护网演习信息安全应急预案
2019 年 5 月
目 录
第一章 总则 ................................................................................................................................................4
1.1
1.2
1.3
编制目的 ........................................................................................................................................4
编制依据 ........................................................................................................................................4
适用范围 ........................................................................................................................................5
第二章 组织机构及职责 ............................................................................................................................5
2.1
2.2
2.3
集团公司组织机构 .........................................................................................................................5
子分公司护网工作组 .....................................................................................................................6
通联方式 ........................................................................................................................................6
第三章 事件分级分类 ................................................................................................................................7
3.1
事件分级 ........................................................................................................................................7
3.1.1
3.1.2
3.1.3
3.1.4
3.1.5
一级事件 ................................................................................................................................7
二级事件 ................................................................................................................................7
三级事件 ................................................................................................................................7
四级事件 ................................................................................................................................7
五级事件 ................................................................................................................................7
3.2
事件分类 ........................................................................................................................................8
3.2.1
3.2.2
3.2.3
3.2.4
3.2.5
3.2.6
3.2.7
木马后门事件 ........................................................................................................................8
异常登录事件 ........................................................................................................................8
钓鱼邮件事件 ........................................................................................................................8
漏洞攻击事件 ........................................................................................................................8
暴力破解事件 ........................................................................................................................8
数据窃取事件 ........................................................................................................................9
拒绝服务事件 ........................................................................................................................9
第四章 应急处置总体流程 ........................................................................................................................9
第五章 事件分级流转 ................................................................................................................................9
5.1
一级事件 ......................................................................................................................................
10
5.2
5.3
5.4
5.5
5.6
二级事件 ......................................................................................................................................
三级事件 ......................................................................................................................................
四级事件 ......................................................................................................................................
五级事件 ......................................................................................................................................
10
11
11
12
事件级别调整 ..............................................................................................................................
12
第六章 监测与巡检 ..................................................................................................................................
13
6.1
6.2
实时监测 ......................................................................................................................................
安全巡检 ......................................................................................................................................
13
13
第七章 应急响应 ......................................................................................................................................
14
7.1
事件分级响应 ..............................................................................................................................
14
7.1.1
7.1.2
7.1.3
7.1.4
7.1.5
一级事件 ..............................................................................................................................
14
二级事件 ..............................................................................................................................
14
三级事件 ..............................................................................................................................
14
四级事件 ..............................................................................................................................
15
五级事件 ..............................................................................................................................
15
7.2
事件分类处置 ..............................................................................................................................
15
7.2.1
7.2.2
7.2.3
7.2.4
7.2.5
7.2.6
7.2.7
木马后门事件处置 .............................................................................................................. 16
异常登录事件处置 .............................................................................................................. 16
钓鱼邮件事件处置 .............................................................................................................. 17
漏洞攻击事件处置 .............................................................................................................. 18
暴力破解事件处置 .............................................................................................................. 19
数据窃取事件处置 .............................................................................................................. 20
拒绝服务事件处置 .............................................................................................................. 21
7.3
事件应急关闭 ..............................................................................................................................
23
附件 ...............................................................................................................................................................
24
附件一:集团公司护网行动信息安全应急组织机构成员名单
............................................................ 24
第一章 总则
1.1 编制目的
为规范 XXXX 股份有限责任公司(以下简称“集团公司” )护网演习信息安全事件
应急工作,提高应对突发信息安全事件的综合管理水平和应急处置能力, 形成决策科学、
措施有力、反应迅速的应急工作机制,有效防范信息系统风险,确保信息系统的安全、
持续、稳定运行,降低信息安全事件的危害,特制定本预案。
1.2 编制依据
以国家有关法规、规章、相关政策为依据,指导集团公司信息安全总体应急预案的
编制工作。适用性法规标准主要有:
《中华人民共和国网络安全法》
《中华人民共和国突发事件应对法》 (国家主席令第 69 号)
《中华人民共和国计算机信息系统安全保护条例》 (国务院令第 147 号)
《国家突发公共事件总体应急预案》
《国家网络与信息安全事件应急预案》
《国务院有关部门和单位制定和修订突发事件应急预案框架指南》 (国办函 [2004]33
号)
《GB/T 19715.1-2005 信息技术 安全技术 信息技术安全管理指南》
《GB/Z 20986-2007 信息技术 信息安全事件分类分级指南》
《GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范》
《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》
《ISO 22301:2012 业务连续性管理体系》
《XXXX 集团有限公司突发事件总体应急预案》
4
1.3 适用范围
本预案适用于集团公司总部及子分公司在护网演习期间网络与信息安全事件的预防、
通报和应急处置工作。
第二章 组织机构及职责
2.1 集团公司组织机构
护网期间,集团公司护网工作由网络安全与信息化领导小组牵头,成立护网行动指
挥部、护网工作组、应急专家组对护网工作进行组织及整体把控。
总部成立护网 2019 领导小组, 负责护网工作的重大决策, 统一领导和指挥调度, 由
集团网络安全和信息化分管领导任组长。
成立护网行动指挥部,负责网络安全保障的工作部署、监督检查与应急调度。信息
化部主要领导任组长,各业务职能部门和各单位信息分管领导为小组成员,其中办公厅
负责护网指挥大厅场所及后勤保障,财务部负责护网行动专项资金保障,法务部负责护
5
网期间法律纠纷问题。
指挥部下设护网工作组,负责护网具体组织协调、技术支撑相关工作,护网工作组
下设安全监控组、技术研判组、应急处置组、事件上报组。
安全监控组负责利用各类监测类设备发现并初步确认攻击事件。
技术研判组负责根据上报事件,通过流量、日志及告警行为等信息,进行全面溯源
分析,确认攻击事件的行为及影响范围,为应急处置组提供处置建议。
应急处置组负责则在事件发生时进行隔离、断网,全面的排查、处置与恢复。
事件上报组负责形成事件应急处置报告,上报护网工作组。
各工作组织人员安排详见附件一。
2.2 子分公司护网工作组
护网演习期间,各子分公司参照集团公司组织架构,自行设置各工作组,设置各工
作组与集团公司联系接口人员。
2.3 通联方式
护网演习过程中的通联方式由以下几种:
电话
针对护网演习中的紧急事件通过手机、座机对事件相关人员进行实时通报。护网期
间所有参与护网工作人员需保证手机 24h 开机。
事件上报平台
在事件处置完毕后,事件处置人员通过事件上报平台向相关人员上报完整处置材料。
OA 系统
在护网演习期间重大事件发生时,通过 OA 系统直接向指挥部集团领导进行正式汇
报。
6
第三章 事件分级分类
3.1 事件分级
3.1.1 一级事件
若演习目标被控制,则定义事件为一级事件,对应《 XXXX 集团有限公司突发事件
总体应急预案》安全红色预警及应急Ⅰ级响应。
3.1.2 二级事件
若重要系统或设备被控制,则定义事件为二级事件,对应《 XXXX 集团有限公司突
发事件总体应急预案》安全红色预警及应急Ⅰ级响应。
3.1.3 三级事件
若内网一般设备被控制,则定义事件为三级事件,对应《 XXXX 集团有限公司突发
事件总体应急预案》安全橙色预警及应急Ⅱ级响应。
3.1.4 四级事件
若 DMZ 区一般设备被控制,则定义事件为四级事件,对应《 XXXX 集团有限公司
突发事件总体应急预案》安全黄色预警及应急Ⅲ级响应。
3.1.5 五级事件
若 DMZ 区设备遭到攻击或内网终端遭到攻击, 则定义事件为五级事件。 对应《XXXX
集团有限公司突发事件总体应急预案》安全黄色预警及应急Ⅲ级响应。
7
3.2 事件分类
3.2.1 木马后门事件
木马后门事件主要包括:服务器中检测存在 WEB Shell 脚本木马、远程控制、键盘
记录、Rootkit 等木马程序,将导致应用系统及服务器被黑客持续控制,甚至可作为跳板
机进行对其他资产的深入攻击。
3.2.2 异常登录事件
异常登录事件主要包括:应用系统和服务器中检测存在克隆账号、隐藏账号,以及
存在未授权用户、异常时间、异常来源登录等。
3.2.3 钓鱼邮件事件
钓鱼邮件事件主要包括:邮件附件包含恶意代码、恶意链接,从而可导致员工内部
主机被控,或泄露重要敏感信息。
3.2.4 漏洞攻击事件
漏洞攻击事件往往从攻击人员漏洞扫描探测发现漏洞开始,之后通过对漏洞点进行
分析并深入利用,从而从存在漏洞系统获取相应的敏感信息甚至直接拿下系统的控制权
限。
3.2.5 暴力破解事件
暴力破解事件主要包括:对主机、终端设备、应用系统账号密码的暴力破解,黑客
通过信息收集,生成暴力破解字典,或根据已泄露的密码进行撞库,从而可能导致系统
密码被黑客破解。
8