網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案模板

網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案模板網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案為科學(xué)有效地預(yù)防和應(yīng)對(duì)各類網(wǎng)絡(luò)與信息安全突發(fā)事件，及時(shí)控制并最大限度地消除危害和影響，切實(shí)保障施橋鎮(zhèn)信息系統(tǒng)的正常運(yùn)行和數(shù)據(jù)、硬件安全，根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)管理暫行規(guī)定》等有關(guān)法規(guī)、規(guī)定，特制定本預(yù)案。一、適用范圍本預(yù)案所稱突發(fā)性事件，是指自然因素或人為活動(dòng)引發(fā)的危害網(wǎng)絡(luò)設(shè)施及信息安全等有關(guān)的災(zāi)害。根據(jù)網(wǎng)絡(luò)與信息安全事件的發(fā)生原因、性質(zhì)和機(jī)理，網(wǎng)絡(luò)與信息安全事件主要分為以下三類：（一）人為類事件：指網(wǎng)絡(luò)與信息系統(tǒng)因計(jì)算機(jī)病毒感染、非法入侵等造成網(wǎng)站主頁(yè)被惡意篡改，計(jì)算機(jī)上的數(shù)據(jù)被非法拷貝、修改、刪除；人為破壞網(wǎng)絡(luò)線路、通信設(shè)施；在網(wǎng)站上發(fā)布的內(nèi)容違反國(guó)家的法律法規(guī)、侵犯知識(shí)版權(quán)并已造成嚴(yán)重后果等，由此導(dǎo)致的業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等情況。（二）故障類事件：指網(wǎng)絡(luò)與信息系統(tǒng)因計(jì)算機(jī)軟硬件故障、人為誤操作等導(dǎo)致業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等情況。（三）災(zāi)害類事件：指因洪水、火災(zāi)、雷擊、地震、臺(tái)風(fēng)等外力因素導(dǎo)致網(wǎng)絡(luò)與信息系統(tǒng)損毀，造成業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等情況。二、事件分級(jí)實(shí)施預(yù)警信息等級(jí)制度，按照事件可控性、嚴(yán)重程度和影響范圍，將網(wǎng)絡(luò)與信息安全突發(fā)事件分為四級(jí)：I級(jí)（特別重大）、II級(jí)（重大）、III級(jí)（較大）、IV級(jí)（一般）。具體級(jí)別定義如果國(guó)家有關(guān)法律法規(guī)有明確規(guī)定的，按國(guó)家有關(guān)規(guī)定執(zhí)行：（1）I級(jí)（特別重大）：造成網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生大規(guī)模癱瘓，事態(tài)的發(fā)展超出區(qū)一級(jí)相關(guān)主管部門(mén)的控制能力，對(duì)國(guó)家安全、社會(huì)秩序、公共利益造成特別嚴(yán)重?fù)p害的突發(fā)事件。（2）II級(jí)（重大）：造成網(wǎng)站或其它上一級(jí)部門(mén)重要網(wǎng)絡(luò)與信息系統(tǒng)癱瘓，對(duì)國(guó)家安全、社會(huì)秩序、公共利益造成嚴(yán)重?fù)p害，需要上級(jí)政府或公安部門(mén)協(xié)助，乃至需跨地區(qū)協(xié)同處理的突發(fā)事件。（3）III級(jí)（較大）：造成網(wǎng)站網(wǎng)絡(luò)與信息系統(tǒng)癱瘓，對(duì)國(guó)家安全、社會(huì)秩序、公共利益造成一定損害，但只需在本區(qū)政府或區(qū)信息中心協(xié)同處理的突發(fā)事件。（4）IV級(jí)（一般）：造成網(wǎng)站網(wǎng)絡(luò)重要網(wǎng)絡(luò)與信息系統(tǒng)受到一定程度的損壞，但不危害國(guó)家安全、社會(huì)秩序和公共利益，可由我主管部門(mén)處理的突發(fā)事件。三、組織領(lǐng)導(dǎo)（一）鎮(zhèn)網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)小組的主要職責(zé)與任務(wù)是統(tǒng)一領(lǐng)導(dǎo)信息安全事件應(yīng)急工作，全面負(fù)責(zé)信息安全可能出現(xiàn)的各種突發(fā)事件處理，協(xié)調(diào)解決網(wǎng)絡(luò)與信息安全事件處理工作中的重大問(wèn)題等。（二）應(yīng)急工作要求1．重在防御、綜合防范。立足安全防護(hù)，加強(qiáng)預(yù)警，重點(diǎn)保護(hù)重要信息網(wǎng)絡(luò)和關(guān)系到社會(huì)穩(wěn)定的重要信息系統(tǒng)；從預(yù)防、監(jiān)控、應(yīng)急處理、應(yīng)急保障和打擊不法行為等環(huán)節(jié)和管理、技術(shù)、宣傳等方面，采取多項(xiàng)措施，充分發(fā)揮各方面的作用，構(gòu)筑網(wǎng)絡(luò)與信息安全保障體系。2．明確責(zé)任、分級(jí)負(fù)責(zé)。按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)”的原則，加強(qiáng)網(wǎng)絡(luò)安全管理，認(rèn)真落實(shí)各項(xiàng)安全管理制度和措施。加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)安全的宣傳和教育，進(jìn)一步提高工作人員的網(wǎng)絡(luò)與信息安全意識(shí)。3．落實(shí)措施、防護(hù)到位。對(duì)機(jī)房、網(wǎng)絡(luò)設(shè)備等設(shè)施定期開(kāi)展安全檢查，對(duì)發(fā)現(xiàn)的安全漏洞和隱患及時(shí)進(jìn)行整改；實(shí)行網(wǎng)站的巡察制度，密切關(guān)注互聯(lián)網(wǎng)信息動(dòng)態(tài)，要按照快速反應(yīng)機(jī)制，及時(shí)獲取充分而準(zhǔn)確的信息，跟蹤研判，果斷決策，迅速處理，最大程度地降低乃至消除危害和影響。4．加強(qiáng)培訓(xùn)，定期演練。增加技術(shù)學(xué)習(xí)儲(chǔ)備、規(guī)范應(yīng)急處理措施與操作流程，樹(shù)立常備不懈的觀念，定期進(jìn)行預(yù)案演練，確保應(yīng)急預(yù)案切實(shí)可行。5、實(shí)時(shí)監(jiān)控，及時(shí)上報(bào)。當(dāng)發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)事件時(shí)，應(yīng)及時(shí)按規(guī)定向有關(guān)部門(mén)報(bào)告。初次報(bào)告最遲不得超過(guò)2小時(shí)，重大和特別重大的網(wǎng)絡(luò)與信息安全突發(fā)事件必須實(shí)行態(tài)勢(shì)進(jìn)程報(bào)告和日?qǐng)?bào)告制度。報(bào)告內(nèi)容主要包括信息來(lái)源、影響范圍、事件性質(zhì)、事件發(fā)展趨勢(shì)和采取的措施等。四、應(yīng)急響應(yīng)處理流程（一）預(yù)案啟動(dòng)網(wǎng)絡(luò)與信息安全事件發(fā)生后，應(yīng)急領(lǐng)導(dǎo)工作組盡最大可能收集事件相關(guān)信息，鑒別事件性質(zhì)，確定事件來(lái)源，以確定事件范圍和評(píng)估事件帶來(lái)的影響和損害，確認(rèn)為網(wǎng)絡(luò)信息安全事件后，對(duì)事件進(jìn)行定級(jí)和上報(bào)。按照應(yīng)急響應(yīng)流程，由網(wǎng)絡(luò)與信息安全應(yīng)急小組決定啟動(dòng)應(yīng)急預(yù)案，并由組長(zhǎng)負(fù)責(zé)應(yīng)急處理協(xié)調(diào)工作。（二）應(yīng)急處理1、確認(rèn)階段。初步確定應(yīng)急處理方式，確定是否符合應(yīng)急預(yù)案啟動(dòng)條件，若符合，則啟動(dòng)本預(yù)案。2、遏制階段。及時(shí)采取行動(dòng)遏制事態(tài)發(fā)展，限制潛在的損失與破壞，同時(shí)要采取積極措施，使危害程度降到最低。3、根除階段。在事態(tài)得到有效控制后，經(jīng)過(guò)對(duì)有關(guān)事件或行為的分析結(jié)果，找出事件根源，明確相應(yīng)的補(bǔ)救措施，徹底消除安全隱患。4、恢復(fù)和跟蹤階段。在確保安全問(wèn)題解決后，要及時(shí)清理系統(tǒng)、恢復(fù)數(shù)據(jù)、程序、服務(wù)?；謴?fù)工作應(yīng)避免出現(xiàn)誤操作導(dǎo)致數(shù)據(jù)的丟失。另外，恢復(fù)工作中如果涉及到機(jī)密數(shù)據(jù)，需遵照機(jī)密系統(tǒng)的恢復(fù)要求。5、在應(yīng)急處理工作結(jié)束后，應(yīng)立即組織有關(guān)人員組成事件調(diào)查組，查清事件發(fā)生的原因及財(cái)產(chǎn)損失情況，總結(jié)經(jīng)驗(yàn)教訓(xùn)，寫(xiě)出調(diào)查評(píng)估報(bào)告，報(bào)應(yīng)急領(lǐng)導(dǎo)小組，并根據(jù)問(wèn)責(zé)制的有關(guān)規(guī)定，對(duì)有關(guān)責(zé)任人員作出處理。必要時(shí)采取合理的形式向社會(huì)公眾通報(bào)。進(jìn)一步加強(qiáng)宣傳，公布危害性和解決辦法，以避免和減少產(chǎn)生的社會(huì)負(fù)面影響。（三）應(yīng)急處理方法1、當(dāng)發(fā)生的網(wǎng)絡(luò)與信息安全事件為故障類或自然災(zāi)害類事件時(shí)，應(yīng)根據(jù)當(dāng)時(shí)的實(shí)際情況，在保障人身安全的前提下，首先保障數(shù)據(jù)的安全，然后是設(shè)備安全。具體方法如：硬盤(pán)的拔出與保存，設(shè)備的斷電與拆卸、搬遷等。2、當(dāng)發(fā)生的網(wǎng)絡(luò)與信息安全事件為人為類事件時(shí)，具體按以下順序進(jìn)行：判斷破壞的來(lái)源與性質(zhì)，斷開(kāi)影響安全與穩(wěn)定的信息網(wǎng)絡(luò)設(shè)備，斷開(kāi)與破壞來(lái)源的網(wǎng)絡(luò)物理連接，聯(lián)系有關(guān)部門(mén)跟蹤并鎖定破壞來(lái)源的IP或其它網(wǎng)絡(luò)用戶信息，修復(fù)被破壞的信息，恢復(fù)信息系統(tǒng)。按照災(zāi)害發(fā)生的性質(zhì)分別采用以下方案：（1）病毒傳播：要及時(shí)斷開(kāi)傳播源，聯(lián)系相關(guān)技術(shù)部門(mén)判斷病毒的性質(zhì)、采用的端口，然后關(guān)閉相應(yīng)的端口，在網(wǎng)上公布病毒攻擊信息以及防御方法。（2）網(wǎng)絡(luò)入侵：首先要聯(lián)系相關(guān)技術(shù)部門(mén)，判斷入侵的來(lái)源，區(qū)分外網(wǎng)與內(nèi)網(wǎng)。入侵來(lái)自外網(wǎng)的，定位入侵的IP地址，及時(shí)關(guān)閉入侵的端口，限制入侵地IP地址的訪問(wèn)，在無(wú)法制止的情況下能夠采用斷開(kāi)網(wǎng)絡(luò)連接的方法。入侵來(lái)自內(nèi)網(wǎng)的，查清入侵來(lái)源，如IP地址、上網(wǎng)帳號(hào)等信息，同時(shí)斷開(kāi)對(duì)應(yīng)的交換機(jī)端口。然后針對(duì)入侵方法建設(shè)或更新入侵檢測(cè)設(shè)備。（3）信息被篡改：一經(jīng)發(fā)現(xiàn)馬上斷開(kāi)相應(yīng)的信息上網(wǎng)鏈接，并盡快恢復(fù)。（4）網(wǎng)絡(luò)故障：根據(jù)相應(yīng)工作流程盡快排除。（5）其它沒(méi)有列出的不確定因素造成的災(zāi)害，可根據(jù)總的安全原則，結(jié)合具體的情況，做出相應(yīng)的處理。當(dāng)采用一般應(yīng)急處理措施仍無(wú)法控制事態(tài)時(shí)，要迅速研究采取有利于控制事態(tài)的非常措施，并向區(qū)政府網(wǎng)絡(luò)與信息安全應(yīng)急領(lǐng)導(dǎo)小組辦公室請(qǐng)求支援。（四）安全事件的處理記錄在事件的上報(bào)、接收和處理過(guò)程中，事件接收人、處理負(fù)責(zé)人應(yīng)及時(shí)作好完整的過(guò)程記錄。事件處理完成后歸檔。（五）結(jié)束響應(yīng)系統(tǒng)恢復(fù)正常運(yùn)行后，應(yīng)急領(lǐng)導(dǎo)小組對(duì)事件造成的損失、事件處理流程和應(yīng)急預(yù)案進(jìn)行評(píng)估，對(duì)響應(yīng)流程、預(yù)案提出修改意見(jiàn)，總結(jié)事件處理經(jīng)驗(yàn)和教訓(xùn)，撰寫(xiě)事件處理報(bào)告，同時(shí)確定是否需要上報(bào)該事件及其處理過(guò)程，需要上報(bào)的應(yīng)及時(shí)準(zhǔn)備相關(guān)材料，上報(bào)相關(guān)部門(mén)。五、應(yīng)急保障措施1、人員保障堅(jiān)持網(wǎng)絡(luò)與信息安全防護(hù)24小時(shí)值班制度，認(rèn)真落實(shí)值班人員安排。2、技術(shù)保障重視網(wǎng)絡(luò)與信息技術(shù)的建