网络和信息安全事件应急救援预案

网络与信息安全事件应急预案

一、总则

为做好应对网络与信息安全事件的各项准备工作，提高应急处理能力，结合本单位实际，制定本预案。

1、编制依据

《中华人民共和国突发事件应对法》、《国家网络与信息安全事件应急预案》、《信息安全事件分类分级指南》等相关法律规定。

2、事件分类

网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件设备设施故障和灾害性事件等。

(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

(4)信息内容安全事件是指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。

(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

(6)灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。

3、预案启动条件

当发生以上6种或其他网络信息安全事件时启动本预案。 二、组织机构

网络安全及信息化领导小组成员如下： 组长：柴志明、芮继强

副组长：汪家玉、王敏生、查显双、李志华 成员：各处室负责人

领导小组办公室：信息管理处 办公室主任：汪涛 三、处理及报告流程

1、预案启动

网络与信息安全事件发生后，领导小组成员尽最大可能收集事件相关信息，鉴别事件性质，确定事件来源，以确定事件范围和评估事件带来的影响和损害，确认为网络信息安全事件后，对事件进行定级和上报，并启动应急预案，并由组长负责应急处理协调工作。

2、应急处理及报告

(1)确认阶段。初步确定应急处理方式，确定是否符合应急预案启动条件，若符合，则启动本预案。

(2)遏制阶段。及时采取行动遏制事态发展，限制潜在的

损失与破坏，同时要采取积极措施，使危害程度降到最低。

(3)根除阶段。在事态得到有效控制后，通过对有关事件或行为的分析结果，找出事件根源，明确相应的补救措施，彻底消除安全隐患。

(4)恢复和跟踪阶段。在确保安全问题解决后，要及时清理系统、恢复数据、程序、服务。恢复工作应避免出现误操作导致数据的丢失。另外，恢复工作中如果涉及到机密数据，需遵照机密系统的恢复要求。

(5)在应急处置工作结束后，应立即组织小组成员组成事件调查组，查清事件发生的原因及财产损失情况，总结经验教训，写出调查评估报告，报应急领导小组组长，并根据问责制的有关规定，对有关责任人员作出处理。进一步加强防范，在公司范围内公布危害性和解决办法，以避免和减少产生的损失。 四、应急预案

1、有害程序事件

要及时断开传播源，判断病毒的性质、采用的端口，然后关闭相应的端口，在系统内公布病毒攻击信息以及防御方法。

2、网络攻击事件

（1）重要的软件系统平时必须存有备份，与软件系统相对应的数据必须有多日的备份，并将它们保存于安全处。

（2）当管理员通过入侵监测系统发现有黑客正在进行攻击时，应立即向信息安全领导小组办公室报告。软件遭破

坏性攻击（包括严重病毒）时要将系统停止运行。

（3）管理员首先要将被攻击（或病毒感染）的服务器等设备从网络中隔离出来，保护现场，并同时向信息安全领导小组报告情况。

（4）小组成员责恢复与重建被攻击或被破坏的系统，恢复系统数据，并及时追查非法信息来源。

（5）事态严重的，立即向信息安全小组组长报告，并向相关部门进行汇报。

3、信息破坏事件

(1)重要的软件系统平时必须存有备份，与软件系统相对应的数据必须按本单位容灾备份规定的间隔按时进行备份，并将它们保存于安全处。

(2)一旦软件遭到破坏性攻击，应立即向信息安全领导小组办公室报告，并将该系统停止运行。

(3)检查信息系统的日志等资料，确定攻击来源，并将有关情况汇报，再恢复软件系统和数据。

4、设备安全发生故障事件

（1）小型机、服务器等关键设备损坏后，管理员应立即向信息安全领导小组办公室报告。

（2）日常应急办公室网络安全岗负责人员立即查明原因。

（3）如果能够自行恢复，应立即用备件替换受损部件。 （4）如属不能自行恢复的，立即与设备提供商联系，请求派维护人员前来维修。

（5）如果设备一时不能修复，应向信息安全领导小组办公室汇报，并告知各部门，暂缓上传上报数据，直到故障排除设备恢复正常使用。

5、其他自然灾害紧急处置措施

发生自然灾害后，首先应该组织人员撤离现场。当确认灾害不会造成人生伤害后，在回到机房检查设备，评估灾害受损范围，立刻向网络安全领导小组组长汇报，并联系相关网络和设备厂家，积极做好灾后恢复工作，确保在最短时间内恢复机房正常运行。

6、发生盗抢事件紧急处置措施

发生盗抢事件后，要保护好现场然后报警，并向网络安全领导小组组长报情况。待现场处理完毕后，要组织相关人员估计损毁情况，并联系相关网络和设备厂家，积极做好恢复工作

五、应急响应计划

1、先期处置。

（1）当发生网络与信息安全突发事件时，值班人员应做好先期应急处置工作，立即采取措施控制事态，同时向领导小组办公室报告。

（2）办公室在接到网络与信息安全突发事件发生或可能发生的信息后，应立即向应急领导小组组长汇报，并加强与有关方面的联系，并做好启动本预案的各项准备工作。

2、应急指挥。

预案启动后，要抓紧收集相关信息，掌握现场处置工作