附录 16 信息安全事件处理流程 信息安全事件处理流程 目 目的.. 1. 范围... 2. 3. 安全事件的范围. 4. 信息安全事件的分类 信息安全事件的定义， 5. 5.1. 属于物理安全事件的定义， 5.2. 属于逻辑安全事件的定义.… 4 6. 信息安全事件等级划分 7. 安全事件处理流程. 7.1. A级事件处理流程， 6 7.2. B级事件处理流程.. .8 7.3. C级事件处理流程 10 7.4. 流程中的事件处理方法说明（A、B、C级） 11 7.4.1. 报告. 11 7.4.2. 备份 11 7.4.3. 隔离. 12 7.4.4. 监视. 7.4.5. 记录取证. 12 7.4.6. 现场分析处理 7.4.7. 阻止 .13 联系第三方 7.4.8. 13 7.4.9. 恢复日常状态. .13 7.4.10. 加固处理. ..14 7.4.11. 重新入网 .14 7.4.12. 汇报. 14 7.4.13. 事件升级， 14 7.4.14. 找出解决方案 14 7.4.15. 事件结束. 第2页共15页 信息安全事件处理流程 1. 目的 为加强我司信息安全事件管理，全面提高我司网络与信息安全水平，保障网 络通信畅通，提高网络服务质量，特制定本流程。 2. 范围 本策略适用于我司拥有的、控制和管理的所有信息系统、数据和网络环境， 适用于属于我司所有机构和部门范围内的信息安全小组成员：包括安全管理员， 系统管理员、网络管理员、数据库和业务应用管理员等所有维护人员。维护过程 中所涉及的多种安全事件，我司所有科室和部门将遵照“积极预防、及时发现、 快速反映、确保恢复”的方针，处理我司所有科室和部门中的各类安全事件。 3．安全事件的范围 信息安全事件的范围为： 我司信息系统中包含的软件、硬件（主机、存储）。 个我司信息系统中包含的网络设备。 ☆我司信息系统中包含的安全软件和设备。 4.．信息安全事件的分类 信息安全事件主要分为两大类：物理安全事件和逻辑安全事件。 物理安全事件：主要指我司信息系统的计算机设备、设施（含网络）以及其 它媒体遭到人为的，或自然灾害引起的物理上的危害。物理安全事件由相关负责 人员采取相应处理措施。 逻辑安全事件：指我司信息系统访问控制方面和信息的完整性、保密性和可 用性方面遭到破坏，从而导致涉及的网络、操作系统、数据库、应用系统、人员 管理等方面正常业务运行受到影响 第3页共15页 信息安全事件处理流程 5.．信息安全事件的定义 5.1.属于物理安全事件的定义 1．遭到物理闯入或计算机信息设备被窃； 2. 物理环境或设备遭到火灾或水灾等事故 3. 物理设备由于机房环境灰尘或静电造成损坏； 4．设备在运行过程意外（如果本身质量等问题）损坏，造成业务系统停止运行； 5．管理维护人员在日常维护不小心损坏物理设备、线缆。造成网络中断 5.2.属于逻辑安全事件的定义 1．非授权访问，通过入侵的方式进入到未被授权访问的网络中，而导致数据信 息泄漏； 2．信息泄密，数据在传输中因数据被截取、篡改、分析等而造成信息的泄漏； 拒绝服务，正常用户不能正常访问服务器提供的相关服务； 5． 在系统日志中发现非法登录者; 6. 发现系统感染计算机病毒； 发现有人在不断强行尝试登录系统； 8．系统中出现不明的新用户账号; 9．管理员收到来自其它站点系统管理员的警告信，指出系统可能被威胁； 10.文件的访问权限被修改; 11.因安全漏洞导致的系统问题; 12.第三方服务供应商违反保密协议。 第4页共15页 信息安全事件处理流程 6.．信息安全事件等级划分 事故等级 举例说明 事故响应处理 级别A（最高级） 发现敏感数据文件被非法报告 访问（读取、修改或删除），■备份 比如系统的数据库被非法·隔离 判断标准为：计 算机系统已经遭 修改 ■现场分析 到非法攻击，并 ·未知 IP 频繁访问数据库获 联系第三方 造成严重损失。 取数据。 ■恢复日常状态 （资产已经遭受 •我司WEB 网站被DDOS攻-加固 威胁) 击造成用户无法访问 ■重新入网 WEB 网站页面被恶意篡改 ■汇报 ■WEB 网站被成功攻击，并 ■事件结束 被黑客控制 级别 B 在网站服务器的IIS 日志中 ■报告 发现当前有频繁恶意 URL ■监视 判断标准为：计 连接。 记录取证 算机系统正在遭 ■现场分析 在应用系统服务器（WEB、 到非法攻击，不 OA、核心业务系统等）上 ■事件升级 能马上判断是否 发现有未知用户正在登录。 ■阻止 损失。 发现黑客正在对应用系统 ■隔离 （不能马上判断 （比如：WEB、Mail）实施 ■联系第三方 资产是否遭受威 “拒绝服务”攻击，当前用 •加固 胁) 户访问缓慢 重新入网 安全准入设备发现非法接 ■汇报 入阻断日志。 ■事件结束 ■防病毒软件发现一个无法 清除/隔离的病毒或恶意代 码。 第5页共15页 信息安全事件处理流程 ■报告 级别C（最低级 防火墙系统日志文件侦测 判断标准为：计 到许多被系统拒绝的攻击 ■找出解决方案 算机系统遭到非 或探测企图 事件结束 法攻击，但被成 应用服务器系统登录日志 功阻止，没有造 文件显示有人企图用管理 成损失或损失很 员帐号登录，但登录失败。 轻微。 在防病毒软件日志中发现 （资产不遭受威 清除/隔离的病毒或恶意代 码日志。 胁) 7．安全事件处理流程 当在此流程中遇到安全事件时，以下定义的A、B、C三个事件处理流程做 为安全事件技术处理的子流程，相关事件处理流程、事件升级和汇报办法应制定 相关的实发事件应急预案。 7.1.A级事件处理流程 职责 A级事件 工作要求/控制点* 备注 责任人/部门 判断标准为：计算机系统已 1、信息人员 经遭到非法攻击，并造成严 开始 重损失。 （资产已经遭受威胁） 报告我司应急响应工作小 1、信息人员 组、信息中心或其他领导 报告 第6页共15页 信息安全事件处理流程 职.责 A级事件 工作要求/控制点* 备注 责任人/部门 1、信息人员 备份受影响的服务器或设 2、相关管理员 备的所有事务日志以及在 备份 内存和缓冲区内的数据。 1、信息人员 把受影响的服务器或设备 2、相关管理员 进行隔离，并关闭所有网络 隔离 访问接入点（网关、防火墙、 拨号交换机等)。 1、信息人员 1、分析安全事件类型 2、相关管理员 2、分析安全事件排障方法 3、预测和确认入侵方法及 现场分析处理 时间 4、统计威胁造成的严重性 N 5、制定解决方案并处理 6、如果不能解决，则转入 联系第三方 1、信息人员 我司所有机构和部门安全 联系第三方安全咨询公 2、相关管理员 管理员、相关系统管理员和 司、安全顾问、安全专 第三方共同找出解决方案 家和安全、系统厂商等 1、信息人员 通知市信安办，并按照安全 2、相关管理员 事件类型择情向公安机关 通知市网络与信息安全 3、市信安办 报警。重大事件需上报省 办公室，协助排障。择 4、公安局 局。 情报警和上报省局。 1、信息人员 将系统恢复到日常运行状 2、相关管理员 态，恢复被黑客修改的数据 和文件； 3、市信安办 恢复日常状态 安装系统 patch,修补系统 漏洞，通知相应的人员； 此次事件所有恢复系统的 行为都应该记录在案。 第7页共15页