DB11北京市市場監(jiān)督管理局發(fā)布 ）；）；）；本文件由北京市政務(wù)服務(wù)和數(shù)據(jù)管理局歸口北京啟明星辰信息安全技術(shù)有限公司、北京金睛云華政務(wù)部門信息安全應(yīng)急預(yù)案編制指南本文件適用于政務(wù)部門信息安全應(yīng)急預(yù)案的編制與修訂工作，其他社會組織和單位信息安全應(yīng)急和信息系統(tǒng)或者其中的數(shù)據(jù)和業(yè)務(wù)應(yīng)用造成危害政務(wù)部門信息安全應(yīng)急預(yù)案體系由信息安全綜合應(yīng)急預(yù)案、信息安全分項應(yīng)急預(yù)案和現(xiàn)場處置方4.2政務(wù)部門信息安全綜合應(yīng)急預(yù)案政務(wù)部門信息安全綜合應(yīng)急預(yù)案是按照上級應(yīng)急預(yù)案要求，應(yīng)對信息安全事件的綜合性應(yīng)急響應(yīng)政務(wù)部門信息安全綜合應(yīng)急預(yù)案明確本政務(wù)部門信息安全應(yīng)急工作的基4.3政務(wù)部門信息安全分項應(yīng)急預(yù)案政務(wù)部門信息安全分項應(yīng)急預(yù)案是在綜合應(yīng)急預(yù)案指導(dǎo)下，對某種類型或某幾種類型的信息安全4.4現(xiàn)場處置方案現(xiàn)場處置方案是在綜合應(yīng)急預(yù)案和分項應(yīng)急預(yù)案的指導(dǎo)下，針對政務(wù)部門信息系統(tǒng)制定的適合現(xiàn)場應(yīng)急處置的技術(shù)性方案或操作指南，具體指導(dǎo)現(xiàn)場工作人員開展相關(guān)信息系統(tǒng)或各類信息安全事件5.2啟動應(yīng)急預(yù)案編制運維人員、保障人員等專業(yè)技術(shù)隊伍組成的應(yīng)急預(yù)案編5.2.2制定應(yīng)急預(yù)案編制計劃，明確各小組的職責(zé)、成員及接口人、預(yù)案編制計劃時間表及各5.3應(yīng)急體系調(diào)查a)已有的應(yīng)急預(yù)案，包括正在使用及廢棄的b)應(yīng)急處置事件總結(jié)，包括原因、過程、處置手段及方法；c)現(xiàn)有的應(yīng)急體系情況，包括人力、物力、技5.4風(fēng)險評估5.4.1風(fēng)險評估是編制應(yīng)急預(yù)案的關(guān)鍵過程，風(fēng)險評估的結(jié)果是確定重點應(yīng)急對象，劃分應(yīng)急先級的依據(jù)，政務(wù)部門可結(jié)合已有的安全措施和風(fēng)險評估的結(jié)果確定應(yīng)急b)確定風(fēng)險評估的目標(biāo)；c)制定風(fēng)險評估的工作計劃，確定工5.5業(yè)務(wù)影響分析a)業(yè)務(wù)現(xiàn)狀分析，明確業(yè)務(wù)流程、功能、渠道和b)信息系統(tǒng)現(xiàn)狀分析，明確功能、拓撲、關(guān)聯(lián)關(guān)系、中斷影響；c)數(shù)據(jù)現(xiàn)狀分析，明確數(shù)據(jù)資產(chǎn)分布、開展數(shù)據(jù)分響應(yīng)工作中可投入使用的物質(zhì)資源，包括資源的重點評估各應(yīng)急崗位投入人員的數(shù)量、人員的技術(shù)能力和構(gòu)的應(yīng)急支援流程、應(yīng)急資源的統(tǒng)一調(diào)配流程、以往信息安全事件及急響應(yīng)能力、應(yīng)急響應(yīng)物資等，并按照GB/T32926對外包服務(wù)商進行安全評估。5.7應(yīng)急預(yù)案編制政務(wù)部門結(jié)合實際工作，完成應(yīng)急預(yù)案的編制，應(yīng)急預(yù)案需符合以b)符合國家、行業(yè)和地方標(biāo)準(zhǔn)的相關(guān)要求；5.8應(yīng)急預(yù)案評審5.8.1應(yīng)急預(yù)案編制完成后，政務(wù)部門對應(yīng)急預(yù)案的適用性、科學(xué)性、合理性、針對性及規(guī)范審核。應(yīng)急預(yù)案的審核分為內(nèi)部審核和專家評審，審核后及時根據(jù)評審意見對5.8.2組織政務(wù)部門內(nèi)信息安全應(yīng)急管理相關(guān)的人員對應(yīng)急預(yù)案進行內(nèi)部審查，審查內(nèi)容包括5.8.3組織信息安全、應(yīng)急保障、應(yīng)急管理等領(lǐng)域的專業(yè)人員成立的預(yù)案評審組對應(yīng)急預(yù)案進審查，評審組專家不少于5人，審查包括但不限于以下內(nèi)容：b)應(yīng)急預(yù)案體系的合理性；5.9應(yīng)急預(yù)案發(fā)布及備案5.1應(yīng)急預(yù)案管理和維護b)應(yīng)急預(yù)案修訂后統(tǒng)一更新；c)最新版本的應(yīng)急預(yù)案及時培訓(xùn)并發(fā)放給參與應(yīng)急響應(yīng)工作5.10.2為確保應(yīng)急預(yù)案的有效性，應(yīng)急預(yù)案的維應(yīng)急響應(yīng)的總體思路及應(yīng)急救援活動的組織協(xié)調(diào)等提出6.1.2綜合應(yīng)急預(yù)案根據(jù)有關(guān)應(yīng)急預(yù)案體系的要求，全面考慮，科學(xué)劃分事件等級，a)編制目的：介紹制定信息安全應(yīng)急預(yù)案的原因和制定應(yīng)急預(yù)案的b)編制依據(jù)：相關(guān)的法律法規(guī)、規(guī)章、標(biāo)準(zhǔn)和規(guī)范性文件以及應(yīng)急預(yù)案等；c)工作原則：應(yīng)急工作的原則宜簡明扼要e)應(yīng)急預(yù)案體系：應(yīng)急預(yù)案體系文件的構(gòu)成情況，可用框圖、組織結(jié)構(gòu)圖等6.3信息安全事件分類分級6.3.1政務(wù)部門可結(jié)合工作實際，根據(jù)信息安全事件的起因、表現(xiàn)和結(jié)果等情況，對6.4角色及職責(zé)6.5預(yù)警及信息報送6.5.1政務(wù)部門加強信息安全監(jiān)測、預(yù)防和預(yù)警工作，信息安全事件的監(jiān)測方式方法6.5.2政務(wù)部門建立完善的信息安全事件報告和通報制度，明確事件報告流程與通報6.6應(yīng)急響應(yīng)e)應(yīng)急結(jié)束：規(guī)定現(xiàn)場應(yīng)急響應(yīng)結(jié)束的6.7.1應(yīng)急響應(yīng)工作結(jié)束后，對信息安全事件造成的損失和影響以及恢復(fù)重建能力進等方法對系統(tǒng)的安全性進行加強，或?qū)ο到y(tǒng)b)分析和總結(jié)事件的現(xiàn)象；h)評審應(yīng)急響應(yīng)措施的效果和效率，提出改進建議；6.8保障措施a)應(yīng)急隊伍保障：應(yīng)急響應(yīng)的人力資源，包括應(yīng)急專家、應(yīng)急隊伍和外部合作隊伍等；2)應(yīng)急預(yù)案演練：規(guī)定應(yīng)急預(yù)案演練的形式、范圍、頻次、內(nèi)容、演練評估3)應(yīng)急預(yù)案修訂：規(guī)定應(yīng)急預(yù)案修訂的基本要求和修訂周期，并規(guī)定應(yīng)4)應(yīng)急預(yù)案備案：規(guī)定應(yīng)急預(yù)案的報備部門及5)應(yīng)急預(yù)案實施：規(guī)定應(yīng)急預(yù)案發(fā)布與實施的具體時間以及負責(zé)制織、流程和技術(shù)保障措施具體設(shè)計。政務(wù)部門信息安全事件應(yīng)急預(yù)案編制a)編制目的：制定分項應(yīng)急預(yù)案的原因和制定預(yù)案的b)工作原則：分項應(yīng)急工作的原則宜簡明扼要，明確具體；c)適用范圍：分項預(yù)案的作用范圍，說明解決哪些問題，適用于哪些系統(tǒng)及對系統(tǒng)7.3組織機構(gòu)及職責(zé)7.4風(fēng)險分析與預(yù)案啟動對信息系統(tǒng)或重點時期保障期間發(fā)生某種具體或特定類型信息安全事件的可能性進行分析，預(yù)判b)信息安全事件可能發(fā)生的時間；d)信息安全事件可能引發(fā)的次生、衍生信7.5應(yīng)急響應(yīng)流程7.6應(yīng)急處置措施對分項預(yù)案的宣傳教育和信息安全相關(guān)知識培訓(xùn)等工作提出要求，包括對信息安全工作人員定期存放地點、運輸和使用條件、管理責(zé)任人和聯(lián)系保管人，應(yīng)急專用工具操作指導(dǎo)書，機房相關(guān)平面布8.2針對發(fā)生的信息安全事件，從技術(shù)操作的角度加以規(guī)范，明確處置原則和具體處置步驟，細化應(yīng)b)網(wǎng)絡(luò)攻擊事件－網(wǎng)絡(luò)掃描探測事件應(yīng)急處置手冊；h)異常行為事件－訪問異常事件應(yīng)急處置手冊；京市突發(fā)事件總體應(yīng)急預(yù)案》《北京市網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等法律、法規(guī)、件、安全隱患事件、異常行為事件、不可抗力事件和其他事件等10類，每類之下（1）惡意程序事件包括計算機病毒事件、網(wǎng)絡(luò)蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)（2）網(wǎng)絡(luò)攻擊事件包括網(wǎng)絡(luò)掃描探測事件、網(wǎng)絡(luò)釣魚事件、漏洞利用事件、后門利件、域名轉(zhuǎn)嫁事件、DNS污染事件、WAN劫持事件、流量劫持事件、B（3）數(shù)據(jù)安全事件包括數(shù)據(jù)篡改事件、數(shù)據(jù)假冒事件、數(shù)據(jù)泄露事件、社會工程事（5）設(shè)備設(shè)施故障事件包括技術(shù)故障事件、配套設(shè)施故障事件、物理損害事件、輻（6）違規(guī)操作事件包括權(quán)限濫用事件、權(quán)限偽造事件、行為抵賴事件、故意違規(guī)操（9）不可抗力事件包括自然災(zāi)害事件、事故災(zāi)難事件、公共衛(wèi)生事件，社會安全事較大（三級）信息安全事件是未達到重大（二級）信息安全事件，但對國家安全、社會秩濟建設(shè)和公眾利益構(gòu)成較嚴重威脅、造成較嚴重影響的信息安全事2.關(guān)鍵信息基礎(chǔ)設(shè)施整體中斷運行10分鐘（4.重要數(shù)據(jù)泄露或被竊取，對國家安全和社會穩(wěn)定構(gòu)5.泄露100萬人（含）以上公民個人信息或10萬人（含）以（1）在主頁上出現(xiàn)并持續(xù)30分鐘（含）以上負責(zé)協(xié)調(diào)并推動政務(wù)信息安全保障體系的建立與完善；指導(dǎo)和監(jiān)督各部門重要信息系統(tǒng)與基礎(chǔ)設(shè)政務(wù)領(lǐng)域的重大信息安全事件，確保政務(wù)工作的指導(dǎo)工作；負責(zé)安全管理人員的培訓(xùn)；提供安全管理和安全技術(shù)北京市某局在落實國家網(wǎng)絡(luò)安全等級保護工作制度基礎(chǔ)上，重點做好信息安全事件的風(fēng)險評估和建立并維護風(fēng)險源管理系統(tǒng)，以強化風(fēng)險管理措施，進而提升信息系統(tǒng)安室報告，涉及政務(wù)信息系統(tǒng)的，同時向市政務(wù)服務(wù)和數(shù)據(jù)管理北京市某局可以根據(jù)監(jiān)測研判情況在本部門發(fā)布當(dāng)收到本部門或市網(wǎng)信等部門發(fā)布的信息安全預(yù)警信息，或本部門因某項重大活動而需要進行信（1）控制事態(tài)發(fā)展，防控蔓延。相關(guān)人員根據(jù)需要及時采取斷網(wǎng)（拔網(wǎng)線）等技術(shù)（3）原因分析與影響評估。盡快分析事件發(fā)生原因，并結(jié)合信息系統(tǒng)運行和承載業(yè)步評估事件的影響范圍、危害程度和可能波及的領(lǐng)域，據(jù)此提出針對性的應(yīng)對（4）詳細記錄與證據(jù)保存。在先期處置過程中，應(yīng)保留安全日志信息、設(shè)備告警信（5）技術(shù)支持與態(tài)勢研判。信息安全工作小組在接報事件信息后，要及時介入并動②檢查影響范圍。信息安全工作小組及時了解主管范圍內(nèi)的其他信息系統(tǒng)是否受到事件的波及或影響，組織相關(guān)人員對事態(tài)進行研究，并根據(jù)需要對受到影響的系統(tǒng)行小組加強對局內(nèi)信息系統(tǒng)、網(wǎng)站域名及流量數(shù)展事件處置工作；信息安全實施小組負責(zé)將事件信息、處置進展情況及時向信息安全工作應(yīng)急處置的需要且超出本單位應(yīng)急處置能力時，應(yīng)及時提升負責(zé)組織制定恢復(fù)、整改或重建方案，報信息信息安全事件應(yīng)急處置工作結(jié)束后，信息安全工作小組適時組織信息安全實施小組和信息安全運行小組等相關(guān)部門針對信息安全事件進行復(fù)盤和責(zé)任調(diào)查。對突發(fā)事件應(yīng)急處置過程的處置效率和應(yīng)急響應(yīng)流程進行全面評估，并在20天內(nèi)將評估由信息安全工作小組負責(zé)遴選一批經(jīng)由國家有關(guān)部門資質(zhì)認可的，管理規(guī)范且服務(wù)能力較強的企信息安全相關(guān)部門將信息安全事件預(yù)防和應(yīng)急工作列入年度式開展宣傳教育工作，普及局內(nèi)人員的信息安全知人員能夠全面、深入地掌握并熟練運用相關(guān)技能，以有效提升信息安全防護與應(yīng)急響應(yīng)化實戰(zhàn)處置技能，同時全面檢驗并優(yōu)化現(xiàn)有本預(yù)案由北京市某局信息安全工作小組制定事件發(fā)生啟動響應(yīng)事件處置響應(yīng)結(jié)束事件發(fā)生小組決定事件結(jié)束小組啟動自管級響應(yīng)自管級事件自管級響應(yīng)小組啟動自管級響應(yīng)自管級事件自管級響應(yīng)事件根除信息、處置進展情況及時向信息安全工作小組報告。信息安全運行小組分析研判由信息安全領(lǐng)導(dǎo)小組負責(zé)指揮并按照預(yù)案組織開展事件處置，相關(guān)信息報有關(guān)主管部門。較大、較大、一般事件三級、四級響應(yīng)由信息安全領(lǐng)導(dǎo)由信息安全領(lǐng)導(dǎo)小組組織，啟動三級、四級響應(yīng)是否涉及跨事件根除是否涉及跨事件根除信息安全實施小組開展事件處置，控制事態(tài)防止蔓延，消除安全隱患，及時開展調(diào)查取證。信息安全運行小組加強對局內(nèi)信息系統(tǒng)、網(wǎng)站域名及流量數(shù)據(jù)安全監(jiān)測。特別重大、重大事件一級、特別重大、重大事件一級、二級響應(yīng)其他部門單位負責(zé)配合安全運行維護單位和信息系統(tǒng)運行維護單位進行網(wǎng)頁篡改事件的應(yīng)急處理按照網(wǎng)絡(luò)攻擊事件的表現(xiàn)形式，本處置預(yù)案將網(wǎng)頁篡改事件大致訪問受限等問題，進而可能遭受釣魚攻擊、信息泄露等安全進而可能受到誤導(dǎo)、欺詐或傳播虛假信息等安掛馬/暗鏈?zhǔn)录壕W(wǎng)站被篡改的內(nèi)容用戶通過瀏覽器訪問時不可見，但植入的惡意代碼會在用戶不即在網(wǎng)站上發(fā)布系統(tǒng)維護公告頁面，告知用戶當(dāng)前系統(tǒng)狀態(tài)及預(yù)計恢復(fù)時工具，掛馬、暗鏈檢查工具；硬件主要有應(yīng)急（3）利用工具查看服務(wù)器賬戶、進程、服務(wù)及啟動項等信息（4）利用檢測工具對網(wǎng)站進行全方位掃描，及時發(fā)現(xiàn)并清除可能存在的掛馬鏈接或），服務(wù)器軟件類型及版本、后臺數(shù)據(jù)庫軟件類型及版本、內(nèi)容管理系統(tǒng)（3）網(wǎng)站外圍支撐情況：信息安全域劃分情況、防火墻訪問控制策略設(shè)置、域名解（4）網(wǎng)站保障目標(biāo)：若保障網(wǎng)站存在多個信息系統(tǒng)，應(yīng)劃分優(yōu)先級，以確保重要系（1）網(wǎng)站服務(wù)器備份：對網(wǎng)站服務(wù)器硬件、網(wǎng)步驟三：分析日志以確認攻擊方式。通過分析WEB訪問日志、網(wǎng)絡(luò)審計日志以及設(shè)備可以對通過WEB應(yīng)用系統(tǒng)實施攻擊進行準(zhǔn)確判斷，確定網(wǎng)頁篡改的方式，有針對性地采取管理和影響范圍和嚴重程度，為后續(xù)處理提供決策依據(jù)。主要處置手段和方），），打開服務(wù)器上的文本編輯器，如在Linux系統(tǒng)下使用vim編輯器，輸入命令“sudovim找到包含該路徑的配置代碼段，更改配置為頁面同樣使用文本編輯器打開Nginx的虛擬主機配置文件，如“sudovim/etc/nginx/sites-根據(jù)之前的評估和用戶反饋，明確哪些功能與被篡改的內(nèi)容相關(guān)聯(lián)。例如，如果發(fā)現(xiàn)用戶對于基于PythonDjango框架的WEB應(yīng)用，若用戶注冊功能出現(xiàn)問題，找到注冊視圖函數(shù)所在的1）本地磁盤備份：若備份存儲在本地磁盤，打開文件資源管理器（在Windows系統(tǒng)下）或使用命成時間，優(yōu)先選擇距離篡改事件發(fā)生時間最近的備份文件，進行完整性校驗。實施數(shù)據(jù)恢復(fù)，），夾，查看備份文件的詳細信息，包括文件大小、修改時間等，確保備份文件完整且未被篡改。實云盤內(nèi)對備份