网络安全管理应急预案

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

网络安全应急预案

一、总则

(一)目的

为科学应对网络与信息安全(以下简称信息安全)突发事件,建立健全信息安全应急响应机制,有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响,制订本应急预案。

(二)工作原则

预防为主。立足安全防护,加强预警,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统。

快速反应。及时获取充分而准确的信息,果断决策,迅速处置,最大程度地减少危害和影响。

分级负责。按照“谁主管谁负责”的原则,建立和完善安全责任制及联动工作机制。加强部门间的协调与配合,形成合力,共同履行应急处置工作的管理职责。

常备不懈。规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。

(三)组织机构及职责

设立信息系统应急工作领导小组,为公司处理信息安全突发事件应急工作的综合性议事、协调机构。

主要职责是:按照研究决定信息安全应急工作的有关重大问题,决定启动网络与信息安全突发事件应急指挥部,统一领导和组织指挥重大信息安全突发事件的应急处置工作。

二、预警和预防机制

(一)预警

信息系统应急工作领导小组接到信息安全突发事件报告后,在核实,研究分析可能造成损害程度的基础上,提出初步行动对策,视情况召集协调会,并根据应急委的决策实施行动方案,发布指示和命令。

(二)预防机制

积极推行信息安全等级保护,逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件,各相关部门建立制度化、程序化的处理流程。

三、应急处理程序

(一)级别的确定

根据《信息系统安全等级保护定级报告》确定信息安全

事件等级。

(二)预案启动

根据网络信息安全事件等级的不同,相关部门启动相应预案,并负责应急处理工作。

(三)现场应急处理

事件发生单位和现场应急处理工作组尽最大可能收集事件相关信息,判别事件类别,确定事件来源,保护证据,以便缩短应急响应时间。

检查威胁造成的结果,评估事件带来的影响和损害:如检查系统、服务、数据的完整性、保密性或可用性;检查攻击者是否侵入了系统;以后是否能再次随意进入;损失的程度;确定暴露出的主要危险等。

抑制事件的影响进一步扩大,限制潜在的损失与破坏。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统的物理链接,修改防火墙和路由器的过滤规则;封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路;提高系统或网络行为的监控级别;设置陷阱;启用紧急事件下的接管系统;实行特殊“防卫状态”安全警戒;反击攻击者的系统等。

在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。与此同时,执法部门和其他相关机构对攻击源进行准确定位并

采取合适的措施将其中断。

清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到正常的任务状态。恢复工作应十分小心,避免出现操作失误而导致数据丢失。另外,恢复工作中如果涉及机密数据,需要额外按照机密系统的恢复要求。如果攻击者获得了超级用户的访问权,一次完整的恢复应强制性地修改所有的口令。

(四)报告和总结

回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。发生重大信息安全事件的单位应当在事件处理完毕后将处理结果报上级主管部门备案。

(五)应急行动结束

根据信息安全事件的处置进展情况和现场应急处理工作组意见,信息系统应急工作领导小组组织相关部门及专家组对信息安全事件处置情况进行综合评估,并提出应急行动结束建议,报相关部门审批。应急行动是否结束,相关主管部门决定。

四、保障措施

(一)技术支撑保障

建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力:从技术上逐步实现发现、预警、处置、

通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。

(二)应急队伍保障

加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息安全核心人才和管理队伍,提高全社会信息安全防御意识。大力发展信息安全服务业,增强社会应急支援能力。

(三)物资条件保障

安排信息化建设专项资金用于预防或应对信息安全突发事件,提供必要的经费保障,强化信息安全应急处理工作的物资保障条件。

(四)技术储备保障

信息系统应急工作领导小组组织有关专家和科研力量,开展应急运作机制、应急处理技术、预警和控制等研究,组织参加相关培训,推广和普及新的应急技术。

五、事件处理流程

(一)黑客攻击时的紧急处置流程:

当有关值班人员发现平台内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向信息系统应急工作领导小组报告情况。

信息系统应急工作领导小组相关成员应在十分钟内赶到

现场,并首先应将被攻击的服务器等设备从网络中隔离出来,保护现场。

信息系统应急工作领导小组负责被攻击或破坏系统的恢复与重建工作。

信息系统应急工作领导小组组织相关人员追查攻击来源。会商后,将有关情况向信息安全领导小组报告,并妥善保存有关记录及日志或审计记录。

信息系统应急工作领导小组组长召开信息安全领导小组会议,如认为事态严重,则立即向公安部门或上级机关报警。

(二)病毒安全紧急处置流程:

当发现有服务器被感染上病毒后,应立即通知安全管理员,将该机从网络上隔离开来。

安全管理员在接到通报后,应在十分钟内赶到现场。对该设备的硬盘进行数据备份。启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。如果现行反病毒软件无法清除该病毒,应立即向信息系统应急工作领导小组报告,并迅速联系有关产品商研究解决。

信息系统应急工作领导小组会商后,认为情况严重的,应立即将有关情况向上级主管部门报告,并妥善保存有关记录及日志或审计记录。

信息系统应急工作领导小组组长召开信息安全领导小组

相关文档
最新文档