公共互聯(lián)網(wǎng)網(wǎng)絡安全突發(fā)事件應急預案

1、實用標準文檔公共互聯(lián)網(wǎng)網(wǎng)絡安全突發(fā)事件應急預案1. 總則2. 組織體系3. 事件分級4. 監(jiān)測預警5. 應急處置6. 事后總結7. 預防與應急準備8. 保障措施9. 附則下附應急預案全文公共互聯(lián)網(wǎng)網(wǎng)絡安全突發(fā)事件應急預案1. 總則1.1 編制目的建立健全公共互聯(lián)網(wǎng)網(wǎng)絡安全突發(fā)事件應急組織體系和工作機制， 提高公共互聯(lián)網(wǎng)網(wǎng)絡安全 突發(fā)事件綜合應對能力， 確保及時有效地控制、 減輕和消除公共互聯(lián)網(wǎng)網(wǎng)絡安全突發(fā)事件造 成的社會危害和損失，保證公共互聯(lián)網(wǎng)持續(xù)穩(wěn)定運行和數(shù)據(jù)安全，維護國家網(wǎng)絡空間安全， 保障經濟運行和社會秩序。1.2 編制依據(jù)中華人民共和國突發(fā)事件應對法 中華人民共和國網(wǎng)絡安全法 中華人

2、民共和國電信條 例等法律法規(guī)和國家突發(fā)公共事件總體應急預案 國家網(wǎng)絡安全事件應急預案等相 關規(guī)定。1.3 適用范圍 本預案適用于面向社會提供服務的基礎電信企業(yè)、域名注冊管理和服務機構（ 以下簡稱域名機構 ）、互聯(lián)網(wǎng)企業(yè) （含工業(yè)互聯(lián)網(wǎng)平臺企業(yè) ）發(fā)生網(wǎng)絡安全突發(fā)事件的應對工作。 本預案所稱網(wǎng)絡安全突發(fā)事件， 是指突然發(fā)生的， 由網(wǎng)絡攻擊、網(wǎng)絡入侵、 惡意程序等導致 的，造成或可能造成嚴重社會危害或影響， 需要電信主管部門組織采取應急處置措施予以應 對的網(wǎng)絡中斷 （擁塞）、系統(tǒng)癱瘓 （異常 ）、數(shù)據(jù)泄露 （丟失）、病毒傳播等事件。 本預案所稱電信主管部門包括工業(yè)和信息化部及各?。ㄗ灾螀^(qū)、直轄市

3、）通信管理局。工業(yè)和信息化部對國家重大活動期間網(wǎng)絡安全突發(fā)事件應對工作另有規(guī)定的，從其規(guī)定。1.4 工作原則公共互聯(lián)網(wǎng)網(wǎng)絡安全突發(fā)事件應急工作堅持統(tǒng)一領導、分級負責 ;堅持統(tǒng)一指揮、 密切協(xié)同、快速反應、科學處置 ;堅持預防為主，預防與應急相結合 ;落實基礎電信企業(yè)、域名機構、互 聯(lián)網(wǎng)服務提供者的主體責任 ;充分發(fā)揮網(wǎng)絡安全專業(yè)機構、網(wǎng)絡安全企業(yè)和專家學者等各方 面力量的作用。2. 組織體系2.1 領導機構與職責 在中央網(wǎng)信辦統(tǒng)籌協(xié)調下，工業(yè)和信息化部網(wǎng)絡安全和信息化領導小組（以下簡稱部領導小組）統(tǒng)一領導公共互聯(lián)網(wǎng)網(wǎng)絡安全突發(fā)事件應急管理工作，負責特別重大公共互聯(lián)網(wǎng)網(wǎng)絡安 全突發(fā)事件的統(tǒng)一指揮

4、和協(xié)調。2.2 辦事機構與職責 在中央網(wǎng)信辦下設的國家網(wǎng)絡安全應急辦公室統(tǒng)籌協(xié)調下， 在部領導小組統(tǒng)一領導下， 工業(yè) 和信息化部網(wǎng)絡安全應急辦公室（以下簡稱部應急辦 ）負責公共互聯(lián)網(wǎng)網(wǎng)絡安全應急管理事務性工作 ;及時向部領導小組報告突發(fā)事件情況，提出特別重大網(wǎng)絡安全突發(fā)事件應對措施建議 ;負責重大網(wǎng)絡安全突發(fā)事件的統(tǒng)一指揮和協(xié)調;根據(jù)需要協(xié)調較大、一般網(wǎng)絡安全突發(fā)事件應對工作。部應急辦具體工作由工業(yè)和信息化部網(wǎng)絡安全管理局承擔， 有關單位明確負責人和聯(lián)絡員參 與部應急辦工作。2.3 其他相關單位職責各省 (自治區(qū)、直轄市 )通信管理局負責組織、指揮、協(xié)調本行政區(qū)域相關單位開展公共互聯(lián) 網(wǎng)網(wǎng)絡安

5、全突發(fā)事件的預防、監(jiān)測、報告和應急處置工作。基礎電信企業(yè)、 域名機構、互聯(lián)網(wǎng)企業(yè)負責本單位網(wǎng)絡安全突發(fā)事件預防、 監(jiān)測、 報告和應 急處置工作，為其他單位的網(wǎng)絡安全突發(fā)事件應對提供技術支持。國家計算機網(wǎng)絡應急技術處理協(xié)調中心、 中國信息通信研究院、 中國軟件評測中心、 國家工 業(yè)信息安全發(fā)展研究中心 (以下統(tǒng)稱網(wǎng)絡安全專業(yè)機構 )負責監(jiān)測、報告公共互聯(lián)網(wǎng)網(wǎng)絡安全 突發(fā)事件和預警信息，為應急工作提供決策支持和技術支撐。鼓勵網(wǎng)絡安全企業(yè)支撐參與公共互聯(lián)網(wǎng)網(wǎng)絡安全突發(fā)事件應對工作。3. 事件分級根據(jù)社會影響范圍和危害程度，公共互聯(lián)網(wǎng)網(wǎng)絡安全突發(fā)事件分為四級:特別重大事件、重大事件、較大事件、一般事件

6、。3.1 特別重大事件符合下列情形之一的，為特別重大網(wǎng)絡安全事件 :(1) 全國范圍大量互聯(lián)網(wǎng)用戶無法正常上網(wǎng) ;(2) .CN 國家頂級域名系統(tǒng)解析效率大幅下降 ;(3) 1 億以上互聯(lián)網(wǎng)用戶信息泄露 ;(4) 網(wǎng)絡病毒在全國范圍大面積爆發(fā) ;(5) 其他造成或可能造成特別重大危害或影響的網(wǎng)絡安全事件。3.2 重大事件符合下列情形之一的，為重大網(wǎng)絡安全事件 :(1) 多個省大量互聯(lián)網(wǎng)用戶無法正常上網(wǎng) ;(2) 在全國范圍有影響力的網(wǎng)站或平臺訪問出現(xiàn)嚴重異常(3) 大型域名解析系統(tǒng)訪問出現(xiàn)嚴重異常 ;(4) 1 千萬以上互聯(lián)網(wǎng)用戶信息泄露 ;(5) 網(wǎng)絡病毒在多個省范圍內大面積爆發(fā) ;(6)

7、其他造成或可能造成重大危害或影響的網(wǎng)絡安全事件。3.3 較大事件符合下列情形之一的，為較大網(wǎng)絡安全事件 :(1) 1 個省內大量互聯(lián)網(wǎng)用戶無法正常上網(wǎng) ;(2) 在省內有影響力的網(wǎng)站或平臺訪問出現(xiàn)嚴重異常 ;(3) 1 百萬以上互聯(lián)網(wǎng)用戶信息泄露 ;(4) 網(wǎng)絡病毒在 1 個省范圍內大面積爆發(fā) ;(5) 其他造成或可能造成較大危害或影響的網(wǎng)絡安全事件。3.4 一般事件符合下列情形之一的，為一般網(wǎng)絡安全事件 :(1) 1 個地市大量互聯(lián)網(wǎng)用戶無法正常上網(wǎng) ;(2) 10 萬以上互聯(lián)網(wǎng)用戶信息泄露 ;(3) 其他造成或可能造成一般危害或影響的網(wǎng)絡安全事件。4. 監(jiān)測預警4.1 事件監(jiān)測 基礎電信企

8、業(yè)、域名機構、互聯(lián)網(wǎng)企業(yè)應當對本單位網(wǎng)絡和系統(tǒng)的運行狀況進行密切監(jiān)測， 一旦發(fā)生本預案規(guī)定的網(wǎng)絡安全突發(fā)事件，應當立即通過電話等方式向部應急辦和相關省 （自治區(qū)、直轄市 ）通信管理局報告，不得遲報、謊報、瞞報、漏報。網(wǎng)絡安全專業(yè)機構、 網(wǎng)絡安全企業(yè)應當通過多種途徑監(jiān)測、 收集已經發(fā)生的公共互聯(lián)網(wǎng)網(wǎng)絡 安全突發(fā)事件信息，并及時向部應急辦和相關?。ㄗ灾螀^(qū)、直轄市 ）通信管理局報告。報告突發(fā)事件信息時， 應當說明事件發(fā)生時間、 初步判定的影響范圍和危害、 已采取的應急 處置措施和有關建議。4.2 預警監(jiān)測基礎電信企業(yè)、 域名機構、互聯(lián)網(wǎng)企業(yè)、 網(wǎng)絡安全專業(yè)機構、 網(wǎng)絡安全企業(yè)應當通過多種途 徑監(jiān)測、

9、收集漏洞、 病毒、 網(wǎng)絡攻擊最新動向等網(wǎng)絡安全隱患和預警信息，對發(fā)生突發(fā)事件 的可能性及其可能造成的影響進行分析評估 ;認為可能發(fā)生特別重大或重大突發(fā)事件的，應 當立即向部應急辦報告 ;認為可能發(fā)生較大或一般突發(fā)事件的，應當立即向相關?。ㄗ灾螀^(qū)、直轄市 ）通信管理局報告。4.3 預警分級 建立公共互聯(lián)網(wǎng)網(wǎng)絡突發(fā)事件預警制度，按照緊急程度、發(fā)展態(tài)勢和可能造成的危害程度， 公共互聯(lián)網(wǎng)網(wǎng)絡突發(fā)事件預警等級分為四級:由高到低依次用紅色、 橙色、黃色和藍色標示，分別對應可能發(fā)生特別重大、重大、較大和一般網(wǎng)絡安全突發(fā)事件。4.4 預警發(fā)布部應急辦和各省 （自治區(qū)、直轄市 ）通信管理局應當及時匯總分析突發(fā)事

10、件隱患和預警信息， 必要時組織相關單位、專業(yè)技術人員、專家學者進行會商研判。認為需要發(fā)布紅色預警的，由部應急辦報國家網(wǎng)絡安全應急辦公室統(tǒng)一發(fā)布 （ 或轉發(fā)國家網(wǎng)絡安全應急辦公室發(fā)布的紅色預警 )，并報部領導小組 ;認為需要發(fā)布橙色預警的，由部應急 辦統(tǒng)一發(fā)布， 并報國家網(wǎng)絡安全應急辦公室和部領導小組;認為需要發(fā)布黃色、 藍色預警的，相關省 (自治區(qū)、直轄市 )通信管理局可在本行政區(qū)域內發(fā)布，并報部應急辦，同時通報地方 相關部門。對達不到預警級別但又需要發(fā)布警示信息的，部應急辦和各省(自治區(qū)、直轄市 )通信管理局可以發(fā)布風險提示信息。發(fā)布預警信息時，應當包括預警級別、起始時間、 可能的影響范圍和

11、造成的危害、 應采取的 防范措施、時限要求和發(fā)布機關等，并公布咨詢電話。面向社會發(fā)布預警信息可通過網(wǎng)站、 短信、微信等多種形式。4.5 預警響應4.5.1 黃色、藍色預警響應發(fā)布黃色、藍色預警后，相關省 (自治區(qū)、直轄市 )通信管理局應當針對即將發(fā)生的網(wǎng)絡安全 突發(fā)事件的特點和可能造成的危害，采取下列措施 :(1) 要求有關單位、機構和人員及時收集、報告有關信息，加強網(wǎng)絡安全風險的監(jiān)測 ;(2) 組織有關單位、機構和人員加強事態(tài)跟蹤分析評估，密切關注事態(tài)發(fā)展，重要情況報部 應急辦 ;(3) 及時宣傳避免、減輕危害的措施，公布咨詢電話，并對相關信息的報道工作進行正確引導。4.5.2 紅色、橙色預

12、警響應發(fā)布紅色、 橙色預警后， 部應急辦除采取黃色、藍色預警響應措施外， 還應當針對即將發(fā)生 的網(wǎng)絡安全突發(fā)事件的特點和可能造成的危害，采取下列措施 :(1) 要求各相關單位實行 24 小時值班，相關人員保持通信聯(lián)絡暢通 ;(2) 組織研究制定防范措施和應急工作方案，協(xié)調調度各方資源，做好各項準備工作，重要 情況報部領導小組 ;（3）組織有關單位加強對重要網(wǎng)絡、系統(tǒng)的網(wǎng)絡安全防護;（4）要求相關網(wǎng)絡安全專業(yè)機構、網(wǎng)絡安全企業(yè)進入待命狀態(tài)，針對預警信息研究制定應對方案，檢查應急設備、軟件工具等，確保處于良好狀態(tài)。4.6 預警解除部應急辦和省 （自治區(qū)、直轄市 ）通信管理局發(fā)布預警后，應當根據(jù)事態(tài)

13、發(fā)展，適時調整預警 級別并按照權限重新發(fā)布 ;經研判不可能發(fā)生突發(fā)事件或風險已經解除的，應當及時宣布解 除預警，并解除已經采取的有關措施。相關?。ㄗ灾螀^(qū)、直轄市 ）通信管理局解除黃色、藍色預警后，應及時向部應急辦報告。5. 應急處置5.1 響應分級公共互聯(lián)網(wǎng)網(wǎng)絡安全突發(fā)事件應急響應分為四級：1級、II級、山級、IV級，分別對應已經發(fā)生的特別重大、重大、較大、一般事件的應急響應。5.2 先行處置公共互聯(lián)網(wǎng)網(wǎng)絡安全突發(fā)事件發(fā)生后， 事發(fā)單位在按照本預案規(guī)定立即向電信主管部門報告 的同時，應當立即啟動本單位應急預案， 組織本單位應急隊伍和工作人員采取應急處置措施， 盡最大努力恢復網(wǎng)絡和系統(tǒng)運行， 盡

14、可能減少對用戶和社會的影響， 同時注意保存網(wǎng)絡攻擊、 網(wǎng)絡入侵或網(wǎng)絡病毒的證據(jù)。5.3 啟動響應I 級響應根據(jù)國家有關決定或經部領導小組批準后啟動，由部領導小組統(tǒng)一指揮、協(xié)調。II 級響應由部應急辦決定啟動，由部應急辦統(tǒng)一指揮、協(xié)調。III 級、 IV 級響應由相關省 （自治區(qū)、直轄市 ）通信管理局決定啟動，并負責指揮、協(xié)調。 啟動 I 級、 II 級響應后，部應急辦立即將突發(fā)事件情況向國家網(wǎng)絡安全應急辦公室等報告 部應急辦和相關單位進入應急狀態(tài)，實行 24 小時值班，相關人員保持聯(lián)絡暢通，相關單位 派員參加部應急辦工作 ;視情在部應急辦設立應急恢復、攻擊溯源、影響評估、信息發(fā)布、 跨部門協(xié)調

15、、國際協(xié)調等工作組。啟動 III 級、 IV 級響應后，相關省 （自治區(qū)、直轄市 ）通信管理局應及時將相關情況報部應急辦。5.4 事態(tài)跟蹤啟動 I 級、 II 級響應后，事發(fā)單位和網(wǎng)絡安全專業(yè)機構、網(wǎng)絡安全企業(yè)應當持續(xù)加強監(jiān)測， 跟蹤事態(tài)發(fā)展，檢查影響范圍，密切關注輿情，及時將事態(tài)發(fā)展變化、處置進展情況、相關 輿情報部應急辦。省 （自治區(qū)、直轄市 ）通信管理局立即全面了解本行政區(qū)域受影響情況，并 及時報部應急辦。 基礎電信企業(yè)、 域名機構、 互聯(lián)網(wǎng)企業(yè)立即了解自身網(wǎng)絡和系統(tǒng)受影響情 況，并及時報部應急辦。啟動 III 級、 IV 級響應后，相關省 （自治區(qū)、直轄市 ）通信管理局組織相關單位加強

16、事態(tài)跟蹤 研判。5.5 決策部署啟動 I 級、 II 級響應后，部領導小組或部應急辦緊急召開會議，聽取各相關方面情況匯報， 研究緊急應對措施，對應急處置工作進行決策部署。針對突發(fā)事件的類型、特點和原因，要求相關單位采取以下措施:帶寬緊急擴容、控制攻擊源、過濾攻擊流量、修補漏洞、查殺病毒、 關閉端口、 啟用備份數(shù)據(jù)、暫時關閉相關系統(tǒng)等 對大規(guī)模用戶信息泄露事件， 要求事發(fā)單位及時告知受影響的用戶， 并告知用戶減輕危害的 措施 ;防止發(fā)生次生、衍生事件的必要措施 ;其他可以控制和減輕危害的措施。做好信息報送。及時向國家網(wǎng)絡安全應急辦公室等報告突發(fā)事件處置進展情況;視情況由部 應急辦向相關職能部門、

17、 相關行業(yè)主管部門通報突發(fā)事件有關情況， 必要時向相關部門請求 提供支援。視情況向外國政府部門通報有關情況并請求協(xié)助。注重信息發(fā)布。 及時向社會公眾通告突發(fā)事件情況， 宣傳避免或減輕危害的措施， 公布咨詢 電話， 引導社會輿論。 未經部應急辦同意， 各相關單位不得擅自向社會發(fā)布突發(fā)事件相關信 息。啟動III級、IV級響應后，相關?。ㄗ灾螀^(qū)、直轄市）通信管理局組織相關單位開展處置工作。 處置中需要其他區(qū)域提供配合和支持的，接受請求的?。ㄗ灾螀^(qū)、直轄市 ）通信管理局應當在權限范圍內積極配合并提供必要的支持;必要時可報請部應急辦予以協(xié)調。5.6 結束響應 突發(fā)事件的影響和危害得到控制或消除后， I

18、級響應根據(jù)國家有關決定或經部領導小組批準 后結束；11級響應由部應急辦決定結束，并報部領導小組；III級、IV級響應由相關?。ㄗ灾螀^(qū)、直轄市 ）通信管理局決定結束，并報部應急辦。6. 事后總結6.1 調查評估 公共互聯(lián)網(wǎng)網(wǎng)絡安全突發(fā)事件應急響應結束后，事發(fā)單位要及時調查突發(fā)事件的起因（包括直接原因和間接原因 ）、經過、責任，評估突發(fā)事件造成的影響和損失，總結突發(fā)事件防范 和應急處置工作的經驗教訓，提出處理意見和改進措施，在應急響應結束后10 個工作日內形成總結報告，報電信主管部門。電信主管部門匯總并研究后，在應急響應結束后20 個工作日內形成報告，按程序上報。6.2 獎懲問責 工業(yè)和信息化部對

19、網(wǎng)絡安全突發(fā)事件應對工作中作出突出貢獻的先進集體和個人給予表彰 或獎勵。對不按照規(guī)定制定應急預案和組織開展演練，遲報、謊報、瞞報和漏報突發(fā)事件重要情況， 或在預防、 預警和應急工作中有其他失職、 瀆職行為的單位或個人， 由電信主管部門給予約 談、通報或依法、 依規(guī)給予問責或處分。 基礎電信企業(yè)有關情況納入企業(yè)年度網(wǎng)絡與信息安 全責任考核。7. 預防與應急準備7.1 預防保護基礎電信企業(yè)、 域名機構、互聯(lián)網(wǎng)企業(yè)應當根據(jù)有關法律法規(guī)和國家、 行業(yè)標準的規(guī)定，建 立健全網(wǎng)絡安全管理制度， 采取網(wǎng)絡安全防護技術措施， 建設網(wǎng)絡安全技術手段， 定期進行 網(wǎng)絡安全檢查和風險評估， 及時消除隱患和風險。 電

20、信主管部門依法開展網(wǎng)絡安全監(jiān)督檢查， 指導督促相關單位消除安全隱患。7.2 應急演練電信主管部門應當組織開展公共互聯(lián)網(wǎng)網(wǎng)絡安全突發(fā)事件應急演練， 提高相關單位網(wǎng)絡安全 突發(fā)事件應對能力。 基礎電信企業(yè)、 大型互聯(lián)網(wǎng)企業(yè)、 域名機構要積極參與電信主管部門組 織的應急演練， 并應每年組織開展一次本單位網(wǎng)絡安全應急演練， 應急演練情況要向電信主 管部門報告。7.3 宣傳培訓電信主管部門、 網(wǎng)絡安全專業(yè)機構組織開展網(wǎng)絡安全應急相關法律法規(guī)、 應急預案和基本知 識的宣傳教育和培訓， 提高相關企業(yè)和社會公眾的網(wǎng)絡安全意識和防護、 應急能力。 基礎電 信企業(yè)、 域名機構、 互聯(lián)網(wǎng)企業(yè)要面向本單位員工加強網(wǎng)絡

21、安全應急宣傳教育和培訓。 鼓勵 開展各種形式的網(wǎng)絡安全競賽。7.4 手段建設工業(yè)和信息化部規(guī)劃建設統(tǒng)一的公共互聯(lián)網(wǎng)網(wǎng)絡安全應急指揮平臺，匯集、 存儲、 分析有關 突發(fā)事件的信息，開展應急指揮調度。指導基礎電信企業(yè)、大型互聯(lián)網(wǎng)企業(yè)、域名機構和網(wǎng) 絡安全專業(yè)機構等單位規(guī)劃建設本單位突發(fā)事件信息系統(tǒng)， 并與工業(yè)和信息化部應急指揮平 臺實現(xiàn)互聯(lián)互通。7.5 工具配備 基礎電信企業(yè)、域名機構、互聯(lián)網(wǎng)企業(yè)和網(wǎng)絡安全專業(yè)機構應加強對木馬查殺、漏洞檢測、 網(wǎng)絡掃描、滲透測試等網(wǎng)絡安全應急裝備、工具的儲備，及時調整、升級軟件硬件工具。鼓 勵研制開發(fā)相關技術裝備和工具。8. 保障措施8.1 落實責任各省 （自治區(qū)、直轄市 ）通信管理局、基礎電信企業(yè)、域名機構、互聯(lián)網(wǎng)企業(yè)、網(wǎng)絡安全專業(yè) 機構要落實網(wǎng)絡安全應急工作責任制， 把責任落實到單位領導、 具體部門、 具體崗位和個人， 建立健全本單位網(wǎng)絡安全應急工作體制機制。8.2 經費保障工業(yè)和信息化部為部應急辦、各省 （自治區(qū)、直轄市 ）通信管理局、網(wǎng)絡安全專業(yè)機構開展公 共互聯(lián)網(wǎng)網(wǎng)絡安全突發(fā)事件應對工作提供必要的經費保障。 基礎電信企業(yè)、