护网演习网络安全应急全新预案

护网演习信息安全应急预案数据窃取事件

3.

2.6数据窃取事件重要涉及敏感信息爬取，运用任意文献读取等漏洞窃据敏感文献，运用SQL注入漏洞等窃取数据库敏感信息，以及入侵成功后拖取数库等行为回绝服务事件

3.

2.7回绝服务事件重要涉及CC袭击、DOS袭击、DDOS袭击、DRDOS袭击一旦遭受回绝服务袭击，可导致服务器宕机，网络阻塞，从而破坏正常的业务稳定运营第四章应急处置总体流程安全事件处置流程由护网行动指挥部进行制定，在安全事件发生时由安全监控组、技术研判组、应急处置组、事件上报组、护网行动指挥部按照如下流程协调配合最后达到有效完毕安全事件处置日勺目的I监控近!技术研判诅应急处置坦事件上报俎护网行动指捍部•«事件!--W启、《侬BT/H《分疆分其）劭总体工作流程图如下图所示:实施预案事件通报处・工作管理上报指挥部预警响应决策执行预室馋部、企业）技术指导事布应急回归验证事件通报应急结果上报暮束第五章事件分级流转按照扁平化指挥原则，通过建立护网行动即时通讯群组，总部在群组中及时发布预警信息指令，子分公司及时通过群组向总部进行事件报告针对重大事件的发生，总部及子分公司有关人员应第一时间通过电话向总部领导报告状况正式状况材料按照处置流程通过系统、事件上报平台上报0A一级事件

5.1总部在演习过程中发生一级安全事件时，技术研判组应当在第一时间通过即时通讯群组及电话的形式向护网行动指挥部报告事件状况，并生成安全事件简报上报护网行动指挥部，不得迟报、谎报、瞒报和漏报，护网行动指挥部对事件简报内容进行确认，并部署应急处置组迅速开展应急处置工作在事件处置完毕后，应急处置组应立即梳理出信息安全事件书面报告交付事件上报组，由其通过事件上报平台向事件有关部门进行通报同步信息安全事件书面报告的内容要简要、精确，重要涉及时间、地点、信息来源、事件起因和性质、基本过程、已导致的后果影响及波及财产损失、影响范畴、发展趋势、处置状况、拟采用的措施、单位全称、联系人和联系电话等子分公司按照护网行动指挥部统一安排配合其进行事件处置二级事件

5.2总部在演习过程中发生二级安全事件时，处置流程与一级事件相似在事件处置完毕后,应急处置组可在一种工作日内，梳理出信息安全事件书面报告（报告规定同一级响应报告内容）交付事件上报组，由其通过事件上报平台向事件有关部门进行通报子分公司子分公司工作组应当在第一时间通过即时通讯群组及电话的形式向总部上报组报告事件状况，并提交事件证据有关材料，事件上报组需在收到子分公司上报信息后，将有关材料信息转交技术研判组，由技术研判组对子分公司上报信息进行研判，子分公司在技术研判组指引下完毕事件处置在事件处置完毕后的一种工作日内，梳理出信息安全事件书I面报告（报告规定同一级响应报告内容），通过事件上报平台向总部事件上报组进行通报三级事件

5.3总部在演习过程中发生三级安全事件时，技术研判组应当在第一时间通过及时通讯群组向事件有关人员及护网行动指挥部报告事件状况，报告流程与一级相似，不得迟报、谎报、瞒报和漏报，同步迅速开展应急处置工作在事件处置完毕后的在一种工作日内，梳理出信息安全事件书面报告（报告规定同一级响应报告内容），通过事件上报平台向有关部门进行通报子分公司子分公司工作组应当在第一时间通过即时通讯群组及电话的形式向事件上报组报告事件状况，并自行完毕事件处置在事件处置完毕后，应在一种工作日内，梳理出信息安全事件书面报告（报告规定同一级响应报告内容），通过事件上报平台向总部事件上报组进行通报四级事件

5.4总部在演习过程中发生四级安全事件时，技术研判组应当在第一时间通过及时通讯群组向事件有关人员及护网行动指挥部报告，报告流程与一级相似，不得迟报、谎报、瞒报和漏报，同步迅速开展应急处置工作在事件处置完毕后，应在两个工作日内，梳理出信息安全事件书面报告（报告规定同一级响应报告内容），通过事件上报平台向有关部门进行通报子分公司子分公司工作组应当在第一时间通过即时通讯群组及电话日勺形式向事件上报组报告事件状况，并自行完毕事件处置在事件处置完毕后，应在两个工作日内，梳理出信息安全事件书面报告（报告规定同一级响应报告内容），通过事件上报平台向总部事件上报组进行通报五级事件

5.5总部在演习过程中发生五级安全事件时，技术研判组应当在第一时间通过及时通讯群组向事件有关人员及护网行动指挥部报告，不得迟报、谎报、瞒报和漏报，同步迅速开展应急处置工作在事件处置完毕后，在演习结束前，应在两个工作日内，梳理出信息安全事件书面报告（报告规定同一级响应报告内容），通过事件上报平台向有关部门进行通报子分公司子分公司工作组应当在第一时间通过即时通讯群组及电话的形式向事件上报组报告事件状况，并自行完毕事件处置在事件处置完毕后，在演习结束前，梳理出信息安全事件书面报告（报告规定同一级响应报告内容），通过事件上报平台向总部事件上报组进行通报事件级别调节

5.6总部在进行应急解决过程中，如应急处置组发现事件影响限度及范畴不符合初步鉴定，应及时与技术研判组沟通，同步向护网行动指挥部反馈，由其共同对事件级别进行重新鉴定在总部接到子分公司上报的二级及以上事件后，应由技术研判组对事件级别进行鉴定，若确认级别为三级及如下事件，则通过事件上报组向子分公司反馈，由子分公司按照新事件级别进行处置子分公司在进行应急解决过程中，如发现事件影响限度及范畴不符合初步鉴定，应及时对事件级别进行重新鉴定及处置第六章监测与巡检实时监测

6.1总部及各子分公司对演习目的、重点目的及安全防护设备的报警信息进行实时监测,分析甄别网络中设备被控制的报警和线索信息，并按照应急处置预案进行处置监测规定护网演习期间进行小时不间断监测，监测发现的可疑信息及时提交技术研判组7*24I研判监测范畴:监测范畴为安全防护设备及演习有关业务系统安全巡检

6.2总部及各子分公司对非演习目的系统、一般设备、互联网暴露设备进行安全巡检，分析甄别异常信息，并按照应急处置预案进行处置巡检规定总部组及子分公司应急处置组负责对本单位的资产进行巡检,其中非演习目的系统、互联网暴漏设备每隔小时巡检一次并填写“安全巡检记录单”，一般设备每隔小时巡检24一次并填写“安全巡检记录单”巡检范畴巡检范畴为非演习目日勺系统、一般设备、互联网暴露设备第七章应急响应事件分级响应

7.1一级事件

7.

1.1由护网行动指挥部根据《集团有限公司网络与信息安全事件应急预案》发布网XXXX络安全红色预警及启动应急级响应I应急处置组向护网行动指挥部响应时间规定:事件级别事件进程跟踪周期和通报时间未明确被控因素每隔通报一次直至被控因素明确30min一级已明确被控因素每隔通报一次直至明确修复期限30min已明确修复期限每隔通报一次直至修复结束lh由护网行动指挥部根据《集团有限公司网络与信息安全事件应急预案》发布网XXXX络安全红色预警及启动应急级响应I应急处置组向护网行动指挥部响应时间规定:事件级别事件进程跟踪周期和通报时间未明确被控因素每隔通报一次直至被控因素明确lh二级已明确被控因素每隔通报一次直至明确修复期限lh已明确修复期限每隔通报一次直至修复结束2h三级事件

7.

1.3由护网行动指挥部根据《集团有限公司网络与信息安全事件应急预案》发布网XXXX络安全橙色预警及启动应急级响应II应急处置组向护网行动指挥部响应时间规定:事件级别事件进程跟踪周期和通报时间未明确被控因素每隔通报一次直至被控因素明确2h三级已明确被控因素每隔通报一次直至明确修复期限lh已明确修复期限每隔通报一次直至修复结束2h四级事件

7.

1.4由护网行动指挥部根据《集团有限公司网络与信息安全事件应急预案》发布网XXXX络安全黄色预警及启动应急级响应in应急处置组向护网行动指挥部响应时间规定事件级别事件进程跟踪周期和通报时间未明确被控因素每隔通报一次直至被控因素明确2h四级已明确被控因素每隔通报一次直至明确修复期限lh已明确修复期限每隔通报一次直至修复结束2h五级事件

7.

1.5由护网行动指挥部根据《集团有限公司网络与信息安全事件应急预案》发布XXXX网络安全黄色预警及启动应急级响应ni应急处置组向护网行动指挥部响应时间规定事件级别跟踪周期和通报时间五级酌情通报事件分类处置

7.2针对具体的袭击事件，总部及子分公司应急处置组应根据不同事件类型，按照如下处置措施进行有效处置木马后门事件处置

7.

2.1处置措施发现木马后门后，先针对浮现木马后门设备进行断网隔离解决，同步将该设备日记进行备份留存分析入侵途径，随后根据总部技术研判组研判成果对操作系统进行重新部署或病毒软件进行全盘查杀处置流程:应急公置俎护网行动指挥部异常登录事件处置

7.

3.

1.

3.

1.

3.

1.

3.

1.

3.

2.

3.

2.

3.

2.

3.

2.

3.

2.

3.

2.

7.

1.

7.

1.

7.

1.

7.

1.

7.

1.

7.

2.

7.

2.

7.

2.

7.

2.

7.

7.

2.

1.1为规范股份有限责任公司（如下简称“集团公司”）护网演习信息安全事件应XXXX急工作，提高应对突发信息安全事件的综合管理水平和应急处置能力，形成决策科学、措施有力、反映迅速的应急工作机制，有效防备信息系统风险，保证信息系统的安全、持续、稳定运营，减少信息安全事件的危害，特制定本预案编制根据

1.2以国家有关法规、规章、有关政策为根据，指引集团公司信息安全总体应急预案的编制工作合用性法规原则重要有《中华人民共和国网络安全法》《中华人民共和国突发事件应对法》（国家主席令第号）69《中华人民共和国计算机信息系统安全保护条例》（国务院令第号）147《国家突发公共事件总体应急预案》《国家网络与信息安全事件应急预案》《国务院有关部门和单位制定和修订突发事件应急预案框架指南》（国办函口号）33《信息技术安全技术信息技术安全管理指南》GB/T

19715.1-《-信息技术信息安全事件分类分级指南》GB/Z20986《信息安全技术信息系统劫难恢复规范》GB/T20988-《信息安全技术信息系统安全级别保护基本规定》GB/T22239-业务持续性管理体系》ISO22301:本预案合用于集团公司总部及子分公司在护网演习期间网络与信息安全事件的避免、通报和应急处置工作第二章组织机构及职责」集团公司组织机构2护网期间，集团公司护网工作由网络安全与信息化领导小组牵头，成立护网行动指挥部、护网工作组、应急专家组对护网工作进行组织及整体把控护网领导小组组长万军、王军副组长王勇智成员王顺强、何树高、王健、陈晓毅护网行动指挥部组长韩毅斌应急专豕组副组长■■■护网工作组总部成立护网领导小组，负责护网工作的重大决策，统一领导和指挥调度，由集团网安全监控组技术研判组应急处置组事件上报组组长毛涛组长石艳朋组长唐亮组长王朋络安全和信息化分管领导任组长成立护网行动指挥部，负责网络安全保障的工作部署、监督检查与应急调度信息化部重要领导任组长，各业务职能部门和各单位信息分管领导为小构成员，其中办公厅负责护网指挥大厅场合及后勤保障，财务部负责护网行动专项资金保障，法务部负责护网期间法律纠纷问题指挥部下设护网工作组，负责护网具体组织协调、技术支撑有关工作，护网工作组下设安全监控组、技术研判组、应急处置组、事件上报组安全监控组负责运用各类监测类设备发现并初步确认袭击事件技术研判组负责根据上报事件，通过流量、日记及告警行为等信息，进行全面溯源分析，确认袭击事件的行为及影响范畴，为应急处置组提供处置建议应急处置组负责则在事件发生时进行隔离、断网，全面的排查、处置与恢复I事件上报组负责形成事件应急处置报告，上报护网工作组各工作组织人员安排详见附件一子分公司护网工作组

2.2护网演习期间，各子分公司参照集团公司组织架构，自行设立各工作组，设立各工作组与集团公司联系接口人员通联方式

2.3护网演习过程中的通联方式由如下几种电话•针对护网演习中的紧急事件通过手机、座机对事件有关人员进行实时通报护网期间所有参与护网工作人员需保证手机开机24h事件上报平台•在事件处置完毕后，事件处置人员通过事件上报平台向有关人员上报完整处置材料系统•OA在护网演习期间重大事件发生时，通过系统直接向指挥部集团领导进行正式报OA第三章事件分级分类事件分级

1.2一级事件

1.

1.1若演习目的被控制，则定义事件为一级事件，相应《集团有限公司突发事件总XXXX体应急预案》安全红色预警及应急级响应I二级事件

1.

2.2若重要系统或设备被控制，则定义事件为二级事件，相应《集团有限公司突发XXXX事件总体应急预案》安全红色预警及应急级响应I三级事件

1.

3.3若内网一般设备被控制，则定义事件为三级事件，相应《集团有限公司突发事XXXX件总体应急预案》安全橙色预警及应急级响应n四级事件

1.

4.4若区一般设备被控制，则定义事件为四级事件，相应《集团有限公司突DMZ XXXX发事件总体应急预案》安全黄色预警及应急级响应III五级事件

1.

5.5若区设备遭到袭击或内网终端遭到袭击,则定义事件为五级事件相应《DMZ XXXX事件分类

1.3木马后门事件

3.

2.1木马后门事件重要涉及服务器中检测存在脚本木马、远程控制、键盘记WEB Shell录、等木马程序，将导致应用系统及服务器被黑客持续控制，甚至可作为跳板机进Rootkit行对其她资产日勺进一步袭击异常登录事件

4.

2.2异常登录事件重要涉及应用系统和服务器中检测存在克隆账号、隐藏账号，以及存在未授权顾客、异常时间、异常来源登录等钓鱼邮件事件

5.

2.3钓鱼邮件事件重要涉及邮件附件涉及歹意代码、歹意链接，从而可导致员工内部主机被控，或泄露重要敏感信息漏洞袭击事件

6.

2.4漏洞袭击事件往往从袭击人员漏洞扫描探测发现漏洞开始，之后通过对漏洞点进行分析并进一步运用，从而从存在漏洞系统获取相应的敏感信息甚至直接拿下系统的控制权限暴力破解事件

7.

2.5暴力破解事件重要涉及对主机、终端设备、应用系统账号密码的暴力破解，黑客通过信息收集，生成暴力破解字典，或根据已泄露的密码进行撞库，从而也许导致系统密码被黑客破解。