《大型集团数据安全应急预案.docx》由会员分享,可在线阅读,更多相关《大型集团数据安全应急预案.docx(53页珍藏版)》请在三一办公上搜索。
1、项目编号:大型集团数据安全文档信息文档名称XXX集团XXX有限公司数据安全应急预案文档版本发布日期编写人文档摘要修订记录日期版本说明修订人目录1 .引言52 .总则52.1编写依据52.2适用范围72.3基本原则72.4发布与生效73 .组织与职责71. 1应急保障领导小组83. 2应急保障领导办公室94. 3应急响应技术保障部门105. 4应急响应实施小组104 .数据安全事件分级121. 1特别重大数据安全事件(一级)124. 2重大数据安全事件(二级)135. 3较大数据安全事件(三级)146. 4一般数据安全事件(四级)145 .应急预案的制订与演练155. 1准备工作151 .1.1
2、设计原则165 .1.2策略内容建议165.2制定应急预案175.3应急预案的管理与维护181 .4应急预案的演练195 .5应急教育和培训196 .应急响应实施206.1日常监测216. 2事件监测221. 2.1信息通报226. 2.2信息上报227. 2.3信息披露226. 3预警分级237. 4应急启动238. 5应急处置248.1.1 一级应急响应248.1.2 二级应急响应248.1.3 三级、四级应急响应256.6媒体沟通266.7结束响应266 .8应急响应总结267 .应急处理流程及措施277. 1应急准备287.2网页内容篡改291. 2.1应急流程292. 2.2应急工具
3、307. 2.3应急步骤307.3非法入侵窃取数据327.3.1应急流程327.3.2应急工具327.3.3应急步骤337.4员工泄露敏感数据361. 4.1应急流程367. 4.2应急工具378. 4.3应急步骤377. 5权限失控导致数据泄露401. 5.1应急流程402. 5.2应急工具417. 5.3应急步躲417.6数据维护及处置不当造成数据泄露447.6.I应急流程447.6.2应急工具457.6.3应急步歌457.7信息发布不规范造成数据泄露477.7.1应急流程477.7.2应急工具487.7.3应急步膝488.应急保障518.1人力保障518.2技术保障518.3物质保障52
4、8.4资金保障53附件1:数据安全事件记录表格541 .引言为建立健全XXXXXX数据安全事件应急响应机制,提高应对数据安全事件的应急处置能力,预防和减少数据安全事件造成的损失和危害,全面提升公司的数据安全事件应急管理水平,促进大数据业务健康有序发展,保障公司数据资产安全和用户合法权益,满足上级单位要求企业建立数据安全应急响应制度的重点考核要求,特制定本预案。本预案作为XXXXXX数据安全事件应急处置流程规范,主要参照XXX数据安全事件应急响应实施指南、XXX网络安全突发事件应急预案、XXX大数据安全管理要求及XXX大数据安全运营要求中的应急响应相关要求,提出相应的实施方法规范。预案内容主要包
5、括应急响应的组织架构、数据安全事件的分级、应急预案的制订与演练、应急响应实施、事件处置及应急事例以及应急保障等。本预案主要为XXXXXX数据安全事件的安全防范、应急处置、应急报告等工作提供依据。本应急预案的解释权和修改权归XXX集团XXX有限公司信息安全管理部。2 .总则3 .1编写依据本预案主要参照了以下国际规范制度及指南:信息技术系统应急规划指南,NISTSP800-34;计算机安全事件处理指南,NISTSP800-61;网络安全事件恢复指南,NISTSP800-184o本预案主要参照了以下国家规范制度及指南:中华人民共和国网络安全法,2017年6月1日起施行;国家网络安全事件应急预案,2
6、017年1月10日起施行;公共互联网网络安全突发事件应急预案,2017年11月14日起施行;国家突发公共事件总体应急预案,2006年1月8日起实施;突发事件应急预案管理办法,2013年10月25日起施行;公共互联网网络安全威胁监测与处置办法,2018年1月1日起施行;国家通信保障应急预案,2011年12月10日修订;信息安全技术信息安全事件分类分级指南,GB/Z20986-2007;信息安全技术信息安全风险评估规范,GB/T20984-2007;信息技术安全技术信息安全事件管理指南,GB/Z20985-2007;信息安全技术信息系统灾难恢复规范,GB/T20988-2007;信息安全技术信息安
7、全应急响应计划规范,GBT24363-2009o同时,参照了以下公司内部规范制度及指南:XXX数据安全事件应急响应实施指南,2019年实施;XXX网络安全突发事件应急预案,2019年实施;XXX业务支撑网安全事件管理办法,2009年实施;XXX网络与信息安全事件应急处置流程,2012年实施;XXX互联网网络安全应急处理预案,2008年实施;XXX重特大事件期间的信息安全保障应急预案,2012年实施;XXX安全事件管理办法,2008年实施;XXXXXX公司业务支撑网重要信息系统数据泄露事件专项应急预案,2017年实施;UXXXXX公司业务支撑网安全事件应急预案,2017年实施。2.2 适用范围本
8、应急预案适用于XXXXXX省公司各部门、各地市分公司(以下简称各单位),为各单位开展数据安全事件应急处置,提供必要的指导性说明。本应急预案所称数据安全事件,是指针对用户个人信息、集团客户信息、业务平台数据、网络运行数据等公司数据资产的可用性被破坏、数据被泄露、数据被违规使用,数据被滥用,数据被篡改,数据被损毁等。造成或可能影响国家安全、社会稳定、公司利益受损、客户合法权益受侵害等危害,需要采取应急处置措施予以应对的突发事件。2.3 基本原则坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责,分工协作,内外联动,充分
9、发挥各方面力量共同做好XXXXXX公司数据安全事件的预防和处置工作。2.4 发布与生效本预案从发布之日起生效。3.组织与职责参考GB/T24363-2009(信息安全技术信息安全应急响应计划规范),基于公司整体突发事件应急管理机制,结合现有职责部门,XXXXXX建立了应急响应的组织架构,确保及时有效地实施专项应急处置工作。组织架构中包含如下小组或部门:应急保障领导小组、应急保障领导办公室、应急响应技术保障部门、应急响应实施小组。应急响应过程需要公司多部门协同工作,共同应对已发生的数据安全事件。各小组或部门间的相互关系如下图所示。外部组织或 1图3-1应急响应组织机构间的关系3.1 应急保障领导
10、小组XXXXXX中心安全领导小组承担省公司级数据安全事件应急保障领导小组职责,指导开展全省的数据安全事件应急响应制度建设、安全策略制定、重大事件决策等。主要职责:(1)应急响应工作的启动和终止;对应急响应工作的支持,提供必要资源(人、财、物)等;(2)审核并批准应急响应策略、应急预案;批准和监督应急预案的执行;(3)应急预案定期评审和修订的启动;(4)负责组织内部和外部的协调工作;3 .2应急保障领导办公室XXXXXX中心安全领导小组办公室承担数据安全事件应急保障领导办公室工作职责。开展全省的数据安全事件应急响应制度建设、安全策略制定等,组织应急预案的测试、培训和演练,统一对上级有关单位或部门
11、报告数据安全突发事件情况。1.人员组成组长:信息安全管理部总经理副组长:综合办公室、市场经营部、政企客户部、品质管理部、网络部、信息技术部分管副总经理。组员:综合办公室、市场经营部、政企客户部、品质管理部、网络部、信息技术部相关工作责任人。4 .主要职责:(1)负责与XXX公司应急保障领导小组的沟通协调,并向本省应急保障领导小组提出相关工作建议;(2)组织起草、修改XXXXXX数据安全应急处理预案及相关规定;组织应急预案的测试、培训和演练;执行应急预案的评审、修订任务;(3)按照XXXXXX应急保障领导小组下达的命令和指示,具体协调处理数据安全应急工作;(4)负责省公司各相关部门和各市分公司之
12、间的现场指挥协调,接受XXX公司应急保障领导小组的指示,组织省公司各相关部门和各市分公司落实数据安全应急处理技术措施;(5)及时收集汇总省公司各相关部门和各市分公司上报/反馈的事件进展情况,向省应急保障领导小组报告并提出建议,并根据相关要求,向XXX公司应急保障领导小组上报相关安全事件处理信息;(6)承担与集团、省数据安全应急响应技术保障部门、省内其他互联网单位以及其他相关应急响应组织的联络,积极参与数据安全事件应急处理合作。3.3应急响应技术保障部门XXXXXX数据安全事件应急响应技术保障部门由网络部、信息技术部、市场部等相关技术部门组成。主要职责包括:(1)制定数据安全事件技术应对表、具体
13、角色和职责分工细则、应急响应协同调度方案;调研和管理相关技术基础;(2)对重大数据安全事件进行评估,提出启动应急响应的建议;研究分析数据安全事件的相关情况及发展趋势,为应急响应提供咨询或提出建议;(3)分析数据安全事件原因及造成的危害,为应急响应实施提供建议支持,协调和配合各部门和各市分公司的应急技术处理及演练。(4)负责为数据安全应急处理工作提供技术支撑;利用技术手段,对数据安全事件进行监测,及时收集、核实、汇总、分析、上报有关数据安全信息;保持与CMCERT/CC、省内其他互联网单位以及其他相关应急响应组织的安全事件应急处理合作。3.4应急响应实施小组应急实施小组由综合办公室、市场经营部、
14、政企客户部、品质管理部、网络部、信息技术部及各市分公司组成,主要职责包括:(一)综合办公室:与相关政府管理部门、新闻媒体保持联络和协作,提供法律事务支持。(二)市场经营部:1、实体营业厅、渠道管理;网厅、掌厅、便利店、八闽生活24小时营业厅等自建系统或应用,以及相关微信公众号等的应急处理;2、各类营销活动的数据安全管控,特别是涉敏数据流转管控;3、BOP、IBOP等账号封堵,及真实使用者溯源。(三)政企客户部1、集团产品、行业端口、MAS信息机等政企业务,MOP、ESOP等自建系统或应用,及相关微信公众号等的应急处理;拟定涉及集团客户感知的统一口径信息,做好签约集团客户的解释、疏导工作。2、各
15、类营销活动的数据安全管控,特别是涉敏数据流转管控。(四)品质管理部:统一协调客户服务管理工作;牵头组织涉及客户感知的统一口径信息;梳理内部通道,接受与客户信息等数据安全有关的投诉;组织协调对客户的解释、疏导工作,维护企业良好形象。(五)网络部1、施工调度系统等自建系统或应用,以及相关微信公众号等的应急处理;2、数据流量,家宽等IP真实地址溯源及封堵。4.数据安全事件分级根据GB/T20986-2007(信息安全技术信息安全事件分类分级指南)和数据安全事件对国家安全、社会稳定、公众权益、公司利益和声誉的影响程度,并按照数据安全事件的影响范围及持续时间等因素,结合公司实际,将数据安全事件分为四级:
16、特别重大数据安全事件(一级)、重大数据安全事件(二级)、较大数据安全事件(三级)和一般数据安全事件(四级)。当数据安全事件同时满足多个级别的定级条件时,按最高级别确定数据安全事件等级。4.1 特别重大数据安全事件(一级)特别重大数据安全事件是指其发生能够导致特别严重的影响或破坏的数据安全事件。符合下列情形之一的,为特别重大数据安全事件(一级):1.数据被损坏、丢失且无法恢复,或数据泄露、非法使用,造成经营秩序混乱或重大经济损失、极大影响公司业务稳定,或对全国用户产生负面影响的;2 .国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁;3 .发生特
17、别严重用户信息泄露事件,造成1亿条以上用户信息泄露的;4 .重要数据业务相关平台系统遭到攻击,服务中断12小时以上的;5 .通过中央媒体曝光的XXX业务相关的数据安全事件;6 .发生的数据安全事件超出省级单位自身的协调处理能力,需要集团提供数据安全保障统一协调处理的;7 .其他对国家安全、社会秩序、公众利益、公司利益和声誉构成特别严重威胁、造成特别严重影响的XXX业务相关的数据安全事件。4.2重大数据安全事件(二级)重大数据安全事件是指其发生能够导致严重的影响或破坏的数据安全事件。符合下列情形之一且未达到特别重大数据安全事件(一级)的,为重大数据安全事件(二级):1.数据被损坏、丢失,但可通过
18、备份进行恢复,或数据泄露、非法使用,扰乱经营秩序或造成经济损失、影响公司业务稳定,或对多省市用户产生负面影响的;2 .国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁;3 .发生严重用户信息泄露事件,造成1千万条以上用户信息泄露的;4 .重要数据业务相关平台系统遭到攻击,服务中断8小时以上的;5 .通过省级媒体曝光或上级主管部门通报的XXX业务相关的数据安全事件;6 .发生的数据安全事件超出地市级单位处置能力,需要省级单位提供数据安全保障的;7 .其他对社会秩序、公众利益、公司利益和声誉构成严重威胁、造成严重影响的XXX业务相关的数据安全事件。4.
19、 3较大数据安全事件(三级)较大数据安全事件是指其发生能够导致较严重的影响或破坏的数据安全事件。符合下列情形之一且未达到重大数据安全事件(二级)的,为较大数据安全事件(三级):1.数据部分被损坏、丢失,但可通过备份进行恢复,或数据泄露、非法使用,影响省市公司业务稳定,或对某省市用户产生负面影响的;2 .重要数据业务相关平台系统遭到攻击,服务中断4小时以上的;3 .国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁;4 .发生较严重用户信息泄露事件,造成1百万条以上用户信息泄露的;5 .发生的数据安全事件超出县级单位处置能力,需要地市级单位提供数据安
20、全保障的;6 .其他对社会秩序、公众利益、公司利益和声誉构成较严重威胁、造成较严重影响的XXX业务相关的数据安全事件。4. 4一般数据安全事件(四级)一般数据安全事件是指其发生所产生的社会影响不大,信息系统遭受的影响较小,且不满足以上条件的数据安全事件。除上述情形外,对公众权益、公司利益和声誉构成一定威胁和影响的数据安全事件,为一般数据安全事件(四级):1.数据部分被损坏、丢失,但可通过备份进行恢复,或数据部分泄露、非法使用,但不影响公司业务稳定的;2 .国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成一定威胁;3 .发生一般用户信息泄露事件,造成用户信息
21、泄露的;4 .业务服务时段以外出现的数据业务相关平台系统故障或事件救治未果,可能产生上述情形的数据安全事件;5 .其他数据安全事件,需要提供数据安全保障的。6 .应急预案的制订与演练数据安全应急响应预案的制订是一个周而复始、持续改进的过程,包括如下几个阶段:(1)应急响应预案的编制准备工作;(2)应急响应预案文档编制,包括确定应急响应策略和编制应急预案;(3)应急响应预案的维护、测试、演练和培训。5. 1准备工作准备工作主要指数据安全事件应急响应策略的制定。应急响应策略的制定过程是一个循序渐进、不断完善的过程,因为不可能制定一个策略就能够完全符合、适应数据业务相关平台系统的环境和需求,只能不断
22、地接近目标。在应急响应策略的制定方面,通过对数据安全事件的应急处理过程进行研究和梳理,建立一套比较完备的、行之有效的数据安全事件应急响应策略体系,为系统、有序地应对数据安全事件,建立健全数据安全应急响应组织,有效预防、及时控制和最大程度地消除各类数据安全突发事件的危害和影响,提供一定程度上的策略指导。5. 1.1设计原则1)指导性原则。应急响应策略体系中的策略是描述处理数据安全事件方法的指导性文件,可以全局性指导公司的应急响应工作。2)规范化原则。应急响应策略应该有清晰和完全的文档描述,并保证既定的应急响应策略能够被不打折扣地执行。3)现实可行性原则。应急响应策略应具备现实可行性,既要符合现实
23、业务状态,又要能包含未来一段时间内的业务发展要求。4)整体性原则。应急响应策略体系的设计必须兼顾管理与技术两个方面,是对数据安全事件的综合防范。同时,制定管理策略时必须兼顾技术所能达到的响应能力,在管理上投入足够的精力。5)动态性原则。数据安全是动态变化,应急响应策略需要不断发展完善,根据实际情况进行调整,尽可能达到尽善尽美。6)可审核性原则。应急响应策略应该是可以被审核的,即能够对公司各部门对应急响应策略遵守的情况进行审核和评价。5.L2策略内容建议1)事前准备策略。该策略用于指导应急响应工作人员为应对将来可能发生的各类数据安全事件进行必要的准备工作,主要包括:对公司的数据业务相关平台系统和
24、数据进行正确的风险评估、确定网络中重要的数据资源、配置适当的安全策略、制定明确的应急响应预案、准备好在处理数据安全事件时可能用到的各种资源,以及定期组织相关人员进行应急响应的模拟演练。2)事中响应策略。该策略是应急响应的关键,主要用于对如何解决数据安全事件响应过程中的问题提供指导:即如何检测是否出现了数据安全事件,问题在哪里,影响范围有多大;如何限制攻击的范围,限制潜在的损失和破坏;如何找出事件根源并彻底根除,防止今后发生同样的数据安全事件;如何把所有被攻破的数据业务相关平台系统设备尽可能还原到正常的任务状态。3)事后总结策略。该策略主要用于对数据安全事件处理后的工作进行指导,包括回顾并整理本
25、次发生的数据安全事件的各种相关信息并进行总结报告的方法和步骤,以及事件文档与证据的管理方案。事后总结过程中记录的内容,不仅对有关部门的其他处理工作具有重要意义,而且对将来应急工作的开展也是非常重要的积累。5. 2制定应急预案各单位应参照应急处置及源相关法律法规和标准,结合集团xxx网络安全突发事件应急预案、xx数据安全事件应急响应实施指南及本预案整体要求,开展各部门数据安全事件应急响应预案的制定。应急预案是应急响应工作中的关键一步,对应急响应预案的要求包括:描述支持应急操作的技术能力;在预案的详细程度和灵活性之间取得平衡,兼顾弹性和通用性;根据实际情况对预案内容进行适当地调整、充实和本地化,以
26、更好地满足公司的特定需求。建议根据恢复时间目标(RecoveryTimebjective,RTO)和恢复点目标(RecoveryPointObjective,RPO),结合上述风险控制策略,从数据业务相关平台系统基础设施、网络、系统、数据业务自身等不同层面,制定数据安全事件应急预案。并定期对数据安全事件应急预案进行测试和演练,确保其有效性。数据安全应急预案可包括以下内容:1 .明确有关各方的分工和责任;2 .说明重要资源的业务影响范围、恢复时间目标、恢复点目标,明确资源的物理位置、设备型号、软件资源、网络配置等关键信息;3 .明确各类数据风险的诊断方法和流程;4 .制定数据恢复流程和应急处置操
27、作手册;5 .明确应急恢复过程中的关键状态,并明确不同状态的沟通;6 .明确应急相关人员的协调内容和沟通方式。5. 3应急预案的管理与维护经过审核和批准的应急预案文档,应:1 .由专人负责保存与分发;2 .具有多份拷贝,并在不同的地点保存;3 .分发给参与应急响应工作的所有人员;4 .在每次修订后所有拷贝统一更新,并保留一套,以备查阅;5 .旧版本应按有关规定销毁。为了保证应急预案的有效性,应从以下方面对应急预案文档进行严格的维护:1.业务流程的变化、平台的变更、人员的变更、数据的变更都应在应急预案文档中及时反映;2 .应急预案在测试、演练和数据安全事件发生后实际执行时,其过程均应有详细的记录
28、,并应对测试、演练和执行的效果进行评估,同时对应急预案文档进行相应的修订;3 .应急预案文档应定期评审和修订,至少每年一次。5. 4应急预案的演练当发生数据业务相关平台系统上线、升级、网络改造等重大变更时要及时更新应急预案,并适时实施演练。制定年度应急演练计划,明确演练的时间、内容、依据、目的、负责人和相关配合机构等要素。严格按照应急演练计划实施应急演练,应急演练结束后,要撰写应急演练情况总结报告,提交领导审阅。根据演练总结报告提出的改进措施进行整改,及时修订相应的应急预案。演练计划可涵盖对应急预案各环节的检验,验证应急预案的有效性、应急资源的完备性及应急人员的适应性。应急演练要做到全面演练和
29、专项演练相结合,根据数据安全事件应急响应预案制定演练计划并定期组织演练,保存演练记录。每类数据安全事件场景至少一年开展一次演练;每个数据处理活动涉及的平台系统至少两年开展一次演练。严格控制应急演练引起的变更风险,避免因演练导致服务中断,演练应选择在非主要业务时段进行。应急演练完成后,应保证实施应急预案所需的各项资源恢复正常。6. 5应急教育和培训组织开展数据安全应急相关法律法规、应急预案和基本知识的宣传教育和培训,提高相关岗位员工的安全意识、专业技能和防护、应急能力。7. 应急响应实施数据安全应急响应的目标是按照既定的应急预案,做好应急处置,快速有效地处置数据安全事件。各单位应在应急领导小组的
30、统一指挥下,根据其指令启动本预案,做好各项应急响应工作。参考计算机安全事件处理指南(NlSTSP800-61)中有关PDCERF模型的(Preparation(准备)、Detection(检测)、Containment(遏制)、Eradication(根除)、Recovery(恢复)、Follow-up(跟踪)的六个阶段,结合公司实际明确了应急响应处置流程,包括日常监测、事件监测、预警分级、应急启动、应急处置、后续处置、媒体沟通和结束响应等八个环节。应急响应实施流程如下图所示:图6-1应急响应实施流程6.1日常监测信息安全管理部统筹考虑,建立必要的数据安全保障平台,逐步实现对本单位数据业务相关
31、平台系统运行和数据业务运营的安全监控和防护。各级信息安全管理人员应认真落实数据安全日常监测机制,对可能引发数据安全事件的行为进行预警,并及时向数据安全管理责任部门上报。6.2 事件监测6. 2.1信息通报在数据安全事件发生后,应通知省公司相关部门/中心及地市分公司,使其能够确定事态的严重程度和下一步将要采取的行动。在损害评估完成后,应通知应急保障领导办公室。可以通过各种方法完成通知,包括固定电话、XXX电话和电子邮件等。由于电子邮件无法确定能否得到有效回复,所以建议谨慎使用电子邮件发送通知。数据安全事件发生后,应将相关信息及时通报给受到负面影响的外部机构、互联的单位系统以及重要用户,同时根据应
32、急响应的需要,应将相关信息准确通报给相关设备设施及服务提供商(包括电力等),以获得适当的应急响应支持。对外信息通报应符合组织的对外信息发布策略。7. 2.2信息上报数据安全事件发生后,应按照相关规定和要求,由应急保障领导办公室及时将情况上报相关主管或监管单位/部门。特别重大、重大数据安全事件,应立即报送上级有关单位或部门。8. 2.3信息披露数据安全事件发生后,根据事件的严重程度,由应急保障领导办公室及时向新闻媒体发布相关信息,应急保障领导办公室应严格按照公司相关规定和要求对外发布信息,同时公司内其他部门或者个人不得随意接受新闻媒体采访或对外发表自己的看法。6.3 预警分级建立数据安全突发事件
33、预警制度,数据安全事件发生后,应急响应实施小组对数据安全事件进行评估,按照紧急程度、发展态势和可能造成的危害程度,将数据安全事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色标示,分别对应可能发生特别重大、重大、较大和一般数据安全事件。6.4 应急启动应急启动具体操作遵循如下规则:1.启动原则一数据安全事件应急工作应在响应时限要求内快速、有序启动。响应时限指的是数据安全事件单从提交到“处理中“经过的时间,不同优先级的事件具有不同的响应时限要求,应该优先处理优先级较高的事件:安全事件级别响应时限要求一级15分钟二级20分钟三级30分钟四级1小时2 .启动依据一一般而言,对于导致大数据相关
34、业务中断、重要数据损毁、丢失、泄露等重大数据安全突发事件的应立即启动应急。启动条件可以基于以下方面考虑:数据损毁/泄露的程度;数据的重要程度;数据业务相关平台系统损失的程度预期的中断持续时间等。只有当损害评估的结果显示一个或多个启动条件被满足时,应急预案才应被启动。3 .启动方法由应急保障领导小组发布应急响应启动令。应急响应启动后,应急保障领导小组要对人力、财力、物力等的到位情况实施检查与督察,并记录实际发生的情况。6.5应急处置启动应急预案后,应急响应实施部门应立即采取相关措施抑制数据安全事件的影响,避免造成更大损失。应急处置包括应急响应和恢复操作。数据安全事件应急响应级别分为四级:一级、二
35、级、三级、四级,分别对应已经发生的特别重大、重大、较大、一般数据安发事件。6.5.1一级应急响应属特别重大数据安全事件的,及时启动一级应急响应。应急保障领导小组履行应急处置工作的统一领导、指挥、协调职责。(1)应急响应实施小组24小时值班。(2)应急响应实施小组进入应急状态,在应急保障领导办公室按照应急保障领导小组要求,统一领导、指挥、协调下,负责应急处置工作,24小时值班。应急响应技术保障部门负责支援保障工作。(3)应急响应实施小组跟踪事态发展,检查影响范围,及时将事态发展变化情况、处置进展情况报应急保障领导办公室。由应急保障领导办公室上报应急保障领导小组对决策部署,由应应急响应实施小组负责
36、组织实施。6.52二级应急响应属重大数据安全事件的,及时启动二级应急响应。应急保障领导小组履行应急处置工作的统一领导、指挥、协调职责。(1)应急响应实施小组进入应急状态,按照相关应急预案做好应急处置工作。(2)应急响应实施小组及时将事态发展变化情况报应急保障领导办公室。应急保障领导办公室将有关重大事项及时通报相关地区和部门。(3)处置中需要其他有关集团部门、省公司配合和支持的,应急保障领导办公室积极协调集团、其他省公司数据安全事件应急响应技术支撑队伍进行支撑。(4)根据应急保障领导办公室的通报,结合各自实际有针对性地加强防范,防止造成更大范围影响和损失。6.53三级、四级应急响应应急响应实施小
37、组在应急保障领导办公室、应急响应技术保障部门的配合下,按相关预案进行应急响应。在确定有效控制了数据安全事件的影响后,开始实施恢复操作。恢复阶段的行动集中于建立临时数据业务处理能力、修复数据等应急措施。为了进行恢复操作,应急预案应提供恢复平台业务能力、恢复数据的详细规程。规程中通常涉及到以下行动:1 .获得访问受损设施或地理区域的授权;2 .通知相关平台的内部和外部业务伙伴;3 .获得装载数据备份介质;4 .恢复系统数据。恢复的目标是把所有被攻破的系统和设备尽可能还原到它们正常的任务状态。恢复工作中如果涉及到机密数据,需要额外遵照机密系统的恢复要求。6.6媒体沟通数据安全事件处置过程中及完成后,
38、根据数据安全事件的严重程度,应急保障领导办公室应及时向新闻媒体发布事件处置相关信息,并应严格按照公司相关规定和要求对外发布信息。与媒体或客户沟通时,要从维护客户关系、履行告知义务、维护客户合法权益出发,运用公共关系策略、方法,加强与客户、媒体的沟通,适时向公众发布信息,消除或降低危机所造成的负面影响。必要时,应制定针对社会公众、媒体、股东、客户等相关各方的预案,在大数据安全事件发生时,及时、准确披露信息,防止因信息不对称可能产生的负面影响。6.7结束响应根据应应急响应实施小组报告的数据安全事件发展和应急处理效果等情况,应急响应技术保障部门对数据安全状况进行分析,判断事件影响已降低到最低级别数据
39、安全事件影响水平之下时,报经应急保障领导办公室批准后,指示应急响应实施小组终止应急处置工作。6.8应急响应总结应急响应总结是应急处置之后应进行的工作,具体工作包括:(1)分析和总结数据安全事件发生的原因;(2)分析和总结数据安全事件的现象;(3)评估系统平台及数据的损害程度;(4)评估数据安全事件导致的损失;(5)分析和总结应急处置记录;(6)评审应急响应措施的效果和效率,并提出改进建议;(7)评审应急预案的效果和效率,并提出改进建议。应急响应实施小组应于应急处理结束后一个月内向应急保障领导办公室上报相关的总结评估报告。7.应急处理流程及措施当发生以下数据泄露安全事件时,应立即针对数据泄露安全
40、事件展开不同的应急抑制、应急根除以及应急恢复等应急处置工作,对于超出本单位应急响应处理能力的工作,可以上报应急保障领导办公室协调数据安全应急响应技术保障部门提供相应的技术支持工作。数据泄露场景数据泄露原因网页内容篡改当系统遭受黑客攻击,网页被篡改时。攻击者主动窃取敏感数据恶意攻击者或外部竞争对手,基于经济利益或政治原因驱动,通过层出不穷的高超技术手段,窃取企业的各种重要数据。离职人员有意无意造成数据泄露1、离职人员有意无意造成数据泄露:由于权限管理疏忽等,离职人员在离职时有意或无意违规带走大量核心数据(用户数据、企业内部数据、专利著作及源码数据等)。2、内部人员有意无意造成数据泄露:由于内部员
41、工安全意识薄弱,数据安全分级不明确,操作失误,部分涉密人员无意中泄露数据;部分员工因情绪化报复、利益收买等主动泄露数据。内部人员有意无意造成数据泄露由于内部员工安全意识薄弱,数据安全分级不明确,操作失误,部分涉密人员无意中泄露数据;部分员工因情绪化报复、利益收买等主动泄露数据。权限失控造成数据泄露由于帐号生命周期管理不善,权限划分及认证鉴别方式失控,导致人员对数据的密级访问权限不对等,高密级数据流向低权限帐号,涉密数据流向无权限帐号等。数据维护及处置不当数据泄露不安全的加密方式或明文存储、公开的存储位置、管理密钥或存储介质丢失、未完全擦除报废,存储数据发生泄露。信息发布不当造成数据泄露合作伙伴
42、管理不善数据交互泄露,发布信息审核不当涉及敏感数据泄露,信息数据流入未授权、竞争关系的第三方。表7-1数据泄露场景数据安全事件应急响应流程主要分为:应急准备、应急处置、后续处理/分析确认、抑制根除、恢复运行。如下为数据安全事件应急处理通用流程:7.1应急准备进行数据安全事件应急响应前,应进行数据安全事件应急响应需要的资源、工具,以及流程的准备,应进行如下准备工作:(1)准备数据安全事件分析、取证溯源所需软件和硬件。(2)记录所有的正在运行的网络连接、系统进程、活动用户、敏感数据操作、打开文件以及内存、缓冲和临时目录中的信息。(2)如有需要,备份已被确认受影响的计算机设备。(3)如有需要,则隔离
43、已被确认受影响的计算机设备。(4)寻找其他可能受影响的计算机设备。(5)初步确认事故起源和受损情况。7.2网页内容篡改当系统遭受黑客攻击,网页被篡改时,各系统维护责任单位应立即组织技术力量,短时间内迅速恢复被篡改的网页。(1)切换网站至恢复模式:各网站维护责任单位登陆登录网站服务器,将网站的主页面修改为“网站正在维护中“,或者直接将目标网站进行封停(时限15分钟)。(2)查杀木马病毒,恢复网页:各网站维护责任单位组织技术力量,查杀木马病毒,排查篡改内容,从最近一次备份文件中恢复被篡改的页面,并修改网站管理员密码(时限30分钟)。(3)对网站服务器进行加固:各网站维护责任单位核查网站服务器基线配
44、置、排查日志、稽核访问控制列表等(时限120分钟),并执行安全扫描及评估。若需进行修补漏洞、更改系统配置等可能影响业务稳定的操作,向应急保障领导办公室申报紧急割接,当天晚上执行完毕。7.2.1应急流程网页内容篡改应急流程:图7-1网页内容篡改应急处置流程7.2.2应急工具建议工具:舆情监测、网络爬虫等监测工具、RASA或NESSUS漏洞检测工具、AWVS网站漏洞检测工具等、数据备份还原工具(例如:Ghost)日志分析工具(WebaliZer、messages、SUIOg、IaStIOg等、数据恢复及痕迹分析取证工具(如:X-WaysForensics等)、内存镜像工具(如:BelkasoftL
45、iveRAMCapturer)流量分析工具(如:Wireshark.TCPView),DD、Md5sum(MD5检验工具)、开源情报、服务器状态查看命令(netstat等)等7.2.3应急步骤当系统中发生网站页面被篡改时,可采取本应急措施进行处理。网页篡改应急流程主要分为应急启动、应急处置、事件分析、安全加固、持续监控等五个阶段:(一)应急启动(1)维护人员通过防篡改系统监控到网页被篡改或被挂马时,启动本预案。(2)维护人员进行初步研判,向相关专业及应急响应实施小组通报相关信息。(一)应急处置(1)维护人员初步判断服务器被非法入侵导致网页数据被篡改。(2)维护人员使用备份文件快速恢复被篡改的文
46、件内容。需要注意的是,尽量使用离线的备份文件做快速恢复,恢复时需要仔细检查备份文件的完整性。并且确认文件是否恢复成功。(3)如果没有备份的情况,维护人员需将被篡改的网页进行下线处置。(4)维护人员远程或本地登录主机执行信息收集的脚本,收集进程、网络连接、系统状态等信息,例如:Ps-efinfo.txtNetstat-aninfo.txtLastinfo.txt1.astcomminfo.txtCatetcpasswdinfo.txt(5)维护人员对被篡改的信息文件进行快照或者备份,以便后续对事件进行分析跟踪。(三)后续处理/事件分析(1)维护人员检查收集的系统信息,对进程、端口、系统用户等进行比对,分析是否存在异常。(2)维护人员检测系统的调度计划、启动项,分析是否被植入后门。(3)维护人员分析被篡改的信息文件,确定网站被篡改的方式;(4)维护人员分析边界防火墙的访问日志和代理服务器上的日志,确认入侵的源头及攻击方式。(四)安全加固(1)维护人员修改服务器的登录密码。(2)维护人员通过上述分析中确认攻击源头,在防火墙上做相应的阻断策略。(3)维护人员通过上述的分析,发现系统存在的漏洞弱点,通知
