信息安全事件与应急响应

1、Page 1信息安全管理信息安全管理 （第二版）Page 2信息安全事件与应急响应信息安全事件与应急响应Page 3提提 纲纲l 1 1、引言、引言l 2、国家标准、国家标准l 3、网络与信息安全事件分级、网络与信息安全事件分级l 4、组织和制度、组织和制度l 5、应急预案、应急预案l 6、应急处置流程、应急处置流程Page 41、引、引 言言 中华人民共和国突发事件应对法中华人民共和国突发事件应对法 突发事件突发事件: 指突然发生，造成或者可能造成严重社会危害，指突然发生，造成或者可能造成严重社会危害，需要采取应急处置措施予以应对的自然灾害、事故灾难、公需要采取应急处置措施予以应对的自然灾害

2、、事故灾难、公共卫生事件和社会安全事件共卫生事件和社会安全事件 “网络与信息安全事件网络与信息安全事件” 依据依据国家信息化领导小组关于加强信息安全保障工作的意国家信息化领导小组关于加强信息安全保障工作的意见见（中办发（中办发200327 号）文件精神，可理解为是由网络和号）文件精神，可理解为是由网络和信息系统直接或间接产生的，对信息系统直接或间接产生的，对“国家安全、社会稳定、经国家安全、社会稳定、经济发展、公众利益济发展、公众利益”造成或可能造成严重危害的事件造成或可能造成严重危害的事件Page 51、引、引 言言 网络与信息安全事件具有无征兆突发、可迅速扩散大网络与信息安全事件具有无征兆

3、突发、可迅速扩散大范围传播、危害程度难以估测等特征范围传播、危害程度难以估测等特征 正确应对和科学处置网络与信息安全事件就显得十分正确应对和科学处置网络与信息安全事件就显得十分必要和重要必要和重要Page 62、国家标准、国家标准信息安全技术信息安全技术 信息安全事件分类分级指南信息安全事件分类分级指南 GB/Z 209862007 为信息安全事件的分类分级提供指导，用于信息安为信息安全事件的分类分级提供指导，用于信息安全事件的防范与处置，为事前准备、事中应对、事全事件的防范与处置，为事前准备、事中应对、事后处理提供一个基础指南，可供信息系统和基础信后处理提供一个基础指南，可供信息系统和基础信

4、息传输网络的运营和使用单位以及信息安全主管部息传输网络的运营和使用单位以及信息安全主管部门参考使用门参考使用Page 72、国家标准、国家标准信息安全技术信息安全技术 信息安全事件分类分级指南信息安全事件分类分级指南 GB/Z 209862007 按信息安全事件的起因、表现、结果等把网络与信按信息安全事件的起因、表现、结果等把网络与信息安全事件分为有害程序事件、网络攻击事件、信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等灾害性事件等6 类类30种种Page 83、网络与信息安全事件分级网络与信息

5、安全事件分级中华人民共和国突发事件应对法中华人民共和国突发事件应对法规定规定“突发事件的突发事件的分级标准分级标准”和和“预警级别的划分标准预警级别的划分标准”由国务院或者国由国务院或者国务院确定的部门制定务院确定的部门制定考虑到考虑到信息系统的重要程度信息系统的重要程度、系统损失系统损失和和社会影响社会影响等因等因素，将网络与信息安全事件分为四级：素，将网络与信息安全事件分为四级： 级（特别重大网络与信息安全事件）级（特别重大网络与信息安全事件） 级（重大网络与信息安全事件）级（重大网络与信息安全事件） 级（较大网络与信息安全事件）级（较大网络与信息安全事件） 级（一般网络与信息安全事件）级

6、（一般网络与信息安全事件）Page 94、组织和制度、组织和制度 重大网络与信息安全事件的应急处置工作，应列入国家重大网络与信息安全事件的应急处置工作，应列入国家重大突发事件应对体系中建设规划，建立专业的网络与重大突发事件应对体系中建设规划，建立专业的网络与信息安全事件应急预案，建设国家、地区（部门）和企信息安全事件应急预案，建设国家、地区（部门）和企事业单位的三级应急处置组事业单位的三级应急处置组织指挥体系织指挥体系 在组织应对网络与信息安全事件工作中，要建立常设或在组织应对网络与信息安全事件工作中，要建立常设或非常设的统一、灵敏、协调的组织机构，负责统一指挥、非常设的统一、灵敏、协调的组织

7、机构，负责统一指挥、协调特别重大网络与信息安全事件的应急处置工作协调特别重大网络与信息安全事件的应急处置工作 综合分析、研判网络与信息安全形势，制定应急处置综合分析、研判网络与信息安全形势，制定应急处置预案，预案，指导协调有关应急技术支撑队伍开展工作指导协调有关应急技术支撑队伍开展工作Page 104、组织和制度、组织和制度 国家机关部门对本行政区域内的网络与信息安全事国家机关部门对本行政区域内的网络与信息安全事件的应对工作负责，负责本区域自建自管信息系统件的应对工作负责，负责本区域自建自管信息系统网络与信息安全事件的预防、监测、报告和应急处网络与信息安全事件的预防、监测、报告和应急处置工作，

8、并配合有关部门做好本行政区域内其他网置工作，并配合有关部门做好本行政区域内其他网络与信息安全事件的处置工作络与信息安全事件的处置工作 建立网络与信息安全应急专家咨询机制，为网络与建立网络与信息安全应急专家咨询机制，为网络与信息安全事件的预防和处置提供技术咨询信息安全事件的预防和处置提供技术咨询Page 114、组织和制度、组织和制度 建立网络与信息安全信息通报机制，公布信息安全建立网络与信息安全信息通报机制，公布信息安全事件接警窗口渠道（如报警电话等），广泛收集重事件接警窗口渠道（如报警电话等），广泛收集重要的网络与信息安全事件监测预警信息，为专业研要的网络与信息安全事件监测预警信息，为专业研

9、判网络与信息安全事件部门提供情报信息判网络与信息安全事件部门提供情报信息 建立健全规章制度，明确职责和运行规则，做到科建立健全规章制度，明确职责和运行规则，做到科学、有序、无缝隙连接高效运行学、有序、无缝隙连接高效运行Page 124、组织和制度、组织和制度 应急技术支援力量是处置信息安全事件工作中必不应急技术支援力量是处置信息安全事件工作中必不可少的技术保证可少的技术保证 网络与信息安全事件的起源、传播、危害及防范、处置网络与信息安全事件的起源、传播、危害及防范、处置等都表现出专业性、技术性和对抗性非常突出的特征等都表现出专业性、技术性和对抗性非常突出的特征 建立国家、地方和企事业单位的三级

10、应急技术支援保障建立国家、地方和企事业单位的三级应急技术支援保障体系，分别承担网络与信息安全事件的应急技术支援工体系，分别承担网络与信息安全事件的应急技术支援工作作Page 135、应急预案、应急预案 为提高应对网络与信息安全事件的能力，在发生网络为提高应对网络与信息安全事件的能力，在发生网络与信息安全事件的情况下，高效有序地开展应急处置与信息安全事件的情况下，高效有序地开展应急处置工作，必须编制工作，必须编制网络与信息安全事件应急预案网络与信息安全事件应急预案 借鉴网络与信息安全保障和应急处置成功经验借鉴网络与信息安全保障和应急处置成功经验 原则原则 统一指挥、密切协同、快速反应、科学处置统

11、一指挥、密切协同、快速反应、科学处置Page 145、应急预案、应急预案 建立网络与信息安全事件应急组织机构，明确各成员建立网络与信息安全事件应急组织机构，明确各成员单位的分工和职责单位的分工和职责 提出监测预警、应急响应、信息管理、后期处置等工提出监测预警、应急响应、信息管理、后期处置等工作措施作措施 突发事件预防突发事件预防 应急处置应急处置 在明确预警级别和应急响应机制的基础上，完善基本在明确预警级别和应急响应机制的基础上，完善基本工作流程和信息安全预案体系。工作流程和信息安全预案体系。Page 155、应急预案、应急预案编制依据编制依据 中华人民共和国突发安全事件应基处置能力应对法中华

12、人民共和国突发安全事件应基处置能力应对法 国家突发公共安全事件应急处置能力总体应急预案国家突发公共安全事件应急处置能力总体应急预案 国家网络与信息安全事件应急处置能力应急预案国家网络与信息安全事件应急处置能力应急预案 信息安全事件应急处置能力分类分级指南信息安全事件应急处置能力分类分级指南(GB/Z20986-2007) Page 165、应急预案、应急预案预案主要内容预案主要内容 编制依据编制依据 网络与信息安全事件分类分级网络与信息安全事件分类分级组织体系组织体系预警预防机制预警预防机制 （预警信息（预警信息 、预警级别与发布、预警级别与发布 ）应急处置应急处置 （信息报告与处理（信息报告

13、与处理 、应急响应应急响应 、先期处置先期处置 、应急指挥与应急指挥与协调协调 、后期处置后期处置 、系统恢复、信息发布系统恢复、信息发布 ）应急保障应急保障 监督管理监督管理 （宣传教育（宣传教育 、培训、培训 、演练、责任与奖惩、预案管理、演练、责任与奖惩、预案管理 ）Page 175、应急处置流程、应急处置流程 建立科学的网络与信息安全事件应急处建立科学的网络与信息安全事件应急处置流程是规范处置重大网络与信息安全置流程是规范处置重大网络与信息安全事件的重要保证事件的重要保证Page 185、应急处置流程、应急处置流程 网络与信息安全事件应急处置流程是以网络与信息安全事件应急处置流程是以网

14、络与信息安全事件网络与信息安全事件应急预案应急预案为依据，以安全事件为牵引，建立各工作环节及其为依据，以安全事件为牵引，建立各工作环节及其相关联系，可清晰描述安全事件应急处置过程、步骤、内容和相关联系，可清晰描述安全事件应急处置过程、步骤、内容和动作的逻辑关系动作的逻辑关系 有助于规范相关部门充分发挥其依法采取的应急处置措施的主有助于规范相关部门充分发挥其依法采取的应急处置措施的主导作用，有效整合各种资源，协调指挥各种社会力量，科学开导作用，有效整合各种资源，协调指挥各种社会力量，科学开展信息安全事件应急处置工作，把应对突发事件的代价降到最展信息安全事件应急处置工作，把应对突发事件的代价降到最

15、低限度低限度 重点重点建立建立 预警和响应过程预警和响应过程规则规则 明确预防与应急准备明确预防与应急准备规则规则 监测与预警监测与预警规则规则 应急应急处置与救援规则处置与救援规则Page 195、应急处置流程、应急处置流程预警预警 预警自接警至预警解除，包括安全事件监测预警、警预警自接警至预警解除，包括安全事件监测预警、警情研判、预警审定、预警发布、预警响应和预警解除情研判、预警审定、预警发布、预警响应和预警解除 对于可以预警的网络与信息安全事件的预警级别，按对于可以预警的网络与信息安全事件的预警级别，按照事件发生的紧急程度、发展势态和可能造成的危害照事件发生的紧急程度、发展势态和可能造成

16、的危害程度分为程度分为 级（特别严重）对应级（特别严重）对应 特别重大网络与信息安全事特别重大网络与信息安全事件件 级（严重）对应级（严重）对应 重大网络与信息安全事件重大网络与信息安全事件 级（较重）对应级（较重）对应 较大网络与信息安全事件较大网络与信息安全事件Page 205、应急处置流程、应急处置流程预警预警 安全事件发生后，有关地区、部门要做好先期安全事件发生后，有关地区、部门要做好先期处置，边报告边开展应急响应相关工作处置，边报告边开展应急响应相关工作 基于对安全事件危害性的认识，应急预案对信基于对安全事件危害性的认识，应急预案对信息报告的第一要求就是：息报告的第一要求就是：快！快

17、！Page 215、应急处置流程、应急处置流程预警预警 接警按属地管理原则。由本地区、本部门受理该地区、接警按属地管理原则。由本地区、本部门受理该地区、该部门警情信息，并进行初步甄别处理。该部门警情信息，并进行初步甄别处理。 对超出本地区、本部门的重大安全事件，应及时通报对超出本地区、本部门的重大安全事件，应及时通报相关管理部门相关管理部门 研判工作遵循及时、准确、保密的原则，一般情况按研判工作遵循及时、准确、保密的原则，一般情况按照先中央后地方、先上级后下级、先组织后个人的优照先中央后地方、先上级后下级、先组织后个人的优先级处理警情信息，研判安全事件等级先级处理警情信息，研判安全事件等级Pa

18、ge 225、应急处置流程、应急处置流程预警预警 研判工作研判工作 预警前研判：初次接警的研判预警前研判：初次接警的研判 预警后研判：响应中对安全事件的跟踪研判预警后研判：响应中对安全事件的跟踪研判 研判的思想方法研判的思想方法 先排除高级别的安全事件，不放过先排除高级别的安全事件，不放过“特别重大安特别重大安全事件全事件” 争取每一秒钟的处置时间争取每一秒钟的处置时间Page 235、应急处置流程、应急处置流程预警预警 启动应急预案，加强监测、预报和预警工作，加强对信息安全启动应急预案，加强监测、预报和预警工作，加强对信息安全事件信息的分析评估，定时发布与公众有关的信息安全事件预事件信息的分

19、析评估，定时发布与公众有关的信息安全事件预测信息和分析评估结果，并对相关信息的报道工作进行管理，测信息和分析评估结果，并对相关信息的报道工作进行管理，公布咨询电话公布咨询电话 必要时还应当责令应急救援队伍和有关人员进入待命状态，调必要时还应当责令应急救援队伍和有关人员进入待命状态，调集应急救援所需物资、设备、工具，准备应急设施，加强对重集应急救援所需物资、设备、工具，准备应急设施，加强对重点单位、重要部位和重要基础设施的安全保卫，及时发布有关点单位、重要部位和重要基础设施的安全保卫，及时发布有关避免或者减轻损害的建议，易受危害的系统、设备、数据等予避免或者减轻损害的建议，易受危害的系统、设备、

20、数据等予以妥善安置、转移，关闭或者限制使用易受危害的系统、服务以妥善安置、转移，关闭或者限制使用易受危害的系统、服务Page 245、应急处置流程、应急处置流程预警预警 根据事态的发展，适时调整预警级别并重新发布，有根据事态的发展，适时调整预警级别并重新发布，有事实证明不可能发生安全事件或者危害已经解除的，事实证明不可能发生安全事件或者危害已经解除的，应当立即宣布解除警报、终止预警期并解除已采取的应当立即宣布解除警报、终止预警期并解除已采取的有关措施有关措施Page 255、应急处置流程、应急处置流程响应响应 自预警发布开始至总结评估。包括：自预警发布开始至总结评估。包括： 确定响应等级确定响

21、应等级 启动应急指挥体系启动应急指挥体系 掌握事件动态掌握事件动态 决策部署决策部署 处置实施处置实施 应急结束应急结束 总结评估总结评估Page 265、应急处置流程、应急处置流程响应响应 应急响应等级分为应急响应等级分为、级，级，级为级为最高级别响应。最高级别响应。 在确定响应等级，并经批准后进入响应状态在确定响应等级，并经批准后进入响应状态 启动应急指挥体系启动应急指挥体系 启动应急处置响应方案启动应急处置响应方案 组建应急指挥协调班子进入应急状态组建应急指挥协调班子进入应急状态Page 275、应急处置流程、应急处置流程响应响应 事件发生地区或部门要严密跟踪事态发展，及时将事事件发生地区或部门要严密跟踪事态发展，及时将事态发展变化情况和处置进展情况报告上级应急指挥协态发