XXX網絡與信息安全應急預案編號: CZSMK-YJ-1106-001版本：1.0.0密級：機密XXX公司網絡與信息安全應急預案V1.0XXX公司2011年6月目錄一、總則2（一）編制目的3（二）編制依據3（三）適用范圍3（四）工作原則3二、組織機構3三、預警預防機制4（一）信息系統概述41、業務系統42、XX市XXX計算機信息網絡拓撲圖43、設備配置表4（二）事件分類及分級5（三）監控與預警信息報送5（四）預警響應5（五）預警解除5四、應急措施5（一）信息報告5（二）先期處理6（三）應急處理61、電力系統故障的應急處理流程62、消防系統應急處理流程63、網絡中斷緊急處理流程64、黑客攻擊的應急處理流程75、大規模病毒（含惡意軟件）攻擊的應急處理76、軟件系統故障的應急處理流程77、數據庫系統故障的應急處理流程88、設備硬件故障的應急處理流程89、應急故障處理流程圖8（四）后期處理91、善后處理92、調查和評估9一、 總則（一） 編制目的建立健全的XXX公司網絡與信息安全事件的預防和應急處理工作機制，提高對網絡與信息安全事件能力，保障XXX公司網絡和重要信息系統安全的運行，編制本預案。（二） 編制依據依據中華人民共和國國家安全法、中華人民共和國電信條例、中華人民共和國無線電管理條例、中華人民共和國計算機信息系統安全保護條例、國家突發公共事件總體應急預案、國家通信保障應急預案、江蘇省網絡與信息安全事件應急預案等（三） 適用范圍本預案適用于江蘇省XX市XXX信息系統發生網絡與信息安全事件的預防和應急處理工作。（四） 工作原則統一領導，分級負責；以人為本，預防為主；依法規范，加強管理；依靠科技，資源整合；快速反應，協同合作。二、 組織機構（一） XX市XXX公司負責本地XXX系統網絡與信息安全工作的組織、管理、協調和實施工作，負責本地信息系統的監測、預警和應急處理。（二） 聯創開發二部，負責為XXX公司的網絡與信息安全突發事件的監測、預警和應急處理工作提供技術支持，并參與重要信息的研判、事件調查和總結評估工作。（三） 組建網絡與信息安全事件專家處理小組，并與相關信息安全服務機構建立聯絡機制，為應急處理工作提供決策建議和技術指導，必要時參與網絡與信息安全事件的應急處理。（四） 組織機構圖三、 預警預防機制（一） 事件分類及分級根據網路與信息安全突發事件的性質、機理和發生過程，XXX公司網絡與信息安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障和災害性事件等。根據網路與信息安全突發事件的可控性、嚴重程度和影響范圍，參照我省網絡與信息安全事件分級標準，XX市XXX網絡與信息安全事件分為四級：I級（特別重大網絡與信息安全事件）、II級（重大網絡與信息安全事件）、III級（較大網絡與信息安全事件）、IV級（一般網絡與信息安全事件）。（二） 監控與預警信息報送XXX公司承擔網路與信息安全監測工作。各部門發現網絡與信息安全預警信息，應及時通知技術部。技術部會進行處判，提出預警等級建議，遇到有可能造成嚴重后果的I 至III級信息安全預警事件，還應按相關規定提報領導審查后發出預警。（三） 預警響應技術部安全員應保持24小時通信暢通。接到預警信息后，應立即啟動應急預案，進入預警狀態，加強值班值守工作，做好應急處理各項準備工作。（四） 預警解除I 至III級預警解除后根據相關部門要求，經向領導請示同意以后，及時進行解除安全事件預警。四、 應急措施（一） 信息報告發生網絡與信息安全事件后，技術部安全員立即部門負責人，并通知相關業務部門。技術部和有關單位進行研判后，保存證據，檢查影響范圍和危害程度，提出應急處理建議，報分管領導同意后啟動應急預案。遇到有可能造成嚴重后果的I至III級信息安全事件，還應按相關規定及時上報相關業務單位。（二） 先期處理當發生網路與信息安全突發事件時，相關工作人員做好先期應急處理工作，采取措施控制事態，必要時采用斷網、關閉服務器等方式防止事態進一步擴大。根據突發事件發展事態，技術部應組織設備廠商、系統開發商及安全服務商等應急支援力量，保存證據，做好應急處理工作。（三） 應急處理1、 電力系統故障的應急處理流程（1） 外電中斷后，技術部值班人員應立即檢查中心機房UPS電源是否正常供電，并查明中斷原因，及時向技術部負責人報告。（2） 如因樓內線路故障，要求物業管理部門迅速恢復供電。（3） 如因供電部門因素導致供電中斷，立即向供電部門聯系，請供電部門迅速恢復供電。（4） 如告知需要長時間停電，應作如下安排：預計停電1小時以內，由UPS供電；預計停電1小時以上2小時以內，關掉非關鍵設備，確保各主機、路由器、交換機供電。預計停電超過2小時候，在設備運行1小時候關掉所有機器設備。（5） 電力系統恢復供電后，技術部管理人員按照規定流程開啟相關設備。2、 消防系統應急處理流程當出現火情、火災時，發現人員應在最短時間內通知信息部安全員，并通知技術部及分管相關領導，通報物業管理部門。若火情嚴重時，應迅速撥打119電話報警，并盡可能采取一些簡單可行的方法做初步的處理，如：科學使用周圍的滅火器材或采用其他滅火措施、手段。在滅火的同時，立即疏散災情范圍的工作人員。進展情況隨時向技術部及分管領導報告。3、 網絡中斷緊急處理流程（1） 故障排查。網絡中斷后，技術部技術人員要迅速判斷故障節點，查明故障原因。（2） 故障排除。如屬線路故障，應重新安裝線路。如屬路由器、交換機等網絡設備故障，技術部技術人員立即檢修并調試通暢。如路由器、交換機配置文件破壞，信息安全員應迅速按照要求重新配置，調試通暢。必要時，請有關技術單位協助調測暢通。如需更換設備，應上報分管領導，經批準后馬上更換故障設備，盡快恢復系統運行。如發現屬于外部線路的問題，應與線路運營商聯系，敦促盡快恢復故障線路。技術部無法及時修理時，應立即通知相關供應商及維護人員，在最短時間內安排修理。4、 黑客攻擊的應急處理流程（1） 當發現網絡上有黑客攻擊行為時，應立即向信息安全員通報情況，并向分管領導報告。（2） 信息安全員應立即趕到現場，將被攻擊的服務器等設備從網絡中隔離出來，保護現場。（3） 如事態較為嚴重，經向分管領導請示后，立即向公安部門報警，配合公安部門展開調查。（4） 技術部技術人員做好被攻擊或破壞系統的恢復與重建工作。（5） 技術部負責組織技術力量追查非法信息來源。（6） 信息安全員將實施事件處理的過程和結果備案存檔，必要時向分管領導匯報。5、 大規模病毒（含惡意軟件）攻擊的應急處理（1） 當發現有計算機被感染上病毒后，計算機使用人員應立即使用殺毒軟件對計算機殺毒，并通知技術部。技術部技術人員應及時將該機從網絡上隔離開來，并及時趕到現場。（2） 技術人員對該設備的硬盤進行數據備份。（3） 技術人員啟用反病毒軟件對該機進行殺毒處理，并對相關機器進行病毒掃描和清除工作。（4） 如發現反病毒軟件無法清除該病毒，應向技術部領導匯報，有技術部組織相關技術人員研究解決。（5） 情況較為嚴重的，還應及時向有關分管領導報告，并向公安部門報警，配合公安部門展開調查。6、 軟件系統故障的應急處理流程（1） 軟件系統平時必須存有備份，與軟件系統相對應的數據必須有多日的備份；并將它們保存與安全處。（2） 軟件系統發生故障后，技術人員應立即向技術總監或總經理室匯報，經確認后停止該系統的運行并切換至備份系統，保證業務正常進行。（3） 技術部及時組織本部門技術人員，并同時通知XX市研發人員等技術力量做好軟件系統和有關數據的恢復工作。（4） 信息安全員檢查日志等資料，確定故障原因。（5） 技術部會同技術中心相關人員將實施處理的過程和結果備案存檔，并向有關領導匯報。7、 數據庫系統故障的應急處理流程（1） 數據庫系統每日必須存有備份，與軟件系統相對應的數據必須有多日的備份；并將它們保存與安全處。（2） 數據庫系統發生故障以后，技術人員立即向技術總監或總經理室匯報，經同意后采用重啟或其他手段盡快恢復數據庫運行，保證業務不中斷。（3） 技術部及時組織本地技術人員，并同時通知XX市研發人員等技術力量做好數據庫系統切換和有關數據的恢復工作。（4） 信息安全員檢查日志等資料，確定故障原因。（5） 技術部會同技術中心相關人員將實施處理的過程和結果備案存檔，并向有關領導匯報。8、 設備硬件故障的應急處理流程（1） 小型機、服務器等關鍵設備損壞后，技術人員應立即向技術部負責人報告。（2） 技術部負責人立即組織技術人員查明原因。聯系維保單位更換受損部件。（3） 如果設備一時不能修復，應向分管領導匯報，并告知各部門暫緩上傳上報數據。9、 應急故障處理流程圖（四） 后期處理1、 善后處理應急處理工作結束后，技術部應迅速采取措施，抓緊組織搶修受損的基礎設施，減少損失，盡快恢復正常工作，統計各種數據，查明原因，對事件造成的損失和影響以及恢復重建能力進行分析評估，真正制定恢復重建計劃，迅速組織實施。2、 調查和評估應急處理工作結束后，技術部，立即組織有關人員，專家組，會同技術中心成立事件調查小組，對事件發生及其處理過程進行全面的調查，查清事件發生的原因及財產損失狀況并總結經驗教訓，寫出調查評估報告。五、 應急培訓和演練1. 培訓應該對系統相關的人員進行培訓使他們知道如何以及何時使用應急計劃中的控制手段及恢復策略。對應急計劃的培訓至少每年舉辦一次；擁有計劃規定職責的新雇員應該在被雇用后接受短期培訓。和應急計劃相關的人員所接受的培訓最終應該使得他們能夠無需實際文檔的協助就能夠執行相應的恢復規程。應急計劃相關人員培訓主要包括以下內容：計劃的目的；團隊之間的協調與溝通；匯報規程；個人職責。2. 演練為保證應急行動的能力，應每年至少組織一次應急行動演練，以提高處理應急事件的能力，檢驗物資器材的完好情況。應急響應演練按如下步驟進行：1）首先，由系統主管單位確定應急響應演練的目標和應急響應演練的范圍；2）按系統主管單位的要求，信息安全管理小組制定應急響應演練的方案，并調配應急響應演練所需的各項資源，在必要時，由系統主管單位協調應急響應演練過程中涉及的部門和單位； 3）信息安全管理小組組織相關部門和單位進行應急響應演練；4）系統主管單位對應急演練進行評估，并通報應急響應演練結果；5）系統主管單位總結經驗，根據演練結果對應急預案的更新，并對本單位的應急工作進行整改；在每次應急響應過程結束之后，信息安全管理小組應針對應急響應工作過程中遇到的問題，分析應急響應預案的科學性和合理性，針對預案中的問題向系統主管單位提出修改建議。系統主管單位組織人員對修改意見進行評估，修改后的預案應經評估通過后，發布實施。在上級應急計劃或相關的法律標準修改后，本預案應進行調整與其保持一致。附件：網絡與信息安全事件應急培訓記錄表培訓日期演講人員演講主題參與人員演講內容網絡與信息安全事件記錄表日期事件發生原因處理辦法處理結果操作人員審核人員網絡與信息安全事件應急預案摘要表一、應急領導小組成員姓名職位聯系方式應急角色領導小組組長應急事件技術處理、協調應急事件業務處理、協調系統技術支撐、處理和協調對外信息披露、通報二、應急支撐力量（包含系統運營、開發、技術支持專家等）姓名單位聯系方式應急角色通訊保障業務問題評估、恢復重建信息安全員運維支撐系統技術支撐三、軟硬件服務維保方序號設備維保方聯系人聯系電話1安全服務2小型機、存儲陣列3UPS不間斷電源4防火墻、路由器、交換機各業務服務器硬件維修維護5各業務軟件維護6通信網絡故障四、事件與先期處理預判可能事件處置手段簡述電力系統故障啟動后被電力系統，根據UPS供電能力，保證關鍵設備用電。硬件故障聯系設備維保單位，提供備件。軟件系統故障聯系軟件系統開發單位，先進性數據備份，排除系統故障。數據庫系統故障聯系系統實施人員，先進行數據備份，排除系統故障。網絡故障聯系系統集成商，排除網絡故障線路故障聯系ISP服務提供商，檢查線路。網站被篡改聯系技術人員，采取技術措施阻斷對被篡改頁面的訪問，保護日志和相關文件，匯報信息安全主管部門，向公安部門報案。計算機病毒、木馬聯系技術人員，利用專業工具清除病毒和木馬，匯報信息安全主管部門。網絡攻擊事件聯系技術人員，采取技術措施恢復系統，保護日志和相關文件，并加強系統防御措施，匯報信息安全主管部門，向公安部門報案。信息泄露事件聯系安全服務部門，采取技術措施防止信息泄露