第一篇:网络应急预案
xxx医院计算机网络突发事件应急预案
计算机网络突发事件应急预案
为妥善应对和处置医院计算机网络突发事件,维护医院正常的工作秩序和营造健康向上的网络环境,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》、作的通知》等有关法规文件精神,结合医院实际情况,特制定本应急预案。
一、指导思想
以维护医院正常工作和营造绿色健康的网络环境为中心,按照“预防为主,积极处置”的原则,进一步完善医院网络管理机制,提高突发事件的应急处置能力。
二、组织领导
成立了计算机信息系统安全保护工作领导小组
三、安全保护工作职能部门
1.由信息科负责日常工作,负责人:xxx 2.工作人员: xxx
四、应急措施
1.由信息科牵头,全院各部门负责实施。
2.各部门要加强对本部门职工进行及时、全面地教育和引导,提高安全防范意识。
3.各部门网站配备信息审核员和安全管理人员,严格执行医院计算机网络安全管理制度,规范电子阅览室、计算机机房等上网场所的管理,落实实名上网登记制度和日志留存。4.各部门建立健全重要数据及时备份和灾难牲数据恢复机制。
5.采取多层次的有害信息、恶意攻击防范与处理措施。各部门信息员为第一层防线,发现有害信息保留原始数据后及时删除;信息科为第二层防线,负责对所有信息进行监视及信息审核,发现有害信息在及时处理的同时向党委汇报,院计算机网络安全保护工作职能部门,还应向公安网监部门报告。
6.周六.周日医院安排值班人员。节假日、举行重大活动和发生重大事件时,医院安排专人24 小时对整个医院网的运行进行监控井及时删除各类有害信息。
7.切实做好计算机网络设备的防雷,防盗和防信号非法接入。若有以上情况发生,在向党委及时报告的同时,院计算机网络安全保护工作职能部门还应向公安网监部门报告。
单位自行应急处理措施指南
1、网站、网页出现非法言论事件紧急处置措施
(1)网站、网页由主办部门的值班人员负责随时密切监视信息内容。
(2)发现在网上出现非法信息时,值班人员应立即向本单位信息安全负责人通报情况: 情况紧急的,应先及时采取删除等处理措施,再按程序报告。
(3)信息安全相关负责人应在接到通知后立即赶到现场,作好必要记录,清理非法信息,妥善保存有关记录及日志或审计记录,强化安全防范措施,并将网站网页重新投入使用。(4)追查非法信息来源,并将有关情况向本单位网络领导小组汇报。
(5)信息化领导小组组长召开小组会议,如认为事态严重,则立即向市人民政府信息化主管部门和公安部门报警.2、黑客攻击事件紧急处置措施
(1)当有关值班人员发现网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向信息安全负责人通报情况。(2)信息安全相关负责人应在接到通知后立即赶到现场,井首先将被攻击的服务器等设备从网络中隔离出来,保护现场,并将有关情况向本单位信息化领导小组汇报。(3)对现场进行分析,并写出分析报告存档,必要时上报主管部门.(4)恢复与重建被攻击或破坏系统
(5)信息化领导小组组长召开小组会议,如认为事态严重,则立即向市人民政府信息化主管部门和公安部门报警。
3、病毒事件紧急处置揩施
(1)当发现有计算机被感染上病毒后,应立即向信息安全负责人报告,将该机从网络上隔离开来。
(2)信息安全相关负责人员在接到通报后立即赶到现场。(3)对该设备的硬盘进行数据备份,(4)启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
(5)如果现行反病毒软件无法清除该病毒,应立即向本单位信息化领导小组报告,并迅速联系有关产品商研究解决。
(6)信息化领导小组经会商,认为情况严重的,应立即向市人民政府信息化主管部门和公安部门报警。
(7)如果感染病毒的设备是主服务器,经本单位信息化领导小组同意,应立即告知各下属单位做好相应的清查工作。
4、软件系统遭破坏性攻击的紧急处置措施
(1)重要的软件系统平时必须存有备份,与软件系统相对应的数据必须按本单位容灾备份规定的间隔按时进行备份,并将它们保存千安全处。
(2)一旦软件遭到破坏性玫击,应立即向信息安全负责人报告,并将该系统停止运行。
(3)检查信息系统的日志等资料,确定攻击来源,并将有关情况向本单位信息化领导小组汇报,再恢复软件系统和数据。
(4)信息化领导小组组长召开小组会议,如认为事态严重,则立即向市政府信息化主管部门和公安部门报警。
5、数据库安全紧急处置措施
(1)在有条件的地区,主要数据库系统应按双机热备设置,并至少要准备两个以上数据库备份,平时一个备份放在机房,另一个备份放在另一安全的建筑物中。
(2)一旦数据库崩溃,值班人员应立即启动备用系统,并向信息安全负责人报告。(3)在备用系统运行期间;信息安全工作人员应对主机系统进行维修并作数据恢复。(4)如果两套系统均崩溃而无法恢复,应立即向有关厂商请求紧急支援。
6、广域网外部线路中断紧急处置措施
(1)广域网主、备用线路中断一条后,值班人员应立即启动备用线路接续工作,同时向信息安全负责人报告
(2)信息安全相关负责人员接到报告后,应迅速判断故障节点,查明故障原因。(3)如属电信部门管辖范围,立即与电信维护部门联系,要求修复。
(4)如果主、备用线路同时中断,信息安全相关负责人应在判断故障节点,查明故障原因后,尽快研究恢复措施。井立即向本单位信息化领导小组汇报。
7、局域网中断紧急处置楷施
(1)设备管理部门平时应准备好网络备用设备,存放在指定的位置。
(2)局域网中断后,信息安全相关负责人员应立即判断故节点,查明故障原因,并向网络安全组组长汇报(3)如属线路故障,应重新安装线路。
(4)如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,井调试通畅.(5)如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,井调测通畅。
8、设备安全紧急处置措施
(1)小型机: 服务器等关键设备损坏后,值班人员应立即向信息安全负责人报告。(2)信息安全相关负责人员立即查明原因。
(3)如果能够自行恢复,应立即用备件替换受损部件。
(4)如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修。(5)如果设备一时不能修复,应向本单位信息化领导小组汇报。
第二篇:网络应急预案
互联网网络安全应急预案
为提高应对突发互联网网络安全能力,维护网络安全和社会稳定,保障行政服务中心各项工作正常开展,特制定本预案。
一、根据互联网网络安全的发生原因、性质和机理,互联网网络安全主要分为以下三类:
(1)攻击类事件:指互联网网络系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。
(2)故障类事件:指互联网网络系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。
(3)灾害类事件:指因爆炸、火灾、雷击、地震、台风等外力因素导致互联网网络系统损毁,造成业务中断、系统宕机、网络瘫痪等情况。
二、建立应急联动机制
行政中心成立应急预案工作领导小组,由杨主任担任组长,副主任赵虎强担任副组长,按照“谁主管谁负责”原则,对于较大和一般突发公共事件进行先期处置等工作,并及时报单位领导处理和政府办信息科备案。
发生一般互联网网络安全事件,事发半小时内向单位主管领导口头报告,在1小时内向政府信息科书面报告;较大以上互联网网络安全事件或特殊情况,立即报告。
三、应急处理流程
出现灾情后值班人员要及时通过电话、传真、邮件、短信等方式通知单位领导及相关技术负责人。
值班人员根据灾情信息,初步判定灾情程度。能够自身解决,要及时加以解决;如果不能自行解决故障,由单位领导现场指挥,协调各部门力量,按照分工负责的原则,组织相关技术人员进入抢险程序。3.1病毒爆发处理流程 对外服务信息系统一旦发现感染病毒,应执行以下应急处理流程:(1)立即切断感染病毒计算机与网络的联接;(2)对该计算机的重要数据进行数据备份;
(3)启用防病毒软件对该计算机进行杀毒处理,同时通过防病毒软件对其他计算机进行病毒扫描和清除工作;
(4)如果满足下列情况之一的,应立即向本单位信息安全负责人通报情况,并向政府办信息科报告:
1)现行防病毒软件无法清除该病毒的; 2)网站在2小时内无法处理完毕的;
3)业务系统或办公系统在4小时内无法处理完毕的。4)恢复系统和相关数据,检查数据的完整性; 5)病毒爆发事件处理完毕,将计算机重新接入网络; 6)总结事件处理情况,并提出防范病毒再度爆发的解决方案; 7)实施必要的安全加固。3.2网页非法篡改处理流程
本单位对外服务网站一旦发现网页被非法篡改,应执行以下应急处理流程:(1)发现网站网页出现非法信息时,值班人员应立即向本单位信息安全负责人通报情况,并立即向县公安局网监处和政府信息科报告。情况紧急的,应先及时采取断网等处理措施,再按程序报告;
(2)本单位信息安全负责人应在接到通知后立即赶到现场,做好必要记录,妥善保存有关记录及日志或审计记录;
(3)县公安局网监处应在接到报告后2小时内赶到现场,追查非法信息来源。县信息中心做好各种相关的配合工作,必要时协调相关部门或公司来协助解决;
四、责任与奖惩
互联网网络安全事件应急处置工作实行领导负责制和责任追究制。对于在应急处置工作中做出突出贡献的先进个人,给予表彰和奖励。对于迟报、谎报、瞒报、漏报互联网网络安全事件重要情况或者应急处置工作中有其他失职、渎职行为的,依法对有关责任人给予行政处分;构成犯罪的,依法追究刑事责任。
第三篇:网络病毒应急预案范文
网络病毒应急预案
为提高应对突发互联网网络安全能力,维护网络安全和稳定,保障公司各项工作正常开展,特制定本预案。
一、根据互联网网络安全的发生原因、性质和机理,互联网网络安全主要分为以下三类
1、攻击类事件:指互联网网络系统因计算机病毒感染、非法入侵等导致业务中断、系统死机、网络瘫痪等情况。
2、故障类事件;指互联网网络系统因计算机软硬件故障、人为误操作等导致业务中断、系统死机、网络瘫痪等情况。
2、灾害类事件;指因爆炸、火灾、雷击、地震、台风等外力因素导致互联网系统损毁,造成业务中断、系统死机、网络瘫痪等情况。
二、建立应急联动机制
成立网络病毒应急预案工作信息化安全领导小组,由XX担任组长,XX担任副组长,XX担任信息安全负责人,XX担任安全员
三、互联网网络安全事件应急处理措施
1、网站、网页出现非法言论事件紧急处置措施
(1)网站、网页由IT部门的安全员负责随时密切监视信息内容。(2)发现在网上出现非法信息时,安全员应立即向信息安全负责人通报情况:情况紧急的,应先及时采取删除等处理措施,再按程序报告。
(3)信息安全负责人应在接到通知后立即赶到现场,作好必要记录,清理非法信息,妥善保存有关记录及日志或审计记录,强化安全防范措施,并将网站网页重新投入使用。
(4)追查非法信息来源,并将有关情况向单位领导小组汇报。(5)领导小组组长召开小组会议,如认为事态严重,则立即向市人民政府信息化主管部门和公安部门报警。
2、黑客攻击事件紧急处置措施
(1)当安全员发现网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向信息安全负责人通报情况。
(2)信息安全负责人应在接到通知后立即赶到现场,井首先将被攻击的服务器等设备从网络中隔离出来,保护现场,并将有关情况向单位领导小组汇报。
(3)对现场进行分析,并写出分析报告存档,必要时上报主管部门。(4)恢复与重建被攻击或破坏系统。
(5)信息化领导小组组长召开小组会议,如认为事态严重则立即向市人民政府信息化主管部门和公安部门报警。
3、病毒事件紧急处置揩施
(1)当发现有计算机被感染上病毒后,应立即向信息安全负责人报告,将该机从网络上隔离开来。
(2)信息安全负责人在接到通报后立即赶到现场。(3)对该设备的硬盘进行数据备份。
(4)启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
(5)如果现行反病毒软件无法清除该病毒,应立即向信息化领导小组报告,并迅速联系有关产品商研究解决。
(6)信息化领导小组经会商,认为情况严重的,应立即向市人民政府信息化主管部门和公安部门报警。
(7)如果感染病毒的设备是主服务器,经本单位信息化领导小组同意,应立即告知各下属单位做好相应的清查工作。
4、软件系统遭破坏性攻击的紧急处置措施
(1)重要的软件系统平时必须存有备份,与软件系统相对应的数据必须按本单位容灾备份规定的间隔按时进行备份,并将它们保存于安全处。
(2)一且软件遭到破坏性政击,应立即向信息安全负责人报告,并将该系统停止运行。
(3)检查信息系统的日志等资料,确定攻击来源,并将有关情况向本单位信息化领导小组汇报,再恢复软件系统和数据。
(4)信息化领导小组组长召开小组会议,如认为事态严重,则立即向市政府信息化主管部门和公安部门报警。
5、数据库安全紧急处置措施
(1)在有条件的地区,主要数据库系统应按双机热备设置,并至少要准备两个以上数据库备份,平时一个备份放在机房,另一个备份放在另一安全的建筑物中。
(2)一旦数据库崩溃,安全员应立即启动备用系统,并向信息安全负责人报告。
(3)在备用系统运行期间:信息安全工作人员应对主机系统进行维修并作数据恢复。
(4)如果两套系统均崩激而无法恢复,应立即向有关厂商请求紧急支援。
6、广域网外部线路中断紫急处置措施
(1)广域网主、备用线路中断一条后,安全员应立即启动备用线路接续工作,同时向信息安全负责人报告。
(2)信息安全负责人接到报告后,应迅速判断故障节点,查明故障原因。
(3)如属电信部门管辖范围,立即与电信维护部门联系,要求修复。(4)如果主、备用线路同时中断,信息安全负责人应在判断故障节点,查明故障原因后,尽快研究恢复措施。并立即向本单位信息化领导小组汇报。
7、局域网中断紧急处置楷施
(1)设备管理部门平时应准备好网络备用设备,存放在指定的位置。(2)局域网中断后,信息安全负责人应立即判断故障节点,查明故障原因,并向网络安全组组长汇报。(3)如属线路故障,应重新安装线路。
(4)如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅。
(5)如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试通畅。
8、设备安全紧急处置措施(1)小型机:服务器等关键设备损坏后,安全员应立即向信息安全负责人报告。
(2)信息安全负责人立即查明原因。
(3)如果能够自行恢复,应立即用备件替换受损部件。
(4)如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修。
(5)如果设备一时不能修复,应向本单位信息化领导小组汇报。
第四篇:网络突发事件应急预案
网络突发事件应急预案
为切实做好网络突发事件的防范和应急处理工作,进一步提高预防和控制网络突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保我局网络与信安全,根据 《 中华人民共和国计算机信计算机信系统安全保护条例》》、((中华人民共和国息网络国际联网安全保护管理办法)等有关法规文件精神,结合我局实际情况,特制定本应急预案。
一、指导思想
认真落实“教育在先,预防在前,积极处置”的工作原则,牢固树立安全意识,提高防范和救护能力,以维护正常的工作秩序和营造绿色健康的网络环境为中心,进一步完善网络管理机制,提高突发事件的应急处置能力。
二、组织领导及职责
成立计算机信息系统安全保护工作领导小组 组长
副组长 XX : XX 成员: xx 主要职责:负责召集领导小组会议,部署工作,安排、检查落实计算机网络系统重大事宜。副组长负责计算机网络系统应急预案的落实情况,处理突发事故,完成局领导交办的各项任务。
三、安全保护工作职能部门 1 .负责人: xx 2 .信息安全技术人员: xx
四、应急措施及要求 .各处室要加强对本部门人员进行及时、全面地教育和引导,提高安全防范意识。2 .网站配备信息审核员和安全管理人员,严格执行有关计算机网络安全管理制度,规范办公室、计算机机房等上网场所的管理,落实上网电脑专人专用和日志留存。.信息所要建立健全重要数据及时备份和灾难性数据恢复机制 .采取多层次的有害信息、恶意攻击防范与处理措施。各处室信息员为第一层防线,发现有害信息保留原始数据后及时删除;信息所为第二层防线,负责对所有信息进行监视及信息审核,发现有害信息及时处理。.切实做好计算机网络设备的防火、防盗、防雷和防信号非法接入。.所有涉密计算机一律不许接入国际互联网,做到专网、专机、专人、专用,做好物理隔离。连接国际互联网的计算机绝对不能存储涉及国家秘密、工作秘密、商业秘密的文件。
附:
应急处理措施指南
(一)当人为、病毒破坏或设备损坏的灾害发生时,具体按以下顺序进行:判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的 lP 或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照灾害发生的性质分别采用以下方案:、网站、网页出现非法言论事件紧急处置措施
(l)网站、网页由信息所值班人员负责随时密切监视信息内容。
(2)发现在网上出现内容被篡改或非法信息时,值班人员应立即向本单位信息安全负责人通报情况;情况紧急的,首先中断服务器网线连接,再按程序报告。
(3)信息安全相关负责人应在接到通知后立即赶到现场,作好必要记录,清理非法信息,妥善保存有关记录及日志或审计记录,强化安全防范措施,并将网站网页重新投入使用。
(4)追查非法信息来源,并将有关情况向本单位网络领导小组汇报。(5)信息化领导小组召开会议,如认为事态严重,则立即向公安部门报警。2、黑客攻击事件紧急处置措施
(l)当发现黑客正在进行攻击时或者已经被攻击时,首先将被攻击的服务器等设备从网络中隔离出来,保护现场,并将有关情况向本单位信息化领导小组汇报。
(2)信息安全相关负责人应在接到通知后立即赶到现场,对现场进行分析,并做好记录,必要时上报主管部门。
(3)恢复与重建被攻击或破坏系统。
(4)信息化领导小组召开会议,如认为事态严则立即向市政府信化办公室和公安部门报警 3、病毒事件紧急处置措施
(l)当发现有计算机被感染上病毒后,应立即向信来。安全负责人报告,将该机从网络上隔离开
(2)信安全相关负责人员在接到通报后立即赶到现场。(3)对该设备的硬盘进行数据备份。
(4)启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
(5)如果现行反病毒软件无法清除该病毒,应立即向本单位信息化领导小组报告,并迅速联系有关产品商研究解决。
(6)信息化领导小组开会研究,认为情况严重的,应立即市政府信息化办公室和公安部门报警。、软件系统遭破坏性攻击的紧急处置措施
(l)重要的软件系统平时必须存有备份,与软件系统相对应的数据必须按本单位容灾备份规定的间隔按时进行备份,并将它们保存于安全处。(2)一旦软件遭到破坏性攻击,应立即向信息安全负责人报告,并将该系统停止运行。(3)检查信息系统的日志等资料,确定攻击来源,并将有关情况向本单位信息化领导小组汇报,再恢复软件系统和数据。
(4)信息化领导小组召开会议,如认为事态严重,则立即市政府信息化办公室和公安部门报警。、数据库安全紧急处置措施
(1)对于重要的信息系统,主要数据库系统应按双机设备设置,并至少要准备两个以上数据库备份,平时一个备份放在机房,另一个备份放在另一安全的建筑物中。
(2)一旦数据库崩溃,值班人员应立即启动备用系统,并向信息安全负责人报告。(3)在备用系统运行期间;信息安全工作人员应对主机系统进行维修并作数据恢复。(4)如果两套系统均崩溃而无法恢复,应立即向有关厂商请求紧急支援。6、广域网外部线路中断紧急处置措施
(l)广域网线路中断后,值班人员应立即向信息安全负责人报告。
(2)信息安全相关负责人员接到报告后,应迅速判断故障节点,查明故障原因。(3)如属我方管辖范围,贝立即予以恢复。
(4)如属电信部门管辖范围,立即与电信维护部门联系,要求修复。(5)如有必要,向本单位信息化领导小组汇 7、局域网中断紧急处置措施
(l)设备管理部门平时应准备好网络备用设存放在指定的位置。
(2)局域网中断后,信息安全相关负责人员应立即判断故节点,查明故障原因并向网络安全组长汇报。
(3)如属线路故障,应重新安装线路。(4)如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅。如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调测通畅。
(6)如有必要,向本单位信息化领导小组汇报。8、设备安全紧急处置措施
(1)服务器等关键设备损坏后,值班人员应立即向信息安全负责人报告。(2)信息安全相关负责人员立即查明原因。
(3)如果能够自行恢复,应立即用备件替换受损部件。
(4)如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修。(5)如果设备一时不能修复,应向本单位信息化领导小组汇报。
(二)当发生的灾害为自然灾害时,应根据当时的实际情况障数据的安全,在保障人身安全的前提下,首先保,然后是设备安全。具体方硬盘的拔出与保存,设备的断电与拆卸、法包括搬迁等
(三)当发生火灾时,若因用电等原因引起火灾,立即切断电源,拨打 119 报警,组织人员开启灭火器进行扑救。
(1)对于初起火灾,现场人员应立即实施扑救工作,使用灭火器具实施灭火扑救工作;(2)火势较大时,应立即拨打们 9 火灾报警电话和根据火灾情况启动有关消防设备,通知有关人员到场灭火;
(3)在保障人员安全的前提下,按上款保护数据及设备。
(四)当市电不正常时,采用 UpS 供电,供电时间视电池容量而定,一般不超过 1 小时,若超过此时间,关团服务器等网络设备,等市电供应正常后半小时再重新启动服务器。
(五)其它做好机房及户外网络设备的防盗窃、防雷击、防鼠害等工作。若发生事故,应立即组织人员自救,并报警。其它没有列出的不确定因素造成的灾害,可根据总的安全原则,结合具体的情况,做出相应的处理。不能处理的可以请示相关的专业人员。网络突发事件应急预案。
第五篇:网络信息系统应急预案
网络信息系统应急预案
一、总则
(一)目的
为科学应对网络与信息安全(以下简称信息安全)突发事件,建立健全信息安全应急响应机制,有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响,制订本应急预案。
(二)工作原则
1.统一领导,协同配合。全局信息安全突发事件应急工作由省局统一领导和协调,相关部门按照“统一领导、归口负责、综合协调、各司其职”的原则协同配合,具体实施。
2.明确责任,依法规范。各单位各部门按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求,依法对信息安全突发事件进行防范、监测、预警、报告、响应、协调和控制。按照“谁主管、谁负责,谁运营、谁负责”的原则,实行责任分工制和责任追究制。
3.条块结合,整合资源。充分利用现有信息安全应急支援服务设施,整合我局所属信息安全工作力量。充分依靠局各有关部门在地方的信息安全工作力量,进一步完善应急响应服务体系,形成局域信息安全保障工作合力。
4.防范为主,加强监控。宣传普及信息安全防范知识,牢固树立“预防为主、常抓不懈”的意识,经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备,提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测,发现和防范重大信息安全突发性事件,及时采取有效的可控措施,迅速控制事件影响范围,力争将损失降到最低程度。
二、预警和预防机制
(一)预警
省保障中心接到信息安全突发事件报告后,在经初步核实后,将有关情况及时向上级主管部门报告。在进一步综合情况,研究分析可能造成损害程度的基础上,提出初步行动对策,视情况召集协调会,并根据应急委的决策实施行动方案,发布指示和命令。
(二)预防机制
积极推行信息安全等级保护,逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件,各相关部门建立制度化、程序化的处理流程。
三、应急处理程序
(一)级别的确定
根据《信息系统安全等级保护定级报告》确定信息安全事件等级。
(二)预案启动
根据网络信息安全事件等级的不同,相关部门启动相应预案,并负责应急处理工作。
(三)现场应急处理
事件发生单位和现场应急处理工作组尽最大可能收集事件相关信息,判别事件类别,确定事件来源,保护证据,以便缩短应急响应时间。
检查威胁造成的结果,评估事件带来的影响和损害:如检查系统、服务、数据的完整性、保密性或可用性;检查攻击者是否侵入了系统;以后是否能再次随意进入;损失的程度;确定暴露出的主要危险等。
抑制事件的影响进一步扩大,限制潜在的损失与破坏。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统的物理链接,修改防火墙和路由器的过滤规则;封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路;提高系统或网络行为的监控级别;设置陷阱;启用紧急事件下的接管系统;实行特殊“防卫状态”安全警戒;反击攻击者的系统等。
在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。与此同时,执法部门和其他相关机构对攻击源进行准确定位并采取合适的措施将其中断。
清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到正常的任务状态。恢复工作应十分小心,避免出现操作失误而导致数据丢失。另外,恢复工作中如果涉及机密数据,需要额外按照机密系统的恢复要求。如果攻击者获得了超级用户的访问权,一次完整的恢复应强制性地修改所有的口令。
(四)报告和总结
回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。发生重大信息安全事件的单位应当在事件处理完毕后将处理结果报上级主管部门备案。
(五)应急行动结束
根据信息安全事件的处置进展情况和现场应急处理工作组意见,省局组织相关部门及专家组对信息安全事件处置情况进行综合评估,并提出应急行动结束建议,报相关部门审批。应急行动是否结束,相关主管部门决定。
四、保障措施
(一)技术支撑保障
省局建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力:从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。
(二)应急队伍保障
加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息安全核心人才和管理队伍,提高全社会信息安全防御意识。大力发展信息安全服务业,增强社会应急支援能力。
(三)物资条件保障
安排信息化建设专项资金用于预防或应对信息安全突发事件,提供必要的经费保障,强化信息安全应急处理工作的物资保障条件。
(四)技术储备保障
省局组织有关专家和科研力量,开展应急运作机制、应急处理技术、预警和控制等研究,组织参加相关培训,推广和普及新的应急技术。
五、宣传、培训和演习
(一)公众信息交流
省局在应急预案修订、演练的前后,应利用各种新闻媒介开展宣传;不定期地利用各种安全活动向社会大众宣传信息安全应急法律、法规和预防、应急的常识。
(二)人员培训
为确保信息安全应急预案有效运行,定期或不定期举办不同层次、不同类型的培训班或研讨会,以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。
(三)应急演习
为提高信息安全突发事件应急响应水平,定期或不定期组织预案演练;检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充、完善。计算机系统或网络系统。依据计算机系统和网络系统的特点,信息安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。