您的位置:360文档中心› 17、信息安全事件处理流程_管理流程制度

17、信息安全事件处理流程_管理流程制度

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

附录16

信息安全事件处理流程

目录

1. 目的 (3)

2. 范围 (3)

3. 安全事件的范围 (3)

4. 信息安全事件的分类 (3)

5. 信息安全事件的定义 (4)

5.1. 属于物理安全事件的定义 (4)

5.2. 属于逻辑安全事件的定义 (4)

6. 信息安全事件等级划分 (5)

7. 安全事件处理流程 (6)

7.1. A级事件处理流程 (6)

7.2. B级事件处理流程 (8)

7.3. C级事件处理流程 (10)

7.4. 流程中的事件处理方法说明(A、B、C级) (11)

7.4.1. 报告 (11)

7.4.2. 备份 (11)

7.4.3. 隔离 (12)

7.4.4. 监视 (12)

7.4.5. 记录取证 (12)

7.4.6. 现场分析处理 (12)

7.4.7. 阻止 (13)

7.4.8. 联系第三方 (13)

7.4.9. 恢复日常状态 (13)

7.4.10. 加固处理 (14)

7.4.11. 重新入网 (14)

7.4.12. 汇报 (14)

7.4.13. 事件升级 (14)

7.4.14. 找出解决方案 (14)

7.4.15. 事件结束 (15)

1.目的

为加强我司信息安全事件管理,全面提高我司网络与信息安全水平,保障网络通信畅通,提高网络服务质量,特制定本流程。

2.范围

本策略适用于我司拥有的、控制和管理的所有信息系统、数据和网络环境,适用于属于我司所有机构和部门范围内的信息安全小组成员:包括安全管理员,系统管理员、网络管理员、数据库和业务应用管理员等所有维护人员。维护过程中所涉及的多种安全事件,我司所有科室和部门将遵照“积极预防、及时发现、快速反映、确保恢复”的方针,处理我司所有科室和部门中的各类安全事件。

3.安全事件的范围

信息安全事件的范围为:

✧我司信息系统中包含的软件、硬件(主机、存储)。

✧我司信息系统中包含的网络设备。

✧我司信息系统中包含的安全软件和设备。

4.信息安全事件的分类

信息安全事件主要分为两大类:物理安全事件和逻辑安全事件。

物理安全事件:主要指我司信息系统的计算机设备、设施(含网络)以及其它媒体遭到人为的,或自然灾害引起的物理上的危害。物理安全事件由相关负责人员采取相应处理措施。

逻辑安全事件:指我司信息系统访问控制方面和信息的完整性、保密性和可用性方面遭到破坏,从而导致涉及的网络、操作系统、数据库、应用系统、人员管理等方面正常业务运行受到影响。

5.信息安全事件的定义

5.1. 属于物理安全事件的定义

1.遭到物理闯入或计算机信息设备被窃;

2.物理环境或设备遭到火灾或水灾等事故;

3.物理设备由于机房环境灰尘或静电造成损坏;

4.设备在运行过程意外(如果本身质量等问题)损坏,造成业务系统停止运行;

5.管理维护人员在日常维护不小心损坏物理设备、线缆。造成网络中断。5.2. 属于逻辑安全事件的定义

1.非授权访问,通过入侵的方式进入到未被授权访问的网络中,而导致数据信

息泄漏;

2.信息泄密,数据在传输中因数据被截取、篡改、分析等而造成信息的泄漏;

3.拒绝服务,正常用户不能正常访问服务器提供的相关服务;

4.系统性能严重下降,有不明的进程运行并占用大量的CPU处理时间;

5.在系统日志中发现非法登录者;

6.发现系统感染计算机病毒;

7.发现有人在不断强行尝试登录系统;

8.系统中出现不明的新用户账号;

9.管理员收到来自其它站点系统管理员的警告信,指出系统可能被威胁;

10.文件的访问权限被修改;

11.因安全漏洞导致的系统问题;

12.第三方服务供应商违反保密协议。

6.信息安全事件等级划分

7.安全事件处理流程

当在此流程中遇到安全事件时,以下定义的A、B、C三个事件处理流程做为安全事件技术处理的子流程,相关事件处理流程、事件升级和汇报办法应制定相关的实发事件应急预案。

7.1. A级事件处理流程

7.2. B级事件处理流程

7.3. C级事件处理流程

7.4. 流程中的事件处理方法说明(A、B、C级)

7.4.1.报告

如发生在信息中心区域内的重大信息安全事件:

A级事件:系统管理员应立即报告应急响应小组成员,然后通知相关领导,尽快协调解决,按照安全事件的类型通知市网络与信息安全办公室或公安局;重大事件可以越级汇报。

B级、C级事件:系统管理员应立即报告市网络与信息安全办公室和相关领导;

信息人员在接到报警后,应尽快赶至现场。

7.4.2.备份

完全备份所有受影响的系统。

1.所有的日志

2.系统配置

3.应用系统数据

4.文件系统的“镜像备份”

7.4.3.隔离

隔离是指立即切断信息安全事故的源头。从物理上完全阻止入侵或攻击的继续。例如,关闭主路由器或断开相关网络连接(拔掉服务器网卡连线等)、物理隔离受攻击的服务器等。对于B级或B级以上的信息安全事故必须采取紧急隔离措施。

7.4.4.监视

在断开受入侵或攻击设备和其他重要或敏感设备的网络连接后,可以对入侵者进行监控,记录入侵者在系统上所进行的所有活动,并在监控的基础上,跟踪入侵者,查出入侵或攻击源头(可以和其他网络或系统管理联系,以取得必要的技术协助)。

7.4.5.记录取证

1.防火墙日志文件

2.防病毒系统日志文件

3.网络监控日志文件

4.路由器日志文件

5.主交换机日志文件

6.受影响计算机设备的安全审计记录

7.所有系统的进程、帐号、配置文件属性记录

8.进出受影响计算机设备的网络包

7.4.6.现场分析处理

调查分析是安全事故事后处理的核心,其主要目的在于找到发生安全事故的原因和相关解决方案。需要注意的是,整个调查分析工作不得由不可信的单位进行全权处理。

在没有找到安全事故的原因或相关解决方案前,在不影响系统可用性的情况

相关文档
最新文档