网络安全事件应急预案.docx

网络安全事件应急预案 一、总则 （一） 编制目的。 为提高我局网络与信息安全突发性危害事件的防范和应急处理能力，形成科学、有效，快速反应的应急响应机制，最大限度地减轻网络与信息安全突发公共事件对本单位造成的影响，保障网络与业务信息系统的正常运行和数据安全。   （二）编制依据。 根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国突发事件应对法》等有关规定，制定本预案。   　 　（三）适用范围。 本预案适用于本单位办公网络、本部门水利网站、综合办公系统OA以及其它应用系统发生突发性危害事件的应急响应。       （四）工作原则。 以人为本，加强预防；明确责任，分级负责；按照规范，加强管理；快速响应，协同应对。   　　（五）事件分类 。 网络安全突发事件是指自然灾害（地震、台风、雷电、火灾等），事故灾难（电力中断、网络损坏、或软、硬件设备故障等）和人为破坏（人为破坏网络线路、通信设施，黑客攻击、病毒攻击、恐怖主义活动等）引起的网络与信息系统的损坏。   （六）事件分级。 网络与信息安全突发事件按照其性质、严重程度、可控性和影响范围等因素分为四级：Ⅰ级（特别重大）、Ⅱ级（重大）、Ⅲ级（较大）和Ⅳ级（一般）。   1.Ⅰ级（特别重大）。网络与信息系统发生全单位性大规模瘫痪，事态发展超出我局的控制能力，对社会造成特别严重损害的突发事件。   　　2.Ⅱ级（重大）。网络与信息系统造成全单位性瘫痪，对社会造成严重损害，需要跨部门、跨地区协同处置的突发事件。   　　3.Ⅲ级（较大）。某一部分的网络与信息系统瘫痪，对社会造成一定损害，但不需要跨部门、跨地区协同处置的突发事件。   　　4.Ⅳ级（一般）。网络与信息系统受到一定程度的损坏，对社会有一定影响，但不危害社会的突发公共事件。   二、组织体系与职责 成立 X市经济合作 局网络与信息安全应急协调领导小组，组长由分管信息工作的领导担任，成员 由科 室负责人及相关人员组成。应急小组办公室设在 信息联络科 ，负责网络与信息安全应急响应工作的整体规划、组织协调和决策指挥。   X市经济合作 局网络与信息安全应急领导小组的职责：研究制定 X市经济合作 局网络与信息安全应急处置工作的规划、计划和政策；协调推进 X市经济合作 局网络与信息安全应急机制和工作体系建设；发生网络与信息安全突发公共事件后，决定启动本预案，组织应急处置工作。   三、监测与预防 按照“早发现、早报告、早处置”的原则，加强对各类网络与信息安全突发公共事件和可能引发突发公共事件的有关信息的收集、分析判断和持续监测，发生网络与信息安全突发事件，及时报告。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。   （一）日常安全工作职责 1.对网站、网络进行日常检查、分析风险、排除隐患、做好网站数据备份，形成日常工作机制，预防安全事故发生。 2.制定相关安全事件的预警方案和解决方案。 3.掌握网络网站技术发展趋势，不断提升安全防范水平。 （二）安全应急处置原则 1.报告原则：发生突发安全事件，第一时间向应急协调领导小组负责人报告，同时积极进行处置，处置全程要及时汇报工作进展。 2.安全原则：处置安全事件时，要科学客观，首先保证人员安全，其次保证设备数据安全。 3.效率原则：处置突发事件要及时迅速，讲究方法，善于协调，争取在最短时间内解决问题。 4.协调配合原则：出现大规模故障后，根据工作需要，积极配合，协同处理，提高工作质量与效率。 （三）网站安全日常维护 1.工作人员每天对网站进行查看，密切监视信息内容。每天上午和下午各切换内网一次，查看内网运行情况。 2.检查各服务器杀毒软件及防火墙升级情况，及时给系统打补丁。 3. 科 室要安排专人每月对内、外网站及数据进行光盘备份，并由专人归档保存。 四、应急响应 发生有下列情况之一应启动应急预案: （一）网站、网页出现非法言论; （二）网络遭受黑客攻击; （三）计算机网络出现病毒; （四）广域网外部线路中断; （五）局域网大范围中断; （六）服务器等关键网络设备故障； （七）机房外电中断； （八）数据库安全； （九）核心设备安全； （十） 其他事项 。 五、应急处理措施 (一)局门户网站出现非法言论时的紧急处置措施 1、发现网上出现非法信息时，工作人员应立即断开服务器网络并向工作组通报情况;情况紧急的应先及时采取删除等处理措施，再按程序报告。 2、工作人员应在接到通知后半小时内进行处理，作好必要的记录，清理网站上的非法信息，强化安全防范措施后方可将网站网页重新投入使用。 (二)黑客攻击时的紧急处置措施 1 、当发现网站内容被篡改，或通过防火墙、入侵检测系统发现有黑客正在进行攻击时,应立即服务器断网并向网络与信息安全应急协调小组通报情况。 2、工作人员应在半小时内进行处理，首先应将被攻击的服务器等设备从网络中物理隔离出来，保护现场。待服务器厂家对破坏系统的恢复与重建工作，修补漏洞、强化安全措施后方可接入网络。