政務(wù)部門信息安全應(yīng)急預(yù)案編制指南Preparationguidelinesforgovernmentdepartments'informationse2018-12-17發(fā)布北京市市場監(jiān)督管理局發(fā)布I前言 1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14應(yīng)急預(yù)案體系 25應(yīng)急預(yù)案編制流程 36總體應(yīng)急預(yù)案基本內(nèi)容 67專項應(yīng)急預(yù)案基本內(nèi)容 88現(xiàn)場處置方案基本內(nèi)容 附錄A(資料性附錄)北京市某局信息安全事件總體應(yīng)急預(yù)案示例 附錄B(資料性附錄)北京市某局網(wǎng)頁篡改事件專項應(yīng)急預(yù)案示例 附錄C(資料性附錄)北京市某局網(wǎng)頁篡改事件現(xiàn)場處置方案示例 22本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由北京市經(jīng)濟(jì)和信息化局提出并歸口。本標(biāo)準(zhǔn)由北京市經(jīng)濟(jì)和信息化局組織實施。本規(guī)范起草單位：北京市政務(wù)信息安全應(yīng)急處置中心、中國科學(xué)院信息工程研究所、北京郵電大學(xué)。本規(guī)范主要起草人：王宗君、劉鵬、劉國偉、郭子亮、康振、魏彬、劉寶旭、王樅、劉建毅、劉濤、郭立生、楊澤明、榮曉燕、肖靜、王漢臣。1凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T20984信息安全技術(shù)信息安全風(fēng)險評估規(guī)范GB/T20985.1—2017信息技術(shù)安全技術(shù)信息安全事件管理第1部分：事件管理原理GB/Z20986—2007信息安全技術(shù)信息安全事件分類分級指南GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求GB/T22240信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南GB/T24363—2009信息安全技術(shù)信息安全應(yīng)急響應(yīng)計劃規(guī)范GB/T25069—2010信息安全技術(shù)術(shù)語GB/T31509信息安全技術(shù)信息安全風(fēng)險評估實施指南GB/T32926信息安全技術(shù)政府部門信息技術(shù)服務(wù)外包信息安全管理規(guī)范由計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)[GB/Z20986—2007,定義2.2]2DB11/T1599—一種關(guān)于備份、應(yīng)急響應(yīng)和災(zāi)后恢復(fù)的計劃。[GB/T25069—2010,定義2.2.3.4]關(guān)鍵信息基礎(chǔ)設(shè)施criticalinf益的信息設(shè)施。注：《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定：國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實行重點保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國務(wù)院制定，包括但不限于提供公共通信、廣播電視傳輸?shù)确?wù)的基礎(chǔ)信息網(wǎng)絡(luò)，能源、金融、交通、教育、科研、水利、工業(yè)制造、醫(yī)療衛(wèi)生、社會保障、公用事業(yè)等領(lǐng)域和國家機(jī)關(guān)的重要信息系統(tǒng)，重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)。4應(yīng)急預(yù)案體系政務(wù)部門信息安全總體應(yīng)急預(yù)案政務(wù)部門信息安全總體應(yīng)急預(yù)案i1政務(wù)部門信息安全專項應(yīng)急預(yù)案現(xiàn)場處置方案i1圖1政務(wù)部門信息安全應(yīng)急預(yù)案體系3啟動應(yīng)急預(yù)案編制啟動應(yīng)急預(yù)案編制應(yīng)急體系調(diào)查風(fēng)險評估業(yè)務(wù)影響分析應(yīng)急資源和能力評估應(yīng)急預(yù)案編制應(yīng)急預(yù)案評審應(yīng)急預(yù)案發(fā)布及備案應(yīng)急預(yù)案管理與維護(hù)45.2.2制定應(yīng)急預(yù)案編制計劃，明確各小組的職責(zé)及接口人，外聘專家名單；預(yù)案編制計劃時間表及5.3.1收集了解政務(wù)部門的基本情況、組織環(huán)境、現(xiàn)有的應(yīng)急體系等信息；收集已有的應(yīng)急預(yù)案、已發(fā)生應(yīng)急事件及處置手段和方法及其他應(yīng)急相關(guān)資料；評估現(xiàn)有應(yīng)急——應(yīng)急處置事件總結(jié)，包括原因、過程、處——現(xiàn)有應(yīng)急體系分析、評價。5.4.1風(fēng)險評估是編制應(yīng)急預(yù)案關(guān)鍵過程，風(fēng)險評估的結(jié)果是確定重點考慮的應(yīng)急對象，劃分應(yīng)急響應(yīng)優(yōu)先級的依據(jù)，政務(wù)部門應(yīng)結(jié)合己有的安全措施和結(jié)合風(fēng)險評估的結(jié)果確定應(yīng)急響應(yīng)工作的重點。5.4.2風(fēng)險評估工作應(yīng)按照GB/T20984和GB/T31509的要求，完成以下工作：——對殘余風(fēng)險及其可能導(dǎo)致的后果進(jìn)行評估。業(yè)務(wù)影響分析應(yīng)分析信息安全事件發(fā)生時所產(chǎn)生的損失和恢復(fù)所需信息系統(tǒng)資源，并符合GB/T22239和GB/T22240中所規(guī)定的要求，包括但不限于以下內(nèi)容：——業(yè)務(wù)現(xiàn)狀分析，明確業(yè)務(wù)流程、功能、渠道和連續(xù)性；5——人力資源評估：應(yīng)評估在信息安全應(yīng)急響應(yīng)工作中可以投入的人力資源、組織架構(gòu)、技術(shù)支撐等，重點評估各應(yīng)急崗位投入人員的數(shù)量、人員的技術(shù)能力和相關(guān)經(jīng)驗；——技術(shù)資源評估：應(yīng)評估在信息安全應(yīng)急響應(yīng)工作中的技術(shù)資源，包括采用的安全技術(shù)和安全產(chǎn)品，以及安全產(chǎn)品之間的互補(bǔ)性及可能存在的缺陷等；——流程資源評估：應(yīng)評估信息安全應(yīng)急響應(yīng)工作中現(xiàn)有的流程資源，包括明確資產(chǎn)和安全風(fēng)險、應(yīng)急響應(yīng)工作的職責(zé)分配、現(xiàn)有的應(yīng)急預(yù)案和災(zāi)難恢復(fù)計劃、應(yīng)急社會網(wǎng)絡(luò)和其他應(yīng)急機(jī)構(gòu)的應(yīng)急支援流程、應(yīng)急資源的統(tǒng)一調(diào)配流程、以往信息安全事件及處理經(jīng)驗等；——外包服務(wù)商評估：評估外包服務(wù)商在實際操作中的能力和應(yīng)急響應(yīng)程度，包括但不限于服務(wù)商資質(zhì)、應(yīng)急響應(yīng)能力、應(yīng)急響應(yīng)物資等，并按照GB/T32926對外包服務(wù)商進(jìn)行安全評估。應(yīng)急預(yù)案編制應(yīng)符合信息安全相關(guān)法律法規(guī)、標(biāo)準(zhǔn)和其他應(yīng)急預(yù)案編制的相關(guān)要求，政務(wù)部門應(yīng)結(jié)合實際工作，完成應(yīng)急預(yù)案的編制。應(yīng)急預(yù)案應(yīng)符合以下要求：——應(yīng)符合信息安全相關(guān)法律法規(guī)，國家應(yīng)合規(guī)國家、行業(yè)和地方標(biāo)準(zhǔn)的相關(guān)要求；——應(yīng)合規(guī)、準(zhǔn)確、完整；——應(yīng)方便查閱；——在緊急情況啟用時應(yīng)便于實施。5.8.1應(yīng)急預(yù)案編制完成后，政務(wù)部門應(yīng)對應(yīng)急預(yù)案的適用性、科學(xué)性、合理性、針對性及規(guī)范性進(jìn)行審核。應(yīng)急預(yù)案的審核分為內(nèi)部審核和專家評審，審核后應(yīng)及時根據(jù)評審意見對應(yīng)急預(yù)案進(jìn)行修訂。5.8.2政務(wù)部門內(nèi)與信息安全應(yīng)急管理相關(guān)的人員對應(yīng)急預(yù)案應(yīng)進(jìn)行內(nèi)部審查，審查應(yīng)包括但不限于以下內(nèi)容：——應(yīng)急組織體系；——應(yīng)急需求；——預(yù)案可操作性；——信息一致性：——有效性：——可控性；——文字內(nèi)容可讀性。5.8.3應(yīng)組織政務(wù)部門外信息安全、應(yīng)急保障、應(yīng)急管理等領(lǐng)域的專業(yè)人員成立的預(yù)案評審組對應(yīng)急預(yù)案進(jìn)行專家審查，評審組專家應(yīng)不少于5人，審查應(yīng)包括但不限于以下內(nèi)容：——應(yīng)急預(yù)案規(guī)范性；——應(yīng)急預(yù)案體系的合理性；——應(yīng)急處置過程風(fēng)險可控性：——應(yīng)急處置流程的科學(xué)性。5.9應(yīng)急預(yù)案發(fā)布及備案評審?fù)ㄟ^后的應(yīng)急預(yù)案應(yīng)按規(guī)定審批并正式發(fā)布。應(yīng)急預(yù)案發(fā)布后，政務(wù)部門應(yīng)組織相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)和演練，明確職責(zé)、分工、安全事件處置方法和流程等，并根據(jù)相關(guān)要求將應(yīng)急預(yù)案報有關(guān)部門備案。6——業(yè)務(wù)流程的變化、信息系統(tǒng)的變更、組織機(jī)構(gòu)調(diào)整、人員的變更及時在應(yīng)急預(yù)6.1基本內(nèi)容及編制要求應(yīng)急響應(yīng)的總體思路及應(yīng)急救援活動的組織協(xié)調(diào)等提6.1.2總體應(yīng)急預(yù)案應(yīng)根據(jù)有關(guān)應(yīng)急預(yù)案體系的要求，全面考慮，科學(xué)劃分事件等級，覆蓋應(yīng)急工作全過程。政務(wù)部門信息安全總體應(yīng)急預(yù)案可參見附錄A。6.2總則——編制依據(jù)：應(yīng)急預(yù)案編制依據(jù)的法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)和規(guī)范性文件以及相6.3.1按照GB/Z20986—2007第4章信息安全事件分類要求，政務(wù)部門應(yīng)根據(jù)信息安全事件的起因、表現(xiàn)和結(jié)果等實際情況，對應(yīng)急預(yù)案中的信息安全事件分類進(jìn)行適當(dāng)6.3.2按照GB/Z20986—2007第5章信息安全事件分級要求，政務(wù)部門應(yīng)根據(jù)信息系統(tǒng)的重要程度、系統(tǒng)損失程度和社會影響程度等實際情況，對應(yīng)急預(yù)案中的信息安全事件分級進(jìn)行適當(dāng)76.5預(yù)警及信息報送6.5.1政務(wù)部門應(yīng)加強(qiáng)信息安全監(jiān)測、預(yù)防和預(yù)警工作，信息安全事件的監(jiān)測方式方法，預(yù)防和預(yù)警工作應(yīng)符合GB/T24363—2009中6.4條的要求。6.5.2政務(wù)部門應(yīng)建立信息安全事件報告和通報制度，規(guī)定發(fā)生信息安全事件后，應(yīng)立即向應(yīng)急響應(yīng)日常運行小組報告，應(yīng)急響應(yīng)日常運行小組對信息安全事件進(jìn)行評估，明確事件的類別與級別，跟進(jìn)事件級別，上報應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組、相關(guān)主管或監(jiān)管單位的要求。6.6應(yīng)急響應(yīng)應(yīng)急響應(yīng)包括基本響應(yīng)、分級響應(yīng)、響應(yīng)程序、處置措施、應(yīng)急結(jié)束要求、應(yīng)急總結(jié)等內(nèi)容，對發(fā)生信息安全事件后所要采取的緊急措施，事件級別確定后的上報流程和分級響應(yīng)，根據(jù)應(yīng)急事件的變化對響應(yīng)級別的調(diào)整等都應(yīng)具體要求，基本要求如下：——基本響應(yīng)：應(yīng)規(guī)定當(dāng)發(fā)生信息安全事件后需首先開展的工作，包括緊急措施、事件識別、信息上報和情況通報等；——分級響應(yīng)：應(yīng)規(guī)定根據(jù)信息安全事件危害程度、影響范圍和對控制事態(tài)的能力，按照信息安全事件的分級啟動應(yīng)急響應(yīng)；——響應(yīng)程序：應(yīng)規(guī)定根據(jù)信息安全事件級別和發(fā)展態(tài)勢，啟動應(yīng)急指揮機(jī)構(gòu)、調(diào)配應(yīng)急資源、應(yīng)急救援及擴(kuò)大應(yīng)急等響應(yīng)程序；——處置措施：應(yīng)規(guī)定根據(jù)信息安全事件風(fēng)險、信息安全事件危害程度和影響范圍制定的應(yīng)急處置措施原則和具體要求；——應(yīng)急結(jié)束：應(yīng)規(guī)定現(xiàn)場應(yīng)急響應(yīng)結(jié)束的基本條件和要求；——應(yīng)急總結(jié)：應(yīng)規(guī)定收集、整理和記錄信息安全事件過程的各種相關(guān)信息，對應(yīng)上報的事件應(yīng)規(guī)定準(zhǔn)備的相關(guān)材料和上報的部門。6.7后期處置6.7.1應(yīng)急響應(yīng)工作結(jié)束后，應(yīng)對信息安全事件造成的損失和影響以及恢復(fù)重建能力進(jìn)行分析評估，根據(jù)評估結(jié)果制定相應(yīng)的系統(tǒng)加固方案，通過版本升級、漏洞修復(fù)、修改安全配置和增加安全機(jī)制等方法，對系統(tǒng)的安全性進(jìn)行加強(qiáng)或?qū)ο到y(tǒng)進(jìn)行重建。6.7.2應(yīng)急響應(yīng)總結(jié)宜按照GB/T20985.1—2007中5.6條的要求，總結(jié)應(yīng)急響應(yīng)工作，具體要求包括但不限于以下內(nèi)容：——分析和總結(jié)事件發(fā)生的原因：——分析和總結(jié)事件的現(xiàn)象：——評估系統(tǒng)的損壞程度：——評估事件導(dǎo)致的損失；——分析和總結(jié)應(yīng)急處置記錄；——評審應(yīng)急響應(yīng)計劃的效果和效率，提出改進(jìn)建議；——評審應(yīng)急響應(yīng)措施的效果和效率，提出改進(jìn)建議；——對相關(guān)單位和人員的表彰和懲罰。6.8保障措施保障措施包括應(yīng)急隊伍的保障、應(yīng)急通信保障、專業(yè)應(yīng)急設(shè)備保障及重要數(shù)據(jù)備份保障等內(nèi)容，保障措施基本內(nèi)容如下：8DB11/T1599—6.9監(jiān)督管理——應(yīng)急預(yù)案演練：不同類型應(yīng)急預(yù)案演練的形式、范圍、頻次、內(nèi)容、演練評估——應(yīng)急預(yù)案修訂：應(yīng)急預(yù)案修訂的基本要求和修——應(yīng)急預(yù)案實施：應(yīng)急預(yù)案發(fā)布與實施的具體時間以及負(fù)責(zé)制定與解釋的部門?！獞?yīng)急信息接報、處理、上報等規(guī)范化格式文本：信息安全事件報告文本內(nèi)容應(yīng)包括單位名稱、——有關(guān)協(xié)議或備忘錄：應(yīng)包括與相關(guān)應(yīng)急救援部門簽訂的應(yīng)急救援協(xié)議或備忘錄。進(jìn)行應(yīng)急組織、流程和技術(shù)保障措施的設(shè)計。政務(wù)部門信息安全專項應(yīng)急預(yù)案可參見附錄B。7.2總則9應(yīng)對關(guān)鍵信息基礎(chǔ)設(shè)施或重大活動保障發(fā)生某種具體或特定類型信息安全事件的可能——信息安全事件對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)運行產(chǎn)生的危害程度及影響范圍。7.5應(yīng)急響應(yīng)流程7.7保障措施對專項預(yù)案的宣傳教育和信息安全相關(guān)知識培訓(xùn)等工作提出要求，包括對信息化工作人員定期培——應(yīng)急物資裝備的名錄或清單：包括應(yīng)急預(yù)案涉及的主要物資和裝備名稱、型號、性能、數(shù)量、保管人，應(yīng)急專用工具操作指導(dǎo)書，機(jī)房相關(guān)平面DB11/T1599—8現(xiàn)場處置方案基本內(nèi)容8.1.1現(xiàn)場處置方案應(yīng)組織各類信息安全的專業(yè)組織和技術(shù)專家、部門運維技術(shù)人員共同參與制定，對應(yīng)急處置中的各個方面提出的具體細(xì)致的要求，確保其針對性和指導(dǎo)性。現(xiàn)場處置方案可參見附錄C。8.1.2應(yīng)針對發(fā)生的信息安全事件，從技術(shù)操作的角度加以規(guī)范，明確處置原則和具體處置步驟，細(xì)化各類作業(yè)指導(dǎo)書、操作手冊及故障排除方案?，F(xiàn)場處置方案要包括但不限于：——惡意進(jìn)程檢查作業(yè)指導(dǎo)書；——病毒木馬檢查作業(yè)指導(dǎo)書；——數(shù)據(jù)恢復(fù)作業(yè)指導(dǎo)書；——系統(tǒng)遷移作業(yè)指導(dǎo)書：——拒絕服務(wù)攻擊事件作業(yè)指導(dǎo)書；——網(wǎng)絡(luò)及安全設(shè)備配置變更操作手冊；——硬件故障應(yīng)急處置手冊；——網(wǎng)絡(luò)故障應(yīng)急處置手冊。(資料性附錄)北京市某局信息安全事件總體應(yīng)急預(yù)案示例A.1總則《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國突發(fā)事件應(yīng)對法》、《北京市實施<中華人民共和國突發(fā)事件應(yīng)對法>辦法》、《北京市信息化促進(jìn)條例》等法律法規(guī)，《國家突發(fā)公共事件總體應(yīng)急A.1.4事件分類分級A.1.4.1事件分類障事件、災(zāi)害性事件、其他信息安全事件，每個基本分類可以分別包(1)有害程序事件分為計算機(jī)病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合程序(2)網(wǎng)絡(luò)攻擊事件分為拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、(3)信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失(4)信息內(nèi)容安全事件是指通過網(wǎng)絡(luò)傳播法律法規(guī)禁止信息，組織非法串聯(lián)、煽動集會游行或炒(5)設(shè)備設(shè)施故障分為軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障。(6)災(zāi)害性事件是指由自然災(zāi)害等其他突發(fā)事件導(dǎo)致的網(wǎng)絡(luò)與信息安全事件。(7)其他事件類別是指不能歸為以上6個基本分類的信息安全事件。A.1.4.2事件分級按照GB/Z20986—2007《信息安全技術(shù)信息安全事件分類分級指南》第5章信息安全事件分級及電重大(I級)、重大(Ⅱ級)、較大(IⅢ級)、一般(IV級)、較小(自管級)事件。涉及特別重大(1級)、級信息化部門負(fù)責(zé)一般(IV級)、較小(自管級)信息安全事件的處置工作。特別重大(I級)、重大(Ⅱ級)、較大(Ⅲ級)信息安全事件的分級標(biāo)準(zhǔn)參照《北京市網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》執(zhí)行。一般(IV級)信息安全事件：①網(wǎng)站或信息系統(tǒng)在非敏感時期發(fā)生的網(wǎng)頁篡改事件，被篡改內(nèi)容涉及反動標(biāo)③等保二級信息系統(tǒng)中斷2小時以內(nèi)，業(yè)務(wù)受到影響；等保三級信息系統(tǒng)中斷30分鐘以內(nèi)，業(yè)務(wù)受到影響；④對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成威脅、造成一定影響的事件。較小(自管級)信息安全事件：①敏感信息泄露，重要備份數(shù)據(jù)丟失等安全事件；③未達(dá)到一般信息安全事件(IV級)條件的事件為自管級事件。A.1.5適用范圍副組長：信息技術(shù)處處長重大信息安全事件。A.2.2信息安全工作保障組副組長：信息中心主任組長：信息技術(shù)處處長副組長：信息中心主任A.2.4信息安全日常運行組組長：信息中心主任A.2.5信息安全專家組動應(yīng)急響應(yīng)的建議，分析信息安全事件的原因及造成的危害，為應(yīng)急響應(yīng)A.3監(jiān)測預(yù)警A.3.1監(jiān)測A.3.2預(yù)警響應(yīng)A.4應(yīng)急響應(yīng)A.4.1事件發(fā)現(xiàn)和匯報徑上報局信息安全領(lǐng)導(dǎo)小組，事件詳細(xì)情況應(yīng)在4小時內(nèi)上報。A.4.2先期處置信息安全事件發(fā)生后(1)控制事態(tài)發(fā)展，防控蔓延。責(zé)任單位根據(jù)需要及時采取斷網(wǎng)(拔網(wǎng)線)等技術(shù)措施及時控制(2)及時報告信息。在先期處置的同時要按照預(yù)案要求，及時向上級主管部門匯報。(3)盡快分析事件發(fā)生原因，根據(jù)信息系統(tǒng)運行和承載業(yè)務(wù)情況，初步判斷事件的影響、危害和(4)做好事件發(fā)生、發(fā)展、處置的記錄和證據(jù)留存。在先期處置過程中應(yīng)盡量保留安全日志信息、(5)信息安全工作組在接報事件信息后及時掌握事件的發(fā)展情況，評估事件的影響和可能波及的A.4.3基本響應(yīng)A.4.4分級響應(yīng)對于特別重大(I級)、重大(Ⅱ級)、較大(Ⅲ級)信息安全事件的應(yīng)急響應(yīng)按照《北京市網(wǎng)絡(luò)與信處置過程中的配合和協(xié)助工作，上級預(yù)案有特殊規(guī)定的，按照上級預(yù)(1)啟動指揮體系(2)掌握事件動態(tài)①跟蹤事態(tài)發(fā)展。信息安全實施組及時將事態(tài)發(fā)展變化情況和處置進(jìn)展情況報信息安全領(lǐng)導(dǎo)組。響，組織相關(guān)人員對事態(tài)進(jìn)行研究，并根據(jù)需要組織對受到影響的③及時通報情況。信息安全工作小組負(fù)責(zé)匯總上述有關(guān)情況報信息安全領(lǐng)導(dǎo)小組及市級信息化部(3)處置實施②消除安全隱患。信息安全實施組盡快分析事件發(fā)生原因，并置工作；信息安全實施組負(fù)責(zé)將事件信息、處置進(jìn)展情A.4.4.3響應(yīng)升級本單位的應(yīng)急處置能力時，應(yīng)及時提升響應(yīng)等級，報上級業(yè)務(wù)主管部門，請求市級技術(shù)力量的協(xié)助。IV級響應(yīng)結(jié)束由信息安全工作組報信息安全領(lǐng)導(dǎo)A.5后期處置織制定恢復(fù)、整改或重建方案，報信息安全領(lǐng)導(dǎo)小組批準(zhǔn)后，報行業(yè)主管及信息化主管信息安全實施小組據(jù)處置報告，總結(jié)經(jīng)驗教訓(xùn)，建立事件案例庫，提出改進(jìn)工作的A.6保障措施A.6.1技術(shù)支撐隊伍保障機(jī)構(gòu)的聯(lián)系，確保必要時能夠有效調(diào)動機(jī)關(guān)團(tuán)體、企事業(yè)單位等保障力量，進(jìn)行技術(shù)支援。A.6.2經(jīng)費保障局信息中心，將信息安全事件預(yù)防和應(yīng)急工作列入年A.7宣傳、培訓(xùn)和演練A.7.1宣傳教育A.7.2培訓(xùn)A.7.3演練A.8預(yù)案管理A.8.2預(yù)案審核A.8.3預(yù)案修訂A.9.4信息安全實施組DB11/T1599—(資料性附錄)B.1總則B.1.2編制依據(jù)《北京市網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》《北京市某局信息安全事件總體應(yīng)急預(yù)案》B.1.3適用范圍B.2.2第三方安全服務(wù)機(jī)構(gòu)各部門單位負(fù)責(zé)配合安全運行維護(hù)單位和信息系統(tǒng)網(wǎng)絡(luò)維護(hù)單位進(jìn)行網(wǎng)頁篡改事件的應(yīng)急處理工B.3.1事件分類掛馬/暗鏈?zhǔn)录壕W(wǎng)站被篡改的內(nèi)容用戶通過瀏覽器不可見，B.3.3應(yīng)急啟動B.4應(yīng)急響應(yīng)值班人員發(fā)現(xiàn)并確認(rèn)網(wǎng)頁篡改事件后，應(yīng)立即對服務(wù)器進(jìn)行物理隔離(斷網(wǎng)),并將事件基本情況B.4.3分析確認(rèn)(1)分析網(wǎng)站訪問日志，查找攻擊者攻擊的過程，包括實施的掃描、利用的漏洞及篡改的時間。(2)利用專用工具掃描網(wǎng)站程序，查找攻擊者植入的木馬；(3)利用工具查看服務(wù)器賬戶、進(jìn)程、端口等信息，看攻擊者是否留有其他后門；(4)利用工具檢查網(wǎng)站是否有掛馬、暗鏈。B.4.4抑制根除(1)修復(fù)相關(guān)漏洞，清除被植入木馬，清除頁面中的掛馬、暗鏈；(3)部署防篡改軟件或者防篡改設(shè)備，也可將WAF防護(hù)設(shè)備開啟防篡改(4)妥善保存日志信息(單獨服務(wù)器存儲或者定期轉(zhuǎn)儲),強(qiáng)化安全防范措施。隱患后將網(wǎng)站重新投入使用，在上線后一定時期內(nèi)嚴(yán)密監(jiān)控信息系統(tǒng)，一旦發(fā)現(xiàn)異常B.5后期處置B.5.1跟蹤后續(xù)處理蹤后續(xù)處理情況。網(wǎng)頁篡改事件的應(yīng)急演練，確保專項應(yīng)急預(yù)案的有效實施，不斷提高應(yīng)急B.7預(yù)案的管理與更新變更、策略的更新及時對預(yù)案進(jìn)行修訂，修D(zhuǎn)B11/T現(xiàn)場了解情況服務(wù)器檢查月錄遍歷編洞跨站腳木執(zhí)行圍洞遠(yuǎn)程命令執(zhí)行制洞緩沖區(qū)溢出錘洞網(wǎng)頁上傳漏洲SQL注入漏洞其它漏洞分析總結(jié)。上報處(資料性附錄)——網(wǎng)站基本情況：網(wǎng)站域名、IP地址、責(zé)任單位、軟件開發(fā)單位、硬件廠商、日常運維和安全——網(wǎng)站開發(fā)運行環(huán)境：網(wǎng)站使用的開發(fā)平臺和編程語言、網(wǎng)站服務(wù)器操作系統(tǒng)類型及版本、web服務(wù)器軟件類型及版本、后臺數(shù)據(jù)庫軟件類型及版本、內(nèi)容管理系統(tǒng)(CMS)相關(guān)情況等。網(wǎng)絡(luò)層互聯(lián)網(wǎng)路由局域網(wǎng)ARP劫持主機(jī)層操作系統(tǒng)的系統(tǒng)軟件存在安全漏洞操作系統(tǒng)上安裝的應(yīng)用軟件存在安全漏洞應(yīng)用代碼安全漏洞內(nèi)容管理系統(tǒng)內(nèi)容管理系統(tǒng)賬號弱口令內(nèi)容管理系統(tǒng)所在主機(jī)操作系統(tǒng)存在安全問題內(nèi)容管理系統(tǒng)的應(yīng)用程序存在安全漏洞C.1.3