信息安全事件應(yīng)急處理預(yù)案.docx

信息安全事件應(yīng)急處理預(yù)案1 目的規(guī)范業(yè)務(wù)信息安全事件的應(yīng)急管理和應(yīng)急相應(yīng)程序，及時(shí)有效地應(yīng)急處理工作，最大程度地減少信息安全事件對(duì)公司業(yè)務(wù)的影響，提高業(yè)務(wù)系統(tǒng)應(yīng)急處理能力，保證業(yè)務(wù)信息安全，維護(hù)社會(huì)穩(wěn)定，特制定信息安全事件應(yīng)急處理預(yù)案。2 適用范圍本預(yù)案針對(duì)現(xiàn)有IPTV增值業(yè)務(wù)信息安全事件的應(yīng)急管理和應(yīng)急處置工作3 定義和縮寫3.1 信息安全事件定義：指由于業(yè)務(wù)系統(tǒng)處理能力不足、系統(tǒng)軟硬件運(yùn)行異常、軟件系統(tǒng)遭遇病毒入侵、黑客惡意破壞與入侵、電力系統(tǒng)故障、網(wǎng)絡(luò)與通訊系統(tǒng)故障等導(dǎo)致業(yè)務(wù)信息系統(tǒng)運(yùn)行產(chǎn)生異常，在此階段需要采取應(yīng)急處理措施的事件。3.2 信息安全基礎(chǔ)分類：3.2.1 有害程序破壞事件：非法蓄意制造并傳播有害程序?qū)е聵I(yè)務(wù)系統(tǒng)受到有害程序的影響導(dǎo)致的信息安全事件；3.2.2 網(wǎng)絡(luò)黑客攻擊事件：不法分子通過網(wǎng)絡(luò)或其他技術(shù)手段，利用業(yè)務(wù)系統(tǒng)的配置缺陷，協(xié)議缺陷、程序漏洞等或使用暴力攻擊對(duì)業(yè)務(wù)系統(tǒng)實(shí)施攻擊，并造成業(yè)務(wù)系統(tǒng)異常或?qū)I(yè)務(wù)系統(tǒng)運(yùn)行造成潛在危害的信息安全事件：3.2.3 信息破壞事件：不法分子通過網(wǎng)絡(luò)或其他技術(shù)手段，造成業(yè)務(wù)系統(tǒng)中的信息被篡改、假冒、泄露、竊取等而導(dǎo)致的信息安全事件；3.2.4 信息內(nèi)容安全事件：利用業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)發(fā)布、傳播危害國家安全、社會(huì)穩(wěn)定和公共利益內(nèi)容的安全事件；3.2.5 業(yè)務(wù)設(shè)備故障：由于業(yè)務(wù)系統(tǒng)自身故障或外圍保障設(shè)備故障而導(dǎo)致的信息安全事件，以及人為因素的使用非技術(shù)手段有意或無意的對(duì)業(yè)務(wù)系統(tǒng)造成破壞而導(dǎo)致的信息安全事件；3.2.6 災(zāi)害性事件：由于不可抗力對(duì)業(yè)務(wù)系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件；3.2.7 其他信息安全事件：不能歸為以上6個(gè)基本分類的信息安全事件。4 工作原則統(tǒng)一管理，各部門協(xié)同配合。信息安全突發(fā)事件應(yīng)急工作由應(yīng)急指揮中心統(tǒng)一領(lǐng)導(dǎo)和工作協(xié)調(diào)協(xié)調(diào)，督促各個(gè)部門在信息安全應(yīng)急事件發(fā)生是能夠做到“責(zé)任明確、綜合協(xié)調(diào)、各司其職”的原則協(xié)同配合、具體實(shí)施，完善應(yīng)急工作體系和機(jī)制。 明確責(zé)任，依法規(guī)范。按照“責(zé)任主體管理方式、實(shí)行分級(jí)響應(yīng)、及時(shí)發(fā)現(xiàn)、及時(shí)報(bào)告、及時(shí)救治、及時(shí)控制”的要求，依法對(duì)信息安全突發(fā)事件進(jìn)行防范、監(jiān)測、預(yù)警、報(bào)告、響應(yīng)、指揮和協(xié)調(diào)、控制。按照“誰主管、誰負(fù)責(zé)，誰運(yùn)營、誰負(fù)責(zé)”的原則，實(shí)行責(zé)任制和責(zé)任追究制。 防范為主，加強(qiáng)信息安全監(jiān)控。宣傳普及信息安全防范知識(shí)，貫徹預(yù)防為主的思想，樹立常備不懈的觀念，經(jīng)常性地做好應(yīng)對(duì)信息安全突發(fā)事件的思想準(zhǔn)備、預(yù)案準(zhǔn)備、機(jī)制準(zhǔn)備和工作準(zhǔn)備，提高公共防范意識(shí)以及基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全綜合保障水平。加強(qiáng)對(duì)信息安全隱患的日常監(jiān)測，發(fā)現(xiàn)和防范重大信息安全突發(fā)性事件，及時(shí)采取有效的可控措施，迅速控制事件影響范圍，力爭將損失降到最低程度。5 信息安全事件應(yīng)急指揮中心：根據(jù)工作需要，成立針對(duì)業(yè)務(wù)處信息安全事件應(yīng)急指揮中心，統(tǒng)一指揮事件的處理工作。5.1 職責(zé)與權(quán)限崗位職責(zé)應(yīng)急指揮中心1. 統(tǒng)一領(lǐng)導(dǎo)、指揮、協(xié)調(diào)處置突發(fā)的信息安全事件2. 決定啟動(dòng)或終止信息系統(tǒng)災(zāi)難級(jí)事件的應(yīng)急預(yù)案 3. 確定有關(guān)部門應(yīng)急處置工作職責(zé)及分工 4. 決定事件處置決策和應(yīng)對(duì)措施指揮、協(xié)調(diào)有關(guān)部門組織實(shí)施5. 決定事件的信息發(fā)布、媒體接觸等事項(xiàng)6. 對(duì)在預(yù)防和處置信息安全事件工作中因失職、瀆職或其他原因造成嚴(yán)重后果的責(zé)任單位和責(zé)任人員，提請(qǐng)有關(guān)部門按照公司規(guī)章制度追究其責(zé)任7. 研究解決事件處置過程中的其他重大事項(xiàng)。應(yīng)急現(xiàn)場小組1. 具體組織實(shí)施現(xiàn)場技術(shù)業(yè)務(wù)系統(tǒng)恢復(fù)和信息資產(chǎn)保全工作2. 協(xié)助業(yè)務(wù)部門實(shí)施業(yè)務(wù)連續(xù)性保障工作 3. 對(duì)現(xiàn)場事態(tài)發(fā)展及處置情況及時(shí)向公司及外部單位報(bào)告4. 負(fù)責(zé)現(xiàn)場處置工作的總結(jié)、報(bào)告6 工作程序 6.1 預(yù)防與預(yù)警機(jī)制 6.1.1 預(yù)防機(jī)制詳細(xì)預(yù)案編制 各部門應(yīng)結(jié)合本部門實(shí)際情況制定全面、切實(shí)可行的具體應(yīng)急處理詳細(xì)步驟規(guī)范應(yīng)急處理的操作流程，提高應(yīng)急處理能力。其中，業(yè)務(wù)部署環(huán)境中心機(jī)房的預(yù)案應(yīng)涵蓋中心機(jī)房業(yè)務(wù)服務(wù)器主備機(jī)切換、網(wǎng)絡(luò)系統(tǒng)、基礎(chǔ)設(shè)施、冗余備份失效等方面的各種應(yīng)急情況。包括應(yīng)急處理的具體實(shí)施步驟、檢驗(yàn)方法、實(shí)施時(shí)間等要素。預(yù)防性維護(hù)測試 業(yè)務(wù)部分和各分相關(guān)部門按照應(yīng)急指揮中心統(tǒng)一制定的月、季度、年度的應(yīng)急演練和預(yù)防性維護(hù)測試記錄表單進(jìn)行日常預(yù)防性維護(hù)工作，并做好書面的記錄和總結(jié)。進(jìn)行預(yù)防性維護(hù)測試時(shí)，主要檢驗(yàn)備份設(shè)備以及切換流程是否正常和可操作，或者對(duì)可能導(dǎo)致風(fēng)險(xiǎn)的關(guān)鍵點(diǎn)進(jìn)行設(shè)備檢查，保證設(shè)備的正常進(jìn)行。6.1.2 日常運(yùn)行監(jiān)測與預(yù)警機(jī)制 機(jī)房實(shí)行724小時(shí)值班制度，隨時(shí)響應(yīng)公司內(nèi)的信息安全事件。主機(jī)、網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)安排專崗負(fù)責(zé)監(jiān)控，詳細(xì)記錄、統(tǒng)計(jì)系統(tǒng)運(yùn)行狀況形成報(bào)表方便匯總、查詢。采用智能圖像化監(jiān)控管理系統(tǒng)監(jiān)控服務(wù)器狀態(tài)、用戶并發(fā)、資源利用等情況，通過報(bào)警功能及時(shí)查找業(yè)務(wù)問題。6.1.3 重要、敏感時(shí)期的預(yù)防和預(yù)警機(jī)制 在重要、敏感時(shí)期，為維護(hù)業(yè)務(wù)穩(wěn)定開展和加強(qiáng)信息系統(tǒng)安全工作，加強(qiáng)全體員工的法律意識(shí)和安全意識(shí)教育，制定重要、敏感時(shí)期的應(yīng)急預(yù)案做到發(fā)現(xiàn)問題及時(shí)處理提高業(yè)務(wù)系統(tǒng)的應(yīng)急處理能力，堅(jiān)持重要、敏感時(shí)期的24小時(shí)值班制度，保證與上級(jí)主管部門、關(guān)鍵業(yè)務(wù)與設(shè)備服務(wù)商和當(dāng)?shù)毓矙C(jī)關(guān)的熱線聯(lián)系，積極做好各種風(fēng)險(xiǎn)防范工作。6.2 信息安全事件的應(yīng)急響應(yīng)信息安全事件分為一般、緊急、重大以及災(zāi)難，共四個(gè)等級(jí)1) 一般：指能夠?qū)е螺^小影響或破壞的信息安全事件2) 緊急：指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件3) 重大：指能夠?qū)е聡?yán)重影響或破壞的信息安全事件4) 災(zāi)難：指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件6.2.1 預(yù)案應(yīng)急處理機(jī)制鑒別事件類別與事件等級(jí)，確定信息安全事件來源，保護(hù)證據(jù)，以便縮短應(yīng)急響應(yīng)時(shí)間。 檢查威脅造成的結(jié)果，評(píng)估事件帶來的影響和損害：如檢查系統(tǒng)、服務(wù)、數(shù)據(jù)的完整性、保密性或可用性，檢查攻擊者是否侵入了系統(tǒng)，以后是否能再次隨意進(jìn)入，損失的程度，確定暴露出的主要危險(xiǎn)等。 抑制事件的影響進(jìn)一步擴(kuò)大，限制潛在的損失與破壞。可能的抑制策略一般包括：關(guān)閉服務(wù)或關(guān)閉所有的系統(tǒng)，從網(wǎng)絡(luò)上斷開相關(guān)系統(tǒng)，修改防火墻和路由器的過濾規(guī)則，封鎖或刪除被攻破的登錄賬號(hào)，阻斷可疑用戶得以進(jìn)入網(wǎng)絡(luò)的通路，提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級(jí)別，設(shè)置陷阱，啟用緊急事件下的接管系統(tǒng)，實(shí)行特殊“防衛(wèi)狀態(tài)”安全警戒，反擊攻擊者的系統(tǒng)等。 根除。在事件被抑制之后，通過對(duì)有關(guān)惡意代碼或行為的分析結(jié)果，找出事件根源，明確相應(yīng)的補(bǔ)救措施并徹底清除。與此同時(shí)，執(zhí)法部門和其他相關(guān)機(jī)構(gòu)將對(duì)攻擊源進(jìn)行定位并采取合適的措施將其中斷。 清理系統(tǒng)、恢復(fù)數(shù)據(jù)、程序、服務(wù)。把所有被攻破的系