关键信息基础设施安全事件应急处置方案

关键信息基础设施安全事件应急处置方案第一章总则与适用范围1.1制定目的关键信息基础设施（以下简称“关基”）一旦遭受破坏、丧失功能或数据泄露，将直接危及国家安全、经济命脉与公共利益。本方案以“分钟级发现、小时级止损、日内级恢复”为目标，通过统一指挥、分级响应、闭环处置，最大限度降低事件影响，保障业务连续性。1.2适用对象本方案适用于本单位被认定为关基的运营者及其上游支撑单位、下游依赖单位，覆盖生产控制区、管理信息区、办公区、第三方托管区、边缘节点、云平台、移动应用、供应链组件等全部技术与管理场景。1.3事件分级原则级别定义影响范围恢复目标上报时限Ⅰ级（特别重大）导致全国性服务中断、核心数据批量泄露或物理损毁跨省/全国2小时内止血，8小时内核心功能降级运行，24小时内恢复80%产能15分钟内向国家关基协调中心电话报告，30分钟内书面报告Ⅱ级（重大）导致省级区域服务中断或重要数据泄露省内多市1小时内止血，4小时内核心功能降级运行，12小时内恢复80%产能30分钟内向省级关基办电话报告，1小时内书面报告Ⅲ级（较大）导致地市级服务明显降级或局部数据泄露本地市30分钟内止血，2小时内核心功能降级运行，8小时内恢复80%产能1小时内向市级关基办书面报告Ⅳ级（一般）对业务无明显影响但存在潜在风险单点/局部2小时内完成风险消除4小时内向本单位安全管理中心报备第二章组织体系与职责2.1应急指挥架构岗位组成常驻地点主要职责备用通信方式总指挥单位主要负责人指挥中心A全局决策、对外发声、资源调配卫星电话+加密对讲副总指挥分管安全与业务副总裁指挥中心B替代总指挥、协调业务线北斗短报文技术专家组内部资深架构师+外部特聘专家技术作战室攻击溯源、样本逆向、恢复方案评审加密邮件列表网络防护组SOC/IDS/防火墙团队安全运营中心边界封堵、流量清洗、策略加固内网IM+VPN系统恢复组系统运维+数据库+云团队主备机房容灾切换、数据回滚、补丁验证KVMoverIP供应链组采购+法务+合规供应链作战室第三方组件下线、合同应急条款激活企业微信+EMS舆情与法务组公关+法务+合规品牌中心统一口径、证据固定、报案材料加密语音会议2.2战时编组转换日常“三级运维”模式在Ⅰ/Ⅱ级事件触发后30分钟内切换为“战时指挥”模式：1.所有技术组转为7×24小时轮班，每班不超过8小时，交接记录须双签字；2.供应链组获得“先下架后审批”授权，可暂停任何第三方服务；3.舆情与法务组接管所有对外渠道，禁止个人擅自发声。第三章预防与监测3.1攻击面收敛基线资产类型收敛动作完成时限责任组验证方式互联网暴露端口关闭非必要端口，必须开放的纳入零信任网关每月5日前网络防护组自动化扫描+人工复核源代码托管平台删除历史硬编码密钥，启用Token扫描每季度首月开发安全组GitHook+SAST第三方SDK建立SBOM，高危版本72小时内升级持续供应链组软件成分分析工具3.2异常行为模型采用“动态基线+威胁情报+业务语义”三重检测：1.动态基线：对CPU、内存、磁盘IO、网络吞吐建立滑动窗口标准差模型，偏离3σ即告警；2.威胁情报：对接国家互联网应急中心、商业TIP，IOC命中自动创建工单；3.业务语义：对工业控制指令增加“工艺合理性”校验，例如阀门开度>90%且管道压力<0.2MPa时触发拦截。3.3红蓝紫对抗机制演练类型频率攻击方防守方复盘要求红队（全链路）半年一次外部红队+内部紫队全部技术组72小时内输出改进清单，整改率≥90%紫队（专项）季度一次内部紫队单系统团队48小时内修复高危漏洞蓝队（桌面）月度一次剧本推演指挥组更新应急预案，版本号+1第四章事件发现与报告4.1多源告警合并策略告警来源包括SOC、邮件网关、工控探针、员工举报、监管通报。采用“五维归一”规则：时间窗口5分钟、源IP、目的资产、攻击阶段（KillChain）、业务系统五字段完全一致即合并为单事件，减少冗余工单85%以上。4.2报告路径报告层级触发条件报告形式加密要求模板版本内部一级Ⅳ级事件内网工单TLS1.3V3.2内部二级Ⅲ级及以上加密邮件+电话SM4V3.2监管上报Ⅱ级及以上关基直报平台国密数字信封国家模板实时同步4.3报告内容“6W1H”要素When（精确到秒）、Where（资产IP/物理位置）、Who（已确认/疑似攻击者）、What（事件类型）、Why（初步根因）、Which（影响范围）、How（已采取措施）。缺失任意一项视为无效报告，须退回重填。第五章应急响应流程5.1通用处置流程图（文字描述）发现→定级→指挥启动→隔离→取证→溯源→止损→恢复→验证→复盘→归档。其中“隔离”与“取证”并行，确保链条完整；“恢复”与“验证”串行，确保不二次引入风险。5.2隔离策略矩阵资产场景隔离方式工具/命令风险副作用补偿措施云平台ECS安全组一键拉黑外网CloudFirewallAPI正常用户无法访问白名单IP自动放行工控PLC物理拔网线+串口锁现场运维产线停机切换至备用PLC模式容器集群网络策略隔离命名空间CalicoNetworkPolicy微服务调用链断裂启用ServiceMesh降级5.3取证规范1.内存取证：使用开源工具LiME，生成raw格式镜像，计算SHA256并写入只读光盘；2.磁盘取证：采用位对位复制，写入双份，一份封存，一份用于分析；3.流量取证：对核心交换机做SPAN，保留PCAP，保留期不少于180天；4.日志取证：原始日志禁止修改，使用日志区块链系统固化哈希，确保不可篡改。5.4止损技术清单攻击手法止损动作预期耗时验证指标勒索软件加密1.阻断C22.快照回滚3.批量杀毒30分钟加密进程数=0、文件修改速率<10个/分钟数据泄露爬虫1.封IP2.限速3.启用验证码15分钟异常API调用下降90%挖矿木马1.kill进程2.清理定时任务3.关闭外联矿池20分钟CPU使用率降至基线5.5业务恢复优先级采用BIA（业务影响分析）评分=（收入损失/小时）×（客户影响面）×（合规罚金系数），得分前20%的系统优先恢复。核心系统恢复顺序：1.认证授权（IAM）→2.消息总线（Kafka）→3.支付清算→4.订单→5.报表。第六章数据备份与恢复6.1备份策略数据类型频率保留期存储位置加密算法恢复演练结构化数据库实时同步+每日全量180天本地+异地机房SM4月度非结构化文件每小时增量90天本地+蓝光光盘SM4季度工控配置变更即备份365天离线硬盘SM4半年6.2恢复验证脚本自动化脚本每日凌晨3点随机抽取1%备份集，创建隔离网络环境，拉起容器化副本，执行核心业务交易32笔，成功率≥99%视为通过，否则触发工单。第七章供应链与第三方协同7.1供应链事件分级级别示例通知时限替代方案高危上游SDK出现0day1小时内启用本地私有补丁仓库中危CDN节点被篡改4小时内切换至备用CDN低危第三方监控平台故障24小时内启用本地Prometheus7.2合同应急条款所有新签采购合同必须包含“安全事件应急条款”，约定：1.供应商须在接到通知后30分钟内提供事件联系人；2.若因供应商原因导致Ⅱ级以上事件，供应商按小时支付违约金，金额为合同总额1‰/小时；3.争议仲裁地点为本单位所在地法院。第八章通信与舆情管理8.1内部通信白名单战时仅开放以下通道：1.卫星电话（语音）；2.内网加密IM（文字+文件）；3.北斗短报文（备用）。其余通信方式一律关闭，防止泄密。8.2对外发声口径模板阶段发声时间发声主体关键表述禁用词汇初始事件确认后2小时新闻发言人“发现异常，正在排查，业务运行正常”黑客、攻击、泄露进展每6小时新闻发言人“影响范围可控，已上报监管”重大、严重结束恢复后24小时新闻发言人“事件已处置完毕，后续加强防范”彻底、绝对第九章验证与演练9.1演练类型类型频率参与方成功标准全流程实战每年全部组织RTO、RPO达到预定目标沙盘推演半年指挥组无逻辑漏洞专项演练季度单系统高危漏洞修复率100%9.2演练复盘“五不放过”事件原因未查清不放过、责任人员未处理不放过、整改措施未落实不放过、有关人员未受教育不放过、应急方案未更新不放过。第十章法律合规与证据固定10.1证据链标准环节要求工具存储期限收集双人见证执法记录仪永久封存一次性封条防篡改袋永久移交填写移交清单电子签名永久10.2合规对照表法规条款对应本方案章节满足方式《关基安全保护条例》第二十三条第五章15分钟内向国家关基协调中心报告《数据安全法》第二十九条第六章重要数据跨境传输审批《个人信息保护法》第五十七条第六章泄露事件通知个人第十一章持续改进11.1指标化驱动建立“333”指标库：1.3个时效指标：MTTD（平均检测时间）≤30分钟、MTTI（平均隔离时间）≤60分钟、MTTR（平均恢复时间）≤4小时；2.3个有效指标：误报率≤5%、演练整改完成率≥90%、备份恢复成功率≥99%；3.3个改进指标：年度事件总数同比下降10%、高危漏洞存活时