護(hù)網(wǎng)演習(xí)網(wǎng)絡(luò)安全應(yīng)急預(yù)案
《護(hù)網(wǎng)演習(xí)網(wǎng)絡(luò)安全應(yīng)急預(yù)案》由會(huì)員分享,可在線閱讀,更多相關(guān)《護(hù)網(wǎng)演習(xí)網(wǎng)絡(luò)安全應(yīng)急預(yù)案(25頁珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1、 護(hù)網(wǎng)演習(xí)信息安全應(yīng)急預(yù)案 2019年5月 目 錄 第一章 總則 4 1.1 編制目的 4 1.2 編制依據(jù) 4 1.3 適用范圍 5 第二章 組織機(jī)構(gòu)及職責(zé) 5 2.1 集團(tuán)公司組織機(jī)構(gòu) 5 2.2 子分公司護(hù)網(wǎng)工作組 6 2.3 通聯(lián)方式 6 第三章 事件分級(jí)分類 7 3.1 事件分級(jí) 7 3.1.1 一級(jí)事件 7 3.1.2 二級(jí)事件 7 3.1.3 三級(jí)事件 7 3.1.4 四級(jí)事件 7 3.1.5 五級(jí)事件 7 3.2 事件分類 8 3.2.1 木馬后門事件 8 3.2.2
2、異常登錄事件 8 3.2.3 釣魚郵件事件 8 3.2.4 漏洞攻擊事件 8 3.2.5 暴力破解事件 8 3.2.6 數(shù)據(jù)竊取事件 9 3.2.7 拒絕服務(wù)事件 9 第四章 應(yīng)急處置總體流程 9 第五章 事件分級(jí)流轉(zhuǎn) 9 5.1 一級(jí)事件 10 5.2 二級(jí)事件 10 5.3 三級(jí)事件 11 5.4 四級(jí)事件 11 5.5 五級(jí)事件 12 5.6 事件級(jí)別調(diào)整 12 第六章 監(jiān)測與巡檢 13 6.1 實(shí)時(shí)監(jiān)測 13 6.2 安全巡檢 13 第七章 應(yīng)急響應(yīng) 14 7.1 事件分級(jí)響應(yīng) 14 7.1.1 一級(jí)事件 14 7.1.2 二級(jí)事件 14 7.
3、1.3 三級(jí)事件 14 7.1.4 四級(jí)事件 15 7.1.5 五級(jí)事件 15 7.2 事件分類處置 15 7.2.1 木馬后門事件處置 16 7.2.2 異常登錄事件處置 16 7.2.3 釣魚郵件事件處置 17 7.2.4 漏洞攻擊事件處置 18 7.2.5 暴力破解事件處置 19 7.2.6 數(shù)據(jù)竊取事件處置 20 7.2.7 拒絕服務(wù)事件處置 21 7.3 事件應(yīng)急關(guān)閉 23 附件 24 附件一:集團(tuán)公司護(hù)網(wǎng)行動(dòng)信息安全應(yīng)急組織機(jī)構(gòu)成員名單 24 第一章 總則 1.1 編制目的 為規(guī)范XXXX股份有限責(zé)任公司(以下簡稱“集團(tuán)公司”)護(hù)網(wǎng)演習(xí)信息
4、安全事件應(yīng)急工作,提高應(yīng)對(duì)突發(fā)信息安全事件的綜合管理水平和應(yīng)急處置能力,形成決策科學(xué)、措施有力、反應(yīng)迅速的應(yīng)急工作機(jī)制,有效防范信息系統(tǒng)風(fēng)險(xiǎn),確保信息系統(tǒng)的安全、持續(xù)、穩(wěn)定運(yùn)行,降低信息安全事件的危害,特制定本預(yù)案。 1.2 編制依據(jù) 以國家有關(guān)法規(guī)、規(guī)章、相關(guān)政策為依據(jù),指導(dǎo)集團(tuán)公司信息安全總體應(yīng)急預(yù)案的編制工作。適用性法規(guī)標(biāo)準(zhǔn)主要有: 《中華人民共和國網(wǎng)絡(luò)安全法》 《中華人民共和國突發(fā)事件應(yīng)對(duì)法》(國家主席令第69號(hào)) 《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國務(wù)院令第147號(hào)) 《國家突發(fā)公共事件總體應(yīng)急預(yù)案》 《國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》 《國務(wù)院有關(guān)部門和
5、單位制定和修訂突發(fā)事件應(yīng)急預(yù)案框架指南》(國辦函[2004]33號(hào)) 《GB/T 19715.1-2005 信息技術(shù) 安全技術(shù) 信息技術(shù)安全管理指南》 《GB/Z 20986-2007 信息技術(shù) 信息安全事件分類分級(jí)指南》 《GB/T 20988-2007 信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》 《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 《ISO 22301:2012 業(yè)務(wù)連續(xù)性管理體系》 《XXXX集團(tuán)有限公司突發(fā)事件總體應(yīng)急預(yù)案》 1.3 適用范圍 本預(yù)案適用于集團(tuán)公司總部及子分公司在護(hù)網(wǎng)演習(xí)期間網(wǎng)絡(luò)與信息安全事件的預(yù)防、通報(bào)和應(yīng)急處置工
6、作。 第二章 組織機(jī)構(gòu)及職責(zé) 2.1 集團(tuán)公司組織機(jī)構(gòu) 護(hù)網(wǎng)期間,集團(tuán)公司護(hù)網(wǎng)工作由網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組牽頭,成立護(hù)網(wǎng)行動(dòng)指揮部、護(hù)網(wǎng)工作組、應(yīng)急專家組對(duì)護(hù)網(wǎng)工作進(jìn)行組織及整體把控。 總部成立護(hù)網(wǎng)2019領(lǐng)導(dǎo)小組,負(fù)責(zé)護(hù)網(wǎng)工作的重大決策,統(tǒng)一領(lǐng)導(dǎo)和指揮調(diào)度,由集團(tuán)網(wǎng)絡(luò)安全和信息化分管領(lǐng)導(dǎo)任組長。 成立護(hù)網(wǎng)行動(dòng)指揮部,負(fù)責(zé)網(wǎng)絡(luò)安全保障的工作部署、監(jiān)督檢查與應(yīng)急調(diào)度。信息化部主要領(lǐng)導(dǎo)任組長,各業(yè)務(wù)職能部門和各單位信息分管領(lǐng)導(dǎo)為小組成員,其中辦公廳負(fù)責(zé)護(hù)網(wǎng)指揮大廳場所及后勤保障,財(cái)務(wù)部負(fù)責(zé)護(hù)網(wǎng)行動(dòng)專項(xiàng)資金保障,法務(wù)部負(fù)責(zé)護(hù)網(wǎng)期間法律糾紛問題。 指揮部下設(shè)護(hù)網(wǎng)工作組,負(fù)責(zé)護(hù)網(wǎng)具體組
7、織協(xié)調(diào)、技術(shù)支撐相關(guān)工作,護(hù)網(wǎng)工作組下設(shè)安全監(jiān)控組、技術(shù)研判組、應(yīng)急處置組、事件上報(bào)組。 安全監(jiān)控組負(fù)責(zé)利用各類監(jiān)測類設(shè)備發(fā)現(xiàn)并初步確認(rèn)攻擊事件。 技術(shù)研判組負(fù)責(zé)根據(jù)上報(bào)事件,通過流量、日志及告警行為等信息,進(jìn)行全面溯源分析,確認(rèn)攻擊事件的行為及影響范圍,為應(yīng)急處置組提供處置建議。 應(yīng)急處置組負(fù)責(zé)則在事件發(fā)生時(shí)進(jìn)行隔離、斷網(wǎng),全面的排查、處置與恢復(fù)。 事件上報(bào)組負(fù)責(zé)形成事件應(yīng)急處置報(bào)告,上報(bào)護(hù)網(wǎng)工作組。 各工作組織人員安排詳見附件一。 2.2 子分公司護(hù)網(wǎng)工作組 護(hù)網(wǎng)演習(xí)期間,各子分公司參照集團(tuán)公司組織架構(gòu),自行設(shè)置各工作組,設(shè)置各工作組與集團(tuán)公司聯(lián)系接口人員。 2.3
8、 通聯(lián)方式 護(hù)網(wǎng)演習(xí)過程中的通聯(lián)方式由以下幾種: l 電話 針對(duì)護(hù)網(wǎng)演習(xí)中的緊急事件通過手機(jī)、座機(jī)對(duì)事件相關(guān)人員進(jìn)行實(shí)時(shí)通報(bào)。護(hù)網(wǎng)期間所有參與護(hù)網(wǎng)工作人員需保證手機(jī)24h開機(jī)。 l 事件上報(bào)平臺(tái) 在事件處置完畢后,事件處置人員通過事件上報(bào)平臺(tái)向相關(guān)人員上報(bào)完整處置材料。 l OA系統(tǒng) 在護(hù)網(wǎng)演習(xí)期間重大事件發(fā)生時(shí),通過OA系統(tǒng)直接向指揮部集團(tuán)領(lǐng)導(dǎo)進(jìn)行正式匯報(bào)。 第三章 事件分級(jí)分類 3.1 事件分級(jí) 3.1.1 一級(jí)事件 若演習(xí)目標(biāo)被控制,則定義事件為一級(jí)事件,對(duì)應(yīng)《XXXX集團(tuán)有限公司突發(fā)事件總體應(yīng)急預(yù)案》安全紅色預(yù)警及應(yīng)急Ⅰ級(jí)響應(yīng)。 3.1.2 二級(jí)事件 若重要
9、系統(tǒng)或設(shè)備被控制,則定義事件為二級(jí)事件,對(duì)應(yīng)《XXXX集團(tuán)有限公司突發(fā)事件總體應(yīng)急預(yù)案》安全紅色預(yù)警及應(yīng)急Ⅰ級(jí)響應(yīng)。 3.1.3 三級(jí)事件 若內(nèi)網(wǎng)一般設(shè)備被控制,則定義事件為三級(jí)事件,對(duì)應(yīng)《XXXX集團(tuán)有限公司突發(fā)事件總體應(yīng)急預(yù)案》安全橙色預(yù)警及應(yīng)急Ⅱ級(jí)響應(yīng)。 3.1.4 四級(jí)事件 若DMZ區(qū)一般設(shè)備被控制,則定義事件為四級(jí)事件,對(duì)應(yīng)《XXXX集團(tuán)有限公司突發(fā)事件總體應(yīng)急預(yù)案》安全黃色預(yù)警及應(yīng)急Ⅲ級(jí)響應(yīng)。 3.1.5 五級(jí)事件 若DMZ區(qū)設(shè)備遭到攻擊或內(nèi)網(wǎng)終端遭到攻擊,則定義事件為五級(jí)事件。對(duì)應(yīng)《XXXX集團(tuán)有限公司突發(fā)事件總體應(yīng)急預(yù)案》安全黃色預(yù)警及應(yīng)急Ⅲ級(jí)響應(yīng)。 3.2 事件
10、分類 3.2.1 木馬后門事件 木馬后門事件主要包括:服務(wù)器中檢測存在WEB Shell腳本木馬、遠(yuǎn)程控制、鍵盤記錄、Rootkit等木馬程序,將導(dǎo)致應(yīng)用系統(tǒng)及服務(wù)器被黑客持續(xù)控制,甚至可作為跳板機(jī)進(jìn)行對(duì)其他資產(chǎn)的深入攻擊。 3.2.2 異常登錄事件 異常登錄事件主要包括:應(yīng)用系統(tǒng)和服務(wù)器中檢測存在克隆賬號(hào)、隱藏賬號(hào),以及存在未授權(quán)用戶、異常時(shí)間、異常來源登錄等。 3.2.3 釣魚郵件事件 釣魚郵件事件主要包括:郵件附件包含惡意代碼、惡意鏈接,從而可導(dǎo)致員工內(nèi)部主機(jī)被控,或泄露重要敏感信息。 3.2.4 漏洞攻擊事件 漏洞攻擊事件往往從攻擊人員漏洞掃描探測發(fā)現(xiàn)漏洞開始,之后通過
11、對(duì)漏洞點(diǎn)進(jìn)行分析并深入利用,從而從存在漏洞系統(tǒng)獲取相應(yīng)的敏感信息甚至直接拿下系統(tǒng)的控制權(quán)限。 3.2.5 暴力破解事件 暴力破解事件主要包括:對(duì)主機(jī)、終端設(shè)備、應(yīng)用系統(tǒng)賬號(hào)密碼的暴力破解,黑客通過信息收集,生成暴力破解字典,或根據(jù)已泄露的密碼進(jìn)行撞庫,從而可能導(dǎo)致系統(tǒng)密碼被黑客破解。 3.2.6 數(shù)據(jù)竊取事件 數(shù)據(jù)竊取事件主要包括:敏感信息爬取,利用任意文件讀取等漏洞竊據(jù)敏感文件,利用SQL注入漏洞等竊取數(shù)據(jù)庫敏感信息,以及入侵成功后拖取數(shù)庫等行為。 3.2.7 拒絕服務(wù)事件 拒絕服務(wù)事件主要包括:CC攻擊、DOS攻擊、DDOS攻擊、DRDOS攻擊。一旦遭受拒絕服務(wù)攻擊,可導(dǎo)致服務(wù)
12、器宕機(jī),網(wǎng)絡(luò)阻塞,從而破壞正常的業(yè)務(wù)穩(wěn)定運(yùn)行。 第四章 應(yīng)急處置總體流程 安全事件處置流程由護(hù)網(wǎng)行動(dòng)指揮部進(jìn)行制定,在安全事件發(fā)生時(shí)由安全監(jiān)控組、技術(shù)研判組、應(yīng)急處置組、事件上報(bào)組、護(hù)網(wǎng)行動(dòng)指揮部按照以下流程協(xié)調(diào)配合最終達(dá)到有效完成安全事件處置的目的。 總體工作流程圖如下圖所示: 第五章 事件分級(jí)流轉(zhuǎn) 按照扁平化指揮原則,通過建立護(hù)網(wǎng)行動(dòng)即時(shí)通訊群組,總部在群組中及時(shí)發(fā)布預(yù)警信息指令,子分公司及時(shí)通過群組向總部進(jìn)行事件匯報(bào)。針對(duì)重大事件的發(fā)生,總部及子分公司相關(guān)人員應(yīng)第一時(shí)間通過電話向總部領(lǐng)導(dǎo)匯報(bào)情況。正式情況材料按照處置流程通過OA系統(tǒng)、事件上報(bào)平臺(tái)上報(bào)。 5.1 一級(jí)
13、事件 總部: 在演習(xí)過程中發(fā)生一級(jí)安全事件時(shí),技術(shù)研判組應(yīng)當(dāng)在第一時(shí)間通過即時(shí)通訊群組及電話的形式向護(hù)網(wǎng)行動(dòng)指揮部報(bào)告事件情況,并生成安全事件簡報(bào)上報(bào)護(hù)網(wǎng)行動(dòng)指揮部,不得遲報(bào)、謊報(bào)、瞞報(bào)和漏報(bào),護(hù)網(wǎng)行動(dòng)指揮部對(duì)事件簡報(bào)內(nèi)容進(jìn)行確認(rèn),并部署應(yīng)急處置組迅速開展應(yīng)急處置工作。 在事件處置完成后,應(yīng)急處置組應(yīng)立即梳理出信息安全事件書面報(bào)告交付事件上報(bào)組,由其通過事件上報(bào)平臺(tái)向事件有關(guān)部門進(jìn)行通報(bào)。同時(shí)信息安全事件書面報(bào)告的內(nèi)容要簡明、準(zhǔn)確,主要包括:時(shí)間、地點(diǎn)、信息來源、事件起因和性質(zhì)、基本過程、已造成的后果影響及涉及財(cái)產(chǎn)損失、影響范圍、發(fā)展趨勢(shì)、處置情況、擬采取的措施、單位全稱、聯(lián)系人和聯(lián)系電
14、話等。 子分公司: 按照護(hù)網(wǎng)行動(dòng)指揮部統(tǒng)一安排配合其進(jìn)行事件處置。 5.2 二級(jí)事件 總部: 在演習(xí)過程中發(fā)生二級(jí)安全事件時(shí),處置流程與一級(jí)事件相同。在事件處置完成后,應(yīng)急處置組可在一個(gè)工作日內(nèi),梳理出信息安全事件書面報(bào)告(報(bào)告要求同一級(jí)響應(yīng)報(bào)告內(nèi)容)交付事件上報(bào)組,由其通過事件上報(bào)平臺(tái)向事件有關(guān)部門進(jìn)行通報(bào)。 子分公司: 子分公司工作組應(yīng)當(dāng)在第一時(shí)間通過即時(shí)通訊群組及電話的形式向總部上報(bào)組報(bào)告事件情況,并提交事件證據(jù)相關(guān)材料,事件上報(bào)組需在收到子分公司上報(bào)信息后,將相關(guān)材料信息轉(zhuǎn)交技術(shù)研判組,由技術(shù)研判組對(duì)子分公司上報(bào)信息進(jìn)行研判,子分公司在技術(shù)研判組指導(dǎo)下完成事件處置。在事件
15、處置完成后的一個(gè)工作日內(nèi),梳理出信息安全事件書面報(bào)告(報(bào)告要求同一級(jí)響應(yīng)報(bào)告內(nèi)容),通過事件上報(bào)平臺(tái)向總部事件上報(bào)組進(jìn)行通報(bào)。 5.3 三級(jí)事件 總部: 在演習(xí)過程中發(fā)生三級(jí)安全事件時(shí),技術(shù)研判組應(yīng)當(dāng)在第一時(shí)間通過及時(shí)通訊群組向事件相關(guān)人員及護(hù)網(wǎng)行動(dòng)指揮部報(bào)告事件情況,匯報(bào)流程與一級(jí)相同,不得遲報(bào)、謊報(bào)、瞞報(bào)和漏報(bào),同時(shí)迅速開展應(yīng)急處置工作。在事件處置完成后的在一個(gè)工作日內(nèi),梳理出信息安全事件書面報(bào)告(報(bào)告要求同一級(jí)響應(yīng)報(bào)告內(nèi)容),通過事件上報(bào)平臺(tái)向相關(guān)部門進(jìn)行通報(bào)。 子分公司: 子分公司工作組應(yīng)當(dāng)在第一時(shí)間通過即時(shí)通訊群組及電話的形式向事件上報(bào)組報(bào)告事件情況,并自行完成事件處置。在
16、事件處置完成后,應(yīng)在一個(gè)工作日內(nèi),梳理出信息安全事件書面報(bào)告(報(bào)告要求同一級(jí)響應(yīng)報(bào)告內(nèi)容),通過事件上報(bào)平臺(tái)向總部事件上報(bào)組進(jìn)行通報(bào)。 5.4 四級(jí)事件 總部: 在演習(xí)過程中發(fā)生四級(jí)安全事件時(shí),技術(shù)研判組應(yīng)當(dāng)在第一時(shí)間通過及時(shí)通訊群組向事件相關(guān)人員及護(hù)網(wǎng)行動(dòng)指揮部報(bào)告,匯報(bào)流程與一級(jí)相同,不得遲報(bào)、謊報(bào)、瞞報(bào)和漏報(bào),同時(shí)迅速開展應(yīng)急處置工作。在事件處置完成后,應(yīng)在兩個(gè)工作日內(nèi),梳理出信息安全事件書面報(bào)告(報(bào)告要求同一級(jí)響應(yīng)報(bào)告內(nèi)容),通過事件上報(bào)平臺(tái)向相關(guān)部門進(jìn)行通報(bào)。 子分公司: 子分公司工作組應(yīng)當(dāng)在第一時(shí)間通過即時(shí)通訊群組及電話的形式向事件上報(bào)組報(bào)告事件情況,并自行完成事件處置。
17、在事件處置完成后,應(yīng)在兩個(gè)工作日內(nèi),梳理出信息安全事件書面報(bào)告(報(bào)告要求同一級(jí)響應(yīng)報(bào)告內(nèi)容),通過事件上報(bào)平臺(tái)向總部事件上報(bào)組進(jìn)行通報(bào)。 5.5 五級(jí)事件 總部: 在演習(xí)過程中發(fā)生五級(jí)安全事件時(shí),技術(shù)研判組應(yīng)當(dāng)在第一時(shí)間通過及時(shí)通訊群組向事件相關(guān)人員及護(hù)網(wǎng)行動(dòng)指揮部報(bào)告,不得遲報(bào)、謊報(bào)、瞞報(bào)和漏報(bào),同時(shí)迅速開展應(yīng)急處置工作。在事件處置完成后,在演習(xí)結(jié)束前,應(yīng)在兩個(gè)工作日內(nèi),梳理出信息安全事件書面報(bào)告(報(bào)告要求同一級(jí)響應(yīng)報(bào)告內(nèi)容),通過事件上報(bào)平臺(tái)向相關(guān)部門進(jìn)行通報(bào)。 子分公司: 子分公司工作組應(yīng)當(dāng)在第一時(shí)間通過即時(shí)通訊群組及電話的形式向事件上報(bào)組報(bào)告事件情況,并自行完成事件處置。在事
18、件處置完成后,在演習(xí)結(jié)束前,梳理出信息安全事件書面報(bào)告(報(bào)告要求同一級(jí)響應(yīng)報(bào)告內(nèi)容),通過事件上報(bào)平臺(tái)向總部事件上報(bào)組進(jìn)行通報(bào)。 5.6 事件級(jí)別調(diào)整 總部: 在進(jìn)行應(yīng)急處理過程中,如應(yīng)急處置組發(fā)現(xiàn)事件影響程度及范圍不符合初步判定,應(yīng)及時(shí)與技術(shù)研判組溝通,同時(shí)向護(hù)網(wǎng)行動(dòng)指揮部反饋,由其共同對(duì)事件級(jí)別進(jìn)行重新判定。 在總部接到子分公司上報(bào)的二級(jí)及以上事件后,應(yīng)由技術(shù)研判組對(duì)事件級(jí)別進(jìn)行判定,若確認(rèn)級(jí)別為三級(jí)及以下事件,則通過事件上報(bào)組向子分公司反饋,由子分公司按照新事件級(jí)別進(jìn)行處置。 子分公司: 在進(jìn)行應(yīng)急處理過程中,如發(fā)現(xiàn)事件影響程度及范圍不符合初步判定,應(yīng)及時(shí)對(duì)事件級(jí)別進(jìn)行重新判
19、定及處置。 第六章 監(jiān)測與巡檢 6.1 實(shí)時(shí)監(jiān)測 總部及各子分公司對(duì)演習(xí)目標(biāo)、重點(diǎn)目標(biāo)及安全防護(hù)設(shè)備的報(bào)警信息進(jìn)行實(shí)時(shí)監(jiān)測,分析甄別網(wǎng)絡(luò)中設(shè)備被控制的報(bào)警和線索信息,并按照應(yīng)急處置預(yù)案進(jìn)行處置。 監(jiān)測要求: 護(hù)網(wǎng)演習(xí)期間進(jìn)行7*24小時(shí)不間斷監(jiān)測,監(jiān)測發(fā)現(xiàn)的可疑信息及時(shí)提交技術(shù)研判組研判。 監(jiān)測范圍: 監(jiān)測范圍為安全防護(hù)設(shè)備及演習(xí)相關(guān)業(yè)務(wù)系統(tǒng)。 6.2 安全巡檢 總部及各子分公司對(duì)非演習(xí)目標(biāo)系統(tǒng)、一般設(shè)備、互聯(lián)網(wǎng)暴露設(shè)備進(jìn)行安全巡檢,分析甄別異常信息,并按照應(yīng)急處置預(yù)案進(jìn)行處置。 巡檢要求: 總部組及子分公司應(yīng)急處置組負(fù)責(zé)對(duì)本單位的資產(chǎn)進(jìn)行巡檢,其中非演習(xí)目標(biāo)系統(tǒng)、互聯(lián)
20、網(wǎng)暴漏設(shè)備每隔2小時(shí)巡檢一次并填寫“安全巡檢記錄單”,一般設(shè)備每隔4小時(shí)巡檢一次并填寫“安全巡檢記錄單”。 巡檢范圍: 巡檢范圍為非演習(xí)目標(biāo)系統(tǒng)、一般設(shè)備、互聯(lián)網(wǎng)暴露設(shè)備。 第七章 應(yīng)急響應(yīng) 7.1 事件分級(jí)響應(yīng) 7.1.1 一級(jí)事件 由護(hù)網(wǎng)行動(dòng)指揮部根據(jù)《XXXX集團(tuán)有限公司網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》發(fā)布網(wǎng)絡(luò)安全紅色預(yù)警及啟動(dòng)應(yīng)急Ⅰ級(jí)響應(yīng)。 應(yīng)急處置組向護(hù)網(wǎng)行動(dòng)指揮部響應(yīng)時(shí)間要求: 事件等級(jí) 事件進(jìn)程 跟蹤周期和通報(bào)時(shí)間 一級(jí) 未明確被控原因 每隔30min通報(bào)一次直至被控原因明確 已明確被控原因 每隔30min通報(bào)一次直至明確修復(fù)期限 已明
21、確修復(fù)期限 每隔1h通報(bào)一次直至修復(fù)結(jié)束 7.1.2 二級(jí)事件 由護(hù)網(wǎng)行動(dòng)指揮部根據(jù)《XXXX集團(tuán)有限公司網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》發(fā)布網(wǎng)絡(luò)安全紅色預(yù)警及啟動(dòng)應(yīng)急Ⅰ級(jí)響應(yīng)。 應(yīng)急處置組向護(hù)網(wǎng)行動(dòng)指揮部響應(yīng)時(shí)間要求: 事件等級(jí) 事件進(jìn)程 跟蹤周期和通報(bào)時(shí)間 二級(jí) 未明確被控原因 每隔1h通報(bào)一次直至被控原因明確 已明確被控原因 每隔1h通報(bào)一次直至明確修復(fù)期限 已明確修復(fù)期限 每隔2h通報(bào)一次直至修復(fù)結(jié)束 7.1.3 三級(jí)事件 由護(hù)網(wǎng)行動(dòng)指揮部根據(jù)《XXXX集團(tuán)有限公司網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》發(fā)布網(wǎng)絡(luò)安全橙色預(yù)警及啟動(dòng)應(yīng)急Ⅱ級(jí)響應(yīng)。
22、應(yīng)急處置組向護(hù)網(wǎng)行動(dòng)指揮部響應(yīng)時(shí)間要求: 事件等級(jí) 事件進(jìn)程 跟蹤周期和通報(bào)時(shí)間 三級(jí) 未明確被控原因 每隔2h通報(bào)一次直至被控原因明確 已明確被控原因 每隔1h通報(bào)一次直至明確修復(fù)期限 已明確修復(fù)期限 每隔2h通報(bào)一次直至修復(fù)結(jié)束 7.1.4 四級(jí)事件 由護(hù)網(wǎng)行動(dòng)指揮部根據(jù)《XXXX集團(tuán)有限公司網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》發(fā)布網(wǎng)絡(luò)安全黃色預(yù)警及啟動(dòng)應(yīng)急Ⅲ級(jí)響應(yīng)。 應(yīng)急處置組向護(hù)網(wǎng)行動(dòng)指揮部響應(yīng)時(shí)間要求: 事件等級(jí) 事件進(jìn)程 跟蹤周期和通報(bào)時(shí)間 四級(jí) 未明確被控原因 每隔2h通報(bào)一次直至被控原因明確 已明確被控原因 每隔1
23、h通報(bào)一次直至明確修復(fù)期限 已明確修復(fù)期限 每隔2h通報(bào)一次直至修復(fù)結(jié)束 7.1.5 五級(jí)事件 由護(hù)網(wǎng)行動(dòng)指揮部根據(jù)《XXXX集團(tuán)有限公司網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》發(fā)布網(wǎng)絡(luò)安全黃色預(yù)警及啟動(dòng)應(yīng)急Ⅲ級(jí)響應(yīng)。 應(yīng)急處置組向護(hù)網(wǎng)行動(dòng)指揮部響應(yīng)時(shí)間要求: 事件等級(jí) 跟蹤周期和通報(bào)時(shí)間 五級(jí) 酌情通報(bào)。 7.2 事件分類處置 針對(duì)具體的攻擊事件,總部及子分公司應(yīng)急處置組應(yīng)根據(jù)不同事件類型,按照以下處置方法進(jìn)行有效處置。 7.2.1 木馬后門事件處置 處置方法: 發(fā)現(xiàn)木馬后門后,先針對(duì)出現(xiàn)木馬后門設(shè)備進(jìn)行斷網(wǎng)隔離處理,同時(shí)將該設(shè)備日志進(jìn)行備份留存分析入侵途徑,隨后根據(jù)
24、總部技術(shù)研判組研判結(jié)果對(duì)操作系統(tǒng)進(jìn)行重新部署或病毒軟件進(jìn)行全盤查殺。 處置流程: 7.2.2 異常登錄事件處置 處置方法: 檢測到異常登錄時(shí),優(yōu)先將相關(guān)賬號(hào)下線并留存賬號(hào)相關(guān)日志,隨后針對(duì)問題賬號(hào)采取修改口令或刪除賬號(hào)等方式進(jìn)行處理。 處置流程: 7.2.3 釣魚郵件事件處置 處置方法: 對(duì)郵件內(nèi)鏈接仔細(xì)核查溯源,刪除相關(guān)郵件并對(duì)收到釣魚郵件的主機(jī)進(jìn)行病毒查殺。 處置流程: 7.2.4 漏洞攻擊事件處置 處置方法: 1) 無補(bǔ)丁情況,采取“白名單”策略,基于對(duì)自身業(yè)務(wù)系統(tǒng)路徑架構(gòu)的有效管理,對(duì)正常服務(wù)的路徑進(jìn)行加白,在主機(jī)配置強(qiáng)制訪問控制策略,對(duì)進(jìn)程、驅(qū)
25、動(dòng)等資源進(jìn)行強(qiáng)制管理;針對(duì)特定漏洞進(jìn)行組件刪除和路經(jīng)封堵等策略進(jìn)行防護(hù),隨時(shí)關(guān)注補(bǔ)丁完成情況及時(shí)完成補(bǔ)丁修補(bǔ)工作。 2) 有補(bǔ)丁情況,加強(qiáng)信息系統(tǒng)漏洞巡檢和補(bǔ)丁修復(fù),采取相應(yīng)技術(shù)手段,檢查漏洞修復(fù)情況,并督促整改。 處置流程: 7.2.5 暴力破解事件處置 處置方法: 針對(duì)產(chǎn)生暴力破解事件的相關(guān)攻擊IP進(jìn)行有效封鎖,并關(guān)注出現(xiàn)被暴力破解事件系統(tǒng)運(yùn)行狀態(tài)。 處置流程: 7.2.6 數(shù)據(jù)竊取事件處置 處置方法: 組織技術(shù)研判組對(duì)失竊數(shù)據(jù)內(nèi)容及范圍進(jìn)行研判,根據(jù)研判結(jié)果向相關(guān)業(yè)務(wù)主管部門進(jìn)行通報(bào),相關(guān)業(yè)務(wù)主管部門在收到通報(bào)后,應(yīng)在第一時(shí)間根據(jù)技術(shù)研判組研判建議采取相關(guān)處
26、置措施,防止事件升級(jí)。 處置流程: 7.2.7 拒絕服務(wù)事件處置 處置方法: 借助互聯(lián)網(wǎng)出口運(yùn)營商防護(hù)資源實(shí)現(xiàn)拒絕服務(wù)流量近源清洗,并關(guān)注出現(xiàn)拒絕服務(wù)攻擊事件系統(tǒng)的運(yùn)行狀態(tài)。 處置流程: 護(hù)網(wǎng)行動(dòng)相關(guān)工作小組從外部情報(bào)、日常監(jiān)控、業(yè)務(wù)部門或其他途徑得到報(bào)警信息,及時(shí)進(jìn)行分析判斷。如屬于日常運(yùn)維故障,則由相關(guān)運(yùn)維人員進(jìn)行處理;如判斷為信息安全事件,信息安全工作小組分析事件影響,判斷事件級(jí)別,填寫信息安全事件報(bào)告(報(bào)告模板參見附件二)。 (1)Ⅲ級(jí)及Ⅳ級(jí)信信息安全事件對(duì)信息系統(tǒng)運(yùn)行效率影響較小,信息安全工作小組可在應(yīng)急處置完畢后向信息安全工作小組組長匯報(bào)。 (2)Ⅰ級(jí)及Ⅱ級(jí)
27、信息安全事件對(duì)信息系統(tǒng)運(yùn)行效率影響較大,信息安全工作小組組長立即向信息安全領(lǐng)導(dǎo)小組組長進(jìn)行報(bào)告,并啟動(dòng)信息安全專項(xiàng)應(yīng)急預(yù)案。信息安全領(lǐng)導(dǎo)小組分析信息安全事件影響,確認(rèn)事件級(jí)別,對(duì)應(yīng)急處置過程進(jìn)行監(jiān)管。對(duì)于需要上報(bào)外部監(jiān)管機(jī)構(gòu)的信息安全事件,經(jīng)信息安全領(lǐng)導(dǎo)小組組長審批通過后進(jìn)行上報(bào)。 (3)信息安全工作小組如需公安機(jī)關(guān)或國家互聯(lián)網(wǎng)應(yīng)急中心等國家機(jī)構(gòu)協(xié)助解決信息安全事件,由信息安全工作小組組長提出協(xié)助處置申請(qǐng),信息安全領(lǐng)導(dǎo)小組分析協(xié)助處置請(qǐng)求,協(xié)調(diào)相關(guān)機(jī)構(gòu),協(xié)助集團(tuán)公司進(jìn)行處置。 事件報(bào)告流程如下所示: 圖1事件報(bào)告流程圖 7.3 事件應(yīng)急關(guān)閉 在完成事件處置后,應(yīng)急處置小組將處置結(jié)
28、果上報(bào)護(hù)網(wǎng)行動(dòng)指揮部,由護(hù)網(wǎng)行動(dòng)指揮部通過事件上報(bào)組發(fā)布指令,宣布事件處置工作結(jié)束。 附件 附件一:集團(tuán)公司護(hù)網(wǎng)行動(dòng)信息安全應(yīng)急組織機(jī)構(gòu)成員名單 組織機(jī)構(gòu) 角色 部門 姓名 手機(jī) 郵箱 備注 護(hù)網(wǎng)行動(dòng)指揮部 組長 副組長 組員 組員 組員 組員 組員 應(yīng)急專家組 安全監(jiān)控組 技術(shù)研判組 應(yīng)急處置組 事件上報(bào)組
- 溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 建筑施工重大危險(xiǎn)源安全管理制度
- 安全培訓(xùn)資料:典型建筑火災(zāi)的防治基本原則與救援技術(shù)
- 企業(yè)雙重預(yù)防體系應(yīng)知應(yīng)會(huì)知識(shí)問答
- 8 各種煤礦安全考試試題
- 9 危險(xiǎn)化學(xué)品經(jīng)營單位安全生產(chǎn)管理人員模擬考試題庫試卷附答案
- 加壓過濾機(jī)司機(jī)技術(shù)操作規(guī)程
- 樹脂砂混砂工藝知識(shí)總結(jié)
- XXXXX現(xiàn)場安全應(yīng)急處置預(yù)案
- 某公司消防安全檢查制度總結(jié)
- 1 煤礦安全檢查工(中級(jí))職業(yè)技能理論知識(shí)考核試題含答案
- 4.燃?xì)獍踩a(chǎn)企業(yè)主要負(fù)責(zé)人模擬考試題庫試卷含答案
- 工段(班組)級(jí)安全檢查表
- D 氯化工藝作業(yè)模擬考試題庫試卷含答案-4
- 建筑起重司索信號(hào)工安全操作要點(diǎn)
- 實(shí)驗(yàn)室計(jì)量常見的30個(gè)問問答題含解析