近年来，信息安全逐渐被各企事业单位重视，对信息安全建设的投入也逐步增多，主要体现在信息安全监测、防御、响应、修复、稳定运行等环节。如何监测到安全威胁并进行快速响应，减少因响应不及时所带来的损失，是未来信息安全发展的一个重要方向。本方案主要介绍应急响应及灾难恢复的管理规范，包括安全事件分类，分级、应急响应流程及灾难恢复等。

2 安全事件分类与分级

2.1 安全事件分类

2.1.1 有害程序事件

有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等7个子类，说明如下：

a) 计算机病毒事件是指蓄意制造、传播计算机病毒，或是因受到计算机病毒影响而导致的信息安全事件。计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码，它可以破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制；

b) 蠕虫事件是指蓄意制造、传播蠕虫，或是因受到蠕虫影响而导致的信息安全事件。蠕虫是指除计算机病毒以外，利用信息系统缺陷，通过网络自动复制并传播的有害程序；

c) 特洛伊木马事件是指蓄意制造、传播特洛伊木马程序，或是因受到特洛伊木马程序影响而导致的信息安全事件。特洛伊木马程序是指伪装在信息系统中的一种有害程序，具有控制该信息系统或进行信息窃取等对该信息系统有害的功能；

d) 僵尸网络事件是指利用僵尸工具软件，形成僵尸网络而导致的信息安全事件。僵尸网络是指网络上受到黑客集中控制的一群计算机，它可以被用于伺机发起网络攻击，进行信息窃取或传播木马、蠕虫等其他有害程序；

e) 混合攻击程序事件是指蓄意制造、传播混合攻击程序，或是因受到混合攻击程序影响而导致的信息安全事件。混合攻击程序是指利用多种方法传播和感染其它系统的有害程序，可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。混合攻击程序事件也可以是一系列有害程序综合作用的结果，例如一个计算机病毒或蠕虫在侵入系统后安装木马程序等；

f) 网页内嵌恶意代码事件是指蓄意制造、传播网页内嵌恶意代码，或是因受到网页内嵌恶意代码影响而导致的信息安全事件。网页内嵌恶意代码是指内嵌在网页中，未经允许由浏览器执行，影响信息系统正常运行的有害程序；

g) 其它有害程序事件是指不能包含在以上6个子类之中的有害程序事件。

2.1.2 网络攻击事件

网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个子类，说明如下：

a) 拒绝服务攻击事件是指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的信息安全事件；

b) 后门攻击事件是指利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门对信息系统实施攻击的信息安全事件；

c) 漏洞攻击事件是指除拒绝服务攻击事件和后门攻击事件之外，利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞，对信息系统实施攻击的信息安全事件；

d) 网络扫描窃听事件是指利用网络扫描或窃听软件，获取信息系统网络配置、端口、服务、存在的脆弱性等特征而导致的信息安全事件；

e) 网络钓鱼事件是指利用欺骗性的计算机网络技术，使用户泄漏重要信息而导致的信息安全事件。例如，利用欺骗性电子邮件获取用户银行帐号密码等；

f) 干扰事件是指通过技术手段对网络进行干扰，或对广播电视有线或无线传输网络进行插播，对卫星广播电视信号非法攻击等导致的信息安全事件；

g) 其他网络攻击事件是指不能被包含在以上6个子类之中的网络攻击事件。

2.1.3 信息破坏事件

信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件等6个子类，说明如下：

a) 信息篡改事件是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件，例如网页篡改等导致的信息安全事件；

b) 信息假冒事件是指通过假冒他人信息系统收发信息而导致的信息安全事件，例如网页假冒等导致的信息安全事件；

c) 信息泄漏事件是指因误操作、软硬件缺陷或电磁泄漏等因素导致信息系统中的保密、敏感、个人隐私等信息暴露于未经授权者而导致的信息安全事件；

d) 信息窃取事件是指未经授权用户利用可能的技术手段恶意主动获取信息系统中信息而导致的信息安全事件；

e) 信息丢失事件是指因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中的信息丢失而导致的信息安全事件；

f) 其它信息破坏事件是指不能被包含在以上5个子类之中的信息破坏事件。

2.1.4 信息内容安全事件

信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益内容的安全事件。信息内容安全事件包括以下4个子类，说明如下：

a) 违反宪法和法律、行政法规的信息安全事件；

b) 针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件；

c) 组织串连、煽动集会游行的信息安全事件；

d) 其他信息内容安全事件等4个子类。

2.1.5 设备设施故障

设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。

设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故、和其它设备设施故障等4个子类，说明如下：

a) 软硬件自身故障是指因信息系统中硬件设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等而导致的信息安全事件；

b) 外围保障设施故障是指由于保障信息系统正常运行所必须的外部设施出现故障而导致的信息安全事件，例如电力故障、外围网络故障等导致的信息安全事件；

c) 人为破坏事故是指人为蓄意地对保障信息系统正常运行的硬件、软件等实施窃取、破坏造成的信息安全事件；或由于人为的遗失、误操作以及其他无意行为造成信息系统硬件、软件等遭到破坏，影响信息系统正常运行的信息安全事件；

d) 其它设备设施故障是指不能被包含在以上3个子类之中的设备设施故障而导致的信息安全事件。

2.1.6 灾害性事件

灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。

2.1.7 其他事件

其他事件类别是指不能归为以上6个基本分类的信息安全事件。

2.2 安全事件分级

根据信息安全事件的分级考虑要素，将信息安全事件划分为四个级别：特别重大事件、重大事件、较大事件和一般事件。

2.2.1 特别重大事件（Ⅰ级）

特别重大事件是指能够导致特别严重影响或破坏的信息安全事件:会使特别重要信息系统遭受特别严重的系统损失。

2.2.2 重大事件（Ⅱ级）

重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失。

2.2.3 较大事件（Ⅲ级）

较大事件是指能够导致较严重影响或破坏的信息安全事件：会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失、一般信息信息系统遭受特别严重的系统损失。

2.2.4 一般事件（Ⅳ级）

一般事件是指不满足以上条件的信息安全事件：会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失，一般信息系统遭受严重或严重以下级别的系统损失。

3 应急响应需求

3.1 业务影响分析

3.1.1 分析业务功能影响

对受影响组织的各项业务功能及各项业务功能之间的相关性进行分析，分析其信息的保密性、完整性和可用性要求，确定支持各种业务功能的资源。

3.1.2 评估中断影响

采用定量和定性的方法，对各种业务功能的中断造成的影响进行评估：

—— 定量分析：以量化方法，评估业务功能的中断可能给组织带来的直接经济损失和间接经济损失；

—— 定性分析：运用归纳与演绎、分析与综合以及抽象与概括等方法，评估业务功能的中断可能给组织带来的非经济损失，包括组织的声誉、顾客的忠诚度、员工信心、社会和政治影响等。

3.2 确定灾难恢复目标

根据业务影响分析的结果，确定灾难恢复目标，包括：

—— 关键业务功能及恢复的优先顺序；

—— 灾难恢复时间范围，即RTO和RPO的范围。

4 应急响应时间

编号	安全事件分级	单位内部响应时间	应急保障单位响应时间
1	特别重大事件（Ⅰ级）	立即	立即
2	重大事件（Ⅱ级）	立即	15分钟内
3	较大事件（Ⅲ级）	30分钟内	30分钟内
4	一般事件（Ⅳ级）	1小时内	2小时内

5 应急响应流程

Ø 信息收集

单位内部安全运行人员在发现系统出现异常情况后立即报告单位领导，同时启动应急响应机制。安全运行人员进行信息收集，信息收集内容包括：物理环境、网络、主机、安全设备、数据存储及人员等。

Ø 评估分析

安全运行人员进行评估分析，给出初步分析结果，按照《应急响应与灾难恢复管理规范》确定安全事件及安全事件分级，并根据需要通告外部技术支持单位。外部技术支持单位的应急保障人员进一步收集事件信息系统，并将最终分析结果上报应急响应领导小组副组长，由副组长确定下一步。

Ø 事件定性与分类

副组长确定是否对该事件进行进一步处理。如果不是安全事件则作为误报处理，总结工作。如果是安全事件则根据灾难恢复预案进行安全事件抑制。安全事件分类如下：

1) 一般操作失误事件

2) 网络控制系统事件

3) 服务拒绝事件

4) 数据泄露事件

5) ……

Ø 事件抑制

应急保障人员按照灾难恢复预案对以下类型的安全事件进行应急处理，在处置过程中，如果无法按预定时间解决问题，则副组长上报组长确定是否变更安全事件及等级，采取更高一级别响应。

1) 测评实施安全事件

2) 网站恶意篡改

3) 数据库恶意篡改

4) 系统遭受恶意攻击，丧失可用性

5) 恶意代码（木马病毒等）

6) 入侵检测系统上报的，无法处理的安全事件

7) ……

Ø 事件通报

当事件抑制结束后，通报相关单位及个人，并做好媒体发布工作。

Ø 法律取证

在事件抑制成功后根据需要进行安全事件取证工作，法律取证并报送公安机关，取证内容如下：

1) 操作系统事件日志

2) 操作系统审计日志

3) 网络应用程序日志

4) 防火墙日志

5) 入侵检测日志

6) 受损系统日志

7) ……

Ø 总结汇报

应急响应完成后的应急保障人员整理事故处理报告，内容包括事故原因分析、已造成的影响、处理办法、处理结果、预防和改进建议等提交给应急响应领导小组副组长，副组长审核无误后发至相关人员，并作为应急响应培训案例保存。

6 应急响应组织架构

6.1 组织架构

6.2 职责说明

6.2.1 应急响应领导小组

应急响应领导小组是应急响应工作的组织领导机构，组长应由组织最高管理层成员担任。副组长应由组织信息中心领导担任，主要负责应急响应的具体实施，副组长负责向组长汇报，指挥小组成员分工进行应急响应工作。领导小组的职责是领导和决策信息系统灾难恢复的重大事宜，主要职责如下：

—— 审核并批准经费预算；

—— 审核并批准灾难恢复策略；

—— 审核并批准灾难恢复预案；

—— 批准灾难恢复预案的执行。

6.2.2 应急响应实施组

应急响应实施组包括单位内部人员及外部技术支援人员，外部技术支援人员主要对应急响应工作的技术支持。应急响应实施组的主要职责如下：

—— 需求分析；

—— 提出灾难恢复策略和等级；

—— 灾难恢复策略的实现；

—— 制定灾难恢复预案；

—— 组织灾难恢复预案的测试和演练。

6.2.3 安全运行组

安全运行组的主要职责是负责：

—— 协助灾难恢复系统实施；

—— 灾难备份中心日常管理；

—— 灾难备份系统的运行和维护；

—— 灾难恢复的专业技术支持；

—— 参与和协助灾难恢复预案的教育、培训和演练；

—— 维护和管理灾难恢复预案；

—— 突发事件发生时的损失控制和损害评估；

—— 灾难发生后信息系统和业务功能的恢复；

—— 灾难发生后的外部协作。

7 灾难恢复预案制定

单位根据安全事件分类及安全事件分级制定符合单位实际情况的灾难恢复预案，灾难恢复预案制定完成后需要进行讨论、测试与演练。

8 灾难恢复目标确定

灾难恢复能力等级	业务中断影响	RTO	RPO	资源投入
1	低	2天以上	1天至7天	设备较少，资金少，人员少
2	中	12小时以上	数小时至1天	设备少，资金少，人员少
3	高	数分钟至1天	0至数小时	设备多，资金多，人员多
4	较高	数分钟	0	设备多，资金多，人员较多