網絡信息安全規(guī)范、應急突發(fā)事件預案及處理流程20090625版

網絡信息安全規(guī)范、應急突發(fā)事件預案及處理流程（試 行）一、總則 1、編制目的 為規(guī)范和加強網絡重大信息安全事件的信息報告管理工作，及時掌握和評估重大信息安全事件有關情況，協(xié)調組織力量進行事件的應急響應處理，降低信息安全事件的損失和影響，根據(jù)中共中央辦公廳、國務院辦公廳轉發(fā)國家信息化領導小組關于加強信息安全保障工作意見的通知（中辦發(fā)200327號）和有關法律、法規(guī)的規(guī)定，結合公司實際，制定本規(guī)范。 2、工作原則 統(tǒng)一領導，歸口管理。網絡信息安全應急處理工作應在公司網絡信息安全領導小組的領導下，會同相關部門，齊抓共管、各負其責，共同提高公司網絡系統(tǒng)的信息安全應急處理水平。 明確責任，依法規(guī)范。應從公司信息安全保障的高度出發(fā)，明確應急處理管理部門和各業(yè)務部門的安全責任，嚴格依照國家法律和相關規(guī)定進行應急處理工作。防范為主，加強監(jiān)控。應廣泛宣傳網絡信息安全基本知識，提高對信息安全的認識水平，切實落實信息安全防范措施，強化對公司網絡信息系統(tǒng)的監(jiān)控，減少安全事件可能帶來的不良影響。 整合資源，協(xié)調處理。網絡信息安全應急處理工作應充分加強與專業(yè)信息安全機構的溝通和聯(lián)系，以提高公司網絡系統(tǒng)應急處理能力。 3、適用范圍 本規(guī)范所稱的信息安全重大事件是指由于人為攻擊或破壞以及病毒爆發(fā)等原因所引發(fā)，嚴重影響到網絡與信息系統(tǒng)的正常運行，造成業(yè)務中斷、系統(tǒng)破壞、數(shù)據(jù)破壞或信息失竊等，從而在政府形象、社會穩(wěn)定或公眾利益等方面造成嚴重影響以及造成一定程度直接和間接重大經濟損失的事件。 公司各部門的網絡與信息系統(tǒng)安全事件報告、應急處理，均適用于本規(guī)范。 二、應急處理組織機構 在公司網絡信息安全領導小組的領導下，網絡信息安全應急處理的組織機構組成如下：公司技術部副總、公司技術部。 公司技術部作為網絡信息安全應急處理部門，負責全公司各系統(tǒng)的網絡信息安全事件應急處理協(xié)調工作。各部門在公司網絡信息安全領導小組的領導下，負責本部門網絡信息安全事件應急處理管理工作，并與公司技術部副總、公司技術部保持聯(lián)系，隨時反映網絡信息安全工作情況。 三、預防措施1、組織機構 各部門應建立網絡信息安全管理組織機構，明確崗位職責，確定崗位人員名單、聯(lián)系方式，網絡信息安全管理組織機構人員名單須上報公司技術部備案。各部門應建立網絡信息安全“一把手”負責制，應指定一名部門負責人作為網絡信息安全負責人，管理安全事故應急處理，行使決策職責，并可直接與技術部技術人員聯(lián)系，負責信息安全應急處理流程的實際執(zhí)行，提交重大信息安全事件報告和應急處理工作的結果報告。2、制度規(guī)范各部門應根據(jù)實際情況和需要制定基本的安全管理制度，對重要設備、軟件和業(yè)務數(shù)據(jù)的安全性進行規(guī)范、可靠的管理，提高本部門信息系統(tǒng)的安全防護能力。包括配合技術部制定機房管理制度、設備管理制度、病毒防治管理制度、數(shù)據(jù)備份與恢復制度、網站管理制度、安全審計制度和應急響應制度等。 各部門要針對內部信息系統(tǒng)制定安全運行管理流程，建立安全事件應急預案，以提高本部門信息安全應急響應能力。 各部門應根據(jù)本規(guī)范細化安全應急事件處理流程，包括事件的發(fā)現(xiàn)、判斷、評估、上報和處理等階段，并落實本部門和應急處理管理機構的對口部門和人員，確保應急處理流程得到有效執(zhí)行，信息安全事件得到有效控制和處理。應急響應相關制度如果發(fā)生變化，各部門應及時將最新的制度在公司技術部備案。 3、安全措施 各部門應定期進行風險評估，了解網絡信息系統(tǒng)目前可能存在的安全隱患和所面臨的安全威脅，并針對本部門的實際情況，從物理、網絡、系統(tǒng)、應用和數(shù)據(jù)等多個層面實施信息安全保障工作。 各部門應定期對網絡信息系統(tǒng)的運行狀態(tài)、系統(tǒng)日志和安全日志等進行檢查，對重要信息系統(tǒng)如網站、核心數(shù)據(jù)庫等應每日進行運行檢查，確保及時發(fā)現(xiàn)信息安全事件，減少安全事件所造成的損失。 各部門應定期或不定期組織預案演練，進一步明確應急響應各崗位責任，檢驗應急預案各環(huán)節(jié)之間的通信、協(xié)調、指揮等是否符合快速、高效的要求，對預案中存在的問題和不足及時補充、完善。 4、宣傳培訓 各部門應大力宣傳信息安全的基本原理、安全事件的預防措施和應急處理的基本知識，提高本部門人員的信息安全意識水平。 各部門應定期或不定期地舉辦信息安全基礎培訓，使不同崗位的人員都能熟悉并掌握信息系統(tǒng)應急處理的知識和技能。同時應積極參加由公司網絡安全部門舉辦的各類信息安全培訓，通過不同層次、類型的培訓或研討，提高全公司網絡信息安全水平，減少信息安全事件數(shù)量。 四、應急處理流程 1、信息安全事件分類 根據(jù)信息安全事件可能造成的影響范圍及程度，將應急處理流程分為對外服務信息系統(tǒng)應急處理流程和內部應用信息系統(tǒng)應急處理流程兩大類型。 其中對外服務信息系統(tǒng)指公司網站拍賣平臺和互聯(lián)網對外提供服務的信息系統(tǒng)。內部應用信息系統(tǒng)指僅對各部門內部人員提供服務的信息系統(tǒng)。 同時，根據(jù)發(fā)生安全事件的信息系統(tǒng)所提供的服務范圍，在對外服務信息系統(tǒng)應急處理流程和內部應用信息系統(tǒng)應急處理流程中進一步細分了網站、業(yè)務系統(tǒng)和辦公系統(tǒng)三種業(yè)務類別的應急處理流程。 網站指公司各部門和單位使用HTML等工具制作的用于發(fā)布拍品信息、提供數(shù)據(jù)服務的相關網頁的集合。業(yè)務系統(tǒng)指公司各部門和單位提交數(shù)據(jù)，提供服務、辦理相關業(yè)務的信息系統(tǒng)，如網上業(yè)務辦理系統(tǒng)等。辦公系統(tǒng)指公司各部門和單位處理日常辦公事務的信息系統(tǒng)，如OA系統(tǒng)等。 發(fā)生信息安全事件時，公司各部門和單位應按上述處理流程分類方法對安全事件進行分類，并遵循以下各類別信息安全事件處理流程執(zhí)行。 2、對外服務信息系統(tǒng)應急處理流程 病毒爆發(fā)處理流程 公司各部門和單位對外服務信息系統(tǒng)一旦發(fā)現(xiàn)感染病毒，應執(zhí)行以下應急處理流程：立即切斷感染病毒計算機與網絡的聯(lián)接；對該計算機的重要數(shù)據(jù)進行數(shù)據(jù)備份；啟用防病毒軟件對該計算機進行殺毒處理，同時通過防病毒軟件對其他計算機進行病毒掃描和清除工作；如果滿足下列情況之一的，應立即向本部門信息安全負責人通報情況，并向公司技術部和本市公安局公共信息網絡安全監(jiān)察部門報告以求協(xié)助解決：現(xiàn)行防病毒軟件無法清除該病毒的；網站在2小時內無法處理完畢的；業(yè)務系統(tǒng)或辦公系統(tǒng)在4小時內無法處理完畢的。在公司技術部和本市公安局公共信息網絡安全監(jiān)察部門的協(xié)助下，清除該病毒；恢復系統(tǒng)和相關數(shù)據(jù)，檢查數(shù)據(jù)的完整性；病毒爆發(fā)事件處理完畢，將計算機重新接入網絡；總結事件處理情況，并提出防范病毒再度爆發(fā)的解決方案；實施必要的安全加固。 網頁非法篡改處理流程 公司各部門和單位對外服務網站一旦發(fā)現(xiàn)網頁被非法篡改，應執(zhí)行以下應急處理流程：發(fā)現(xiàn)網站網頁出現(xiàn)非法信息時，值班人員應立即向本部門信息安全負責人通報情況，并立即向公司技術部和本市公安局公共信息網絡安全監(jiān)察部門報告。情況緊急的，應先采取斷網等處理措施，再按程序報告；本部門信息安全負責人應在接到通知后立即趕到現(xiàn)場，做好必要記錄，妥善保存有關記錄及日志或審計記錄；在本市公安局公共信息網絡安全監(jiān)察部門提取相關數(shù)據(jù)樣本后，清理網站非法信息，強化安全防范措施，然后將網站重新投入使用。如情節(jié)構成違法犯罪的，由本市公安局公共信息網絡安全監(jiān)察部門立案偵查；總結事件處理情況，向公司技術部和本市公安局公共信息網絡安全監(jiān)察部門備案，并提出防范再度發(fā)生的解決方案；實施必要的安全加固。非法入侵處理流程 各部門對外服務信息系統(tǒng)一旦發(fā)現(xiàn)被遠程控制等非法入侵行為，應執(zhí)行以下應急處理流程：發(fā)現(xiàn)系統(tǒng)服務器被遠程控制、植入后門程序，或發(fā)現(xiàn)有黑客正在進行攻擊時，應立即向本部門信息安全負責人通報情況，并立即向公司技術部和本市公安局公共信息網絡安全監(jiān)察部門報告；如服務器已被入侵，將被攻擊的服務器等設備從網絡中隔離出來，保護現(xiàn)場；本部門信息安全負責人應在接到通知后立即趕到現(xiàn)場，做好必要記錄，妥善保存有關記錄及日志或審計記錄；由本市公安局公共信息網絡安全監(jiān)察部門對受攻擊的網站、業(yè)務系統(tǒng)和辦公系統(tǒng)進行現(xiàn)場分析，追查攻擊源，修改防火墻等設備的安全配置阻斷黑客繼續(xù)入侵。公司技術部和相關部門做好配合工作； 分析后臺數(shù)據(jù)庫操作日志，判斷是否發(fā)生數(shù)據(jù)失竊。檢查、校驗數(shù)據(jù)的完整性和有效性；在本市公安局公共信息網絡安全監(jiān)察部門提取相關數(shù)據(jù)樣本后，恢復與重建被攻擊或破壞的系統(tǒng)。如情節(jié)構成違法犯罪的，由本市公安局公共信息網絡安全監(jiān)察部門立案偵查；重新將恢復后的對外服務系統(tǒng)接入網絡； 總結事件處理情況，向公司技術部和本市公安局公共信息網絡安全監(jiān)察部門備案，并提出防范再度發(fā)生的解決方案；實施必要的安全加固。 拒絕服務攻擊處理流程 各部門對外服務信息系統(tǒng)一旦發(fā)現(xiàn)遭受DDoS等拒絕服務攻擊，無法正常訪問時應執(zhí)行以下應急處理流程：發(fā)現(xiàn)對外服務系統(tǒng)訪問流量異常、無法正常訪問，可能遭受拒絕服務攻擊時，應立即向本部門信息安全負責人通報情況，并立即向公司技術部和本市公安局公共信息網絡安全監(jiān)察部門報告；本部門信息安全負責人應在接到通知后立即趕到現(xiàn)場，做好必要記錄，妥善保存有關記錄及日志或審計記錄；在本市公安局公共信息網絡安全監(jiān)察部門提取相關數(shù)據(jù)樣本后，對現(xiàn)場進行分析，追查攻擊源，修改路由器、防火墻等設備的安全配置，緩解、消除拒絕服務攻擊的影響?；謴蛯ν庀到y(tǒng)正常運行。如情節(jié)構成違法犯罪的，由本市公安局公共信息網絡安全監(jiān)察部門立案偵查；總結事件處理情況，向公司技術部和本市公安局公共信息網絡安全監(jiān)察部門備案，并提出防范再度發(fā)生的解決方案；實施必要的安全加固。 3、內部應用信息系統(tǒng)應急處理流程 內部網絡病毒爆發(fā)應急處理流程 各部門內部網絡一旦發(fā)現(xiàn)感染病毒，應執(zhí)行以下應急處理流程：立即切斷感染病毒計算機與網絡的聯(lián)接；對該計算機的重要數(shù)據(jù)進行數(shù)據(jù)備份；將防病毒軟件病毒庫升級至最新，啟用防病毒軟件對該計算機進行殺毒處理；如果現(xiàn)行防病毒軟件無法清除該病毒，應立即向本部門信息安全負責人通報情況，并可向公司技術部和本市公安局公共信息網絡安全監(jiān)察部門或專業(yè)信息安全服務機構求助解決；如果公司內超過20臺（含20臺）計算機同時被感染病毒，并在4小時內無法處理完畢，則應立即向公司技術部和本市公安局公共信息網絡安全監(jiān)察部門報告；在有關部門的協(xié)助下，清除該病毒；恢復各計算機軟件系統(tǒng)和數(shù)據(jù)；病毒爆發(fā)事件處理完畢，將計算機重新接入網絡；更新全網防病毒軟件病毒庫，密切監(jiān)視網絡流量和病毒發(fā)作跡象，避免二次感染；總結事件處理情況，并提出防范病毒再度爆發(fā)的解決方案，實施必要的安全加固。 內部應用信息系統(tǒng)安全事件應急處理網頁非法篡改處理流程 各部門內部應用信息系統(tǒng)一旦發(fā)現(xiàn)網頁被非法篡改，應參照四2的網頁非法篡改處理流程執(zhí)行應急處理。非法入侵處理流程 各部門內部應用信息系統(tǒng)一旦發(fā)現(xiàn)被遠程控制等非法入侵行為，應參照四2的非法入侵處理流程執(zhí)行應急處理。 五、監(jiān)督檢查 各部門應根據(jù)本規(guī)范制定本部門的信息安全事件應急處理規(guī)范，對發(fā)生的信息安全事件嚴格按照本規(guī)范要求及時如實地報告并處理，確保公司信息系統(tǒng)的正常運行和服務。 公司技術部負責對各部門執(zhí)行本規(guī)范的情況進行監(jiān)督、檢查。 對違反本規(guī)范進行操作而導致嚴重不良后果的部門和負責人，將會同有關部門追究其相應的責任。 六、附則 本規(guī)范由公司技術部負責解釋。各部門可參照本規(guī)范，結合本部門實際情況，制定具體的實施辦法。本規(guī)范自發(fā)布之日起施行。 行政部 技術部 2004年6月18日 - 8 -網絡信息安全規(guī)范、應急突發(fā)事件預案及處理流程發(fā)生信息