网络安全应急预案信航.doc

网络安全应急预案为了切实做好本公司网络突发事件的防范和应急处理工作，进一步提高公司预防和控制网络安全突发事件的能力和水平，减轻或消除突发事件的危害和影响，确保公司网络正常运行与信息安全，依据国家有关法律法规的规定，结合公司网络应用实际，制订本预案。 第一章 总则 第一条、编制目的 建立健全本公司网络应急工作机制，保证公司网络安全应急工作迅速、高效和有序进行，维护公司网络正常运行与网络信息安全。 第二条、编制依据 依据中华人民共和国电信条例、信息产业部互联网网络安全应急预案公安部互联网安全保护技术措施规定结合我公司实际，制定本预案。 第三条、适用范围 1、本预案适用于本公司接入的服务器及内部工作电脑等信息系统上的突发性事件的应急工作指导。 2、在公司发生网络安全事件，相关人员通知互联网事业部参考本应急预案。 第二章 公司互联网络安全应急处置措施 处置措施 在问题发生时，首先应区别灾害发生是否人为与不可抗力两种情况，根据这两种情况，把问题处置措施分成两个流程： 流程一：当发生不可抗力（如通信供应商网络异常或施工造成）危及公司网络与信息安全时，根据发生时情况，在确保在场人员人身安全前提下，首先保障数据安全，其次是设备安全。具体方法包括：安全关机、数据设备强行关机、数据随时备份等。 流程二：当人为或因病毒、攻击、入侵造成灾害发生时，具体按以下顺序进行： 立即通知总部互联网事业部并随时根据情况轻重报所在地公安局网络监管部门，同时判断破坏的来源与性质，断开影响安全与稳定的信息网络设备，断开与破坏来源的网络物理连接，跟踪并锁定破坏来源的ip或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照网络安全问题发生的性质分别采用以下方案： 1病毒传播：针对这种现象，要及时断开传播源，判断病毒的性质、采用的端口，然后关闭相应的端口，清除相关病毒文件2入侵和攻击：对于网络入侵和攻击，首先要判断入侵和攻击的来源，区分外网与内网。入侵来自外网的，定位入侵的ip地址，及时关闭入侵的端口，限制入侵地ip地址的访问，在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的，查清入侵来源，如ip地址、上网帐号等信息，同时断开对应的交换机端口。然后针对入侵方法更新入侵检测设备。 3信息被篡改：这种情况，要求一经发现马上断开相应的信息上网链接，并尽快恢复。 4网络故障：一旦发现，可根据相应工作流程尽快排除。 5其它没有列出的不确定因素造成的，应进行相关核实并通知总部。6.一般性安全隐患处理 ：公司服务器应配备相应的硬件防火墙和防病毒软件并且及时进行升级等操作，检测到入侵和攻击事件时，立即向总公司互联网事业部发出警告，由互联网事业部安排人员在第一时间处理事件，保存相关的证据，并对后续进行跟进。 定期检查设备和系统的运转情况，保证设备高效稳定的运行。一旦主服务器出现硬件设备故障或系统故障，总公司将要在第一时间启用备份服务器或备份数据，保证公司网络的正常运行，并对原服务器进行及时的检修，在修复后替换备份服务器继续运行，保证网络的正常运行。 第3章 公司网络安全相关操作要求 （1）对工作中使用的计算机进行定期杀毒操作和对杀毒软件定期进行升级操作。 （2）对于工作中需用到移动设备（如u盘，移动硬盘）的，需先设置移动设备不能自动打开。 （3）如发现计算机被恶意攻击或感染木马等恶意程序，立即拔掉网线，断开物理层连接，然后通过杀毒软件进行查杀。 （4）对于通过vpn连接总部服务器的计算机，操作人员需要保证计算机只由其本人进行操作 （5）如果发现电脑提示遭到攻击，ip是192.168开头的内网网段ip地址，立即上报互联网事业部，并在其没造成其它影响之前关闭其计算机。并对当事人所做行为上报总部。 （6）如果发现网络流量长时间异常偏高超过50%（超过24小时）立即核实原因。 （7）除互联网事业部人员外，他人对任何计算机发起远程操控操作一律禁止。如发现被强制远程操控，应立即断开网络连接。 （8）对一种新的利用主流操作系统和应用程序漏洞的蠕虫或病毒应马上去下载其专杀程序，确保不让以上安全事件爆发并留下后门。第四章 应急保障 （1）人员保障 加强应急处理人员必要的应急处理培训，使应急人员熟悉工作原则、工作流程，具备必要的技能，以满