2024網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)安全要求管理要求

網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)安全要求管理要求目次TOC\o"1-2"\h\u24159前言 II23698引言 III296911范圍 1233372規(guī)范性引用文件 14973術(shù)語(yǔ)和定義 1216923.1網(wǎng)絡(luò)產(chǎn)品 152573.2應(yīng)急事件 123723.3應(yīng)急響應(yīng) 1144933.4風(fēng)險(xiǎn)評(píng)估 2200504縮略語(yǔ) 2320495網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)安全管理框架、流程 2197746安全事件分類分級(jí) 3144086.1安全事件分類 3210026.2安全事件分級(jí) 4283747應(yīng)急響應(yīng)預(yù)案建立 5107937.1預(yù)案計(jì)劃編排準(zhǔn)備 549237.2基礎(chǔ)環(huán)境保障 7220957.3應(yīng)急演練 7255788應(yīng)急響應(yīng)處置管理 83898.1事件響應(yīng)上報(bào) 8134678.2制定和實(shí)施行動(dòng)方案 866808.3技術(shù)分析前的應(yīng)急恢復(fù) 8179428.4遏阻 9252608.5消除威脅 9187888.6恢復(fù) 9177258.7響應(yīng)終止 920834附錄A（資料性）網(wǎng)絡(luò)產(chǎn)品的應(yīng)急響應(yīng)要求與不同類型活動(dòng)的對(duì)應(yīng)關(guān)系 1012858參考文獻(xiàn) 11網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)安全要求管理要求范圍本文件規(guī)定了網(wǎng)絡(luò)產(chǎn)品在運(yùn)行維護(hù)階段應(yīng)滿足的應(yīng)急響應(yīng)安全管理要求，主要從應(yīng)急預(yù)案建立、應(yīng)急響應(yīng)處置管理等方面提出針對(duì)網(wǎng)絡(luò)產(chǎn)品使用方的安全管理要求。本文件適用于指導(dǎo)網(wǎng)絡(luò)產(chǎn)品的使用方建立和維護(hù)網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)管理體系，也可為網(wǎng)絡(luò)設(shè)備生產(chǎn)方和第三方機(jī)構(gòu)開展測(cè)評(píng)時(shí)提供參考。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20984-2022信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法GB/T20985.2-2020信息技術(shù)安全技術(shù)信息安全事件管理第2部分：事件響應(yīng)規(guī)劃與準(zhǔn)備指南GB/T20986信息安全技術(shù)信息安全事件分類分級(jí)指南GB/T22240-2020信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。網(wǎng)絡(luò)產(chǎn)品networkproduct作為網(wǎng)絡(luò)組成部分以及實(shí)現(xiàn)網(wǎng)絡(luò)功能的硬件、軟件或系統(tǒng)，按照一定的規(guī)則和程序?qū)崿F(xiàn)信息的收集、存儲(chǔ)、傳輸、交換和處理。[來(lái)源：GB/T39276—2020,3.2]應(yīng)急事件emergencyevent導(dǎo)致或即將導(dǎo)致運(yùn)行維護(hù)服務(wù)對(duì)象運(yùn)行中斷、運(yùn)行質(zhì)量降低，以及需要實(shí)施重點(diǎn)時(shí)段保障的事件。[來(lái)源：GB/T28827.3—2012,3.2]應(yīng)急響應(yīng)emergencyresponse組織為預(yù)防、監(jiān)控、處置和管理應(yīng)急事件所采取的措施和活動(dòng)。[來(lái)源：GB/T28827.3—2012,3.3]

風(fēng)險(xiǎn)評(píng)估riskassessment特定威脅利用單個(gè)或一組資產(chǎn)脆弱性的可能性以及由此可能給組織帶來(lái)的損害。[來(lái)源：GB/T28827.3—2012,3.2]縮略語(yǔ)下列縮略語(yǔ)適用于本文件。BIA：業(yè)務(wù)影響分析（BusinessImpactAnalysis）UPS：不間斷電源（UninterruptiblePowerSupply）網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)安全管理框架、流程在風(fēng)險(xiǎn)管理的基礎(chǔ)上，本文件提出了一套基于業(yè)務(wù)連續(xù)性管理的網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)安全管理框架（如圖1所示）和應(yīng)急響應(yīng)安全管理流程（如圖2所示）。圖1應(yīng)急響應(yīng)安全管理框架應(yīng)急響應(yīng)安全管理框架以突發(fā)網(wǎng)絡(luò)安全事件為關(guān)注核心，以保障業(yè)務(wù)連續(xù)性、最大程度減少損失為目標(biāo)，在管理組織結(jié)構(gòu)和管理標(biāo)準(zhǔn)規(guī)范的基礎(chǔ)上，從事前（應(yīng)急響應(yīng)安全管理計(jì)劃編排準(zhǔn)備、基礎(chǔ)環(huán)境保障、應(yīng)急演練），事中（預(yù)案選擇、應(yīng)急響應(yīng)、預(yù)案評(píng)估）、事后（現(xiàn)場(chǎng)恢復(fù)、總結(jié)改進(jìn)）以及貫穿整個(gè)應(yīng)急過程的安全培訓(xùn)出發(fā)，構(gòu)建完整的響應(yīng)處置體系。圖2應(yīng)急響應(yīng)安全管理流程應(yīng)急響應(yīng)安全管理流程是面向網(wǎng)絡(luò)產(chǎn)品在整個(gè)應(yīng)急響應(yīng)管理生命周期，流程貫穿于應(yīng)急預(yù)案準(zhǔn)備到啟動(dòng)應(yīng)急響應(yīng)以及事后的現(xiàn)場(chǎng)恢復(fù)等各個(gè)方面。安全事件分類分級(jí)安全事件分類網(wǎng)絡(luò)產(chǎn)品安全事件分為惡意程序、網(wǎng)絡(luò)攻擊事件、數(shù)據(jù)攻擊事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障事件、違規(guī)操作事件、安全隱患事件、異常行為事件、不可抗力事件、其他事件等十個(gè)基本分類。參照GB/T20986，說明如下：惡意程序：指帶有惡意意圖所編寫的一段程序，該程序插入網(wǎng)絡(luò)損害網(wǎng)絡(luò)中的數(shù)據(jù)、應(yīng)用程序或操作系統(tǒng)，或影響網(wǎng)絡(luò)的正常運(yùn)行；網(wǎng)絡(luò)攻擊事件：指通過技術(shù)手段對(duì)網(wǎng)絡(luò)實(shí)施攻擊而導(dǎo)致業(yè)務(wù)損失或造成社會(huì)危害的網(wǎng)絡(luò)安全事件；數(shù)據(jù)安全事件：通過技術(shù)或其他手段對(duì)數(shù)據(jù)實(shí)施篡改、假冒、泄露、竊取等導(dǎo)致業(yè)務(wù)損失或造成社會(huì)危害的網(wǎng)絡(luò)安全事件；信息內(nèi)容安全事件：指通過網(wǎng)絡(luò)傳播危害國(guó)家安全、社會(huì)穩(wěn)定、公共安全和利益的有害信息導(dǎo)致業(yè)務(wù)損失或造成社會(huì)危害的網(wǎng)絡(luò)安全事件；設(shè)備設(shè)施故障事件：指由于網(wǎng)絡(luò)自身出現(xiàn)故障或設(shè)備設(shè)施受到破壞或干擾而導(dǎo)致業(yè)務(wù)損失或造成社會(huì)危害的網(wǎng)絡(luò)安全事件；違規(guī)操作事件：是指人為故意或意外地?fù)p害網(wǎng)絡(luò)功能而導(dǎo)致業(yè)務(wù)損失或造成社會(huì)危害的網(wǎng)絡(luò)安全事件；安全隱患事件：指網(wǎng)絡(luò)中出現(xiàn)能被攻擊者利用的漏洞或隱患，一旦被利用可能對(duì)網(wǎng)絡(luò)造成破壞，進(jìn)而導(dǎo)致業(yè)務(wù)損失或造成社會(huì)危害的網(wǎng)絡(luò)安全事件。提前發(fā)現(xiàn)這些漏洞或隱患能防范由此引起的其他網(wǎng)絡(luò)安全事件；異常行為事件：指網(wǎng)絡(luò)本身穩(wěn)定性不足或違規(guī)訪問網(wǎng)絡(luò)造成訪問、流量等異常行為，進(jìn)而導(dǎo)致業(yè)務(wù)損失或造成社會(huì)危害的網(wǎng)絡(luò)安全事件；不可抗力事件：是指因突發(fā)事件損害網(wǎng)絡(luò)的可用性而導(dǎo)致業(yè)務(wù)損失或造成社會(huì)危害的網(wǎng)絡(luò)安全事件；其他事件：指未歸為上述分類的網(wǎng)絡(luò)安全事件。安全事件分級(jí)根據(jù)網(wǎng)絡(luò)產(chǎn)品的事件影響對(duì)象的重要程度、業(yè)務(wù)損失的嚴(yán)重程度、社會(huì)危害的嚴(yán)重程度，將網(wǎng)絡(luò)安全事件劃分為特大重大事件、重大事件、較大事件、一般事件四個(gè)等級(jí)。其中網(wǎng)絡(luò)產(chǎn)品的事件影響對(duì)象的重要程度、業(yè)務(wù)損失的嚴(yán)重程度、社會(huì)危害的嚴(yán)重程度如下所述。事件影響對(duì)象的重要程度事件影響對(duì)象的重要程度根據(jù)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益以及業(yè)務(wù)對(duì)事件影響對(duì)象的依賴程度進(jìn)行評(píng)估，分為3個(gè)等級(jí)：特別重要、重要和一般。參照GB/T22240-2020，說明如下：特別重要：受到破壞后，對(duì)國(guó)家安全造成危害，或?qū)ι鐣?huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重危害或特別嚴(yán)重危害；重要：受到破壞后，對(duì)社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成危害，或?qū)ο嚓P(guān)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重或特別嚴(yán)重?fù)p害，但不危害國(guó)家安全；一般：指受到破壞后，對(duì)相關(guān)公民、法人和其他組織的合法權(quán)益造成一般損害，但不危害國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益。業(yè)務(wù)損失的嚴(yán)重程度業(yè)務(wù)損失的嚴(yán)重程度由網(wǎng)絡(luò)的硬件/軟件、功能和數(shù)據(jù)的損壞導(dǎo)致業(yè)務(wù)中斷影響的嚴(yán)重程度進(jìn)行評(píng)估，其大小可取決于恢復(fù)業(yè)務(wù)正常運(yùn)行和消除網(wǎng)絡(luò)安全事件負(fù)面影響所需付出的代價(jià)，分為4個(gè)級(jí)別：特別嚴(yán)重、嚴(yán)重、較大和較小，說明如下：特別嚴(yán)重：造成網(wǎng)絡(luò)大面積癱瘓，使其喪失業(yè)務(wù)處理能力，或重要數(shù)據(jù)/敏感個(gè)人信息遭到嚴(yán)重破壞，恢復(fù)業(yè)務(wù)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)巨大，對(duì)于事發(fā)組織是不可承受的；嚴(yán)重：造成網(wǎng)絡(luò)長(zhǎng)時(shí)間中斷或局部業(yè)務(wù)癱瘓，使其業(yè)務(wù)處理能力受到極大影響，或重要數(shù)據(jù)/敏感個(gè)人信息遭到破壞，恢復(fù)業(yè)務(wù)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)巨大，但對(duì)于事發(fā)組織是可承受的；較大：造成網(wǎng)絡(luò)中斷，導(dǎo)致業(yè)務(wù)處理能力受到較大影響，或數(shù)據(jù)/敏感個(gè)人信息受到損害，恢復(fù)業(yè)務(wù)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)較大，但對(duì)于事發(fā)組織是完全可以承受的；較?。涸斐删W(wǎng)絡(luò)短暫中斷，導(dǎo)致業(yè)務(wù)處理能力受到一定影響，或數(shù)據(jù)/敏感個(gè)人信息受到影響，恢復(fù)業(yè)務(wù)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)較小。社會(huì)危害的嚴(yán)重程度社會(huì)危害的嚴(yán)重程度根據(jù)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益等方面的危害程度進(jìn)行評(píng)估，分為4個(gè)級(jí)別：特別重大、重大、較大和一般，說明如下：特別重大：波及一個(gè)或多個(gè)省市的大部分地區(qū)，危害到國(guó)家安全，引起社會(huì)動(dòng)蕩，對(duì)經(jīng)濟(jì)建設(shè)有極其惡劣的負(fù)面影響，或者特別嚴(yán)重?fù)p害公眾利益；重大：波及一個(gè)或多個(gè)地市的大部分地區(qū)，影響到國(guó)家安全，引起社會(huì)恐慌，對(duì)經(jīng)濟(jì)建設(shè)有惡劣的負(fù)面影響，或者嚴(yán)重?fù)p害公眾利益；較大：波及一個(gè)或多個(gè)地市的部分地區(qū)，不影響國(guó)家安全，但是擾亂社會(huì)秩序，對(duì)經(jīng)濟(jì)建設(shè)或者公眾利益造成一般損害，對(duì)相關(guān)公民、法人或其他組織的利益會(huì)造成嚴(yán)重?fù)p害或特別嚴(yán)重?fù)p害；一般：波及一個(gè)地市的部分地區(qū)，不影響國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益，但是對(duì)相關(guān)公民、法人或其他組織的利益會(huì)造成一般損害。安全事件等級(jí)劃分網(wǎng)絡(luò)安全事件等級(jí)劃分及對(duì)應(yīng)描述情況見表1。表1網(wǎng)絡(luò)安全事件等級(jí)劃分事件等級(jí)描述特大重大事件特別重大事件發(fā)生在特別重要的事件影響對(duì)象上，并且：a）導(dǎo)致特別嚴(yán)重的業(yè)務(wù)損失，或b）造成特別重大的社會(huì)危害。重大事件重大事件發(fā)生在特別重要或重要的事件影響對(duì)象上，并且：a）導(dǎo)致特別重要事件影響對(duì)象遭受嚴(yán)重的業(yè)務(wù)損失或?qū)е轮匾录绊憣?duì)象遭受特別嚴(yán)重的業(yè)務(wù)損失，或b）造成重大的社會(huì)危害。較大事件較大事件發(fā)生在特別重要或一般的事件影響對(duì)象上，并且：a）導(dǎo)致特別重要事件影響對(duì)象遭受較大或較小的業(yè)務(wù)損失，或重要事件影響對(duì)象遭受嚴(yán)重或較大的業(yè)務(wù)損失，或?qū)е乱话闶录绊憣?duì)象遭受較大（含）以上級(jí)別的業(yè)務(wù)損失，或b）造成較大的社會(huì)危害。一般事件一般事件發(fā)生在重要或一般的事件影響對(duì)象上，并且：a）導(dǎo)致較小的業(yè)務(wù)損失，或b）造成一般的社會(huì)危害。應(yīng)急響應(yīng)預(yù)案建立預(yù)案計(jì)劃編排準(zhǔn)備應(yīng)急預(yù)案體系管理使用方在實(shí)施應(yīng)急預(yù)案體系管理時(shí)應(yīng)主要從梳理應(yīng)急預(yù)案需求、明確應(yīng)急預(yù)案目的、制定應(yīng)急預(yù)案計(jì)劃等方面考慮應(yīng)急預(yù)案體系管理是否完備。說明如下：梳理應(yīng)急預(yù)案需求結(jié)合應(yīng)急響應(yīng)安全管理計(jì)劃編排準(zhǔn)備，梳理實(shí)際網(wǎng)絡(luò)設(shè)備應(yīng)急預(yù)案需求，應(yīng)急預(yù)案的需求收集至少包含：網(wǎng)絡(luò)產(chǎn)品資產(chǎn)類型、網(wǎng)絡(luò)產(chǎn)品管理方式、網(wǎng)絡(luò)產(chǎn)品運(yùn)行拓?fù)洹⒕W(wǎng)絡(luò)產(chǎn)品風(fēng)險(xiǎn)脆弱點(diǎn)以及當(dāng)網(wǎng)絡(luò)產(chǎn)品發(fā)生故障后必要的應(yīng)急技術(shù)手段等。明確應(yīng)急預(yù)案目的明確網(wǎng)絡(luò)產(chǎn)品在組織機(jī)構(gòu)信息系統(tǒng)中的重要作用，確定網(wǎng)絡(luò)產(chǎn)品作為整個(gè)應(yīng)急預(yù)案管理體系中的關(guān)鍵要素，將網(wǎng)絡(luò)產(chǎn)品暴露在外的脆弱點(diǎn)、風(fēng)險(xiǎn)點(diǎn)充分管理起來(lái)。制定應(yīng)急預(yù)案計(jì)劃在制定應(yīng)急預(yù)案計(jì)劃時(shí)應(yīng)考慮應(yīng)急能力分析評(píng)估、業(yè)務(wù)響應(yīng)分析、應(yīng)急策略制定、應(yīng)急預(yù)案的編制、審核和發(fā)布、實(shí)施和改進(jìn)等。制定應(yīng)急響應(yīng)策略制定應(yīng)急響應(yīng)策略時(shí)應(yīng)考慮在業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等信息安全事件發(fā)生后，可以快速有效地恢復(fù)信息系統(tǒng)運(yùn)行的方法。這些策略應(yīng)涉及在業(yè)務(wù)影響分析（BIA）中確定的應(yīng)急響應(yīng)的恢復(fù)目標(biāo)。風(fēng)險(xiǎn)評(píng)估使用方應(yīng)標(biāo)識(shí)網(wǎng)絡(luò)產(chǎn)品的資產(chǎn)價(jià)值，識(shí)別網(wǎng)絡(luò)產(chǎn)品的脆弱性，分析各種威脅發(fā)生的可能性。風(fēng)險(xiǎn)評(píng)估具體內(nèi)容見GB/T20984-2022的第5章風(fēng)險(xiǎn)評(píng)估實(shí)施。業(yè)務(wù)影響分析使用方應(yīng)在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，分析各種信息安全事件發(fā)生時(shí)對(duì)業(yè)務(wù)功能可能產(chǎn)生的影響，進(jìn)而確定應(yīng)急響應(yīng)的恢復(fù)目標(biāo)。編制應(yīng)急響應(yīng)計(jì)劃文檔使用方應(yīng)編制詳盡的應(yīng)急響應(yīng)計(jì)劃文檔，應(yīng)急響應(yīng)計(jì)劃應(yīng)涵蓋網(wǎng)絡(luò)產(chǎn)品應(yīng)急操作的技術(shù)能力，并適應(yīng)業(yè)務(wù)需求?？筛鶕?jù)實(shí)際情況對(duì)其內(nèi)容進(jìn)行適當(dāng)?shù)恼{(diào)整、充實(shí)和本地化，以滿足特定的系統(tǒng)、操作和需求。應(yīng)急響應(yīng)計(jì)劃應(yīng)明確、簡(jiǎn)潔、易于在緊急情況下執(zhí)行。使用方在設(shè)計(jì)應(yīng)急響應(yīng)的計(jì)劃文檔時(shí)應(yīng)有完備的管理和維護(hù)流程?？蓞⒄誈B/Z20985.2-2020使用，說明如下：應(yīng)建立完備的應(yīng)急響應(yīng)計(jì)劃文檔，并由專人負(fù)責(zé)保持和分發(fā)；應(yīng)急響應(yīng)計(jì)劃文檔應(yīng)有多份拷貝，并在主要涉及的重要場(chǎng)所都有保存；應(yīng)設(shè)立多個(gè)應(yīng)急響應(yīng)人員（安全員）管理保存應(yīng)急響應(yīng)計(jì)劃文檔；針對(duì)應(yīng)急響應(yīng)計(jì)劃文檔中涉及對(duì)網(wǎng)絡(luò)產(chǎn)品應(yīng)急操作技術(shù)的相關(guān)內(nèi)容，應(yīng)確保一定的知悉范圍，可按照實(shí)際需求納入組織機(jī)構(gòu)自身的關(guān)鍵文檔質(zhì)量管理體系；應(yīng)保證應(yīng)急響應(yīng)計(jì)劃的有效性，業(yè)務(wù)流程的變化、系統(tǒng)的變更、人員的變更都應(yīng)在應(yīng)急響應(yīng)計(jì)劃文檔中及時(shí)反映；應(yīng)急響應(yīng)計(jì)劃在測(cè)試、演練和信息安全事件發(fā)生后實(shí)際執(zhí)行時(shí)，其過程均應(yīng)有詳細(xì)的記錄，并應(yīng)對(duì)測(cè)試、演練和執(zhí)行的效果進(jìn)行評(píng)估，同時(shí)對(duì)應(yīng)急響應(yīng)計(jì)劃文檔進(jìn)行相應(yīng)的修訂；應(yīng)急響應(yīng)計(jì)劃文檔應(yīng)定期評(píng)審和修訂，至少每年一次。應(yīng)急人員管理使用方在應(yīng)急響應(yīng)人員管理過程中應(yīng)按照領(lǐng)導(dǎo)小組、實(shí)施小組、日常運(yùn)行小組等角色各司其職在日常工作、故障響應(yīng)、重點(diǎn)時(shí)段保障等不同類型活動(dòng)中完成網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)工作，網(wǎng)絡(luò)產(chǎn)品的應(yīng)急響應(yīng)要求與不同類型活動(dòng)的對(duì)應(yīng)關(guān)系參見附錄A。應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組：由組織機(jī)構(gòu)管理層及承擔(dān)網(wǎng)絡(luò)產(chǎn)品建設(shè)運(yùn)維的主管領(lǐng)導(dǎo)干部組成，具體職責(zé)包括制定工作方案，提供人員和物質(zhì)保證，審核批準(zhǔn)應(yīng)急響應(yīng)策略，審核批準(zhǔn)應(yīng)急響應(yīng)預(yù)案，制定應(yīng)急演練方案，批準(zhǔn)和監(jiān)督應(yīng)急響應(yīng)預(yù)案的執(zhí)行，指導(dǎo)應(yīng)急響應(yīng)實(shí)施小組的應(yīng)急處置工作，啟動(dòng)定期評(píng)審、修訂應(yīng)急響應(yīng)預(yù)案以及負(fù)責(zé)組織的外部協(xié)作。應(yīng)急響應(yīng)實(shí)施小組：由承擔(dān)網(wǎng)絡(luò)產(chǎn)品建設(shè)運(yùn)維的主管領(lǐng)導(dǎo)干部及具體實(shí)施運(yùn)維人員組成，當(dāng)由于網(wǎng)絡(luò)產(chǎn)品系統(tǒng)崩潰、病毒攻擊、非法入侵、異常宕機(jī)等原因造成網(wǎng)絡(luò)運(yùn)行異?；虬c瘓時(shí)，根據(jù)信息安全事件的發(fā)展態(tài)勢(shì)和實(shí)際控制需要提供網(wǎng)絡(luò)安全技術(shù)保障，具體負(fù)責(zé)現(xiàn)場(chǎng)應(yīng)急處置工作，盡快恢復(fù)網(wǎng)絡(luò)正常運(yùn)行同時(shí)負(fù)責(zé)事件書面報(bào)告提交。應(yīng)急日常運(yùn)行小組：由組織機(jī)構(gòu)信息中心相關(guān)人員組成，負(fù)責(zé)做好網(wǎng)絡(luò)產(chǎn)品信息安全的日常巡查及日志保存工作，以確保及早發(fā)現(xiàn)網(wǎng)絡(luò)產(chǎn)品異常。同時(shí)負(fù)責(zé)信息安全事件發(fā)生后的損失控制和損害評(píng)估，并協(xié)助應(yīng)急響應(yīng)實(shí)施小組快速實(shí)施應(yīng)急響應(yīng)工作?；A(chǔ)環(huán)境保障在應(yīng)急響應(yīng)工作中，應(yīng)提供一定的基礎(chǔ)環(huán)境保障，如數(shù)據(jù)保障、硬件保障、供電保障、信息保障等。數(shù)據(jù)保障應(yīng)定時(shí)對(duì)網(wǎng)絡(luò)產(chǎn)品的運(yùn)行數(shù)據(jù)、配置文件和運(yùn)行軟件進(jìn)行備份。保證在網(wǎng)絡(luò)發(fā)生重大故障時(shí)，數(shù)據(jù)不丟失，業(yè)務(wù)不中斷。硬件保障在網(wǎng)絡(luò)建設(shè)環(huán)境對(duì)網(wǎng)絡(luò)數(shù)據(jù)可靠性要求較高時(shí)，宜具備硬件冗余、備份等保障措施。說明如下：中心網(wǎng)絡(luò)設(shè)備運(yùn)行網(wǎng)為1+N套設(shè)備（一主多備），在參數(shù)配置和線路上完成備份的預(yù)備；對(duì)路由器、交換機(jī)、終端服務(wù)器等主要網(wǎng)絡(luò)設(shè)備、模塊，采取按照一定比例（具體比例需要根據(jù)實(shí)際情況調(diào)研）集中備份；一旦發(fā)生故障可立即切換到備品備件，不影響網(wǎng)絡(luò)正常運(yùn)行；對(duì)出口鏈路采用多出口負(fù)載均衡的備份方式，防止單鏈路故障；對(duì)已過保修期的設(shè)備，為了確保設(shè)備正常運(yùn)行，宜提前購(gòu)買維保服務(wù)；對(duì)匯聚層多網(wǎng)絡(luò)設(shè)備采用集群系統(tǒng)，既協(xié)同工作又互為備份。供電保障在網(wǎng)絡(luò)建設(shè)環(huán)境對(duì)供電可靠性要求較高時(shí)，宜具備供電保障措施，如中心機(jī)房應(yīng)具備至少雙電路供電，機(jī)房?jī)?nèi)UPS以并聯(lián)冗余方式鏈接，再輔以油機(jī)供電。通信保障在應(yīng)急響應(yīng)基礎(chǔ)環(huán)境保障中應(yīng)確保通信信息的準(zhǔn)確性和可連通性。說明如下：確保通信信息的準(zhǔn)確性，保證應(yīng)急日常運(yùn)行小組人員和各負(fù)責(zé)人手機(jī)暢通；可連通性，保障業(yè)務(wù)期間信息通暢，能及時(shí)知曉和反饋信息。應(yīng)急演練網(wǎng)絡(luò)產(chǎn)品應(yīng)根據(jù)實(shí)際應(yīng)用需要開展應(yīng)急演練工作，以檢驗(yàn)應(yīng)急響應(yīng)工作的有效性，每年保障至少一次應(yīng)急演練。在應(yīng)急演練管理實(shí)施過程中應(yīng)制定詳細(xì)的應(yīng)急演練實(shí)施方案，方案中應(yīng)包括以下內(nèi)容：應(yīng)急演練的背景、目的和假設(shè)。這一部分應(yīng)對(duì)應(yīng)急演練進(jìn)行基本介紹，讓全體參與者對(duì)演練有初步的了解。應(yīng)急演練流程。該部分通過流程圖的方式，明確整個(gè)事件流程、需要完成的任務(wù)、可能出現(xiàn)的情況等。網(wǎng)絡(luò)架構(gòu)圖、應(yīng)急恢復(fù)策略及應(yīng)急故障處理。這一部分為技術(shù)人員提供指引，包括熟知網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及故障發(fā)生時(shí)所應(yīng)進(jìn)行的行動(dòng)。事故上報(bào)模板、任務(wù)分配表以及崗位職責(zé)。這一部分明確了應(yīng)急演練中各部門的職責(zé)和個(gè)人的任務(wù)，通過提供模板提高上報(bào)速度。應(yīng)急響應(yīng)處置管理在應(yīng)急響應(yīng)處置管理過程中應(yīng)涉及事件響應(yīng)上報(bào)、制定和實(shí)施行動(dòng)方案、技術(shù)分析前的應(yīng)急恢復(fù)、遏阻、消除威脅、恢復(fù)、響應(yīng)終止等方面，在實(shí)施應(yīng)急響應(yīng)安全管理流程時(shí)可參考圖2應(yīng)急響應(yīng)安全管理流程。事件響應(yīng)上報(bào)各級(jí)別網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)上報(bào)總體要求見表2。表2事件響應(yīng)上報(bào)要求事件等級(jí)上報(bào)要求特大重大事件事件發(fā)生時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，開展處置工作，控制事件發(fā)展，并將事件相關(guān)情況在事發(fā)第一時(shí)間向應(yīng)急響應(yīng)實(shí)施小組、應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組上報(bào)。事件發(fā)生后，應(yīng)急日常運(yùn)行小組需每小時(shí)將應(yīng)急處置進(jìn)展情況向應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組匯報(bào)，直至處置結(jié)束。事件處置結(jié)束后，應(yīng)急響應(yīng)實(shí)施小組應(yīng)編制正式書面報(bào)告，并于12小時(shí)內(nèi)提交應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組。重大事件事件發(fā)生時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，開展處置工作，控制事件發(fā)展，并將事件相關(guān)情況在事發(fā)30分鐘內(nèi)向應(yīng)急響應(yīng)實(shí)施小組、應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組上報(bào)。事件發(fā)生后，應(yīng)急日常運(yùn)行小組需每2小時(shí)將應(yīng)急處置進(jìn)展情況向應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組匯報(bào)，直至處置結(jié)束。事件處置結(jié)束后，應(yīng)急響應(yīng)實(shí)施小組應(yīng)編制正式書面報(bào)告，并于1天內(nèi)提交應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組。較大事件事件發(fā)生時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，開展處置工作，控制事件發(fā)展，并將事件相關(guān)情況在事發(fā)1小時(shí)內(nèi)向應(yīng)急響應(yīng)實(shí)施小組、應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組上報(bào)。事件處置結(jié)束后，應(yīng)急響應(yīng)實(shí)施小組應(yīng)編制正式書面報(bào)告，并于3天內(nèi)提交應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組，并備案。一般事件事件發(fā)生時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，開展處置工作，控制事件發(fā)展，并將事件相關(guān)情況在事發(fā)1小時(shí)內(nèi)向應(yīng)急響應(yīng)實(shí)施小組、應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組上報(bào)。事件處置結(jié)束后，應(yīng)急響應(yīng)實(shí)施小組應(yīng)編制正式書面報(bào)告，并于5天內(nèi)提交應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組，并備案。制定和實(shí)施行動(dòng)方案行動(dòng)方案包括對(duì)網(wǎng)絡(luò)事件作出響應(yīng)、修復(fù)，恢復(fù)網(wǎng)絡(luò)系統(tǒng)至操作狀態(tài)，或評(píng)估信息網(wǎng)絡(luò)的風(fēng)險(xiǎn)所必要的行動(dòng)。技術(shù)分析前的應(yīng)急恢復(fù)進(jìn)行技術(shù)分析前的網(wǎng)絡(luò)系統(tǒng)應(yīng)急恢復(fù)，應(yīng)仔細(xì)評(píng)估潛在的