护网演习网络安全应急预案正式版

护网演习网络安全应急预案正式版

护网演习信息安全应急预案

2021年5月

目录

第一章总则5

1.1编制目的5

1.2编制依据5

1.3适用范围6

第二章组织机构及职责6

2.1集团公司组织机构6

2.2子分公司护网工作组7

2.3通联方式7

第三章事件分级分类8

3.1事件分级8

3.1.1一级事件8

3.1.2二级事件8

3.1.3三级事件8

3.1.4四级事件8

3.1.5五级事件8

3.2事件分类9

3.2.1木马后门事件9

3.2.2异常登录事件9

323钓鱼邮件事件9

3.2.4漏洞攻击事件9

325暴力破解事件9

3.2.6数据窃取事件10

3.2.7拒绝服务事件10

第四章应急处置总体流程10

第五章事件分级流转10

5.1一级事件11

5.2二级事件11

5.3三级事件12

5.4四级事件12

5.5五级事件13

5.6事件级别调整13

第六章监测与巡检14

6.1实时监测14

6.2安全巡检14

第七章应急响应15

7.1事件分级响应15

7.1.1一级事件15

7.1.2二级事件15

7.1.3三级事件15

7.1.4四级事件16

7.1.5五级事件16

7.2事件分类处置16

721木马后门事件处置17

7.2.2异常登录事件处置17

7.2.3钓鱼邮件事件处置18

724漏洞攻击事件处置19

725暴力破解事件处置20

726数据窃取事件处置21

7.2.7拒绝服务事件处置22

7.3事件应急关闭24

附件25

附件一：集团公司护网行动信息安全应急组织机构成员名

单25

第一章总则

1.1编制目的

为规范XXXX股份有限责任公司（以下简称“集团公司”）

护网演习信息安全事件

应急工作，提高应对突发信息安全事件的综合管理水平和

应急处置能力，形成决策科学、

措施有力、反应迅速的应急工作机制，有效防范信息系统

风险，确保信息系统的安全、

持续、稳定运行，降低信息安全事件的危害，特制定本预

案。

1.2编制依据

以国家有关法规、规章、相关政策为依据，指导集团公司

信息安全总体应急预案的

编制工作。适用性法规标准主要有：

《中华人民共和国网络安全法》

《中华人民共和国突发事件应对法》（国家主席令第69

号）

《中华人民共和国计算机信息系统安全保护条例》（国务

院令第147号）

《国家突发公共事件总体应急预案》

《国家网络与信息安全事件应急预案》

《国务院有关部门和单位制定和修订突发事件应急预案框

架指南》（国办函[2004]33

号）

《GB/T19715.1-2005信息技术安全技术信息技术安全管

理指南》

《GB/Z20986-2007信息技术信息安全事件分类分级指南》

《GB/T20988-2007信息安全技术信息系统灾难恢复规范》

《GB/T22239-2021信息安全技术信息系统安全等级保护

基本要求》

《ISO22301:2021业务连续性管理体系》

《XXXX集团突发事件总体应急预案》

1.3适用范围

木预案适用于集团公司总部及子分公司在护网演习期间网

络与信息安全事件的预

防、通报和应急处置工作。

第二章组织机构及职责

2.1集团公司组织机构

护网期间，集团公司护网工作由网络安全与信息化领导小

组牵头，成立护网行动指

挥部、护网工作组、应急专家组对护网工作进行组织及整

体把控。

总部成立护网2021领导小组，负责护网工作的重大决策,

统一领导和指挥调度，由

集团网络安全和信息化分管领导任组长。

成立护网行动指挥部，负责网络安全保障的工作部署、监

督检查与应急调度。信息

化部主要领导任组长，各业务职能部门和各单位信息分管

领导为小组成员，其中办公厅

负责护网指挥大厅场所及后勤保障，财务部负责护网行动

专项资金保障，法务部负责护

网期间法律纠纷问题。

指挥部下设护网工作组，负责护网具体组织协调、技术支

撑相关工作，护网工作组

下设安全监控组、技术研判组、应急处置组、事件上报组。

安全监控组负责利用各类监测类设备发现并初步确认攻击

事件。

技术研判组负责根据上报事件，通过流量、日志及告警行

为等信息，进行全面溯源

分析，确认攻击事件的行为及影响范围，为应急处置组提

供处置建议。

应急处置组负责则在事件发生时进行隔离、断网，全面的

排查、处置与恢复。

事件上报组负责形成事件应急处置报告，上报护网工作组。

各工作组织人员安排详见附件一。

2.2子分公司护网工作组

护网演习期间，各子分公司参照集团公司组织架构，自行

设置各工作组，设置各工

作组与集团公司联系接口人员。

2.3通联方式

护网演习过程中的通联方式由以下几种:

针对护网演习中的紧急事件通过、座机对事件相关人员进

行实时通报。护网期间

所有参与护网工作人员需保证24h开机。

事件上报平台

在事件处置完毕后，事件处置人员通过事件上报平台向相

关人员上报完整处置材料。

OA系统

在护网演习期间重大事件发生时，通过0A系统直接向指

挥部集团领导进行正式汇

报。

第三章事件分级分类

3.1事件分级

3.1.1一级事件

若演习目标被控制，则定义事件为一级事件，对应

《XXXX集团突发事件总体应急

预案》安全红色预警及应急I级响应。

3.1.2二级事件

若重要系统或设备被控制，则定义事件为二级事件，对应

《XXXX集团突发事件总

体应急预案》安全红色预警及应急I级响应。

3.1.3三级事件

若内网一般设备被控制，则定义事件为三级事件，对应

《XXXX集团突发事件总体

应急预案》安全橙色预警及应急n级响应。

3.1.4四级事件

若DMZ区一般设备被控制，则定义事件为四级事件，对

应《XXXX集团突发事件

总体应急预案》安全黄色预警及应急III级响应。

3.1.5五级事件

若DMZ区设备遭到攻击或内网终端遭到攻击，则定义事

件为五级事件。对应《XXXX

集团突发事件总体应急预案》安全黄色预警及应急HI级响

应。

3.2事件分类

3.2.1木马后门事件

木马后门事件主要包括：服务器中检测存在WEBShell脚

本木马、远程控制、键盘

记录、Rootkit等木马程序，将导致应用系统及服务器被

黑客持续控制，甚至可作为跳板

机进行对其他资产的深入攻击。

3.2.2异常登录事件

异常登录事件主要包括：应用系统和服务器中检测存在克

隆账号、隐藏账号，以及

3.2.3钓鱼邮件事件

钓鱼邮件事件主要包括：邮件附件包含恶意代码、恶意链

接，从而可导致员工内部

主机被控，或泄露重要敏感信息。

3.2.4漏洞攻击事件

漏洞攻击事件往往从攻击人员漏洞扫描探测发现漏洞开始,

之后通过对漏洞点进行

分析并深入利用，从而从存在漏洞系统获取相应的敏感信

息甚至直接拿下系统的控制权

限。

3.2.5暴力破解事件

暴力破解事件主要包括：对主机、终端设备、应用系统账

号密码的暴力破懈，黑客

通过信息收集，生成暴力破解字典，或根据已泄露的密码

进行撞库，从而可能导致系统

密码被黑客破解。

3.2.6数据窃取事件

数据窃取事件主要包括：敏感信息爬取，利用任意文件读

取等漏洞窃据敏感文件，

利用SQL注入漏洞等窃取数据库敏感信息，以及入侵成

功后拖取数库等行为。

3.2.7拒绝服务事件

拒绝服务事件主要包括：CC攻击、DOS攻击、DDOS攻

击、DRDOS攻击。一旦遭

受拒绝服务攻击，可导致服务器宕机，网络阻塞，从而破

坏正常的业务稳定运行。

第四章应急处置总体流程

安全事件处置流程由护网行动指挥部进行制定，在安全事

件发生时由安全监控组、

技术研判组、应急处置组、事件上报组、护网行动指挥部

按照以下流程协调配合最终达

到有效完成安全事件处置的目的。

总体工作流程图如下图所示：

第五章事件分级流转

按照扁平化指挥原则，通过建立护网行动即时通讯群组，

总部在群组中及时发布预

警信息指令，子分公司及时通过群组向总部进行事件汇报。

针对重大事件的发生，总部

及子分公司相关人员应第一时间通过向总部领导汇报情况。

正式情况材料按照处置流

程通过0A系统、事件上报平台上报。

5.1一级事件

总部：

在演习过程中发生一级安全事件时，技术研判组应当在第

一时间通过即时通讯群组

及的形式向护网行动指挥部报告事件情况，并生成安全事

件简报上报护网行动指挥

部，不得迟报、谎报、瞒报和漏报，护网行动指挥部对事

件简报内容进行确认，并部署

应急处置组迅速开展应急处置工作。

在事件处置完成后，应急处置组应立即梳理出信息安全事

件书面报告交付事件上报

组，由其通过事件上报平台向事件有关部门进行通报。同

时信息安全事件书面报告的内

造成的后果影响及涉及财产损失、影响范围、发展趋势、

处置情况、拟采取的措施、单

位全称、联系人和联系等。

子分

按照护网行动指挥部统一安排配合其进行事件处置。

5.2二级事件

总部：

在演习过程中发生二级安全事件时，处置流程与一级事件

相同。在事件处置完成后，

应急处置组可在一个工作日内，梳理出信息安全事件书面

报告（报告要求同一级响应报

告内容）交付事件上报组，由其通过事件上报平台向事件

有关部门进行通报。

子分

子分公司工作组应当在第一时间通过即时通讯群组及的形

式向总部上报组报告

事件情况，并提交事件证据相关材料，事件上报组需在收

到子分公司上报信息后，将相

关材料信息转交技术研判组，由技术研判组对子分公司上

报信息进行研判，子分公司在

技术研判组指导下完成事件处置。在事件处置完成后的一

个工作日内，梳理出信息安全

事件书面报告（报告要求同一级响应报告内容），通过事

件上报平台向总部事件上报组进

行通报。

5.3三级事件

总部：

在演习过程中发生三级安全事件时，技术研判组应当在第

一时间通过及时通讯群组

向事件相关人员及护网行动指挥部报告事件情况，汇报流

程与一级相同，不得迟报、谎

报、瞒报和漏报，同时迅速开展应急处置工作。在事件处

置完成后的在一个工作日内，

梳理出信息安全事件书面报告（报告要求同一级响应报告

内容），通过事件上报平台向相

关部门进行通报。

子分

子分公司工作组应当在第一时间通过即时通讯群组及的形

式向事件上报组报告

事件情况，并自行完成事件处置。在事件处置完成后，应

在一个工作日内，梳理出信息

安全事件书面报告（报告要求同一级响应报告内容），通

过事件上报平台向总部事件上报

组进行通报。

5.4四级事件

总部：

在演习过程中发生四级安全事件时，技术研判组应当在第

一时间通过及时通讯群组

向事件相关人员及护网行动指挥部报告，汇报流程与一级

相同，不得迟报、谎报、瞒报

和漏报，同时迅速开展应急处置工作。在事件处置完戌后,

应在两个工作日内，梳理出

信息安全事件书面报告（报告要求同一级响应报告内容），

通过事件上报平台向相关部门

进行通报。

子分

子分公司工作组应当在第一时间通过即时通讯群组及的形

式向事件上报组报告

事件情况，并自行完成事件处置。在事件处置完成后，应

在两个工作日内，梳理出信息

安全事件书面报告（报告要求同一级响应报告内容），通

过事件上报平台向总部事件上报

组进行通报。

5.5五级事件

总部：

在演习过程中发生五级安全事件时，技术研判组应当在第

一时间通过及时通讯群组

向事件相关人员及护网行动指挥部报告，不得迟报、谎报、

瞒报和漏报，同时迅速开展

应急处置工作。在事件处置完成后，在演习结束前，应在

两个工作日内，梳理出信息安

全事件书面报告（报告要求同一级响应报告内容），通过

事件上报平台向相关部门进行通

报。

子分

子分公司工作组应当在第一时间通过即时通讯群组及的形

式向事件上报组报告

事件情况，并自行完成事件处置。在事件处置完成后，在

演习结束前，梳理出信息安全

事件书面报告（报告要求同一级响应报告内容），通过事

件上报平台向总部事件上报组进

行通报。

5.6事件级别调整

总部：

在进行应急处理过程中，如应急处置组发现事件影响程度

及范围不符合初步判定，

应及时与技术研判组沟通，同时向护网行动指挥部反馈，

由其共同对事件级别进行重新

判定。

在总部接到子分公司上报的二级及以上事件后，应由技术

研判组对事件级别进行判

定，若确认级别为三级及以下事件，则通过事件上报组向

子分公司反馈，由子分公司按

照新事件级别进行处置。

子分

在进行应急处理过程中，如发现事件影响程度及范围不符

合初步判定，应及时对事

件级别进行重新判定及处置。

第六章监测与巡检

6.1实时监测

总部及各子分公司对演习目标、重点目标及安全防护设备

的报警信息进行实时监测，

分析甄别网络中设备被控制的报警和线索信息，并按照应

急处置预案进行处置。

监测要求：

护网演习期间进行7*24小时不间断监测，监测发现的可

疑信息及时提交技术研判组

研判。

监测范围：

监测范围为安全防护设备及演习相关业务系统。

6.2安全巡检

总部及各子分公司对非演习目标系统、一般设备、互联网

暴露设备进行安全巡检，

分析甄别异常信息，并按照应急处置预案进行处置。

巡检要求：

总部组及子分公司应急处置组负责对本单位的资产进行巡

检，其中非演习目标系统、

互联网暴漏设备每隔2小时巡检一次并填写“安全巡检记

录单”，一般设备每隔4小时巡

检一次并填写“安全巡检记录单工

巡检范围：

巡检范围为非演习目标系统、一般设备、互联网暴露设备。

第七章应急响应

7.1事件分级响应

7.1.1一级事件

由护网行动指挥部根据《XXXX集团网络与信息安全事

件应急预案》发布网络安全

红色预警及启动应急I级响应。

应急处置组向护网行动指挥部响应时间要求：

事件等级事件进程

未明确被控原因

一级

已明确被控原因

已明确修复期限

跟踪周期和通报时间

每隔30min通报一次直至被控原因明确

每隔30min通报一次直至明确修复期限

每隔lh通报一次直至修复结束

7.1.2二级事件

由护网行动指挥部根据《XXXX集团网络与信息安全事

件应急预案》发布网络安全

红色预警及启动应急I级响应。

应急处置组向护网行动指挥部响应时间要求：

事件等级事件进程

未明确被控原因

二级

已明确被控原因

已明确修复期限

跟踪周期和通报时间

每隔lh通报一次直至被控原因明确

每隔lh通报一次直至明确修复期限

每隔2h通报一次直至修复结束

7.1.3三级事件

由护网行动指挥部根据《XXXX集团网络与信息安全事

件应急预案》发布网络安全

橙色预警及启动应急n级响应。

应急处置组向护网行动指挥部响应时间要求：

事件等级事件进程

未明确被控原因

三级

已明确被控原因

已明确修复期限

跟踪周期和通报时间

每隔2h通报一次直至被控原因明确

每隔ih通报一次直至明确修复期限

每隔2h通报一次直至修复结束

7.1.4四级事件

由护网行动指挥部根据《XXXX集团网络与信息安全事

件应急预案》发布网络安全

黄色预警及启动应急m级响应。

应急处置组向护网行动指挥部响应时间要求：

事件等级事件进程

未明确被控原因

四级

已明确被控原因

已明确修复期限

跟踪周期和通报时间

每隔2h通报一次直至被控原因明确

每隔lh通报一次直至明确修复期限

每隔2h通报一次直至修复结束

7.1.5五级事件

由护网行动指挥部根据《XXXX集团网络与信息安全事

件应急预案》发布网络安全

黄色预警及启动应急ni级响应。

应急处置组向护网行动指挥部响应时间要求：

事件等级

五级

跟踪周期和通报时间

酌情通报。

7.2事件分类处置

针对具体的攻击事件，总部及子分公司应急处置组应根据

不同事件类型，按照以下

处置方法进行有效处置。

7.2.1木马后门事件处置

处置方法：

发现木马后门后，先针对出现木马后门设备进行断网隔离

处理，同时将该设备日志

进行备份留存分析入侵途径，随后根据总部技术研判组研

判结果对操作系统进行重新部

署或病毒软件进行全盘查杀。

处置流程：

7.2.2异常登录事件处置

处置方法：

检测到异常登录时，优先将相关账号下线并留存账号相关

日志，随后针对问题账号

采取修改口令或删除账号等方式进行处理。

处置流程：

7.2.3钓鱼邮件事件处置

处置方法：

对邮件内链接仔细核查溯源，删除相关邮件并对收到钓鱼

邮件的主机进行病毒查杀。

处置流程：

7.2.4漏洞攻击事件处置

处置方法：

1）无补丁情况，采取“白名单”策略，基于对自身业务系统

路径架构的有效管理，

对正常服务的路径进行加白，在主机配置强制访问控制策

略，对进程、驱动等资源进行

强制管理；针对特定漏洞进行组件删除和路经封堵等策略

进行防护，随时关注补丁完成

情况及时完成补丁修补工作。

2）有补丁情况，加强信息系统漏洞巡检和补丁修复，采取

相应技术手段，检查漏

洞修复情况，并督促整改。

处置流程：

7.2.5暴力破解事件处置

处置方法：

针对产生暴力破解事件的相关攻击IP进行有效封锁，并

关注出现被暴力破解事件系

统运行状态。

处置流程：

7.2.6数据窃取事件处置

处置方法：

组织技术研判组对失窃数据内容及范围进行研判，根据研

判结果向相关业务主管部

门进行通报，相关业务主管部门在收到通报后，应在第一

时间根据技术研判组研判建议

采取相关处置措施，防止事件升级。

处置流程：

7.2.7拒绝服务事件处置

处置方法：

借助互联网出口运营商防护资源实现拒绝服务流量近源清

洗，并关注出现拒绝服务

攻击事件系统的运行状态。

处置流程：

护网行动相关工作小组从外部情报、日常监控、业务部门

或其他途径得到报警信息，

及时进行分析判断。如属于日常运维故障，则由相关运维

人员进行处理；如判断为信息

安全事件，信息安全工作小组分析事件影响，判断事件级

别，填写信息安全事件报告（报

告模板参见附件二）。

（1）HI级及IV级信信息安全事件对信息系统运行效率影

响较小，信息安全工作小组

可在应急处置完毕后向信息安全工作小组组长汇报。

（2）I级及n级信息安全事件对信息系统运行效率影响

较大，信息安全工作小组组

长立即向信息安全领导小组组长进行报告，并启动信息安

全专项应急预案。信息安全领

导小组分析信息安全事件影响，确认事件级别，对应急处

置过程进行监管。对于需要上

报外部监管机构的信息安全事件，经信息安全领导小组组

长审批通过后进行上报。

（3）信息安全工作小组如需公安机关或国家互联网应急

中心等国家机构协助解决信

息安全事件，由信息安全工作小组组长提出协助处置申请,

信息安全领导小组分析协助

处置请求，协调相关机构，协助集团公司进行处置。

事件报告流程如下所示：

信息安全工作小组信息安全领导小组

日常巡检系统告警

异常异常

第三方披

露

确认信息安全突发事

件

分析影响范围、判断

事件级别

组长上报

信息安全事件

n级以上

上报领导

小组组长

分析安全

事件影响

确认事

件级别

是否上报外

部监管机构

是

上报外部

监管机构

n级以下监管应急处置过程否

是否需协助处置

否

启动信息安全专项

应急预案

是分析协助处置请求协调公安机关等国家相关机构

图1事件报告流程图

7.3事件应急关闭

在完成事件处置后，应急处置小组将处置结果上报护网行

动指挥部，由护网行动指

挥部通过事件上报组发布指令，宣布事件处置工作结束。

附件

附件一：集团公司护网行动信息安全应急组织机构成

员名单

组织机构角色

组长

副组长

组员

护网行动指

组员

挥部

组员

组员

组员

应急专家组

安全监控组

技术研判组

部门姓名邮箱备注

组织机构角色部门姓名邮箱备注

应急处置组

事件上报组

网站、网络安全应急预案

一、网站、网页出现非法言论时的紧急处置措施

1、网站内容由具体负责人员密切监视，每天不少于一

小时。发现网上出现非法信息时,应立即向单位网络安

全分管领导报告情况；情况紧急的应先及时采取删除

等处理措施,再按程序报告。

2、单位网络安全分管领导接到报告后，应于二十分钟

内核实情况，并协调技术人员做好清理非法信息、作好

必要的记录，强化安全防范措施等工作。

4、网络安全分管领导召开安全相关会议，如认为情况

严重，4小时内向有关上级机关和公安部门报警。

二、黑客攻击时的紧急处置措施

1、如网页内容被篡改时，应立即单位分管网络安全分

管领导通报情况。

4、网络管理员应协助网站开发单位做好网站的恢复

工作。5、网络安全分管领导召开安全相关会议，如认

为情况严重，则立即向公安部门或上级机关报警。

三、病毒安全紧急处置措施

1、当发现计算机感染有病毒后，应立即将该机从网络

上隔离出来。

2、对该设备的硬盘进行数据备份。

3、启用反病毒软件对该机进行杀毒处理，同时进行病

毒检测软件对其他机器进行病毒扫描和清除工作。

4、如发现反病毒软件无法清楚该病毒，应立即向网络

安全分管领导报告。

5、网络安全分管领导接到报告后，应协调技术人员做

好病毒查杀工作.

6、经技术人员确认确实无法查杀该病毒后，应作好相

关记录，并迅速联系有关产品商研究解决。

7、网络安全分管领导召开安全相关会议，认为情况极

为严重,应立即向公安部门或上级机关报告.

U!、数据库安全紧急处置措施

1、各数据库系统要至少准备两个以上数据库备份，平

时一份放在机房，另一份放在另一安全的建筑物中。

2、一旦数据库崩溃，应立即向网络安全分管领导报告,

数据库安全员应试图排查问题，如遇无法解决的问题,

立即向上级单位或软硬件提供商请求支援。

五、广域网外部线路中断紧急处置措施

1、广域网中断后，有关人员应立即启动备用线路接续

工作,同时向网络管理员报告。

2、网络管理员接到报告后，应迅速判断故障节点，查

明故障原因。3、如属我方管辖范围，网络管理员要立

即予以恢复。如遇无法恢复情况，立即向有关厂商请

求支援。

4、如属电信部门管辖范围，立即与电信维护部门联系,

请求修复。六、局域网中断紧急处置措施

1、局域网中断后，网络管理员应立即判断故障节点,

查明故障原因，并向网络安全分管领导汇报.

2、如属线路故障，应重新安装线路。

3、如属路由器、交换机等网络设备故障，应立即与设

备提供商联系更换设备，并调试畅通。

4、如属路由器、交换机配置文件破坏，应迅速按照要

求重新配置，并调试畅通。如遇无法解决的技术问题,

立即向上级单位或有关厂商请求支援。

七、设备安全紧急处置措施

1、服务器等关键设备损坏后，有关人员应立即向网络

管理员通报。

2、网络管理员应立即查明原因。

3、如果能够自行恢复，应立即用备件替换受损部件。

4、如果不能自行恢复的，立即与设备提供商联系，请

求派维修人员前来维修。

网络安全应急预案

一、第一部分总则

本预案的适用范围为由信息管理中心负责建设管理的

网站、网络安全事件应急处理。

（一）日常安全工作职责

信息管理中心工作人员根据分工、做好以下工作：

1o对网站、网络进行日常检查、分析风险、排除隐患、

做好网站数据备份，形成日常工作机制，预防安全事

故发生。

2.制定相关安全事件的预警方案和解决方案.

3o掌握网络网站技术发展趋势，不断提升安全防范水

平。

4o及时处置各类突发安全事件.

（二）安全应急处置原则

1o报告原则：发生突发安全事件，第一时间向政务信

息中心负责人报告，同时积极进行处置，处置全程要

及时汇报工作进展。

2o安全原则：处置安全事件时,要科学客观，首先保

证人员安全，其次保证设备数据安全。

3»效率原则：处置突发事件要及时迅速，讲究方法，

善于协调，争取在最短时间内解决问题。

4.协调配合原则：出现大规模故障后，根据工作需要,

积极配合，协同处理，提高工作质量与效率。

（三）安全应急事件处置1。安全事件定义分类

一般故障:指区域性网络安全事件,具体包括:局部网络

瘫痪、个别设备死机、网站服务器停止工作等。

重大故障：指发生大规模或整体性网络瘫痪、个别硬

件设备损坏或被窃、数据丢失或网站遭恶意篡改破坏

特大故障：指机房发生火灾或遭可抗拒力破坏造成机

房损毁及人员伤害等。

2.处置时限

发生突发安全事件，一般故障2小时内解决，重大故

障24小时内解决，特大故障48小时内解决。

3.处置措施

(1)发生突发事件，工作人员第一时间报告领导并进

行处置。(2)迅速准确判断事件原因，在保证人员、

设备、数据安全的前提下，进行针对性处置。

(3)属一般性故障的，信息中心工作人员及时进行处

置；属设备损坏的，要及时报告中心主任根据领导安

排进行合理处置；属系统故障的，要及时联系维护公

司进行处置；属遭受攻击的，要及时取证留存，并由维

护公司进行处置。(4)必要时，通知有关单位做好应对.

(5)事后总结本次事件处置情况,形成分析报告。

二、第二部分网站安全应急处置

(-)日常维护

1.中心人员每天对网站进行查看，密切监视信息内容。

每天上午和下午各切换内网一次，查看内网运行情况。

2o检查各服务器杀毒软件及防火墙升级情况，及时给

系统打补丁.

3•每月对内、外网站及数据进行光盘备份，并由专人

归档保存。(二)安全事件分类及应急处置办法

1.硬件故障

指因自然灾害、供电不正常、人为因素等造成的服务

器硬件损坏、丢失情况.

(1)”内网办公系统”网站服务器中心工作人员每月

对其进行硬件检

测，”迎泽之窗”服务器由维护公司每月进行软硬件检

测，并填写记录，每年度进

行汇报。

⑵发生硬件损坏或丢失后要立即报告中心主任，并联

系设备供应商及有关单位处理。

2。攻击、篡改类故障

指网站系统遭到网络攻击不能正常运作，或出现非法

信息、页面被篡改。(1)发现网站出现非法信息或页

面被篡改，要第一时间对其进行删除,

恢复相关信息及页面，同时报告中心主任，必要时可

对网站服务器进行关闭，待检测无故障后再开启服务。

指网站服务器感染病毒木马，存在安全隐患。

(1)每周对服务器杀毒安全软件进行系统升级，并进

行病毒木马扫描,封堵系统漏洞。

(2)发现服务器感染病毒木马，要立即对其进行查杀,

报告中心主任，根据具体情况，酌情发布网站公告通

知联网的相关单位进行终端的病毒木马查杀.

⑶由于病毒木马入侵服务器造成数据丢失或系统崩溃

的，要第一时间报告中心主任，并联系相关单位进行数

据恢复。

4.系统类故障

指网站系统由于长时间运行或系统存在的bug造成网

站不能正常运行。

(1)相关负责人要每月对网站数据进行备份,并刻录光

盘进行存档。

(2)发现此类问题，要报告中心主任，并联系网站维

护单位进行检测修复。(三)应急保障

1o记录门户网站IDC托管机房、运营商大客户经理、

服务器供应商及网站维护公司，出现问题能及时联络处

理.

20中心人员应掌握应急笔记本电脑、数据备份光盘的

存放和使用.

3o中心人员应学习各类软硬件知识，提高应对和处理

突发网络故障的能力.三、第三部网络安全应急处置

（一）适用范围

信息中心负责建设管理的网络安全事件

（二）、日常维护

1、每季度对设备进行例行检查及卫生保洁，检查项目

包括设备运行状态、温度、供电及设备周边环境是否

安全。

2、每年对区属驻地外各单位进行实地走访，查看实际

情况。

（三）、应急处置

1、发生故障后，首先排查故障范围，确定是软件故障

还是硬件故障，是光路故障还是以太网故障。

2、对于大面积网络故障或硬件线路设备损坏，要第一

时间报告中心主任。3、如发生光路设备故障，及时联

络联通公司客户经理协调处理。

4、如发生以太网故障，要及时进行处理,必要时联系设

备供应商及相关单位联合处理.

U!、第四部分中心机房及办公区安全应急处置

（一）、用电安全

(1)坚持正确的用电规范。

(2)不使用超负荷电器设备。

(3)不随意改变工程设计的供电线路.

(4)每天下班,最后离开办公室的人员关闭办公区主

电源。

(5)每两个月对中心机房各电源设备进行检查。遇节

假日，除关闭办公区主电源外，检查中心机房内电源

和线路，确保设备安全稳定运行.

(6)外电中断后，应立即查明原因，并向中心主任汇

报。

(7)如因机关内部线路故障，请机关物业公司迅速恢

复。

(8)如果是供电局的原因，应立即与供电局联系，请供

电局迅速恢复供电。(9)如果供电局告知需长时间停

电，应做如下安排：

1、预计停电4小时以内，由UPS供电。

2、预计停电24小时，请示中心主任，关掉非关键设备,

确保关键设备供电。3、预计停电超过24小时的，关

闭中心机房所有管辖设备，并通知托管服务器的相关

单位进行设备停机.

(10)中心机房及各设备恢复供电时，执行以下步骤：

1、机房恢复供电前，首先确认各设备的电源态处于下

电状态，以防止电源柜加电对设备的冲击.

2、等待10-20分钟后，开始给电源柜加电，以防止

供电不稳或再次掉电。3、供电正常后，确定设备处于

下电状态后,打开电力柜的总控开。

4、根据设备加电顺序，启动分项控开。

5、启动数据库及各项应用程序。

（11）发生火警事件发生后，机房人员应根据所属区

域和现场情况，判断和选择正确的方法，及时上报中

心领导，同时配合相关人员处置，降低事件带来的影

响.1、对于设备发生烟雾，机房主管人员协同相关人

员寻找烟雾点并切断相关区域电源。

2、当设备发生可以控制火情时，机房主管人员应协同

相关人员进行灭火工作。3、当主机房发生火灾而无法

控制,应采取施救方法等措施。

（二）、空调及通风设备

正常情况：

温度：冬季：18℃-20℃±2℃夏季：18℃-23℃±2℃

温度变化W5℃/H

湿度：40%-50%±5%

每周对中心机房温湿度进行监控，防患于未然。

空调系统故障导致机房内温度、湿度升高或设备出现

温度告警等异常现象时，执行以下步骤：

(1)首先查看故障空调的位置和现象，联系空调厂家

加紧维修。

(2)如果故障较为严重，影响范围大，则立即汇报给

中心主任。

(3)启用备用风扇、加湿器等设备降低室内温度、湿

度，并打开机柜门和房间门，以便于设备散热和空气流

通。

(4)相关工作人员要密切注意各设备的运行情况，如

出现告警，查看日志了解情况，必要时请设备厂家派

人立即赶到现场进行技术支持.

(5)相关负责人员对各个维护业务进行检查,如已经影

响到系统和业务的正常运行，尤其是一些重要业务，

应立即汇报中心主任，做进一步处理.

(6)若此时空调已修好，室内温度、湿度恢复正常或

在下降中，相关负责人员对各个设备的运行情况详细

检查，确保恢复正常.

(7)待室内温度、湿度恢复正常并监控一段时间后无

异常，将备用风扇、加湿器关闭并放回原位，保持机

房卫生和整洁。

(8)相关负责人员对此次故障做好记录.

(三八核心设备安全

(1)根据实际情况对核心设备进行检查，确保设备安

全稳定运行。

(2)发生核心设备硬件故障后，工作人员应及时报告

中心主任，并查找、确定故障设备及故障原因，进行先

期处置。同时联系设备提供商共同检测并排除故障。

(3)若故障设备在短时间内无法修复,应启动备份设

备，保持系统正常运行;将故障设备脱离网络，进行故

障排除工作。

(4)故障排除后，在网络空闲时期，替换备用设备；

若故障仍然存在，立即联系厂商进行返厂维修或调换

设备。

(四)、数据安全与恢复

(1)日常维护参照《网站安全应急预案》中“一、日

常维护”各项进行。(2)发生业务数据损坏时,工作

人员应及时报告中心主任,检查、备份系统当前数据.

⑶信息中心负责调用备份服务器备份数据,若备份数

据损坏，则调用异地光盘备份数据。

(4)数据损坏事件较严重无法保证正常工作的，经部

门领导同意,及时通知各部门以手工方式开展工作。

(5)中心应待数据系统恢复后，检查基础数据的完整

性；重新备份数据，并写出故障分析报告.

五、其他事项

(-)无关人员未经中心主任批准不得进入中心机房。

(二)对各设备和线路进行维护或改造，需经中心主任

批准，由中心工作人员陪同进行.

(三)使用充分控干水份的抹布及拖把进行保洁，尽

量不使用干布或扫帚,避免扬尘.

（四）保洁时，注意不要触碰电源接口及网络接口等,

以免漏电或导致线路接触不良。

网站网络安全应急预案

第一部分总则

本预案的适用范为由信息管理中心负责建设管理的

网站、网络安全事件应急处理.

一、日常安全工作职责

信息管理中心工作人员根据分工、做好以下工作：1。

对网站、网络进行日常检查'分析风险、排除隐患、

做好网站数据备份，形成日常工作机制,预防安全事故

发生。

2•制定相关安全事件的预警方案和解决方案。

3o掌握网络网站技术发展趋势，不断提升安全防范水

平。

4o及时处置各类突发安全事件。

二、安全应急处置原则

1o报告原则：发生突发安全事件,第一时间向政务信

息中心负责人报告，同时积极进行处置，处置全程要

及时汇报工作进展.

2.安全原则：处置安全事件时，要科学客观，首先保证

人员安全，其次保证设备数据安全。

3o效率原则：处置突发事件要及时迅速，讲究方法，

善于协调，争取在最短时间内解决问题.

4、协调配合原则：出现大规模故障后，根据工作需要,

积极配合，协同处理，提高工作质量与效率.

三、安全应急事件处置

（一）安全事件定义分类

一般故障：指区域性网络安全事件，具体包括:局部网

络瘫痪、个别设备死机、网站服务器停止工作等。重

大故障:指发生大规模或整体性网络瘫痪、个别硬件设

备损坏或被窃、数据丢失或网站遭恶意篡改破坏等。

特大故障：指机房发生火灾或遭可抗拒力破坏造成机

房损毁及人员伤害等.

（二）处置时限

发生突发安全事件，一般故障2小时内解决,重大故障

24小时内解决，特大故障48小时内解决。

（三）处置措施

1.发生突发事件，工作人员第一时间报告领导并进行

处置。

2o迅速准确判断事件原因，在保证人员、设备、数据

安全的前提下，进行针对性处置。

3、属一般性故障的，信息中心工作人员及时进行处置;

属设备损坏的，要及时报告中心主任根据领导安排进

行合理处置；属系统故障的，要及时联系维护公司进

行处置;属遭受攻击的，要及时取证留存，并由维护公

司进行处置。

4、必要时，通知有关单位做好应对。

5、事后总结本次事件处置情况，形成分析报告。

第二部分网站安全应急处置

一、日常维护

(-)中心人员每天对网站进行查看，密切监视信息

内容。每天上午和下午各切换内网一次，查看内网运

行情况.

(二)检查各服务器杀毒软件及防火墙升级情况，及时

给系统打补丁。

(三)每月对内、外网站及数据进行光盘备份，并由

专人归档保存。

二、安全事件分类及应急处置办法

(-)硬件故障

指因自然灾害、供电不正常、人为因素等造成的服务

器硬件损坏、丢失情况.

1、”内网办公系统”网站服务器中心工作人员每月对

其进行硬件检测，”迎泽之”服务器由维护公司每月

进行软硬件检测，并填写记录，每年度进行汇报,2、

发生硬件损坏或丢失后要立即报告中心主任，并联系

设备供应商及有关单位处理。

（二）攻击、篡改类故障

指网站系统遭到网络攻击不能正常运作，或出现非法

信息、页面被篡改。

1、发现网站出现非法信息或页面被篡改，要第一时间

对其进行删除，恢复相关信息及页面，同时报告中心

主任，必要时可对网站服务器进行关闭，待检测无故

障后再开启服务。

（三）病毒木马类故障

指网站服务器感染病毒木马，存在安全隐患。

1、每周对服务器杀毒安全软件进行系统升级，并进行

病毒木马扫描，封堵系统漏洞.

2、发现服务器感染病毒木马，要立即对其进行查杀，

报告中心主任，根据具体情况，酌情发布网站公告通

知联网的相关单位进行终端的病毒木马查杀。

3、由于病毒木马入侵服务器造成数据丢失或系统崩溃

的，要第一时间报告中心主任，并联系相关单位进行数

据恢复。

（四）系统类故障

指网站系统由于长时间运行或系统存在的bug造成网

站不能正常运行.

1、相关负责人要每月对网站数据进行备份，并刻录光

盘进行存档。

2、发现此类问题，要报告中心主任，并联系网站维护

单位进行检测修复。

三、应急保障

1、记录门户网站IDC托管机房、运营商大客户经理、

服务器供应商及网站维护公司，出现问题能及时联络

处理。

2、中心人员应掌握应急笔记本电脑、数据备份光盘的

存放和使用.

3、中心人员应学习各类软硬件知识，提高应对和处理

突发网络故障的能力。

第三部网络安全应急处置

一、适用范围

信息中心负责建设管理的网络安全事件

二'职责分工

三、日常维护

1、每季度对设备进行例行检查及卫生保洁，检查项目

包括设备运行状态、温度、供电及设备周边环境是否

安全。

2、每年对区属驻地外各单位进行实地走访，查看实际

情况。

U!、应急处置

1、发生故障后，首先排查故障范围，确定是软件故障

还是硬件故障，是光路故障还是以太网故障.

2、对于大面积网络故障或硬件线路设备损坏，要第一

时间报告中心主任。

3、如发生光路设备故障，及时联络联通公司客户经理

协调