网络与信息安全事件应急预案

网络与信息安全事件应急预案网络与信息安全事件应急预案 为科学有效地预防和应对各类网络与信息安全突发事件 及时 控制并最大限度地消除危害和影响 切实保障施桥镇信息系统的正 常运行和数据 硬件安全 根据 中华人民共和国计算机信息系统 安全保护条例 中华人民共和国计算机信息网络国际互联网管 理暂行规定 等有关法规 规定 特制定本预案 一 适用范围一 适用范围 本预案所称突发性事件 是指自然因素或人为活动引发的危害 网络设施及信息安全等有关的灾害 根据网络与信息安全事件的发生原因 性质和机理 网络与信息安 全事件主要分为以下三类 一 人为类事件 指网络与信息系统因计算机病毒感染 非 法入侵等造成网站主页被恶意篡改 计算机上的数据被非法拷贝 修改 删除 人为破坏网络线路 通信设施 在网站上发布的内容 违反国家的法律法规 侵犯知识版权并已造成严重后果等 由此导 致的业务中断 系统宕机 网络瘫痪等情况 二 故障类事件 指网络与信息系统因计算机软硬件故障 人为误操作等导致业务中断 系统宕机 网络瘫痪等情况 三 灾害类事件 指因洪水 火灾 雷击 地震 台风等外 力因素导致网络与信息系统损毁 造成业务中断 系统宕机 网络 瘫痪等情况 二 事件分级二 事件分级 实施预警信息等级制度 按照事件可控性 严重程度和影响范 围 将网络与信息安全突发事件分为四级 I 级 特别重大 II 级 重大 III 级 较大 IV 级 一般 具体级别定义如果国家有关法律法规有明确规定的 按国家有关 规定执行 1 I 级 特别重大 造成网络与信息系统发生大规模瘫痪 事态的发展超出区一级相关主管部门的控制能力 对国家安全 社 会秩序 公共利益造成特别严重损害的突发事件 2 II 级 重大 造成网站或其它上一级部门重要网络与信 息系统瘫痪 对国家安全 社会秩序 公共利益造成严重损害 需 要上级政府或公安部门协助 乃至需跨地区协同处置的突发事件 3 III 级 较大 造成网站网络与信息系统瘫痪 对国家安 全 社会秩序 公共利益造成一定损害 但只需在本区政府或区信 息中心协同处置的突发事件 4 IV 级 一般 造成网站网络重要网络与信息系统受到一 定程度的损坏 但不危害国家安全 社会秩序和公共利益 可由我 主管部门处置的突发事件 三 组织领导三 组织领导 一 镇网络与信息安全领导小组 领导小组的主要职责与任务是统一领导信息安全事件应急工作 全面负责信息安全可能出现的各种突发事件处置 协调解决网络与 信息安全事件处置工作中的重大问题等 二 应急工作要求 1 重在防御 综合防范 立足安全防护 加强预警 重点保护 重要信息网络和关系到社会稳定的重要信息系统 从预防 监控 应急处理 应急保障和打击不法行为等环节和管理 技术 宣传等 方面 采取多项措施 充分发挥各方面的作用 构筑网络与信息安 全保障体系 2 明确责任 分级负责 按照 谁主管 谁负责 的原则 加 强网络安全管理 认真落实各项安全管理制度和措施 加强计算机 信息网络安全的宣传和教育 进一步提高工作人员的网络与信息安 全意识 3 落实措施 防护到位 对机房 网络设备等设施定期开展安 全检查 对发现的安全漏洞和隐患及时进行整改 实行网站的巡察 制度 密切关注互联网信息动态 要按照快速反应机制 及时获取 充分而准确的信息 跟踪研判 果断决策 迅速处置 最大程度地 降低乃至消除危害和影响 4 加强培训 定期演练 增加技术学习储备 规范应急处置措 施与操作流程 树立常备不懈的观念 定期进行预案演练 确保应 急预案切实可行 5 实时监控 及时上报 当发生网络与信息安全突发事件时 应及时按规定向有关部门报告 初次报告最迟不得超过 2 小时 重 大和特别重大的网络与信息安全突发事件必须实行态势进程报告和 日报告制度 报告内容主要包括信息来源 影响范围 事件性质 事件发展趋势和采取的措施等 四 应急响应处置流程四 应急响应处置流程 一 预案启动 网络与信息安全事件发生后 应急领导工作组尽最大可能收集 事件相关信息 鉴别事件性质 确定事件来源 以确定事件范围和 评估事件带来的影响和损害 确认为网络信息安全事件后 对事件 进行定级和上报 按照应急响应流程 由网络与信息安全应急小组 决定启动应急预案 并由组长负责应急处理协调工作 二 应急处理 1 确认阶段 初步确定应急处理方式 确定是否符合应急预案 启动条件 若符合 则启动本预案 2 遏制阶段 及时采取行动遏制事态发展 限制潜在的损失与 破坏 同时要采取积极措施 使危害程度降到最低 3 根除阶段 在事态得到有效控制后 通过对有关事件或行为 的分析结果 找出事件根源 明确相应的补救措施 彻底消除安全 隐患 4 恢复和跟踪阶段 在确保安全问题解决后 要及时清理系统 恢复数据 程序 服务 恢复工作应避免出现误操作导致数据的丢 失 另外 恢复工作中如果涉及到机密数据 需遵照机密系统的恢 复要求 5 在应急处置工作结束后 应立即组织有关人员组成事件调查 组 查清事件发生的原因及财产损失情况 总结经验教训 写出调 查评估报告 报应急领导小组 并根据问责制的有关规定 对有关 责任人员作出处理 必要时采取合理的形式向社会公众通报 进一 步加强宣传 公布危害性和解决办法 以避免和减少产生的社会负 面影响 三 应急处置方法 1 当发生的网络与信息安全事件为故障类或自然灾害类事件时 应根据当时的实际情况 在保障人身安全的前提下 首先保障数据 的安全 然后是设备安全 具体方法如 硬盘的拔出与保存 设备 的断电与拆卸 搬迁等 2 当发生的网络与信息安全事件为人为类事件时 具体按以下 顺序进行 判断破坏的来源与性质 断开影响安全与稳定的信息网 络设备 断开与破坏来源的网络物理连接 联系有关部门跟踪并锁 定破坏来源的 IP 或其它网络用户信息 修复被破坏的信息 恢复信 息系统 按照灾害发生的性质分别采用以下方案 1 病毒传播 要及时断开传播源 联系相关技术部门判断病 毒的性质 采用的端口 然后关闭相应的端口 在网上公布病毒攻 击信息以及防御方法 2 网络入侵 首先要联系相关技术部门 判断入侵的来源 区分外网与内网 入侵来自外网的 定位入侵的 IP 地址 及时关闭 入侵的端口 限制入侵地 IP 地址的访问 在无法制止的情况下可以 采用断开网络连接的方法 入侵来自内网的 查清入侵来源 如 IP 地址 上网帐号等信息 同时断开对应的交换机端口 然后针对入 侵方法建设或更新入侵检测设备 3 信息被篡改 一经发现马上断开相应的信息上网链接 并 尽快恢复 4 网络故障 根据相应工作流程尽快排除 5 其他没有列出的不确定因素造成的灾害 可根据总的安全 原则 结合具体的情况 做出相应的处理 当采用一般应急处置措 施仍无法控制事态时 要迅速研究采取有利于控制事态的非常措施 并向区政府网络与信息安全应急领导小组办公室请求支援 四 安全事件的处理记录 在事件的上报 接收和处理过程中 事件接收人 处理负责人 应及时作好完整的过程记录 事件处理完成后归档 五 结束响应 系统恢复正常运行后 应急领导小组对事件造成的损失 事件 处理流程和应急预案进行评估 对响应流程 预案提出修改意见 总结事件处理经验和教训 撰写事件处理报告 同时确定是否需要 上报该事件及其处理过程 需要上报的应及时准备相关材料 上报 相关部门 五 应急保障措施五 应急保障措施 1 人员保障 坚持网络与信息安全防护 24 小时值班制度 认真落实值班人员 安排 2 技术保障 重视网络与信息技