網絡安全應急預案-通用版XXXXXX2023年07月目錄TOC\o"1-3"\h\u5887一、總則 416374編制目的 48815編制依據 41181適用范圍 47221工作原則 519000 65185工作領導小組 625247應急協調小組 614347安全監控小組 725701應急聯絡小組 720201內部處理小組 78272外部支撐單位 76706三、風險分析 816252有害程序事件 816192網絡攻擊事件 914269信息破壞事件 1021209其他網絡安全事件 1128673四、應急預案體系 126275網絡安全事件應急預案 1231930場景應急方案 1224014網站篡改應急預案 1223704與其他預案的關系 1422683五、預防及預警機制 148220預警信息 1426854預警分級 1431442風險監測 1524994預警發布及行動 1629481預警措施 1622944預警信息跟蹤反饋 1620039六、應急響應 1719618網絡安全事件分級 1732589特別重大網絡安全事件（Ⅰ級） 1722021重大突發事件（Ⅱ級） 1824037較大突發事件（Ⅲ級） 1817935一般突發事件（Ⅳ級） 1921714接警與處理 194999信息報送 198409信息報告 2015682一級應急處置流程 2130937二級應急處置流程 2214793三級應急處置流程 2326955四級響應流程 2423424應急結束 2415269七、后期處置 253099恢復生產 2518551持續監測 2518644事件調查 2511101總結及改進 263349八、通信保障 2628518九、裝備保障 261975十、數據保障 2716362十一、隊伍保障 275899十二、監督管理 2718666宣傳教育和培訓 2710814預案演練 272908責任與獎懲 2823264十三、附則 281975013.1預案更新 282651313.1制定和解釋 281882613.1預案實施 2816671十四、附錄： 2911856相關場景應急處置方案 299631網絡病毒事件 294857黑客攻擊事件 3124903數據損壞 3317078網絡信息泄漏 3519216客戶信息泄漏 3714080安全事件處理報告 41871安全事件處理報告 41一、總則編制目的為了提高XXXXXX（以下簡稱“XXXXXX”）網絡與信息系統的網絡安全突發事件的能力，形成快速、高效、有序的突發事件應急響應機制，最大限度地預防和減少網絡安全突發事件及其造成的損害和影響，保障信息系統的安全穩定運行，維護正常的生產秩序，結合XXXXXX實際情況，制定本預案。編制依據本預案在編制過程中充分遵循和參考了如下法律法規和相關標準規范；《中華人民共和國突發事件應對法》《中華人民共和國網絡安全法》《國家突發公共事件總體應急預案》《突發事件應急預案管理辦法》（GB/Z20986-2007）《中華人民共和國計算機信息系統安全保護條例》適用范圍本預案所指網絡安全事件是指由于人為原因、軟硬件缺陷或故障、自然災害等，對網絡和信息系統或者其中的數據造成危害，對社會造成負面影響的事件，可分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他事件。本預案適用于網絡安全事件的應對工作。其中，有關信息內容安全事件的應對，另行制定專項預案。工作原則統一領導，分工負責網絡安全事件應急處置工作由網絡安全工作領導小組統一協調。按照“統一領導、分工負責”的原則，建立和完善網絡安全責任制；及時預警，協作配合建立網絡監控機制，做到有問題及時發現、及時預警。建立和完善網絡安全聯動工作機制，形成網絡安全聯合應急處置合力，以最快、最優的方式解決網絡的安全問題；快速處理、確保恢復儲備一支網絡安全應急響應隊伍，既有過硬的技術，又有良好的政治背景，發現問題快速響應，快速解決，同時建立和完善網絡安全事件跟蹤機制，做到“閉環”處理，確保故障恢復。預防為主、加強預警建立預防預警機制和信息通報工作制度，將風險評估和安全檢查列入常態工作，做到早發現、早報告、早處置；根據業務特征和本單位應急工作實際，制定信息系統現場處置方案，做好應急資源準備、保障措施落實、應急培訓和應急演練等工作，切實提高對各類網絡安全突發事件的應急響應和處置能力。處置優先、保證重點發生網絡安全突發事件時，事發部門要按照“處置優先、快速反應”原則及時獲取充分而準確的信息，跟蹤研判，果斷決策，按照相關應急預案進行迅速處置，最大程度地減少危害和影響，并收集、保存好相應證據用于后續溯源研判攻擊者使用。在網絡安全突發事件處理過程中，應采取各種必要手段，防止事件范圍進一步擴大，優先保證骨干網絡和核心系統的恢復，提高整個系統恢復速度。科學化、程序化與規范化加強技術儲備，規范應急處置措施與操作流程，實現網絡安全突發事件應急處置工作的科學化、程序化與規范化，樹立常備不懈的觀念，定期進行預案演練，確保應急預案切實可行。網絡安全應急組織架構各小組職責工作領導小組研究網絡安全重大應急決策和部署；III應急協調小組安全監控小組網絡安全突發事件的監控、告警及事故跟蹤，判斷突發事件警情級別并發布應急預警信息和信號；對突發事件所造成的業務影響作出預測分析并提出相關的對策建議；收集、匯總各部門上報的現場處置方案、預警信息、突發事件信息和處置期間的進展情況。應急聯絡小組行應急演練；監督執行應急響應領導小組的應急指令、重大應急決策和部署，協調各方應急資源，組織應急處置；進一步判斷突發事件的警情級別，并組織召開相關會議，提出相關對策建議，及時上傳下達，督促決策落實及反饋決策執行情況。內部處理小組照相關現場處置方案迅速開展現場應急處置工作；時能及時響應；負責應急裝備、備品備件及工器具的準備工作；落實領導小組下達的各項任務；跟蹤、記錄事件處理過程，確保事件“閉環”處理。外部支撐單位外部支撐單位由設備及服務提供商等組成，主要是為應急處置工作提供處理建議和技術指導；必要時參與網絡安全事件現場應急處置工作。三、風險分析網絡信息存在受到計算機病毒、漏洞攻擊、掃描竊聽等風險，極有可能危害系統可用性、完整性或保密性，上述風險引起的網絡安全突發事件主要包括：有害程序事件指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導致的網絡安全事件。有害程序是指插入到信息系統中的一段程序，有害程序危害系統中數據、應用程序或操作系統的保密性、完整性或可用性，或影響信息系統的正常運行。有害程序事件包括計算機病毒事件、蠕蟲事件、木馬事件、僵尸網絡事件、混合攻擊程序事件、網頁內嵌惡意代碼事件和其它有害程序事件等7個第二層分類。計算機病毒事件是指蓄意制造、傳播計算機病毒，或是因受到計算機病壞數據，影響計算機使用，并能自我復制。自動復制并傳播的有害程序。木馬事件是指蓄意制造、傳播木馬程序，或是因受到木馬程序影響而導具有控制該信息系統或進行信息竊取等對該信息系統有害的功能。序。混合攻擊程序事件是指蓄意制造、傳播混合攻擊程序，或是因受到混合攻擊程序影響而導致的網絡安全事件。混合攻擊程序是指利用多種方法傳播和感染其它系統的有害程序，可能兼有計算機病毒、蠕蟲、木馬或僵尸網絡等多種特征。混合攻擊程序事件也可以是一系列有害程序綜合有害程序。其它有害程序事件是指不能包含在以上6事件。網絡攻擊事件運行造成潛在危害的網絡安全事件。網絡攻擊事件包括拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件等7個第二層分類。拒絕服務攻擊事件是指利用信息系統缺陷、或通過暴力攻擊的手段，以CPU響信息系統正常運行為目的的網絡安全事件。后門攻擊事件是指利用軟件系統、硬件系統設計過程中留下的后門或有害程序所設置的后門而對信息系統實施的攻擊的網絡安全事件。漏洞攻擊事件是指除拒絕服務攻擊事件和后門攻擊事件之外，利用信息絡安全事件。置、端口、服務、存在的脆弱性等特征而導致的網絡安全事件。網絡釣魚事件是指利用欺騙性的計算機網絡技術，使用戶泄漏重要信息密碼等。干擾事件是指通過技術手段對網絡進行干擾，或對廣播電視有線或無線件。其他網絡攻擊事件是指不能被包含在以上6擊事件。信息破壞事件信息篡改事件是指未經授權將信息系統中的信息更換為攻擊者所提供的信息而導致的網絡安全事件，例如網頁篡改等導致的網絡安全事件。件，例如網頁假冒等導致的網絡安全事件。信息泄漏事件是指因誤操作、軟硬件缺陷或電磁泄漏等因素導致信息系全事件。系統中信息而導致的網絡安全事件。信息丟失事件是指因誤操作、人為蓄意或軟硬件缺陷等因素導致信息系統中的信息丟失而導致的網絡安全事件。其它信息破壞事件是指不能被包含在以上5壞事件。其他網絡安全事件四、應急預案體系網絡安全事件應急預案場景應急方案網站篡改應急預案（一）值班及技術人員（二）技術方案（三）處理流程值班人員斷開網站服務器的網線，切斷網站和互聯網之間的通信，保護現場。值班人員或防篡改系統發現官方網站被篡改值班人員斷開網站服務器的網線，切斷網站和互聯網之間的通信，保護現場。值班人員或防篡改系統發現官方網站被篡改網站被非法篡改，已經斷網處理）（改，已經斷網處理）網站負責人通知技術人員到場查明原因網站負責人通知技術人員到場查明原因公安局完成取證，查明原因并修復系統公安局完成取證，查明原因并修復系統值班人員報公司相關負責人值班人員報公司相關負責人（內容：網站恢復正常）值班人員報有關部門（內容：網站恢復正常）值班人員報有關部門（內容：網站恢復正常）與其他預案的關系五、預防及預警機制預警信息預警分級Ⅰ級預警安全漏洞類信息：漏洞可導致遠程運行任意代碼或受漏洞影響的服務死鎖，且攻擊代碼易于開發;病毒類信息：病毒可導致遠程控制被感染系統或嚴重消耗系統資源，且病毒已大規模傳播或具有大規模傳播的趨勢;并且受漏洞影響的服務向全網用戶、或不可控的第三方（SP）開放;Ⅱ級預警安全漏洞類信息：漏洞可導致遠程運行任意代碼或受漏洞影響的服務死鎖，但攻擊代碼不易于開發病毒類信息：病毒可導致遠程控制被感染系統或嚴重消耗系統資源，但病毒尚未呈現已大規模傳播的趨勢Ⅲ級預警鎖；病毒類信息：病毒可導致本地控制被感染系統或嚴重消耗系統資源，但病毒尚未呈現大規模擴散的趨勢。Ⅳ級預警漏洞類信息：除高危和中危和外的所有安全漏洞；病毒類信息：除嚴重和中度以外的所有病毒。風險監測安全預警信息的范圍包括最新的安全漏洞、病毒、安全補丁、入侵手法等，監控小組通過各種途徑收集網絡安全預警信息。信息來源如下：上級機構下發的安全預警信息；定期主動與廠商確認周期內公布的安全預警信息；主動從安全信息站點以及國家相關安全機構獲取安全預警信息；與本公司各系統管理員建立聯系，定期從系統管理員收集相關系統的安全預警信息。預警信息的定義，分為緊急、重要、中度、一般四個等級。預警發布及行動預警措施預警信息跟蹤反饋六、應急響應網絡安全事件分級特別重大網絡安全事件（Ⅰ級）網絡大面積中斷：因網絡中斷，造成XXXXXX12小時以上的。主營業務系統大面積癱瘓：因系統主要功能不可用，造成XXXXXX三分之二以上部門不能正常使用一個及以上主營業務系統，系統癱瘓時間12個小時以上的。數據毀壞：主營業務數據毀壞后完全不能恢復的。數據泄密：通過網絡與信息系統發生涉及國家秘密與XXXXXX機密數據的數據泄漏。重大突發事件（Ⅱ級）網絡較大面積中斷：因網絡中斷，造成XXXXXX6小時以上。主營業務系統較大面積癱瘓：因系統主要功能不可用，造成XXXXXX半數6個小時以上。數據毀壞：主營業務數據毀壞后部分恢復的。XXXXXX較大突發事件（Ⅲ級）網絡中斷：因內部網絡中斷，造成XXXXXX2小時以上。主營業務系統癱瘓：因系統主要功能不可用，造成XXXXXX四分之一以上2個小時以上。數據毀壞：主營業務數據毀壞后大部分恢復的。XXXXXX用，發布或傳播了政治敏感信息，造成了一定程度不良政治影響的。一般突發事件（Ⅳ級）XXXXXX1單位不能正常使用一個及以上主營業務系統，持續時間超過1的。XXXXXX11個小時以上。數據毀壞：主營業務數據毀壞后能夠完全恢復的。數據泄密：通過網絡與信息系統發生涉及企密內部數據泄漏。接警與處理信息報送信息報告突發事件上報流程圖

聯絡員在收到突發事件報警后對報警情況進行核實，并立即向各部門經領導小組決策并下達啟動相應級別的應急響應。1030報事件。應急響應工作流程應急處置一級應急處置流程二級應急處置流程三級應急處置流程四級響應流程應急結束七、后期處置恢復生產持續監測事件調查總結及改進八、通信保障九、裝備保障十、數據保障十一、隊伍保障十二、監督管理宣傳教育和培訓預案演練責任與獎懲十三、附則一、預案知曉范圍13.1預案更新13.1制定和解釋13.1預案實施十四、附錄：相關場景應急處置方案網絡病毒事件并采取一定處理措施，應確定病毒感染的范圍，評估信息內容的影響，并判斷是否需要啟用應急響，若不需要則由事發部門自行處置。III響應領導小組。I10XX30XX2XX求幫助。絡隔離。聯絡小組應有向受影響用戶發布通知。應急結束后，應對時間進行分析、總結并形成安全事件處理報告（造成的直接損失等，并將報告上報應急處置工作領導小組，并向XX有關部門報備。黑客攻擊事件響，若不需要則由事發部門自行處置。III響應領導小組。I0XI0XXIII2XX道。系統能夠正常恢復和有效取證。聯絡小組在處置進行各階段向受影響用戶發布通知。應急結束后，應對事件進行分析、總結并形成安全事件處理報告（有關部門報備。數據損壞系統發生宕機或者發生數據損壞時，監控小組人員立即通知部門聯絡員并馬上做預處理。預處理操作后，未正常運行的情況，部門聯絡員立即通知聯絡小組，并視乎故障情況還原備份數據和還原系統。故障事件超過2XX應待系統或系統數據恢復正常后，檢查歷史數據和當前數據的差別，由系統管理員補