网络安全事件责任事件分为10篇网络安全事件责任事件分为 网络和信息安全应急预案 一、工作原则(一)预防为主、综合防范。立足安全防护,加强预警,重点保护基础信息网络和重要信息系统,抓好预防、监下面是小编为大家整理的网络安全事件责任事件分为10篇,供大家参考。
篇一:网络安全事件责任事件分为
和信息安全应急预案一、工作原则 (一)预防为主、综合防范。立足安全防护,加强预警,重点保护基础信息网络和重要信息系统,抓好预防、监控、应急处理、应急保障等环节,构筑网络与信息安全保障体系。
(二)明确责任、分级负责。按照“谁主管谁保障,谁保障谁处置,谁处置谁报告”的原则,建立和完善组织机构,明确职责分工,有效履行保障和应对网络与信息系统突发事件的职责。
(三)迅速处置,事后整改。按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。事后要剖析原因,总结教训,形成长效机制,实现网络与信息安全突发事件应急处置工作的科学化、程序化与规范化。
二、成立应急领导小组 组
长:副组长:成
员:
急电话:网络与信息安全领导小组(以下简称领导小组)是我院网络与信息安全应急处置的组织协调机构,负责领导、协调应急处置工作。其工作职责是:确认是否达到应急情况标准;视情况严重程度,协调相关科室开展技术保障、业务应急处理等事项。
三、成立应急处理小组 组
长:
成
员:
信息科值班电话:四、事件分级 根据信息安全事件造成后果的严重程度,网络与信息安全事
件可划分为 5 个等级,其中 1 级危害程度最高,5 级危害程度最低,各级网络与信息安全事件的描述如下:
1 级网络与信息安全事件:灾难性安全事件。造成医院信息系统的业务瘫痪、对医院的利益或社会公共利益有灾难性的影响或危害。
2 级网络与信息安全事件:特别重大安全事件。造成医院信息系统的业务停顿、对医院系统利益或社会公共利益有极其严重的影响或危害。
3 级网络与信息安全事件:重大安全事件。造成医院信息系统的业务中断、影响系统效率、对医院系统利益或社会公共利益有较为严重的影响或危害。
4 级网络与信息安全事件:较大安全事件。造成医院信息系统的业务短暂停顿但可立即修复、对医院系统利益或社会公共利益有一定的影响或危害。
5 级网络与信息安全事件:一般安全事件。造成医院信息系统的效率受到轻微影响、对医院系统利益或社会公共利益基本不影响或危害极小。
3 级和 3 级以上的网络与信息安全事件统称为重大网络与信息安全事件。
五、应急预案的启动 (一)事件发现、初判和上报 对于初判为 4 级和 4 级以上网络与信息安全事件,在事件发生后应及时上报医院信息安全领导小组,并填写《网络与信息安全事件报告表》。重大网络信息安全突发事件必须实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
(二)启动应急预案 当发生网络安全与信息系统事件时,应立即启动应急预案,根据具体情况进行相应的应急处置。若影响到业务正常开展,由网络与信息安全领导小组协调相关部门进行联合处理。
六、应急处置 (一)局域网中断的应急处置 1.局域网中断后,应立即判断故障节点,查明故障原因,并向领导小组汇报。
2.如属线路故障,对线路进行抢修和恢复。
3.如属交换机等网络设备故障,应立即从指定位置提取备用设备替换安装,并调试通畅。
4.如属配置文件被破坏,应重新拷入已备份的配置文件或按照要求迅速重新配置,必要时联系设备供应商。
(二)广域网中断的应急处置 1.广域网中断后,值班人员应迅速判断故障节点,查明故障原因,同时向领导小组汇报。如故障范围限于单位内部范围,技术人员应立即予以恢复;如有困难,请上级部门支持和技术公司帮助。
2.如属路由器等网络设备故障,应立即从指定位置提取备用设备替换安装,并调试通畅。
3.如发生光路设备和线路故障,应立即与运营商维护部门联系,尽快进行抢修恢复,必要时联系相关单位联合处理。
(三)病毒入侵的应急处置 1.发现服务器操作系统有重大漏洞或感染病毒,应立即追加补丁,启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
2.对该设备的硬盘进行数据备份。
3.如果现行反病毒软件无法清除该病毒,应立即向领导小组汇报,并迅速联系有关产品厂商研究解决。
(四)黑客攻击的应急处置 1.当发现网络被非法入侵、网页内容被篡改、应用服务器上的数据被非法拷贝、修改、删除,或通过入侵检测系统发现有黑客正在进行攻击时,使用者或管理者应立刻断开网络,并立即向领导小组汇报。
2.采取关闭网络、封锁或删除被攻破的登陆帐号等方式,阻断可疑用户进入网络的通道。
3.及时清理系统,恢复数据和程序,将系统和网络恢复正常。
4.经应急处置后,事态难以控制或有扩大发展趋势时,应实施扩大应急行动。应急处置和紧急支援的单位,要及时增加应急处置力量,加强工作协调,努力控制事态的扩大和发展。
5.追查非法攻击和病毒来源。妥善保存有关记录及日志和审计记录,对现场进行分析,并写出分析报告存档,向领导小组汇报。事态严重的,要向公安部门报警。
(五)主机故障的应急处置 1.定期做好重要信息系统虚拟机克隆备份,在发生故障后,如确定是虚拟机本身问题,比如操作系统无法启动、系统蓝屏等,应立即启动备份虚拟机。
2.如果服务器主机发生故障时虚拟机能正常访问,应将虚拟机迁移到其它主机(注意监控主机资源使用情况,在资源紧张的情况下,暂时关闭非重要虚拟机,保证重要信息系统正常运行)。如果服务器主机发生故障时虚拟机不能正常访问,应在其它主机上找到存储分区中该虚拟机对应的后台文件后加载启动。
3.在主存储发生故障后,应立即断开数据同步服务,启用备用存储,及时联系硬件厂商获得技术服务,协同配合直至问题解决。
4.服务器故障后,应立即根据服务器故障指示灯进行初步判断。在服务器硬件正常的情况下,尽快做好系统软件的恢复,或重新安装之后再进行应用软件和数据恢复。故障排除后,应按照操作规程开启系统,并应测试前台业务是否正常。
5.如硬件故障无法解决,应立即联系相关厂商和技术支持,请求援助分析故障原因,若经设备厂商或技术支持认定是硬件损坏,则根据维保合同进行保修或维修。
(六)机房断电的应急处置 1.必须断电处理的情况,向各部门通告。
2.查询断电时间、何时恢复等,关掉非关键设备,确保关键设备供电。
3.监控 UPS 供电情况,随时注意检查尚在运行的计算机设备和机房室温。
4.做好关机准备,预留相应的关机时间,到时供电没有恢复,按正常流程全部关闭计算机等设备。
5.最后关闭 UPS 电源,关闭各空开,和电力相关单位沟通,合作尽快修复。
(七)机房断电后恢复供电的处置 1.恢复机房内空调。
2.检查空调机启动运行情况。
3.确认供电是否稳定、正常等。
4.开启 UPS 恢复供电前,首先确认各设备的电源处于下电状态,以防止加电对设备的冲击。
5.供电正常后,打开电力柜的总控开。根据设备加电顺序,启动分项控开。
6.启动计算机、数据库及各项应用程序。
7.在一段时间内,注意检查 UPS 指示、空调机运行、机房温度等与断电有关的设备运行情况,做出记录。
(八)机房漏水的应急处置 1.发现机房漏水后的第一目击者应立即向领导小组报告。
2.若空调系统出现渗漏水应立即停止运行故障空调,将机房内的积水清除干净并及时联系设备供应方进行处理,必要情况下可以临时用电扇对服务器进行降温。
3.若为墙体或窗户渗漏水应立即通知服务中心及时清除积水进行墙体或窗户维修,避免不必要的损失。
(九)机房发生火灾的应急处置 1.火情发生时,立即组织机房内工作人员撤离机房区域,并关闭机房区域的所有房门。
2.同时通过 119 电话报警,尽快确定火情的真伪和具体位置。
3.立即通知局消防中控值班室。
4.与消防中控人员共同对火情进行再次确认。
5.由消防中控人员决定是否启动灭火系统。
6.配合相关部门做好其他善后工作。
7.总结事故原因及经验教训,杜绝隐患。
(十)设备发生被盗或人为损害的应急处置 1.发生设备被盗或有人为损害设备情况时,使用者或管理者应立即报告领导小组,同时保护好现场。
2.领导小组接报后通知安全保卫部门及公安部门一同核实审定现场情况,清点被盗物资或盘查人为损害情况,做好必要的
影像记录和文字记录。
3.事件当事人应当积极配合公安部门进行调查,并将有关情况向领导小组汇报。
七、后期处置 在应急处置工作结束后,应组织有关人员迅速采取措施,抓紧抢修,减少损失,尽快恢复正常工作,统计各种数据,查清事件发生的原因及危害情况,总结经验教训,填写《信息安全事件应急响应结果报告表》,对 4 级以上事件,报网络与信息安全领导小组。对调查中发现的薄弱环节进行整改,预防类似事件再次发生。
八、保障措施 (一)应急队伍保障 加强应急人才队伍建设,组织开展网络与信息安全宣传教育与培训,确保应急处置人员熟悉应急处置工作流程,并具备应急工作必要的技术能力,以满足应急工作的要求。每年至少组织一次应急演练,通过演练发现应急处理过程中出现的问题,不断完善应急预案,提高应急处置的能力和水平。
(二)应急设备保障 各重要网络与信息系统在建设时应事先预留一定的应急设备,建立信息网络硬件、软件、应急救援设备等应急物资库。主要网络设备应有备用机,并存放在指定位置。网络管理员要熟悉网络拓扑结构,机房设备要标清线路走向,配置好备用机。
(三)数据保障 重要信息系统均应建立异地容灾备份系统和相关工作机制,保证重要数据在受到破坏后,可紧急恢复。各容灾备份系统应具有一定兼容性,在特殊情况下各系统间可互为备份。
1.数据备份以本地备份和异地备份相结合,对于重要信息系统,应每日备份,检查备份文件的大小和有效性,注意检查备份空间和备份日志。
2.定期做好备份数据的恢复测试,保证备份数据的有效性。
3.数据备份介质以非本机硬盘、移动存储介质为主,定期检查备份介质的有效性。
4.一旦数据库崩溃,应利用数据库备份,按照要求将其恢复到主机系统中。如果备份数据无法恢复,应立即向相关厂商请求紧急支援,并报告领导小组。
篇二:网络安全事件责任事件分为
/T XXXX.2—XXXX 7附录 A (规范性附录)
网络安全事件通报内容、报告及分级示例说明 A.1
网络安全事件通报内容 网络安全事件通报内容见表A.1。
表A.1
网络安全事件通报内容 序号序号
项
说明 备注
1 事件编号 唯一的标识,依据规则创建 必选项 2 事件级别 (Ⅰ、Ⅱ、Ⅲ、Ⅳ)/级 必选项 3 事件类型 指通报事件的类型,依据GB/Z 20986事件类型分为:隐患类事件、有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件、其他事件。
应对事件类型进一步细化,如,隐患类事件可分为:SQL注入漏洞、弱口令漏洞、跨站脚本漏洞等。网络攻击事件可分为:拒绝服务攻击事件、后门攻击事件等 必选项 4 网站/系统名称 网站/系统的中文标识 如果事件涉及网站/系统,此项为必选项,其他情况下为非必选项 5 威胁URL 存在威胁或遭受入侵的目标URL地址 如果事件涉及到具体URL,此项为必选项,其他情况下为非必选项 6 IP地址 存在威胁或遭受入侵的物理IP地址 非必选项 7 发现时间 YYYY-MM-DD hh:mm:ss 必选项 8 备案信息 公安备案或工信部备案信息 如果为备案网站/系统此项为必选项、其他情况下为非必选项 9 管辖地域 被通报单位所在的备案或行政辖区 必选项 10 所属行业 被通报单位的行业类别 必选项 11 隶属单位 网站/系统的主办单位 必选项 12 事件描述 详细描述事件的发现过程及现有状态,可使用文字+截图的形描述。
必选项 13 严重程度 事件可能造成的或已经造成的损害程度 非必选项 14 防范措施及建议 针对事件给出的解决方法及相关处置建议 非必选项 15 其他 其他内容 非必选项 注:可根据实际业务需求做适当变更。
GA/T XXXX.2—XXXX 8 A.2
网络安全事件分析报告 网络安全事件分析报告内容见表A.2。
表A.2
网络安全事件分析报告 序号序号
项
格式
备注
1 事件级别 (Ⅰ、Ⅱ、Ⅲ、Ⅳ)/级
2 备案信息 公安备案或工信部备案信息
3 事件类型 事件的类型
4 产生原因 事件产生的具体因素
5 敏感程度
6 影响范围
7 单位信息
8 系统硬件信息
9 系统软件信息
10 运维人员信息
11 其他
A.3
网络安全事件总结报告 网络安全事件总结报告内容见表A.3。
表A.3
网络安全事件总结报告 序号序号
项
内容
备注
1 被通报单位基本信息 单位名称、单位地址、单位性质、所属行业、单位法人等
2 被通报系统基本信息 系统名称、系统域名、等级保护备案信息、硬件部署信息、系统开发单位、安全服务商、系统负责人等信息
3 分析结果 事件的级别、类型、产生原因、敏感程度、影响范围、后续响应方案等信息
4 处置结果 处置方法、防范措施、关键过程节点记录等信息
5 威胁样本
6 事件日志
7 处置文件复印件 处置过程文件复印件
GA/T XXXX.2—XXXX 9 A.4
网络安全事件通报分级示例 某连锁酒店企业存在安全漏洞,造成5亿条公民个人信息泄露事件,涉及旗下多个酒店品牌,全国范围受到影响。
此次网络安全事件通报分级情况如下:
a) 此单位属于国内酒店集团规模排行第三的企业,且用户量超过亿级,根据4.1.2规定,应划分为“特别重要的保护对象”; b) 此次事件造成5亿条个人信息泄露,涉及全国范围,根据4.1.2规定,应划分为“特别严重的损害”。
根据以上分析结果,通过“网络安全事件通报级别表”判定此次网络安全事件的通报级别为“Ⅰ级事件通报”。
篇三:网络安全事件责任事件分为
安全工作责任制实施细则 第一条 为了进一步加强网络安全工作,明确和落实党组领导班子、领导干部网络安全责任,根据上级有关文件精神,结合我局实际,制定本细则。第二条 网络安全工作事关国家安全政权安全和经济社会发展。按照“谁主管谁负责、谁使用谁负责”的原则,党组对网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。
第三条 党组主要承担的网络安全责任是:
(一)认真贯彻落实党中央和习近平总书记关于网络安全工作的重要指示精神和决策部署,贯彻落实网络安全法律法规,明确网络安全的主要目标、基本要求、工作任务、保护措施; (二)建立和落实网络安全责任制,把网络安全工作纳入重要议事日程,明确工作机构,加大人力、财力、物力的支持和保障力度; (三)统一组织领导网络安全保护和重大事件处置工作,研究解决重要问题; (四)采取有效措施,为公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动提供支持和保障;
(五)组织开展经常性网络安全宣传教育,提升网络安全素养。
第四条 网络安全和信息化领导机构应当加强和规范网络安全信息汇集、分析和研判工作,组织指导网络安全通报机构开展网络安全信息通报,统筹协调开展网络安全检查。
第五条 党组违反或者未能正确履行本细则所列职责,按照有关规定追究其相关责任。
有下列情形之一的,党组应当逐级倒查,追究当事人、网络安全负责人至主要负责人责任。
(一)门户网站被攻击篡改,导致反动言论或者谣言等违法有害信息大面积扩散,且没有及时报告和组织处置的; (二)发生国家秘密泄露、大面积个人信息泄露或者大量地理、人口、资源等国家基础数据泄露的; (三)封锁、瞒报网络安全事件情况,拒不配合有关部门依法开展调查、处置工作,或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的; (四)阻碍公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动,或者拒不提供支持和保障的; (五)发生其他严重危害网络安全行为的。
第六条 实施责任追究应当实事求是,分清集体责任和个
人责任。追究集体责任时,领导班子主要负责人和主管网络安全的领导班子成员承担主要领导责任,参与相关工作决策的领导班子其他成员承担重要领导责任。
对领导班子、领导干部进行问责,应当由有管理权限的党组织依据有关规定实施。网络安全和信息化领导机构办公室可以向实施问责的党组提出问责建议。
第七条 党组应当建立网络安全责任制检查考核制度,完善健全考核机制,明确考核内容、方法、程序,作为对领导班子和有关领导干部综合考核评价的重要内容。
第八条 本细则由 XX 市统计局网络安全和信息化领导机构办公室负责解释。
第九条 本办法自 2022 年 5 月 1 日起施行。
篇四:网络安全事件责任事件分为
络安全事件应急预案1.总则
1.1 编制目的
建立健全全区网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,保护公众利益,维护国家安全、公共安全和社会秩序。
1.2 编制依据
《突发事件应对法》《网络安全法》《国家突发公共事件总体应急预案》《突发事件应急预案管理办法》《国家网络安全事件应急预案》《XX 省突发事件总体应急预案》《XX 市突发事件总体应急预案》《XX 市突发事件应急预案管理办法(修订版)》《XX 市重大突发事件紧急信息报送和处置工作制度》《XX 市网络安全事件应急预案》《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)和《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)等。
1.3 事件定义和分类
本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为:有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件等。
(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件包括:通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题,并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
(7)其他事件是指不能归为以上分类的网络安全事件。
1.4 事件分级
网络安全事件分为四级:由高到低划分为特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。
(1)符合下列情形之一的,为特别重大网络安全事件:
① 重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。
② 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。
③ 其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。
(2)符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件:
① 重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。
② 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。
③ 其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
(3)符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件:
① 重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。
② 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。
③ 其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。
(4)除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
1.5 适用范围
本预案适用于 XX 区内网络安全事件的应对工作。信息内容安全事件的应对,另行制定专项预案。
1.6 工作原则
坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责,平战结合、军地结合,充分发挥各方面力量共同做好网络安全事件的预防和处置工作。
1.7 名称术语
网络:指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
网络安全:是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
电子政务外网:是指党政机关非涉密工作业务专网,与互联网逻辑隔离。
电子政务内网:是指满足我区各级政务部门内部办公、管理、协调、监督、决策等需要,支持政务部门之间安全互联、资源共享、业务协同的涉密政务网络。
各街道:是指 XX 区辖各街道。
各部门:是指 XX 区各级党政机关。
2.组织机构与职责
2.1 领导机构与职责
区委网络安全和信息化委员会(以下简你“区委网信委”)为全区网络安全事件应急处置最高领导机构。区委网络安全和信息化委员会办公室(以下简称“区委网信办”)在区委网信委的领导下,统筹协调组织全区网络安全事件应对工作,建立健全跨部门联动处置机制。区工业和信息化局、XX 公安分局、区政务服务数据管理局、社会发
展研究中心等相关部门按照职责分工负责相关网络安全事件应对工作。
结合 XX 实际,设立全区网络安全事件应急指挥部(以下简称,“区指挥部”),组织领导、指挥协调全区网络安全突发事件的防范和应对工作,负责网络安全事件的组织领导和指挥协调。区指挥部由总指挥、执行总指挥兼现场指挥官、副总指挥和各成员组成。
总指挥由区委常委、宣传部长担任,负责区指挥部的领导工作,对 XX 区网络安全事件应急处置工作实施统一指挥。
执行总指挥兼现场指挥官由区委网信办主任担任,履行现场决策、指挥、调度职责,协助总指挥、副总指挥在网络安全事件现场指挥区网安应急办、专家组、各应急专业技术队伍和各街道、各部门、各单位应急处置工作组处置网络安全事件。
副总指挥由区委办公室分管副主任、区应急局局长、区工业和信息化局局长、XX 公安分局分管副局长、区政务服务数据管理局局长、社会发展研究中心主任担任,负责协助总指挥做好区指挥部各项工作,协调各街道、各部门、各单位实施应急工作。
执行总指挥兼现场指挥官根据工作需要指定现场副指挥官,协助总指挥或现场指挥官开展各项应急处置工作,或受现场指挥官委托,临时负责现场指挥工作。
2.2 成员单位职责
区指挥部成员由区委办公室、区委宣传部、区委网信办、区工业和信息化局、XX 公安分局、区文化广电旅游体育局、区应急管理局、区政务服务数据管理局、社会发展研究中心等有关部门负责同志担任,可视情对成员进行调整。区指挥部成员单位职责如下:
(1)区委办公室:负责涉及国家秘密的网络安全事件的检查和指导工作;协助上级机关及区相关职能部门查处党政机关、企事业单位网络的泄密事件;负责网络安全事件中涉及密码技术、密码产品事件的监管工作。
(2)区委宣传部:负责网络安全事件新闻发布工作。指导各街道、各部门和相关单位做好网络安全事件新闻发布工作。
(3)区委网信办:统筹协调组织全区网络安全应急处置工作,负责区网安应急办的日常工作,建立健全与市委网信办、省委网信办、中央网信办的网络安全事件应急处置工作机制。网络安全事件发生后,根据网络安全事件分级及响应需求,统筹协调有关单位配置网络安全应急资源。
(4)区工业和信息化局:指导协调工业领域的工控系统网络安全事件应急处置工作。协调基础电信运营企业为信息系统的正常运行提供基础网络保障。
(5)XX 公安分局:依职责建立健全网络安全预警通报机制,协调、监督和指导开展网络安全事件的预防、监测、报告和应急处置工作,依法打击网络安全事件中的违法犯罪行为。
(6)区文化广电旅游体育局:负责广播电视网络安全事件的预防、监测、报告和应急处置工作;负责监督、检查、指导广播电视传输网络运营企业开展网络安全事件的预防和应急处置工作;配合有关部门处置网络安全事件。
(7)区应急管理局:及时掌握突发事件事态进展情况,收集、汇总、上报突发事件信息,协调各有关单位参与应急处置工作;协助
区委网信办开展网络安全事件的处置工作,传达并督促有关部门(单位)落实区委、区政府、区应急委有关决定事项。
(8)区政务服务数据管理局:负责全区电子政务外网网络安全事件的预防、监测、报告和应急处置工作。统筹协调区政府门户网站,统筹指导政务服务、电子政务、政务数据管理、政务信息安全、数字政府、智慧城市等网络安全应急处置工作。
(9)社会发展研究中心:负责 XX 区网络安全事件中涉及国家安全事项的应急处置工作,包括:对网络、通信设备的检查、检验和窃密、泄密事件的查证、查处和防范工作;依法对破坏基础信息网络和利用网络传播有害信息、危害公众利益和国家安全等各种违法犯罪活动进行查处等。
2.3 办事机构与职责
全区网络安全应急指挥部办公室(以下简称“区网安应急办”) 设在区委网信办。区网安应急办负责网络安全应急跨部门、跨街道协调工作和指挥部的事务性工作,组织指导区级网络安全应急技术支撑队伍做好应急处置的技术支撑工作。区委办公室、区委宣传部、区工业和信息化局、XX 公安分局、区文化广电旅游体育局、区应急管理局、区政务服务数据管理局、社会发展研究中心等部门负责相关工作的科级同志为联络员,联系区网安应急办工作。
2.4 各部门职责
区委和区政府各部门按照职责和权限,负责本部门、本行业网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。
2.5 各街道职责
各街道在区委网络安全和信息化委员会统一领导下,统筹协调组织本街道网络安全事件的预防、监测、报告和应急处置工作。
3.监测与预警
3.1 预警分级
网络安全事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。
3.2 预警监测
各单位按照“谁主管谁负责、谁运行谁负责”的要求,组织对本单位建设运行的网络和信息系统开展网络安全监测工作。重点行业主管或监管部门组织指导做好本行业网络安全监测工作。各街道结合实际,组织本街道网络安全监测工作。各街道、各部门、各单位将重要监测信息报区网安应急办,区网安应急办组织开展跨街道、跨部门的网络安全信息共享。
区工业和信息化局、XX 公安分局、区政务服务数据管理局等单位根据职责,监督、指导网络与信息系统的运营使用单位开展风险评估,对重要基础网络与信息系统及其等级保护落实工作进行定期检查,及时掌握分管领域内重要基础网络与信息系统的风险现状,加强风险管理。
3.3 网络安全事件信息接收方式
区网安应急办通过媒体、网络等途径,面向公众公布网络安全事件接收电话、传真、电子邮箱等信息。
3.4 预警研判与发布
各街道、各部门、各单位组织对监测信息进行研判,认为需要立即采取防范措施的,应当及时通知有关部门和单位。对可能发生较大及以上网络安全事件的信息,1 小时内向区网安应急办报告。
区网安应急办组织专家组进行研判,对可能达到红色、橙色、黄色和蓝色预警等级的,要及时上报市网安应急办,同时报告区委值班室、区政府总值班室。确定为红色预警的,由国家网安应急办发布;确定为橙色预警的,由省网安应急办发布;确定为黄色预警的,由市网安应急办发布;确定为蓝色预警的,由区网安应急办发布。
预警信息包括事件类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。
3.5 预警响应
3.5.1 红色、橙色、黄色预警响应
区网安应急办根据国家、省、市网安应急办的决策部署和统一指挥,实行 24 小时值班,相关人员保持通信联络畅通。加强网络安全事件监测和事态发展信息搜集工作,组织指导应急支撑队伍、相关运行单位开展应急处置或准备、风险评估和控制工作,重要情况报市网安应急办。
3.5.2 蓝色预警响应
(1)区网安应急办、有关部门网络安全事件应急指挥机构启动相应应急预案,组织预警响应工作,联系专家和有关机构,组织对事态发展情况进行跟踪研判,研究制定防范措施,协调组织资源调度和部门联动的各项准备工作,做好风险评估、应急准备和风险控制工作,重要情况报市网安应急办。
(2)有关街道、部门网络安全事件应急指挥机构实行 24 小时值班,相关人员保持通信联络畅通。加强网络安全事件监测和事态发展信息搜集工作,组织指导应急支撑队伍、相关运行单位开展应急处置或准备、风险评估和控制工作,重要情况及时报区网安应急办,区网安应急办密切关注事态发展,有关重大事项及时通报相关街道和部门。
(3)区级网络安全应急技术支撑队伍进入待命状态,针对预警信息研究制定应对方案,检查应急车辆、设备、软件工具等,确保处于良好状态。
3.6 预警解除
按照“谁发布谁解除”的原则,区网安应急办根据实际情况,按程序确定解除对本区发布的蓝色预警信息;配合国家、省、市网安应急办做好红色、橙色、黄色预警信息解除的相关工作。
4.应急处置
4.1 事件报告
网络安全事件发生后,事发单位应...
篇五:网络安全事件责任事件分为
网信办关于印发《国家网络安全事件应急预案》的通知中网办发文〔 2017 〕4 4 号
各省、自治区、直辖市、新疆生产建设兵团党委网络安全和信息化领导小组,中央和国家机关各部委、各人民团体:
《国家网络安全事件应急预案》已经中央网络安全和信息化领导小组同意,现印发给你们,请认真组织实施。
中央网络安全和信息化领导小组办公室 2017 年 1 月 10 日
国家网络安全事件应急预案
目 录
1 总则
1.1 编制目的
1.2 编制依据
1.3 适用范围
1.4 事件分级
1.5 工作原则
2 组织机构与职责
2.1 领导机构与职责
2.2 办事机构与职责
2.3 各部门职责
2.4 各省(区、市)职责
3 监测与预警
3.1 预警分级
3.2 预警监测
3.3 预警研判和发布
3.4 预警响应
3.5 预警解除
4 应急处置
4.1 事件报告
4.2 应急响应
4.3 应急结束
5 调查与评估
6 预防工作
6.1 日常管理
6.2 演练
6.3 宣传
6.4 培训
6.5 重要活动期间的预防措施
7 保障措施
7.1 机构和人员
7.2 技术支撑队伍
7.3 专家队伍
7.4 社会资源
7.5 基础平台
7.6 技术研发和产业促进
7.7 国际合作
7.8 物资保障
7.9 经费保障
7.10 责任与奖惩
8 附则
8.1 预案管理
8.2 预案解释
8.3 预案实施时间
1 总则
1.1 编制目的
建立健全国家网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,保护公众利益,维护国家安全、公共安全和社会秩序。
1.2 编制依据
《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》和《信息安全技术信息安全事件分类分级指南》 (GB/Z 20986-2007)等相关规定。
1.3 适用范围
本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。
本预案适用于网络安全事件的应对工作。其中,有关信息内容安全事件的应对,另行制定专项预案。
1.4 事件分级
网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。
(1)符合下列情形之一的,为特别重大网络安全事件:
①重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。
③其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。
(2)符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件:
①重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。
③其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
(3)符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件:
①重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。
③其他对国家安全、社会秩序、经济建设和公众利益构成较严重
威胁、造成较严重影响的网络安全事件。
(4)除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
1.5 工作原则
坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责,充分发挥各方面力量共同做好网络安全事件的预防和处置工作。
2 组织机构与职责
2.1 领导机构与职责
在中央网络安全和信息化领导小组(以下简称“领导小组”)的领导下,中央网络安全和信息化领导小组办公室(以下简称“中央网信办”)统筹协调组织国家网络安全事件应对工作,建立健全跨部门联动处置机制,工业和信息化部、公安部、国家保密局等相关部门按照职责分工负责相关网络安全事件应对工作。必要时成立国家网络安全事件应急指挥部(以下简称“指挥部”),负责特别重大网络安全事件处置的组织指挥和协调。
2.2 办事机构与职责
国家网络安全应急办公室(以下简称“应急办”)设在中央网信办,具体工作由中央网信办网络安全协调局承担。应急办负责网络安全应急跨部门、跨地区协调工作和指挥部的事务性工作,组织指导国
家网络安全应急技术支撑队伍做好应急处置的技术支撑工作。有关部门派负责相关工作的司局级同志为联络员,联络应急办工作。
2.3 各部门职责
中央和国家机关各部门按照职责和权限,负责本部门、本行业网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。
2.4 各省(区、市)职责
各省(区、市)网信部门在本地区党委网络安全和信息化领导小组统一领导下,统筹协调组织本地区网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。
3 监测与预警
3.1 预警分级
网络安全事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。
3.2 预警监测
各单位按照“谁主管谁负责、谁运行谁负责”的要求,组织对本单位建设运行的网络和信息系统开展网络安全监测工作。重点行业主管或监管部门组织指导做好本行业网络安全监测工作。各省(区、市)网信部门结合本地区实际,统筹组织开展对本地区网络和信息系统的安全监测工作。各省(区、市)、各部门将重要监测信息报应急办,应急办组织开展跨省(区、市)、跨部门的网络安全信息共享。
3.3 预警研判和发布
各省(区、市)、各部门组织对监测信息进行研判,认为需要立即采取防范措施的,应当及时通知有关部门和单位,对可能发生重大及以上网络安全事件的信息及时向应急办报告。各省(区、市)、各部门可根据监测研判情况,发布本地区、本行业的橙色及以下预警。
应急办组织研判,确定和发布红色预警和涉及多省(区、市)、多部门、多行业的预警。
预警信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。
3.4 预警响应
3.4.1 红色预警响应
(1)应急办组织预警响应工作,联系专家和有关机构,组织对事态发展情况进行跟踪研判,研究制定防范措施和应急工作方案,协调组织资源调度和部门联动的各项准备工作。
(2)有关省(区、市)、部门网络安全事件应急指挥机构实行24 小时值班,相关人员保持通信联络畅通。加强网络安全事件监测和事态发展信息搜集工作,组织指导应急支撑队伍、相关运行单位开展应急处置或准备、风险评估和控制工作,重要情况报应急办。
(3)国家网络安全应急技术支撑队伍进入待命状态,针对预警信息研究制定应对方案,检查应急车辆、设备、软件工具等,确保处于良好状态。
3.4.2 橙色预警响应
(1)有关省(区、市)、部门网络安全事件应急指挥机构启动相
应应急预案,组织开展预警响应工作,做好风险评估、应急准备和风险控制工作。
(2)有关省(区、市)、部门及时将事态发展情况报应急办。应急办密切关注事态发展,有关重大事项及时通报相关省(区、市)和部门。
(3)国家网络安全应急技术支撑队伍保持联络畅通,检查应急车辆、设备、软件工具等,确保处于良好状态。
3.4.3 黄色、蓝色预警响应
有关地区、部门网络安全事件应急指挥机构启动相应应急预案,指导组织开展预警响应。
3.5 预警解除
预警发布部门或地区根据实际情况,确定是否解除预警,及时发布预警解除信息。
4 应急处置
4.1 事件报告
网络安全事件发生后,事发单位应立即启动应急预案,实施处置并及时报送信息。各有关地区、部门立即组织先期处置,控制事态,消除隐患,同时组织研判,注意保存证据,做好信息通报工作。对于初判为特别重大、重大网络安全事件的,立即报告应急办。
4.2 应急响应
网络安全事件应急响应分为四级,分别对应特别重大、重大、较大和一般网络安全事件。I 级为最高响应级别。
4.2.1 Ⅰ级响应
属特别重大网络安全事件的,及时启动 I 级响应,成立指挥部,履行应急处置工作的统一领导、指挥、协调职责。应急办 24 小时值班。
有关省(区、市)、部门应急指挥机构进入应急状态,在指挥部的统一领导、指挥、协调下,负责本省(区、市)、本部门应急处置工作或支援保障工作,24 小时值班,并派员参加应急办工作。
有关省(区、市)、部门跟踪事态发展,检查影响范围,及时将事态发展变化情况、处置进展情况报应急办。指挥部对应对工作进行决策部署,有关省(区、市)和部门负责组织实施。
4.2.2 Ⅱ级响应
网络安全事件的Ⅱ级响应,由有关省(区、市)和部门根据事件的性质和情况确定。
(1)事件发生省(区、市)或部门的应急指挥机构进入应急状态,按照相关应急预案做好应急处置工作。
(2)事件发生省(区、市)或部门及时将事态发展变化情况报应急办。应急办将有关重大事项及时通报相关地区和部门。
(3)处置中需要其他有关省(区、市)、部门和国家网络安全应急技术支撑队伍配合和支持的,商应急办予以协调。相关省(区、市)、部门和国家网络安全应急技术支撑队伍应根据各自职责,积极配合、提供支持。
(4)有关省(区、市)和部门根据应急办的通报,结合各自实
际有针对性地加强防范,防止造成更大范围影响和损失。
4.2.3 Ⅲ级、Ⅳ级响应
事件发生地区和部门按相关预案进行应急响应。
4.3 应急结束
4.3.1 Ⅰ级响应结束
应急办提出建议,报指挥部批准后,及时通报有关省(区、市)和部门。
4.3.2 Ⅱ级响应结束
由事件发生省(区、市)或部门决定,报应急办,应急办通报相关省(区、市)和部门。
5 调查与评估
特别重大网络安全事件由应急办组织有关部门和省(区、市)进行调查处理和总结评估,并按程序上报。重大及以下网络安全事件由事件发生地区或部门自行组织调查处理和总结评估,其中重大网络安全事件相关总结调查报告报应急办。总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。
事件的调查处理和总结评估工作原则上在应急响应结束后 30 天内完成。
6 预防工作
6.1 日常管理
各地区、各部门按职责做好网络安全事件日常预防工作,制定完善相关应急预案,做好网络安全检查、隐患排查、风险评估和容灾备
份,健全网络安全信息通报机制,及时采取有效措施,减少和避免网络安全事件的发生及危害,提高应对网络安全事件的能力。
6.2 演练
中央网信办协调有关部门定期组织演练,检验和完善预案,提高实战能力。
各省(区、市)、各部门每年至少组织一次预案演练,并将演练情况报中央网信办。
6.3 宣传
各地区、各部门应充分利用各种传播媒介及其他有效的宣传形式,加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传,开展网络安全基本知识和技能的宣传活动。
6.4 培训
各地区、各部门要将网络安全事件的应急知识列为领导干部和有关人员的培训内容,加强网络安全特别是网络安全应急预案的培训,提高防范意识及技能。
6.5 重要活动期间的预防措施
在国家重要活动、会议期间,各省(区、市)、各部门要加强网络安全事件的防范和应急响应,确保网络安全。应急办统筹协调网络安全保障工作,根据需要要求有关省(区、市)、部门启动红色预警响应。有关省(区、市)、部门加强网络安全监测和分析研判,及时预警可能造成重大影响的风险和隐患,重点部门、重点岗位保持 24小时值班,及时发现和处置网络安全事件隐患。
7 保障措施
7.1 机构和人员
各地区、各部门、各单位要落实网络安全应急工作责任制,把责任落实到具体部门、具体岗位和个人,并建立健全应急工作机制。
7.2 技术支撑队伍
加强网络安全应急技术支撑队伍建设,做好网络安全事件的监测预警、预防防护、应急处置、应急技术支援工作。支持网络安全企业提升应急处置能力,提供应急技术支援。中央网信办制定评估认定标准,组织评估和认定国家网络安全应急技术支撑队伍。各省(区、市)、各部门应配备必要的网络安全专业技术人才,并加强与国家网络安全相关技术单位的沟通、协调,建立必要的网络安全信息共享机制。
7.3 专家队伍
建立国家网络安全应急专家组,为网络安全事件的预防和处置提供技术咨询和决策建议。各地区、各部门加强各自的专家队伍建设,充分发挥专家在应急处置...
篇六:网络安全事件责任事件分为
安全事件应急预案 一、总则(一)
编制目的。为提高我局网络与信息安全突发性危害事件的防范和应急处理能力,形成科学、有效,快速反应的应急响应机制,最大限度地减轻网络与信息安全突发公共事件对本单位造成的影响,保障网络与业务信息系统的正常运行和数据安全。
(二)编制依据。根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国突发事件应对法》等有关规定,制定本预案。
(三)适用范围。本预案适用于本单位办公网络、本部门水利网站、综合办公系统 OA 以及其它应用系统发生突发性危害事件的应急响应。
(四)工作原则。以人为本,加强预防;明确责任,分级负责;按照规范,加强管理;快速响应,协同应对。
(五)事件分类 。网络安全突发事件是指自然灾害(地震、台风、雷电、火灾等),事故灾难(电力中断、网络损坏、或软、硬件设备故障等)和人为破坏(人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖主义活动等)引起的网络与信息系统的损坏。
(六)事件分级。网络与信息安全突发事件按照其性质、严重程度、可控性和影响范围等因素分为四级:Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)和Ⅳ级(一般)。
1.Ⅰ级(特别重大)。网络与信息系统发生全单位性大规模瘫痪,事态发展超出我局的控制能力,对社会造成特别严重损害的突发事件。
2.Ⅱ级(重大)。网络与信息系统造成全单位性瘫痪,对社会造成严重损害,需要跨部门、跨地区协同处置的突发事件。
3.Ⅲ级(较大)。某一部分的网络与信息系统瘫痪,对社会造成一定损害,但不需要跨部门、跨地区协同处置的突发事件。
4.Ⅳ级(一般)。网络与信息系统受到一定程度的损坏,对社会有一定影响,但不危害社会的突发公共事件。
二、组织体系与职责
成立 X 市经济合作局网络与信息安全应急协调领导小组,组长由分管信息工作的领导担任,成员由科室负责人及相关人员组成。应急小组办公室设在信息联络科,负责网络与信息安全应急响应工作的整体规划、组织协调和决策指挥。
X 市经济合作局网络与信息安全应急领导小组的职责:研究制定 X 市经济合作局网络与信息安全应急处置工作的规划、
计划和政策;协调推进 X 市经济合作局网络与信息安全应急机制和工作体系建设;发生网络与信息安全突发公共事件后,决定启动本预案,组织应急处置工作。
三、监测与预防
按照“早发现、早报告、早处置”的原则,加强对各类网络与信息安全突发公共事件和可能引发突发公共事件的有关信息的收集、分析判断和持续监测,发生网络与信息安全突发事件,及时报告。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
(一)日常安全工作职责
1.对网站、网络进行日常检查、分析风险、排除隐患、做好网站数据备份,形成日常工作机制,预防安全事故发生。
2.制定相关安全事件的预警方案和解决方案。
3.掌握网络网站技术发展趋势,不断提升安全防范水平。
(二)安全应急处置原则
1.报告原则:发生突发安全事件,第一时间向应急协调领导小组负责人报告,同时积极进行处置,处置全程要及时汇报工作进展。
2.安全原则:处置安全事件时,要科学客观,首先保证人员安全,其次保证设备数据安全。
3.效率原则:处置突发事件要及时迅速,讲究方法,善于协调,争取在最短时间内解决问题。
4.协调配合原则:出现大规模故障后,根据工作需要,积极配合,协同处理,提高工作质量与效率。
(三)网站安全日常维护
1.工作人员每天对网站进行查看,密切监视信息内容。每天上午和下午各切换内网一次,查看内网运行情况。
2.检查各服务器杀毒软件及防火墙升级情况,及时给系统打补丁。
3.科室要安排专人每月对内、外网站及数据进行光盘备份,并由专人归档保存。
四、应急响应 发生有下列情况之一应启动应急预案: (一)网站、网页出现非法言论; (二)网络遭受黑客攻击; (三)计算机网络出现病毒; (四)广域网外部线路中断; (五)局域网大范围中断; (六)服务器等关键网络设备故障; (七)机房外电中断; (八)数据库安全;
(九)核心设备安全;
(十)其他事项。
五、应急处理措施
( ( 一) ) 局门户网站出现非法言论时的紧急处置措施
1、发现网上出现非法信息时,工作人员应立即断开服务器网络并向工作组通报情况;情况紧急的应先及时采取删除等处理措施,再按程序报告。
2、工作人员应在接到通知后半小时内进行处理,作好必要的记录,清理网站上的非法信息,强化安全防范措施后方可将网站网页重新投入使用。
( ( 二) ) 黑客攻击时的紧急处置措施
1、当发现网站内容被篡改,或通过防火墙、入侵检测系统发现有黑客正在进行攻击时,应立即服务器断网并向网络与信息安全应急协调小组通报情况。
2、工作人员应在半小时内进行处理,首先应将被攻击的服务器等设备从网络中物理隔离出来,保护现场。待服务器厂家对破坏系统的恢复与重建工作,修补漏洞、强化安全措施后方可接入网络。
3、安排服务器厂家追查非法信息来源。如认为情况严重,则立即向市公安部门汇报。
( ( 三) )计算机网络病毒安全紧急处置措施 计算机网络病毒安全紧急处置措施
1、当发现网络上出现病毒,并影响网络的正常运行后,应立即找出感染病毒计算机。
2、将感染病毒机器和网络隔离,待病毒彻底清除后方允许再次接入网络。
3、请求相关技术人员要针对该款病毒进行研究,做好相应的防毒措施(建议下载安装 360 安全卫士及 360 病毒库,及时排查隐患,修补漏洞)
4、对该设备的硬盘进行数据备份。
5、启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描,如果现行反病毒软件无法清除该病毒,应立即向应急协调领导小组报告,并迅速联系产品商研究解决。
( ( 四) )广域网外部线路中断紧急处置措施 广域网外部线路中断紧急处置措施 1、广域网线路中断后,网络管理员接到报告后,应迅速判断故障节点,查明故障原因。
2、如属本单位管辖范围,由网络管理员予以恢复。如遇无法恢复情况,立即向有关单位请求支援。
3、如属电信、联通、广电部门管辖范围,立即与维护部门联系,请求修复。
( ( 五) ) 局域网大范围中断紧急处置措施 处置措施
1、局域网出现大范围中断现象后,网络管理员应立即判断故障节点,查明故障原因。
2、如属线路故障,应重新检查线路。
3、属路由器、交换机等网络设备故障,应立即调换备用,如无备机,立即向设备提供商联系更换设备,并调试畅通;并向领导小组领导汇报。
( ( 六) )服务器等关键网络设备故障安全紧急处置措施 服务器等关键网络设备故障安全紧急处置措施 1、服务器等关键设备损坏后,网络管理员应立即查明原因。
2、如果能够自行恢复,应立即用备件替换受损部件。
3、如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修。来自微信号:zq44 597 253,海量优质文字材料和 PPT 课件 4、如果设备一时不能修复,应向领导小组汇报。
( ( 七) )机房外电中断后的处置措施 机房外电中断后的处置措施 1、检查断电原因,如短时间内停电,应及时启用 UPS 备用电源,如遇长时间停电情况,及时关闭非关键服务器,减少对 UPS 电池组的电量。
(八)数据库安全
1、对于重要的信息系统,主要数据库系统应按双机设备设置,并至少要准备两个以上数据库备份,平时一个备份放在机房,另一个备份自留保存。
2、一旦数据库崩溃,工作人员应立即启动备用系统,并向信息安全负责人报告。
3、在备用系统运行期间;信息安全工作人员应对主机系统进行维修并作数据恢复。
4、如果两套系统均崩溃而无法恢复,应立即向有关厂商请求紧急支援。
5、定时做数据库的备份工作,核心重点资料的数据是信息安全中第一位。
6、数据损坏事件较严重无法保证正常工作的,经部门领导同意,及时通知各部门以手工方式开展工作。
(九)核心设备安全
1、根据实际情况对核心设备进行检查,确保设备安全稳定运行。
2、发生核心设备硬件故障后,工作人员应及时报告,并查找、确定故障设备及故障原因,进行先期处置。同时联系设备提供商共同检测并排除故障。
3、若故障设备在短时间内无法修复,应启动备份设备,保持系统正常运行;将故障设备脱离网络,进行故障排除工作。
4、故障排除后,在网络空闲时期,替换备用设备;若故障仍然存在,立即联系厂商进行返厂维修或调换设备 (十)其他事项
1、非工作人员未经应急协调小组批准不得进入中心机房。
2、对各设备和线路进行维护或改造,需经办公室主任批准,由工作人员陪同进行。
3、使用充分控干水份的抹布及拖把进行保洁,尽量不使用干布或扫帚,避免扬尘。保洁时,注意不要触碰电源接口及网络接口等,以免漏电或导致线路接触不良。
六、附则 (一)预案管理。本预案由 X 市经济合作局信息联络科制定,信息联络科根据实际情况,及时修订本预案。
(二)预案解释。本预案由 X 市经济合作局信息联络科负责解释。
(三)预案实施时间。本预案自印发之日起实施。
篇七:网络安全事件责任事件分为
安全事件应急响应预案(通⽤5 篇)⽹络安全事件应急响应预案 在我们的学习、⼯作或⽣活中,保不齐会出现⼀些突发事件,为了尽可能减⼩事故造成的不良影响,常常要根据具体情况预先编制应急预案。怎样写应急预案才更能起到其作⽤呢?下⾯是⼩编精⼼整理的⽹络安全事件应急响应预案(通⽤5篇),欢迎⼤家分享。 ⽹络安全事件应急响应预案1 ⼀、总 则 (⼀)为预防和减少⽹络与信息安全突发事件的发⽣,控制、减轻和消除突发事件引起的危害及造成的损失,规范突发事件预防和应对活动,保护学院的⽹络与信息安全,防⽌重要信息泄密,保障⽹络业务与信息传输安全通畅的运⾏,提⾼应对重⼤事故的应急能⼒,把损失降到最低程度,特制定本预案。 (⼆)本预案依据《中华⼈民共和国⽹络安全法》(2016年)编制。 (三)本预案适⽤于苏州⼤学应⽤技术学院(以下简称学院)⽹络与信息系统安全事件的应对与处置⼯作。本预案所称⽹络与信息安全事件是指由于⾃然灾害、设备软硬件故障、⼈为失误、⿊客攻击,以及敌对势⼒破坏等原因,对⽹络信息系统造成危害,对学院正常教学、管理⼯作和声誉造成不利影响的信息安全事件。 (四)学院⽹络⼀旦出现安全事件,学院信息系统运⾏受到威胁;将给教学、管理造成不可估量的损失。⽹络与信息安全事件主要由以下三个⽅⾯的影响因素引起: 1.⽹络安全防护体系风险 ⽹络和信息技术发展⽇新⽉异,信息技术安全产品发展也很快,⽬前学院信息安全保障产品还不够完备。 2.操作系统固有缺陷 ⽬前常⽤的操作系统都存在⼀定的安全漏洞,随着各种需求和应⽤的不断增加,⽹络和系统管理变得越来越复杂。 3.接⼊终端多样复杂 接⼊⽹络的终端,由不同⼚家在不同年代⽣产,⽬前没有纳⼊统⼀的防病毒、系统补丁和更新程序管理,致使接⼊终端可能成为病毒或⿊客攻击⽹络的切⼊点。 (五)根据⽹络与信息安全事件的起因、表现、结果等,⽹络与信息安全事件主要分为以下六类: 1.危害程序事件 蓄意制造、传播有害程序,或是因受到有害程序的影响⽽导致的⽹络与信息安全事件。 2.⽹络攻击事件 通过⽹络或者其它技术⼿段,利⽤信息系统的配置缺陷、协议缺陷、程序缺陷或使⽤暴⼒⼿段对信息系统实施攻击,并造成信息系统异常,或对信息系统当前运⾏造成潜在危害的信息安全事件。 3.信息破坏事件 通过⽹络或者其它技术⼿段,造成信息系统中的信息被篡改、假冒、泄露、窃取等⽽导致的信息安全事件。 4.设备设施故障事件 由于信息系统⾃⾝故障或外围保障措施故障⽽导致的⽹络与信息安全事件,以及⼈为地使⽤⾮技术⼿段有意或⽆意地造成信息系统破坏⽽导致的信息安全事件。 5.灾害性事件 由于不可抗⼒对⽹络和信息系统造成物理破坏⽽导致的信息安全事件。 6.其它事件 以上没有包括的其它信息安全事件。(六)根据苏应的计算机基础⽹络与信息系统的实际业务情况,依据事件性质、严重程度、可控性、影响范围等因素,学院的⽹络与信息安全突发事件划分为以下四个级别:I级(特别严重)、II级(严重)、III级(⼀般)和IV级(轻微)。 1.I级(特别严重)突发事件 是指突然发⽣,将使特别重要的信息系统遭受严重损失,对学院教学、对外信息造成特别重⼤影响,学院必须统⼀协调、并向主管上级单位报告及调度各⽅⾯的资源和⼒量进⾏应急处置的突发事件。符合以下条件之⼀的为I级事件。 (1)⾯向学院的核⼼应⽤系统2个以上(含2个)遭到破坏性攻击⽽瘫痪。 (2)敌对分⼦或⿊客利⽤信息⽹络进⾏有组织、⼤规模反动宣传和攻击活动,出现⼤量危害学院教学、管理机密等犯罪⾏为。 (3)其它造成特别严重社会影响或巨⼤经济损失的⽹络与信息安全事件。 2.II级(严重)突发事件 是指突然发⽣,将使重要的信息系统遭受严重损失,对学院教学、管理造成重⼤影响,学院必须统⼀协调、调度各⽅⾯的资源和⼒量进⾏应急处置的突发事件。符合以下条件之⼀的为II级事件: (1)学院内、外⽹全部中断1⼩时以上(含1⼩时);各单位、⼆级学院均与中⼼⽹络的链路中断。 (2)⾯向学院的核⼼服务崩溃。 (3)直属学院的服务器、核⼼路由器、交换机等关键设备3个以上(含3个)损坏。 (4)受到外部潜在的重⼤⽹络安全隐患或可能遭受的⽹络病毒影响。 (5)涉及上级单位通报的⽹络信息安全事件。 3.III级(⼀般)突发事件 由单位(含⼆级学院)认定的有可能对本单位造成重⼤影响,但不会影响本单位以外的学院范围内的⽹络与信息安全事件。 4.IV级(轻微)突发事件 是指突然发⽣并未使信息系统遭受严重损失,但需要信息部门引起注意以免事件升级恶化。符合以下条件之⼀的为IV级事件。 (1)学院内、外⽹全部中断10分钟以内。 (2)各单位、⼆级学院均与中⼼⽹络的链路中断。 (3)⾯向学院的⾮核⼼服务异常停⽌。 (七)对于⽹络安全事件,必须遵守以下⼯作原则 1.积极防御,综合防范。⽴⾜安全防护,加强预警,抓好预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、⼈才等⽅⾯,采取多种措施,充分发挥各⽅⾯的作⽤,共同构筑⽹络与信息安全保障体系。 2.明确责任。按照“谁主管谁负责”的原则,建⽴和完善安全责任制,协调管理机制和联动⼯作机制。 3.依靠科学,平战结合。加强技术储备,规范应急处置措施与操作流程,实现⽹络与信息安全突发公共事件应急处置⼯作的科学化、程序化与规范化。树⽴常备不懈的观念,确保应急预案切实可⾏。 ⼆、组织与职责 (⼀)学院⽹络安全与信息化⼯作领导⼩组为管理机构 本预案组织机构由学院⽹络安全与信息化⼯作领导⼩组(简称领导⼩组)构成。 领导⼩组办公室设在信息化建设管理中⼼,负责⼈任办公室主任。 (⼆)领导⼩组的⼯作职责 1.负责⽹络与信息安全事件现场应急指挥⼯作,确定现场应急处置⽅案,协调现场应急资源调配⼯作。 2.负责学院⽹络与信息安全事件应急⼯作的领导和应对⽅案的决策。
三、预防和预警 (⼀)推进信息系统安全保护等级制度,开展信息安全风险评估⼯作: 1.技术⽅⾯ 采⽤安装防⽕墙、⼊侵监测、计算机杀毒软件等措施,建⽴⾝份认证和授权管理机制,对主机、⽹络设备、安全设备与软件和⽹络边界进⾏必要配置,对重要数据定期进⾏备份。 2.管理⽅⾯ 健全信息安全管理制度,落实信息安全等级保护措施,开展信息安全风险评估。 (⼆)发⽣学院级及以上⽹络与信息安全事件时,应⽴即启动应急预案进⾏应急处理,并向领导⼩组报告。接到报告后,应急领导⼩组启动预警程序。 (三)发⽣⽹络安全事件按以下预警程序进⾏: 1.⽴即向领导⼩组办公室主任报告,由办公室主任预判安全事件等级,II级以上(含II级)的向领导⼩组汇报,并落实领导指令;II级以下的,需要根据实际情况书⾯⽅式汇报给主任。 2.通知有关成员及相关单位做好应急准备。 3.及时收集和掌握事件发展动态及现场应对情况。 4.组织相关⼈员和专家分析、判断⽹络与信息安全事件的紧急程度和发展态势,提供应急处置指导意见和技术⽀持。 5.根据事态变化,适时通报预警信息。 6.⽹络与信息安全事件解除时,及时宣布、告知预警解除。 7.II级以下⽹络与信息安全事件发展到II级及以上时,按相应等级启动⽹络与信息安全事件响应程序。 (四)预警解除 当⽹络与信息安全事件处置结束,经过评估确认危险已经消除,领导⼩组可适时下达预警解除指令。 四、应急响应 信息报送——响应程序——应急状态解除——恢复与重建——总结、评估和改进 (⼀)发⽣⽹络与信息安全事件时,第⼀时间向领导⼩组办公室报告并定级。 (⼆)填写《⽹络安全事项登记表》à领导⼩组响应与审核(依据事件级别上报相关部门及领导审核)à事件处理及按时上报进度: 1.填写《⽹络安全事项登记表》 填写事件主题、事件描述、事件级别、事件发⽣时间,签字并提交给领导⼩组审核确认。 2.⽹络与信息安全领导⼩组响应与审核 需依据事件等级做相应响应与审核: I级事件:领导⼩组审核确认,并向主管单位及公安机关报告并保留证据。 II级事件:领导⼩组审核确认,协调各相关资源及时处理并需现场处理⼈每⼩时汇报进展。 III级事件:各部门负责⼈及领导⼩组办公室主任审核确认。 IV级事件:信息部领导及领导⼩组办公室主任审核确认。 (1)安排有关⼈员赴现场,协调应急处置⼯作。 (2)根据事态进展,及时对应急救援⽅案的调整做出决策。 (3)现场处理⼈员需及时上报信息给领导⼩组并及时落实有关指令。 3.现场响应与处理
完善《⽹络安全事项登记表》,填写事件原因,短期处理办法及长期处理办法;I级、II级事件需每⼩时向领导⼩组汇报事件处理进度,III级、IV级事件处理完成后需由部门负责⼈及领导⼩组办公室主任确认并审核。 (三)应急状态解除 ⽹络与信息安全事件应急处理结束,相关危险因素消除后,由领导⼩组组长下达应急状态解除指令并完善《⽹络安全事项登记表》,填写解除时间,相关⼈员确认并审核。 (四)恢复与重建 1.应急处置⼯作结束后,相关单位做好有关突发事件中损失情况的统计、汇总,对处置情况进⾏总结,不断改进⽹络与信息安全事件的应急保障⼯作,并开展恢复与重建⼯作。 2.尽快恢复信息系统、恢复数据、程序。 3.经领导⼩组评估同意后,⽅可恢复系运⾏。 4.应急响应结束后,对发⽣信息安全事件的⽹络或系统进⾏风险评估,及时发现可能存在的安全隐患和安全风险。 (五)总结、评估和改进 由信息管理部对应急事件进⾏总结、评估并提出改进⽅案,上报⽹络安全领导⼩组备案。 五、应急保障 (⼀)对涉密信息建⽴严格的信息保障措施。 (⼆)学院中⼼机房需配备核⼼⽹络、应⽤系统或重⼤风险系统的容灾备份。 (三)学院需建⽴应急保障队伍。 (四)组织开展应急运作机制、应急处理技术、预警和控制等研究。 本预案由信息化建设管理中⼼组织制订并负责解释,⾃发布之⽇起实⾏。 信息报送à响应程序à应急状态解除à恢复与重建à总结、评估和改进 ⽹络安全事件应急响应预案2 1. 总则 1.1编制⽬的 建⽴健全全区⽹络安全事件应急⼯作机制,提⾼应对⽹络安全事件能⼒,预防和减少⽹络安全事件造成的损失和危害,保护公众利益,维护国家安全、公共安全和社会秩序。 1.2编制依据 《中华⼈民共和国突发事件应对法》《中华⼈民共和国⽹络安全法》《国家突发公共事件总体应急预案》《突发事件应急预案管理办法》《国家⽹络安全事件应急预案》《⼴东省突发事件总体应急预案》《深圳市突发事件总体应急预案》《深圳市突发事件应急预案管理办法(修订版)》《深圳市重⼤突发事件紧急信息报送和处置⼯作制度》《深圳市⽹络安全事件应急预案》《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)和《信息安全技术⽹络安全等级保护基本要求》(GB/T 22239-2019)等。 1.3事件定义和分类 本预案所指⽹络安全事件是指由于⼈为原因、软硬件缺陷或故障、⾃然灾害等,对⽹络和信息系统或者其中的数据造成危害,对社会造成负⾯影响的事件,可分为:有害程序事件、⽹络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件等。 (1)有害程序事件分为计算机病毒事件、蠕⾍事件、特洛伊⽊马事件、僵⼫⽹络事件、混合程序攻击事件、⽹页内嵌恶意代码事件和其他有害程序事件。 (2)⽹络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、⽹络扫描窃听事件、⽹络钓鱼事件、⼲扰事件和其他⽹络攻击事件。 (3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事
件。 (4)信息内容安全事件包括:通过⽹络传播法律法规禁⽌信息,组织⾮法串联、煽动集会游⾏或炒作敏感问题,并危害国家安全、社会稳定和公众利益的事件。 (5)设备设施故障分为软硬件⾃⾝故障、外围保障设施故障、⼈为破坏事故和其他设备设施故障。 (6)灾害性事件是指由⾃然灾害等其他突发事件导致的⽹络安全事件。 (7)其他事件是指不能归为以上分类的⽹络安全事件。 1.4事件分级 ⽹络安全事件分为四级:由⾼到低划分为特别重⼤⽹络安全事件、重⼤⽹络安全事件、较⼤⽹络安全事件、⼀般⽹络安全事件。 (1)符合下列情形之⼀的,为特别重⼤⽹络安全事件: ①重要⽹络和信息系统遭受特别严重的系统损失,造成系统⼤⾯积瘫痪,丧失业务处理能⼒。 ②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。 ③其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的⽹络安全事件。 (2)符合下列情形之⼀且未达到特别重⼤⽹络安全事件的,为重⼤⽹络安全事件: ①重要⽹络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能⼒受到极⼤影响。 ②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。 ③其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的⽹络安全事件。 (3)符合下列情形之⼀且未达到重⼤⽹络安全事件...
篇八:网络安全事件责任事件分为
信息安全 事件 应急处置和报告制度为提高本单位网络与信息安全突发性危害事件的防范和应急处理能力,形成科学、有效,快速反应的应急处置机制,最大限度地减轻网络与信息安全突发公共事件对本单位造成的影响,保障网络与业务信息系统的正常运行和数据安全,特制定网络和信息安全事件应急处置和报告制度。
一、在本单位网络安全和信息化工作领导小组统筹下,贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规;落实贯彻各上级部门网络和信息安全管理的有关文件精神,坚持积极防御、综合防范的方针,本着以防为主、注重应急工作原则,预防和控制风险,在发生信息安全事故或事件时最大程度地减少损失,尽快使网络和系统恢复正常,做好网络和信息安全保障工作。
二、网络与信息安全突发事件定义 根据网络与信息安全突发公共事件的发生过程、性质和特征,划分为网络安全突发事件和信息安全突发事件。
1.网络安全突发事件是指自然灾害(地震、台风、雷电、火灾等),事故灾难(电力中断、网络损坏、或软、硬件设备故障等)和人为破坏(人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖主义活动等)引起的网络与信息系
统的损坏。
2.信息安全突发事件是指利用信息网络进行有组织的大规模的反动宣传、煽动和渗透等破坏活动。
本制度所称突发性危害事件,是指因自然或人为活动危害网络与信息系统等紧急事件。
三.网络与信息安全突发事件定义 网络与信息安全突发事件按照其性质、严重程度、可控性和影响范围等因素分为四级:Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)和Ⅳ级(一般)。
1.Ⅰ级(特别重大)。网络与信息系统发生全单位性大规模瘫痪,事态发展超出文化云和县司法局的控制能力,对社会造成特别严重损害的突发事件。
2.Ⅱ级(重大)。网络与信息系统造成全单位性瘫痪,对社会造成严重损害,需要跨部门、跨地区协同处置的突发事件。
3.Ⅲ级(较大)。某一部分的网络与信息系统瘫痪,对社会造成一定损害,但不需要跨部门、跨地区协同处置的突发事件。
4.Ⅳ级(一般)。网络与信息系统受到一定程度的损坏,对社会有一定影响,但不危害社会的突发公共事件。
三、设置网络信息安全事件应急小组。组长由分管领导担任,成员由信息管理服务中心人员组成。采取统一管理体
制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法。设置网络运行维护小组,成员由信息管理服务中心人员组成,确保网络畅通与信息安全。
四、加强网络信息审查工作。信息发布必须落实责任人,实行先审后发,并具备相应的安全防范措施(如:日志留存、安全认证、实时监控、防黑客、防病毒等)。建立有效的网络防病毒工作机制,及时做好防病毒软件的网上升级,保证病毒库的及时更新。
五、信息管理服务中心实施 24 小时值班责任制,开通值班电话,保证与上级主管部门、电信部门和当地公安机关的热线联系。
六、加强突发事件的快速反应。运行维护小组具体负责相应的网络信息安全工作,对突发的网络信息安全事件应做到:
(1)及时发现、及时报告。
(2)保护现场,立即与网络隔离,防止影响扩大。
(3)及时取证,分析、查找原因。
(4)消除有害信息,防止进一步传播,将事件的影响降到最低。
(5)在处置有害信息的过程中,任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。
七、网络安全事件报告与处置。事件发生并得到确认后,
有关人员应立即将情况报告有关领导,由领导指挥处理网络安全事件,并上报上级相关部门。应及时向当地公安单位报案。阻断网络连接,进行现场保护,协助调查取证和系统恢复等工作,有关违法事件移交公安单位处理。
篇九:网络安全事件责任事件分为
目标• 法律法规• 七类网络安全事件• 四级网络安全事件• 网络安全分级• 检测和预警法律法规• 中华人民共和国网络安全法• 信息安全技术信息安全事件分类分级指南
七类网络安全事件• 有害程序事件• 网络攻击事件• 信息破坏事件• 信息内容安全事件• 设备设施故障事件• 灾害性事件• 其他事件
四级网络安全事件• 特大网络安全事件• 重大网络安全事件• 较大网络安全事件• 一般网络安全事件
检测和预警• 预警分级• 预警监测
谢谢
篇十:网络安全事件责任事件分为
CS 35.030CSS L80 GB/T 20986—XXXX 代替 GB/Z 20986-2007
XXXX - XX - XX 发布 XXXX - XX - XX 实施 在提交反馈意见时,请将您知道的相关专利连同支持文件一并附上。
(征求意见稿)
(本稿完成日期:2021-01-06)
中华人民共和国国家标准
信息安全技术 信息安全事件分类分级指南 Information security technology- Guidelines for the category and classification of
information security incidents
GB/T 20986—XXXX I 目
次 前言 ................................................................................ III 引言 .................................................................................. V 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 缩略语 .............................................................................. 2 5 信息安全事件分类 .................................................................... 4 5.1 分类原则与基本分类 ................................................................ 4 5.2 事件分类 .......................................................................... 4 5.2.1 有害程序事件(MI)
.......................................................... 4 5.2.2 网络攻击事件(NAI)
......................................................... 5 5.2.3 数据攻击事件(DAI)
......................................................... 5 5.2.4 有害内容事件(HCI)
......................................................... 6 5.2.5 设备设施故障事件(FFI)
..................................................... 6 5.2.6 违规操作事件(IOI)
......................................................... 6 5.2.7 不可抗力事件(FMI)
......................................................... 7 5.2.8 其他事件(OI)
.............................................................. 7 6 信息安全事件分级 .................................................................... 7 6.1 分级原则 .......................................................................... 7 6.1.1 概述 ........................................................................ 7 6.1.2 信息系统的重要程度 .......................................................... 7 6.1.3 系统损失 .................................................................... 8 6.1.4 社会影响 .................................................................... 8 6.2 事件分级 .......................................................................... 9 6.2.1 概述 ........................................................................ 9 6.2.2 特别重大事件(Ⅰ级)
........................................................ 9 6.2.3 重大事件(Ⅱ级)
............................................................ 9 6.2.4 较大事件(Ⅲ级)
............................................................ 9 6.2.5 一般事件(Ⅳ级)
............................................................ 9 附录 A(资料性)事件分类和事件分级的关系 .............................................. 10 参考文献 ............................................................................. 12
GB/T 20986—XXXX
II
GB/T 20986—XXXX III 前
言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
本文件代替GB/Z 20986—2007《信息安全技术 信息安全事件分类分级指南》,与GB/Z 20986—2007相比,除编辑性修改外,主要技术变化如下:
— 由指导性技术文件GB/Z变更为推荐性国家标准GB/T; — 对术语和定义进行了补充和改进(见3.1~3.6); — 对缩略语进行了调整和补充(见4); — 信息安全事件的类别由七类增加至八类,将事件子类的名称去掉“事件”两个字(见5.2); “有害程序事件”中的子类“网页内嵌恶意代码”修改为“恶意代码内嵌网页”,增加了“勒索软件”、“恶意代码宿主站点”子类; “网络攻击事件”中的子类“后门攻击”修改为“后门利用”,“漏洞攻击”修改为“漏洞利用”,增加了“高级可持续性威胁”、“登录尝试”子类,删除了“网络钓鱼”子类;
“信息破坏事件”名称变更为“数据攻击事件”,子类“信息篡改”修改为“数据篡改”,“信息假冒”修改为“数据假冒”,“信息泄漏”修改为“数据泄漏”,“信息窃取”修改为“数据窃取”,“信息丢失”修改为“数据丢失”,增加了“数据拦截”、“数据错误”、“数据勒索”三个子类;
“信息内容安全事件”名称变更为“有害内容事件”,分类修改为“危害国家安全内容、暴恐极端内容、淫秽色情内容、虚假信息内容、侵权内容、滥用内容、网络欺诈、其他有害内容”八个子类; “设备设施故障事件”中的分类修改为“技术故障、基础设施故障、物理损害、辐射干扰、其他设备设施故障”五个子类; 增加了“违规操作事件”类,包括“权限滥用、权限伪造、行为抵赖、恶意操作、误操作、人员可用性破坏、资源未授权使用、版权违反、其他违规操作”九个子类; “灾害性事件”名称变更为“不可抗力事件”,包括“自然灾害、事故灾难、公共卫生事件、社会安全事件、其他不可抗力”五个子类;
— 增加了对三个重要等级的信息系统进的描述(见6.1); — 修改了信息安全事件分级规则(见6.2); “系统损失”中“系统关键数据的保密性、完整性、可用性遭到严重破坏”修改为“系统重要数据/个人敏感信息的保密性、完整性、可用性遭到严重破坏“; “重大事件”将“会使特别重要信息系统遭受严重的系统损失,或使重要信息系统遭受特别严重的系统损失”修改为“会使特别重要信息系统遭受严重或严重以下级别的系统损失,或使重要信息系统遭受特别严重或严重的系统损失”; “较大事件”将“会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失、一般信息系统遭受特别严重的系统损失”修改为“会使重要信息系统遭受较大的系统损失、一般信息信息系统遭受较大或较大以上级别的系统损失”; “一般事件”将“会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失、一般信息系统遭受严重或严重以下级别的系统损失”修改为“会使重要信息系统或一般信息系统遭受较小的系统损失”;
GB/T 20986—XXXX
IV — 增加了信息安全事件分类和分级的关系(见附录A)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本文件由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口。
本文件起草单位:北京时代新威信息技术有限公司、国家网络与信息安全信息通报中心、中国科学院软件研究所、中国长江三峡集团有限公司、杭州安恒信息技术股份有限公司、北京天融信网络安全技术有限公司、北京微智信业科技有限公司、启明星辰信息技术集团股份有限公司、陕西省网络与信息安全测评中心、北京神州绿盟科技有限公司、南方电网数字电网研究院有限公司、国家计算机网络应急技术处理协调中心、鼎铉商用密码测评技术(深圳)有限公司、北京数美时代科技有限公司、OPPO广东移动通信有限公司。
本文件主要起草人:王连强、王新杰、黄小苏、杨玉忠、阎若彤、任娟娟、夏雨、任彬、余国平、何余、王元戎、连一峰、张海霞、黄克振、高琪、李旸照、黎奇、梁伟、杨剑、崔婷婷、刘书鹏、魏玉峰、杨三杨、王健、郭晶、刘硕、陈建、王小璞。
本文件所代替的历次版本发布情况为:
— GB/Z 20986—2007 信息安全技术 信息安全事件分类分级指南; — 本次为第一次修订。
GB/T 20986—XXXX V 引
言 为了配合《中华人民共和国网络安全法》的落实并配合网络安全等级保护、关键信息基础设施保护等工作的实施,同时适应网络安全监测预警和信息通报工作的开展,需对GB/Z 20986-2007进行修订,对信息安全事件的分类和分级等方面进行补充和完善,形成新的信息安全事件分类分级指南,以对我国信息安全事件管理相关工作提供有效的标准支撑。同时,本标准也为各类事件通报、预警格式提供参考建议。
信息安全事件的防范和处置是国家网络安全保障体系中的重要环节,也是重要的工作内容。信息安全事件的分类分级是快速有效处置信息安全事件的基础之一。本文件编制的目的是:
a) 促进安全事件信息的交换和共享; b) 便于自动化安全事件报告和响应; c) 提高安全事件通报和应急处理的效率和效果; d) 利于安全事件的数据的收集和分析; e) 利于识别安全事件的严重程度。
GB/T 20986—XXXX 1
信息安全技术 信息安全事件分类分级指南 1 范围 本文件提供了信息安全事件分类分级的指南,用于信息安全事件的防范与处置,为事前准备、事中应对、事后处理提供基础性支撑,最大可能防范事件处理不当带来的影响,减少事件分析、应对不及时带来的风险和损失。
本文件适用于网络运营者以及网络安全主管部门开展信息安全事件的分类分级工作。
2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 19000—2016 质量管理体系 基础和术语 GB/T 20985.1 信息技术 安全技术 信息安全事件管理 第1部分:事件管理原理 GB/T 20985.2 信息技术 安全技术 信息安全事件管理 第2部分:事件响应规划和准备指南 GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求 GB/T 25069 信息安全技术 术语
GB/T 29246—2017 信息安全管理体系 概述和词汇 3 术语和定义 GB/T 25069界定的以及下列术语和定义适用于本文件。
3.1
信息系统 information system 应用、服务、信息技术资产或其他信息处理组件。
[来源:GB/T 29246—2017,定义 2.39] 注 :
本文件中信息系统是个广义的概念,包含通信网络设施和数据资源,信息系统既包括办公自动化系统、电信网、广播电视传输网等基础信息网络,也包括云计算平台/系统,物联网、工业控制系统、大数据系统以及采用移动互联技术的系统等。
3.2
网络安全 cybersecurity 通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的
GB/T 20986—XXXX
2 能力。
[来源:GB/T 22239—2019,定义 3.1] 3.3
信息安全事件 information security incident 指由于自然或者人为以及软硬件本身缺陷或故障的原因,可能对信息系统造成损害,或对社会造成负面影响的事件。
3.4
系统损失 system loss 指由于信息安全事件对信息系统的软硬件、功能及数据的破坏,导致系统业务中断,网络安全受到损害,从而给公民、法人和组织造成的损失。
3.5
数据 data 关于可感知或可想象到的任何事物的事实。
[来源:GB/T 19000-2016,定义 3.8.1,有修改] 3.6
信息 information 有意义的数据(3.5)。
[来源:GB/T 19000-2016,定义 3.8.2] 4 缩略语 下列缩略语适用于本文件。
AC:滥用内容(Abusive Content)
AD:事故灾难(Accident Disaster)
AoA:权限滥用(Abuse of Authority)
APT:高级可持续性威胁(Advanced Persistent Threats)
BoC:版权违反(Breach of Copyright)
BoPA:人员可用性破坏(Breach of Personnel Availability)
BOT:僵尸网络(Botnet)
CV:计算机病毒(Computer Virus)
CPU: 中央处理器(Central Processing Unit) DAI:数据攻击事件(Data Attacks Incidents)
DB:数据勒索(Data Blackmail)
DC:数据假冒(Data Counterfeit)
DE:数据错误(Data Error)
DIN:数据拦截(Data Interception)
DLE:数据泄漏(Data Leakage)
DLO:数据丢失(Data Loss)
GB/T 20986—XXXX 3
DoA:行为抵赖(Denial of Actions)
DoS:拒绝服务(Denial of Service)
ENSC:危害国家安全内容(Endangers National Security Content)
EoB:后门利用(Exploitation of Backdoor)
EoV:漏洞利用(Exploitation of Vulnerability)
ETC:暴恐极端内容(Extremism and Terrorism Contents)
FFI:设备设施故障事件(Facilities Faults Incidents)
FIC:虚假信息内容(False Information Content)
FMI:不可抗力事件(Force Majeure Incidents)
FoR:权限伪造(Forging of Rights)
HCI:有害内容事件(Harmful Content Incidents)
IC:侵权内容(Infringing Content)
IF:基础设施故障(Infrastructure Failure)
INF:干扰(Interference)
IOI:违规操作事件(Illegal Operation Incidents)
LA:登录尝试(Login Attempts)
MA:混合攻击程序(Mixed Attacks)
MCEWP:恶意代码内...