《護網(wǎng)演習網(wǎng)絡安全應急預案》由會員分享，可在線閱讀，更多相關《護網(wǎng)演習網(wǎng)絡安全應急預案（25頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、 護網(wǎng)演習信息安全應急預案 2019年5月 目 錄 第一章 總則 4 1.1 編制目的 4 1.2 編制依據(jù) 4 1.3 適用范圍 5 第二章 組織機構及職責 5 2.1 集團公司組織機構 5 2.2 子分公司護網(wǎng)工作組 6 2.3 通聯(lián)方式 6 第三章 事件分級分類 7 3.1 事件分級 7 3.1.1 一級事件 7 3.1.2 二級事件 7 3.1.3 三級事件 7 3.1.4 四級事件 7 3.1.5 五級事件 7 3.2 事件分類 8 3.2.1 木馬后門事件 8 3.2.2

2、異常登錄事件 8 3.2.3 釣魚郵件事件 8 3.2.4 漏洞攻擊事件 8 3.2.5 暴力破解事件 8 3.2.6 數(shù)據(jù)竊取事件 9 3.2.7 拒絕服務事件 9 第四章 應急處置總體流程 9 第五章 事件分級流轉(zhuǎn) 9 5.1 一級事件 10 5.2 二級事件 10 5.3 三級事件 11 5.4 四級事件 11 5.5 五級事件 12 5.6 事件級別調(diào)整 12 第六章 監(jiān)測與巡檢 13 6.1 實時監(jiān)測 13 6.2 安全巡檢 13 第七章 應急響應 14 7.1 事件分級響應 14 7.1.1 一級事件 14 7.1.2 二級事件 14 7.

3、1.3 三級事件 14 7.1.4 四級事件 15 7.1.5 五級事件 15 7.2 事件分類處置 15 7.2.1 木馬后門事件處置 16 7.2.2 異常登錄事件處置 16 7.2.3 釣魚郵件事件處置 17 7.2.4 漏洞攻擊事件處置 18 7.2.5 暴力破解事件處置 19 7.2.6 數(shù)據(jù)竊取事件處置 20 7.2.7 拒絕服務事件處置 21 7.3 事件應急關閉 23 附件 24 附件一：集團公司護網(wǎng)行動信息安全應急組織機構成員名單 24 第一章 總則 1.1 編制目的 為規(guī)范XXXX股份有限責任公司（以下簡稱“集團公司”）護網(wǎng)演習信息

4、安全事件應急工作，提高應對突發(fā)信息安全事件的綜合管理水平和應急處置能力，形成決策科學、措施有力、反應迅速的應急工作機制，有效防范信息系統(tǒng)風險，確保信息系統(tǒng)的安全、持續(xù)、穩(wěn)定運行，降低信息安全事件的危害，特制定本預案。 1.2 編制依據(jù) 以國家有關法規(guī)、規(guī)章、相關政策為依據(jù)，指導集團公司信息安全總體應急預案的編制工作。適用性法規(guī)標準主要有： 《中華人民共和國網(wǎng)絡安全法》 《中華人民共和國突發(fā)事件應對法》（國家主席令第69號） 《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院令第147號） 《國家突發(fā)公共事件總體應急預案》 《國家網(wǎng)絡與信息安全事件應急預案》 《國務院有關部門和

5、單位制定和修訂突發(fā)事件應急預案框架指南》（國辦函[2004]33號） 《GB/T 19715.1-2005 信息技術 安全技術 信息技術安全管理指南》 《GB/Z 20986-2007 信息技術 信息安全事件分類分級指南》 《GB/T 20988-2007 信息安全技術 信息系統(tǒng)災難恢復規(guī)范》 《GB/T 22239-2008 信息安全技術 信息系統(tǒng)安全等級保護基本要求》 《ISO 22301:2012 業(yè)務連續(xù)性管理體系》 《XXXX集團有限公司突發(fā)事件總體應急預案》 1.3 適用范圍 本預案適用于集團公司總部及子分公司在護網(wǎng)演習期間網(wǎng)絡與信息安全事件的預防、通報和應急處置工

6、作。 第二章 組織機構及職責 2.1 集團公司組織機構 護網(wǎng)期間，集團公司護網(wǎng)工作由網(wǎng)絡安全與信息化領導小組牽頭，成立護網(wǎng)行動指揮部、護網(wǎng)工作組、應急專家組對護網(wǎng)工作進行組織及整體把控。 總部成立護網(wǎng)2019領導小組，負責護網(wǎng)工作的重大決策，統(tǒng)一領導和指揮調(diào)度，由集團網(wǎng)絡安全和信息化分管領導任組長。 成立護網(wǎng)行動指揮部，負責網(wǎng)絡安全保障的工作部署、監(jiān)督檢查與應急調(diào)度。信息化部主要領導任組長，各業(yè)務職能部門和各單位信息分管領導為小組成員，其中辦公廳負責護網(wǎng)指揮大廳場所及后勤保障，財務部負責護網(wǎng)行動專項資金保障，法務部負責護網(wǎng)期間法律糾紛問題。 指揮部下設護網(wǎng)工作組，負責護網(wǎng)具體組

7、織協(xié)調(diào)、技術支撐相關工作，護網(wǎng)工作組下設安全監(jiān)控組、技術研判組、應急處置組、事件上報組。 安全監(jiān)控組負責利用各類監(jiān)測類設備發(fā)現(xiàn)并初步確認攻擊事件。 技術研判組負責根據(jù)上報事件，通過流量、日志及告警行為等信息，進行全面溯源分析，確認攻擊事件的行為及影響范圍，為應急處置組提供處置建議。 應急處置組負責則在事件發(fā)生時進行隔離、斷網(wǎng)，全面的排查、處置與恢復。 事件上報組負責形成事件應急處置報告，上報護網(wǎng)工作組。 各工作組織人員安排詳見附件一。 2.2 子分公司護網(wǎng)工作組 護網(wǎng)演習期間，各子分公司參照集團公司組織架構，自行設置各工作組，設置各工作組與集團公司聯(lián)系接口人員。 2.3

8、 通聯(lián)方式 護網(wǎng)演習過程中的通聯(lián)方式由以下幾種： l 電話 針對護網(wǎng)演習中的緊急事件通過手機、座機對事件相關人員進行實時通報。護網(wǎng)期間所有參與護網(wǎng)工作人員需保證手機24h開機。 l 事件上報平臺 在事件處置完畢后，事件處置人員通過事件上報平臺向相關人員上報完整處置材料。 l OA系統(tǒng) 在護網(wǎng)演習期間重大事件發(fā)生時，通過OA系統(tǒng)直接向指揮部集團領導進行正式匯報。 第三章 事件分級分類 3.1 事件分級 3.1.1 一級事件 若演習目標被控制，則定義事件為一級事件，對應《XXXX集團有限公司突發(fā)事件總體應急預案》安全紅色預警及應急Ⅰ級響應。 3.1.2 二級事件 若重要

9、系統(tǒng)或設備被控制，則定義事件為二級事件，對應《XXXX集團有限公司突發(fā)事件總體應急預案》安全紅色預警及應急Ⅰ級響應。 3.1.3 三級事件 若內(nèi)網(wǎng)一般設備被控制，則定義事件為三級事件，對應《XXXX集團有限公司突發(fā)事件總體應急預案》安全橙色預警及應急Ⅱ級響應。 3.1.4 四級事件 若DMZ區(qū)一般設備被控制，則定義事件為四級事件，對應《XXXX集團有限公司突發(fā)事件總體應急預案》安全黃色預警及應急Ⅲ級響應。 3.1.5 五級事件 若DMZ區(qū)設備遭到攻擊或內(nèi)網(wǎng)終端遭到攻擊，則定義事件為五級事件。對應《XXXX集團有限公司突發(fā)事件總體應急預案》安全黃色預警及應急Ⅲ級響應。 3.2 事件

10、分類 3.2.1 木馬后門事件 木馬后門事件主要包括：服務器中檢測存在WEB Shell腳本木馬、遠程控制、鍵盤記錄、Rootkit等木馬程序，將導致應用系統(tǒng)及服務器被黑客持續(xù)控制，甚至可作為跳板機進行對其他資產(chǎn)的深入攻擊。 3.2.2 異常登錄事件 異常登錄事件主要包括：應用系統(tǒng)和服務器中檢測存在克隆賬號、隱藏賬號，以及存在未授權用戶、異常時間、異常來源登錄等。 3.2.3 釣魚郵件事件 釣魚郵件事件主要包括：郵件附件包含惡意代碼、惡意鏈接，從而可導致員工內(nèi)部主機被控，或泄露重要敏感信息。 3.2.4 漏洞攻擊事件 漏洞攻擊事件往往從攻擊人員漏洞掃描探測發(fā)現(xiàn)漏洞開始，之后通過

11、對漏洞點進行分析并深入利用，從而從存在漏洞系統(tǒng)獲取相應的敏感信息甚至直接拿下系統(tǒng)的控制權限。 3.2.5 暴力破解事件 暴力破解事件主要包括：對主機、終端設備、應用系統(tǒng)賬號密碼的暴力破解，黑客通過信息收集，生成暴力破解字典，或根據(jù)已泄露的密碼進行撞庫，從而可能導致系統(tǒng)密碼被黑客破解。 3.2.6 數(shù)據(jù)竊取事件 數(shù)據(jù)竊取事件主要包括：敏感信息爬取，利用任意文件讀取等漏洞竊據(jù)敏感文件，利用SQL注入漏洞等竊取數(shù)據(jù)庫敏感信息，以及入侵成功后拖取數(shù)庫等行為。 3.2.7 拒絕服務事件 拒絕服務事件主要包括：CC攻擊、DOS攻擊、DDOS攻擊、DRDOS攻擊。一旦遭受拒絕服務攻擊，可導致服務

12、器宕機，網(wǎng)絡阻塞，從而破壞正常的業(yè)務穩(wěn)定運行。 第四章 應急處置總體流程 安全事件處置流程由護網(wǎng)行動指揮部進行制定，在安全事件發(fā)生時由安全監(jiān)控組、技術研判組、應急處置組、事件上報組、護網(wǎng)行動指揮部按照以下流程協(xié)調(diào)配合最終達到有效完成安全事件處置的目的。 總體工作流程圖如下圖所示： 第五章 事件分級流轉(zhuǎn) 按照扁平化指揮原則，通過建立護網(wǎng)行動即時通訊群組，總部在群組中及時發(fā)布預警信息指令，子分公司及時通過群組向總部進行事件匯報。針對重大事件的發(fā)生，總部及子分公司相關人員應第一時間通過電話向總部領導匯報情況。正式情況材料按照處置流程通過OA系統(tǒng)、事件上報平臺上報。 5.1 一級

13、事件 總部： 在演習過程中發(fā)生一級安全事件時，技術研判組應當在第一時間通過即時通訊群組及電話的形式向護網(wǎng)行動指揮部報告事件情況，并生成安全事件簡報上報護網(wǎng)行動指揮部，不得遲報、謊報、瞞報和漏報，護網(wǎng)行動指揮部對事件簡報內(nèi)容進行確認，并部署應急處置組迅速開展應急處置工作。 在事件處置完成后，應急處置組應立即梳理出信息安全事件書面報告交付事件上報組，由其通過事件上報平臺向事件有關部門進行通報。同時信息安全事件書面報告的內(nèi)容要簡明、準確，主要包括：時間、地點、信息來源、事件起因和性質(zhì)、基本過程、已造成的后果影響及涉及財產(chǎn)損失、影響范圍、發(fā)展趨勢、處置情況、擬采取的措施、單位全稱、聯(lián)系人和聯(lián)系電

14、話等。 子分公司： 按照護網(wǎng)行動指揮部統(tǒng)一安排配合其進行事件處置。 5.2 二級事件 總部： 在演習過程中發(fā)生二級安全事件時，處置流程與一級事件相同。在事件處置完成后，應急處置組可在一個工作日內(nèi)，梳理出信息安全事件書面報告（報告要求同一級響應報告內(nèi)容）交付事件上報組，由其通過事件上報平臺向事件有關部門進行通報。 子分公司： 子分公司工作組應當在第一時間通過即時通訊群組及電話的形式向總部上報組報告事件情況，并提交事件證據(jù)相關材料，事件上報組需在收到子分公司上報信息后，將相關材料信息轉(zhuǎn)交技術研判組，由技術研判組對子分公司上報信息進行研判，子分公司在技術研判組指導下完成事件處置。在事件

15、處置完成后的一個工作日內(nèi)，梳理出信息安全事件書面報告（報告要求同一級響應報告內(nèi)容），通過事件上報平臺向總部事件上報組進行通報。 5.3 三級事件 總部： 在演習過程中發(fā)生三級安全事件時，技術研判組應當在第一時間通過及時通訊群組向事件相關人員及護網(wǎng)行動指揮部報告事件情況，匯報流程與一級相同，不得遲報、謊報、瞞報和漏報，同時迅速開展應急處置工作。在事件處置完成后的在一個工作日內(nèi)，梳理出信息安全事件書面報告（報告要求同一級響應報告內(nèi)容），通過事件上報平臺向相關部門進行通報。 子分公司： 子分公司工作組應當在第一時間通過即時通訊群組及電話的形式向事件上報組報告事件情況，并自行完成事件處置。在

16、事件處置完成后，應在一個工作日內(nèi)，梳理出信息安全事件書面報告（報告要求同一級響應報告內(nèi)容），通過事件上報平臺向總部事件上報組進行通報。 5.4 四級事件 總部： 在演習過程中發(fā)生四級安全事件時，技術研判組應當在第一時間通過及時通訊群組向事件相關人員及護網(wǎng)行動指揮部報告，匯報流程與一級相同，不得遲報、謊報、瞞報和漏報，同時迅速開展應急處置工作。在事件處置完成后，應在兩個工作日內(nèi)，梳理出信息安全事件書面報告（報告要求同一級響應報告內(nèi)容），通過事件上報平臺向相關部門進行通報。 子分公司： 子分公司工作組應當在第一時間通過即時通訊群組及電話的形式向事件上報組報告事件情況，并自行完成事件處置。

17、在事件處置完成后，應在兩個工作日內(nèi)，梳理出信息安全事件書面報告（報告要求同一級響應報告內(nèi)容），通過事件上報平臺向總部事件上報組進行通報。 5.5 五級事件 總部： 在演習過程中發(fā)生五級安全事件時，技術研判組應當在第一時間通過及時通訊群組向事件相關人員及護網(wǎng)行動指揮部報告，不得遲報、謊報、瞞報和漏報，同時迅速開展應急處置工作。在事件處置完成后，在演習結束前，應在兩個工作日內(nèi)，梳理出信息安全事件書面報告（報告要求同一級響應報告內(nèi)容），通過事件上報平臺向相關部門進行通報。 子分公司： 子分公司工作組應當在第一時間通過即時通訊群組及電話的形式向事件上報組報告事件情況，并自行完成事件處置。在事

18、件處置完成后，在演習結束前，梳理出信息安全事件書面報告（報告要求同一級響應報告內(nèi)容），通過事件上報平臺向總部事件上報組進行通報。 5.6 事件級別調(diào)整 總部： 在進行應急處理過程中，如應急處置組發(fā)現(xiàn)事件影響程度及范圍不符合初步判定，應及時與技術研判組溝通，同時向護網(wǎng)行動指揮部反饋，由其共同對事件級別進行重新判定。 在總部接到子分公司上報的二級及以上事件后，應由技術研判組對事件級別進行判定，若確認級別為三級及以下事件，則通過事件上報組向子分公司反饋，由子分公司按照新事件級別進行處置。 子分公司： 在進行應急處理過程中，如發(fā)現(xiàn)事件影響程度及范圍不符合初步判定，應及時對事件級別進行重新判

19、定及處置。 第六章 監(jiān)測與巡檢 6.1 實時監(jiān)測 總部及各子分公司對演習目標、重點目標及安全防護設備的報警信息進行實時監(jiān)測，分析甄別網(wǎng)絡中設備被控制的報警和線索信息，并按照應急處置預案進行處置。 監(jiān)測要求： 護網(wǎng)演習期間進行7*24小時不間斷監(jiān)測，監(jiān)測發(fā)現(xiàn)的可疑信息及時提交技術研判組研判。 監(jiān)測范圍： 監(jiān)測范圍為安全防護設備及演習相關業(yè)務系統(tǒng)。 6.2 安全巡檢 總部及各子分公司對非演習目標系統(tǒng)、一般設備、互聯(lián)網(wǎng)暴露設備進行安全巡檢，分析甄別異常信息，并按照應急處置預案進行處置。 巡檢要求： 總部組及子分公司應急處置組負責對本單位的資產(chǎn)進行巡檢，其中非演習目標系統(tǒng)、互聯(lián)

20、網(wǎng)暴漏設備每隔2小時巡檢一次并填寫“安全巡檢記錄單”，一般設備每隔4小時巡檢一次并填寫“安全巡檢記錄單”。 巡檢范圍： 巡檢范圍為非演習目標系統(tǒng)、一般設備、互聯(lián)網(wǎng)暴露設備。 第七章 應急響應 7.1 事件分級響應 7.1.1 一級事件 由護網(wǎng)行動指揮部根據(jù)《XXXX集團有限公司網(wǎng)絡與信息安全事件應急預案》發(fā)布網(wǎng)絡安全紅色預警及啟動應急Ⅰ級響應。 應急處置組向護網(wǎng)行動指揮部響應時間要求： 事件等級 事件進程 跟蹤周期和通報時間 一級 未明確被控原因 每隔30min通報一次直至被控原因明確 已明確被控原因 每隔30min通報一次直至明確修復期限 已明

21、確修復期限 每隔1h通報一次直至修復結束 7.1.2 二級事件 由護網(wǎng)行動指揮部根據(jù)《XXXX集團有限公司網(wǎng)絡與信息安全事件應急預案》發(fā)布網(wǎng)絡安全紅色預警及啟動應急Ⅰ級響應。 應急處置組向護網(wǎng)行動指揮部響應時間要求： 事件等級 事件進程 跟蹤周期和通報時間 二級 未明確被控原因 每隔1h通報一次直至被控原因明確 已明確被控原因 每隔1h通報一次直至明確修復期限 已明確修復期限 每隔2h通報一次直至修復結束 7.1.3 三級事件 由護網(wǎng)行動指揮部根據(jù)《XXXX集團有限公司網(wǎng)絡與信息安全事件應急預案》發(fā)布網(wǎng)絡安全橙色預警及啟動應急Ⅱ級響應。

22、應急處置組向護網(wǎng)行動指揮部響應時間要求： 事件等級 事件進程 跟蹤周期和通報時間 三級 未明確被控原因 每隔2h通報一次直至被控原因明確 已明確被控原因 每隔1h通報一次直至明確修復期限 已明確修復期限 每隔2h通報一次直至修復結束 7.1.4 四級事件 由護網(wǎng)行動指揮部根據(jù)《XXXX集團有限公司網(wǎng)絡與信息安全事件應急預案》發(fā)布網(wǎng)絡安全黃色預警及啟動應急Ⅲ級響應。 應急處置組向護網(wǎng)行動指揮部響應時間要求： 事件等級 事件進程 跟蹤周期和通報時間 四級 未明確被控原因 每隔2h通報一次直至被控原因明確 已明確被控原因 每隔1

23、h通報一次直至明確修復期限 已明確修復期限 每隔2h通報一次直至修復結束 7.1.5 五級事件 由護網(wǎng)行動指揮部根據(jù)《XXXX集團有限公司網(wǎng)絡與信息安全事件應急預案》發(fā)布網(wǎng)絡安全黃色預警及啟動應急Ⅲ級響應。 應急處置組向護網(wǎng)行動指揮部響應時間要求： 事件等級 跟蹤周期和通報時間 五級 酌情通報。 7.2 事件分類處置 針對具體的攻擊事件，總部及子分公司應急處置組應根據(jù)不同事件類型，按照以下處置方法進行有效處置。 7.2.1 木馬后門事件處置 處置方法： 發(fā)現(xiàn)木馬后門后，先針對出現(xiàn)木馬后門設備進行斷網(wǎng)隔離處理，同時將該設備日志進行備份留存分析入侵途徑，隨后根據(jù)

24、總部技術研判組研判結果對操作系統(tǒng)進行重新部署或病毒軟件進行全盤查殺。 處置流程： 7.2.2 異常登錄事件處置 處置方法： 檢測到異常登錄時，優(yōu)先將相關賬號下線并留存賬號相關日志，隨后針對問題賬號采取修改口令或刪除賬號等方式進行處理。 處置流程： 7.2.3 釣魚郵件事件處置 處置方法： 對郵件內(nèi)鏈接仔細核查溯源，刪除相關郵件并對收到釣魚郵件的主機進行病毒查殺。 處置流程： 7.2.4 漏洞攻擊事件處置 處置方法： 1) 無補丁情況，采取“白名單”策略，基于對自身業(yè)務系統(tǒng)路徑架構的有效管理，對正常服務的路徑進行加白，在主機配置強制訪問控制策略，對進程、驅(qū)

25、動等資源進行強制管理；針對特定漏洞進行組件刪除和路經(jīng)封堵等策略進行防護，隨時關注補丁完成情況及時完成補丁修補工作。 2) 有補丁情況，加強信息系統(tǒng)漏洞巡檢和補丁修復，采取相應技術手段，檢查漏洞修復情況，并督促整改。 處置流程： 7.2.5 暴力破解事件處置 處置方法： 針對產(chǎn)生暴力破解事件的相關攻擊IP進行有效封鎖，并關注出現(xiàn)被暴力破解事件系統(tǒng)運行狀態(tài)。 處置流程： 7.2.6 數(shù)據(jù)竊取事件處置 處置方法： 組織技術研判組對失竊數(shù)據(jù)內(nèi)容及范圍進行研判，根據(jù)研判結果向相關業(yè)務主管部門進行通報，相關業(yè)務主管部門在收到通報后，應在第一時間根據(jù)技術研判組研判建議采取相關處

26、置措施，防止事件升級。 處置流程： 7.2.7 拒絕服務事件處置 處置方法： 借助互聯(lián)網(wǎng)出口運營商防護資源實現(xiàn)拒絕服務流量近源清洗，并關注出現(xiàn)拒絕服務攻擊事件系統(tǒng)的運行狀態(tài)。 處置流程： 護網(wǎng)行動相關工作小組從外部情報、日常監(jiān)控、業(yè)務部門或其他途徑得到報警信息，及時進行分析判斷。如屬于日常運維故障，則由相關運維人員進行處理；如判斷為信息安全事件，信息安全工作小組分析事件影響，判斷事件級別，填寫信息安全事件報告（報告模板參見附件二）。 （1）Ⅲ級及Ⅳ級信信息安全事件對信息系統(tǒng)運行效率影響較小，信息安全工作小組可在應急處置完畢后向信息安全工作小組組長匯報。 （2）Ⅰ級及Ⅱ級

27、信息安全事件對信息系統(tǒng)運行效率影響較大，信息安全工作小組組長立即向信息安全領導小組組長進行報告，并啟動信息安全專項應急預案。信息安全領導小組分析信息安全事件影響，確認事件級別，對應急處置過程進行監(jiān)管。對于需要上報外部監(jiān)管機構的信息安全事件，經(jīng)信息安全領導小組組長審批通過后進行上報。 （3）信息安全工作小組如需公安機關或國家互聯(lián)網(wǎng)應急中心等國家機構協(xié)助解決信息安全事件，由信息安全工作小組組長提出協(xié)助處置申請，信息安全領導小組分析協(xié)助處置請求，協(xié)調(diào)相關機構，協(xié)助集團公司進行處置。 事件報告流程如下所示： 圖1事件報告流程圖 7.3 事件應急關閉 在完成事件處置后，應急處置小組將處置結

28、果上報護網(wǎng)行動指揮部，由護網(wǎng)行動指揮部通過事件上報組發(fā)布指令，宣布事件處置工作結束。 附件 附件一：集團公司護網(wǎng)行動信息安全應急組織機構成員名單 組織機構 角色 部門 姓名 手機 郵箱 備注 護網(wǎng)行動指揮部 組長 副組長 組員 組員 組員 組員 組員 應急專家組 安全監(jiān)控組 技術研判組 應急處置組 事件上報組