网络安全事件应急预案

网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健由全国人民代表大会常务委员会于2016年备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。网络安全：是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外障网络数据的完整性、保密性、可用性的能力。摘自：公安部网络安全保卫局郭启全《网络安全法及相关法律法规解读》网络运营者：是指网络的所有者、管理者和网络服务提供者。网络数据：是指通过网络收集、存储、传输、处理和产生的各种电子数据。个人信息：是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的期、身份证件号码、个人生物识别信息、住址、电话号码等。为了适应无线移动接入、虚拟计算环境、云计算、大数据、物联网和工控系统等新技术、新应用22239-2008进行修订。修订的思路和方法是针对无线移动接入、虚拟计算环境、云计算、物联网和工控系统等新技术、新应用领域提出特殊的安全要求。对GB/T22239-2008的修订完成后，标准成为由多个部分组成的系列标准，目前主要有六个部分组采取(一)要求有关部门、机构和人员及时收集、报告(二)组织有关部门、机构和专业人员，对网络安信息进行分析评估，预测事件发生的可能性(三)向社会发布网络安全风险预警，发布避免、第五十五条发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安全事件进行调时向社会发布与公众有关的警示信息。第五十六条省级以上人民政府有关部门在履行网络安全监督管理职责中，发现网络存在较大安限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采国家网络安全事件应急预案目录2、组织机构与职责3、监测与预警4、应急处臵5、调查与评估6、预防工作7、保障措施8、附则备注：医院应该制定网络安全事件应急预案1总则1.1编制目的本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。有关信息内容安全事件的应对，另行制定专项预专项预案是针对某类安全事件而制定的应急预案。网络安全事件分为四级：特别重大网络安件、较大网络安网络安全事件。(2)符合下列情形之一且未达到特别重大网络安全事件的，为重大网络安全事件：①重要网络和信息系统遭受严重的系统损失，造成系统②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁。较大)(3)符合下列情形之一且未达到重大网络安全事件的，对国家安全和社会稳定构成较严重(4)除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件，为一般网络安全2组织机构与职责2.1领导机构与职责2.2办事机构与职责2.3各部门职责2.4各省(区、市)职责3.4.3黄色、蓝色预警响应发生特别重大、重大各单位按照“谁主管谁负责、谁运行谁负责”的要求，组织对本单位建设运行的网络和信息系统开展网络安全监测工作。重点行业主管或监管部门组织指导做好本行业网络安全监测工作。各省(区、市)网信部门结合本地区实际，统筹组织开展对本地区网络和信息系统的安全监测工作。各省(区、市)、各部门将重要监测信息报应急办，应急办组织开展跨省(区、市)、跨部门的网络安全信息共享。3.3预警研判和发布各省(区、市)、各部门组织对监测信息进行研判，认为关部门和单位急办报告。各省(区、市)、各部门可根据监测研判情况，应急办组织研判，确定和发布红色预警和涉及多省(区、市)、多部门、多行业的预警。级别、起始时间、可能织对事态发展情况进行跟踪研判，研究制定防范措施和应急(2)有关省(区、市)、部门网络安全事件应急指挥机构实行24小时值班，相关人员保持通信联络畅通。加强网络安全事件监测和事态发展信息搜集工作，组织指导应急支撑队伍、相关运行单位开展应急处臵或准备、(二)风险分析和(3)国家网络安全应急技术支撑队伍进入待命状态，针对预警信息研究制定应对方案，检查应急车辆、设备、软件工(1)有关省(区、市)、部门网络安全事件应急指挥机构启动相应应急预案，组织开展预警响应工作，做好(二)风险分析、应急准备和风险控制工作。(2)有关省(区、市)、部门及时将事态发展情况项及时通报相关省(区、市)和部门。(3)国家网络安全应急技术支撑队伍保持联络畅通有关地区、部门网络安全事件应急指挥机4应急处臵动I级响应，成立指有关省(区、市)、部门应急指挥机构进入应急状态，在指挥部的统一领导、指挥、协调下，负责本省(区、市)有关省(区、市)、部门跟踪事态发展，检查影响范围挥部对应对工作进行决策部署，有关省(区、市)和部门4.2.2Ⅱ级响应网络安全事件的Ⅱ级响应，由有关省(区、市)和部门根据事件的性质和情况确定。(1)事件发生省(区、市)或部门的应急指挥机构进入应急状态，按照相关应急预案做好应急处臵工作。(2)事件发生省(区、市)或部门及时将事态发展变化情况报应急办。应急办将有关重大事项及时通报相关地区和部门。(3)处臵中需要其他有关省(区、市)、部门和国家网络安全应急技术支撑队伍配合和支持的，商应急办予以协调。相关省(区、市)、部门和国家网络安全应急技术支撑队伍应根据各自职责(4)有关省(区、市)和部门根据应急办的通报，结合各自实际有针对性地加强防范，防止造成更大范围影响和损失。4.3应急结束应急办提出建议，报指挥部批准后，及时通报有关省(区、市)和部门。4.3.2Ⅱ级响应结束由事件发生省(区、市)或部门决定，报应急办，应急办通报相关省(区、市)和5调查与评估特别重大网络安全事件由应急办组织有关部门和省(区、市)进行调查处理和总结评估，并按程序上报。重大及以下网络安全事件由事件发生地区或部门自行组织调查处理和总结评估，其中重大网络安全事件相关总结调查报告报应急办。总结调查报告应对事件的起因、性质、影响、责任等进行分析评估，提出处理意见和改进措施。事件的调查处理和总结评估工作原则上在应急响应结束后30天内完成。9预防工作9.1日常管理9.2演练9.3宣传9.4培训9.S重要活动期间的预防措施6.1日常管理各地区、各部门按职责做好网络安全事件6.5重要活动期间的预防措施在国家重要活动、会议期间，各省(区、市)、各部门要加强网络安全事件的防范和应急响应，确保网络安全。应急办统筹协调网络安全保障工作，根据需要要求有关省(区、市)、部门启动红色预警响应。有关省(区、市)、部门加强网络安全监测和分析研判，及时预警可能造成重大7.2技术支撑队伍7.4社会资源7.6技术研发和产业促进7.8物资保障7.10责任与奖惩8附则8.1预案管理8.2预案解释8.3预案实施时间(一)网络安全事件的分级重大网络安全事件、较大网络安全事件、一般网络安全事件。卫生行业的一般单位如何确定网络安全事件分级？(一)网络安全事件的分级1、特别重大网络安全事件①重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力。②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成③其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安(一)网络安全事件的分级2、重大网络安全事件①重要网络和信息系统遭受严重的系统损失，造成②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成③其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。(一)网络安全事件的分级3、较大网络安全事件①重要网络和信息系统遭受较大的系统损失，造成②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁。③其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事(一)网络安全事件的分级除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件，为一般网络安全事件。(二)风险评估场地设置不合理(二)风险评估。机(二)风险评估物理损坏配置缺陷：VLAN设置不合理、路由配置不合理安全缺陷：欺诈、拒绝服务、访问滥用、不安全的状态转换设计缺陷(二)风险评估4、网络安全设备(二)风险评估(二)风险评估9、输入输出(二)风险评估9、输入输出备(二)风险评估7、存储介质(二)风险评估7、存储介质(二)风险评估8、操作系统(二)风险评估数据库(二)风险评估10、网络通信协议监视(二)风险评估11、应用软件(二)风险评估12、网络管理软件(二)风险评估信息存储介质保管员(三)应急分析应急预案是指当系统不能正常处理业务时，通过其他方式进行业务处理的一种紧急措施。信息系统故障原因各异，常见的有区域网络链路中断、而是要预防为主，应急预案为辅。经信息中心领导同意，启动应急预案。(三)应急分析从信息系统的安全性分类来讲，安全威胁有来自于自然的威胁和人为的威胁，影响信息系统的安全性。信息系统的崩溃，更多的是来自于服务器和网络的灾难。只有配备较好的安全技术设备和作，尽可能确保信息系统的稳定和安全，尽可能把系统发生故障的几率降低。(三)应急分析应急替代系统是当信息系统发生：信息系统、网因素中一个或几个发生暂时不可恢复的故障时，启动相应的应急预案和恢复程序，必要时启动应急替代系统。(三)应急分析应急预案和应急替代系统一般按照以下几种情形1、仅有电，原有信息系统、网络、数据库服务器、数据库、应用服务器均不可使用。2、仅是网络不可用，其它可用。3、主业务数据库服务器不可用，其它可用。其中，4、应用服务器不可用，其它可用。(三)应急分析于以上的每种情形，设计并完成：应急预案、恢复程序和替代系统(替代系统示情况而定，非每种情形必需)，并出具体设计方案、进度计划、实施步骤等相关文档。设计完成后，需进行实施演练，以确认应急预案、恢复程序和替代系统的可用性。如果设计时，需要相关的硬件或环境的支持请提出并说明具体配臵和设臵。(四)网络事件预防措施(四)网络事件预防措施信息中心系统管理员要全面熟悉系统各要素的配臵、功能和正常状态，能初步判断故障原因。应急预案体系中技术人员保障是关键。要配臵包括服务器硬件、操作系统、双机系统、数据库系统、复制数据库系统、存储系统、应用软件、网络等多方面的技术人员，以备应急事件发生时能够协同处理。(四)网络事件预防措施采用适当的方式防范由于接入Internet而造成的对常见故障要在测试环境下，进行模拟演练。技术支持人员要能够提供保障所有系统相关的技专项应急预案是针对某些特定情况制定的一般是针对信息系统中某一子系统发生故四、专项应急预案(一)数据库服务器专项应急预案数据库服务器不可用，其它可用1、场景描述数据库服务器及数据库备用服务器都不可用。2、应急启动一台数据库服务器故障时，信息科直接联系厂家两台服务器故障时启动应急预案。(一)数据库服务器专项应急预案数据库服务器不可用，其它可用(续)如果一台服务器损坏，将系统切换到另一台服务(一)数据库服务器专项应急预案数据库服务器不可用，其它可用(续)应急业务流程耗时估算一台服务器故障时，集群组转移，造成业务系统停止运行0.5小时两台服务器故障时，查找原因15min，业务系统停止2-6小时。应急环境要求应用服务器都正常。需要网络工程师做相关支持，如IP地址访问域的更改等。预期应急效果系统停机小于6小时。系统性能下降。(一)数据库服务器专项应急预案四、专项应急预案(一)数据库服务器专项应急预案步服务器数据。需要6下，系统总体恢复需(一)数据库服务器专项应急预案9、评估损失8小时。应急修复、系统切换需要业务协调配合。(二)网络专项应急预案(二)网络专项应急预案应急业务流程耗时估算环境要求期应急效果(二)网络专项应急预案4、应急工作流程如果有备用网络，则切换到备用网络。例：有些原网络故障分析、处理，包括线路断离、更换跳线、更换信息点、更换网络设备等。四、专项应急预案(二)网络专项应急预案5、网络恢复恢复网络系统。将临时网络系统切换到主网络。6、评估损失(三)系统软件专项应急预案系统软件故障可能出现的现象：工作站(频繁)死机，性能低下,以及采取了针对应用程序级别故障的措施后仍然无效以及出现其它和操作系统相关的故障现象时,则应该考虑从操作系统层面进行故障查找。数据库不可用，其它系统可用。(三)系统软件专项应急预案1、场景描述因操作系统或数据库问题造成数据库不可用。2、应急启动(三)系统软件专项应急预案3、应急措施对操作系统的原系统以安全模式进入操作系统,检查系统情况,查找原因，对系统进行恢复，根据故障原因，采用删除和重装部分操作系统组件、全新重装系统、覆盖重装系统、用以前备份的可用(三)系统软件专项应急预案3、应急措施(续)四、专项应急预案(三)系统软件专项应急预案4、应急工作流程经判断为服务器操作系统层面的故障后，在采取任何措施之前，应该备份故障服务器上所有相关数据，并确定通过备份数据可以至少把服务器恢复到故障发生时的初始状态(即保护现场)，在确定任何一步操作有回复之前，不应该进行下一步(三)系统软件专项应急预案查看任务管理器，记录资源使用状况以及查看事件日志，查看系统日志中的错误信(三)系统软件专项应急预案(三)系统软件专项应急预案查看跟踪日志文件和警告日志文件，详细记录错误号，进一步分析判断。备份所有的数据库文件，重做日志，归档日志等,在确定每步操作可以有回复之前，不宜进行下一查看数据库参数文件，调适参数，特别注意用户(三)系统软件专项应急预案四、专项应急预案(三)系统软件专项应急预案(三)系统软件专项应急预案5、应急恢复关闭查询服务器业务状态，同步服务器数据。需在数据库服务器硬件满足要求的情况下，系统总需要2天。(三)系统软件专项应急预案9、评估损失数据库损坏可能造成部分数据丢失，需要手工补应急修复、系统切换需要业务协调配合。四、专项应急预案(四)应用软件专项应急预案1、场景描述业务信息系统不可用，其它可用。分为全部系统不可用，或关键模块不可用等情况。2、应急启动(四)应用软件专项应急预案业务流程环境要求期应急效果(四)应用软件专项应急预案障的环节和近期软件定是系统本身故障四、专项应急预案(四)应用软件专项应急预案5、应急恢复6、评估损失(一)应急流程(二)技术故障应对策略丁或相应远程或现场协助邮件等方式术故障