安全管理制度-完善方案

安全管理制度完善方案1、總則安全管理體系建設(shè)完善服務(wù)根據(jù)信息安全相關(guān)標(biāo)準(zhǔn)、行業(yè)最佳實(shí)踐和行業(yè)監(jiān)管要求，結(jié)合深圳免稅集團(tuán)原有信息安全管理體系自身特點(diǎn)，制定出信息安全和管理架構(gòu)成熟度改善計(jì)劃。所設(shè)計(jì)的信息安全架構(gòu)應(yīng)整合現(xiàn)有的安全措施，并滿足未來安全建設(shè)發(fā)展的需要。2、現(xiàn)有安全管理分析我司安全管理體系建設(shè)團(tuán)隊(duì)全面分析目前深圳免稅信息系統(tǒng)的安全現(xiàn)狀，深入挖掘各種安全風(fēng)險(xiǎn)，科學(xué)分析當(dāng)前現(xiàn)狀和國際、國家及行業(yè)安全目標(biāo)之間的差距，并以此促進(jìn)未來的信息安全規(guī)劃，構(gòu)建動(dòng)態(tài)、完整、高效的信息安全保障體系，逐步形成持續(xù)完善、自我優(yōu)化的安全運(yùn)維體系和管理體系。確定安全方針和目標(biāo)，匯總現(xiàn)有制度體系，分析各項(xiàng)差異性，設(shè)計(jì)適合的信息科技風(fēng)險(xiǎn)狀況、技術(shù)水平以及管理體系，并輔助實(shí)施，從根本上提信息系統(tǒng)的整體安全能力，為保證業(yè)務(wù)的健康發(fā)展和提升核心競(jìng)爭(zhēng)力提供堅(jiān)實(shí)的基礎(chǔ)保障。3、信息安全管理體系建設(shè)我司提供信息安全管理體系建設(shè)包括但不限于以下內(nèi)容：（1）制定安全策略，并根據(jù)策略完善相關(guān)制度體系；（2）建立信息安全管理體系（ISMS），提升總體安全管理水平；（3）信息安全體系必須符合國家、行業(yè)相關(guān)規(guī)定和指引，并結(jié)合IS27000體系文件，實(shí)現(xiàn)ISMS落地實(shí)施；（4）建立安全運(yùn)維管理體系；（5）結(jié)合信息安全整體規(guī)劃進(jìn)行實(shí)施；（6）結(jié)合安全域劃分進(jìn)行實(shí)施；（7）結(jié)合網(wǎng)絡(luò)安全法、等級(jí)保護(hù)、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法等相關(guān)法律法規(guī)進(jìn)行實(shí)施。4、服務(wù)方式我司將按照深圳免稅集團(tuán)的要求按遠(yuǎn)程+現(xiàn)場(chǎng)方式提供安全管理制度服務(wù)：現(xiàn)場(chǎng)服務(wù)現(xiàn)場(chǎng)查看體系文件、現(xiàn)場(chǎng)進(jìn)行策略分析、現(xiàn)場(chǎng)評(píng)審等。進(jìn)行調(diào)研、評(píng)審等工作遠(yuǎn)程服務(wù)通過電話、郵件、即時(shí)通訊工具，提供體系咨詢服務(wù)。完成方案需求分析、審閱等。完成加固方案的審核、疑難問題的解答等。專家訪談----由資深測(cè)評(píng)人員通過電話遠(yuǎn)程同方案設(shè)計(jì)者進(jìn)行深層次的業(yè)務(wù)安全需求交流。專家評(píng)議----組織行業(yè)專家進(jìn)行集體會(huì)診評(píng)議。應(yīng)急保障方案總則a、目的為了規(guī)范深圳免稅集團(tuán)應(yīng)急響應(yīng)工作內(nèi)容和工作流程，提高自身的應(yīng)急響應(yīng)能力，完善應(yīng)急響應(yīng)機(jī)制，確保信息系統(tǒng)的安全和業(yè)務(wù)的連續(xù)性。b、基本原則a)堅(jiān)持預(yù)防為主提高本單位的信息安全防護(hù)意識(shí)和水平，加強(qiáng)信息系統(tǒng)安全體系建設(shè)，按照信息系統(tǒng)建設(shè)運(yùn)行的特點(diǎn)和規(guī)律積極做好日常安全工作，開展安全教育和培訓(xùn)工作，建立完善的安全管理、監(jiān)督和審查制度，提高各系統(tǒng)應(yīng)對(duì)突發(fā)信息安全事件的能力。b)提高快速反應(yīng)能力建立信息安全預(yù)警和事件快速反應(yīng)機(jī)制，建立高效的事件匯報(bào)渠道，強(qiáng)化人力、物力、財(cái)力儲(chǔ)備，增強(qiáng)應(yīng)急處理能力。保證對(duì)信息安全事件做到早發(fā)現(xiàn)、早報(bào)告、早處理、早恢復(fù)等環(huán)節(jié)的緊密銜接，一旦出現(xiàn)影響信息系統(tǒng)的安全事件，快速反應(yīng)，及時(shí)準(zhǔn)確處置。c)加強(qiáng)安全監(jiān)管在網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)的基礎(chǔ)上，建立完善的信息系統(tǒng)安全監(jiān)控和管理機(jī)制，對(duì)業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)狀況進(jìn)行持續(xù)和重點(diǎn)監(jiān)控，及時(shí)發(fā)現(xiàn)信息安全隱患和事件跡象，進(jìn)行安全預(yù)警并采取針對(duì)性的應(yīng)對(duì)措施。d)責(zé)任到人、制度保障堅(jiān)持統(tǒng)一領(lǐng)導(dǎo)、分工負(fù)責(zé)、及時(shí)預(yù)警、協(xié)作配合、快速處理、確?；謴?fù)的原則。明確信息安全應(yīng)急響應(yīng)工作的角色和職責(zé)，保證各項(xiàng)工作責(zé)任到人，建立應(yīng)急響應(yīng)各項(xiàng)工作的處理流程，實(shí)現(xiàn)應(yīng)急響應(yīng)工作的規(guī)范化、制度化和流程化。c、適用范圍本預(yù)案適用于本單位信息安全事件的應(yīng)急響應(yīng)工作。d、相關(guān)專項(xiàng)預(yù)案

WEBSHELL應(yīng)急處置預(yù)案

釣魚郵件應(yīng)急處置預(yù)案

等其他專項(xiàng)應(yīng)急處置預(yù)案e、發(fā)布與生效應(yīng)急預(yù)案(根據(jù)實(shí)際情況)組織及分工a、網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組組長：副組長：成員：領(lǐng)導(dǎo)小組在應(yīng)急響應(yīng)工作中的主要職責(zé)：a)負(fù)責(zé)審核和批準(zhǔn)【單位名稱】網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)總體規(guī)劃、重大網(wǎng)絡(luò)與信息安全事件報(bào)告；b)負(fù)責(zé)統(tǒng)籌規(guī)劃【單位名稱】網(wǎng)絡(luò)與信息安全應(yīng)急基礎(chǔ)設(shè)施建設(shè)；c)對(duì)重大網(wǎng)絡(luò)與信息安全事件的應(yīng)急響應(yīng)工作進(jìn)行宏觀決策和應(yīng)急指揮；d)協(xié)調(diào)重大網(wǎng)絡(luò)與信息安全事件的調(diào)查處理；e)必要時(shí)接受專家顧問組的咨詢服務(wù)。b、網(wǎng)絡(luò)與信息安全管理小組組長：副組長：成員：管理小組在應(yīng)急響應(yīng)工作中的主要職責(zé)：a)組建并調(diào)整應(yīng)急響應(yīng)工作組；b)定期組織網(wǎng)絡(luò)與信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估和整改；c)組織制訂應(yīng)急響應(yīng)相關(guān)預(yù)案并定期演練；d)編制重大網(wǎng)絡(luò)與信息安全事件報(bào)告；e)組織各項(xiàng)應(yīng)急準(zhǔn)備工作；f)組織對(duì)本系統(tǒng)發(fā)生的重大網(wǎng)絡(luò)與信息安全事件的調(diào)查、通報(bào)工作；g)組織和協(xié)調(diào)各種應(yīng)急資源；h)管理本系統(tǒng)范圍內(nèi)的應(yīng)急響應(yīng)工作；i)與跨部門應(yīng)急協(xié)調(diào)機(jī)構(gòu)進(jìn)行溝通。c、應(yīng)急響應(yīng)工作小組應(yīng)急響應(yīng)工作組由綜合工作小組、業(yè)務(wù)響應(yīng)工作小組和技術(shù)響應(yīng)工作小組組成，負(fù)責(zé)信息安全事件的應(yīng)急響應(yīng)具體工作，應(yīng)急響應(yīng)工作組成員主要包括：綜合工作小組：組長：成員：綜合工作小組主要職責(zé)：a)負(fù)責(zé)應(yīng)急行動(dòng)的后勤供應(yīng)，包括車輛安排、人員食宿安排等；b)負(fù)責(zé)應(yīng)急響應(yīng)工作中的會(huì)議組織、資金保障和飲食、設(shè)備等物資供應(yīng)c)負(fù)責(zé)通信聯(lián)絡(luò)和信息的發(fā)布工作；d)負(fù)責(zé)組織保安、保衛(wèi)工作；e)負(fù)責(zé)技術(shù)工作小組和業(yè)務(wù)工作小組之間的協(xié)調(diào)工作；f)負(fù)責(zé)向網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組及信安辦匯報(bào)事件處理進(jìn)展情況；g)向小組成員傳達(dá)上級(jí)領(lǐng)導(dǎo)指示精神。業(yè)務(wù)響應(yīng)工作小組：組長：成員：業(yè)務(wù)響應(yīng)工作小組主要職責(zé)：a)參與應(yīng)急響應(yīng)處理決策過程，從業(yè)務(wù)方面考慮，為處理提供建議；b)根據(jù)應(yīng)急響應(yīng)工作的需要，依據(jù)相應(yīng)的專項(xiàng)預(yù)案，調(diào)整業(yè)務(wù)安排；c)根據(jù)應(yīng)急響應(yīng)工作的需要，根據(jù)相應(yīng)的專項(xiàng)預(yù)案，組織小組實(shí)施業(yè)務(wù)的中斷與恢復(fù)；d)在應(yīng)急響應(yīng)工作完成后，編寫應(yīng)急響應(yīng)業(yè)務(wù)工作報(bào)告。技術(shù)響應(yīng)工作小組：組長：成員：技術(shù)響應(yīng)工作小組主要職責(zé)：a)參與應(yīng)急響應(yīng)處理決策過程，從技術(shù)方面考慮，為處理提供建議；b)根據(jù)應(yīng)急響應(yīng)工作的需要，依據(jù)相應(yīng)的專項(xiàng)預(yù)案，組織小組施行技術(shù)作業(yè)；c)負(fù)責(zé)向網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組及信安辦匯報(bào)事件技術(shù)處理進(jìn)展情況；d)對(duì)于涉及到業(yè)務(wù)的調(diào)整、中斷和恢復(fù)的技術(shù)作業(yè)，負(fù)責(zé)與業(yè)務(wù)小組進(jìn)行溝通；e)在應(yīng)急響應(yīng)工作完成后，編寫應(yīng)急響應(yīng)技術(shù)工作報(bào)告，對(duì)系統(tǒng)對(duì)預(yù)案提出整改意見。應(yīng)急預(yù)案基本流程任何一個(gè)應(yīng)急預(yù)案都必須首先在做好響應(yīng)前準(zhǔn)備階段工作的基礎(chǔ)上，沒有充分的準(zhǔn)備，應(yīng)急工作則無從談起。總體的應(yīng)急預(yù)案的基本流程主要由：準(zhǔn)備階段監(jiān)測(cè)及事件分析階段事件處理階段結(jié)束響應(yīng)階段總結(jié)及預(yù)警階段這樣幾個(gè)階段組成a、準(zhǔn)備階段包括了人員、組織的準(zhǔn)備以及技術(shù)的準(zhǔn)備，技術(shù)準(zhǔn)備主要是要建立監(jiān)控管理的技術(shù)體系和平臺(tái)（包括各類SIEM、全流量設(shè)備、態(tài)勢(shì)感知、HIDS、EDR等設(shè)備），為事件發(fā)生后的技術(shù)分析，及時(shí)的通告和響應(yīng)等提供條件和保障。同時(shí)，盡可能地在事前做好相應(yīng)的安全防范工作，準(zhǔn)備好進(jìn)行應(yīng)急處理的技術(shù)工具等內(nèi)容。b、監(jiān)測(cè)及事件分析階段監(jiān)測(cè)人員通過手動(dòng)監(jiān)測(cè)方式以及在準(zhǔn)備階段建設(shè)好的安全運(yùn)行管理中心的監(jiān)測(cè)方式，監(jiān)測(cè)是否有異?，F(xiàn)象的發(fā)生；當(dāng)發(fā)生異常情況時(shí)，并根據(jù)異常的性質(zhì)與影響，決定是否向相關(guān)人員進(jìn)行報(bào)告。上報(bào)方式除了通常的電話外，還可以利用安全運(yùn)行管理中心平臺(tái)中的告警機(jī)制，根據(jù)告警級(jí)別的不同，通過工單、郵件、短信的方式上報(bào)和通知到相關(guān)人員。上報(bào)到應(yīng)急響應(yīng)管理小組后，對(duì)異常情況進(jìn)行分析，判斷是否事件類型，識(shí)別攻擊的性質(zhì)以及攻擊強(qiáng)度，同時(shí)根據(jù)事件影響決定是否報(bào)告網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組；在必要的時(shí)候，向公安機(jī)關(guān)報(bào)案以獲得幫助；c、事件處理階段根據(jù)事件的不同，采取不同的處理方案，啟用相應(yīng)的專題應(yīng)急預(yù)案，對(duì)于常見的、主要的事件類型，需制定《XXX安全事件專題應(yīng)急處理預(yù)案》。該階段中的技術(shù)處理主要為抑制事件的影響，并進(jìn)行根除。d、結(jié)束響應(yīng)階段網(wǎng)絡(luò)與信息安全工作小組根據(jù)之前判斷的攻擊信息，采取必要的技術(shù)手段控制攻擊行為、恢復(fù)系統(tǒng)服務(wù)并對(duì)攻擊的來源進(jìn)行追蹤；必要時(shí)向公安機(jī)關(guān)通報(bào)相關(guān)信息，對(duì)攻擊者進(jìn)行溯源分析。e、總結(jié)匯報(bào)階段當(dāng)攻擊事件結(jié)束后，系統(tǒng)恢復(fù)正常，由網(wǎng)絡(luò)與信息安全管理小組對(duì)整個(gè)事件進(jìn)行總結(jié)分析，向網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組進(jìn)行匯報(bào)；網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組組織相關(guān)人員就本次事件總結(jié)經(jīng)驗(yàn)教訓(xùn)，同時(shí)從中總結(jié)預(yù)警方案和內(nèi)容，一方面進(jìn)一步改進(jìn)和完善應(yīng)急響應(yīng)體系，另一方面在安全運(yùn)行管理平臺(tái)上，適時(shí)發(fā)布總結(jié)后的預(yù)警信息，從而逐漸完善信息安全的整體安全保障能力。保障措施a、演練及維護(hù)

原則上每年組織一次應(yīng)急演練，以提高處理應(yīng)急事件的能力，檢驗(yàn)應(yīng)急預(yù)案的合理性、應(yīng)急保障隊(duì)伍和所有相關(guān)人員的專業(yè)素質(zhì)以及管理組織的有效性。應(yīng)急響應(yīng)演練按如下步驟進(jìn)行：a)由網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組確定應(yīng)急響應(yīng)演練的目標(biāo)和應(yīng)急響應(yīng)演練的范圍；b)制定應(yīng)急響應(yīng)演練的方案；c)調(diào)配應(yīng)急響應(yīng)演練所需的各項(xiàng)資源，并協(xié)調(diào)應(yīng)急響應(yīng)演練過程中涉及的部門和單位；d)對(duì)應(yīng)急演練進(jìn)行評(píng)估，并向領(lǐng)導(dǎo)小組報(bào)告演練結(jié)果；e)網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組總結(jié)經(jīng)驗(yàn)，根據(jù)演練結(jié)果對(duì)應(yīng)急總體預(yù)案以及專題預(yù)案進(jìn)行更新，并對(duì)應(yīng)急工作整改。b、制度保障應(yīng)急保障工作必須配備相應(yīng)組織，建立值班機(jī)制，設(shè)立安全運(yùn)營中心，使事件發(fā)生后在最快的時(shí)間內(nèi)就能夠有響應(yīng)。同時(shí)，圍繞安全運(yùn)營，需建立一套較為完善的制度，以保障應(yīng)急工作的開展。c、經(jīng)費(fèi)保障信息安全領(lǐng)導(dǎo)小組應(yīng)根據(jù)需要每年預(yù)算必要的專項(xiàng)應(yīng)急經(jīng)費(fèi)，用于預(yù)案、演練、增補(bǔ)必要的安全設(shè)備，及建立必要的應(yīng)急保障措施等。d、工具與設(shè)備應(yīng)急保障相關(guān)人員應(yīng)當(dāng)配備應(yīng)急預(yù)案中涉及的相關(guān)工具、軟件，確保工具軟件的來源，并能夠正常使用，以保證應(yīng)急預(yù)案的正常實(shí)施。同時(shí)，從長遠(yuǎn)角度考慮，應(yīng)當(dāng)建立一個(gè)面向應(yīng)急、利于應(yīng)急的技術(shù)平臺(tái)，這是應(yīng)急保障的重要內(nèi)容。因此，在應(yīng)急保障的工具與設(shè)備方面，應(yīng)當(dāng)配備以下內(nèi)容：a)基礎(chǔ)平臺(tái)：利于自動(dòng)監(jiān)測(cè)、快速定位、詳細(xì)還原事件全流量存儲(chǔ)與查詢平臺(tái)基于威脅情報(bào)的威脅感知平臺(tái)HIDS日志平臺(tái)b)備機(jī)：快速抑制事件、恢復(fù)業(yè)務(wù)關(guān)鍵設(shè)備的備機(jī)：包括防火墻、網(wǎng)絡(luò)設(shè)備、主機(jī)。抗DDOS攻擊的設(shè)備。c)補(bǔ)充安全設(shè)備快速根除事件，進(jìn)行強(qiáng)制性安全防御終端安全管理系統(tǒng)：可以強(qiáng)制分發(fā)和安裝必要的安全補(bǔ)丁，強(qiáng)制安裝個(gè)人防火墻，利于防御木馬攻擊。專題預(yù)案示例：WEBSHELL應(yīng)急處置預(yù)案a、監(jiān)測(cè)及事件分析階段a)安全運(yùn)營人員，針對(duì)態(tài)勢(shì)感知、WAF、全流量設(shè)備、HIDS等可以發(fā)現(xiàn)Webshell的設(shè)備進(jìn)行監(jiān)測(cè)分析，對(duì)安全設(shè)備產(chǎn)生的高級(jí)進(jìn)行運(yùn)營分析，確認(rèn)攻擊是否成功；一旦發(fā)現(xiàn)攻擊成功事件，則進(jìn)入事件處理階段。b)系統(tǒng)管理員、業(yè)務(wù)人員、用戶通過400等途徑反饋系統(tǒng)存在異常。b、事件處理階段a)立即停止目標(biāo)服務(wù)器的WEB訪問權(quán)限，并下線隔離；b)對(duì)WEB應(yīng)用系統(tǒng)環(huán)境（應(yīng)用目錄、數(shù)據(jù)庫、訪問日志）進(jìn)行備份，便于進(jìn)一步的調(diào)查取證和后續(xù)處理；c)使用工具和技術(shù)手段對(duì)木馬文件、后門程序進(jìn)行掃描檢測(cè)，將檢測(cè)發(fā)現(xiàn)的后門文件徹底刪除；d)根據(jù)在檢測(cè)階段的初步分析結(jié)果采取相應(yīng)的加固措施：e)如果檢測(cè)的結(jié)果顯示是WEB應(yīng)用弱口令導(dǎo)致被上傳木馬、后門：i.修改所有管理員口令，使其符合密碼復(fù)雜度策略：至少包含大寫字母集、小寫字母集、數(shù)字集和特殊字符其中的三種；ii.檢測(cè)后臺(tái)登錄功能，若沒有防暴力破解機(jī)制，聯(lián)系開發(fā)商加入防暴力破解機(jī)制（包括但不限于圖形驗(yàn)證碼、密碼錯(cuò)誤賬號(hào)鎖定等）iii.如果檢測(cè)的結(jié)果顯示是因?yàn)橹虚g件漏洞（如IIS、Weblogic、Apache等）導(dǎo)致被上傳木馬、后門：A.修復(fù)中間件安全漏洞；B.對(duì)漏洞進(jìn)行復(fù)核，確認(rèn)漏洞修復(fù)。f)如果檢測(cè)的結(jié)果顯示是因?yàn)閃EB應(yīng)用安全漏洞（如上傳漏洞、邏輯漏洞等）導(dǎo)致被上傳木馬、后門：i.對(duì)WEB應(yīng)用進(jìn)行滲透測(cè)試/代碼審計(jì)，確定安全漏洞的涉及范圍；ii.聯(lián)系開發(fā)商修復(fù)WEB應(yīng)用安全漏洞；iii.在測(cè)試環(huán)境部署修復(fù)完成的應(yīng)用，進(jìn)行滲透測(cè)試/代碼審計(jì)復(fù)核，確認(rèn)漏洞修復(fù)。g)如果檢測(cè)的結(jié)果顯示是因?yàn)橄到y(tǒng)（容器、中間價(jià)、組件）漏洞導(dǎo)致被上傳木馬、后門：i.對(duì)系統(tǒng)漏洞進(jìn)行更新補(bǔ)??；ii.使用殺毒軟件對(duì)操作系統(tǒng)進(jìn)行木馬病毒查殺；iii.在防火墻上限制WEB應(yīng)用對(duì)外訪問端口。h)如果檢測(cè)發(fā)現(xiàn)防火墻、WEB安全防護(hù)設(shè)備安全策略設(shè)置不嚴(yán)謹(jǐn)：i.安裝WEB安全防護(hù)軟件；ii.對(duì)安全設(shè)備策略進(jìn)行調(diào)整和加固；iii.安排專人對(duì)WEB安全防護(hù)設(shè)備的日志和告警信息進(jìn)行查看分析及處置。i)影響面分析：溯源攻擊者在當(dāng)前主機(jī)上的操作記錄，從主機(jī)日志、全流量設(shè)備中檢索是否被作為跳板對(duì)其他機(jī)器進(jìn)行橫向攻擊。c、結(jié)束響應(yīng)階段a)恢復(fù)WEB應(yīng)用對(duì)外提供服務(wù)；b)對(duì)于無法在原WEB應(yīng)用系統(tǒng)上進(jìn)行徹底修復(fù)的，可通過重新部署、升級(jí)或更換操作系統(tǒng)，升級(jí)中間件，更新后臺(tái)管理系統(tǒng)等方式進(jìn)行重建；c)完成重建后的WEB應(yīng)用初始化安全策略的恢復(fù)；d)驗(yàn)證重建后的WEB應(yīng)用的配置與原系統(tǒng)一致；e)對(duì)恢復(fù)后的WEB應(yīng)用安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，確保安全隱患已經(jīng)消除，同時(shí)觀察應(yīng)急處理是否引入新的安全問題；f)轉(zhuǎn)入常態(tài)運(yùn)維管理狀態(tài)。d、總結(jié)匯報(bào)階段a)在內(nèi)部召開應(yīng)急處理總結(jié)會(huì)議，對(duì)WEB應(yīng)用掛馬、后門事件處理過程、分析原因和結(jié)果進(jìn)行匯報(bào)；b)及時(shí)向安全事件相關(guān)方發(fā)布通告，并根據(jù)事件處置情況做好后續(xù)發(fā)布工作；c)編制WEB應(yīng)用安全事件的應(yīng)急處理報(bào)告，針對(duì)事件產(chǎn)生原因制定針對(duì)性的安全改進(jìn)措施；d)對(duì)本次應(yīng)急處理的處理方法進(jìn)行歸檔，作為知識(shí)庫進(jìn)行留存并保管。附件1網(wǎng)絡(luò)安全事件分類網(wǎng)絡(luò)安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他網(wǎng)絡(luò)安全事件等。1)有害程序事件分為計(jì)算機(jī)病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。2)網(wǎng)絡(luò)攻擊事件分為拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。3)信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。4)信息內(nèi)容安全事件是指通過網(wǎng)絡(luò)傳播法律法規(guī)禁止信息，組織非法串聯(lián)、煽動(dòng)集會(huì)游行或炒作敏感問題并危害國家安全、社會(huì)穩(wěn)定和公眾利益的事件。5)設(shè)備設(shè)施故障分為軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障。6)災(zāi)害性事件是指由自然災(zāi)害等其他突發(fā)事件導(dǎo)致的網(wǎng)絡(luò)安全事件。7)其他事件是指不能歸為以上分類的網(wǎng)絡(luò)安全事件。附件2應(yīng)急響應(yīng)處置過程記錄單應(yīng)急響應(yīng)處置過程記錄單發(fā)生時(shí)間部門聯(lián)系人電話涉及網(wǎng)站或業(yè)務(wù)系統(tǒng)名稱及用途涉及網(wǎng)絡(luò)及資產(chǎn)事件基本分類□

漏洞掃描事件□

內(nèi)部網(wǎng)絡(luò)攻擊事件□

系統(tǒng)弱口令爆破事件□

WebShell上傳事件□

跳板代理攻擊事件事件級(jí)別□一級(jí)□二級(jí)□三級(jí)□四級(jí)事件子類事件現(xiàn)象事件影響范圍事件發(fā)生原因初步判定事件上報(bào)流程記錄時(shí)間：

上報(bào)人：

上報(bào)對(duì)象：

上報(bào)內(nèi)容：各方到達(dá)現(xiàn)場(chǎng)時(shí)間及操作單位：

到場(chǎng)時(shí)間：

操作人員：

現(xiàn)場(chǎng)操作：

當(dāng)前采取的處置應(yīng)對(duì)措施后續(xù)安全措施和建議附件3網(wǎng)絡(luò)和信息系統(tǒng)損失程度劃分說明網(wǎng)絡(luò)和信息系統(tǒng)損失是指由于網(wǎng)絡(luò)安全事件對(duì)系統(tǒng)的軟硬件、功能及數(shù)據(jù)的破壞，導(dǎo)致系統(tǒng)業(yè)務(wù)中斷，從而給事發(fā)組織所造成的損失，其大小主要考慮恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)，劃分為特別嚴(yán)重的系統(tǒng)損失、嚴(yán)重的系統(tǒng)損失、較大的系統(tǒng)損失和較小的系統(tǒng)損失，說明如下：a)特別嚴(yán)重的系統(tǒng)損失：造成系統(tǒng)大面積癱瘓，使其喪失業(yè)務(wù)處理能力，或系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到嚴(yán)重破壞，恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)十分巨大，對(duì)于事發(fā)組織是不可承受的；b)嚴(yán)重的系統(tǒng)損失：造成系統(tǒng)長時(shí)間中斷或局部癱瘓，使其業(yè)務(wù)處理能力受到極大影響，或系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到破壞，恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)巨大，但對(duì)于事發(fā)組織是可承受的；c)較大的系統(tǒng)損失：造成系統(tǒng)中斷，明顯影響系統(tǒng)效率，使重要信息系統(tǒng)或一般信息系統(tǒng)業(yè)務(wù)處理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到破壞，恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)較大，但對(duì)于事發(fā)組織是完全可以承受的；d)較小的系統(tǒng)損失：造成系統(tǒng)短暫中斷，影響系統(tǒng)效率，使系統(tǒng)業(yè)務(wù)處理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到影響，恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)較小。附件4應(yīng)急響應(yīng)處置總結(jié)報(bào)告應(yīng)急響應(yīng)處置總結(jié)報(bào)告報(bào)告時(shí)間部門填報(bào)人電話事件名稱事件發(fā)生時(shí)間事件類型事件級(jí)別事件原因分析分析事件原因事件影響分析說明事件影響范圍，影響程度等情況處置方法事后處置本事件防護(hù)和處置建議其他說明1、人員駐場(chǎng)我司將安排2名本科學(xué)歷以上的人員到深圳免稅集團(tuán)現(xiàn)場(chǎng)提供專職駐點(diǎn)服務(wù)，2、工作時(shí)間與地點(diǎn)安排駐場(chǎng)工程師遵守甲方公司的工作作息時(shí)間并提供設(shè)備故障或者應(yīng)急響應(yīng)24小時(shí)3、服務(wù)標(biāo)準(zhǔn)服務(wù)標(biāo)注以甲方公司要求為準(zhǔn)，進(jìn)行日常維護(hù)工作，服務(wù)標(biāo)準(zhǔn)按照簽訂合同內(nèi)容項(xiàng)進(jìn)行維護(hù)服務(wù)。4、駐場(chǎng)人員服務(wù)內(nèi)容針對(duì)深圳免稅集團(tuán)的應(yīng)用系統(tǒng)、主機(jī)（操作系統(tǒng)、數(shù)據(jù)庫、中間件）、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等IT資產(chǎn)和服務(wù)對(duì)象，提供日常安全運(yùn)維、安全監(jiān)測(cè)預(yù)警、應(yīng)急演練服務(wù)、安全風(fēng)險(xiǎn)評(píng)估安全服務(wù)內(nèi)容。具體如下：日常運(yùn)維人員駐場(chǎng)桌面運(yùn)維我司根據(jù)深圳免稅集團(tuán)的要求，每季度對(duì)硬件設(shè)備進(jìn)行檢查，包括不限于以下內(nèi)容：硬件故障檢測(cè)定位；硬件故障問題分析與送修；終端電腦和鍵盤鼠標(biāo)除塵；系統(tǒng)重裝與軟件安裝；系統(tǒng)維護(hù)網(wǎng)絡(luò)運(yùn)維我司根據(jù)根據(jù)深圳免稅集團(tuán)要求對(duì)信息資產(chǎn)進(jìn)行網(wǎng)絡(luò)維護(hù)工作，包括不限于以下：監(jiān)控網(wǎng)絡(luò)設(shè)備運(yùn)行情況；網(wǎng)絡(luò)問題及時(shí)處置；網(wǎng)絡(luò)維護(hù)服務(wù)。安全巡檢服務(wù)安全巡檢作為主動(dòng)運(yùn)維的一種手段，將主動(dòng)發(fā)現(xiàn)安全隱患來代替被動(dòng)解決安全問題，極大的提高信息系統(tǒng)的安全防護(hù)水平。將每月對(duì)深圳免稅集團(tuán)信息系統(tǒng)中包括網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、安全設(shè)備進(jìn)行全面地深度的安全巡檢，安全服務(wù)團(tuán)隊(duì)將與信息系統(tǒng)管理人員方深入交流溝通，排查系統(tǒng)存在的安全疏漏網(wǎng)絡(luò)安全自查服務(wù)以杜絕重大網(wǎng)絡(luò)安全事件為目標(biāo)，按照摸清底數(shù)、查找漏洞、識(shí)別風(fēng)險(xiǎn)的要求，每個(gè)月對(duì)深圳免稅集團(tuán)進(jìn)行全面排查網(wǎng)絡(luò)安全、信息系統(tǒng)安全和數(shù)據(jù)的安全的重大風(fēng)險(xiǎn)和隱患，提高全員網(wǎng)絡(luò)安全防范意識(shí)，盡快落實(shí)已知問題整改，預(yù)防網(wǎng)絡(luò)安全事件的發(fā)生，筑牢網(wǎng)絡(luò)安全屏障，提升深圳免稅集團(tuán)網(wǎng)絡(luò)安全防御水平。安全加固協(xié)助協(xié)助甲方、第三方測(cè)評(píng)機(jī)構(gòu)發(fā)現(xiàn)的基線配置或漏洞補(bǔ)丁進(jìn)行修復(fù)；協(xié)助安全評(píng)估或漏洞掃描發(fā)現(xiàn)的基線配置或漏洞補(bǔ)丁進(jìn)行修復(fù)。信息系統(tǒng)漏洞掃描針對(duì)監(jiān)管部門、第三方安全服務(wù)機(jī)構(gòu)和日常安全運(yùn)營過程中發(fā)現(xiàn)的漏洞，我司根據(jù)實(shí)際情況開展漏洞驗(yàn)證工作，以二次確認(rèn)該漏洞是否真實(shí)存在，避免誤報(bào)或漏報(bào)，最后指導(dǎo)管理員進(jìn)行漏洞加固。我司還會(huì)每個(gè)季度對(duì)信息系統(tǒng)的進(jìn)行漏洞掃描，保證信息系統(tǒng)的安全運(yùn)維。信息系統(tǒng)滲透測(cè)試服務(wù)根據(jù)滲透測(cè)試范圍，制定滲透測(cè)試實(shí)施方案，對(duì)其網(wǎng)站（包括二級(jí)域名，三級(jí)域名，四級(jí)域名）按計(jì)劃開展?jié)B透測(cè)試，駐場(chǎng)人員根據(jù)二線滲透測(cè)試人員測(cè)試的問題單編寫滲透測(cè)試報(bào)告并進(jìn)行指導(dǎo)修復(fù)。安全監(jiān)測(cè)預(yù)警網(wǎng)站安全監(jiān)測(cè)服務(wù)對(duì)深圳免稅集團(tuán)提供的網(wǎng)站進(jìn)行安全檢測(cè)，主要從系統(tǒng)漏洞、暗鏈、掛馬、惡意篡改、敏感內(nèi)容進(jìn)行檢測(cè)；檢測(cè)頻率需在合適范圍并能按深圳免稅集團(tuán)要求進(jìn)行設(shè)定。安全預(yù)警通報(bào)服務(wù)我司根據(jù)業(yè)界信息安全態(tài)勢(shì)的發(fā)展、關(guān)注最新漏洞和安全熱點(diǎn)的公布信息，并結(jié)合深圳免稅集團(tuán)信息系統(tǒng)中的信息安全資產(chǎn)情況提供相應(yīng)的信息安全通告，使招標(biāo)人把握國內(nèi)外及企業(yè)信息安全現(xiàn)狀與態(tài)勢(shì)，了解信息安全技術(shù)發(fā)展方向，及時(shí)消除企業(yè)信息安全漏洞與隱患，避免引發(fā)信息安全事件進(jìn)而對(duì)企業(yè)形象造成影響。安全應(yīng)急演練服務(wù)（1）我司根據(jù)關(guān)鍵業(yè)務(wù)系統(tǒng)的實(shí)際情況，制定應(yīng)急預(yù)案，包括事件分類分級(jí)、組織架構(gòu)、事件監(jiān)測(cè)預(yù)警、事件分析、定級(jí)、研判、處置和應(yīng)急物資、人員保障等，（2）我司根據(jù)應(yīng)急預(yù)案內(nèi)容開展應(yīng)急演練，并根據(jù)應(yīng)急演練結(jié)果，更新應(yīng)急預(yù)案，提出相關(guān)問題的改進(jìn)建議，并協(xié)助深圳免稅集團(tuán)開展整改工作，以完善信息安全應(yīng)急響應(yīng)體系。通過現(xiàn)場(chǎng)實(shí)戰(zhàn)演習(xí)，提高相關(guān)人員應(yīng)急處置能力。安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)我司應(yīng)參照信息安全風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)安全法、等級(jí)保護(hù)2.0等相關(guān)法律法規(guī)和標(biāo)準(zhǔn)要求，通過調(diào)研、訪談與分析、資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別等步驟，對(duì)深圳免稅集團(tuán)的網(wǎng)絡(luò)架構(gòu)、安全技術(shù)防護(hù)、監(jiān)測(cè)、審計(jì)等措施、安全管理流程、機(jī)制等方面進(jìn)行全面、專業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估，并提出安全加固建議。系統(tǒng)上線安全評(píng)估我司對(duì)甲方的新上線系統(tǒng)進(jìn)行上線前安全測(cè)評(píng)，包括符合性及基線配置核查、漏洞掃描、滲透測(cè)試等內(nèi)容。根據(jù)上級(jí)單位、外部監(jiān)管單位要求，應(yīng)按照“三同步”的原則將信息安全工作嵌入到新產(chǎn)品、新系統(tǒng)的設(shè)計(jì)、開發(fā)、實(shí)施、運(yùn)維、廢棄階段。新系統(tǒng)、新設(shè)備入網(wǎng)之前，舊系統(tǒng)升級(jí)擴(kuò)容之后均應(yīng)通過入網(wǎng)安全測(cè)評(píng)后，才可接入網(wǎng)絡(luò)中，避免為網(wǎng)絡(luò)帶來安全隱患，入網(wǎng)安全測(cè)評(píng)服務(wù)應(yīng)包括主機(jī)、網(wǎng)絡(luò)、應(yīng)用的技術(shù)測(cè)評(píng)，實(shí)施方式包括主機(jī)及應(yīng)用基線安全評(píng)估、漏洞掃描、網(wǎng)絡(luò)安全評(píng)估和滲透測(cè)試。服務(wù)要求1）項(xiàng)目實(shí)施要求項(xiàng)目實(shí)施前，我司制定項(xiàng)目實(shí)施方案，包括進(jìn)度計(jì)劃、人員分工、風(fēng)險(xiǎn)規(guī)避及質(zhì)量保證等；實(shí)施漏洞掃描、滲透測(cè)試工作前，將實(shí)施方法、實(shí)施時(shí)間、實(shí)施人員、實(shí)施工具等具體實(shí)施方案提交甲方技術(shù)負(fù)責(zé)人，得到相應(yīng)授權(quán)后才進(jìn)行實(shí)施。安全加固協(xié)助按照等級(jí)保護(hù)的安全防護(hù)標(biāo)準(zhǔn)對(duì)深圳免稅集團(tuán)的信息系統(tǒng)進(jìn)行加固；我司完成符合性檢查、基線配置核查、漏洞掃描和滲透測(cè)試后，按照甲方需要按計(jì)劃實(shí)施安全加固協(xié)助工作和回歸測(cè)試工作，編寫整改和加固后復(fù)查報(bào)告，及時(shí)讓甲方了解整改和加固工作實(shí)施的達(dá)標(biāo)情況；我司的評(píng)估報(bào)告都按行業(yè)相關(guān)的YD/T標(biāo)準(zhǔn)規(guī)范進(jìn)行撰寫，我司保證評(píng)估報(bào)告質(zhì)量