信息安全应急处置管理综合规范.docx
《信息安全应急处置管理综合规范.docx》由会员分享,可在线阅读,更多相关《信息安全应急处置管理综合规范.docx(12页珍藏版)》请在冰豆网上搜索。
信息安全应急处置管理综合规范
**信息安全事件和应急响应管理规范
修订情况目前版本v1.0
章节编号
章节名称
修订内容简述
修订日期
修订前
版本号
同意人
1.目标
为建立健全**网络安全事件处理工作机制,提升网络安全事件处理能力和水平,保障企业整体信息系统安全,降低信息安全事件所造成损失,采取有效纠正和预防方法。
2.适用范围
本文档适适用于企业建立信息安全管理体系。
本文档将依据信息技术和信息安全技术不停发展和信息安全风险和信息安全保护目标不停改变而进行版本升级。
本程序适适用于企业全体职员;适适用于企业信息安全事故、弱点和故障管理。
3.工作标准
●统一指挥机制标准:
在进行信息系统安全应急处理工作过程中,各部门人员应服从各级信息系统突发安全实施小组统一指挥。
●谁运行谁主管谁处理标准:
各类业务模块责任人要根据企业统一要求,制订和维护本部门业务模块运行安全应急预案,认真依据应急预案进行演练和应急处理工作。
●最小损失标准:
应对信息系统突发安全事件各项方法最大程度地降低信息系统突发安全事件造成危害和损失。
●预防为主标准:
高度重视信息系统突发安全事件预防工作。
坚持做好信息系统日常监控和运行维护工作,坚持预防和应急相结合,做好应对突发安全事件各项准备工作。
●保密标准:
参与信息系统突发安全事件处理工作人员应严守企业保密要求,XX不得向外界提供和处理相关工作信息,不得利用工作中取得信息牟取私利。
4.组织体系和职责
●全部些人员(包含正式职员、协议雇佣人员、实习生、临时人员等)发觉疑似信息安全异常事件时,全部有实时通报责任。
●各部门和各业务模块信息安全专员是信息安全事件识别和响应联络窗口,负责配合安全小组,进行安全事件处理(信息安全员应熟悉本部门负责业务模块)。
●信息安全实施小组由各部门信息安全员和应急处理小组组成,是信息安全事件处理权责单位,含有以下职责:
(一)评审和更新企业信息安全事件管理规范;
(二)协调和监督信息安全事件纠正和预防方法实施;
(三)组织调查信息安全事件,配合相关部门进行计算机犯罪案件调查;
(四)向信息安全委员会汇报并提出处理意见。
●信息安全委员会由企业领导层组成,会应对信息安全事件处理机制进行统筹和计划,含有以下职责:
(一)指导**信息安全事件防范和应急处理工作;
(二)推进**信息安全事件应急响应机制建立和落地实施。
5.信息安全事件分类和分级
5.1.信息安全事件分类
信息系统攻击事件、信息破坏事件、信息内容安全事件、发觉安全漏洞事件。
5.1.1信息系统攻击事件
信息系统攻击事件是指经过网络攻击、有害程序或其它技术手段,利用信息系统配置缺点、协议缺点、程序缺点或使用暴力攻击对信息系统实施攻击,造成信息系统异常或对信息系统目前运行造成潜在危害信息安全事件。
信息系统攻击类事件包含拒绝服务攻击、后门攻击、漏洞利用攻击、网络扫描窃听、网络钓鱼、干扰事件等。
5.1.2信息破坏事件
信息破坏事件是指经过网络或其它技术手段,造成信息系统中信息被篡改、假冒、泄漏、窃取等而造成信息安全事件。
信息破坏类事件包含计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件等
5.1.3信息内容安全事件
信息内容安全事件是指利用信息网络公布、传输危害国家安全、社会稳定和公共利益内容安全事件。
比如:
藏独、台独言论。
5.1.4发觉安全漏洞事件
内部技术人员有意无意发觉安全漏洞。
比如:
XSS、注入、劫持、CSRF、上传漏洞、文件包含、权限漏洞等。
5.1.5其它信息安全事件
指不能归为以上4类信息安全突发事件。
5.2.安全事件分级
依据信息系统关键程度、系统损失和社会影响,将信息安全事件划分为三个等级:
重大信息安全事件(一级)、较大信息安全事件(二级)和通常信息安全事件(三级)。
5.2.1重大信息安全事件(一级)
重大信息安全事件是指能够造成严重影响或破坏信息安全事件,包含以下情况:
(一)大范围用户受到影响。
(二)大部分业务模块不能正常工作。
(三)企业内部发觉业务模块存在安全漏洞。
5.2.2较大信息安全事件(二级)
较大信息安全事件是指能够造成较严重影响或破坏信息安全事件,包含以下情况:
(一)小部分用户受到影响。
(二)小部分业务模块不能工作。
5.2.3通常信息安全事件(三级)
通常信息安全事件是指不满足以上条件信息安全事件,包含以下情况:
(一)部分用户受到影响。
(二)部分业务模块异常。
6.上报步骤
(一)当信息安全事件发生时,依据事件类型及影响大小,根据要求汇报角色和处理步骤。
1)企业内部职员发觉疑似信息安全事件或收到外部汇报信息安全事件时,由发觉人应同时通知本通报部门信息安全专员、安全实施小组并通知直属主管、部门领导;
2)各部门信息安全专员在发生信息安全事件时,应立即向信息安全实施小组汇报。
(二)信息安全事件汇报内容应尽可能涵盖事件发生事实、可能影响范围、损失评定、需要支持、采取应对方法等。
(三)信息安全实施小组在收到汇报后,应对事件进行判定和分析:
1)判定为非信息安全事件时,将结果回复发觉人。
2)判定为信息安全事件时,则深入分析事件影响,并按企业相关制度步骤进行处理:
⏹当发生通常信息安全事件或较大信息安全事件时,由信息安全实施小组处理,并采取相关纠正及预防方法,以预防类似事件发生。
⏹当发生重大信息安全事件时,应上报信息安全委员会,并由信息安全实施小组依据信息安全委员会决议对事件进行处理。
⏹处理过程中如发觉造成影响大于原先判定事件,应重新实施事件分析。
(四)处理信息安全事件时,若需部门内部资源,则由信息安全实施小组沟通协调工作;如需部门外部资源帮助,则由信息安全委员会进行协调。
当重大信息安全事件发生需对外说明时,由企业对外窗口统一对外说明情况和处理方法。
(五)企业应建立对应机制,监视并统计信息安全事件,并对其类型、数量和造成损失代价进行统计。
(六)当一个信息安全事件包含民事或刑事诉讼,需要进行司法取证时,应注意:
⏹设备封存过程需当事人、调查者及司法判定部门同时在场,封存处必需有各方签字;
⏹数据保留和证据挖掘过程均需司法判定部门在场,以确保数据完整性和可靠性;
⏹司法判定机构需对获取证据过程出具司法判定汇报。
(七)重大安全事件和无法处理安全事件上报公安部门。
(八)针对信息安全事件处理时间;
响应时间
安全事件等级
故障处理时间
1小时
三级
2-8个小时
30分钟
二级
1-2小时
30分钟
一级
1-2小时
7.应急处理步骤
信息安全事故处理步骤包含三部分内容:
计划及准备、安全事故应急、事后跟进,下面分别进行解释说明。
6.1计划及准备
事先计划可确保人员对应采取应急行动有所了解,使其能在相互配合及有条不紊情况下实施,同时还有助各部门在处理安全事故时做出合适和有效决定,从而将安全事故可能造成破坏减到最少。
各业务模块应各自制订应急预案并定时进行应急演练。
5.1.1安全事故处理计划
安全事故处理计划关键包含事故处理目标及优先级,具体定义以下:
目标:
●立即使系统恢复正常操作
●尽可能减轻事故对其它系统影响
●避免发生同类事故
●找出事故根本成因
●评定事故影响和破坏
●有必需时更新政策和程序
●搜集证据为以后个案调查提供证实
优先考虑:
●保护敏感或关键资源
●保护遗失或损毁后造成较大损失关键数据
●预防停顿后会造成较大损失及恢复成本较高系统受到损坏
●对服务中止影响减到最少
●维护部门或企业整体公众形象
5.1.2汇报程序
1.汇报内容:
●已经发生信息安全事件;
●观察到或怀疑任何系统或服务安全弱点;
2.汇报联络人:
●安全实施小组在信息安全领导小组责任人授权下对信息安全事故进行处理;
●安全事件发觉人需要同时通知本部门安全员、安全应急小组、本部门主管。
3.汇报路径:
电话;邮件;亲自汇报;微信等。
5.1.3升级处理程序
升级处理程序是指将事故上报管理层和相关方面,以确保立即做出关键决议程序。
在发生事故时,往往需要处理大量紧急事项,所以极难找到合适人选处理林林总总事项。
为顺利实施安全事故处理各阶段工作,应事先编备处理技术和管理事项所需关键联络名单。
响应时间
联络名单
联络方法
事故发生后30分钟内
杨代兵
联络方法见企业微信通讯录
事故发生后60分钟内
侯杰
系统恢复后
杨代兵
怀疑组成犯罪,则由企业安全领导小组决定
侯杰
5.1.4安全培训
企业应提供足够职员培训,以确保相关全体职员和管理层人员均知道怎样处理安全事故。
各人员应熟习由事故上报、确定和采取合适行动到恢复系统正常操作处理事故程序。
企业可组织事故处理演练,使全体人员熟习处理安全事故程序。
另外,为了加强系统或职能范围安全保护方法,并降低发生事故机会,应向系统管理和支持人员提供足够培训,使她们掌握相关安全预防知识。
5.1.5事故监控方法
应采取足够事故监察安全方法方便在正常操作时保护系统,同时防范潜在安全事故。
所采取方法程度和范围则取决于系统、系统处理数据及系统提供功效关键性和敏感程度。
下列是现在已经布署安全事故监察方法:
●安装防火墙并采取认证和访问控制方法,以保护关键系统和数据资源;
●安装入侵侦测工具,主动监察、侦测并就系统入侵或黑客入侵做出应对;
●安装计算机防病毒工具和恶性程序代码侦测及修复软件,以侦测及清除计算机病毒及恶性程序代码,并预防计算机病毒和恶性程序代码影响系统操作;
●定时利用安全扫描工具进行安全检验,以找出现在存在安全漏洞,并进行既定安全政策水平和实际安全工作环境之间差距分析;
●开启系统及网络审计日志功效,方便侦测和追踪未获授权活动;
6.2安全事故应急响应
安全事故应急包含制订程序评定事故并做出应急,立即将受影响系统元服务恢复正常。
相关程序大致可分为五个阶段:
以下图5.1所表示确实定、升级处理、遏制、杜绝和恢复。
认识各阶段具体工作有利于在发生安全事故时快速做出响应。
图5.2安全事故应急步骤
6.3信息安全事故总结和改善
系统恢复正常操作并不代表安全事故处理程序结束,采取必需跟进行动十分关键。
跟进行动包含评定事故所造成破坏、系统改良以预防再度发生事故、安全政策和程序更新及为以后检控进行个案调查。
5.3.1安全事故分析
事小说后分析是对事故及事故应急方法分析,这有利于更深入地了解系统受到威胁及可能存在安全漏洞,方便采取更有效保障方法。
分析结果表现在安全事故汇报中,分析范围能够包含以下内容:
◆预防再度受攻击提议行动;
◆在事故应急时,须快速取得资料及获取相关资料方法;
◆供侦测及杜绝程序所用或所需额外工具;
◆准备和应急方法足够程度;
◆沟通足够程度;
◆实际困难;
◆事故破坏,当中包含:
Ø处理事故所需人力消耗
Ø金钱成本
Ø中止操作损失
Ø遗失或遭破坏数据、软件和硬件,包含被泄露敏感数据
Ø受托保密数据法律责任
Ø难堪或丧失信誉
◆吸收其它教训。
5.3.2安全事故汇报
依据事故分析所编制事小说后汇报,应概述事故、应急、恢复行动、破坏和吸收教训。
相关信息系统主管负责编制汇报,并提交信息安全事故应急小组作参考,方便以后立即采取预防方法,避免其它系统和服务再度发生同类安全事故。
事小说后汇报应包含下列项目:
●事故类型、范围和程度;
●事故详情:
攻击起源、时间和可能方法及发觉攻击方法等;
●概述受攻击系统,包含系统范围及功效、技术资料(比如系统硬件、软件和操作系统,和版本、网络体系结构及程序编制语言等);
●事故应急及杜绝方法;
●恢复程序;
●吸收其它教训。
安全事故汇报模版参见附件《信息安全事故汇报模版》
5.3.3安全评定
可能受到安全风险威胁系统宜定时进行安全风险评定和审计,尤其是曾经受安全事故影响系统。
安全复检及系统审计应连续进行,方便立即发觉可能存在安全漏洞及/或因应安全保护方法及攻击/入侵科技发展,而须做出系统改善。
在发生安全事故时搜集资料亦有利于事后安全评定,对找出系统安全漏洞和安全威胁尤其有用。
5.3.4安全改善
依据事小说后分析和定时安全评定所得出结果,可确定应对系统安全政策、程序和保护机制做出哪些改善。
技术发展一日千里,所以必需定时更新安全相关政策、程序和保护机制,以确保整体安全保护方法对计算机系统效用。
在进行事小说后分析时,如有需要应复检和修订政策、程序和指南,以配合预防方法。
5.3.5取证及检控
1、取证规则:
证据可许可性:
证据是否能够在法庭上使用;
证据份量:
证据质量和完备性;
2、取证内容:
系统事件和其它相关资料,比如审计日志、服务器日志、网络日志、防火墙/路由器日志、访问统计等系统日志文件;
仍在进行活动系统登录或网络连接及程序状态资料;
受攻击系统;
已采取全部行动,包含日期、时间和参与行感人员;
全部对外通讯,包含日期、时间、内容及相关各方;
3、证据维护:
纸面文档:
原物应被安全保留且包含以下信息统计:
时间、地点、发觉人、证实人;应确保原物没有被篡改;
计算机介质中信息:
任何可移动介质镜像或拷贝、硬盘或内存中信息全部应确保其可用性;拷贝过程中全部行为日志全部应保留下来,且应有证据证实该过程;原始介质和日志应安全保留且不能改变;
任何法律取证工作应仅在证据资料拷贝上进行;
4、检控:
在合适情况下,还必需对引发事故个人采取个案调查、纪律处分或法律检控等行动。
8.后期处理
安全事件应急处理结束后,立即对此次安全事件发生原因、事件规模进行调查,估算事件损失后果,对应急处理手段效果和后续风险进行评定,总结应急处理经验教训并提出改善提议。
9.解释
本管理措施由信息安全小组负责解释。
10文档
《信息安全事故汇报》
升级会员 