DB11T 1599-2018 政務部門信息安全應急預案編制指南

DB11北京市市場監(jiān)督管理局發(fā)布I 1 1 1 2 3 6 8 附錄A（資料性附錄）北京市某 附錄B（資料性附錄）北京市某 附錄C（資料性附錄）北京市某 1政務部門信息安全應急預案編制指南凡是不注日期的引用文件，其最新版本（包括所有的修改單）GB/T20984信息安全技術(shù)信息安全風險評估GB/T20985.1—2017信息技術(shù)安全技術(shù)信息安全事件管理第1部分：事件管理原理GB/Z20986—2007信息安全技術(shù)信息安全事件分類分級GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級保護基本GB/T22240信息安全技術(shù)信息系統(tǒng)安全等級保護定GB/T24363—2009信息安全技術(shù)信息安全應急響應計劃GB/T25069—2010信息安全技術(shù)術(shù)語GB/T31509信息安全技術(shù)信息安全風險評估實GB/T32926信息安全技術(shù)政府部門信息技術(shù)服務外包信息安全管理2注：《中華人民共和國網(wǎng)絡安全法》規(guī)定：國家對公共通信和信息服務、具體范圍和安全保護辦法由國務院制定，包括但不限于提供公共通信能源、金融、交通、教育、科研、水利、工業(yè)制造、醫(yī)療衛(wèi)生、社4應急預案體系4.1應急預案體系架構(gòu)現(xiàn)場處現(xiàn)場處置方案政務部門信息安全總體應急預案信息安全事件專項預案有害程序事件應急預案信息安全事件專項預案有害程序事件應急預案信息破壞事件應急預案信息內(nèi)容安全事件應急預案設(shè)備設(shè)施故障事件應急預案其他事件應急預案關(guān)鍵信息基礎(chǔ)設(shè)施專項預案OA系統(tǒng)應急預案業(yè)務系統(tǒng)應急預案檔案系統(tǒng)應急預案財務系統(tǒng)應急預案其他系統(tǒng)應急預案重大活動信息安全保障預案節(jié)假日應急預案重大活動應急預案其他應急保障預案政務部門信息安全專項應急預案34.2政務部門信息安全總體應急預案4.2.1政務部門信息安全總體應急預案是根據(jù)上級應急預案要求，針對信息安全事件綜合性的應急響4.2.2政務部門信息安全總體應急預案應明確各政4.3政務部門信息安全專項應急預案4.3.1政務部門信息安全專項應急預案是對某種類型或某幾種類型的信息安全事件、對關(guān)鍵信息基礎(chǔ)4.3.2政務部門信息安全專項應急預案是總體預案的細化，應對應急人員、應急流程、保障措施提出4.4現(xiàn)場處置方案5.1基本流程應急體系調(diào)查業(yè)務影響分析應急預案編制應急體系調(diào)查業(yè)務影響分析應急預案編制啟動應急預案編制風險評估應急資源和能力評估應急預案評審應急預案發(fā)布及備案應急預案管理與維護45.2啟動應急預案編制5.2.2制定應急預案編制計劃，明確各小組的職責及接口人，外聘專家名單；預案編制計劃時間表及5.3應急體系調(diào)查5.3.1收集了解政務部門的基本情況、組織環(huán)境、現(xiàn)有的應急體系等信息；收集已有的應急預案、已發(fā)生應急事件及處置手段和方法及其他應急相關(guān)資料；評估現(xiàn)有應急體系——已有的應急預案，包括正在使用及廢棄的5.4風險評估5.4.1風險評估是編制應急預案關(guān)鍵過程，風險評估的結(jié)果是確定重點考慮的應急對象，劃分應急響應優(yōu)先級的依據(jù)，政務部門應結(jié)合已有的安全措施和結(jié)合風險評5.4.2風險評估工作應按照GB/T20984和GB/T31509的要求，完成以下工作：5.5業(yè)務影響分析業(yè)務影響分析應分析信息安全事件發(fā)生時所產(chǎn)生的損失和恢復所需信息系統(tǒng)資源，并符合GB/T5.6應急資源和能力評估急響應工作中可投入使用的物質(zhì)資源，包括資源的類型、功能、作5等，重點評估各應急崗位投入人員的數(shù)量、人員的技術(shù)能力和相應急支援流程、應急資源的統(tǒng)一調(diào)配流程、以往信息安全事件及處理經(jīng)5.7應急預案編制合實際工作，完成應急預案的編制。應急預案應符合以5.8應急預案評審5.8.1應急預案編制完成后，政務部門應對應急預案的適用性、科學性、合理性、針對性及規(guī)范性進5.8.2政務部門內(nèi)與信息安全應急管理相關(guān)的人員對應急預案應進行內(nèi)部審查，審查應包括但不限于5.8.3應組織政務部門外信息安全、應急保障、應急管理等領(lǐng)域的專業(yè)人員成立的預案評審組對應急5.9應急預案發(fā)布及備案65.10應急預案管理和維護5.10.1正式發(fā)布的應急預案文檔的管理，應符合以下要求：6.1.2總體應急預案應根據(jù)有關(guān)應急預案體系的要求，全面考慮，科學劃分事件等級，覆蓋應急全過程。政務部門信息安全總體應急預案可——工作原則：應急工作的原則應簡明扼要，明確系統(tǒng)損失程度和社會影響程度等實際情況，對應急預角色及職責應符合GB/T24363—20076.5.1政務部門應加強信息安全監(jiān)測、預防和預警工作，信息安全事件的監(jiān)測方式方法，預防和6.5.2政務部門應建立信息安全事件報告和通報制度，規(guī)定發(fā)生信息安全事件后，應立即向應急件級別，上報應急響應領(lǐng)導小組、相關(guān)主管或監(jiān)管單位的要對響應級別的調(diào)整等都應具體要求，基本要6.7.1應急響應工作結(jié)束后，應對信息安全事件造成的損失和影響以及恢復重建能力進行分析評估，8——應急預案實施：應急預案發(fā)布與實施的具體時間以及負責制定與解釋的部門。——有關(guān)協(xié)議或備忘錄：應包括與相關(guān)應急救援進行應急組織、流程和技術(shù)保障措施的設(shè)計。政務部門信息安全專項應急預案可參見附錄B。9——信息安全事件可能引發(fā)的次生、衍生信息安全——信息安全事件對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務運行產(chǎn)生的危害程度及影響范圍。對專項預案的宣傳教育和信息安全相關(guān)知識培訓等工作提出要求，包括對信息化工作人員定期培保管人，應急專用工具操作指導書，機房相關(guān)平面布置8.1.1現(xiàn)場處置方案應組織各類信息安全的專業(yè)組織和技術(shù)專家、部門運維技術(shù)人員共同參與制定，8.1.2應針對發(fā)生的信息安全事件，從技術(shù)操作的角度加以規(guī)范，明確處置原則和具體處置步驟，細A.1.1編制目的A.1.2編制依據(jù)《中華人民共和國網(wǎng)絡安全法》《中華人民共和國突發(fā)事件應對法》、《北京市實施<中華人民共和國突發(fā)事件應對法>辦法》、《北京市信息化促進條例》等法律法規(guī)，《國家突發(fā)公共事件總體應急A.1.3工作原則A.1.4事件分類分級A.1.4.1事件分類障事件、災害性事件、其他信息安全事件，每個基本分類（1）有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件（3）信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失（4）信息內(nèi)容安全事件是指通過網(wǎng)絡傳播法律法規(guī)禁止信息，組織非作敏感問題并危害國家安全、社會穩(wěn)定和公眾利益（6）災害性事件是指由自然災害等其他突發(fā)事件導致A.1.4.2事件分級重大(Ⅰ級)、重大(Ⅱ級)、較大(Ⅲ級)、一般(Ⅳ級）、較?。ㄗ怨芗墸┦录?。涉及特別重大(Ⅰ級)、級信息化部門負責一般(Ⅳ級）、較?。ㄗ怨芗墸┬畔踩录奶幹霉ぷ鳌Ｌ貏e重大(Ⅰ級)、重大(Ⅱ級)、較大(Ⅲ級)信息安全事件的分級標準參照《北京市網(wǎng)絡與信息安一般(Ⅳ級）信息安全事件：②網(wǎng)站或信息系統(tǒng)被惡意入侵，被攻擊者植入木馬、暗鏈、后門等，存在嚴重的安全隱患；③等保二級信息系統(tǒng)中斷2小時以內(nèi)，業(yè)務受到影響；等保三級信息系統(tǒng)中斷30分鐘以內(nèi)，業(yè)務受②由于各種原因?qū)е碌母黝愊到y(tǒng)中斷、服務中斷、設(shè)備故障等安全事件；③未達到一般信息安全事件(Ⅳ級）條件的事件為自管級事件。A.1.5適用范圍本預案適用于北京市某局信息安全事件的總體預防和處A.2組織機構(gòu)與職責A.2.1信息安全領(lǐng)導小組A.2.2信息安全工作保障組系統(tǒng)進行安全性評估及測試；負責安全管理人員的培A.2.3信息安全實施組A.2.4信息安全日常運行組A.2.5信息安全專家組動應急響應的建議，分析信息安全事件的原因及造成的危害，為應急響應提供技術(shù)支A.3監(jiān)測預警A.3.1監(jiān)測A.3.1.1風險評估A.3.2預警響應A.4應急響應A.4.1事件發(fā)現(xiàn)和匯報A.4.2先期處置（1）控制事態(tài)發(fā)展，防控蔓延。責任單位根據(jù)需要及時（2）及時報告信息。在先期處置的同時要按照預案要求，及時向（3）盡快分析事件發(fā)生原因，根據(jù)信息系統(tǒng)運行和承載業(yè)（5）信息安全工作組在接報事件信息后及時掌握事件的發(fā)展A.4.3基本響應A.4.4分級響應對于特別重大(Ⅰ級)、重大(Ⅱ級)、較大(Ⅲ級)信息安全事件的應急響應按照《北京市網(wǎng)絡與信①跟蹤事態(tài)發(fā)展。信息安全實施組及時將事態(tài)發(fā)展變化情況③及時通報情況。信息安全工作小組負責匯總上述有關(guān)情況報信息安全領(lǐng)導小組及市級信息化部置工作；信息安全實施組負責將事件信息、處置進展情況本單位的應急處置能力時，應及時提升響應等級，報上級業(yè)務A.4.5應急結(jié)束A.5后期處置A.5.1系統(tǒng)重建A.5.2事件總結(jié)信息安全實施小組據(jù)處置報告，總結(jié)經(jīng)驗教訓，建立事件案A.6保障措施A.6.1技術(shù)支撐隊伍保障機構(gòu)的聯(lián)系，確保必要時能夠有效調(diào)動機關(guān)團體、企A.6.2經(jīng)費保障A.7宣傳、培訓和演練A.7.1宣傳教育A.7.2培訓A.7.3演練A.8.1預案制定與解釋A.8.2預案審核A.8.3預案修訂A.8.4預案實施A.9.1信息安全事件應急處置流程圖A.9.2信息安全領(lǐng)導小組名單A.9.3信息安全工作組名單A.9.4信息安全實施組A.9.5信息系統(tǒng)及責任人列表A.9.6信息安全應急事件通報表應急響應處理，協(xié)助安全運行維護單位解決安全維護各部門單位負責配合安全運行維護單位和信息系統(tǒng)網(wǎng)絡維護單位進行網(wǎng)頁篡改事件的應急處理工掛馬/暗鏈事件：網(wǎng)站被篡改的內(nèi)容用戶通過瀏覽器不可見，但植入的代碼會工具，掛馬、暗鏈檢查工具，硬件主要有應急筆記本和移動硬盤，筆記本要安裝好上（1）分析網(wǎng)站訪問日志，查找攻擊者攻擊的過程，包括實施的掃描、利用的漏洞及篡改的時間。事件通報應急準備現(xiàn)場處置日志分析現(xiàn)場了解情況服務器檢查入侵跟蹤日志分析現(xiàn)場了解情況服務器檢查入侵跟蹤網(wǎng)站代碼審查確認利用漏洞確認利用漏洞其它漏洞目錄遍歷漏洞跨站腳本執(zhí)行漏洞遠程命令執(zhí)行漏洞網(wǎng)頁上傳漏洞SQL注入漏洞制定處置策略確認事件詳情其它漏洞目錄遍歷漏洞跨站腳本執(zhí)行漏洞遠程命令執(zhí)行漏洞網(wǎng)頁上傳漏洞SQL注入漏洞制定處置策略確認事件詳情緩沖區(qū)溢出漏洞恢復系統(tǒng)分析總結(jié)，上報處理結(jié)果——網(wǎng)站基本情況：網(wǎng)站域名、IP地址、責任單位、軟件開發(fā)單位、硬件廠商、日常運維和安全——網(wǎng)站開發(fā)運行環(huán)境：網(wǎng)站使用的開發(fā)平臺和編程語言、網(wǎng)站服務器操作系統(tǒng)類型及版本、web服務器軟件類型及版本、后臺數(shù)據(jù)庫軟件類型及版本、內(nèi)容管理系統(tǒng)（CMS）相關(guān)情——網(wǎng)站服務器備份：對網(wǎng)站服務器硬件、網(wǎng)站源代碼、數(shù)據(jù)庫等進行備份。地址信息與實際不一致，則通過正確的IP地址訪步驟二：判斷是否由于遭受局域網(wǎng)ARP攻擊造成網(wǎng)頁被“偽”步驟三：分析日志，確認攻擊方式。通過分析可以對通過web應用系統(tǒng)實施攻擊進行準確判次事件可能是利用未知的安全漏洞實施，需要進行更加擊并獲得了系統(tǒng)控制權(quán)限后，是否安裝了后更難以判斷。因此還需進行一系列的事后處置工作，具體包