網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案--提供.doc

XXX網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案編號: CZSMK-YJ-1106-001版本：1.0.0密級：機(jī)密XXX公司網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案V1.0XXX公司2011年6月目錄一、總則2（一）編制目的3（二）編制依據(jù)3（三）適用范圍3（四）工作原則3二、組織機(jī)構(gòu)3三、預(yù)警預(yù)防機(jī)制4（一）信息系統(tǒng)概述41、業(yè)務(wù)系統(tǒng)42、XX市XXX計算機(jī)信息網(wǎng)絡(luò)拓?fù)鋱D43、設(shè)備配置表4（二）事件分類及分級5（三）監(jiān)控與預(yù)警信息報送5（四）預(yù)警響應(yīng)5（五）預(yù)警解除5四、應(yīng)急措施5（一）信息報告5（二）先期處理6（三）應(yīng)急處理61、電力系統(tǒng)故障的應(yīng)急處理流程62、消防系統(tǒng)應(yīng)急處理流程63、網(wǎng)絡(luò)中斷緊急處理流程64、黑客攻擊的應(yīng)急處理流程75、大規(guī)模病毒（含惡意軟件）攻擊的應(yīng)急處理76、軟件系統(tǒng)故障的應(yīng)急處理流程77、數(shù)據(jù)庫系統(tǒng)故障的應(yīng)急處理流程88、設(shè)備硬件故障的應(yīng)急處理流程89、應(yīng)急故障處理流程圖8（四）后期處理91、善后處理92、調(diào)查和評估9一、 總則（一） 編制目的建立健全的XXX公司網(wǎng)絡(luò)與信息安全事件的預(yù)防和應(yīng)急處理工作機(jī)制，提高對網(wǎng)絡(luò)與信息安全事件能力，保障XXX公司網(wǎng)絡(luò)和重要信息系統(tǒng)安全的運(yùn)行，編制本預(yù)案。（二） 編制依據(jù)依據(jù)中華人民共和國國家安全法、中華人民共和國電信條例、中華人民共和國無線電管理條例、中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例、國家突發(fā)公共事件總體應(yīng)急預(yù)案、國家通信保障應(yīng)急預(yù)案、江蘇省網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案等（三） 適用范圍本預(yù)案適用于江蘇省XX市XXX信息系統(tǒng)發(fā)生網(wǎng)絡(luò)與信息安全事件的預(yù)防和應(yīng)急處理工作。（四） 工作原則統(tǒng)一領(lǐng)導(dǎo)，分級負(fù)責(zé)；以人為本，預(yù)防為主；依法規(guī)范，加強(qiáng)管理；依靠科技，資源整合；快速反應(yīng)，協(xié)同合作。二、 組織機(jī)構(gòu)（一） XX市XXX公司負(fù)責(zé)本地XXX系統(tǒng)網(wǎng)絡(luò)與信息安全工作的組織、管理、協(xié)調(diào)和實(shí)施工作，負(fù)責(zé)本地信息系統(tǒng)的監(jiān)測、預(yù)警和應(yīng)急處理。（二） 聯(lián)創(chuàng)開發(fā)二部，負(fù)責(zé)為XXX公司的網(wǎng)絡(luò)與信息安全突發(fā)事件的監(jiān)測、預(yù)警和應(yīng)急處理工作提供技術(shù)支持，并參與重要信息的研判、事件調(diào)查和總結(jié)評估工作。（三） 組建網(wǎng)絡(luò)與信息安全事件專家處理小組，并與相關(guān)信息安全服務(wù)機(jī)構(gòu)建立聯(lián)絡(luò)機(jī)制，為應(yīng)急處理工作提供決策建議和技術(shù)指導(dǎo)，必要時參與網(wǎng)絡(luò)與信息安全事件的應(yīng)急處理。（四） 組織機(jī)構(gòu)圖三、 預(yù)警預(yù)防機(jī)制（一） 事件分類及分級根據(jù)網(wǎng)路與信息安全突發(fā)事件的性質(zhì)、機(jī)理和發(fā)生過程，XXX公司網(wǎng)絡(luò)與信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障和災(zāi)害性事件等。根據(jù)網(wǎng)路與信息安全突發(fā)事件的可控性、嚴(yán)重程度和影響范圍，參照我省網(wǎng)絡(luò)與信息安全事件分級標(biāo)準(zhǔn)，XX市XXX網(wǎng)絡(luò)與信息安全事件分為四級：I級（特別重大網(wǎng)絡(luò)與信息安全事件）、II級（重大網(wǎng)絡(luò)與信息安全事件）、III級（較大網(wǎng)絡(luò)與信息安全事件）、IV級（一般網(wǎng)絡(luò)與信息安全事件）。（二） 監(jiān)控與預(yù)警信息報送XXX公司承擔(dān)網(wǎng)路與信息安全監(jiān)測工作。各部門發(fā)現(xiàn)網(wǎng)絡(luò)與信息安全預(yù)警信息，應(yīng)及時通知技術(shù)部。技術(shù)部會進(jìn)行處判，提出預(yù)警等級建議，遇到有可能造成嚴(yán)重后果的I 至III級信息安全預(yù)警事件，還應(yīng)按相關(guān)規(guī)定提報領(lǐng)導(dǎo)審查后發(fā)出預(yù)警。（三） 預(yù)警響應(yīng)技術(shù)部安全員應(yīng)保持24小時通信暢通。接到預(yù)警信息后，應(yīng)立即啟動應(yīng)急預(yù)案，進(jìn)入預(yù)警狀態(tài)，加強(qiáng)值班值守工作，做好應(yīng)急處理各項準(zhǔn)備工作。（四） 預(yù)警解除I 至III級預(yù)警解除后根據(jù)相關(guān)部門要求，經(jīng)向領(lǐng)導(dǎo)請示同意以后，及時進(jìn)行解除安全事件預(yù)警。四、 應(yīng)急措施（一） 信息報告發(fā)生網(wǎng)絡(luò)與信息安全事件后，技術(shù)部安全員立即部門負(fù)責(zé)人，并通知相關(guān)業(yè)務(wù)部門。技術(shù)部和有關(guān)單位進(jìn)行研判后，保存證據(jù)，檢查影響范圍和危害程度，提出應(yīng)急處理建議，報分管領(lǐng)導(dǎo)同意后啟動應(yīng)急預(yù)案。遇到有可能造成嚴(yán)重后果的I至III級信息安全事件，還應(yīng)按相關(guān)規(guī)定及時上報相關(guān)業(yè)務(wù)單位。（二） 先期處理當(dāng)發(fā)生網(wǎng)路與信息安全突發(fā)事件時，相關(guān)工作人員做好先期應(yīng)急處理工作，采取措施控制事態(tài)，必要時采用斷網(wǎng)、關(guān)閉服務(wù)器等方式防止事態(tài)進(jìn)一步擴(kuò)大。根據(jù)突發(fā)事件發(fā)展事態(tài)，技術(shù)部應(yīng)組織設(shè)備廠商、系統(tǒng)開發(fā)商及安全服務(wù)商等應(yīng)急支援力量，保存證據(jù)，做好應(yīng)急處理工作。（三） 應(yīng)急處理1、 電力系統(tǒng)故障的應(yīng)急處理流程（1） 外電中斷后，技術(shù)部值班人員應(yīng)立即檢查中心機(jī)房UPS電源是否正常供電，并查明中斷原因，及時向技術(shù)部負(fù)責(zé)人報告。（2） 如因樓內(nèi)線路故障，要求物業(yè)管理部門迅速恢復(fù)供電。（3） 如因供電部門因素導(dǎo)致供電中斷，立即向供電部門聯(lián)系，請供電部門迅速恢復(fù)供電。（4） 如告知需要長時間停電，應(yīng)作如下安排：預(yù)計停電1小時以內(nèi)，由UPS供電；預(yù)計停電1小時以上2小時以內(nèi)，關(guān)掉非關(guān)鍵設(shè)備，確保各主機(jī)、路由器、交換機(jī)供電。預(yù)計停電超過2小時候，在設(shè)備運(yùn)行1小時候關(guān)掉所有機(jī)器設(shè)備。（5） 電力系統(tǒng)恢復(fù)供電后，技術(shù)部管理人員按照規(guī)定流程開啟相關(guān)設(shè)備。2、 消防系統(tǒng)應(yīng)急處理流程當(dāng)出現(xiàn)火情、火災(zāi)時，發(fā)現(xiàn)人員應(yīng)在最短時間內(nèi)通知信息部安全員，并通知技術(shù)部及分管相關(guān)領(lǐng)導(dǎo)，通報物業(yè)管理部門。若火情嚴(yán)重時，應(yīng)迅速撥打119電話報警，并盡可能采取一些簡單可行的方法做初步的處理，如：科學(xué)使用周圍的滅火器材或采用其他滅火措施、手段。在滅火的同時，立即疏散災(zāi)情范圍的工作人員。進(jìn)展情況隨時向技術(shù)部及分管領(lǐng)導(dǎo)報告。3、 網(wǎng)絡(luò)中斷緊急處理流程（1） 故障排查。網(wǎng)絡(luò)中斷后，技術(shù)部技術(shù)人員要迅速判斷故障節(jié)點(diǎn)，查明故障原因。（2） 故障排除。如屬線路故障，應(yīng)重新安裝線路。如屬路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備故障，技術(shù)部技術(shù)人員立即檢修并調(diào)試通暢。如路由器、交換機(jī)配置文件破壞，信息安全員應(yīng)迅速按照要求重新配置，調(diào)試通暢。必要時，請有關(guān)技術(shù)單位協(xié)助調(diào)測暢通。如需更換設(shè)備，應(yīng)上報分管領(lǐng)導(dǎo)，經(jīng)批準(zhǔn)后馬上更換故障設(shè)備，盡快恢復(fù)系統(tǒng)運(yùn)行。如發(fā)現(xiàn)屬于外部線路的問題，應(yīng)與線路運(yùn)營商聯(lián)系，敦促盡快恢復(fù)故障線路。技術(shù)部無法及時修理時，應(yīng)立即通知相關(guān)供應(yīng)商及維護(hù)人員，在最短時間內(nèi)安排修理。4、 黑客攻擊的應(yīng)急處理流程（1） 當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)上有黑客攻擊行為時，應(yīng)立即向信息安全員通報情況，并向分管領(lǐng)導(dǎo)報告。（2） 信息安全員應(yīng)立即趕到現(xiàn)場，將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來，保護(hù)現(xiàn)場。（3） 如事態(tài)較為嚴(yán)重，經(jīng)向分管領(lǐng)導(dǎo)請示后，立即向公安部門報警，配合公安部門展開調(diào)查。（4） 技術(shù)部技術(shù)人員做好被攻擊或破壞系統(tǒng)的恢復(fù)與重建工作。（5） 技術(shù)部負(fù)責(zé)組織技術(shù)力量追查非法信息來源。（6） 信息安全員將實(shí)施事件處理的過程和結(jié)果備案存檔，必要時向分管領(lǐng)導(dǎo)匯報。5、 大規(guī)模病毒（含惡意軟件）攻擊的應(yīng)急處理（1） 當(dāng)發(fā)現(xiàn)有計算機(jī)被感染上病毒后，計算機(jī)使用人員應(yīng)立即使用殺毒軟件對計算機(jī)殺毒，并通知技術(shù)部。技術(shù)部技術(shù)人員應(yīng)及時將該機(jī)從網(wǎng)絡(luò)上隔離開來，并及時趕到現(xiàn)場。（2） 技術(shù)人員對該設(shè)備的硬盤進(jìn)行數(shù)據(jù)備份。（3） 技術(shù)人員啟用反病毒軟件對該機(jī)進(jìn)行殺毒處理，并對相關(guān)機(jī)器進(jìn)行病毒掃描和清除工作。（4） 如發(fā)現(xiàn)反病毒軟件無法清除該病毒，應(yīng)向技術(shù)部領(lǐng)導(dǎo)匯報，有技術(shù)部組織相關(guān)技術(shù)人員研究解決。（5） 情況較為嚴(yán)重的，還應(yīng)及時向有關(guān)分管領(lǐng)導(dǎo)報告，并向公安部門報警，配合公安部門展開調(diào)查。6、 軟件系統(tǒng)故障的應(yīng)急處理流程（1） 軟件系統(tǒng)平時必須存有備份，與軟件系統(tǒng)相對應(yīng)的數(shù)據(jù)必須有多日的備份；并將它們保存與安全處。（2） 軟件系統(tǒng)發(fā)生故障后，技術(shù)人員應(yīng)立即向技術(shù)總監(jiān)或總經(jīng)理室匯報，經(jīng)確認(rèn)后停止該系統(tǒng)的運(yùn)行并切換至備份系統(tǒng)，保證業(yè)務(wù)正常進(jìn)行。（3） 技術(shù)部及時組織本部門技術(shù)人員，并同時通知XX市研發(fā)人員等技術(shù)力量做好軟件系統(tǒng)和有關(guān)數(shù)據(jù)的恢復(fù)工作。（4） 信息安全員檢查日志等資料，確定故障原因。（5） 技術(shù)部會同技術(shù)中心相關(guān)人員將實(shí)施處理的過程和結(jié)果備案存檔，并向有關(guān)領(lǐng)導(dǎo)匯報。7、 數(shù)據(jù)庫系統(tǒng)故障的應(yīng)急處理流程（1） 數(shù)據(jù)庫系統(tǒng)每日必須存有備份，與軟件系統(tǒng)相對應(yīng)的數(shù)據(jù)必須有多日的備份；并將它們保存與安全處。（2） 數(shù)據(jù)庫系統(tǒng)發(fā)生故障以后，技術(shù)人員立即向技術(shù)總監(jiān)或總經(jīng)理室匯報，經(jīng)同意后采用重啟或其他手段盡快恢復(fù)數(shù)據(jù)庫運(yùn)行，保證業(yè)務(wù)不中斷。（3） 技術(shù)部及時組織本地技術(shù)人員，并同時通知XX市研發(fā)人員等技術(shù)力量做好數(shù)據(jù)庫系統(tǒng)切換和有關(guān)數(shù)據(jù)的恢復(fù)工作。（4） 信息安全員檢查日志等資料，確定故障原因。（5） 技術(shù)部會同技術(shù)中心相關(guān)人員將實(shí)施處理的過程和結(jié)果備案存檔，并向有關(guān)領(lǐng)導(dǎo)匯報。8、 設(shè)備硬件故障的應(yīng)急處理流程（1） 小型機(jī)、服務(wù)器等關(guān)鍵設(shè)備損壞后，技術(shù)人員應(yīng)立即向技術(shù)部負(fù)責(zé)人報告。（2） 技術(shù)部負(fù)責(zé)人立即組織技術(shù)人員查明原因。聯(lián)系維保單位更換受損部件。（3） 如果設(shè)備一時不能修復(fù)，應(yīng)向分管領(lǐng)導(dǎo)匯報，并告知各部門暫緩上傳上報數(shù)據(jù)。9、 應(yīng)急故障處理流程圖（四） 后期處理1、 善后處理應(yīng)急處理工作結(jié)束后，技術(shù)部應(yīng)迅速采取措施，抓緊組織搶修受損的基礎(chǔ)設(shè)施，減少損失，盡快恢復(fù)正常工作，統(tǒng)計各種數(shù)據(jù)，查明原因，對事件造成的損失和影響以及恢復(fù)重建能力進(jìn)行分析評估，真正制定恢復(fù)重建計劃，迅速組織實(shí)施。2、 調(diào)查和評估應(yīng)急處理工作結(jié)束后，技術(shù)部，立即組織有關(guān)人員，專家組，會同技術(shù)中心成立事件調(diào)查小組，對事件發(fā)生及其處理過程進(jìn)行全面的調(diào)查，查清事件發(fā)生的原因及財產(chǎn)損失狀況并總結(jié)經(jīng)驗教訓(xùn)，寫出調(diào)查評估報告。五、 應(yīng)急培訓(xùn)和演練1. 培訓(xùn)應(yīng)該對系統(tǒng)相關(guān)的人員進(jìn)行培訓(xùn)使他們知道如何以及何時使用應(yīng)急計劃中的控制手段及恢復(fù)策略。對應(yīng)急計劃的培訓(xùn)至少每年舉辦一次；擁有計劃規(guī)定職責(zé)的新雇員應(yīng)該在被雇用后接受短期培訓(xùn)。和應(yīng)急計劃相關(guān)的人員所接受的培訓(xùn)最終應(yīng)該使得他們能夠無需實(shí)際文檔的協(xié)助就能夠執(zhí)行相應(yīng)的恢復(fù)規(guī)程。應(yīng)急計劃相關(guān)人員培訓(xùn)主要包括以下內(nèi)容：計劃的目的；團(tuán)隊之間的協(xié)調(diào)與溝通；匯報規(guī)程；個人職責(zé)。2. 演練為保證應(yīng)急行動的能力，應(yīng)每年至少組織一次應(yīng)急行動演練，以提高處理應(yīng)急事件的能力，檢驗物資器材的完好情況。應(yīng)急響應(yīng)演練按如下步驟進(jìn)行：1）首先，由系統(tǒng)主管單位確定應(yīng)急響應(yīng)演練的目標(biāo)和應(yīng)急響應(yīng)演練的范圍；2）按系統(tǒng)主管單位的要求，信息安全管理小組制定應(yīng)急響應(yīng)演練的方案，并調(diào)配應(yīng)急響應(yīng)演練所需的各項資源，在必要時，由系統(tǒng)主管單位協(xié)調(diào)應(yīng)急響應(yīng)演練過程中涉及的部門和單位； 3）信息安全管理小組組織相關(guān)部門和單位進(jìn)行應(yīng)急響應(yīng)演練；4）系統(tǒng)主管單位對應(yīng)急演練進(jìn)行評估，并通報應(yīng)急響應(yīng)演練結(jié)果；5）系統(tǒng)主管單位總結(jié)經(jīng)驗，根據(jù)演練結(jié)果對應(yīng)急預(yù)案的更新，并對本單位的應(yīng)急工作進(jìn)行整改；在每次應(yīng)急響應(yīng)過程結(jié)束之后，信息安全管理小組應(yīng)針對應(yīng)急響應(yīng)工作過程中遇到的問題，分析應(yīng)急響應(yīng)預(yù)案的科學(xué)性和合理性，針對預(yù)案中的問題向系統(tǒng)主管單位提出修改建議。系統(tǒng)主管單位組織人員對修改意見進(jìn)行評估，修改后的預(yù)案應(yīng)經(jīng)評估通過后，發(fā)布實(shí)施。在上級應(yīng)急計劃或相關(guān)的法律標(biāo)準(zhǔn)修改后，本預(yù)案應(yīng)進(jìn)行調(diào)整與其保持一致。附件：網(wǎng)絡(luò)與信息安全事件應(yīng)急培訓(xùn)記錄表培訓(xùn)日期演講人員演講主題參與人員演講內(nèi)容網(wǎng)絡(luò)與信息安全事件記錄表日期事件發(fā)生原因處理辦法處理結(jié)果操作人員審核人員網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案摘要表一、應(yīng)急領(lǐng)導(dǎo)小組成員姓名職位聯(lián)系方式應(yīng)急角色領(lǐng)導(dǎo)小組組長應(yīng)急事件技術(shù)處理、協(xié)調(diào)應(yīng)急事件業(yè)務(wù)處理、協(xié)調(diào)系統(tǒng)技術(shù)支撐、處理和協(xié)調(diào)對外信息披露、通報二、應(yīng)急支撐力量（包含系統(tǒng)運(yùn)營、開發(fā)、技術(shù)支持專家等）姓名單位聯(lián)系方式應(yīng)急角色通訊保障業(yè)務(wù)問題評估、恢復(fù)重建信息安全員運(yùn)維支撐系統(tǒng)技術(shù)支撐三、軟硬件服務(wù)維保方序號設(shè)備維保方聯(lián)系人聯(lián)系電話1安全服務(wù)2小型機(jī)、存儲陣列3UPS不間斷電源4防火墻、路由器、交換機(jī)各業(yè)務(wù)服務(wù)器硬件維修維護(hù)5各業(yè)務(wù)軟件維護(hù)6通信網(wǎng)絡(luò)故障四、事件與先期處理預(yù)判可能事件處置手段簡述電力系統(tǒng)故障啟動后被電力系統(tǒng)，根據(jù)UPS供電能力，保證關(guān)鍵設(shè)備用電。硬件故障聯(lián)系設(shè)備維保單位，提供備件。軟件系統(tǒng)故障聯(lián)系軟件系統(tǒng)開發(fā)單位，先進(jìn)性數(shù)據(jù)備份，排除系統(tǒng)故障。數(shù)據(jù)庫系統(tǒng)故障聯(lián)系系統(tǒng)實(shí)施人員，先進(jìn)行數(shù)據(jù)備份，排除系統(tǒng)故障。網(wǎng)絡(luò)故障聯(lián)系系統(tǒng)集成商，排除網(wǎng)絡(luò)故障線路故障聯(lián)系ISP服務(wù)提供商，檢查線路。網(wǎng)站被篡改聯(lián)系技術(shù)人員，采取技術(shù)措施阻斷對被篡改頁面的訪問，保護(hù)日志和相關(guān)文件，匯報信息安全主管部門，向公安部門報案。計算機(jī)病毒、木馬聯(lián)系技術(shù)人員，利用專業(yè)工具清除病毒和木馬，匯報信息安全主管部門。網(wǎng)絡(luò)攻擊事件聯(lián)系技術(shù)人員，采取技術(shù)措施恢復(fù)系統(tǒng)，保護(hù)日志和相關(guān)文件，并加強(qiáng)系統(tǒng)防御措施，匯報信息安全主管部門，向公安部門報案。信息泄露事件聯(lián)系安全服務(wù)部門，采取技術(shù)措施防止信息泄露