17、信息安全事件处理流程_管理流程制度

附录16

信息安全事件处理流程

目录

1.目的 (3)

2.范围 (3)

3.安全事件的范围 (3)

4.信息安全事件的分类 (3)

5.信息安全事件的定义 (4)

5.1.属于物理安全事件的定义 (4)

5.2.属于逻辑安全事件的定义 (4)

6.信息安全事件等级划分 (5)

7.安全事件处理流程 (6)

7.1.A级事件处理流程 (6)

7.2.B级事件处理流程 (8)

7.3.C级事件处理流程 (10)

7.4.流程中的事件处理方法说明（A、B、C级） (11)

7.4.1.报告 (11)

7.4.2.备份 (11)

7.4.3.隔离 (12)

7.4.4.监视 (12)

7.4.5.记录取证 (12)

7.4.6.现场分析处理 (12)

7.4.7.阻止 (13)

7.4.8.联系第三方 (13)

7.4.9.恢复日常状态 (13)

7.4.10.加固处理 (14)

7.4.11.重新入网 (14)

7.4.12.汇报 (14)

7.4.13.事件升级 (14)

7.4.14.找出解决方案 (15)

7.4.15.事件结束 (15)

1.目的

为加强我司信息安全事件管理，全面提高我司网络与信息安全水平，保障网络通信畅通，提高网络服务质量，特制定本流程。

2.范围

本策略适用于我司拥有的、控制和管理的所有信息系统、数据和网络环境，适用于属于我司所有机构和部门范围内的信息安全小组成员：包括安全管理员，系统管理员、网络管理员、数据库和业务应用管理员等所有维护人员。维护过程中所涉及的多种安全事件，我司所有科室和部门将遵照“积极预防、及时发现、快速反映、确保恢复”的方针，处理我司所有科室和部门中的各类安全事件。

3.安全事件的范围

信息安全事件的范围为：

?我司信息系统中包含的软件、硬件（主机、存储）。

?我司信息系统中包含的网络设备。

?我司信息系统中包含的安全软件和设备。

4.信息安全事件的分类

信息安全事件主要分为两大类：物理安全事件和逻辑安全事件。

物理安全事件：主要指我司信息系统的计算机设备、设施（含网络）以及其它媒体遭到人为的，或自然灾害引起的物理上的危害。物理安全事件由相关负责人员采取相应处理措施。

逻辑安全事件：指我司信息系统访问控制方面和信息的完整性、保密性和可用性方面遭到破坏，从而导致涉及的网络、操作系统、数据库、应用系统、人员管理等方面正常业务运行受到影响。

5.信息安全事件的定义

5.1. 属于物理安全事件的定义

1.遭到物理闯入或计算机信息设备被窃；

2.物理环境或设备遭到火灾或水灾等事故；

3.物理设备由于机房环境灰尘或静电造成损坏；

4.设备在运行过程意外（如果本身质量等问题）损坏，造成业务系统停止运行；

5.管理维护人员在日常维护不小心损坏物理设备、线缆。造成网络中断。5.2. 属于逻辑安全事件的定义

1.非授权访问，通过入侵的方式进入到未被授权访问的网络中，而导致数据信

息泄漏；

2.信息泄密，数据在传输中因数据被截取、篡改、分析等而造成信息的泄漏；

3.拒绝服务，正常用户不能正常访问服务器提供的相关服务；

4.系统性能严重下降，有不明的进程运行并占用大量的CPU处理时间；

5.在系统日志中发现非法登录者；

6.发现系统感染计算机病毒；

7.发现有人在不断强行尝试登录系统；

8.系统中出现不明的新用户账号；

9.管理员收到来自其它站点系统管理员的警告信，指出系统可能被威胁；

10.文件的访问权限被修改；

11.因安全漏洞导致的系统问题；

12.第三方服务供应商违反保密协议。

6.信息安全事件等级划分

事故等级举例说明事故响应处理

级别A（最高级）

判断标准为：计算机系统已经遭到非法攻击，并造成严重损失。（资产已经遭受威胁）?发现敏感数据文件被非法

访问（读取、修改或删除）,

比如系统的数据库被非法

修改

?未知IP频繁访问数据库获

取数据。

?我司WEB网站被DDOS攻

击造成用户无法访问

?WEB网站页面被恶意篡改

?WEB网站被成功攻击，并

被黑客控制。

?报告

?备份

?隔离

?现场分析

?联系第三方

?恢复日常状态

?加固

?重新入网

?汇报

?事件结束

级别B

判断标准为：计算机系统正在遭到非法攻击，不能马上判断是否损失。

（不能马上判断资产是否遭受威胁）?在网站服务器的IIS日志中

发现当前有频繁恶意URL

连接。

?在应用系统服务器（WEB、

OA、核心业务系统等）上

发现有未知用户正在登录。

?发现黑客正在对应用系统

（比如：WEB、Mail）实施

“拒绝服务”攻击，当前用

户访问缓慢。

?安全准入设备发现非法接

入阻断日志。

?防病毒软件发现一个无法

清除/隔离的病毒或恶意代

码。

?报告

?监视

?记录取证

?现场分析

?事件升级

?阻止

?隔离

?联系第三方

?加固

?重新入网

?汇报

?事件结束

7.安全事件处理流程

当在此流程中遇到安全事件时，以下定义的A、B、C三个事件处理流程做为安全事件技术处理的子流程，相关事件处理流程、事件升级和汇报办法应制定相关的实发事件应急预案。

7.1. A级事件处理流程

7.2. B级事件处理流程

7.3. C级事件处理流程

7.4. 流程中的事件处理方法说明（A、B、C级）

7.4.1.报告

如发生在信息中心区域内的重大信息安全事件：

A级事件：系统管理员应立即报告应急响应小组成员，然后通知相关领导，尽快协调解决，按照安全事件的类型通知市网络与信息安全办公室或公安局；重大事件可以越级汇报。

B级、C级事件：系统管理员应立即报告市网络与信息安全办公室和相关领导；

信息人员在接到报警后，应尽快赶至现场。

7.4.2.备份

完全备份所有受影响的系统。

1.所有的日志

2.系统配置

3.应用系统数据

4.文件系统的“镜像备份”

7.4.3.隔离

隔离是指立即切断信息安全事故的源头。从物理上完全阻止入侵或攻击的继续。例如，关闭主路由器或断开相关网络连接（拔掉服务器网卡连线等）、物理隔离受攻击的服务器等。对于B级或B级以上的信息安全事故必须采取紧急隔离措施。

7.4.4.监视

在断开受入侵或攻击设备和其他重要或敏感设备的网络连接后，可以对入侵者进行监控，记录入侵者在系统上所进行的所有活动，并在监控的基础上，跟踪入侵者，查出入侵或攻击源头（可以和其他网络或系统管理联系，以取得必要的技术协助）。

7.4.5.记录取证

1.防火墙日志文件

2.防病毒系统日志文件

3.网络监控日志文件

4.路由器日志文件

5.主交换机日志文件

6.受影响计算机设备的安全审计记录

7.所有系统的进程、帐号、配置文件属性记录

8.进出受影响计算机设备的网络包

7.4.6.现场分析处理

调查分析是安全事故事后处理的核心，其主要目的在于找到发生安全事故的原因和相关解决方案。需要注意的是，整个调查分析工作不得由不可信的单位进行全权处理。

在没有找到安全事故的原因或相关解决方案前，在不影响系统可用性的情况

下，不得将受影响的计算机系统上线。

?根据收集到的信息做处理

?分析入侵方式

?分析入侵过程

?预测和确认入侵方法及时间

?统计威胁造成的严重性

?制定解决方案并处理

?如果不能解决，则转入联系第三方

7.4.7.阻止

1.对所有审计信息（如：系统日志文件）进行备份，并妥善保管；

2.获取所有进程的状态信息并将其存在一个文件里，安全存放文件；

3.所有可疑的文件都应该先转移到安全的地方或在磁带里存档，然后将其删

除；

4.列出所有活动的网络连接，在分析员的帮助下获得系统的快照，记录所有的

行为。

5.杀掉所有活动的黑客进程，并删除黑客在系统中留下的文件和程序；

6.检查系统启动脚本，删除所有黑客遗留的启动任务；

7.改变所有黑客访问过的帐户的口令，删除黑客自己开的帐号。记录所有行为。

7.4.8.联系第三方

联系第三方安全咨询公司、安全顾问、安全专家和安全、系统厂商等。我司安全管理员、相关系统管理员和第三方共同找出解决方案。

7.4.9.恢复日常状态

恢复日常状态包括对遭受安全事故影响的系统进行恢复和安全修复两方面的工作，使受损的系统能恢复正常运作，并作必要的技术处理，当相同的安全事故再次发生时，系统将不受其影响。

1.重新安装操作系统和应用程序

2.恢复攻击前所有的正常数据

3.根据该系统的配置文档进行配置

7.4.10.加固处理

加固系统使系统避免遭受同类问题的破坏，在采用这些措施之前，有必要对系统的损坏程度进行评估，对恶意代码进行分析提供相应的解决方案。

根据解决方案，按照加固手册进行加固处理。

7.4.11.重新入网

在经过加固处理后，确定系统恢复日常状态，可以重新接入网络，应根据相关的安全网络接入安全管理制度，把隔离的系统重新加入网络。解除隔离。

7.4.12.汇报

根据安全事故的损失和后果，明确责任者，A级事件由我司一线应急指挥中心成员将安全事故的处理报告提交给有关我司相关部门领导。

对于B级或B级以上的信息安全事故，安全事故的处理报告必须抄送给我司进行归档。

对于涉及计算机犯罪的安全事故，安全事故的处理报告必须抄送给公安部门。

7.4.13.事件升级

实施更为详细的审计功能，审计入侵行为是否对系统造成进一步的安全影响，如果已经经过深层次的分析，已经造成损失，则直接提升为A级安全事件。

7.4.14.找出解决方案

对问题进行调查分析，务必找出原因，并制订相应的预防对策。

7.4.15.事件结束

系统恢复运行，事件结束。对于A级和B级安全事故处理报告抄送给省局信息中心进行归档。

对于B级事件，如果造成损失则转入A级事件，B级事件结束。