信息安全管理體系信息系統(tǒng)安全事件管理制度

第一章 總則 1第二章 安全事件定義 1第三章 安全事件分級(jí) 5第四章 安全事件處理 7第五章 附則 8附件 9附件1：故障記錄登記表 9附件2：故障記錄匯總審批表 10總則為加強(qiáng)集團(tuán)信息系統(tǒng)安全事件的快速應(yīng)對(duì)能力，保障集團(tuán)信息系統(tǒng)的業(yè)務(wù)連續(xù)性，特制定本制度。本制度為集團(tuán)信息系統(tǒng)安全事件的報(bào)告、處理流程進(jìn)行統(tǒng)一規(guī)范。安全事件定義信息系統(tǒng)是指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。信息安全事件是指由于自然、人為、軟硬件本身缺陷或故障等原因，對(duì)信息系統(tǒng)造成危害，并可能發(fā)生對(duì)集團(tuán)造成負(fù)面影響的事件。根據(jù)信息安全事件的原因、表現(xiàn)形式等，將信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件等7個(gè)基本分類，每個(gè)基本分類分別包括若干個(gè)第二層分類。有害程序事件是指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導(dǎo)致的信息安全事件。有害程序是指插入到信息系統(tǒng)中的一段程序，有害程序危害系統(tǒng)中數(shù)據(jù)、應(yīng)用程序或操作系統(tǒng)的保密性、完整性或可用性，或影響信息系統(tǒng)的正常運(yùn)行。有害程序事件包括計(jì)算機(jī)病毒事件、蠕蟲事件、木馬事件、僵尸網(wǎng)絡(luò)事件、混合攻擊程序事件、網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件和其它有害程序事件等7個(gè)第二層分類。計(jì)算機(jī)病毒事件是指蓄意制造、傳播計(jì)算機(jī)病毒，或是因受到計(jì)算機(jī)病毒影響而導(dǎo)致的信息安全事件。計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的一組計(jì)算機(jī)指令或者程序代碼，它可以破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制。蠕蟲事件是指蓄意制造、傳播蠕蟲，或是因受到蠕蟲影響而導(dǎo)致的信息安全事件。蠕蟲是指除計(jì)算機(jī)病毒以外，利用信息系統(tǒng)缺陷，通過(guò)網(wǎng)絡(luò)自動(dòng)復(fù)制并傳播的有害程序。木馬事件是指蓄意制造、傳播木馬程序，或是因受到木馬程序影響而導(dǎo)致的信息安全事件。木馬程序是指?jìng)窝b在信息系統(tǒng)中的一種有害程序，具有控制該信息系統(tǒng)或進(jìn)行信息竊取等對(duì)該信息系統(tǒng)有害的功能。僵尸網(wǎng)絡(luò)事件是指利用僵尸工具軟件，形成僵尸網(wǎng)絡(luò)而導(dǎo)致的信息安全事件。僵尸網(wǎng)絡(luò)是指網(wǎng)絡(luò)上受到黑客集中控制的一群計(jì)算機(jī)，它可以被用于伺機(jī)發(fā)起網(wǎng)絡(luò)攻擊，進(jìn)行信息竊取或傳播木馬、蠕蟲等其他有害程序?；旌瞎舫绦蚴录侵感钜庵圃?、傳播混合攻擊程序，或是因受到混合攻擊程序影響而導(dǎo)致的信息安全事件。混合攻擊程序是指利用多種方法傳播和感染其它系統(tǒng)的有害程序，可能兼有計(jì)算機(jī)病毒、蠕蟲、木馬或僵尸網(wǎng)絡(luò)等多種特征?；旌瞎舫绦蚴录部梢允且幌盗杏泻Τ绦蚓C合作用的結(jié)果，例如一個(gè)計(jì)算機(jī)病毒或蠕蟲在侵入系統(tǒng)后安裝木馬程序等。網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件是指蓄意制造、傳播網(wǎng)頁(yè)內(nèi)嵌惡意代碼，或是因受到網(wǎng)頁(yè)內(nèi)嵌惡意代碼影響而導(dǎo)致的信息安全事件。網(wǎng)頁(yè)內(nèi)嵌惡意代碼是指內(nèi)嵌在網(wǎng)頁(yè)中，未經(jīng)允許由瀏覽器執(zhí)行，影響信息系統(tǒng)正常運(yùn)行的有害程序。其它有害程序事件是指不能包含在以上6個(gè)第二層分類之中的有害程序事件。網(wǎng)絡(luò)攻擊事件是指通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對(duì)信息系統(tǒng)實(shí)施攻擊，并造成信息系統(tǒng)異常或?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的信息安全事件。網(wǎng)絡(luò)攻擊事件包括拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件等7個(gè)第二層分類。拒絕服務(wù)攻擊事件是指利用信息系統(tǒng)缺陷、或通過(guò)暴力攻擊的手段，以大量消耗信息系統(tǒng)的CPU、內(nèi)存、磁盤空間或網(wǎng)絡(luò)帶寬等資源，從而影響信息系統(tǒng)正常運(yùn)行為目的的信息安全事件。后門攻擊事件是指利用軟件系統(tǒng)、硬件系統(tǒng)設(shè)計(jì)過(guò)程中留下的后門或有害程序所設(shè)置的后門而對(duì)信息系統(tǒng)實(shí)施的攻擊的信息安全事件。漏洞攻擊事件是指除拒絕服務(wù)攻擊事件和后門攻擊事件之外，利用信息系統(tǒng)配置缺陷、協(xié)議缺陷、程序缺陷等漏洞，對(duì)信息系統(tǒng)實(shí)施攻擊的信息安全事件。網(wǎng)絡(luò)掃描竊聽事件是指利用網(wǎng)絡(luò)掃描或竊聽軟件，獲取信息系統(tǒng)網(wǎng)絡(luò)配置、端口、服務(wù)、存在的脆弱性等特征而導(dǎo)致的信息安全事件。網(wǎng)絡(luò)釣魚事件是指利用欺騙性的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，使用戶泄漏重要信息而導(dǎo)致的信息安全事件。例如，利用欺騙性電子郵件獲取用戶銀行帳號(hào)密碼等。干擾事件是指通過(guò)技術(shù)手段對(duì)網(wǎng)絡(luò)進(jìn)行干擾，或?qū)V播電視有線或無(wú)線傳輸網(wǎng)絡(luò)進(jìn)行插播，對(duì)衛(wèi)星廣播電視信號(hào)非法攻擊等導(dǎo)致的信息安全事件。其他網(wǎng)絡(luò)攻擊事件是指不能被包含在以上6個(gè)第二層分類之中的網(wǎng)絡(luò)攻擊事件。信息破壞事件是指通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的信息安全事件。信息破壞事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和其它信息破壞事件等6個(gè)第二層分類。信息篡改事件是指未經(jīng)授權(quán)將信息系統(tǒng)中的信息更換為攻擊者所提供的信息而導(dǎo)致的信息安全事件，例如網(wǎng)頁(yè)篡改等導(dǎo)致的信息安全事件。信息假冒事件是指通過(guò)假冒他人信息系統(tǒng)收發(fā)信息而導(dǎo)致的信息安全事件，例如網(wǎng)頁(yè)假冒等導(dǎo)致的信息安全事件。信息泄漏事件是指因誤操作、軟硬件缺陷或電磁泄漏等因素導(dǎo)致信息系統(tǒng)中的保密、敏感、個(gè)人隱私等信息暴露于未經(jīng)授權(quán)者而導(dǎo)致的信息安全事件。信息竊取事件是指未經(jīng)授權(quán)用戶利用可能的技術(shù)手段惡意主動(dòng)獲取信息系統(tǒng)中信息而導(dǎo)致的信息安全事件。信息丟失事件是指因誤操作、人為蓄意或軟硬件缺陷等因素導(dǎo)致信息系統(tǒng)中的信息丟失而導(dǎo)致的信息安全事件。其它信息破壞事件是指不能被包含在以上5個(gè)第二層分類之中的信息破壞事件。信息內(nèi)容安全事件是指利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國(guó)家安全、社會(huì)穩(wěn)定和公共利益的內(nèi)容的安全事件。信息內(nèi)容安全事件包括以下4個(gè)第二層分類。違反憲法和法律、行政法規(guī)的信息安全事件；針對(duì)社會(huì)事項(xiàng)進(jìn)行討論、評(píng)論形成網(wǎng)上敏感的輿論熱點(diǎn)，出現(xiàn)一定規(guī)模炒作的信息安全事件；組織串連、煽動(dòng)集會(huì)游行的信息安全事件；其他信息內(nèi)容安全事件等4個(gè)第二層分類。設(shè)備設(shè)施故障是指由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息安全事件，以及人為的使用非技術(shù)手段有意或無(wú)意的造成信息系統(tǒng)破壞而導(dǎo)致的信息安全事件。設(shè)備設(shè)施故障包括軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故、和其它設(shè)備設(shè)施故障等4個(gè)第二層分類。軟硬件自身故障是指因信息系統(tǒng)中硬件設(shè)備的自然故障、軟硬件設(shè)計(jì)缺陷或者軟硬件運(yùn)行環(huán)境發(fā)生變化等而導(dǎo)致的信息安全事件。外圍保障設(shè)施故障是指由于保障信息系統(tǒng)正常運(yùn)行所必須的外部設(shè)施出現(xiàn)故障而導(dǎo)致的信息安全事件，例如電力故障、外圍網(wǎng)絡(luò)故障等導(dǎo)致的信息安全事件。人為破壞事故是指人為蓄意的對(duì)保障信息系統(tǒng)正常運(yùn)行的硬件、軟件等實(shí)施竊取、破壞造成的信息安全事件；或由于人為的遺失、誤操作以及其他無(wú)意行為造成信息系統(tǒng)硬件、軟件等遭到破壞，影響信息系統(tǒng)正常運(yùn)行的信息安全事件。其它設(shè)備設(shè)施故障是指不能被包含在以上3個(gè)第二層分類之中的設(shè)備設(shè)施故障而導(dǎo)致的信息安全事件。災(zāi)害性事件是指由于不可抗力對(duì)信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。災(zāi)害性事件包括水災(zāi)、臺(tái)風(fēng)、地震、雷擊、坍塌、火災(zāi)、恐怖襲擊、戰(zhàn)爭(zhēng)等導(dǎo)致的信息安全事件。其他信息安全事件類別是指不能歸為以上6個(gè)基本分類的信息安全事件。安全事件分級(jí)對(duì)信息安全事件的分級(jí)主要考慮三個(gè)要素：信息系統(tǒng)的重要程度、經(jīng)濟(jì)損失和社會(huì)影響。信息系統(tǒng)的重要程度主要考慮信息系統(tǒng)所承載的業(yè)務(wù)對(duì)國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活的重要性，以及業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度，劃分為特別重要信息系統(tǒng)、重要信息系統(tǒng)和一般信息系統(tǒng)。系統(tǒng)損失是指由于信息安全事件對(duì)信息系統(tǒng)的軟硬件、功能及數(shù)據(jù)的破壞，導(dǎo)致系統(tǒng)業(yè)務(wù)中斷，從而給事發(fā)組織和國(guó)家所造成的損失，其大小主要考慮恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)。社會(huì)影響是指信息安全事件對(duì)社會(huì)所造成影響的范圍和程度，其大小主要考慮國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益等方面的影響。根據(jù)信息安全事件的分級(jí)考慮要素，將信息安全事件劃分特別重大事件、重大事件、較大事件和一般事件。特別重大事件是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件。會(huì)使特別重要信息系統(tǒng)遭受特別重大的系統(tǒng)損失，即造成系統(tǒng)大面積癱瘓，使其喪失業(yè)務(wù)處理能力，或系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到嚴(yán)重破壞，恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)十分巨大，對(duì)于集團(tuán)是不可承受的。產(chǎn)生的社會(huì)影響會(huì)波及到一個(gè)或多個(gè)省市的大部分地區(qū)，極大威脅國(guó)家安全，引起社會(huì)動(dòng)蕩，對(duì)經(jīng)濟(jì)建設(shè)有極其惡劣的負(fù)面影響，或者嚴(yán)重?fù)p害公眾利益。重大事件是指能夠?qū)е聡?yán)重影響或破壞的信息安全事件。會(huì)使特別重要信息系統(tǒng)遭受重大的系統(tǒng)損失，即造成系統(tǒng)長(zhǎng)時(shí)間中斷或局部癱瘓，使其業(yè)務(wù)處理能力受到極大影響，或系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到破壞，恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)巨大，但對(duì)于集團(tuán)是可承受的；或使重要信息系統(tǒng)遭受特別重大的系統(tǒng)損失。產(chǎn)生的社會(huì)影響波及到一個(gè)或多個(gè)地市的大部分地區(qū)，威脅到國(guó)家安全，引起社會(huì)恐慌，對(duì)經(jīng)濟(jì)建設(shè)有重大的負(fù)面影響，或者損害到公眾利益。較大事件是指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件。會(huì)使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失，即造成系統(tǒng)中斷，明顯影響系統(tǒng)效率，使重要信息系統(tǒng)或一般信息系統(tǒng)業(yè)務(wù)處理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到破壞，恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)較大，但對(duì)于集團(tuán)是完全可以承受的；或使重要信息系統(tǒng)遭受重大的系統(tǒng)損失、一般信息信息系統(tǒng)遭受特別重大的系統(tǒng)損失。產(chǎn)生的社會(huì)影響波及到一個(gè)或多個(gè)地市的部分地區(qū)，可能影響到國(guó)家安全，擾亂社會(huì)秩序，對(duì)經(jīng)濟(jì)建設(shè)有一定的負(fù)面影響，或者影響到公眾利益。一般事件是指能夠?qū)е螺^小影響或破壞的信息安全事件。會(huì)使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失，即造成系統(tǒng)短暫中斷，影響系統(tǒng)效率，使系統(tǒng)業(yè)務(wù)處理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到影響，恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)較小；或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失，一般信息系統(tǒng)遭受重大的系統(tǒng)損失。產(chǎn)生的社會(huì)影響波及到一個(gè)地市的部分地區(qū)，對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益基本沒(méi)有影響，但對(duì)個(gè)別公民、法人或其他組織的利益會(huì)造成損害。安全事件處理安全事件處理流程如下所示：網(wǎng)絡(luò)運(yùn)營(yíng)中心技術(shù)人員在系統(tǒng)運(yùn)維過(guò)程中發(fā)現(xiàn)安全事件或者接到安全事件上報(bào)后，經(jīng)過(guò)簡(jiǎn)單判斷，確定事件的安全級(jí)別。如果是一般安全事件，則直接交由相關(guān)的技術(shù)人員處理，如果是較大及其以上安全事件，則需要上報(bào)網(wǎng)絡(luò)運(yùn)營(yíng)中心；網(wǎng)絡(luò)運(yùn)營(yíng)中心接到上報(bào)后，網(wǎng)絡(luò)運(yùn)營(yíng)中心總監(jiān)應(yīng)立即組織網(wǎng)絡(luò)運(yùn)營(yíng)中心人員以及相關(guān)技術(shù)人員分析安全事件，制定相應(yīng)的安全事件處理方案，及時(shí)處理；如果技術(shù)人員無(wú)法解決問(wèn)題，則需要立即上報(bào)架構(gòu)與安全委員會(huì)；委員會(huì)接到上報(bào)后，立即協(xié)調(diào)外部專家分析安全事件，并制定安全事件處理方案，由委員會(huì)督促實(shí)施小組按照方案處理事件，及時(shí)消除安全問(wèn)題；信息安全事件處理完成后，網(wǎng)絡(luò)運(yùn)營(yíng)中心技術(shù)人員整理事件的處理過(guò)程，填寫故障處理記錄表。記錄表詳見附件1：《故障記錄登記表》。網(wǎng)絡(luò)運(yùn)營(yíng)中心技術(shù)人員定期匯總故障記錄提交給網(wǎng)絡(luò)運(yùn)營(yíng)中心進(jìn)行審批，審批表詳見附件2：《故障記錄匯總審批表》。一般安全事件處理的各部門接口人如下：網(wǎng)絡(luò)服務(wù)部：陳健源智農(nóng)云業(yè)務(wù)部：劉東棟信息安全部：楊雷雷具體流程圖如下所示：針對(duì)安全事件處理記錄，應(yīng)定期組織相關(guān)技術(shù)人員分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過(guò)程，總結(jié)經(jīng)驗(yàn)教訓(xùn)，制定防止再次發(fā)生的防御措施。附則本制度的制定和修改需要經(jīng)架構(gòu)與安