网络安全管理应急救援预案

1、网络安全应急预案一、总则（一）目的为科学应对网络与信息安全 （ 以下简称信息安全 ）突发事 件，建立健全信息安全应急响应机制，有效预防、及时控制 和最大限度地消除信息安全各类突发事件的危害和影响，制 订本应急预案。（二）工作原则预防为主。立足安全防护，加强预警，重点保护基础信 息网络和关系国家安全、经济命脉、社会稳定的重要信息系 统。快速反应。及时获取充分而准确的信息，果断决策，迅 速处置，最大程度地减少危害和影响。分级负责。按照“谁主管谁负责”的原则，建立和完善 安全责任制及联动工作机制。加强部门间的协调与配合，形 成合力，共同履行应急处置工作的管理职责。常备不懈。规范应急处置措施与操作流程

2、，定期进行预 案演练，确保应急预案切实有效，实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化（三）组织机构及职责设立信息系统应急工作领导小组，为公司处理信息安全 突发事件应急工作的综合性议事、协调机构。主要职责是：按照研究决定信息安全应急工作的有关重 大冋题，决定启动网络与信息安全突发事件应急指挥部，统 一领导和组织指挥重大信息安全突发事件的应急处置工作。二、预警和预防机制（一）预警信息系统应急工作领导小组接到信息安全突发事件报告后，在核实，研究分析可能造成损害程度的基础上，提出初 步行动对策，视情况召集协调会，并根据应急委的决策实施 行动方案，发布指示和命令。（二）预防机制积极

3、推行信息安全等级保护，逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性 与灾难恢复，制定完善信息安全应急处理预案。针对基础信 息网络的突发性、大规模安全事件，各相关部门建立制度化、 程序化的处理流程。三、应急处理程序（一）级别的确定根据信息系统安全等级保护定级报告确定信息安全 事件等级。（二）预案启动根据网络信息安全事件等级的不同，相关部门启动相应 预案，并负责应急处理工作。（三）现场应急处理事件发生单位和现场应急处理工作组尽最大可能收集事 件相关信息，判别事件类别，确定事件来源，保护证据，以 便缩短应急响应时间。检查威胁造成的结果，评估事件带来的影响和损害：如 检查

4、系统、服务、数据的完整性、保密性或可用性；检查攻 击者是否侵入了系统；以后是否能再次随意进入；损失的程 度；确定暴露出的主要危险等。抑制事件的影响进一步扩大，限制潜在的损失与破坏。 可能的抑制策略一般包括：关闭服务或关闭所有的系统，从 网络上断开相关系统的物理链接，修改防火墙和路由器的过 滤规则；封锁或删除被攻破的登录账号，阻断可疑用户得以 进入网络的通路；提高系统或网络行为的监控级别；设置陷 阱；启用紧急事件下的接管系统；实行特殊“防卫状态”安 全警戒；反击攻击者的系统等。在事件被抑制之后，通过对有关恶意代码或行为的分析 结果，找出事件根源，明确相应的补救措施并彻底清除。与 此同时，执法部门

5、和其他相关机构对攻击源进行准确定位并 采取合适的措施将其中断。清理系统、恢复数据、程序、服务。把所有被攻破的系 统和网络设备彻底还原到正常的任务状态。恢复工作应十分 小心，避免出现操作失误而导致数据丢失。另外，恢复工作 中如果涉及机密数据，需要额外按照机密系统的恢复要求。 如果攻击者获得了超级用户的访问权，一次完整的恢复应强 制性地修改所有的口令。（四）报告和总结回顾并整理发生事件的各种相关信息，尽可能地把所有 情况记录到文档中。发生重大信息安全事件的单位应当在事 件处理完毕后将处理结果报上级主管部门备案。（五）应急行动结束根据信息安全事件的处置进展情况和现场应急处理工作 组意见，信息系统应急

6、工作领导小组组织相关部门及专家组 对信息安全事件处置情况进行综合评估，并提出应急行动结 束建议，报相关部门审批。应急行动是否结束，相关主管部门决定 四、保障措施（一）技术支撑保障建立预警与应急处理的技术平台，进一步提高安全事件 的发现和分析能力：从技术上逐步实现发现、预警、处置、 通报等多个环节和不同的网络、系统、部门之间应急处理的 联动机制。（二）应急队伍保障加强信息安全人才培养，强化信息安全宣传教育，建设 一支高素质、高技术的信息安全核心人才和管理队伍，提高 全社会信息安全防御意识。大力发展信息安全服务业，增强 社会应急支援能力。（三）物资条件保障安排信息化建设专项资金用于预防或应对信息安

7、全突发 事件，提供必要的经费保障，强化信息安全应急处理工作的 物资保障条件。（四）技术储备保障信息系统应急工作领导小组组织有关专家和科研力量， 开展应急运作机制、应急处理技术、预警和控制等研究，组 织参加相关培训，推广和普及新的应急技术。五、事件处理流程（一）黑客攻击时的紧急处置流程：当有关值班人员发现平台内容被篡改，或通过入侵检测 系统发现有黑客正在进行攻击时，应立即向信息系统应急工 作领导小组报告情况。信息系统应急工作领导小组相关成员应在十分钟内赶到 现场，并首先应将被攻击的服务器等设备从网络中隔离出 来，保护现场。信息系统应急工作领导小组负责被攻击或破坏系统的恢 复与重建工作。信息系统应

8、急工作领导小组组织相关人员追查攻击来 源。会商后，将有关情况向信息安全领导小组报告，并妥善 保存有关记录及日志或审计记录。信息系统应急工作领导小组组长召开信息安全领导小组 会议，如认为事态严重，贝y立即向公安部门或上级机关报警（二）病毒安全紧急处置流程：当发现有服务器被感染上病毒后，应立即通知安全管理 员，将该机从网络上隔离开来。安全管理员在接到通报后，应在十分钟内赶到现场。对 该设备的硬盘进行数据备份。启用反病毒软件对该机进行杀 毒处理，同时通过病毒检测软件对其他机器进行病毒扫描和 清除工作。如果现行反病毒软件无法清除该病毒，应立即向 信息系统应急工作领导小组报告，并迅速联系有关产品商研 究

9、解决。信息系统应急工作领导小组会商后，认为情况严重的， 应立即将有关情况向上级主管部门报告，并妥善保存有关记 录及日志或审计记录。信息系统应急工作领导小组组长召开信息安全领导小组 会议，如认为事态严重，贝y立即向公安部门或上级机关报告。（三）软件系统遭破坏性攻击的紧急处置流程：重要的软件系统平时必须存有备份，与软件系统相对应 的数据必须有多日的备份；并妥善保存。一旦软件遭到破坏性攻击，应立即向信息系统应急工作 领导小组报告，并将该系统停止运行。检查日志等资料，确 定攻击来源。信息系统应急工作领导小组会商后，将有关情况向上级 主管部门报告，并妥善保存有关记录及日志或审计记录。信息系统应急工作领导

10、小组召开信息安全领导小组会议，如认为事态严重，则立即向公安部门或上级机关报警。（四）数据库安全紧急处置流程：主要数据库系统应按热备设置，并至少要准备两个以上数据库备份，其中一个备份存放在机房，另一个备份放在另 一安全的网络中。一旦数据库崩溃，值班人员应立即启动备 用系统，并向信息系统应急工作领导小组报告。在备用系统运行期间，信息系统应急工作领导小组人员 应对主机系统进行维修。如果两套系统均崩溃，信息系统应 急工作领导小组人员应立即向软硬件提供商请求支援，同时 通知各下属单位暂缓上传上报数据。系统修复启动后，将第一个数据库备份取出，按照要求 将其恢复到主机系统中。如因第一个备份损坏，导致数据库

11、无法恢复，则应取出第二套数据库备份加以恢复。如果两个 备份均无法恢复，应立即向有关厂商请求紧急支援。六、宣传、培训（一）公众信息交流信息系统应急工作领导小组在应急预案修订、演练的前 后，应利用各种新闻媒介开展宣传；不定期地利用各种安全 活动向社会大众宣传信息安全应急法律、法规和预防、应急 的常识。（二）人员培训为确保信息安全应急预案有效运行，定期或不定期举办 不同层次、不同类型的培训班或研讨会，以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技七、网络安全应急响应预案演练制定好的应急响应预案，只做培训还不够，还需要通过 实战演练来提咼应对网络突发事件的行动力，针对网络突发 事件

12、的假想情景，按照应急响应预案中规定的职责和程序来 执行应急响应任务。根据出现的新的网络攻击手段或其他特 殊情况，不断进行预案的调整完善。（一）应急演练的作用应急演练是对应急响应预案可行性的有效验证。通过演 练可以检验应急响应小组中每个成员对工作完成的熟练程 度和相互配合能力，包括各个部门之间的配合、成员之间的 协调。通过实战练习积累经验，对应急响应预案内容不断地 充实和完善，使负责人员、执行人员、应急专业技术人员应 对网络突发事件的应变能力得以提升，从而有条不紊地处理 突发事件。（二）应急演练的组织实施应急演练的组织工作由应急小组指挥人员执行，包括演 练地段的选择、保障物资与设备的准备、 人员任务的分配等 整个实施过程由应急响应执行人员和记录人员组成，按照应 急响应预案计划进行准备与实行。各级人员明确分工，并充 分做好网络恢复保障工作。演练可以采用对网络系统或者主 机进行虚拟攻击的方式，过程中要特别注意对这些危害的掌 控。（三）应急演练的考核与总结记录人员对演练的每个环节都要做好记录、资料收集和 评价工作。对网络突发