網(wǎng)絡(luò)安全之安全運(yùn)維管理

網(wǎng)絡(luò)安全之安全運(yùn)維管理目錄 前言 1.安全運(yùn)維管理要求 1.1.環(huán)境管理要求 1.2.資產(chǎn)管理要求 1.3.介質(zhì)管理要求 1.4.設(shè)備維護(hù)管理要求 1.5.漏洞和風(fēng)險(xiǎn)管理要求 1.6.網(wǎng)絡(luò)和系統(tǒng)安全管理要求 1.7.惡意代碼防范管理要求 1.8.配置管理要求 1.9.密碼管理要求 2.安全運(yùn)維管理措施 2.1.環(huán)境管理安全措施 2.2.資產(chǎn)管理安全措施 2.3.介質(zhì)管理安全措施 2.4.設(shè)備維護(hù)管理安全措施 2.5.漏洞和風(fēng)險(xiǎn)管理安全措施 2.6.網(wǎng)絡(luò)和系統(tǒng)安全管理 2.7.惡意代碼防范管理安全措施 2.8.配置管理安全措施 2.9.密碼管理安全措施 3.示例：xxx單位網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案 3.1.總則 3.1.2.編制依據(jù) 3.1.4.事件分級(jí) 第2頁(yè)共40頁(yè) 3.1.6.工作原則 3.2.組織體系與職責(zé) 3.3.應(yīng)急響應(yīng) 3.3.2.事件上報(bào) 3.4.信息管理 28 3.5.后期處置 293.6.保障措施 3.6.2.技術(shù)保障 3.7.2.應(yīng)急演練 3.8.1.預(yù)案更新 31第3頁(yè)共40頁(yè)附錄1《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》事件分級(jí) 附錄2應(yīng)急小組成員及聯(lián)系方式 附錄3重大網(wǎng)絡(luò)安全事件報(bào)告表 附錄4網(wǎng)絡(luò)安全事件處理結(jié)果報(bào)告 32附錄5網(wǎng)絡(luò)安全事件故障分析處置報(bào)告 33附錄6網(wǎng)絡(luò)故障事件專項(xiàng)預(yù)案 附錄7網(wǎng)站故障事件專項(xiàng)預(yù)案 附錄8關(guān)鍵應(yīng)用故障事件專項(xiàng)預(yù)案 39附錄9數(shù)據(jù)泄露事件專項(xiàng)預(yù)案 IT系統(tǒng)能否正常運(yùn)行直接關(guān)系到業(yè)務(wù)或生產(chǎn)是否能夠正常進(jìn)行。但I(xiàn)T管理人員經(jīng)常面臨的問(wèn)題是：網(wǎng)絡(luò)變慢、設(shè)備發(fā)生故障、應(yīng)用系統(tǒng)運(yùn)行效率很低。IT系統(tǒng)的任何故障如果沒(méi)有及時(shí)得到妥善處理都將會(huì)產(chǎn)生很大的影響，甚至?xí)斐删薮蟮慕?jīng)濟(jì)損失。IT部門通過(guò)采用相關(guān)的方法、手段、技術(shù)、制度、流程和文檔等，對(duì)IT運(yùn)行環(huán)境(如軟硬件環(huán)境、網(wǎng)絡(luò)環(huán)境等)、IT業(yè)務(wù)系統(tǒng)和IT運(yùn)維人員進(jìn)行綜合管理，構(gòu)建安全運(yùn)行維護(hù)體系。1.安全運(yùn)維管理要求1)應(yīng)指定專門的部門或人員負(fù)責(zé)機(jī)房安全，對(duì)機(jī)房出入進(jìn)行管理，定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制、消防等設(shè)施進(jìn)行維護(hù)管理。2)應(yīng)建立機(jī)房安全管理制度，對(duì)有關(guān)機(jī)房物理訪問(wèn)，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理做出規(guī)定。3)應(yīng)不在重要區(qū)域接待來(lái)訪人員，接待時(shí)桌面上沒(méi)有包含敏感信息的紙檔文件、移動(dòng)介質(zhì)等。1)應(yīng)編制并保存與保護(hù)對(duì)象相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容。2)應(yīng)根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理，根據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的管理措施。3)應(yīng)對(duì)信息分類與標(biāo)識(shí)方法做出規(guī)定，并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)行規(guī)范化管理。1)應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對(duì)各類介質(zhì)進(jìn)行控制和保護(hù)，實(shí)行存儲(chǔ)環(huán)境專人管理，并根據(jù)存檔介質(zhì)的目錄清單定期盤點(diǎn)。確定機(jī)房的第一責(zé)任人，所有外來(lái)人員進(jìn)入機(jī)房必須填寫《機(jī)房進(jìn)出申請(qǐng)表》(見(jiàn)表1),且經(jīng)過(guò)申請(qǐng)人申請(qǐng)日期訪問(wèn)日期停留時(shí)間人人員姓名證件類型證件號(hào)碼訪問(wèn)事由：陪同人員參觀測(cè)試線路安裝設(shè)備維護(hù)□其他訪問(wèn)審核：主管領(lǐng)導(dǎo)：歸檔人簽名：計(jì)算機(jī)審批后的機(jī)房進(jìn)入人員由當(dāng)日的值班人員陪同，并登記《機(jī)房出入管理登記簿》(見(jiàn)表2),記錄序號(hào)日期姓名事由進(jìn)入時(shí)間離開(kāi)時(shí)間陪同人員號(hào)o號(hào)表2機(jī)房出入管理登記簿第8頁(yè)共40頁(yè)心協(xié)調(diào)清潔人員，清潔一次灰塵。清潔期間當(dāng)日值班人員必須全程陪同，防止清潔人員誤操作。定期(至少每季度一次)檢查機(jī)房消防設(shè)備器材，并做好檢查記錄。定期對(duì)空調(diào)系統(tǒng)運(yùn)行的各項(xiàng)性能指標(biāo)(如風(fēng)量、溫升、濕度、潔凈度、溫度上升率等)進(jìn)行測(cè)試，并做好記錄，通過(guò)實(shí)際測(cè)量各項(xiàng)參數(shù)發(fā)現(xiàn)問(wèn)題及時(shí)解決，保證機(jī)房空調(diào)的正常運(yùn)行。機(jī)房?jī)?nèi)禁止隨意丟棄存儲(chǔ)介質(zhì)和有關(guān)業(yè)務(wù)保密數(shù)據(jù)資料，對(duì)廢棄存儲(chǔ)介質(zhì)和業(yè)務(wù)保密資料要及時(shí)銷毀，不得作為普通垃圾處理。嚴(yán)禁機(jī)房?jī)?nèi)的設(shè)備、存儲(chǔ)介質(zhì)、資料、工具等私自出借或帶出。機(jī)房?jī)?nèi)嚴(yán)禁堆放與機(jī)房設(shè)備無(wú)關(guān)的雜物，避免造成安全隱患。機(jī)房?jī)?nèi)應(yīng)保持清潔，嚴(yán)禁吸煙、喝水、吃東西、亂扔雜物、大聲喧嘩。機(jī)房禁止放置易燃、易爆、腐蝕、強(qiáng)磁性物品。禁止將機(jī)房?jī)?nèi)的電源引出挪作他用，確保機(jī)房安全。未經(jīng)許可，機(jī)房?jī)?nèi)嚴(yán)禁攝影、攝像。機(jī)房?jī)?nèi)機(jī)柜、設(shè)備未經(jīng)許可，不得任意改動(dòng)；如果已獲得許可，需詳細(xì)記錄改動(dòng)后的情況。進(jìn)入機(jī)房工作的人員有責(zé)任在工作完成后及時(shí)清理工作場(chǎng)地、清除垃圾、做好設(shè)備標(biāo)簽、關(guān)閉機(jī)柜柜門。3)機(jī)房值班管理機(jī)房值班員由內(nèi)部人員當(dāng)日輪值值班員負(fù)責(zé)。機(jī)房值班人員應(yīng)具有高度責(zé)任心，做到不遲到、不早退、不擅離職守。機(jī)房安裝的監(jiān)控設(shè)備，由專人監(jiān)控，值班人員須及時(shí)對(duì)可疑情況排查、確認(rèn)。機(jī)房值班人員應(yīng)按要求及時(shí)監(jiān)控機(jī)房?jī)?nèi)設(shè)備，包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲(chǔ)、安全設(shè)備、UPS、空調(diào)等設(shè)備的運(yùn)行，發(fā)現(xiàn)問(wèn)題妥善解決，并向相關(guān)崗位管理員報(bào)告。值班人員負(fù)責(zé)當(dāng)日的機(jī)房管理、安全檢查；發(fā)現(xiàn)問(wèn)題應(yīng)及時(shí)報(bào)告相應(yīng)系統(tǒng)或設(shè)備管理員，可協(xié)助初步處理網(wǎng)絡(luò)、服務(wù)器及其他各類設(shè)備的技術(shù)問(wèn)題，并做好處理記錄。值班人員須按照事先確定的巡檢頻率定時(shí)巡檢機(jī)房(每日至少一次),并填寫《機(jī)房巡檢記錄單》(見(jiàn)表3)。日期進(jìn)入時(shí)間出去時(shí)間攜帶物人員民事項(xiàng)日常巡檢設(shè)備安裝設(shè)備維帶庫(kù)維護(hù)網(wǎng)絡(luò)調(diào)整領(lǐng)物取物升級(jí)調(diào)妹境監(jiān)測(cè)外來(lái)參觀表3機(jī)房巡檢記錄單遞過(guò)程中必須親自交給接受方。敏感信息被傳遞到外部時(shí)，內(nèi)部的標(biāo)簽需要明確標(biāo)記為敏感信息，外盒或封套不標(biāo)記內(nèi)部信息字樣，由介質(zhì)保管者確定是否滿足包裝要求，并在介質(zhì)授權(quán)人批準(zhǔn)授權(quán)后方可帶出。發(fā)送給外部的介質(zhì)必須得到正確的追蹤。介質(zhì)使用者應(yīng)根據(jù)工作范圍劃分使用級(jí)別，嚴(yán)格控制使用權(quán)，嚴(yán)禁非法、越權(quán)使用。介質(zhì)需統(tǒng)一存儲(chǔ)在介質(zhì)管理庫(kù)中并統(tǒng)一登記，必須明確記錄介質(zhì)的轉(zhuǎn)移和使用。存儲(chǔ)設(shè)備的使用人員在安裝和使用時(shí)必須防止未授權(quán)的訪問(wèn)；介質(zhì)需提供給第三方使用時(shí)，應(yīng)先進(jìn)行審批登記。必須對(duì)所有介質(zhì)的出庫(kù)和入庫(kù)及其存儲(chǔ)記錄進(jìn)行控制，如要從庫(kù)中移出，由申請(qǐng)人或申請(qǐng)部門填寫《介質(zhì)進(jìn)出記錄表》(見(jiàn)表4)。對(duì)標(biāo)記為限制類的介質(zhì)需經(jīng)過(guò)領(lǐng)導(dǎo)和該介質(zhì)所屬業(yè)務(wù)部門領(lǐng)導(dǎo)簽字同意，對(duì)標(biāo)記為涉密的介質(zhì)需由高級(jí)管理層以上負(fù)責(zé)人簽字同意，方可移出。該記錄表至少保存1年以上，以備庫(kù)存管理和審計(jì)。序號(hào)物品名稱借用原因借用日期歸還日期IT管理員12345表4介質(zhì)進(jìn)出登記表所有含有敏感信息的介質(zhì)必須做好保密工作，禁止任何人擅自帶離；如更換或維修屬于合作方保修范圍內(nèi)的損壞介質(zhì)，需要和合作方簽訂保密協(xié)議，以防止泄漏其中的敏感信息。訪問(wèn)介質(zhì)必須要有授權(quán)，并在介質(zhì)管理人員處進(jìn)行登記，填寫《介質(zhì)使用授權(quán)表》(見(jiàn)表5)。序號(hào)物品名稱使用人員批準(zhǔn)人員時(shí)間123456789表5介質(zhì)使用授權(quán)表序號(hào)物品名稱管理人員銷毀原因銷毀時(shí)間123民456789計(jì)算機(jī)表6介質(zhì)銷毀記錄表對(duì)于保存待銷毀介質(zhì)的容器，應(yīng)進(jìn)行上鎖或加封條等操作，防止介質(zhì)被重新訪問(wèn)或使用。根據(jù)業(yè)務(wù)需要給工作人員發(fā)放U盤、移動(dòng)硬盤等移動(dòng)介質(zhì)僅作為業(yè)務(wù)需要之用。工作人員不得將組織發(fā)放的移動(dòng)介質(zhì)用于非工作用途。使用移動(dòng)介質(zhì)必須先進(jìn)行病毒掃描。工作人員私人移動(dòng)介質(zhì)不得存儲(chǔ)敏感信息。2.4.設(shè)備維護(hù)管理安全措施建立設(shè)備維護(hù)管理制度，更好地發(fā)揮計(jì)算機(jī)信息化的作用，促進(jìn)辦公自動(dòng)化、信息化的發(fā)展。應(yīng)指定專人負(fù)責(zé)IT設(shè)備的外觀保潔、保養(yǎng)和維護(hù)等日常管理工作。指定管理人員必須經(jīng)常檢查所管IT設(shè)備的狀況，保持設(shè)備的清潔、整齊，及時(shí)發(fā)現(xiàn)和解決問(wèn)題。IT設(shè)備使用者應(yīng)保持設(shè)備及其所在環(huán)境的清潔。嚴(yán)禁在旁存放易燃品、易爆品、腐蝕品和強(qiáng)磁性物品。嚴(yán)禁在鍵盤附近放置水杯、食物，防止異物掉入鍵盤。指定管理人員要定期對(duì)進(jìn)行維護(hù)。發(fā)現(xiàn)或發(fā)生故障時(shí)，使用者應(yīng)及時(shí)與信息中心聯(lián)系，設(shè)備使用人首先確保對(duì)數(shù)據(jù)、信息自行備份。當(dāng)IT設(shè)備無(wú)法自行維修時(shí)，如設(shè)備在保修期內(nèi)出現(xiàn)故障時(shí)，由信息中心直接與供應(yīng)商聯(lián)系維修事宜；如設(shè)備已過(guò)保修期需要報(bào)請(qǐng)外修時(shí)，信息中心要及時(shí)查明原因，填寫《IT設(shè)備維修申請(qǐng)單》(見(jiàn)表7),經(jīng)負(fù)責(zé)人審批后聯(lián)系維修事宜。申請(qǐng)部門填寫申請(qǐng)部門申請(qǐng)人申請(qǐng)日期設(shè)備名稱緊急程度*可等待(1～2天內(nèi)解決)*緊急(1～6小時(shí)內(nèi)解決)*非常緊急(0~1小時(shí)內(nèi)解決)問(wèn)題描述及要求：特別說(shuō)明號(hào)部門負(fù)責(zé)人意見(jiàn)行政部填寫維修詳情：維修結(jié)果：維修時(shí)間完工時(shí)間維修人申請(qǐng)人確認(rèn)計(jì)算機(jī)表7IT設(shè)備維修申請(qǐng)單外包人員對(duì)IT設(shè)備進(jìn)行維修時(shí)，信息中心指派人員陪同。若確實(shí)需要將含有敏感信息設(shè)備送至維修的IT設(shè)備作報(bào)廢處理，未到報(bào)廢期限的設(shè)備，經(jīng)信息中心批準(zhǔn)后作待報(bào)廢處理。當(dāng)IT設(shè)備需要報(bào)廢時(shí)，由申請(qǐng)報(bào)廢的部門IT第14頁(yè)共40頁(yè)申表人所在部門報(bào)廢原因申請(qǐng)人簽字部門負(fù)責(zé)人意見(jiàn)部門負(fù)責(zé)人簽字物品名稱所在部門Q分管領(lǐng)導(dǎo)意見(jiàn)分管領(lǐng)導(dǎo)簽字計(jì)算機(jī)表8IT設(shè)備報(bào)廢申請(qǐng)單由申請(qǐng)報(bào)廢的部門憑批準(zhǔn)后的《IT設(shè)備報(bào)廢申請(qǐng)單》將報(bào)廢設(shè)備交由信息中心進(jìn)行信息資源回收處理，含有涉密或敏感信息的存儲(chǔ)介質(zhì)需要進(jìn)行數(shù)據(jù)清除，并按照保密相關(guān)規(guī)定進(jìn)行報(bào)廢，避免信息泄露。應(yīng)制定和風(fēng)險(xiǎn)管理制度，制定的發(fā)現(xiàn)和補(bǔ)丁管理的獲取、測(cè)試、實(shí)施的流程，來(lái)封堵安全，消除安全隱患，確保信息系統(tǒng)正常、穩(wěn)定、可靠地運(yùn)行，以及推進(jìn)風(fēng)險(xiǎn)工作的開(kāi)展，確保風(fēng)險(xiǎn)評(píng)估實(shí)施的科學(xué)性、規(guī)范性和客觀性。管理是風(fēng)險(xiǎn)管理的過(guò)程，風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的基礎(chǔ)。風(fēng)險(xiǎn)管理是指導(dǎo)和控制組織風(fēng)險(xiǎn)的過(guò)程。式。ISO27001標(biāo)準(zhǔn)要求企業(yè)設(shè)計(jì)、實(shí)施、維護(hù)信息安全管理體系都要依據(jù)PDCA循環(huán)模式。針對(duì)風(fēng)險(xiǎn)評(píng)估的范圍，開(kāi)展詳細(xì)的風(fēng)險(xiǎn)分析(RA,RisksAnalysis),包括業(yè)務(wù)影響分析(BIA,BusinessImpactAnalysis)。風(fēng)險(xiǎn)分析的結(jié)果是風(fēng)險(xiǎn)評(píng)定的清單，并隨后體現(xiàn)在風(fēng)險(xiǎn)圖形化(又稱風(fēng)險(xiǎn)輪廓)展示。保證網(wǎng)絡(luò)通信暢通和IT系統(tǒng)的正常運(yùn)營(yíng)，提高網(wǎng)絡(luò)服務(wù)質(zhì)量，確保各類應(yīng)用系統(tǒng)穩(wěn)定、安全、高效重要網(wǎng)絡(luò)設(shè)備的口令要定期更改(周期應(yīng)不超過(guò)3個(gè)月),一般要設(shè)置八個(gè)字符以上，并且應(yīng)包含序號(hào)用戶名12345678表9用戶權(quán)限分配表用戶權(quán)限設(shè)置，按照確定的崗責(zé)體系以及各應(yīng)用系統(tǒng)的權(quán)限規(guī)則進(jìn)行，需遵循最小授權(quán)原則。新增、刪除或修改用戶權(quán)限，應(yīng)通過(guò)運(yùn)維平臺(tái)的用戶權(quán)限調(diào)整流程來(lái)完成。加強(qiáng)系統(tǒng)運(yùn)行日志和運(yùn)維管理日志的記錄分析工作，并定期(至少每季度一次)記錄本階段內(nèi)的系統(tǒng)異常行為，記錄結(jié)果填入《系統(tǒng)異常行為分析記錄單》。2.7.惡意代碼防范管理安全措施應(yīng)建立防病毒管理制度，對(duì)計(jì)算機(jī)進(jìn)行預(yù)防和治理，進(jìn)一步做好計(jì)算機(jī)的預(yù)防和控制工作，切實(shí)有效地防止病毒對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)的危害，實(shí)現(xiàn)對(duì)病毒的持續(xù)控制，保護(hù)計(jì)算機(jī)信息系統(tǒng)安全，保障計(jì)算機(jī)的安全應(yīng)用。同時(shí)，這部分的管理制度要與應(yīng)急管理和變更管理等相結(jié)合，防止在應(yīng)急響應(yīng)期間或因不正確的變更引入惡意代碼。1)病毒事件處理辦法終端用戶發(fā)現(xiàn)病毒必須立刻報(bào)告給信息中心，服務(wù)器人員發(fā)現(xiàn)病毒必須立刻報(bào)告給安全管理員，同時(shí)使用計(jì)算機(jī)自帶的殺毒軟件進(jìn)行病毒查殺。若防病毒軟件對(duì)病毒無(wú)效且病毒對(duì)系統(tǒng)、數(shù)據(jù)造成較大影響的，相關(guān)人員必須立刻聯(lián)系信息中心安全管理員。安全管理員必須詳細(xì)記錄下發(fā)生的時(shí)間、位置、種類、的具體功能、數(shù)據(jù)的損壞情況、硬件的損壞情況以及系統(tǒng)情況并進(jìn)行查殺處理；對(duì)于難以控制的惡性，為避免進(jìn)一步傳播，可以將被感染的從網(wǎng)絡(luò)中斷開(kāi)；事后安全管理員必須調(diào)查和分析整個(gè)事件，并發(fā)出適當(dāng)?shù)木妗?)主機(jī)和服務(wù)器防病毒策略所有必須有防軟件保護(hù)，同時(shí)對(duì)于文件保護(hù)不僅限于本地文件，也必須包括可移動(dòng)存儲(chǔ)設(shè)備中的文件。防軟件必須被設(shè)置成禁止用戶關(guān)閉警報(bào)、關(guān)閉防護(hù)功能和防卸載的措施，所有對(duì)防軟件的升級(jí)申請(qǐng)人電子郵件需要變更的系統(tǒng)名稱及用途責(zé)任部門負(fù)責(zé)人可預(yù)見(jiàn)的因變更導(dǎo)致系統(tǒng)穩(wěn)定性和安全性問(wèn)題因變更導(dǎo)致系統(tǒng)故障的恢復(fù)流程表10變更申請(qǐng)表③安全管理員對(duì)《變更申請(qǐng)表》的內(nèi)容進(jìn)行仔細(xì)研讀，確定變更操作安全可控后，在“xx⑥變更結(jié)束后由系統(tǒng)管理員和安全管理員共同對(duì)配置的公告.特別重大事件(口級(jí)).重大事件(口級(jí))及應(yīng)急響應(yīng)日常運(yùn)行小組評(píng)估，預(yù)計(jì)8小時(shí)內(nèi)不可恢復(fù)的。②除網(wǎng)站外，同時(shí)有4個(gè)及以上重要業(yè)務(wù)系統(tǒng)無(wú)法正常提供服務(wù)。.較大事件(口級(jí))急響應(yīng)日常運(yùn)行小組評(píng)估，預(yù)計(jì)在1小時(shí)以上8小時(shí)以內(nèi)可以恢復(fù)的。②除網(wǎng)站外，同時(shí)有2個(gè)及以上4個(gè)以下重要業(yè)務(wù)系統(tǒng)無(wú)法正常提供服務(wù)。.一般事件(口級(jí))應(yīng)日常運(yùn)行小組評(píng)估，預(yù)計(jì)1小時(shí)內(nèi)可以恢復(fù)的。主要由網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組部分成員、領(lǐng)導(dǎo)小組辦公室主要負(fù)責(zé)人構(gòu)成，由xxx任主要由xxx負(fù)責(zé)人、網(wǎng)絡(luò)安全管理人員、機(jī)房管理人員、運(yùn)維人員以及安全服務(wù)技術(shù)人員組成，(2)事件上報(bào)。應(yīng)急響應(yīng)協(xié)調(diào)小組負(fù)責(zé)填寫《附錄3重大網(wǎng)絡(luò)安全事件報(bào)告表》后級(jí)響應(yīng)由應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組啟動(dòng)，并向xxx網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組組長(zhǎng)報(bào)告，其他各應(yīng)急.口級(jí)響應(yīng)級(jí)響應(yīng)由應(yīng)急響應(yīng)協(xié)調(diào)小組啟動(dòng)，并報(bào)應(yīng)急響應(yīng)小組，其他各應(yīng)急響應(yīng)小組在應(yīng)急響應(yīng)領(lǐng)導(dǎo)小.口級(jí)響應(yīng)級(jí)響應(yīng)由應(yīng)急響應(yīng)協(xié)調(diào)小組啟動(dòng)，其他各應(yīng)急響應(yīng)小組在應(yīng)急響應(yīng)協(xié)調(diào)小組的統(tǒng)一指揮下，開(kāi)應(yīng)急響應(yīng)協(xié)調(diào)小組組織應(yīng)急響應(yīng)日常運(yùn)行小組和應(yīng)急響應(yīng)調(diào)查處置小組.口級(jí)響應(yīng)應(yīng)急響應(yīng)日常運(yùn)行小組組織應(yīng)急響應(yīng)調(diào)查處置小組的專業(yè)技術(shù)人員研究第28頁(yè)共40頁(yè)(1)事件認(rèn)定。收集網(wǎng)絡(luò)安全事件相關(guān)信息，識(shí)別事件類別，判斷破壞的來(lái)源與性質(zhì)，確保證據(jù)準(zhǔn)確，以便縮短應(yīng)急響應(yīng)時(shí)間。(2)控制事態(tài)發(fā)展。抑制事件的影響進(jìn)一步擴(kuò)大，限制潛在的損失與破壞。(3)事件消除。在事件被抑制之后，找出事件根源，明確響應(yīng)的補(bǔ)救措施并徹底清除。(4)系統(tǒng)恢復(fù)。修復(fù)被破壞的信息，清理系統(tǒng)，恢復(fù)數(shù)據(jù)、程序、服務(wù)，恢復(fù)信息系統(tǒng)。把所有被破壞的系統(tǒng)和網(wǎng)絡(luò)設(shè)備還原到正常運(yùn)行狀態(tài)?；謴?fù)工作中如果涉及敏感數(shù)據(jù)資料，要明確數(shù)據(jù)資料保管責(zé)任人，資料接觸人員要嚴(yán)格保密，做好敏感數(shù)據(jù)資料的防泄漏工作。(5)事件追蹤。關(guān)注系統(tǒng)恢復(fù)以后的安全狀況，特別是曾經(jīng)出現(xiàn)問(wèn)題的地方；建立跟蹤檔案，規(guī)范記錄跟蹤結(jié)果；對(duì)進(jìn)入司法程序的事件，配合國(guó)家相關(guān)部門進(jìn)行進(jìn)一步的調(diào)查，打擊違法犯罪活動(dòng)?，F(xiàn)場(chǎng)應(yīng)急處置工作在事件得到控制或者消除后，應(yīng)當(dāng)終止。(1)應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組決定終止應(yīng)急，或其他應(yīng)急響應(yīng)小組提出，經(jīng)應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組批準(zhǔn)；(2)應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組向組織處置事件的各應(yīng)急響應(yīng)小組下達(dá)應(yīng)急終止命令；(3)應(yīng)急狀態(tài)終止后，應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組應(yīng)根據(jù)xxx統(tǒng)一安排和實(shí)際情況，決定是否繼續(xù)進(jìn)行環(huán)境各應(yīng)急響應(yīng)小組和部門根據(jù)各自職責(zé)分工，及時(shí)收集、分析、匯總本部門或本系統(tǒng)網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況信息，安全風(fēng)險(xiǎn)及事件信息及時(shí)報(bào)告應(yīng)急響應(yīng)協(xié)調(diào)小組，由應(yīng)急響應(yīng)協(xié)調(diào)小組匯總后上報(bào)應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組。倡導(dǎo)社會(huì)公眾參與網(wǎng)絡(luò)、網(wǎng)站和信息系統(tǒng)安全運(yùn)行的監(jiān)督和信息報(bào)告，發(fā)現(xiàn)網(wǎng)絡(luò)、網(wǎng)站和信息系統(tǒng)發(fā)生安全事件時(shí)，應(yīng)及時(shí)報(bào)告。發(fā)生回級(jí)、回級(jí)網(wǎng)絡(luò)安全事件后，應(yīng)由應(yīng)急響應(yīng)協(xié)調(diào)小組及時(shí)填報(bào)《重大網(wǎng)絡(luò)安全事件報(bào)告表》,并在應(yīng)急事件終止后填報(bào)《重大網(wǎng)絡(luò)安全事件處理結(jié)果報(bào)告》。發(fā)生團(tuán)級(jí)、圖級(jí)網(wǎng)絡(luò)安全事件并處置完成后，應(yīng)由應(yīng)急響應(yīng)日常運(yùn)行小組及時(shí)填報(bào)《網(wǎng)絡(luò)安全事件故障分析處置報(bào)告》。信息報(bào)告內(nèi)容一般包括以下要素：事件發(fā)生時(shí)間、發(fā)生事故網(wǎng)絡(luò)信息系統(tǒng)名稱及運(yùn)營(yíng)使用管理單.應(yīng)急響應(yīng)技術(shù)服務(wù)第30頁(yè)共40頁(yè)①重要網(wǎng)絡(luò)和信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失，造成系統(tǒng)大面積癱瘓，喪失業(yè)務(wù)處理能力。①重要網(wǎng)絡(luò)和信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失，造成③其他對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益③其他對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益附錄2應(yīng)急小組成員及聯(lián)系方式工作組別姓名內(nèi)線多與心D計(jì)算附錄3重大網(wǎng)絡(luò)安全事件報(bào)告表電子郵件責(zé)任部門負(fù)責(zé)人初步判定的事件原因事件級(jí)別影響范圍□套設(shè)備(系統(tǒng))本地局域網(wǎng)本地廣域網(wǎng)□其他□xxx省國(guó)家安全局□xxx省通信管理局領(lǐng)導(dǎo)小組組長(zhǎng)簽字：計(jì)算如與網(wǎng)絡(luò)字附錄4網(wǎng)絡(luò)安全事件處理結(jié)果報(bào)告電子郵件(可增頁(yè)附文字、圖片以及其他文件)最終判定事件原因(可增頁(yè)附文字、圖片以及其他文件)事件級(jí)別□I級(jí)□Ⅱ級(jí)□業(yè)務(wù)中斷系統(tǒng)損壞其他影響范圍□套設(shè)備(系統(tǒng))本地廣域網(wǎng)□其他(可增頁(yè)附文字、圖片以及其他文件)(可增頁(yè)附文字、圖片以及其他文件)領(lǐng)導(dǎo)小組組長(zhǎng)簽字：附錄5網(wǎng)絡(luò)安全事件故障分析處置報(bào)告故障編號(hào)事件影響范圍故障發(fā)生時(shí)間故障修復(fù)時(shí)間業(yè)務(wù)修復(fù)時(shí)間故障總歷時(shí)故障等級(jí)□Ⅲ級(jí)□IV級(jí)審核人職時(shí)間收件人收到時(shí)間存檔時(shí)間其他說(shuō)明計(jì)算機(jī)與網(wǎng)絡(luò)安全附錄6網(wǎng)絡(luò)故障事件專項(xiàng)預(yù)案網(wǎng)絡(luò)恢復(fù)時(shí)首先保證網(wǎng)絡(luò)可用，再逐步恢復(fù)安全性、高可用性等功能。2.恢復(fù)步驟業(yè)務(wù)網(wǎng)絡(luò)恢復(fù)步驟主要分為三大部分：故障判斷、故障處理、故障恢復(fù)。故障處理流程見(jiàn)附錄6圖1所示和附錄6表1。手動(dòng)測(cè)試否是是是否有否否鏈路故障鏈路故障D否是計(jì)算機(jī)與網(wǎng)絡(luò)安全查看報(bào)警信息1登錄監(jiān)控系統(tǒng)，查看告警中心、拓?fù)鋱D有無(wú)告警監(jiān)控有報(bào)警時(shí)，根據(jù)網(wǎng)絡(luò)拓?fù)鋱D2單個(gè)設(shè)備報(bào)警時(shí)，手動(dòng)測(cè)試設(shè)備是否正常；如果正常，應(yīng)該是鏈路故障，更換備用鏈路或維修鏈路；如果不正常，應(yīng)該是設(shè)備故障，更換備用設(shè)備，或者跳過(guò)此設(shè)備或鏈路3多個(gè)設(shè)備報(bào)警時(shí)，需要使用ping,tracert等網(wǎng)絡(luò)工具從內(nèi)到外或從外到內(nèi)手動(dòng)測(cè)試故障位置。類型：如果是設(shè)備故障，更換備用設(shè)備變者跳過(guò)此設(shè)備或鏈路；如果是鏈路故障，更換備用鏈路或維修鏈路4存在從內(nèi)到外攻擊時(shí)，通或孤包確定源主機(jī)IP地址，并關(guān)閉源主機(jī)網(wǎng)絡(luò)連接，協(xié)調(diào)源主機(jī)維護(hù)方處理。存在從外到內(nèi)攻擊對(duì)，判斷來(lái)源IP地址是否為單一IP,如果是單一IP地址，聯(lián)系聯(lián)通禁止此IP訪問(wèn)：如果是多個(gè)IP,通知網(wǎng)警，聯(lián)通共同處理，并在設(shè)置辦公網(wǎng)防火墻，使辦公人員通過(guò)移動(dòng)線路上網(wǎng)5恢復(fù)正常后，通知領(lǐng)導(dǎo)報(bào)警解除，恢復(fù)正常運(yùn)營(yíng)6編制《網(wǎng)絡(luò)安全事件處理結(jié)果報(bào)告》計(jì)算機(jī)與網(wǎng)給安全第36頁(yè)共40頁(yè)計(jì)現(xiàn)與陰紹安生附錄6圖2網(wǎng)絡(luò)中各設(shè)備所在網(wǎng)絡(luò)位置替換方法1防火墻無(wú)無(wú)2無(wú)核心交換機(jī)設(shè)備為雙機(jī)，一臺(tái)故障時(shí)不影響使用，維修故障設(shè)備即可3導(dǎo)入故障設(shè)備配置，更換一算機(jī)與網(wǎng)絡(luò)安主導(dǎo)入故障設(shè)備配置，更換確認(rèn)病毒感染單臺(tái)計(jì)算機(jī)染毒部分區(qū)域計(jì)算機(jī)染毒網(wǎng)絡(luò)內(nèi)所有計(jì)算機(jī)染毒染毒未崩潰染毒崩潰染毒未崩潰染毒崩潰染毒未崩潰染毒崩潰將該計(jì)算機(jī)斷開(kāi)將連接將連接這些的算并所有交斷開(kāi)所有交換機(jī)以算機(jī)斷網(wǎng)絡(luò)連接，格式這些計(jì)機(jī)的交換析開(kāi)?；到y(tǒng)分區(qū)，重算機(jī)的將該什算規(guī)濟(jì)開(kāi)互聯(lián)網(wǎng)的連將部分有重要資料新安裝系統(tǒng)和殺述安、格式接，為所有的計(jì)算機(jī)資料備份毒軟件，殺毒軟斷布化緊統(tǒng)分區(qū)，重的計(jì)算機(jī)進(jìn)到移動(dòng)存儲(chǔ)設(shè)備；機(jī)進(jìn)行件安裝完畢和病對(duì)這些新安裝系統(tǒng)和殺為所有計(jì)算機(jī)重新殺毒處毒庫(kù)存更新后對(duì)計(jì)算機(jī)毒軟件，如有部安裝系統(tǒng)，殺毒軟理計(jì)算機(jī)其他分區(qū)進(jìn)行殺門重要資料存放件安裝完畢和病毒進(jìn)行殺毒處理毒處理在C區(qū)先將資料備份保存后再重裝系統(tǒng)，殺毒軟件安裝完畢和病毒更新后對(duì)計(jì)算機(jī)其他分區(qū)進(jìn)行殺毒處理丁包庫(kù)更新后對(duì)計(jì)算機(jī)其他分區(qū)進(jìn)行殺毒處理，然后安裝補(bǔ)丁包；最后對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行殺毒處理，將備份的文正常運(yùn)行計(jì)算機(jī)與網(wǎng)絡(luò)安全附錄7網(wǎng)站故障事件專項(xiàng)預(yù)案1.恢復(fù)順序系統(tǒng)恢復(fù)時(shí)首先確保數(shù)據(jù)的完整性和安全性。當(dāng)恢復(fù)復(fù)雜系統(tǒng)時(shí)，恢復(fù)進(jìn)程應(yīng)按照業(yè)務(wù)系統(tǒng)重要性的優(yōu)先順序進(jìn)行恢復(fù)，以避免對(duì)相關(guān)系統(tǒng)及業(yè)務(wù)產(chǎn)生重大影響。2.恢復(fù)步驟門戶網(wǎng)站頁(yè)面異常恢復(fù)步驟，主要分為三大部分：故障判斷、故障處理、故障恢復(fù)。詳細(xì)信息和故障處理流程見(jiàn)附錄7圖1和附錄7表1。和應(yīng)用日志，尋找其他異常D通過(guò)樹(shù)站目錄感染主機(jī)是流程說(shuō)明操作步驟1使用至少兩款瀏覽