網(wǎng)絡(luò)安全應(yīng)急處置預(yù)案第一章總則1.1制定目的為在網(wǎng)絡(luò)安全事件發(fā)生后30分鐘內(nèi)完成初步遏制、2小時(shí)內(nèi)完成根因定位、4小時(shí)內(nèi)恢復(fù)關(guān)鍵業(yè)務(wù)，最大限度降低數(shù)據(jù)泄露、系統(tǒng)癱瘓、品牌與財(cái)務(wù)損失，特制定本預(yù)案。1.2適用主體本預(yù)案覆蓋××集團(tuán)總部、三家全資子公司、兩個(gè)數(shù)據(jù)中心、全部云租戶賬號(hào)及第三方駐場(chǎng)運(yùn)維團(tuán)隊(duì)，共計(jì)1200余名員工、4800余臺(tái)終端、1900余套虛擬化實(shí)例。1.3事件分級(jí)標(biāo)準(zhǔn)一級(jí)（特別重大）：影響≥50%核心營(yíng)收系統(tǒng)且預(yù)計(jì)中斷≥4小時(shí)，或敏感數(shù)據(jù)≥10萬(wàn)條泄露。二級(jí)（重大）：影響≥30%核心系統(tǒng)或敏感數(shù)據(jù)1–10萬(wàn)條泄露。三級(jí)（較大）：影響非核心系統(tǒng)≥2小時(shí)或敏感數(shù)據(jù)<1萬(wàn)條泄露。四級(jí)（一般）：?jiǎn)吸c(diǎn)故障或局部病毒感染，無(wú)數(shù)據(jù)泄露。1.4啟動(dòng)條件出現(xiàn)下列任一情形即觸發(fā)：a)安全監(jiān)測(cè)平臺(tái)產(chǎn)生一級(jí)或二級(jí)告警且經(jīng)值班工程師復(fù)核確認(rèn)；b)監(jiān)管單位（網(wǎng)信辦、公安部、工信部）正式通報(bào)；c)董事會(huì)成員或CIO口頭或書(shū)面要求啟動(dòng)。第二章組織體系與職責(zé)2.1應(yīng)急指揮組（CSIRTEOC）組長(zhǎng)：集團(tuán)CIO（A角），副組長(zhǎng)：信息安全總監(jiān)（B角）。職責(zé)：決策封網(wǎng)、下線、關(guān)機(jī)、支付贖金等關(guān)鍵動(dòng)作；統(tǒng)一對(duì)外口徑；30分鐘內(nèi)向市網(wǎng)信辦電話報(bào)告。2.2技術(shù)響應(yīng)組分四個(gè)小隊(duì)：網(wǎng)絡(luò)小隊(duì)、主機(jī)小隊(duì)、應(yīng)用小隊(duì)、數(shù)據(jù)小隊(duì)。每隊(duì)設(shè)“1+2+3”編制：1名隊(duì)長(zhǎng)（P7以上）、2名核心骨干、3名后備工程師。職責(zé)：執(zhí)行流量清洗、補(bǔ)丁推送、樣本逆向、日志取證、備份恢復(fù)。2.3法務(wù)與合規(guī)組由法務(wù)部3名律師+合規(guī)部2名審計(jì)師組成。職責(zé)：判斷事件是否觸發(fā)《個(gè)人信息保護(hù)法》第57條“24小時(shí)內(nèi)通報(bào)”；準(zhǔn)備證據(jù)鏈用于刑事報(bào)案；對(duì)接監(jiān)管檢查。2.4業(yè)務(wù)連續(xù)性組由業(yè)務(wù)部門(mén)總監(jiān)牽頭，含客服、物流、財(cái)務(wù)、供應(yīng)鏈各1名負(fù)責(zé)人。職責(zé)：評(píng)估停機(jī)對(duì)收入、SLA、客戶合約的影響；制定降級(jí)運(yùn)營(yíng)模式；每30分鐘向指揮組更新?lián)p失金額。2.5外部支撐清單a)國(guó)家級(jí)應(yīng)急支撐單位：CNCERT/CC、國(guó)家工信安全中心；b)商業(yè)應(yīng)急隊(duì)伍：××防火墻原廠、××云安全MSSP、××數(shù)據(jù)恢復(fù)公司；c)公檢法：市公安局網(wǎng)安支隊(duì)值班電話024××××××××；d)保險(xiǎn)：網(wǎng)絡(luò)安全專項(xiàng)保單號(hào)××××，24小時(shí)理賠熱線400×××××××。第三章預(yù)防與監(jiān)測(cè)3.1資產(chǎn)基線每季度首月15日前，CMDB必須完成100%資產(chǎn)盤(pán)點(diǎn)，字段包括：IP、MAC、責(zé)任人、開(kāi)放端口、中間件版本、最后一次漏洞掃描時(shí)間。缺失字段資產(chǎn)強(qiáng)制下線。3.2日志集中所有主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、中間件、SaaS審計(jì)日志須通過(guò)Syslog+Kafka+Elasticsearch統(tǒng)一匯聚，保留≥180天；其中支付、訂單、HR三大系統(tǒng)日志保留≥1年并做WORM鎖定。3.3告警閾值SOC平臺(tái)對(duì)“橫向移動(dòng)”“哈希傳遞”“DNS隧道”三類(lèi)場(chǎng)景設(shè)置≤5分鐘告警；同一賬號(hào)5分鐘內(nèi)登錄失敗≥10次自動(dòng)觸發(fā)賬號(hào)鎖定+源IP封禁≥24小時(shí)。3.4演練頻率紅藍(lán)對(duì)抗：每半年一次，攻擊方使用APT模擬框架，防守方需在30分鐘內(nèi)發(fā)現(xiàn)、2小時(shí)內(nèi)遏制。桌面推演：每季度一次，覆蓋數(shù)據(jù)勒索、供應(yīng)鏈投毒、云API密鑰泄露三類(lèi)劇本。第四章事件發(fā)現(xiàn)與通報(bào)4.1發(fā)現(xiàn)渠道優(yōu)先級(jí)1.內(nèi)部SOC告警2.外部監(jiān)管通報(bào)3.客戶/合作方報(bào)告4.員工實(shí)名上報(bào)5.媒體輿情監(jiān)測(cè)4.2通報(bào)路徑a)值班工程師→安全運(yùn)營(yíng)經(jīng)理（5分鐘內(nèi)）b)安全運(yùn)營(yíng)經(jīng)理→CIO&信息安全總監(jiān)（10分鐘內(nèi)）c)CIO→集團(tuán)CEO&市網(wǎng)信辦（30分鐘內(nèi)）d)法務(wù)組→董事會(huì)&保險(xiǎn)公司（60分鐘內(nèi)）4.3通報(bào)內(nèi)容模板必須包含：事件名稱、發(fā)現(xiàn)時(shí)間、影響系統(tǒng)、數(shù)據(jù)類(lèi)型與量級(jí)、已采取措施、預(yù)估損失、下一步計(jì)劃、聯(lián)絡(luò)人手機(jī)號(hào)。禁止使用“正在處理中”等模糊字樣。第五章應(yīng)急處置流程5.1階段劃分T0發(fā)現(xiàn)→T1遏制→T2分析→T3根除→T4恢復(fù)→T5總結(jié)5.2T1遏制（0–30分鐘）步驟1：網(wǎng)絡(luò)小隊(duì)立即在核心防火墻上將受影響網(wǎng)段加入“Quarantine”地址組，ACL編號(hào)6000–6099預(yù)留給應(yīng)急封禁。步驟2：若勒索軟件，主機(jī)小隊(duì)通過(guò)EDR下發(fā)“一鍵斷網(wǎng)”指令，策略名稱：EMERG_ISOLATE，影響范圍：全網(wǎng)Windows終端。步驟3：業(yè)務(wù)組啟用降級(jí)模式：關(guān)閉非支付接口，僅保留查詢類(lèi)API，RPS限流500次/秒。5.3T2分析（30–120分鐘）步驟1：內(nèi)存取證——使用MagnetRAMCapture導(dǎo)出鏡像，保存至只讀NAS路徑/forensics/`date+%Y%m%d%H%M`/。步驟2：流量回溯——通過(guò)Zeek回溯72小時(shí)pcap，重點(diǎn)提取“.exe”“.dll”“.ps1”首次出現(xiàn)時(shí)間戳。步驟3：樣本逆向——在隔離沙箱（FLAREVM）運(yùn)行，記錄所有API調(diào)用，輸出MITRE攻擊圖譜。5.4T3根除（120–180分鐘）步驟1：補(bǔ)丁——由WSUS推送對(duì)應(yīng)KB號(hào)，強(qiáng)制安裝窗口≤2小時(shí)，未打補(bǔ)丁終端強(qiáng)制關(guān)機(jī)。步驟2：賬號(hào)——重置所有域管密碼，長(zhǎng)度≥16位，含特殊字符，歷史密碼≥24次。步驟3：后門(mén)——基于逆向結(jié)果，創(chuàng)建YARA規(guī)則，全網(wǎng)掃描，命中文件立即刪除并二次校驗(yàn)MD5。5.5T4恢復(fù)（180–240分鐘）步驟1：驗(yàn)證——使用Nessus掃描，高危漏洞為0方可上線；步驟2：業(yè)務(wù)——先恢復(fù)只讀節(jié)點(diǎn)，確認(rèn)交易流水可查詢，再開(kāi)放寫(xiě)節(jié)點(diǎn)；步驟3：監(jiān)控——CPU、內(nèi)存、網(wǎng)絡(luò)基線超過(guò)正常值±20%立即回退。5.6應(yīng)急工具包（隨預(yù)案一并發(fā)布，存放于加密U盤(pán)，統(tǒng)一編號(hào)CSIRTUSB001~020）1.綠色版Wireshark3.6.52.綠色版ProcessHacker3.393.YARA4.2.0+自定義規(guī)則庫(kù)4.最新補(bǔ)丁離線包（Win10/WinServer2019/CentOS7/Ubuntu20）5.應(yīng)急腳本集：斷網(wǎng)、改密、快照、備份校驗(yàn)、日志打包6.通訊錄（含家庭電話）PDF，AES256加密，密碼6位數(shù)字+字母混合，與U盤(pán)分離保管第六章數(shù)據(jù)備份與恢復(fù)6.1321策略至少3份副本，2種介質(zhì)，1份異地。數(shù)據(jù)庫(kù)：每日2:00全備，每4小時(shí)增備，保留30天；虛擬機(jī)：每日20:00快照，保留7天；對(duì)象存儲(chǔ)：跨地域復(fù)制至“華東華北”雙桶，版本控制開(kāi)啟，MFA刪除。6.2備份校驗(yàn)每月首個(gè)周六進(jìn)行“備份可恢復(fù)性演練”，隨機(jī)抽取5%備份集，恢復(fù)到隔離網(wǎng)段，校驗(yàn)數(shù)據(jù)行數(shù)、校驗(yàn)和、應(yīng)用能否啟動(dòng)。校驗(yàn)報(bào)告由DBA與信息安全部雙簽字，留存3年。6.3勒索場(chǎng)景專項(xiàng)若確認(rèn)勒索軟件加密備份存儲(chǔ)，立即：a)斷開(kāi)備份存儲(chǔ)網(wǎng)絡(luò)；b)使用離線磁帶庫(kù)（LTO9）恢復(fù)，磁帶庫(kù)鑰匙由財(cái)務(wù)總監(jiān)與信息安全總監(jiān)雙控；c)恢復(fù)順序：AD域控→ERP數(shù)據(jù)庫(kù)→支付網(wǎng)關(guān)→其余業(yè)務(wù)。第七章取證與證據(jù)鏈7.1取證原則原始證據(jù)只讀、連續(xù)記錄、可重現(xiàn)、可追溯。7.2取證工具硬盤(pán)：FTKImager4.7，生成E01格式，SHA256校驗(yàn)；內(nèi)存：WinPmem、MagnetRAMCapture；網(wǎng)絡(luò)：Zeek+Suricata，保留72小時(shí)全流量；日志：ELK導(dǎo)出為CSV+原始JSON雙份，GPG簽名。7.3證據(jù)交接填寫(xiě)《數(shù)字證據(jù)交接單》，包含：證據(jù)編號(hào)、證據(jù)類(lèi)型、提取人、提取時(shí)間、哈希值、保管人、存放位置、封條號(hào)。缺失任一字段，法務(wù)拒收。7.4證據(jù)保存期限刑事案件：永久保存；行政案件：保存5年；民事糾紛：保存3年；無(wú)后續(xù)處置：保存2年后統(tǒng)一粉碎。第八章通訊與媒體管理8.1內(nèi)部通訊采用“應(yīng)急微信群+釘釘+短信”三通道并行。微信群命名規(guī)則：CSIRTYYYYMMDD級(jí)別，如CSIRT20250701L2。群成員僅限指揮組、技術(shù)隊(duì)長(zhǎng)、法務(wù)、業(yè)務(wù)總監(jiān)，禁止截圖外傳。8.2外部口徑統(tǒng)一由集團(tuán)品牌部發(fā)言人（固定2人，A/B角）對(duì)外?？趶侥０逍杞?jīng)法務(wù)審核，含：事件發(fā)現(xiàn)時(shí)間、影響范圍、已采取措施、客戶需配合事項(xiàng)、致歉語(yǔ)。禁止技術(shù)人員私自接受媒體采訪，違者視為嚴(yán)重違紀(jì)，立即停職。8.3社交媒體監(jiān)測(cè)使用輿情系統(tǒng)設(shè)置關(guān)鍵詞：“××集團(tuán)+宕機(jī)/泄露/勒索/病毒”，每10分鐘爬取一次，出現(xiàn)負(fù)面熱搜TOP50立即啟動(dòng)“1小時(shí)黃金壓制”方案：a)發(fā)布官方聲明；b)聯(lián)系平臺(tái)降權(quán)；c)投放正面關(guān)鍵詞SEM。第九章法律合規(guī)與通報(bào)9.1數(shù)據(jù)泄露評(píng)估使用《個(gè)人信息影響評(píng)估模板》（PIA2025V3），計(jì)算受影響主體數(shù)量、數(shù)據(jù)敏感度、泄露渠道、加密狀態(tài)，得分≥60分即觸發(fā)監(jiān)管通報(bào)。9.2通報(bào)時(shí)限《個(gè)人信息保護(hù)法》第57條：24小時(shí)內(nèi)向市級(jí)網(wǎng)信辦報(bào)告；《網(wǎng)絡(luò)安全法》第22條：事件發(fā)生后“及時(shí)”報(bào)告，內(nèi)部定義為≤12小時(shí)；《數(shù)據(jù)安全法》第29條：核心數(shù)據(jù)泄露立即報(bào)告，最遲≤1小時(shí)。9.3證據(jù)提交向公安網(wǎng)安部門(mén)提交《事件基本情況表》《服務(wù)器日志》《流量PCAP》《惡意樣本》《受影響主體清單》，全部刻錄為只讀光盤(pán)，一式兩份，加蓋騎縫章。第十章保險(xiǎn)與理賠10.1保單范圍網(wǎng)絡(luò)安全綜合險(xiǎn)：保費(fèi)260萬(wàn)元/年，保額2億元，覆蓋數(shù)據(jù)恢復(fù)、營(yíng)業(yè)中斷、勒索贖金、第三方索賠。10.2理賠流程a)事件發(fā)生后6小時(shí)內(nèi)撥打24小時(shí)熱線報(bào)案，獲取報(bào)案號(hào)；b)48小時(shí)內(nèi)提交《初步損失清單》；c)7天內(nèi)提交完整索賠材料：日志、取證報(bào)告、業(yè)務(wù)損失證明、修復(fù)發(fā)票；d)公估機(jī)構(gòu)入場(chǎng)，雙方共同確認(rèn)損失金額；e)保險(xiǎn)公司在資料齊全后15個(gè)工作日完成賠付。10.3注意事項(xiàng)未經(jīng)保險(xiǎn)公司書(shū)面同意，禁止公開(kāi)承認(rèn)過(guò)錯(cuò)或承諾賠償客戶；如需支付勒索贖金，必須提前獲得保險(xiǎn)公司和公安書(shū)面許可，否則不予理賠。第十一章事后總結(jié)與改進(jìn)11.1總結(jié)報(bào)告事件結(jié)束后5個(gè)工作日內(nèi)，CSIRT撰寫(xiě)《事件總結(jié)報(bào)告》，包含：時(shí)間線、影響、處置、損失、不足、改進(jìn)計(jì)劃。報(bào)告密級(jí)：內(nèi)部機(jī)密，保存5年。11.2經(jīng)驗(yàn)教訓(xùn)庫(kù)建立Confluence頁(yè)面“CSIRTLessonsLearned”，按MITRE技法分類(lèi)，每條經(jīng)驗(yàn)必須包含：現(xiàn)象、根因、解決辦法、責(zé)任人、完成時(shí)限。11.3獎(jiǎng)懲條款對(duì)處置過(guò)程中表現(xiàn)突出的團(tuán)隊(duì)，給予人均1–3個(gè)月工資獎(jiǎng)勵(lì)；對(duì)瞞報(bào)、遲報(bào)、泄露內(nèi)部信息的人員，視情節(jié)給予警告至解除勞動(dòng)合同，并追究民事賠償；造成重大損失的，移交司法機(jī)關(guān)。第十二章培訓(xùn)與考核12.1培訓(xùn)學(xué)時(shí)新員工入職3個(gè)月內(nèi)完成4學(xué)時(shí)網(wǎng)絡(luò)安全應(yīng)急培訓(xùn)；技術(shù)響應(yīng)組成員每年≥16學(xué)時(shí)，含4學(xué)時(shí)實(shí)戰(zhàn)靶場(chǎng)。12.2考核方式理論：閉卷考試，80分合格；實(shí)操：隨機(jī)抽取應(yīng)急腳本，在實(shí)驗(yàn)環(huán)境完成“斷網(wǎng)取證恢復(fù)”全流程，30分鐘內(nèi)完成視為通過(guò)。未通過(guò)人員調(diào)離應(yīng)急響應(yīng)崗位，并扣減年度績(jī)效10%。第十三章預(yù)案維護(hù)13.1版本管理采用GitLab版本庫(kù)，文件命名：CSIRTPlanvX.Y.Z，每次修訂須提交MergeRequest，經(jīng)信息安全總監(jiān)審批后方可合并。13.2評(píng)審周期每季度召開(kāi)“預(yù)案評(píng)審會(huì)”，對(duì)流程、工具、通訊錄、合同進(jìn)行逐條核對(duì)，形成《評(píng)審紀(jì)要》。13.3修訂觸發(fā)條件a)組織架構(gòu)調(diào)整；b)監(jiān)管法規(guī)更新；c)演練或真實(shí)事件中暴露重大缺陷；d)關(guān)鍵技術(shù)棧（操作系統(tǒng)、云架構(gòu)、加密算法）升級(jí)。13.4發(fā)布與回收新版本發(fā)布后，舊版本必須在24小時(shí)內(nèi)回收，紙質(zhì)文件加蓋“作廢”章，掃描存檔3年后粉碎；電子版本統(tǒng)一移入“歷史庫(kù)”并降權(quán)為只讀。第十四章附錄14.1應(yīng)急通訊錄（節(jié)選）集團(tuán)CIO：張×24小時(shí)）信息安全總監(jiān)：李×網(wǎng)信辦值班：024××××××××公安網(wǎng)安：024××××××××MSSP項(xiàng)目經(jīng)理：王××400×××××××保險(xiǎn)理賠：400×××××××14.2應(yīng)急物資存放位置a)加密U盤(pán)：總部應(yīng)急指揮室保險(xiǎn)柜A01，密碼由CIO與信息安全總監(jiān)雙控；b)離線磁帶：數(shù)據(jù)中心地下一層LTO庫(kù)房，需指紋+機(jī)械鑰匙；c)應(yīng)急服務(wù)器：機(jī)柜編號(hào)RackA42，預(yù)裝ESXi，隨時(shí)可接管業(yè)務(wù)。14.3常用命令速查Windows斷網(wǎng)：netshadvfirewallsetallprofilesstateonnetshadvfirewallfirewall