方便的网络安全应急处置预案.docxVIP

方便的网络安全应急处置预案

1.事件分级与判定标准

1.1特别重大（Ⅰ级）

a.全国级关键信息基础设施（以下简称“关基”）核心节点完全中断≥4小时，或部分中断≥12小时；

b.涉及1亿条以上个人信息或1000万条以上敏感业务数据泄露、篡改、丢失；

c.国家级勒索病毒或国家级APT组织被确认已控制生产网域控；

d.造成直接经济损失≥5亿元或社会影响指数≥90（参考工信部模型）。

1.2重大（Ⅱ级）

a.省级关基或行业级业务系统完全中断≥2小时，或部分中断≥6小时；

b.涉及1000万条以上个人信息或100万条以上敏感业务数据泄露、篡改、丢失；

c.高危0day在核心生产网被成功利用且已建立外联C2；

d.直接经济损失5000万元—5亿元或社会影响指数70—89。

1.3较大（Ⅲ级）

a.地市级关基或企业级重要系统完全中断≥1小时，或部分中断≥3小时；

b.涉及100万条以上个人信息或10万条以上敏感业务数据泄露、篡改、丢失；

c.内网横向移动已突破三层网络区域；

d.直接经济损失500万元—5000万元或社会影响指数50—69。

1.4一般（Ⅳ级）

a.单业务系统中断1小时，或局部网络异常；

b.涉及10万条以下个人信息或1万条以下敏感业务数据泄露；

c.仅发现钓鱼邮件、木马样本但未成功回连；

d.直接经济损失500万元或社会影响指数50。

判定流程：一线值守工程师5分钟内完成初判→值班经理10分钟内复核→CISO30分钟内签字确认并通报指挥部。

2.应急组织与角色

2.1指挥部

指挥长：由单位一把手担任，拥有“先断网、后汇报”的临机决断权；

副指挥长：技术副总裁与法务副总裁双岗制，互为AB角；

成员：CISO、CIO、CFO、公关总监、业务线总裁、物理安全总监。

2.2技术响应组

组长：安全运营中心（SOC）负责人；

分组：

——流量分析岗：3人，负责全流量回溯、攻击链还原；

——样本逆向岗：2人，负责木马、勒索、APT样本逆向；

——漏洞应急岗：2人，负责0day验证、补丁、虚拟补丁；

——取证溯源岗：2人，负责磁盘镜像、内存dump、日志固化；

——隔离处置岗：4人，负责网络微分段、主机隔离、账号封禁。

2.3业务连续性组

组长：业务线总裁；

职责：评估停机影响、启动降级预案、切换异地双活、通知客户。

2.4法务合规组

组长：法务副总裁；

职责：判断是否触发数据泄露通报、准备监管材料、对接执法机关。

2.5公关与客服组

组长：公关总监；

职责：统一口径、撰写FAQ、监测舆情、安排发言人。

2.6后勤保障组

组长：行政总监；

职责：食宿、交通、备用电源、临时工作场地、防疫物资。

3.监测与预警

3.1情报源

a.内部：EDR、NDR、WAF、蜜罐、主机审计、代码仓库异常提交；

b.外部：国家互联网应急中心（CNCERT）、商业威胁情报、行业ISAC、漏洞平台、暗网监控。

3.2预警分级

红色（Ⅰ级）：情报确认针对本单位的0day或国家级APT；

橙色（Ⅱ级）：同类行业大面积遭受勒索，或高危漏洞POC已公开；

黄色（Ⅲ级）：出现新型木马家族，但尚未发现成功案例；

蓝色（Ⅳ级）：常规漏洞、一般性钓鱼邮件。

3.3预警发布

SOC在10分钟内完成情报校验，通过企业微信、短信、邮件、war-room大屏四通道同步推送，并自动创建INC单号。

4.事件发现与报告

4.1发现渠道

a.自动：SOC告警、工单系统、威胁狩猎剧本；

b.人工：客服投诉、员工举报、第三方通知。

4.2报告路径

一线工程师→值班经理→CISO→指挥长；

Ⅰ、Ⅱ级事件同步电话通知监管机关，30分钟内书面报告；

Ⅲ、Ⅳ级事件1小时内邮件备案。

4.3报告内容模板

INC单号、发现时间、事件概述、已影响资产、已采取措施、初步定级、下一步计划、报告人及联系方式。

5.应急响应流程

5.1启动

指挥长收到报告后15分钟内召开线上会议，决定：

——是否启动应急预案；

——