17、信息安全事件处理流程_管理流程制度

信息安全事件处理流程

信息安全事件处理流程

目 录

1. 2. 3. 4. 5.

目的........................................................................................................................................... 3 范围........................................................................................................................................... 3 安全事件的范围 ....................................................................................................................... 3 信息安全事件的分类 ............................................................................................................... 3 信息安全事件的定义 ............................................................................................................... 4 5.1. 属于物理安全事件的定义 ........................................................................................... 4 5.2. 属于逻辑安全事件的定义 ........................................................................................... 4 6. 信息安全事件等级划分 ........................................................................................................... 5 7. 安全事件处理流程 ................................................................................................................... 6

7.1. A级事件处理流程 ....................................................................................................... 6 7.2. B级事件处理流程 ....................................................................................................... 8 7.3. C级事件处理流程 ..................................................................................................... 10 7.4. 流程中的事件处理方法说明（A、B、C级） ........................................................ 11

7.4.1. 报告 ................................................................................................................. 11 7.4.2. 备份 ................................................................................................................. 11 7.4.3. 隔离 ................................................................................................................. 12 7.4.4. 监视 ................................................................................................................. 12 7.4.5. 记录取证 ......................................................................................................... 12 7.4.6. 现场分析处理 ................................................................................................. 12 7.4.7. 阻止 ................................................................................................................. 13 7.4.8. 联系第三方 ..................................................................................................... 13 7.4.9. 恢复日常状态 ................................................................................................. 13 7.4.10. 加固处理 ......................................................................................................... 14 7.4.11. 重新入网 ......................................................................................................... 14 7.4.12. 汇报 ................................................................................................................. 14 7.4.13. 事件升级 ......................................................................................................... 14 7.4.14. 找出解决方案 ................................................................................................. 14 7.4.15. 事件结束 ......................................................................................................... 15

第2页 共15页

信息安全事件处理流程

1. 目的

为加强我司信息安全事件管理，全面提高我司网络与信息安全水平，保障网络通信畅通，提高网络服务质量，特制定本流程。

2. 范围

本策略适用于我司拥有的、控制和管理的所有信息系统、数据和网络环境，适用于属于我司所有机构和部门范围内的信息安全小组成员：包括安全管理员，系统管理员、网络管理员、数据库和业务应用管理员等所有维护人员。维护过程中所涉及的多种安全事件，我司所有科室和部门将遵照“积极预防、及时发现、快速反映、确保恢复”的方针，处理我司所有科室和部门中的各类安全事件。

3. 安全事件的范围

信息安全事件的范围为：

 我司信息系统中包含的软件、硬件（主机、存储）。  我司信息系统中包含的网络设备。  我司信息系统中包含的安全软件和设备。

4. 信息安全事件的分类

信息安全事件主要分为两大类：物理安全事件和逻辑安全事件。

物理安全事件：主要指我司信息系统的计算机设备、设施（含网络）以及其它媒体遭到人为的，或自然灾害引起的物理上的危害。物理安全事件由相关负责人员采取相应处理措施。

逻辑安全事件：指我司信息系统访问控制方面和信息的完整性、保密性和可用性方面遭到破坏，从而导致涉及的网络、操作系统、数据库、应用系统、人员管理等方面正常业务运行受到影响。

第3页 共15页

信息安全事件处理流程

5. 信息安全事件的定义

5.1. 属于物理安全事件的定义

1. 遭到物理闯入或计算机信息设备被窃； 2. 物理环境或设备遭到火灾或水灾等事故； 3. 物理设备由于机房环境灰尘或静电造成损坏；

4. 设备在运行过程意外（如果本身质量等问题）损坏，造成业务系统停止运行； 5. 管理维护人员在日常维护不小心损坏物理设备、线缆。造成网络中断。

5.2. 属于逻辑安全事件的定义

1. 非授权访问，通过入侵的方式进入到未被授权访问的网络中，而导致数据信

息泄漏；

2. 信息泄密，数据在传输中因数据被截取、篡改、分析等而造成信息的泄漏； 3. 拒绝服务，正常用户不能正常访问服务器提供的相关服务；

4. 系统性能严重下降，有不明的进程运行并占用大量的CPU处理时间； 5. 在系统日志中发现非法登录者； 6. 发现系统感染计算机病毒； 7. 发现有人在不断强行尝试登录系统； 8. 系统中出现不明的新用户账号；

9. 管理员收到来自其它站点系统管理员的警告信，指出系统可能被威胁； 10. 文件的访问权限被修改； 11. 因安全漏洞导致的系统问题； 12. 第三方服务供应商违反保密协议。

第4页 共15页

信息安全事件处理流程

6. 信息安全事件等级划分

第5页 共15页

信息安全事件处理流程

级别C（最低级） 判断标准为：计算机系统遭到非法攻击，但被成功阻止，没有造成损失或损失很轻微。 （资产不遭受威胁）  防火墙系统日志文件侦测到许多被系统拒绝的攻击或探测企图。  报告 找出解决方案 事件结束    应用服务器系统登录日志文件显示有人企图用管理员帐号登录，但登录失败。  在防病毒软件日志中发现清除/隔离的病毒或恶意代码日志。 7. 安全事件处理流程

当在此流程中遇到安全事件时，以下定义的A、B、C三个事件处理流程做为安全事件技术处理的子流程，相关事件处理流程、事件升级和汇报办法应制定相关的实发事件应急预案。

7.1. A级事件处理流程

A级事件 职 责 责任人/部门 1、信息人员 工作要求/控制点* 判断标准为：计算机系统已经遭到非法攻击，并造成严重损失。 （资产已经遭受威胁） 报告我司应急响应工作小组、信息中心或其他领导 备注 开始 K开始 报告 1、信息人员

第6页 共15页

信息安全事件处理流程

A级事件 职 责 责任人/部门 工作要求/控制点* 备注 1、信息人员 备份受影响的服务器或设 备份 2、相关管理员 备的所有事务日志以及在 内存和缓冲区内的数据。 1、信息人员 把受影响的服务器或设备 隔离 2、相关管理员 进行隔离，并关闭所有网络 访问接入点（网关、防火墙、拨号交换机等）。 1、信息人员 1、分析安全事件类型 2、相关管理员 2、分析安全事件排障方法 现场分析处理 3、预测和确认入侵方法及 时间 4、统计威胁造成的严重性 N Y 5、制定解决方案并处理 6、如果不能解决，则转入联系第三方 联系第三方安全咨询公1、信息人员 我司所有机构和部门安全 司、安全顾问、安全专2、相关管理员 管理员、相关系统管理员和家和安全、系统厂商等 第三方共同找出解决方案 1、信息人员 通知市信安办，并按照安全 通知市网络与信息安全2、相关管理员 事件类型择情向公安机关办公室，协助排障。择3、市信安办 报警。重大事件需上报省情报警和上报省局。 4、公安局 局。 1、信息人员 将系统恢复到日常运行状 2、相关管理员 态，恢复被黑客修改的数据恢复日常状态 3、市信安办 和文件； 安装系统patch,修补系统漏洞，通知相应的人员； 此次事件所有恢复系统的行为都应该记录在案。

第7页 共15页

信息安全事件处理流程

A级事件 职 责 责任人/部门 工作要求/控制点* 备注 加固处理 1、信息人员 根据解决方案，按照加固手2、相关管理员 册进行加固处理 重新入网 1、信息人员 把受影响的系统或设备重2、相关管理员 新入网，解除隔离状态 汇报 1、信息人员 进行善后处理。通知市信安办排障进度和情况。 结束 系统恢复运行，事件结束 安全事故处理报告抄送给我司进行归档 7.2. B级事件处理流程

B级事件 职 责 责任人/部门 工作要求/控制点* 判断标准为：计算机系统正在遭到非法攻击，不能马上判断是否造成损失。（不能马上判断资产是否遭受威胁） 报告信息安全应急相应工作小组、信息中心或财务部领导 备注 开始 K开始 报告 1、信息人员

第8页 共15页

信息安全事件处理流程

B级事件 职 责 责任人/部门 工作要求/控制点* 备注 1、信息人员 根据具体情况，判断是否继 是否可监视 2、相关管理员 续监视黑客行动。 Y N 1、信息人员 记录取证 记录其非法活动，取得证 2、相关管理员 据。 1、信息人员 1、分析安全事件类型 现场分析 2、相关管理员 2、分析排障方法 3、预测和确认入侵方法及时间 4、统计威胁造成的严重性 1、信息人员 实施更为详细的审计，如果 2、相关管理员 已经经过深层次的分析，已 事件升级 经造成损失，则转入为A级 安全事件。没有造成损失则 Y N 看是否可以阻止。 1、信息人员 是否能成功阻止黑客的攻 是否能阻止 2、相关管理员 击和非法访问 Y N 1、信息人员 必须立即隔离受影响的服 隔离 2、相关管理员 务器或设备和关闭所有网 络访问接入点（网关、防火墙、拨号交换机等）。 1、信息人员 通知市信安办，并按照安全 通知市网络与信息2、相关管理员 事件类型择情向公安机关安全办公室，协助排3、市信安办 报警。 障。择情报警。 4、公安局 1、信息人员 我司安全管理员、相关系统 联系第三方安全咨询公2、相关管理员 管理员和第三方共同找出司、安全顾问、安全专3、市信安办 解决方案 家和安全、系统厂商等 4、公安局 第9页 共15页 信息安全事件处理流程

B级事件 职 责 责任人/部门 工作要求/控制点* 备注 加固处理 1、信息人员 根据解决方案，按照加固手2、相关管理员 册进行加固处理 重新入网 1、信息人员 将受影响的系统或设备重2、相关管理员 新入网，解除隔离状态 1、信息人员 汇报 进行善后处理。通知市信安办排障进度和情况。 结束 系统恢复运行或升级为A级事件，事件结束 安全事故处理报告抄送给省我司进行归档 7.3. C级事件处理流程

C级事件 职 责 责任人/部门 工作要求/控制点* 判断标准为：计算机系统遭 到非法攻击，但被成功阻止，没有造成损失或损失很轻微。（资产不遭受威胁） 备注 开始 K开始 报告 1、相关管理员 及时通知信息人员。

第10页 共15页

信息安全事件处理流程

C级事件 职 责 责任人/部门 工作要求/控制点* 备注 1、相关管理员 对问题进行调查分析，务必 找出原因，并制订相应的预防对策。 找出解决方案 结束 系统恢复运行，事件结束。

7.4. 流程中的事件处理方法说明（A、B、C级）

7.4.1. 报告

如发生在信息中心区域内的重大信息安全事件：

A级事件：系统管理员应立即报告应急响应小组成员，然后通知相关领导，尽快协调解决，按照安全事件的类型通知市网络与信息安全办公室或公安局；重大事件可以越级汇报。

B级、C级事件：系统管理员应立即报告市网络与信息安全办公室和相关领导；

信息人员在接到报警后，应尽快赶至现场。

7.4.2. 备份

完全备份所有受影响的系统。 1. 所有的日志 2. 系统配置 3. 应用系统数据

4. 文件系统的“镜像备份”

第11页 共15页

信息安全事件处理流程

7.4.3. 隔离

隔离是指立即切断信息安全事故的源头。从物理上完全阻止入侵或攻击的继续。例如，关闭主路由器或断开相关网络连接（拔掉服务器网卡连线等）、物理隔离受攻击的服务器等。对于B级或B级以上的信息安全事故必须采取紧急隔离措施。

7.4.4. 监视

在断开受入侵或攻击设备和其他重要或敏感设备的网络连接后，可以对入侵者进行监控，记录入侵者在系统上所进行的所有活动，并在监控的基础上，跟踪入侵者，查出入侵或攻击源头（可以和其他网络或系统管理联系，以取得必要的技术协助）。

7.4.5. 记录取证

1. 防火墙日志文件 2. 防病毒系统日志文件 3. 网络监控日志文件 4. 路由器日志文件 5. 主交换机日志文件

6. 受影响计算机设备的安全审计记录

7. 所有系统的进程、帐号、配置文件属性记录 8. 进出受影响计算机设备的网络包

7.4.6. 现场分析处理

调查分析是安全事故事后处理的核心，其主要目的在于找到发生安全事故的原因和相关解决方案。需要注意的是，整个调查分析工作不得由不可信的单位进行全权处理。

在没有找到安全事故的原因或相关解决方案前，在不影响系统可用性的情况

第12页 共15页

信息安全事件处理流程

下，不得将受影响的计算机系统上线。

 根据收集到的信息做处理  分析入侵方式  分析入侵过程

 预测和确认入侵方法及时间  统计威胁造成的严重性  制定解决方案并处理

 如果不能解决，则转入联系第三方

7.4.7. 阻止

1. 对所有审计信息（如：系统日志文件）进行备份，并妥善保管； 2. 获取所有进程的状态信息并将其存在一个文件里，安全存放文件； 3. 所有可疑的文件都应该先转移到安全的地方或在磁带里存档，然后将其删

除；

4. 列出所有活动的网络连接，在分析员的帮助下获得系统的快照，记录所有的

行为。

5. 杀掉所有活动的黑客进程，并删除黑客在系统中留下的文件和程序； 6. 检查系统启动脚本，删除所有黑客遗留的启动任务；

7. 改变所有黑客访问过的帐户的口令，删除黑客自己开的帐号。记录所有行为。

7.4.8. 联系第三方

联系第三方安全咨询公司、安全顾问、安全专家和安全、系统厂商等。我司安全管理员、相关系统管理员和第三方共同找出解决方案。

7.4.9. 恢复日常状态

恢复日常状态包括对遭受安全事故影响的系统进行恢复和安全修复两方面的工作，使受损的系统能恢复正常运作，并作必要的技术处理，当相同的安全事故再次发生时，系统将不受其影响。

第13页 共15页

信息安全事件处理流程

1. 重新安装操作系统和应用程序 2. 恢复攻击前所有的正常数据 3. 根据该系统的配置文档进行配置

7.4.10. 加固处理

加固系统使系统避免遭受同类问题的破坏，在采用这些措施之前，有必要对系统的损坏程度进行评估，对恶意代码进行分析提供相应的解决方案。

根据解决方案，按照加固手册进行加固处理。

7.4.11. 重新入网

在经过加固处理后，确定系统恢复日常状态，可以重新接入网络，应根据相关的安全网络接入安全管理制度，把隔离的系统重新加入网络。解除隔离。

7.4.12. 汇报

根据安全事故的损失和后果，明确责任者，A级事件由我司一线应急指挥中心成员将安全事故的处理报告提交给有关我司相关部门领导。

对于B级或B级以上的信息安全事故，安全事故的处理报告必须抄送给我司进行归档。

对于涉及计算机犯罪的安全事故，安全事故的处理报告必须抄送给公安部门。

7.4.13. 事件升级

实施更为详细的审计功能，审计入侵行为是否对系统造成进一步的安全影响，如果已经经过深层次的分析，已经造成损失，则直接提升为A级安全事件。

7.4.14. 找出解决方案

对问题进行调查分析，务必找出原因，并制订相应的预防对策。

第14页 共15页

信息安全事件处理流程

7.4.15. 事件结束

系统恢复运行，事件结束。对于A级和B级安全事故处理报告抄送给省局信息中心进行归档。

对于B级事件，如果造成损失则转入A级事件，B级事件结束。

第15页 共15页