网络信息安全规范、应急突发事件预案及处理流程20090625版

1 网络信息安全规范 应急突发事件预案及处理流程网络信息安全规范 应急突发事件预案及处理流程 试 行 一 总则一 总则 1 1 编制目的 编制目的 为规范和加强网络重大信息安全事件的信息报告管理工作 及时 掌握和评估重大信息安全事件有关情况 协调组织力量进行事件的应 急响应处理 降低信息安全事件的损失和影响 根据中共中央办公厅 国务院办公厅转发 国家信息化领导小组关于加强信息安全保障工作 意见 的通知 中办发 2003 27 号 和有关法律 法规的规定 结 合公司实际 制定本规范 2 2 工作原则 工作原则 统一领导 归口管理 网络信息安全应急处理工作应在公司网络 信息安全领导小组的领导下 会同相关部门 齐抓共管 各负其责 共同提高公司网络系统的信息安全应急处理水平 明确责任 依法规范 应从公司信息安全保障的高度出发 明确 应急处理管理部门和各业务部门的安全责任 严格依照国家法律和相 关规定进行应急处理工作 防范为主 加强监控 应广泛宣传网络信息安全基本知识 提高 对信息安全的认识水平 切实落实信息安全防范措施 强化对公司网 络信息系统的监控 减少安全事件可能带来的不良影响 整合资源 协调处理 网络信息安全应急处理工作应充分加强与 专业信息安全机构的沟通和联系 以提高公司网络系统应急处理能力 3 3 适用范围 适用范围 本规范所称的信息安全重大事件是指由于人为攻击或破坏以及病 毒爆发等原因所引发 严重影响到网络与信息系统的正常运行 造成 业务中断 系统破坏 数据破坏或信息失窃等 从而在政府形象 社 会稳定或公众利益等方面造成严重影响以及造成一定程度直接和间接 重大经济损失的事件 公司各部门的网络与信息系统安全事件报告 应急处理 均适用 于本规范 二 应急处理组织机构二 应急处理组织机构 2 在公司网络信息安全领导小组的领导下 网络信息安全应急处理 的组织机构组成如下 公司技术部副总 公司技术部 公司技术部作为网络信息安全应急处理部门 负责全公司各系统 的网络信息安全事件应急处理协调工作 各部门在公司网络信息安全 领导小组的领导下 负责本部门网络信息安全事件应急处理管理工作 并与公司技术部副总 公司技术部保持联系 随时反映网络信息安全 工作情况 三 预防措施三 预防措施 1 1 组织机构 组织机构 各部门应建立网络信息安全管理组织机构 明确岗位职责 确定 岗位人员名单 联系方式 网络信息安全管理组织机构人员名单须上 报公司技术部备案 各部门应建立网络信息安全 一把手 负责制 应指定一名部门 负责人作为网络信息安全负责人 管理安全事故应急处理 行使决策 职责 并可直接与技术部技术人员联系 负责信息安全应急处理流程 的实际执行 提交重大信息安全事件报告和应急处理工作的结果报告 2 2 制度规范 制度规范 各部门应根据实际情况和需要制定基本的安全管理制度 对重要 设备 软件和业务数据的安全性进行规范 可靠的管理 提高本部门 信息系统的安全防护能力 包括配合技术部制定机房管理制度 设备 管理制度 病毒防治管理制度 数据备份与恢复制度 网站管理制度 安全审计制度和应急响应制度等 各部门要针对内部信息系统制定安全运行管理流程 建立安全事 件应急预案 以提高本部门信息安全应急响应能力 各部门应根据本规范细化安全应急事件处理流程 包括事件的发 现 判断 评估 上报和处理等阶段 并落实本部门和应急处理管理 机构的对口部门和人员 确保应急处理流程得到有效执行 信息安全 事件得到有效控制和处理 应急响应相关制度如果发生变化 各部门 应及时将最新的制度在公司技术部备案 3 3 安全措施 安全措施 各部门应定期进行风险评估 了解网络信息系统目前可能存在的 安全隐患和所面临的安全威胁 并针对本部门的实际情况 从物理 网络 系统 应用和数据等多个层面实施信息安全保障工作 3 各部门应定期对网络信息系统的运行状态 系统日志和安全日志 等进行检查 对重要信息系统如网站 核心数据库等应每日进行运行 检查 确保及时发现信息安全事件 减少安全事件所造成的损失 各部门应定期或不定期组织预案演练 进一步明确应急响应各岗 位责任 检验应急预案各环节之间的通信 协调 指挥等是否符合快 速 高效的要求 对预案中存在的问题和不足及时补充 完善 4 4 宣传培训 宣传培训 各部门应大力宣传信息安全的基本原理 安全事件的预防措施和 应急处理的基本知识 提高本部门人员的信息安全意识水平 各部门应定期或不定期地举办信息安全基础培训 使不同岗位的 人员都能熟悉并掌握信息系统应急处理的知识和技能 同时应积极参 加由公司网络安全部门举办的各类信息安全培训 通过不同层次 类 型的培训或研讨 提高全公司网络信息安全水平 减少信息安全事件 数量 四 应急处理流程四 应急处理流程 1 1 信息安全事件分类 信息安全事件分类 根据信息安全事件可能造成的影响范围及程度 将应急处理流程 分为对外服务信息系统应急处理流程和内部应用信息系统应急处理流 程两大类型 其中对外服务信息系统指公司网站拍卖平台和互联网对外提供服 务的信息系统 内部应用信息系统指仅对各部门内部人员提供服务的 信息系统 同时 根据发生安全事件的信息系统所提供的服务范围 在对外 服务信息系统应急处理流程和内部应用信息系统应急处理流程中进一 步细分了网站 业务系统和办公系统三种业务类别的应急处理流程 网站指公司各部门和单位使用 HTML 等工具制作的用于发布拍品 信息 提供数据服务的相关网页的集合 业务系统指公司各部门和单 位提交数据 提供服务 办理相关业务的信息系统 如网上业务办理 系统等 办公系统指公司各部门和单位处理日常办公事务的信息系统 如 OA 系统等 发生信息安全事件时 公司各部门和单位应按上述处理流程分类 方法对安全事件进行分类 并遵循以下各类别信息安全事件处理流程 执行 2 2 对外服务信息系统应急处理流程 对外服务信息系统应急处理流程 4 病毒爆发处理流程病毒爆发处理流程 公司各部门和单位对外服务信息系统一旦发现感染病毒 应执行 以下应急处理流程 立即切断感染病毒计算机与网络的联接 对该计算机的重要数据进行数据备份 启用防病毒软件对该计算机进行杀毒处理 同时通过防病毒软 件对其他计算机进行病毒扫描和清除工作 如果满足下列情况之一的 应立即向本部门信息安全负责人通 报情况 并向公司技术部和本市公安局公共信息网络安全监察部门报 告以求协助解决 现行防病毒软件无法清除该病毒的 网站在 2 小时内无法处理完毕的 业务系统或办公系统在 4 小时内无法处理完毕的 在公司技术部和本市公安局公共信息网络安全监察部门的协助 下 清除该病毒 恢复系统和相关数据 检查数据的完整性 病毒爆发事件处理完毕 将计算机重新接入网络 总结事件处理情况 并提出防范病毒再度爆发的解决方案 实施必要的安全加固 网页非法篡改处理流程网页非法篡改处理流程 公司各部门和单位对外服务网站一旦发现网页被非法篡改 应执 行以下应急处理流程 发现网站网页出现非法信息时 值班人员应立即向本部门信息 安全负责人通报情况 并立即向公司技术部和本市公安局公共信息网 络安全监察部门报告 情况紧急的 应先采取断网等处理措施 再按 程序报告 本部门信息安全负责人应在接到通知后立即赶到现场 做好必 要记录 妥善保存有关记录及日志或审计记录 在本市公安局公共信息网络安全监察部门提取相关数据样本后 清理网站非法信息 强化安全防范措施 然后将网站重新投入使用 如情节构成违法犯罪的 由本市公安局公共信息网络安全监察部门立 案侦查 总结事件处理情况 向公司技术部和本市公安局公共信息网络 安全监察部门备案 并提出防范再度发生的解决方案 5 实施必要的安全加固 非法入侵处理流程非法入侵处理流程 各部门对外服务信息系统一旦发现被远程控制等非法入侵行为 应执行以下应急处理流程 发现系统服务器被远程控制 植入后门程序 或发现有黑客正 在进行攻击时 应立即向本部门信息安全负责人通报情况 并立即向 公司技术部和本市公安局公共信息网络安全监察部门报告 如服务器已被入侵 将被攻击的服务器等设备从网络中隔离出 来 保护现场 本部门信息安全负责人应在接到通知后立即赶到现场 做好必 要记录 妥善保存有关记录及日志或审计记录 由本市公安局公共信息网络安全监察部门对受攻击的网站 业 务系统和办公系统进行现场分析 追查攻击源 修改防火墙等设备的 安全配置阻断黑客继续入侵 公司技术部和相关部门做好配合工作 分析后台数据库操作日志 判断是否发生数据失窃 检查 校 验数据的完整性和有效性 在本市公安局公共信息网络安全监察部门提取相关数据样本后 恢复与重建被攻击或破坏的系统 如情节构成违法犯罪的 由本市公 安局公共信息网络安全监察部门立案侦查 重新将恢复后的对外服务 系统接入网络 总结事件处理情况 向公司技术部和本市公安局公共信息网络 安全监察部门备案 并提出防范再度发生的解决方案 实施必要的安全加固 拒绝服务攻击处理流程拒绝服务攻击处理流程 各部门对外服务信息系统一旦发现遭受 DDoS 等拒绝服务攻击 无法正常访问时应执行以下应急处理流程 发现对外服务系统访问流量异常 无法正常访问 可能遭受拒 绝服务攻击时 应立即向本部门信息安全负责人通报情况 并立即向 公司技术部和本市公安局公共信息网络安全监察部门报告 本部门信息安全负责人应在接到通知后立即赶到现场 做好必 要记录 妥善保存有关记录及日志或审计记录 在本市公安局公共信息网络安全监察部门提取相关数据样本后 对现场进行分析 追查攻击源 修改路由器 防火墙等设备的安全配 置 缓解 消除拒绝服务攻击的影响 恢复对外系统正常运行 如情 6 节构成违法犯罪的 由本市公安局公共信息网络安全监察部门立案侦 查 总结事件处理情况 向公司技术部和本市公安局公共信息网络 安全监察部门备案 并提出防范再度发生的解决方案 实施必要的安全加固 3 3 内部应用信息系统应急处理流程 内部应用信息系统应急处理流程 内部网络病毒爆发应急处理流程内部网络病毒爆发应急处理流程 各部门内部网络一旦发现感染病毒 应执行以下应急处理流程 立即切断感染病毒计算机与网络的联接 对该计算机的重要数据进行数据备份 将防病毒软件病毒库升级至最新 启用防病毒软件对该计算机 进行杀毒处理 如果现行防病毒软件无法清除该病毒 应立即向本部门信息安 全负责人通报情况 并可向公司技术部和本市公安局公共信息网络安 全监察部门或专业信息安全服务机构求助解决 如果公司内超过 20 台 含 20 台 计算机同时被感染病毒 并 在 4 小时内无法处理完毕 则应立即向公司技术部和本市公安局公共 信息网络安全监察部门报告 在有关部门的协助下 清除该病毒 恢复各计算机软件系统和数据 病毒爆发事件处理完毕 将计算机重新接入网络 更新全网防病毒软件病毒库 密切监视网络流量和病毒发作迹 象 避免二次感染 总结事件处理情况 并提出防范病毒再度爆发的解决方案 实 施必要的安全加固 内部应用信息系统安全事件应急处理内部应用信息系统安全事件应急处理 网页非法篡改处理流程 各部门内部应用信息系统一旦发现网页被非法篡改 应参照四 2 的网页非法篡改处理流程执行应急处理 非法入侵处理流程 各部门内部应用信息系统一旦发现被远程控制等非法入侵行为 应参照四 2 的非法入侵处理流程执行应急处理 五 监督检查五 监督检查 各部门应根据本规范制定本部门的信息安全事件应急处理规范 7 对发生的信息安全事件严格按照本规范要求及时如实地报告并处理 确保公司信息系统的正常运行和服务 公司技术部负责对各部门执行本规范的情况进行监督 检查 对违反本规范进行操作而导致严重不良后果的部门和负责人 将 会同有关部门追究其相应的责任 六 附则六 附则 本规范由公司技术部负责解释 各部门可参照本规范 结合本部门实际情况 制定具体的实施办 法 本规范自发布之日起施行 行政部 技术部 2004 年 6 月 18 日 8 网络信息安全规范 应急突发事件预案及处理流程网络信息安全规范 应急突发事件预案及处理流程 发生信发生信 息安全息安全 事事 件件 责任人 责任人 本部门信本部门信 息安全负息安全负 责人责人 向部门向部门 领导汇领导汇 报报 向公司技术部向公司技术部 和本市公安局和本市公安局 公共信息网络公共信息网络 安全监察部门安全监察部门 报告 报告 提取相关数据样本 对现场 进行分析 追查攻击源 应急应急 处置处置 网页非法篡改处理 应先及时采取断网网页非法篡改