網(wǎng)絡(luò)信息安全規(guī)范、應(yīng)急突發(fā)事件預(yù)案及處理流程20090625版

網(wǎng)絡(luò)信息安全規(guī)范、應(yīng)急突發(fā)事件預(yù)案及處理流程（試 行）一、總則 1、編制目的 為規(guī)范和加強(qiáng)網(wǎng)絡(luò)重大信息安全事件的信息報(bào)告管理工作，及時(shí)掌握和評(píng)估重大信息安全事件有關(guān)情況，協(xié)調(diào)組織力量進(jìn)行事件的應(yīng)急響應(yīng)處理，降低信息安全事件的損失和影響，根據(jù)中共中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作意見的通知（中辦發(fā)200327號(hào)）和有關(guān)法律、法規(guī)的規(guī)定，結(jié)合公司實(shí)際，制定本規(guī)范。 2、工作原則 統(tǒng)一領(lǐng)導(dǎo)，歸口管理。網(wǎng)絡(luò)信息安全應(yīng)急處理工作應(yīng)在公司網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，會(huì)同相關(guān)部門，齊抓共管、各負(fù)其責(zé)，共同提高公司網(wǎng)絡(luò)系統(tǒng)的信息安全應(yīng)急處理水平。 明確責(zé)任，依法規(guī)范。應(yīng)從公司信息安全保障的高度出發(fā)，明確應(yīng)急處理管理部門和各業(yè)務(wù)部門的安全責(zé)任，嚴(yán)格依照國(guó)家法律和相關(guān)規(guī)定進(jìn)行應(yīng)急處理工作。防范為主，加強(qiáng)監(jiān)控。應(yīng)廣泛宣傳網(wǎng)絡(luò)信息安全基本知識(shí)，提高對(duì)信息安全的認(rèn)識(shí)水平，切實(shí)落實(shí)信息安全防范措施，強(qiáng)化對(duì)公司網(wǎng)絡(luò)信息系統(tǒng)的監(jiān)控，減少安全事件可能帶來的不良影響。 整合資源，協(xié)調(diào)處理。網(wǎng)絡(luò)信息安全應(yīng)急處理工作應(yīng)充分加強(qiáng)與專業(yè)信息安全機(jī)構(gòu)的溝通和聯(lián)系，以提高公司網(wǎng)絡(luò)系統(tǒng)應(yīng)急處理能力。 3、適用范圍 本規(guī)范所稱的信息安全重大事件是指由于人為攻擊或破壞以及病毒爆發(fā)等原因所引發(fā)，嚴(yán)重影響到網(wǎng)絡(luò)與信息系統(tǒng)的正常運(yùn)行，造成業(yè)務(wù)中斷、系統(tǒng)破壞、數(shù)據(jù)破壞或信息失竊等，從而在政府形象、社會(huì)穩(wěn)定或公眾利益等方面造成嚴(yán)重影響以及造成一定程度直接和間接重大經(jīng)濟(jì)損失的事件。 公司各部門的網(wǎng)絡(luò)與信息系統(tǒng)安全事件報(bào)告、應(yīng)急處理，均適用于本規(guī)范。 二、應(yīng)急處理組織機(jī)構(gòu) 在公司網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，網(wǎng)絡(luò)信息安全應(yīng)急處理的組織機(jī)構(gòu)組成如下：公司技術(shù)部副總、公司技術(shù)部。 公司技術(shù)部作為網(wǎng)絡(luò)信息安全應(yīng)急處理部門，負(fù)責(zé)全公司各系統(tǒng)的網(wǎng)絡(luò)信息安全事件應(yīng)急處理協(xié)調(diào)工作。各部門在公司網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，負(fù)責(zé)本部門網(wǎng)絡(luò)信息安全事件應(yīng)急處理管理工作，并與公司技術(shù)部副總、公司技術(shù)部保持聯(lián)系，隨時(shí)反映網(wǎng)絡(luò)信息安全工作情況。 三、預(yù)防措施1、組織機(jī)構(gòu) 各部門應(yīng)建立網(wǎng)絡(luò)信息安全管理組織機(jī)構(gòu)，明確崗位職責(zé)，確定崗位人員名單、聯(lián)系方式，網(wǎng)絡(luò)信息安全管理組織機(jī)構(gòu)人員名單須上報(bào)公司技術(shù)部備案。各部門應(yīng)建立網(wǎng)絡(luò)信息安全“一把手”負(fù)責(zé)制，應(yīng)指定一名部門負(fù)責(zé)人作為網(wǎng)絡(luò)信息安全負(fù)責(zé)人，管理安全事故應(yīng)急處理，行使決策職責(zé)，并可直接與技術(shù)部技術(shù)人員聯(lián)系，負(fù)責(zé)信息安全應(yīng)急處理流程的實(shí)際執(zhí)行，提交重大信息安全事件報(bào)告和應(yīng)急處理工作的結(jié)果報(bào)告。2、制度規(guī)范各部門應(yīng)根據(jù)實(shí)際情況和需要制定基本的安全管理制度，對(duì)重要設(shè)備、軟件和業(yè)務(wù)數(shù)據(jù)的安全性進(jìn)行規(guī)范、可靠的管理，提高本部門信息系統(tǒng)的安全防護(hù)能力。包括配合技術(shù)部制定機(jī)房管理制度、設(shè)備管理制度、病毒防治管理制度、數(shù)據(jù)備份與恢復(fù)制度、網(wǎng)站管理制度、安全審計(jì)制度和應(yīng)急響應(yīng)制度等。 各部門要針對(duì)內(nèi)部信息系統(tǒng)制定安全運(yùn)行管理流程，建立安全事件應(yīng)急預(yù)案，以提高本部門信息安全應(yīng)急響應(yīng)能力。 各部門應(yīng)根據(jù)本規(guī)范細(xì)化安全應(yīng)急事件處理流程，包括事件的發(fā)現(xiàn)、判斷、評(píng)估、上報(bào)和處理等階段，并落實(shí)本部門和應(yīng)急處理管理機(jī)構(gòu)的對(duì)口部門和人員，確保應(yīng)急處理流程得到有效執(zhí)行，信息安全事件得到有效控制和處理。應(yīng)急響應(yīng)相關(guān)制度如果發(fā)生變化，各部門應(yīng)及時(shí)將最新的制度在公司技術(shù)部備案。 3、安全措施 各部門應(yīng)定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，了解網(wǎng)絡(luò)信息系統(tǒng)目前可能存在的安全隱患和所面臨的安全威脅，并針對(duì)本部門的實(shí)際情況，從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)等多個(gè)層面實(shí)施信息安全保障工作。 各部門應(yīng)定期對(duì)網(wǎng)絡(luò)信息系統(tǒng)的運(yùn)行狀態(tài)、系統(tǒng)日志和安全日志等進(jìn)行檢查，對(duì)重要信息系統(tǒng)如網(wǎng)站、核心數(shù)據(jù)庫(kù)等應(yīng)每日進(jìn)行運(yùn)行檢查，確保及時(shí)發(fā)現(xiàn)信息安全事件，減少安全事件所造成的損失。 各部門應(yīng)定期或不定期組織預(yù)案演練，進(jìn)一步明確應(yīng)急響應(yīng)各崗位責(zé)任，檢驗(yàn)應(yīng)急預(yù)案各環(huán)節(jié)之間的通信、協(xié)調(diào)、指揮等是否符合快速、高效的要求，對(duì)預(yù)案中存在的問題和不足及時(shí)補(bǔ)充、完善。 4、宣傳培訓(xùn) 各部門應(yīng)大力宣傳信息安全的基本原理、安全事件的預(yù)防措施和應(yīng)急處理的基本知識(shí)，提高本部門人員的信息安全意識(shí)水平。 各部門應(yīng)定期或不定期地舉辦信息安全基礎(chǔ)培訓(xùn)，使不同崗位的人員都能熟悉并掌握信息系統(tǒng)應(yīng)急處理的知識(shí)和技能。同時(shí)應(yīng)積極參加由公司網(wǎng)絡(luò)安全部門舉辦的各類信息安全培訓(xùn)，通過不同層次、類型的培訓(xùn)或研討，提高全公司網(wǎng)絡(luò)信息安全水平，減少信息安全事件數(shù)量。 四、應(yīng)急處理流程 1、信息安全事件分類 根據(jù)信息安全事件可能造成的影響范圍及程度，將應(yīng)急處理流程分為對(duì)外服務(wù)信息系統(tǒng)應(yīng)急處理流程和內(nèi)部應(yīng)用信息系統(tǒng)應(yīng)急處理流程兩大類型。 其中對(duì)外服務(wù)信息系統(tǒng)指公司網(wǎng)站拍賣平臺(tái)和互聯(lián)網(wǎng)對(duì)外提供服務(wù)的信息系統(tǒng)。內(nèi)部應(yīng)用信息系統(tǒng)指僅對(duì)各部門內(nèi)部人員提供服務(wù)的信息系統(tǒng)。 同時(shí)，根據(jù)發(fā)生安全事件的信息系統(tǒng)所提供的服務(wù)范圍，在對(duì)外服務(wù)信息系統(tǒng)應(yīng)急處理流程和內(nèi)部應(yīng)用信息系統(tǒng)應(yīng)急處理流程中進(jìn)一步細(xì)分了網(wǎng)站、業(yè)務(wù)系統(tǒng)和辦公系統(tǒng)三種業(yè)務(wù)類別的應(yīng)急處理流程。 網(wǎng)站指公司各部門和單位使用HTML等工具制作的用于發(fā)布拍品信息、提供數(shù)據(jù)服務(wù)的相關(guān)網(wǎng)頁的集合。業(yè)務(wù)系統(tǒng)指公司各部門和單位提交數(shù)據(jù)，提供服務(wù)、辦理相關(guān)業(yè)務(wù)的信息系統(tǒng)，如網(wǎng)上業(yè)務(wù)辦理系統(tǒng)等。辦公系統(tǒng)指公司各部門和單位處理日常辦公事務(wù)的信息系統(tǒng)，如OA系統(tǒng)等。 發(fā)生信息安全事件時(shí)，公司各部門和單位應(yīng)按上述處理流程分類方法對(duì)安全事件進(jìn)行分類，并遵循以下各類別信息安全事件處理流程執(zhí)行。 2、對(duì)外服務(wù)信息系統(tǒng)應(yīng)急處理流程 病毒爆發(fā)處理流程 公司各部門和單位對(duì)外服務(wù)信息系統(tǒng)一旦發(fā)現(xiàn)感染病毒，應(yīng)執(zhí)行以下應(yīng)急處理流程：立即切斷感染病毒計(jì)算機(jī)與網(wǎng)絡(luò)的聯(lián)接；對(duì)該計(jì)算機(jī)的重要數(shù)據(jù)進(jìn)行數(shù)據(jù)備份；啟用防病毒軟件對(duì)該計(jì)算機(jī)進(jìn)行殺毒處理，同時(shí)通過防病毒軟件對(duì)其他計(jì)算機(jī)進(jìn)行病毒掃描和清除工作；如果滿足下列情況之一的，應(yīng)立即向本部門信息安全負(fù)責(zé)人通報(bào)情況，并向公司技術(shù)部和本市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門報(bào)告以求協(xié)助解決：現(xiàn)行防病毒軟件無法清除該病毒的；網(wǎng)站在2小時(shí)內(nèi)無法處理完畢的；業(yè)務(wù)系統(tǒng)或辦公系統(tǒng)在4小時(shí)內(nèi)無法處理完畢的。在公司技術(shù)部和本市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門的協(xié)助下，清除該病毒；恢復(fù)系統(tǒng)和相關(guān)數(shù)據(jù)，檢查數(shù)據(jù)的完整性；病毒爆發(fā)事件處理完畢，將計(jì)算機(jī)重新接入網(wǎng)絡(luò)；總結(jié)事件處理情況，并提出防范病毒再度爆發(fā)的解決方案；實(shí)施必要的安全加固。 網(wǎng)頁非法篡改處理流程 公司各部門和單位對(duì)外服務(wù)網(wǎng)站一旦發(fā)現(xiàn)網(wǎng)頁被非法篡改，應(yīng)執(zhí)行以下應(yīng)急處理流程：發(fā)現(xiàn)網(wǎng)站網(wǎng)頁出現(xiàn)非法信息時(shí)，值班人員應(yīng)立即向本部門信息安全負(fù)責(zé)人通報(bào)情況，并立即向公司技術(shù)部和本市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門報(bào)告。情況緊急的，應(yīng)先采取斷網(wǎng)等處理措施，再按程序報(bào)告；本部門信息安全負(fù)責(zé)人應(yīng)在接到通知后立即趕到現(xiàn)場(chǎng)，做好必要記錄，妥善保存有關(guān)記錄及日志或?qū)徲?jì)記錄；在本市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門提取相關(guān)數(shù)據(jù)樣本后，清理網(wǎng)站非法信息，強(qiáng)化安全防范措施，然后將網(wǎng)站重新投入使用。如情節(jié)構(gòu)成違法犯罪的，由本市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門立案?jìng)刹?；總結(jié)事件處理情況，向公司技術(shù)部和本市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案，并提出防范再度發(fā)生的解決方案；實(shí)施必要的安全加固。非法入侵處理流程 各部門對(duì)外服務(wù)信息系統(tǒng)一旦發(fā)現(xiàn)被遠(yuǎn)程控制等非法入侵行為，應(yīng)執(zhí)行以下應(yīng)急處理流程：發(fā)現(xiàn)系統(tǒng)服務(wù)器被遠(yuǎn)程控制、植入后門程序，或發(fā)現(xiàn)有黑客正在進(jìn)行攻擊時(shí)，應(yīng)立即向本部門信息安全負(fù)責(zé)人通報(bào)情況，并立即向公司技術(shù)部和本市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門報(bào)告；如服務(wù)器已被入侵，將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來，保護(hù)現(xiàn)場(chǎng)；本部門信息安全負(fù)責(zé)人應(yīng)在接到通知后立即趕到現(xiàn)場(chǎng)，做好必要記錄，妥善保存有關(guān)記錄及日志或?qū)徲?jì)記錄；由本市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門對(duì)受攻擊的網(wǎng)站、業(yè)務(wù)系統(tǒng)和辦公系統(tǒng)進(jìn)行現(xiàn)場(chǎng)分析，追查攻擊源，修改防火墻等設(shè)備的安全配置阻斷黑客繼續(xù)入侵。公司技術(shù)部和相關(guān)部門做好配合工作； 分析后臺(tái)數(shù)據(jù)庫(kù)操作日志，判斷是否發(fā)生數(shù)據(jù)失竊。檢查、校驗(yàn)數(shù)據(jù)的完整性和有效性；在本市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門提取相關(guān)數(shù)據(jù)樣本后，恢復(fù)與重建被攻擊或破壞的系統(tǒng)。如情節(jié)構(gòu)成違法犯罪的，由本市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門立案?jìng)刹?；重新將恢?fù)后的對(duì)外服務(wù)系統(tǒng)接入網(wǎng)絡(luò)； 總結(jié)事件處理情況，向公司技術(shù)部和本市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案，并提出防范再度發(fā)生的解決方案；實(shí)施必要的安全加固。 拒絕服務(wù)攻擊處理流程 各部門對(duì)外服務(wù)信息系統(tǒng)一旦發(fā)現(xiàn)遭受DDoS等拒絕服務(wù)攻擊，無法正常訪問時(shí)應(yīng)執(zhí)行以下應(yīng)急處理流程：發(fā)現(xiàn)對(duì)外服務(wù)系統(tǒng)訪問流量異常、無法正常訪問，可能遭受拒絕服務(wù)攻擊時(shí)，應(yīng)立即向本部門信息安全負(fù)責(zé)人通報(bào)情況，并立即向公司技術(shù)部和本市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門報(bào)告；本部門信息安全負(fù)責(zé)人應(yīng)在接到通知后立即趕到現(xiàn)場(chǎng)，做好必要記錄，妥善保存有關(guān)記錄及日志或?qū)徲?jì)記錄；在本市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門提取相關(guān)數(shù)據(jù)樣本后，對(duì)現(xiàn)場(chǎng)進(jìn)行分析，追查攻擊源，修改路由器、防火墻等設(shè)備的安全配置，緩解、消除拒絕服務(wù)攻擊的影響。恢復(fù)對(duì)外系統(tǒng)正常運(yùn)行。如情節(jié)構(gòu)成違法犯罪的，由本市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門立案?jìng)刹?；總結(jié)事件處理情況，向公司技術(shù)部和本市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案，并提出防范再度發(fā)生的解決方案；實(shí)施必要的安全加固。 3、內(nèi)部應(yīng)用信息系統(tǒng)應(yīng)急處理流程 內(nèi)部網(wǎng)絡(luò)病毒爆發(fā)應(yīng)急處理流程 各部門內(nèi)部網(wǎng)絡(luò)一旦發(fā)現(xiàn)感染病毒，應(yīng)執(zhí)行以下應(yīng)急處理流程：立即切斷感染病毒計(jì)算機(jī)與網(wǎng)絡(luò)的聯(lián)接；對(duì)該計(jì)算機(jī)的重要數(shù)據(jù)進(jìn)行數(shù)據(jù)備份；將防病毒軟件病毒庫(kù)升級(jí)至最新，啟用防病毒軟件對(duì)該計(jì)算機(jī)進(jìn)行殺毒處理；如果現(xiàn)行防病毒軟件無法清除該病毒，應(yīng)立即向本部門信息安全負(fù)責(zé)人通報(bào)情況，并可向公司技術(shù)部和本市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門或?qū)I(yè)信息安全服務(wù)機(jī)構(gòu)求助解決；如果公司內(nèi)超過20臺(tái)（含20臺(tái)）計(jì)算機(jī)同時(shí)被感染病毒，并在4小時(shí)內(nèi)無法處理完畢，則應(yīng)立即向公司技術(shù)部和本市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門報(bào)告；在有關(guān)部門的協(xié)助下，清除該病毒；恢復(fù)各計(jì)算機(jī)軟件系統(tǒng)和數(shù)據(jù)；病毒爆發(fā)事件處理完畢，將計(jì)算機(jī)重新接入網(wǎng)絡(luò)；更新全網(wǎng)防病毒軟件病毒庫(kù)，密切監(jiān)視網(wǎng)絡(luò)流量和病毒發(fā)作跡象，避免二次感染；總結(jié)事件處理情況，并提出防范病毒再度爆發(fā)的解決方案，實(shí)施必要的安全加固。 內(nèi)部應(yīng)用信息系統(tǒng)安全事件應(yīng)急處理網(wǎng)頁非法篡改處理流程 各部門內(nèi)部應(yīng)用信息系統(tǒng)一旦發(fā)現(xiàn)網(wǎng)頁被非法篡改，應(yīng)參照四2的網(wǎng)頁非法篡改處理流程執(zhí)行應(yīng)急處理。非法入侵處理流程 各部門內(nèi)部應(yīng)用信息系統(tǒng)一旦發(fā)現(xiàn)被遠(yuǎn)程控制等非法入侵行為，應(yīng)參照四2的非法入侵處理流程執(zhí)行應(yīng)急處理。 五、監(jiān)督檢查 各部門應(yīng)根據(jù)本規(guī)范制定本部門的信息安全事件應(yīng)急處理規(guī)范，對(duì)發(fā)生的信息安全事件嚴(yán)格按照本規(guī)范要求及時(shí)如實(shí)地報(bào)告并處理，確保公司信息系統(tǒng)的正常運(yùn)行和服務(wù)。 公司技術(shù)部負(fù)責(zé)對(duì)各部門執(zhí)行本規(guī)范的情況進(jìn)行監(jiān)督、檢查。 對(duì)違反本規(guī)范進(jìn)行操作而導(dǎo)致嚴(yán)重不良后果的部門和負(fù)責(zé)人，將會(huì)同有關(guān)部門追究其相應(yīng)的責(zé)任。 六、附則 本規(guī)范由公司技術(shù)部負(fù)責(zé)解釋。各部門可參照本規(guī)范，結(jié)合本部門實(shí)際情況，制定具體的實(shí)施辦法。本規(guī)范自發(fā)布之日起施行。 行政部 技術(shù)部 2004年6月18日 - 8 -網(wǎng)絡(luò)信息安全規(guī)范、應(yīng)急突發(fā)事件預(yù)案及處理流程發(fā)生信息