网络和信息安全事件应急救援预案.pdfVIP

网络与信息安全事件应急预案 一、总则 为做好应对网络与信息安全事件的各项准备工作，提高 应急处理能力，结合本单位实际，制定本预案。 1、编制依据 《中华人民共和国突发事件应对法》、《国家网络与信息 安全事件应急预案》、《信息安全事件分类分级指南》等相 法律规定。 2、事件分类 网络与信息安全事件分为有害程序事件、网络攻击事件、 信息破坏事件、信息内容安全事件设备设施故障和灾害性事 件等。 (1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛 伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌 恶意代码事件和其他有害程序事件。 (2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、 漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事 件和其他网络攻击事件。 (3)信息破坏事件分为信息篡改事件、信息假冒事件、信 息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏 事件。 (4)信息内容安全事件是指通过网络传播法律法规禁止 信息，组织非法串联、煽动集会游行或炒作敏感问题并危害 国家安全、社会稳定和公众利益的事件。 (5)设备设施故障分为软硬件自身故障、外围保障设施故 障、人为破坏事故和其他设备设施故障。 (6)灾害性事件是指由自然灾害等其他突发事件导致的 网络与信息安全事件。 3、预案启动条件 当发生以上6种或其他网络信息安全事件时启动本预案。 二、组织机构 网络安全及信息化领导小组成员如下： 组长：柴志明、芮继强 副组长：汪家玉、王敏生、查显双、李志华 成员：各处室负责人 领导小组办公室：信息管理处 办公室主任：汪涛 三、处理及报告流程 1、预案启动 网络与信息安全事件发生后，领导小组成员尽最大可能 收集事件相关信息，鉴别事件性质，确定事件来源，以确定 事件范围和评估事件带来的影响和损害，确认为网络信息安 全事件后，对事件进行定级和上报，并启动应急预案，并由 组长负责应急处理协调工作。 2、应急处理及报告 (1)确认阶段。初步确定应急处理方式，确定是否符合应 急预案启动条件，若符合，则启动本预案。 (2)遏制阶段。及时采取行动遏制事态发展，限制潜在的 损失与破坏，同时要采取积极措施，使危害程度降到最低。 (3)根除阶段。在事态得到有效控制后，通过对有关事件 或行为的分析结果，找出事件根源，明确相应的补救措施， 彻底消除安全隐患。 (4)恢复和跟踪阶段。在确保安全问题解决后，要及时清 理系统、恢复数据、程序、服务。恢复工作应避免出现误操 作导致数据的丢失。另外，恢复工作中如果涉及到机密数据， 需遵照机密系统的恢复要求。 (5)在应急处置工作结束后，应立即组织小组成员组成事 件调查组，查清事件发生的原因及财产损失情况，总结经验 教训，写出调查评估报告，报应急领导小组组长，并根据问 责制的有关规定，对有关责任人员作出处理。进一步加强防 范，在公司范围内公布危害性和解决办法，以避免和减少产 生的损失。 四、应急预案 1、有害程序事件 要及时断开传播源，判断病毒的性质、采用的端口，然 后关闭相应的端口，在系统内公布病毒攻击信息以及防御方 法。 2、网络攻击事件 （1）重要的软件系统平时必须存有备份，与软件系统 相对应的数据必须有多日的备份，并将它们保存于安全处。 （2 ）当管理员通过入侵监测系统发现有黑客正在进行 攻击时，应立即向信息安全领导小组办公室报告。软件遭破 坏性攻击（包括严重病毒）时要将系统停止运行。 （3 ）管理员首先要将被攻击（或病毒感染）的服务器 等设备从网络中隔离出来，保护现场，并同时向信息安全领 导小组报告情况。 （4 ）小组成员责恢复与重建被攻击或被破坏的系统， 恢复系统数据，并及时追查非法信息来源。 （5 ）事态严重的，立即向信息安全小组组长报告，并 向相关部门进行汇报。 3、信息破坏事件 (1)重要的软件系统平时必须存有备份，与软件系统相对 应的数据必须按本单位容灾备份规定的间隔按时进行备份， 并将它们保存于安全处。 (2)一旦软件遭到破坏性攻击，应立即向信息