信息系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案

信息系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案XXXXX科技有限公司序言為切實(shí)做好信息系統(tǒng)網(wǎng)絡(luò)突發(fā)事件的防范和應(yīng)急處理工作,進(jìn)一步提高預(yù)防和控制網(wǎng)絡(luò)突發(fā)事件的能力和水平，減輕或消除突發(fā)事件的危害和影響，確保我司信息系統(tǒng)網(wǎng)絡(luò)與信息安全，根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》等有關(guān)法規(guī)文件精神，結(jié)合我司實(shí)際情況，特制定本應(yīng)急預(yù)案。1.信息系統(tǒng)網(wǎng)絡(luò)安全事件分類分級1.1事件分類信息系統(tǒng)網(wǎng)絡(luò)與信息安全事件分為有害程序事件、信息系統(tǒng)網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其它信息安全事件等7個類別。一、有害程序事件分為計(jì)算機(jī)病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。二、信息系統(tǒng)網(wǎng)絡(luò)攻擊事件分為拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。三、信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。四、信息內(nèi)容安全事件是指通過網(wǎng)絡(luò)傳播法律法規(guī)禁止信息，組織非法串聯(lián)、煽動集會游行或炒作敏感問題并危害國家安全、社會穩(wěn)定和公眾利益的事件。五、設(shè)備設(shè)施故障分為軟硬件故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障。六、災(zāi)害性事件是指由自然災(zāi)害等其他突發(fā)事件引發(fā)的信息系統(tǒng)網(wǎng)絡(luò)與信息安全事件。七、其它信息安全事件：不能歸為以上類別分類且造成影響或后果較為嚴(yán)重的信息安全事件。1.2事件分級本預(yù)案所稱信息系統(tǒng)網(wǎng)絡(luò)信息安全突發(fā)事故，依據(jù)其性質(zhì)、危害程度、涉及范圍、影響大小等情況，信息系統(tǒng)網(wǎng)絡(luò)與信息安全事件分為四級：特別重大事故（Ⅰ級）、重大事故（Ⅱ級）、較大事故（Ⅲ級）、一般事故（Ⅳ級）。特別重大突發(fā)信息安全事故（I級）：事故發(fā)生后，重要信息系統(tǒng)網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生全局大規(guī)模癱瘓，信息系統(tǒng)中斷運(yùn)行2小時以上，信息系統(tǒng)中的數(shù)據(jù)丟失或被竊取、篡改、假冒，事態(tài)發(fā)展超出控制能力，對國家安全和社會和諧構(gòu)成特別嚴(yán)重威脅，或?qū)е戮揞~經(jīng)濟(jì)損失，需要有關(guān)單位協(xié)調(diào)解決，對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害的信息安全突發(fā)事故。重大突發(fā)信息安全事故(Ⅱ級):事故發(fā)生后，主要信息信息系統(tǒng)網(wǎng)絡(luò)或信息系統(tǒng)受到重大破壞、甚至部分癱瘓，對重要要害部門或用戶制造成重大損失，嚴(yán)重地影響國家安全，社會秩序、經(jīng)濟(jì)建設(shè)和公共利益，需要調(diào)動全市力量、資源開展應(yīng)急處置的信息安全事故。較大突發(fā)信息安全事故(Ⅲ級):事故發(fā)生后，主要信息信息系統(tǒng)網(wǎng)絡(luò)或信息系統(tǒng)出現(xiàn)較大事故，不能正常運(yùn)行，未對重要用戶造成重大損失，但對普通用戶有較大危害，較大地影響社會秩序、經(jīng)濟(jì)建設(shè)和公共利益，需要動員相關(guān)部門力量和資源進(jìn)行處置的信息安全事故。一般突發(fā)信息安全事故(Ⅳ級):事故發(fā)生后，不影響主要信息信息系統(tǒng)網(wǎng)絡(luò)或信息系統(tǒng)運(yùn)行，不涉及重要用戶，僅對普通用戶造成較小損失和危害，較小地影響國家安全，社會秩序、經(jīng)濟(jì)建設(shè)和公共利益，且動員公司力量可以處置的信息安全事故。2.建立應(yīng)急信息系統(tǒng)網(wǎng)絡(luò)聯(lián)動機(jī)制成立信息系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急工作小組，按照“誰主管誰負(fù)責(zé)”原則，對于較大和一般突發(fā)公共事件進(jìn)行先期處置等工作，并及時報(bào)信息系統(tǒng)網(wǎng)絡(luò)應(yīng)急安全負(fù)責(zé)人處理并備案。發(fā)生一般互聯(lián)網(wǎng)信息系統(tǒng)網(wǎng)絡(luò)安全事件，事發(fā)半小時內(nèi)向公司信息系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急負(fù)責(zé)人口頭報(bào)告，在1小時內(nèi)向出具書面報(bào)告;較大以上信息系統(tǒng)網(wǎng)絡(luò)安全事件或特殊情況，立即報(bào)告有關(guān)單位安全應(yīng)急主管領(lǐng)導(dǎo)。3.組織領(lǐng)導(dǎo)及職責(zé)3.1成立信息系統(tǒng)網(wǎng)絡(luò)安全保護(hù)工作領(lǐng)導(dǎo)小組主要職責(zé):負(fù)責(zé)召集領(lǐng)導(dǎo)小組會議，部署工作，安排、檢查落實(shí)信息系統(tǒng)網(wǎng)絡(luò)重大事宜。副組長負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)應(yīng)急預(yù)案的落實(shí)情況，處理突發(fā)事故，完成領(lǐng)導(dǎo)交辦的各項(xiàng)任務(wù)。3.2信息系統(tǒng)網(wǎng)絡(luò)安全保護(hù)工作領(lǐng)導(dǎo)小組人員1.組長/安全負(fù)責(zé)人:XXX2.副組長/安全管理員：XXX、XXX3.組員/技術(shù)人員：XXX、XXX、XXX、XXX、XXX4.應(yīng)急處理流程出現(xiàn)災(zāi)情后平臺運(yùn)維人員要及時通過電話、郵件、短信等方式通知網(wǎng)絡(luò)安全負(fù)責(zé)人及相關(guān)技術(shù)負(fù)責(zé)人。運(yùn)維人員根據(jù)災(zāi)情信息，初步判定災(zāi)情程度。能夠自身解決，要及時加以解決;如果不能自行解決故障，由信息系統(tǒng)網(wǎng)絡(luò)安全負(fù)責(zé)人現(xiàn)場指揮，協(xié)調(diào)公司各部門力量，按照分工負(fù)責(zé)的原則，組織相關(guān)技術(shù)人員進(jìn)入搶險(xiǎn)程序。5.應(yīng)急處理措施指南5.1系統(tǒng)出現(xiàn)非法信息時的緊急處置措施1.系統(tǒng)由運(yùn)維人員隨時密切監(jiān)視信息內(nèi)容。2.發(fā)現(xiàn)網(wǎng)上出現(xiàn)非法信息時，運(yùn)維人員應(yīng)立即向我司通報(bào)情況；情況緊急的應(yīng)先及時采取刪除等處理措施，再按程序報(bào)告。3.運(yùn)維人員應(yīng)在接到通知后立即清理非法信息，強(qiáng)化安全防范措施，并將網(wǎng)站網(wǎng)頁重新投入使用。4.運(yùn)維人員應(yīng)妥善保存有關(guān)記錄及日志或?qū)徲?jì)記錄。5.運(yùn)維人員應(yīng)立即追查非法信息來源，將有關(guān)情況向信息系統(tǒng)網(wǎng)絡(luò)安全負(fù)責(zé)人及有關(guān)單位安全應(yīng)急主管領(lǐng)導(dǎo)匯報(bào)。6.信息系統(tǒng)網(wǎng)絡(luò)安全負(fù)責(zé)小組召開安全應(yīng)急小組會議，如認(rèn)為情況嚴(yán)重，應(yīng)及時向有關(guān)部門和公安部門報(bào)告。5.2黑客攻擊時的緊急處置措施1.當(dāng)發(fā)現(xiàn)有網(wǎng)頁內(nèi)容被篡改，或通過入侵檢測系統(tǒng)發(fā)現(xiàn)有黑客正在進(jìn)行攻擊時,首先應(yīng)將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來，同時向信息系統(tǒng)網(wǎng)絡(luò)安全負(fù)責(zé)人及有關(guān)單位安全應(yīng)急主管領(lǐng)導(dǎo)匯報(bào)匯報(bào)情況。2.運(yùn)維人員立即進(jìn)行被破壞系統(tǒng)的恢復(fù)與重建工作。3.運(yùn)維人員追查非法信息來源，將有關(guān)情況向安全負(fù)責(zé)人匯報(bào)。4.信息系統(tǒng)網(wǎng)絡(luò)安全負(fù)責(zé)小組會商后，如認(rèn)為情況嚴(yán)重，則立即向公安部門或有關(guān)部門報(bào)告。5.3軟件系統(tǒng)遭受破壞性攻擊時的緊急處置措施1.重要的軟件系統(tǒng)平時必須存有備份，與軟件系統(tǒng)相對應(yīng)的數(shù)據(jù)必須有多日備份，并將它們保存于安全處。2.一旦軟件遭到破壞性攻擊，應(yīng)立即向技術(shù)人員.安全負(fù)責(zé)人報(bào)告，并將系統(tǒng)停止運(yùn)行。3.網(wǎng)站技術(shù)人員立即進(jìn)行軟件系統(tǒng)和數(shù)據(jù)的恢復(fù)。4.運(yùn)維人員檢查日志等資料，確認(rèn)攻擊來源。將有關(guān)情況向安全負(fù)責(zé)人與有關(guān)單位領(lǐng)導(dǎo)匯報(bào)。5.信息系統(tǒng)網(wǎng)絡(luò)安全負(fù)責(zé)小組認(rèn)為情況極為嚴(yán)重的，應(yīng)立即向公安部門或有關(guān)部門報(bào)告。5.4數(shù)據(jù)庫安全緊急處置措施1.主要數(shù)據(jù)庫系統(tǒng)應(yīng)按雙機(jī)熱備設(shè)置，并至少要準(zhǔn)備兩個以上數(shù)據(jù)庫備份，平時一個備份放在機(jī)房，另一個備份放在另一安全的建筑物中或加密上傳云端服務(wù)器。2.一旦數(shù)據(jù)庫崩潰，運(yùn)維人員應(yīng)立即啟動備用系統(tǒng)，并向網(wǎng)絡(luò)安全應(yīng)急負(fù)責(zé)人報(bào)告。在備用系統(tǒng)運(yùn)行期間;信息安全工作人員應(yīng)對主機(jī)系統(tǒng)進(jìn)行維修并作數(shù)據(jù)恢復(fù)。3.如因第一個備份損壞，導(dǎo)致數(shù)據(jù)庫無法恢復(fù)，則應(yīng)取出第二套數(shù)據(jù)庫備份加以恢復(fù)。4.如果兩套系統(tǒng)均崩潰而無法恢復(fù)，應(yīng)調(diào)用云端服務(wù)器應(yīng)急處理，立即與設(shè)備提供商聯(lián)系，請求派維修人員前來維修。5.5設(shè)備安全緊急處置措施1.信息系統(tǒng)網(wǎng)絡(luò)設(shè)施或安全設(shè)備發(fā)生故障時，運(yùn)維人員首先檢查服務(wù)器設(shè)備故障報(bào)警指示燈狀態(tài)，初步確定故障原因，采取重啟設(shè)備、已備份配置啟動設(shè)備等方法排除故障。2.計(jì)算機(jī)、服務(wù)器硬件設(shè)備無法正常運(yùn)行時，運(yùn)維人員使用配套系統(tǒng)硬件檢測軟件檢查確定具體部位，排除故障恢復(fù)設(shè)備運(yùn)行。如果不能自行排除，立即與設(shè)備服務(wù)商聯(lián)系排除故障。5.6病毒事件緊急處置措施1.當(dāng)發(fā)現(xiàn)有計(jì)算機(jī)被感染上病毒后，應(yīng)立即向信息系統(tǒng)網(wǎng)絡(luò)安全管理員報(bào)告，將該機(jī)從網(wǎng)絡(luò)上隔離開來。2.信息系統(tǒng)網(wǎng)絡(luò)安全管理員在接到通報(bào)后立即趕到現(xiàn)場，對該設(shè)備的硬盤進(jìn)行數(shù)據(jù)備份。3.啟用反病毒軟件對該機(jī)進(jìn)行殺毒處理，同時通過病毒檢測軟件對其他機(jī)器進(jìn)行病毒掃描和清除工作。4.如果現(xiàn)行反病毒軟件無法清除該病毒，應(yīng)立即向信息系統(tǒng)網(wǎng)絡(luò)安全負(fù)責(zé)人報(bào)告，并迅速聯(lián)系有關(guān)產(chǎn)品商研究解決。5.信息系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急小組經(jīng)會商，認(rèn)為情況嚴(yán)重的，應(yīng)立即向有關(guān)部門和公安部門報(bào)警。6.如果感染病毒的設(shè)備是主服務(wù)器，經(jīng)本司負(fù)責(zé)人同意，立即告知各部門做好相應(yīng)的清查工作。5.7廣域網(wǎng)外部線路中斷緊急處置措施1.廣域網(wǎng)主、備用線路中斷一條后，運(yùn)維人員應(yīng)立即啟動備用線路接續(xù)工作，同時向信息系統(tǒng)網(wǎng)絡(luò)安全管理員報(bào)告。2.信息系統(tǒng)網(wǎng)絡(luò)安全管理員接到報(bào)告后，應(yīng)派遣技術(shù)人員迅速判斷故障節(jié)點(diǎn)，查明故障原因。3.如屬我方管轄范圍，由技術(shù)人員立即予以恢復(fù)。4.如屬電信部門管轄范圍，立即與電信維護(hù)部門聯(lián)系，要求修復(fù)。5.如果主、備用線路同時中斷，信息系統(tǒng)網(wǎng)絡(luò)安全管理員應(yīng)在判斷故障節(jié)點(diǎn)，查明故障原因后，盡快研究恢復(fù)措施，并立即向安全負(fù)責(zé)人及有關(guān)單位領(lǐng)導(dǎo)匯報(bào)。5.8局域網(wǎng)中斷緊急處置措施1.設(shè)備管理部門平時應(yīng)準(zhǔn)備好網(wǎng)絡(luò)備用設(shè)備，存放在指定的位置。2.局域網(wǎng)中斷后，信息系統(tǒng)網(wǎng)絡(luò)安全管理員應(yīng)立即判斷故節(jié)點(diǎn)，查明故障原因，安排技術(shù)人員處理。如2小時內(nèi)未恢復(fù)，需向信息系統(tǒng)網(wǎng)絡(luò)安全負(fù)責(zé)人匯報(bào)。3.如屬線路故障，應(yīng)重新安裝線路。4.如屬路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備故障，應(yīng)立即從指定位置將備用設(shè)備取出接上，并調(diào)試通暢。5.如屬路由器、交換機(jī)配置文件破壞，應(yīng)迅速按照要求重新配置，并調(diào)測通暢。6.如有必要，應(yīng)向信息系統(tǒng)網(wǎng)絡(luò)安全負(fù)責(zé)人及有關(guān)部門領(lǐng)導(dǎo)匯報(bào)。5.9停電緊急處置措施1.定期檢查機(jī)房供電設(shè)備的運(yùn)行狀況和電路線纜器材情況，當(dāng)發(fā)生下列突發(fā)事件時，按照以下方案進(jìn)行處置:2.當(dāng)機(jī)房發(fā)生市電供電突然停電或是電源異常時。首先應(yīng)和物業(yè)強(qiáng)電部門聯(lián)系確認(rèn)正常停電以及預(yù)計(jì)停電時間。檢查不間斷電源的電池可供電時間，確保設(shè)備正常運(yùn)行，如遇到突然斷電，應(yīng)及時將空調(diào)等不在UPS電源供電范圍內(nèi)的設(shè)備及時斷電，預(yù)防突然來電時瞬間電流過大導(dǎo)致設(shè)備損壞等現(xiàn)象。3.當(dāng)確定停電時間超出機(jī)房UPS承載范圍后，首先確定停電的范圍以及受影響的設(shè)備范圍。并及時通知各部門和網(wǎng)絡(luò)安全應(yīng)急小組做好停電應(yīng)急準(zhǔn)備。然后通知機(jī)房電源維護(hù)人和設(shè)備的負(fù)責(zé)人到達(dá)現(xiàn)場，做好各設(shè)備的電源停電準(zhǔn)備。在UPS供電電量僅剩10%之后，嚴(yán)格按操作手冊停掉各服務(wù)器的電源，最后停核心交換機(jī)和路由器，等待電力恢復(fù)。4.當(dāng)確定停電原因是在本身供電系統(tǒng)范圍內(nèi)，立即匯報(bào)給負(fù)責(zé)領(lǐng)導(dǎo)，并及時聯(lián)系相關(guān)維護(hù)人員達(dá)到現(xiàn)場檢修。對于恢復(fù)時間無法預(yù)計(jì)的，要通知各部門做好停電應(yīng)急準(zhǔn)備。5.恢復(fù)供電后，嚴(yán)格按照操作程序逐步恢復(fù)機(jī)房設(shè)備和UPS的供電，以防瞬間電流過大造成設(shè)備損壞。5.10自然災(zāi)害緊急處置措施發(fā)生自然災(zāi)害后，首先應(yīng)該組織人員撤離現(xiàn)場。當(dāng)確認(rèn)災(zāi)害不會造成人生傷害后，在回到機(jī)房檢查設(shè)備，評估災(zāi)害受損范圍，立刻向信息系統(tǒng)網(wǎng)絡(luò)安全負(fù)