网络信息安全应急处置预案

网络信息安全应急处置预案第一章总则与适用范围1.1制定目的为在网络安全事件发生后30分钟内完成初步遏制、2小时内完成根因定位、4小时内恢复关键业务、24小时内完成溯源与加固，特制定本预案。1.2适用主体本预案覆盖××集团总部、三家全资子公司、两个数据中心、一处云计算平台及全部第三方驻场运维团队，共计1800名员工、4200台终端、1100套虚拟化节点。1.3事件分级标准Ⅰ级（特别重大）：造成直接经济损失≥500万元，或敏感数据泄露≥10万条，或业务中断≥4小时。Ⅱ级（重大）：直接经济损失100—500万元，数据泄露1—10万条，业务中断1—4小时。Ⅲ级（较大）：直接经济损失30—100万元，数据泄露1000—1万条，业务中断30分钟—1小时。Ⅳ级（一般）：低于Ⅲ级阈值，但造成监管通报或媒体曝光。1.4法律依据《网络安全法》第21、25、59条，《数据安全法》第29条，《个人信息保护法》第57条，《关键信息基础设施安全保护条例》第19条，以及ISO27001:2022、GB/T209842022、GB/T222392020。第二章组织体系与角色清单2.1应急管理委员会（EMC）主任：集团首席信息安全官（CISO）副主任：法务总监、运营VP职责：决策封网、降级、向监管报告、批准媒体口径。2.2网络安全应急办公室（NEO）常设于安全运营部，7×24小时值班，设A、B、C三班，每班1名经理+2名工程师+1名数据分析师。2.3技术响应组（TRT）分六个小队：终端、网络、系统、应用、云、工控。每队设队长1名、技术专家3名、厂商外援2名。2.4业务恢复组（BRG）由业务连续性经理牵头，各业务条线负责人组成，负责RTO/RPO指标落地。2.5法务与合规组（LCT）负责证据保全、监管对接、用户告知、诉讼准备。2.6外部接口人公安网安：××市网安支队张警官138××××××××监管：省通信管理局李处010××××××××服务商：阿里云、腾讯云、电信云各指定1名TAM。2.7授权与免责任何人员在应急响应期间，经NEO经理口头授权即可临时关闭生产系统、调整防火墙策略、下线APP，无需另行审批；事后24小时内补单。因执行应急指令导致的业务损失，由EMC出具免责说明。第三章风险评估与场景库3.1威胁清单（近12个月内部统计）勒索软件：12次，平均赎金8.3BTC钓鱼邮件：日均1400封，点击率2.1%APT：发现3起，平均潜伏218天供应链：1起（OA插件被篡改）3.2资产清单（自动发现+人工校对）核心资产：ERP、CRM、MES、SCADA、码垛机器人控制PLC、客户数据库（1.2TB）、源代码仓库（GitLab14.8）。3.3场景化剧本A.勒索软件横向移动B.数据库被批量导出C.云AK/SK泄露导致Bucket被删D.VPN0day入侵E.工控PLC程序被改导致停线F.小程序接口被刷导致个人信息泄露每一场景配套流量特征、日志关键词、处置脚本、恢复镜像。第四章监测与预警机制4.1日志源必须接入的日志：EDR、NDR、WAF、AD、Kafka、K8sAudit、云Trail、工控审计、门禁、UPS。4.2日志格式统一为JSON，时间字段UTC+8，精度毫秒，字段命名遵循ElasticCommonSchema8.5。4.3规则分层L1：内置黑名单（IOC28万条）L2：行为模型（UEBA基线7天滚动）L3：AI聚类（孤立森林，异常分数>0.85）L4：威胁情报（STIX/TAXII每5分钟拉取）4.4预警通道短信+飞书+电话，同一事件5分钟内去重；Ⅰ级事件需电话同步至CISO。4.5预警升级同一IP/账号在30分钟内触发3条L2规则，自动提升为L3并创建事件工单。第五章事件发现与报告路径5.1发现渠道权重SOC告警（60%）、员工举报（20%）、外部通报（15%）、客户投诉（5%）。5.2内部举报接口飞书小程序“一键举报”截图自动打水印，附GPS位置，30秒完成提交；举报人可选择匿名，奖金最高3万元。5.3报告模板字段事件编号、发现时间、发现人、影响资产、初步定级、是否涉及个人信息、是否已遏制、日志包位置、截图。5.4报告时限Ⅰ级：10分钟内口头+邮件Ⅱ级：30分钟内邮件Ⅲ级：1小时内工单Ⅳ级：4小时内工单5.5报告升级若事件在报告后2小时内升级，发现人可重新定级并触发补充报告。第六章应急响应流程（可落地SOP）6.1阶段划分P1识别→P2遏制→P3根因分析→P4清除→P5恢复→P6总结6.2P1识别（0—30分钟）步骤1：SOC值班员在SIEM点击“CreateIncident”，自动拉取近7天相关日志。步骤2：使用SOARPlaybook“Ransomware_Hunt_v3.2”，并行执行：a.关闭该主机网络（EDRIsolate）b.创建快照（vSphereAPI）c.把哈希上传至VirusTotal步骤3：若勒索特征匹配率≥3条，自动定级Ⅱ级，并电话通知TRT队长。6.3P2遏制（30—120分钟）步骤1：网络组在防火墙创建“Incident_”地址组，将失陷IP段加入并禁用外联。步骤2：域名组在DNSSinkhole解析到10.255.255.255，阻断C2。步骤3：如果涉及域控，立即启用“Admin_Tier0”隔离策略，仅允许PAM登录。步骤4：向EMC申请临时断网，授权书模板见附件D。6.4P3根因分析（120—240分钟）步骤1：把内存dump到/data/evidence/，使用Volatility3扫描“malfind”插件。步骤2：建立Rego时间线：Winlogon4624→Powershell4104→WMI5861→加密文件事件。步骤3：若发现Mimikatz，立即检查LSAProtection是否关闭，并统计凭据泄露范围。步骤4：输出《根因报告》初版，附IoC35条、YARA规则8条。6.5P4清除（并行）步骤1：使用EDR批量脚本卸载恶意服务，校验文件MD5。步骤2：重置所有域管密码，长度≥30位，使用密码机生成。步骤3：对云AK/SK轮换，调用API“CreateAccessKey”，老Key300秒后失效。6.6P5恢复（RTO≤4小时）步骤1：从ImmutableBackup读取前一日3:00快照，存储桶启用WORM，锁定30天。步骤2：在隔离VLAN启动验证环境，由业务方签字确认数据完整。步骤3：通过CI/CD重新发布容器镜像，强制拉取最新无漏洞版本（CVE评分≥7.0的已修复）。步骤4：切换DNS至恢复环境，灰度10%流量，观察30分钟无异常后全量。6.7P6总结（72小时内）输出《事件总结报告》含：时间线、影响范围、损失评估、整改清单、问责建议。召开“复盘会”，使用5Why+鱼骨图，会议记录保存10年。第七章工具与资源清单7.1取证工具FTKImager4.7、Velociraptor0.6.8、Wireshark4.0、Memoryze3.5。7.2扫描工具Nessus10.5、Nuclei3.0、OpenVAS22.4、工控专项扫描工具“PLCscan2.1”。7.3备份系统Commvault11.28，备份策略：全量每周日，差异每日，日志每15分钟，备份副本异地500km，加密算法AES256GCM，密钥托管在FIPS1403HSM。7.4镜像仓库Harbor2.8，开启CVE扫描，阻断高危镜像上线；镜像签名采用Cosign。7.5应急U盘32GB，写保护开关，预装：WinPE、GParted、ClamAV、KeePass、Tor浏览器，MD5与SHA256在内部Wiki公示，每季度更新。第八章通讯与协作规范8.1战时通讯群飞书“SecWarRoom”，仅EMC+NEO+TRT队长可拉人，历史记录自动导出PDF加密保存。8.2口令每日更换采用Diceware生成4个中文词语，例：/飞书口令2024/06/05铁马冰河入梦来8.3外部沟通统一由公关部出稿，任何技术人员不得在社交媒体透露细节，违者按《员工手册》第38条记大过。8.4证据链传递使用SHA256+时间戳写入“证据交接单”，打印双份，法务与TRT双方签字，扫描件存证。第九章数据与隐私保护9.1数据分级绝密、机密、内部、公开四级，分别用红、橙、黄、绿标签。9.2泄露告知涉及个人信息≥1万条，LCT在事件确认后72小时内向省级以上监管提交《数据泄露报告》，并通过官网+短信告知用户，短信模板经法务审核。9.3跨境数据若需将日志上传至境外云厂商做分析，必须走数据出境评估，填写《个人信息出境安全评估申报表》，获批后方可传输，传输通道启用IPSecVPN+AES256。第十章外部协作与供应链10.1第三方应急SLA云服务商：核心事件15分钟响应、1小时专家到场；安全厂商：24小时提供补丁或检测规则；ISP：30分钟内完成黑洞路由。10.2合同条款所有采购合同必须包含“安全事件协同”章节，要求供应商在发现与本企业相关事件时6小时内书面通报，违约按合同总额10%罚款。10.3软件成分分析（SCA）引入SBOM，使用SPDX格式，开源组件漏洞>7天未修复即强制下线。第十一章演练与培训11.1演练频率红队+紫队：季度实网演练；桌面推演：月度；全员钓鱼测试：双月。11.2演练场景最近一次（20240318）模拟“云AK泄露+Bucket被加密”，从发现到恢复耗时2小时37分钟，比目标慢37分钟，已整改：SOARPlaybook增加并行快照步骤。11.3培训学时新员工入职8小时必修；研发人员每年再培训4小时；高管每年2小时，采用案例教学。11.4演练评分采用“TTD遏制时间”“TTE根除时间”“误报率”三项KPI，低于85分需重训。第十二章奖惩与问责12.1奖励及时发现Ⅰ级事件第一人：奖金5万元+通报表扬；提出有效加固方案被采纳：奖金1—3万元。12.2处罚未及时升级：扣绩效20%；瞒报：记大过+降薪10%；人为引入高危漏洞：视损失追责，直至刑责。12.3免责按预案流程执行，因断网、关机导致业务损失，经EMC审定后可免责。第十三章持续改进与版本管理13.1度量指标MTTD（平均发现时间）≤30分钟、MTTR（平均恢复时间）≤4小时、事件复发率≤2%。13.2复盘输出必须产生3项可落地整改任务，责任人到人天，JIRA跟踪，逾期自动升级至CISO。13.3版本控制采用GitLab管理，文件名“IRP_v{主版本}.{次版本}_{YYYYMMDD}”，主版本变更需EMC投票通过。13.4回顾周期每半年组织“预案刷新日”，结合新监管要求、新技术栈、新威胁情报，更新场景库与工具链。第十四章附件与快速索引A.应急联系人表（含家庭电话）B.网络拓扑图（Visio+PDF）C.关键系统RTO/RPO清单D.临时断网授权书模板E.证据交接单模板F.事件总结报告模板G.飞书战时群口令生成脚本（Python）H.应急U盘镜像下载链接（内网BitTorrent）第十五章落地案例（20240209真实记录）15.1背景春节前夕，攻击者利用Confluence0day（CVE202322527）植入冰蝎Shell，横向移动到域控。15.2时间线09:12SOC告警“Confluence_Post_Webshell”09:15值班员创建事件INC24020901，定级Ⅱ级09:18TRT隔离Confluence节点，快照09:45发现域控异常4624，升级Ⅰ级10:00EMC批准断网，冻结VPN11:30找到恶意计划任务“\Microsoft\Windows\DiskFootprint\Consolidator”12:00重置全部域管，强制下线VPN612台14:00恢复Confluence，数据无丢失15:30发