網(wǎng)絡安全管理應急預案

1、網(wǎng)絡安全應急預案一、總則（一）目的為科學應對網(wǎng)絡與信息安全 （ 以下簡稱信息安全 ） 突發(fā)事 件，建立健全信息安全應急響應機制，有效預防、及時控制 和最大限度地消除信息安全各類突發(fā)事件的危害和影響，制 訂本應急預案。（二）工作原則 預防為主。立足安全防護，加強預警，重點保護基礎信 息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定的重要信息系 統(tǒng)?？焖俜磻＜皶r獲取充分而準確的信息，果斷決策，迅 速處置，最大程度地減少危害和影響。分級負責。按照“誰主管誰負責”的原則，建立和完善 安全責任制及聯(lián)動工作機制。加強部門間的協(xié)調(diào)與配合，形 成合力，共同履行應急處置工作的管理職責。常備不懈。規(guī)范應急處置措施與操作

2、流程，定期進行預 案演練，確保應急預案切實有效，實現(xiàn)網(wǎng)絡與信息安全突發(fā) 公共事件應急處置的科學化、程序化與規(guī)范化。（三）組織機構及職責 設立信息系統(tǒng)應急工作領導小組，為公司處理信息安全 突發(fā)事件應急工作的綜合性議事、協(xié)調(diào)機構。主要職責是：按照研究決定信息安全應急工作的有關重 大問題，決定啟動網(wǎng)絡與信息安全突發(fā)事件應急指揮部，統(tǒng) 一領導和組織指揮重大信息安全突發(fā)事件的應急處置工作。二、預警和預防機制（一）預警信息系統(tǒng)應急工作領導小組接到信息安全突發(fā)事件報告 后，在核實，研究分析可能造成損害程度的基礎上，提出初 步行動對策，視情況召集協(xié)調(diào)會，并根據(jù)應急委的決策實施 行動方案，發(fā)布指示和命令。（二）

3、預防機制積極推行信息安全等級保護，逐步實行信息安全風險評 估。各基礎信息網(wǎng)絡和重要信息系統(tǒng)建設要充分考慮抗毀性 與災難恢復，制定完善信息安全應急處理預案。針對基礎信 息網(wǎng)絡的突發(fā)性、 大規(guī)模安全事件， 各相關部門建立制度化、 程序化的處理流程。三、應急處理程序（一）級別的確定根據(jù)信息系統(tǒng)安全等級保護定級報告確定信息安全事件等級。（二）預案啟動根據(jù)網(wǎng)絡信息安全事件等級的不同，相關部門啟動相應 預案，并負責應急處理工作。（三）現(xiàn)場應急處理事件發(fā)生單位和現(xiàn)場應急處理工作組盡最大可能收集事 件相關信息，判別事件類別，確定事件來源，保護證據(jù)，以 便縮短應急響應時間。檢查威脅造成的結果，評估事件帶來的影響

4、和損害：如 檢查系統(tǒng)、服務、數(shù)據(jù)的完整性、保密性或可用性；檢查攻 擊者是否侵入了系統(tǒng)；以后是否能再次隨意進入；損失的程 度；確定暴露出的主要危險等。抑制事件的影響進一步擴大，限制潛在的損失與破壞。 可能的抑制策略一般包括：關閉服務或關閉所有的系統(tǒng)，從 網(wǎng)絡上斷開相關系統(tǒng)的物理鏈接，修改防火墻和路由器的過 濾規(guī)則；封鎖或刪除被攻破的登錄賬號，阻斷可疑用戶得以 進入網(wǎng)絡的通路；提高系統(tǒng)或網(wǎng)絡行為的監(jiān)控級別；設置陷 阱；啟用緊急事件下的接管系統(tǒng)；實行特殊“防衛(wèi)狀態(tài)”安 全警戒；反擊攻擊者的系統(tǒng)等。在事件被抑制之后，通過對有關惡意代碼或行為的分析 結果，找出事件根源，明確相應的補救措施并徹底清除。與

5、此同時，執(zhí)法部門和其他相關機構對攻擊源進行準確定位并 采取合適的措施將其中斷。清理系統(tǒng)、恢復數(shù)據(jù)、程序、服務。把所有被攻破的系 統(tǒng)和網(wǎng)絡設備徹底還原到正常的任務狀態(tài)?；謴凸ぷ鲬?小心，避免出現(xiàn)操作失誤而導致數(shù)據(jù)丟失。另外，恢復工作 中如果涉及機密數(shù)據(jù)，需要額外按照機密系統(tǒng)的恢復要求。 如果攻擊者獲得了超級用戶的訪問權，一次完整的恢復應強 制性地修改所有的口令。（四）報告和總結回顧并整理發(fā)生事件的各種相關信息，盡可能地把所有 情況記錄到文檔中。發(fā)生重大信息安全事件的單位應當在事 件處理完畢后將處理結果報上級主管部門備案。（五）應急行動結束根據(jù)信息安全事件的處置進展情況和現(xiàn)場應急處理工作 組意

6、見，信息系統(tǒng)應急工作領導小組組織相關部門及專家組 對信息安全事件處置情況進行綜合評估，并提出應急行動結 束建議，報相關部門審批。應急行動是否結束，相關主管部 門決定。四、保障措施（一）技術支撐保障建立預警與應急處理的技術平臺，進一步提高安全事件 的發(fā)現(xiàn)和分析能力：從技術上逐步實現(xiàn)發(fā)現(xiàn)、預警、處置、 通報等多個環(huán)節(jié)和不同的網(wǎng)絡、系統(tǒng)、部門之間應急處理的 聯(lián)動機制。（二）應急隊伍保障加強信息安全人才培養(yǎng)，強化信息安全宣傳教育，建設 一支高素質(zhì)、高技術的信息安全核心人才和管理隊伍，提高 全社會信息安全防御意識。大力發(fā)展信息安全服務業(yè)，增強 社會應急支援能力。（三）物資條件保障安排信息化建設專項資金用

7、于預防或應對信息安全突發(fā) 事件，提供必要的經(jīng)費保障，強化信息安全應急處理工作的 物資保障條件。（四）技術儲備保障信息系統(tǒng)應急工作領導小組組織有關專家和科研力量， 開展應急運作機制、應急處理技術、預警和控制等研究，組 織參加相關培訓，推廣和普及新的應急技術。五、事件處理流程（一）黑客攻擊時的緊急處置流程：當有關值班人員發(fā)現(xiàn)平臺內(nèi)容被篡改，或通過入侵檢測 系統(tǒng)發(fā)現(xiàn)有黑客正在進行攻擊時，應立即向信息系統(tǒng)應急工 作領導小組報告情況。信息系統(tǒng)應急工作領導小組相關成員應在十分鐘內(nèi)趕到 現(xiàn)場，并首先應將被攻擊的服務器等設備從網(wǎng)絡中隔離出來， 保護現(xiàn)場。信息系統(tǒng)應急工作領導小組負責被攻擊或破壞系統(tǒng)的恢 復與重

8、建工作。信息系統(tǒng)應急工作領導小組組織相關人員追查攻擊來源。 會商后，將有關情況向信息安全領導小組報告，并妥善保存 有關記錄及日志或?qū)徲嬘涗?。信息系統(tǒng)應急工作領導小組組長召開信息安全領導小組 會議，如認為事態(tài)嚴重， 則立即向公安部門或上級機關報警（二）病毒安全緊急處置流程： 當發(fā)現(xiàn)有服務器被感染上病毒后，應立即通知安全管理 員，將該機從網(wǎng)絡上隔離開來。安全管理員在接到通報后，應在十分鐘內(nèi)趕到現(xiàn)場。對 該設備的硬盤進行數(shù)據(jù)備份。啟用反病毒軟件對該機進行殺 毒處理，同時通過病毒檢測軟件對其他機器進行病毒掃描和 清除工作。如果現(xiàn)行反病毒軟件無法清除該病毒，應立即向 信息系統(tǒng)應急工作領導小組報告，并迅速

9、聯(lián)系有關產(chǎn)品商研 究解決。信息系統(tǒng)應急工作領導小組會商后，認為情況嚴重的， 應立即將有關情況向上級主管部門報告，并妥善保存有關記 錄及日志或?qū)徲嬘涗洝Ｐ畔⑾到y(tǒng)應急工作領導小組組長召開信息安全領導小組 會議，如認為事態(tài)嚴重， 則立即向公安部門或上級機關報告。（三）軟件系統(tǒng)遭破壞性攻擊的緊急處置流程： 重要的軟件系統(tǒng)平時必須存有備份，與軟件系統(tǒng)相對應 的數(shù)據(jù)必須有多日的備份；并妥善保存。一旦軟件遭到破壞性攻擊，應立即向信息系統(tǒng)應急工作 領導小組報告，并將該系統(tǒng)停止運行。檢查日志等資料，確 定攻擊來源。信息系統(tǒng)應急工作領導小組會商后，將有關情況向上級 主管部門報告，并妥善保存有關記錄及日志或?qū)徲嬘涗?/p>

10、。信息系統(tǒng)應急工作領導小組召開信息安全領導小組會議， 如認為事態(tài)嚴重，則立即向公安部門或上級機關報警。（四）數(shù)據(jù)庫安全緊急處置流程：主要數(shù)據(jù)庫系統(tǒng)應按熱備設置，并至少要準備兩個以上 數(shù)據(jù)庫備份，其中一個備份存放在機房，另一個備份放在另 一安全的網(wǎng)絡中。一旦數(shù)據(jù)庫崩潰，值班人員應立即啟動備 用系統(tǒng)，并向信息系統(tǒng)應急工作領導小組報告。在備用系統(tǒng)運行期間，信息系統(tǒng)應急工作領導小組人員 應對主機系統(tǒng)進行維修。如果兩套系統(tǒng)均崩潰，信息系統(tǒng)應 急工作領導小組人員應立即向軟硬件提供商請求支援，同時 通知各下屬單位暫緩上傳上報數(shù)據(jù)。系統(tǒng)修復啟動后，將第一個數(shù)據(jù)庫備份取出，按照要求 將其恢復到主機系統(tǒng)中。如因第

11、一個備份損壞，導致數(shù)據(jù)庫無法恢復，則應取出第二套數(shù)據(jù)庫備份加以恢復。如果兩個備份均無法恢復，應立即向有關廠商請求緊急支援。六、宣傳、培訓（一）公眾信息交流信息系統(tǒng)應急工作領導小組在應急預案修訂、演練的前 后，應利用各種新聞媒介開展宣傳；不定期地利用各種安全 活動向社會大眾宣傳信息安全應急法律、法規(guī)和預防、應急 的常識。（二）人員培訓為確保信息安全應急預案有效運行，定期或不定期舉辦 不同層次、不同類型的培訓班或研討會，以便不同崗位的應 急人員都能全面熟悉并掌握信息安全應急處理的知識和技 能。七、網(wǎng)絡安全應急響應預案演練制定好的應急響應預案，只做培訓還不夠，還需要通過 實戰(zhàn)演練來提高應對網(wǎng)絡突發(fā)事

12、件的行動力，針對網(wǎng)絡突發(fā) 事件的假想情景，按照應急響應預案中規(guī)定的職責和程序來 執(zhí)行應急響應任務。根據(jù)出現(xiàn)的新的網(wǎng)絡攻擊手段或其他特 殊情況，不斷進行預案的調(diào)整完善。（一）應急演練的作用應急演練是對應急響應預案可行性的有效驗證。通過演 練可以檢驗應急響應小組中每個成員對工作完成的熟練程 度和相互配合能力，包括各個部門之間的配合、成員之間的 協(xié)調(diào)。通過實戰(zhàn)練習積累經(jīng)驗，對應急響應預案內(nèi)容不斷地 充實和完善，使負責人員、執(zhí)行人員、應急專業(yè)技術人員應 對網(wǎng)絡突發(fā)事件的應變能力得以提升，從而有條不紊地處理 突發(fā)事件。（二）應急演練的組織實施 應急演練的組織工作由應急小組指揮人員執(zhí)行，包括演 練地段的選擇、 保障物資與設備的準備、 人員任務的分配等 整個實施過程由應急響應執(zhí)行人員和記錄人員組成，按照應 急響應預案計劃進行準備與實行。各級人員明確分工，并充 分做好網(wǎng)絡恢復保障工作。演練可以采用對網(wǎng)絡系統(tǒng)或者主 機進行虛擬攻擊的方式，過程中要特別注意對這些危害的掌 控。（三）應急演練的考核與總結 記錄人員對演練的每個環(huán)節(jié)都要做好記錄、資料收集和 評價工作。對網(wǎng)絡