DB11北京市市場(chǎng)監(jiān)督管理局發(fā)布I 1 1 1 2 3 6 8 附錄A（資料性附錄）北京市某 附錄B（資料性附錄）北京市某 附錄C（資料性附錄）北京市某 1政務(wù)部門(mén)信息安全應(yīng)急預(yù)案編制指南凡是不注日期的引用文件，其最新版本（包括所有的修改單）GB/T20984信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估GB/T20985.1—2017信息技術(shù)安全技術(shù)信息安全事件管理第1部分：事件管理原理GB/Z20986—2007信息安全技術(shù)信息安全事件分類(lèi)分級(jí)GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本GB/T22240信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定GB/T24363—2009信息安全技術(shù)信息安全應(yīng)急響應(yīng)計(jì)劃GB/T25069—2010信息安全技術(shù)術(shù)語(yǔ)GB/T31509信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)GB/T32926信息安全技術(shù)政府部門(mén)信息技術(shù)服務(wù)外包信息安全管理2注：《中華人民共和國(guó)網(wǎng)絡(luò)安全法》規(guī)定：國(guó)家對(duì)公共通信和信息服務(wù)、具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定，包括但不限于提供公共通信能源、金融、交通、教育、科研、水利、工業(yè)制造、醫(yī)療衛(wèi)生、社4應(yīng)急預(yù)案體系4.1應(yīng)急預(yù)案體系架構(gòu)現(xiàn)場(chǎng)處現(xiàn)場(chǎng)處置方案政務(wù)部門(mén)信息安全總體應(yīng)急預(yù)案信息安全事件專(zhuān)項(xiàng)預(yù)案有害程序事件應(yīng)急預(yù)案信息安全事件專(zhuān)項(xiàng)預(yù)案有害程序事件應(yīng)急預(yù)案信息破壞事件應(yīng)急預(yù)案信息內(nèi)容安全事件應(yīng)急預(yù)案設(shè)備設(shè)施故障事件應(yīng)急預(yù)案其他事件應(yīng)急預(yù)案關(guān)鍵信息基礎(chǔ)設(shè)施專(zhuān)項(xiàng)預(yù)案OA系統(tǒng)應(yīng)急預(yù)案業(yè)務(wù)系統(tǒng)應(yīng)急預(yù)案檔案系統(tǒng)應(yīng)急預(yù)案財(cái)務(wù)系統(tǒng)應(yīng)急預(yù)案其他系統(tǒng)應(yīng)急預(yù)案重大活動(dòng)信息安全保障預(yù)案節(jié)假日應(yīng)急預(yù)案重大活動(dòng)應(yīng)急預(yù)案其他應(yīng)急保障預(yù)案政務(wù)部門(mén)信息安全專(zhuān)項(xiàng)應(yīng)急預(yù)案34.2政務(wù)部門(mén)信息安全總體應(yīng)急預(yù)案4.2.1政務(wù)部門(mén)信息安全總體應(yīng)急預(yù)案是根據(jù)上級(jí)應(yīng)急預(yù)案要求，針對(duì)信息安全事件綜合性的應(yīng)急響4.2.2政務(wù)部門(mén)信息安全總體應(yīng)急預(yù)案應(yīng)明確各政4.3政務(wù)部門(mén)信息安全專(zhuān)項(xiàng)應(yīng)急預(yù)案4.3.1政務(wù)部門(mén)信息安全專(zhuān)項(xiàng)應(yīng)急預(yù)案是對(duì)某種類(lèi)型或某幾種類(lèi)型的信息安全事件、對(duì)關(guān)鍵信息基礎(chǔ)4.3.2政務(wù)部門(mén)信息安全專(zhuān)項(xiàng)應(yīng)急預(yù)案是總體預(yù)案的細(xì)化，應(yīng)對(duì)應(yīng)急人員、應(yīng)急流程、保障措施提出4.4現(xiàn)場(chǎng)處置方案5.1基本流程應(yīng)急體系調(diào)查業(yè)務(wù)影響分析應(yīng)急預(yù)案編制應(yīng)急體系調(diào)查業(yè)務(wù)影響分析應(yīng)急預(yù)案編制啟動(dòng)應(yīng)急預(yù)案編制風(fēng)險(xiǎn)評(píng)估應(yīng)急資源和能力評(píng)估應(yīng)急預(yù)案評(píng)審應(yīng)急預(yù)案發(fā)布及備案應(yīng)急預(yù)案管理與維護(hù)45.2啟動(dòng)應(yīng)急預(yù)案編制5.2.2制定應(yīng)急預(yù)案編制計(jì)劃，明確各小組的職責(zé)及接口人，外聘專(zhuān)家名單；預(yù)案編制計(jì)劃時(shí)間表及5.3應(yīng)急體系調(diào)查5.3.1收集了解政務(wù)部門(mén)的基本情況、組織環(huán)境、現(xiàn)有的應(yīng)急體系等信息；收集已有的應(yīng)急預(yù)案、已發(fā)生應(yīng)急事件及處置手段和方法及其他應(yīng)急相關(guān)資料；評(píng)估現(xiàn)有應(yīng)急體系——已有的應(yīng)急預(yù)案，包括正在使用及廢棄的5.4風(fēng)險(xiǎn)評(píng)估5.4.1風(fēng)險(xiǎn)評(píng)估是編制應(yīng)急預(yù)案關(guān)鍵過(guò)程，風(fēng)險(xiǎn)評(píng)估的結(jié)果是確定重點(diǎn)考慮的應(yīng)急對(duì)象，劃分應(yīng)急響應(yīng)優(yōu)先級(jí)的依據(jù)，政務(wù)部門(mén)應(yīng)結(jié)合已有的安全措施和結(jié)合風(fēng)險(xiǎn)評(píng)5.4.2風(fēng)險(xiǎn)評(píng)估工作應(yīng)按照GB/T20984和GB/T31509的要求，完成以下工作：5.5業(yè)務(wù)影響分析業(yè)務(wù)影響分析應(yīng)分析信息安全事件發(fā)生時(shí)所產(chǎn)生的損失和恢復(fù)所需信息系統(tǒng)資源，并符合GB/T5.6應(yīng)急資源和能力評(píng)估急響應(yīng)工作中可投入使用的物質(zhì)資源，包括資源的類(lèi)型、功能、作5等，重點(diǎn)評(píng)估各應(yīng)急崗位投入人員的數(shù)量、人員的技術(shù)能力和相應(yīng)急支援流程、應(yīng)急資源的統(tǒng)一調(diào)配流程、以往信息安全事件及處理經(jīng)5.7應(yīng)急預(yù)案編制合實(shí)際工作，完成應(yīng)急預(yù)案的編制。應(yīng)急預(yù)案應(yīng)符合以5.8應(yīng)急預(yù)案評(píng)審5.8.1應(yīng)急預(yù)案編制完成后，政務(wù)部門(mén)應(yīng)對(duì)應(yīng)急預(yù)案的適用性、科學(xué)性、合理性、針對(duì)性及規(guī)范性進(jìn)5.8.2政務(wù)部門(mén)內(nèi)與信息安全應(yīng)急管理相關(guān)的人員對(duì)應(yīng)急預(yù)案應(yīng)進(jìn)行內(nèi)部審查，審查應(yīng)包括但不限于5.8.3應(yīng)組織政務(wù)部門(mén)外信息安全、應(yīng)急保障、應(yīng)急管理等領(lǐng)域的專(zhuān)業(yè)人員成立的預(yù)案評(píng)審組對(duì)應(yīng)急5.9應(yīng)急預(yù)案發(fā)布及備案65.10應(yīng)急預(yù)案管理和維護(hù)5.10.1正式發(fā)布的應(yīng)急預(yù)案文檔的管理，應(yīng)符合以下要求：6.1.2總體應(yīng)急預(yù)案應(yīng)根據(jù)有關(guān)應(yīng)急預(yù)案體系的要求，全面考慮，科學(xué)劃分事件等級(jí)，覆蓋應(yīng)急全過(guò)程。政務(wù)部門(mén)信息安全總體應(yīng)急預(yù)案可——工作原則：應(yīng)急工作的原則應(yīng)簡(jiǎn)明扼要，明確系統(tǒng)損失程度和社會(huì)影響程度等實(shí)際情況，對(duì)應(yīng)急預(yù)角色及職責(zé)應(yīng)符合GB/T24363—20076.5.1政務(wù)部門(mén)應(yīng)加強(qiáng)信息安全監(jiān)測(cè)、預(yù)防和預(yù)警工作，信息安全事件的監(jiān)測(cè)方式方法，預(yù)防和6.5.2政務(wù)部門(mén)應(yīng)建立信息安全事件報(bào)告和通報(bào)制度，規(guī)定發(fā)生信息安全事件后，應(yīng)立即向應(yīng)急件級(jí)別，上報(bào)應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組、相關(guān)主管或監(jiān)管單位的要對(duì)響應(yīng)級(jí)別的調(diào)整等都應(yīng)具體要求，基本要6.7.1應(yīng)急響應(yīng)工作結(jié)束后，應(yīng)對(duì)信息安全事件造成的損失和影響以及恢復(fù)重建能力進(jìn)行分析評(píng)估，8——應(yīng)急預(yù)案實(shí)施：應(yīng)急預(yù)案發(fā)布與實(shí)施的具體時(shí)間以及負(fù)責(zé)制定與解釋的部門(mén)?！嘘P(guān)協(xié)議或備忘錄：應(yīng)包括與相關(guān)應(yīng)急救援進(jìn)行應(yīng)急組織、流程和技術(shù)保障措施的設(shè)計(jì)。政務(wù)部門(mén)信息安全專(zhuān)項(xiàng)應(yīng)急預(yù)案可參見(jiàn)附錄B。9——信息安全事件可能引發(fā)的次生、衍生信息安全——信息安全事件對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)運(yùn)行產(chǎn)生的危害程度及影響范圍。對(duì)專(zhuān)項(xiàng)預(yù)案的宣傳教育和信息安全相關(guān)知識(shí)培訓(xùn)等工作提出要求，包括對(duì)信息化工作人員定期培保管人，應(yīng)急專(zhuān)用工具操作指導(dǎo)書(shū)，機(jī)房相關(guān)平面布置8.1.1現(xiàn)場(chǎng)處置方案應(yīng)組織各類(lèi)信息安全的專(zhuān)業(yè)組織和技術(shù)專(zhuān)家、部門(mén)運(yùn)維技術(shù)人員共同參與制定，8.1.2應(yīng)針對(duì)發(fā)生的信息安全事件，從技術(shù)操作的角度加以規(guī)范，明確處置原則和具體處置步驟，細(xì)A.1.1編制目的A.1.2編制依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)突發(fā)事件應(yīng)對(duì)法》、《北京市實(shí)施<中華人民共和國(guó)突發(fā)事件應(yīng)對(duì)法>辦法》、《北京市信息化促進(jìn)條例》等法律法規(guī)，《國(guó)家突發(fā)公共事件總體應(yīng)急A.1.3工作原則A.1.4事件分類(lèi)分級(jí)A.1.4.1事件分類(lèi)障事件、災(zāi)害性事件、其他信息安全事件，每個(gè)基本分類(lèi)（1）有害程序事件分為計(jì)算機(jī)病毒事件、蠕蟲(chóng)事件、特洛伊木馬事件（3）信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失（4）信息內(nèi)容安全事件是指通過(guò)網(wǎng)絡(luò)傳播法律法規(guī)禁止信息，組織非作敏感問(wèn)題并危害國(guó)家安全、社會(huì)穩(wěn)定和公眾利益（6）災(zāi)害性事件是指由自然災(zāi)害等其他突發(fā)事件導(dǎo)致A.1.4.2事件分級(jí)重大(Ⅰ級(jí))、重大(Ⅱ級(jí))、較大(Ⅲ級(jí))、一般(Ⅳ級(jí)）、較小（自管級(jí)）事件。涉及特別重大(Ⅰ級(jí))、級(jí)信息化部門(mén)負(fù)責(zé)一般(Ⅳ級(jí)）、較小（自管級(jí)）信息安全事件的處置工作。特別重大(Ⅰ級(jí))、重大(Ⅱ級(jí))、較大(Ⅲ級(jí))信息安全事件的分級(jí)標(biāo)準(zhǔn)參照《北京市網(wǎng)絡(luò)與信息安一般(Ⅳ級(jí)）信息安全事件：②網(wǎng)站或信息系統(tǒng)被惡意入侵，被攻擊者植入木馬、暗鏈、后門(mén)等，存在嚴(yán)重的安全隱患；③等保二級(jí)信息系統(tǒng)中斷2小時(shí)以?xún)?nèi)，業(yè)務(wù)受到影響；等保三級(jí)信息系統(tǒng)中斷30分鐘以?xún)?nèi)，業(yè)務(wù)受②由于各種原因?qū)е碌母黝?lèi)系統(tǒng)中斷、服務(wù)中斷、設(shè)備故障等安全事件；③未達(dá)到一般信息安全事件(Ⅳ級(jí)）條件的事件為自管級(jí)事件。A.1.5適用范圍本預(yù)案適用于北京市某局信息安全事件的總體預(yù)防和處A.2組織機(jī)構(gòu)與職責(zé)A.2.1信息安全領(lǐng)導(dǎo)小組A.2.2信息安全工作保障組系統(tǒng)進(jìn)行安全性評(píng)估及測(cè)試；負(fù)責(zé)安全管理人員的培A.2.3信息安全實(shí)施組A.2.4信息安全日常運(yùn)行組A.2.5信息安全專(zhuān)家組動(dòng)應(yīng)急響應(yīng)的建議，分析信息安全事件的原因及造成的危害，為應(yīng)急響應(yīng)提供技術(shù)支A.3監(jiān)測(cè)預(yù)警A.3.1監(jiān)測(cè)A.3.1.1風(fēng)險(xiǎn)評(píng)估A.3.2預(yù)警響應(yīng)A.4應(yīng)急響應(yīng)A.4.1事件發(fā)現(xiàn)和匯報(bào)A.4.2先期處置（1）控制事態(tài)發(fā)展，防控蔓延。責(zé)任單位根據(jù)需要及時(shí)（2）及時(shí)報(bào)告信息。在先期處置的同時(shí)要按照預(yù)案要求，及時(shí)向（3）盡快分析事件發(fā)生原因，根據(jù)信息系統(tǒng)運(yùn)行和承載業(yè)（5）信息安全工作組在接報(bào)事件信息后及時(shí)掌握事件的發(fā)展A.4.3基本響應(yīng)A.4.4分級(jí)響應(yīng)對(duì)于特別重大(Ⅰ級(jí))、重大(Ⅱ級(jí))、較大(Ⅲ級(jí))信息安全事件的應(yīng)急響應(yīng)按照《北京市網(wǎng)絡(luò)與信①跟蹤事態(tài)發(fā)展。信息安全實(shí)施組及時(shí)將事態(tài)發(fā)展變化情況③及時(shí)通報(bào)情況。信息安全工作小組負(fù)責(zé)匯總上述有關(guān)情況報(bào)信息安全領(lǐng)導(dǎo)小組及市級(jí)信息化部置工作；信息安全實(shí)施組負(fù)責(zé)將事件信息、處置進(jìn)展情況本單位的應(yīng)急處置能力時(shí)，應(yīng)及時(shí)提升響應(yīng)等級(jí)，報(bào)上級(jí)業(yè)務(wù)A.4.5應(yīng)急結(jié)束A.5后期處置A.5.1系統(tǒng)重建A.5.2事件總結(jié)信息安全實(shí)施小組據(jù)處置報(bào)告，總結(jié)經(jīng)驗(yàn)教訓(xùn)，建立事件案A.6保障措施A.6.1技術(shù)支撐隊(duì)伍保障機(jī)構(gòu)的聯(lián)系，確保必要時(shí)能夠有效調(diào)動(dòng)機(jī)關(guān)團(tuán)體、企A.6.2經(jīng)費(fèi)保障A.7宣傳、培訓(xùn)和演練A.7.1宣傳教育A.7.2培訓(xùn)A.7.3演練A.8.1預(yù)案制定與解釋A.8.2預(yù)案審核A.8.3預(yù)案修訂A.8.4預(yù)案實(shí)施A.9.1信息安全事件應(yīng)急處置流程圖A.9.2信息安全領(lǐng)導(dǎo)小組名單A.9.3信息安全工作組名單A.9.4信息安全實(shí)施組A.9.5信息系統(tǒng)及責(zé)任人列表A.9.6信息安全應(yīng)急事件通報(bào)表應(yīng)急響應(yīng)處理，協(xié)助安全運(yùn)行維護(hù)單位解決安全維護(hù)各部門(mén)單位負(fù)責(zé)配合安全運(yùn)行維護(hù)單位和信息系統(tǒng)網(wǎng)絡(luò)維護(hù)單位進(jìn)行網(wǎng)頁(yè)篡改事件的應(yīng)急處理工掛馬/暗鏈?zhǔn)录壕W(wǎng)站被篡改的內(nèi)容用戶(hù)通過(guò)瀏覽器不可見(jiàn)，但植入的代碼會(huì)工具，掛馬、暗鏈檢查工具，硬件主要有應(yīng)急筆記本和移動(dòng)硬盤(pán)，筆記本要安裝好上（1）分析網(wǎng)站訪問(wèn)日志，查找攻擊者攻擊的過(guò)程，包括實(shí)施的掃描、利用的漏洞及篡改的時(shí)間。事件通報(bào)應(yīng)急準(zhǔn)備現(xiàn)場(chǎng)處置日志分析現(xiàn)場(chǎng)了解情況服務(wù)器檢查入侵跟蹤日志分析現(xiàn)場(chǎng)了解情況服務(wù)器檢查入侵跟蹤網(wǎng)站代碼審查確認(rèn)利用漏洞確認(rèn)利用漏洞其它漏洞目錄遍歷漏洞跨站腳本執(zhí)行漏洞遠(yuǎn)程命令執(zhí)行漏洞網(wǎng)頁(yè)上傳漏洞SQL注入漏洞制定處置策略確認(rèn)事件詳情其它漏洞目錄遍歷漏洞跨站腳本執(zhí)行漏洞遠(yuǎn)程命令執(zhí)行漏洞網(wǎng)頁(yè)上傳漏洞SQL注入漏洞制定處置策略確認(rèn)事件詳情緩沖區(qū)溢出漏洞恢復(fù)系統(tǒng)分析總結(jié)，上報(bào)處理結(jié)果——網(wǎng)站基本情況：網(wǎng)站域名、IP地址、責(zé)任單位、軟件開(kāi)發(fā)單位、硬件廠商、日常運(yùn)維和安全——網(wǎng)站開(kāi)發(fā)運(yùn)行環(huán)境：網(wǎng)站使用的開(kāi)發(fā)平臺(tái)和編程語(yǔ)言、網(wǎng)站服務(wù)器操作系統(tǒng)類(lèi)型及版本、web服務(wù)器軟件類(lèi)型及版本、后臺(tái)數(shù)據(jù)庫(kù)軟件類(lèi)型及版本、內(nèi)容管理系統(tǒng)（CMS）相關(guān)情——網(wǎng)站服務(wù)器備份：對(duì)網(wǎng)站服務(wù)器硬件、網(wǎng)站源代碼、數(shù)據(jù)庫(kù)等進(jìn)行備份。地址信息與實(shí)際不一致，則通過(guò)正確的IP地址訪步驟二：判斷是否由于遭受局域網(wǎng)ARP攻擊造成網(wǎng)頁(yè)被“偽”步驟三：分析日志，確認(rèn)攻擊方式。通過(guò)分析可以對(duì)通過(guò)web應(yīng)用系統(tǒng)實(shí)施攻擊進(jìn)行準(zhǔn)確判次事件可能是利用未知的安全漏洞實(shí)施，需要進(jìn)行更加擊并獲得了系統(tǒng)控制權(quán)限后，是否安裝了后更難以判斷。因此還需進(jìn)行一系列的事后處置工作，具體包