应急响应服务方案
目录
一、项目技术方案 (1)
1.1、应急响应服务 (1)
1.1.1、服务内容 (1)
1.1.2、服务方法 (2)
1.1.3、交付成果 (16)
1.1.4、服务优势 (17)
1.1.5、服务范围 (19)
1.1.6、服务案例 (20)
I
一、项目技术方案
1.1、应急响应服务
1.1.1、服务内容
1.1.1.1、服务简介
我司应急响应服务是我司推出的以“安全第一”为指导原则,积极开展网络安全事件的预防、发现、预警和协调处置等工作的安全服务。我司应急响应通过制定集团级应急响应机制,协同集团营销、媒体等15个部门联合开展的应急处置工作,后端以高效的应急响应系统IT平台以及遍览全国安全事件的应急响应监控指挥调度中心作为支撑。为在发生安全事件时,第一时间作出有效决断提供了强大的后台保障。
我司应急响应服务,以“快速响应、力保恢复”为行动指南,致力于成为网络安全领域的120急救中心,通过在遇到突发安全事件后采取专业的安全措施和行动,并对已经发生的安全事件进行监控、分析、协调、处理、保护资产等安全属性的工作,保障企业用户的网络安全,最大程度的减少安全事件所带来的经济损失以及恶劣的社会负面影响。
1.1.1.2、服务目标
应急响应服务目标旨在:
●帮助客户及时控制安全事件对企业造成的恶劣影响,将经济损失降到最
低。
●减少因安全事件发生所产生的社会负面影响,保障网络生态安全。
1.1.1.3、服务价值
●系统地响应安全事件,以采取适当的步骤;
●帮助客户迅速有效地从安全事件中恢复过来,并将信息丢失和被盗以及
服务被破坏的程度降到最低;
●利用从安全事件处理过程中获得的信息做好更充分的准备,以处理未来
的安全事件并对系统和数据进行更强的保护;
●建立安全事件响应机制协同建立有效的防御政策来抵制信息安全威胁;
●降低安全运营成本,提高企业信息业务发展安全竞争力。
1.1.2、服务方法
1.1.
2.1、准备阶段(Preparation)
目标:在事件真正发生前为应急响应做好预备性的工作。
角色:指挥人员、一线应急人员、营销人员、媒体宣传人员、监测与响应中心人员、战略推进人员。
内容:根据不同角色准备不同的内容。
●组织研判
根据事件研判规则,对事件进行研判,确定事件预案等级
●统一指挥
制定工作方案和应急响应计划;
提供人员和物质保证;
监督应急响应计划的执行;
指导应急响应实施小组的应急处置工作;
启动定期评审、修订应急响应计划以及负责组织的外部协作。
●应急人员准备工作
1、一线应急人员准备内容
服务需求界定
首先要对服务对象的整个信息系统进行评估,明确服务对象的应急需求,具体包含以下内容:
1)应急响应小组应了解应急服务对象的各项业务功能及其之间的相关性,
确定支持各种业务功能的相关信息系统资源及其他资源,明确相关信息的保密性、完整性和可用性要求;
2)对服务对象的信息系统,包括应用程序,服务器,网络及任何管理和维护这些系统的流程进行评估,确定系统所执行的关键功能,并确定执行这些关键功能所需要的特定系统资源;
3)应急响应小组采用定性或定量的方法,对业务中断、系统宕机、网络瘫痪等突发安全事件造成的影响进行评估;
4)应急响应小组协助服务对象建立适当的应急响应策略,应提供在业务中断、系统宕机、网络瘫痪等突发安全事件发生后快速有效的恢复信息系统运行的方法;
5)应急响应小组为服务对象提供相关的培训服务,以提高服务对象的安全意识,便于相关责任人明确自己的角色和责任,了解常见的安全事件和入侵行为,熟悉应急响应策略。
工具包的准备
1)应急服务提供者应根据应急服务对象的需求准备处置网络安全事件的工具包,包括常用的系统基本命令、其他软件工具等;
2)应急服务提供者的工具包中的工具最好是采用绿色免安装的,应保存在安全的移动介质上,如一次性可写光盘,防篡改、加密的U盘等;
3)应急服务提供者的工具包应定期更新、补充;
必要技术的准备
上述是针对应急响应的处理涉及到的安全技术工具涵盖应急响应的事件取样、事件分析、事件隔离、系统恢复和攻击追踪等各个方面,构成了网络安全应急响应的技术基础。所以我们的应急响应服务实施成员还应该掌握以下必要的技术手段和规范,具体包括以下内容:
1)系统检测技术,包括以下检测技术规范:
?Windows系统检测技术规范;
?Unix系统检测技术规范;
?网络安全事故检测技术规范;
?数据库系统检测技术规范;
?常见的应用系统检测技术规范;
2)攻击检测技术,包括以下技术:
?异常行为分析技术;
?入侵检测技术;
?安全风险评估技术;
3)攻击追踪技术;
4)现场取样技术;
5)系统安全加固技术;
6)攻击隔离技术;
7)资产备份恢复技术;
2、营销人员准备内容
和服务对象建立长期友好的业务关系;
和服务对象签订应急服务合同或协议;
建立预防和预警机制,及时上报。
1)预防和预警机制
?市场人员要严格按照应急响应负责人的安排和建议,及时提醒服务对象提高防范网络攻击、病毒入侵、网络窃密等的能力,防止有害信息传播,保障服务对象网络的安全畅通。
?将协会网络信息中心会发布的病毒预防警报以及更新的防护策略及时有效地告知服务对象,做好防护策略的更新。
2)信息系统检测和报告
?按照“早发现、早报告、早处置”的原则,市场人员要加强对服务对象信息系统的安全检测结果的通告,收集可能引发信息安全事件的有关信息、进行分析判断。
?如服务对象发现有异常情况或有信息安全事件发生时,要立即向协会网络信息中心应急响应负责人报告,并填写事件初步报告表。
?要求服务对象持续监测信息系统状况,密切关注应急响应负责人提出初步行动对策和行动方案,听从指令和安排,及时减小损失。
3、监测与响应中心人员准备内容
及时发布安全预警通告
4、战略推进人员准备内容
及时通报监管机构
5、媒体宣传人员准备内容
在多渠道媒体发布宣传文案
6、产品线人员准备内容
关注一线应急人员需求,及时发布产品解决方案、升级包
配合进行工具的开发、测试和发布工作
1.1.
2.2、检测阶段(Examination)
目标:接到事故报警后在服务对象的配合下对异常的系统进行初步分析,确认其是否真正发生了信息安全事件,制定进一步的响应策略,并保留证据。
角色:应急服务实施小组成员、样本分析组、漏洞分析组;
内容:
(1)检测范围及对象的确定;
(2)检测方案的确定;
(3)检测方案的实施;
(4)检测结果的处理。
输出:《应急响应检查单》
应急响应检查单.xls
x
●实施小组人员的确定
应急响应负责人根据《应急响应检查单》的内容,初步分析事故的类型、严重程度等,以此来确定事件等级及需要调动的公司资源。
●检测范围及对象的确定
应急服务提供者应对发生异常的系统进行初步分析,判断是否正真发生了安全事件;
应急服务提供者和服务对象共同确定检测对象及范围;
检测对象及范围应得到服务对象的书面授权。
●检测方案的确定
应急服务提供者和服务对象共同确定检测方案;
应急服务提供者制定的检测方案应明确应急服务提供者所使用的检测规范;
应急服务提供者制定的检测方案应明确应急服务提供者的检测范围,其检测范围应仅限于服务对象已授权的与安全事件相关的数据,对服务对象的机密性数据信息未经授权的不得访问;
应急服务提供者制定的检测方案应包含实施方案失败的应变和回退措施;
应急服务提供者和服务对象充分沟通,并预测应急处理方案可能造成的影响。
●检测方案的实施
检测搜集系统信息
1)记录时使用目录及文件名约定:
在受入侵的计算机的D盘根目录下(D:\)(如果无D盘则在其他盘根目录下)建立一个我司目录,目录中包含以下子目录:
?artifact:用于存放可疑文件样本
?cmdoutput:用于记录命令行输出结果
?screenshot:用于存放屏幕拷贝文件
?log:用于存放各类日志文件
2)文件格式:
?命令行输出文件缺省仅使用TXT格式。
?日志文件及其他格式尽量使用TXT、CSV和其他不需要特殊工具就可以阅读的格式。
?屏幕拷贝文件应该使用JPG格式。
?可疑文件样本最好加密压缩为zip格式,默认密码为:qihoo我司
3)搜集操作系统基本信息
?右键点击“我的电脑>属性”将“常规”、“自动更新”、“远程”3个选卡各制作一个窗口拷贝(使用Alt+PrtScr)。并保存到qihoo\screenshot目录下,文件名称应该使用:系统常规-01、自动更新-01、远程-01等形式命名。
?进入CMD状态,“开始> 运行> cmd”,进入D盘根目录下的qihoo目录,执行一下命令:
netstat -nao > netstat.txt (网络连接信息)
tasklist > tasklist.txt (当前进程信息)
ipconfig /all > ipconfig.txt(IP属性)
ver > ver.txt (操作系统属性)
....................................
4)日志信息
?目标:导出所有日志信息;
?说明:进入管理工具,将“管理工具> 事件察看器”中,导出所有事件,分别使用一下文件名保存:application.txt、security.txt、system.txt。
5)帐号信息
?目标:导出所有帐号信息;
?说明:使用net user,net group,net local group命令检查帐号和组的情况,使用计算机管理查看本地用户和组,将导出的信息保存在D:\qihoo\user中。
主机检测
1)日志检查
?目标:1、从日志信息中检测出未授权访问或非法登录事件;
2、从IIS/FTP日志中检测非正常访问行为或攻击行为;
?说明:1、检查事件查看器中的系统和安全日志信息,比如:安全日志中异常登录时间,未知用户名登录;
2、检查%WinDir%\System32\LogFiles 目录下的WWW日志和FTP日
志,比如WWW日志中的对shell.asp文件的成功访问。
2)帐号检查
?目标:检查帐号信息中非正常帐号,隐藏帐号;
?说明:通过询问管理员或负责人,或者和系统的所有的正常帐号列表做对比,判断是否有可疑的陌生的账号出现,利用这些获得的信息和前面准备阶段做的帐号快照工作进行对比。
3)进程检查
?目标:检查是否存在未被授权的应用程序或服务
?说明:使用任务管理器检查或使用进程查看工具进行查看,利用这些获得的信息和前面准备阶段做的进程快照工作进行对比,判断是否有可疑的进程。
4)服务检查
?目标:检查系统是否存在非法服务
?说明:使用“管理工具”中的“服务”查看非法服务或使用我司安全卫士、Wsystem察看当前服务情况,利用这些获得的信息和准备阶段做的服务快照工作进行对比。
5)自启动检查
?目标:检查未授权自启动程序
?说明:检查系统各用户“启动”目录下是否存在未授权程序。
6)网络连接检查
?目标:检查非正常网络连接和开放的端口
?说明:关闭所有的网络通讯程序,以免出现干扰,然后使用ipconfig, netstat –an或其它第三方工具查看所有连接,检查服务端口开放情况和异常数据的信息。
7)共享检查
?目标:检查非法共享目录。
?说明:使用net share或其他第三方的工具检测当前开放的共享,使用
$是隐藏目录共享,通过询问负责人看是否有可疑的共享文件。
8)文件检查
?目标:检查病毒、木马、蠕虫、后门等可疑文件。
?说明:使用防病毒软件检查文件,扫描硬盘上所有的文件,将可疑文件进行提取加密压缩成.zip,保存到qihoo\artifact目录下的相应子目录中。
9)查找其他入侵痕迹
?目标:查找其它系统上的入侵痕迹,寻找攻击途径
?说明:其它系统包括:同一IP地址段或同一网段的系统、同一域的其他系统、拥有相同操作系统的其他系统。
●检测结果的处理
确定安全事件的类型
经过检测,判断出信息安全事件类型。信息安全事件可以有以下7个基本分类:
1)有害程序事件:蓄意制造、传播有害程序,或是因受到有害程序的影
响而导致的信息安全事件。
2)网络攻击事件:通过网络或其他技术手段,利用信息系统的配置缺
陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事
件。
3)信息破坏事件:通过网络或其他技术手段,造成信息系统中的信息被
篡改、假冒、泄漏、窃取等而导致的信息安全事件。
4)信息内容安全事件:利用信息网络发布、传播危害国家安全、社会稳
定和公共利益的内容的安全事件。
5)设备设施故障:由于信息系统自身故障或外围保障设施故障而导致的
信息安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。
6)灾害性事件:由于不可抗力对信息系统造成物理破坏而导致的信息安
全事件。
7)其他信息安全事件:不能归为以上6个基本分类的信息安全事件。
评估突发信息安全事件的影响
采用定量和/或定性的方法,对业务中断、系统宕机、网络瘫痪数据丢失等突发信息安全事件造成的影响进行评估:
确定是否存在针对该事件的特定系统预案,如有,则启动相关预案;如
果事件涉及多个专项预案,应同时启动所有涉及的专项预案;
如果没有针对该事件的专项预案,应根据事件具体情况,采取抑制措施,
抑制事件进一步扩散。
1.1.
2.3、抑制阶段(Suppresses)
目标:及时采取行动限制事件扩散和影响的范围,限制潜在的损失与破坏,同时要确保封锁方法对涉及相关业务影响最小。
角色:应急服务实施小组成员、样本分析组、漏洞分析组。
内容:
(1)抑制方案的确定;
(2)抑制方案的认可;
(3)抑制方案的实施;
(4)抑制效果的判定;
输出:《应急处置方案》
XXX事件应急处置
方案.docx
抑制方案的确定
应急服务提供者应在检测分析的基础上,初步确定与安全事件相对应的
抑制方法,如有多项,可由服务对象考虑后自己选择;
在确定抑制方法时应该考虑:
1)全面评估入侵范围、入侵带来的影响和损失;
2)通过分析得到的其他结论,如入侵者的来源;
3)服务对象的业务和重点决策过程;
4)服务对象的业务连续性。
●抑制方案的认可
应急服务提供者应告知服务对象所面临的首要问题;
应急服务提供者所确定的抑制方法和相应的措施应得到服务对象的认可;
在采取抑制措施之前,应急服务提供者要和服务对象充分沟通,告知可
能存在的风险,制定应变和回退措施,并与其达成协议。
●抑制方案的实施
应急服务提供者要严格按照相关约定实施抑制,不得随意更改抑制的措
施的范围,如有必要更改,需获得服务对象的授权;
抑制措施包含但不仅限于以下几方面:
1)确定受害系统的范围后,将被害系统和正常的系统进行隔离,断开或
暂时关闭被攻击的系统,使攻击先彻底停止;
2)持续监视系统和网络活动,记录异常流量的远程IP、域名、端口;
3)停止或删除系统非正常帐号,隐藏帐号,更改口令,加强口令的安全
级别;
4)挂起或结束未被授权的、可疑的应用程序和进程;
5)关闭存在的非法服务和不必要的服务;
6)删除系统各用户“启动”目录下未授权自启动程序;
7)使用net share或其他第三方的工具停止所有开放的共享;
8)使用反病毒软件或其他安全工具检查文件,扫描硬盘上所有的文件,
隔离或清除病毒、木马、蠕虫、后门等可疑文件;
9)设置陷阱,如蜜罐系统;或者反击攻击者的系统。
●抑制效果的判定
防止事件继续扩散,限制了潜在的损失和破坏,使目前损失最小化;
对其它相关业务的影响是否控制在最小。
1.1.
2.4、根除阶段(Eradicates)
目标:对事件进行抑制之后,通过对有关事件或行为的分析结果,找出
事件根源,明确相应的补救措施并彻底清除。
角色:应急服务实施小组成员、样本分析组、漏洞分析组。
内容:
(1)根除方案的确定;
(2)根除方案的认可;
(3)根除方案的实施;
(4)根除效果的判定;
输出:《根除处理记录表》
根除处理记录表.xls
x
●根除方案的确定
应急服务提供者应协助服务对象检查所有受影响的系统,在准确判断安
全事件原因的基础上,提出方案建议;
由于入侵者一般会安装后门或使用其他的方法以便于在将来有机会侵入
该被攻陷的系统,因此在确定根除方法时,需要了解攻击者时如何入侵
的,以及与这种入侵方法相同和相似的各种方法。
●根除方案的认可
应急服务提供者应明确告知服务对象所采取的根除措施可能带来的风险,制定应变和回退措施,并得到服务对象的书面授权;
应急服务提供者应协助服务对象进行根除方法的实施。
●根除方案的实施
应急服务提供者应使用可信的工具进行安全事件的根除处理,不得使用
受害系统已有的不可信的文件和工具;
根除措施易包含但不仅限与以下几个方面:
1)改变全部可能受到攻击的系统帐号和口令,并增加口令的安全级别;
2)修补系统、网络和其他软件漏洞;
3)增强防护功能:复查所有防护措施的配置,安装最新的防火墙和杀毒
软件,并及时更新,对未受保护或者保护不够的系统增加新的防护措
施;
4)提高其监视保护级别,以保证将来对类似的入侵进行检测;
●根除效果的判定
找出造成事件的原因,备份与造成事件的相关文件和数据;
对系统中的文件进行清理,根除;
使系统能够正常工作。
1.1.
2.5、恢复阶段(Restoration)
目标:恢复安全事件所涉及到得系统,并还原到正常状态,使业务能够正常进行,恢复工作应避免出现误操作导致数据的丢失。
角色:应急服务实施小组。
内容:
(1)恢复方案的确定;
(2)恢复信息系统;
●恢复方案的确定
应急服务提供者应告知服务对象一个或多个能从安全事件中恢复系统的
方法,及他们可能存在的风险;
应急服务提供者应和服务对象共同确定系统恢复方案,根据抑制和根除
的情况,协助服务对象选择合适的系统恢复的方案,恢复方案涉及到以
下几方面:
1)如何获得访问受损设施或地理区域的授权;
2)如何通知相关系统的内部和外部业务伙伴;
3)如何获得安装所需的硬件部件;
4)如何获得装载备份介质;如何恢复关键操作系统和应用软件;
5)如何恢复系统数据;
6)如何成功运行备用设备
如果涉及到涉密数据,确定恢复方法时应遵循相应的保密要求。
●恢复信息系统
应急响应实施小组应按照系统的初始化安全策略恢复系统;
恢复系统时,应根据系统中个子系统的重要性,确定系统恢复的顺序;
恢复系统过程宜包含但不限于以下方面:
1)利用正确的备份恢复用户数据和配置信息;
2)开启系统和应用服务,将受到入侵或者怀疑存在漏洞而关闭的服务,
修改后重新开放;
3)连接网络,服务重新上线,并持续监控持续汇总分析,了解各网的运
行情况;
对于不能彻底恢复配置和清除系统上的恶意文件,或不能肯定系统在根
除处理后是否已恢复正常时,应选择彻底重建系统;
应急服务实施小组应协助服务对象验证恢复后的系统是否正常运行;
应急服务实施小组宜帮助服务对象对重建后的系统进行安全加固;
应急服务实施小组宜帮助服务对象为重建后的系统建立系统快照和备份;
1.1.
2.6、总结阶段(Summary)
目标:通过以上各个阶段的记录表格,回顾安全事件处理的全过程,整理与事件相关的各种信息,进行总结,并尽可能的把所有信息记录
到文档中。
角色:应急服务实施小组。
内容:
1、事故总结:
应急服务提供者应及时检查安全事件处理记录是否齐全,是否具备可塑
性,并对事件处理过程进行总结和分析;
应急处理总结的具体工作包括但不限于以下几项:
1)事件发生的现象总结;
2)事件发生的原因分析;
3)系统的损害程度评估;
4)事件损失估计;
5)采取的主要应对措施;
相关的工具文档(如专项预案、方案等)归档。
2、事故报告:
1)应急服务提供者应向服务对象提供完备的网络安全事件处理报告;
2)应急服务提供者应向服务对象提供网络安全方面的措施和建议;
●总结汇报
应急完成后,面向甲方相关负责人做总结汇报,包括处置过程、技术分析及解决方案。
●战略规划
对于重大应急响应事件,由销售引导,战略规划部介入,为客户制定3到5年战略规划,按照滑动标尺模型,从架构安全、被动防御、积极防御、威胁情报及进攻反制方面,导向全面安全检查摸底和整体安全咨询规划,提供客户低位、中位、高位安全能力体系建设方案。
●客户责任
应急响应服务现场实施需要客户相关接口人提供现场实施环境,包括:办公环境、网络接入环境、网络/安全设备访问权限等。
应急响应部分工作需要相关接口人提供事件相关日志,包括:系统访问日志、系统操作日志、应用日志等。
应急响应过程中可能涉及系统配置更改、系统敏感操作,实施工程师会提供操作建议由相关系统负责人确认执行。
1.1.3、交付成果
◆工作输出
服务成果为:
?安全事件处置完成,系统得到恢复。
?找到安全事件发生原因并提供安全解决方案。
?《XX系统(事件)应急响应报告》
?《应急响应服务确认单》
1.1.4、服务优势
●强大的威胁情报大数据分析能力
我司在大数据积累层面,拥有全国较为庞大的PC安全客户端群,并结合我司浏览器、我司搜索等搜索引擎,大数据来自互联网域名解析、威胁情报中心、补天等举报与响应平台。这些大数据资源转化为威胁情报信息,汇集成庞大的样本库样本,覆盖全球的域名信息库,90亿条DNS解析记录,占中国30%DNS解析。应急响应服务依托于具有强大数据分析能力的威胁情报大数据分析平台,充分运用公司大数据分析体系,为业务运营、专家级建设提供强有力的安全保障。
●覆盖全国的专业技术人员体系
我司应急响应服务作为安全领域中的“120”,拥有覆盖全国的庞大应急响应服务团队,团队由经验丰富的专业技术人员组成,技术能力覆盖操作系统、逆向、漏洞挖掘、渗透等多个安全技术领域,并有身经百战的专业分析专家作为后端技术支撑,形成全面的技术人员体系。同时在不断实战中将所积累的丰富分析经验为云端分析系统的运行提供了宝贵的数据输入。
●精准的本地威胁分析能力
我司通过多年对高级威胁攻击以及广泛企业内部安全事件的研究,掌握了可交付给用户的利用先进的分析检测工具和威胁模型,配置高级安全分析人员,最大化的做到攻陷检测和高危攻击检测,保证了结果的精准性和广度。并拥有专业的商业安全评估硬件和软件,内部自主开发高度定制化的安全测试及审计工具。
我司通过自有数据来源和情报交换数据来源进行长期的攻击者画像数据库的维护运营,其中涵盖了我司终端数据,安全设备告警数据,事件调查数据等来源,为每个攻击来源IP地址进行记录评判,再根据基础设施、工具指纹等处置规则将不同时间不同IP的攻击源合并为同源攻击者,进而长期跟踪互联网攻击者的活动状况。
●丰富的现场应急实战经验
我司是中国第一大互联网企业安全公司,自集团成立之初,因为“互联网”的公司属性,结合集团自身就拥有门户、注册、搜索等各类互联网应用系统,并且一直在遭受各种类型的互联网攻击,我司在与各类互联网攻击的对抗中,为保障公司自身各类业务系统安全及数据安全,为应急响应服务积累了大量的安全检测、防护、处置经验,结合历年来千余起现场应急实战经验,为后续处置安全事件积累了丰富的实战经验和宝贵的案例分享。
应急响应服务方案 广播电视信息网络股份依托自行设计、自行施工建设、自行运营维护,覆盖全区14个市、75县及广大乡镇的光缆网络资源优势,在高质量高稳定性地承担有线广播电视节目安全传输的基础上,正逐步发展为以实现全区广播电视数字化、网络化为目标,以网络和信息服务为基础,以广播电视业务为龙头,以技术创新为动力,积极拓展各类专网业务和增值业务的综合信息服务提供商。广播电视光缆干线网根据各市、县、乡镇的地理位置灵活组网,网络结构以环网为主,少量的支链路为辅,覆盖了全区所有市、县及乡镇;2004年开始我公司下属的各市、各县、各乡镇分公司进行城域网光缆改造,将原来的树型、星型城域网改造成环型城域网,现在已基本完成,并且在市、县城区采用管道路由方式敷设主干光缆,现绝大部分市、县都已实现管道光缆直接连接到市、县委和政府驻地,极提高了业务传送的安全稳定性。使我公司可以提供给用户的光缆资源、光纤资源十分丰富,也可以稳定可靠地为各类信息专网用户提供性好、技术先进的正常使用接入服务。 广播电视信息的重要性决定了广播电视光缆干线网必须安全、可靠、稳定地运行。为此我公司在建设光缆网络的同时,创建了一个完整可靠、上下贯通、反应迅速的运行维护管理体系,制定了应急维护预案,在广播电视光缆网投入运行的多年来发挥了重要作用,不仅出色地完成了广播电视信号传输任务,正常使用各项技术指标、中断率都控制在国家广电总局要求的围,还多次获得国家广电总局网络中心、广播电影电视局授予的维护先进单位称号。网络应急维护方案如下: 应急维护组织机构 公司主管领导作为全市应急维护管理与调度工作的总负责人,对公司各个管理部门负总责。广电网络各地区分公司作为项目所在地的具体维护机构,具体负责该项目涉及的光缆网络及该项目系统维护的组织、管理、调度工作,负责光缆故障抢修的指挥、调度和排障工作,负责项目系统的维护管理,负责全网24小时网管监控及24小时值班,设有工程维护部和抢修队。
招远市交通运输系统 网络安全事件应急预案 一、总则 (一)编制目的 建立健全招远市交通运输系统网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,维护交通运输安全和秩序。 (二)编制依据 《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》和《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)等相关规定。 (三)适用范围 本预案所指网络安全突发事件(以下简称突发事件)是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络或者其中的数据造成危害,对交通运输系统造成负面影响的事件。本预案适用于招远市交通运输系统发生突发事件的预防和应急处置工作。 (四)事件分类 根据网络与信息安全突发事件的性质、机理和发生过
程,主要分为以下三类: 1.自然灾害。指地震、台风、雷电、火灾、洪水等引起的网络系统损坏。 2.事故灾难。指电力中断、网络损坏或是软件、硬件设备故障等引起的网络系统损坏。 3.人为破坏。指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息系统损坏,或是利用信息网络进行有组织的大规模的反动宣传、煽动和渗透等破坏活动。 根据突发事件的故障情况可以分为以下几类: 1.通道与网络故障; 2.主机设备、操作系统、中间件和数据库软件故障; 3.应用停止服务故障; 4.应用系统数据丢失; 5.机房电源、空调等环境故障; 6.大面积病毒爆发、蠕虫、木马程序、有害移动代码等; 7.非法入侵,或有组织的攻击; 8.自然灾害或人为外力破坏; 9.信息发布和服务网站遭受攻击和破坏; 10.其他原因。 (五)事件分级 1.Ⅰ级网络与信息安全突发事件。对服务对象的生产、生
三级应急响应处理方案 为保证“贫困地区儿童营养改善项目”在我市顺利实施,达到项目实施目标,提升儿童养育人科学喂养技能和我市儿童营养健康水平,需要对在项目执行过程中可能出现的应急事件作出及时、正确的处理应对,减少客户投诉事件对项目成功运行的干扰,我们根据可能出现的客户投诉事件制定三级应急处理方案。具体如下: 一.目的 1.明确客户投诉处理的责任人及其相关职责。 2.规范客户投诉处理流程。 3.消除各种不利于项目执行因素,确保项目顺利实施。 二.目标 1.客户投诉处理率:所有营养包产品相关问题的投诉、疑问,均100%处理。 2.客户投诉处理结果满意率:所有应急事件处理结果满意率达90%以上。三.责任人 第一责任人:各县、乡镇的项目服务专员、总部400营养咨询中心客户服务专员,为各自负责区域的第一责任人。 职责:负责投诉信息的收集、整理、归档、统计。 负责与总部之间的投诉样品的交接传递。 负责与总部相关人员的沟通、协调。 负责将相关的反馈信息及时提供给区域的同事及项目执行人员。 第二责任人:赣州市项目服务经理为第二责任人。 职责:负责指导赣州市区域内项目专员妥善处理消费者投诉。 项目服务经理负责指导各自区域内员工与相关项目执行单位及人员进行沟通。 第三责任人:项目服务总监为第三责任人。 负责制定投诉应急响应制度、策略。 负责指导各级人员进行应急响应工作开展。 负责向项目执行领导小组汇报投诉处理情况,协助处理较重要的投诉,并请求项目领导小组的支持和协调工作。
四.投诉处理三级应急响应方案 1.投诉对象及定义:项目目标婴幼儿在接受了发放的营养包后,由于各种原因造成的对正在使用的营养包不满意,家长或监护人通过口头或书面的形式提出的投诉。或者由各地项目执行的医务人员、妇联工作人员转交的投诉。 2.投诉三级应急管理: 根据营养包的使用对象,可能的投诉内容主要涵盖以下几个方面: 2.1一级投诉:与产品本身相关的投诉内容,如外包装缺陷或破损、包装内数量不足、有效期临近、怀疑假货等等。 2.2二级投诉:婴幼儿在产品使用过程中,出现某些不适,监护人怀疑由产品引起而进行投诉的,如出现腹泻、呕吐、咳嗽或发热等临床症状的。2.3三级投诉:婴幼儿在使用过程中,出现某些临床症状,家长或监护人反应激烈的;或者因沟通不及时,有媒体、政府职能部门介入的。以及可能造成比此类情况更广泛影响的局面的。 3.三级投诉应急处理方案: 3.1先行负责制:所有各级投诉处理均采用投诉先行负责制,即首位接受投诉的责任人,为该投诉的终极负责人,直到该投诉处理结束。人员包括:项目服务专员、项目400客服中心营养师。 3.2投诉接收: A.项目对象家长或监护人直接向项目服务专员提出,或者各医疗卫生机构、妇联项目执行人员收集转报到项目服务专员。 B.各地项目服务专员须定期拜访项目执行人员,留下联系方式,及时掌握投诉情况,进行后续跟进处理。 C.项目对象直接致电400项目服务中心电话。 3.3响应时间:所有营养包产品相关问题的投诉、疑问,均于4小时内回复。(1小时内做出初步回复) 3.4一级投诉应急处理: A.投诉处理人员在接收投诉后1小时内应先与消费者电话安抚沟通、答疑解惑,并争取达一致。 B.如有如外包装缺陷或破损、包装内数量不足、有效期临近等情况,可酌情予以
网络安全应急预案
网络安全应急预案文档修订记录
一、总则 1.编制目的 为提高应对网络与信息安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网站网络与信息安全突发事件的危害,特制定本预案。 2.编制依据 根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等有关法规、规定,制定本预案。 3.适用范围 本预案适用于发生与本预案定义的I-IV级网络与信息安全突发事件和可能导致I-IV级的网络与信息安全突发事件的应对处理工作。 4.分类分级 本预案所指的网络信息安全突发事件,是指网络信息系统突然遭受不可预知外力的破坏、毁损或故障,不良信息在网站乃至整个互联网的传播,发生对国家、社会、公众造成或者可能造成危害的紧急网络安全事件。 事件分类根据网络信息安全突发事件的发生过程、性质和特征,网络信息安全突发事件划分为网络安全突发事件和信息安全
突发事件。网络安全突发事件是指自然灾害、事故灾难和人为破坏引起的网络与信息系统的损坏;信息安全突发事件是指利用信息网络进行有目的或有组织的反动宣传、煽动和歪曲事理的不良活动或违法活动。 (1)自然灾害是指地震、台风、雷电、火灾、洪水等。 (2)事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。 (3)人为破坏是指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖主义活动等事件。 事件分级 根据我省对网络信息安全突发事件的可控性、严重程度和影响范围,将网络信息安全突发事件分为四级:I级(特别重大)、II级(重大)、III级(较大)、IV级(一般)。具体级别定义如果国家有关法律法规有明确规定的,按国家有关规定执行。 (1)I级(特别重大):造成网络与信息系统发生大规模瘫痪,事态的发展超出区一级相关主管部门的控制能力,对国家安全、社会秩序、公共利益造成特别严重损害的突发事件。 (2)II级(重大):造成网站或其它上一级部门重要网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成严重损害,需要上级政府或公安部门协助,乃至需跨地区协同处理的突发事件。
信息安全应急响应流程 广东盈通网络投资 20011年07月 目录 第一部分导言 (2) 1.1.文档类别 (2) 1.2.使用对象 (3) 1.3.计划目的 (3) 1.4.适用范围 (3) 1.5.服务原则 (3)
第二部分应急响应组织保障 (4) 2.1.角色的划分 (4) 2.2.角色的职责 (4) 2.3.组织的外部协作 (4) 2.4.保障措施 (5) 第三部分应急响应实施流程 (5) 3.1.准备阶段(Preparation stage) (7) 3.1.1 领导小组准备内容 (7) 3.1.2 实施小组准备内容 (7) 3.1.3 日常运行小组准备内容 (9) 3.2.检测阶段(Examination stage) (9) 3.2.1 检测范围及对象的确定 (10) 3.2.2 检测方案的确定 (10) 3.2.3 检测方案的实施 (10) 3.2.4 检测结果的处理 (12) 3.3.抑制阶段(Suppresses stage) (12) 3.3.1 抑制方案的确定 (13) 3.3.2 抑制方案的认可 (13) 3.3.3 抑制方案的实施 (13) 3.3.4 抑制效果的判定 (13) 3.4.根除阶段(Eradicates stage) (14) 3.4.1 根除方案的确定 (14) 3.4.2 根除方案的认可 (14) 3.4.3 根除方案的实施 (14) 3.4.4 根除效果的判定 (14) 3.5.恢复阶段(Restoration stage) (15) 3.5.1 恢复方案的确定 (15) 3.5.2 恢复信息系统 (15) 3.6.总结阶段(Summary stage) (15) 3.6.1 事故总结 (16) 3.6.2 事故报告 (16) 第一部分导言 1.1.文档类别 本文档是盈通公司信息技术安全IT技术部用以规范“信息安全应急响应服务流程”项
网络信息安全应急预案 一、总则 1.编制目的 为提高应对网络与信息安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网站网络与信息安全突发事件的危害,特制定本预案。 2.编制依据 根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等有关法规、规定,制定本预案。 3.适用范围 本预案适用于发生与本预案定义的I-IV级网络与信息安全突发事件和可能导致I-IV级的网络与信息安全突发事件的应对处置工作。 4.分类分级 本预案所指的网络信息安全突发事件,是指网络信息系统突然遭受不可预知外力的破坏、毁损或故障,不良信息在网站乃至整个互联网的传播,发生对国家、社会、公众造成或者可能造成危害的紧急网络安全事件。 事件分类根据网络信息安全突发事件的发生过程、性质和特征,网络信息安全突发事件划分为网络安全突发事件和信息安全突发事
件。网络安全突发事件是指自然灾害、事故灾难和人为破坏引起的网络与信息系统的损坏;信息安全突发事件是指利用信息网络进行有目的或有组织的反动宣传、煽动和歪曲事理的不良活动或违法活动。 (1)自然灾害是指地震、台风、雷电、火灾、洪水等。 (2)事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。 (3)人为破坏是指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖主义活动等事件。 事件分级 根据我省对网络信息安全突发事件的可控性、严重程度和影响范围,将网络信息安全突发事件分为四级:I级(特别重大)、II级(重大)、III级(较大)、IV级(一般)。具体级别定义如果国家有关法律法规有明确规定的,按国家有关规定执行。 (1)I级(特别重大):造成网络与信息系统发生大规模瘫痪,事态的发展超出区一级相关主管部门的控制能力,对国家安全、社会秩序、公共利益造成特别严重损害的突发事件。 (2)II级(重大):造成网站或其它上一级部门重要网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成严重损害,需要上级政府或公安部门协助,乃至需跨地区协同处置的突发事件。 (3)III级(较大):造成网站网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成一定损害,但只需在本区政府或区信息中心协同处置的突发事件。
工程应急预案及应急措施 为及时有效地处理重大事件突发对工程正常施工秩序的影响,我公司从工程开工就建立以项目经理部领导班子为首、公司总部领导班子为辅、总部各部门支持配合的总承包现场应急响应小组。在紧急情况发生第一时间内启动应急机制,一小时内上报有关部门。保证做到:统一指挥、职责明确、信息畅通、反应迅速、处置果断,把事故损失降低到最低。 一、应急准备及响应组织准备 ⑴为了保护本企业从业人员在经营活动中的身体健康和生命安全,保证本企业在出现生产安全事故时,能够及时进行应急救援,从而最大限度地降低生产安全事故给本企业及本企业员工所造成的损失,成立公司生产安全事故应急救援小组。 ⑵生产安全事故应急救援组织成员经培训,掌握并且具备现场救援救护的基本技能,施工现场生产安全应急救援小组必须配备相应的急救器材和设备。小组每年进行1-2次应急救援演习和对急救器材设备的日常维修、保养,从而保证应急救援时正常运转。 ⑶生产安全事故应急救援程序: 公司及工地建立安全值班制度,设值班电话并保证24小时轮流值班。 如发生产安全事故立即上报,具体上报程序如下: 现场第一发现人一一现场值班人员一一现场应急救援小组组长一一公司值班人员——公司生产安全事故应急救援小组——向上级部门报告。 生产安全事故发生后,应急救援组织立即启动如下应急救援程序:现场发现人:向现场值班人员报告 现场值班人员:控制事态保护现场组织抢救,疏导人员。 现场应急救援小组组长:组织组员进行现场急救,组织车辆保证道路畅通,送往最佳医院。 公司值班人员:了解事故及伤亡人员情况 公司生产安全应急救援小组:了解事故及伤亡人员各简况及采取的措
企业网络安全应急响应方案 事实证明,事先制定一个行之有效的网络安全事件响应计划(在本文后续描述中简称事件响应计划),能够在出现实际的安全事件之后,帮助你及你的安全处理团队正确识别事件类型,及时保护日志等证据文件,并从中找出受到攻击的原因,在妥善修复后再将系统投入正常运行。有时,甚至还可以通过分析保存的日志文件,通过其中的任何有关攻击的蛛丝马迹找到具体的攻击者,并将他(她)绳之以法。 一、制定事件响应计划的前期准备 制定事件响应计划是一件要求严格的工作,在制定之前,先为它做一些准备工作是非常有必要的,它将会使其后的具体制定过程变得相对轻松和高效。这些准备工作包括建立事件响应小姐并确定成员、明确事件响应的目标,以及准备好制定事件响应计划及响应事件时所需的工具软件。 1、建立事件响应小组和明确小组成员 任何一种安全措施,都是由人来制定,并由人来执行实施的,人是安全处理过程中最重要的因素,它会一直影响安全处理的整个过程,同样,制定和实施事件响应计划也是由有着这方面知识的各种成员来完成的。既然如此,那么在制定事件响应计划之前,我们就应当先组建一个事件响应小组,并确定小组成员和组织结构。 至于如何选择响应小组的成员及组织结构,你可以根据你所处的实际组织结构来决定,但你应当考虑小组成员本身的技术水平及配合能达到的默契程度,同时,你还应该明白如何保证小组成员内部的安全。一般来说,你所在组织结构中的领导者也可以作为小组的最高领导者,每一个部门中的领导者可以作为小组的下一级领导,每个部门的优秀的IT管理人员可以成为小组成员,再加上你所在的IT部门中的一些优秀成员,就可以组建一个事件响应小组了。响应小组应该有一个严密的组织结构和上报制度,其中,IT人员应当是最终的事件应对人员,负责事件监控识别处理的工作,并向上级报告;小组中的部门领导可作为小组响应人员的上一级领导,直接负责督促各小组成员完成工作,并且接受下一级的报告并将事件响应过程建档上报;小组最高领导者负责协调整个事件响应小组的工作,对事件处理方法做出明确决定,并监督小组每一次事件响应过程。 在确定了事件响应小组成员及组织结构后,你就可以将他们组织起来,参与制定事件响应计划的每一个步骤。 2、明确事件响应目标 在制定事件响应计划前,我们应当明白事件响应的目标是什么?是为了阻止攻击,减小损失,尽快恢复网络访问正常,还是为了追踪攻击者,这应当从你要具体保护的网络资源来确定。 在确定事件响应目标时,应当明白,确定了事件响应目标,也就基本上确定了事件响应计划的具体方向,所有将要展开的计划制定工作也将围绕它来进行,也直接关系到要保护的网络资源。因此,先明确一个事件响应的目标,并在执行时严格围绕它来进行,坚决杜绝违背响应目标的处理方式出现,是关系到事件响应最终效果的关键问题之一。 应当注意的是,事件响应计划的目标,不是一成不变的,你应当在制定和实施的过程中不断地修正它,让它真正适应你的网络保护需要,并且,也不是说,你只能确定一个响应目标,你可以根据你自身的处理能力,以及投入成本的多少,来确定一个或几个你所需要的响应目标,例如,有时在做到尽快恢复网络正常访问的同时,尽可能地收集证据,分析并找到攻击者,并将他(她)绳之以法。 3、准备事件响应过程中所需要的工具软件 对于计算机安全技术人员来说,有时会出现三分技术七分工具情况。不论你的技术再好,
应急响应服务方案 目录 1、1 应急响应原则 (3) 1、2应急处理原则 (3) 1、3应急响应服务 (4) 1、3、1 ..................................................................................... 应急事件得影响程度 5 1、3、2 ............................................................................. 应急事件得影响级别分类 5 1、3、3 ................................................................................. 应急事件得优先级处理 6 1、3、4 ................................................................................................. 应急事件响应 7 1、4应急响应保障措施 (9) 1、5应急响应组织保障 (10) 1、5、1 ............................................................................................. 组织机构与职责 10 1、5、2 ............................................................................................. 组织得外部协作 11 1、6应急响应流程 (11) 1、6、1 ......................................................................................................... 准备阶段 12 1、6、2 ......................................................................................................... 检测阶段 16 1、6、3 ......................................................................................................... 抑制阶段 19 1、6、4 ......................................................................................................... 根除阶段 21 1、6、5 ......................................................................................................... 恢复阶段 23 1、6、6 ......................................................................................................... 总结阶段 25 1、7各类应急事件处理预案 (26) 1、7、1 ..................................................... 设备发生被盗或人为损害事件应急预案 26 1、7、2 ................................................................................. 通信网络故障应急预案 26 1、7、3 ............................................................. 不良信息与网络病毒事件应急预案 27
xxxx网络与信息安全应急处置预案 为了切实做好网络与信息安全突发事件的防X和应急处理工作,进一步提高我院预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,保证网络的正常运行,结合本院实际,制定本预案。 一、应急处置工作的目标 在最短时限内,及时、果断处理在本院X围内发生的危害网络与信息安全的突发性事件,维护网络信息安全与稳定。 二、应急预案启动 有下列情况应启动应急预案: 1、、网页出现非法言论; 2、网络遭受黑客攻击; 3、计算机网络出现病毒; 4、软件系统遭受破坏性攻击; 5、数据库系统出现故障; 6、广域网外部线路中断; 7、局域网大X围中断; 8、服务器等关键网络设备故障; 9、网络中心机房外电中断。 三、组织领导
成立网络与信息安全领导小组,领导小组的主要职责与任务是统一领导全院网络与信息安全的应急工作,全面负责院内网络与信息安全可能出现的各种突发事件处置工作,协调解决灾害处置工作中的重大问题等。下设网络与信息安全应急处置工作组,由办公室、医务科、保健部成员组成,具体负责网络与信息安全应急处置工作。 四、应急预案启动时的应急处理措施 1、、网页出现非法言论时的紧急处置措施 (1)、网页由各相关使用部门的具体负责人员随时密切监视信息内容。每天不少于5次;非常时期,每半小时监控一次,必要时,24小时监控。 (2)发现网上出现非法信息时,负责人员应立即向应急处置工作组通报情况;情况紧急的应先及时采取删除等处理措施,再按程序报告。 (3)应急处置工作组人员应在接到通知后十分钟内进行处理,作好必要的记录,清理上的非法信息,强化安全防X措施后方可将网页重新投入使用。 (4)应急处置人员应妥善保存有关记录及日志或审计记录。 (5)应急处置人员应立即追查非法信息来源,若非法信息来源于院内,则由本院保卫处和网络技术人员进行处理,同时报告网络与信息安全领导小组负责人,根据管理制度对非法传播者及时处置,并报知上级公安部门备案;若非法信息来自于院外,则立即报知上报公安部门,并由技术人员将这些信息保存、记录IP地址,以备上级公安部门互联网突发事件处置行动组调用。 2、黑客攻击时的紧急处置措施 (1)当有关负责人员发现网页内容被篡改,或通过防火墙、入侵检测系统发现有黑客正在进行攻击时,应立即向应急处置工作组通报情况。 (2)应急处置人员应在十分钟内进行处理,首先应将被攻击的服务器等设备从网络中隔离出来,保护现场,同时向网络与信息安全领导小组汇报情况。
城区建设工程质量安全事故应急预案现场处置方案 事故特征 a)危险性分析,建筑施工现场主要发生五类事故:高坠、物体打击、触电、机械伤害、坍塌; b)事故发生的区域、地点或装置的名称:发生在建筑施工现场; c)事故发生的季节和造成的危害程度:按建设部3号令,建筑工程事故级别分四个等级; d)事故前可能出现的征兆:建筑施工事故具有不确定性。 应急组织与职责 a)基层单位应急自救组织形式及人员构成情况; b)应急自救组织机构、人员的具体职责 (一)应急组织机构图: (二)、人员组成: 组织指挥组: 通信联络组: 应急行动组:(三)、职责、权限和义务: 组织指挥组 通信联络组 应急行动组
1、组织指挥组 建设工地发生安全事故时,建设单位及施工企业应负责指挥工地抢救工作,并在事故发生1小时内向**局上报。**局组织指挥组接到通知后,向各小组下达配合,协调抢救指令,随时掌握各组最新动态并做出最新决策,负责应急与响应的组织领导工作,协调各相关应急单位和应急小组的应急与响应行动,要求所有应急人员行动迅速有效。 2、通信联络组 接受组织指挥组的指令,第一时间向公安、消防、医疗、市建设局、市建筑安全监督站等相关部门报告,并联络协调。及时将事态的发展向组织指挥组报告并将组织指挥组的指令向各抢救部门传达。 c、应急救援系统各机构之间; 3、应急行动组 负责迅速到达事故现场展开调查,及时通过通信联络组向组织指挥组和相关部门通报情况。 应急处置 a)事故应急处置程序 (一)、应急措施处理程序图 组织指挥组启动应急预案(****负责) 建筑安全事件发生 通信联络组向各应急小组通报情况(****负责) 通知应急行动组(****负责) 应急行动组迅速到达事故现场展开调查,及时通过通信 联络组向组织指挥组和相关部门通报情况;迅速到达事 故现场进行应急监测,查明事故严重程度,采取应急善 后处理措施,防止事故扩大。
网络安全应急预案 一、总则 1、编制目的 为提高应对网络安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保计算机信息系统的实体安全、运行安全和数据安全,特制定本预案。 2、编制依据 根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等有关法规、规定,制定本预案。 3、适用范围 本预案适用于发生与本预案定义的I-IV级网络与信息安全突发事件和可能导致I-IV级的网络与信息安全突发事件的应对处置工作。 4、分类分级 本预案所指的网络安全突发事件,是指网络系统突然遭受不可预知外力的破坏、毁损或故障,不良信息在网站乃至整个互联网的传播,发生对国家、社会、公众造成或者可能造成危害的紧急网络安全事件。 事件分类根据网络安全突发事件的发生过程、性质和特征,网络安全突发事件划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害、
事故灾难和人为破坏引起的网络与信息系统的损坏;信息安全突发事件是指利用信息网络进行有目的或有组织的反动宣传、煽动和歪曲事理的不良活动或违法活动。 (1)自然灾害是指地震、台风、雷电、火灾、洪水等。 (2)事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。 (3)人为破坏是指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖主义活动等事件。 事件分级 根据网络安全突发事件的可控性、严重程度和影响范围,将网络安全突发事件分为四级:I级(特别重大)、II级(重大)、III级(较大)、IV级(一般)。具体级别定义如果国家有关法律法规有明确规定的,按国家有关规定执行。 (1)I级(特别重大):造成网络与信息系统发生大规模瘫痪,事态的发展超出区一级相关主管部门的控制能力,对国家安全、社会秩序、公共利益造成特别严重损害的突发事件。 (2)II级(重大):造成网站或其它上一级部门重要网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成严重损害,需要上级政府或公安部门协助,乃至需跨地区协同处置的突发事件。 (3)III级(较大):造成网站网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成一定损害,但只需在本区政府或区信息中心协同处置的突发事件。
一、突发事件范围 根据突发事件的发生过程、性质和机理,处置突发事件分为以下八类: 1、火灾事件:指电气、雷击、爆炸、燃气泄漏、可燃物、烟头等引发的火情或火灾。 2、泄密事件:指机要文件、涉密成果、涉密存储介质和密码设备丢失及外泄等事件。 3、治安事件:指国家财产被盗窃或损失严重,恐怖袭击、爆炸、骚乱或斗殴致人重伤的治安事件等。 4、设备事故:指核心机房设备(包括计算机、网络、存储备份、空调、电力、监控及门禁等)发生损坏和事故,致使系统瘫痪或正常业务工作无法开展等情况。 5、测绘生产事故:指测绘生产过程中发生的事故或野外作业中遇到自然灾害、车祸和治安犯罪等,造成财产重大损失和人员伤亡等事件。 6、重要资料遗失或毁损事件:指重要馆藏档案、成果资料、底片、光盘等被盗、遗失及非正常毁损事件。 7、公共卫生事件:指单位办公区域内突发传染病疫情、群体性不明原因疾病、食物中毒、以及其他严重影响公众健康和生命安全的事件。 8、自然灾害:指发生地震、洪涝、雷击、风暴或严重危害隐患等,造成财产重大损失和人员伤亡的自然灾害。 二、组织机构及职责 1、中心成立突发事件应急处置领导小组(以下简称“领导小组”),中心主任组长,党委书记任副组长,成员为中心副主任和相关部门负责人组成(名单见附件)。 领导小组在国家测绘地理信息局主管部门的指导下,对中心28号院和百胜村1号院突发事件应急处置负全面领导责任,决策重大事件的处理与上报。 2、领导小组下分设5个应急处置工作组(以下简称“工作组”),分别负责中心28号院和1号院范围内各种突发事件应急处置、善后处理等工作。
3、工作组组成 (1)治安消防组 组长由中心分管领导担任;副组长由中心保卫处和综治委消防办公室负责人担任;成员由中心和驻1号院单位综治委消防办、保卫处人员及保安队组成(名单见附件)。 (2)资料保密组 组长由中心分管领导、保密委主任担任;副组长由保密委副主任担任;成员由保密委和保密办成员组成(名单见附件)。 (3)设备组 组长由中心分管领导担任;副组长由网络技术部和行政服务部负责人担任;成员由网络部和相关部门的责任人组成(名单见附件)。 (4)安全生产组 组长由中心分管领导、安全生产委员会主任担任;副组长由安全生产委员会副主任担任;成员由承担外业作业任务的部门和车队负责人组成(名单见附表)。 (5)卫生灾害组 组长由中心分管领导、防汛抗旱领导小组总指挥担任;副组长由行政服务部负责人担任;成员由行政服务部、办公室相关人员组成(名单见附件)。 三、处置机制 1、预案启动与终止 (1)中心重大突发事件发生时,由相关应急处置工作组第一时间现场判定或根据报告判定后,报领导小组批准,启动应急预案。当事件处置完成后,宣布应急预案终止。 (2)如遇国家和本地区突发的社会公共事件,由领导小组按照上级部署,宣布启动应急预案,在事件结束后或根据上级指示,宣布应急预案终止。 2、应急处置 根据突发公共事件共性特征,提出如下应急处置机制。 (1)发现与报告 ●突发公共事件发生后,现场人员在进行先期处置的同时,迅速向相应工作组报告。 ●工作组人员接到报告后,第一时间赶赴现场,判定事件程度及是否需要社会救助,确定是否启动应急预案,进行相应处置,并立即向领导小组报告。
网络安全应急预案 为提高集团公司处理网络与信息安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制。减少人为或自然因素及病毒、黑客入侵等对集团公司的损失。特制定本应急措施。 一、机房漏水防治应急预案 ⑴发生机房漏水后,第一目击者应立即通知集团办公室。 ⑵若空调系统出现渗漏水,应立即停止故障空调,将机房内的积水清除干净,并及时联系设备供应方进行处理,必要情况下可以临时用电扇对服务器进行降温。 ⑶若为墙体或窗户渗漏水,应立即通知物业公司,及时清除积水,进行墙体或窗户维修,避免不必要的损失。 二、设备发生被盗或人为损害事件应急预案 ⑴发生设备被盗或有人为损害设备情况时,使用者或管理者应立即报告集团办公室,同时保护好现场。 ⑵集团办公室接报后,通知物业公司及公安部门,一同核实审定现场情况,清点被盗物资或盘查人为损害情况,做好必要的影像记录和文字记录。 ⑶事件当事人应当积极配合公安部门进行调查,并将有关情况向集团办公室汇报。 三、机房长时间停电应急预案
⑴接到长时间停电通知后,应及时通过OA发布或电话通知停电通告,要求用户在停电前停止业务、保存数据。 ⑵打电话询问供电部门询问停电原因及具体停电时间。 四、通信网络故障应急预案 ⑴发生通信网络故障后,计算机操作员应及时将信息告知集团办公室。 ⑵网络管理员应及时查清通信网络故障位置,或告知相关通信网络运营商,请求协助查清原因。 ⑶相关责任人负责写出故障分析报告,上报集团办公室备查。 五、不良信息和网络病毒事件应急预案 ⑴当发现不良信息或网络病毒时,网络管理员应立即断开网线,终止不良信息或网络病毒传播,并告知集团办公室。 ⑵接到报告后,网络管理员应立即通告局域网内所有计算机用户防病毒方法,隔离网络,指导各计算机操作人员进行杀毒处理,直至网络处于安全状态。 ⑶对不良信息要进一步追查来源,对未经相关领导同意,擅自发布信息,造成不良影响且触犯法律者,移交执法部门追究法律责任。 六、计算机软件系统故障应急预案 ⑴发生计算机软件系统故障后,计算机操作人员立即保存数据,并停止该计算机使用应用。
网络安全应急预案新编 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
网络安全应急预案 一、总则 1、编制目的 为提高应对网络安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保计算机信息系统的实体安全、运行安全和数据安全,特制定本预案。 2、编制依据 根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等有关法规、规定,制定本预案。 3、适用范围 本预案适用于发生与本预案定义的I-IV级网络与信息安全突发事件和可能导致I-IV级的网络与信息安全突发事件的应对处置工作。 4、分类分级 本预案所指的网络安全突发事件,是指网络系统突然遭受不可预知外力的破坏、毁损或故障,不良信息在网站乃至整个互联网的传播,发生对国家、社会、公众造成或者可能造成危害的紧急网络安全事件。 事件分类根据网络安全突发事件的发生过程、性质和特征,网络安全突发事件划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害、事故灾难和人为破坏引起的网络与信息系统的损坏;信息安全突发事件是指利用信息网络进行有目的或有组织的反动宣传、煽动和歪曲事理的不良活动或违法活动。 (1)自然灾害是指地震、台风、雷电、火灾、洪水等。
(2)事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。 (3)人为破坏是指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖主义活动等事件。 事件分级 根据网络安全突发事件的可控性、严重程度和影响范围,将网络安全突发事件分为四级:I级(特别重大)、II级(重大)、III级(较大)、IV级(一般)。具体级别定义如果国家有关法律法规有明确规定的,按国家有关规定执行。 (1)I级(特别重大):造成网络与信息系统发生大规模瘫痪,事态的发展超出区一级相关主管部门的控制能力,对国家安全、社会秩序、公共利益造成特别严重损害的突发事件。 (2)II级(重大):造成网站或其它上一级部门重要网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成严重损害,需要上级政府或公安部门协助,乃至需跨地区协同处置的突发事件。 (3)III级(较大):造成网站网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成一定损害,但只需在本区政府或区信息中心协同处置的突发事件。 (4)IV级(一般):造成网站网络重要网络与信息系统受到一定程度的损坏,但不危害国家安全、社会秩序和公共利益,可由我主管部门处置的突发事件。 二、工作原则
应急响应服务方案
【 目录 应急响应原则 (5) 应急处理原则 (6) 应急响应服务 (7) 应急事件的影响程度 (7) 应急事件的影响级别分类 (8) 应急事件的优先级处理 (8) 应急事件响应 (9) " 应急响应保障措施 (11) 应急响应组织保障 (13) 组织机构与职责 (13) 组织的外部协作 (14) 应急响应流程 (14) 准备阶段 (16) 检测阶段 (20) 抑制阶段 (23) · 根除阶段 (25) 恢复阶段 (27) 总结阶段 (29) 各类应急事件处理预案 (30) 设备发生被盗或人为损害事件应急预案 (30) 通信网络故障应急预案 (30) 不良信息和网络病毒事件应急预案 (31) 服务器软件系统故障应急预案 (31) 《 黑客攻击事件应急预案 (32) 核心设备硬件故障应急预案 (32) 业务数据损坏应急预案 (33) 应急事件响应建议 (34) 应急事件现场处理 (34) 应急事件的事后处理 (35) 应急保障措施 (36) 应急体系完善 (37) 、
随着网络信息化建设的不断深入,加强各类设备、系统以及信息与网络安全等方面应对应急事件的处理能力将是运维项目面临的一 项重要任务。为确保系统及机房安全与稳定,以保证正常运行为宗旨,按照“预防为主,积极处置”的原则,本着建立一个有效处置应急事件,建立统一指挥、职责明确运转有序、反应迅速处置有力的安全体系的目标,将正在发生或已发生事故的损害程度减轻到最低,确保系统和数据安全,特制定本应急保障方案。 在应急事件发生时,通过应急事件处置与应急响应机制,保障计算机信息系统继续运行或紧急恢复,可归纳为3个方面: 紧急事件或安全发生时的影响分析; 应急预案的详细制订; 应急预案的演练与完善。 1.1应急响应原则 实时原则 " 应急响应服务中心配备了7X24的人员值班机制,保证接受客户在任意时间提出的服务请求。并在接到客户的服务请求以后,在1个小时之内给予响应。 规范性原则 对于每一次应急事件的发生都有严格的事件记录,记录事件处理的全部过程,对于现场处理事件由用户签署认可建议。
网络安全突发事件应急预案 为确保校园网安全有序平稳运行,保证校园网络信息安全和网络安全,避免校园网络被黑客攻击、病毒入侵,更好的服务于学校的教育教学,特制定本预案。 一、指导思想 维护安全、健康、有序的网络环境,保证网络平台和信息技术支撑学校教学、科研、管理的各项工作正常高效的运行。 二、组织指挥 1.组织机构 网络安全管理领导小组 组,长: 副组长: 组员: 2.职责任务 (1)加强宣传,监督检查各教研组处室网络信息安全措施的落实情况。 (2)加强网上信息监控巡查,重点监控可能出现有害信息的网站、网页。 (3)及时组织有关部门和专业技术人员对校园网上出现的突发事件进行处理并根据情况的严重程度上报有关部门。 (4)与教育局装备站保持热线联系,协助装备站对教育网络信息
安全的监控和保障。 三、处置原则 1.主动防范,跟踪检查。根据情况通报和预警信息,及时采取措施,做好防范工作,最大限度地减少危害,同时加大监督、检查力度,确保落实。 2.先期处置,及时上报。重大突发事件,要迅速向市公安局网监科报案,保护好现场,并先期开展工作,及时控制事态,防止扩大蔓延,减少和降低危害。 四、处置程序及措施 1.校园网内发现网络突发事件,网络安全管理人员应立即关闭其连接,保存好相关技术数据和资料,并上报学校网络安全管理工作领导小组。并采用以下方案: (1)病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时请有关技术人员协助,寻找并公布病毒攻击信息,以及杀毒、防御方法。 (2)外部入侵:判断入侵的来源,区分外网与内网,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外网入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的lP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和带来恶劣影响。 (3)内部入侵:查清入侵来源,如IP地址、所在办公室等信息,
---------项目部应急预案 “安全第一,预防为主”是安全生产的方针,然而无论预防工作如何周密,其事故和灾害总是难以根本杜绝。为了避免或减少事故和灾害的损失,应付紧急情况,依照《中华人民共和国安全生产法》第十七条和第六十九条的规定,特制定本应急预案。 一、应急救援预案的任务和目的 更好地适应法律、法规和生产活动的要求,为企业职工的工作和施工现场及周围居民提供更好更安全的环境,保证各种应急救援物质处于良好的备战状态,指导应急反映行动按计划有序的进行,防止因应急救援反应行动组织不力或现场救援工作的无序、混乱而延误事故的应急救援,有效的降低和避免人员伤亡和财产的损失。 二、应急救援组织机构 (一)项目部应急救援领导小组(二级应急救援组织) 组长: 副组长: 组员: (二)应急指挥中心地点与公司电话的联系(公司办公室:) 项目经理:电话:副经理电话 火警:119医疗救护:120匪警:110环保举报:12369 (三)应急救援人员 以施工现场义务消防队员为主,根据需要增加相应的配套工种人员。 (四)应急救援器材 施工现场的起重设备、机械设备、消防器材、通讯设备(手机、电话、对讲机等)、工具、运输车 辆及各类医疗急救药品、担架、绷带等。 三、应急救援领导小组的职责 (一)应急救援领导小组组长的职责 1组织按照本应急预案进行实施; 2按本应急预案的要求进行应急演练,根据演练经验补充、修改和完善事故应急救援预案。 3在整个事故应急处置过程中,应当和事故现场的主管人员保持密切联系,随时掌握事故现场的态势。4协助有关部门做好事故调查及善后处理工作。 (二)应急领导组组员的职责 1熟悉本预案的内容,按规定进行应急演练。 2当出现事故和紧急情况时,应立即向组长报告。 3当出现事故和紧急情况时,小组成员应参与事故的应急救援,不得借口推诿。 四、应急预案各响应范围 爆炸与火灾事故;高处坠落事故,物体打击事故,触电等人身伤害事故事故;设备倾覆;基坑坍塌;食物中毒;传染病。 五、应急准备和响应的重点控制部位 易燃易爆液(气)体、油漆、稀料、氧气、乙炔气、可燃物体、仓库、施工现场的配电室、食堂、现场电气焊作业、高空作业、起重设备的安装运行、深基坑和管线开挖。 以上重点部位,施工现场应附图标识。 六、响应、报警及联络步骤 出现事故和紧急情况时,发现人应立即向应急小组报告,如其危害性较小且能被现场的操作者控制在该范围内,影响预期不会扩大到社区时,在事故现场的主要负责人应立即启动二级应急救援反应行动按以下程序开展应急救援组织工作: (一)迅速组织二级应急救援组织的救援人员赶到出事地点,并落实分工。