某大型集团数据安全应急预案

某大型集团数据安全应急预案

目录1.引言42.总则42.1编写依据42.2适用范围62.3基本原则62.4发布与生效63.组织与职责63.1应急保障领导小组73.2应急保障领导办公室83.3应急响应技术保障部门93.4应急响应实施小组104.数据安全事件分级104.1特别重大数据安全事件（一级）104.2重大数据安全事件（二级）114.3较大数据安全事件（三级）124.4一般数据安全事件（四级）135.应急预案的制订与演练135.1准备工作145.1.1设计原则145.1.2策略内容建议155.2制定应急预案155.3应急预案的管理与维护165.4应急预案的演练175.5应急教育和培训186.应急响应实施186.1日常监测196.2事件监测206.2.1信息通报206.2.2信息上报206.2.3信息披露206.3预警分级216.4应急启动216.5应急处置226.5.1一级应急响应226.5.2二级应急响应226.5.3三级、四级应急响应236.6媒体沟通246.7结束响应246.8应急响应总结247.应急处理流程及措施257.1应急准备267.2网页内容篡改267.2.1应急流程267.2.2应急工具277.2.3应急步骤277.3非法入侵窃取数据297.3.1应急流程297.3.2应急工具297.3.3应急步骤307.4员工泄露敏感数据337.4.1应急流程347.4.2应急工具347.4.3应急步骤347.5权限失控导致数据泄露377.5.1应急流程377.5.2应急工具387.5.3应急步骤387.6数据维护及处置不当造成数据泄露417.6.1应急流程417.6.2应急工具427.6.3应急步骤427.7信息发布不规范造成数据泄露447.7.1应急流程447.7.2应急工具447.7.3应急步骤458.应急保障488.1人力保障488.2技术保障488.3物质保障488.4资金保障49附件1：数据安全事件记录表格50

1.引言为建立健全XXXXXX数据安全事件应急响应机制，提高应对数据安全事件的应急处置能力，预防和减少数据安全事件造成的损失和危害，全面提升公司的数据安全事件应急管理水平，促进大数据业务健康有序发展，保障公司数据资产安全和用户合法权益，满足上级单位要求企业建立数据安全应急响应制度的重点考核要求，特制定本预案。本预案作为XXXXXX数据安全事件应急处置流程规范，主要参照《XXX数据安全事件应急响应实施指南》、《XXX网络安全突发事件应急预案》、《XXX大数据安全管理要求》及《XXX大数据安全运营要求》中的应急响应相关要求，提出相应的实施方法规范。预案内容主要包括应急响应的组织架构、数据安全事件的分级、应急预案的制订与演练、应急响应实施、事件处置及应急事例以及应急保障等。本预案主要为XXXXXX数据安全事件的安全防范、应急处置、应急报告等工作提供依据。本应急预案的解释权和修改权归XXX集团XXX有限公司信息安全管理部。2.总则2.1编写依据本预案主要参照了以下国际规范制度及指南：《信息技术系统应急规划指南》，NISTSP800-34；《计算机安全事件处理指南》，NISTSP800-61；《网络安全事件恢复指南》，NISTSP800-184。本预案主要参照了以下国家规范制度及指南：《中华人民共和国网络安全法》，2017年6月1日起施行；《国家网络安全事件应急预案》，2017年1月10日起施行；《公共互联网网络安全突发事件应急预案》，2017年11月14日起施行；《国家突发公共事件总体应急预案》，2006年1月8日起实施；《突发事件应急预案管理办法》，2013年10月25日起施行；《公共互联网网络安全威胁监测与处置办法》，2018年1月1日起施行；《国家通信保障应急预案》，2011年12月10日修订；《信息安全技术信息安全事件分类分级指南》，GB/Z20986-2007；《信息安全技术信息安全风险评估规范》，GB/T20984-2007；《信息技术安全技术信息安全事件管理指南》，GB/Z20985-2007；《信息安全技术信息系统灾难恢复规范》，GB/T20988-2007；《信息安全技术信息安全应急响应计划规范》，GB/T24363-2009。同时，参照了以下公司内部规范制度及指南：《XXX数据安全事件应急响应实施指南》，2019年实施；《XXX网络安全突发事件应急预案》，2019年实施；《XXX业务支撑网安全事件管理办法》，2009年实施；《XXX网络与信息安全事件应急处置流程》，2012年实施；《XXX互联网网络安全应急处理预案》，2008年实施；《XXX重特大事件期间的信息安全保障应急预案》，2012年实施；《XXX安全事件管理办法》，2008年实施；《XXXXXX公司业务支撑网重要信息系统数据泄露事件专项应急预案》，2017年实施；《XXXXXX公司业务支撑网安全事件应急预案》，2017年实施。2.2适用范围本应急预案适用于XXXXXX省公司各部门、各地市分公司（以下简称各单位），为各单位开展数据安全事件应急处置，提供必要的指导性说明。本应急预案所称数据安全事件，是指针对用户个人信息、集团客户信息、业务平台数据、网络运行数据等公司数据资产的可用性被破坏、数据被泄露、数据被违规使用，数据被滥用，数据被篡改，数据被损毁等。造成或可能影响国家安全、社会稳定、公司利益受损、客户合法权益受侵害等危害，需要采取应急处置措施予以应对的突发事件。2.3基本原则坚持统一领导、分级负责；坚持统一指挥、密切协同、快速反应、科学处置；坚持预防为主，预防与应急相结合；坚持谁主管谁负责、谁运行谁负责，分工协作，内外联动，充分发挥各方面力量共同做好XXXXXX公司数据安全事件的预防和处置工作。2.4发布与生效本预案从发布之日起生效。3.组织与职责参考GB/T24363-2009（《信息安全技术信息安全应急响应计划规范》），基于公司整体突发事件应急管理机制，结合现有职责部门，XXXXXX建立了应急响应的组织架构，确保及时有效地实施专项应急处置工作。组织架构中包含如下小组或部门：应急保障领导小组、应急保障领导办公室、应急响应技术保障部门、应急响应实施小组。应急响应过程需要公司多部门协同工作，共同应对已发生的数据安全事件。各小组或部门间的相互关系如下图所示。图3-1应急响应组织机构间的关系3.1应急保障领导小组XXXXXX中心安全领导小组承担省公司级数据安全事件应急保障领导小组职责，指导开展全省的数据安全事件应急响应制度建设、安全策略制定、重大事件决策等。主要职责：（1）应急响应工作的启动和终止；对应急响应工作的支持，提供必要资源（人、财、物）等；（2）审核并批准应急响应策略、应急预案；批准和监督应急预案的执行；（3）应急预案定期评审和修订的启动；（4）负责组织内部和外部的协调工作；3.2应急保障领导办公室XXXXXX中心安全领导小组办公室承担数据安全事件应急保障领导办公室工作职责。开展全省的数据安全事件应急响应制度建设、安全策略制定等，组织应急预案的测试、培训和演练，统一对上级有关单位或部门报告数据安全突发事件情况。1.人员组成组长：信息安全管理部总经理副组长：综合办公室、市场经营部、政企客户部、品质管理部、网络部、信息技术部分管副总经理。组员：综合办公室、市场经营部、政企客户部、品质管理部、网络部、信息技术部相关工作责任人。2.主要职责：（1）负责与XXX公司应急保障领导小组的沟通协调，并向本省应急保障领导小组提出相关工作建议；（2）组织起草、修改XXXXXX数据安全应急处理预案及相关规定；组织应急预案的测试、培训和演练；执行应急预案的评审、修订任务；（3）按照XXXXXX应急保障领导小组下达的命令和指示，具体协调处理数据安全应急工作；（4）负责省公司各相关部门和各市分公司之间的现场指挥协调，接受XXX公司应急保障领导小组的指示，组织省公司各相关部门和各市分公司落实数据安全应急处理技术措施；（5）及时收集汇总省公司各相关部门和各市分公司上报/反馈的事件进展情况，向省应急保障领导小组报告并提出建议，并根据相关要求，向XXX公司应急保障领导小组上报相关安全事件处理信息；（6）承担与集团、省数据安全应急响应技术保障部门、省内其他互联网单位以及其他相关应急响应组织的联络，积极参与数据安全事件应急处理合作。3.3应急响应技术保障部门XXXXXX数据安全事件应急响应技术保障部门由网络部、信息技术部、市场部等相关技术部门组成。主要职责包括：（1）制定数据安全事件技术应对表、具体角色和职责分工细则、应急响应协同调度方案；调研和管理相关技术基础；（2）对重大数据安全事件进行评估，提出启动应急响应的建议；研究分析数据安全事件的相关情况及发展趋势，为应急响应提供咨询或提出建议；（3）分析数据安全事件原因及造成的危害，为应急响应实施提供建议支持，协调和配合各部门和各市分公司的应急技术处理及演练。（4）负责为数据安全应急处理工作提供技术支撑；利用技术手段，对数据安全事件进行监测，及时收集、核实、汇总、分析、上报有关数据安全信息；保持与CMCERT/CC、省内其他互联网单位以及其他相关应急响应组织的安全事件应急处理合作。3.4应急响应实施小组应急实施小组由综合办公室、市场经营部、政企客户部、品质管理部、网络部、信息技术部及各市分公司组成，主要职责包括：（一）综合办公室：与相关政府管理部门、新闻媒体保持联络和协作，提供法律事务支持。（二）市场经营部：1、实体营业厅、渠道管理；网厅、掌厅、便利店、八闽生活24小时营业厅等自建系统或应用，以及相关微信公众号等的应急处理；2、各类营销活动的数据安全管控，特别是涉敏数据流转管控；3、BOP、IBOP等账号封堵，及真实使用者溯源。（三）政企客户部1、集团产品、行业端口、MAS信息机等政企业务，MOP、ESOP等自建系统或应用，及相关微信公众号等的应急处理；拟定涉及集团客户感知的统一口径信息，做好签约集团客户的解释、疏导工作。2、各类营销活动的数据安全管控，特别是涉敏数据流转管控。（四）品质管理部：统一协调客户服务管理工作；牵头组织涉及客户感知的统一口径信息；梳理内部通道，接受与客户信息等数据安全有关的投诉；组织协调对客户的解释、疏导工作，维护企业良好形象。（五）网络部1、施工调度系统等自建系统或应用，以及相关微信公众号等的应急处理；2、数据流量，家宽等IP真实地址溯源及封堵。4.数据安全事件分级根据GB/T20986-2007（《信息安全技术信息安全事件分类分级指南》）和数据安全事件对国家安全、社会稳定、公众权益、公司利益和声誉的影响程度，并按照数据安全事件的影响范围及持续时间等因素，结合公司实际，将数据安全事件分为四级：特别重大数据安全事件（一级）、重大数据安全事件（二级）、较大数据安全事件（三级）和一般数据安全事件（四级）。当数据安全事件同时满足多个级别的定级条件时，按最高级别确定数据安全事件等级。4.1特别重大数据安全事件（一级）特别重大数据安全事件是指其发生能够导致特别严重的影响或破坏的数据安全事件。符合下列情形之一的，为特别重大数据安全事件（一级）：1.数据被损坏、丢失且无法恢复，或数据泄露、非法使用，造成经营秩序混乱或重大经济损失、极大影响公司业务稳定，或对全国用户产生负面影响的；2.国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁；3.发生特别严重用户信息泄露事件，造成1亿条以上用户信息泄露的；4.重要数据业务相关平台系统遭到攻击，服务中断12小时以上的；5.通过中央媒体曝光的XXX业务相关的数据安全事件；6.发生的数据安全事件超出省级单位自身的协调处理能力，需要集团提供数据安全保障统一协调处理的；7.其他对国家安全、社会秩序、公众利益、公司利益和声誉构成特别严重威胁、造成特别严重影响的XXX业务相关的数据安全事件。4.2重大数据安全事件（二级）重大数据安全事件是指其发生能够导致严重的影响或破坏的数据安全事件。符合下列情形之一且未达到特别重大数据安全事件（一级）的，为重大数据安全事件（二级）：1.数据被损坏、丢失，但可通过备份进行恢复，或数据泄露、非法使用，扰乱经营秩序或造成经济损失、影响公司业务稳定，或对多省市用户产生负面影响的；2.国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁；3.发生严重用户信息泄露事件，造成1千万条以上用户信息泄露的；4.重要数据业务相关平台系统遭到攻击，服务中断8小时以上的；5.通过省级媒体曝光或上级主管部门通报的XXX业务相关的数据安全事件；6.发生的数据安全事件超出地市级单位处置能力，需要省级单位提供数据安全保障的；7.其他对社会秩序、公众利益、公司利益和声誉构成严重威胁、造成严重影响的XXX业务相关的数据安全事件。4.3较大数据安全事件（三级）较大数据安全事件是指其发生能够导致较严重的影响或破坏的数据安全事件。符合下列情形之一且未达到重大数据安全事件（二级）的，为较大数据安全事件（三级）：1.数据部分被损坏、丢失，但可通过备份进行恢复，或数据泄露、非法使用，影响省市公司业务稳定，或对某省市用户产生负面影响的；2.重要数据业务相关平台系统遭到攻击，服务中断4小时以上的；3.国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁；4.发生较严重用户信息泄露事件，造成1百万条以上用户信息泄露的；5.发生的数据安全事件超出县级单位处置能力，需要地市级单位提供数据安全保障的；6.其他对社会秩序、公众利益、公司利益和声誉构成较严重威胁、造成较严重影响的XXX业务相关的数据安全事件。4.4一般数据安全事件（四级）一般数据安全事件是指其发生所产生的社会影响不大，信息系统遭受的影响较小，且不满足以上条件的数据安全事件。除上述情形外，对公众权益、公司利益和声誉构成一定威胁和影响的数据安全事件，为一般数据安全事件（四级）：1.数据部分被损坏、丢失，但可通过备份进行恢复，或数据部分泄露、非法使用，但不影响公司业务稳定的；2.国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成一定威胁；3.发生一般用户信息泄露事件，造成用户信息泄露的；4.业务服务时段以外出现的数据业务相关平台系统故障或事件救治未果，可能产生上述情形的数据安全事件；5.其他数据安全事件，需要提供数据安全保障的。5.应急预案的制订与演练数据安全应急响应预案的制订是一个周而复始、持续改进的过程，包括如下几个阶段：（1）应急响应预案的编制准备工作；（2）应急响应预案文档编制，包括确定应急响应策略和编制应急预案；（3）应急响应预案的维护、测试、演练和培训。5.1准备工作准备工作主要指数据安全事件应急响应策略的制定。应急响应策略的制定过程是一个循序渐进、不断完善的过程，因为不可能制定一个策略就能够完全符合、适应数据业务相关平台系统的环境和需求，只能不断地接近目标。在应急响应策略的制定方面，通过对数据安全事件的应急处理过程进行研究和梳理，建立一套比较完备的、行之有效的数据安全事件应急响应策略体系，为系统、有序地应对数据安全事件，建立健全数据安全应急响应组织，有效预防、及时控制和最大程度地消除各类数据安全突发事件的危害和影响，提供一定程度上的策略指导。5.1.1设计原则1）指导性原则。应急响应策略体系中的策略是描述处理数据安全事件方法的指导性文件，可以全局性指导公司的应急响应工作。2）规范化原则。应急响应策略应该有清晰和完全的文档描述，并保证既定的应急响应策略能够被不打折扣地执行。3）现实可行性原则。应急响应策略应具备现实可行性，既要符合现实业务状态，又要能包含未来一段时间内的业务发展要求。4）整体性原则。应急响应策略体系的设计必须兼顾管理与技术两个方面，是对数据安全事件的综合防范。同时，制定管理策略时必须兼顾技术所能达到的响应能力，在管理上投入足够的精力。5）动态性原则。数据安全是动态变化，应急响应策略需要不断发展完善，根据实际情况进行调整，尽可能达到尽善尽美。6）可审核性原则。应急响应策略应该是可以被审核的，即能够对公司各部门对应急响应策略遵守的情况进行审核和评价。5.1.2策略内容建议1）事前准备策略。该策略用于指导应急响应工作人员为应对将来可能发生的各类数据安全事件进行必要的准备工作，主要包括：对公司的数据业务相关平台系统和数据进行正确的风险评估、确定网络中重要的数据资源、配置适当的安全策略、制定明确的应急响应预案、准备好在处理数据安全事件时可能用到的各种资源，以及定期组织相关人员进行应急响应的模拟演练。2）事中响应策略。该策略是应急响应的关键，主要用于对如何解决数据安全事件响应过程中的问题提供指导：即如何检测是否出现了数据安全事件，问题在哪里，影响范围有多大；如何限制攻击的范围，限制潜在的损失和破坏；如何找出事件根源并彻底根除，防止今后发生同样的数据安全事件；如何把所有被攻破的数据业务相关平台系统设备尽可能还原到正常的任务状态。3）事后总结策略。该策略主要用于对数据安全事件处理后的工作进行指导，包括回顾并整理本次发生的数据安全事件的各种相关信息并进行总结报告的方法和步骤，以及事件文档与证据的管理方案。事后总结过程中记录的内容，不仅对有关部门的其他处理工作具有重要意义，而且对将来应急工作的开展也是非常重要的积累。5.2制定应急预案各单位应参照应急处置及源相关法律法规和标准，结合集团《XXX网络安全突发事件应急预案》、《XXX数据安全事件应急响应实施指南》及本预案整体要求，开展各部门数据安全事件应急响应预案的制定。应急预案是应急响应工作中的关键一步，对应急响应预案的要求包括：描述支持应急操作的技术能力；在预案的详细程度和灵活性之间取得平衡，兼顾弹性和通用性；根据实际情况对预案内容进行适当地调整、充实和本地化，以更好地满足公司的特定需求。建议根据恢复时间目标（RecoveryTimeObjective，RTO）和恢复点目标（RecoveryPointObjective，RPO），结合上述风险控制策略，从数据业务相关平台系统基础设施、网络、系统、数据业务自身等不同层面，制定数据安全事件应急预案。并定期对数据安全事件应急预案进行测试和演练，确保其有效性。数据安全应急预案可包括以下内容：1.明确有关各方的分工和责任；2.说明重要资源的业务影响范围、恢复时间目标、恢复点目标，明确资源的物理位置、设备型号、软件资源、网络配置等关键信息；3.明确各类数据风险的诊断方法和流程；4.制定数据恢复流程和应急处置操作手册；5.明确应急恢复过程中的关键状态，并明确不同状态的沟通；6.明确应急相关人员的协调内容和沟通方式。5.3应急预案的管理与维护经过审核和批准的应急预案文档，应：1.由专人负责保存与分发；2.具有多份拷贝，并在不同的地点保存；3.分发给参与应急响应工作的所有人员；4.在每次修订后所有拷贝统一更新，并保留一套，以备查阅；5.旧版本应按有关规定销毁。为了保证应急预案的有效性，应从以下方面对应急预案文档进行严格的维护：1.业务流程的变化、平台的变更、人员的变更、数据的变更都应在应急预案文档中及时反映；2.应急预案在测试、演练和数据安全事件发生后实际执行时，其过程均应有详细的记录，并应对测试、演练和执行的效果进行评估，同时对应急预案文档进行相应的修订；3.应急预案文档应定期评审和修订，至少每年一次。5.4应急预案的演练当发生数据业务相关平台系统上线、升级、网络改造等重大变更时要及时更新应急预案，并适时实施演练。制定年度应急演练计划，明确演练的时间、内容、依据、目的、负责人和相关配合机构等要素。严格按照应急演练计划实施应急演练，应急演练结束后，要撰写应急演练情况总结报告，提交领导审阅。根据演练总结报告提出的改进措施进行整改，及时修订相应的应急预案。演练计划可涵盖对应急预案各环节的检验，验证应急预案的有效性、应急资源的完备性及应急人员的适应性。应急演练要做到全面演练和专项演练相结合，根据数据安全事件应急响应预案制定演练计划并定期组织演练，保存演练记录。每类数据安全事件场景至少一年开展一次演练；每个数据处理活动涉及的平台系统至少两年开展一次演练。严格控制应急演练引起的变更风险，避免因演练导致服务中断，演练应选择在非主要业务时段进行。应急演练完成后，应保证实施应急预案所需的各项资源恢复正常。5.5应急教育和培训组织开展数据安全应急相关法律法规、应急预案和基本知识的宣传教育和培训，提高相关岗位员工的安全意识、专业技能和防护、应急能力。6.应急响应实施数据安全应急响应的目标是按照既定的应急预案，做好应急处置，快速有效地处置数据安全事件。各单位应在应急领导小组的统一指挥下，根据其指令启动本预案，做好各项应急响应工作。参考《计算机安全事件处理指南》（NISTSP800-61）中有关PDCERF模型的（Preparation（准备）、Detection（检测）、Containment（遏制）、Eradication（根除）、Recovery（恢复）、Follow-up（跟踪））的六个阶段，结合公司实际明确了应急响应处置流程，包括日常监测、事件监测、预警分级、应急启动、应急处置、后续处置、媒体沟通和结束响应等八个环节。应急响应实施流程如下图所示：数据安全事件数据安全事件情况判断否是应急响应处置事态控制否是事件级别调整事件监测后续处置结束响应应急恢复事件评估媒体沟通启动应急预案预警分级驳回告警与通告信息反馈图6-1应急响应实施流程6.1日常监测信息安全管理部统筹考虑，建立必要的数据安全保障平台，逐步实现对本单位数据业务相关平台系统运行和数据业务运营的安全监控和防护。各级信息安全管理人员应认真落实数据安全日常监测机制，对可能引发数据安全事件的行为进行预警，并及时向数据安全管理责任部门上报。6.2事件监测6.2.1信息通报在数据安全事件发生后，应通知省公司相关部门/中心及地市分公司，使其能够确定事态的严重程度和下一步将要采取的行动。在损害评估完成后，应通知应急保障领导办公室。可以通过各种方法完成通知，包括固定电话、XXX电话和电子邮件等。由于电子邮件无法确定能否得到有效回复，所以建议谨慎使用电子邮件发送通知。数据安全事件发生后，应将相关信息及时通报给受到负面影响的外部机构、互联的单位系统以及重要用户，同时根据应急响应的需要，应将相关信息准确通报给相关设备设施及服务提供商（包括电力等），以获得适当的应急响应支持。对外信息通报应符合组织的对外信息发布策略。6.2.2信息上报数据安全事件发生后，应按照相关规定和要求，由应急保障领导办公室及时将情况上报相关主管或监管单位／部门。特别重大、重大数据安全事件，应立即报送上级有关单位或部门。6.2.3信息披露数据安全事件发生后，根据事件的严重程度，由应急保障领导办公室及时向新闻媒体发布相关信息，应急保障领导办公室应严格按照公司相关规定和要求对外发布信息，同时公司内其他部门或者个人不得随意接受新闻媒体采访或对外发表自己的看法。6.3预警分级建立数据安全突发事件预警制度，数据安全事件发生后，应急响应实施小组对数据安全事件进行评估，按照紧急程度、发展态势和可能造成的危害程度，将数据安全事件预警等级分为四级：由高到低依次用红色、橙色、黄色和蓝色标示，分别对应可能发生特别重大、重大、较大和一般数据安全事件。6.4应急启动应急启动具体操作遵循如下规则：1.启动原则--数据安全事件应急工作应在响应时限要求内快速、有序启动。响应时限指的是数据安全事件单从提交到“处理中”经过的时间，不同优先级的事件具有不同的响应时限要求，应该优先处理优先级较高的事件：安全事件级别响应时限要求一级15分钟二级20分钟三级30分钟四级1小时2.启动依据--一般而言，对于导致大数据相关业务中断、重要数据损毁、丢失、泄露等重大数据安全突发事件的应立即启动应急。启动条件可以基于以下方面考虑：数据损毁/泄露的程度；数据的重要程度；数据业务相关平台系统损失的程度预期的中断持续时间等。只有当损害评估的结果显示一个或多个启动条件被满足时，应急预案才应被启动。3.启动方法——由应急保障领导小组发布应急响应启动令。应急响应启动后，应急保障领导小组要对人力、财力、物力等的到位情况实施检查与督察，并记录实际发生的情况。6.5应急处置启动应急预案后，应急响应实施部门应立即采取相关措施抑制数据安全事件的影响，避免造成更大损失。应急处置包括应急响应和恢复操作。数据安全事件应急响应级别分为四级：一级、二级、三级、四级，分别对应已经发生的特别重大、重大、较大、一般数据安发事件。6.5.1一级应急响应属特别重大数据安全事件的，及时启动一级应急响应。应急保障领导小组履行应急处置工作的统一领导、指挥、协调职责。（1）应急响应实施小组24小时值班。（2）应急响应实施小组进入应急状态，在应急保障领导办公室按照应急保障领导小组要求，统一领导、指挥、协调下，负责应急处置工作，24小时值班。应急响应技术保障部门负责支援保障工作。（3）应急响应实施小组跟踪事态发展，检查影响范围，及时将事态发展变化情况、处置进展情况报应急保障领导办公室。由应急保障领导办公室上报应急保障领导小组对决策部署，由应应急响应实施小组负责组织实施。6.5.2二级应急响应属重大数据安全事件的，及时启动二级应急响应。应急保障领导小组履行应急处置工作的统一领导、指挥、协调职责。（1）应急响应实施小组进入应急状态，按照相关应急预案做好应急处置工作。（2）应急响应实施小组及时将事态发展变化情况报应急保障领导办公室。应急保障领导办公室将有关重大事项及时通报相关地区和部门。（3）处置中需要其他有关集团部门、省公司配合和支持的，应急保障领导办公室积极协调集团、其他省公司数据安全事件应急响应技术支撑队伍进行支撑。（4）根据应急保障领导办公室的通报，结合各自实际有针对性地加强防范，防止造成更大范围影响和损失。6.5.3三级、四级应急响应应急响应实施小组在应急保障领导办公室、应急响应技术保障部门的配合下，按相关预案进行应急响应。在确定有效控制了数据安全事件的影响后，开始实施恢复操作。恢复阶段的行动集中于建立临时数据业务处理能力、修复数据等应急措施。为了进行恢复操作，应急预案应提供恢复平台业务能力、恢复数据的详细规程。规程中通常涉及到以下行动：1.获得访问受损设施或地理区域的授权；2.通知相关平台的内部和外部业务伙伴；3.获得装载数据备份介质；4.恢复系统数据。恢复的目标是把所有被攻破的系统和设备尽可能还原到它们正常的任务状态。恢复工作中如果涉及到机密数据，需要额外遵照机密系统的恢复要求。6.6媒体沟通数据安全事件处置过程中及完成后，根据数据安全事件的严重程度，应急保障领导办公室应及时向新闻媒体发布事件处置相关信息，并应严格按照公司相关规定和要求对外发布信息。与媒体或客户沟通时，要从维护客户关系、履行告知义务、维护客户合法权益出发，运用公共关系策略、方法，加强与客户、媒体的沟通，适时向公众发布信息，消除或降低危机所造成的负面影响。必要时，应制定针对社会公众、媒体、股东、客户等相关各方的预案，在大数据安全事件发生时，及时、准确披露信息，防止因信息不对称可能产生的负面影响。6.7结束响应根据应应急响应实施小组报告的数据安全事件发展和应急处理效果等情况，应急响应技术保障部门对数据安全状况进行分析，判断事件影响已降低到最低级别数据安全事件影响水平之下时，报经应急保障领导办公室批准后，指示应急响应实施小组终止应急处置工作。6.8应急响应总结应急响应总结是应急处置之后应进行的工作，具体工作包括：（1）分析和总结数据安全事件发生的原因；（2）分析和总结数据安全事件的现象；（3）评估系统平台及数据的损害程度；（4）评估数据安全事件导致的损失；（5）分析和总结应急处置记录；（6）评审应急响应措施的效果和效率，并提出改进建议；（7）评审应急预案的效果和效率，并提出改进建议。应急响应实施小组应于应急处理结束后一个月内向应急保障领导办公室上报相关的总结评估报告。7.应急处理流程及措施当发生以下数据泄露安全事件时，应立即针对数据泄露安全事件展开不同的应急抑制、应急根除以及应急恢复等应急处置工作，对于超出本单位应急响应处理能力的工作，可以上报应急保障领导办公室协调数据安全应急响应技术保障部门提供相应的技术支持工作。数据泄露场景数据泄露原因网页内容篡改当系统遭受黑客攻击，网页被篡改时。攻击者主动窃取敏感数据恶意攻击者或外部竞争对手，基于经济利益或政治原因驱动，通过层出不穷的高超技术手段，窃取企业的各种重要数据。离职人员有意无意造成数据泄露1、离职人员有意无意造成数据泄露：由于权限管理疏忽等，离职人员在离职时有意或无意违规带走大量核心数据（用户数据、企业内部数据、专利著作及源码数据等）。2、内部人员有意无意造成数据泄露：由于内部员工安全意识薄弱，数据安全分级不明确，操作失误，部分涉密人员无意中泄露数据；部分员工因情绪化报复、利益收买等主动泄露数据。内部人员有意无意造成数据泄露由于内部员工安全意识薄弱，数据安全分级不明确，操作失误，部分涉密人员无意中泄露数据；部分员工因情绪化报复、利益收买等主动泄露数据。权限失控造成数据泄露由于帐号生命周期管理不善，权限划分及认证鉴别方式失控，导致人员对数据的密级访问权限不对等，高密级数据流向低权限帐号，涉密数据流向无权限帐号等。数据维护及处置不当数据泄露不安全的加密方式或明文存储、公开的存储位置、管理密钥或存储介质丢失、未完全擦除报废，存储数据发生泄露。信息发布不当造成数据泄露合作伙伴管理不善数据交互泄露，发布信息审核不当涉及敏感数据泄露，信息数据流入未授权、竞争关系的第三方。表7-1数据泄露场景数据安全事件应急响应流程主要分为：应急准备、应急处置、后续处理/分析确认、抑制根除、恢复运行。如下为数据安全事件应急处理通用流程：7.1应急准备进行数据安全事件应急响应前，应进行数据安全事件应急响应需要的资源、工具，以及流程的准备，应进行如下准备工作：（1）准备数据安全事件分析、取证溯源所需软件和硬件。（2）记录所有的正在运行的网络连接、系统进程、活动用户、敏感数据操作、打开文件以及内存、缓冲和临时目录中的信息。（2）如有需要，备份已被确认受影响的计算机设备。（3）如有需要，则隔离已被确认受影响的计算机设备。（4）寻找其他可能受影响的计算机设备。（5）初步确认事故起源和受损情况。7.2网页内容篡改当系统遭受黑客攻击，网页被篡改时，各系统维护责任单位应立即组织技术力量，短时间内迅速恢复被篡改的网页。（1）切换网站至恢复模式：各网站维护责任单位登陆登录网站服务器，将网站的主页面修改为“网站正在维护中”，或者直接将目标网站进行封停（时限15分钟）。（2）查杀木马病毒，恢复网页：各网站维护责任单位组织技术力量，查杀木马病毒，排查篡改内容，从最近一次备份文件中恢复被篡改的页面，并修改网站管理员密码（时限30分钟）。（3）对网站服务器进行加固：各网站维护责任单位核查网站服务器基线配置、排查日志、稽核访问控制列表等（时限120分钟），并执行安全扫描及评估。若需进行修补漏洞、更改系统配置等可能影响业务稳定的操作，向应急保障领导办公室申报紧急割接，当天晚上执行完毕。7.2.1应急流程网页内容篡改应急流程：图7-1网页内容篡改应急处置流程7.2.2应急工具建议工具：舆情监测、网络爬虫等监测工具、RASA或NESSUS漏洞检测工具、AWVS网站漏洞检测工具等、数据备份还原工具（例如：Ghost）、日志分析工具(webalizer、messages、sulog、lastlog等、数据恢复及痕迹分析取证工具（如：X-WaysForensics等）、内存镜像工具（如：BelkasoftLiveRAMCapturer）、流量分析工具（如：Wireshark、TCPView）、DD、Md5sum（MD5检验工具）、开源情报、服务器状态查看命令（netstat等）等7.2.3应急步骤当系统中发生网站页面被篡改时，可采取本应急措施进行处理。网页篡改应急流程主要分为应急启动、应急处置、事件分析、安全加固、持续监控等五个阶段：（一）应急启动（1）维护人员通过防篡改系统监控到网页被篡改或被挂马时，启动本预案。（2）维护人员进行初步研判，向相关专业及应急响应实施小组通报相关信息。（二）应急处置（1）维护人员初步判断服务器被非法入侵导致网页数据被篡改。（2）维护人员使用备份文件快速恢复被篡改的文件内容。需要注意的是，尽量使用离线的备份文件做快速恢复，恢复时需要仔细检查备份文件的完整性。并且确认文件是否恢复成功。（3）如果没有备份的情况，维护人员需将被篡改的网页进行下线处置。（4）维护人员远程或本地登录主机执行信息收集的脚本，收集进程、网络连接、系统状态等信息，例如：Ps–ef>>info.txtNetstat–an>>info.txtLast>>info.txtLastcomm>>info.txtCat/etc/passwd>>info.txt（5）维护人员对被篡改的信息文件进行快照或者备份，以便后续对事件进行分析跟踪。（三）后续处理/事件分析（1）维护人员检查收集的系统信息，对进程、端口、系统用户等进行比对，分析是否存在异常。（2）维护人员检测系统的调度计划、启动项，分析是否被植入后门。（3）维护人员分析被篡改的信息文件，确定网站被篡改的方式；（4）维护人员分析边界防火墙的访问日志和代理服务器上的日志，确认入侵的源头及攻击方式。（四）安全加固（1）维护人员修改服务器的登录密码。（2）维护人员通过上述分析中确认攻击源头，在防火墙上做相应的阻断策略。（3）维护人员通过上述的分析，发现系统存在的漏洞弱点，通知开发人员加固修改应用代码。（4）安全评估、安全扫描。（五）持续监控（1）维护人员持续监控网站一段时间，确认网站可以正常访问。（2）通过舆情监测、网络爬虫等监测工具持续对互联网数据泄露情况进行持续监测。7.3非法入侵窃取数据当恶意攻击者或外部竞争对手，基于经济利益或政治原因驱动，通过层出不穷的高超技术手段，窃取企业的各种重要数据时，立即针对非法入侵窃取数据安全事件展开不同的应急抑制、应急根除以及应急恢复等应急处置工作，对于超出本单位应急响应处理能力的工作，可以上报应急保障领导办公室协调数据安全应急响应技术保障部门提供相应的技术支持工作。7.3.1应急流程非法入侵窃取数据安全事件应急流程：图7-2非法入侵窃取数据应急处置流程7.3.2应急工具建议工具：舆情监测、网络爬虫等监测工具、RASA或NESSUS漏洞检测工具、AWVS网站漏洞检测工具等、数据备份还原工具（例如：Ghost）、日志分析工具(webalizer、messages、sulog、lastlog等、数据恢复及痕迹分析取证工具（如：X-WaysForensics等）、内存镜像工具（如：BelkasoftLiveRAMCapturer）、流量分析工具（如：Wireshark、TCPView）、DD、Md5sum（MD5检验工具）、开源情报、服务器状态查看命令（netstat等）等7.3.3应急步骤当系统遭受非法入侵窃取数据时，可采取本应急措施进行处理。网页篡改应急流程主要分为应急启动、应急处置、事件分析、抑制根除、恢复运行等五个阶段：（一）应急启动（1）维护人员通过安管平台监控到非法入侵窃取数据时，启动本预案。（二）应急处置（1）立即使用备用的系统替换遭入侵的主用的系统，防止事件进一步扩大。（2）如果没有备用系统的情况，立即将遭入侵的系统进行下线处置。（3）如果系统与其他系统有交互（如数据接口），系统中断或故障会影响对端系统正常业务开展，通信联络人应及时与关联系统进行沟通协调，联动相关部门开展应急处置，降低影响范围。（三）后续处理/分析确认非法入侵攻击的形式多种多样，发生非法入侵窃取数据安全事件的先兆和现象也非常多。（1）非法入侵攻击先兆和对策攻击先兆对策非法入侵窃取数据安全事件发生之前通常会发生一些异常的行为，例如：端口扫描、漏洞扫描、traceroute、ping、DNS探测、操作系统识别等1.检查这些异常行为的目标系统是否存在漏洞；2.如果有必要，直接在防火墙上设置规则，阻塞攻击源地址。安全网站公开了新的攻击手段和代码1.根据攻击代码和手段的使用范围检查本部门是否存在可以被攻击的系统；2.如果存在受影响的系统，采取必要的手段进行防护，例如：打补丁、使用防火墙进行访问控制；系统用户报告有人通过某些手段（例如：电话、聊天）打听一些敏感信息，例如：用户名、密码等。1.为用户进行保密培训；2.详细了解攻击者关心的东西，重点进行关注。表7-2非法入侵攻击先兆和对策（2）发生非法入侵行为的现象攻击行为可能的迹象攻击者获得系统的管理员权限1.系统中发现一些不正常的安全工具和攻击代码。2.系统出现一些不正常的网络流量，例如：攻击者利用本系统攻击其他系统。3.系统配置发生异常变动，包括：进程和服务异常变动；系统开放了异常的端口；系统异常重起、关闭；系统日志被修改，日志策略发生变动；网卡处于混杂模式；系统出现新的管理员账户。4.一些重要文件的属性、时间戳、全线被修改，包括：可执行程序、系统内核、动态连接库、配置文件，以及其它的重要数据。异常的账号使用，例如：空闲账户和系统账户的使用；平常账户执行异常命令。5.系统资源利用率的异常变化，例如：CPU占用大增；日志文件急剧变大；文件系统占用激增；6.用户报告系统无法使用；7.网络和主机入侵监测系统报警；8.出现名字异常的文件和目录，例如：以点开头的文件或目录等；9.收到攻击者的要挟电话或电子邮件。非授权的数据修改，例如：主页被黑1.网络入侵检查系统报警；2.系统资源利用率的异常变化，例如：CPU3.占用大增；日志文件急剧变大；文件系统占用激增；4.用户报告数据被修改，例如：主页被黑；5.重要文件被改动，例如：WEB页面；6.出现名字异常的文件和目录，例如：以点开头的文件或目录等；非授权标准用户的使用1.重要文件的访问企图，例如：passwd文件；2.异常的账号使用，例如：空闲账户和系统账户的使用；平常账户执行异常命令。3.代理服务器的日志显示存在下载黑客工具的行为。非授权大量访问敏感数据：如用户信息1.批量访问敏感信息，例如：用户信息、企业运营数据等。2.正常账号非法使用，例如：高频访问。3.系统中存在非授权账号，例如：数据库权限。4.如通过SQL注入获取大量敏感信息。表7-3发生非法入侵行为的现象（3）证据收集应急响应实施小组尽最大可能收集事件相关信息，鉴别事件性质，确定事件来源，以确定事件范围和评估事件带来的影响和损害，也可以作为进入法律流程的证据。证据需要包括如下识别信息：a.备份入侵主机的目录、备份入侵出现时间前后一周内的网站连接日志、备份防火墙中入侵出现时间前后一周内的网络连接日志、备份IDS、IPS等安全设备前后一周内的预警日志。b.识别信息：系统的位置、序列号、主机名、MAC地址、IP地址等；c.安全事件处理人员的相关信息；d.时间节点；e.证据保存的地点；（四）抑制根除1）对被入侵主机进行网络隔离。2）检查所有相关安全日志（包括防火墙、IPS、IDS等安全系统的安全日志，账号登录日志、操作日志、系统日志等）、已恢复删除文件，并对被入侵主机进行安全漏洞扫描。3）确定攻击者具体入侵时间、访问了那些数据、可能使用的技术手段。4）根据日志分析提取线索、访问痕迹、开源情报对攻击者进行溯源分析。5）根据攻击者可能使用的技术手段制订相应的被入侵主机加固方案（或直接更换被入侵主机应用软件）和安装其他相关安全机制等。6）重新安装整个被入侵主机的系统，对被入侵主机进行相应的安全加固，并使用安全扫描软件确定没有遗留的安全漏洞。7）更换被入侵主机系统管理员密码和被入侵主机应用软件管理员密码。8）对相关防火墙和入侵检测系统作相应的配置调整使之自动检测和阻止该类攻击的再次发生（视具体情况而定）。9）恢复经过安全加固后的被入侵主机器的网络连接，并进行严密监控。（五）恢复运行完成非法入侵窃取数据安全事件的根除工作后，加固系统或者升级杀毒软件使系统免受进一步的破坏，在采用这些措施之前，有必要对系统的损坏程度进行评估，并对恶意代码进行分析；一旦系统恢复到安全状态，任何的修复措施和升级包都应该先做实验，证明安全后才能采用。最后，建立系统的基线数据库。恢复经过安全加固后的应用系统或服务器的网络连接，并进行严密监控。7.4员工泄露敏感数据当发现内部人员、离职人员有意或无意造成数据泄露，立即针对员工泄露数据安全事件展开不同的应急抑制、应急根除以及应急恢复等应急处置工作，对于超出本单位应急响应处理能力的工作，可以上报应急保障领导办公室协调数据安全应急响应技术保障部门提供相应的技术支持工作。7.4.1应急流程员工泄露敏感数据安全事件应急流程：图7-3员工泄露敏感数据应急处置流程7.4.2应急工具建议工具：舆情监测、网络爬虫等监测工具、RASA或NESSUS漏洞检测工具、AWVS网站漏洞检测工具等、数据备份还原工具（例如：Ghost）、日志分析工具(webalizer、messages、sulog、lastlog等、数据恢复及痕迹分析取证工具（如：X-WaysForensics等）、内存镜像工具（如：BelkasoftLiveRAMCapturer）、流量分析工具（如：Wireshark、TCPView）、DD、Md5sum（MD5检验工具）、开源情报、服务器状态查看命令（netstat等）等7.4.3应急步骤当发生员工泄露敏感数据时，可采取本应急措施进行处理。网页篡改应急流程主要分为应急启动、应急处置、事件分析、抑制根除、持续监测等五个阶段：（一）应急启动（1）维护人员或监测人员通过舆情监测、网络爬虫等监测工具在互联网上发现数据泄露时，启动本预案。（2）审计人员通过日志审计发现数据泄露时，启动本预案。（3）维护人员通过安全检测或监测工具，发现敏感信息暴露在公网时，启动本预案。（4）上级监管部门、集团、第三方机构（如新闻媒体）通报我司数据泄露时，启动本预案。（5）上述事件维护人员进行初步研判，并向应急保障领导办公室通报相关信息。（二）应急处置场景1：由于权限管理疏忽等，离职人员在离职时有意或无意违规带走大量核心数据（用户数据、企业数据、专利著作及源码数据等）。（1）通过泄露数据的线索，确认数据泄露时间、泄露范围，确认数据泄露的系统。（2）如离职人员账号、权限未关闭，应立即所有系统账号及权限，防止事件扩大。（3）通过流量分析、日志分析、进程分析，确认是否存在异常连接或异常操作，如有立即断开异常连接或限制异常操作IP。（4）如有必要，切换到备份数据系统。场景2：由于内部员工安全意识薄弱，数据安全分级不明确，操作失误，部分涉密人员无意中泄露数据；部分员工因情绪化报复、利益收买等主动泄露数据。（1）通过泄露数据的线索，确认数据泄露时间、泄露范围，确认数据泄露的系统。（2）通过日志分析工具分析操作日志记录，确认是否有异常操作账号，如有应立即关闭异常操作账号权限。（3）通过流量分析、日志分析、进程分析，确认是否存在异常连接或异常操作，如有立即断开异常连接或限制异常操作IP。场景3：当审计人员通过日志审计发现数据泄露。（1）通过分析操作日志记录，确认数据泄露范围及泄露方式。（2）如发现异常账号，如高频操作、低权限越权操作等，应立即关闭异常账号。（3）如发现异常操作，如绕行4A平台、利用漏洞的非正常操作，应立即限制该IP地址，防止进一步事件扩大。（三）后续处理/分析确认（1）通过日志分析工具对操作日志进行分析，确认数据泄露时间、数据泄露范围、泄露数据账号、数据泄露方式等。（2）通过数据恢复及痕迹分析取证工具、内存镜像工具对泄露数据的系统进行证据固定和痕迹分析取证，进一步确认可疑账号及可疑人员。（3）对通过发现的可疑账号、IP地址、MAC地址等关键信息，确认可疑操作终端。通过数据恢复及痕迹分析取证工具对可疑终端进行痕迹取证分析，确认是否泄露人员信息。（4）通过痕迹取证分析情况结合视频监控工具，进一步确定数据泄露者信息。（四）抑制根除（1）检查所有相关安全日志（包括防火墙、IPS、IDS等安全系统的安全日志，账号登录日志、操作日志、系统日志等）、已恢复删除文件，并对被入侵主机进行安全漏洞扫描。（2）确定数据泄露具体时间、数据范围、可能使用的技术手段。（3）根据日志分析提取线索、访问痕迹、视频监控工具等方式对数据泄露者进行溯源分析。（4）根据分析结果对可能使用数据泄露的方式方法完善相应的管理制度或技术管控措施。（5）更换被数据泄露系统管理员密码和应用软件管理员密码。（6）如利用漏洞、脚本等技术手段，应对相关防火墙和入侵检测系统作相应的配置调整使之自动检测和阻止此类攻击再次发生（视具体情况而定）。（五）持续监测通过舆情监测、网络爬虫等监测工具持续对互联网数据泄露情况进行持续监测。7.5权限失控导致数据泄露-滥用当发现由于权限管控失控造成数据泄露时，立即针对数据泄露安全事件展开不同的应急抑制、应急根除以及应急恢复等应急处置工作，对于超出本单位应急响应处理能力的工作，可以上报应急保障领导办公室协调数据安全应急响应技术保障部门提供相应的技术支持工作。7.5.1应急流程权限失控导致数据泄露安全事件应急流程：图7-4权限失控导致数据泄露应急处置流程7.5.2应急工具建议工具：舆情监测、网络爬虫等监测工具、RASA或NESSUS漏洞检测工具、AWVS网站漏洞检测工具等、数据备份还原工具（例如：Ghost）、日志分析工具(webalizer、messages、sulog、lastlog等、数据恢复及痕迹分析取证工具（如：X-WaysForensics等）、内存镜像工具（如：BelkasoftLiveRAMCapturer）、流量分析工具（如：Wireshark、TCPView）、DD、Md5sum（MD5检验工具）、开源情报、服务器状态查看命令（netstat等）等7.5.3应急步骤当发生权限失控导致数据泄露时，可采取本应急措施进行处理。网页篡改应急流程主要分为应急启动、应急处置、事件分析、抑制根除、加强监管等五个阶段：（一）应急启动（1）维护人员或监测人员通过舆情监测、网络爬虫等监测工具在互联网上发现数据泄露时，初步判断为权限失控，启动本预案。（2）审计人员通过日志审计发现由于权限失控造成数据泄露时，启动本预案。（3）上级监管部门、集团、第三方机构（如新闻媒体）通报我司由于权限失控造成数据泄露时，启动本预案。（4）上述事件维护人员进行初步研判，并向应急保障领导办公室通报相关信息。（二）应急处置由于帐号生命周期管理不善，权限划分及认证鉴别方式失控，导致人员对敏感数据访问权限不对等，敏感数据流向低权限帐号，涉密数据流向无权限帐号等。（1）通过泄露数据的线索，日志分析工具进行分析，确认数据泄露时间、泄露范围、泄露原因及数据泄露的系统。（2）发现特征为低权限批量访问高权限敏感数据时，应立即关闭该低权限账号，防止事件扩大，同时将相关日志记录作为证据备份流程。（3）如日志分析发现，合法账号高频次访问敏感信息，初步判定为非人为操作时，应立即关停该账号，防止事件进一步扩大，同时将相关日志记录作为证据备份流程。（4）如日志分析发现，合法账号非正常时间段，批量访问敏感信息，初步判断为数据泄露根源，应立即冻结该账号，防止事件进一步扩大，同时将相关日志记录作为证据备份流程。（三）后续处理/分析确认（1）通过日志分析工具对操作日志进行分析，确认数据泄露时间、数据泄露范围、泄露原因、泄露数据账号、数据泄露方式等。（2）通过日志分析确认造成数据泄露所在账号的IP地址、单位或个人，进一步确认该账号使用终端。（3）对通过发现的可疑账号、IP地址、MAC地址等关键信息，确认可疑操作终端。通过数据恢复及痕迹分析取证工具对可疑终端进行痕迹取证分析，确认数据泄露人员信息、数据窃取方式及特征情况。（4）通过痕迹取证分析情况结合视频监控工具，进一步确定数据泄露者信息。（四）抑制根除（1）检查所有相关安全日志（包括防火墙、IPS、IDS等安全系统的安全日志，账号登录日志、操作日志、系统日志等）、已恢复删除文件，并对数据泄露系统进行业务逻辑安全及漏洞检测。（2）确定数据泄露具体时间、数据范围、可能使用的技术手段。（3）根据日志分析提取线索、访问痕迹、视频监控工具等方式对数据泄露者进行溯源分析。（4）根据分析结果对可能使用数据泄露的方式方法完善相应的管理制度或技术管控措施。（5）关停造成数据泄露的账号权限。（6）如利用漏洞、脚本等技术手段让低权限账号获取高权限账号访问数据权限，应及时修复相关漏洞，并对相关防火墙和入侵检测系统作相应的配置调整使之自动检测和阻止此类攻击再次发生（视具体情况而定）。（8）完善账号全生命周期管理机制，定期开展业务逻辑、流程安全检查，加强账号权限及操作安全审计及监督管理；加强数据安全教育培训。（五）加强监管（1）加强敏感数据监控及审计。（2）通过舆情监测、网络爬虫等监测工具持续对互联网数据泄露情况进行持续监测。7.6数据维护及处置不当造成数据泄露当发现在互联网发现由于不安全的加密方式或明文存储、公开的存储位置、管理密钥或存储介质丢失、未完全擦除报废，存储数据发生泄露等数据维护及处置不当造成数据泄露时，立即针对数据泄露安全事件展开不同的应急抑制、应急根除以及应急恢复等应急处置工作，对于超出本单位应急响应处理能力的工作，可以上报应急保障领导办公室协调数据安全应急响应技术保障部门提供相应的技术支持工作。7.6.1应急流程数据维护及处置不当造成数据泄露安全事件应急流程：图7-5数据维护及处置不当造成数据泄露应急处置流程7.6.2应急工具建议工具：舆情监测、网络爬虫等监测工具、RASA或NESSUS漏洞检测工具、AWVS网站漏洞检测工具等、数据备份还原工具（例如：Ghost）、日志分析工具(webalizer、messages、sulog、lastlog等、数据恢复及痕迹分析取证工具（如：X-WaysForensics等）、内存镜像工具（如：BelkasoftLiveRAMCapturer）、流量分析工具（如：Wireshark、TCPView）、DD、Md5sum（MD5检验工具）、开源情报、服务器状态查看命令（netstat等）等7.6.3应急步骤当发生数据维护及处置不当造成数据泄露时，可采取本应急措施进行处理。网页篡改应急流程主要分为应急启动、应急处置、事件分析、抑制根除、加强监管等五个阶段：（一）应急启动（1）维护人员或监测发现由于不安全的加密方式或明文存储、公开的存储位置、管理密钥或存储介质丢失、未完全擦除报废，存储数据发生泄露等数据维护及处置不当造成数据泄露时，启动本预案。（2）上级监管部门、集团、新闻媒体、第三方机构或人员通报，我司由于操作失误、明文存储等情况，启动本预案。（二）应急处置（1）通过泄露数据的线索分析，初步判断为由于配置不当造成敏感数据暴露在互联网上，应立即对线索进行核查，确认数据范围、影响范围、泄露原因及方式、受影响系统等信息。（2）将受影响系统与互联网隔离。（3）如有备份服务器，切换到备用服务器。（三）后续处理/分析确认（1）通过泄露数据的线索分析，初步判断为由于配置不当造成敏感数据暴露在互联网上，应立即对线索进行核查，确认数据范围、影响范围、泄露原因及方式、受影响系统等信息。（2）通过日志分析工具和痕迹取证工具对访问敏感数据日志记录和系统访问痕迹进行分析，进一步确定数据泄露的原因、泄露数据的范围、误操作的人员的等信息。（3）如发现有异常链接，因立即阻断，防止数据泄露事件扩大。（四）抑制根除（1）检查所有相关安全日志（包括防火墙、IPS、IDS等安全系统的安全日志，账号登录日志、操作日志、系统日志等）、已恢复删除文件，并对数据泄露系统进行业务逻辑安全及漏洞检测。（2）对系统痕迹进行分析，进一步确定数据泄露具体时间、数据范围、数据未操作的人员等信息。（3）根据日志分析、痕迹取证分析发现的数据泄露原因及方式，制定对应的防护策略，并完善相关操作流程、手册，进一步规范数据维护操作。（五）加强监管（1）加强制定流程、规范、技能、安全意识的培训宣贯，定期对数据泄露系统进行业务逻辑、漏洞、基线安全检测及安全审计，安全部门定期通过专项检查、抽查的方式进行监督检查。（2）通过舆情监测、网络爬虫等监测工具持续对互联网数据泄露情况进行持续监测。7.7信息发布不规范造成数据泄露当发现由于合作伙伴管理不善数据交互泄露，发布信息审核不当涉及敏感数据泄露，信息数据流入未授权、竞争关系的第三方时，立即针对数据泄露安全事件展开不同的应急抑制、应急根除以及应急恢复等应急处置工作，对于超出本单位应急响应处理能力的工作，可以上报应急保障领导办公室协调数据安全应急响应技术保障部门提供相应的技术支持工作。7.7.1应急流程信息发布不规范造成数据泄露安全事件应急流程：图7-6信息发布不规范造成数据泄露应急处置流程7.7.2应急工具建议工具：舆情监测、网络爬虫等监测工具、RASA或NESSUS漏洞检测工具、AWVS网站漏洞检测工具等、数据备份还原工具（例如：Ghost）、日志分析工具(webalizer、messages、sulog、lastlog等、数据恢复及痕迹分析取证工具（如：X-WaysForensics等）、内存镜像工具（如：BelkasoftLiveRAMCapturer）、流量分析工具（如：Wireshark、TCPView）、DD、Md5sum（MD5检验工具）、开源情报、服务器状态查看命令（netstat等）等7.7.3应急步骤当发生信息发布不规范造成数据泄露时，可采取本应急措施进行处理。网页篡改应急流程主要分为应急启动、应急处置、事件分析、安全加固、持续监控等五个阶段：（一）应急启动（1）场景一：当监测人员、维护人员或审计人员等发现在与合作伙伴进行数据交互时，由于未加密、弱加密、脱敏处理造成数据泄露，启动本预案。（2）场景二：安全审计人员对我司与合作伙伴线上线下数据交互情况进行审核时，发现由于我司未对敏感数据进行加密、脱敏处理，疑似数据交互给合作伙伴造成了数据泄露，启动本预案。（3）场景3：监测人员或第三方机构发现我司信息发布时审核不当将涉及敏感数据（例如通讯录、涉及用户数据的文件）信息发布到互联网上，造成数据泄露时，启动本预案。（4）场景4：当接到上级监管部门（工信部、公安部）、集团通报，发现我司由于合作伙伴管理不善数据交互泄露，发布信息审核不当涉及敏感数据泄露，启动本预案。（二）应急处置场景1：当监测人员、维