信息系统网络安全应急预案

信息系统网络安全应急预案XXXXX 科技有限公司序言为切实做好信息系统网络突发事件的防范和应急处理工作, 进一步提高预防和控制网络突发事件的能力和水平，减轻或消除 突发事件的危害和影响，确保我司信息系统网络与信息安全，根 据中华人民共和国计算机信息系统安全保护条例、中华人民 共和国计算机信息网络国际联网安全保护管理办法等有关法规 文件精神，结合我司实际情况，特制定本应急预案。1. 信息系统网络安全事件分类分级1.1 事件分类信息系统网络与信息安全事件分为有害程序事件、信息系统 网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故 障、灾害性事件和其它信息安全事件等 7 个类别。一、有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊 木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代 码事件和其他有害程序事件。二、信息系统网络攻击事件分为拒绝服务攻击事件、后门攻 击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干 扰事件和其他网络攻击事件。三、信息破坏事件分为信息篡改事件、信息假冒事件、信息 泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。四、信息内容安全事件是指通过网络传播法律法规禁止信息 组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、 社会稳定和公众利益的事件。五、设备设施故障分为软硬件故障、外围保障设施故障、人 为破坏事故和其他设备设施故障。六、灾害性事件是指由自然灾害等其他突发事件引发的信息 系统网络与信息安全事件。七、其它信息安全事件：不能归为以上类别分类且造成影响 或后果较为严重的信息安全事件。1.2 事件分级本预案所称信息系统网络信息安全突发事故，依据其性质、 危害程度、涉及范围、影响大小等情况，信息系统网络与信息安 全事件分为四级：特别重大事故（I级）、重大事故（II级）、较 大事故（III级）、一般事故（W级）。特别重大突发信息安全事故（I级）：事故发生后，重要信息系统网络与信息系统发生全局大规模 瘫痪，信息系统中断运行 2 小时以上，信息系统中的数据丢失或 被窃取、篡改、假冒，事态发展超出控制能力，对国家安全和社 会和谐构成特别严重威胁，或导致巨额经济损失，需要有关单位 协调解决，对国家安全、社会秩序、经济建设和公共利益造成特 别严重损害的信息安全突发事故。重大突发信息安全事故（II级）：事故发生后，主要信息信息系统网络或信息系统受到重大破 坏、甚至部分瘫痪，对重要要害部门或用户制造成重大损失，严 重地影响国家安全，社会秩序、经济建设和公共利益，需要调动 全市力量、资源开展应急处置的信息安全事故。较大突发信息安全事故（III级）：事故发生后，主要信息信息系统网络或信息系统出现较大事 故，不能正常运行，未对重要用户造成重大损失，但对普通用户 有较大危害，较大地影响社会秩序、经济建设和公共利益，需要 动员相关部门力量和资源进行处置的信息安全事故。一般突发信息安全事故（W级）：事故发生后，不影响主要信息信息系统网络或信息系统运行 不涉及重要用户，仅对普通用户造成较小损失和危害，较小地影 响国家安全，社会秩序、经济建设和公共利益，且动员公司力量 可以处置的信息安全事故。2. 建立应急信息系统网络联动机制成立信息系统网络安全应急工作小组，按照“谁主管谁负责” 原则，对于较大和一般突发公共事件进行先期处置等工作，并及 时报信息系统网络应急安全负责人处理并备案。发生一般互联网信息系统网络安全事件，事发半小时内向公 司信息系统网络安全应急负责人口头报告，在 1小时内向出具书 面报告;较大以上信息系统网络安全事件或特殊情况，立即报告 有关单位安全应急主管领导。3. 组织领导及职责3.1 成立信息系统网络安全保护工作领导小组主要职责:负责召集领导小组会议，部署工作，安排、检查 落实信息系统网络重大事宜。副组长负责网络系统应急预案的落 实情况，处理突发事故，完成领导交办的各项任务。3.2 信息系统网络安全保护工作领导小组人员1. 组长/安全负责人:XXX2. 副组长/安全管理员：XXX、XXX3. 组员/技术人员： XXX、 XXX、 XXX、 XXX、 XXX4. 应急处理流程出现灾情后平台运维人员要及时通过电话、邮件、短信等方 式通知网络安全负责人及相关技术负责人。运维人员根据灾情信 息，初步判定灾情程度。能够自身解决，要及时加以解决 ;如果 不能自行解决故障，由信息系统网络安全负责人现场指挥，协调 公司各部门力量，按照分工负责的原则，组织相关技术人员进入 抢险程序。5. 应急处理措施指南5.1 系统出现非法信息时的紧急处置措施1. 系统由运维人员随时密切监视信息内容。2. 发现网上出现非法信息时，运维人员应立即向我司通报情 况；情况紧急的应先及时采取删除等处理措施，再按程序报告。3. 运维人员应在接到通知后立即清理非法信息，强化安全防 范措施，并将网站网页重新投入使用。4. 运维人员应妥善保存有关记录及日志或审计记录。5. 运维人员应立即追查非法信息来源，将有关情况向信息系 统网络安全负责人及有关单位安全应急主管领导汇报。6. 信息系统网络安全负责小组召开安全应急小组会议，如认 为情况严重，应及时向有关部门和公安部门报告。5.2 黑客攻击时的紧急处置措施1. 当发现有网页内容被篡改，或通过入侵检测系统发现有黑 客正在进行攻击时,首先应将被攻击的服务器等设备从网络中隔 离出来，同时向信息系统网络安全负责人及有关单位安全应急主 管领导汇报汇报情况。2. 运维人员立即进行被破坏系统的恢复与重建工作。3. 运维人员追查非法信息来源，将有关情况向安全负责人汇 报。4. 信息系统网络安全负责小组会商后，如认为情况严重，则 立即向公安部门或有关部门报告。5.3 软件系统遭受破坏性攻击时的紧急处置措施1. 重要的软件系统平时必须存有备份，与软件系统相对应的 数据必须有多日备份，并将它们保存于安全处。2. 一旦软件遭到破坏性攻击，应立即向技术人员.安全负责 人报告，并将系统停止运行。3. 网站技术人员立即进行软件系统和数据的恢复。4. 运维人员检查日志等资料，确认攻击来源。将有关情况向 安全负责人与有关单位领导汇报。5. 信息系统网络安全负责小组认为情况极为严重的，应立即 向公安部门或有关部门报告。5.4 数据库安全紧急处置措施1. 主要数据库系统应按双机热备设置，并至少要准备两个以 上数据库备份，平时一个备份放在机房，另一个备份放在另一安 全的建筑物中或加密上传云端服务器。2. 一旦数据库崩溃，运维人员应立即启动备用系统，并向网 络安全应急负责人报告。在备用系统运行期间;信息安全工作人 员应对主机系统进行维修并作数据恢复。3. 如因第一个备份损坏，导致数据库无法恢复，则应取出第 二套数据库备份加以恢复。4. 如果两套系统均崩溃而无法恢复，应调用云端服务器应急 处理，立即与设备提供商联系，请求派维修人员前来维修。5.5 设备安全紧急处置措施1. 信息系统网络设施或安全设备发生故障时，运维人员首先 检查服务器设备故障报警指示灯状态，初步确定故障原因，采取 重启设备、已备份配置启动设备等方法排除故障。2. 计算机、服务器硬件设备无法正常运行时，运维人员使用 配套系统硬件检测软件检查确定具体部位，排除故障恢复设备运 行。如果不能自行排除，立即与设备服务商联系排除故障。5.6 病毒事件紧急处置措施1. 当发现有计算机被感染上病毒后，应立即向信息系统网络 安全管理员报告，将该机从网络上隔离开来。2. 信息系统网络安全管理员在接到通报后立即赶到现场，对 该设备的硬盘进行数据备份。3. 启用反病毒软件对该机进行杀毒处理，同时通过病毒检测 软件对其他机器进行病毒扫描和清除工作。4. 如果现行反病毒软件无法清除该病毒，应立即向信息系统 网络安全负责人报告，并迅速联系有关产品商研究解决。5. 信息系统网络安全应急小组经会商，认为情况严重的，应 立即向有关部门和公安部门报警。6. 如果感染病毒的设备是主服务器，经本司负责人同意，立 即告知各部门做好相应的清查工作。5.7 广域网外部线路中断紧急处置措施1. 广域网主、备用线路中断一条后，运维人员应立即启动备 用线路接续工作，同时向信息系统网络安全管理员报告。2. 信息系统网络安全管理员接到报告后，应派遣技术人员迅 速判断故障节点，查明故障原因。3. 如属我方管辖范围，由技术人员立即予以恢复。4. 如属电信部门管辖范围，立即与电信维护部门联系，要求 修复。5. 如果主、备用线路同时中断，信息系统网络安全管理员应 在判断故障节点，查明故障原因后，尽快研究恢复措施，并立即 向安全负责人及有关单位领导汇报。5.8 局域网中断紧急处置措施1. 设备管理部门平时应准备好网络备用设备，存放在指定的 位置。2. 局域网中断后，信息系统网络安全管理员应立即判断故节 点，查明故障原因，安排技术人员处理。如2 小时内未恢复，需 向信息系统网络安全负责人汇报。3. 如属线路故障，应重新安装线路。4. 如属路由器、交换机等网络设备故障，应立即从指定位置 将备用设备取出接上，并调试通畅。5. 如属路由器、交换机配置文件破坏，应迅速按照要求重新 配置，并调测通畅。6. 如有必要，应向信息系统网络安全负责人及有关部门领导 汇报。5.9 停电紧急处置措施1.定期检查机房供电设备的运行状况和电路线缆器材情况， 当发生下列突发事件时，按照以下方案进行处置:2.当机房发生市电供电突然停电或是电源异常时。首先应和 物业强电部门联系确认正常停电以及预计停电时间。检查不间断 电源的电池可供电时间，确保设备正常运行，如遇到突然断电， 应及时将空调等不在 UPS 电源供电范围内的设备及时断电，预防 突然来电时瞬间电流过大导致设备损坏等现象。3. 当确定停电时间超出机房 UPS 承载范围后，首先确定停电 的范围以及受影响的设备范围。并及时通知各部门和网络安全应 急小组做好停电应急准备。然后通知机房电源维护人和设备的负 责人到达现场，做好各设备的电源停电准备。在 UPS 供电电量仅 剩 10%之后，严格按操作手册停掉各服务器的电源，最后停核心 交换机和路由器，等待电力恢复。4. 当确定停电原因是在本身供电系统范围内，立即汇报给负 责领导，并及时联系相关维护人员达到现场检修。对于恢复时间 无法预计的，要通知各部门做好停电应急准备。5. 恢复供电后，严格按照操作程序逐步恢复机房设备和 UPS 的供电，以防瞬间电流过大造成设备损坏。5.10 自然灾害紧急处置措施发生自然灾害后，首先应该组织人员撤离现场。当确认灾害 不会造成人生伤害后，在回到机房检查设备，评估灾害受损范围， 立刻向信息系统网络安全负责人和有关部门领导汇报，并联系相 关网络和设备厂家，有条件的情况下启用备用设备和机房，恢复 及机房与服务器工作，确保在最短时间内恢复系统正常运行。其它没有列出的不确定因素造成的灾害，可根据安全原则， 结合具体的情况，做出相应的处理。不能处理的可以请示信息系 统网络安全责任人。6. 监督管理加强对信息系统网络与信息安全等方面专业技能的培训，指 定专人负责安全应急工作。定期演练。通过演练，发现应急工作体系和工作机制存在的 问题，不断完善应急预案，提高应急处置能力。