護(hù)網(wǎng)演習(xí)網(wǎng)絡(luò)安全應(yīng)急預(yù)案正式版

護(hù)網(wǎng)演習(xí)網(wǎng)絡(luò)安全應(yīng)急預(yù)案正式版

護(hù)網(wǎng)演習(xí)信息安全應(yīng)急預(yù)案

2021年5月

目錄

第一章總則5

1.1編制目的5

1.2編制依據(jù)5

1.3適用范圍6

第二章組織機(jī)構(gòu)及職責(zé)6

2.1集團(tuán)公司組織機(jī)構(gòu)6

2.2子分公司護(hù)網(wǎng)工作組7

2.3通聯(lián)方式7

第三章事件分級(jí)分類8

3.1事件分級(jí)8

3.1.1一級(jí)事件8

3.1.2二級(jí)事件8

3.1.3三級(jí)事件8

3.1.4四級(jí)事件8

3.1.5五級(jí)事件8

3.2事件分類9

3.2.1木馬后門事件9

3.2.2異常登錄事件9

323釣魚郵件事件9

3.2.4漏洞攻擊事件9

325暴力破解事件9

3.2.6數(shù)據(jù)竊取事件10

3.2.7拒絕服務(wù)事件10

第四章應(yīng)急處置總體流程10

第五章事件分級(jí)流轉(zhuǎn)10

5.1一級(jí)事件11

5.2二級(jí)事件11

5.3三級(jí)事件12

5.4四級(jí)事件12

5.5五級(jí)事件13

5.6事件級(jí)別調(diào)整13

第六章監(jiān)測(cè)與巡檢14

6.1實(shí)時(shí)監(jiān)測(cè)14

6.2安全巡檢14

第七章應(yīng)急響應(yīng)15

7.1事件分級(jí)響應(yīng)15

7.1.1一級(jí)事件15

7.1.2二級(jí)事件15

7.1.3三級(jí)事件15

7.1.4四級(jí)事件16

7.1.5五級(jí)事件16

7.2事件分類處置16

721木馬后門事件處置17

7.2.2異常登錄事件處置17

7.2.3釣魚郵件事件處置18

724漏洞攻擊事件處置19

725暴力破解事件處置20

726數(shù)據(jù)竊取事件處置21

7.2.7拒絕服務(wù)事件處置22

7.3事件應(yīng)急關(guān)閉24

附件25

附件一：集團(tuán)公司護(hù)網(wǎng)行動(dòng)信息安全應(yīng)急組織機(jī)構(gòu)成員名

單25

第一章總則

1.1編制目的

為規(guī)范XXXX股份有限責(zé)任公司（以下簡(jiǎn)稱“集團(tuán)公司”）

護(hù)網(wǎng)演習(xí)信息安全事件

應(yīng)急工作，提高應(yīng)對(duì)突發(fā)信息安全事件的綜合管理水平和

應(yīng)急處置能力，形成決策科學(xué)、

措施有力、反應(yīng)迅速的應(yīng)急工作機(jī)制，有效防范信息系統(tǒng)

風(fēng)險(xiǎn)，確保信息系統(tǒng)的安全、

持續(xù)、穩(wěn)定運(yùn)行，降低信息安全事件的危害，特制定本預(yù)

案。

1.2編制依據(jù)

以國(guó)家有關(guān)法規(guī)、規(guī)章、相關(guān)政策為依據(jù)，指導(dǎo)集團(tuán)公司

信息安全總體應(yīng)急預(yù)案的

編制工作。適用性法規(guī)標(biāo)準(zhǔn)主要有：

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》

《中華人民共和國(guó)突發(fā)事件應(yīng)對(duì)法》（國(guó)家主席令第69

號(hào)）

《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)

院令第147號(hào)）

《國(guó)家突發(fā)公共事件總體應(yīng)急預(yù)案》

《國(guó)家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》

《國(guó)務(wù)院有關(guān)部門和單位制定和修訂突發(fā)事件應(yīng)急預(yù)案框

架指南》（國(guó)辦函[2004]33

號(hào)）

《GB/T19715.1-2005信息技術(shù)安全技術(shù)信息技術(shù)安全管

理指南》

《GB/Z20986-2007信息技術(shù)信息安全事件分類分級(jí)指南》

《GB/T20988-2007信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》

《GB/T22239-2021信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)

基本要求》

《ISO22301:2021業(yè)務(wù)連續(xù)性管理體系》

《XXXX集團(tuán)突發(fā)事件總體應(yīng)急預(yù)案》

1.3適用范圍

木預(yù)案適用于集團(tuán)公司總部及子分公司在護(hù)網(wǎng)演習(xí)期間網(wǎng)

絡(luò)與信息安全事件的預(yù)

防、通報(bào)和應(yīng)急處置工作。

第二章組織機(jī)構(gòu)及職責(zé)

2.1集團(tuán)公司組織機(jī)構(gòu)

護(hù)網(wǎng)期間，集團(tuán)公司護(hù)網(wǎng)工作由網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小

組牽頭，成立護(hù)網(wǎng)行動(dòng)指

揮部、護(hù)網(wǎng)工作組、應(yīng)急專家組對(duì)護(hù)網(wǎng)工作進(jìn)行組織及整

體把控。

總部成立護(hù)網(wǎng)2021領(lǐng)導(dǎo)小組，負(fù)責(zé)護(hù)網(wǎng)工作的重大決策,

統(tǒng)一領(lǐng)導(dǎo)和指揮調(diào)度，由

集團(tuán)網(wǎng)絡(luò)安全和信息化分管領(lǐng)導(dǎo)任組長(zhǎng)。

成立護(hù)網(wǎng)行動(dòng)指揮部，負(fù)責(zé)網(wǎng)絡(luò)安全保障的工作部署、監(jiān)

督檢查與應(yīng)急調(diào)度。信息

化部主要領(lǐng)導(dǎo)任組長(zhǎng)，各業(yè)務(wù)職能部門和各單位信息分管

領(lǐng)導(dǎo)為小組成員，其中辦公廳

負(fù)責(zé)護(hù)網(wǎng)指揮大廳場(chǎng)所及后勤保障，財(cái)務(wù)部負(fù)責(zé)護(hù)網(wǎng)行動(dòng)

專項(xiàng)資金保障，法務(wù)部負(fù)責(zé)護(hù)

網(wǎng)期間法律糾紛問題。

指揮部下設(shè)護(hù)網(wǎng)工作組，負(fù)責(zé)護(hù)網(wǎng)具體組織協(xié)調(diào)、技術(shù)支

撐相關(guān)工作，護(hù)網(wǎng)工作組

下設(shè)安全監(jiān)控組、技術(shù)研判組、應(yīng)急處置組、事件上報(bào)組。

安全監(jiān)控組負(fù)責(zé)利用各類監(jiān)測(cè)類設(shè)備發(fā)現(xiàn)并初步確認(rèn)攻擊

事件。

技術(shù)研判組負(fù)責(zé)根據(jù)上報(bào)事件，通過流量、日志及告警行

為等信息，進(jìn)行全面溯源

分析，確認(rèn)攻擊事件的行為及影響范圍，為應(yīng)急處置組提

供處置建議。

應(yīng)急處置組負(fù)責(zé)則在事件發(fā)生時(shí)進(jìn)行隔離、斷網(wǎng)，全面的

排查、處置與恢復(fù)。

事件上報(bào)組負(fù)責(zé)形成事件應(yīng)急處置報(bào)告，上報(bào)護(hù)網(wǎng)工作組。

各工作組織人員安排詳見附件一。

2.2子分公司護(hù)網(wǎng)工作組

護(hù)網(wǎng)演習(xí)期間，各子分公司參照集團(tuán)公司組織架構(gòu)，自行

設(shè)置各工作組，設(shè)置各工

作組與集團(tuán)公司聯(lián)系接口人員。

2.3通聯(lián)方式

護(hù)網(wǎng)演習(xí)過程中的通聯(lián)方式由以下幾種:

針對(duì)護(hù)網(wǎng)演習(xí)中的緊急事件通過、座機(jī)對(duì)事件相關(guān)人員進(jìn)

行實(shí)時(shí)通報(bào)。護(hù)網(wǎng)期間

所有參與護(hù)網(wǎng)工作人員需保證24h開機(jī)。

事件上報(bào)平臺(tái)

在事件處置完畢后，事件處置人員通過事件上報(bào)平臺(tái)向相

關(guān)人員上報(bào)完整處置材料。

OA系統(tǒng)

在護(hù)網(wǎng)演習(xí)期間重大事件發(fā)生時(shí)，通過0A系統(tǒng)直接向指

揮部集團(tuán)領(lǐng)導(dǎo)進(jìn)行正式匯

報(bào)。

第三章事件分級(jí)分類

3.1事件分級(jí)

3.1.1一級(jí)事件

若演習(xí)目標(biāo)被控制，則定義事件為一級(jí)事件，對(duì)應(yīng)

《XXXX集團(tuán)突發(fā)事件總體應(yīng)急

預(yù)案》安全紅色預(yù)警及應(yīng)急I級(jí)響應(yīng)。

3.1.2二級(jí)事件

若重要系統(tǒng)或設(shè)備被控制，則定義事件為二級(jí)事件，對(duì)應(yīng)

《XXXX集團(tuán)突發(fā)事件總

體應(yīng)急預(yù)案》安全紅色預(yù)警及應(yīng)急I級(jí)響應(yīng)。

3.1.3三級(jí)事件

若內(nèi)網(wǎng)一般設(shè)備被控制，則定義事件為三級(jí)事件，對(duì)應(yīng)

《XXXX集團(tuán)突發(fā)事件總體

應(yīng)急預(yù)案》安全橙色預(yù)警及應(yīng)急n級(jí)響應(yīng)。

3.1.4四級(jí)事件

若DMZ區(qū)一般設(shè)備被控制，則定義事件為四級(jí)事件，對(duì)

應(yīng)《XXXX集團(tuán)突發(fā)事件

總體應(yīng)急預(yù)案》安全黃色預(yù)警及應(yīng)急III級(jí)響應(yīng)。

3.1.5五級(jí)事件

若DMZ區(qū)設(shè)備遭到攻擊或內(nèi)網(wǎng)終端遭到攻擊，則定義事

件為五級(jí)事件。對(duì)應(yīng)《XXXX

集團(tuán)突發(fā)事件總體應(yīng)急預(yù)案》安全黃色預(yù)警及應(yīng)急HI級(jí)響

應(yīng)。

3.2事件分類

3.2.1木馬后門事件

木馬后門事件主要包括：服務(wù)器中檢測(cè)存在WEBShell腳

本木馬、遠(yuǎn)程控制、鍵盤

記錄、Rootkit等木馬程序，將導(dǎo)致應(yīng)用系統(tǒng)及服務(wù)器被

黑客持續(xù)控制，甚至可作為跳板

機(jī)進(jìn)行對(duì)其他資產(chǎn)的深入攻擊。

3.2.2異常登錄事件

異常登錄事件主要包括：應(yīng)用系統(tǒng)和服務(wù)器中檢測(cè)存在克

隆賬號(hào)、隱藏賬號(hào)，以及

3.2.3釣魚郵件事件

釣魚郵件事件主要包括：郵件附件包含惡意代碼、惡意鏈

接，從而可導(dǎo)致員工內(nèi)部

主機(jī)被控，或泄露重要敏感信息。

3.2.4漏洞攻擊事件

漏洞攻擊事件往往從攻擊人員漏洞掃描探測(cè)發(fā)現(xiàn)漏洞開始,

之后通過對(duì)漏洞點(diǎn)進(jìn)行

分析并深入利用，從而從存在漏洞系統(tǒng)獲取相應(yīng)的敏感信

息甚至直接拿下系統(tǒng)的控制權(quán)

限。

3.2.5暴力破解事件

暴力破解事件主要包括：對(duì)主機(jī)、終端設(shè)備、應(yīng)用系統(tǒng)賬

號(hào)密碼的暴力破懈，黑客

通過信息收集，生成暴力破解字典，或根據(jù)已泄露的密碼

進(jìn)行撞庫(kù)，從而可能導(dǎo)致系統(tǒng)

密碼被黑客破解。

3.2.6數(shù)據(jù)竊取事件

數(shù)據(jù)竊取事件主要包括：敏感信息爬取，利用任意文件讀

取等漏洞竊據(jù)敏感文件，

利用SQL注入漏洞等竊取數(shù)據(jù)庫(kù)敏感信息，以及入侵成

功后拖取數(shù)庫(kù)等行為。

3.2.7拒絕服務(wù)事件

拒絕服務(wù)事件主要包括：CC攻擊、DOS攻擊、DDOS攻

擊、DRDOS攻擊。一旦遭

受拒絕服務(wù)攻擊，可導(dǎo)致服務(wù)器宕機(jī)，網(wǎng)絡(luò)阻塞，從而破

壞正常的業(yè)務(wù)穩(wěn)定運(yùn)行。

第四章應(yīng)急處置總體流程

安全事件處置流程由護(hù)網(wǎng)行動(dòng)指揮部進(jìn)行制定，在安全事

件發(fā)生時(shí)由安全監(jiān)控組、

技術(shù)研判組、應(yīng)急處置組、事件上報(bào)組、護(hù)網(wǎng)行動(dòng)指揮部

按照以下流程協(xié)調(diào)配合最終達(dá)

到有效完成安全事件處置的目的。

總體工作流程圖如下圖所示：

第五章事件分級(jí)流轉(zhuǎn)

按照扁平化指揮原則，通過建立護(hù)網(wǎng)行動(dòng)即時(shí)通訊群組，

總部在群組中及時(shí)發(fā)布預(yù)

警信息指令，子分公司及時(shí)通過群組向總部進(jìn)行事件匯報(bào)。

針對(duì)重大事件的發(fā)生，總部

及子分公司相關(guān)人員應(yīng)第一時(shí)間通過向總部領(lǐng)導(dǎo)匯報(bào)情況。

正式情況材料按照處置流

程通過0A系統(tǒng)、事件上報(bào)平臺(tái)上報(bào)。

5.1一級(jí)事件

總部：

在演習(xí)過程中發(fā)生一級(jí)安全事件時(shí)，技術(shù)研判組應(yīng)當(dāng)在第

一時(shí)間通過即時(shí)通訊群組

及的形式向護(hù)網(wǎng)行動(dòng)指揮部報(bào)告事件情況，并生成安全事

件簡(jiǎn)報(bào)上報(bào)護(hù)網(wǎng)行動(dòng)指揮

部，不得遲報(bào)、謊報(bào)、瞞報(bào)和漏報(bào)，護(hù)網(wǎng)行動(dòng)指揮部對(duì)事

件簡(jiǎn)報(bào)內(nèi)容進(jìn)行確認(rèn)，并部署

應(yīng)急處置組迅速開展應(yīng)急處置工作。

在事件處置完成后，應(yīng)急處置組應(yīng)立即梳理出信息安全事

件書面報(bào)告交付事件上報(bào)

組，由其通過事件上報(bào)平臺(tái)向事件有關(guān)部門進(jìn)行通報(bào)。同

時(shí)信息安全事件書面報(bào)告的內(nèi)

造成的后果影響及涉及財(cái)產(chǎn)損失、影響范圍、發(fā)展趨勢(shì)、

處置情況、擬采取的措施、單

位全稱、聯(lián)系人和聯(lián)系等。

子分

按照護(hù)網(wǎng)行動(dòng)指揮部統(tǒng)一安排配合其進(jìn)行事件處置。

5.2二級(jí)事件

總部：

在演習(xí)過程中發(fā)生二級(jí)安全事件時(shí)，處置流程與一級(jí)事件

相同。在事件處置完成后，

應(yīng)急處置組可在一個(gè)工作日內(nèi)，梳理出信息安全事件書面

報(bào)告（報(bào)告要求同一級(jí)響應(yīng)報(bào)

告內(nèi)容）交付事件上報(bào)組，由其通過事件上報(bào)平臺(tái)向事件

有關(guān)部門進(jìn)行通報(bào)。

子分

子分公司工作組應(yīng)當(dāng)在第一時(shí)間通過即時(shí)通訊群組及的形

式向總部上報(bào)組報(bào)告

事件情況，并提交事件證據(jù)相關(guān)材料，事件上報(bào)組需在收

到子分公司上報(bào)信息后，將相

關(guān)材料信息轉(zhuǎn)交技術(shù)研判組，由技術(shù)研判組對(duì)子分公司上

報(bào)信息進(jìn)行研判，子分公司在

技術(shù)研判組指導(dǎo)下完成事件處置。在事件處置完成后的一

個(gè)工作日內(nèi)，梳理出信息安全

事件書面報(bào)告（報(bào)告要求同一級(jí)響應(yīng)報(bào)告內(nèi)容），通過事

件上報(bào)平臺(tái)向總部事件上報(bào)組進(jìn)

行通報(bào)。

5.3三級(jí)事件

總部：

在演習(xí)過程中發(fā)生三級(jí)安全事件時(shí)，技術(shù)研判組應(yīng)當(dāng)在第

一時(shí)間通過及時(shí)通訊群組

向事件相關(guān)人員及護(hù)網(wǎng)行動(dòng)指揮部報(bào)告事件情況，匯報(bào)流

程與一級(jí)相同，不得遲報(bào)、謊

報(bào)、瞞報(bào)和漏報(bào)，同時(shí)迅速開展應(yīng)急處置工作。在事件處

置完成后的在一個(gè)工作日內(nèi)，

梳理出信息安全事件書面報(bào)告（報(bào)告要求同一級(jí)響應(yīng)報(bào)告

內(nèi)容），通過事件上報(bào)平臺(tái)向相

關(guān)部門進(jìn)行通報(bào)。

子分

子分公司工作組應(yīng)當(dāng)在第一時(shí)間通過即時(shí)通訊群組及的形

式向事件上報(bào)組報(bào)告

事件情況，并自行完成事件處置。在事件處置完成后，應(yīng)

在一個(gè)工作日內(nèi)，梳理出信息

安全事件書面報(bào)告（報(bào)告要求同一級(jí)響應(yīng)報(bào)告內(nèi)容），通

過事件上報(bào)平臺(tái)向總部事件上報(bào)

組進(jìn)行通報(bào)。

5.4四級(jí)事件

總部：

在演習(xí)過程中發(fā)生四級(jí)安全事件時(shí)，技術(shù)研判組應(yīng)當(dāng)在第

一時(shí)間通過及時(shí)通訊群組

向事件相關(guān)人員及護(hù)網(wǎng)行動(dòng)指揮部報(bào)告，匯報(bào)流程與一級(jí)

相同，不得遲報(bào)、謊報(bào)、瞞報(bào)

和漏報(bào)，同時(shí)迅速開展應(yīng)急處置工作。在事件處置完戌后,

應(yīng)在兩個(gè)工作日內(nèi)，梳理出

信息安全事件書面報(bào)告（報(bào)告要求同一級(jí)響應(yīng)報(bào)告內(nèi)容），

通過事件上報(bào)平臺(tái)向相關(guān)部門

進(jìn)行通報(bào)。

子分

子分公司工作組應(yīng)當(dāng)在第一時(shí)間通過即時(shí)通訊群組及的形

式向事件上報(bào)組報(bào)告

事件情況，并自行完成事件處置。在事件處置完成后，應(yīng)

在兩個(gè)工作日內(nèi)，梳理出信息

安全事件書面報(bào)告（報(bào)告要求同一級(jí)響應(yīng)報(bào)告內(nèi)容），通

過事件上報(bào)平臺(tái)向總部事件上報(bào)

組進(jìn)行通報(bào)。

5.5五級(jí)事件

總部：

在演習(xí)過程中發(fā)生五級(jí)安全事件時(shí)，技術(shù)研判組應(yīng)當(dāng)在第

一時(shí)間通過及時(shí)通訊群組

向事件相關(guān)人員及護(hù)網(wǎng)行動(dòng)指揮部報(bào)告，不得遲報(bào)、謊報(bào)、

瞞報(bào)和漏報(bào)，同時(shí)迅速開展

應(yīng)急處置工作。在事件處置完成后，在演習(xí)結(jié)束前，應(yīng)在

兩個(gè)工作日內(nèi)，梳理出信息安

全事件書面報(bào)告（報(bào)告要求同一級(jí)響應(yīng)報(bào)告內(nèi)容），通過

事件上報(bào)平臺(tái)向相關(guān)部門進(jìn)行通

報(bào)。

子分

子分公司工作組應(yīng)當(dāng)在第一時(shí)間通過即時(shí)通訊群組及的形

式向事件上報(bào)組報(bào)告

事件情況，并自行完成事件處置。在事件處置完成后，在

演習(xí)結(jié)束前，梳理出信息安全

事件書面報(bào)告（報(bào)告要求同一級(jí)響應(yīng)報(bào)告內(nèi)容），通過事

件上報(bào)平臺(tái)向總部事件上報(bào)組進(jìn)

行通報(bào)。

5.6事件級(jí)別調(diào)整

總部：

在進(jìn)行應(yīng)急處理過程中，如應(yīng)急處置組發(fā)現(xiàn)事件影響程度

及范圍不符合初步判定，

應(yīng)及時(shí)與技術(shù)研判組溝通，同時(shí)向護(hù)網(wǎng)行動(dòng)指揮部反饋，

由其共同對(duì)事件級(jí)別進(jìn)行重新

判定。

在總部接到子分公司上報(bào)的二級(jí)及以上事件后，應(yīng)由技術(shù)

研判組對(duì)事件級(jí)別進(jìn)行判

定，若確認(rèn)級(jí)別為三級(jí)及以下事件，則通過事件上報(bào)組向

子分公司反饋，由子分公司按

照新事件級(jí)別進(jìn)行處置。

子分

在進(jìn)行應(yīng)急處理過程中，如發(fā)現(xiàn)事件影響程度及范圍不符

合初步判定，應(yīng)及時(shí)對(duì)事

件級(jí)別進(jìn)行重新判定及處置。

第六章監(jiān)測(cè)與巡檢

6.1實(shí)時(shí)監(jiān)測(cè)

總部及各子分公司對(duì)演習(xí)目標(biāo)、重點(diǎn)目標(biāo)及安全防護(hù)設(shè)備

的報(bào)警信息進(jìn)行實(shí)時(shí)監(jiān)測(cè)，

分析甄別網(wǎng)絡(luò)中設(shè)備被控制的報(bào)警和線索信息，并按照應(yīng)

急處置預(yù)案進(jìn)行處置。

監(jiān)測(cè)要求：

護(hù)網(wǎng)演習(xí)期間進(jìn)行7*24小時(shí)不間斷監(jiān)測(cè)，監(jiān)測(cè)發(fā)現(xiàn)的可

疑信息及時(shí)提交技術(shù)研判組

研判。

監(jiān)測(cè)范圍：

監(jiān)測(cè)范圍為安全防護(hù)設(shè)備及演習(xí)相關(guān)業(yè)務(wù)系統(tǒng)。

6.2安全巡檢

總部及各子分公司對(duì)非演習(xí)目標(biāo)系統(tǒng)、一般設(shè)備、互聯(lián)網(wǎng)

暴露設(shè)備進(jìn)行安全巡檢，

分析甄別異常信息，并按照應(yīng)急處置預(yù)案進(jìn)行處置。

巡檢要求：

總部組及子分公司應(yīng)急處置組負(fù)責(zé)對(duì)本單位的資產(chǎn)進(jìn)行巡

檢，其中非演習(xí)目標(biāo)系統(tǒng)、

互聯(lián)網(wǎng)暴漏設(shè)備每隔2小時(shí)巡檢一次并填寫“安全巡檢記

錄單”，一般設(shè)備每隔4小時(shí)巡

檢一次并填寫“安全巡檢記錄單工

巡檢范圍：

巡檢范圍為非演習(xí)目標(biāo)系統(tǒng)、一般設(shè)備、互聯(lián)網(wǎng)暴露設(shè)備。

第七章應(yīng)急響應(yīng)

7.1事件分級(jí)響應(yīng)

7.1.1一級(jí)事件

由護(hù)網(wǎng)行動(dòng)指揮部根據(jù)《XXXX集團(tuán)網(wǎng)絡(luò)與信息安全事

件應(yīng)急預(yù)案》發(fā)布網(wǎng)絡(luò)安全

紅色預(yù)警及啟動(dòng)應(yīng)急I級(jí)響應(yīng)。

應(yīng)急處置組向護(hù)網(wǎng)行動(dòng)指揮部響應(yīng)時(shí)間要求：

事件等級(jí)事件進(jìn)程

未明確被控原因

一級(jí)

已明確被控原因

已明確修復(fù)期限

跟蹤周期和通報(bào)時(shí)間

每隔30min通報(bào)一次直至被控原因明確

每隔30min通報(bào)一次直至明確修復(fù)期限

每隔lh通報(bào)一次直至修復(fù)結(jié)束

7.1.2二級(jí)事件

由護(hù)網(wǎng)行動(dòng)指揮部根據(jù)《XXXX集團(tuán)網(wǎng)絡(luò)與信息安全事

件應(yīng)急預(yù)案》發(fā)布網(wǎng)絡(luò)安全

紅色預(yù)警及啟動(dòng)應(yīng)急I級(jí)響應(yīng)。

應(yīng)急處置組向護(hù)網(wǎng)行動(dòng)指揮部響應(yīng)時(shí)間要求：

事件等級(jí)事件進(jìn)程

未明確被控原因

二級(jí)

已明確被控原因

已明確修復(fù)期限

跟蹤周期和通報(bào)時(shí)間

每隔lh通報(bào)一次直至被控原因明確

每隔lh通報(bào)一次直至明確修復(fù)期限

每隔2h通報(bào)一次直至修復(fù)結(jié)束

7.1.3三級(jí)事件

由護(hù)網(wǎng)行動(dòng)指揮部根據(jù)《XXXX集團(tuán)網(wǎng)絡(luò)與信息安全事

件應(yīng)急預(yù)案》發(fā)布網(wǎng)絡(luò)安全

橙色預(yù)警及啟動(dòng)應(yīng)急n級(jí)響應(yīng)。

應(yīng)急處置組向護(hù)網(wǎng)行動(dòng)指揮部響應(yīng)時(shí)間要求：

事件等級(jí)事件進(jìn)程

未明確被控原因

三級(jí)

已明確被控原因

已明確修復(fù)期限

跟蹤周期和通報(bào)時(shí)間

每隔2h通報(bào)一次直至被控原因明確

每隔ih通報(bào)一次直至明確修復(fù)期限

每隔2h通報(bào)一次直至修復(fù)結(jié)束

7.1.4四級(jí)事件

由護(hù)網(wǎng)行動(dòng)指揮部根據(jù)《XXXX集團(tuán)網(wǎng)絡(luò)與信息安全事

件應(yīng)急預(yù)案》發(fā)布網(wǎng)絡(luò)安全

黃色預(yù)警及啟動(dòng)應(yīng)急m級(jí)響應(yīng)。

應(yīng)急處置組向護(hù)網(wǎng)行動(dòng)指揮部響應(yīng)時(shí)間要求：

事件等級(jí)事件進(jìn)程

未明確被控原因

四級(jí)

已明確被控原因

已明確修復(fù)期限

跟蹤周期和通報(bào)時(shí)間

每隔2h通報(bào)一次直至被控原因明確

每隔lh通報(bào)一次直至明確修復(fù)期限

每隔2h通報(bào)一次直至修復(fù)結(jié)束

7.1.5五級(jí)事件

由護(hù)網(wǎng)行動(dòng)指揮部根據(jù)《XXXX集團(tuán)網(wǎng)絡(luò)與信息安全事

件應(yīng)急預(yù)案》發(fā)布網(wǎng)絡(luò)安全

黃色預(yù)警及啟動(dòng)應(yīng)急ni級(jí)響應(yīng)。

應(yīng)急處置組向護(hù)網(wǎng)行動(dòng)指揮部響應(yīng)時(shí)間要求：

事件等級(jí)

五級(jí)

跟蹤周期和通報(bào)時(shí)間

酌情通報(bào)。

7.2事件分類處置

針對(duì)具體的攻擊事件，總部及子分公司應(yīng)急處置組應(yīng)根據(jù)

不同事件類型，按照以下

處置方法進(jìn)行有效處置。

7.2.1木馬后門事件處置

處置方法：

發(fā)現(xiàn)木馬后門后，先針對(duì)出現(xiàn)木馬后門設(shè)備進(jìn)行斷網(wǎng)隔離

處理，同時(shí)將該設(shè)備日志

進(jìn)行備份留存分析入侵途徑，隨后根據(jù)總部技術(shù)研判組研

判結(jié)果對(duì)操作系統(tǒng)進(jìn)行重新部

署或病毒軟件進(jìn)行全盤查殺。

處置流程：

7.2.2異常登錄事件處置

處置方法：

檢測(cè)到異常登錄時(shí)，優(yōu)先將相關(guān)賬號(hào)下線并留存賬號(hào)相關(guān)

日志，隨后針對(duì)問題賬號(hào)

采取修改口令或刪除賬號(hào)等方式進(jìn)行處理。

處置流程：

7.2.3釣魚郵件事件處置

處置方法：

對(duì)郵件內(nèi)鏈接仔細(xì)核查溯源，刪除相關(guān)郵件并對(duì)收到釣魚

郵件的主機(jī)進(jìn)行病毒查殺。

處置流程：

7.2.4漏洞攻擊事件處置

處置方法：

1）無補(bǔ)丁情況，采取“白名單”策略，基于對(duì)自身業(yè)務(wù)系統(tǒng)

路徑架構(gòu)的有效管理，

對(duì)正常服務(wù)的路徑進(jìn)行加白，在主機(jī)配置強(qiáng)制訪問控制策

略，對(duì)進(jìn)程、驅(qū)動(dòng)等資源進(jìn)行

強(qiáng)制管理；針對(duì)特定漏洞進(jìn)行組件刪除和路經(jīng)封堵等策略

進(jìn)行防護(hù)，隨時(shí)關(guān)注補(bǔ)丁完成

情況及時(shí)完成補(bǔ)丁修補(bǔ)工作。

2）有補(bǔ)丁情況，加強(qiáng)信息系統(tǒng)漏洞巡檢和補(bǔ)丁修復(fù)，采取

相應(yīng)技術(shù)手段，檢查漏

洞修復(fù)情況，并督促整改。

處置流程：

7.2.5暴力破解事件處置

處置方法：

針對(duì)產(chǎn)生暴力破解事件的相關(guān)攻擊IP進(jìn)行有效封鎖，并

關(guān)注出現(xiàn)被暴力破解事件系

統(tǒng)運(yùn)行狀態(tài)。

處置流程：

7.2.6數(shù)據(jù)竊取事件處置

處置方法：

組織技術(shù)研判組對(duì)失竊數(shù)據(jù)內(nèi)容及范圍進(jìn)行研判，根據(jù)研

判結(jié)果向相關(guān)業(yè)務(wù)主管部

門進(jìn)行通報(bào)，相關(guān)業(yè)務(wù)主管部門在收到通報(bào)后，應(yīng)在第一

時(shí)間根據(jù)技術(shù)研判組研判建議

采取相關(guān)處置措施，防止事件升級(jí)。

處置流程：

7.2.7拒絕服務(wù)事件處置

處置方法：

借助互聯(lián)網(wǎng)出口運(yùn)營(yíng)商防護(hù)資源實(shí)現(xiàn)拒絕服務(wù)流量近源清

洗，并關(guān)注出現(xiàn)拒絕服務(wù)

攻擊事件系統(tǒng)的運(yùn)行狀態(tài)。

處置流程：

護(hù)網(wǎng)行動(dòng)相關(guān)工作小組從外部情報(bào)、日常監(jiān)控、業(yè)務(wù)部門

或其他途徑得到報(bào)警信息，

及時(shí)進(jìn)行分析判斷。如屬于日常運(yùn)維故障，則由相關(guān)運(yùn)維

人員進(jìn)行處理；如判斷為信息

安全事件，信息安全工作小組分析事件影響，判斷事件級(jí)

別，填寫信息安全事件報(bào)告（報(bào)

告模板參見附件二）。

（1）HI級(jí)及IV級(jí)信信息安全事件對(duì)信息系統(tǒng)運(yùn)行效率影

響較小，信息安全工作小組

可在應(yīng)急處置完畢后向信息安全工作小組組長(zhǎng)匯報(bào)。

（2）I級(jí)及n級(jí)信息安全事件對(duì)信息系統(tǒng)運(yùn)行效率影響

較大，信息安全工作小組組

長(zhǎng)立即向信息安全領(lǐng)導(dǎo)小組組長(zhǎng)進(jìn)行報(bào)告，并啟動(dòng)信息安

全專項(xiàng)應(yīng)急預(yù)案。信息安全領(lǐng)

導(dǎo)小組分析信息安全事件影響，確認(rèn)事件級(jí)別，對(duì)應(yīng)急處

置過程進(jìn)行監(jiān)管。對(duì)于需要上

報(bào)外部監(jiān)管機(jī)構(gòu)的信息安全事件，經(jīng)信息安全領(lǐng)導(dǎo)小組組

長(zhǎng)審批通過后進(jìn)行上報(bào)。

（3）信息安全工作小組如需公安機(jī)關(guān)或國(guó)家互聯(lián)網(wǎng)應(yīng)急

中心等國(guó)家機(jī)構(gòu)協(xié)助解決信

息安全事件，由信息安全工作小組組長(zhǎng)提出協(xié)助處置申請(qǐng),

信息安全領(lǐng)導(dǎo)小組分析協(xié)助

處置請(qǐng)求，協(xié)調(diào)相關(guān)機(jī)構(gòu)，協(xié)助集團(tuán)公司進(jìn)行處置。

事件報(bào)告流程如下所示：

信息安全工作小組信息安全領(lǐng)導(dǎo)小組

日常巡檢系統(tǒng)告警

異常異常

第三方披

露

確認(rèn)信息安全突發(fā)事

件

分析影響范圍、判斷

事件級(jí)別

組長(zhǎng)上報(bào)

信息安全事件

n級(jí)以上

上報(bào)領(lǐng)導(dǎo)

小組組長(zhǎng)

分析安全

事件影響

確認(rèn)事

件級(jí)別

是否上報(bào)外

部監(jiān)管機(jī)構(gòu)

是

上報(bào)外部

監(jiān)管機(jī)構(gòu)

n級(jí)以下監(jiān)管應(yīng)急處置過程否

是否需協(xié)助處置

否

啟動(dòng)信息安全專項(xiàng)

應(yīng)急預(yù)案

是分析協(xié)助處置請(qǐng)求協(xié)調(diào)公安機(jī)關(guān)等國(guó)家相關(guān)機(jī)構(gòu)

圖1事件報(bào)告流程圖

7.3事件應(yīng)急關(guān)閉

在完成事件處置后，應(yīng)急處置小組將處置結(jié)果上報(bào)護(hù)網(wǎng)行

動(dòng)指揮部，由護(hù)網(wǎng)行動(dòng)指

揮部通過事件上報(bào)組發(fā)布指令，宣布事件處置工作結(jié)束。

附件

附件一：集團(tuán)公司護(hù)網(wǎng)行動(dòng)信息安全應(yīng)急組織機(jī)構(gòu)成

員名單

組織機(jī)構(gòu)角色

組長(zhǎng)

副組長(zhǎng)

組員

護(hù)網(wǎng)行動(dòng)指

組員

揮部

組員

組員

組員

應(yīng)急專家組

安全監(jiān)控組

技術(shù)研判組

部門姓名郵箱備注

組織機(jī)構(gòu)角色部門姓名郵箱備注

應(yīng)急處置組

事件上報(bào)組

網(wǎng)站、網(wǎng)絡(luò)安全應(yīng)急預(yù)案

一、網(wǎng)站、網(wǎng)頁出現(xiàn)非法言論時(shí)的緊急處置措施

1、網(wǎng)站內(nèi)容由具體負(fù)責(zé)人員密切監(jiān)視，每天不少于一

小時(shí)。發(fā)現(xiàn)網(wǎng)上出現(xiàn)非法信息時(shí),應(yīng)立即向單位網(wǎng)絡(luò)安

全分管領(lǐng)導(dǎo)報(bào)告情況；情況緊急的應(yīng)先及時(shí)采取刪除

等處理措施,再按程序報(bào)告。

2、單位網(wǎng)絡(luò)安全分管領(lǐng)導(dǎo)接到報(bào)告后，應(yīng)于二十分鐘

內(nèi)核實(shí)情況，并協(xié)調(diào)技術(shù)人員做好清理非法信息、作好

必要的記錄，強(qiáng)化安全防范措施等工作。

4、網(wǎng)絡(luò)安全分管領(lǐng)導(dǎo)召開安全相關(guān)會(huì)議，如認(rèn)為情況

嚴(yán)重，4小時(shí)內(nèi)向有關(guān)上級(jí)機(jī)關(guān)和公安部門報(bào)警。

二、黑客攻擊時(shí)的緊急處置措施

1、如網(wǎng)頁內(nèi)容被篡改時(shí)，應(yīng)立即單位分管網(wǎng)絡(luò)安全分

管領(lǐng)導(dǎo)通報(bào)情況。

4、網(wǎng)絡(luò)管理員應(yīng)協(xié)助網(wǎng)站開發(fā)單位做好網(wǎng)站的恢復(fù)

工作。5、網(wǎng)絡(luò)安全分管領(lǐng)導(dǎo)召開安全相關(guān)會(huì)議，如認(rèn)

為情況嚴(yán)重，則立即向公安部門或上級(jí)機(jī)關(guān)報(bào)警。

三、病毒安全緊急處置措施

1、當(dāng)發(fā)現(xiàn)計(jì)算機(jī)感染有病毒后，應(yīng)立即將該機(jī)從網(wǎng)絡(luò)

上隔離出來。

2、對(duì)該設(shè)備的硬盤進(jìn)行數(shù)據(jù)備份。

3、啟用反病毒軟件對(duì)該機(jī)進(jìn)行殺毒處理，同時(shí)進(jìn)行病

毒檢測(cè)軟件對(duì)其他機(jī)器進(jìn)行病毒掃描和清除工作。

4、如發(fā)現(xiàn)反病毒軟件無法清楚該病毒，應(yīng)立即向網(wǎng)絡(luò)

安全分管領(lǐng)導(dǎo)報(bào)告。

5、網(wǎng)絡(luò)安全分管領(lǐng)導(dǎo)接到報(bào)告后，應(yīng)協(xié)調(diào)技術(shù)人員做

好病毒查殺工作.

6、經(jīng)技術(shù)人員確認(rèn)確實(shí)無法查殺該病毒后，應(yīng)作好相

關(guān)記錄，并迅速聯(lián)系有關(guān)產(chǎn)品商研究解決。

7、網(wǎng)絡(luò)安全分管領(lǐng)導(dǎo)召開安全相關(guān)會(huì)議，認(rèn)為情況極

為嚴(yán)重,應(yīng)立即向公安部門或上級(jí)機(jī)關(guān)報(bào)告.

U!、數(shù)據(jù)庫(kù)安全緊急處置措施

1、各數(shù)據(jù)庫(kù)系統(tǒng)要至少準(zhǔn)備兩個(gè)以上數(shù)據(jù)庫(kù)備份，平

時(shí)一份放在機(jī)房，另一份放在另一安全的建筑物中。

2、一旦數(shù)據(jù)庫(kù)崩潰，應(yīng)立即向網(wǎng)絡(luò)安全分管領(lǐng)導(dǎo)報(bào)告,

數(shù)據(jù)庫(kù)安全員應(yīng)試圖排查問題，如遇無法解決的問題,

立即向上級(jí)單位或軟硬件提供商請(qǐng)求支援。

五、廣域網(wǎng)外部線路中斷緊急處置措施

1、廣域網(wǎng)中斷后，有關(guān)人員應(yīng)立即啟動(dòng)備用線路接續(xù)

工作,同時(shí)向網(wǎng)絡(luò)管理員報(bào)告。

2、網(wǎng)絡(luò)管理員接到報(bào)告后，應(yīng)迅速判斷故障節(jié)點(diǎn)，查

明故障原因。3、如屬我方管轄范圍，網(wǎng)絡(luò)管理員要立

即予以恢復(fù)。如遇無法恢復(fù)情況，立即向有關(guān)廠商請(qǐng)

求支援。

4、如屬電信部門管轄范圍，立即與電信維護(hù)部門聯(lián)系,

請(qǐng)求修復(fù)。六、局域網(wǎng)中斷緊急處置措施

1、局域網(wǎng)中斷后，網(wǎng)絡(luò)管理員應(yīng)立即判斷故障節(jié)點(diǎn),

查明故障原因，并向網(wǎng)絡(luò)安全分管領(lǐng)導(dǎo)匯報(bào).

2、如屬線路故障，應(yīng)重新安裝線路。

3、如屬路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備故障，應(yīng)立即與設(shè)

備提供商聯(lián)系更換設(shè)備，并調(diào)試暢通。

4、如屬路由器、交換機(jī)配置文件破壞，應(yīng)迅速按照要

求重新配置，并調(diào)試暢通。如遇無法解決的技術(shù)問題,

立即向上級(jí)單位或有關(guān)廠商請(qǐng)求支援。

七、設(shè)備安全緊急處置措施

1、服務(wù)器等關(guān)鍵設(shè)備損壞后，有關(guān)人員應(yīng)立即向網(wǎng)絡(luò)

管理員通報(bào)。

2、網(wǎng)絡(luò)管理員應(yīng)立即查明原因。

3、如果能夠自行恢復(fù)，應(yīng)立即用備件替換受損部件。

4、如果不能自行恢復(fù)的，立即與設(shè)備提供商聯(lián)系，請(qǐng)

求派維修人員前來維修。

網(wǎng)絡(luò)安全應(yīng)急預(yù)案

一、第一部分總則

本預(yù)案的適用范圍為由信息管理中心負(fù)責(zé)建設(shè)管理的

網(wǎng)站、網(wǎng)絡(luò)安全事件應(yīng)急處理。

（一）日常安全工作職責(zé)

信息管理中心工作人員根據(jù)分工、做好以下工作：

1o對(duì)網(wǎng)站、網(wǎng)絡(luò)進(jìn)行日常檢查、分析風(fēng)險(xiǎn)、排除隱患、

做好網(wǎng)站數(shù)據(jù)備份，形成日常工作機(jī)制，預(yù)防安全事

故發(fā)生。

2.制定相關(guān)安全事件的預(yù)警方案和解決方案.

3o掌握網(wǎng)絡(luò)網(wǎng)站技術(shù)發(fā)展趨勢(shì)，不斷提升安全防范水

平。

4o及時(shí)處置各類突發(fā)安全事件.

（二）安全應(yīng)急處置原則

1o報(bào)告原則：發(fā)生突發(fā)安全事件，第一時(shí)間向政務(wù)信

息中心負(fù)責(zé)人報(bào)告，同時(shí)積極進(jìn)行處置，處置全程要

及時(shí)匯報(bào)工作進(jìn)展。

2o安全原則：處置安全事件時(shí),要科學(xué)客觀，首先保

證人員安全，其次保證設(shè)備數(shù)據(jù)安全。

3?效率原則：處置突發(fā)事件要及時(shí)迅速，講究方法，

善于協(xié)調(diào)，爭(zhēng)取在最短時(shí)間內(nèi)解決問題。

4.協(xié)調(diào)配合原則：出現(xiàn)大規(guī)模故障后，根據(jù)工作需要,

積極配合，協(xié)同處理，提高工作質(zhì)量與效率。

（三）安全應(yīng)急事件處置1。安全事件定義分類

一般故障:指區(qū)域性網(wǎng)絡(luò)安全事件,具體包括:局部網(wǎng)絡(luò)

癱瘓、個(gè)別設(shè)備死機(jī)、網(wǎng)站服務(wù)器停止工作等。

重大故障：指發(fā)生大規(guī)模或整體性網(wǎng)絡(luò)癱瘓、個(gè)別硬

件設(shè)備損壞或被竊、數(shù)據(jù)丟失或網(wǎng)站遭惡意篡改破壞

特大故障：指機(jī)房發(fā)生火災(zāi)或遭可抗拒力破壞造成機(jī)

房損毀及人員傷害等。

2.處置時(shí)限

發(fā)生突發(fā)安全事件，一般故障2小時(shí)內(nèi)解決，重大故

障24小時(shí)內(nèi)解決，特大故障48小時(shí)內(nèi)解決。

3.處置措施

(1)發(fā)生突發(fā)事件，工作人員第一時(shí)間報(bào)告領(lǐng)導(dǎo)并進(jìn)

行處置。(2)迅速準(zhǔn)確判斷事件原因，在保證人員、

設(shè)備、數(shù)據(jù)安全的前提下，進(jìn)行針對(duì)性處置。

(3)屬一般性故障的，信息中心工作人員及時(shí)進(jìn)行處

置；屬設(shè)備損壞的，要及時(shí)報(bào)告中心主任根據(jù)領(lǐng)導(dǎo)安

排進(jìn)行合理處置；屬系統(tǒng)故障的，要及時(shí)聯(lián)系維護(hù)公

司進(jìn)行處置；屬遭受攻擊的，要及時(shí)取證留存，并由維

護(hù)公司進(jìn)行處置。(4)必要時(shí)，通知有關(guān)單位做好應(yīng)對(duì).

(5)事后總結(jié)本次事件處置情況,形成分析報(bào)告。

二、第二部分網(wǎng)站安全應(yīng)急處置

(-)日常維護(hù)

1.中心人員每天對(duì)網(wǎng)站進(jìn)行查看，密切監(jiān)視信息內(nèi)容。

每天上午和下午各切換內(nèi)網(wǎng)一次，查看內(nèi)網(wǎng)運(yùn)行情況。

2o檢查各服務(wù)器殺毒軟件及防火墻升級(jí)情況，及時(shí)給

系統(tǒng)打補(bǔ)丁.

3?每月對(duì)內(nèi)、外網(wǎng)站及數(shù)據(jù)進(jìn)行光盤備份，并由專人

歸檔保存。(二)安全事件分類及應(yīng)急處置辦法

1.硬件故障

指因自然災(zāi)害、供電不正常、人為因素等造成的服務(wù)

器硬件損壞、丟失情況.

(1)”內(nèi)網(wǎng)辦公系統(tǒng)”網(wǎng)站服務(wù)器中心工作人員每月

對(duì)其進(jìn)行硬件檢

測(cè)，”迎澤之窗”服務(wù)器由維護(hù)公司每月進(jìn)行軟硬件檢

測(cè)，并填寫記錄，每年度進(jìn)

行匯報(bào)。

⑵發(fā)生硬件損壞或丟失后要立即報(bào)告中心主任，并聯(lián)

系設(shè)備供應(yīng)商及有關(guān)單位處理。

2。攻擊、篡改類故障

指網(wǎng)站系統(tǒng)遭到網(wǎng)絡(luò)攻擊不能正常運(yùn)作，或出現(xiàn)非法

信息、頁面被篡改。(1)發(fā)現(xiàn)網(wǎng)站出現(xiàn)非法信息或頁

面被篡改，要第一時(shí)間對(duì)其進(jìn)行刪除,

恢復(fù)相關(guān)信息及頁面，同時(shí)報(bào)告中心主任，必要時(shí)可

對(duì)網(wǎng)站服務(wù)器進(jìn)行關(guān)閉，待檢測(cè)無故障后再開啟服務(wù)。

指網(wǎng)站服務(wù)器感染病毒木馬，存在安全隱患。

(1)每周對(duì)服務(wù)器殺毒安全軟件進(jìn)行系統(tǒng)升級(jí)，并進(jìn)

行病毒木馬掃描,封堵系統(tǒng)漏洞。

(2)發(fā)現(xiàn)服務(wù)器感染病毒木馬，要立即對(duì)其進(jìn)行查殺,

報(bào)告中心主任，根據(jù)具體情況，酌情發(fā)布網(wǎng)站公告通

知聯(lián)網(wǎng)的相關(guān)單位進(jìn)行終端的病毒木馬查殺.

⑶由于病毒木馬入侵服務(wù)器造成數(shù)據(jù)丟失或系統(tǒng)崩潰

的，要第一時(shí)間報(bào)告中心主任，并聯(lián)系相關(guān)單位進(jìn)行數(shù)

據(jù)恢復(fù)。

4.系統(tǒng)類故障

指網(wǎng)站系統(tǒng)由于長(zhǎng)時(shí)間運(yùn)行或系統(tǒng)存在的bug造成網(wǎng)

站不能正常運(yùn)行。

(1)相關(guān)負(fù)責(zé)人要每月對(duì)網(wǎng)站數(shù)據(jù)進(jìn)行備份,并刻錄光

盤進(jìn)行存檔。

(2)發(fā)現(xiàn)此類問題，要報(bào)告中心主任，并聯(lián)系網(wǎng)站維

護(hù)單位進(jìn)行檢測(cè)修復(fù)。(三)應(yīng)急保障

1o記錄門戶網(wǎng)站IDC托管機(jī)房、運(yùn)營(yíng)商大客戶經(jīng)理、

服務(wù)器供應(yīng)商及網(wǎng)站維護(hù)公司，出現(xiàn)問題能及時(shí)聯(lián)絡(luò)處

理.

20中心人員應(yīng)掌握應(yīng)急筆記本電腦、數(shù)據(jù)備份光盤的

存放和使用.

3o中心人員應(yīng)學(xué)習(xí)各類軟硬件知識(shí)，提高應(yīng)對(duì)和處理

突發(fā)網(wǎng)絡(luò)故障的能力.三、第三部網(wǎng)絡(luò)安全應(yīng)急處置

（一）適用范圍

信息中心負(fù)責(zé)建設(shè)管理的網(wǎng)絡(luò)安全事件

（二）、日常維護(hù)

1、每季度對(duì)設(shè)備進(jìn)行例行檢查及衛(wèi)生保潔，檢查項(xiàng)目

包括設(shè)備運(yùn)行狀態(tài)、溫度、供電及設(shè)備周邊環(huán)境是否

安全。

2、每年對(duì)區(qū)屬駐地外各單位進(jìn)行實(shí)地走訪，查看實(shí)際

情況。

（三）、應(yīng)急處置

1、發(fā)生故障后，首先排查故障范圍，確定是軟件故障

還是硬件故障，是光路故障還是以太網(wǎng)故障。

2、對(duì)于大面積網(wǎng)絡(luò)故障或硬件線路設(shè)備損壞，要第一

時(shí)間報(bào)告中心主任。3、如發(fā)生光路設(shè)備故障，及時(shí)聯(lián)

絡(luò)聯(lián)通公司客戶經(jīng)理協(xié)調(diào)處理。

4、如發(fā)生以太網(wǎng)故障，要及時(shí)進(jìn)行處理,必要時(shí)聯(lián)系設(shè)

備供應(yīng)商及相關(guān)單位聯(lián)合處理.

U!、第四部分中心機(jī)房及辦公區(qū)安全應(yīng)急處置

（一）、用電安全

(1)堅(jiān)持正確的用電規(guī)范。

(2)不使用超負(fù)荷電器設(shè)備。

(3)不隨意改變工程設(shè)計(jì)的供電線路.

(4)每天下班,最后離開辦公室的人員關(guān)閉辦公區(qū)主

電源。

(5)每?jī)蓚€(gè)月對(duì)中心機(jī)房各電源設(shè)備進(jìn)行檢查。遇節(jié)

假日，除關(guān)閉辦公區(qū)主電源外，檢查中心機(jī)房?jī)?nèi)電源

和線路，確保設(shè)備安全穩(wěn)定運(yùn)行.

(6)外電中斷后，應(yīng)立即查明原因，并向中心主任匯

報(bào)。

(7)如因機(jī)關(guān)內(nèi)部線路故障，請(qǐng)機(jī)關(guān)物業(yè)公司迅速恢

復(fù)。

(8)如果是供電局的原因，應(yīng)立即與供電局聯(lián)系，請(qǐng)供

電局迅速恢復(fù)供電。(9)如果供電局告知需長(zhǎng)時(shí)間停

電，應(yīng)做如下安排：

1、預(yù)計(jì)停電4小時(shí)以內(nèi)，由UPS供電。

2、預(yù)計(jì)停電24小時(shí)，請(qǐng)示中心主任，關(guān)掉非關(guān)鍵設(shè)備,

確保關(guān)鍵設(shè)備供電。3、預(yù)計(jì)停電超過24小時(shí)的，關(guān)

閉中心機(jī)房所有管轄設(shè)備，并通知托管服務(wù)器的相關(guān)

單位進(jìn)行設(shè)備停機(jī).

(10)中心機(jī)房及各設(shè)備恢復(fù)供電時(shí)，執(zhí)行以下步驟：

1、機(jī)房恢復(fù)供電前，首先確認(rèn)各設(shè)備的電源態(tài)處于下

電狀態(tài)，以防止電源柜加電對(duì)設(shè)備的沖擊.

2、等待10-20分鐘后，開始給電源柜加電，以防止

供電不穩(wěn)或再次掉電。3、供電正常后，確定設(shè)備處于

下電狀態(tài)后,打開電力柜的總控開。

4、根據(jù)設(shè)備加電順序，啟動(dòng)分項(xiàng)控開。

5、啟動(dòng)數(shù)據(jù)庫(kù)及各項(xiàng)應(yīng)用程序。

（11）發(fā)生火警事件發(fā)生后，機(jī)房人員應(yīng)根據(jù)所屬區(qū)

域和現(xiàn)場(chǎng)情況，判斷和選擇正確的方法，及時(shí)上報(bào)中

心領(lǐng)導(dǎo)，同時(shí)配合相關(guān)人員處置，降低事件帶來的影

響.1、對(duì)于設(shè)備發(fā)生煙霧，機(jī)房主管人員協(xié)同相關(guān)人

員尋找煙霧點(diǎn)并切斷相關(guān)區(qū)域電源。

2、當(dāng)設(shè)備發(fā)生可以控制火情時(shí)，機(jī)房主管人員應(yīng)協(xié)同

相關(guān)人員進(jìn)行滅火工作。3、當(dāng)主機(jī)房發(fā)生火災(zāi)而無法

控制,應(yīng)采取施救方法等措施。

（二）、空調(diào)及通風(fēng)設(shè)備

正常情況：

溫度：冬季：18℃-20℃±2℃夏季：18℃-23℃±2℃

溫度變化W5℃/H

濕度：40%-50%±5%

每周對(duì)中心機(jī)房溫濕度進(jìn)行監(jiān)控，防患于未然。

空調(diào)系統(tǒng)故障導(dǎo)致機(jī)房?jī)?nèi)溫度、濕度升高或設(shè)備出現(xiàn)

溫度告警等異?，F(xiàn)象時(shí)，執(zhí)行以下步驟：

(1)首先查看故障空調(diào)的位置和現(xiàn)象，聯(lián)系空調(diào)廠家

加緊維修。

(2)如果故障較為嚴(yán)重，影響范圍大，則立即匯報(bào)給

中心主任。

(3)啟用備用風(fēng)扇、加濕器等設(shè)備降低室內(nèi)溫度、濕

度，并打開機(jī)柜門和房間門，以便于設(shè)備散熱和空氣流

通。

(4)相關(guān)工作人員要密切注意各設(shè)備的運(yùn)行情況，如

出現(xiàn)告警，查看日志了解情況，必要時(shí)請(qǐng)?jiān)O(shè)備廠家派

人立即趕到現(xiàn)場(chǎng)進(jìn)行技術(shù)支持.

(5)相關(guān)負(fù)責(zé)人員對(duì)各個(gè)維護(hù)業(yè)務(wù)進(jìn)行檢查,如已經(jīng)影

響到系統(tǒng)和業(yè)務(wù)的正常運(yùn)行，尤其是一些重要業(yè)務(wù)，

應(yīng)立即匯報(bào)中心主任，做進(jìn)一步處理.

(6)若此時(shí)空調(diào)已修好，室內(nèi)溫度、濕度恢復(fù)正?；?/p>

在下降中，相關(guān)負(fù)責(zé)人員對(duì)各個(gè)設(shè)備的運(yùn)行情況詳細(xì)

檢查，確?；謴?fù)正常.

(7)待室內(nèi)溫度、濕度恢復(fù)正常并監(jiān)控一段時(shí)間后無

異常，將備用風(fēng)扇、加濕器關(guān)閉并放回原位，保持機(jī)

房衛(wèi)生和整潔。

(8)相關(guān)負(fù)責(zé)人員對(duì)此次故障做好記錄.

(三八核心設(shè)備安全

(1)根據(jù)實(shí)際情況對(duì)核心設(shè)備進(jìn)行檢查，確保設(shè)備安

全穩(wěn)定運(yùn)行。

(2)發(fā)生核心設(shè)備硬件故障后，工作人員應(yīng)及時(shí)報(bào)告

中心主任，并查找、確定故障設(shè)備及故障原因，進(jìn)行先

期處置。同時(shí)聯(lián)系設(shè)備提供商共同檢測(cè)并排除故障。

(3)若故障設(shè)備在短時(shí)間內(nèi)無法修復(fù),應(yīng)啟動(dòng)備份設(shè)

備，保持系統(tǒng)正常運(yùn)行;將故障設(shè)備脫離網(wǎng)絡(luò)，進(jìn)行故

障排除工作。

(4)故障排除后，在網(wǎng)絡(luò)空閑時(shí)期，替換備用設(shè)備；

若故障仍然存在，立即聯(lián)系廠商進(jìn)行返廠維修或調(diào)換

設(shè)備。

(四)、數(shù)據(jù)安全與恢復(fù)

(1)日常維護(hù)參照《網(wǎng)站安全應(yīng)急預(yù)案》中“一、日

常維護(hù)”各項(xiàng)進(jìn)行。(2)發(fā)生業(yè)務(wù)數(shù)據(jù)損壞時(shí),工作

人員應(yīng)及時(shí)報(bào)告中心主任,檢查、備份系統(tǒng)當(dāng)前數(shù)據(jù).

⑶信息中心負(fù)責(zé)調(diào)用備份服務(wù)器備份數(shù)據(jù),若備份數(shù)

據(jù)損壞，則調(diào)用異地光盤備份數(shù)據(jù)。

(4)數(shù)據(jù)損壞事件較嚴(yán)重?zé)o法保證正常工作的，經(jīng)部

門領(lǐng)導(dǎo)同意,及時(shí)通知各部門以手工方式開展工作。

(5)中心應(yīng)待數(shù)據(jù)系統(tǒng)恢復(fù)后，檢查基礎(chǔ)數(shù)據(jù)的完整

性；重新備份數(shù)據(jù)，并寫出故障分析報(bào)告.

五、其他事項(xiàng)

(-)無關(guān)人員未經(jīng)中心主任批準(zhǔn)不得進(jìn)入中心機(jī)房。

(二)對(duì)各設(shè)備和線路進(jìn)行維護(hù)或改造，需經(jīng)中心主任

批準(zhǔn)，由中心工作人員陪同進(jìn)行.

(三)使用充分控干水份的抹布及拖把進(jìn)行保潔，盡

量不使用干布或掃帚,避免揚(yáng)塵.

（四）保潔時(shí)，注意不要觸碰電源接口及網(wǎng)絡(luò)接口等,

以免漏電或?qū)е戮€路接觸不良。

網(wǎng)站網(wǎng)絡(luò)安全應(yīng)急預(yù)案

第一部分總則

本預(yù)案的適用范為由信息管理中心負(fù)責(zé)建設(shè)管理的

網(wǎng)站、網(wǎng)絡(luò)安全事件應(yīng)急處理.

一、日常安全工作職責(zé)

信息管理中心工作人員根據(jù)分工、做好以下工作：1。

對(duì)網(wǎng)站、網(wǎng)絡(luò)進(jìn)行日常檢查'分析風(fēng)險(xiǎn)、排除隱患、

做好網(wǎng)站數(shù)據(jù)備份，形成日常工作機(jī)制,預(yù)防安全事故

發(fā)生。

2?制定相關(guān)安全事件的預(yù)警方案和解決方案。

3o掌握網(wǎng)絡(luò)網(wǎng)站技術(shù)發(fā)展趨勢(shì)，不斷提升安全防范水

平。

4o及時(shí)處置各類突發(fā)安全事件。

二、安全應(yīng)急處置原則

1o報(bào)告原則：發(fā)生突發(fā)安全事件,第一時(shí)間向政務(wù)信

息中心負(fù)責(zé)人報(bào)告，同時(shí)積極進(jìn)行處置，處置全程要

及時(shí)匯報(bào)工作進(jìn)展.

2.安全原則：處置安全事件時(shí)，要科學(xué)客觀，首先保證

人員安全，其次保證設(shè)備數(shù)據(jù)安全。

3o效率原則：處置突發(fā)事件要及時(shí)迅速，講究方法，

善于協(xié)調(diào)，爭(zhēng)取在最短時(shí)間內(nèi)解決問題.

4、協(xié)調(diào)配合原則：出現(xiàn)大規(guī)模故障后，根據(jù)工作需要,

積極配合，協(xié)同處理，提高工作質(zhì)量與效率.

三、安全應(yīng)急事件處置

（一）安全事件定義分類

一般故障：指區(qū)域性網(wǎng)絡(luò)安全事件，具體包括:局部網(wǎng)

絡(luò)癱瘓、個(gè)別設(shè)備死機(jī)、網(wǎng)站服務(wù)器停止工作等。重

大故障:指發(fā)生大規(guī)?；蛘w性網(wǎng)絡(luò)癱瘓、個(gè)別硬件設(shè)

備損壞或被竊、數(shù)據(jù)丟失或網(wǎng)站遭惡意篡改破壞等。

特大故障：指機(jī)房發(fā)生火災(zāi)或遭可抗拒力破壞造成機(jī)

房損毀及人員傷害等.

（二）處置時(shí)限

發(fā)生突發(fā)安全事件，一般故障2小時(shí)內(nèi)解決,重大故障

24小時(shí)內(nèi)解決，特大故障48小時(shí)內(nèi)解決。

（三）處置措施

1.發(fā)生突發(fā)事件，工作人員第一時(shí)間報(bào)告領(lǐng)導(dǎo)并進(jìn)行

處置。

2o迅速準(zhǔn)確判斷事件原因，在保證人員、設(shè)備、數(shù)據(jù)

安全的前提下，進(jìn)行針對(duì)性處置。

3、屬一般性故障的，信息中心工作人員及時(shí)進(jìn)行處置;

屬設(shè)備損壞的，要及時(shí)報(bào)告中心主任根據(jù)領(lǐng)導(dǎo)安排進(jìn)

行合理處置；屬系統(tǒng)故障的，要及時(shí)聯(lián)系維護(hù)公司進(jìn)

行處置;屬遭受攻擊的，要及時(shí)取證留存，并由維護(hù)公

司進(jìn)行處置。

4、必要時(shí)，通知有關(guān)單位做好應(yīng)對(duì)。

5、事后總結(jié)本次事件處置情況，形成分析報(bào)告。

第二部分網(wǎng)站安全應(yīng)急處置

一、日常維護(hù)

(-)中心人員每天對(duì)網(wǎng)站進(jìn)行查看，密切監(jiān)視信息

內(nèi)容。每天上午和下午各切換內(nèi)網(wǎng)一次，查看內(nèi)網(wǎng)運(yùn)

行情況.

(二)檢查各服務(wù)器殺毒軟件及防火墻升級(jí)情況，及時(shí)

給系統(tǒng)打補(bǔ)丁。

(三)每月對(duì)內(nèi)、外網(wǎng)站及數(shù)據(jù)進(jìn)行光盤備份，并由

專人歸檔保存。

二、安全事件分類及應(yīng)急處置辦法

(-)硬件故障

指因自然災(zāi)害、供電不正常、人為因素等造成的服務(wù)

器硬件損壞、丟失情況.

1、”內(nèi)網(wǎng)辦公系統(tǒng)”網(wǎng)站服務(wù)器中心工作人員每月對(duì)

其進(jìn)行硬件檢測(cè)，”迎澤之”服務(wù)器由維護(hù)公司每月

進(jìn)行軟硬件檢測(cè)，并填寫記錄，每年度進(jìn)行匯報(bào),2、

發(fā)生硬件損壞或丟失后要立即報(bào)告中心主任，并聯(lián)系

設(shè)備供應(yīng)商及有關(guān)單位處理。

（二）攻擊、篡改類故障

指網(wǎng)站系統(tǒng)遭到網(wǎng)絡(luò)攻擊不能正常運(yùn)作，或出現(xiàn)非法

信息、頁面被篡改。

1、發(fā)現(xiàn)網(wǎng)站出現(xiàn)非法信息或頁面被篡改，要第一時(shí)間

對(duì)其進(jìn)行刪除，恢復(fù)相關(guān)信息及頁面，同時(shí)報(bào)告中心

主任，必要時(shí)可對(duì)網(wǎng)站服務(wù)器進(jìn)行關(guān)閉，待檢測(cè)無故

障后再開啟服務(wù)。

（三）病毒木馬類故障

指網(wǎng)站服務(wù)器感染病毒木馬，存在安全隱患。

1、每周對(duì)服務(wù)器殺毒安全軟件進(jìn)行系統(tǒng)升級(jí)，并進(jìn)行

病毒木馬掃描，封堵系統(tǒng)漏洞.

2、發(fā)現(xiàn)服務(wù)器感染病毒木馬，要立即對(duì)其進(jìn)行查殺，

報(bào)告中心主任，根據(jù)具體情況，酌情發(fā)布網(wǎng)站公告通

知聯(lián)網(wǎng)的相關(guān)單位進(jìn)行終端的病毒木馬查殺。

3、由于病毒木馬入侵服務(wù)器造成數(shù)據(jù)丟失或系統(tǒng)崩潰

的，要第一時(shí)間報(bào)告中心主任，并聯(lián)系相關(guān)單位進(jìn)行數(shù)

據(jù)恢復(fù)。

（四）系統(tǒng)類故障

指網(wǎng)站系統(tǒng)由于長(zhǎng)時(shí)間運(yùn)行或系統(tǒng)存在的bug造成網(wǎng)

站不能正常運(yùn)行.

1、相關(guān)負(fù)責(zé)人要每月對(duì)網(wǎng)站數(shù)據(jù)進(jìn)行備份，并刻錄光

盤進(jìn)行存檔。

2、發(fā)現(xiàn)此類問題，要報(bào)告中心主任，并聯(lián)系網(wǎng)站維護(hù)

單位進(jìn)行檢測(cè)修復(fù)。

三、應(yīng)急保障

1、記錄門戶網(wǎng)站IDC托管機(jī)房、運(yùn)營(yíng)商大客戶經(jīng)理、

服務(wù)器供應(yīng)商及網(wǎng)站維護(hù)公司，出現(xiàn)問題能及時(shí)聯(lián)絡(luò)

處理。

2、中心人員應(yīng)掌握應(yīng)急筆記本電腦、數(shù)據(jù)備份光盤的

存放和使用.

3、中心人員應(yīng)學(xué)習(xí)各類軟硬件知識(shí)，提高應(yīng)對(duì)和處理

突發(fā)網(wǎng)絡(luò)故障的能力。

第三部網(wǎng)絡(luò)安全應(yīng)急處置

一、適用范圍

信息中心負(fù)責(zé)建設(shè)管理的網(wǎng)絡(luò)安全事件

二'職責(zé)分工

三、日常維護(hù)

1、每季度對(duì)設(shè)備進(jìn)行例行檢查及衛(wèi)生保潔，檢查項(xiàng)目

包括設(shè)備運(yùn)行狀態(tài)、溫度、供電及設(shè)備周邊環(huán)境是否

安全。

2、每年對(duì)區(qū)屬駐地外各單位進(jìn)行實(shí)地走訪，查看實(shí)際

情況。

U!、應(yīng)急處置

1、發(fā)生故障后，首先排查故障范圍，確定是軟件故障

還是硬件故障，是光路故障還是以太網(wǎng)故障.

2、對(duì)于大面積網(wǎng)絡(luò)故障或硬件線路設(shè)備損壞，要第一

時(shí)間報(bào)告中心主任。

3、如發(fā)生光路設(shè)備故障，及時(shí)聯(lián)絡(luò)聯(lián)通公司客戶經(jīng)理

協(xié)調(diào)