第一篇:中华人民共和国互联网网络安全应急预案(ISO27001认证参考资料)
中华人民共和国互联网网络安全应急预案
内容概述: 1.总则 1.1 目 的
建立健全互联网网络安全应急处理工作机制,提高互联网网络安全应急处理能力和水平,保障互联网网络安全。1.2 工作原则
互联网网络安全应急处理工作坚持统一领导、分工负责、及时预警、协作配合、快速处理、确保恢复的原则。1.3 编制依据
依据《中华人民共和国电信条例》等有关法规和规章制度,制定本预案。1.4 适用范围
本预案适用于发生下述重大突发事件时的互联网网络安全应急工作。
(1)各经营性互联单位(含中国电信集团公司、中国网络通信集团公司、中国移动通信集团公司、中国联合通信有限公司、中国铁通集团有限公司、中国卫星通信集团公司等)运营的公共互联网发生或可能发生重大安全事件;
(2)各非经营性互联单位(含中国教育和科研计算机网、中国科技网、中国国际电子商务中心、中国长城互联网等)运行的互联网发生需要信息产业部提供技术支持和配合的网络安全事件;
(3)国内发生的特别重大突发公共事件以及召开的重要会议、重大国事活动等。2.组织体系和职责
2.1 互联网网络安全应急组织机构和职责
信息产业部设立国家通信保障应急领导小组,负责领导、组织、协调互联网网络安全应急工作,其职责为:贯彻国家有关方针政策,审定互联网网络安全应急工作的相关政策及规定;启动/终止预案,并负责互联网网络安全应急工作的总体指挥和调度;在紧急情况下,经国务院批准,统一调用全国各种网络资源,做好互联网网络安全应急的组织协调工作。
国家通信保障应急领导小组下设互联网应急处理工作办公室,负责互联网网络安全应急工作方面的日常事务处理及互联网网络安全应急响应期间的具体组织协调工作。2.2 互联网网络安全应急组织体系
国家通信保障应急领导小组负责组织、协调各经营性互联单位和国家计算机网络应急技术处理协调中心(以下简称CNCERT/CC)进行互联网网络安全应急工作。
各经营性互联单位负责监测和分析本网运行状况,及时上报发现的网络异常和安全事件;在国家通信保障应急领导小组的统一指挥下,采取有效措施,处理本网的网络安全事件;通知本网用户及时进行安全加固,消除安全隐患。
CNCERT/CC负责为互联网网络安全应急处理工作提供技术支撑;协调和配合经营性互联单位的应急技术处理及演练;利用技术平台对互联网网络安全事件进行监测,及时收集、核实、汇总、分析、上报有关互联网网络安全信息;保持与非经营性互联单位、亚太地区应急响应组织(APCERT)和国际安全事件响应论坛(FIRST)等国际组织间的密切联系,积极参与国际互联网网络安全事件应急处理合作。3.预警和预防机制
各经营性互联单位和CNCERT/CC应从制度建立、技术实现、业务管理等方面建立健全互联网网络安全的预警预防机制。3.1 互联网网络安全事件的分级
互联网网络安全事件根据危害和紧急程度分为 “四级/一般”、“三级/预警”、“二级/报警”、“一级/紧急”四种,分别对应 “蓝”、“黄”、“橙”、“红”四种颜色标记。3.2 信息监测
各经营性互联单位配合CNCERT/CC,于每天中午12时以前采集其互联网前24小时内的下列运行状态信息:
(1)省以上骨干网路由器和核心交换机的访问日志,内容包括:设备所在地、路由器名称、IP地址、访问者、访问者IP地址、访问时间、访问成功与否;
(2)骨干网路由器的流量信息。
CNCERT/CC利用自身监测的技术平台实时监测和汇总从各互联单位采集的互联网运行状态相关信息,分析互联网网络安全状况,及时向互联网应急处理工作办公室做出我国公共互联网发生或可能发生重大网络安全事件的报告。3.3 预警预防行动
(1)各经营性互联单位于每月20日前,向互联网应急处理工作办公室上报本网上月安全事件处理报告;于每年1月31日前,上报本网上一年度网络安全分析报告。
(2)信息监测发现可能发生三级及以上互联网网络安全事件情况时,各经营性互联单位和CNCERT/CC按要求向互联网应急处理工作办公室上报有关预警信息。
互联网应急处理工作办公室按要求将有关预警信息上报国家通信保障应急领导小组、通报各经营性互联单位和CNCERT/CC。
CNCERT/CC负责及时将有关预警信息通报非经营性互联单位,并在遵循我外交政策和我部已确定的互联网应急国际合作原则的前提下,经互联网应急处理工作办公室批准,通过已确立的国际沟通渠道,向国际组织机构或具有合作关系的外国组织机构通报相关信息。各经营性互联单位应及时将有关预警信息及处理方法通知其有关用户。信息上报/通报内容和时限的具体要求见“4.应急响应”。3.4 预警支持系统
各互联单位应建设必要的安全保障技术平台,逐步实现对本单位互联网网络运行状态数据的汇总分析。
CNCERT/CC建设的技术监测平台作为互联网安全应急处理的核心平台,与各经营性互联单位的网络管理中心、网络安全保障技术平台一起构成互联网网络安全应急的技术支撑系统。CNCERT/CC应建设应急处理专用的信息沟通与数据交换平台,用于实现相关单位之间的应急处理信息交流,包括信息通报、资源共享等。4 应急响应 4.1 分级响应程序
“四级/一般”级别的互联网网络安全事件由各经营性互联单位和CNCERT/CC通过预警信息沟通,自行处置。
当互联网应急处理工作办公室接到各经营性互联单位或CNCERT/CC关于我国公共互联网发生或可能发生“三级/预警”、“二级/报警”、“一级/紧急”级别的互联网网络安全事件的紧急报告时,报请国家通信保障应急领导小组批准,指示各经营性互联单位及CNCERT/CC启动应急预案并进入相应的分级应急响应工作程序。CNCERT/CC负责将有关情况及时通报非经营性互联单位。
在国内发生特别重大突发公共事件以及召开重要会议、重大国事活动等特殊重要时期,没有发生三级以上重大互联网安全事件时,互联网应急处理工作办公室根据国家通信保障应急领导小组的指示,通知各有关单位按照“三级/预警”安全事件的处理要求和流程做好应急准备;当发生或可能发生三级及以上重大互联网安全事件时,各有关单位应根据本预案,按高一级安全事件的处理要求和流程进行各项应急处理。4.2 应急处理流程
在“三级/预警”、“二级/报警”、“一级/紧急”安全事件发生或可能发生的情况下,按照以下流程进行处理:
(1)互联网应急处理工作办公室向各经营性互联单位和CNCERT/CC通报安全事件情况,指令各经营性互联单位和CNCERT/CC立即启动各自相应的应急处理程序。
(2)CNCERT/CC根据指令,针对具体的安全事件类别采取相应措施。
(3)各经营性互联单位根据互联网应急处理工作办公室的指令,结合本网实际,针对具体的安全事件类别采取相应措施。
(4)各经营性互联单位和CNCERT/CC应及时向互联网应急处理工作办公室报告安全事件的发展情况,互联网应急处理工作办公室应将每日的情况及时上报国家通信保障应急领导小组。
(5)根据各经营性互联单位和CNCERT/CC上报的安全事件的蔓延情况,互联网应急处理工作办公室及时分析、判断当前事件是否会发展成为更高级别的安全事件并及时上报国家通信保障应急领导小组。4.3 信息通报/上报
在发生或可能发生三级/预警安全事件的情况下,各经营性互联单位和CNCERT/CC应在12小时内向互联网应急处理工作办公室上报相关信息;互联网应急处理工作办公室应立即向国家通信保障应急领导小组报告,并在确保掌握该事件有关信息后的2小时内上报国家网络与信息安全信息通报中心(以下简称国家通报中心)、通报各经营性互联单位和CNCERT/CC。在发生或可能发生二级/报警安全事件的情况下,各经营性互联单位和CNCERT/CC应在4小时内向互联网应急处理工作办公室上报相关信息;在发生或可能发生一级/紧急安全事件情况下,应在1小时内上报。收到上述信息后,互联网应急处理工作办公室应立即向国家通信保障应急领导小组报告,并在确保掌握该事件有关信息后的1小时内上报国家通报中心、通报各经营性互联单位和CNCERT/CC。
对于二级及以上的安全事件的有关信息,由信息产业部直接上报国务院或重大突发事件应急处理指挥机构。
CNCERT/CC应立即将有关信息通报各非经营性互联单位;各经营性互联单位对其相关用户的通报时限自定。4.4 应急结束
根据各经营性互联单位和CNCERT/CC报告的互联网网络安全事件发展和应急处理效果等情况,互联网应急处理工作办公室对网络安全状况进行分析,判断事件影响已降低到四级安全事件影响水平之下时,报经国家通信保障应急领导小组批准后,指示有关单位终止应急处理工作。
CNCERT/CC负责及时将终止应急处理流程的情况通报各非经营性互联单位。5 后期处置 5.1 情况汇报及总结
安全事件应急处理结束后,各经营性互联单位和CNCERT/CC及时对本次安全事件发生的原因、事件规模进行调查,估算事件损失后果,对应急处理手段效果和后续风险进行评估,总结应急处理的经验教训并提出改进建议,于应急处理结束后一个月内向互联网应急处理工作办公室上报相关的总结评估报告。
互联网应急处理工作办公室在汇总分析各有关单位上报的总结评估报告的基础上,向国家通信保障应急领导小组及时上报本次事件的处理报告。5.2 奖惩评定及表彰
为提高互联网网络安全应急工作的效率和积极性,按照有关规定,对在互联网网络安全应急处理过程中表现突出的单位和个人给予表彰,对于处理不力,给国家和企业造成损失的单位和个人进行惩处。
应急保障准备 6.1 应急预案
各经营性互联单位和CNCERT/CC根据本预案的要求制定各自的互联网网络安全应急预案,并报互联网应急处理工作办公室备案。6.2 应急队伍
各经营性互联单位应组建由互联网管理、运行维护部门组成的应急队伍,负责本网的安全事件应急处理工作,明确其职责权限,并配备相应的应急处理装备和人员。6.3 人员培训
应急队伍的人员要不定期进行应急处理的相关培训,熟悉工作原则、工作流程,具备必要的技能,确保应急预案的正常实施。6.4 经费保障
各经营性互联单位根据需要安排必要的专项应急经费,用于互联网安全应急工作。6.5 应急演练
各有关单位应根据各自的互联网网络安全应急预案,定期或不定期组织应急演练。互联网应急处理工作办公室原则上每年根据本预案组织CNCERT/CC和各经营性互联单位进行应急演练。
6.6 通信联络制度
各有关单位应明确安全事件应急处理的一般和紧急两级联系人,其中一般联系人用于日常的信息沟通,紧急联系人用于发生三级及以上安全事件情况下的直接沟通;提供包括电话、传真和电子邮件的联系人的详细联系信息;联系人必须7X24小时可以联系到。联系人及联系方式发生变化的要提前1周上报互联网应急处理工作办公室。使用电子邮件沟通涉及安全事件的具体内容时要加密。6.7 监督检查制度
互联网应急处理工作办公室负责对互联网网络安全应急工作的检查和监督。6.8 技术储备与保障
信息产业部依托各经营性互联单位和CNCERT/CC组成互联网网络安全应急的技术支撑体系,开展对互联网网络安全事件的预警、预测、预防和应急处理的技术研究,加强技术储备。
7.附 则 7.1 预案管理与更新
本预案由信息产业部电信管理局负责管理与更新,并根据我国互联网发展的实际情况及时进行修改更新。预案坚持周期性的评审原则,每年一次,并根据需要及时进行修订。互联网应急处理工作办公室负责组织预案的评审工作。预案评审采用集体讨论的方式进行,参加人员为预案涉及单位人员及有关专家。修改的预案经国家通信保障应急领导小组批准后发布实施,并及时向国务院备案,抄送国家有关部门。7.2 制订与解释部门
本预案由信息产业部制订并负责解释。7.3 预案生效
本预案自发布之日起生效。
第二篇:互联网网络安全应急预案
二〇一四保德分公司 互联网网络安全应急预案
保德电信分公司 二〇一四年六月
为确保中国电信保德分公司重要时期的网络畅通与信息安全,特制定有关预案如下:
1.忻州分公司数据网络结构
1.1 IP网逻辑结构
保德节点出口路由器上对自己地市IP地址完成汇聚。
1.2 城域网核心层应急预案
1.2.1中继阻断预案:在中继链路出现问题时,互为主备的链路将由路由协议
控制自动倒换,将业务切换到正常运行的链路上,如果主用链路全阻,路由协议将自动把流量切换到平时不用的备用链路上,维持连通性。同时网管中心观察切换情况,如有发现有不能正常切换的情况,及时和省网管中心联系。
1.2.2设备应急预案:忻州IP城域网核心层设备为cisco CRS-1路由系统,设备上还有剩余端口。如果物理连接出现问题,市公司维护部门将按照省网络操作维护中心发出的指令,将链路倒接至指定端口。
1.4城域网业务控制层应急预案 1.4.1中继阻断预案
在中继链路出现问题时,互为主备的链路将由路由协议控制自动倒换,将业务切换到正常运行的链路上,如果主用链路全阻,路由协议将自动把流量切换到平时不用的备用链路上,维持连通性。同时网管中心观察切换情况,如有发现有不能正常切换的情况,及时手工处理,保证业务畅通。
1.4.2设备应急预案
如果某台BAS/SR整机故障不能工作,且暂时无法修复,将其下挂的重点 用户割接至其他BAS/SR,保证重点用户正常使用。1.4.3板卡故障
板卡故障是指某块板卡出现故障,但是设备本身仍能正常运转。常见的板卡故障为主控板、板卡端口故障、板卡故障和电源模块故障。(1)主控板、交换网板和电源模块故障
设备的主控板、交换网板和电源模块均为1+1或N+1备份。单块板卡或电源模块损坏,不影响设备的整体运行。
出现此类问题后,立即向省网管监控中心报障。如果网管监控中心有备件,则可用备件替换掉坏件。如果省网管监控中心部没有备件,则由省网管监控中心联系厂商,更换损坏部件。
出现部件损坏后,由省网管监控中心联系厂商到现场更换损坏的部件。
(2)业务板卡故障
整块业务母板或子卡损坏,因忻州公司无此类备件,只能尽快联系省公司及厂商调拨备板。
(3)端口或光模块故障
每块单板都预留有一个端口做备用,发生端口故障时直接倒接至同板位备用端口,发生模块故障后,及时更换光模块。之后,由省网管监控中心联系厂商,更换有损坏端口的板卡。
2.城域接入网应急预案
2.1汇聚交换机应急预案
启动条件:在设备下接的宽带用户不能正常上网。
首先要进行故障信息的收集,根据客服热线的报障或公客维护人员的报障或客户经理的报障,详细询问并记录好其故障现象及发生时间;及时判断其故障原因并加以排除。
故障现象1:设备不能登陆
处理办法:
登陆故障设备上联设备,查看设备所接端口,如端口显示为DOWN,根据光路号报传输,查看光路是否存在故障。如传输反馈光路故障,跟踪修复时间。如传输反馈无光路告警,至现场处理。
至现场检查设备的电源状态。如设备电源不好,更换电源;如设备供电有问题,通知电力部门处理。
连接串口查看设备上联单板,如单板故障,更换单板。如无任何告警,查看上联光口模块和上联光路。如光口模块不好,更换光口;如光路不好,通知传输中心处理。
检查设备的主控板是否正常,如显示正常,进行主、备切换测试,如主、备主控板均不正常,重启设备,仍不能正常启动,更换主控板。 检查设备的配置信息,用display current-configuration命令检查系统的全部配置数据。可以通过将当前配置数据和备份数据进行比较发现定位问题。如配置文件有问题可重新加载备份配置文件。
故障现象2:设备能登陆,但设备上的用户不能上网
远程登陆设备,通过display logbuffer查看系统告警。根据告警信息进行问题定位,故障处理。
用display current-configuration命令检查系统的全部配置数据,如出现数据丢失,将备份数据导入。
用dis dev命令检查设备单板状态,如出现业务板不正常现象,远程重 启单板,如重启后仍不正常,带备件到现场更换单板。
说明:NE80.NE40系列汇聚交换机处于网络中的核心层,设备有主备两个主控板,上联接口也有两个,安全性比较高。但设备搭载业务比较重要,所以如出故障必须马上进行及时处理。
2.2 DSLAM故障应急预案
启动条件:在设备下接的用户不能正常上网 故障现象1:设备不能登陆 处理办法:
1.登陆故障设备上联设备,查看设备所接端口,如端口显示为DOWN,根据光路号报传输,查看光路是否存在故障。如传输反馈光路故障,跟踪修复时间。如传输反馈无光路告警,至现场处理。2.至现场检查设备的电源状态。如设备电源不好,更换电源;如设备供电有问题,通知电力部门处理。
3.连接串口查看设备上联接口模块和上联光路。如接口不好,更换接口;如光路不好,通知传输中心处理。
4.检查设备的主控板是否正常,如显示不正常,更换主控板。5.检查设备的配置信息,如配置文件有问题可重新加载备份配置文件。故障现象2:设备能登陆,但设备上的用户不能上网
1.远程登陆设备,通过dis log查看系统告警。根据告警信息进行问题定位,故障处理。
2.检查系统的全部配置数据,如出现数据丢失,将备份数据导入。
3.用dis dev命令检查设备单板状态,如出现业务板不正常现象,远程重启单板,如重启后仍不正常,带备件到现场更换单板。
2.3 OLT故障应急预案
2.3.1中继阻断预案
通过在机房现场ODF侧进行光功率测试,及远程登录对端设备查看相应端口的光功率,初步定位故障为设备侧还是线路侧,设备侧的故障通过更换本端上行端口、模块及机房跳纤,更换对端设备对应端口、模块和机房跳纤来解决,线路侧原因,通知线路专业处理。
2.3.2设备应急预案
如果某台OLT整机故障不能工作,进行主控板主备切换,切换后依然无法修复的,联系厂家工程师处理。
2.3.3板卡故障
PON板或PON模块故障,更换板块或模块。
3.障碍总结
障碍发生时,先不要对用户做详细解释,待障碍处理结束,查出障碍原因后,了解用户的影响面后,由障碍受理人员向障碍申告人询问恢复情况并反馈障碍原因,形成闭环。
障碍处理结束后,值班人员继续监测,尤其注意观测数据或传输障碍点。确认障碍无问题后,填写障碍记录。记录内容:时间、现象、处理过程、障碍原因、障碍处理者(若涉及省际障碍与对端确认时间)。若有不清楚的内容,请及时与专业人员确认。
专业人员要在障碍处理完毕两日内提交障碍处理报告,写明障碍现象、处理步骤、处理结果及影响面
第三篇:公共互联网网络安全突发事件应急预案
公共互联网网络安全突发事件应急预案 1.总则 2.组织体系 3.事件分级 4.监测预警 5.应急处置 6.事后总结 7.预防与应急准备 8.保障措施 9.附则
下附应急预案全文
公共互联网网络安全突发事件应急预案 1.总则 1.1编制目的
建立健全公共互联网网络安全突发事件应急组织体系和工作机制,提高公共互联网网络安全突发事件综合应对能力,确保及时有效地控制、减轻和消除公共互联网网络安全突发事件造成的社会危害和损失,保证公共互联网持续稳定运行和数据安全,维护国家网络空间安全,保障经济运行和社会秩序。1.2编制依据
《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《中华人民共和国电信条例》等法律法规和《国家突发公共事件总体应急预案》《国家网络安全事件应急预案》等相关规定。1.3适用范围
本预案适用于面向社会提供服务的基础电信企业、域名注册管理和服务机构(以下简称域名机构)、互联网企业(含工业互联网平台企业)发生网络安全突发事件的应对工作。
本预案所称网络安全突发事件,是指突然发生的,由网络攻击、网络入侵、恶意程序等导致的,造成或可能造成严重社会危害或影响,需要电信主管部门组织采取应急处置措施予以应对的网络中断(拥塞)、系统瘫痪(异常)、数据泄露(丢失)、病毒传播等事件。本预案所称电信主管部门包括工业和信息化部及各省(自治区、直辖市)通信管理局。工业和信息化部对国家重大活动期间网络安全突发事件应对工作另有规定的,从其规定。1.4工作原则
公共互联网网络安全突发事件应急工作坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;落实基础电信企业、域名机构、互联网服务提供者的主体责任;充分发挥网络安全专业机构、网络安全企业和专家学者等各方面力量的作用。2.组织体系 2.1领导机构与职责
在中央网信办统筹协调下,工业和信息化部网络安全和信息化领导小组(以下简称部领导小组)统一领导公共互联网网络安全突发事件应急管理工作,负责特别重大公共互联网网络安全突发事件的统一指挥和协调。2.2办事机构与职责
在中央网信办下设的国家网络安全应急办公室统筹协调下,在部领导小组统一领导下,工业和信息化部网络安全应急办公室(以下简称部应急办)负责公共互联网网络安全应急管理事务性工作;及时向部领导小组报告突发事件情况,提出特别重大网络安全突发事件应对措施建议;负责重大网络安全突发事件的统一指挥和协调;根据需要协调较大、一般网络安全突发事件应对工作。
部应急办具体工作由工业和信息化部网络安全管理局承担,有关单位明确负责人和联络员参与部应急办工作。2.3其他相关单位职责
各省(自治区、直辖市)通信管理局负责组织、指挥、协调本行政区域相关单位开展公共互联网网络安全突发事件的预防、监测、报告和应急处置工作。
基础电信企业、域名机构、互联网企业负责本单位网络安全突发事件预防、监测、报告和应急处置工作,为其他单位的网络安全突发事件应对提供技术支持。
国家计算机网络应急技术处理协调中心、中国信息通信研究院、中国软件评测中心、国家工业信息安全发展研究中心(以下统称网络安全专业机构)负责监测、报告公共互联网网络安全突发事件和预警信息,为应急工作提供决策支持和技术支撑。鼓励网络安全企业支撑参与公共互联网网络安全突发事件应对工作。3.事件分级
根据社会影响范围和危害程度,公共互联网网络安全突发事件分为四级:特别重大事件、重大事件、较大事件、一般事件。3.1特别重大事件
符合下列情形之一的,为特别重大网络安全事件:(1)全国范围大量互联网用户无法正常上网;(2).CN国家顶级域名系统解析效率大幅下降;(3)1亿以上互联网用户信息泄露;(4)网络病毒在全国范围大面积爆发;(5)其他造成或可能造成特别重大危害或影响的网络安全事件。3.2重大事件
符合下列情形之一的,为重大网络安全事件:(1)多个省大量互联网用户无法正常上网;(2)在全国范围有影响力的网站或平台访问出现严重异常;(3)大型域名解析系统访问出现严重异常;(4)1千万以上互联网用户信息泄露;(5)网络病毒在多个省范围内大面积爆发;(6)其他造成或可能造成重大危害或影响的网络安全事件。3.3较大事件
符合下列情形之一的,为较大网络安全事件:(1)1个省内大量互联网用户无法正常上网;(2)在省内有影响力的网站或平台访问出现严重异常;(3)1百万以上互联网用户信息泄露;(4)网络病毒在1个省范围内大面积爆发;(5)其他造成或可能造成较大危害或影响的网络安全事件。3.4一般事件
符合下列情形之一的,为一般网络安全事件:(1)1个地市大量互联网用户无法正常上网;(2)10万以上互联网用户信息泄露;(3)其他造成或可能造成一般危害或影响的网络安全事件。4.监测预警 4.1事件监测
基础电信企业、域名机构、互联网企业应当对本单位网络和系统的运行状况进行密切监测,一旦发生本预案规定的网络安全突发事件,应当立即通过电话等方式向部应急办和相关省(自治区、直辖市)通信管理局报告,不得迟报、谎报、瞒报、漏报。
网络安全专业机构、网络安全企业应当通过多种途径监测、收集已经发生的公共互联网网络安全突发事件信息,并及时向部应急办和相关省(自治区、直辖市)通信管理局报告。报告突发事件信息时,应当说明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和有关建议。4.2预警监测
基础电信企业、域名机构、互联网企业、网络安全专业机构、网络安全企业应当通过多种途径监测、收集漏洞、病毒、网络攻击最新动向等网络安全隐患和预警信息,对发生突发事件的可能性及其可能造成的影响进行分析评估;认为可能发生特别重大或重大突发事件的,应当立即向部应急办报告;认为可能发生较大或一般突发事件的,应当立即向相关省(自治区、直辖市)通信管理局报告。4.3预警分级
建立公共互联网网络突发事件预警制度,按照紧急程度、发展态势和可能造成的危害程度,公共互联网网络突发事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色标示,分别对应可能发生特别重大、重大、较大和一般网络安全突发事件。4.4预警发布
部应急办和各省(自治区、直辖市)通信管理局应当及时汇总分析突发事件隐患和预警信息,必要时组织相关单位、专业技术人员、专家学者进行会商研判。
认为需要发布红色预警的,由部应急办报国家网络安全应急办公室统一发布(或转发国家网络安全应急办公室发布的红色预警),并报部领导小组;认为需要发布橙色预警的,由部应急办统一发布,并报国家网络安全应急办公室和部领导小组;认为需要发布黄色、蓝色预警的,相关省(自治区、直辖市)通信管理局可在本行政区域内发布,并报部应急办,同时通报地方相关部门。对达不到预警级别但又需要发布警示信息的,部应急办和各省(自治区、直辖市)通信管理局可以发布风险提示信息。
发布预警信息时,应当包括预警级别、起始时间、可能的影响范围和造成的危害、应采取的防范措施、时限要求和发布机关等,并公布咨询电话。面向社会发布预警信息可通过网站、短信、微信等多种形式。4.5预警响应
4.5.1黄色、蓝色预警响应
发布黄色、蓝色预警后,相关省(自治区、直辖市)通信管理局应当针对即将发生的网络安全突发事件的特点和可能造成的危害,采取下列措施:(1)要求有关单位、机构和人员及时收集、报告有关信息,加强网络安全风险的监测;(2)组织有关单位、机构和人员加强事态跟踪分析评估,密切关注事态发展,重要情况报部应急办;(3)及时宣传避免、减轻危害的措施,公布咨询电话,并对相关信息的报道工作进行正确引导。
4.5.2红色、橙色预警响应
发布红色、橙色预警后,部应急办除采取黄色、蓝色预警响应措施外,还应当针对即将发生的网络安全突发事件的特点和可能造成的危害,采取下列措施:(1)要求各相关单位实行24小时值班,相关人员保持通信联络畅通;(2)组织研究制定防范措施和应急工作方案,协调调度各方资源,做好各项准备工作,重要情况报部领导小组;(3)组织有关单位加强对重要网络、系统的网络安全防护;(4)要求相关网络安全专业机构、网络安全企业进入待命状态,针对预警信息研究制定应对方案,检查应急设备、软件工具等,确保处于良好状态。4.6预警解除
部应急办和省(自治区、直辖市)通信管理局发布预警后,应当根据事态发展,适时调整预警级别并按照权限重新发布;经研判不可能发生突发事件或风险已经解除的,应当及时宣布解除预警,并解除已经采取的有关措施。相关省(自治区、直辖市)通信管理局解除黄色、蓝色预警后,应及时向部应急办报告。5.应急处置 5.1响应分级
公共互联网网络安全突发事件应急响应分为四级:I级、II级、III级、IV级,分别对应已经发生的特别重大、重大、较大、一般事件的应急响应。5.2先行处置
公共互联网网络安全突发事件发生后,事发单位在按照本预案规定立即向电信主管部门报告的同时,应当立即启动本单位应急预案,组织本单位应急队伍和工作人员采取应急处置措施,尽最大努力恢复网络和系统运行,尽可能减少对用户和社会的影响,同时注意保存网络攻击、网络入侵或网络病毒的证据。5.3启动响应
I级响应根据国家有关决定或经部领导小组批准后启动,由部领导小组统一指挥、协调。II级响应由部应急办决定启动,由部应急办统一指挥、协调。
III级、IV级响应由相关省(自治区、直辖市)通信管理局决定启动,并负责指挥、协调。启动I级、II级响应后,部应急办立即将突发事件情况向国家网络安全应急办公室等报告;部应急办和相关单位进入应急状态,实行24小时值班,相关人员保持联络畅通,相关单位派员参加部应急办工作;视情在部应急办设立应急恢复、攻击溯源、影响评估、信息发布、跨部门协调、国际协调等工作组。
启动III级、IV级响应后,相关省(自治区、直辖市)通信管理局应及时将相关情况报部应急办。5.4事态跟踪
启动I级、II级响应后,事发单位和网络安全专业机构、网络安全企业应当持续加强监测,跟踪事态发展,检查影响范围,密切关注舆情,及时将事态发展变化、处置进展情况、相关舆情报部应急办。省(自治区、直辖市)通信管理局立即全面了解本行政区域受影响情况,并及时报部应急办。基础电信企业、域名机构、互联网企业立即了解自身网络和系统受影响情况,并及时报部应急办。
启动III级、IV级响应后,相关省(自治区、直辖市)通信管理局组织相关单位加强事态跟踪研判。5.5决策部署
启动I级、II级响应后,部领导小组或部应急办紧急召开会议,听取各相关方面情况汇报,研究紧急应对措施,对应急处置工作进行决策部署。
针对突发事件的类型、特点和原因,要求相关单位采取以下措施:带宽紧急扩容、控制攻击源、过滤攻击流量、修补漏洞、查杀病毒、关闭端口、启用备份数据、暂时关闭相关系统等;对大规模用户信息泄露事件,要求事发单位及时告知受影响的用户,并告知用户减轻危害的措施;防止发生次生、衍生事件的必要措施;其他可以控制和减轻危害的措施。
做好信息报送。及时向国家网络安全应急办公室等报告突发事件处置进展情况;视情况由部应急办向相关职能部门、相关行业主管部门通报突发事件有关情况,必要时向相关部门请求提供支援。视情况向外国政府部门通报有关情况并请求协助。
注重信息发布。及时向社会公众通告突发事件情况,宣传避免或减轻危害的措施,公布咨询电话,引导社会舆论。未经部应急办同意,各相关单位不得擅自向社会发布突发事件相关信息。
启动III级、IV级响应后,相关省(自治区、直辖市)通信管理局组织相关单位开展处置工作。处置中需要其他区域提供配合和支持的,接受请求的省(自治区、直辖市)通信管理局应当在权限范围内积极配合并提供必要的支持;必要时可报请部应急办予以协调。5.6结束响应
突发事件的影响和危害得到控制或消除后,I级响应根据国家有关决定或经部领导小组批准后结束;II级响应由部应急办决定结束,并报部领导小组;III级、IV级响应由相关省(自治区、直辖市)通信管理局决定结束,并报部应急办。6.事后总结 6.1调查评估
公共互联网网络安全突发事件应急响应结束后,事发单位要及时调查突发事件的起因(包括直接原因和间接原因)、经过、责任,评估突发事件造成的影响和损失,总结突发事件防范和应急处置工作的经验教训,提出处理意见和改进措施,在应急响应结束后10个工作日内形成总结报告,报电信主管部门。电信主管部门汇总并研究后,在应急响应结束后20个工作日内形成报告,按程序上报。6.2奖惩问责
工业和信息化部对网络安全突发事件应对工作中作出突出贡献的先进集体和个人给予表彰或奖励。对不按照规定制定应急预案和组织开展演练,迟报、谎报、瞒报和漏报突发事件重要情况,或在预防、预警和应急工作中有其他失职、渎职行为的单位或个人,由电信主管部门给予约谈、通报或依法、依规给予问责或处分。基础电信企业有关情况纳入企业网络与信息安全责任考核。7.预防与应急准备 7.1预防保护
基础电信企业、域名机构、互联网企业应当根据有关法律法规和国家、行业标准的规定,建立健全网络安全管理制度,采取网络安全防护技术措施,建设网络安全技术手段,定期进行网络安全检查和风险评估,及时消除隐患和风险。电信主管部门依法开展网络安全监督检查,指导督促相关单位消除安全隐患。7.2应急演练
电信主管部门应当组织开展公共互联网网络安全突发事件应急演练,提高相关单位网络安全突发事件应对能力。基础电信企业、大型互联网企业、域名机构要积极参与电信主管部门组织的应急演练,并应每年组织开展一次本单位网络安全应急演练,应急演练情况要向电信主管部门报告。7.3宣传培训
电信主管部门、网络安全专业机构组织开展网络安全应急相关法律法规、应急预案和基本知识的宣传教育和培训,提高相关企业和社会公众的网络安全意识和防护、应急能力。基础电信企业、域名机构、互联网企业要面向本单位员工加强网络安全应急宣传教育和培训。鼓励开展各种形式的网络安全竞赛。7.4手段建设
工业和信息化部规划建设统一的公共互联网网络安全应急指挥平台,汇集、存储、分析有关突发事件的信息,开展应急指挥调度。指导基础电信企业、大型互联网企业、域名机构和网络安全专业机构等单位规划建设本单位突发事件信息系统,并与工业和信息化部应急指挥平台实现互联互通。7.5 工具配备
基础电信企业、域名机构、互联网企业和网络安全专业机构应加强对木马查杀、漏洞检测、网络扫描、渗透测试等网络安全应急装备、工具的储备,及时调整、升级软件硬件工具。鼓励研制开发相关技术装备和工具。8.保障措施 8.1落实责任
各省(自治区、直辖市)通信管理局、基础电信企业、域名机构、互联网企业、网络安全专业机构要落实网络安全应急工作责任制,把责任落实到单位领导、具体部门、具体岗位和个人,建立健全本单位网络安全应急工作体制机制。8.2经费保障
工业和信息化部为部应急办、各省(自治区、直辖市)通信管理局、网络安全专业机构开展公共互联网网络安全突发事件应对工作提供必要的经费保障。基础电信企业、域名机构、大型互联网企业应当安排专项资金,支持本单位网络安全应急队伍建设、手段建设、应急演练、应急培训等工作开展。8.3队伍建设
网络安全专业机构要加强网络安全应急技术支撑队伍建设,不断提升网络安全突发事件预防保护、监测预警、应急处置、攻击溯源等能力。基础电信企业、域名机构、大型互联网企业要建立专门的网络安全应急队伍,提升本单位网络安全应急能力。支持网络安全企业提升应急支撑能力,促进网络安全应急产业发展。8.4社会力量
建立工业和信息化部网络安全应急专家组,充分发挥专家在应急处置工作中的作用。从网络安全专业机构、相关企业、科研院所、高等学校中选拔网络安全技术人才,形成网络安全技术人才库。8.5国际合作
工业和信息化部根据职责建立国际合作渠道,签订国际合作协议,必要时通过国际合作应对公共互联网网络安全突发事件。鼓励网络安全专业机构、基础电信企业、域名机构、互联网企业、网络安全企业开展网络安全国际交流与合作。9.附则 9.1预案管理
本预案原则上每年评估一次,根据实际情况由工业和信息化部适时进行修订。
各省(自治区、直辖市)通信管理局要根据本预案,结合实际制定或修订本行政区域公共互联网网络安全突发事件应急预案,并报工业和信息化部备案。
基础电信企业、域名机构、互联网企业要制定本单位公共互联网网络安全突发事件应急预案。基础电信企业、域名机构、大型互联网企业的应急预案要向电信主管部门备案。9.2预案解释
本预案由工业和信息化部网络安全管理局负责解释。9.3预案实施时间
本预案自印发之日起实施。2009年9月29日印发的《公共互联网网络安全应急预案》同时废止。
第四篇:网络安全应急预案
网络安全应急预案
成都百腾科技有限公司
为了切实做好本公司网络突发事件的防范和应急处理工作进一步提高我公司预防和控制网络突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保公司网络正常运行与信息安全,依据国家有关法律法规的规定,结合公司网络应用实际,特制订本预案
第一章 总则
第一条、编制目的
建立健全本公司网络应急工作,保证公司网络安全应急工作迅速,高效和有序进行,提高公司处置突发事件的能力,维护公司网络正常运行和网络信息安全
第二条、编制依据
根基《中华人民共和国电信条例》、信息产业部《互联网安全应急预案》,公安部《互联网安全保护技术措施规定》,结婚我公司实际,指定本预案。
第三条、适用范围
1.本预案适用于本公司计入互联网服务器。虚拟主机、及内部工作电脑等信息系统上的突发性时间的应急工作。
2.在公司发生重大突发公共事件或自然灾害,接上级部分同志时启动本应急预案。3.上级有关部门交办的最重要互联网通信保障任务。
第四条、工作原则
统一领导、统一指挥、分类管理、分级负责、严密组织、协作配合、预防为主、防处结合、发挥优势、保障安全。
第二章 公司互联网络安全应急组织机构及职责
第五条、组织机构
公司成立网络语信息安全领导小组,配合上级互联网络安全应急领导小组做好领导、组织和协调公司机房互联网络安全应急工作。网络语信息安全领导小组设在公司702办公室,负责公司互联网络安全工作的日常联络和事务处理。
第六条、工作职责
领导小组主任职责与任务是负责统一临高公司网络语信息安全的灾害应急工作,负责处理公司网络、网站可能出现的各种突发事件,协调解决灾害处置工作中的重大问题。
第三章 处理程序和处置措施
第七条、处置程序
灾害发生后,判定灾害级别,初步估计灾害造成的损失,保留相关证据,并在10分钟内上报公司领导,由相关领导作出是否启动应急预案,一旦启动应急预案,有关人员应及时到位,相关技术人员进入应急处置工作状态,阻断网络连接,进行现场把偶,协助调查取证和系统恢复等工作,对相关时间进行跟踪,密切关注事件动向,协助调查取证,并将相关情况上报上级有关主管部门,有关违法事件移交公安机关处理。第八条、处置措施
在灾害发生时,首先应区别字啊还发生是否人为与自然灾害两种情况,把灾害处置措施分成两个流程。
流程一:当发生自然灾害维基公司网络与信息安全时,根据灾害发生时情况,在确保人员人参安全前提下,收钱保障书记安全,其次是设备安全,具体方法包括,安全关机、书记设备强行关机,书记备份物理转移等。
流程二:当人为或因病毒、攻击、入侵、造成灾害发生时,具体按一下顺序进行:立即向成都公安局网监大队举报,同时判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定迫害来源的IP或其他网络用户信息,修复被破坏的信息,回复信息系统,按照灾害发生的性质分别采用以下方案:
1.病毒传播:针对这种现象,要及时断开传播源,判断病毒的性质、采用的端口、然后关闭相应的端口,清楚相关病毒文件,必要时在网上公布病毒攻击信息以及防御方法。
2.入侵和攻击:对于网络入侵和攻击,首先要判断入侵和攻击的来源,区分外网与内网。入侵来自外网的,定位入侵的IP地址,及时关闭入侵的端口,限制入侵地IP地址的方位,在无法制止的情况下采用断开网络连接的方法,入侵来至内网的查清入侵来源,如IP地址、上网账号等信息,同时断开对应的交换机端口,然后针对入侵方法跟新入侵检测设备。
3.信息被篡改:这种情况,要求一经发现马上断开相应的信息上网连接,并尽快回复。
4.网络故障:一旦发现,可根据相应工作流程尽快排出。
5.其他没有列出的不切丁因素造成的灾害,如电信部分故障,联通骨干故障等,可根据总的安全原则,结合具体的情况,作出相应的处理,现有技术力量不能接触问题时,召开临时会议,共同研究对策。
第九条、一般性安全隐患处理
公司网络服务器配备了相应的硬件防火墙和防病毒软件,及时升级,如果没有安装防病毒软件,则采用技术手段及时清除杀灭网络病毒,检测到黑客入侵和攻击事件时,立即向应急领导小组成员发出警报,由组长安排系统工程师在第一事件处理黑客事件,保存相关的证据,在24小时内上报给公安局网监大队。系统工程师定期检查设备和系统的运转状况,在安全台账上子路维护记录,保障设备高效稳定的运行,一旦主服务器出现硬件设备故障和系统故障,工程师在第一事件启动备份服务器或备份数据,保障网络的正常运行,兵对预案服务器进行及时的检修,在修复后将替换备份服务器继续运行,保证网络的正常运行
第四章 应急保障
第十条、人员保证
加强应急处理人员必要的应急处理培训,使应急人员熟悉应急原则,工作流程,具备必要的技能,以满足互联网网络安全应急工作的需要。
第十一条、技术保障
重视网络信息技术的建设和升级换代,在灾害发生前确保网络信息系统的强劲与安全,灾害处置过程中和灾后重建中的相关技术支持。
第十二条、物质保障
公司根据近三年网络信息系统安全防治工作所需的经费情况,将本灾害应急经费纳入财政计划和预算,该买相应的应急设施,建立应急物质储备制度,保证应急抢险救灾队伍技术装备的及时更新,以确保灾害应急工作的顺利进行。
第五章 附则
第十三条、本预案由成都百腾科技有限公司网络与信息安全领导小组负责解释 第十四条、本预案自发布之日起施行。
成都百腾科技有限公司
2013年12月12日
第五篇:网络安全应急预案 - 副本
幼儿园幼儿园网络信息安全应急预案
一、预案目的
为了提高我园预防和控制突发网络和信息安全事件的能力和水平,使我园校园网络安全可运行而不受到威胁,保证我园师幼的工作、学习和生活不受到扰乱,维护幼儿园正常的教学秩序和校园稳定,结合我园实际,特制定本应急预案。
二、预案组织体系
我园成立了网络安全应急领导小组。名单如下: 组 长: 副组长: 组 员: 领导职责:
⒈加强领导,健全组织,强化工作职责,完善各项应急预案的制定和各项措施的落实。
⒉充分利用各种渠道进行网络安全知识的宣传教育,组织、指导全校网络安全常识的及教育,广泛开展网络安全和有关技能训练,不断提高广大师幼的防范意识和基本技能。
3.采取一切必要手段,组织各方面力量全面进行网络安全事故处理工作,把不良影响与损失降到最低点。
4.调动一切积极因素,全面保证和促进幼儿园网络安全稳定地运行。
三、各级处理预案
⒈网站、网页出现非法言论事件紧急处置措施。
网站、网页由值班人员负责随时密切监视信息内容。发现在网上出现非法信息时,值班人员应立即向本单位网络信息安全负责人通报情况;网络信息安全相关负责人应在接到通知后立即赶到现场,作好必要记录,清理非法信息,妥善保存有关记录及日志或审计记录,强化安全防范措施,并将网站网页重新投入使用。追查非法信息来源,并将有关情况向本单位网络信息安全领导小组汇报。网络信息安全领导小组组长召开小组会议,如认为事态严重,则立即向公安部门报警。
⒉黑客攻击事件紧急处置措施。
当有关值班人员发现网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向校园网信息安全负责人通报情况。信息安全相关负责人应在接到通知后立即赶到现场,并首先将被攻击的服务器等设备从网络中隔离出来,保护现场,并将有关情况向本单位网络信息安全领导小组汇报。对现场进行分析,并写出分析报告存档。恢复与重建被攻击或破坏系统。网络信息安全领导小组组长召开小组会议,如认为事态严重,则立即向公安部门报警。
⒊病毒事件紧急处置措施。
当发现有计算机被感染上病毒后,应立即向信息安全员报告,将该机从网络上隔离开来。信息安全人员在接到通报后立即赶到现场。启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。如果现行反病毒软件无法清除该病毒,应立即向本单位网络信息安全领导小组报告,并迅速联系有关厂商研究解决。网络信息安全领导小组经会商,认为情况严重的,应立即向公安部门报警。如果感染病毒的设备是主服务器,经本单位网络信息安全领导小组同意,应立即告知各下属单位做好相应的清查工作。
⒋软件系统遭破坏性攻击的紧急处置措施。
重要的软件系统平时必须做好备份工作,并将它们保存到安全的地方;一旦软件遭到破坏性攻击,应立即向信息安全人员报告,并将该系统暂停运行;信息安全人员要认真检查信息系统的日志等资料,确定攻击来源,并将有关情况向本单位网络信息安全领导小组汇报,再恢复软件系统和数据;网络信息安全领导小组组长召开小组会议,如认为事态严重,则立即向公安部门报警。
⒌数据库安全紧急处置措施。
主要数据库系统应做多个数据库备份;一旦数据库崩溃,值班人员应立即启动备用系统,并向网络信息安全负责人报告;在备用系统运行期间,信息安全工作人员应对主机系统进行维修并作数据恢复。
⒍广域网外部线路中断紧急处置措施。
广域网线路中断后,值班人员应立即向信息安全负责人报告。信息安全相关负责人员接到报告后,应迅速判断故障节点,查明故障原因。如属我方管辖范围,由信息安全工作人员立即予以恢复。如属电信部门管辖范围,立即与电信维护部门联系,要求修复。
⒎局域网中断紧急处置措施。
设备管理部门平时应准备好网络备用设备,存放在指定的位置。局域网中断后,信息安全相关负责人员应立即判断故障节点,查明故障原因,有必要时并向网络信息安全领导小组汇报。如属线路故障,应重新安装线路。如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅。如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调测通畅。如有必要,应向信息化主管部门汇报。
⒏设备安全紧急处置措施。如果服务器等关键设备损坏后,值班人员应立即向网络信息安全负责人报告。网络信息安全相关人员要立即查明原因。如果能够自行恢复,应立即用备件替换受损部件。如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修。如果设备一时不能修复,应向本单位网络信息安全领导小组汇报。
点击咨询 