疾控中心网络安全制度

疾控中心网络安全制度一、疾控中心网络安全制度

一、总则

疾控中心网络安全制度旨在规范网络信息安全管理，保障疾控业务系统、数据资源及网络基础设施的安全稳定运行，维护公共卫生安全和社会稳定。制度依据《中华人民共和国网络安全法》《信息安全技术网络安全等级保护基本要求》及行业相关标准制定，适用于疾控中心所有网络环境、信息系统及工作人员。制度涵盖网络安全组织架构、安全策略、技术防护、运维管理、应急响应及监督考核等方面，确保网络安全工作系统性、制度化、规范化开展。

二、组织架构与职责

疾控中心成立网络安全领导小组，由中心主任担任组长，分管信息化的副主任担任副组长，各科室负责人为成员，全面负责网络安全工作的决策与监督。领导小组下设网络安全工作小组，由信息技术科牵头，联合办公室、流行病学调查科等关键部门组成，负责制度落实、技术实施及日常管理。信息技术科承担网络安全技术支撑职责，包括系统安全防护、漏洞管理、安全监测等；办公室负责安全制度的宣贯与培训；流行病学调查科等业务科室需配合提供业务系统安全需求。各科室指定网络安全联络员，负责本科室网络安全信息的收集与上报。

三、安全策略与管理制度

1.访问控制管理

疾控中心网络实行分级分区访问控制，根据信息系统安全等级划分，设置不同权限级别。核心业务系统（如传染病监测系统、实验室信息管理系统）采用多因素认证机制，普通员工需通过用户名密码+动态令牌或生物识别验证。外部人员接入需经审批，通过VPN专线或移动热点进行安全访问，并实施严格的访问日志审计。禁止使用未经授权的USB设备接入内部网络，所有终端需安装防病毒软件并定期更新病毒库。

2.数据安全保护

敏感数据（如个人健康信息、疫情数据）存储需符合《网络安全法》要求，采用加密存储技术，数据库访问需进行权限管控。数据传输必须通过加密通道，禁止明文传输。定期开展数据备份工作，核心数据每日备份，重要数据每周备份，备份数据存储在异地安全设施中，并设定恢复周期测试。数据销毁需经审批，采用物理销毁或专业软件清除，确保数据不可恢复。

3.系统安全防护

网络边界部署防火墙、入侵检测/防御系统，实施入侵行为监测与阻断。操作系统及应用软件需定期更新补丁，建立漏洞管理台账，高危漏洞需在72小时内修复。部署Web应用防火墙（WAF）防范SQL注入、跨站脚本攻击等常见威胁。邮件系统需安装反垃圾邮件及防病毒模块，禁止下载未知附件。无线网络采用WPA3加密，禁止SSID广播，强制设备认证。

四、运维管理与监测预警

1.日常运维规范

网络设备、服务器等关键基础设施需建立台账，定期巡检，记录运行状态。变更管理需遵循“申请-审批-实施-验证”流程，所有变更需记录日志。操作系统及应用软件安装需经信息技术科审核，禁止私自安装。密码策略要求密码长度不低于12位，需包含字母、数字及特殊字符，每90天更换一次。

2.安全监测与日志管理

部署安全信息和事件管理（SIEM）平台，实时收集防火墙、入侵检测系统、服务器等设备日志，关联分析异常行为。建立安全事件响应流程，发现安全事件需在30分钟内上报网络安全工作小组。日志保存周期不少于6个月，关键操作日志（如管理员登录、敏感数据访问）需永久保存。定期开展渗透测试，评估系统安全性，测试结果需形成报告并整改。

五、应急响应与处置

1.应急预案

制定《网络安全应急预案》，明确应急组织、响应流程、处置措施及恢复方案。预案涵盖断网、数据泄露、病毒爆发、勒索软件攻击等场景，每年至少演练一次。应急响应分为四个阶段：预警期（监测异常）、响应期（隔离受感染设备）、处置期（清除威胁、恢复系统）、总结期（评估损失、完善预案）。

2.响应流程

发生安全事件时，现场人员需第一时间切断受感染设备网络连接，保护现场证据，并通知网络安全联络员。网络安全工作小组需在1小时内启动应急响应，评估事件影响，采取控制措施。必要时协调公安网安部门介入调查。系统恢复需经安全检查，确认无威胁后方可上线。事件处置后需编写报告，分析原因，优化防护措施。

六、监督考核与持续改进

1.考核机制

疾控中心每年对各部门网络安全工作进行检查，考核内容包括制度落实、安全培训、应急演练等，考核结果纳入科室年度评优。信息技术科每月开展安全巡检，对违规行为进行通报批评。违反制度造成严重后果的，依法依规追究责任。

2.持续改进

网络安全制度需根据国家政策、技术发展和实际需求动态调整，每年修订一次。建立网络安全培训体系，新员工入职需接受安全培训，每年组织不少于4次全员培训。鼓励员工发现安全风险，对突出贡献者给予奖励。定期评估制度有效性，结合行业最佳实践优化管理措施，确保持续符合安全要求。

二、组织架构与职责

一、网络安全领导小组

疾控中心的网络安全工作由网络安全领导小组统一领导，该小组的设立旨在确保网络安全工作的权威性和统筹性。领导小组由中心主任担任组长，中心主任作为单位的最高负责人，其对网络安全工作的重视程度直接影响着整个中心的安全防护水平。中心主任的职责包括但不限于：审定网络安全工作的重大决策，批准网络安全预算，以及对网络安全事件进行最高级别的处理。分管信息化的副主任担任副组长，副主任通常对信息技术和业务运营都有较深的理解，能够有效地协调各部门之间的工作，确保网络安全策略与业务需求相匹配。副组长的职责包括但不限于：协助组长处理日常网络安全事务，组织网络安全工作的实施，以及向组长汇报网络安全状况。

各科室负责人作为成员，他们的参与确保了网络安全工作能够覆盖到中心的各个业务领域。科室负责人不仅要对本科室的业务安全负责，还要积极配合网络安全领导小组的工作，提供必要的资源和支持。成员的职责包括但不限于：组织本科室人员的网络安全培训，监督本科室网络安全制度的执行，以及向领导小组报告本科室网络安全状况。

二、网络安全工作小组

网络安全工作小组是网络安全领导小组的执行机构，负责具体的网络安全工作。工作小组由信息技术科牵头，信息技术科是疾控中心负责网络信息技术的核心部门，他们对网络架构、系统安全、数据保护等方面有着深入的了解和丰富的实践经验。信息技术科的代表在小组中扮演着核心角色，负责网络安全技术的实施和日常管理。他们的职责包括但不限于：制定网络安全技术规范，实施网络安全防护措施，进行安全监测和事件响应，以及提供网络安全技术支持。

联合办公室、流行病学调查科等关键部门也加入了网络安全工作小组，他们的参与确保了网络安全工作能够与业务工作紧密结合。办公室通常负责单位的行政管理、后勤保障和制度建设，他们在网络安全工作中的角色主要是提供制度支持、协调资源，以及组织网络安全培训。流行病学调查科是疾控中心的业务核心部门，他们负责传染病疫情的监测、调查和控制，他们的网络安全工作主要是保护传染病数据的安全，防止数据泄露和篡改。其他部门的参与确保了网络安全工作能够覆盖到中心的各个方面，形成了一个完整的网络安全防护体系。

三、职责分工

在网络安全工作小组中，各个成员部门都有明确的职责分工，以确保网络安全工作的有序进行。信息技术科作为牵头部门，主要负责网络安全技术的实施和日常管理，他们需要制定网络安全技术规范，实施网络安全防护措施，进行安全监测和事件响应，以及提供网络安全技术支持。信息技术科还需要与其他部门进行协调，确保网络安全技术能够得到有效应用。

办公室在网络安全工作中的职责主要是提供制度支持、协调资源，以及组织网络安全培训。办公室需要制定网络安全相关的制度文件，协调各部门之间的网络安全工作，组织全体员工的网络安全培训，提高员工的网络安全意识。办公室还需要与信息技术科进行密切合作，确保网络安全制度能够得到有效执行。

流行病学调查科作为疾控中心的业务核心部门，他们的网络安全工作主要是保护传染病数据的安全。他们需要确保传染病数据在采集、传输、存储和使用的各个环节都得到安全保护，防止数据泄露和篡改。流行病学调查科还需要与信息技术科合作，确保传染病数据系统的安全性和可靠性。

其他部门在网络安全工作中的职责主要是配合信息技术科和网络安全工作小组的工作，落实网络安全制度，保护本部门的网络和数据安全。各部门的负责人需要对本部门的网络安全工作负责，组织本部门人员进行网络安全培训，监督本部门网络安全制度的执行，及时报告网络安全事件。

四、联络员制度

为了确保网络安全信息能够及时准确地传递，疾控中心建立了网络安全联络员制度。各科室指定一名网络安全联络员，负责本科室网络安全信息的收集、上报和传达。联络员通常是对网络安全有一定的了解，并且工作认真负责的员工。他们的职责包括但不限于：收集本科室网络安全状况，向上级报告网络安全事件，传达网络安全领导小组的决策和指示，以及协助信息技术科进行网络安全检查。

联络员制度的建立，确保了网络安全信息能够快速传递到各个部门，也确保了各部门能够及时了解网络安全状况，采取相应的措施。联络员还需要定期参加网络安全培训，提高自身的网络安全意识和技能，以便更好地履行职责。

五、协作机制

网络安全工作不是孤立的，需要各个部门之间的密切协作。疾控中心建立了完善的协作机制，确保网络安全工作能够得到各个部门的支持和配合。协作机制主要包括以下几个方面：

1.定期会议制度：网络安全领导小组定期召开会议，讨论网络安全工作，协调各部门之间的工作。网络安全工作小组也定期召开会议，讨论网络安全技术问题，协调网络安全措施的落实。

2.信息共享机制：疾控中心建立了信息共享平台，各部门可以通过平台共享网络安全信息。信息技术科负责维护信息共享平台，确保信息的安全性和可靠性。各部门的联络员负责收集和上传网络安全信息，确保信息的及时性和准确性。

3.联合演练机制：疾控中心定期组织网络安全联合演练，检验网络安全预案的有效性，提高各部门的协同作战能力。联合演练通常由网络安全领导小组组织，网络安全工作小组负责具体实施。演练内容包括但不限于：网络安全事件的应急响应，网络安全防护措施的实施，网络安全数据的保护等。

通过协作机制的建立，疾控中心形成了了一个完整的网络安全防护体系，各个部门之间的协作更加紧密，网络安全工作也更加高效。

三、安全策略与管理制度

一、访问控制管理

疾控中心的网络环境复杂，涉及不同级别的数据和系统，因此必须实施严格的访问控制管理，确保只有授权人员才能访问相应的资源。网络实行分级分区访问控制，根据信息系统的安全等级进行划分，不同等级的系统对应不同的访问权限。核心业务系统，例如传染病监测系统、实验室信息管理系统等，由于其数据的重要性和敏感性，被划分为最高安全等级，访问这些系统需要经过多重验证和审批。普通员工访问这些系统受到严格限制，通常只能进行必要的操作，不得进行任何修改或删除操作。

为了进一步保障访问安全，核心业务系统采用了多因素认证机制。这意味着员工在登录系统时，不仅需要输入用户名和密码，还需要提供其他形式的身份验证，例如动态令牌生成的验证码、指纹识别或者人脸识别等。这种多因素认证机制大大提高了账户的安全性，即使密码被泄露，攻击者也无法轻易登录系统。普通员工需要通过用户名密码+动态令牌或生物识别验证，确保每次访问都是经过授权的。动态令牌会定期生成新的验证码，使得攻击者无法通过猜测或记录验证码的方式登录系统。生物识别验证则利用每个人的独特生理特征，如指纹或人脸，进行身份确认，这种方式更加安全可靠，因为生理特征难以伪造或复制。

对于外部人员，例如合作伙伴或特邀专家，接入疾控中心网络需要经过严格的审批流程。这些人员不能直接访问内部网络，而是通过VPN专线或移动热点进行安全访问。VPN（虚拟专用网络）技术可以在公共网络上建立一个加密的通道，使得外部人员能够安全地访问内部网络资源。移动热点则是一种便携式的无线网络设备，可以随时随地提供网络接入服务。无论是VPN还是移动热点，都需要进行严格的身份验证和访问控制，确保只有授权人员才能接入网络。此外，外部人员的访问行为也会被记录在案，以便进行审计和追踪。

除了访问控制，疾控中心还禁止使用未经授权的USB设备接入内部网络。USB设备虽然方便，但也容易携带病毒或恶意软件，对网络安全构成威胁。因此，所有员工在使用USB设备之前，必须经过信息科技部门的审批，并经过安全检测才能使用。为了进一步加强安全防护，所有终端设备都需要安装防病毒软件，并定期更新病毒库。防病毒软件可以实时监测和阻止病毒入侵，保护终端设备免受病毒侵害。同时，防病毒软件也需要定期更新病毒库，以应对新出现的病毒威胁。

二、数据安全保护

数据是疾控中心的核心资产，其中包含大量的敏感信息，如个人健康信息、传染病疫情数据等。因此，必须采取严格的数据安全保护措施，确保数据的安全性和完整性。敏感数据在存储时需要符合《网络安全法》的要求，采用加密存储技术，防止数据被非法访问或篡改。数据库访问也需要进行权限管控，只有授权人员才能访问敏感数据。

数据传输的安全性同样重要。疾控中心要求所有数据传输必须通过加密通道进行，禁止明文传输。这意味着在数据传输过程中，数据会被加密成密文，只有拥有解密密钥的人才能解密并读取数据。这样可以防止数据在传输过程中被窃取或篡改。例如，在传输传染病疫情数据时，数据会被加密后发送到数据中心，只有数据中心的服务器才能解密并读取数据。这样可以确保数据在传输过程中的安全性。

为了防止数据丢失或损坏，疾控中心建立了完善的数据备份制度。核心数据每日备份，重要数据每周备份，确保在发生数据丢失或损坏时能够及时恢复数据。备份数据存储在异地安全设施中，以防止因自然灾害或人为破坏导致数据丢失。此外，疾控中心还会定期进行数据恢复测试，确保备份数据的可用性。数据恢复测试可以检查备份数据是否完整，以及恢复过程是否顺利，从而确保在需要时能够快速恢复数据。

数据销毁是数据安全保护的重要环节。当数据不再需要时，必须进行安全销毁，确保数据不可恢复。数据销毁可以通过物理销毁或专业软件清除的方式进行。物理销毁是指将存储介质进行物理破坏，例如将硬盘进行粉碎或消磁，以防止数据被恢复。专业软件清除则是使用专门的数据销毁软件，将数据覆盖多次，以防止数据被恢复。数据销毁需要经过审批，并由专人负责执行，确保数据销毁过程的安全性和可靠性。

三、系统安全防护

网络安全不仅仅是数据的保护，还包括网络基础设施和系统的安全。疾控中心在网络边界部署了防火墙、入侵检测/防御系统，以防止外部攻击者入侵网络。防火墙可以控制网络流量，只允许授权的流量通过，从而防止未经授权的访问。入侵检测/防御系统可以实时监测网络流量，检测并阻止入侵行为，例如病毒传播、网络攻击等。

操作系统及应用软件的漏洞是网络安全的重要隐患。因此，疾控中心建立了漏洞管理台账，对所有的操作系统及应用软件进行定期更新补丁。高危漏洞需要在72小时内修复，以防止被攻击者利用。漏洞管理台账记录了所有的漏洞信息，包括漏洞描述、影响范围、修复措施等，以便进行跟踪和管理。信息技术部门会定期检查漏洞管理台账，确保所有的漏洞都得到及时修复。

Web应用防火墙（WAF）是保护Web应用安全的重要工具。疾控中心部署了WAF，以防范SQL注入、跨站脚本攻击等常见威胁。SQL注入是一种攻击方式，攻击者通过在Web表单中输入恶意代码，来获取数据库中的敏感信息。跨站脚本攻击则是一种攻击方式，攻击者通过在Web页面中插入恶意脚本，来窃取用户的信息。WAF可以检测并阻止这些攻击，保护Web应用的安全。

邮件系统是疾控中心常用的通信工具，但也容易受到病毒的攻击。因此，疾控中心在邮件系统上安装了反垃圾邮件及防病毒模块，以防止病毒通过邮件传播。反垃圾邮件模块可以过滤掉大部分的垃圾邮件，防止垃圾邮件占用网络资源。防病毒模块可以检测并清除邮件中的病毒，防止病毒感染终端设备。此外，疾控中心还要求员工不要下载未知附件，以防止病毒通过附件传播。

无线网络的安全性同样重要。疾控中心要求无线网络采用WPA3加密，这是一种更加安全的加密方式，可以防止无线网络被窃听。同时，疾控中心禁止SSID广播，以防止无线网络被轻易发现。SSID是无线网络的名称，禁止SSID广播可以增加无线网络的安全性。此外，疾控中心还强制设备认证，只有经过认证的设备才能连接到无线网络，以防止未经授权的设备接入网络。

四、运维管理与监测预警

一、日常运维规范

网络基础设施和信息系统是疾控中心日常工作的关键支撑，其稳定运行对于保障公共卫生服务至关重要。因此，必须建立严格的日常运维管理制度，确保所有设备、系统和数据的安全、可靠运行。疾控中心的所有网络设备，包括路由器、交换机、防火墙等，以及服务器、存储设备等关键基础设施，都需要建立详细的台账。台账中应记录设备的型号、序列号、安装位置、配置信息、负责人等详细信息。这不仅有助于日常管理，也为故障排查和资产管理提供了依据。信息技术科负责维护这些台账，并定期进行更新和核查，确保信息的准确性和完整性。

定期巡检是保障网络设备正常运行的重要手段。信息技术科需要制定巡检计划，明确巡检的频率、内容、责任人等。巡检内容包括设备的运行状态、连接情况、配置信息、日志记录等。巡检过程中，技术人员需要仔细检查设备的指示灯、连接线缆、散热情况等，确保设备运行正常。巡检结束后，需要填写巡检记录，对发现的问题进行标记和跟踪，确保问题得到及时解决。例如，如果发现某个交换机的温度过高，技术人员需要检查其散热情况，清理灰尘，或者调整设备的位置，以防止设备过热导致故障。

变更管理是运维工作中的重要环节，任何对网络设备、操作系统、应用软件的修改都应遵循严格的流程。疾控中心制定了变更管理流程，确保所有变更都经过审批、实施、验证和记录。变更管理流程包括申请、审批、实施、验证、记录等步骤。申请阶段，需要填写变更申请表，说明变更的原因、内容、影响范围等。审批阶段，需要由信息技术科负责人和相关部门负责人进行审批，确保变更的必要性和安全性。实施阶段，需要由技术人员按照审批的方案进行操作，并确保操作的正确性。验证阶段，需要对变更后的系统进行测试，确保其功能正常，没有引入新的问题。记录阶段，需要将变更过程和结果记录在案，以便后续查阅和分析。通过变更管理流程，可以有效地控制变更风险，确保系统的稳定运行。

操作系统及应用软件的安装需要经过信息技术科的审核。信息技术科需要评估新软件的安全性和兼容性，确保其不会对现有系统造成影响。例如，如果某个科室需要安装新的业务软件，需要先向信息技术科提交申请，信息技术科会对该软件进行安全评估和兼容性测试，确保其不会对现有系统造成影响后，才会批准安装。禁止员工私自安装任何软件，以防止引入恶意软件或安全漏洞。通过严格的软件安装管理，可以有效地控制软件风险，保障系统的安全稳定。

密码管理是保障账户安全的重要措施。疾控中心要求所有用户密码长度不低于12位，并且必须包含字母、数字及特殊字符，以增加密码的复杂度，提高抗破解能力。密码还需要定期更换，建议每90天更换一次密码，以防止密码被长时间使用而泄露。信息技术科会定期提醒用户更换密码，并提供密码管理工具，帮助用户生成和保管复杂密码。此外，疾控中心还禁止用户使用相同的密码在不同的系统中登录，以防止一个系统的密码泄露导致其他系统也受到影响。通过严格的密码管理，可以有效地提高账户的安全性，防止账户被盗用。

二、安全监测与日志管理

网络安全威胁日益复杂，传统的被动防御方式已经无法满足安全需求。因此，疾控中心建立了主动的安全监测体系，及时发现和处置安全威胁。安全信息和事件管理（SIEM）平台是安全监测的核心工具，它可以实时收集来自防火墙、入侵检测系统、服务器、数据库等设备的日志，并对这些日志进行分析，识别异常行为和安全事件。信息技术科负责SIEM平台的部署和维护，并定期对平台进行升级和优化，确保其能够有效地收集和分析日志数据。

SIEM平台可以实时监测网络流量、系统性能、安全事件等，一旦发现异常情况，会立即发出告警。例如，如果某个IP地址频繁访问内部网络，或者某个服务器的CPU使用率突然升高，SIEM平台会立即发出告警，通知技术人员进行检查。告警信息会根据事件的严重程度进行分类，确保技术人员能够优先处理重要事件。告警信息还会记录在案，并定期进行统计分析，以便了解网络安全状况，并改进安全防护措施。

安全事件响应是安全监测的重要环节。疾控中心制定了安全事件响应流程，明确事件的分类、响应流程、处置措施等。安全事件分为不同等级，例如一般事件、重大事件、特别重大事件等，不同等级的事件需要不同的响应流程。一般事件由信息技术科负责响应，重大事件需要由网络安全领导小组进行协调，特别重大事件则需要上报上级主管部门。事件响应流程包括确认事件、分析事件、处置事件、恢复系统、总结事件等步骤。确认事件阶段，需要技术人员对告警信息进行核实，确认是否发生了安全事件。分析事件阶段，需要技术人员对事件进行分析，确定事件的类型、影响范围、攻击来源等。处置事件阶段，需要采取措施控制事件的影响，例如隔离受感染设备、阻止攻击流量等。恢复系统阶段，需要修复系统漏洞，清除恶意软件，恢复系统正常运行。总结事件阶段，需要对事件进行总结，分析事件的原因，改进安全防护措施，防止类似事件再次发生。

日志管理是安全监测的重要基础。疾控中心要求所有设备和安全系统都启用日志记录功能，并确保日志的完整性和可靠性。日志记录需要包括时间戳、事件类型、事件描述、来源IP地址、用户信息等详细信息。日志需要定期备份，并存储在安全的存储设备中，以防止日志被篡改或丢失。信息技术科会定期检查日志记录和备份情况，确保日志的完整性和可靠性。此外，疾控中心还会定期对日志进行分析，识别安全威胁和异常行为，并采取措施进行处置。通过日志管理，可以有效地追溯安全事件，分析攻击者的行为，并为安全防护措施的改进提供依据。

定期进行渗透测试是评估系统安全性的有效手段。渗透测试是指模拟攻击者的行为，对系统进行攻击，以发现系统中的安全漏洞。信息技术科会定期组织渗透测试，评估网络设备、操作系统、应用软件的安全性能。渗透测试需要由专业的安全人员进行，他们需要使用各种攻击工具和技术，对系统进行全面的测试。测试完成后，会形成渗透测试报告，详细记录测试过程和发现的安全漏洞。信息技术科会根据渗透测试报告，制定修复方案，并尽快修复发现的安全漏洞。通过渗透测试，可以有效地发现系统中的安全弱点，并采取措施进行修复，提高系统的安全性。

五、应急响应与处置

一、应急预案

网络安全事件具有突发性和破坏性，一旦发生可能对疾控中心的业务运营和数据安全造成严重影响。为了有效应对网络安全事件，疾控中心必须制定完善的应急预案，确保在事件发生时能够迅速、有序地进行处置。应急预案是应对网络安全事件的行动指南，它详细规定了事件的分类、响应流程、处置措施、恢复方案等，确保所有参与人员都清楚自己的职责和行动步骤。

疾控中心的《网络安全应急预案》明确了应急组织架构、响应流程、处置措施及恢复方案，涵盖了断网、数据泄露、病毒爆发、勒索软件攻击等多种场景。预案的制定基于疾控中心的实际情况，充分考虑了可能发生的网络安全事件类型及其影响，确保预案的实用性和可操作性。每年至少进行一次应急演练，检验预案的有效性，并根据演练结果进行修订和完善，确保预案始终能够应对最新的安全威胁。

应急预案的启动条件明确规定了在何种情况下需要启动应急响应。例如，当网络出现大面积中断、关键业务系统无法访问、检测到大规模病毒传播、发生数据泄露等事件时，需要立即启动应急预案。启动条件的具体制定考虑了事件的严重程度和影响范围，确保在发生重大事件时能够迅速响应，防止事件扩大。

应急响应流程分为四个阶段：预警期、响应期、处置期和总结期。预警期是指事件发生的初期，需要通过安全监测系统及时发现异常行为，并进行分析和确认。响应期是指事件确认后的阶段，需要立即采取措施控制事件的影响，例如隔离受感染设备、阻止攻击流量等。处置期是指事件得到初步控制后的阶段，需要采取措施清除威胁、修复系统、恢复数据等。总结期是指事件处置完成后的阶段，需要对事件进行总结，分析事件的原因，改进安全防护措施，防止类似事件再次发生。

二、响应流程

网络安全事件的发生往往出乎意料，因此，疾控中心建立了快速响应机制，确保在事件发生时能够迅速采取措施，控制事件的影响。响应流程的制定基于事件的严重程度和影响范围，确保在发生重大事件时能够迅速响应，防止事件扩大。

发生网络安全事件时，现场人员是第一响应者，他们需要第一时间采取措施控制事件的影响。例如，如果某个员工发现电脑出现异常，应该立即断开该电脑与网络的连接，防止病毒传播到其他设备。同时，他们需要保护现场证据，例如保存受感染设备的内存镜像、日志文件等，以便后续进行安全分析。现场人员还需要立即通知网络安全联络员，由联络员向上级报告事件，并协调相关部门进行处置。

网络安全工作小组是应急响应的核心力量，负责事件的分析、处置和恢复。工作小组会根据事件的类型和严重程度，制定相应的处置方案，并组织人员进行处置。例如，如果是病毒爆发事件，工作小组会立即隔离受感染设备，并使用杀毒软件进行清除。如果是数据泄露事件，工作小组会立即采取措施阻止数据泄露，并评估泄露的数据范围，采取补救措施。如果是系统瘫痪事件，工作小组会立即尝试恢复系统，并评估系统瘫痪的影响范围，采取补救措施。

应急处置措施包括但不限于隔离受感染设备、阻止攻击流量、清除恶意软件、修复系统漏洞、恢复数据等。隔离受感染设备是防止病毒传播的重要措施，可以通过物理断开网络连接或逻辑隔离的方式进行。阻止攻击流量是防止攻击者继续攻击的重要措施，可以通过防火墙、入侵检测系统等进行。清除恶意软件是消除安全威胁的重要措施，可以通过杀毒软件、安全工具等进行。修复系统漏洞是防止类似事件再次发生的重要措施，需要及时更新系统补丁，修复已知漏洞。恢复数据是恢复业务运营的重要措施，需要使用备份数据进行恢复，并确保数据的完整性和一致性。

系统恢复是应急处置的重要环节，需要确保系统在安全的状态下恢复运行。在恢复系统之前，需要先进行安全检查，确保系统没有安全漏洞，没有恶意软件，数据没有损坏。安全检查可以通过扫描系统漏洞、检测恶意软件、验证数据完整性等方式进行。在确认系统安全后，可以开始恢复系统，并逐步恢复业务运营。恢复系统过程中，需要密切监控系统的运行状态，确保系统稳定运行。

事件处置完成后，需要进行总结和评估，分析事件的原因，改进安全防护措施，防止类似事件再次发生。总结和评估需要由网络安全工作小组负责，他们会收集事件的相关信息，分析事件的原因，制定改进措施，并形成报告。报告需要提交给网络安全领导小组，由领导小组进行审批和发布。通过总结和评估，可以不断提高安全防护水平，确保网络安全。

六、监督考核与持续改进

一、考核机制

网络安全制度的执行效果需要通过有效的监督和考核来确保。疾控中心建立了完善的考核机制，对各部门网络安全工作进行定期检查和评估，并将考核结果纳入科室年度评优。通过考核，可以及时发现制度执行中的问题，并采取改进措施，确保网络安全制度得到有效落实。

考核工作由信息技术科牵头