17、信息安全事件处理流程-管理流程制度.doc

信息安全事件处理流程 PAGE 第PAGE 3页 共 NUMPAGES 15页 附录16 信息安全事件处理流程 目 录 TOC \o 1-3 \h \z \u 1. 目的 3 2. 范围 3 3. 安全事件的范围 3 4. 信息安全事件的分类 3 5. 信息安全事件的定义 4 5.1. 属于物理安全事件的定义 4 5.2. 属于逻辑安全事件的定义 4 6. 信息安全事件等级划分 5 7. 安全事件处理流程 6 7.1. A级事件处理流程 6 7.2. B级事件处理流程 8 7.3. C级事件处理流程 10 7.4. 流程中的事件处理方法说明（A、B、C级） 11 7.4.1. 报告 11 7.4.2. 备份 11 7.4.3. 隔离 12 7.4.4. 监视 12 7.4.5. 记录取证 12 7.4.6. 现场分析处理 12 7.4.7. 阻止 13 7.4.8. 联系第三方 13 7.4.9. 恢复日常状态 13 7.4.10. 加固处理 14 7.4.11. 重新入网 14 7.4.12. 汇报 14 7.4.13. 事件升级 14 7.4.14. 找出解决方案 15 7.4.15. 事件结束 15 目的 为加强我司信息安全事件管理，全面提高我司网络与信息安全水平，保障网络通信畅通，提高网络服务质量，特制定本流程。 范围 本策略适用于我司拥有的、控制和管理的所有信息系统、数据和网络环境，适用于属于我司所有机构和部门范围内的信息安全小组成员：包括安全管理员，系统管理员、网络管理员、数据库和业务应用管理员等所有维护人员。维护过程中所涉及的多种安全事件，我司所有科室和部门将遵照“积极预防、及时发现、快速反映、确保恢复”的方针，处理我司所有科室和部门中的各类安全事件。 安全事件的范围 信息安全事件的范围为： 我司信息系统中包含的软件、硬件（主机、存储）。 我司信息系统中包含的网络设备。 我司信息系统中包含的安全软件和设备。 信息安全事件的分类 信息安全事件主要分为两大类：物理安全事件和逻辑安全事件。 物理安全事件：主要指我司信息系统的计算机设备、设施（含网络）以及其它媒体遭到人为的，或自然灾害引起的物理上的危害。物理安全事件由相关负责人员采取相应处理措施。 逻辑安全事件：指我司信息系统访问控制方面和信息的完整性、保密性和可用性方面遭到破坏，从而导致涉及的网络、操作系统、数据库、应用系统、人员管理等方面正常业务运行受到影响。 信息安全事件的定义 属于物理安全事件的定义 遭到物理闯入或计算机信息设备被窃； 物理环境或设备遭到火灾或水灾等事故； 物理设备由于机房环境灰尘或静电造成损坏； 设备在运行过程意外（如果本身质量等问题）损坏，造成业务系统停止运行； 管理维护人员在日常维护不小心损坏物理设备、线缆。造成网络中断。 属于逻辑安全事件的定义 非授权访问，通过入侵的方式进入到未被授权访问的网络中，而导致数据信息泄漏； 信息泄密，数据在传输中因数据被截取、篡改、分析等而造成信息的泄漏； 拒绝服务，正常用户不能正常访问服务器提供的相关服务； 系统性能严重下降，有不明的进程运行并占用大量的CPU处理时间； 在系统日志中发现非法登录者； 发现系统感染计算机病毒； 发现有人在不断强行尝试登录系统； 系统中出现不明的新用户账号； 管理员收到来自其它站点系统管理员的警告信，指出系统可能被威胁； 文件的访问权限被修改； 因安全漏洞导致的系统问题； 第三方服务供应商违反保密协议。 信息安全事件等级划分 事故等级 举例说明 事故响应处理 级别A（最高级） ? 判断标准为：计算机系统已经遭到非法攻击，并造成严重损失。 （资产已经遭受威胁） 发现敏感数据文件被非法访问（读取、修改或删除）,比如系统的数据库被非法修改 未知IP频繁访问数据库获取数据。 我司WEB网站被DDOS攻击造成用户无法访问 WEB网站页面被恶意篡改 WEB网站被成功攻击，并被黑客控制。 报告 备份 隔离 现场分析 联系第三方 恢复日常状态 加固 重新入网 汇报 事件结束 级别B ? 判断标准为：计算机系统正在遭到非法攻击，不能马上判断是否损失。 （不能马上判断资产是否遭受威胁） 在网站服务器的IIS日志中发现当前有频繁恶意URL连接。 在应用系统服务器（WEB、OA、核心业务系统等）上发现有未知用户正在登录。 发现黑客正在对应用系统（比如：WEB、Mail）实施“拒绝服务”攻击，当前用户访问缓慢。 安全准入设备发现非法接入阻断日志。 防病毒软件发现一个无法清除/隔离的病毒或恶意代码。 报告 监视 记录取证 现场分析