案。預防機制積極推行信息系統(tǒng)安全等級保護，逐步實行網(wǎng)絡(luò)與信息安全風險評估。基礎(chǔ)信息 網(wǎng)絡(luò)和重要信息系統(tǒng)建設(shè)要充分考慮抗毀性與故障恢復

5、，制定并不斷完善網(wǎng)絡(luò)與信息 安全應(yīng)急響應(yīng)具體實施方案；及早發(fā)現(xiàn)事故隱患，采取有效措施防止事故發(fā)生，逐步 建立完善的監(jiān)控系統(tǒng)，保證預警的信息傳遞準確、快捷、高效。 事件分類與分級 事件分類公司系統(tǒng)網(wǎng)絡(luò)與信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件等 7個基本分類。有害程序事件：蓄意制造、傳播有害程序，或是因受到有害程序的影響而導致的網(wǎng)絡(luò)與信息安全事件。網(wǎng)絡(luò)攻擊事件：通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、 程序缺陷或使用暴力攻擊對信息系統(tǒng)實施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當 前運行造成潛在危害的網(wǎng)絡(luò)

6、與信息安全事件。信息破壞事件：通過網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、 泄漏、竊取等而導致的網(wǎng)絡(luò)與信息安全事件。信息內(nèi)容安全事件：利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的內(nèi)容的安全事件，利用網(wǎng)絡(luò)從事違法犯罪活動的情況，網(wǎng)絡(luò)恐怖活動的嫌疑情況 和預警信息。設(shè)備設(shè)施故障：由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導致的網(wǎng)絡(luò)與信息 安全事件，以及人為的使用非技術(shù)手段有意或無意的造成信息系統(tǒng)破壞而導致的網(wǎng)絡(luò) 與信息安全事件。災(zāi)害性事件：由于不可抗力對信息系統(tǒng)造成物理破壞而導致的網(wǎng)絡(luò)與信息安全事件。其他信息安全事件：不能歸為以上 6個基本分類的網(wǎng)絡(luò)與信息安全事件。事件定級

7、公司系統(tǒng)網(wǎng)絡(luò)與信息安全事件級別分為四級：一級（特別重大）、二級（重大）、三級（較大）和四級（一般）。一級（特別重大）：指能夠?qū)е绿貏e嚴重影響或破壞的網(wǎng)絡(luò)與信息安全事件。二級（重大）：指能夠?qū)е聡乐赜绊懟蚱茐牡木W(wǎng)絡(luò)與信息安全事件。三級（較大）：指能夠?qū)е孪鄬乐赜绊懟蚱茐牡木W(wǎng)絡(luò)與信息安全事件。四級（一般）：指能夠?qū)е螺^小影響或破壞的網(wǎng)絡(luò)與信息安全事件。應(yīng)急響應(yīng)的流程在發(fā)生信息安全事件時，啟動下列應(yīng)急響應(yīng)流程，應(yīng)急響應(yīng)流程下圖所示。1、事件分析事件分析主要完成如下工作：1）在發(fā)生信息安全事件后，應(yīng)急響應(yīng)工作小組對事件進行確認。2）確認為信息安全事件后，根據(jù)應(yīng)急處理事件分類規(guī)則對事件進行定性、定級和

8、 上報。3）根據(jù)對事件的初步分析，確定應(yīng)急處理方式，如果應(yīng)急響應(yīng)工作組以自身力量 無法處理的事件，由應(yīng)急工作小組向上級領(lǐng)導或上級機關(guān)提出應(yīng)急支援請求。應(yīng)急響應(yīng)流程圖2、事件處理事件處理主要包括以下內(nèi)容：1）泄密安全事件發(fā)生時，要及時的用口頭或書面的形式向保密工作部門如實報告 并上報上級主管部門的保密機構(gòu)，同時采取斷開網(wǎng)絡(luò)、改變或終止用戶權(quán)限等措施切 斷泄密源頭，控制泄密范圍，并及時對系統(tǒng)隱患進行修補。在對系統(tǒng)的泄漏隱患或風 險進行重新評估，確認安全后，系統(tǒng)方能重新運行，對事件類型、發(fā)生原因、影響范 圍、補救措施和最終結(jié)果進行詳細紀錄。2）系統(tǒng)運行安全事件發(fā)生時，應(yīng)分析是否存在針對該事件的特定系

9、統(tǒng)預案， 如果 存在則啟動特定系統(tǒng)應(yīng)急預案，如果涉及多個特定系統(tǒng)預案，應(yīng)同時啟動所有涉及的 特定系統(tǒng)預案。分析是否存在針對該事件的專題預案，如果存在則啟動專題預案，如 果事件涉及多個專題預案，應(yīng)同時啟動所有涉及的專題預案。3）如果沒有針對該事件的應(yīng)急預案，應(yīng)根據(jù)事件具體情況，采取抑制措施，抑制事件進一步擴散，并根除事件影響，恢復系統(tǒng)運行；3、結(jié)束響應(yīng)系統(tǒng)恢復運行后，應(yīng)急響應(yīng)工作組對事件造成的損失、事件處理流程、應(yīng)急預案 進行評估，對響應(yīng)流程、預案提出修改意見，撰寫事件處理報告。應(yīng)急響應(yīng)工作組應(yīng) 根據(jù)信息安全應(yīng)急預案要求，確定是否需要上報該事件及其處理過程，需要上報 的應(yīng)及時準備相關(guān)材料，上報上

10、級機關(guān)。對于蠕蟲、病毒等易造成大范圍傳播的信息安全事件，應(yīng)及時向應(yīng)急工作小組提 交預警信息。應(yīng)急響應(yīng)流程結(jié)束。應(yīng)急處置演練制度為保證應(yīng)急行動的能力，應(yīng)每年至少組織一次應(yīng)急行動演練，以提高處理應(yīng)急事 件的能力，檢驗物資器材的完好情況。應(yīng)急響應(yīng)演練按如下步驟進行：(1)由信息安全應(yīng)急響應(yīng)領(lǐng)導小組確定應(yīng)急響應(yīng)演練的目標和應(yīng)急響應(yīng)演練的范圍；(2)按信息安全應(yīng)急響應(yīng)領(lǐng)導小組的要求， 由應(yīng)急響應(yīng)工作小組制定應(yīng)急響應(yīng)演練的方木；(3)應(yīng)急響應(yīng)工作小組調(diào)配應(yīng)急響應(yīng)演練所需的各項資源，并協(xié)調(diào)應(yīng)急響應(yīng)演練過程中涉及的部門和單位；(4)應(yīng)急響應(yīng)工作小組組織進行應(yīng)急演練；(5)信息安全應(yīng)急響應(yīng)領(lǐng)導小組總結(jié)經(jīng)驗， 根

11、據(jù)演練結(jié)果對應(yīng)急預案進行更新， 并對 本單位的應(yīng)急工作整改。在應(yīng)急響應(yīng)演練結(jié)束之后，應(yīng)急響應(yīng)工作小組應(yīng)針對應(yīng)急響應(yīng)工作過程中遇到的 問題，分析應(yīng)急響應(yīng)預案的科學性和合理性，針對預案中的問題向應(yīng)急工作小組提出 修改建議。應(yīng)急工作小組組織對修改意見進行評估，修改后的預案應(yīng)經(jīng)評估通過后， 上報領(lǐng)導小組，經(jīng)批準后發(fā)布實施。在上級機關(guān)預案或相關(guān)的法律標準修改后，本預案應(yīng)進行調(diào)整與其保持一致。調(diào) 整后，應(yīng)急工作小組應(yīng)組織專家組對其評審，評審通過后上報領(lǐng)導小組，經(jīng)批準后發(fā) 布實施。應(yīng)急響應(yīng)總結(jié)制度應(yīng)急處置結(jié)束后，須進行以下工作：(1)召開應(yīng)急事件總結(jié)會議。(2)分析異常事件發(fā)生的原因，形成信息安全事件原因分

12、析報告。(3)有關(guān)人員編制安全事件處置報告。報告內(nèi)容包括事件發(fā)生事件、地點，監(jiān)測 到時間的事件、地點，事件的處理過程，事件的處理方法，事件造成的影響， 可吸取的經(jīng)驗報告。(4)對相關(guān)責任人員進行嚴肅的批評和教育， 指出其工作中的缺陷，并讓其提供 總結(jié)報告。情節(jié)嚴重的，給予書面警告、除名等處罰措施。(5)針對發(fā)生的事件的起因，分析改進的措施和補救方法，從技術(shù)和管理上加以 改進，堅決杜絕類似事件在今后發(fā)生。(6)技術(shù)改進措施：1)針對脆弱性或漏洞，檢查涉密信息系統(tǒng)的其他位置，找出并進行改進或 加固；2)改進應(yīng)急方案內(nèi)容，使應(yīng)急方案滿足今后的日常監(jiān)測和應(yīng)急需要；3)增加可能出現(xiàn)故障設(shè)備的備份設(shè)備，增

13、加單點設(shè)備的備份設(shè)備；4)更換或升級經(jīng)常出故障的產(chǎn)品。5)對本次應(yīng)急處理的處理方法進行歸檔，作為知識庫進行保管。(7)管理改進措施：1)修改相關(guān)制度和崗位工作任務(wù)和職責；2)落實人員的崗位職責；3)進一步做好系統(tǒng)的日常運維工作；4)加強教育，培養(yǎng)人員的安全意識；5)進一步加強安全檢查，以檢查促安全。持續(xù)改進為了保證本文件的時效性、可有性，必須根據(jù)相關(guān)審核規(guī)定進行評審和修訂，修訂后 重新發(fā)布。附貝U本規(guī)定由技術(shù)部制定并負責解釋。本規(guī)定自發(fā)布之日起施行。附件1:通信錄1、應(yīng)急領(lǐng)導小組成員名單姓名部門及職務(wù)電話手機郵件備注2:應(yīng)急工作小組名單姓名部門及職務(wù)電話手機郵件備注3:相關(guān)機構(gòu)和聯(lián)系方式機構(gòu)名

14、稱聯(lián)系人聯(lián)系電話郵件信息安全服務(wù)商電信運營商其他機構(gòu)附件2:泄密事件報告表泄露國家秘密事件報告表發(fā)生泄密事件部門泄密事項的主要內(nèi)容發(fā)生（現(xiàn)）時間發(fā)生（現(xiàn)）地點當事人姓名當事人職務(wù)泄密的方式泄露密級及載體數(shù)（份、 件、項等）絕 密機 密秘 密主要責任人基本情況：泄密事件發(fā)生經(jīng)過：采取補救措施：主管領(lǐng)導（簽字）：填報人：年 月日附件3:日常監(jiān)測異常事件記錄日常監(jiān)測異常事件記錄表記錄人：記錄時間:異常事件名稱異常事件 系統(tǒng)運營事件 泄密事件異常事件詳細描述注：相關(guān)日志等可作為附件粘貼在本記錄表后面。異常事件發(fā)現(xiàn)時間異常事件發(fā)現(xiàn)途徑異常事件 監(jiān)測者異常事件影響范圍和嚴重程度異常事件造成的損害已采取的應(yīng)急措施注：發(fā)現(xiàn)異常事件須詳細記錄，并迅速報告應(yīng)急工作小組附件4:事件定級表信息安全事件定級表事件描述發(fā)生（現(xiàn)）時間當事人姓名影響范圍事件影響程度事件經(jīng)濟損失事件擬定安全級別級（1-4級）處理事件需要的相關(guān)資源（人員、設(shè)備、 保障資源）應(yīng)急工作小組意見時間：應(yīng)急領(lǐng)導小組意見時間：附件5:演練總結(jié)報告應(yīng)急演練總結(jié)報告演練名