网络安全事件应急预案

网络安全事件应急预案一、总则（一）编制目的。为提高我局网络与信息安全突发性危害事件的防范和应急处理能力，形成科学、有效，快速反应的应急响应机制，最大限度地减轻网络与信息安全突发公共事件对本单位造成的影响，保障网络与业务信息系统的正常运行和数据安全。（二）编制依据。根据中华人民共和国计算机信息系统安全保护条例、中华人民共和国突发事件应对法等有关规定，制定本预案。（三）适用范围。本预案适用于本单位办公网络、本部门水利网站、综合办公系统OA以及其它应用系统发生突发性危害事件的应急响应。（四）工作原则。以人为本，加强预防；明确责任，分级负责；按照规范，加强管理；快速响应，协同应对。（五）事件分类。网络安全突发事件是指自然灾害（地震、台风、雷电、火灾等），事故灾难（电力中断、网络损坏、或软、硬件设备故障等）和人为破坏（人为破坏网络线路、通信设施，黑客攻击、病毒攻击、恐怖主义活动等）引起的网络与信息系统的损坏。（六）事件分级。网络与信息安全突发事件按照其性质、严重程度、可控性和影响范围等因素分为四级：级（特别重大）、级（重大）、级（较大）和级（一般）。1.级（特别重大）。网络与信息系统发生全单位性大规模瘫痪，事态发展超出我局的控制能力，对社会造成特别严重损害的突发事件。2.级（重大）。网络与信息系统造成全单位性瘫痪，对社会造成严重损害，需要跨部门、跨地区协同处置的突发事件。3.级（较大）。某一部分的网络与信息系统瘫痪，对社会造成一定损害，但不需要跨部门、跨地区协同处置的突发事件。4.级（一般）。网络与信息系统受到一定程度的损坏，对社会有一定影响，但不危害社会的突发公共事件。二、组织体系与职责成立X市经济合作局网络与信息安全应急协调领导小组，组长由分管信息工作的领导担任，成员由科室负责人及相关人员组成。应急小组办公室设在信息联络科，负责网络与信息安全应急响应工作的整体规划、组织协调和决策指挥。X市经济合作局网络与信息安全应急领导小组的职责：研究制定X市经济合作局网络与信息安全应急处置工作的规划、计划和政策；协调推进X市经济合作局网络与信息安全应急机制和工作体系建设；发生网络与信息安全突发公共事件后，决定启动本预案，组织应急处置工作。三、监测与预防按照“早发现、早报告、早处置”的原则，加强对各类网络与信息安全突发公共事件和可能引发突发公共事件的有关信息的收集、分析判断和持续监测，发生网络与信息安全突发事件，及时报告。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。（一）日常安全工作职责1.对网站、网络进行日常检查、分析风险、排除隐患、做好网站数据备份，形成日常工作机制，预防安全事故发生。2.制定相关安全事件的预警方案和解决方案。3.掌握网络网站技术发展趋势，不断提升安全防范水平。（二）安全应急处置原则1.报告原则：发生突发安全事件，第一时间向应急协调领导小组负责人报告，同时积极进行处置，处置全程要及时汇报工作进展。2.安全原则：处置安全事件时，要科学客观，首先保证人员安全，其次保证设备数据安全。3.效率原则：处置突发事件要及时迅速，讲究方法，善于协调，争取在最短时间内解决问题。4.协调配合原则：出现大规模故障后，根据工作需要，积极配合，协同处理，提高工作质量与效率。（三）网站安全日常维护1.工作人员每天对网站进行查看，密切监视信息内容。每天上午和下午各切换内网一次，查看内网运行情况。2.检查各服务器杀毒软件及防火墙升级情况，及时给系统打补丁。3.科室要安排专人每月对内、外网站及数据进行光盘备份，并由专人归档保存。四、应急响应发生有下列情况之一应启动应急预案：（一）网站、网页出现非法言论；（二）网络遭受黑客攻击；（三）计算机网络出现病毒；（四）广域网外部线路中断；（五）局域网大范围中断；（六）服务器等关键网络设备故障；（七）机房外电中断；（八）数据库安全；（九）核心设备安全；（十）其他事项。五、应急处理措施（一）局门户网站出现非法言论时的紧急处置措施1、发现网上出现非法信息时，工作人员应立即断开服务器网络并向工作组通报情况；情况紧急的应先及时采取删除等处理措施，再按程序报告。2、工作人员应在接到通知后半小时内进行处理，作好必要的记录，清理网站上的非法信息，强化安全防范措施后方可将网站网页重新投入使用。（二）黑客攻击时的紧急处置措施1、当发现网站内容被篡改，或通过防火墙、入侵检测系统发现有黑客正在进行攻击时，应立即服务器断网并向网络与信息安全应急协调小组通报情况。2、工作人员应在半小时内进行处理，首先应将被攻击的服务器等设备从网络中物理隔离出来，保护现场。待服务器厂家对破坏系统的恢复与重建工作，修补漏洞、强化安全措施后方可接入网络。3、安排服务器厂家追查非法信息来源。如认为情况严重，则立即向市公安部门汇报。（三）计算机网络病毒安全紧急处置措施1、当发现网络上出现病毒，并影响网络的正常运行后，应立即找出感染病毒计算机。2、将感染病毒机器和网络隔离，待病毒彻底清除后方允许再次接入网络。3、请求相关技术人员要针对该款病毒进行研究，做好相应的防毒措施（建议下载安装360安全卫士及360病毒库，及时排查隐患，修补漏洞）4、对该设备的硬盘进行数据备份。5、启用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他机器进行病毒扫描，如果现行反病毒软件无法清除该病毒，应立即向应急协调领导小组报告，并迅速联系产品商研究解决。（四）广域网外部线路中断紧急处置措施1、广域网线路中断后，网络管理员接到报告后，应迅速判断故障节点，查明故障原因。2、如属本单位管辖范围，由网络管理员予以恢复。如遇无法恢复情况，立即向有关单位请求支援。3、如属电信、联通、广电部门管辖范围，立即与维护部门联系，请求修复。（五）局域网大范围中断紧急处置措施1、局域网出现大范围中断现象后，网络管理员应立即判断故障节点，查明故障原因。2、如属线路故障，应重新检查线路。3、属路由器、交换机等网络设备故障，应立即调换备用，如无备机，立即向设备提供商联系更换设备，并调试畅通；并向领导小组领导汇报。（六）服务器等关键网络设备故障安全紧急处置措施1、服务器等关键设备损坏后，网络管理员应立即查明原因。2、如果能够自行恢复，应立即用备件替换受损部件。3、如果不能自行恢复的，立即与设备提供商联系，请求派维修人员前来维修。4、如果设备一时不能修复，应向领导小组汇报。（七）机房外电中断后的处置措施1、检查断电原因，如短时间内停电，应及时启用UPS备用电源，如遇长时间停电情况，及时关闭非关键服务器，减少对UPS电池组的电量。（八）数据库安全1、对于重要的信息系统，主要数据库系统应按双机设备设置，并至少要准备两个以上数据库备份，平时一个备份放在机房，另一个备份自留保存。2、一旦数据库崩溃，工作人员应立即启动备用系统，并向信息安全负责人报告。3、在备用系统运行期间；信息安全工作人员应对主机系统进行维修并作数据恢复。4、如果两套系统均崩溃而无法恢复，应立即向有关厂商请求紧急支援。5、定时做数据库的备份工作，核心重点资料的数据是信息安全中第一位。6、数据损坏事件较严重无法保证正常工作的，经部门领导同意，及时通知各部门以手工方式开展工作。（九）核心设备安全1、根据实际情况对核心设备进行检查，确保设备安全稳定运行。2、发生核心设备硬件故障后，工作人员应及时报告，并查找、确定故障设备及故障原因，进行先期处置。同时联系设备提供商共同检测并排除故障。3、若故障设备在短时间内无法修复，应启动备份设备，保持系统正常运行；将故障设备脱离网络，进行故障排除工作。4、故障排除后，在网络空闲时期，替换备用设备；若故障仍然存在，立即联系厂商进行返厂维修或调换设备（十）其他事项1、非工作人员未经应急协调小组批准不得进入中心机房。2、对各设备和线路进行维护或改造，需经办公室主任批准，由工作人员陪同进行。3、使用充分控干水份的抹布及拖把进行保洁，尽量不使用干布或扫帚，避免扬尘。保洁时，注意不要触碰电源接口及网络接口等，以免漏电或导致线路接触不良。六、附则（一）预案管理。本预案由X市经济合作局信息联络科制定，信息联络科根据实际情况，及时修订本预案。（二）预案解释。本预案由X市经济合作局信息联络科负责解释。（三）预案实施时间。本预案自印发之日起实施。