网络安全应急预案
在我们的学习、工作或生活中,有时会出现一些意料之外的事件或事故,为了减小事故造成的危害,很有必要提前准备一份具体、详细、针对性强的应急预案。应急预案的格式和要求是什么样的呢?下面是小编收集整理的网络安全应急预案,欢迎大家分享。
网络安全应急预案1
一、总则
(一)编制目的
提高处置突发事件的能力,促进互联网应急通信、指挥、调度、处理工作迅速、高效、有序地进行,满足突发情况下互联网通信保障应急和通信恢复工作的需要,维护企业利益,为保障生产的顺利进行创造安全稳定可靠的网络环境。
(二)编制依据
《中华人民共和国电信条例》、《国家通信保障应急预案》、《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《非经营型互联网信息服务备案管理办法》、《互联网IP地址资源备案管理办法》和《中国互联网域名管理办法》等有关法规和规章制度。
二、组织指挥体系及职责
设立信息网络安全事故应急指挥小组,负责信息网络安全事故的组织指挥和应急处置工作。总指挥由主要领导担任,副总指挥由分管领导担任,指挥部成员由信息中心运行。
三、预测、预警机制及先期处置
(一)危险源分析及预警级别划分
1.1、危险源分析
根据网络与信息安全突发公共事件的发生过程、性质和机理,网络与信息安全突发公共事件主要分为以下三类:
(1)自然灾害。指地震、台风、雷电、火灾、洪水等引起的网络与信息系统的损坏。
(2)事故灾难。指电力中断、网络损坏或是软件、硬件设备故障等引起的网络与信息系统的损坏。
(3)人为破坏。指人为破坏网络线路、通信设施,网络精英攻击、病毒攻击、恐怖袭击等引起的网络与信息系统的损坏。
2.2、预警级别划分
预警级别划分
根据预测分析结果,预警划分为四个等级:Ⅰ级(特别严重)、Ⅱ级(严重)、Ⅲ级(较重)、Ⅳ级(一般)。
Ⅰ级(特别严重):因特别重大突发公共事件引发的,有可能造成整个学校互联网通信故障或大面积骨干网中断、通信枢纽设备遭到破坏或意外损坏等情况,及需要通信保障应急准备的重大情况;通信网络故障可能升级为造成整个学校互联网通信故障或大面积骨干网中断的情况。计算机房发现火情或其他重大自然灾害或存在重大自然灾害隐患的。
Ⅱ级(严重):因重大突发公共事件引发的,有可能造成学校网络通信中断,及需要通信保障应急准备的情况。
Ⅳ级(一般):因一般突发公共事件引发的,有可能造成局域网内某个交换点所属局部网通信故障(不影响正常一般通信)的情况。
(二)预防机制
信息网络安全事故应急指挥小组应加强对各级通信保障机构及全网通信网络安全防护工作和应急处置工作的监督检查,保障通信网络的安全畅通。
(三)预警监测
各重要信息系统重要负责人和主管科室要进一步完善网络与信息安全突发公共事件监测、预测、预警制度。要落实责任,制定信息通报工作制度。按照“早发现、早报告、早处置”的原则,加强对各类网络与信息安全突发公共事件和可能引发网络与信息安全突发公共事件的有关信息的收集、分析判断和持续监测。
(四)先期处置
当发生网络与信息安全突发公共事件时,发现事故的人员在按规定向相关系统管理员报告的同时,及时向信息网络安全事故应急指挥小组相关领导报告。负责人员在接手事故报告后要向信息网络安全事故应急指挥小组进行应急工作进程报告和事故分析报告。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
四、应急响应
(一)应急处置分级和应急处置程序
突发事件发生时应急通信保障工作和通信恢复工作,按照快速、机动、灵活的原则,根据响应的`预警级别分别进行处置。
Ⅰ级:突发事件造成全学校通信故障或大面积骨干网中断、通信枢纽设备遭到破坏等情况,及接到学校下达的通信保障任务,由信息网络安全事故应急指挥小组负责组织和协调。负责人员要迅速准确的定位故障源,如果是核心设备故障要及时切换到备用核心设备上并测试调通;如果是骨干网物理链路故障要第一时间通知相关部门(通信公司)进行抢修并切换到备用线路上测试调通。面对网络精英攻击或恶意破坏等人为造成的网络故障,要及时通知公安机关,同时采取紧急行动如切断数据源等将损失控制在最小范围。对于发现的重大自然灾害隐患,要及时汇报信息网络安全事故应急指挥小组并迅速通知消防局等相关部门,准备好临时处理灾情需要用到的工具。火灾属于常见灾情,发现火情后按如下步骤处置:
(1)发现火情要立即切断电源,值班员及时应用消防器材进行处理。
(2)立即上报领导做好事故处理记录。
(3)如切断电源并使用机房消防器灭火都不能控制火情,要及时报警(报警电话:119),报警时要准确说清火灾的地点和火灾状况,并留下联系电话。
(4)出现危急情况要利用各种手段及时逃生。
Ⅱ级:突发事件造成本学校多个下属分公司网络通信中断或接到学校有关部门下达的通信保障任务时,由信息网络安全事故应急指挥小组负责组织和协调。负责人员要迅速准确的定位故障源,如果是关键部位网络设备故障要及时切换到备用设备上并测试调通;如果是骨干网物理链路故障要第一时间通知相关部门(通信公司)进行抢修并切换到备用线路上测试调通。如果是业务系统发生故障按如下办法处置:
二、趋势防病毒服务器:
1、当趋势防病毒服务器出现以下情况时,值班员应负责重启趋势防病毒服务器
(1)双击IE安装页面,出现“该页无法显示”时。
(2)大量用户申告客户端无法连接服务器。
2、重启服务器后系统仍然不能正常应用,则立即通知系统管理员,并及时做好故障现象及处理过程记录。
3、当系统管理员经过一小时处理仍未排除故障时,应通知科长协调处理。
(二)应急保障任务结束
事故现场得以控制,网络环境符合有关标准,导致次生、衍生事故隐患消除后可确认网络通信保障和通信恢复应急工作任务完成。由信息网络安全事故应急指挥小组下达解除任务通知书,现场应急指挥机构收到通知书后,任务正式结束。
(三)调查、处理、后果评估与监督检查
信息网络安全事故应急指挥小组负责对重大通信事故原因进行调查、分析和处理,对事故后果进行评估,并对事故责任处理情况进行监督检查。
(四)信息发布
信息网络安全事故应急指挥小组负责有关信息的发布工作。
(五)通讯
在突发事件的应急响应过程中,要确保应急处置系统内部机构之间的通信畅通。通信联络方式主要采用固定电话、移动电话、卫星电话。
五、后期处置
(一)情况汇报和经验总结
在突发事件应急响应过程中,信息网络安全事故应急指挥小组应做好突发事件中网络设施损失情况的统计、汇总、原因分析、应急处置情况总结等,并按程序上报。如有需要维护修理的设备要及时处理。
(二)奖惩评定及表彰
为提高通信保障应急工作的效率和积极性,对于在应对突发事件过程中表现突出的单位和个人应给予通报表扬;对保障不力,给企业造成损失的单位和个人按有关规定进行处理。
六、保障措施
(一)物资保障
信息网络安全事故应急指挥小组应建立必要的通信保障应急资源的保障机制,根据通信保障应急工作要求,配备必要的通信保障应急装备,加强对应急资源及装备的管理、维护和保养,以备随时紧急调用。
(二)人员保障
通信保障应急队伍主要由信息中心相关人员组成。信息网络安全事故应急指挥小组人员要不断提高自身专业水平并听从组长的指挥。
(三)宣传、培训和演习
信息网络安全事故应急指挥小组应加强对通信网络安全和通信保障应急的宣传教育工作,定期或不定期地对信息网络安全事故应急指挥小组主要技术人员进行技术培训和应急演练,保障应急预案的有效实施,不断提高通信保障应急的能力。
(五)通信保障应急工作监督检查制度
信息网络安全事故应急指挥小组应加强对通信保障应急工作的监督和检查,做到居安思危、常备不懈。
经费保障
由信息网络安全事故应急指挥小组根据通信应急保障需要,提出项目支出预算申请,报学校批准后执行。
网络安全应急预案2
为贯彻落实中央、省、市有关网络安全工作的精神,进一步完善我局网络安全保障体系,切实提高网络安全防护能力和水平,根据《福州市审计局关于进一步加强网络安全工作的意见》,结合我局实际,制定应急预案如下:
一、总则
(一)指导思想
为保障我局网络和信息安全,预防和遏制网络突发事件的发生,消除突发事件造成的危害和影响,根据有关要求,按照“统一领导、统一指挥、各司其职、整体作战、保障安全”的原则,建立健全信息安全应急响应机制,有效预防和及时控制网络安全事件的危害和影响,制定我局的网络信息安全应急处置预案。
本预案以《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《国家网络安全事件应急预案》和《福建省审计厅网络安全事件应急预案》等为指导思想,总结工作中行之有效的经验,以构建预防为主、防治结合的网络信息安全长效管理与应急处理机制为根本,以保证系统安全稳定运行为目标,努力将网络安全工作纳入制度化、科学化和规范化的轨道,提高快速反应和应急处理能力。
(二)适用范围
本应急处置预案适用于福州市审计局各网的网络信息安全应急处置。根据事件分级原则,我局网络安全事件分为四级:一般(IV级)、较大(III级)、重大(II级)和特别重大(I级)。
(三)处置原则
1、预防为主。通过建立健全网络及信息安全管理制度,组织较好的安全设施建设,开展网络安全日常监测,组织网络安全测评,加强信息系统安全教育,预防网络信息系统安全事故的发生。
2、分级负责。建立局领导统一指挥、计算机审计处、办公室等各处室(中心)和值班人员积极配合的审计网络信息系统应急机制。
3、果断处置。一旦发生网络信息系统安全事故,应迅速启动应急措施,尽最大努力减少损失,尽最快速度恢复网络信息系统的安全运行。
二、组织机构及职责
(一)组织机构
局网络安全工作领导小组负责统筹领导网络安全事件应急处置工作,具体通过网络安全领导小组办公室协调组织局网络安全事件应对工作,建立健全全局联动处置机制。值班人员、办公室、计算机处和相关处室单位按照职责分工负责相关网络安全事件应对工作。
(二)主要职责
1、督促落实局网络安全与信息化领导小组的决定和措施;
2、全面开展网络安全事件的预防、监测、报告、应急准备、应急处置和事后恢复与重建工作;
3、拟订网络安全事件相关工作规划和应急预案;
4、督促检查各处室、单位,指导各县(市)区审计机关信息安全工作;
5、汇总有关网络安全事件的各种重要信息,进行综合分析,并提出建议。
三、预警和预防机制
(一)监测及报告
1、加强信息安全监测、分析和预警工作,建立网络安全事件报告制度。当网络安全事件发生后,值班人员或相关处室单位等立即报告网络安全工作领导小组办公室(计算机处)。
2、网络安全工作领导小组办公室立即组织断开网络,并启动应急预案,控制事态,消除隐患。及时向网络安全工作领导小组组长报告,对于初判为较大及以上网络安全事件的,立即报告市网安部门和上级审计机关。
(二)预警机制
网络安全工作领导小组办公室接到网络安全事件报告后,立即组织调查核实,并将有关情况及时向组长报告。组织人员进一步进行情况综合分析,研究可能造成损害的程度,提出解决问题的对策。组长视情况召集协调会,研究制定行动方案,发布指示和命令。
(三)预防机制
积极推行信息安全等级保护,逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定并不断完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件,各相关部门建立制度化、程序化的处理流程。
四、应急处置程序
(一)级别的确定
网络安全事件分级的参考要素包括信息密级、公众影响和资产损失三项。各参考要素分别说明如下:
1、信息密级是衡量因信息失窃或泄密所造成的信息安全事件中涉及信息的重要程度的要素;
2、公众影响是衡量信息安全事件所造成的负面影响范围和程度的要素;
3、资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。
网络安全事件级别分为四级:一般(IV级)、较大(III级)、重大(II级)和特别重大(I级)。
IV级:审计局机关各处室、下属单位范围内出现并可能造成损害其他网络安全的事件。
III级:审计局机关各处室、下属单位范围内的信息系统、重点网站等正常运作受到大面积影响和冲击。
II级:审计局机关各处室、下属单位范围内的基础网络、重要信息系统、重点网站瘫痪,并且纵向或横向延伸可能造成严重社会影响或较大经济损失。
I级:敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动;或者局机关各处室、下属单位范围多地点或多地区基础网络、重要信息系统、重点网站瘫痪,并且已经造成或可能造成严重社会影响或巨大经济损失的网络安全事件。
(二)预案启动
发生网络安全事件(I级~IV级)后,网络安全工作领导小组办公室启动相应预案,并负责指挥和进行应急处置工作。
(三)现场应急处理
事件发生单位和现场应急处理工作,应尽最大可能收集事件相关信息,区别事件类别,确定事件来源,保护证据,以便缩短应急响应时间。
检查威胁造成的结果,评估事件带来的影响和损害:如检查系统、服务、数据的完整性、保密性或可用性,检查攻击者是否侵入了系统,以后是否能再次随意进入,损失的程度,确定暴露出的主要危险等。
抑制事件的`影响进一步扩大,限制潜在的损失与破坏。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路,提高系统或网络行为的监控级别,设置陷阱,启用紧急事件下的接管系统,实行特殊“防卫状态”安全警戒,反击攻击者的系统等。
1、审计管理系统等出现异常,无法正常服务时,首先由计算机审计处与福建省审计厅OA服务办联系联系沟通,确定故障原因,配合福建省审计厅OA服务办解决问题。(福建省审计厅OA服务办联系电话xx)。
2、东部办公区电子政务云平台存储设备与云平台网络发生故障时,首先与东部办公区电子政务云平台值班电话联系沟通,确定故障原因,配合东部办公区电子政务云平台解决问题。(东部办公区电子政务云平台值班联系电话xx)。
3、计算机、服务器硬件设备无法正常运行时,首先检查服务器设备故障报警指示灯状态,初步确定故障原因,使用配套系统硬件检测软件检查确定具体部位。如果不能自行排除,应立即与各设备服务商联系排除故障。(惠普官方维修电话xxx;戴尔官方维修电话xxx)
4、网络设施或安全设备发生故障时,首先检查分析故障原因,初步判断故障性质,采取重启设备、已备份配置启动设备等方法排除故障。对不能排除的,区分故障设备,审计专网防火墙及时联系网神科技有限公司福建省分公司,互联网防火墙及时联系网康科技有限公司福建省分公司,确保网络畅通。(网神科技有限公司福建省分公司维修电话xx;网康科技有限公司福建省分公司维修电话xxxx)
5、门户网站、微信公众号等政务新媒体出现非法信息或无法正常运行等异常,要立即通过计算机审计处向福州市网站管理部门反映情况,并积极会同相关部门及时追查非法信息来源并及时处理。紧急情况下,可在保全证据的前提下,采取先删除非法信息,再按程序报告的处置措施。(网站管理部门值班电xxx)
(四)后续处理
1、安全事件进行最初的'应急处置以后,应及时采取行动,抑制其影响的进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小。
2、安全事件被抑制之后,通过对有关事件或行为的分析结果,找出其根源,明确相应的补救措施并彻底清除。
3、在确保安全事件解决后,要及时清理系统、恢复数据、程序、服务,恢复工作应避免出现误操作导致的数据丢失。
(五)记录上报
网络安全事件发生时,应及时向网络安全工作领导小组汇报,并在事件处置工作中作好完整的过程记录,及时报告处置工作进展情况,保存各相关系统日志,直至处置工作结束。
(六)结束响应
系统恢复运行后,网络安全工作领导小组办公室对事件造成的损失、事件处理流程和应急预案进行评估,对响应流程、预案提出修改意见,总结事件处理经验和教训,撰写事件处理报告,同时确定是否需要上报该事件及其处理过程,需要上报的应及时准备相关材料;属于重大事件或存在非法犯罪行为的,第一时间向公安机关相关部门报案。
五、保障措施
(一)技术支撑保障
重视网络信息系统的建设和升级换代,加强技术管理,确保网络安全整体方案的不断完善,聘请信息安全顾问为应急处置过程和重建工作提供咨询和技术支持,确保网络信息系统的稳定与安全。
网络安全工作领导小组办公室不定期组织有关专家和科研力量,开展应急运作机制、应急处理技术、预警和控制等研究,推广和普及新的应急技术。
(二)应急队伍保障
重视信息安全队伍的建设,并不断提高审计人员的信息安全防范意识和技术水平,确保安全事件应急处置过程和重建工作中技术人员的在岗与防护能力。
(三)资金保障
根据网络及信息系统安全预防和应急处置工作的实际需要,提出年度应急处置工作相关设备、工具软件和技术支撑服务所需经费,并纳入年度部门预算,给予资金保障。
六、宣传、培训和演习
(一)安全宣传
不定期举办网络与信息安全知识培训,加强干部职工的计算机操作、信息技能、网络和信息安全等相关知识的宣传普及,增强预防意识和简单应急处置能力。
(二)人员培训
为确保信息安全应急预案有效运行,不定期地举办不同层次、不同类型的培训班或研讨会,以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。
(三)应急演习
为提高网络安全事件应急响应水平,不定期组织预案演练;检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充、完善。
七、监督检查与奖惩
(一)预案执行监督
网络安全工作领导小组办公室对预案实施的全过程进行监督检查,督促各单位按本预案指定的职责采取应急措施,确保及时、到位。
发生重大网络安全事件的处室、单位应当按照规定及时如实地报告事件的有关信息,不得瞒报、缓报或者授意他人瞒报、缓报。任何单位或个人发现有瞒报、缓报、谎报重大信息安全事件情况时,有权直接向网络与信息安全小组举报。
应急行动结束后,网络安全工作领导小组办公室对相关成员单位采取的应急行动的及时性、有效性进行评估。
(二)责任追究
在发生重大网络安全事件后,有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的,将予以通报批评;对造成严重不良后果的,将视情节由有关主管部门追究责任领导和责任人的行政责任;构成犯罪的,由有关部门依法追究其法律责任。
八、附则
本预案所称网络安全事件,是指由于自然灾害、设备软硬件故障、内部人为失误或破坏、黑客攻击、无线电频率干扰和计算机病毒破坏等原因,关系到国计民生的基础性网络及重要信息系统的正常运行受到严重影响,出现业务中断、系统破坏、数据破坏或信息失窃或泄密等现象,以及境内外敌对势力、敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动,或者对国内通信网络或信息设施、重点网站进行大规模的破坏活动,在国家安全、社会稳定或公众利益等方面造成不良影响以及造成一定程度直接或间接经济损失的事件。网络安全事件的主体是指网络安全事件的制造者或造成网络安全事件的最终原因。网络安全事件的客体是指受信息安全事件影响或发生信息安全事件的计算机系统或网络系统。依据计算机系统和网络系统的特点,信息安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。
本预案通过演习、实践检验,以及根据应急力量变更、新技术、新资源的应用和应急事件发展趋势,及时进行修订和完善。
本预案自印发之日起实施,原《福州市审计局网络及信息安全应急预案》(榕审〔20xx〕67号)同时废止。