1、網站安全應急措施方案網站安全應急措施方案網站安全應急措施方案V:1.0精細整理，僅供參考 網站安全應急措施方案日期：20 xx年X月網站安全應急措施方案（一）目的為了防止病毒的攻擊，保證整個企業網不受病毒的感染，科學應對網絡與信息安全突發事件，建立健全網絡安全應急響應機制，有效預防、及時控制和最大限度地消除網絡安全各類突發事件的危害和影響，制訂本應急預 案。（二）工作原則1.統一領導，協同配合。全局網絡安全突發事件應急工作由IT 部領導和協調，相關部門按照 “統一領導、歸口負責、綜合協調、各司其職 ”的原則協同配合，具體實施。2.明確責任，各司其職。各部門按照部門管理、分級響應、及時發現、及時

2、報告、及時救治、及時控制的要求，依據個人責任對網絡安全突發事 件進行防范、監測、預警、報告、響應、協調和控制。按照誰主管、誰負責，誰運營、誰負責的原則，實行責任分工制和責任追究制。3.條塊結合，整合資源。充分利用現有網絡安全應急支援服務設施，整合我司所屬信息安全工作力量。充分依靠各個部門的網絡安全工作力量，進一步完善應急響應服務體系，形成局域網絡安全保障工作合力。4.防范為主，加強監控。宣傳普及網絡安全防范知識，牢固樹立“預防為主、常抓不懈 ”的意識，經常性地做好應對網絡安全突發事件的思想準備、預案準備、機制準備和工作準備，提高公共防范意識以及基礎網絡和重要信息系統的信息安全綜合保障水平。加強

3、對網絡安全隱患的日常監測，發現和防范重大信息安全突發性事件，及時采取有效的可控措施，迅速控制事件影響范圍，力爭將損失降到最低程度。二、處理預案（一）、網絡惡意攻擊事故處理預案（1）發現出現網絡惡意攻擊，立刻確定該攻擊來自公司內還是公司外；受攻擊的設備有哪些； 影響范圍有多大。 并迅速推斷出此次攻擊的最壞結果，判斷是否需要緊急切斷公司網的服務器及公網的網絡連接，以保護重要數據及信息；（2）立刻從防火墻中查出對方 IP 地址并過濾， 同時對防火墻設置對此類攻擊的過濾，并視情況嚴重程度決定是否報警。（3）重新啟動該電腦所連接的網絡設備，直至完全恢復網絡通信。（4）對該電腦進行分析，清除所有病毒、惡意

4、程序、木馬程序以及垃 圾文件，測試運行該電腦5 小時以上，并同時進行監控，無問題后歸還該電腦。（5 ）從事故一發生到處理事件的整個過程，IT 部門接到網絡信息安全突發事件報告后，在經初步核實后，將有關情況及時向上級主管部門報告。在進 一步綜合情況，研究分析可能造成損害程度的基礎上，提出初步行動對策， 視情況召集協調會，并根據應急決策實施行動方案，發布指示和命令。.（6）全面查對HTTP 日志，防火墻網絡連接日志，確定該不良信息的源 IP 地址，如果來自校內，則立刻全面升級此次事件為最高緊急事件，立刻向領導小組組長匯報， 視情節嚴重程度領導小組可決定是否向公安機關報案。（7）從事故一發生到處理事

5、件的整個過程，必須保持向領導匯報、解釋此次事故的發生情況、發生原因、處理過程。（二）、重大網絡事件處理預案（1）對公司重大事件進行評估、確定所需的網絡設備及環境。（2）關閉其它與該網絡相連，有可能對該網絡造成不利影響的一切網絡設備及計算機設備，保障該網絡的暢通。（3）對重要網絡設備提供備份，出現問題需盡快更換設備。、（4）對外網連接進行監控， 清除非法連接， 出現重大問題立刻由IT 部門向上級部門求救。（5）事先應向IT 部門匯報本次事件中所需用到的設備、環境，以及可能出現的事故及影響，在事件過程中出現任何問題應立刻向IT 部門主管匯報。快速響應機制（一）預警接到網絡信息安全突發事件報告后，在

6、經初步核實后，將有關情況及時向上級主管部門報告。在進一步綜合情況，研究分析可能造成損害程度的基礎上，提出初步行動對策，視情況召集協調會，并根據應急決策實施行動方案，發布指示和命令。 .（二）預防機制積極推行網絡信息安全等級保護，逐步實行網絡和信息安全風險評估。 各基礎信息網絡和重要信息系統建設要充分考慮抗毀性與災難恢復，制定完善網絡與信息安全應急處理預案。針對基礎信息網絡的突發性、大規模安全事件，各相關部門建立制度化、程序化的處理流程。四、應急處理程序.（一）現場應急處理發現問題者盡最大可能收集事件相關信息，判別事件類別，確定事件來源，保護證據，以便縮短應急響應時間。檢查威脅造成的結果，評估事

7、件帶來的影響和損害：如檢查系統、服務、數據的完整性、保密性或可用性；檢查攻擊者是否侵入了系統；以后是否能再次隨意進入；損失的程度；確定暴露出的主要危險等。抑制事件的影響進一步擴大，限制潛在的損失與破壞。 可能的抑制策略一般包括：關閉服務或關閉所有的系統，從網絡上斷開相關系統的物理鏈接，修改防火墻和路由器的過濾規則；封鎖或刪除被攻破的登錄賬號，阻斷可疑用 戶得以進入網絡的通路；提高系統或網絡行為的監控級別；設置陷阱；啟用 緊急事件下的接管系統；實行特殊“防衛狀態 ”安全警戒；反擊攻擊者的系統等。在事件被抑制之后，通過對有關惡意代碼或行為的分析結果，找出事件 根源，明確相應的補救措施并徹底清除。與

8、此同時，IT 部門和其他相關機構對攻擊源進行準確定位并采取合適的措施將其中斷。清理系統、恢復數據、程序、服務。把所有被攻破的系統和網絡設備徹底還原到正常的任務狀態。恢復工作應十分小心，避免出現操作失誤而導致數據丟失。另外，恢復工作中如果涉及機密數據，需要額外按照機密系統的恢復要求。如果攻擊者獲得了超級用戶的訪問權，一次完整的恢復應強制性地修改所有的口令。（四）報告和總結回顧并整理發生事件的各種相關信息，盡可能地把所有情況記錄到文檔中。發生重大信息安全事件的單位應當在事件處理完畢后將處理結果報上級主管部門備案。（五）應急行動結束根據信息安全事件的處置進展情況和現場應急處理工作組意見，IT 部門組織相關部門對信息安全事件處置情況進行綜合評估，并提出應急行動結束建議。五、日常管理1、IT 部門發布有關消息和警報，全面組織各項網絡安全防御、處理工作。各有關組員隨時準備執行應急任務。2、網絡管理人員對公司內外所屬網絡硬件軟件設備及接入網絡的計算機設備定期進行全面檢查，封堵、更新有安全隱患的設