DB11北京市市場(chǎng)監(jiān)督管理局發(fā)布 ）；）；）；本文件由北京市政務(wù)服務(wù)和數(shù)據(jù)管理局歸口北京啟明星辰信息安全技術(shù)有限公司、北京金睛云華政務(wù)部門(mén)信息安全應(yīng)急預(yù)案編制指南本文件適用于政務(wù)部門(mén)信息安全應(yīng)急預(yù)案的編制與修訂工作，其他社會(huì)組織和單位信息安全應(yīng)急和信息系統(tǒng)或者其中的數(shù)據(jù)和業(yè)務(wù)應(yīng)用造成危害政務(wù)部門(mén)信息安全應(yīng)急預(yù)案體系由信息安全綜合應(yīng)急預(yù)案、信息安全分項(xiàng)應(yīng)急預(yù)案和現(xiàn)場(chǎng)處置方4.2政務(wù)部門(mén)信息安全綜合應(yīng)急預(yù)案政務(wù)部門(mén)信息安全綜合應(yīng)急預(yù)案是按照上級(jí)應(yīng)急預(yù)案要求，應(yīng)對(duì)信息安全事件的綜合性應(yīng)急響應(yīng)政務(wù)部門(mén)信息安全綜合應(yīng)急預(yù)案明確本政務(wù)部門(mén)信息安全應(yīng)急工作的基4.3政務(wù)部門(mén)信息安全分項(xiàng)應(yīng)急預(yù)案政務(wù)部門(mén)信息安全分項(xiàng)應(yīng)急預(yù)案是在綜合應(yīng)急預(yù)案指導(dǎo)下，對(duì)某種類(lèi)型或某幾種類(lèi)型的信息安全4.4現(xiàn)場(chǎng)處置方案現(xiàn)場(chǎng)處置方案是在綜合應(yīng)急預(yù)案和分項(xiàng)應(yīng)急預(yù)案的指導(dǎo)下，針對(duì)政務(wù)部門(mén)信息系統(tǒng)制定的適合現(xiàn)場(chǎng)應(yīng)急處置的技術(shù)性方案或操作指南，具體指導(dǎo)現(xiàn)場(chǎng)工作人員開(kāi)展相關(guān)信息系統(tǒng)或各類(lèi)信息安全事件5.2啟動(dòng)應(yīng)急預(yù)案編制運(yùn)維人員、保障人員等專(zhuān)業(yè)技術(shù)隊(duì)伍組成的應(yīng)急預(yù)案編5.2.2制定應(yīng)急預(yù)案編制計(jì)劃，明確各小組的職責(zé)、成員及接口人、預(yù)案編制計(jì)劃時(shí)間表及各5.3應(yīng)急體系調(diào)查a)已有的應(yīng)急預(yù)案，包括正在使用及廢棄的b)應(yīng)急處置事件總結(jié)，包括原因、過(guò)程、處置手段及方法；c)現(xiàn)有的應(yīng)急體系情況，包括人力、物力、技5.4風(fēng)險(xiǎn)評(píng)估5.4.1風(fēng)險(xiǎn)評(píng)估是編制應(yīng)急預(yù)案的關(guān)鍵過(guò)程，風(fēng)險(xiǎn)評(píng)估的結(jié)果是確定重點(diǎn)應(yīng)急對(duì)象，劃分應(yīng)急先級(jí)的依據(jù)，政務(wù)部門(mén)可結(jié)合已有的安全措施和風(fēng)險(xiǎn)評(píng)估的結(jié)果確定應(yīng)急b)確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)；c)制定風(fēng)險(xiǎn)評(píng)估的工作計(jì)劃，確定工5.5業(yè)務(wù)影響分析a)業(yè)務(wù)現(xiàn)狀分析，明確業(yè)務(wù)流程、功能、渠道和b)信息系統(tǒng)現(xiàn)狀分析，明確功能、拓?fù)洹㈥P(guān)聯(lián)關(guān)系、中斷影響；c)數(shù)據(jù)現(xiàn)狀分析，明確數(shù)據(jù)資產(chǎn)分布、開(kāi)展數(shù)據(jù)分響應(yīng)工作中可投入使用的物質(zhì)資源，包括資源的重點(diǎn)評(píng)估各應(yīng)急崗位投入人員的數(shù)量、人員的技術(shù)能力和構(gòu)的應(yīng)急支援流程、應(yīng)急資源的統(tǒng)一調(diào)配流程、以往信息安全事件及急響應(yīng)能力、應(yīng)急響應(yīng)物資等，并按照GB/T32926對(duì)外包服務(wù)商進(jìn)行安全評(píng)估。5.7應(yīng)急預(yù)案編制政務(wù)部門(mén)結(jié)合實(shí)際工作，完成應(yīng)急預(yù)案的編制，應(yīng)急預(yù)案需符合以b)符合國(guó)家、行業(yè)和地方標(biāo)準(zhǔn)的相關(guān)要求；5.8應(yīng)急預(yù)案評(píng)審5.8.1應(yīng)急預(yù)案編制完成后，政務(wù)部門(mén)對(duì)應(yīng)急預(yù)案的適用性、科學(xué)性、合理性、針對(duì)性及規(guī)范審核。應(yīng)急預(yù)案的審核分為內(nèi)部審核和專(zhuān)家評(píng)審，審核后及時(shí)根據(jù)評(píng)審意見(jiàn)對(duì)5.8.2組織政務(wù)部門(mén)內(nèi)信息安全應(yīng)急管理相關(guān)的人員對(duì)應(yīng)急預(yù)案進(jìn)行內(nèi)部審查，審查內(nèi)容包括5.8.3組織信息安全、應(yīng)急保障、應(yīng)急管理等領(lǐng)域的專(zhuān)業(yè)人員成立的預(yù)案評(píng)審組對(duì)應(yīng)急預(yù)案進(jìn)審查，評(píng)審組專(zhuān)家不少于5人，審查包括但不限于以下內(nèi)容：b)應(yīng)急預(yù)案體系的合理性；5.9應(yīng)急預(yù)案發(fā)布及備案5.1應(yīng)急預(yù)案管理和維護(hù)b)應(yīng)急預(yù)案修訂后統(tǒng)一更新；c)最新版本的應(yīng)急預(yù)案及時(shí)培訓(xùn)并發(fā)放給參與應(yīng)急響應(yīng)工作5.10.2為確保應(yīng)急預(yù)案的有效性，應(yīng)急預(yù)案的維應(yīng)急響應(yīng)的總體思路及應(yīng)急救援活動(dòng)的組織協(xié)調(diào)等提出6.1.2綜合應(yīng)急預(yù)案根據(jù)有關(guān)應(yīng)急預(yù)案體系的要求，全面考慮，科學(xué)劃分事件等級(jí)，a)編制目的：介紹制定信息安全應(yīng)急預(yù)案的原因和制定應(yīng)急預(yù)案的b)編制依據(jù)：相關(guān)的法律法規(guī)、規(guī)章、標(biāo)準(zhǔn)和規(guī)范性文件以及應(yīng)急預(yù)案等；c)工作原則：應(yīng)急工作的原則宜簡(jiǎn)明扼要e)應(yīng)急預(yù)案體系：應(yīng)急預(yù)案體系文件的構(gòu)成情況，可用框圖、組織結(jié)構(gòu)圖等6.3信息安全事件分類(lèi)分級(jí)6.3.1政務(wù)部門(mén)可結(jié)合工作實(shí)際，根據(jù)信息安全事件的起因、表現(xiàn)和結(jié)果等情況，對(duì)6.4角色及職責(zé)6.5預(yù)警及信息報(bào)送6.5.1政務(wù)部門(mén)加強(qiáng)信息安全監(jiān)測(cè)、預(yù)防和預(yù)警工作，信息安全事件的監(jiān)測(cè)方式方法6.5.2政務(wù)部門(mén)建立完善的信息安全事件報(bào)告和通報(bào)制度，明確事件報(bào)告流程與通報(bào)6.6應(yīng)急響應(yīng)e)應(yīng)急結(jié)束：規(guī)定現(xiàn)場(chǎng)應(yīng)急響應(yīng)結(jié)束的6.7.1應(yīng)急響應(yīng)工作結(jié)束后，對(duì)信息安全事件造成的損失和影響以及恢復(fù)重建能力進(jìn)等方法對(duì)系統(tǒng)的安全性進(jìn)行加強(qiáng)，或?qū)ο到y(tǒng)b)分析和總結(jié)事件的現(xiàn)象；h)評(píng)審應(yīng)急響應(yīng)措施的效果和效率，提出改進(jìn)建議；6.8保障措施a)應(yīng)急隊(duì)伍保障：應(yīng)急響應(yīng)的人力資源，包括應(yīng)急專(zhuān)家、應(yīng)急隊(duì)伍和外部合作隊(duì)伍等；2)應(yīng)急預(yù)案演練：規(guī)定應(yīng)急預(yù)案演練的形式、范圍、頻次、內(nèi)容、演練評(píng)估3)應(yīng)急預(yù)案修訂：規(guī)定應(yīng)急預(yù)案修訂的基本要求和修訂周期，并規(guī)定應(yīng)4)應(yīng)急預(yù)案?jìng)浒福阂?guī)定應(yīng)急預(yù)案的報(bào)備部門(mén)及5)應(yīng)急預(yù)案實(shí)施：規(guī)定應(yīng)急預(yù)案發(fā)布與實(shí)施的具體時(shí)間以及負(fù)責(zé)制織、流程和技術(shù)保障措施具體設(shè)計(jì)。政務(wù)部門(mén)信息安全事件應(yīng)急預(yù)案編制a)編制目的：制定分項(xiàng)應(yīng)急預(yù)案的原因和制定預(yù)案的b)工作原則：分項(xiàng)應(yīng)急工作的原則宜簡(jiǎn)明扼要，明確具體；c)適用范圍：分項(xiàng)預(yù)案的作用范圍，說(shuō)明解決哪些問(wèn)題，適用于哪些系統(tǒng)及對(duì)系統(tǒng)7.3組織機(jī)構(gòu)及職責(zé)7.4風(fēng)險(xiǎn)分析與預(yù)案啟動(dòng)對(duì)信息系統(tǒng)或重點(diǎn)時(shí)期保障期間發(fā)生某種具體或特定類(lèi)型信息安全事件的可能性進(jìn)行分析，預(yù)判b)信息安全事件可能發(fā)生的時(shí)間；d)信息安全事件可能引發(fā)的次生、衍生信7.5應(yīng)急響應(yīng)流程7.6應(yīng)急處置措施對(duì)分項(xiàng)預(yù)案的宣傳教育和信息安全相關(guān)知識(shí)培訓(xùn)等工作提出要求，包括對(duì)信息安全工作人員定期存放地點(diǎn)、運(yùn)輸和使用條件、管理責(zé)任人和聯(lián)系保管人，應(yīng)急專(zhuān)用工具操作指導(dǎo)書(shū)，機(jī)房相關(guān)平面布8.2針對(duì)發(fā)生的信息安全事件，從技術(shù)操作的角度加以規(guī)范，明確處置原則和具體處置步驟，細(xì)化應(yīng)b)網(wǎng)絡(luò)攻擊事件－網(wǎng)絡(luò)掃描探測(cè)事件應(yīng)急處置手冊(cè)；h)異常行為事件－訪問(wèn)異常事件應(yīng)急處置手冊(cè)；京市突發(fā)事件總體應(yīng)急預(yù)案》《北京市網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等法律、法規(guī)、件、安全隱患事件、異常行為事件、不可抗力事件和其他事件等10類(lèi)，每類(lèi)之下（1）惡意程序事件包括計(jì)算機(jī)病毒事件、網(wǎng)絡(luò)蠕蟲(chóng)事件、特洛伊木馬事件、僵尸網(wǎng)（2）網(wǎng)絡(luò)攻擊事件包括網(wǎng)絡(luò)掃描探測(cè)事件、網(wǎng)絡(luò)釣魚(yú)事件、漏洞利用事件、后門(mén)利件、域名轉(zhuǎn)嫁事件、DNS污染事件、WAN劫持事件、流量劫持事件、B（3）數(shù)據(jù)安全事件包括數(shù)據(jù)篡改事件、數(shù)據(jù)假冒事件、數(shù)據(jù)泄露事件、社會(huì)工程事（5）設(shè)備設(shè)施故障事件包括技術(shù)故障事件、配套設(shè)施故障事件、物理?yè)p害事件、輻（6）違規(guī)操作事件包括權(quán)限濫用事件、權(quán)限偽造事件、行為抵賴(lài)事件、故意違規(guī)操（9）不可抗力事件包括自然災(zāi)害事件、事故災(zāi)難事件、公共衛(wèi)生事件，社會(huì)安全事較大（三級(jí)）信息安全事件是未達(dá)到重大（二級(jí)）信息安全事件，但對(duì)國(guó)家安全、社會(huì)秩濟(jì)建設(shè)和公眾利益構(gòu)成較嚴(yán)重威脅、造成較嚴(yán)重影響的信息安全事2.關(guān)鍵信息基礎(chǔ)設(shè)施整體中斷運(yùn)行10分鐘（4.重要數(shù)據(jù)泄露或被竊取，對(duì)國(guó)家安全和社會(huì)穩(wěn)定構(gòu)5.泄露100萬(wàn)人（含）以上公民個(gè)人信息或10萬(wàn)人（含）以（1）在主頁(yè)上出現(xiàn)并持續(xù)30分鐘（含）以上負(fù)責(zé)協(xié)調(diào)并推動(dòng)政務(wù)信息安全保障體系的建立與完善；指導(dǎo)和監(jiān)督各部門(mén)重要信息系統(tǒng)與基礎(chǔ)設(shè)政務(wù)領(lǐng)域的重大信息安全事件，確保政務(wù)工作的指導(dǎo)工作；負(fù)責(zé)安全管理人員的培訓(xùn)；提供安全管理和安全技術(shù)北京市某局在落實(shí)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)工作制度基礎(chǔ)上，重點(diǎn)做好信息安全事件的風(fēng)險(xiǎn)評(píng)估和建立并維護(hù)風(fēng)險(xiǎn)源管理系統(tǒng)，以強(qiáng)化風(fēng)險(xiǎn)管理措施，進(jìn)而提升信息系統(tǒng)安室報(bào)告，涉及政務(wù)信息系統(tǒng)的，同時(shí)向市政務(wù)服務(wù)和數(shù)據(jù)管理北京市某局可以根據(jù)監(jiān)測(cè)研判情況在本部門(mén)發(fā)布當(dāng)收到本部門(mén)或市網(wǎng)信等部門(mén)發(fā)布的信息安全預(yù)警信息，或本部門(mén)因某項(xiàng)重大活動(dòng)而需要進(jìn)行信（1）控制事態(tài)發(fā)展，防控蔓延。相關(guān)人員根據(jù)需要及時(shí)采取斷網(wǎng)（拔網(wǎng)線）等技術(shù)（3）原因分析與影響評(píng)估。盡快分析事件發(fā)生原因，并結(jié)合信息系統(tǒng)運(yùn)行和承載業(yè)步評(píng)估事件的影響范圍、危害程度和可能波及的領(lǐng)域，據(jù)此提出針對(duì)性的應(yīng)對(duì)（4）詳細(xì)記錄與證據(jù)保存。在先期處置過(guò)程中，應(yīng)保留安全日志信息、設(shè)備告警信（5）技術(shù)支持與態(tài)勢(shì)研判。信息安全工作小組在接報(bào)事件信息后，要及時(shí)介入并動(dòng)②檢查影響范圍。信息安全工作小組及時(shí)了解主管范圍內(nèi)的其他信息系統(tǒng)是否受到事件的波及或影響，組織相關(guān)人員對(duì)事態(tài)進(jìn)行研究，并根據(jù)需要對(duì)受到影響的系統(tǒng)行小組加強(qiáng)對(duì)局內(nèi)信息系統(tǒng)、網(wǎng)站域名及流量數(shù)展事件處置工作；信息安全實(shí)施小組負(fù)責(zé)將事件信息、處置進(jìn)展情況及時(shí)向信息安全工作應(yīng)急處置的需要且超出本單位應(yīng)急處置能力時(shí)，應(yīng)及時(shí)提升負(fù)責(zé)組織制定恢復(fù)、整改或重建方案，報(bào)信息信息安全事件應(yīng)急處置工作結(jié)束后，信息安全工作小組適時(shí)組織信息安全實(shí)施小組和信息安全運(yùn)行小組等相關(guān)部門(mén)針對(duì)信息安全事件進(jìn)行復(fù)盤(pán)和責(zé)任調(diào)查。對(duì)突發(fā)事件應(yīng)急處置過(guò)程的處置效率和應(yīng)急響應(yīng)流程進(jìn)行全面評(píng)估，并在20天內(nèi)將評(píng)估由信息安全工作小組負(fù)責(zé)遴選一批經(jīng)由國(guó)家有關(guān)部門(mén)資質(zhì)認(rèn)可的，管理規(guī)范且服務(wù)能力較強(qiáng)的企信息安全相關(guān)部門(mén)將信息安全事件預(yù)防和應(yīng)急工作列入年度式開(kāi)展宣傳教育工作，普及局內(nèi)人員的信息安全知人員能夠全面、深入地掌握并熟練運(yùn)用相關(guān)技能，以有效提升信息安全防護(hù)與應(yīng)急響應(yīng)化實(shí)戰(zhàn)處置技能，同時(shí)全面檢驗(yàn)并優(yōu)化現(xiàn)有本預(yù)案由北京市某局信息安全工作小組制定事件發(fā)生啟動(dòng)響應(yīng)事件處置響應(yīng)結(jié)束事件發(fā)生小組決定事件結(jié)束小組啟動(dòng)自管級(jí)響應(yīng)自管級(jí)事件自管級(jí)響應(yīng)小組啟動(dòng)自管級(jí)響應(yīng)自管級(jí)事件自管級(jí)響應(yīng)事件根除信息、處置進(jìn)展情況及時(shí)向信息安全工作小組報(bào)告。信息安全運(yùn)行小組分析研判由信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)指揮并按照預(yù)案組織開(kāi)展事件處置，相關(guān)信息報(bào)有關(guān)主管部門(mén)。較大、較大、一般事件三級(jí)、四級(jí)響應(yīng)由信息安全領(lǐng)導(dǎo)由信息安全領(lǐng)導(dǎo)小組組織，啟動(dòng)三級(jí)、四級(jí)響應(yīng)是否涉及跨事件根除是否涉及跨事件根除信息安全實(shí)施小組開(kāi)展事件處置，控制事態(tài)防止蔓延，消除安全隱患，及時(shí)開(kāi)展調(diào)查取證。信息安全運(yùn)行小組加強(qiáng)對(duì)局內(nèi)信息系統(tǒng)、網(wǎng)站域名及流量數(shù)據(jù)安全監(jiān)測(cè)。特別重大、重大事件一級(jí)、特別重大、重大事件一級(jí)、二級(jí)響應(yīng)其他部門(mén)單位負(fù)責(zé)配合安全運(yùn)行維護(hù)單位和信息系統(tǒng)運(yùn)行維護(hù)單位進(jìn)行網(wǎng)頁(yè)篡改事件的應(yīng)急處理按照網(wǎng)絡(luò)攻擊事件的表現(xiàn)形式，本處置預(yù)案將網(wǎng)頁(yè)篡改事件大致訪問(wèn)受限等問(wèn)題，進(jìn)而可能遭受釣魚(yú)攻擊、信息泄露等安全進(jìn)而可能受到誤導(dǎo)、欺詐或傳播虛假信息等安掛馬/暗鏈?zhǔn)录壕W(wǎng)站被篡改的內(nèi)容用戶通過(guò)瀏覽器訪問(wèn)時(shí)不可見(jiàn)，但植入的惡意代碼會(huì)在用戶不即在網(wǎng)站上發(fā)布系統(tǒng)維護(hù)公告頁(yè)面，告知用戶當(dāng)前系統(tǒng)狀態(tài)及預(yù)計(jì)恢復(fù)時(shí)工具，掛馬、暗鏈檢查工具；硬件主要有應(yīng)急（3）利用工具查看服務(wù)器賬戶、進(jìn)程、服務(wù)及啟動(dòng)項(xiàng)等信息（4）利用檢測(cè)工具對(duì)網(wǎng)站進(jìn)行全方位掃描，及時(shí)發(fā)現(xiàn)并清除可能存在的掛馬鏈接或），服務(wù)器軟件類(lèi)型及版本、后臺(tái)數(shù)據(jù)庫(kù)軟件類(lèi)型及版本、內(nèi)容管理系統(tǒng)（3）網(wǎng)站外圍支撐情況：信息安全域劃分情況、防火墻訪問(wèn)控制策略設(shè)置、域名解（4）網(wǎng)站保障目標(biāo)：若保障網(wǎng)站存在多個(gè)信息系統(tǒng)，應(yīng)劃分優(yōu)先級(jí)，以確保重要系（1）網(wǎng)站服務(wù)器備份：對(duì)網(wǎng)站服務(wù)器硬件、網(wǎng)步驟三：分析日志以確認(rèn)攻擊方式。通過(guò)分析WEB訪問(wèn)日志、網(wǎng)絡(luò)審計(jì)日志以及設(shè)備可以對(duì)通過(guò)WEB應(yīng)用系統(tǒng)實(shí)施攻擊進(jìn)行準(zhǔn)確判斷，確定網(wǎng)頁(yè)篡改的方式，有針對(duì)性地采取管理和影響范圍和嚴(yán)重程度，為后續(xù)處理提供決策依據(jù)。主要處置手段和方），），打開(kāi)服務(wù)器上的文本編輯器，如在Linux系統(tǒng)下使用vim編輯器，輸入命令“sudovim找到包含該路徑的配置代碼段，更改配置為頁(yè)面同樣使用文本編輯器打開(kāi)Nginx的虛擬主機(jī)配置文件，如“sudovim/etc/nginx/sites-根據(jù)之前的評(píng)估和用戶反饋，明確哪些功能與被篡改的內(nèi)容相關(guān)聯(lián)。例如，如果發(fā)現(xiàn)用戶對(duì)于基于PythonDjango框架的WEB應(yīng)用，若用戶注冊(cè)功能出現(xiàn)問(wèn)題，找到注冊(cè)視圖函數(shù)所在的1）本地磁盤(pán)備份：若備份存儲(chǔ)在本地磁盤(pán)，打開(kāi)文件資源管理器（在Windows系統(tǒng)下）或使用命成時(shí)間，優(yōu)先選擇距離篡改事件發(fā)生時(shí)間最近的備份文件，進(jìn)行完整性校驗(yàn)。實(shí)施數(shù)據(jù)恢復(fù)，），夾，查看備份文件的詳細(xì)信息，包括文件大小、修改時(shí)間等，確保備份文件完整且未被篡改。實(shí)云盤(pán)內(nèi)對(duì)備份