網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案模板

網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案模板網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案為科學有效地預(yù)防和應(yīng)對各類網(wǎng)絡(luò)與信息安全突發(fā)事件，及時控制并最大限度地消除危害和影響，切實保障施橋鎮(zhèn)信息系統(tǒng)的正常運行和數(shù)據(jù)、硬件安全，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)管理暫行規(guī)定》等有關(guān)法規(guī)、規(guī)定，特制定本預(yù)案。一、適用范圍本預(yù)案所稱突發(fā)性事件，是指自然因素或人為活動引發(fā)的危害網(wǎng)絡(luò)設(shè)施及信息安全等有關(guān)的災(zāi)害。根據(jù)網(wǎng)絡(luò)與信息安全事件的發(fā)生原因、性質(zhì)和機理，網(wǎng)絡(luò)與信息安全事件主要分為以下三類：（一）人為類事件：指網(wǎng)絡(luò)與信息系統(tǒng)因計算機病毒感染、非法入侵等造成網(wǎng)站主頁被惡意篡改，計算機上的數(shù)據(jù)被非法拷貝、修改、刪除；人為破壞網(wǎng)絡(luò)線路、通信設(shè)施；在網(wǎng)站上發(fā)布的內(nèi)容違反國家的法律法規(guī)、侵犯知識版權(quán)并已造成嚴重后果等，由此導致的業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓等情況。（二）故障類事件：指網(wǎng)絡(luò)與信息系統(tǒng)因計算機軟硬件故障、人為誤操作等導致業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓等情況。（三）災(zāi)害類事件：指因洪水、火災(zāi)、雷擊、地震、臺風等外力因素導致網(wǎng)絡(luò)與信息系統(tǒng)損毀，造成業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓等情況。二、事件分級實施預(yù)警信息等級制度，按照事件可控性、嚴重程度和影響范圍，將網(wǎng)絡(luò)與信息安全突發(fā)事件分為四級：I級（特別重大）、II級（重大）、III級（較大）、IV級（一般）。具體級別定義如果國家有關(guān)法律法規(guī)有明確規(guī)定的，按國家有關(guān)規(guī)定執(zhí)行：（1）I級（特別重大）：造成網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生大規(guī)模癱瘓，事態(tài)的發(fā)展超出區(qū)一級相關(guān)主管部門的控制能力，對國家安全、社會秩序、公共利益造成特別嚴重損害的突發(fā)事件。（2）II級（重大）：造成網(wǎng)站或其它上一級部門重要網(wǎng)絡(luò)與信息系統(tǒng)癱瘓，對國家安全、社會秩序、公共利益造成嚴重損害，需要上級政府或公安部門協(xié)助，乃至需跨地區(qū)協(xié)同處理的突發(fā)事件。（3）III級（較大）：造成網(wǎng)站網(wǎng)絡(luò)與信息系統(tǒng)癱瘓，對國家安全、社會秩序、公共利益造成一定損害，但只需在本區(qū)政府或區(qū)信息中心協(xié)同處理的突發(fā)事件。（4）IV級（一般）：造成網(wǎng)站網(wǎng)絡(luò)重要網(wǎng)絡(luò)與信息系統(tǒng)受到一定程度的損壞，但不危害國家安全、社會秩序和公共利益，可由我主管部門處理的突發(fā)事件。三、組織領(lǐng)導（一）鎮(zhèn)網(wǎng)絡(luò)與信息安全領(lǐng)導小組領(lǐng)導小組的主要職責與任務(wù)是統(tǒng)一領(lǐng)導信息安全事件應(yīng)急工作，全面負責信息安全可能出現(xiàn)的各種突發(fā)事件處理，協(xié)調(diào)解決網(wǎng)絡(luò)與信息安全事件處理工作中的重大問題等。（二）應(yīng)急工作要求1．重在防御、綜合防范。立足安全防護，加強預(yù)警，重點保護重要信息網(wǎng)絡(luò)和關(guān)系到社會穩(wěn)定的重要信息系統(tǒng)；從預(yù)防、監(jiān)控、應(yīng)急處理、應(yīng)急保障和打擊不法行為等環(huán)節(jié)和管理、技術(shù)、宣傳等方面，采取多項措施，充分發(fā)揮各方面的作用，構(gòu)筑網(wǎng)絡(luò)與信息安全保障體系。2．明確責任、分級負責。按照“誰主管、誰負責”的原則，加強網(wǎng)絡(luò)安全管理，認真落實各項安全管理制度和措施。加強計算機信息網(wǎng)絡(luò)安全的宣傳和教育，進一步提高工作人員的網(wǎng)絡(luò)與信息安全意識。3．落實措施、防護到位。對機房、網(wǎng)絡(luò)設(shè)備等設(shè)施定期開展安全檢查，對發(fā)現(xiàn)的安全漏洞和隱患及時進行整改；實行網(wǎng)站的巡察制度，密切關(guān)注互聯(lián)網(wǎng)信息動態(tài)，要按照快速反應(yīng)機制，及時獲取充分而準確的信息，跟蹤研判，果斷決策，迅速處理，最大程度地降低乃至消除危害和影響。4．加強培訓，定期演練。增加技術(shù)學習儲備、規(guī)范應(yīng)急處理措施與操作流程，樹立常備不懈的觀念，定期進行預(yù)案演練，確保應(yīng)急預(yù)案切實可行。5、實時監(jiān)控，及時上報。當發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)事件時，應(yīng)及時按規(guī)定向有關(guān)部門報告。初次報告最遲不得超過2小時，重大和特別重大的網(wǎng)絡(luò)與信息安全突發(fā)事件必須實行態(tài)勢進程報告和日報告制度。報告內(nèi)容主要包括信息來源、影響范圍、事件性質(zhì)、事件發(fā)展趨勢和采取的措施等。四、應(yīng)急響應(yīng)處理流程（一）預(yù)案啟動網(wǎng)絡(luò)與信息安全事件發(fā)生后，應(yīng)急領(lǐng)導工作組盡最大可能收集事件相關(guān)信息，鑒別事件性質(zhì)，確定事件來源，以確定事件范圍和評估事件帶來的影響和損害，確認為網(wǎng)絡(luò)信息安全事件后，對事件進行定級和上報。按照應(yīng)急響應(yīng)流程，由網(wǎng)絡(luò)與信息安全應(yīng)急小組決定啟動應(yīng)急預(yù)案，并由組長負責應(yīng)急處理協(xié)調(diào)工作。（二）應(yīng)急處理1、確認階段。初步確定應(yīng)急處理方式，確定是否符合應(yīng)急預(yù)案啟動條件，若符合，則啟動本預(yù)案。2、遏制階段。及時采取行動遏制事態(tài)發(fā)展，限制潛在的損失與破壞，同時要采取積極措施，使危害程度降到最低。3、根除階段。在事態(tài)得到有效控制后，經(jīng)過對有關(guān)事件或行為的分析結(jié)果，找出事件根源，明確相應(yīng)的補救措施，徹底消除安全隱患。4、恢復(fù)和跟蹤階段。在確保安全問題解決后，要及時清理系統(tǒng)、恢復(fù)數(shù)據(jù)、程序、服務(wù)?；謴?fù)工作應(yīng)避免出現(xiàn)誤操作導致數(shù)據(jù)的丟失。另外，恢復(fù)工作中如果涉及到機密數(shù)據(jù)，需遵照機密系統(tǒng)的恢復(fù)要求。5、在應(yīng)急處理工作結(jié)束后，應(yīng)立即組織有關(guān)人員組成事件調(diào)查組，查清事件發(fā)生的原因及財產(chǎn)損失情況，總結(jié)經(jīng)驗教訓，寫出調(diào)查評估報告，報應(yīng)急領(lǐng)導小組，并根據(jù)問責制的有關(guān)規(guī)定，對有關(guān)責任人員作出處理。必要時采取合理的形式向社會公眾通報。進一步加強宣傳，公布危害性和解決辦法，以避免和減少產(chǎn)生的社會負面影響。（三）應(yīng)急處理方法1、當發(fā)生的網(wǎng)絡(luò)與信息安全事件為故障類或自然災(zāi)害類事件時，應(yīng)根據(jù)當時的實際情況，在保障人身安全的前提下，首先保障數(shù)據(jù)的安全，然后是設(shè)備安全。具體方法如：硬盤的拔出與保存，設(shè)備的斷電與拆卸、搬遷等。2、當發(fā)生的網(wǎng)絡(luò)與信息安全事件為人為類事件時，具體按以下順序進行：判斷破壞的來源與性質(zhì)，斷開影響安全與穩(wěn)定的信息網(wǎng)絡(luò)設(shè)備，斷開與破壞來源的網(wǎng)絡(luò)物理連接，聯(lián)系有關(guān)部門跟蹤并鎖定破壞來源的IP或其它網(wǎng)絡(luò)用戶信息，修復(fù)被破壞的信息，恢復(fù)信息系統(tǒng)。按照災(zāi)害發(fā)生的性質(zhì)分別采用以下方案：（1）病毒傳播：要及時斷開傳播源，聯(lián)系相關(guān)技術(shù)部門判斷病毒的性質(zhì)、采用的端口，然后關(guān)閉相應(yīng)的端口，在網(wǎng)上公布病毒攻擊信息以及防御方法。（2）網(wǎng)絡(luò)入侵：首先要聯(lián)系相關(guān)技術(shù)部門，判斷入侵的來源，區(qū)分外網(wǎng)與內(nèi)網(wǎng)。入侵來自外網(wǎng)的，定位入侵的IP地址，及時關(guān)閉入侵的端口，限制入侵地IP地址的訪問，在無法制止的情況下能夠采用斷開網(wǎng)絡(luò)連接的方法。入侵來自內(nèi)網(wǎng)的，查清入侵來源，如IP地址、上網(wǎng)帳號等信息，同時斷開對應(yīng)的交換機端口。然后針對入侵方法建設(shè)或更新入侵檢測設(shè)備。（3）信息被篡改：一經(jīng)發(fā)現(xiàn)馬上斷開相應(yīng)的信息上網(wǎng)鏈接，并盡快恢復(fù)。（4）網(wǎng)絡(luò)故障：根據(jù)相應(yīng)工作流程盡快排除。（5）其它沒有列出的不確定因素造成的災(zāi)害，可根據(jù)總的安全原則，結(jié)合具體的情況，做出相應(yīng)的處理。當采用一般應(yīng)急處理措施仍無法控制事態(tài)時，要迅速研究采取有利于控制事態(tài)的非常措施，并向區(qū)政府網(wǎng)絡(luò)與信息安全應(yīng)急領(lǐng)導小組辦公室請求支援。（四）安全事件的處理記錄在事件的上報、接收和處理過程中，事件接收人、處理負責人應(yīng)及時作好完整的過程記錄。事件處理完成后歸檔。（五）結(jié)束響應(yīng)系統(tǒng)恢復(fù)正常運行后，應(yīng)急領(lǐng)導小組對事件造成的損失、事件處理流程和應(yīng)急預(yù)案進行評估，對響應(yīng)流程、預(yù)案提出修改意見，總結(jié)事件處理經(jīng)驗和教訓，撰寫事件處理報告，同時確定是否需要上報該事件及其處理過程，需要上報的應(yīng)及時準備相關(guān)材料，上報相關(guān)部門。五、應(yīng)急保障措施1、人員保障堅持網(wǎng)絡(luò)與信息安全防護24小時值班制度，認真落實值班人員安排。2、技術(shù)保障重視網(wǎng)絡(luò)與信息技術(shù)的建