网络系统安全保卫应急预案 范本
时间:2020-09-21 12:15:26 来源:工作范文网 本文已影响 人 
网络系统安全保卫应急预案
为进一步健全网络安全事件应急工作机制,提高预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,结合工作实际,制定本预案。
总则
本预案所指网络与信息系统的重要性是根据系统遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及公民、法人和其他组织的合法权益的危害程度来确定的。
一、分类分级
网络与信息安全突发公共事件,是指重要网络与信息系统突然遭受不可预知外力的破坏、毁损、故障,发生对国家、社会、公众造成或者可能造成重大危害,危及公共安全的紧急事件。
(一)事件分类
根据网络与信息安全突发公共事件的发生过程、性质和特征,网络与信息安全突发公共事件可划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害,事故灾难和人为破坏引起的网络与信息系统的损坏;信息安全突发事件是指利用信息网络进行有组织的大规模的反动宣传、煽动和渗透等破坏活动。
自然灾害是指地震、台风、雷电、火灾、洪水等。
事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。
人为破坏是指人为破坏网络线路、通信设施、黑客攻击、病毒攻击、恐怖袭击等事件。
(二)事件分级
根据网络与信息安全突发公共事件的可控性、严重程度和影响范围,将网络与信息安全突发公共事件分为四级:Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)、Ⅳ级(一般)。国家有关法律法规有明确规定的,按国家有关规定执行。
Ⅰ级(特别重大):网络与信息系统发生全局性大规模瘫痪,事态发展超出自己的控制能力,对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的突发公共事件。
Ⅱ级(重大):网络与信息系统造成全局性瘫痪,对国家安全、社会秩序、经济建设和公共利益造成严重损害需要跨部门协同处置的突发公共事件。
Ⅲ级(较大):某一部分的网络与信息系统瘫痪,对国家安全、社会秩序、经济建设和公共利益造成一定损害,但不需要跨部门、跨地区协同处置的突发公共事件。
Ⅳ级(一般):网络与信息系统受到一定程度的损坏,对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益的突发公共事件。
二、工作原则
(一)积极预防,综合防范。立足安全防护,加强预警,抓好预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。
(二)明确责任,分级负责。按照“谁主管谁负责,谁运营谁负责”的原则,建立和完善安全责任制,协调管理机制和联动工作机制。
(三)以人为本,快速反应。把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免公民财产遭受损失。网络与信息安全突发公共事件发生时,要按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。
(四)依靠科学,平战结合。加强技术储备,规范应急处置措施与操作流程,实现网络与信息安全突发公共事件应急处置工作的科学化、程序化与规范化。树立常备不懈的观念,有条件则定期进行预案演练,确保应急预案切实可行。
三、组织机构职责
(一)信息化工作领导小组
1. 审定信息化规章制度和有关技术标准;
2. 审议信息化建设规划;
3. 审批信息化建设项目;
4. 决策信息化建设的重大问题;
5. 审议决定本单位信息化建设其他事项;
(二)信息化工作领导小组办公室
1. 在信息化领导小组的领导下,对信息化工作进行一体化管理;
2. 组织编制信息化建设规划;
3. 组织制定信息化规章制度和有关技术标准;
4. 审核信息化建设年度项目计划;
5. 组织重大信息化项目建设和重大课题研究;
6. 协调解决信息化建设中的关键问题;
7. 承办信息化领导小组交办的其他工作。
四、监测与预警
(一)预警分级
建立公共互联网网络突发事件预警制度,按照紧急程度、发展态势和可能造成的危害程度,公共互联网网络突发事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色标示,分别对应可能发生特别重大、重大、较大和一般网络安全突发事件。
(二)信息监测与报告
1. 进一步完善网络与信息安全突发公共事件监测、预测、预警制度。要落实责任制,按照“早发现、早报告、早处置”的原则,加强对各类网络与信息安全突发公共事件和可能引发突发公共事件的有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发公共事件时,按规定及时向信息化领导小组下设办公室负责人、应急宣教处、局分管领导报告,同时与相关的产品技术支持单位联系,获得必要的技术支持。初次报告最迟不得超过半小时,重大和特别重大的网络与信息安全突发公共事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
2. 建立网络与信息安全报告制度。发现下列情况时应及时向局信息化领导小组下设办公室负责人、应急宣教处负责人、局分管领导报告:
(1)利用网络从事违法犯罪活动的情况;
(2)网络或信息系统通信和资源使用异常,网络和信息系统瘫痪,应用服务中断或数据篡改,丢失等情况;
(3)网络恐怖活动的嫌疑情况和预警信息;
(4)其他影响网络与信息安全的信息。
(三)预警发布
1. 对于可能发生或已经发生的网络与信息安全突发公共事件,立即采取措施控制事态,并在 1小时内进行风险评估,判定事件等级。必要时应启动相应的预案,同时向信息化领导小组下设办公室、应急宣教处及分管领导通报情况。
2. 信息化领导小组下设办公室接到报警信息后应及时对信息进行技术分析和研判,根据问题的性质、危害程度,提出安全警报级别,并及时向局分管领导报告。
3. 分管领导接到报告后,对发生和可能发生1级或2级的网络与信息安全突发公共事件时,应迅速召开应急会议,研究确定网络与信息安全突发公共事件的等级,决定启动本预案,同时确定指挥人员。并向相关部门进行通报。
4. 对需要向公安局通报的要及时通报,并争取支援。
(四)预警响应
1. 黄色、蓝色预警响应。发布黄色、蓝色预警后,相关部门应当针对即将发生的网络安全突发事件的特点和可能造成的危害,采取下列措施:
(1)要求有关部门、分局和下属单位及时收集、报告有关信息,加强网络安全风险的监测;
(2)组织有关部门、分局和下属单位加强事态跟踪分析评估,密切关注事态发展,重要情况报部应急办;
(3)及时宣传避免、减轻危害的措施,公布咨询电话,并对相关信息的报道工作进行正确引导。
2. 红色、橙色预警响应。发布红色、橙色预警后,除采取黄色、蓝色预警响应措施外,还应当针对即将发生的网络安全突发事件的特点和可能造成的危害,采取下列措施:
(1)要求各相关部门实行24小时值班,相关人员保持通信联络畅通;
(2)组织研究制定防范措施和应急工作方案,协调调度各方资源,做好各项准备工作,重要情况报信息化工作领导小组;
(3)组织有关单位加强对重要网络、系统的网络安全防护;
(4)要求相关网络安全专业机构、网络安全企业进入待命状态,针对预警信息研究制定应对方案,检查应急设备、软件工具等,确保处于良好状态。
五、应急响应
(一)先期处置
1. 当发生网络与信息安全突发公共事件时,值班人员应做好先期应急处置工作,立即采取措施控制事态,事发半小时内向信息化领导小组下设办公室主任报告,在1小时内向出具书面报告;较大以上网络安全事件或特殊情况,经过信息化领导小组下设办公室商议上报信息化领导小组;若遇重大网络安全事件上报公安部门及网信办。
2. 信息化工作领导小组办公室在接到网络与信息安全突发公共事件发生或可能发生的信息后,应加强与有关方面的联系,掌握最新发展动态。对Ⅲ级或Ⅳ级的突发事件,自行负责应急处置工作,有关情况报局分管领导。局分管领导在接到发生Ⅱ级或Ⅰ级和有可能演变为Ⅱ级或Ⅰ级的网络与信息安全突发公共事件时,要组织信息化领导小组下设办公室对处置工作提出建议方案,并做好启动本预案的各项准备工作。应急宣教处需要及时通知相关处室事件情况及应该注意的相关事项。还要根据网络与信息安全突发公共事件发展态势,视情况决定赶赴现场指导,组织派遣应急支援力量。
(二)应急指南
1. 黑客攻击事件紧急处置措施?
(1)当有关值班人员发现发现有黑客正在进行攻击时,应立即向信息化领导小组下设办公室负责人通报情况;?
(2)信息化领导小组下设办公室负责人应在接到通知后立即赶到现场,并首先将被攻击的服务器等设备从网络中隔离出来,保护现场,并将有关情况向信息化领导小组汇报;
(3)对现场进行分析,并写出分析报告存档,必要时上报公安及网信办;
(4)恢复与重建被攻击或破坏系统;?
(5) 信息化领导小组召开会议,如认为事态严重,则立即向信息化领导小组和公安部门上报。?
2. 病毒事件紧急处置措施?
(1)当发现有计算机被感染上病毒后,应立即向信息化领导小组下设办公室负责人报告,将该机从网络上隔离开来;
(2) 信息化领导小组下设办公室负责人员在接到通报后立即赶到现场;?
(3)对该设备的硬盘进行数据备份;?
(4)启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作;
(5)如果现行反病毒软件无法清除该病毒,应立即向信息化领导小组报告,并迅速联系有关产品商研究解决;?
(6)信息化领导小组下设办公室经会商,认为情况严重的,应立即向信息化领导小组和公安部门上报;
(7)如果感染病毒的设备是主服务器,经信息化领导小组,应立即告知各部门做好相应的清查工作。?
3. 软件系统遭破坏性攻击的紧急处置措施?
(1)重要的软件系统平时必须存有备份,与软件系统相对应的数据必须按本单位容灾备份规定的间隔按时进行备份,并将它们保存于安全处;?
(2)一旦软件遭到破坏性攻击,应立即向信息化领导小组下设办公室负责人报告,并将该系统停止运行;
(3)检查信息系统的日志等资料,确定攻击来源,并将有关情况向信息化领导小组汇报,再恢复软件系统和数据;?
(4)信息化领导小组下设办公室召开小组会议,如认为事态严重,则立即向信息化领导小组和公安部门上报。?
4. 数据库安全紧急处置措施
(1)一旦数据库崩溃,值班人员应立即启动备用系统,并向信息化领导小组下设办公室报告;?
(2)在备用系统运行期间;信息安全工作人员应对主机系统进行维修并作数据恢复;?
(3)如果两套系统均崩溃而无法恢复,应立即向有关厂商请求紧急支援。?
5. 广域网外部线路中断紧急处置措施?
(1)广域网主、备用线路中断一条后,值班人员应立即启动备用线路接续工作,同时向信息化领导小组下设办公室负责人报告;
(2) 信息化领导小组下设办公室负责人员接到报告后,应迅速判断故障节点,查明故障原因;
(3)如属我方管辖范围,由工作人员立即予以恢复;
(4)如属运营商管辖范围,立即与运营商维护部门联系,要求修复;
(5)如果主、备用线路同时中断,信息化领导小组下设办公室负责人应在判断故障节点,查明故障原因后,尽快研究恢复措施,并立即向信息化领导小组汇报。
6. 局域网络故障紧急处置措施?
(1)设备管理部门平时应准备好网络备用设备,存放在指定的位置;?
(2)局域网中断后,信息化领导小组下设办公室负责人员应立即判断故节点,查明故障原因,并向信息化领导小组汇报;
(3)如属线路故障,应重新安装线路;
(4)如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅;
(5)如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调测通畅;
(6)如有必要,应向信息化领导小组汇报。
7. 设备安全紧急处置措施
(1)服务器等关键设备损坏后,值班人员应立即向信息化领导小组下设办公室负责人报告;
(2)信息化领导小组下设办公室负责人员立即查明原因;
(3)如果能够自行恢复,应立即用备件替换受损部件;
(4)如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修;
(5)如果设备一时不能修复,应向信息化领导小组汇报。
8. 停电紧急处置措施
定期检查机房供电设备的运行状况和电路线缆器材情况,当发生下列突发事件时,按照以下方案进行处置:
(1)当机房发生市电供电突然停电或是电源异常时,首先应和物业单位联系确认正常停电以及预计停电时间。检查不间断电源的电池可供电时间,确保设备正常运行,如遇到突然断电,应及时将空调等不在UPS电源供电范围内的设备及时断电,预防突然来电时瞬间电流过大导致设备损坏等现象;
(2)当确定停电时间超出机房UPS承载范围后,首先确定停电的范围以及受影响的设备范围。并及时通知各部门和信息化领导小组下设办公室做好停电应急准备。然后通知机房电源维护人和设备的负责人到达现场,做好各设备的电源停电准备。在UPS供电电量仅剩10%之后,严格按操作手册停掉各服务器的电源,最后停核心交换机和路由器,等待电力恢复;
(3)当确定停电原因是在本身供电系统范围内,立即汇报给信息化领导小组,并及时联系相关维护人员达到现场检修。对于恢复时间无法预计的,要通知各部门做好停电应急准备;
(4)恢复供电后,严格按照操作程序逐步恢复机房设备和UPS的供电,以防瞬间电流过大造成设备损坏;
9. 火灾紧急处置措施
(1)上班工作时间发生火警,还在机房工作的人员应及时紧急撤离,并立刻拨打119报警并立刻通知信息化领导小组下设办公室负责人和相关部门领导。在确保自身安全的情况下,应尽量使用灭火器进行灭火,减少电子设备的损坏。同时采取关闭电源总闸等措施,尽量减少可能造成的损失和破坏;
(2)非工作时间或节假日休息时间值班人员发现火情后,要立刻拨打119报警,并立刻通知信息化领导小组下设办公室负责人和相关部门领导,做好火灾的处置工作;
(3)火情结束之后,机房相关人员应全体赶赴现场,并向相关部门汇报。同时立即联系电信、联通、移动等相关网络公司和设备相关厂家,及时评估事故损失情况,研讨恢复网络系统正常运行的最佳解决方案。
10. 其他自然灾害紧急处置措施
发生自然灾害后,首先应该组织人员撤离现场。当确认灾害不会造成人生伤害后,在回到机房检查设备,评估灾害受损范围,立刻向信息化工作领导小组和下设办公室汇报,并联系相关网络和设备厂家,积极做好灾后恢复工作,确保在最短时间内恢复机房正常运行。
11. 发生盗抢事件紧急处置措施
发生盗抢事件后,要保护好现场然后报警,并向信息化工作领导小组和下设办公室汇报。待现场处理完毕后,要组织相关人员估计损毁情况,并联系相关网络和设备厂家,积极做好恢复工作。
(三)应急指挥
1. 本预案启动后,信息化领导小组下设办公室要抓紧收集相关信息,掌握现场处置工作状态,分析事件发展态势,与应急宣教处研究并提出处置方案,指挥网络与信息应急处置工作。
2. 需要成立现场指挥部的,应立即在现场开设指挥部,现场指挥部要根据事件性质迅速组建各类应急工作组,开展应急处置工作。
(四)应急支援
本预案启动后,立即成立由局分管领导带队的应急响应先遣小组,督促、指导和协调处置工作。信息化领导小组下设办公室根据事态的发展和处置工作需要,及时增派专家小组,调动必需的物资、设备,支援应急工作。应急宣教处通知各处室对事件进行应急防护。参加现场处置工作的各有关部门和单位在现场指挥部的统一指挥下,协助开展处置行动。
(五)信息处理
1. 各科室、单位需密切关注本部门所用的应用系统,一旦发现系统异常及时联系信息化领导小组下设办公室,并对事件进行动态监测、评估,及时将事件的性质、危害程度和损失情况及处置工作等情况,及时报信息化领导小组下设办公室,不得隐瞒、缓报、谎报。
2. 信息化领导小组下设办公室要明确信息采集、编辑、分析、审核、签发的责任人,做好信息分析、报告和发布工作。要及时编发事件动态信息供领导参阅。要组织专家和有关人员研究判断各类信息,提出对策措施,完善应急处置计划方案。
(六)信息发布
1. 当网络与信息安全突发公共事件发生时,应急宣教处应及时做好信息发布工作,通过相关单位发布网络与信息安全突发公共事件预警及应急处置的相关信息,引导舆论和公众行为,增强公众的信心。
2. 要密切关注国内外关于网络与信息安全突发公共事件的新闻报道,及时采取措施,对媒体关于事件以及处置工作的不正确信息,进行澄清、纠正影响,接受群众咨询,释疑解惑,稳定人心。
(七)扩大应急
经应急处置后,事态难以控制或有扩大发展趋势时,应实施扩大应急行动。要迅速召开应急会议或由局分管领导根据事态情况,研究采取有利于控制事态的非常措施。
(八)应急结束
网络与信息安全突发公共事件经应急处置后,得到有效控制,事态下降到一定程度或基本得到解决,将各监测统计数据上报信息化领导小组下设办公室,由信息化领导小组下设办公室向分管领导提出应急结束的建议,经批准后实施。
六、后期处置
(一)善后处理
在应急处置工作结束后,要迅速采取措施,抓紧组织抢修受损的基础设施,减少损失,尽快恢复正常工作。统计各种数据,查明原因,对事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,并迅速组织实施。有关部门要提供必要的人员和技术、物资和装备以及资金等支持,并将善后处置的有关情况报信息化领导小组下设办公室。
(二)调查评估
在应急处置工作结束后,各相关部门应立即组织有关人员和专家组成事件调查组,对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失情况,总结经验教训,写出调查评估报告,报信息化领导小组下设办公室,并根据问责制的有关规定,对有关责任人员做出处理。特别重大网络与信息安全突发公共事件的调查评估报告,经信息化领导小组下设办公室审核后,报局分管领导,必要时由应急宣教处采取合理的形式向社会公众通报。
七、保障措施
(一)应急装备保障
重要网络与信息系统在建设系统时应事先预留一定的应急设备,建立信息网络硬件、软件、应急救援设备等应急物资库。在网络与信息安全突发公共事件发生时,由信息化领导小组下设办公室负责统一调用。
(二)数据保障
重要信息系统均应建立容灾备份系统和相关工作机制,保证重要数据在受到破坏后,可紧急恢复。各容灾备份系统应具有一定兼容性,在特殊情况下各系统间可互为备份。
(三)应急队伍保障
按照一专多能的要求建立网络信息安全应急保障队伍。由信息化领导小组下设办公室选择若干经国家有关部门资质认可的、管理规范、服务能力较强的部门作为局网络与信息安全的应急支援单位,提供技术支持与服务。
八、监督管理
(一)宣传教育
要充分利用各种传播媒介及有效的形式,加强网络与信息安全突发公共事件应急和处置的有关法律法规和政策的宣传,开展预防、预警、自救、互救和减灾等知识的宣讲活动,普及应急救援的基本知识,提高公众防范意识和应急处置能力。
要加强对网络与信息安全等方面的知识培训,提高防范意识及技能,指定专人负责安全技术工作。并将网络与信息安全突发公共事件的应急管理、工作流程等列为培训内容,增强应急处置工作的组织能力。
(二)演练
建立应急预案定期演练制度,保证每年至少一次应急演练。通过演练,发现应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力。