網(wǎng)絡與信息安全應急預案--提供.doc

XXX網(wǎng)絡與信息安全應急預案編號: CZSMK-YJ-1106-001版本：1.0.0密級：機密XXX公司網(wǎng)絡與信息安全應急預案V1.0XXX公司2011年6月目錄一、總則2（一）編制目的3（二）編制依據(jù)3（三）適用范圍3（四）工作原則3二、組織機構3三、預警預防機制4（一）信息系統(tǒng)概述41、業(yè)務系統(tǒng)42、XX市XXX計算機信息網(wǎng)絡拓撲圖43、設備配置表4（二）事件分類及分級5（三）監(jiān)控與預警信息報送5（四）預警響應5（五）預警解除5四、應急措施5（一）信息報告5（二）先期處理6（三）應急處理61、電力系統(tǒng)故障的應急處理流程62、消防系統(tǒng)應急處理流程63、網(wǎng)絡中斷緊急處理流程64、黑客攻擊的應急處理流程75、大規(guī)模病毒（含惡意軟件）攻擊的應急處理76、軟件系統(tǒng)故障的應急處理流程77、數(shù)據(jù)庫系統(tǒng)故障的應急處理流程88、設備硬件故障的應急處理流程89、應急故障處理流程圖8（四）后期處理91、善后處理92、調查和評估9一、 總則（一） 編制目的建立健全的XXX公司網(wǎng)絡與信息安全事件的預防和應急處理工作機制，提高對網(wǎng)絡與信息安全事件能力，保障XXX公司網(wǎng)絡和重要信息系統(tǒng)安全的運行，編制本預案。（二） 編制依據(jù)依據(jù)中華人民共和國國家安全法、中華人民共和國電信條例、中華人民共和國無線電管理條例、中華人民共和國計算機信息系統(tǒng)安全保護條例、國家突發(fā)公共事件總體應急預案、國家通信保障應急預案、江蘇省網(wǎng)絡與信息安全事件應急預案等（三） 適用范圍本預案適用于江蘇省XX市XXX信息系統(tǒng)發(fā)生網(wǎng)絡與信息安全事件的預防和應急處理工作。（四） 工作原則統(tǒng)一領導，分級負責；以人為本，預防為主；依法規(guī)范，加強管理；依靠科技，資源整合；快速反應，協(xié)同合作。二、 組織機構（一） XX市XXX公司負責本地XXX系統(tǒng)網(wǎng)絡與信息安全工作的組織、管理、協(xié)調和實施工作，負責本地信息系統(tǒng)的監(jiān)測、預警和應急處理。（二） 聯(lián)創(chuàng)開發(fā)二部，負責為XXX公司的網(wǎng)絡與信息安全突發(fā)事件的監(jiān)測、預警和應急處理工作提供技術支持，并參與重要信息的研判、事件調查和總結評估工作。（三） 組建網(wǎng)絡與信息安全事件專家處理小組，并與相關信息安全服務機構建立聯(lián)絡機制，為應急處理工作提供決策建議和技術指導，必要時參與網(wǎng)絡與信息安全事件的應急處理。（四） 組織機構圖三、 預警預防機制（一） 事件分類及分級根據(jù)網(wǎng)路與信息安全突發(fā)事件的性質、機理和發(fā)生過程，XXX公司網(wǎng)絡與信息安全事件分為有害程序事件、網(wǎng)絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障和災害性事件等。根據(jù)網(wǎng)路與信息安全突發(fā)事件的可控性、嚴重程度和影響范圍，參照我省網(wǎng)絡與信息安全事件分級標準，XX市XXX網(wǎng)絡與信息安全事件分為四級：I級（特別重大網(wǎng)絡與信息安全事件）、II級（重大網(wǎng)絡與信息安全事件）、III級（較大網(wǎng)絡與信息安全事件）、IV級（一般網(wǎng)絡與信息安全事件）。（二） 監(jiān)控與預警信息報送XXX公司承擔網(wǎng)路與信息安全監(jiān)測工作。各部門發(fā)現(xiàn)網(wǎng)絡與信息安全預警信息，應及時通知技術部。技術部會進行處判，提出預警等級建議，遇到有可能造成嚴重后果的I 至III級信息安全預警事件，還應按相關規(guī)定提報領導審查后發(fā)出預警。（三） 預警響應技術部安全員應保持24小時通信暢通。接到預警信息后，應立即啟動應急預案，進入預警狀態(tài)，加強值班值守工作，做好應急處理各項準備工作。（四） 預警解除I 至III級預警解除后根據(jù)相關部門要求，經向領導請示同意以后，及時進行解除安全事件預警。四、 應急措施（一） 信息報告發(fā)生網(wǎng)絡與信息安全事件后，技術部安全員立即部門負責人，并通知相關業(yè)務部門。技術部和有關單位進行研判后，保存證據(jù)，檢查影響范圍和危害程度，提出應急處理建議，報分管領導同意后啟動應急預案。遇到有可能造成嚴重后果的I至III級信息安全事件，還應按相關規(guī)定及時上報相關業(yè)務單位。（二） 先期處理當發(fā)生網(wǎng)路與信息安全突發(fā)事件時，相關工作人員做好先期應急處理工作，采取措施控制事態(tài)，必要時采用斷網(wǎng)、關閉服務器等方式防止事態(tài)進一步擴大。根據(jù)突發(fā)事件發(fā)展事態(tài)，技術部應組織設備廠商、系統(tǒng)開發(fā)商及安全服務商等應急支援力量，保存證據(jù)，做好應急處理工作。（三） 應急處理1、 電力系統(tǒng)故障的應急處理流程（1） 外電中斷后，技術部值班人員應立即檢查中心機房UPS電源是否正常供電，并查明中斷原因，及時向技術部負責人報告。（2） 如因樓內線路故障，要求物業(yè)管理部門迅速恢復供電。（3） 如因供電部門因素導致供電中斷，立即向供電部門聯(lián)系，請供電部門迅速恢復供電。（4） 如告知需要長時間停電，應作如下安排：預計停電1小時以內，由UPS供電；預計停電1小時以上2小時以內，關掉非關鍵設備，確保各主機、路由器、交換機供電。預計停電超過2小時候，在設備運行1小時候關掉所有機器設備。（5） 電力系統(tǒng)恢復供電后，技術部管理人員按照規(guī)定流程開啟相關設備。2、 消防系統(tǒng)應急處理流程當出現(xiàn)火情、火災時，發(fā)現(xiàn)人員應在最短時間內通知信息部安全員，并通知技術部及分管相關領導，通報物業(yè)管理部門。若火情嚴重時，應迅速撥打119電話報警，并盡可能采取一些簡單可行的方法做初步的處理，如：科學使用周圍的滅火器材或采用其他滅火措施、手段。在滅火的同時，立即疏散災情范圍的工作人員。進展情況隨時向技術部及分管領導報告。3、 網(wǎng)絡中斷緊急處理流程（1） 故障排查。網(wǎng)絡中斷后，技術部技術人員要迅速判斷故障節(jié)點，查明故障原因。（2） 故障排除。如屬線路故障，應重新安裝線路。如屬路由器、交換機等網(wǎng)絡設備故障，技術部技術人員立即檢修并調試通暢。如路由器、交換機配置文件破壞，信息安全員應迅速按照要求重新配置，調試通暢。必要時，請有關技術單位協(xié)助調測暢通。如需更換設備，應上報分管領導，經批準后馬上更換故障設備，盡快恢復系統(tǒng)運行。如發(fā)現(xiàn)屬于外部線路的問題，應與線路運營商聯(lián)系，敦促盡快恢復故障線路。技術部無法及時修理時，應立即通知相關供應商及維護人員，在最短時間內安排修理。4、 黑客攻擊的應急處理流程（1） 當發(fā)現(xiàn)網(wǎng)絡上有黑客攻擊行為時，應立即向信息安全員通報情況，并向分管領導報告。（2） 信息安全員應立即趕到現(xiàn)場，將被攻擊的服務器等設備從網(wǎng)絡中隔離出來，保護現(xiàn)場。（3） 如事態(tài)較為嚴重，經向分管領導請示后，立即向公安部門報警，配合公安部門展開調查。（4） 技術部技術人員做好被攻擊或破壞系統(tǒng)的恢復與重建工作。（5） 技術部負責組織技術力量追查非法信息來源。（6） 信息安全員將實施事件處理的過程和結果備案存檔，必要時向分管領導匯報。5、 大規(guī)模病毒（含惡意軟件）攻擊的應急處理（1） 當發(fā)現(xiàn)有計算機被感染上病毒后，計算機使用人員應立即使用殺毒軟件對計算機殺毒，并通知技術部。技術部技術人員應及時將該機從網(wǎng)絡上隔離開來，并及時趕到現(xiàn)場。（2） 技術人員對該設備的硬盤進行數(shù)據(jù)備份。（3） 技術人員啟用反病毒軟件對該機進行殺毒處理，并對相關機器進行病毒掃描和清除工作。（4） 如發(fā)現(xiàn)反病毒軟件無法清除該病毒，應向技術部領導匯報，有技術部組織相關技術人員研究解決。（5） 情況較為嚴重的，還應及時向有關分管領導報告，并向公安部門報警，配合公安部門展開調查。6、 軟件系統(tǒng)故障的應急處理流程（1） 軟件系統(tǒng)平時必須存有備份，與軟件系統(tǒng)相對應的數(shù)據(jù)必須有多日的備份；并將它們保存與安全處。（2） 軟件系統(tǒng)發(fā)生故障后，技術人員應立即向技術總監(jiān)或總經理室匯報，經確認后停止該系統(tǒng)的運行并切換至備份系統(tǒng)，保證業(yè)務正常進行。（3） 技術部及時組織本部門技術人員，并同時通知XX市研發(fā)人員等技術力量做好軟件系統(tǒng)和有關數(shù)據(jù)的恢復工作。（4） 信息安全員檢查日志等資料，確定故障原因。（5） 技術部會同技術中心相關人員將實施處理的過程和結果備案存檔，并向有關領導匯報。7、 數(shù)據(jù)庫系統(tǒng)故障的應急處理流程（1） 數(shù)據(jù)庫系統(tǒng)每日必須存有備份，與軟件系統(tǒng)相對應的數(shù)據(jù)必須有多日的備份；并將它們保存與安全處。（2） 數(shù)據(jù)庫系統(tǒng)發(fā)生故障以后，技術人員立即向技術總監(jiān)或總經理室匯報，經同意后采用重啟或其他手段盡快恢復數(shù)據(jù)庫運行，保證業(yè)務不中斷。（3） 技術部及時組織本地技術人員，并同時通知XX市研發(fā)人員等技術力量做好數(shù)據(jù)庫系統(tǒng)切換和有關數(shù)據(jù)的恢復工作。（4） 信息安全員檢查日志等資料，確定故障原因。（5） 技術部會同技術中心相關人員將實施處理的過程和結果備案存檔，并向有關領導匯報。8、 設備硬件故障的應急處理流程（1） 小型機、服務器等關鍵設備損壞后，技術人員應立即向技術部負責人報告。（2） 技術部負責人立即組織技術人員查明原因。聯(lián)系維保單位更換受損部件。（3） 如果設備一時不能修復，應向分管領導匯報，并告知各部門暫緩上傳上報數(shù)據(jù)。9、 應急故障處理流程圖（四） 后期處理1、 善后處理應急處理工作結束后，技術部應迅速采取措施，抓緊組織搶修受損的基礎設施，減少損失，盡快恢復正常工作，統(tǒng)計各種數(shù)據(jù)，查明原因，對事件造成的損失和影響以及恢復重建能力進行分析評估，真正制定恢復重建計劃，迅速組織實施。2、 調查和評估應急處理工作結束后，技術部，立即組織有關人員，專家組，會同技術中心成立事件調查小組，對事件發(fā)生及其處理過程進行全面的調查，查清事件發(fā)生的原因及財產損失狀況并總結經驗教訓，寫出調查評估報告。五、 應急培訓和演練1. 培訓應該對系統(tǒng)相關的人員進行培訓使他們知道如何以及何時使用應急計劃中的控制手段及恢復策略。對應急計劃的培訓至少每年舉辦一次；擁有計劃規(guī)定職責的新雇員應該在被雇用后接受短期培訓。和應急計劃相關的人員所接受的培訓最終應該使得他們能夠無需實際文檔的協(xié)助就能夠執(zhí)行相應的恢復規(guī)程。應急計劃相關人員培訓主要包括以下內容：計劃的目的；團隊之間的協(xié)調與溝通；匯報規(guī)程；個人職責。2. 演練為保證應急行動的能力，應每年至少組織一次應急行動演練，以提高處理應急事件的能力，檢驗物資器材的完好情況。應急響應演練按如下步驟進行：1）首先，由系統(tǒng)主管單位確定應急響應演練的目標和應急響應演練的范圍；2）按系統(tǒng)主管單位的要求，信息安全管理小組制定應急響應演練的方案，并調配應急響應演練所需的各項資源，在必要時，由系統(tǒng)主管單位協(xié)調應急響應演練過程中涉及的部門和單位； 3）信息安全管理小組組織相關部門和單位進行應急響應演練；4）系統(tǒng)主管單位對應急演練進行評估，并通報應急響應演練結果；5）系統(tǒng)主管單位總結經驗，根據(jù)演練結果對應急預案的更新，并對本單位的應急工作進行整改；在每次應急響應過程結束之后，信息安全管理小組應針對應急響應工作過程中遇到的問題，分析應急響應預案的科學性和合理性，針對預案中的問題向系統(tǒng)主管單位提出修改建議。系統(tǒng)主管單位組織人員對修改意見進行評估，修改后的預案應經評估通過后，發(fā)布實施。在上級應急計劃或相關的法律標準修改后，本預案應進行調整與其保持一致。附件：網(wǎng)絡與信息安全事件應急培訓記錄表培訓日期演講人員演講主題參與人員演講內容網(wǎng)絡與信息安全事件記錄表日期事件發(fā)生原因處理辦法處理結果操作人員審核人員網(wǎng)絡與信息安全事件應急預案摘要表一、應急領導小組成員姓名職位聯(lián)系方式應急角色領導小組組長應急事件技術處理、協(xié)調應急事件業(yè)務處理、協(xié)調系統(tǒng)技術支撐、處理和協(xié)調對外信息披露、通報二、應急支撐力量（包含系統(tǒng)運營、開發(fā)、技術支持專家等）姓名單位聯(lián)系方式應急角色通訊保障業(yè)務問題評估、恢復重建信息安全員運維支撐系統(tǒng)技術支撐三、軟硬件服務維保方序號設備維保方聯(lián)系人聯(lián)系電話1安全服務2小型機、存儲陣列3UPS不間斷電源4防火墻、路由器、交換機各業(yè)務服務器硬件維修維護5各業(yè)務軟件維護6通信網(wǎng)絡故障四、事件與先期處理預判可能事件處置手段簡述電力系統(tǒng)故障啟動后被電力系統(tǒng)，根據(jù)UPS供電能力，保證關鍵設備用電。硬件故障聯(lián)系設備維保單位，提供備件。軟件系統(tǒng)故障聯(lián)系軟件系統(tǒng)開發(fā)單位，先進性數(shù)據(jù)備份，排除系統(tǒng)故障。數(shù)據(jù)庫系統(tǒng)故障聯(lián)系系統(tǒng)實施人員，先進行數(shù)據(jù)備份，排除系統(tǒng)故障。網(wǎng)絡故障聯(lián)系系統(tǒng)集成商，排除網(wǎng)絡故障線路故障聯(lián)系ISP服務提供商，檢查線路。網(wǎng)站被篡改聯(lián)系技術人員，采取技術措施阻斷對被篡改頁面的訪問，保護日志和相關文件，匯報信息安全主管部門，向公安部門報案。計算機病毒、木馬聯(lián)系技術人員，利用專業(yè)工具清除病毒和木馬，匯報信息安全主管部門。網(wǎng)絡攻擊事件聯(lián)系技術人員，采取技術措施恢復系統(tǒng)，保護日志和相關文件，并加強系統(tǒng)防御措施，匯報信息安全主管部門，向公安部門報案。信息泄露事件聯(lián)系安全服務部門，采取技術措施防止信息泄露