(完整版)網絡安全管理應急預案

1、網絡平安應急預案一、總那么（一）目的為科學應對網絡與信息平安（以下簡稱信息平安）突發(fā)事件，建 立健全信息平安應急響應機制，有效預防、及時控制和最大限 度地消除信息平安各類突發(fā)事件的危害和影響，制訂本應急預 案。（二）工作原那么預防為主。立足平安防護，加強預警，重點保護基礎信息網絡 和關系國家平安、經濟命脈、社會穩(wěn)定的重要信息系統(tǒng)?？焖俜错?。及時獲取充分而準確的信息，果斷決策，迅速處置, 最大程度地減少危害和影響。分級負責。按照誰主管誰負責的原那么，建立和完善平安責任 制及聯(lián)開工作機制。加強部門間的協(xié)調與配合，形成合力，共 同履行應急處置工作的管理職責。常備不懈。規(guī)范應急處置措施與操作流程，定期

2、進行預案演練, 確保應急預案切實有效，實現(xiàn)網絡與信息平安突發(fā)公共事件應 急處置的科學化、程序化與規(guī)范化。（三）組織機構及職責設立信息系統(tǒng)應急工作領導小組，為公司處理信息平安突發(fā)事 件應急工作的綜合性議事、協(xié)調機構。主要職責是：按照研究決定信息平安應急工作的有關重大問 題，決定啟動網絡與信息平安突發(fā)事件應急指揮部，統(tǒng)一領導 和組織指揮重大信息平安突發(fā)事件的應急處置工作。二、預警和預防機制（一）預警信息系統(tǒng)應急工作領導小組接到信息平安突發(fā)事件報告后，在 核實，研究分析可能造成損害程度的基礎上，提出初步行動對 策，視情況召集協(xié)調會，并根據(jù)應急委的決策實施行動方案， 發(fā)布指示和命令。（二）預防機制積極

3、推行信息平安等級保護，逐步實行信息平安風險評估。各 基礎信息網絡和重要信息系統(tǒng)建設要充分考慮抗毀性與災難 恢復，制定完善信息平安應急處理預案。針對基礎信息網絡的 突發(fā)性、大規(guī)模平安事件，各相關部門建立制度化、程序化的 處理流程。三、應急處理程序（一）級別確實定根據(jù)信息系統(tǒng)平安等級保護定級報告確定信息平安事件等 級。（二）預案啟動根據(jù)網絡信息平安事件等級的不同，相關部門啟動相應預案， 并負責應急處理工作。（三）現(xiàn)場應急處理事件發(fā)生單位和現(xiàn)場應急處理工作組盡最大可能收集事件相 關信息，判別事件類別，確定事件來源，保護證據(jù)，以便縮短 應急響應時間。檢查威脅造成的結果，評估事件帶來的影響和損害：如檢查

4、系 統(tǒng)、服務、數(shù)據(jù)的完整性、保密性或可用性；檢查攻擊者是否 侵入了系統(tǒng)；以后是否能再次隨意進入；損失的程度；確定暴 露出的主要危險等。抑制事件的影響進一步擴大，限制潛在的損失與破壞。可能的 抑制策略一般包括：關閉服務或關閉所有的系統(tǒng)，從網絡上斷 開相關系統(tǒng)的物理鏈接，修改防火墻和路由器的過濾規(guī)那么；封 鎖或刪除被攻破的登錄賬號，阻斷可疑用戶得以進入網絡的通 路；提高系統(tǒng)或網絡行為的監(jiān)控級別；設置陷阱；啟用緊急事 件下的接管系統(tǒng)；實行特殊防衛(wèi)狀態(tài)平安警戒；還擊攻擊者 的系統(tǒng)等。在事件被抑制之后，通過對有關惡意代碼或行為的分析結果， 找出事件根源，明確相應的補救措施并徹底清除。與此同時， 執(zhí)法部門

5、和其他相關機構對攻擊源進行準確定位并采取合適 的措施將其中斷。清理系統(tǒng)、恢復數(shù)據(jù)、程序、服務。把所有被攻破的系統(tǒng)和網 絡設備徹底還原到正常的任務狀態(tài)?；謴凸ぷ鲬中⌒?，避 免出現(xiàn)操作失誤而導致數(shù)據(jù)喪失。另外，恢復工作中如果涉及 機密數(shù)據(jù)，需要額外按照機密系統(tǒng)的恢復要求。如果攻擊者獲 得了超級用戶的訪問權，一次完整的恢復應強制性地修改所有 的口令。（四）報告和總結回顧并整理發(fā)生事件的各種相關信息，盡可能地把所有情況記 錄到文檔中。發(fā)生重大信息平安事件的單位應當在事件處理完 畢后將處理結果報上級主管部門備案。（五）應急行動結束 根據(jù)信息平安事件的處置進展情況和現(xiàn)場應急處理工作組意 見，信息系統(tǒng)應

6、急工作領導小組組織相關部門及專家組對信息 平安事件處置情況進行綜合評估，并提出應急行動結束建議， 報相關部門審批。應急行動是否結束，相關主管部門決定。四、保障措施（一）技術支撐保障建立預警與應急處理的技術平臺，進一步提高平安事件的發(fā)現(xiàn) 和分析能力：從技術上逐步實現(xiàn)發(fā)現(xiàn)、預警、處置、通報等多 個環(huán)節(jié)和不同的網絡、系統(tǒng)、部門之間應急處理的聯(lián)動機制。（二）應急隊伍保障加強信息平安人才培養(yǎng)，強化信息平安宣傳教育，建設一支高 素質、高技術的信息平安核心人才和管理隊伍，提高全社會信 息平安防御意識。大力開展信息平安服務業(yè)，增強社會應急支 援能力。（三）物資條件保障安排信息化建設專項資金用于預防或應對信息平

7、安突發(fā)事件， 提供必要的經費保障，強化信息平安應急處理工作的物資保障 條件。（四）技術儲藏保障 信息系統(tǒng)應急工作領導小組組織有關專家和科研力量，開展應 急運作機制、應急處理技術、預警和控制等研究，組織參加相 關培訓，推廣和普及新的應急技術。五、事件處理流程（一）黑客攻擊時的緊急處置流程：當有關值班人員發(fā)現(xiàn)平臺內容被篡改，或通過入侵檢測系統(tǒng)發(fā) 現(xiàn)有黑客正在進行攻擊時，應立即向信息系統(tǒng)應急工作領導小 組報告情況。信息系統(tǒng)應急工作領導小組相關成員應在十分鐘內趕到現(xiàn)場， 并首先應將被攻擊的服務器等設備從網絡中隔離出來，保護現(xiàn) 場。信息系統(tǒng)應急工作領導小組負責被攻擊或破壞系統(tǒng)的恢復與 重建工作。信息系統(tǒng)

8、應急工作領導小組組織相關人員追查攻擊來源。會商 后，將有關情況向信息平安領導小組報告，并妥善保存有關記 錄及 日 志或審計記錄。信息系統(tǒng)應急工作領導小組組長召開信息平安領導小組會議， 如認為事態(tài)嚴重，那么立即向公安部門或上級機關報警。（二）病毒平安緊急處置流程：當發(fā)現(xiàn)有服務器被感染上病毒后，應立即通知平安管理員，將 該機從網絡上隔離開來。平安管理員在接到通報后，應在十分鐘內趕到現(xiàn)場。對該設備 的硬盤進行數(shù)據(jù)備份。啟用反病毒軟件對該機進行殺毒處理， 同時通過病毒檢測軟件對其他機器進行病毒掃描和清除工作。 如果現(xiàn)行反病毒軟件無法清除該病毒，應立即向信息系統(tǒng)應急 工作領導小組報告，并迅速聯(lián)系有關產品商研究解決。信息系統(tǒng)應急工作領導小組會商后，認為情況嚴重的，應立即 將有關情況向上級主管部門報告，并妥善保存有關記錄及日志 或審計記錄。信息系統(tǒng)應急工作領導小組組長召開信息平安領導小組會議， 如認為事態(tài)嚴重，那么立即向公安