XX自有重要系统遭入侵应急预案

自有重要系统遭入侵应急预案1目录1目的.........................................................................................12适用范围..................................................................................13应急保障组织和职责.................................................................14网络与信息安全事件分级..........................................................35预防预警..................................................................................36入侵事件应急响应....................................................................46.1应急响应流程········································································46.2入侵事件的分类处置·······························································66.2.1攻击试探事件······························································66.2.2正在进行的入侵事件·····················································76.2.3攻击行为已经完成························································96.3应急处理动作参考··································································96.3.1Unix应急处理参考························································96.3.2Windows应急处理参考················································146.3.3网络设备应急处理参考·················································197后期处置................................................................................218附录.......................................................................................218.1网络与信息安全事件报告表·····················································218.2网络与信息安全事件处理结果报告表·········································22第1页1目的提高自有重要系统遭入侵应急处置能力，建立健全应急工作机制，进一步加强网络与信息安全事件与威胁的监测能力、预防能力、保障能力与应对能力，确保重要保障期间突发网络与信息安全事件得到快速、高效处置，预防和减少各类事件造成的损失和危害，特制定本预案。2适用范围本预案适用依托XXXX公司网络运行的自有的关系国计民生、社会稳定的省内重要计算机信息系统。本预案适用于公司自有重要系统因网络攻击、信息破坏等导致的网络与信息安全事件的应急处置工作，或公司应急指挥领导机构认为必要时启动本预案。3应急保障组织和职责成立应急保障组，提供详细准确的领导组、工作组联系方式。应急工作领导小组成员名单姓名部门及职务电话手机邮件备注第2页应急工作组成员名单姓名专项组名称电话手机邮件备注业务应用系统应急小组网络通讯应急工作小组主机及存储应急工作小组安全服务厂商安全服务厂商相关机构和联系方式机构名称联系人联系电话邮件XX省通信管理局XX省公安厅公共信息网络安全监察总队XX互联网应急中心YNCERT集团应急办第3页4网络与信息安全事件分级根据网络与信息安全事件的分级考虑要素，将XXXX公司网络与信息安全事件划分为四个级别：I级（特别严重）、II级（严重）、III级（较重）和IV（一般）四级。特别严重网络与信息安全事件（Ⅰ级）是指造成直接经济损失大于XXX万元，扩散性很强，造成全局的重要信息系统瘫痪，衍生其他重大安全事件。严重网络与信息安全事件（Ⅱ级）。指造成直接经济损失XX万至XXX万元，扩散性强，或发生在涉及大量客户端的造成重要信息系统无法使用，或发生在涉及全局的造成非重要应用系统瘫痪。较重网络与信息安全事件（Ⅲ级）。指造成直接经济损失XX万至XX万元，基本无扩散性，或发生在涉及部分客户端的造成重要信息系统无法使用，或发生在涉及大量客户端的造成非重要信息系统瘫痪的。一般网络与信息安全事件（Ⅳ级）。指造成直接经济损失XX万元以内，无扩散性，发生在涉及少量客户端的造成重要信息系统无法使用，或发生在涉及部分客户端的造成非重要信息系统瘫痪的。5预防预警预防预警是应急响应迅速启动的关键。各单位利用自身的安全监控设备和工具，并结合社会其它信息源（如安全厂商的公告、各类应急响应机构的公告等），及时发现网络与信息安全威胁或事件发生的迹象和趋势，分析导致网络与信息安全事件的根源，为网络与信息安全应急响应工作提供支持。预警信息是指存在潜在安全威胁或隐患但尚未造成实际危害和影响的信息，或者对事件信息分析后得出的预防性信息。XXXX公司网络与信息安全事件预警等级分为四级：I级（特别严重）、II级（严重）、III级（较重）和IV（一般），I级为最高级，依次用红色、第4页橙色、黄色和蓝色表示，分别对应发生或可能发生特别重大、重大、较大、一般网络与信息安全事件。XXXX公司应建立并完善网络安全监测机制，提高监测能力，自主监测、自主定级管理范围内的预警信息。预警信息由应急办按照如下要求报送。涉及XXXX公司的I级、II级预警信息，应于2小时内向集团公司和省通信管理局报告，抄送YNCERT。III级预警信息，应于4小时内向集团公司和省通信管理局报告，抄送YNCERT。IV级预警信息，应于5个工作日内报送YNCERT，抄送省通信管理局。预警信息报送的内容应包括：（一）信息基本情况描述；（二）可能产生的危害及程度；（三）可能影响的用户及范围；（四）截止信息报送时，已知晓该信息的单位/人员范围；（五）建议应采取的应对措施及建议。未经集团公司和省通信管理局的审核和授权，不得发布网络与信息安全事件预警信息。6入侵事件应急响应6.1应急响应流程在发生网络与信息安全事件时，启动下列应急响应流程，应急响应流程如图1所示。第5页图1应急响应流程事件处理基本流程主要包括以下内容：1)确认阶段：确定应急处理方式。（1）应急工作组接受异常事件报告后，分析是否存在网络与信息安全事件。（2）如存在网络与信息安全事件，对事件进行定级，同时上报给应急领导小组。IT服务平台是否具备处理能力是是否预案启动确定是否发生信息安全事件对事件定级上报启动IT服务平台处理否安全事件处理恢复系统运行评估损失编写事件处理报告结束响应结束响应是是是否否第6页2)遏制阶段：及时采取行动遏制事件发展。抑制事件的影响进一步扩大，限制潜在的损失与破坏，同时要确保封锁方法对涉及相关业务影响最小。可能的抑制策略一般包括：关闭服务或关闭所有的系统，从网络上断开相关系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路，提高系统或网络行为的监控级别，设置陷阱，启用紧急事件下的接管系统，实行特殊“防卫状态”安全警戒，反击攻击者的系统等。3)根除阶段：彻底解决问题隐患。在事件被抑制之后，通过对有关事件或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。与此同时，执法部门和其他相关机构将对攻击源进行定位并采取合适的措施将其中断。4)恢复和跟踪阶段。在确保安全问题解决后，要及时清理系统、恢复数据、程序、服务。恢复工作应避免出现误操作导致数据的丢失。另外，恢复工作中如果涉及到机密数据，需遵照机密系统的恢复要求。6.2入侵事件的分类处置按照入侵事件进行的过程和所处的阶段，可以分成三种类型：攻击者正在试图取得访问系统的权限；已经建立连接，攻击正在进行时；攻击已经完成。在这三种类型的事件中，攻击正在进行时的情形最严峻，必须尽快处理。处理正在进行的入侵事件有两种方法，一种是立即切断入侵者和系统的连接，将系统恢复到安全的状态；第二种方法是不惊动攻击者，尽量收集信息以确定攻击源或作为法律证据。这两种方法的选择取决于对本次入侵者行为可能造成的风险的估计。6.2.1攻击试探事件这种类型的事件的特征为：多次登录尝试，多次ftp、telnet或rsh尝试、反复第7页拨号尝试等。第一步：确定问题通过系统日志文件和活动的网络连接来识别入侵者的来处，备份所有审计信息，如：系统日志文件，root的history文件，utmp和wtmp文件，并妥善保存这些文件。列出进程状态信息，并将其存在文件中妥善保存。同时记录所有工作活动。第二步：通知公司的安全管理员在30分钟内通知安全管理员，如果不能及时找到安全管理员，就通知安全主管或安全管理员的备份人员。安全管理员或其备份人员负责通知其它层次的管理人员。第三步：识别攻击源如果能够找到攻击的来源，安全管理员或其指定的专人应该负责和对方的系统管理员或安全分析员联系，尽量找出攻击的发起者。如果找到了攻击者，应该把相关信息通知安全主管或者省公司分管安全领导，由他们来决定怎样处理。同时记录所有工作活动。第四步：通知CERT如果不能找到攻击者，安全管理员应该与CERT和本地通管局取得联系，向他们提供与攻击相关的信息。同时记录所有工作活动。注意，信息的发布必须得到省公司分管安全领导或他指定的负责人的许可。第五步：事后处理在调查之后，安全管理员或安全主管应该指定相关人员对此次事件写一份报告，针对事件和采取的行为进行描述，并执行事后分析。6.2.2正在进行的入侵事件这种类型的事件包括系统上任何非授权人员建立的活动会话和执行命令的行为，如：活动的rlogin或telnet会话，活动的ftp会话。由于入侵者可能在很短的时间内破坏系统，事件响应的时间非常重要，所以在处理这类事件时，应该首先由省公司分管安全领导或其指定的人员在综合考虑监控人员的能力和可能造成的风险的前提下决定是立即将入侵者驱逐出系统还是在不惊动入侵者的情况下收集证据。第8页第一步：通知相关人员尽快通知安全管理员，如果在5分钟内无法和他取得联系则立即通知备份人员。安全管理员负责通知其他相关人员，并且在系统分析员的帮助下估计入侵者下一步行为，并针对入侵者继续活动的风险进行评估。安全管理员应该尽快通知安全主管，如果在10分钟之内不能办到，立即通知备份人员。安全主管决定是立即将入侵者驱逐出系统还是在不惊动入侵者的情况下收集证据。不同的决定有不同的处理过程。安全管理员或安全主管应该在30分钟内通知省公司分管安全领导，必要时，省公司分管安全领导将情况向上级管理者汇报。第二步：系统快照对所有审计信息（如：系统日志文件，root的history文件，utmp和wtmp文件等）进行备份，并妥善保管；获取所有进程的状态信息并将其存在一个文件里，安全存放文件；所有可疑的文件都应该先转移到安全的地方或在磁带里存档，然后将其删除；列出所有活动的网络连接，在分析员的帮助下获