网络信息安全规范、应急突发事件预案及处理流程062.doc

网络信息安全规范、应急突发事件预案及处理流程（试 行）一、总则 1、编制目的 为规范和加强网络重大信息安全事件的信息报告管理工作，及时掌握和评估重大信息安全事件有关情况，协调组织力量进行事件的应急响应处理，降低信息安全事件的损失和影响，根据中共中央办公厅、国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作意见的通知（中办发200327号）和有关法律、法规的规定，结合公司实际，制定本规范。 2、工作原则 统一领导，归口管理。网络信息安全应急处理工作应在公司网络信息安全领导小组的领导下，会同相关部门，齐抓共管、各负其责，共同提高公司网络系统的信息安全应急处理水平。 明确责任，依法规范。应从公司信息安全保障的高度出发，明确应急处理管理部门和各业务部门的安全责任，严格依照国家法律和相关规定进行应急处理工作。防范为主，加强监控。应广泛宣传网络信息安全基本知识，提高对信息安全的认识水平，切实落实信息安全防范措施，强化对公司网络信息系统的监控，减少安全事件可能带来的不良影响。 整合资源，协调处理。网络信息安全应急处理工作应充分加强与专业信息安全机构的沟通和联系，以提高公司网络系统应急处理能力。 3、适用范围 本规范所称的信息安全重大事件是指由于人为攻击或破坏以及病毒爆发等原因所引发，严重影响到网络与信息系统的正常运行，造成业务中断、系统破坏、数据破坏或信息失窃等，从而在政府形象、社会稳定或公众利益等方面造成严重影响以及造成一定程度直接和间接重大经济损失的事件。 公司各部门的网络与信息系统安全事件报告、应急处理，均适用于本规范。 二、应急处理组织机构 在公司网络信息安全领导小组的领导下，网络信息安全应急处理的组织机构组成如下：公司技术部副总、公司技术部。 公司技术部作为网络信息安全应急处理部门，负责全公司各系统的网络信息安全事件应急处理协调工作。各部门在公司网络信息安全领导小组的领导下，负责本部门网络信息安全事件应急处理管理工作，并与公司技术部副总、公司技术部保持联系，随时反映网络信息安全工作情况。 三、预防措施1、组织机构 各部门应建立网络信息安全管理组织机构，明确岗位职责，确定岗位人员名单、联系方式，网络信息安全管理组织机构人员名单须上报公司技术部备案。各部门应建立网络信息安全“一把手”负责制，应指定一名部门负责人作为网络信息安全负责人，管理安全事故应急处理，行使决策职责，并可直接与技术部技术人员联系，负责信息安全应急处理流程的实际执行，提交重大信息安全事件报告和应急处理工作的结果报告。2、制度规范各部门应根据实际情况和需要制定基本的安全管理制度，对重要设备、软件和业务数据的安全性进行规范、可靠的管理，提高本部门信息系统的安全防护能力。包括配合技术部制定机房管理制度、设备管理制度、病毒防治管理制度、数据备份与恢复制度、网站管理制度、安全审计制度和应急响应制度等。 各部门要针对内部信息系统制定安全运行管理流程，建立安全事件应急预案，以提高本部门信息安全应急响应能力。 各部门应根据本规范细化安全应急事件处理流程，包括事件的发现、判断、评估、上报和处理等阶段，并落实本部门和应急处理管理机构的对口部门和人员，确保应急处理流程得到有效执行，信息安全事件得到有效控制和处理。应急响应相关制度如果发生变化，各部门应及时将最新的制度在公司技术部备案。 3、安全措施 各部门应定期进行风险评估，了解网络信息系统目前可能存在的安全隐患和所面临的安全威胁，并针对本部门的实际情况，从物理、网络、系统、应用和数据等多个层面实施信息安全保障工作。 各部门应定期对网络信息系统的运行状态、系统日志和安全日志等进行检查，对重要信息系统如网站、核心数据库等应每日进行运行检查，确保及时发现信息安全事件，减少安全事件所造成的损失。 各部门应定期或不定期组织预案演练，进一步明确应急响应各岗位责任，检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求，对预案中存在的问题和不足及时补充、完善。 4、宣传培训 各部门应大力宣传信息安全的基本原理、安全事件的预防措施和应急处理的基本知识，提高本部门人员的信息安全意识水平。 各部门应定期或不定期地举办信息安全基础培训，使不同岗位的人员都能熟悉并掌握信息系统应急处理的知识和技能。同时应积极参加由公司网络安全部门举办的各类信息安全培训，通过不同层次、类型的培训或研讨，提高全公司网络信息安全水平，减少信息安全事件数量。 四、应急处理流程 1、信息安全事件分类 根据信息安全事件可能造成的影响范围及程度，将应急处理流程分为对外服务信息系统应急处理流程和内部应用信息系统应急处理流程两大类型。 其中对外服务信息系统指公司网站拍卖平台和互联网对外提供服务的信息系统。内部应用信息系统指仅对各部门内部人员提供服务的信息系统。 同时，根据发生安全事件的信息系统所提供的服务范围，在对外服务信息系统应急处理流程和内部应用信息系统应急处理流程中进一步细分了网站、业务系统和办公系统三种业务类别的应急处理流程。 网站指公司各部门和单位使用HTML等工具制作的用于发布拍品信息、提供数据服务的相关网页的集合。业务系统指公司各部门和单位提交数据，提供服务、办理相关业务的信息系统，如网上业务办理系统等。办公系统指公司各部门和单位处理日常办公事务的信息系统，如OA系统等。 发生信息安全事件时，公司各部门和单位应按上述处理流程分类方法对安全事件进行分类，并遵循以下各类别信息安全事件处理流程执行。 2、对外服务信息系统应急处理流程 病毒爆发处理流程 公司各部门和单位对外服务信息系统一旦发现感染病毒，应执行以下应急处理流程：立即切断感染病毒计算机与网络的联接；对该计算机的重要数据进行数据备份；启用防病毒软件对该计算机进行杀毒处理，同时通过防病毒软件对其他计算机进行病毒扫描和清除工作；如果满足下列情况之一的，应立即向本部门信息安全负责人通报情况，并向公司技术部和本市公安局公共信息网络安全监察部门报告以求协助解决：现行防病毒软件无法清除该病毒的；网站在2小时内无法处理完毕的；业务系统或办公系统在4小时内无法处理完毕的。在公司技术部和本市公安局公共信息网络安全监察部门的协助下，清除该病毒；恢复系统和相关数据，检查数据的完整性；病毒爆发事件处理完毕，将计算机重新接入网络；总结事件处理情况，并提出防范病毒再度爆发的解决方案；实施必要的安全加固。 网页非法篡改处理流程 公司各部门和单位对外服务网站一旦发现网页被非法篡改，应执行以下应急处理流程：发现网站网页出现非法信息时，值班人员应立即向本部门信息安全负责人通报情况，并立即向公司技术部和本市公安局公共信息网络安全监察部门报告。情况紧急的，应先采取断网等处理措施，再按程序报告；本部门信息安全负责人应在接到通知后立即赶到现场，做好必要记录，妥善保存有关记录及日志或审计记录；在本市公安局公共信息网络安全监察部门提取相关数据样本后，清理网站非法信息，强化安全防范措施，然后将网站重新投入使用。如情节构成违法犯罪的，由本市公安局公共信息网络安全监察部门立案侦查；总结事件处理情况，向公司技术部和本市公安局公共信息网络安全监察部门备案，并提出防范再度发生的解决方案；实施必要的安全加固。非法入侵处理流程 各部门对外服务信息系统一旦发现被远程控制等非法入侵行为，应执行以下应急处理流程：发现系统服务器被远程控制、植入后门程序，或发现有黑客正在进行攻击时，应立即向本部门信息安全负责人通报情况，并立即向公司技术部和本市公安局公共信息网络安全监察部门报告；如服务器已被入侵，将被攻击的服务器等设备从网络中隔离出来，保护现场；本部门信息安全负责人应在接到通知后立即赶到现场，做好必要记录，妥善保存有关记录及日志或审计记录；由本市公安局公共信息网络安全监察部门对受攻击的网站、业务系统和办公系统进行现场分析，追查攻击源，修改防火墙等设备的安全配置阻断黑客继续入侵。公司技术部和相关部门做好配合工作； 分析后台数据库操作日志，判断是否发生数据失窃。检查、校验数据的完整性和有效性；在本市公安局公共信息网络安全监察部门提取相关数据样本后，恢复与重建被攻击或破坏的系统。如情节构成违法犯罪的，由本市公安局公共信息网络安全监察部门立案侦查；重新将恢复后的对外服务系统接入网络； 总结事件处理情况，向公司技术部和本市公安局公共信息网络安全监察部门备案，并提出防范再度发生的解决方案；实施必要的安全加固。 拒绝服务攻击处理流程 各部门对外服务信息系统一旦发现遭受DDoS等拒绝服务攻击，无法正常访问时应执行以下应急处理流程：发现对外服务系统访问流量异常、无法正常访问，可能遭受拒绝服务攻击时，应立即向本部门信息安全负责人通报情况，并立即向公司技术部和本市公安局公共信息网络安全监察部门报告；本部门信息安全负责人应在接到通知后立即赶到现场，做好必要记录，妥善保存有关记录及日志或审计记录；在本市公安局公共信息网络安全监察部门提取相关数据样本后，对现场进行分析，追查攻击源，修改路由器、防火墙等设备的安全配置，缓解、消除拒绝服务攻击的影响。恢复对外系统正常运行。如情节构成违法犯罪的，由本市公安局公共信息网络安全监察部门立案侦查；总结事件处理情况，向公司技术部和本市公安局公共信息网络安全监察部门备案，并提出防范再度发生的解决方案；实施必要的安全加固。 3、内部应用信息系统应急处理流程 内部网络病毒爆发应急处理流程 各部门内部网络一旦发现感染病毒，应执行以下应急处理流程：立即切断感染病毒计算机与网络的联接；对该计算机的重要数据进行数据备份；将防病毒软件病毒库升级至最新，启用防病毒软件对该计算机进行杀毒处理；如果现行防病毒软件无法清除该病毒，应立即向本部门信息安全负责人通报情况，并可向公司技术部和本市公安局公共信息网络安全监察部门或专业信息安全服务机构求助解决；如果公司内超过20台（含20台）计算机同时被感染病毒，并在4小时内无法处理完毕，则应立即向公司技术部和本市公安局公共信息网络安全监察部门报告；在有关部门的协助下，清除该病毒；恢复各计算机软件系统和数据；病毒爆发事件处理完毕，将计算机重新接入网络；更新全网防病毒软件病毒库，密切监视网络流量和病毒发作迹象，避免二次感染；总结事件处理情况，并提出防范病毒再度爆发的解决方案，实施必要的安全加固。 内部应用信息系统安全事件应急处理网页非法篡改处理流程 各部门内部应用信息系统一旦发现网页被非法篡改，应参照四2的网页非法篡改处理流程执行应急处理。非法入侵处理流程 各部门内部应用信息系统一旦发现被远程控制等非法入侵行为，应参照四2的非法入侵处理流程执行应急处理。 五、监督检查 各部门应根据本规范制定本部门的信息安全事件应急处理规范，对发生的信息安全事件严格按照本规范要求及时如实地报告并处理，确保公司信息系统的正常运行和服务。 公司技术部负责对各部门执行本规范的情况进行监督、检查。 对违反本规范进行操作而导致严重不良后果的部门和负责人，将会同有关部门追究其相应的责任。 六、附则 本规范由公司技术部负责解释。各部门可参照本规范，结合本部门实际情况，制定具体的实施办法。本规范自发布之日起施行。 行政部 技术部 2004年6月18日 网络信息安全规范、应急突发事件预案及处理流程发生信息安全事 件责任人：本部门信息安全负责人向部门领导汇报向公司技术部和本市公安局公共信息网络安全监察部门报告。提取相关数据样本，对现场进行分析，追查攻击源。应急处置网页非法篡改处理：应先及时采取断网记录情况，向有关部门汇报病毒爆发处理：切断感染病毒计算机与网络的联接非法入侵处理：将被攻击设备从网络中隔离出来拒绝服务攻击处理：上报服务器被攻击情况分析后台数据库操作日志，判断是否发生数据失窃。恢复与重建被攻击或破坏的系统。实施必要的安全加固。总结事件处理情况并备案，提出防范再度发生的解决方案。