(完整版)网络安全管理应急预案

1、网络平安应急预案一、总那么（一）目的为科学应对网络与信息平安（以下简称信息平安）突发事件，建 立健全信息平安应急响应机制，有效预防、及时控制和最大限 度地消除信息平安各类突发事件的危害和影响，制订本应急预 案。（二）工作原那么预防为主。立足平安防护，加强预警，重点保护基础信息网络 和关系国家平安、经济命脉、社会稳定的重要信息系统。快速反响。及时获取充分而准确的信息，果断决策，迅速处置, 最大程度地减少危害和影响。分级负责。按照谁主管谁负责的原那么，建立和完善平安责任 制及联开工作机制。加强部门间的协调与配合，形成合力，共 同履行应急处置工作的管理职责。常备不懈。规范应急处置措施与操作流程，定期

2、进行预案演练, 确保应急预案切实有效，实现网络与信息平安突发公共事件应 急处置的科学化、程序化与规范化。（三）组织机构及职责设立信息系统应急工作领导小组，为公司处理信息平安突发事 件应急工作的综合性议事、协调机构。主要职责是：按照研究决定信息平安应急工作的有关重大问 题，决定启动网络与信息平安突发事件应急指挥部，统一领导 和组织指挥重大信息平安突发事件的应急处置工作。二、预警和预防机制（一）预警信息系统应急工作领导小组接到信息平安突发事件报告后，在 核实，研究分析可能造成损害程度的基础上，提出初步行动对 策，视情况召集协调会，并根据应急委的决策实施行动方案， 发布指示和命令。（二）预防机制积极

3、推行信息平安等级保护，逐步实行信息平安风险评估。各 基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难 恢复，制定完善信息平安应急处理预案。针对基础信息网络的 突发性、大规模平安事件，各相关部门建立制度化、程序化的 处理流程。三、应急处理程序（一）级别确实定根据信息系统平安等级保护定级报告确定信息平安事件等 级。（二）预案启动根据网络信息平安事件等级的不同，相关部门启动相应预案， 并负责应急处理工作。（三）现场应急处理事件发生单位和现场应急处理工作组尽最大可能收集事件相 关信息，判别事件类别，确定事件来源，保护证据，以便缩短 应急响应时间。检查威胁造成的结果，评估事件带来的影响和损害：如检查

4、系 统、服务、数据的完整性、保密性或可用性；检查攻击者是否 侵入了系统；以后是否能再次随意进入；损失的程度；确定暴 露出的主要危险等。抑制事件的影响进一步扩大，限制潜在的损失与破坏。可能的 抑制策略一般包括：关闭服务或关闭所有的系统，从网络上断 开相关系统的物理链接，修改防火墙和路由器的过滤规那么；封 锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通 路；提高系统或网络行为的监控级别；设置陷阱；启用紧急事 件下的接管系统；实行特殊防卫状态平安警戒；还击攻击者 的系统等。在事件被抑制之后，通过对有关恶意代码或行为的分析结果， 找出事件根源，明确相应的补救措施并彻底清除。与此同时， 执法部门

5、和其他相关机构对攻击源进行准确定位并采取合适 的措施将其中断。清理系统、恢复数据、程序、服务。把所有被攻破的系统和网 络设备彻底还原到正常的任务状态。恢复工作应十分小心，避 免出现操作失误而导致数据丧失。另外，恢复工作中如果涉及 机密数据，需要额外按照机密系统的恢复要求。如果攻击者获 得了超级用户的访问权，一次完整的恢复应强制性地修改所有 的口令。（四）报告和总结回顾并整理发生事件的各种相关信息，尽可能地把所有情况记 录到文档中。发生重大信息平安事件的单位应当在事件处理完 毕后将处理结果报上级主管部门备案。（五）应急行动结束 根据信息平安事件的处置进展情况和现场应急处理工作组意 见，信息系统应

6、急工作领导小组组织相关部门及专家组对信息 平安事件处置情况进行综合评估，并提出应急行动结束建议， 报相关部门审批。应急行动是否结束，相关主管部门决定。四、保障措施（一）技术支撑保障建立预警与应急处理的技术平台，进一步提高平安事件的发现 和分析能力：从技术上逐步实现发现、预警、处置、通报等多 个环节和不同的网络、系统、部门之间应急处理的联动机制。（二）应急队伍保障加强信息平安人才培养，强化信息平安宣传教育，建设一支高 素质、高技术的信息平安核心人才和管理队伍，提高全社会信 息平安防御意识。大力开展信息平安服务业，增强社会应急支 援能力。（三）物资条件保障安排信息化建设专项资金用于预防或应对信息平

7、安突发事件， 提供必要的经费保障，强化信息平安应急处理工作的物资保障 条件。（四）技术储藏保障 信息系统应急工作领导小组组织有关专家和科研力量，开展应 急运作机制、应急处理技术、预警和控制等研究，组织参加相 关培训，推广和普及新的应急技术。五、事件处理流程（一）黑客攻击时的紧急处置流程：当有关值班人员发现平台内容被篡改，或通过入侵检测系统发 现有黑客正在进行攻击时，应立即向信息系统应急工作领导小 组报告情况。信息系统应急工作领导小组相关成员应在十分钟内赶到现场， 并首先应将被攻击的服务器等设备从网络中隔离出来，保护现 场。信息系统应急工作领导小组负责被攻击或破坏系统的恢复与 重建工作。信息系统

8、应急工作领导小组组织相关人员追查攻击来源。会商 后，将有关情况向信息平安领导小组报告，并妥善保存有关记 录及 日 志或审计记录。信息系统应急工作领导小组组长召开信息平安领导小组会议， 如认为事态严重，那么立即向公安部门或上级机关报警。（二）病毒平安紧急处置流程：当发现有服务器被感染上病毒后，应立即通知平安管理员，将 该机从网络上隔离开来。平安管理员在接到通报后，应在十分钟内赶到现场。对该设备 的硬盘进行数据备份。启用反病毒软件对该机进行杀毒处理， 同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。 如果现行反病毒软件无法清除该病毒，应立即向信息系统应急 工作领导小组报告，并迅速联系有关产品商研究解决。信息系统应急工作领导小组会商后，认为情况严重的，应立即 将有关情况向上级主管部门报告，并妥善保存有关记录及日志 或审计记录。信息系统应急工作领导小组组长召开信息平安领导小组会议， 如认为事态严重，那么立即向公安