護網(wǎng)演習網(wǎng)絡安全應急預案

護網(wǎng)演習信息安全應急預案2019年5月TOC\o"1-5"\h\z第一章總則4編制目的4編制依據(jù)4適用范圍5第二章組織機構及職責5集團公司組織機構5子分公司護網(wǎng)工作組6通聯(lián)方式6第三章事件分級分類7事件分級7一級事件7二級事件7三級事件7四級事件7五級事件7事件分類8木馬后門事件8異常登錄事件8釣魚郵件事件8漏洞攻擊事件8暴力破解事件8數(shù)據(jù)竊取事件9拒絕服務事件9第四章應急處置總體流程9第五章事件分級流轉9一級事件10二級事件10三級事件11四級事件11五級事件12事件級別調(diào)整12第六章監(jiān)測與巡檢13實時監(jiān)測13安全巡檢13第七章應急響應14事件分級響應14一級事件14二級事件14三級事件14四級事件15五級事件15事件分類處置15木馬后門事件處置16異常登錄事件處置16釣魚郵件事件處置17漏洞攻擊事件處置18暴力破解事件處置19數(shù)據(jù)竊取事件處置20拒絕服務事件處置217.3事件應急關閉23附件24附件一：集團公司護網(wǎng)行動信息安全應急組織機構成員名單24#第一章總則1.1編制目的為規(guī)范XXXX股份有限責任公司（以下簡稱“集團公司”）護網(wǎng)演習信息安全事件應急工作，提高應對突發(fā)信息安全事件的綜合管理水平和應急處置能力，形成決策科學、措施有力、反應迅速的應急工作機制，有效防范信息系統(tǒng)風險，確保信息系統(tǒng)的安全、持續(xù)、穩(wěn)定運行，降低信息安全事件的危害，特制定本預案。1.2編制依據(jù)以國家有關法規(guī)、規(guī)章、相關政策為依據(jù)，指導集團公司信息安全總體應急預案的編制工作。適用性法規(guī)標準主要有：《中華人民共和國網(wǎng)絡安全法》《中華人民共和國突發(fā)事件應對法》（國家主席令第69號）《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院令第147號）《國家突發(fā)公共事件總體應急預案》《國家網(wǎng)絡與信息安全事件應急預案》《國務院有關部門和單位制定和修訂突發(fā)事件應急預案框架指南》（國辦函[2004]33號）《GB/T19715.1-2005信息技術安全技術信息技術安全管理指南》《GB/Z20986-2007信息技術信息安全事件分類分級指南》《GB/T20988-2007信息安全技術信息系統(tǒng)災難恢復規(guī)范》《GB/T22239-2008信息安全技術信息系統(tǒng)安全等級保護基本要求》《ISO22301:2012業(yè)務連續(xù)性管理體系》《XXXX集團有限公司突發(fā)事件總體應急預案》1.3適用范圍本預案適用于集團公司總部及子分公司在護網(wǎng)演習期間網(wǎng)絡與信息安全事件的預防、通報和應急處置工作。第二章組織機構及職責集團公司組織機構護網(wǎng)期間，集團公司護網(wǎng)工作由網(wǎng)絡安全與信息化領導小組牽頭，成立護網(wǎng)行動指揮部、護網(wǎng)工作組、應急專家組對護網(wǎng)工作進行組織及整體把控?？偛砍闪⒆o網(wǎng)2019領導小組，負責護網(wǎng)工作的重大決策，統(tǒng)一領導和指揮調(diào)度，由集團網(wǎng)絡安全和信息化分管領導任組長。成立護網(wǎng)行動指揮部，負責網(wǎng)絡安全保障的工作部署、監(jiān)督檢查與應急調(diào)度。信息化部主要領導任組長，各業(yè)務職能部門和各單位信息分管領導為小組成員，其中辦公廳負責護網(wǎng)指揮大廳場所及后勤保障，財務部負責護網(wǎng)行動專項資金保障，法務部負責護網(wǎng)期間法律糾紛問題。指揮部下設護網(wǎng)工作組，負責護網(wǎng)具體組織協(xié)調(diào)、技術支撐相關工作，護網(wǎng)工作組下設安全監(jiān)控組、技術研判組、應急處置組、事件上報組。安全監(jiān)控組負責利用各類監(jiān)測類設備發(fā)現(xiàn)并初步確認攻擊事件。技術研判組負責根據(jù)上報事件，通過流量、日志及告警行為等信息，進行全面溯源分析，確認攻擊事件的行為及影響范圍，為應急處置組提供處置建議。應急處置組負責則在事件發(fā)生時進行隔離、斷網(wǎng)，全面的排查、處置與恢復。事件上報組負責形成事件應急處置報告，上報護網(wǎng)工作組。各工作組織人員安排詳見附件一。子分公司護網(wǎng)工作組護網(wǎng)演習期間，各子分公司參照集團公司組織架構，自行設置各工作組，設置各工作組與集團公司聯(lián)系接口人員。2.3通聯(lián)方式護網(wǎng)演習過程中的通聯(lián)方式由以下幾種：電話針對護網(wǎng)演習中的緊急事件通過手機、座機對事件相關人員進行實時通報。護網(wǎng)期間所有參與護網(wǎng)工作人員需保證手機24h開機。?事件上報平臺在事件處置完畢后，事件處置人員通過事件上報平臺向相關人員上報完整處置材料。OA系統(tǒng)在護網(wǎng)演習期間重大事件發(fā)生時，通過OA系統(tǒng)直接向指揮部集團領導進行正式匯報。第三章事件分級分類3.1事件分級一級事件若演習目標被控制，則定義事件為一級事件，對應《XXXX集團有限公司突發(fā)事件總體應急預案》安全紅色預警及應急I級響應。二級事件若重要系統(tǒng)或設備被控制，則定義事件為二級事件，對應《XXXX集團有限公司突發(fā)事件總體應急預案》安全紅色預警及應急I級響應。三級事件若內(nèi)網(wǎng)一般設備被控制，則定義事件為三級事件，對應《XXXX集團有限公司突發(fā)事件總體應急預案》安全橙色預警及應急II級響應。四級事件若DMZ區(qū)一般設備被控制，則定義事件為四級事件，對應《XXXX集團有限公司突發(fā)事件總體應急預案》安全黃色預警及應急III級響應。五級事件若DMZ區(qū)設備遭到攻擊或內(nèi)網(wǎng)終端遭到攻擊，則定義事件為五級事件。對應《XXXX集團有限公司突發(fā)事件總體應急預案》安全黃色預警及應急III級響應。3.2事件分類木馬后門事件木馬后門事件主要包括：服務器中檢測存在WEBShel1腳本木馬、遠程控制、鍵盤記錄、Rootkit等木馬程序，將導致應用系統(tǒng)及服務器被黑客持續(xù)控制，甚至可作為跳板機進行對其他資產(chǎn)的深入攻擊。異常登錄事件異常登錄事件主要包括：應用系統(tǒng)和服務器中檢測存在克隆賬號、隱藏賬號，以及存在未授權用戶、異常時間、異常來源登錄等。釣魚郵件事件釣魚郵件事件主要包括：郵件附件包含惡意代碼、惡意鏈接，從而可導致員工內(nèi)部主機被控，或泄露重要敏感信息。漏洞攻擊事件漏洞攻擊事件往往從攻擊人員漏洞掃描探測發(fā)現(xiàn)漏洞開始，之后通過對漏洞點進行分析并深入利用，從而從存在漏洞系統(tǒng)獲取相應的敏感信息甚至直接拿下系統(tǒng)的控制權限。暴力破解事件暴力破解事件主要包括：對主機、終端設備、應用系統(tǒng)賬號密碼的暴力破解，黑客通過信息收集，生成暴力破解字典，或根據(jù)已泄露的密碼進行撞庫，從而可能導致系統(tǒng)密碼被黑客破解。

數(shù)據(jù)竊取事件數(shù)據(jù)竊取事件主要包括：敏感信息爬取，利用任意文件讀取等漏洞竊據(jù)敏感文件，利用SQL注入漏洞等竊取數(shù)據(jù)庫敏感信息，以及入侵成功后拖取數(shù)庫等行為。拒絕服務事件拒絕服務事件主要包括：CC攻擊、DOS攻擊、DDOS攻擊、DRDOS攻擊。一旦遭受拒絕服務攻擊，可導致服務器宕機，網(wǎng)絡阻塞，從而破壞正常的業(yè)務穩(wěn)定運行。第四章應急處置總體流程安全事件處置流程由護網(wǎng)行動指揮部進行制定，在安全事件發(fā)生時由安全監(jiān)控組、技術研判組、應急處置組、事件上報組、護網(wǎng)行動指揮部按照以下流程協(xié)調(diào)配合最終達到有效完成安全事件處置的目的?？傮w工作流程圖如下圖所示：總體工作流程圖如下圖所示：第五章事件分級流轉按照扁平化指揮原則，通過建立護網(wǎng)行動即時通訊群組，總部在群組中及時發(fā)布預警信息指令，子分公司及時通過群組向總部進行事件匯報。針對重大事件的發(fā)生，總部及子分公司相關人員應第一時間通過電話向總部領導匯報情況。正式情況材料按照處置流程通過OA系統(tǒng)、事件上報平臺上報。一級事件總部：在演習過程中發(fā)生一級安全事件時，技術研判組應當在第一時間通過即時通訊群組及電話的形式向護網(wǎng)行動指揮部報告事件情況，并生成安全事件簡報上報護網(wǎng)行動指揮部，不得遲報、謊報、瞞報和漏報，護網(wǎng)行動指揮部對事件簡報內(nèi)容進行確認，并部署應急處置組迅速開展應急處置工作。在事件處置完成后，應急處置組應立即梳理出信息安全事件書面報告交付事件上報組，由其通過事件上報平臺向事件有關部門進行通報。同時信息安全事件書面報告的內(nèi)容要簡明、準確，主要包括：時間、地點、信息來源、事件起因和性質(zhì)、基本過程、已造成的后果影響及涉及財產(chǎn)損失、影響范圍、發(fā)展趨勢、處置情況、擬采取的措施、單位全稱、聯(lián)系人和聯(lián)系電話等。子分公司：按照護網(wǎng)行動指揮部統(tǒng)一安排配合其進行事件處置。二級事件總部：在演習過程中發(fā)生二級安全事件時，處置流程與一級事件相同。在事件處置完成后，應急處置組可在一個工作日內(nèi)，梳理出信息安全事件書面報告（報告要求同一級響應報告內(nèi)容）交付事件上報組，由其通過事件上報平臺向事件有關部門進行通報。子分公司：子分公司工作組應當在第一時間通過即時通訊群組及電話的形式向總部上報組報告事件情況，并提交事件證據(jù)相關材料，事件上報組需在收到子分公司上報信息后，將相關材料信息轉交技術研判組，由技術研判組對子分公司上報信息進行研判，子分公司在技術研判組指導下完成事件處置。在事件處置完成后的一個工作日內(nèi)，梳理出信息安全事件書面報告（報告要求同一級響應報告內(nèi)容），通過事件上報平臺向總部事件上報組進行通報。5.3三級事件總部：在演習過程中發(fā)生三級安全事件時，技術研判組應當在第一時間通過及時通訊群組向事件相關人員及護網(wǎng)行動指揮部報告事件情況，匯報流程與一級相同，不得遲報、謊報、瞞報和漏報，同時迅速開展應急處置工作。在事件處置完成后的在一個工作日內(nèi)，梳理出信息安全事件書面報告（報告要求同一級響應報告內(nèi)容），通過事件上報平臺向相關部門進行通報。子分公司：子分公司工作組應當在第一時間通過即時通訊群組及電話的形式向事件上報組報告事件情況，并自行完成事件處置。在事件處置完成后，應在一個工作日內(nèi)，梳理出信息安全事件書面報告（報告要求同一級響應報告內(nèi)容），通過事件上報平臺向總部事件上報組進行通報。5.4四級事件總部：在演習過程中發(fā)生四級安全事件時，技術研判組應當在第一時間通過及時通訊群組向事件相關人員及護網(wǎng)行動指揮部報告，匯報流程與一級相同，不得遲報、謊報、瞞報和漏報，同時迅速開展應急處置工作。在事件處置完成后，應在兩個工作日內(nèi)，梳理出信息安全事件書面報告（報告要求同一級響應報告內(nèi)容），通過事件上報平臺向相關部門進行通報。子分公司：子分公司工作組應當在第一時間通過即時通訊群組及電話的形式向事件上報組報告事件情況，并自行完成事件處置。在事件處置完成后，應在兩個工作日內(nèi)，梳理出信息安全事件書面報告（報告要求同一級響應報告內(nèi)容），通過事件上報平臺向總部事件上報組進行通報。5.5五級事件總部：在演習過程中發(fā)生五級安全事件時，技術研判組應當在第一時間通過及時通訊群組向事件相關人員及護網(wǎng)行動指揮部報告，不得遲報、謊報、瞞報和漏報，同時迅速開展應急處置工作。在事件處置完成后，在演習結束前，應在兩個工作日內(nèi)，梳理出信息安全事件書面報告（報告要求同一級響應報告內(nèi)容），通過事件上報平臺向相關部門進行通報。子分公司：子分公司工作組應當在第一時間通過即時通訊群組及電話的形式向事件上報組報告事件情況，并自行完成事件處置。在事件處置完成后，在演習結束前，梳理出信息安全事件書面報告（報告要求同一級響應報告內(nèi)容），通過事件上報平臺向總部事件上報組進行通報。5.6事件級別調(diào)整總部：在進行應急處理過程中，如應急處置組發(fā)現(xiàn)事件影響程度及范圍不符合初步判定，應及時與技術研判組溝通，同時向護網(wǎng)行動指揮部反饋，由其共同對事件級別進行重新判定。在總部接到子分公司上報的二級及以上事件后，應由技術研判組對事件級別進行判定，若確認級別為三級及以下事件，則通過事件上報組向子分公司反饋，由子分公司按照新事件級別進行處置。子分公司：在進行應急處理過程中，如發(fā)現(xiàn)事件影響程度及范圍不符合初步判定，應及時對事件級別進行重新判定及處置。第六章監(jiān)測與巡檢6.1實時監(jiān)測總部及各子分公司對演習目標、重點目標及安全防護設備的報警信息進行實時監(jiān)測，分析甄別網(wǎng)絡中設備被控制的報警和線索信息，并按照應急處置預案進行處置。監(jiān)測要求：護網(wǎng)演習期間進行7*24小時不間斷監(jiān)測，監(jiān)測發(fā)現(xiàn)的可疑信息及時提交技術研判組研判。監(jiān)測范圍：監(jiān)測范圍為安全防護設備及演習相關業(yè)務系統(tǒng)。6.2安全巡檢總部及各子分公司對非演習目標系統(tǒng)、一般設備、互聯(lián)網(wǎng)暴露設備進行安全巡檢分析甄別異常信息，并按照應急處置預案進行處置。巡檢要求：總部組及子分公司應急處置組負責對本單位的資產(chǎn)進行巡檢，其中非演習目標系統(tǒng)、互聯(lián)網(wǎng)暴漏設備每隔2小時巡檢一次并填寫“安全巡檢記錄單”，一般設備每隔4小時巡檢一次并填寫“安全巡檢記錄單”。巡檢范圍：巡檢范圍為非演習目標系統(tǒng)、一般設備、互聯(lián)網(wǎng)暴露設備。第七章應急響應7.1事件分級響應一級事件由護網(wǎng)行動指揮部根據(jù)《XXXX集團有限公司網(wǎng)絡與信息安全事件應急預案》發(fā)布網(wǎng)絡安全紅色預警及啟動應急I級響應。應急處置組向護網(wǎng)行動指揮部響應時間要求事件等級事件進程跟蹤周期和通報時間一級未明確被控原因每隔30min通報一次直至被控原因明確已明確被控原因每隔30min通報一次直至明確修復期限已明確修復期限每隔1h通報一次直至修復結束二級事件由護網(wǎng)行動指揮部根據(jù)《XXXX集團有限公司網(wǎng)絡與信息安全事件應急預案》發(fā)布網(wǎng)絡安全紅色預警及啟動應急I級響應。應急處置組向護網(wǎng)行動指揮部響應時間要求事件等級事件進程跟蹤周期和通報時間二級未明確被控原因每隔1h通報一次直至被控原因明確已明確被控原因每隔1h通報一次直至明確修復期限已明確修復期限每隔2h通報一次直至修復結束三級事件由護網(wǎng)行動指揮部根據(jù)《XXXX集團有限公司網(wǎng)絡與信息安全事件應急預案》發(fā)布網(wǎng)絡安全橙色預警及啟動應急II級響應。

應急處置組向護網(wǎng)行動指揮部響應時間要求：事件等級事件進程跟蹤周期和通報時間三級未明確被控原因每隔2h通報一次直至被控原因明確已明確被控原因每隔1h通報一次直至明確修復期限已明確修復期限每隔2h通報一次直至修復結束四級事件由護網(wǎng)行動指揮部根據(jù)《XXXX集團有限公司網(wǎng)絡與信息安全事件應急預案》發(fā)布網(wǎng)絡安全黃色預警及啟動應急III級響應。應急處置組向護網(wǎng)行動指揮部響應時間要求事件等級事件進程跟蹤周期和通報時間四級未明確被控原因每隔2h通報一次直至被控原因明確已明確被控原因每隔1h通報一次直至明確修復期限已明確修復期限每隔2h通報一次直至修復結束五級事件由護網(wǎng)行動指揮部根據(jù)《XXXX集團有限公司網(wǎng)絡與信息安全事件應急預案》發(fā)布網(wǎng)絡安全黃色預警及啟動應急III級響應。應急處置組向護網(wǎng)行動指揮部響應時間要求：事件等級跟蹤周期和通報時間五級酌情通報。7.2事件分類處置針對具體的攻擊事件，總部及子分公司應急處置組應根據(jù)不同事件類型，按照以下處置方法進行有效處置。7.2.1木馬后門事件處置處置方法：發(fā)現(xiàn)木馬后門后，先針對出現(xiàn)木馬后門設備進行斷網(wǎng)隔離處理，同時將該設備日志進行備份留存分析入侵途徑，隨后根據(jù)總部技術研判組研判結果對操作系統(tǒng)進行重新部署或病毒軟件進行全盤查殺。處置流程：事件發(fā)生]應融註木馬隔離處理護網(wǎng)行動指揮部護網(wǎng)行動指揮部7.2.2異常登錄事件處置處置方法：檢測到異常登錄時，優(yōu)先將相關賬號下線并留存賬號相關日志，隨后針對問題賬號采取修改口令或刪除賬號等方式進行處理。處置流程：

應急處置組技術硏判組專家研判處置結束安全事件報告事件通報應急處置組技術硏判組專家研判處置結束安全事件報告事件通報釣魚郵件事件處置處置方法：對郵件內(nèi)鏈接仔細核查溯源，刪除相關郵件并對收到釣魚郵件的主機進行病毒查殺。處置流程：

技術研判組應急處置組應急處蠱組事件上報組事件發(fā)生護網(wǎng)行動指澤部技術研判組應急處置組應急處蠱組事件上報組事件發(fā)生護網(wǎng)行動指澤部漏洞攻擊事件處置處置方法：1)無補丁情況，采取“白名單”策略，基于對自身業(yè)務系統(tǒng)路徑架構的有效管理，對正常服務的路徑進行加白，在主機配置強制訪問控制策略，對進程、驅(qū)動等資源進行強制管理；針對特定漏洞進行組件刪除和路經(jīng)封堵等策略進行防護，隨時關注補丁完成情況及時完成補丁修補工作。2)有補丁情況，加強信息系統(tǒng)漏洞巡檢和補丁修復，采取相應技術手段，檢查漏洞修復情況，并督促整改。處置流程：

是擔否有補丁技術硏判組應急處置組應急處量組事件上振組分析入侵途徑事件通報護網(wǎng)行動指揮部I組件翩際或路徑封堵:!安全壽件報告漏洞修補資源盍制訪問控制限制工作匯總是擔否有補丁技術硏判組應急處置組應急處量組事件上振組分析入侵途徑事件通報護網(wǎng)行動指揮部I組件翩際或路徑封堵:!安全壽件報告漏洞修補資源盍制訪問控制限制工作匯總事件發(fā)生處置結束暴力破解事件處置處置方法：針對產(chǎn)生暴力破解事件的相關攻擊IP進行有效封鎖，并關注出現(xiàn)被暴力破解事件