收藏
下载资源

《护网演习网络安全应急预案》

上传人:sh****na 文档编号:260913525 上传时间:2022-03-01 格式:PDF 页数:25 大小:573.12KB
返回 下载 相关 举报
《护网演习网络安全应急预案》_第1页
第1页 / 共25页
《护网演习网络安全应急预案》_第2页
第2页 / 共25页
《护网演习网络安全应急预案》_第3页
第3页 / 共25页
《护网演习网络安全应急预案》_第4页
第4页 / 共25页
《护网演习网络安全应急预案》_第5页
第5页 / 共25页
点击查看更多>>
资源描述

《《护网演习网络安全应急预案》》由会员分享,可在线阅读,更多相关《《护网演习网络安全应急预案》(25页珍藏版)》请在金锄头文库上搜索。

1、护网演习信息安全应急预案2019 年 5 月目 录目 录 4第一章第一章 总则总则1.1编制目的编制目的为规范 XXXX 股份有限责任公司(以下简称“集团公司” )护网演习信息安全事件应急工作,提高应对突发信息安全事件的综合管理水平和应急处置能力,形成决策科学、措施有力、反应迅速的应急工作机制,有效防范信息系统风险,确保信息系统的安全、持续、稳定运行,降低信息安全事件的危害,特制定本预案。1.2编制依据编制依据以国家有关法规、规章、相关政策为依据,指导集团公司信息安全总体应急预案的编制工作。适用性法规标准主要有:中华人民共和国网络安全法中华人民共和国突发事件应对法 (国家主席令第 69 号)中

2、华人民共和国计算机信息系统安全保护条例 (国务院令第 147 号)国家突发公共事件总体应急预案国家网络与信息安全事件应急预案国务院有关部门和单位制定和修订突发事件应急预案框架指南 (国办函200433 号)GB/T 19715.1-2005 信息技术 安全技术 信息技术安全管理指南GB/Z 20986-2007 信息技术 信息安全事件分类分级指南GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求ISO 22301:2012 业务连续性管理体系XXXX 集团有限公司突发事件总体应急预案 51.3适用范围适用

3、范围本预案适用于集团公司总部及子分公司在护网演习期间网络与信息安全事件的预防、通报和应急处置工作。第二章组织机构及职责第二章组织机构及职责2.1集团公司组织机构集团公司组织机构护网期间,集团公司护网工作由网络安全与信息化领导小组牵头,成立护网行动指挥部、护网工作组、应急专家组对护网工作进行组织及整体把控。总部成立护网 2019 领导小组,负责护网工作的重大决策,统一领导和指挥调度,由集团网络安全和信息化分管领导任组长。成立护网行动指挥部,负责网络安全保障的工作部署、监督检查与应急调度。信息化部主要领导任组长,各业务职能部门和各单位信息分管领导为小组成员,其中办公厅负责护网指挥大厅场所及后勤保障

4、,财务部负责护网行动专项资金保障,法务部负责护 6网期间法律纠纷问题。指挥部下设护网工作组,负责护网具体组织协调、技术支撑相关工作,护网工作组下设安全监控组、技术研判组、应急处置组、事件上报组。安全监控组负责利用各类监测类设备发现并初步确认攻击事件。技术研判组负责根据上报事件,通过流量、日志及告警行为等信息,进行全面溯源分析,确认攻击事件的行为及影响范围,为应急处置组提供处置建议。应急处置组负责则在事件发生时进行隔离、断网,全面的排查、处置与恢复。事件上报组负责形成事件应急处置报告,上报护网工作组。 各工作组织人员安排详见附件一。2.2子分公司护网工作组子分公司护网工作组护网演习期间,各子分公

5、司参照集团公司组织架构,自行设置各工作组,设置各工作组与集团公司联系接口人员。2.3通联方式通联方式护网演习过程中的通联方式由以下几种:电话针对护网演习中的紧急事件通过手机、座机对事件相关人员进行实时通报。护网期间所有参与护网工作人员需保证手机 24h 开机。事件上报平台在事件处置完毕后,事件处置人员通过事件上报平台向相关人员上报完整处置材料。OA 系统在护网演习期间重大事件发生时,通过 OA 系统直接向指挥部集团领导进行正式汇报。 7第三章第三章 事件分级分类事件分级分类3.1事件分级事件分级3.1.1 一级事件3.1.1 一级事件若演习目标被控制,则定义事件为一级事件,对应XXXX 集团有

6、限公司突发事件总体应急预案安全红色预警及应急级响应。3.1.2 二级事件3.1.2 二级事件若重要系统或设备被控制,则定义事件为二级事件,对应XXXX 集团有限公司突发事件总体应急预案安全红色预警及应急级响应。3.1.3 三级事件3.1.3 三级事件若内网一般设备被控制,则定义事件为三级事件,对应XXXX 集团有限公司突发事件总体应急预案安全橙色预警及应急级响应。3.1.4 四级事件3.1.4 四级事件若 DMZ 区一般设备被控制,则定义事件为四级事件,对应XXXX 集团有限公司突发事件总体应急预案安全黄色预警及应急级响应。3.1.5 五级事件3.1.5 五级事件若 DMZ 区设备遭到攻击或内

7、网终端遭到攻击,则定义事件为五级事件。对应XXXX 集团有限公司突发事件总体应急预案安全黄色预警及应急级响应。 83.2事件分类事件分类3.2.1 木马后门事件3.2.1 木马后门事件木马后门事件主要包括:服务器中检测存在 WEB Shell 脚本木马、远程控制、键盘记录、Rootkit 等木马程序,将导致应用系统及服务器被黑客持续控制,甚至可作为跳板机进行对其他资产的深入攻击。3.2.2 异常登录事件3.2.2 异常登录事件异常登录事件主要包括:应用系统和服务器中检测存在克隆账号、隐藏账号,以及存在未授权用户、异常时间、异常来源登录等。3.2.3 钓鱼邮件事件3.2.3 钓鱼邮件事件钓鱼邮件

8、事件主要包括:邮件附件包含恶意代码、恶意链接,从而可导致员工内部主机被控,或泄露重要敏感信息。3.2.4 漏洞攻击事件3.2.4 漏洞攻击事件漏洞攻击事件往往从攻击人员漏洞扫描探测发现漏洞开始,之后通过对漏洞点进行分析并深入利用,从而从存在漏洞系统获取相应的敏感信息甚至直接拿下系统的控制权限。3.2.5 暴力破解事件3.2.5 暴力破解事件暴力破解事件主要包括:对主机、终端设备、应用系统账号密码的暴力破解,黑客通过信息收集,生成暴力破解字典,或根据已泄露的密码进行撞库,从而可能导致系统密码被黑客破解。 93.2.6 数据窃取事件3.2.6 数据窃取事件数据窃取事件主要包括:敏感信息爬取,利用任

9、意文件读取等漏洞窃据敏感文件,利用 SQL 注入漏洞等窃取数据库敏感信息,以及入侵成功后拖取数库等行为。3.2.7 拒绝服务事件3.2.7 拒绝服务事件拒绝服务事件主要包括:CC 攻击、DOS 攻击、DDOS 攻击、DRDOS 攻击。一旦遭受拒绝服务攻击,可导致服务器宕机,网络阻塞,从而破坏正常的业务稳定运行。第四章第四章 应急处置总体流程应急处置总体流程 安全事件处置流程由护网行动指挥部进行制定,在安全事件发生时由安全监控组、技术研判组、应急处置组、事件上报组、护网行动指挥部按照以下流程协调配合最终达到有效完成安全事件处置的目的。总体工作流程图如下图所示:第五章第五章 事件分级流转事件分级流

10、转按照扁平化指挥原则,通过建立护网行动即时通讯群组,总部在群组中及时发布预 10警信息指令,子分公司及时通过群组向总部进行事件汇报。针对重大事件的发生,总部及子分公司相关人员应第一时间通过电话向总部领导汇报情况。正式情况材料按照处置流程通过 OA 系统、事件上报平台上报。5.1一级事件一级事件总部:在演习过程中发生一级安全事件时,技术研判组应当在第一时间通过即时通讯群组及电话的形式向护网行动指挥部报告事件情况,并生成安全事件简报上报护网行动指挥部,不得迟报、谎报、瞒报和漏报,护网行动指挥部对事件简报内容进行确认,并部署应急处置组迅速开展应急处置工作。在事件处置完成后,应急处置组应立即梳理出信息

11、安全事件书面报告交付事件上报组,由其通过事件上报平台向事件有关部门进行通报。同时信息安全事件书面报告的内容要简明、准确,主要包括:时间、地点、信息来源、事件起因和性质、基本过程、已造成的后果影响及涉及财产损失、影响范围、发展趋势、处置情况、拟采取的措施、单位全称、联系人和联系电话等。子分公司:按照护网行动指挥部统一安排配合其进行事件处置。5.2二级事件二级事件总部:在演习过程中发生二级安全事件时,处置流程与一级事件相同。在事件处置完成后,应急处置组可在一个工作日内,梳理出信息安全事件书面报告(报告要求同一级响应报告内容)交付事件上报组,由其通过事件上报平台向事件有关部门进行通报。子分公司:子分

12、公司工作组应当在第一时间通过即时通讯群组及电话的形式向总部上报组报告事件情况,并提交事件证据相关材料,事件上报组需在收到子分公司上报信息后,将相关材料信息转交技术研判组,由技术研判组对子分公司上报信息进行研判,子分公司在 11技术研判组指导下完成事件处置。在事件处置完成后的一个工作日内,梳理出信息安全事件书面报告(报告要求同一级响应报告内容) ,通过事件上报平台向总部事件上报组进行通报。5.3三级事件三级事件总部:在演习过程中发生三级安全事件时,技术研判组应当在第一时间通过及时通讯群组向事件相关人员及护网行动指挥部报告事件情况,汇报流程与一级相同,不得迟报、谎报、瞒报和漏报,同时迅速开展应急处

13、置工作。在事件处置完成后的在一个工作日内,梳理出信息安全事件书面报告(报告要求同一级响应报告内容) ,通过事件上报平台向相关部门进行通报。子分公司:子分公司工作组应当在第一时间通过即时通讯群组及电话的形式向事件上报组报告事件情况,并自行完成事件处置。在事件处置完成后,应在一个工作日内,梳理出信息安全事件书面报告(报告要求同一级响应报告内容) ,通过事件上报平台向总部事件上报组进行通报。5.4四级事件四级事件总部:在演习过程中发生四级安全事件时,技术研判组应当在第一时间通过及时通讯群组向事件相关人员及护网行动指挥部报告,汇报流程与一级相同,不得迟报、谎报、瞒报和漏报,同时迅速开展应急处置工作。在

14、事件处置完成后,应在两个工作日内,梳理出信息安全事件书面报告(报告要求同一级响应报告内容) ,通过事件上报平台向相关部门进行通报。子分公司:子分公司工作组应当在第一时间通过即时通讯群组及电话的形式向事件上报组报告事件情况,并自行完成事件处置。在事件处置完成后,应在两个工作日内,梳理出信息 12安全事件书面报告(报告要求同一级响应报告内容) ,通过事件上报平台向总部事件上报组进行通报。5.5五级事件五级事件总部:在演习过程中发生五级安全事件时,技术研判组应当在第一时间通过及时通讯群组向事件相关人员及护网行动指挥部报告,不得迟报、谎报、瞒报和漏报,同时迅速开展应急处置工作。在事件处置完成后,在演习

15、结束前,应在两个工作日内,梳理出信息安全事件书面报告(报告要求同一级响应报告内容) ,通过事件上报平台向相关部门进行通报。子分公司:子分公司工作组应当在第一时间通过即时通讯群组及电话的形式向事件上报组报告事件情况,并自行完成事件处置。在事件处置完成后,在演习结束前,梳理出信息安全事件书面报告(报告要求同一级响应报告内容) ,通过事件上报平台向总部事件上报组进行通报。5.6事件级别调整事件级别调整总部:在进行应急处理过程中,如应急处置组发现事件影响程度及范围不符合初步判定,应及时与技术研判组沟通,同时向护网行动指挥部反馈,由其共同对事件级别进行重新判定。在总部接到子分公司上报的二级及以上事件后,

16、应由技术研判组对事件级别进行判定,若确认级别为三级及以下事件,则通过事件上报组向子分公司反馈,由子分公司按照新事件级别进行处置。子分公司:在进行应急处理过程中,如发现事件影响程度及范围不符合初步判定,应及时对事件级别进行重新判定及处置。 13第六章第六章 监测与巡检监测与巡检6.1实时监测实时监测总部及各子分公司对演习目标、重点目标及安全防护设备的报警信息进行实时监测,分析甄别网络中设备被控制的报警和线索信息,并按照应急处置预案进行处置。监测要求:监测要求:护网演习期间进行 7*24 小时不间断监测,监测发现的可疑信息及时提交技术研判组研判。监测范围:监测范围:监测范围为安全防护设备及演习相关业务系统。6.2安全巡检安全巡检总部及各子分公司对非演习目标系统、一般设备、互联网暴露设备进行安全巡检,分析甄别异常信息,并按照应急处置预案进行处置。巡检要求:巡检要求:总部组及子分公司应急处置组负责对本单位的资产进行巡检,其中非演习目标系统、互联网暴漏设备每隔 2 小时巡检一次并填写“安全巡检记录单” ,一般设备每隔 4小时巡检一次并填写“安全巡检记录单” 。巡检范围:巡检范围:巡检范围为非演习

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号