网络与信息安全事件应急预案

网络与信息安全事件应急预案

为科学有效地预防和应对各类网络与信息安全突发事件，及时控制并最大限度地消除危害和影响，切实保障施桥镇信息系统的正常运行和数据、硬件安全，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等有关法规、规定，特制定本预案。 一、适用范围

本预案所称突发性事件，是指自然因素或人为活动引发的危害网络设施及信息安全等有关的灾害。

根据网络与信息安全事件的发生原因、性质和机理，网络与信息安全事件主要分为以下三类：

（一）人为类事件：指网络与信息系统因计算机病毒感染、非法入侵等造成网站主页被恶意篡改，计算机上的数据被非法拷贝、修改、删除；人为破坏网络线路、通信设施；在网站上发布的内容违反国家的法律法规、侵犯知识版权并已造成严重后果等，由此导致的业务中断、系统宕机、网络瘫痪等情况。

（二）故障类事件：指网络与信息系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。

（三）灾害类事件：指因洪水、火灾、雷击、地震、台风等外力因素导致网络与信息系统损毁，造成业务中断、系统宕机、网络瘫痪等情况。

二、事件分级

实施预警信息等级制度，按照事件可控性、严重程度和影响范围，将网络与信息安全突发事件分为四级：

I级（特别重大）、II级（重大）、III级（较大）、IV级（一般）。具体级别定义如果国家有关法律法规有明确规定的，按国家有关规定执行：

（1）I级（特别重大）：造成网络与信息系统发生大规模瘫痪，事态的发展超出区一级相关主管部门的控制能力，对国家安全、社会秩序、公共利益造成特别严重损害的突发事件。

（2）II级（重大）：造成网站或其它上一级部门重要网络与信息系统瘫痪，对国家安全、社会秩序、公共利益造成严重损害，需要上级政府或公安部门协助，乃至需跨地区协同处置的突发事件。 （3）III级（较大）：造成网站网络与信息系统瘫痪，对国家安全、社会秩序、公共利益造成一定损害，但只需在本区政府或区信息中心协同处置的突发事件。

（4）IV级（一般）：造成网站网络重要网络与信息系统受到一定程度的损坏，但不危害国家安全、社会秩序和公共利益，可由我主管部门处置的突发事件。 三、组织领导

（一）镇网络与信息安全领导小组

领导小组的主要职责与任务是统一领导信息安全事件应急工作，全面负责信息安全可能出现的各种突发事件处置，协调解决网络与信

息安全事件处置工作中的重大问题等。 （二）应急工作要求

1．重在防御、综合防范。立足安全防护，加强预警，重点保护重要信息网络和关系到社会稳定的重要信息系统；从预防、监控、应急处理、应急保障和打击不法行为等环节和管理、技术、宣传等方面，采取多项措施，充分发挥各方面的作用，构筑网络与信息安全保障体系。

2．明确责任、分级负责。按照“谁主管、谁负责”的原则，加强网络安全管理，认真落实各项安全管理制度和措施。加强计算机信息网络安全的宣传和教育，进一步提高工作人员的网络与信息安全意识。

3．落实措施、防护到位。对机房、网络设备等设施定期开展安全检查，对发现的安全漏洞和隐患及时进行整改；实行网站的巡察制度，密切关注互联网信息动态，要按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处置，最大程度地降低乃至消除危害和影响。

4．加强培训，定期演练。增加技术学习储备、规范应急处置措施与操作流程，树立常备不懈的观念，定期进行预案演练，确保应急预案切实可行。

5、实时监控，及时上报。当发生网络与信息安全突发事件时，应及时按规定向有关部门报告。初次报告最迟不得超过2小时，重大和特别重大的网络与信息安全突发事件必须实行态势进程报告和日

报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。 四、应急响应处置流程 （一）预案启动

网络与信息安全事件发生后，应急领导工作组尽最大可能收集事件相关信息，鉴别事件性质，确定事件来源，以确定事件范围和评估事件带来的影响和损害，确认为网络信息安全事件后，对事件进行定级和上报。按照应急响应流程，由网络与信息安全应急小组决定启动应急预案，并由组长负责应急处理协调工作。 （二）应急处理

1、确认阶段。初步确定应急处理方式，确定是否符合应急预案启动条件，若符合，则启动本预案。

2、遏制阶段。及时采取行动遏制事态发展，限制潜在的损失与破坏，同时要采取积极措施，使危害程度降到最低。

3、根除阶段。在事态得到有效控制后，通过对有关事件或行为的分析结果，找出事件根源，明确相应的补救措施，彻底消除安全隐患。

4、恢复和跟踪阶段。在确保安全问题解决后，要及时清理系统、恢复数据、程序、服务。恢复工作应避免出现误操作导致数据的丢失。另外，恢复工作中如果涉及到机密数据，需遵照机密系统的恢复要求。 5、在应急处置工作结束后，应立即组织有关人员组成事件调查组，查清事件发生的原因及财产损失情况，总结经验教训，写出调查

评估报告，报应急领导小组，并根据问责制的有关规定，对有关责任人员作出处理。必要时采取合理的形式向社会公众通报。进一步加强宣传，公布危害性和解决办法，以避免和减少产生的社会负面影响。 （三）应急处置方法

1、当发生的网络与信息安全事件为故障类或自然灾害类事件时，应根据当时的实际情况，在保障人身安全的前提下，首先保障数据的安全，然后是设备安全。具体方法如：硬盘的拔出与保存，设备的断电与拆卸、搬迁等。

2、当发生的网络与信息安全事件为人为类事件时，具体按以下顺序进行：判断破坏的来源与性质，断开影响安全与稳定的信息网络设备，断开与破坏来源的网络物理连接，联系有关部门跟踪并锁定破坏来源的IP或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照灾害发生的性质分别采用以下方案：

（1）病毒传播：要及时断开传播源，联系相关技术部门判断病毒的性质、采用的端口，然后关闭相应的端口，在网上公布病毒攻击信息以及防御方法。

（2）网络入侵：首先要联系相关技术部门，判断入侵的来源，区分外网与内网。入侵来自外网的，定位入侵的IP地址，及时关闭入侵的端口，限制入侵地IP地址的访问，在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的，查清入侵来源，如IP地址、上网帐号等信息，同时断开对应的交换机端口。然后针对入侵方法建设或更新入侵检测设备。