××信息安全应急处置管理规范

第1页共15页顺丰速运（集团）有限公司企业发展办公室流程管理处文件编码：由企发办统一赋予版本：1.0业务类别：新服务产品开发文件名称：新服务产品开发流程页号：第1页/共15页**信息安全事件与应急响应管理规范修订状况当前版本v1.0章节编号章节名称修订内容简述修订日期修订前版本号批准人信息安全执行小组由各部门信息安全员以及应急处理小组组成，是信息安全事件处理的权责单位，具有如下职责：评审和更新公司的信息安全事件管理规范；协调和监督信息安全事件纠正和预防措施的执行；组织调查信息安全事件，配合有关部门进行计算机犯罪案件的调查；向信息安全委员会报告并提出处理意见。信息安全委员会由公司领导层组成，会应对信息安全事件处理机制进行统筹和规划，具有如下职责：指导**信息安全事件的防范与应急处置工作；推动**信息安全事件应急响应机制的建立和落地执行。信息安全事件分类和分级信息安全事件分类信息系统攻击事件、信息破坏事件、信息内容安全事件、发现安全漏洞事件。信息系统攻击事件信息系统攻击事件是指通过网络攻击、有害程序或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。信息系统攻击类事件包括拒绝服务攻击、后门攻击、漏洞利用攻击、网络扫描窃听、网络钓鱼、干扰事件等。信息破坏事件信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。信息破坏类事件包含计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件等信息内容安全事件信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。例如：藏独、台独言论。发现安全漏洞事件内部技术人员有意无意发现的安全漏洞。例如：XSS、注入、劫持、CSRF、上传漏洞、文件包含、权限漏洞等。其他信息安全事件指不能归为以上4类的信息安全突发事件。安全事件的分级根据信息系统的重要程度、系统损失和社会影响，将信息安全事件划分为三个级别：重大信息安全事件（一级）、较大信息安全事件（二级）和一般信息安全事件（三级）。重大信息安全事件（一级）重大信息安全事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：大范围用户受到影响。大部分业务模块不能正常工作。公司内部发现业务模块存在安全漏洞。较大信息安全事件（二级）较大信息安全事件是指能够导致较严重影响或破坏的信息安全事件，包括以下情况：小部分用户受到影响。小部分业务模块不能工作。一般信息安全事件（三级）一般信息安全事件是指不满足以上条件的信息安全事件，包括以下情况：个别用户受到影响。个别业务模块异常。上报流程当信息安全事件发生时，根据事件类型及影响大小，按照规定汇报角色和处理流程。公司内部员工发现疑似信息安全事件或收到外部报告的信息安全事件时，由发现人应同时告知本通报部门信息安全专员、安全执行小组并告知直属主管、部门领导；各部门信息安全专员在发生信息安全事件时，应立即向信息安全执行小组报告。信息安全事件汇报内容应尽量涵盖事件发生的事实、可能影响的范围、损失评估、需要的支持、采取的应对措施等。信息安全执行小组在收到报告后，应对事件进行判断和分析：判定为非信息安全事件时，将结果回复发现人。判定为信息安全事件时，则进一步分析事件影响，并按公司相关制度流程进行处理：当发生一般信息安全事件或较大信息安全事件时，由信息安全执行小组处理，并采取相关的纠正及预防措施，以防止类似事件发生。当发生重大信息安全事件时，应上报信息安全委员会，并由信息安全执行小组根据信息安全委员会的决策对事件进行处理。处理过程中如发现造成的影响大于原先判定事件，应重新执行事件分析。处理信息安全事件时，若需部门内部资源，则由信息安全执行小组沟通协调工作；如需部门外部资源协助，则由信息安全委员会进行协调。当重大信息安全事件发生需对外说明时，由公司的对外窗口统一对外说明情况与处置方式。公司应建立相应机制，监视并记录信息安全事件，并对其类型、数量和造成损失的代价进行统计。当一个信息安全事件涉及民事或刑事诉讼，需要进行司法取证时，应注意：设备封存过程需当事人、调查者及司法鉴定部门同时在场，封存处必须有各方签字；数据的保存和证据的挖掘过程均需司法鉴定部门在场，以确保数据的完整性和可靠性；司法鉴定机构需对获取证据的过程出具司法鉴定报告。重大安全事件和无法处理的安全事件上报公安部门。针对信息安全事件的处理时间；响应时间安全事件等级故障处理时间1小时三级2-8个小时30分钟二级1-2小时30分钟一级1-2小时应急处置流程 信息安全事故处理流程包括三部分内容：规划及准备、安全事故应急、事后跟进，下面分别进行解释说明。6.1规划及准备事先规划可确保人员对应采取的应急行动有所了解，使其能在互相配合及有条不紊的情况下执行，同时还有助各部门在处理安全事故时做出适当和有效的决定，从而将安全事故可能造成的破坏减到最少。各业务模块应各自制定应急预案并定期进行应急演练。5.1.1安全事故处理计划安全事故处理计划主要包括事故处理的目标及优先级，具体定义如下：目标：尽快使系统恢复正常操作尽量减轻事故对其他系统的影响避免发生同类事故找出事故的根本成因评估事故的影响和破坏有必要时更新政策和程序收集证据为日后的个案调查提供证明优先考虑：保护敏感或关键资源保护遗失或损毁后造成较大损失的重要数据防止停顿后会造成较大损失及恢复成本较高的系统受到损坏对服务中断的影响减到最少维护部门或公司整体的公众形象5.1.2报告程序1.报告内容：已经发生的信息安全事件；观察到的或怀疑的任何系统或服务的安全弱点；2.报告联系人：安全执行小组在信息安全领导小组负责人的授权下对信息安全事故进行处理；安全事件发现人需要同时告知本部门安全员、安全应急小组、本部门主管。3.报告途径：电话；邮件；亲自报告；微信等。5.1.3升级处理程序是指将事故上报管理层和有关方面，以确保立即做出重要决策的程序。在发生事故时，往往需要处理大量紧急事项，所以很难找到适当的人选处理林林总总的事项。为顺利执行安全事故处理的各阶段工作，应事先编备处理技术和管理事项所需的重要联络名单。响应时间联络名单联系方法事故发生后30分钟内杨代兵联系方式见企业微信通讯录事故发生后60分钟内侯杰系统恢复后杨代兵怀疑构成犯罪，则由公司安全领导小组决定侯杰5.1.4公司应提供足够的员工培训，以确保相关的全体员工和管理层人员均懂得如何处理安全事故。各人员应熟习由事故上报、确认和采取适当行动到恢复系统正常操作的处理事故程序。公司可组织事故处理演习，使全体人员熟习处理安全事故的程序。此外，为了加强系统或职能范围的安全保护措施，并减少发生事故的机会，应向系统管理和支持人员提供足够的培训，使他们掌握有关安全预防的知识。5.1.5应采取足够的事故监察安全措施以便在正常操作时保护系统，同时防范潜在的安全事故。所采取措施的程度和范围则取决于系统、系统处理的数据及系统提供的功能的重要性和敏感程度。下列是目前已经部署的安全事故监察措施：安装防火墙并采取认证和访问控制措施，以保护重要系统和数据资源；安装入侵侦测工具，主动监察、侦测并就系统入侵或黑客入侵做出应对；安装计算机防病毒工具和恶性程序代码侦测及修复软件，以侦测及清除计算机病毒及恶性程序代码，并防止计算机病毒和恶性程序代码影响系统操作；定期利用安全扫描工具进行安全检查，以找出目前存在的安全漏洞，并进行既定安全政策水平与实际安全工作环境之间的差距分析；开启系统及网络审计日志功能，以便侦测和追踪未获授权活动；6.2安全事故应急响应安全事故应急涉及制定程序评估事故并做出应急，尽快将受影响的系统元服务恢复正常。有关程序大致可分为五个阶段：如下图5.1所示的确认、升级处理、遏制、杜绝和恢复。认识各阶段具体工作有利于在发生安全事故时迅速做出响应。图5.2安全事故应急流程6.3信息安全事故的总结和改进系统恢复正常操作并不代表安全事故处理程序的结束，采取必要的跟进行动十分重要。跟进行动包括评估事故所造成的破坏、系统改良以防止再度发生事故、安全政策和程序更新及为日后的检控进行个案调查。5.3.1安全事故分析 事故事后分析是对事故及事故应急措施的分析，这有助于更深入地了解系统受到的威胁及可能存在的安全漏洞，以便采取更有效的保障措施。分析结果体现在安全事故报告中，分析范围可以包括以下内容：防止再度受攻击的建议行动；在事故应急时，须迅速取得的资料及获取有关资料的方法；供侦测及杜绝程序所用或所需的额外工具；准备和应急措施的足够程度；沟通的足够程度；实际困难；事故的破坏，当中包括：处理事故所需的人力消耗金钱成本中断操作的损失遗失或遭破坏的数据、软件和硬件，包括被泄露的敏感数据受托保密数据的法律责任难堪或丧失信誉吸取的其它教训。5.3.2安全事故报告根据事故分析所编制的事故事后报告，应概述事故、应急、恢复行动、破坏和吸取的教训。相关信息系统的主管负责编制报告，并提交信息安全事故应急小组作参考，以便日后及时采取预防措施，避免其它系统和服务再度发生同类安全事故。事故事后报告应包括下列项目：事故的类型、范围和程度；事故的详情：攻击的来源、时间和可能方法及发现攻击的方法等；概述受攻击的系统，包括系统范围及功能、技术资料（例如系统硬件、软件和操作系统，以及版本、网络体系结构及程序编制语言等）；事故应急及杜绝方法；恢复程序；吸取的其它教训。安全事故报告模版参见附件《信息安全事故报告模版》5.3.3安全评估可能受到安全风险威胁的系统宜定期进行安全风险评估和审计，尤其是曾经受安全事故影响的系统。安全复检及系统审计应持续进行，以便及时发现可能存在的安全漏洞及／或因应安全保护措施及攻击／入侵科技的发展，而须做出的系统改善。在发生安全事故时收集的资料亦有助于事后安全评估，对找出系统的安全漏洞和安全威胁尤其有用。5.3.4安全改进根据事故事后分析与定期安全评估所得出的结果，可确定应对系统的安全政策、程序和保护机制做出哪些改善。技术发展一日千里，所以必须定期更新安全相关政策、程序和保护机制，以确保整体安全保护措施对计算机系统的效用。在进行事故事后分析时，如有需要应复检和修订政策、程序和指南，以配合预防措施。5.3.5取证及检控1、取证规则：证据的可容许性：证据是否可以在法庭上使用；证据的份量：证据的质量和完备性；2、取证内容：系统事件和其它相关资料，例如审计日志、服务器日志、网络日志、防火墙／路由器日志、访问记录等系统日志文件；仍在进行活动的系统登录或网络连接及程序状态资料；受攻击系统；已采取的所有行动，包括日期、时间和参与行动人员；所有对外通讯，包括日期、时间、内容及有关各方；3、证据维护：纸面文档：原物应被安全保存且包含以下信息的记录：时间、地点、发现人、证明人；应确保原物没有被篡改；计算机介质中的信息：任何可移动介质的镜像或拷贝、硬盘或内存中的信息都应确保其