網絡信息安全規范、應急突發事件預案及處理流程（試 行）一、總則 1、編制目的 為規范和加強網絡重大信息安全事件的信息報告管理工作，及時掌握和評估重大信息安全事件有關情況，協調組織力量進行事件的應急響應處理，降低信息安全事件的損失和影響，根據中共中央辦公廳、國務院辦公廳轉發國家信息化領導小組關于加強信息安全保障工作意見的通知（中辦發200327號）和有關法律、法規的規定，結合公司實際，制定本規范。 2、工作原則 統一領導，歸口管理。網絡信息安全應急處理工作應在公司網絡信息安全領導小組的領導下，會同相關部門，齊抓共管、各負其責，共同提高公司網絡系統的信息安全應急處理水平。 明確責任，依法規范。應從公司信息安全保障的高度出發，明確應急處理管理部門和各業務部門的安全責任，嚴格依照國家法律和相關規定進行應急處理工作。防范為主，加強監控。應廣泛宣傳網絡信息安全基本知識，提高對信息安全的認識水平，切實落實信息安全防范措施，強化對公司網絡信息系統的監控，減少安全事件可能帶來的不良影響。 整合資源，協調處理。網絡信息安全應急處理工作應充分加強與專業信息安全機構的溝通和聯系，以提高公司網絡系統應急處理能力。 3、適用范圍 本規范所稱的信息安全重大事件是指由于人為攻擊或破壞以及病毒爆發等原因所引發，嚴重影響到網絡與信息系統的正常運行，造成業務中斷、系統破壞、數據破壞或信息失竊等，從而在政府形象、社會穩定或公眾利益等方面造成嚴重影響以及造成一定程度直接和間接重大經濟損失的事件。 公司各部門的網絡與信息系統安全事件報告、應急處理，均適用于本規范。 二、應急處理組織機構 在公司網絡信息安全領導小組的領導下，網絡信息安全應急處理的組織機構組成如下：公司技術部副總、公司技術部。 公司技術部作為網絡信息安全應急處理部門，負責全公司各系統的網絡信息安全事件應急處理協調工作。各部門在公司網絡信息安全領導小組的領導下，負責本部門網絡信息安全事件應急處理管理工作，并與公司技術部副總、公司技術部保持聯系，隨時反映網絡信息安全工作情況。 三、預防措施1、組織機構 各部門應建立網絡信息安全管理組織機構，明確崗位職責，確定崗位人員名單、聯系方式，網絡信息安全管理組織機構人員名單須上報公司技術部備案。各部門應建立網絡信息安全“一把手”負責制，應指定一名部門負責人作為網絡信息安全負責人，管理安全事故應急處理，行使決策職責，并可直接與技術部技術人員聯系，負責信息安全應急處理流程的實際執行，提交重大信息安全事件報告和應急處理工作的結果報告。2、制度規范各部門應根據實際情況和需要制定基本的安全管理制度，對重要設備、軟件和業務數據的安全性進行規范、可靠的管理，提高本部門信息系統的安全防護能力。包括配合技術部制定機房管理制度、設備管理制度、病毒防治管理制度、數據備份與恢復制度、網站管理制度、安全審計制度和應急響應制度等。 各部門要針對內部信息系統制定安全運行管理流程，建立安全事件應急預案，以提高本部門信息安全應急響應能力。 各部門應根據本規范細化安全應急事件處理流程，包括事件的發現、判斷、評估、上報和處理等階段，并落實本部門和應急處理管理機構的對口部門和人員，確保應急處理流程得到有效執行，信息安全事件得到有效控制和處理。應急響應相關制度如果發生變化，各部門應及時將最新的制度在公司技術部備案。 3、安全措施 各部門應定期進行風險評估，了解網絡信息系統目前可能存在的安全隱患和所面臨的安全威脅，并針對本部門的實際情況，從物理、網絡、系統、應用和數據等多個層面實施信息安全保障工作。 各部門應定期對網絡信息系統的運行狀態、系統日志和安全日志等進行檢查，對重要信息系統如網站、核心數據庫等應每日進行運行檢查，確保及時發現信息安全事件，減少安全事件所造成的損失。 各部門應定期或不定期組織預案演練，進一步明確應急響應各崗位責任，檢驗應急預案各環節之間的通信、協調、指揮等是否符合快速、高效的要求，對預案中存在的問題和不足及時補充、完善。 4、宣傳培訓 各部門應大力宣傳信息安全的基本原理、安全事件的預防措施和應急處理的基本知識，提高本部門人員的信息安全意識水平。 各部門應定期或不定期地舉辦信息安全基礎培訓，使不同崗位的人員都能熟悉并掌握信息系統應急處理的知識和技能。同時應積極參加由公司網絡安全部門舉辦的各類信息安全培訓，通過不同層次、類型的培訓或研討，提高全公司網絡信息安全水平，減少信息安全事件數量。 四、應急處理流程 1、信息安全事件分類 根據信息安全事件可能造成的影響范圍及程度，將應急處理流程分為對外服務信息系統應急處理流程和內部應用信息系統應急處理流程兩大類型。 其中對外服務信息系統指公司網站拍賣平臺和互聯網對外提供服務的信息系統。內部應用信息系統指僅對各部門內部人員提供服務的信息系統。 同時，根據發生安全事件的信息系統所提供的服務范圍，在對外服務信息系統應急處理流程和內部應用信息系統應急處理流程中進一步細分了網站、業務系統和辦公系統三種業務類別的應急處理流程。 網站指公司各部門和單位使用HTML等工具制作的用于發布拍品信息、提供數據服務的相關網頁的集合。業務系統指公司各部門和單位提交數據，提供服務、辦理相關業務的信息系統，如網上業務辦理系統等。辦公系統指公司各部門和單位處理日常辦公事務的信息系統，如OA系統等。 發生信息安全事件時，公司各部門和單位應按上述處理流程分類方法對安全事件進行分類，并遵循以下各類別信息安全事件處理流程執行。 2、對外服務信息系統應急處理流程 病毒爆發處理流程 公司各部門和單位對外服務信息系統一旦發現感染病毒，應執行以下應急處理流程：立即切斷感染病毒計算機與網絡的聯接；對該計算機的重要數據進行數據備份；啟用防病毒軟件對該計算機進行殺毒處理，同時通過防病毒軟件對其他計算機進行病毒掃描和清除工作；如果滿足下列情況之一的，應立即向本部門信息安全負責人通報情況，并向公司技術部和本市公安局公共信息網絡安全監察部門報告以求協助解決：現行防病毒軟件無法清除該病毒的；網站在2小時內無法處理完畢的；業務系統或辦公系統在4小時內無法處理完畢的。在公司技術部和本市公安局公共信息網絡安全監察部門的協助下，清除該病毒；恢復系統和相關數據，檢查數據的完整性；病毒爆發事件處理完畢，將計算機重新接入網絡；總結事件處理情況，并提出防范病毒再度爆發的解決方案；實施必要的安全加固。 網頁非法篡改處理流程 公司各部門和單位對外服務網站一旦發現網頁被非法篡改，應執行以下應急處理流程：發現網站網頁出現非法信息時，值班人員應立即向本部門信息安全負責人通報情況，并立即向公司技術部和本市公安局公共信息網絡安全監察部門報告。情況緊急的，應先采取斷網等處理措施，再按程序報告；本部門信息安全負責人應在接到通知后立即趕到現場，做好必要記錄，妥善保存有關記錄及日志或審計記錄；在本市公安局公共信息網絡安全監察部門提取相關數據樣本后，清理網站非法信息，強化安全防范措施，然后將網站重新投入使用。如情節構成違法犯罪的，由本市公安局公共信息網絡安全監察部門立案偵查；總結事件處理情況，向公司技術部和本市公安局公共信息網絡安全監察部門備案，并提出防范再度發生的解決方案；實施必要的安全加固。非法入侵處理流程 各部門對外服務信息系統一旦發現被遠程控制等非法入侵行為，應執行以下應急處理流程：發現系統服務器被遠程控制、植入后門程序，或發現有黑客正在進行攻擊時，應立即向本部門信息安全負責人通報情況，并立即向公司技術部和本市公安局公共信息網絡安全監察部門報告；如服務器已被入侵，將被攻擊的服務器等設備從網絡中隔離出來，保護現場；本部門信息安全負責人應在接到通知后立即趕到現場，做好必要記錄，妥善保存有關記錄及日志或審計記錄；由本市公安局公共信息網絡安全監察部門對受攻擊的網站、業務系統和辦公系統進行現場分析，追查攻擊源，修改防火墻等設備的安全配置阻斷黑客繼續入侵。公司技術部和相關部門做好配合工作； 分析后臺數據庫操作日志，判斷是否發生數據失竊。檢查、校驗數據的完整性和有效性；在本市公安局公共信息網絡安全監察部門提取相關數據樣本后，恢復與重建被攻擊或破壞的系統。如情節構成違法犯罪的，由本市公安局公共信息網絡安全監察部門立案偵查；重新將恢復后的對外服務系統接入網絡； 總結事件處理情況，向公司技術部和本市公安局公共信息網絡安全監察部門備案，并提出防范再度發生的解決方案；實施必要的安全加固。 拒絕服務攻擊處理流程 各部門對外服務信息系統一旦發現遭受DDoS等拒絕服務攻擊，無法正常訪問時應執行以下應急處理流程：發現對外服務系統訪問流量異常、無法正常訪問，可能遭受拒絕服務攻擊時，應立即向本部門信息安全負責人通報情況，并立即向公司技術部和本市公安局公共信息網絡安全監察部門報告；本部門信息安全負責人應在接到通知后立即趕到現場，做好必要記錄，妥善保存有關記錄及日志或審計記錄；在本市公安局公共信息網絡安全監察部門提取相關數據樣本后，對現場進行分析，追查攻擊源，修改路由器、防火墻等設備的安全配置，緩解、消除拒絕服務攻擊的影響。恢復對外系統正常運行。如情節構成違法犯罪的，由本市公安局公共信息網絡安全監察部門立案偵查；總結事件處理情況，向公司技術部和本市公安局公共信息網絡安全監察部門備案，并提出防范再度發生的解決方案；實施必要的安全加固。 3、內部應用信息系統應急處理流程 內部網絡病毒爆發應急處理流程 各部門內部網絡一旦發現感染病毒，應執行以下應急處理流程：立即切斷感染病毒計算機與網絡的聯接；對該計算機的重要數據進行數據備份；將防病毒軟件病毒庫升級至最新，啟用防病毒軟件對該計算機進行殺毒處理；如果現行防病毒軟件無法清除該病毒，應立即向本部門信息安全負責人通報情況，并可向公司技術部和本市公安局公共信息網絡安全監察部門或專業信息安全服務機構求助解決；如果公司內超過20臺（含20臺）計算機同時被感染病毒，并在4小時內無法處理完畢，則應立即向公司技術部和本市公安局公共信息網絡安全監察部門報告；在有關部門的協助下，清除該病毒；恢復各計算機軟件系統和數據；病毒爆發事件處理完畢，將計算機重新接入網絡；更新全網防病毒軟件病毒庫，密切監視網絡流量和病毒發作跡象，避免二次感染；總結事件處理情況，并提出防范病毒再度爆發的解決方案，實施必要的安全加固。 內部應用信息系統安全事件應急處理網頁非法篡改處理流程 各部門內部應用信息系統一旦發現網頁被非法篡改，應參照四2的網頁非法篡改處理流程執行應急處理。非法入侵處理流程 各部門內部應用信息系統一旦發現被遠程控制等非法入侵行為，應參照四2的非法入侵處理流程執行應急處理。 五、監督檢查 各部門應根據本規范制定本部門的信息安全事件應急處理規范，對發生的信息安全事件嚴格按照本規范要求及時如實地報告并處理，確保公司信息系統的正常運行和服務。 公司技術部負責對各部門執行本規范的情況進行監督、檢查。 對違反本規范進行操作而導致嚴重不良后果的部門和負責人，將會同有關部門追究其相應的責任。 六、附則 本規范由公司技術部負責解釋。各部門可參照本規范，結合本部門實際情況，制定具體的實施辦法。本規范自發布之日起施行。 行政部 技術部 2004年6月18日 - 8 -網絡信息安全規范、應急突發事件預案及處理流程發生信息