网络安全应急响应预案
一、网络安全应急响应预案培训与演练
网络安全应急响应和一般意义的突发公共事件应急响应一样,也需要对制定的应急响应方案“勤加演练”,以巩固能力、磨炼意志、锻炼队伍。网络攻击等紧急事件的发生,往往会扰乱正常的网络秩序,影响网络办公系统的正常运行,使网络安全受到威胁,造成如网络瘫痪、数据被窃取或丢失等后果,甚至更严重的损失。因此,在应急响应预案制定以后,有组织有规划地模拟演练具有至关重要的作用。只有经过网络安全应急预案的扎实培训与演练,才能在遇到网络突发事件时,及时有效地对事件做出响应,切实履行应急响应预案内容,准确给出应急处理方法,将危害降到最低。
(一)网络安全应急响应预案培训与演练目的
1、增强网络安全意识
网络安全事故隐患往往“生成”于无形。例如,漏洞或黑客攻击发生之时,受害方企事业单位可能处于非常危险的境地而无所察觉,一些内部部门人员的网络安全意识也容易懈怠。但不论是内部员工的疏忽还是管理上的大意,都可能给身在“暗处”的网络犯罪分子以可乘之机。加上常规情况下,企事业单位的网络安全事件并不常见,尤其是重大灾难性的网络安全事故直接关系到企业的生存,更不是普通员工所了解的,因此网络安全应急响应的培训演练将对内部管理人员、普通员工的网络信息安全意识的提高非常重要。
2、检验预案的有效性
为了使政府机构和企事业单位的相关人员了解应急响应预案的内容,熟悉应急响应预案的制定规则和实施流程,相关组织需要对应急响应预案进行培训,并通过演练来检验所制定的应急响应预案的有效性,使之在真正应对突发事件,如网络入侵和攻击等情况时,能够临危不乱,有效应对。通过应急演练,还可以发现应急预案中存在的问题,在突发事件发生前暴露预案的缺点,验证预案在应对可能出现的各种意外情况时所具备的适应性,找出预案需要进一步完善和修正的地方。
3、提高整体作战协调能力
应急响应预案的培训与演练能够在提高相关人员的网络安全意识的同时,培养相关人员之间、特别是跨部门人员之间的协调能力,并且能够检测应急响应工作的整体性、充分性和完整性。通过机构内部各个业务部门、职能部门、技术部门在
模拟演练中实时磨合,提高各级领导者应对突发事件的分析研判、决策指挥和组织协调能力,帮助应急管理人员和各类救援人员熟悉突发事件情景,提高应急熟练程度和实战技能。
网络系统可能跨越不同地区、不同城市,甚至相隔几千公里的省份,因此重视网络安全应急响应,并及时、适时加以培训和实战演练,可以改善各应急组织机构、人员之间的交流沟通、协调合作,提升整体作战的协调能力和水平。
(二)网络安全应急响应预案培训
应急响应预案的培训是为了更好地应对网络突发状况,实施演练计划所做的每一项工作,其培训过程主要针对应急预案涉及的相关内容进行培训学习。做好应急预案的培训工作能使各级人员明确自身职责,是做好应急响应工作的基础与前提。应急响应预案的培训分为以下几个方面。
1、应急响应预案培训的要求
应急响应预案制定后需要对相关人员进行培训,规定好针对不同角色人员的培训计划、培训方式,并对最后的培训结果进行验收,同时,要对整体培训过程以及考核得分做出记录。
2、应急响应预案培训的方式
应急响应预案的培训可以采用多种方式,包括书籍阅读、人工授课、视频教学、开展培训班等。通过培训学习提高相关人员的网络安全意识,加强对于紧急网络事件的应变能力。
3、应急响应预案培训的范围
(1)政府机构人员:政府机构网络涉及重要资料数据甚至国家机密文件,对政府机构人员的培训工作直接关系到国家安全。另外,在网络救援实施过程中,需要政府相关部门起到领导决策作用,在救援行动的关键节点给予批准,并做好整体把关,因此对其培训工作尤为重要。
(2)企业人员:全体员工都要进行应急响应预案相关知识的培训学习,提高网络安全意识,在网络安全受到威胁时了解自身岗位职责,提高执行能力。
(3)专业应急处理人员:突发网络攻击事件发生时,专业应急处理人员是救援工作的主要力量,因此要大力加强其培训工作,使其学习更多网络安全威胁处理措施,熟悉应急响应预案的步骤及岗位职责,切实做到临危不乱,对紧急情况有效有序地处理,快速恢复网络系统正常状态。
4、应急响应预案培训的内容
学习网络信息安全相关法规、条例、标准和安全知识,了解各种网络恶意事件所造成的损害,学习不同级别事件的应急策略和行动计划等。培训过程中可根据预案中人员角色等级,有针对性地对内容进行更改调整。
(三)网络安全应急响应预案演练
制定好的应急响应预案,只做培训还不够,还需要通过实战演练来提高应对网络突发事件的行动力,针对网络突发事件的假想情景,按照应急响应预案中规定的职责和程序来执行应急响应任务。根据出现的新的网络攻击手段或其他特殊情况,不断进行预案的调整完善。
1、应急演练的作用
应急演练是对应急响应预案可行性的有效验证。通过演练可以检验应急响应小组中每个成员对工作完成的熟练程度和相互配合能力,包括各个部门之间的配合、成员之间的协调。通过实战练习积累经验,对应急响应预案内容不断地充实和完善,使负责人员、执行人员、应急专业技术人员应对网络突发事件的应变能力得以提升,从而有条不紊地处理突发事件。
2、应急演练的组织实施
应急演练的组织工作由应急小组指挥人员执行,包括演练地段的选择、保障物资与设备的准备、人员任务的分配等。整个实施过程由应急响应执行人员和记录人员组成,按照应急响应预案计划进行准备与实行。各级人员明确分工,并充分做好网络恢复保障工作。演练可以采用对网络系统或者主机进行虚拟攻击的方式,过程中要特别注意对这些危害的掌控。
3、应急演练的考核与总结
记录人员对演练的每个环节都要做好记录、资料收集和评价工作。对网络突发事件处理过程中遇到的问题进行分析汇总,并对每个岗位所在人员的表现进行评测,演练完毕以后要对整个演练过程进行总结,以不断地改进预案,验证可行性,更好地应对在实际生活中可能发生的多种紧急情况。
4、应急演练的注意事项
应急演练时首先要制定一个适应性计划,在证明应急响应预案有效性的同时,保证网络的安全,避免由于一次演练的失误而造成真正的网络攻击,使政府或企业重要资料数据泄露或财产遭受损失。
二、网络安全应急演练环境
应急演练的环境包括进行应急演练所需的文档、人员和设备。完整的环境不仅保证了演练可以完整实施,也提升了该演练的效果。应急演练的环境应该尽可能与真实场景相同,人员参与尽可能全面,对应急演练事件的记录尽量详细。
通过已有的一些网络安全事件和网络安全应急演练,可以对一般的环境进行综合和总结,设计出综合的应急演练环境。
(一)网络安全应急演练文档
应急演练文档是为了规范和记录应急演练事件,应急演练文档包括应急演练方案、应急通信录以及应急演练记录表。
1、应急演练方案
应急演练方案是对每次应急演练的部署和指导,该方案应为每个参与应急演练的人员所熟知。应急演练方案应包括以下内容。
(1)应急演练的背景、目的和假设。这一部分应对应急演练进行基本介绍,让全体参与者对演练有初步的了解。
(2)应急演练流程。该部分通过流程图的方式,明确整个事件流程、需要完成的任务、可能出现的情况等。流程图可以对应急演练进行简明扼要的归纳。
(3)网络架构图、应急恢复策略及应急故障处理。这一部分为技术人员提供指引,包括熟知网络拓扑结构以及故障发生时所应进行的行动。
(4)事故上报模板、任务分配表以及岗位职责。这一部分明确了应急演练中部门的职责和个人的任务,通过提供模板提高上报速度。
2、应急通信录
应急通信录保证了当发生事件时,每个涉事人员、部门和领导可以被联络到。应急通信录包括全员通信录、关键电话线、设备供应商通信录和安全厂商通信录。在进行应急演练中,通过全员通信录,可以快速定位到个人;通过关键电话线,可以找到负责某一项工作的部门;如发生意外,通过设备供应商通信录和安全厂商通信录,可以找到设备供应商和有资质的安全厂商,以避免造成不必要的损失。
3、应急演练记录表
应急演练记录表是指对应急演练过程产生的相关数据进行记录,以备后期查询、分析和总结。应急演练记录表包括响应时间表、损失评估表等,对响应的速度、应急演练每一阶段造成的损失进行记录。这些应急演练记录表是对本次应急演练评估分析的重要依据,因此非常重要。
以上为应急演练基本文档,在实际操作中可以根据实际情况进行更改。
(二)演练人员安排
应急演练的参与者可以分为3个层次:把握全局的领导层、具体执行演练的实施层以及为演练提供支持的后勤层。
1、领导层
领导层对应急演练的全局进行把握,确定时间节点、具体方案、应急演练实施的效果以及突发情况下的组织。同时对人员进行调度,对资源进行配置。
2、实施层
实施层负责具体执行应急演练的任务,包括执行应急演练和后期运维2个方面。应急演练执行小组对网络行为、数据行为进行分析,对痕迹进行取证,对涉及的样本进行逆向分析,并且整理应急演练的报告。后期运维小组对应急演练中的行为监控,避免出现越权或破坏行为,应急演练前对设备进行管理,应急演练后对造成的影响进行恢复。
3、后勤层
后勤层人员对安全事件的影响进行评估。后勤层在出现问题时进行上下级和部门间的沟通,并与外界的厂商、安全机构联络,确保应急演练的实施全程沟通畅通。当出现意外情况时,可以快速寻求帮助,为全员提供支持。
(三)演练设备安排
应急演练的环境既要能够与实际环境相匹配,又要保证演练事件不会对正常的工作造成影响,不会对正常的网络造成破坏。因此对设备的安排要遵从以下几点。
1、应急演练的环境应尽量与实际环境相同
相似的人员结构与拓扑结构可以提升演练在真实场景中的应用。因此应事先整理全局网络结构拓扑图,并由此给出应急演练的网络拓扑结构。对于非保密、非重要、非关键节点可以考虑用真机进行操作。
2、使用虚拟设备实现逻辑隔离
对于一些重要的节点,应急演练可能对该节点造成一定的影响,因此要使用虚拟设备进行隔离,避免造成不必要的损失。
3、使用备用设备替代或进行物理隔离
对于关键节点要进行物理隔离,同一位置可以使用其他物理设备进行替代,在保证拓扑结构完整的同时,对这些位置进行保护。
三、演练示例——以企业为例
以企业网络应急响应为例,将企业网络安全应急演练的大致过程逐一呈现,分为演练准备、演练步骤、其他相关保障3个部分。
(一)演练准备
在网络安全应急演练之前,需要理解和熟悉应急响应预案的背景或相关信息;组织专门队伍,明确职责定位;同时还需对接企业既有的预防监控制度。
1、熟悉预案,理解演练内容
主要目的是使该应急响应预案更容易理解、实施和后期维护。通常在这部分内容中主要包括背景、目的、适用范围及影响情况等。
(1)背景:介绍该预案的背景信息,并说明其启动响应预案的原因及受影响的层面。
(2)目的:介绍该预案的最终完成目标。
(3)适用范围:介绍该预案涉及的范围,确定该预案能够解决哪些问题,以及不能够解决哪些问题等。
2、人员配置及职责
企事业单位应急响应工作演练组织架构按照人员的职能划分为4个功能小组:领导小组、IT支撑实施小组、后期运维小组及公关外联小组。在发生网络突发事件后,在领导小组的统一指挥下,各个应急响应小组的成员各司其职,并严格按照应急响应计划组织实施应急响应的工作。
(1)领导小组职能:领导预案的实施与监督,例如由企业一把手担任组长。
(2)IT支撑实施小组职能:联合业务线负责人、IT技术支撑人员、外部技术专家和外部顾问,共同执行相关事故检测、抑制、根除、恢复、跟进等任务。
(3)后期运维小组职能:实际上也是上述IT支撑实施小组的组成分支之一,但更加注重处理“跟进阶段”的事宜,主要包括监控各个提醒日志、权限管理、设备管理等,评估事件发生后的损失,并做好后方物质保障。
(4)公关外联小组职能:在需要的情况下,负责对外沟通、互动,回应公共舆论或网民的关切;特殊情况还要向主管部门、公安部门通报情况;如果是内部可以处理,并未对公共互联网和客户造成明显影响,那么公关外联小组可以对内发布消息,报告事实经过即可。
整个应急响应组织内的人员需要具备良好的管理技能,不同程度的专业技能,保持团队合作精神,保障各个小组在事件发生时合理分工,建立起各个应急响应小组在突发状况下的恢复控制能力。
3、对接预防监控制度
为维护整个网络信息系统的安全性和稳定性,企业一般实行日常实时监控制度,出现异常或报警情况及时上报给网络安全应急响应小组,由相关人员检查处理,将事故消灭在萌芽状态。
因此,在应急演练将要正式开始执行时,须对接好常规网络维护、预防监控等制度。同时应急响应小组中的相关人员要定期检查网络日志,加强对网络安全防护和应急准备工作的监督检查,保障网络系统的安全畅通,随时准备发现网络安全问题、启动网络安全应急响应。
(二)演练步骤
1、应急事件通报
应急响应实施后,发现网络故障的相关人员有责任将情况进行汇报。上报分为两种情况:正常工作时间的突发事件的报告,根据报告流程,向直属领导汇报,并通知应急小组相关负责人;非工作时间的突发事件报告,通知应急小组值班人员,值班人员及时备案,并尽量联系维修人员做临时的网络维护。
2、确定应急事件优先级
这里我们假设企业按照应急响应四级的分类标准定级,但每个分级下的指标可以由企业根据自己的业务特点和性质加以限定。下面的指标参数标准可作参考。
(1)通过对突发事件的预警评估,突发事件符合以下一项或多项标准时,将突发事件性质定义为重大突发事件(Ⅰ级)。
1)网络系统中断时间超过4 h。
2)其他关键业务系统中断时间超过8 h。
3)受影响的业务范围超过总量50%。
4)超过60 min以上的关键实时数据破坏或丢失。
5)关键机房无法进入时间超过12 h。
6)关键机房无法提供正常服务时间超过24 h。
7)其他满足重大突发事件(Ⅰ级)特征的突发事件。
(2)通过对突发事件的预警评估,突发事件符合以下一项或多项标准时,将突发事件性质定义为较大突发事件(Ⅱ级)。
1)网络系统中断时间超过2 h。
2)其他关键业务系统中断时间超过4 h。
3)受影响的业务范围超过总量30%。
4)超过30 min以上的关键实时数据破坏或丢失。
5)关键机房无法进入时间超过4 h。
6)关键机房无法提供正常服务时间超过12 h 。
7)其他满足较大突发事件(Ⅱ级)特征的突发事件。
(3)通过对突发事件的预警评估,突发事件符合以下一项或多项标准时,将突发事件性质定义为一般突发事件(Ⅲ级)。
1)主要系统部分中断超过2 h。
2)关键业务系统中断时间超过4 h(受影响的业务范围超过总量10%)。
3)超过5 min以上的关键实时数据破坏或丢失。
4)关键机房无法进入时间超过30 min。
5)关键机房无法提供正常服务时间超过4 h。
6)其他满足一般突发事件(Ⅲ级)特征的突发事件。
3、应急响应启动实施
(1)重大突发事件(Ⅰ级)处置的指挥权限。
1)组织处置:应急响应领导小组直接负责。
2)突发事件处置方案:应急响应IT支撑实施小组负责处理。
3)灾难宣告:应急响应领导小组负责决策是否启动网络恢复行动,负责决策是否启动Ⅰ级恢复预案。
4)事件评级、事件升级预警:应急响应IT支撑实施小组提出建议,并报领导小组批准。
5)事件降级:应急响应IT支撑实施小组提出建议,应急响应领导小组负责批准。
6)事件报告:由应急响应公关外联小组负责向应急响应领导小组报告。
(2)重大突发事件(Ⅰ级)的主要恢复策略包括以下五点。
1)应急响应领导小组立即启动紧急指挥中心,进行指挥部署。
2)应急响应领导小组通知和调动所有应急响应IT支撑实施团队。
3)应急响应后期运维小组调动所有备用处理设备。
4)网络恢复行动立即准备就绪,人员到位,所有服务和设施立即现场激活。
5)IT 支撑实施小组接收到事件报告后,立即调动后期小组做好备份工作,同时应急响应IT支撑实施小组各个人员实施网络救援工作。
(3)较大突发事件(Ⅱ级)处置的指挥权限。
1)组织处置:应急响应领导小组直接负责。
2)突发事件处置方案:应急响应IT支撑实施小组负责处理。
3)灾难宣告:由应急响应领导小组负责决策是否启动备份,负责决策启动Ⅱ级恢复预案。
4)事件评级、事件升级预警:应急响应IT支撑实施小组提出建议,并报应急响应领导小组批准,如果事件的严重性超过Ⅱ级但尚未达到Ⅰ级,按相对高一级突发事件处理。
5)事件降级:应急响应IT支撑实施小组提出建议,应急响应领导小组负责批准。
6)事件报告:由应急响应公关外联小组负责向领导小组报告。
(4)较大突发事件(Ⅱ级)的主要恢复策略包括以下几个方面。
1)应急响应领导小组指挥工作启动。
2)应急响应外联小组根据预先确定的降级策略和应用优先级,对网络系统服务水平和持续时间进行评估。
3)制定本地网络恢复和降级策略,首先组织应急响应IT支撑实施小组进行现场恢复。
4)将事件的严重性和紧急情况的预计持续时间通知应急响应领导小组,决定是否部分启动备用网络恢复服务。
5)IT支撑实施小组相关人员立即准备就绪,人员到位。
6)公关外联小组对事件严重性和紧急情况评估结果上报,实施小组接到上报结果后,再激活所有服务和设施。
7)IT支撑实施小组与后期运维小组根据部分接管的策略,启动相应的接管程序。
(5)一般突发事件(Ⅲ级)处置的指挥权限。
1)组织处置:应急响应领导小组直接负责。
2)突发事件处置方案:应急响应IT支撑实施小组负责处理。
3)灾难宣告:由公关外联小组报告后,领导小组负责决策是否启动Ⅲ级恢复预案。
4)事件评级、事件升级预警:应急响应后期运维小组负责评估。如果事件的严重性超过Ⅲ级但尚未达到Ⅱ级,按相对高一级突发事件处理。
5)事件降级:应急响应后期运维小组负责评估。
6)事件报告:由应急响应公关外联小组负责向领导小组报告。
(6)一般突发事件(Ⅲ级)的主要恢复策略:通过日常监测和网络维护就可以解决的网络安全问题可不启动应急响应,由应急响应IT支撑实施小组负责处理,并恢复系统即可。
4、应急响应事件后期运维
应急响应处理过程完毕之后,各部门要做好后期保护检查工作,防止故障再次发生。后期运维小组要定期检查各个提醒日志,监控网络状态,检查设备的完好性,并且组织实施网络恢复和系统重建工作。应急响应领导小组组织其他小组通知相关恢复团队和用户部门,评估预计时间内的网络恢复情况,恢复网络服务环境,不影响业务的正常进行。事件发生的所有情况都要记录到文档并形成报告上报给企业内部上级部门。
5、更新现有应急预案
根据应急演练中总结的问题和收集的资料对既有应急预案进行及时更新以适应更多复杂情况。包括应急处理方案、保障设备、网络修复方案等的更新。每次演练后发现预案中存在与实际情况不符的情况,需要在演练结束后立即记录、更正,保持预案相关文档资料同步更新。
(三)其他相关保障
1、责任与奖惩
在网络安全应急响应演练中,一般可建立奖惩制度。对表现出色的人员给予表彰,并组织其他人员进行交流学习,表现不好的人员给予通报批评并增加演练次数以使参与人员都能掌握操作过程。
2、物质设备保障
通过对网络突发事件的损失评估,调整应急响应经费的预算投入以适应不同的情况,对整个网络系统中的设备及时检查、更新,保障网络安全。
3、专业队伍技术强化
应急响应IT支撑实施小组在技术力量建设方面,要加强专业技能,强化专项技术。如平常注重加强编程高级技能,可以在需要分析恶意代码等问题时更容易找出“骇客”的作案手法;同时要确保有擅长不同领域的专业技术人员。
此外,及时获取最新网络攻击方式、病毒名称、传播方式等相关信息,密切关注国家相关部门的预警,和专业安全技术厂商加强沟通,汲取网络安全理论界和业界实践中积累的经验等,也是提升网络安全应急响应IT支撑实施小组队员专业技能、保障应急响应实施技术储备达到预期效果的有效途径。
四、结语
网络安全应急演练环节是企事业单位熟悉预案、落实预案流程的重要手段。主要介绍了网络安全应急演练相关内容,包括应急响应预案的培训与演练、应急响应环境以及应急响应预案的示例。具体介绍了应急响应预案的培训范围、方式、内容等,以及演练的作用、组织实施和需要注意的事项,并且,还给出了搭建应急演练环境、实施演练的示例基本框架。定期进行应急响应的培训与实战演练可以在发生问题时减少企业或相关单位所受到的损失,高效有序地进行恢复工作,因此制定计划和落实应急演练是网络安全应急响应工作不可或缺的组成部分。
招远市交通运输系统 网络安全事件应急预案 一、总则 (一)编制目的 建立健全招远市交通运输系统网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,维护交通运输安全和秩序。 (二)编制依据 《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》和《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)等相关规定。 (三)适用范围 本预案所指网络安全突发事件(以下简称突发事件)是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络或者其中的数据造成危害,对交通运输系统造成负面影响的事件。本预案适用于招远市交通运输系统发生突发事件的预防和应急处置工作。 (四)事件分类 根据网络与信息安全突发事件的性质、机理和发生过
程,主要分为以下三类: 1.自然灾害。指地震、台风、雷电、火灾、洪水等引起的网络系统损坏。 2.事故灾难。指电力中断、网络损坏或是软件、硬件设备故障等引起的网络系统损坏。 3.人为破坏。指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息系统损坏,或是利用信息网络进行有组织的大规模的反动宣传、煽动和渗透等破坏活动。 根据突发事件的故障情况可以分为以下几类: 1.通道与网络故障; 2.主机设备、操作系统、中间件和数据库软件故障; 3.应用停止服务故障; 4.应用系统数据丢失; 5.机房电源、空调等环境故障; 6.大面积病毒爆发、蠕虫、木马程序、有害移动代码等; 7.非法入侵,或有组织的攻击; 8.自然灾害或人为外力破坏; 9.信息发布和服务网站遭受攻击和破坏; 10.其他原因。 (五)事件分级 1.Ⅰ级网络与信息安全突发事件。对服务对象的生产、生
网站网络安全应急预案 第一部分总则 本预案的适用范围为由信息中心负责建设管理的网站、网络安全事件应急处理。 一、日常安全工作职责 政务信息中心工作人员根据分工、做好以下工作: 1. 对网站、网络进行日常检查、分析风险、排除隐患、做好网站数据备份,形成日常工作机制,预防安全事故发生。 2. 制定相关安全事件的预警方案和解决方案。 3. 掌握网络网站技术发展趋势,不断提升安全防范水平。 4. 及时处置各类突发安全事件。 二、安全应急处置原则 1. 报告原则:发生突发安全事件,第一时间向政务信息中心负责人报告,同时积极进行处置,处置全程要及时汇报工作进展。 2. 安全原则:处置安全事件时,要科学客观,首先保证人员安全,其次保证设备数据安全。 3. 效率原则:处置突发事件要及时迅速,讲究方法,善于协调,争取在最短时间内解决问题。 4、协调配合原则:出现大规模故障后,根据工作需要,积极 配合,协同处理,提高工作质量与效率。 三、安全应急事件处置
(一)安全事件定义分类 一般故障:指区域性网络安全事件,具体包括:局部网络瘫痪、个别设备死机、网站服务器停止工作等。 重大故障:指发生大规模或整体性网络瘫痪、个别硬件设备损坏或被窃、数据丢失或网站遭恶意篡改破坏等。 特大故障:指机房发生火灾或遭可抗拒力破坏造成机房损毁及人员伤害等。 (二)处置时限 发生突发安全事件,一般故障 2小时内解决,重大故障 24 小时内解决,特大故障 48小时内解决。 (三)处置措施 1、发生突发事件,工作人员第一时间报告领导并进行处置。 2、迅速准确判断事件原因,在保证人员、设备、数据安全的前提下,进行针对性处置。 3、属一般性故障的,政务信息中心工作人员及时进行处置;属设备损坏的,要及时报告中心主任根据领导安排进行合理处置;属系统故障的,要及时联系维护公司进行处置;属遭受攻击的,要及时取证留存,并由维护公司进行处置。 4、必要时,通知有关单位做好应对。 5、事后总结本次事件处置情况,形成分析报告。
网络安全应急预案
网络安全应急预案文档修订记录
一、总则 1.编制目的 为提高应对网络与信息安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网站网络与信息安全突发事件的危害,特制定本预案。 2.编制依据 根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等有关法规、规定,制定本预案。 3.适用范围 本预案适用于发生与本预案定义的I-IV级网络与信息安全突发事件和可能导致I-IV级的网络与信息安全突发事件的应对处理工作。 4.分类分级 本预案所指的网络信息安全突发事件,是指网络信息系统突然遭受不可预知外力的破坏、毁损或故障,不良信息在网站乃至整个互联网的传播,发生对国家、社会、公众造成或者可能造成危害的紧急网络安全事件。 事件分类根据网络信息安全突发事件的发生过程、性质和特征,网络信息安全突发事件划分为网络安全突发事件和信息安全
突发事件。网络安全突发事件是指自然灾害、事故灾难和人为破坏引起的网络与信息系统的损坏;信息安全突发事件是指利用信息网络进行有目的或有组织的反动宣传、煽动和歪曲事理的不良活动或违法活动。 (1)自然灾害是指地震、台风、雷电、火灾、洪水等。 (2)事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。 (3)人为破坏是指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖主义活动等事件。 事件分级 根据我省对网络信息安全突发事件的可控性、严重程度和影响范围,将网络信息安全突发事件分为四级:I级(特别重大)、II级(重大)、III级(较大)、IV级(一般)。具体级别定义如果国家有关法律法规有明确规定的,按国家有关规定执行。 (1)I级(特别重大):造成网络与信息系统发生大规模瘫痪,事态的发展超出区一级相关主管部门的控制能力,对国家安全、社会秩序、公共利益造成特别严重损害的突发事件。 (2)II级(重大):造成网站或其它上一级部门重要网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成严重损害,需要上级政府或公安部门协助,乃至需跨地区协同处理的突发事件。
网络与信息安全应急预案 为了规范公司信息应急处理的程序和内容,提高应急处理能力,完善应急机制,确保公司网站系统的安全、稳定运行,特制定信息安全应急预案。 一、应急预案的目的 根据我司的系统情况应急处理应坚持“积极预防,严格控制,防控并重”的原则。在认真做好日常管理和监控的基础上,充分做好紧急情况下主站系统的运行管理的应急准备,健全防控措施,完善处理机制,加强应急演练,确保在应急情况下做到反应迅速,处置果断,保障到位。 二、应急情况的标准 当出现以下所列情况之一时,应确认已达到应急情况标准,并迅速启动相应的应急处理程序: 1、主站系统无法访问。 2、主站服务器控制权限被接管。 3、主站内容被恶意篡改。 4、主站硬件设备被人为破坏。 5、上级确定的其它紧急情况。 三、组织机构及职责
为保证应急情况下应急机制的迅速启动和指挥顺畅,应设立应急小组,小组人员配置及职责如下: 组长:岳浪 副组长:王灵 成员:李俊峰刘家瑞 当应急预案启动后,应急小组将自动成立并担负如下职责: 1、向上级汇报应急行动的进展情况和向有关单位通报相关情况; 2、传达上级的有关指示精神; 3、研究布置应急行动有关具体事宜; 4、应急行动期间的组织指挥; 5、负责应急行动的宣传教育和有关解释工作; 6、负责与有关单位进行重大事项的工作协调; 7、负责应急行动其它的有关组织领导工作。 8、负责应急行动技术支持工作; 9、负责应急行动的网站内容编辑工作; 10、研究布置并组织应急行动期间网站监管的有关事项;
11、认真详细地做好监管值班记录; 12、向上级汇报网站监管的情况; 13、完成上级赋予的其它任务。 四、应急行动的基本程序和主要内容 预测情况一:网站主页或重要的网页被修改 在工作人员发现网站主页或其他重要的网页被修改的情况后执行该预案。 1、首先切断主服务器的网络连接。 2、通知相关的人员进行修复,并更新相关数据。 3、整理事件的完整过程并按程序上报相关部门。 预测情况二:网站无法访问,但服务器网页未被修改 1、通知相关人员,包括技术人员,主要的责任领导等。 2、检查网络情况,尽力确定流量的来源与堵赛点。 3、检查服务器,严防骇客植入木马等进一步的破坏行为。 4、必要时采用重新启动服务器/更换IP地址等方式恢复服务。 5、整理事件的完整过程并按程序上报上级相关部门。
企业网络安全应急响应方案 事实证明,事先制定一个行之有效的网络安全事件响应计划(在本文后续描述中简称事件响应计划),能够在出现实际的安全事件之后,帮助你及你的安全处理团队正确识别事件类型,及时保护日志等证据文件,并从中找出受到攻击的原因,在妥善修复后再将系统投入正常运行。有时,甚至还可以通过分析保存的日志文件,通过其中的任何有关攻击的蛛丝马迹找到具体的攻击者,并将他(她)绳之以法。 一、制定事件响应计划的前期准备 制定事件响应计划是一件要求严格的工作,在制定之前,先为它做一些准备工作是非常有必要的,它将会使其后的具体制定过程变得相对轻松和高效。这些准备工作包括建立事件响应小姐并确定成员、明确事件响应的目标,以及准备好制定事件响应计划及响应事件时所需的工具软件。 1、建立事件响应小组和明确小组成员 任何一种安全措施,都是由人来制定,并由人来执行实施的,人是安全处理过程中最重要的因素,它会一直影响安全处理的整个过程,同样,制定和实施事件响应计划也是由有着这方面知识的各种成员来完成的。既然如此,那么在制定事件响应计划之前,我们就应当先组建一个事件响应小组,并确定小组成员和组织结构。 至于如何选择响应小组的成员及组织结构,你可以根据你所处的实际组织结构来决定,但你应当考虑小组成员本身的技术水平及配合能达到的默契程度,同时,你还应该明白如何保证小组成员内部的安全。一般来说,你所在组织结构中的领导者也可以作为小组的最高领导者,每一个部门中的领导者可以作为小组的下一级领导,每个部门的优秀的IT管理人员可以成为小组成员,再加上你所在的IT部门中的一些优秀成员,就可以组建一个事件响应小组了。响应小组应该有一个严密的组织结构和上报制度,其中,IT人员应当是最终的事件应对人员,负责事件监控识别处理的工作,并向上级报告;小组中的部门领导可作为小组响应人员的上一级领导,直接负责督促各小组成员完成工作,并且接受下一级的报告并将事件响应过程建档上报;小组最高领导者负责协调整个事件响应小组的工作,对事件处理方法做出明确决定,并监督小组每一次事件响应过程。 在确定了事件响应小组成员及组织结构后,你就可以将他们组织起来,参与制定事件响应计划的每一个步骤。 2、明确事件响应目标 在制定事件响应计划前,我们应当明白事件响应的目标是什么?是为了阻止攻击,减小损失,尽快恢复网络访问正常,还是为了追踪攻击者,这应当从你要具体保护的网络资源来确定。 在确定事件响应目标时,应当明白,确定了事件响应目标,也就基本上确定了事件响应计划的具体方向,所有将要展开的计划制定工作也将围绕它来进行,也直接关系到要保护的网络资源。因此,先明确一个事件响应的目标,并在执行时严格围绕它来进行,坚决杜绝违背响应目标的处理方式出现,是关系到事件响应最终效果的关键问题之一。 应当注意的是,事件响应计划的目标,不是一成不变的,你应当在制定和实施的过程中不断地修正它,让它真正适应你的网络保护需要,并且,也不是说,你只能确定一个响应目标,你可以根据你自身的处理能力,以及投入成本的多少,来确定一个或几个你所需要的响应目标,例如,有时在做到尽快恢复网络正常访问的同时,尽可能地收集证据,分析并找到攻击者,并将他(她)绳之以法。 3、准备事件响应过程中所需要的工具软件 对于计算机安全技术人员来说,有时会出现三分技术七分工具情况。不论你的技术再好,
国家网络安全事件应急预案目录 1总则 1.1 编制目的 1.2 编制依据 1.3 适用范围 1.4 事件分级 1.5 工作原则 2组织机构与职责 2.1 领导机构与职责 2.2 办事机构与职责
2.3 各部门职责 2.4 各省(区、市)职责3监测与预警 3.1 预警分级 3.2 预警监测 3.3 预警研判和发布3.4 预警响应 3.5 预警解除 4应急处置 4.1 事件报告 4.2 应急响应
4.3 应急结束 5调查与评估 6预防工作 6.1 日常管理 6.2 演练 6.3 宣传 6.4 培训 6.5 重要活动期间的预防措施7保障措施 7.1 机构和人员 7.2 技术支撑队伍
7.3 专家队伍 7.4 社会资源 7.5 基础平台 7.6 技术研发和产业促进7.7 国际合作 7.8 物资保障 7.9 经费保障 7.10 责任与奖惩 8附则 8.1 预案管理 8.2 预案解释
8.3 预案实施时间 1总则 1.1 编制目的 建立健全国家网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,保护公众利益,维护国家安全、公共安全和社会秩序。 1.2 编制依据 《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》和《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)等相关规定。 1.3 适用范围 本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事
网络与信息安全应急预案 一、工作原则 (一)预防为主、综合防范。立足安全防护,加强预警,重点保护基础信息网络和重要信息系统,抓好预防、监控、应急处理、应急保障等环节,构筑网络与信息安全保障体系。 (二)明确责任、分级负责。按照“谁主管谁保障,谁保障谁处置,谁处置谁报告”的原则,建立和完善组织机构,明确职责分工,有效履行保障和应对网络与信息系统突发事件的职责。 (三)迅速处置,事后整改。按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。事后要剖析原因,总结教训,形成长效机制,实现网络与信息安全突发事件应急处置工作的科学化、程序化与规范化。
二、组织机构和工作职责 信息安全领导小组(以下简称领导小组)是我局网络与信息 安全应急处置的组织协调机构,负责领导、协调应急处置工 作。其工作职责是:确认是否达到应急情况标准;视情况严 重程度,协调相关部门开展技术保障、办税服务厅涉税业务 应急处理、发布税收征管信息、涉税舆情监控与处理等事项。 三、事件分级 根据信息安全事件造成后果的严重程度,税务系统信息安全 事件可划分为5个等级,其中1级危害程度最高,5级危害程度最低,各级网络与信息安全事件的描述如下: 1级网络与信息安全事件:灾难性安全事件。造成税务信息 系统的业务瘫痪、对税务系统的利益或社会公共利益有灾难 性的影响或危害。 2级网络与信息安全事件:特别重大安全事件。造成税务信 息系统的业务停顿、对税务系统利益或社会公共利益有极其 严重的影响或危害。
3级网络与信息安全事件:重大安全事件。造成税务信息系统的业务中断、影响系统效率、对税务系统利益或社会公共利益有较为严重的影响或危害。 4级网络与信息安全事件:较大安全事件。造成税务信息系统的业务短暂停顿但可立即修复、对税务系统利益或社会公共利益有一定的影响或危害。 5级网络与信息安全事件:一般安全事件。造成税务信息系统的效率受到轻微影响、对税务系统利益或社会公共利益基本不影响或危害极小。 3级和3级以上的网络与信息安全事件统称为重大网络与信息安全事件。 四、应急预案的启动 (一)事件发现、初判和上报 对于初判为4级和4级以上网络与信息安全事件,在事件发生后应及时上报市局信息安全领导小组,并填写《网络与信息安全事件报告表》。重大网络信息安全突发事件必须实行
网络安全应急预案新编 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
网络安全应急预案 一、总则 1、编制目的 为提高应对网络安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保计算机信息系统的实体安全、运行安全和数据安全,特制定本预案。 2、编制依据 根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等有关法规、规定,制定本预案。 3、适用范围 本预案适用于发生与本预案定义的I-IV级网络与信息安全突发事件和可能导致I-IV级的网络与信息安全突发事件的应对处置工作。 4、分类分级 本预案所指的网络安全突发事件,是指网络系统突然遭受不可预知外力的破坏、毁损或故障,不良信息在网站乃至整个互联网的传播,发生对国家、社会、公众造成或者可能造成危害的紧急网络安全事件。 事件分类根据网络安全突发事件的发生过程、性质和特征,网络安全突发事件划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害、事故灾难和人为破坏引起的网络与信息系统的损坏;信息安全突发事件是指利用信息网络进行有目的或有组织的反动宣传、煽动和歪曲事理的不良活动或违法活动。 (1)自然灾害是指地震、台风、雷电、火灾、洪水等。
(2)事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。 (3)人为破坏是指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖主义活动等事件。 事件分级 根据网络安全突发事件的可控性、严重程度和影响范围,将网络安全突发事件分为四级:I级(特别重大)、II级(重大)、III级(较大)、IV级(一般)。具体级别定义如果国家有关法律法规有明确规定的,按国家有关规定执行。 (1)I级(特别重大):造成网络与信息系统发生大规模瘫痪,事态的发展超出区一级相关主管部门的控制能力,对国家安全、社会秩序、公共利益造成特别严重损害的突发事件。 (2)II级(重大):造成网站或其它上一级部门重要网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成严重损害,需要上级政府或公安部门协助,乃至需跨地区协同处置的突发事件。 (3)III级(较大):造成网站网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成一定损害,但只需在本区政府或区信息中心协同处置的突发事件。 (4)IV级(一般):造成网站网络重要网络与信息系统受到一定程度的损坏,但不危害国家安全、社会秩序和公共利益,可由我主管部门处置的突发事件。 二、工作原则
学校网络安全事件应急预案㈠预防措施 1、加强领导,健全组织,强化工作职责,完善各项应急预案的制定和各项措施的落实。 2、充分利用各种渠道进行网络安全知识的宣传教育,组织、指导全校网络安全常识的普及教育,广泛开展网络安全和有关技能训练,不断提高广大师生的防范意识和基本技能。 3、认真搞好各项物资保障,严格按照预案要求积极配备网络安全设施设备,落实网络线路、交换设备、网络安全设备等物资,强化管理,使之保持良好工作状态。 4、采取一切必要手段,组织各方面力量全面进行网络安全事故处理工作,把不良影响与损失降到最低点。 5、调动一切积极因素,全面保证和促进学校网络安全稳定地运行。
㈡现场处置及救援措施 1、发现出现网络恶意攻击,立刻确定该攻击来自校内还是校外;受 攻击的设备有哪些;影响范围有多大。并迅速推断出此次攻击的最 坏结果,判断是否需要紧急切断校园网的服务器及公网的网络连接,以保护重要数据及信息; 2、如果攻击来自校外,立刻从防火墙中查出对方IP地址并过滤, 同时对防火墙设置对此类攻击的过滤,并视情况严重程度决定是否 报警。 3、如果攻击来自校内,立刻确定攻击源,查出该攻击出自哪台交换机,出自哪台电脑,出自哪位教师或学生。接着立刻赶到现场,关 闭该计算机网络连接,并立刻对该计算机进行分析处理,确定攻击 出于无意、有意还是被利用。暂时扣留该电脑。 4、重新启动该电脑所连接的网络设备,直至完全恢复网络通信。
5、对该电脑进行分析,清除所有病毒、恶意程序、木马程序以及垃 圾文件,测试运行该电脑5小时以上,并同时进行监控,无问题后 归还该电脑。 6、从事故一发生到处理事件的整个过程,必须保持向领导小组组长 汇报、解释此次事故的发生情况、发生原因、处理过程。 ㈢事故报告及现场保护 1、确保WEB网站信息安全为首要任务:关闭WEB服务器的外网连接、学校公网连接。迅速发出紧急警报,所有相关成员集中进行事故分析,确定处理方案。 2、分析网络,确定事故源:使用各种网络管理工具,迅速确定事故源,按相关程序进行处理。 3、事故源处理完成后,逐步恢复网络运行,监控事故源是否仍然存在。
网络与信息安全应急预案 1.总则 (一)编制目的 建立健全的公司网络与信息安全事件的预防和应急处理工作机制提高网络与信息安全事件能力,保证公司网络和重要信息安全的运行,编制本预案。 (二)工作原则 同意领导,分级负责,以人为本,预防为主,加强管理,依靠科技,资源整合,快速反应,协同合作。 2.预警防御机制 (一)事件分类及等级 根据网络与信息安全突发事件的性质,机理和发生过程,公司网络与信息安全事件分为有害程序事件,网络攻击事件,信息破坏事件,信息内容安全事件,设备设施故障和灾害性事件。
根据网络与信息安全突发事件的可控性,严重程度和影响范围,分为四级:I级(特别重大网络与安全事件),II级(重大网络与信息安全事件),III 级(较大网络与信息安全事件),IV级(一般网络与信息安全事件)。 (二)监控与预警信息报送 运维承担公司网络与信息安全检测工作。发现网络与信息安全预警信息,应及时通知技术部,协同技术部进行处判,提出预警等级建议,遇到可能造成严重后果的I至III级信息安全预警事件,应an相关规定提报领导审查后发出预警。 (三)预警响应 运维安全部全员应保持24小时通信畅通,接到预警信息后,应立即启动应急预案,进入预警状态,做好应急处理各项准备工作。 (四)预警解除 I至III级预警解除后根据要求,经向领导请示同意后,及时进行解除安全事件预警。 3.应急措施 (一)信息报告
发生网络与信息安全事件后,运维安全部应立即通知部门负责人,并通知相关业务部门技术部和有关部门进行研判后,保存证据,检查影响范围和危害程度,提出应急处理建议,报领导同意后,启动应急预案。 (二)先期处理 当发生网络与信息安全突发事件时,相关工作人员做好前期ing及处理工作,采取措施控制事态,必要时采取断网,关闭服务器等方式防止事态进一步扩大。 (三)应急处理 1.网络中断紧急处理流程 (1)故障排除。网络中断后,技术部技术人员要迅速判断故障节点,查明故障原因。 (2)故障排除 2.1 如属于新路故障,应重新安装线路。 2.2 如属于路由器,交换机等网络设备故障,技术部应立即检修并调试畅通。如漏油器交换机配置文件破坏,信息安全员应迅速安装要求重新配置。调试畅通必要时请有关技术部门协助调测畅通。
网络信息安全应急预案 一、总则 1.编制目的 为提高应对网络与信息安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网站网络与信息安全突发事件的危害,特制定本预案。 2.编制依据 根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等有关法规、规定,制定本预案。 3.适用范围 本预案适用于发生与本预案定义的I-IV级网络与信息安全突发事件和可能导致I-IV级的网络与信息安全突发事件的应对处置工作。 4.分类分级 本预案所指的网络信息安全突发事件,是指网络信息系统突然遭受不可预知外力的破坏、毁损或故障,不良信息在网站乃至整个互联网的传播,发生对国家、社会、公众造成或者可能造成危害的紧急网络安全事件。 事件分类根据网络信息安全突发事件的发生过程、性质和特征,网络信息安全突发事件划分为网络安全突发事件和信息安全突发事
件。网络安全突发事件是指自然灾害、事故灾难和人为破坏引起的网络与信息系统的损坏;信息安全突发事件是指利用信息网络进行有目的或有组织的反动宣传、煽动和歪曲事理的不良活动或违法活动。 (1)自然灾害是指地震、台风、雷电、火灾、洪水等。 (2)事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。 (3)人为破坏是指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖主义活动等事件。 事件分级 根据我省对网络信息安全突发事件的可控性、严重程度和影响范围,将网络信息安全突发事件分为四级:I级(特别重大)、II级(重大)、III级(较大)、IV级(一般)。具体级别定义如果国家有关法律法规有明确规定的,按国家有关规定执行。 (1)I级(特别重大):造成网络与信息系统发生大规模瘫痪,事态的发展超出区一级相关主管部门的控制能力,对国家安全、社会秩序、公共利益造成特别严重损害的突发事件。 (2)II级(重大):造成网站或其它上一级部门重要网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成严重损害,需要上级政府或公安部门协助,乃至需跨地区协同处置的突发事件。 (3)III级(较大):造成网站网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成一定损害,但只需在本区政府或区信息中心协同处置的突发事件。
网络安全事件应急预案 为切实做好网络突发事件的防范和应急处理工作,进一步提高预防和控制网络突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保我局网络与信息安全,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》等有关法规文件精神,结合我局实际情况,特制定本应急预案。 一、指导思想 认真落实“教育在先,预防在前,积极处置”的工作原则,牢固树立安全意识,提高防范和救护能力,以维护正常的工作秩序和营造绿色健康的网络环境为 中心,进一步完善网络管理机制,提高突发事件的应急处置能力。 二、组织领导及职责 成立计算机信息系统安全保护工作领导小组 组长:xx 副组长:xx 成员:xx 主要职责:负责召集领导小组会议,部署工作,安排、检查落实计算机网络 系统重大事宜。副组长负责计算机网络系统应急预案的落实情况,处理突发事故,完成局领导交办的各项任务。 三、安全保护工作职能部门 1. 负责人: xx 2. 信息安全技术人员:xx 四、应急措施及要求 1. 各处室要加强对本部门人员进行及时、全面地教育和引导,提高安全防 范意识。 2. 网站配备信息审核员和安全管理人员,严格执行有关计算机网络安全管 理制度,规范办公室、计算机机房等上网场所的管理,落实上网电脑专人专用和日志留存。 3. 信息所要建立健全重要数据及时备份和灾难性数据恢复机制。
4. 采取多层次的有害信息、恶意攻击防范与处理措施。各处室信息员为第 一层防线,发现有害信息保留原始数据后及时删除;信息所为第二层防线,负责对所有信息进行监视及信息审核,发现有害信息及时处理。 5. 切实做好计算机网络设备的防火、防盗、防雷和防信号非法接入。 6.所有涉密计算机一律不许接入国际互联网,做到专网、专机、专人、专用,做好物理隔离。连接国际互联网的计算机绝对不能存储涉及国家秘密、工作秘密、商业秘密的文件。 附: 应急处理措施指南 (一)当人为、病毒破坏或设备损坏的灾害发生时,具体按以下顺序进行: 判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的IP或其它网络用户信息,修复被破坏 的信息,恢复信息系统。按照灾害发生的性质分别采用以下方案: 1、网站、网页出现非法言论事件紧急处置措施 (1)网站、网页由信息所值班人员负责随时密切监视信息内容。 (2)发现在网上出现内容被篡改或非法信息时,值班人员应立即向本单位信 息安全负责人通报情况;情况紧急的,首先中断服务器网线连接,再按程序报告。 (3)信息安全相关负责人应在接到通知后立即赶到现场,作好必要记录,清 理非法信息,妥善保存有关记录及日志或审计记录,强化安全防范措施,并将网站网页重新投入使用。 (4)追查非法信息来源,并将有关情况向本单位网络领导小组汇报。 (5)信息化领导小组召开会议,如认为事态严重,则立即向市政府信息化办 公室和公安部门报警。 2、黑客攻击事件紧急处置措施 (1)当发现黑客正在进行攻击时或者已经被攻击时,首先()将被攻击的服 务器等设备从网络中隔离出来,保护现场,并将有关情况向本单位信息化领导小 组汇报。 (2)信息安全相关负责人应在接到通知后立即赶到现场,对现场进行分析, 并做好记录,必要时上报主管部门。 (3)恢复与重建被攻击或破坏系统。
网络与信息系统安全应 急预案 Document serial number【KKGB-LBS98YT-BS8CB-BSUT-BST108】
XX公司网络与信息系统安全应急预案 一、总则 1、编制目的: 为保证公司信息系统安全,最大限度地消除信息安全突发事件带来的危害和影响,维护公司信息系统和网络的正常运行,特制定本应急预案。 2、编制依据: 根据《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《计算机网络信息安全保密制度》《涉密存储介质保密管理规定》相关法律法规、规章制度,制定本预案。 3、适用范围: 本预案适用于公司各科室、基层队。 4、应急预案工作原则: 预防为主,分级负责,快速反应,果断处置。 二、组织体系 公司成立网络与信息系统领导小组,为公司网络与信息系统应急处置的主要机构,负责网络与信息系统应急响应工作的规划、协调和指挥。 组长: 组员: 职责:1、负责处理应急小组的日常工作。
2、负责网络与信息系统应急预案的管理,不断完善、修订网络和信息系统应急预案。 3、做好网络与信息系统安全的宣传培训工作,提高职工网络安全意识。 4、指导完成对于网络与信息系统突发事件的预案演习,检查预案的执行情况。 三、预防与预警 1、监测与报告。 (1)按照“早发现、早报告、早处置”的原则,加强相关信息的收集、分析判断和持续监测。当发生网络与信息安全突发事件时,按规定及时向应急领导小组报告,初次报告最迟不得超过1小时,重大和特别重大的网络与信息安全突发事件实行态势进程报告。报告内容主要包括事件的来源、事件的性质及发展趋势、影响的范围、造成的结果和采取的措施等。 (2)建立报告制度。 发现下列情况时应及时向应急领导小组报告: 利用网络从事违法犯罪活动;制造网络和信息系统瘫痪,应用服务中断的情况;数据篡改,丢失或泄密的情况;其他影响网络与信息安全的情况。 2、预警行动。 (1)对于可能发生或已经发生的网络与信息安全突发事件,立即采取措施控制事态,并向应急领导小组汇报情况。
网络与信息安全事件应急预案 为保证我局信息系统安全,加强和完善网络与信息安全应急管理措施,层层落实责任,有效预防、及时控制和最大限度地消除信息安全突发事件的危害和影响,确保信息系统和网络的通畅运行,结合实际,特制定本应急预案。 一、总则 (一)工作目标 保障信息的合法性、完整性、准确性,保障网络、计算机、相关配套设备设施及系统运行环境的安全,其中重点维护网络系统、国土资源业务系统、基础数据库服务器及国土资源网站的安全。 (二)编制依据 根据《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《计算机病毒防治管理办法》等相关法规、规定、文件精神,制定本预案。 (三)基本原则 1、预防为主。根据《计算机信息安全管理规定》的要求,建立、健全国土资源计算机信息安全管理制度,有效预防网络与信息安全事故的发生。 2、分级负责。按照“谁主管谁负责,谁运营谁负责”的原则,建立和完善安全责任制。各部门应积极支持和协助应急
处置工作。 3、果断处置。一旦发生网络与信息安全事故,应迅速反应,及时启动应急处置预案,尽最大力量减少损失,尽快恢复网络与系统运行。 (四)适用范围 本预案适用于局属各单位、机关各股室。 二、组织体系 成立网络与信息安全领导组,为我局网络与信息安全应急处置的组织协调机构。 1.局网络与信息安全应急领导组组长由局长赵学崇同志担任,成员由各股室负责人及相关人员组成。负责网络与信息安全应急响应工作的整体规划、组织协调和决策指挥。2.网络与信息安全应急领导组下设办公室。办公室主任由纪检组长郭占明同志担任。 职责: (1)负责和处理局应急领导小组的日常工作,检查督促局应急领导组决定事项的落实。 (2)负责局网络与信息安全应急预案的管理,指导督促重要信息系统应急预案的修订和完善,检查落实预案执行情况。
网络安全应急预案 一、总则 1、编制目的 为提高应对网络安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保计算机信息系统的实体安全、运行安全和数据安全,特制定本预案。 2、编制依据 根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等有关法规、规定,制定本预案。 3、适用范围 本预案适用于发生与本预案定义的I-IV级网络与信息安全突发事件和可能导致I-IV级的网络与信息安全突发事件的应对处置工作。 4、分类分级 本预案所指的网络安全突发事件,是指网络系统突然遭受不可预知外力的破坏、毁损或故障,不良信息在网站乃至整个互联网的传播,发生对国家、社会、公众造成或者可能造成危害的紧急网络安全事件。 事件分类根据网络安全突发事件的发生过程、性质和特征,网络安全突发事件划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害、
事故灾难和人为破坏引起的网络与信息系统的损坏;信息安全突发事件是指利用信息网络进行有目的或有组织的反动宣传、煽动和歪曲事理的不良活动或违法活动。 (1)自然灾害是指地震、台风、雷电、火灾、洪水等。 (2)事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。 (3)人为破坏是指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖主义活动等事件。 事件分级 根据网络安全突发事件的可控性、严重程度和影响范围,将网络安全突发事件分为四级:I级(特别重大)、II级(重大)、III级(较大)、IV级(一般)。具体级别定义如果国家有关法律法规有明确规定的,按国家有关规定执行。 (1)I级(特别重大):造成网络与信息系统发生大规模瘫痪,事态的发展超出区一级相关主管部门的控制能力,对国家安全、社会秩序、公共利益造成特别严重损害的突发事件。 (2)II级(重大):造成网站或其它上一级部门重要网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成严重损害,需要上级政府或公安部门协助,乃至需跨地区协同处置的突发事件。 (3)III级(较大):造成网站网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成一定损害,但只需在本区政府或区信息中心协同处置的突发事件。
XX网络安全应急预案 第一部分总则 本预案的适用范围为由信息管理中心负责建设管理的网站、网络安全事件应急处理。 (一)日常安全工作职责 信息管理中心工作人员根据分工、做好以下工作: 1.对网站、网络进行日常检查、分析风险、排除隐患、做好网站数据备份,形成日常工作机制,预防安全事故发生。 2.制定相关安全事件的预警方案和解决方案。 3.掌握网络网站技术发展趋势,不断提升安全防范水平。 4.及时处置各类突发安全事件。 (二)安全应急处置原则 1.报告原则:发生突发安全事件,第一时间向政务信息中心负责人报告,同时积极进行处置,处置全程要及时汇报工作进展。 2.安全原则:处置安全事件时,要科学客观,首先保证人员安全,其次保证设备数据安全。 3.效率原则:处置突发事件要及时迅速,讲究方法,善于协调,争取在最短时间内解决问题。 4.协调配合原则:出现大规模故障后,根据工作需要,积极配合,协同处理,提高工作质量与效率。 (三)安全应急事件处置 1.安全事件定义分类
一般故障:指区域性网络安全事件,具体包括:局部网络瘫痪、个别设备死机、网站服务器停止工作等。 重大故障:指发生大规模或整体性网络瘫痪、个别硬件设备损坏或被窃、数据丢失或网站遭恶意篡改破坏等。 特大故障:指机房发生火灾或遭可抗拒力破坏造成机房损毁及人员伤害等。 2.处置时限 发生突发安全事件,一般故障 2 小时内解决,重大故障 24 小时内解决,特大故障 48 小时内解决。 3.处置措施 (1) 发生突发事件,工作人员第一时间报告领导并进行处置。 (2) 迅速准确判断事件原因,在保证人员、设备、数据安全的前提下,进行针对性处置。 (3) 属一般性故障的,信息中心工作人员及时进行处置;属设备损坏的,要及时报告中心主任根据领导安排进行合理处置;属系统故障的,要及时联系维护公司进行处置;属遭受攻击的,要及时取证留存,并由维护公司进行处置。 (4) 必要时,通知有关单位做好应对。 (5) 事后总结本次事件处置情况,形成分析报告。 第二部分网站安全应急处置 (一)日常维护 1.中心人员每天对网站进行查看,密切监视信息内容。每天上午和下午 各切换内网一次,查看内网运行情况。
网络安全应急预案 为提高集团公司处理网络与信息安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制。减少人为或自然因素及病毒、黑客入侵等对集团公司的损失。特制定本应急措施。 一、机房漏水防治应急预案 ⑴发生机房漏水后,第一目击者应立即通知集团办公室。 ⑵若空调系统出现渗漏水,应立即停止故障空调,将机房内的积水清除干净,并及时联系设备供应方进行处理,必要情况下可以临时用电扇对服务器进行降温。 ⑶若为墙体或窗户渗漏水,应立即通知物业公司,及时清除积水,进行墙体或窗户维修,避免不必要的损失。 二、设备发生被盗或人为损害事件应急预案 ⑴发生设备被盗或有人为损害设备情况时,使用者或管理者应立即报告集团办公室,同时保护好现场。 ⑵集团办公室接报后,通知物业公司及公安部门,一同核实审定现场情况,清点被盗物资或盘查人为损害情况,做好必要的影像记录和文字记录。 ⑶事件当事人应当积极配合公安部门进行调查,并将有关情况向集团办公室汇报。 三、机房长时间停电应急预案
⑴接到长时间停电通知后,应及时通过OA发布或电话通知停电通告,要求用户在停电前停止业务、保存数据。 ⑵打电话询问供电部门询问停电原因及具体停电时间。 四、通信网络故障应急预案 ⑴发生通信网络故障后,计算机操作员应及时将信息告知集团办公室。 ⑵网络管理员应及时查清通信网络故障位置,或告知相关通信网络运营商,请求协助查清原因。 ⑶相关责任人负责写出故障分析报告,上报集团办公室备查。 五、不良信息和网络病毒事件应急预案 ⑴当发现不良信息或网络病毒时,网络管理员应立即断开网线,终止不良信息或网络病毒传播,并告知集团办公室。 ⑵接到报告后,网络管理员应立即通告局域网内所有计算机用户防病毒方法,隔离网络,指导各计算机操作人员进行杀毒处理,直至网络处于安全状态。 ⑶对不良信息要进一步追查来源,对未经相关领导同意,擅自发布信息,造成不良影响且触犯法律者,移交执法部门追究法律责任。 六、计算机软件系统故障应急预案 ⑴发生计算机软件系统故障后,计算机操作人员立即保存数据,并停止该计算机使用应用。
国家网络安全事件应急预案目录 1 总则 1.1 编制目的 1.2 编制依据 1.3 适用范围 1.4 事件分级 1.5 工作原则 2 组织机构与职责 2.1 领导机构与职责 2.2 办事机构与职责 2.3 各部门职责 2.4 各省(区、市)职责 3 监测与预警 3.1 预警分级 3.2 预警监测 3.3 预警研判和发布 3.4 预警响应 3.5 预警解除 4 应急处置 4.1 事件报告 4.2 应急响应 4.3 应急结束 5 调查与评估 6 预防工作 6.1 日常管理 6.2 演练 6.3 宣传 培训6.4 6.5 重要活动期间的预防措施 7 保障措施 7.1 机构和人员 7.2 技术支撑队伍 7.3 专家队伍
7.4 社会资源 7.5 基础平台 7.6 技术研发和产业促进 7.7 国际合作 7.8 物资保障 7.9 经费保障 7.10 责任与奖惩 8 附则 8.1 预案管理 8.2 预案解释 8.3 预案实施时间 1 总则 1.1 编制目的 建立健全国家网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,保护公众利益,维护国家安全、公共安全和社会秩序。 1.2 编制依据 《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》和《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)等相关规定。 1.3 适用范围 本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。 本预案适用于网络安全事件的应对工作。其中,有关信息内容安全事件的应对,另行制定专项预案。 1.4 事件分级 网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。 (1)符合下列情形之一的,为特别重大网络安全事件: ①重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。 ②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。 ③其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。 (2)符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件: ①重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。 ②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。 ③其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。 )符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件:3( ①重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。
网络信息安全事件应急预案 一、总则 1.编制目的 为提高XXXX公司网络与信息安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保网络重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网络信息安全突发事件的危害。 2.适用范围 本预案适用于XXXX公司网络发生与本预案定义的I-IV级网络与信息安全突发事件和可能导致I-IV级的网络与信息安全突发事件的应对处置工作。 3.分类分级 本预案所指的网络信息安全突发事件,是指办公网、安防网等重要网络信息系统突然遭受不可预知外力的破坏、毁损或故障,不良信息在企业网乃至整个互联网的传播,发生对国家、社会、公众、公司造成或者可能造成危害的紧急网络安全事件。 (1)事件分类 根据网络信息安全突发事件的发生过程、性质和特征,网络信息安全突发事件划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害、事故灾难和人为破坏引起的网络与信息系
统的损坏;信息安全突发事件是指利用信息网络进行有目的或有组织的反动宣传、煽动和歪曲事理的不良活动或违法活动。 ①自然灾害是指地震、台风、雷电、火灾、洪水等。 ②事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。 ③人为破坏是指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖主义活动等事件。 (2)事件分级 根据对网络信息安全突发事件的可控性、严重程度和影响范围,将网络信息安全突发事件分为四级:I级(特别重大)、II级(重大)、III级(较大)、IV级(一般)。具体级别定义如果国家有关法律法规有明确规定的,按国家有关规定执行。 ①I级(特别重大):造成网络与信息系统发生大规模瘫痪,事态的发展超出区一级相关主管部门的控制能力,对国家安全、社会秩序、公共利益或教育形象造成特别严重损害的突发事件。 ②II级(重大):造成公司或集团重要网络与信息系统瘫痪,对国家安全、社会秩序、公共利益或教育形象造成严重损害,需要集团公司协助,乃至需跨地区协同处置的突发事件。 ③III级(较大):造成公司网络与信息系统瘫痪,对国家安全、社会秩序、公共利益或教育形象造成一定损害,但只需在本公司处置的突发事件。 ④IV级(一般):造成公司网络重要网络与信息系统受到一定程度的损坏,对公司的权益有一定影响,但不危害国家安全、社会秩序和公共利益,可由公司处置的突发事件。 二、工作原则 1.积极防御、综合防范。立足安全防护,加强预警,重点保护重要信息网络和关系社会稳定的重要信息系统;从预防、监控、应急