15-网络与信息安全事件应急预案

文件编号：1015版本：1.0.0页码：第8页共17页标题：网络与信息安全事件应急预案目录1 目的 22 适用范围 33 组织机构及职责 34 事件分类分级 54.1 事件分类 54.2 事件分级 65 预防预警 75.1 预防措施 75.2 信息报告 85.3 预警处理与发布 86 应急响应 86.1 应急处置方法 86.2 故障处置方法 106.3 应急联动 137 后期处置 138 保障措施 149 培训与演练 15附件:网络与信息安全应急响应流程图 16目的完善网络与信息安全应急响应机制，规范网络与信息安全应急响应工作内容和流程，科学应对网络与信息安全突发事件，有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响，保障信息系统的实体安全、运行安全和数据安全。以防范为主，加强监控。开展安全教育和培训工作，提高信息安全防护意识和水平，积极做好日常安全工作，提高应对突发网络与信息安全事件的能力。建立完善的信息系统安全监控和管理机制，保证对网络与信息安全事件做到快速觉察、快速反应、及时处理、及时恢复。适用范围适用于×××信息系统遭受各种人为攻击、破坏或自然毁损等灾情，造成系统中断、设备损坏、数据丢失等故障的网络与信息安全事件，均适用本预案。组织机构及职责建立应急团队，在发生信息系统突发事件时，能够做到及时实施专项应急处置工作。应急团队包括应急领导小组、应急执行小组、应急保障小组。应急领导小组组成组长：***副组长：***成员：运行维护部、综合部、系统工程管理部、经营部。应急领导小组的职责（一）负责信息系统突发事件的应急指挥、组织协调和过程控制。（二）明确新闻发布人，授权其在应急过程中统一对外信息发布口径。（三）宣布重大应急响应状态的降级或解除。（四）向高级管理层报告应急处置进展情况和总结报告。应急执行小组组成组长：运行维护部负责人成员：系统集成部、综合部、系统工程管理部、经营部。应急执行小组职责（一）实施信息系统突发事件的具体应急处置工作。（二）对信息系统突发事件业务影响情况进行进行分析和评估。（三）收集分析信息系统突发事件应急处置过程中的数据信息和日志。（四）向应急领导小组报告应急处置进展情况和事态发展情况。应急保障小组组成组长：综合部成员：综合部、系统工程管理部、经营部。应急保障小组职责（一）提供应急所需人力和物力等资源保障。（二）做好对受影响客户的解释和安抚工作。（三）做好秩序维护、安全保障、法律咨询和支援等工作。（四）建立与电力、通讯、公安和消防等相关外部机构的应急协调机制和应急联动机制。（五）其他为降低事件负面影响或损失提供的应急支持保障等。事件分类分级事件分类网络与信息事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。信息内容安全事件是指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。事件分级信息安全事件对业务可能造成的影响或已经造成影响的严重程度并结合资产的重要程度,把网络与信息安全事件分为四级：Ⅰ级（特别重大网络与信息安全事件）、Ⅱ级（重大网络与信息安全事件）、Ⅲ级（较大网络与信息安全事件）、Ⅳ级（一般网络与信息安全事件）。I级（特别重大网络与信息安全事件）：×××系统发生大规模瘫痪，事态发展超出管理单位的控制能力，对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的突发公共事件，超过工作时间16小时不能恢复。

II级（重大网络与信息安全事件））：×××系统发生大规模瘫痪，对国家安全、社会秩序、经济建设和公共利益造成严重损害，超过工作时间8小时未能恢复，需要其他单位协同处置的突发公共事件。III级（较大网络与信息安全事件））：×××系统发生瘫痪，对业务使用单位造成一定损害，但在工作时间8小时内可以恢复的恶意攻击行为。Ⅳ级（一般）网络与信息安全事件）：×××系统受到一定程度的损坏，对所在用户的权益有一定影响，但在工作时间4小时内可以恢复。

预防预警预防预警预防措施1、运行维护部加强信息系统日常管理，做好信息系统终端管理、计算机机房管理、系统监控和运行管理、数据备份和安全管理等工作，加强计算机机房和重点部位的现场巡查和网络监控（运行状态）工作，做到早发现、早报告、早处置，防患于未然。2、加强服务器系统、核心交换机系统、数据库系统等关键设备设施和软件系统运行情况的监测和分析，在更换关键硬件、软件系统重大更新、数据库系统升级等工作前期，对可能发生信息系统系统故障的时间、范围、程度等进行预警并及时通报信息系统运行与安全应急工作组和各部门提前做好应急准备。3、要求提供互联网接入和内部光纤网络接入的网络运营商必须保证负责其线路的正常、稳定运行。若运营商方有临时线路维护或设备变更，一定程度影响×××系统正常运行，要求运营商必须提前2小时通知×××公司运行维护部。信息报告当网络与信息安全事件发生时，要将情况及时报告市应公司安委办及主管领导。初次报告时间最迟不得超过事件发生后2个小时，报告内容主要包括事件特征、事件性质、影响范围、事件趋势和拟采取措施等。属II级以上事件的，应协调相关部门并及时上报集团安委办。预警处理与发布（1）对于可能发生或已经发生的网络与信息安全突发公共事件，立即采取措施控制事态，并向应急领导小组汇报情况。（2）应急领导小组接到报告后，应迅速召开应急领导小组会议，研究确定网络与信息安全突发公共事件的等级，根据具体情况启动相应的应急预案，并向相关部门进行汇报。应急响应应急处置方法当发生网络与信息安全事件时，首先应区分事件性质，然后再根据不同情况分别进行处置。1.根据事件性质，网络与信息安全事件可划分为以下三类：A.自然灾害。指地震、雷电、火灾、洪水等灾害引起的计算机网络与信息系统的损坏。B.事故损毁。指电力中断、网络损坏或是软件、硬件设备故障等引起的计算机网络与信息系统的损坏。C.人为破坏。指人为破坏网络线路、通信设施，黑客攻击、病毒攻击、恐怖袭击等引起的计算机网络与信息系统的损坏。2.针对上述各类事件的处置办法：（1）属A类事件时，应根据实际情况，在保障人身安全的前提下，首先保障数据安全，然后再保障设备安全（包括硬盘拔出与保存、设备断电与拆卸、搬迁设备等）。（2）属B类事件时，应迅速分析故障特征，查明原因，若不能独立处理，必须立刻通知相关单位（供电局、网络运营商、软硬件产品维护单位等），马上组织人员进行系统修复。（3）属C类事件时，应首先判断破坏来源与性质，然后断开影响安全的网络设备，断开与破坏来源的网络连接，跟踪并锁定破坏来源IP地址或其它用户信息，修复被破坏的信息，恢复信息系统。故障处置方法1.有害信息处置。首先，公司指派专人负责对×××各系统进行全时监控；其次，尽快采取屏蔽、删除等有效措施对有害信息进行清理，并做好相关记录；再次，采取技术手段追查有害信息来源；此外，如发现涉及国家安全、稳定的重大有害信息，还要及时向市公安局报告。2.黑客攻击处置。当发现系统信息被篡改或通过入侵检测系统发现黑客攻击时，首先将被攻击服务器等设备从网络中隔离；然后采取技术手段追查非法攻击来源；第三，公司安委会召开信息安全评估会，评估破坏程度，并视其严重程度，决定是否需向公安局报警；最后，恢复或重建被破坏的系统。3.病毒侵入处置。当发现计算机系统感染病毒后，首先，立即将该计算机从×××专网上物理隔离，同时备份硬盘数据；然后再启用防病毒软件进行杀毒处理，并使用病毒检测软件对其他机器进行病毒扫描和清除；一时无法查杀的新病毒，要迅速与相关病毒软件供应商联系解决；如感染病毒的是服务器或主机系统，要立即告知使用部门并做好相应清查工作。4.软件遭受破坏性攻击处置。重要软件系统及其相对应的数据必须存有备份，一旦软件遭受破坏性攻击，应立即报告和停止系统运行；然后检查日志等资料，确认攻击来源，并采取有效措施，恢复软件系统和数据。5.数据库安全防范处置。一旦数据库崩溃，首先立即通知使用单位暂缓使用，然后再组织人员对主机系统进行维修；如遇无法解决的问题，立即请求数据库维保单位协助解决。系统修复启动后，将数据库备份取出，并按照要求将其恢复到主机系统中；6.网络线路中断处置。网络线路中断后，应迅速判断故障节点，查明原因、尽快修复。如属网络运营商负责维护运营的线路，立即与电信运营商维护部门联系，及时进行修复。如属局域网内部线路故障，应立即判断故障节点，查明故障原因，迅速组织修复；如属路由器、交换机等网络设备故障，立即与机房网络维保单位联系修复；如属路由器、交换机配置文件破坏，迅速从×××运维管理系统中导出最新配置按照要求重新配置；7.设备安全处置。发现服务器等关键设备损坏，应立即查明设备故障原因；能自行恢复的，立即用备件替换受损部件；难以自行恢复的，立即与设备维保单位联系，请求派维修人员前来维修；若设备一时不能修复，应及时采取必要措施，并告知用户单位暂缓使用。8.机房火灾处置。一旦机房发生火灾，按照《机房火灾应急处置流程预案》运维人员迅速使用灭火器进行灭火，在无法控制火势的情况下，首先按照《中心机房供配电系统操作手册》切断所有电源，按响火警警报；启动气体灭火装置，并检查自动气体灭火系统是否正常启动；必要时通过119电话向公安消防部门请求支援。9.外电中断处置。外电中断后，UPS系统自动切换到备用电源，检查是否切换成功。迅速查明断电原因，如因内部线路故障，马上组织恢复；如因供电部门原因，立即与供电单位联系，尽快恢复供电；如被告知将长时间停电，需立即启动柴油发电机发电，如遇柴油发电机无法工作应做好以下工作：（1）预计停电1小时以内的，由UPS供电；（2）预计停电1-4小时的，关掉非关键设备，确保各主机、路由器、交换机供电；（3）预计停电超过4小时的，做好数据备份工作，及时关闭有关设备。10.其他故障处置。上述没有列出的、属不确定因素造成的灾害，可根据总的安全原则，结合具体情况做出相应处理；不能处理的可咨询相关专业人员。应急联动当发生Ⅱ级以上（含Ⅱ级）网络与信息安全事件时，由公司安委办、运行维护部、综合部、工程部协调应急处置工作，并根据事态发展和处置工作需要，可临时组织专业技术小组、应急支援单位和调动系统所需的工具、材料、设备等，迅速开展应急救援的处置工作。后期处置1.善后处理。在应急处置工作结束后，运行维护部维护人员应迅速采取措施，抓紧组织抢修系统，尽快恢复正常工作。统计各种数据，查明原因，对事件造成的损失和影响以及恢复重建能力进行分析评估，认真制定恢复重建计划，并迅速组织实施。公司总经办、综合部应提供必要的人员、技术、物资和装备以及资金等支持，并将善后处置的有关情况报集团安监部、系统使用单位技术部门，不断改进网络与信息安全应急工作。。2.调查评估。在应急处置工作结束后，应立即组织有关人员组成事件调查组，在有关单位的配合下，对事件发生及其处置过程进行全面的调查，查清事件发生的原因及影响情况，总结经验教训，写出调查评估报告，报公司安委办、总经办，并根据问责制的有关规定，对有关责任人员作出处理。特别重大信息安全突发事件的调查评估报告，应经公司安委办审核后报集团，必要时采取新闻发布会的形式向社会公众通报。3.责任与奖惩。运行维护部要认真贯彻落实预案的各项要求与任务，建立监督检查和奖惩机制。应急领导小组将不定期进行检查，对各项制度、计划、方案、人员等进行实地验证。保障措施应急队伍保障。运行维护部依托系统维保单位组建×××信息系统安全应急处置队伍（包括网络安全分析人员、应急响应人员、系统恢复人员等），制定相应培训和演练计划，提高应对网络与信息安全事件的能力。设备保障。结合实际工作需要，提前配备应急处置工作所必须的设备或工具软件，并加强应急处置工具及设备的维护调试，保证其随时处于可用状态。特别是一些容易坏损的设备和模板，更要提前配置备件，以便应急时可及时替代更换。数据保障。重要信息系统应建立日常备份系统和相关工作机制，保证重要数据受到破坏后可紧急恢复。备份系统应具有一定兼容性，在特殊情况下各系统之间互为备份。技术资料保障。维护技术资料是高效应急处置的前提和基础。网络拓扑结构、重要系统或设备的型号及配置、主要设备厂商信息等技术资料，应建立专门技术档案，并及时更新，保证与实际系统相一致。经费保障。设立安全应急处置资金，并列入公司年度预算。监督检查制度。公司安委会应加强对信息安全应急工作的监督和检查，做到居安思危、常备不懈。培训与演练1.培训应急领导小组应将《信息系统运行与安全应急预案》列入年度培训计划，组织员工认真学习，做到人人知晓。综合部应对部门培训情