信息安全事故处理指南

政府资讯科技总监办公室

信息安全事故处理指南

[G54]

第4.0版

二零零九年十二月

香港特别行政区政府

版权公告

2009香港特别行政区政府

除非另有注明，本出版物所载资料的版权属香港特别行政区政府所有。在符合下列条件的情况下，这些资料一般可以任何格式或媒介复制及分发：

(a) 有关资料没有特别注明属不可复制及分发之列，因此没有被禁止复制及分发； (b) 复制并非为制造备份作售卖用途；

(c) 必须准确地复制资料，而且不得在可能误导他人的情况下使用资料；以及 (d) 复制版本必须附上“经香港特别行政区政府批准复制／分发。香港特别行政区政

府保留一切权利”的字眼。

如须复制资料作上述核准用途以外的用途，请联络政府资讯科技总监办公室寻求准许。

目录

1 2

目的 ...................................................................................................... 1-1

范围 ...................................................................................................... 2-1

2.1 信息科技安全文件概览 ............................................................................................. 2-2

-1 3 参考资料 ............................................................................................... 3

4 定义及惯用词 ......................................................................................... 4-1

4.1 定义 ..................................................................................................................... 4-1 4.2 惯用词 .................................................................................................................. 4-1 5 安全事故处理简介 .................................................................................. 5-1

5.1 信息安全管理中的安全事故处理 ................................................................................ 5-1 5.2 安全事故处理是什么................................................................................................5-1

5.2.1 信息安全事故 ............................................................................................... 5-1 5.2.2 安全事故处理 ............................................................................................... 5-2 5.3 安全事故处理的重要性 ............................................................................................. 5-2

6 政府内部信息安全事故处理的组织架构 ..................................................... 6-1

6.1 香港电脑保安事故协调中心 ...................................................................................... 6-1 6.2 政府信息安全事故应急办事处 ................................................................................... 6-2

6.2.1 政府信息安全事故应急办事处的职能................................................................6-2 6.2.2 政府信息安全事故应急办事处的结构................................................................6-2 6.3 信息安全事故应急小组.............................................................................................6-3

6.3.1 信息安全事故应急小组的职能 ......................................................................... 6-4 6.3.2 信息安全事故应急小组的结构 ......................................................................... 6-4 6.3.3 信息安全事故应急小组成员的职责...................................................................6-4

6.3.3.1 6.3.3.2 6.3.3.3

组长.............................................................................................................6-4 事故应急经理.................................................................................................6-5 新闻主任.......................................................................................................6-5

6.4 部门信息系统 ......................................................................................................... 6-5

6.4.1 部门信息科技系统经理 .................................................................................. 6-6

7 8

安全事故处理步骤概览 ............................................................................ 7-1 规划和准备 ............................................................................................ 8-1

8.1 安全事故处理计划...................................................................................................8-1

8.1.1 范围 ........................................................................................................... 8-1 8.1.2 目标和优先处理事项 ..................................................................................... 8-1 8.1.3 职务和职责 .................................................................................................. 8-2 8.1.4 限制 ........................................................................................................... 8-2 8.2 报告程序 ............................................................................................................... 8-2 8.3 升级处理程序 ......................................................................................................... 8-3 8.4 安全事故应急程序...................................................................................................8-3 8.5 培训与教育 ............................................................................................................ 8-4

8.6 事故监察措施 ......................................................................................................... 8-4

9 安全事故应急 ......................................................................................... 9-1

9.1 确认事故 ............................................................................................................... 9-2

9.1.1 判断是否发生事故.........................................................................................9-2 9.1.2 进行初步评估 ............................................................................................... 9-3 9.1.3 记录事故 ..................................................................................................... 9-3 9.1.4 记录系统状况 ............................................................................................... 9-3 9.2 升级处理 ............................................................................................................... 9-4 9.3 遏制 ..................................................................................................................... 9-4

9.3.1 决定是否须要暂停受袭系统的操作...................................................................9-5 9.4 杜绝 ..................................................................................................................... 9-5

9.4.1 可杜绝事故的行动.........................................................................................9-5 9.5 恢复 ..................................................................................................................... 9-6

10 事后跟进 ............................................................................................. 10-1

10.1 事故事后分析 ....................................................................................................... 10-1 10.2 事故事后报告 ....................................................................................................... 10-2 10.3 安全评估 ............................................................................................................. 10-2 10.4 覆检现行保护措施.................................................................................................10-2 10.5 调查及检控 .......................................................................................................... 10-2

附录

A 安全事故处理准备工作清单

A.1

安全事故处理准备工作清单样本

B 报告程序

B.1 B.2 B.3

报告机制建议

信息安全事故初步报告表 事故事后报告

C 升级处理程序

C.1 C.2 C.3

需要通知的各方 联络名单

升级处理程序示例

D 确认事故

D.1 D.2 D.3 D.4

安全事故的典型迹象 为确认事故收集的资料 事故类型

影响事故范围和后果的因素

E 安全事故升级处理工作流程

F 部门信息科技安全联络资料更新表

1

目的

有效的信息安全管理包括防范、侦测和应急的互相配合。除部署强而有力的安全保护措施外，系统还应具备事故应急能力，以备在发生信息安全事故时激活适当程序。安全事故处理是信息安全管理中重要的一环。

本指南旨在就安全事故处理计划的制订，以及信息安全事故的防范、侦测及应急，为管理、行政及其他技术和操作人员提供参考。由于不同计算机系统的安全事故可能构成不同的影响和导致不同的后果，政策局／部门应根据其实际的操作需要，制订合适的安全事故处理计划。

2

范围

本文件旨在提供信息安全事故处理的实际指引和参考，但并不包括对具体计算机硬件或操作系统平台的详细技术描述。政策局／部门应就有关技术细节咨询相关的系统管理员、技术支持人员和产品供货商。

2.1

信息科技安全文件概览

下图所示为政府内部各信息科技安全文件之间的关系：

信息科技安全文件

五份核心信息科技安全文件的目的及概要简述如下：

《基准信息科技安全政策》： （S17）

最高层次的指令文件，为全体政策局／部门制订安全规格必须达到的最低标准。这份文件列明了对政策局／部门至关重要的安全工作领域。《基准信息科技安全政策》可视为必须遵守的强制性基准规定，此外，各政策局／部门也可以采取其他适当的措施加强信息安全工作。

介绍信息科技安全的一般概念，并对《基准信息科技安全政策》作出详细诠释。这份文件为制订安全要求提供了指引和应予考虑的事项。

《信息科技安全指南》的补充文件，为互联网网关安全提供一般指引。这些指引是针对互联网公开平台，将安全风险控制在可接受水平的最佳实务。这份文件专为参与互联网网关操作及技术工作的人员而制订。 《信息科技安全指南》的补充文件，介绍信息科技安全风险评估及安全审计的通用模型。这份文件的重点并非介绍如何进行安全风险评估或审计的详情，而是提供一个参考模型，以确保由独立安全顾问或审计师提供的服务，在范围、方法及成品方面有所参照。

《信息科技安全指南》的补充文件，为管理、行政及其他技术和操作人员提供参考，以便制订安全事故处理计划。此外，亦可用作信息安全事故防范、侦测及应急的参考资料。

《信息科技安全指南》： （G3）

《互联网网关安全指南》： （G50）

《安全风险评估及审计指南》： （G51）

《信息安全事故处理指南》： （G54）

3

参考资料

a) 《信息科技安全指南》（G3）

()

b) Establishing a Computer Security Incident Response Capability, NIST (National

Institute of Standards and Technology) Special Publication 800-3, Nov 1991. (http://csrc.nist.gov/topics/inchand.html)

c) Sample Incident Handling Procedures for CSIRT (Computer Security Incident

Response Team).

(http://www.csirt.org/sample_policies/incident.handling.pro.doc)

d) IETF (The Internet Engineering Task Force) RFC 2196 Site Security Handbook.

(http://www.ietf.org/rfc/rfc2196.txt)

e) IETF RFC 2350 Expectations for Computer Security Incident Response.

(http://www.ietf.org/rfc/rfc2350.txt)

f) Computer Security Incident Handling Guide from NIST

(http://csrc.nist.gov/publications/nistpubs/800-61-rev1/SP800-61rev1.pdf)

4

定义及惯用词 定义

无

4.1

4.2

惯用词

无

5

安全事故处理简介

信息安全管理中的安全事故处理

信息安全管理可视为一个须反复持续进行的循环过程。下图5.1所示为过程中涉及的部分工作程序：

5.1

找出风险和安全及影响等

例如定期安全检及系统审如制定安全政策， 定职责及应用保障

施

安全事故处理及

安全事故记录

图5.1 信息科技安全管理反复进行的程序

部署适当的安全保护措施和保障措施可减少在受到攻击时被入侵的可能性。加强保护的安全措施包括进行风险评估以找出风险和安全漏洞、制定安全政策和指南、采取技术保护措施等。

然而，即使已采取上述各种措施，仍难免有机会发生安全事故，所以必须为安全事故应急作好准备。应指定适当人员负责不同的工作、预留资源并规划事故处理程序等工作，为发生安全事故作好准备。一旦发生安全事故，这些准备工作将有利于事故应急，使计算机系统能够以较具条理和更有效率和效益的方式恢复。

5.2

安全事故处理是什么 信息安全事故

「安全事故」一词在本指南泛指任何与信息科技安全有关的事故。安全事故是指不合乎政府利益的资料泄漏或信息系统及／或网络内的负面事件，对计算机或网络安全的可用性、完整性和机密性构成威胁。自然灾害、硬件／软件故障、数据线故障、停电等负面事件并不包括在本指南范围内，这些负面事件应通过系统维护和运作恢复计划处理。

5.2.1

常见的安全事故包括：未获授权访问、未获授权擅用服务、信息系统资源受攻击致无法使用、服务中断、破解已采取保护措施的数据／程序／网络系统权限、保密资料在电子形态下泄漏、恶意破坏或窜改数据／资料、渗透及入侵、滥用系统资源、计算机病毒及恶作剧电子邮件、以及影响联网系统的恶意程序代码或脚本程序。

5.2.2

安全事故处理

安全事故处理是一系列持续进行的程序，规管安全事故发生前、发生时和发生后所采取的措施。

安全事故处理始于规划和准备资料及制定适当程序（例如升级处理和安全事故应急程序），以备日后遵照执行。

一旦侦测到安全事故，负责安全事故应急的各方须按照预定程序实施应急。安全事故应急是指为处理安全事故并恢复系统的正常操作状态而进行的工作或采取的措施。一般可成立特定的事故应急小组，负责进行安全事故应急工作。

安全事故过后，应采取跟进行动评估事故，并加强安全保护措施，以防止再度发生事故。应覆检规划和准备的工作，并作出相应的修订，以确保有足够的资源（包括人力资源、设备和技术知识）和妥善制定的程序处理日后的同类事故。

下文将详细阐述安全事故处理循环过程的三个程序。

图5.2 安全事故处理的循环过程

5.3

安全事故处理的重要性

明确清晰的安全事故处理计划不仅对计算机系统的有效操作至关重要，而且还能影响政策局／部门的整体运作。安全事故处理的主要目的如下：

a. 确保具备处理事故所需的资源（包括人力资源、技术等）； b. 确保负责安全事故处理的各方明确了解，在发生安全事故时须按预定程序

进行的工作；

c. 确保事故应急有条不紊并具效益，而且能够迅速恢复受损系统； d. 确保事故应急工作已获确认和互相配合；

e. 将泄漏数据、破坏数据和系统中断等事故可能造成的影响尽量减少； f. 在政府内部及与外界分享事故应急经验； g. 防止受到进一步的攻击和破坏；以及 h. 处理相关的法律问题。

鉴于信息科技在政府内部迅速发展，所有政策局和部门都有必要制定一套安全事故处理计划，尤其是目前正使用下列计算机系统的政策局和部门：

a. b. c. d.

与外部（例如互联网）连接的系统； 处理敏感数据和资料的系统； 关键任务系统；以及

任何可因安全事故的发生而受重大不良影响的系统。

6

政府内部信息安全事故处理的组织架构

下图所示为政府内部安全事故应急组织架构的通用参考模型。

每个政策局／部门宜成立一个信息安全事故应急小组，而政府信息安全事故应急办事处则集中统筹并支持各政策局／部门内部的信息安全事故应急小组。各政策局／部门的信息安全事故应急小组负责监督政策局／部门内部特定信息科技系统、计算机服务或职能范围的事故处理程序。

图 6.1 参与安全事故处理的各方

本章阐述信息安全事故处理的高层次组织架构和参与信息安全事故处理工作各方的职务和职责。信息安全事故应急小组及负责部门信息系统的人员，应根据政策局／部门或相关系统的特殊业务需要和操作要求，制定详细的信息安全事故处理程序。政府信息安全事故应急办事处亦会制定其内部配合程序。

6.1

香港电脑保安事故协调中心

信息科技、互联网访问及电子商务的使用量近年来大幅飙升，从而令网络入侵、计算机病毒攻击及计算机入侵有机可乘。事实上，近年来记录的信息安全事故数目成倍攀升。为了应付这些安全威胁，香港特区政府创新及科技基金拨款予香港生产力促进局以成立香港电脑保安事故协调中心。

香港生产力促进局为香港电脑保安事故协调中心所订的目标是：

a. b. c. d. e.

作为计算机安全事故应急的一站式中心，香港电脑保安事故协调中心的主要职能如下：

a. 通过专门的网站和其它适当的渠道，发出计算机安全警报和报告； b. 处理计算机安全事故报告，并为恢复行动提供协助； c. 通过中心的网站、信息安全简讯和报告发布与计算机安全相关的技术讯息

和资料，并就安全事故的防范和入侵侦测工具作出建议； d. 举行讲座和工作坊等活动以提高计算机安全意识； e. 收集事故报告统计数据和报告摘要；以及

f. 与大专院校、计算机供货商、互联网服务提供商和其它计算机紧急事故应

急中心合作，共同找出解决计算机安全事故的方法。

成为香港计算机安全事故报告和应急的中心点； 提高计算机安全意识，并推广国际准则和实务；

协助改善计算机系统的安全，并防范与计算机安全相关的事故； 为计算机安全事故的恢复行动提供协助和协调；以及

与海外计算机紧急事故应急中心保持联系，以便互相合作和协调。

6.2

政府信息安全事故应急办事处

政府信息安全事故应急办事处（GIRO）是为整个政府提供服务的组织，负责中央统筹及支援各个政策局／部门内的信息安全事故应急小组，以处理信息安全事故。

6.2.1

政府信息安全事故应急办事处的职能

政府信息安全事故应急办事处主要有以下职能： a. b. c. d.

就即将及已经发生的威胁，向部门信息科技安全主任发出安全警报； 设立中央数据库，并监督政府内部对所有信息安全事故的处理； 定期编制政府信息安全事故统计报告；

充当中央协调办事处，以应付多点安全攻击（即不同的政府信息系统同时受攻击）；

e. 在政府信息安全事故事宜上，充当香港电脑保安事故协调中心与政府之间

的联络桥梁；以及

f. 促使政策局／部门的信息安全事故应急小组与香港电脑保安事故协调中

心，互相分享和交流信息安全事故处理的经验和数据。

6.2.2

政府信息安全事故应急办事处的结构

政府信息安全事故应急办事处的核心成员包括来自下列政策局／部门的代

表：

• 政府资讯科技总监办公室 • 安全局

• 香港警务处

政府信息安全事故应急办事处由政府资讯科技总监办公室、保安局和香港警方代表组成。依据不同安全事故的性质，必要时可能会邀请个别政策局／部门的信息安全事故应急小组成员和其它专家，为政府信息安全事故应急办事处的运作提供协助。

政府资讯科技总监办公室内成立了一个常设办公室，负责为政府信息安全事故应急办事处提供秘书处和职能方面的支持，并于应付可能影响整个政府的信息安全事故时，担任各部门信息安全事故应急小组组长间的中心联络点，以收集信息安全事故报告和统筹应急行动。政府信息安全事故应急办事处常设办公室向各政策局／部门提供的服务如下：

• • • •

就即将及已经发生的事故，向政策局／部门发出安全警报；

设立中央数据库，并监督政府内部对所有信息安全事故的处理；

定期编制政府安全事故统计报告，作为各政策局及部门的参考资料； 协调政策局／部门报告的安全事故，并向香港电脑保安事故协调中心传达技术支持的要求；

• 促使政策局／部门及香港电脑保安事故协调中心，互相分享和交流安全事

故处理的经验和数据；以及

• 收集已报告的所有政府安全事故数据，定期为政府信息安全事故应急办事

处编制统计资料和报告以供参考。

各政策局和部门应向政府信息安全事故应急办事处常设办公处提供信息安全事故应急小组组长的联络资料，如资料有任何更改，应向常设办公室提供最新的资料，以确保信息有效传递。部门信息科技安全联络资料更新表见附录F。

政府信息安全事故应急办事处在必要时可能成立特殊专责小组（例如在发生多点攻击时），就影响遍及多个政策局／部门及／或政府整体运作和稳定的安全事故，协调应急工作。

6.3

信息安全事故应急小组

各政策局／部门应成立信息安全事故应急小组。信息安全事故应急小组是各政策局／部门内部，负责协调、传讯和采取安全事故处理行动的协调中心。信息安全事故应急小组的规模应按不同政策局／部门计算机系统的规模和范围、系统的敏感程度以及安全事故对政策局／部门的潜在影响，作出相应调整。

虽然政府信息安全事故应急办事处负责集中统筹信息安全事故的报告，并为

个别信息安全事故应急小组提供协调和咨询支持，但有关的信息安全事故应急小组，仍须在处理所在政策局／部门的安全事故时，负责整体指挥和控制。

6.3.1

信息安全事故应急小组的职能

信息安全事故应急小组的主要职能包括：

a. 整体监督和协调政策局／部门内部所有信息科技系统的安全事故处理； b. 在报告安全事故方面，与政府信息安全事故应急办事处合作，以便集中记

录和采取必要的跟进行动，例如报告警方，并寻求香港电脑保安事故协调中心提供进一步协助；

c. 转发政府信息安全事故应急办事处就即将发生及已经发生的事故所发放

的警报，给政策局／部门内部负责有关工作的各方；以及 d. 促进政策局／部门内部，就安全事故处理和其它相关事务分享经验和交流

信息。

6.3.2

信息安全事故应急小组的结构

信息安全事故应急小组是政策局／部门内协调所有信息科技安全事故的中央联络点。政策局／部门首长应从高层管理人员中挑选一名人员，担任信息安全事故应急小组组长。组长应有权任命信息安全事故应急小组的核心成员。

在筹组信息安全事故应急小组时，部门信息科技安全主任应给予建议和支持，以协助信息安全事故应急小组组长为部门信息系统制定个别系统的特定安全政策和事故处理计划，并制定相关的后勤安排。部门信息科技安全主任还须确保所在政策局／部门的所有信息系统，已遵守和履行部门整体信息科技安全政策的规定。

虽然信息安全事故应急小组可根据政策局／部门的不同计算机设备情况，决定小组成员的实际组合，但信息安全事故应急小组内也有一些必要的的关键职务，例如信息安全事故应急小组组长、事故应急经理和新闻主任等。依据各政策局／部门计算机设备的规模和范围，这些职务可由多人或一人负责。

下文将详述信息安全事故应急小组内各项职务及职能。

6.3.3

信息安全事故应急小组成员的职责

6.3.3.1 组长

组长的职责包括：

a. 根据事故应急经理提供的事故报告及分析，就系统恢复、委聘外部机构及

其所参与工作的程度，以及恢复后回复正常服务的后勤工作等关键事项作出决策；

b. 因应事故对政策局／部门业务运作的影响，在适当情况下激活部门灾难恢

复程序；

c. 代表管理层批核为事故处理程序投放的资源； d. 代表管理层批核就事故的立场所作的公众发布； e. 与政府信息安全事故应急办事处合作，协调处理事故报告及必要的跟进行

动；以及

f. 在报告计算机系统的信息安全事故（特别是报告具有下列特点的信息安全

事故）方面，与政府信息安全事故应急办事处常设办公室合作：

• 直接提供公共服务的系统，而且系统故障可能导致服务中断（例如向

政府互联网网站发出的拒绝服务攻击） • 处理敏感数据和资料的系统 • 支持关键任务操作的系统

• 一旦发生安全事故，可能造成重大不良影响的系统，例如因网站遭涂

改致使政府形象受损

6.3.3.2 事故应急经理

事故应急经理负责监察政策局／部门内部的所有安全事故处理程序，并为处理事故程序寻求管理层提供资源和支持。事故应急经理的职责包括：

a. 整体管理及监督政策局／部门内部与安全事故处理相关的所有事务； b. 在接获影响部门信息系统的安全事故报告后，通知信息安全事故应急小组

组长；

c. 向信息安全事故应急小组组长汇报安全事故处理程序的进展情况；

d. 在处理信息事故时与警方、服务承办商、支持服务提供商及安全顾问等外

部机构和人士协调；以及 e. 为事故处理工作，向信息安全事故应急小组组长寻求提供所需的资源和支

持。

6.3.3.3 新闻主任

新闻主任负责回复公众有关政策局／部门安全事故的查询。新闻主任还负责整体控制和监督向公众（包括传媒）发布信息的工作。

6.4

部门信息系统

各部门信息系统应拨出特定的资源来应付个别信息科技系统、计算机服务或职能范围可能发生的安全事故，以便在事故应急上达到更佳的协调及支持。

各信息系统／服务事故应急小组的规模和结构依据系统或服务的范围和性质而有所区别。例如，如果是小型、非关键的内部系统，一个人便足以履行事故应急小组的职责。信息系统／服务事故应急小组的主要职能包括：

a. 监督所负责职能范围的安全事故处理程序；

b. c. d. e. f.

事先制定相关的事故处理程序和联络名单，以加快及推动处理程序； 提供直接接收可疑事故报告的途径； 直接并实时响应可疑活动；

协助将破坏减至最少，并恢复系统正常操作； 向服务承办商、计算机产品供货商或警方等外部机构和人士寻求有关安全问题的意见；

g. 与其它外部机构和人士协调相关信息系统的安全事故处理工作；以及 h. 就所负责职能范围，对来自信息安全事故应急小组和政府信息安全事故应

急办事处的安全警报，进行影响分析。

如果信息科技系统的部分操作或全部操作均已外判予外部服务提供商及／或已包括在其它政府部门提供的服务范围内，则外判服务提供商及／或提供服务的部门亦应成立类似的事故应急小组，以提供与其职责相应的服务。

6.4.1

部门信息科技系统经理

部门信息系统经理监督由其负责的系统或职能范围内的整个安全事故处理程序。其职责包括：

a. 制定及推行个别系统的安全事故应急程序； b. 遵守并遵从安全事故应急程序，向政策局／部门的事故应急经理和信息安

全事故应急小组报告事故；

c. 与服务提供商、承办商和产品支持服务提供商等相关各方安排及协调，针

对事故采取修正和恢复行动；

d. 向信息安全事故应急小组报告安全事故，在信息安全事故应急小组的管理

支持下，于调查和收集证据的过程中对外寻求协调，例如寻求警方或香港电脑保安事故协调中心的协助； e. 掌握最新的信息安全科技和技术，并了解与系统或所负责职能范围相关的

最新安全警报和安全漏洞；

f. 利用安全工具／软件及／或系统日志及检查审计追踪日志，找出怀疑攻击

或未获授权的访问；

g. 在诊断问题和系统恢复过程中，提供有助于收集证据、系统备份和恢复、

系统配置和管理等技术支持；以及

h. 为计算机系统或所负责职能范围安排定期安全评估、影响分析和覆检。

7

安全事故处理步骤概览

图7.1 安全事故处理步骤

安全事故处理的三个主要步骤如上图7.1所示。下文将详细阐述各步骤所涉及的处理程序。

8

规划和准备

适当的事先规划可确保人员对应采取的应急行动有所了解，使其能在互相配合及有条不紊的情况下执行。同时还有助政策局／部门在处理安全事故时作出适当和有效的决定，从而将安全事故可能造成的破坏减到最少。安全事故应急计划包括加强安全保护措施、采取适当的事故应急、系统恢复和其它跟进工作。

规划和准备所涉及的主要工作如下：

a. b. c. d. e. f.

安全事故处理准备工作清单列于附录A，以供参考。

安全事故处理计划 报告程序

升级处理程序

安全事故应急程序 培训与教育 事故监察措施

8.1

安全事故处理计划

安全事故处理计划一般涵盖以下几个主要部分： a. b. c. d.

范围

目标和优先处理事项 职务和职责 限制

8.1.1

范围

这部分为界定安全事故应急小组的职能范围。有关范围既可包括整个政策局／部门（即信息安全事故应急小组），亦可局限于政策局／部门内部的特定信息系统或应用系统。

8.1.2

目标和优先处理事项

事先应明确制定安全事故处理计划的目标，并根据系统和管理需要为目标排列缓急顺序。及后制定的安全事故应急程序应配合这些预定的目标。

依据不同系统和管理需要，事故处理的目标可包括：

a. 尽快使系统恢复正常操作

b. 尽量减轻事故对其他系统的影响 c. 避免发生同类事故

e. f. g.

部分事故的性质过于复杂，或规模过大，致难以在同一时间解决所有问题。为处理的事项排列缓急次序便成为必不可少的步骤，因为可以使事故应急人员将焦点首先集中在最关键的事项。以下是建议优先处理的事项：

a. b. c. d. e. f.

保障生命和人身安全 保护敏感或关键资源

保护遗失或损毁后造成较大损失的重要数据

防止停顿后会造成较大损失及恢复成本较高的系统受到损坏 对服务中断的影响减到最少

维护政策局／部门或政府整体的公众形象 评估事故的影响和破坏 有必要时更新政策和程序

收集证据为日后的个案调查提供证明

8.1.3

职务和职责

参与安全事故处理工作各方的职务和职责应明确界定。上述第6章为界定安全事故应急小组主要成员的职务和职责提供了参考模型。

8.1.4

限制

资源、科技和时间等限制因素应予考虑。这些限制可能影响安全事故处理工作的结果。例如，政策局／部门如缺乏内部技术专才，便可能须委聘外部顾问或服务承办商。这些准备工作应事先办妥，确保在发生安全事故时能够顺利处理事故。

8.2

报告程序

报告程序应明确报告任何可疑活动的步骤和程序，以便及时通知参与事故应急工作的全体人员。报告程序应列明详尽的联络资料，确保负责人员之间能够有效沟通。在有需要的情况下，应填报办公时间电话热线及非办公时间电话热线、电子邮箱、手机及／或寻呼机号码等联络资料。一些建议的报告机制见附录B第1节，以供参考。

此外，应编制事故事后报告，以确保资料贯彻一致及报告所收集的资料完整无缺。事故事后报告样本见附录B第3节，以供参考。

事先应制定适当的报告程序，以便一旦发生安全事故，参与事故应急的全体人员了解应向何人和以何种方式报告，以及应注意和报告的事项。

为有效执行报告程序，应注意以下几点：

b. c. d. e.

向相关的全体人员颁布报告程序，以供参阅和参考；

确保相关的全体人员熟习报告程序，并能够立即报告安全事故； 编制安全事故报告表，以规范所收集的资料；

考虑是否需要在非办公时间激活报告程序，如确有需要，应制定一份独立的非办公时间报告程序，并指定相关人员担任非办公时间联络人；以及 f. 有关事故的资料应根据需要知道原则披露，除信息安全事故应急小组组长

外，任何其它人士均无权阅览，也不得授权他人将有关安全事故的资料与他人分享。

8.3

升级处理程序

升级处理程序是指将事故上报管理层和有关方面，以确保立即作出重要决策的程序。

在发生事故时，往往需要处理大量紧急事项，所以很难找到适当的人选处理林林总总的事项。为顺利执行安全事故处理的各阶段工作，应事先编备处理法律、技术和管理事项所需的重要联络名单。因此，制定升级处理程序是准备和规划阶段的主要工作之一。

升级处理程序按事故的类型和影响的严重程度，载列内部和外部各级别人员的联络点及各联络点的联络资料。

不同类型的事故，升级处理程序的联络点和跟进行动也可能有所区别。不同类型的事故可能涉及不同的专业知识或管理决策，所以应编备特定的联络名单以处理这些事故。

有关升级处理程序的建议和升级处理程序示例见附录C，以供参考。报告及升级处理政府信息安全事故的典型工作流程见附录E，以供参考。

8.4

安全事故应急程序

安全事故应急程序界定了一旦发生事故应采取的步骤，其目的在于根据预定的目标和首要工作将破坏减至最少，杜绝事故的肇因，使系统恢复正常操作等。

系统或职能范围的经理应制定安全事故应急程序，以便在事故处理程序中为安全事故应急小组提供指引。全体员工（包括管理层人员）均应了解该程序，作为参考和遵守的依据。这套程序应清晰明确而且容易理解，确保全体人员清楚了解应采取的行动。

第9章将提供处理安全事故的参考模型，特别在确认事故、升级处理、遏制、杜绝和恢复程序等方面。

8.5

培训与教育

政策局／部门应提供足够的员工培训，以确保相关的全体员工和管理层人员均懂得如何处理安全事故。各人员应熟习由事故报告、确认和采取适当行动到恢复系统正常操作的处理事故程序。政策局／部门可组织事故处理演习，使全体人员熟习处理安全事故的程序。

此外，为了加强系统或职能范围的安全保护措施，并减少发生事故的机会，应向系统操作和支持人员提供足够的培训，使他们掌握有关安全预防的知识。

8.6

事故监察措施

应采取足够的事故监察安全措施以便在正常操作时保护系统，同时防范潜在的安全事故。所采取措施的程度和范围则取决于系统、系统处理的数据及系统提供的功能的重要性和敏感程度。

下列是一些常见的安全事故监察措施：

a. 安装防火墙构件并采取认证和访问控制措施，以保护重要系统和数据资

源；

b. 安装入侵侦测工具，主动监察、侦测并就系统入侵或黑客入侵作出应对； c. 安装抗计算机病毒工具和恶意程序代码侦测及修复软件，以侦测及清除计

算机病毒及恶意程序代码，并防止计算机病毒和恶意程序代码影响系统操作；

d. 定期利用安全扫描工具进行安全检查，以找出目前存在的安全漏洞，并进

行既定安全政策水平与实际安全工作环境之间的差距分析；

e. 安装内容过滤工具，以侦测电子邮件或网络通讯的恶意内容或代码； f. 开启系统及网络审计日志功能，以便侦测和追踪未获授权活动；以及 g. 利用自行开发的程序和脚本程序协助侦测可疑活动、监察系统和数据的完

整性，以及分析审计日志的数据。

9 安全事故应急

安全事故应急涉及制定程序评估事故并作出应急，尽快将受影响的系统元件和服务恢复正常。有关程序大致可分为五个阶段：即下图9.1所示的确认、升级处理、遏制、杜绝和恢复。认识各阶段具体工作有利于制定有效的安全事故应急程序。

应急程序无须依足五个阶段的顺序进行，政策局／部门可因应本身的实际需要自行制定应急程序各阶段的顺序。例如，在报告某些事故时可同时将事故升级处理。

图9.1 安全事故应急的主要阶段

9.1

确认事故

在发现可疑活动后，计算机系统的用户、操作员或管理员应遵照既定的报告程序，向有关系统的经理报告事故。收集资料时可使用标准安全事故报告表，该报告表还可用来作进一步调查和分析之用。另一方面，入侵侦测工具和系统审计日志等监察工具亦可用来协助侦测未获授权或异常活动。

在侦测到异常情况后，信息科技系统经理应确认事故，此阶段的工作包括以下步骤：

a. b. c. d.

判断是否发生事故 进行初步评估 记录事故

如有需要，记录系统当前状况

9.1.1

判断是否发生事故

首先，信息科技系统经理应判断是否确实发生事故。然而，判断所发现的异常情况是否就是发生事故的迹象往往十分困难。有些看上去好象是安全事故的证据，事实上可能是由另外一些原因造成（例如硬件故障或用户操作错误）。

为判断某种异常情况是系统问题还是事故所造成，有关人员应从多方面作考虑。附录D载列了一些值得特别注意的典型事故迹象，以供参考。

如果政策局或部门认为事故的性质严重，并会对公共服务及／或政府形象构成重大影响，有关信息安全事故应急小组组长应在确认事故后的60分钟内，向政府信息安全事故应急办事处常设办公室报告事故。

为便于记录和协调事故处理工作，信息安全事故应急小组组长还应填妥一份信息安全事故初步报告表（请参阅附录B第2节），向政府信息安全事故应急办事处常设办公室报告（包括，但不限于）下列各类严重信息安全事故（有关详情，请参阅附录D第3节）。

• 拒绝服务攻击（包括中央或部门互联网网关、电子邮件系统、政府网站及／或向公众提供电子服务的系统） • 电子邮件轰炸

• 大规模恶意程序代码攻击

• 网页遭涂改或注入恶意程序代码 • 数据被窃听

• 泄露／窜改数据、程序或网络系统权限 • 渗透／入侵系统 • 伪冒

• 未获授权访问系统及／或数据 • 滥用系统、资源及／或数据 • 欺诈网站或电子邮件

• 泄漏电子保密数据

与安全无关的事故（如下所列）无需向政府信息安全事故应急办事处常设办公室报告，而应该按照现行的系统管理及操作准则和程序处理。

• • • • • • •

如发生对政府服务及／或形象构成重大影响的严重事故，政府信息安全事故应急办事处常设办公室与信息安全事故应急小组组长会密切监察事态发展。如果事故可能是针对整个香港特别行政区政府的多点攻击，常设办公室会立即通知政府信息安全事故应急办事处並采取必要的行动。

系统受台风、水浸、火灾等自然灾害影响 硬件或软件问题 数据／通讯线故障 停电

计划关闭或维修系统工作

因管理／操作错误导致的系统故障

因系统或人为错误遗失或损毁敏感数据

9.1.2

进行初步评估

在某事故确认为安全事故后，信息科技系统经理应判断事故的类型、评估事故的范围、破坏和影响，以便作出有效的应急措施。了解事故的类型有助确定处理事故的适当应急措施。此外，根据所造成的破坏和影响，还可立即采取一些预防或防卫措施。

附录D载录部分常见的安全事故类型，以及判断事故范围和影响的准则。

9.1.3

记录事故

信息科技系统经理记录所有安全事故、已采取的行动和行动结果。这些记录有助确认和评估事故，为检控提供证据，并为及后的事故处理阶段提供有用的资料。整个安全事故应急过程都应保留记录。

为事故设定编号有助在整个事故处理过程中作跟进和追踪。

事故记录最低限度应包括以下资料：

a. 系统事件和其它相关资料，例如审计日志

b. 已采取的所有行动，包括日期、时间和参与行动人员 c. 所有对外通讯，包括日期、时间、内容及有关各方

9.1.4

记录系统状况

在侦测到可疑活动后以最快的速度，并在技术和操作上可行的情况下记录受袭系统的状况。这些数据可防止攻击者销毁证据，并为日后的个案调查（例

如收集犯罪证据）提供了证据。所记录的系统数据可包括下列项目：

a. 服务器日志、网络日志、防火墙／路由器日志、访问记录等系统日志文件 b. 仍在进行活动的系统登录或网络连接及程序状态资料

c. 留下受袭系统影像，以供调查，并作为日后采取跟进行动的证据。

9.2

升级处理

事故应急的第二阶段是通知适当的人员，并根据既定的升级处理程序将事故提升到适当的级别。相关的信息系统的经理负责升级处理工作，信息安全事故应急小组的事故应急经理则负责整体协调。

在升级处理过程中，建议在描述事故时提供下列资料：

a. 简单描述事故：什么事故、事故在何时发生、系统如何受到攻击、所造成

的破坏／影响；

b. 说明攻击者（如有）是否仍在系统中活动；

c. 系统资料，例如系统名称、功能和主机名称、互联网规约地址、操作系统

及版本等其它技术资料；以及 d. 补充资料（如有需要），例如屏幕画面、系统讯息等。

在升级处理过程中提供的资料应明确简洁、准确而真实。提供不准确、误导或不完整的资料可能会妨碍应急程序，甚至令情况恶化。政策局／部门还须考虑可否对外提供某些敏感资料。

如果政策局／部门怀疑发生计算机罪案，应联络香港警务处商业罪案调查科科技罪案组。在向警方报告案件前，应事先征求信息安全事故应急小组高级管理层的意见和批准。假如该安全事故渉及个人资料时，政策局／部门必须尽快向个人资料私隐专员公署报告与及在切实可行范围内尽量通知受影响的有关人士。必须有充份理由并取得政策局／部门首长的批准，方可不作出以上报告。此外，如果需要向警方或个人资料私隐专员公署报告安全事故，政策局／部门应通知政府信息安全事故应急办事处，以便作集中记录和协调。

有关升级处理程序示例和有关安全事故升级处理程序的其它相关资料，请参阅附录C。政府安全事故报告及升级处理工作流程见附录E，以供参考。

9.3

遏制

事故应急的第三阶段是遏制。遏制的目的是限制事故的范围、严重程度和影响。有些事故，例如计算机病毒、蠕虫和恶意程序代码可迅速传播，并造成大规模破坏。因此，在事故造成进一步破坏前，必须限制事故的影响程度。

事先应厘定并在安全事故应急程序中列明，针对不同的事故应采取哪种应急策略和程序，以及投入什么不同的资源。如果需要采取关键行动，便可能须征求信息安全事故应急小组管理层的意见和批准（如有需要，信息安全事故

应急小组也可能需要咨询政府信息安全事故应急办事处的意见）。

这一阶段的工作包括：

a. 评估事故对系统数据和资料的影响，以确定有关的数据或资料是否已受事

故破坏或感染；

b. 保护敏感或关键数据和系统，例如将关键数据转移至与受袭系统或网络隔

开的其它介质（或其它系统）；

c. 决定是否须要暂停受袭系统的操作；

d. 留下受袭系统的当前记录，以供调查，并作为日后采取跟进行动的证据； e. 记录这一阶段采取的所有行动；以及

f. 检查通过共享网络服务或任何可信赖关系与受袭系统连接的系统。

9.3.1

决定是否须要暂停受袭系统的操作

有待作出的重要决定之一，是继续，还是终止受袭系统的操作和服务。这项决定在很大程度上取决于事故的类型和严重程度、系统要求、对公共服务和政策局／部门以至整个政府形象的影响，以及系统事故处理计划预定的目标和优先事项。

可采取的行动包括：

a. 暂时关闭或隔离受袭的主机或系统，以防止事故对互相连接的其它系统造

成进一步破坏。如事故是可快速传播的、存储敏感数据的计算机受到威胁，或为了防止受袭系统被利用向相连的系统发起攻击，就尤其应考虑暂时关闭系统；

b. 终止受袭服务器的操作； c. 关闭系统的部分功能；

d. 禁止用户访问或登录系统；

e. 继续操作以收集有关事故的证据。该行动只适用于可承受某程度服务中断

或数据受损风险的非关键任务系统，而且在处理时须格外小心，并加以严密监控。

9.4

杜绝

遏制后的下一个阶段是杜绝。杜绝是指从系统清除导致事故的肇因，例如从受感染的系统和介质清除计算机病毒。

在移除任何文件或终止／灭除任何程序前，宜收集所有必需的数据，包括所有日志文件、仍在进行活动的网络连接及程序状态资料。这将有助于为日后的调查收集证据，因为这些数据可能会在清理系统时被删除或重新设定。

9.4.1

可杜绝事故的行动

在杜绝阶段，政策局／部门可根据事故的类型和性质及系统要求，采取以下行动：

a. 终止黑客在系统中激活而仍在运行中的所有程序，以逼使黑客离开； b. 删除黑客建立的所有伪冒文件。系统操作员在删除文件前可能需要将伪冒

文件作备分，以便日后调查；

c. 清除黑客安装的所有后门程序（backdoors）和恶意程序； d. 采用补丁和修复程序修补在所有操作系统、服务器和网络设备等发现的安

全漏洞。在系统恢复正常操作前，应彻底测试所采用的修补或修理程序； e. 纠正系统和网络的不当设定，例如防火墙和路由器配置不当；

f. 如发生计算机病毒事故，应遵照抗计算机病毒软件供货商的指引，在适当

情况下从所有受感染的系统和介质清除恶意程序代码或计算机病毒； g. 确保备份未受感染，以免系统在下一阶段利用备份恢复系统时再度受到感

染；

h. 利用其它的安全工具，协助进行杜绝工作，例如利用安全扫描工具侦测入

侵，并采用建议的解决方案。确保使用具有最新入侵模式的安全工具； i. 更换可能被黑客访问的所有登录帐户的访问密码；

j. 在某些情况下，支持人员可能须将所有受感染的介质重新格式化，并利用

备份重新安装系统和数据，尤其是在不确定事故对关键系统造成破坏的严重程度，或难以完全清理系统之时；以及 k. 记录已采取的所有行动。

以上所列只是在处理安全事故时常见的措施示例。杜绝行动依据事故的性质及事故对受袭系统的影响而定。在某些情况下，政策局／部门可能须寻求外部机构（例如警方及／或香港电脑保安事故协调中心）的意见，并参考曾经处理类似事故的其它企业或政策局／部门的经验。此外还应寻求信息安全事故应急小组和政府信息安全事故应急办事处的意见和协调。

9.5

恢复

事故应急的第五阶段是恢复。本阶段的目的在于恢复系统的正常操作。恢复工作包括：

a. 如果是简单事故（例如入侵失败），应确保系统或数据没有受到事故的影

响或破坏；

b. 评估事故的破坏；

c. 必要时从可信赖的来源取得文件和数据以重新安装被删除／遭破坏的文

件或整个系统；

d. 在受控制的情况下，按照需求的缓急次序逐步恢复功能／服务，例如可优

先恢复最重要的服务或以大多数人为对象的服务； e. 检验恢复操作是否成功，系统是否已恢复正常操作；

f. 在恢复系统操作前，事先通知操作员、管理员、高级管理层和升级处理程

序所涉及的其他人士等所有相关人士； g. 关闭非必要服务；以及 h. 记录已采取的所有行动。

在系统恢复正常操作前，其中的一项重要工作是进行生产前安全评估，以确保受袭系统及其相关元件已安全。这项工作需要利用安全扫描工具，确定事故的问题根源已清除，同时找出系统内可能存在的任何其它安全漏洞。依据事故的严重程度和系统的服务水平要求，评估可集中处理某个领域，也可以涵盖整个系统。

在进行一切恢复工作前，必须取得信息安全事故应急小组高级管理层批准。如有需要，可寻求政府信息安全事故应急办事处的支持和意见。

10

事后跟进

系统恢复正常操作并不代表安全事故处理程序的结束。采取必要的跟进行动十分重要。跟进行动包括评估事故所造成的破坏、系统改良以防止再度发生事故、安全政策和程序更新及为日后的检控进行个案调查。

跟进行动可收以下效果：

a. b. c. d. e.

跟进行动包括：

a. b. c. d. e.

事故事后分析； 事故事后报告； 安全评估；

覆检现行的保护措施；以及 调查及检控。

改善事故应急程序；

改善安全措施，以保护系统日后免受攻击； 向违法者提出检控；

有助他人认识安全事故应急程序；以及 有助参与事故应急的各方人士吸取教训。

10.1

事故事后分析

事故事后分析是对事故及事故应急措施的分析，以作为日后的参考。这项分析有助更深入地了解系统受到的威胁及可能存在的安全漏洞，以便采取更有效的保障措施。

分析的范围包括：

a. b. c. d. e. f. g.

防止再度受攻击的建议行动；

在事故应急时，须迅速取得的资料及获取有关资料的方法； 供侦测及杜绝程序所用或所需的额外工具； 准备和应急措施的足够程度； 沟通的足够程度； 实际困难；

事故的破坏，当中包括： i. 处理事故所需的人力消耗 ii. 金钱成本

iii. 中断操作的损失

iv. 遗失或遭破坏的数据、软件和硬件，包括被泄露的敏感数据 v. 受托保密数据的法律责任 vi. 难堪或丧失信誉 h. 吸取的其它教训。

10.2

事故事后报告

根据事故分析所编制的事故事后报告，应概述事故、应急、恢复行动、破坏和吸取的教训。相关信息系统的经理负责编制报告，并提交信息安全事故应急小组作参考，以便日后及时采取预防措施，避免其它政府系统和服务再度发生同类安全事故。

事故事后报告应包括下列项目：

a. 事故的类型、范围和程度；

b. 事故的详情：攻击的来源、时间和可能方法及发现攻击的方法等；

c. 概述受攻击的系统，包括系统范围及功能、技术资料（例如系统硬件、软

件和操作系统，以及版本、网络体系结构及程序编制语言等）； d. 事故应急及杜绝方法； e. 恢复程序；以及 f. 吸取的其它教训。

事故事后报告应在成功恢复系统后的一周内提交予政府信息安全事故应急办事处。安全事故报告样本见附录B第3节，以供参考。

10.3

安全评估

可能受到安全风险威胁的系统宜定期进行安全风险评估和审计，尤其是曾经受安全事故影响的系统。安全覆检及系统审计应持续进行，以便及时发现可能存在的安全漏洞及／或因应安全保护措施及攻击／入侵科技的发展，而须作出的系统改善。

在发生安全事故时收集的资料亦有助于事后安全评估，对找出系统的安全漏洞和安全威胁尤其有用。

10.4

覆检现行保护措施

根据事故事后分析与定期安全评估所得出的结果，可确定应对系统的安全政策、程序和保护机制作出哪些改善。科技发展一日千里，所以必须定期更新安全相关政策、程序和保护机制，以确保整体安全保护措施对计算机系统的效用。在进行事故事后分析时，如有需要应覆检和修订政策、程序和指南，以配合预防措施。

10.5

调查及检控

在适当的情况下，还必须对引起事故的个人采取个案调查、纪律处分或法律检控等行动。

如怀疑事故已构成刑事犯罪行，则应向香港警务处商业罪案调查科科技罪案组报告，以便展开调查和收集证据。在向警方报告案件前，应事先征求信息安全事故应急小组高级管理层的意见和批准。此外，如果需要向警方报告安全事故，政策局／部门应通知政府信息安全事故应急办事处，以便作集中记录和协调。

***完***

附录A — 安全事故处理准备工作清单 A.1 安全事故处理准备工作清单样本

1 2 3 4 项目

安全事故处理计划 报告程序

升级处理程序

安全事故应急程序

详情

进展情况 为安全事故处理制定计划

设计及准备报告机制

向全体人员颁布报告机制

收集需要联络／参与工作的全体人员（内部 和外部）的联络资料

准备升级处理程序

向参与工作的全体人员颁布升级处理程序

准备安全事故应急程序

向参与工作的全体人员颁布安全事故应急 程序

向操作及支持人员提供有关安全事故处理 的培训

确保各人员熟习事故应急程序

安装防火墙设备和访问控制措施，以保护重 要的系统和数据资源 安装抗计算机病毒、恶意程序代码侦测及修 复软件和内容过滤工具，定期进行扫描并更新病毒识别码

安装监察工具，例如入侵侦测软件

开启系统及网络设备的审计日志功能

5 培训与教育

6 事故监察措施

附录B — 报告程序 B.1 报告机制建议

电话热线

这是最便利和快捷的报告事故途径。部分系统可能已设有专门处理查询及／或安全事故报告的电话热线。

如果系统需要日夜不停运作，便可能需要以24小时电话热线服务支持。

传真

以传真报告事故是电话热线报告以外的另一个有效机制，尤其适用于当有需要提交详细资料，而这些资料又无法在电话清晰准确地提供。用来报告事故的传真机应有人负责收发传真，如有专人负责收发则更佳。此外，政策局／部门还应特别注意处理传真报告，以免将事故资料泄露予未获授权人士。

电子邮件

通过电子邮件报告事故也是个有效的途径。然而，如果发生属于网络攻击或针对电子邮件系统的事故，以电子邮件报告的途径便会受到影响。在某些情况下，电子邮件系统被黑客破解，使黑客能够截获电子邮件而有所提防。解决这个问题的对策包括为电子邮件加密，或采用其它的报告途径，例如电话或传真。

亲自报告

这个办法没有效率，而且还会构成不便。除非必须由报告事故的人员提供详细资料或当面与报告事故的人员讨论事故，或事故地点与接受事故报告联络人的所在地十分接近，否则应避免采取亲自报告的方式。

B.2

信息安全事故初步报告表

背景资料

政策局／部门名称：

概述受影响的系统（例如功能、网址等）：

受影响系统的位置：