网络与信息安全突发事件应急预案
二O一三年二月
1
目 录
1 总则....................................................................................................................................................... 1
1.1 编制目的 .................................................................................................................................... 1 1.2编制依据 ....................................................................................................................................... 1 1.3适用范围 ....................................................................................................................................... 1 1.4 工作原则 .................................................................................................................................... 1 2 应急响应组织体系及职责 ................................................................................................................... 1
2.1 组织体系 ...................................................................................................................................... 1 2.2 职责 .............................................................................................................................................. 2 3 事件分类分级 ....................................................................................................................................... 4
3.1 事件分类 ...................................................................................................................................... 4 3.2 事件分级 ...................................................................................................................................... 5 4 预测与预警 ........................................................................................................................................... 6
4.1预报和预测 ................................................................................................................................... 6 4.2预警 ............................................................................................................................................... 7 4.3预警解除 ....................................................................................................................................... 7 5 应急报告 ............................................................................................................................................... 7
5.1报告程序 ....................................................................................................................................... 7 5.2 报告内容 ...................................................................................................................................... 8 6 应急准备 ............................................................................................................................................... 8
6.1 信息管理处应急准备 .................................................................................................................. 8 6.2 领导小组应急准备 ...................................................................................................................... 9 6.3 机关职能部门应急准备 .............................................................................................................. 9 7应急处置 .................................................................................................................................................. 9
7.1应急启动 ..................................................................................................................................... 10 7.2 应急行动 .................................................................................................................................... 10 7.3现场应急处置 ............................................................................................................................. 11 8 应急终止 ............................................................................................................................................. 12 9 后期处置 ............................................................................................................................................. 13
9.1 汇总统计 .................................................................................................................................... 13 9.2应急行动评估 ............................................................................................................................. 13 9.3奖惩评定及表彰 ......................................................................................................................... 13 10 保障措施 ........................................................................................................................................... 13
10.1应急响应队伍的建设 ............................................................................................................... 13 10.2 必备资料 .................................................................................................................................. 13 10.3 宣传、培训和演练 ................................................................................................................ 14 10.4其它保障工作 ........................................................................................................................... 14 11 附件................................................................................................................................................... 14
1 总则
1.1 编制目的
建立健全***网络与信息安全应急工作机制,提高应对网络与信息安全事件的能力,预防和减少网络与信息安全事件造成的损失和危害,保证网络与信息安全事件应急处置工作迅速、高效、有序执行,特制定本预案。 1.2 编制依据
《国家网络与信息安全事件应急预案》
《***重特大事件总体应急预案》(2011版) 《***信息安全事件报告和处置管理办法(暂行)》 1.3 适用范围
本预案适用于公司省分公司机关和各市分公司突然发生且可能造成泄密、经济损失、经营影响、声誉和社会影响的网络与信息安全事件的应急管理。 1.4 工作原则
坚持统一指挥、密切协同、快速反应、科学处置;坚持以预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责等原则。充分发挥各方面的力量,共同做好***网络与信息安全事件的预防与处置工作。
2 应急响应组织体系及职责
2.1 组织体系
2.1.1 ***网络与信息安全事件应急组织体系
1
信息安全领导小组 信息管理处 专家组 应急工作组 综合保障组 2.2 职责
2.2.1 ***信息安全领导小组
***信息安全领导小组(以下简称领导小组)负责领导、组织、协调和指挥我司网络和信息安全事件应急工作。 2.2.2 信息管理处
信息管理处在领导小组的统一组织和协调下,具体负责我司网络和信息安全事件处置工作。
(1)组织落实领导小组的决定,协调和调动各部门应对网络与信息安全事件应急相关工作;
(2)负责公司网络和信息安全风险评估控制、隐患排查整改工作; (3)组织拟订(修订)网络与信息安全事件应急预案,指导分公司制定(修订)网络与信息安全事件应急预案;
(4)负责组织协调网络与信息安全事件应急预案演练;
2
(5)负责应对网络与信息安全事件的宣传教育与培训;
(6)负责市网络与信息安全事件应专家组和现场工作组组建等工作。 2.2.3 专家组
公司网络和信息安全事件应急预案中建立网络和信息安全事件应急处置的信息专家库,由信息管理处负责根据需要选定全省具有技术业务强、经验丰富的技术管理人员、外联单位和厂商人员组成。
(1)为网络与信息安全事件应急处置方案提供技术支持和建议; (2)为应急预案体系及管理工作提出经常性的建议,参与应急工作重大事项的决策和实施。
(3)参与预案的评审、评估。 2.2.4 应急工作组
应急工作组负责现场应急指处置,由信息管理处指定派出。应急工作组在信息管理处授权下,行使现场应急指挥、协调、处置等职责。
(1)根据事件性质,迅速调集相关专家,组建事件处置工作组,为领导小组提供决策支持;
(2)根据领导小组指令,负责现场应急指挥工作,针对网络与信息安全事件发展的事态制定和调整相应网络与信息安全事件处置、恢复和保护方案;
(3)收集和保存现场数据信息,保证现场与领导小组、专家组和信息管理处之间信息传递;
(4)负责整合调配现场应急资源;
(5)核实应急终止条件并向领导小组请示应急终止:
(6) 收集、整理应急处置过程资料,编写现场应急工作总结报告。 1.2.5 综合保障组
3
(1)负责协调相关部门和单位,确保技术专家第一时间到达现场; (2)负责现场处置所需要的车辆、电力、通讯、计算机、网络等设备设施的到位和畅通。
3 事件分类分级
3.1 事件分类
网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。
(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件是指由自然灾害等其他突发事件导致的网络与信息
4
安全事件。 3.2 事件分级
网络与信息安全事件分为四级:由高到低划分为特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)4个级别。
(1)符合下列情形之一的,为特别重大网络与信息安全事件(Ⅰ级):
①全网业务中断或公司网络核心到所有二级单位之间的链路全部中断并对业务造成特别重大影响。
②全部核心数据服务器及应用系统崩溃并造成特别严重后果; ③通过公司网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成严重危害的事件。
④其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成严重影响的网络与信息安全事件。
(2)符合下列情形之一且未达到特别重大网络与信息安全事件(Ⅰ级)的,为重大网络与信息安全事件(Ⅱ级):
①省公司核心至部分市分公司(≤10)之间链路中断,对业务造成严重影响。
②面向社会的重要数据服务器及应用系统崩溃并造成严重后果。 ③通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成危害的事件。
④其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成影响的网络与信息安全事件。
5
(3)符合下列情形之一且未达到重大网络与信息安全事件(Ⅱ级)的,为较大网络与信息安全事件(Ⅲ级):
①省公司核心至少数市分公司(≤3)网络中断,对业务造成严重影响的。
②面向公司的部分数据服务器及应用系统崩溃并造成严重后果。 (4)除上述情形外,未达到Ⅲ级事件标准的网络与信息安全事件为一般网络与信息安全事件(Ⅳ级)。
4 预测与预警
公司应建立并完善预测与预警系统,做到对网络与信息安全事件早发现、早报告、早预防、早处置。信息管理处应做好网络与信息安全事件的各项预防工作,制定并落实网络与信息安全的应对措施。 4.1预报和预测
4.1.1 信息管理处通过以下途径获取预报信息 (1)市分公司上报的网络与信息安全事件预警信息;
(2)政府通过新闻媒体公开发布的网络与信息安全事件预警信息; (3)政府主管部门向领导小组告知的预报信息;
(4)经风险评估得出的可能发生的重特大突发事件。
4.1.2 开展网络与信息安全方面的日常监测和分析工作。包括确定监测的方法与程序,信息安全保护、风险分析与分级制度。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,不断完善网络与信息安全应急处理预案。
6
4.1.4 针对基础信息网络的突发性、大规模安全事件,建立制度化、程序化的处理流程。 4.2预警
信息管理处根据对突发事件的预报和预测结果,结合公司所属单位的实际情况,及时进行以下预警:
(1)达到本预案启动条件时,立即发出启动本预案的指令; (2)指令相关单位启动本单位应急预案,并通知省公司相关部门进入预警状态;
(3)指令相关单位采取防范措施,并连续跟踪事态发展。 4.3预警解除
根据己预警突发事件的情况变化,领导小组可适时宣布预警解除。
5 应急报告
5.1报告程序
公司发生I、II、Ⅲ级事件或暂时无法判明等级的事件时,事发单位应立即将事件简要情况及联系人通过电话、传真等上报信息管理处,事件详细情况应在1小时内上报,如附件1(***网络与信息安全事件应急报告表)。当发生危害国家安全、泄露国家机密等事件时,同时向本级政府网监部门报告。信息管理处接到事件报告后,应立即上报领导小组,其中事件详细状况的上报时间不得迟于2小时。重大和特别重大网络与信息安全事件,由领导小组授权信息管理处,在4小时内将事件有关情况报集团公司应急办公室。
7
对于三级(含)以上信息系统(如加油卡系统)、涉密系统及敏感时期可能演化为重大、特别重大网络与信息安全事件的信息,事发单位应立即上报,不受时间限制。 5.2 报告内容
5.2.1 事件信息一般包括以下要素:事件发生时间、发生事故的网络与信息系统名称及运营使用管理单位、地点、原因、信息来源、事件类型及性质、危害和损失程度、影响单位及业务、事件发展趋势、采取的处置措施等。
5.2.2在处理过程中,事件单位应尽快了解事态进展情况,并随时用电话、传真和电子邮件等方式,向信息管理处报告。
5.2.3在事件处置完毕后,向公司报告事件处置结果情况,包括事件潜在或间接的危害、社会影响、有无次生及衍生事件发生、应急工作内容和现场资料的收集等详细情况。
6 应急准备
6.1 信息管理处应急准备
接到报告发生Ⅲ级突发事件信息,信息管理处应立即做好以下工作: (1)立即向领导小组副组长、组长汇报; (2)根据领导小组指示,通知有关职能部门;
(3)收集现场资料,及时掌握现场动态和单位处置情况; (4)要求专家组准备支持;
(5)拟定应急工作组人员名单,并按领导小组指示明确现场应急指挥;
8
(6)根据领导指示,按报告程序,向相关单位报告。 6.2 领导小组应急准备
接到信息管理处报告后,公司领导小组副组长(主管信息副总经理)应做好以下工作:
(1)召集信息管理处、相关部门开会研究有关措施; (2)指令信息管理处、相关部门等做好应急准备;
(3)随时掌握现场处置情况,当事态发展达到II级应急预案启动条件时,立即向组长报告,下达指令启动本预案。 6.3 机关职能部门应急准备
接到应急办公室通知后,机关各职能部门应做好以下准备工作: 6.3.1 总经理办公室 (1)组织协调资源配置;
(2)执行领导小组指令;跟踪事件进展; 6.3.2信息管理处
(1)跟踪并详细了解计算机信息系统损坏对所属单位造成的危害和应对措施;
(2)及时向领导小组汇报、请示并落实指令;
(3)组织专家组成员对事件发生地进行对口技术支持、支援。 6.3.3其它职能部门
公司机关其它职能部门按领导小组指令做好应急准备工作。
7 应急处置
9
7.1应急启动
当网络与信息安全事件危害程度达到II级时,由领导小组下启动本预案,进行应急处置工作。 7.2 应急行动
7.2.1领导小组副组长:
(1)立即召开应急会议,简明通报发生事件灾难的基本情况,按部门职能明确工作任务;
(2)研究现场应急方案,根据现场事态变化进行方案修正,研究、批准重大应急决策;
(3)确定现场指挥和派出现场应急人员; (4)决定适时向集团公司或网监部门报告;
(5)在应急工作组未到事发地之前,指导单位进行现场处理。 7.2.2信息管理处应做好:
(1)连续收集现场应急处置动态资料,及时向领导小组组长、副组长报告,传达领导小组组长、副组长的指示;
(2)落实赶赴现场应急工作组人员,通知专家组到达指定地点; (3)根据现场需求协调各方应急力量到达现场;
(4)保证信息管理处24小时有人值班,接收信息,传达指令;
(5)组织、协调各种专业会议,沟通传达相关信息。
(6)迅速制定应急处置指导方案,提交领导小组会议研究决定,并组织实施相关职能工作;
10
(7)按指令确定派往现场的人员. 7.2.3 相关部门应做好以下工作: 7.2.3.1 总经理办公室
(1)按照领导小组,组织应急力量、协调应急资源;
(2)指派专人驻守信息管理处,协助开展工作。 7.2.3.2 其它部门
公司机关其它部门按领导小组指令做好应急处置的相关工作。 7.2.4专家组应做好以下工作:
(1)接到信息管理处的指令后,赶赴指定地点,为现场应急工作提出应急方案建议;
(2)在基本掌握现场事态的情况下,提出应急技术处置建议,提供处置技术支持。
7.2.5现场应急工作组应做好以下工作:
(1)到达现场与单位衔接后,随时向领导小组报告现场应急情况,协助或担负现场应急指挥工作;
(2)核实现场情况,迅速安排好应急措施,进行相应的技术处理。 7.3现场应急处置 7.3.1 处理原则
(1)发生网络与信息安全事件后,应坚持属地处置为主的原则,归口管理部门应立即进行先期处置,阻止事态扩大。
(2)当发生火灾、地震、恐怖袭击等突发事件时,应根据当时的实际情况,在保障人身安全的前提下,首先保障数据的安全,然后保障设备安
11
全。
(3)当人为或病毒破坏计算机信息系统安全时,按照网络与信息安全事件发生的性质可采取用隔离故障源、暂时关闭故障系统、保留痕迹、启动备用系统等措施。 7.3.2 处理流程
(1)事件认定。收集网络与信息安全事件相关信息,识别事件类别,判断破坏的来源与性质,确保证据准确,以便缩短应急响应时间。 (2)控制事态发展。抑制事件的影响进一步扩大,限制潜在的损失与破坏。
(3)事件消除。在事件被抑制之后,找出事件根源,明确相应的补救措施并彻底清除。
(4)系统恢复。修复被破坏的信息、清理系统、恢复数据、程序、服务,恢复信息系统。把所有被破坏的系统和网络设备还原到正常运行状态。恢复工作中如果涉及到涉密数据,按公司相关安全保密规定执行。 (5)事件追踪。关注系统恢复以后的安全状况,特别是曾经出现问题的地方;建立跟踪档案,规范记录跟踪结果;对响应效果给出评估,填写“***网络与信息安全事件应急处理结果报告表”(见附件1);对进入司法程序的事件,配合公安部门进行进一步的调查,打击违法犯罪活动。
8 应急终止
经应急处置后,现场应急工作组确认下列条件同时满足时,向领导小组报告,领导小组组长接到请示后,下达应急终止。
12
(1)应急处置已经结束; (2)相关危险因素已消除。
9 后期处置
9.1 汇总统计
应急处置工作结束后,信息管理处应做好有关突发事件中损失情况的统计汇总、任务完成情况总结和汇报,不断改进网络及信息安全事件的应急保障工作。 9.2应急行动评估
信息管理处对应急行动的及时性、有效性进行评估。 9.3奖惩评定及表彰
为提高网络及信息安全事件应急处置工作的成效,省市两级应按照有关规定,对在应急处理过程中表现突出的单位和个人给予表彰;对保障不力,给国家、公司造成损失的部门和个人进行惩处。
10 保障措施
10.1应急响应队伍的建设
应急响应队伍由省市两级信息管理人员、运维商、厂商及相关外联单位组成。各单位应不断加强应急响应队伍的应急能力建设,提高全公司信息安全防御意识,以满足公司对网络与信息安全事件应急恢复工作的需要。
10.2 必备资料
13
做好核心系统或重大风险系统的相关配置资料、系统应急预案、系统安全事件或异常情况处理流程图、物资储备清单和相关单位、部门及主管领导联系方式的备案。 10.3 宣传、培训和演练 10.3.1 宣传
公司应急办公室在应急预案修订、演练的前后,应利用新闻媒介进行宣传;并不定期的利用各种安全活动向公司员工宣传信息安全应急法律、法规和预防、应急的常识。 10.3.2人员培训
为确保信息安全应急预案有效性,公司应急办公室应定期或不定期地举办不同层次、不同类型的培训班或研讨会,以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。 10.3.3 应急演练
为提高信息安全突发事件应急响应水平,公司应急办公室应定期或不定期组织预案演练;检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充、完善。 10.4 其它保障工作
公司应当提供对有关网络与信息安全事件应急工作的支持,确保相关通信、电力、经费、人力资源等相关条件的落实工作。
11 附件
14
附件1 ***网络与信息安全事件应急报告表 附件2 ***网络与信息安全事件应急处理结果报告表
15
附件1 ***网络与信息安全事件应急报告表 报告时间: 年 月 日 时 分
单位名称 联系电话 传 真 报告人 通讯地址 电子邮件 系统安全 测评 名称及 操作 硬件及型号 数据库 应用软件 用途 系统 发生安全事件 的信息系统基 本信息 □是,已经通过安全测评 □是,但未通过安全测评 □否,未经过安全测评 网络概况: 发生安全事件 IP地址段: 的网络基本 网络结构: 信息 主要网络设备: 其它: 负责部门 重大信息 安全事件的 简要描述(如以 前出现过类似 情况也应加以 说明) 初步判定的事 件原因 当前采取的 应对措施 负责人 事件后果 □业务中断□系统破坏□数据丢失□泄密□其他 本次事件 的初步影响状影响范围 □局部□大面积□整个信息系统□其它 况 严重程度 □一级□二级□三级□ 联系电话: 电子信箱:
16
附件2 ***网络与信息安全事件应急处理结果报告表
原事件报告时间; 年 月 日 时 分
备案编号: 年 月 日 第 号 总第 号 单位名称 联系电话 传 真 联系人 通讯地址 电子邮件 名称及用途 硬件及型号 操作系统 数据库 应用软件 系统安全测评 发生安全事件 的信息系统 基本信息 □是,已经通过安全测评 □是,但未通过安全测评 □否,未经过安全测评 网络概况: 发生安全事件 IP地址段: 的网络基本 网络结构: 信息 主要网络设备: 其它: 重大信息安全 事件的补充描 述及最后判定 的事件原因 对本次重大信 事件后果 □业务中断□系统破坏□数据丢失□泄密□其他—— 息安全事件的 影响范围 □局部□大面积□整个信息系统 □其它—— 事后影响状况 严重程度 □一级□三级□ 本次重大信息 安全事件的主 要处理过程与 结果(必要时 可附文字、框 图片等材料) 针对此类事件 应采取的保障 网络与信息系 统安全的措施 和建议 报告人签字: 联系电话: 电子信箱: 17
因篇幅问题不能全部显示,请点此查看更多更全内容