1、 密級：商密 文檔編號：HCIS-SAD-WORK-03 項目代號：HCIS-SAD 恒馳信息系統(tǒng)有限公司 應急響應規(guī)范 上海包馳信息系統(tǒng)有限公司 Shanghai Hengchi Information System Co.,LtdShanghai Hengchi Information System Co.,Ltd 二。一一年六月 l|亙馳1言息 應急響應規(guī)范 ?HCIS Security Team Page : 2 of 10 HI亙馳信扁 ME IH. u 目錄 1. 總則 . 3 1.1 目的 . 3 1.2 事件分類 . 3 1.3 釋義 . 3 1.4 讀者 . 4 2. 組織與

2、職責 . 5 2.1 應急響應小組 . 5 2.2 高級安全顧問 . 5 2.3 安全顧問 . 5 2.4 安全服務工程師 . 5 3. 應急響應處理流程 . 6 4. 檢查要求 . 7 5. 附則 . 7 6. 應急響應處理流程圖 . 8 7. 附表 . 9 7.1 安全事件檢查記錄表 . 9 7.2 安全事件分析處理表 . 10?HCIS Security Team Page : 3 of 10 H更釁扇 應急響應規(guī)范 1. 總則 1.1目的 為增強包馳信息安全服務中心應對緊急安全事件的能力，規(guī)范安全服務應急 響應流程，保障用戶在遭受到緊急狀況時的資產損失降低到最小，并在規(guī)范的流 程下進行

3、修復，保障業(yè)務的連續(xù)性和問題的可追蹤性，特制定本應急響應流程。 1.2事件分類 1 1）物理安全事件 指計算機設備、設施（含網絡）以及其它媒體遭到人為的或自然災害引起 的物理上的危害。 2 2）邏輯安全事件 指信息的完整性、保密性和可用性方面遭到破壞，從而導致涉及的網絡、 操作系統(tǒng)、數據庫、應用系統(tǒng)、人員管理等方面正常業(yè)務運行受到影響。 1.3釋義 一、本管理辦法中所描述的安全廣義上均指信息安全； 二、物理安全事件定義（包含但不僅限丁）： 1 1）設備遺失，遭到物理闖入或計算機設備被竊； 2 2）自然災害，物理環(huán)境或設備遭到火災或水災等事故； 3 3）環(huán)境災害，物理設備由丁機房環(huán)境灰塵或靜電造

4、成損壞； 4 4）意外故障，設備在運行過程意外（如本身質量等問題）損壞，造成業(yè)務 受損或服務中斷； 5 5）人員誤操作，管理維護人員在日常維護中因誤操作導致物理設備、線纜 等設施的損壞，造成業(yè)務受損或服務中斷。 三、邏輯安全事件定義（包含但不僅限丁）： 1 1）非授權訪問，未經授權或允許進入到信息系統(tǒng)中，而導致數據信息受損應急響應規(guī)范 ?HCIS Security Team Page : 4 of 10 HI亙馳信扁 ME IH. u 或泄露； 2 2） 信息泄密，數據在傳輸中因數據被截取、篡改、分析等而造成信息的泄 漏； 3 3） 拒絕服務，因遭受攻擊導致用戶不能正常訪問服務器提供的相關服務

5、； 4 4） 系統(tǒng)性能嚴重下降，有不明的進程運行并占用大量的 CPUCPU 處理時間; 5 5） 日志審計異常，在日志中發(fā)現異常流量或異常訪問記錄； 6 6） 計算機病蠹，因計算機病蠹造成的影響； 7 7） 網絡攻擊嘗試，發(fā)現正在進行的網絡攻擊行為； 8 8） 帳戶口令異常變更，發(fā)現未經授權的帳戶及口令； 9 9） 來自集團外部的警告，如反垃圾郵件組織、電信運營商、執(zhí)法部門等； 1010） 訪問權限被修改，文件或業(yè)務的訪問權限被修改； 1111） 系統(tǒng)的安全漏洞，包括操作系統(tǒng)、數據庫、業(yè)務應用； 1212） 違反保密協議，員工或第三方違反相應的保密條例。 1.4讀者 本文檔的讀者包括包馳信息安

6、全服務中心全體成員，客戶需求方和其他可能 涉及包馳信息安全服務中心安全工作的內外部人員。?HCIS Security Team Page : 5 of 10 H追照停扇 應急響應規(guī)范 2. 組織與職責 基丁包馳信息安全服務中心組織架構的特點，主要以服務部門經理為主要領 導，以應急響應小組為主要攻堅力量，其它顧問和工程師則輔助應急響應小組完 成應急響應流程。 應急響應規(guī)范的修訂，以應急響應小組提議，高級顧問協助服務部門經理進 行統(tǒng)一修訂。 安全服務中心必須每年統(tǒng)一檢查和評估此流程，并做出適當更新。在內外部 環(huán)境需求發(fā)生重大變化時，也將對本流程進行檢查和更新。 2.1應急響應小組 主要職責：在啟動

7、應急響應之后，進行現場的問題處理，跟蹤記錄。 2.2高級安全顧問 主要職責：在應急響應過程中處理需要一些額外的高級支持時，提供技術支 持，并進行應急響應規(guī)范的修訂與商議。 2.3安全顧問 主要職責：協助應急響應小組進行問題追蹤。 2.4安全服務工程師 主要職責：主要負責應急響應的前期記錄，協助應急響應小組進行簡單的修 復和加固工作。應急響應規(guī)范 ?HCIS Security Team Page : 6 of 10 HI亙馳信扁 ME IH. u 3. 應急響應處理流程 服務臺在接受到信息安全事件時，進行分類統(tǒng)計，如出現緊急響應事件應 及時通知服務部門經理，由部門經理啟動應急響應。在收到客戶直接

8、請求應急 響應支持流程時，亦可直接啟動應急響應。 應急響應啟動后，服務部門經理指派應急響應小組組長，負責此次應急響 應事件。應急響應小組在收到服務臺基本的事件介紹資料后，快速的做出反應, 準備好相關工具，以最快的速度趕往現場，進行問題處理。 應急響應小組將在第一時間對問題做出反應，進行數據包截獲分析等其他 技術手段進行安全事件信息搜集，并通過相關工具及時遏制住問題擴大，并對 重要資產進行及時的修護防范，及時保障服務的運行。 現場不能完全解決問題的，進行事態(tài)控制后，由高級安全顧問協助，進行 應急安全事件分析狀態(tài)分析報告，并制定全面的檢測和修復計劃，進行事件的 持續(xù)跟蹤處理；現場問題直接解決，則由

9、安全顧問協助應急響應小組出具應急 響應報告，給出應急事件的原因分析，加固方案。 安全服務工程師協助應急響應小組，對事件處理過程和問題進行跟蹤記錄, 最終交付給服務臺，并對一些后續(xù)問題給予持續(xù)處理。 具體處理流程參見第六章應急響應處理流程圖。應急響應規(guī)范 ?HCIS Security Team Page : 7 of 10 HI亙醐言扁 ME IH. 土 4. 檢查要求 任務 編虧 檢查點 檢查內容 檢查方法 檢查 周期 1 1 安全事件檢查記錄表 安全服務中心檢查是 否對安全事件記錄的 處理結果進行檢查。 閱讀文檔 每月 2 2 安全事件分析處理表 安全服務中心檢查是 否有事后分析報告，安 全

10、事件是否進行有效 跟蹤。 閱讀文檔 每月 5. 附則 1 1） 本應急響應流程由包馳信息安全服務中心負責解釋和修訂。 2 2） 本應急響應流程自 20092009 年 9 9 月 1515 日起試行，試行期為 6 6 個月。6 6 個 月內若無修訂，則自動轉入實施。IH. 應急響應規(guī)范 ?HCIS Security Team Page : 8 of 10 6. 應急響應處理流程圖 安全顧問 協助應急小組控制事態(tài) 解決后續(xù)遺留問題 控制事態(tài) 跟蹤記錄 協助應急小組控制事態(tài) 解決后續(xù)遺留問題 應急響應規(guī)范 ?HCIS Security Team Page : 9 of 10 7. 附表 7.1安全事件檢查記錄表 安全事件檢查記錄表 文件編.SN: SN: _ 客戶名稱 檢查 時間 檢查項 檢查結果 負責人 X X公司 20 xx 年 XX 月 本月安全事件總數 事件石稱匯總 安全事件類型匯總【病毒、木馬、黑客攻擊、 硬件故障、軟件故障】 交付物匯總 問題解決匯總【已解決、已控制、未解決】 應急響應規(guī)范 ?HCIS Security Team Page : 10 of 10 7.2安全事件分析處理表 安全事件分析處理表 事件處理編號S