網(wǎng)絡(luò)安全管理應(yīng)急救援預(yù)案.docx

1、. . .網(wǎng)絡(luò)安全應(yīng)急預(yù)案一、總則（一）目的為科學(xué)應(yīng)對(duì)網(wǎng)絡(luò)與信息安全 (以下簡(jiǎn)稱信息安全 )突發(fā)事件，建立健全信息安全應(yīng)急響應(yīng)機(jī)制，有效預(yù)防、及時(shí)控制和最大限度地消除信息安全各類突發(fā)事件的危害和影響，制訂本應(yīng)急預(yù)案。（二）工作原則預(yù)防為主。立足安全防護(hù)，加強(qiáng)預(yù)警，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的重要信息系統(tǒng)?？焖俜磻?yīng)。及時(shí)獲取充分而準(zhǔn)確的信息，果斷決策，迅速處置，最大程度地減少危害和影響。分級(jí)負(fù)責(zé)。按照“誰主管誰負(fù)責(zé)”的原則，建立和完善安全責(zé)任制及聯(lián)動(dòng)工作機(jī)制。加強(qiáng)部門間的協(xié)調(diào)與配合，形成合力，共同履行應(yīng)急處置工作的管理職責(zé)。常備不懈。規(guī)應(yīng)急處置措施與操作流程，定期進(jìn)行預(yù)案

2、演練，確保應(yīng)急預(yù)案切實(shí)有效，實(shí)現(xiàn)網(wǎng)絡(luò)與信息安全突發(fā)公共事件應(yīng)急處置的科學(xué)化、程序化與規(guī)化。（三）組織機(jī)構(gòu)及職責(zé)z. . .設(shè)立信息系統(tǒng)應(yīng)急工作領(lǐng)導(dǎo)小組，為公司處理信息安全突發(fā)事件應(yīng)急工作的綜合性議事、協(xié)調(diào)機(jī)構(gòu)。主要職責(zé)是：按照研究決定信息安全應(yīng)急工作的有關(guān)重大問題，決定啟動(dòng)網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急指揮部，統(tǒng)一領(lǐng)導(dǎo)和組織指揮重大信息安全突發(fā)事件的應(yīng)急處置工作。二、預(yù)警和預(yù)防機(jī)制（一）預(yù)警信息系統(tǒng)應(yīng)急工作領(lǐng)導(dǎo)小組接到信息安全突發(fā)事件報(bào)告后，在核實(shí)，研究分析可能造成損害程度的基礎(chǔ)上，提出初步行動(dòng)對(duì)策，視情況召集協(xié)調(diào)會(huì)，并根據(jù)應(yīng)急委的決策實(shí)施行動(dòng)案，發(fā)布指示和命令。（二）預(yù)防機(jī)制積極推行信息安全等級(jí)

3、保護(hù)，逐步實(shí)行信息安全風(fēng)險(xiǎn)評(píng)估。各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)建設(shè)要充分考慮抗毀性與災(zāi)難恢復(fù)，制定完善信息安全應(yīng)急處理預(yù)案。針對(duì)基礎(chǔ)信息網(wǎng)絡(luò)的突發(fā)性、 大規(guī)模安全事件， 各相關(guān)部門建立制度化、程序化的處理流程。三、應(yīng)急處理程序（一）級(jí)別的確定根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告確定信息安全z. . .事件等級(jí)。（二）預(yù)案啟動(dòng)根據(jù)網(wǎng)絡(luò)信息安全事件等級(jí)的不同，相關(guān)部門啟動(dòng)相應(yīng)預(yù)案，并負(fù)責(zé)應(yīng)急處理工作。（三）現(xiàn)場(chǎng)應(yīng)急處理事件發(fā)生單位和現(xiàn)場(chǎng)應(yīng)急處理工作組盡最大可能收集事件相關(guān)信息，判別事件類別，確定事件來源，保護(hù)證據(jù)，以便縮短應(yīng)急響應(yīng)時(shí)間。檢查威脅造成的結(jié)果，評(píng)估事件帶來的影響和損害：如檢查系統(tǒng)、服務(wù)、數(shù)據(jù)

4、的完整性、性或可用性；檢查攻擊者是否侵入了系統(tǒng)；以后是否能再次隨意進(jìn)入；損失的程度；確定暴露出的主要危險(xiǎn)等。抑制事件的影響進(jìn)一步擴(kuò)大，限制潛在的損失與破壞?？赡艿囊种撇呗砸话惆ǎ宏P(guān)閉服務(wù)或關(guān)閉所有的系統(tǒng)，從網(wǎng)絡(luò)上斷開相關(guān)系統(tǒng)的物理，修改防火墻和路由器的過濾規(guī)則；封鎖或刪除被攻破的登錄賬號(hào)，阻斷可疑用戶得以進(jìn)入網(wǎng)絡(luò)的通路；提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級(jí)別；設(shè)置陷阱；啟用緊急事件下的接管系統(tǒng)；實(shí)行特殊“防衛(wèi)狀態(tài)”安全警戒；反擊攻擊者的系統(tǒng)等。在事件被抑制之后，通過對(duì)有關(guān)惡意代碼或行為的分析結(jié)果，找出事件根源，明確相應(yīng)的補(bǔ)救措施并徹底清除。與此同時(shí)，執(zhí)法部門和其他相關(guān)機(jī)構(gòu)對(duì)攻擊源進(jìn)行準(zhǔn)確定位并z. .

5、 .采取合適的措施將其中斷。清理系統(tǒng)、恢復(fù)數(shù)據(jù)、程序、服務(wù)。把所有被攻破的系統(tǒng)和網(wǎng)絡(luò)設(shè)備徹底還原到正常的任務(wù)狀態(tài)。恢復(fù)工作應(yīng)十分小心，避免出現(xiàn)操作失誤而導(dǎo)致數(shù)據(jù)丟失。另外，恢復(fù)工作中如果涉及數(shù)據(jù)，需要額外按照系統(tǒng)的恢復(fù)要求。如果攻擊者獲得了超級(jí)用戶的訪問權(quán)，一次完整的恢復(fù)應(yīng)強(qiáng)制性地修改所有的口令。（四）報(bào)告和總結(jié)回顧并整理發(fā)生事件的各種相關(guān)信息，盡可能地把所有情況記錄到文檔中。發(fā)生重大信息安全事件的單位應(yīng)當(dāng)在事件處理完畢后將處理結(jié)果報(bào)上級(jí)主管部門備案。（五）應(yīng)急行動(dòng)結(jié)束根據(jù)信息安全事件的處置進(jìn)展情況和現(xiàn)場(chǎng)應(yīng)急處理工作組意見，信息系統(tǒng)應(yīng)急工作領(lǐng)導(dǎo)小組組織相關(guān)部門及專家組對(duì)信息安全事件處置情況進(jìn)行

6、綜合評(píng)估，并提出應(yīng)急行動(dòng)結(jié)束建議，報(bào)相關(guān)部門審批。應(yīng)急行動(dòng)是否結(jié)束，相關(guān)主管部門決定。四、保障措施（一）技術(shù)支撐保障建立預(yù)警與應(yīng)急處理的技術(shù)平臺(tái)，進(jìn)一步提高安全事件的發(fā)現(xiàn)和分析能力：從技術(shù)上逐步實(shí)現(xiàn)發(fā)現(xiàn)、預(yù)警、處置、z. . .通報(bào)等多個(gè)環(huán)節(jié)和不同的網(wǎng)絡(luò)、系統(tǒng)、部門之間應(yīng)急處理的聯(lián)動(dòng)機(jī)制。（二）應(yīng)急隊(duì)伍保障加強(qiáng)信息安全人才培養(yǎng)，強(qiáng)化信息安全宣傳教育，建設(shè)一支高素質(zhì)、高技術(shù)的信息安全核心人才和管理隊(duì)伍，提高全社會(huì)信息安全防御意識(shí)。大力發(fā)展信息安全服務(wù)業(yè)，增強(qiáng)社會(huì)應(yīng)急支援能力。（三）物資條件保障安排信息化建設(shè)專項(xiàng)資金用于預(yù)防或應(yīng)對(duì)信息安全突發(fā)事件，提供必要的經(jīng)費(fèi)保障，強(qiáng)化信息安全應(yīng)急處理工作的物資

7、保障條件。（四）技術(shù)儲(chǔ)備保障信息系統(tǒng)應(yīng)急工作領(lǐng)導(dǎo)小組組織有關(guān)專家和科研力量，開展應(yīng)急運(yùn)作機(jī)制、應(yīng)急處理技術(shù)、預(yù)警和控制等研究，組織參加相關(guān)培訓(xùn)，推廣和普及新的應(yīng)急技術(shù)。五、事件處理流程（一）黑客攻擊時(shí)的緊急處置流程：當(dāng)有關(guān)值班人員發(fā)現(xiàn)平臺(tái)容被篡改，或通過入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)有黑客正在進(jìn)行攻擊時(shí)，應(yīng)立即向信息系統(tǒng)應(yīng)急工作領(lǐng)導(dǎo)小組報(bào)告情況。信息系統(tǒng)應(yīng)急工作領(lǐng)導(dǎo)小組相關(guān)成員應(yīng)在十分鐘趕到現(xiàn)z. . .場(chǎng)，并首先應(yīng)將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來，保護(hù)現(xiàn)場(chǎng)。信息系統(tǒng)應(yīng)急工作領(lǐng)導(dǎo)小組負(fù)責(zé)被攻擊或破壞系統(tǒng)的恢復(fù)與重建工作。信息系統(tǒng)應(yīng)急工作領(lǐng)導(dǎo)小組組織相關(guān)人員追查攻擊來源。會(huì)商后，將有關(guān)情況向信息安全領(lǐng)導(dǎo)

8、小組報(bào)告，并妥善保存有關(guān)記錄及日志或?qū)徲?jì)記錄。信息系統(tǒng)應(yīng)急工作領(lǐng)導(dǎo)小組組長(zhǎng)召開信息安全領(lǐng)導(dǎo)小組會(huì)議，如認(rèn)為事態(tài)重，則立即向公安部門或上級(jí)機(jī)關(guān)報(bào)警。（二）病毒安全緊急處置流程：當(dāng)發(fā)現(xiàn)有服務(wù)器被感染上病毒后，應(yīng)立即通知安全管理員，將該機(jī)從網(wǎng)絡(luò)上隔離開來。安全管理員在接到通報(bào)后，應(yīng)在十分鐘趕到現(xiàn)場(chǎng)。對(duì)該設(shè)備的硬盤進(jìn)行數(shù)據(jù)備份。啟用反病毒軟件對(duì)該機(jī)進(jìn)行殺毒處理，同時(shí)通過病毒檢測(cè)軟件對(duì)其他機(jī)器進(jìn)行病毒掃描和清除工作。如果現(xiàn)行反病毒軟件無法清除該病毒，應(yīng)立即向信息系統(tǒng)應(yīng)急工作領(lǐng)導(dǎo)小組報(bào)告，并迅速聯(lián)系有關(guān)產(chǎn)品商研究解決。信息系統(tǒng)應(yīng)急工作領(lǐng)導(dǎo)小組會(huì)商后，認(rèn)為情況重的，應(yīng)立即將有關(guān)情況向上級(jí)主管部門報(bào)告，并妥善

9、保存有關(guān)記錄及日志或?qū)徲?jì)記錄。信息系統(tǒng)應(yīng)急工作領(lǐng)導(dǎo)小組組長(zhǎng)召開信息安全領(lǐng)導(dǎo)小組z. . .會(huì)議，如認(rèn)為事態(tài)重，則立即向公安部門或上級(jí)機(jī)關(guān)報(bào)告。（三）軟件系統(tǒng)遭破壞性攻擊的緊急處置流程：重要的軟件系統(tǒng)平時(shí)必須存有備份，與軟件系統(tǒng)相對(duì)應(yīng)的數(shù)據(jù)必須有多日的備份；并妥善保存。一旦軟件遭到破壞性攻擊，應(yīng)立即向信息系統(tǒng)應(yīng)急工作領(lǐng)導(dǎo)小組報(bào)告，并將該系統(tǒng)停止運(yùn)行。檢查日志等資料，確定攻擊來源。信息系統(tǒng)應(yīng)急工作領(lǐng)導(dǎo)小組會(huì)商后，將有關(guān)情況向上級(jí)主管部門報(bào)告，并妥善保存有關(guān)記錄及日志或?qū)徲?jì)記錄。信息系統(tǒng)應(yīng)急工作領(lǐng)導(dǎo)小組召開信息安全領(lǐng)導(dǎo)小組會(huì)議，如認(rèn)為事態(tài)重，則立即向公安部門或上級(jí)機(jī)關(guān)報(bào)警。（四）數(shù)據(jù)庫安全緊急處置流

10、程：主要數(shù)據(jù)庫系統(tǒng)應(yīng)按熱備設(shè)置，并至少要準(zhǔn)備兩個(gè)以上數(shù)據(jù)庫備份，其中一個(gè)備份存放在機(jī)房，另一個(gè)備份放在另一安全的網(wǎng)絡(luò)中。一旦數(shù)據(jù)庫崩潰，值班人員應(yīng)立即啟動(dòng)備用系統(tǒng)，并向信息系統(tǒng)應(yīng)急工作領(lǐng)導(dǎo)小組報(bào)告。在備用系統(tǒng)運(yùn)行期間，信息系統(tǒng)應(yīng)急工作領(lǐng)導(dǎo)小組人員應(yīng)對(duì)主機(jī)系統(tǒng)進(jìn)行維修。如果兩套系統(tǒng)均崩潰，信息系統(tǒng)應(yīng)急工作領(lǐng)導(dǎo)小組人員應(yīng)立即向軟硬件提供商請(qǐng)求支援，同時(shí)通知各下屬單位暫緩上傳上報(bào)數(shù)據(jù)。系統(tǒng)修復(fù)啟動(dòng)后，將第一個(gè)數(shù)據(jù)庫備份取出，按照要求將其恢復(fù)到主機(jī)系統(tǒng)中。如因第一個(gè)備份損壞，導(dǎo)致數(shù)據(jù)庫z. . .無法恢復(fù)，則應(yīng)取出第二套數(shù)據(jù)庫備份加以恢復(fù)。如果兩個(gè)備份均無法恢復(fù)，應(yīng)立即向有關(guān)廠商請(qǐng)求緊急支援。六、宣傳

11、、培訓(xùn)（一）公眾信息交流信息系統(tǒng)應(yīng)急工作領(lǐng)導(dǎo)小組在應(yīng)急預(yù)案修訂、演練的前后，應(yīng)利用各種新聞媒介開展宣傳；不定期地利用各種安全活動(dòng)向社會(huì)大眾宣傳信息安全應(yīng)急法律、法規(guī)和預(yù)防、應(yīng)急的常識(shí)。（二）人員培訓(xùn)為確保信息安全應(yīng)急預(yù)案有效運(yùn)行，定期或不定期舉辦不同層次、不同類型的培訓(xùn)班或研討會(huì)，以便不同崗位的應(yīng)急人員都能全面熟悉并掌握信息安全應(yīng)急處理的知識(shí)和技能。七、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案演練制定好的應(yīng)急響應(yīng)預(yù)案，只做培訓(xùn)還不夠，還需要通過實(shí)戰(zhàn)演練來提高應(yīng)對(duì)網(wǎng)絡(luò)突發(fā)事件的行動(dòng)力，針對(duì)網(wǎng)絡(luò)突發(fā)事件的假想情景，按照應(yīng)急響應(yīng)預(yù)案中規(guī)定的職責(zé)和程序來執(zhí)行應(yīng)急響應(yīng)任務(wù)。根據(jù)出現(xiàn)的新的網(wǎng)絡(luò)攻擊手段或其他特殊情況，不斷進(jìn)行

12、預(yù)案的調(diào)整完善。（一）應(yīng)急演練的作用z. . .應(yīng)急演練是對(duì)應(yīng)急響應(yīng)預(yù)案可行性的有效驗(yàn)證。通過演練可以檢驗(yàn)應(yīng)急響應(yīng)小組中每個(gè)成員對(duì)工作完成的熟練程度和相互配合能力，包括各個(gè)部門之間的配合、成員之間的協(xié)調(diào)。通過實(shí)戰(zhàn)練習(xí)積累經(jīng)驗(yàn)，對(duì)應(yīng)急響應(yīng)預(yù)案容不斷地充實(shí)和完善，使負(fù)責(zé)人員、執(zhí)行人員、應(yīng)急專業(yè)技術(shù)人員應(yīng)對(duì)網(wǎng)絡(luò)突發(fā)事件的應(yīng)變能力得以提升，從而有條不紊地處理突發(fā)事件。（二）應(yīng)急演練的組織實(shí)施應(yīng)急演練的組織工作由應(yīng)急小組指揮人員執(zhí)行，包括演練地段的選擇、 保障物資與設(shè)備的準(zhǔn)備、 人員任務(wù)的分配等。整個(gè)實(shí)施過程由應(yīng)急響應(yīng)執(zhí)行人員和記錄人員組成，按照應(yīng)急響應(yīng)預(yù)案計(jì)劃進(jìn)行準(zhǔn)備與實(shí)行。各級(jí)人員明確分工，并充分做好網(wǎng)絡(luò)恢復(fù)保障工作。演練可以采用對(duì)網(wǎng)絡(luò)系統(tǒng)或者主機(jī)進(jìn)行虛擬攻擊的式，過程中要特別注意對(duì)這些危害的掌控。（三）應(yīng)急演練的考核與總結(jié)記錄人員對(duì)演練的每個(gè)環(huán)節(jié)都要做好記錄、資料收集和評(píng)價(jià)工作。對(duì)網(wǎng)絡(luò)突發(fā)事件處理過