网络安全应急预案
一、总 则
1.1编制目的
建立健全网络与信息安全应急工作机制,提高应对与处置网络与信息系统突发事件的能力,科学、快速、有效和有序地处置网络与信息系统突发事件,预防和减少网络与信息安全事件对业务工作造成的损失和危害,最大限度地保障信息系统的安全性、完整性和可用性,保障信息系统正常工作
1.2编制依据
《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》等法律法规,《国家网络安全事件应急预案》《信息系统网络安全事件应急预案》等文件。
1.3适用范围
本预案适用于应对网络安全事件的应急处置工作。按照《国家网络安全事件应急预案》规定,本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和其他事件。信息内容安全事件的应对,参照有关规定和办法。
1.4事件分级
参照《国家网络安全事件应急预案》事件分级规定,根据信息系统特点,可能造成的危害,可能发展蔓延的趋势等,网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。
(1)符合下列情形之一的,为特别重大网络安全事件(Ⅰ级):
①信息基础设施或统一运行的核心业务信息系统(网站)遭受特别严重损失,造成系统大面积瘫痪,丧失业务处理能力。
②信息基础设施或统一运行的核心业务信息系统(网站)的重要敏感信息或关键数据丢失或被窃取、篡改。
③其他对业务系统安全稳定和正常秩序构成特别严重威胁,造成特别严重影响的网络安全事件。
(2)符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件(Ⅱ级):
①信息基础设施或核心业务信息系统(网站)遭受严重系统损失,造成系统瘫痪,业务处理能力受到重大影响。
②核心业务信息系统(网站)的重要敏感信息或关键数据发生丢失或被窃取、篡改。
③其他对业务系统安全稳定和正常秩序构成严重威胁,造成严重影响的网络安全事件。
(3)符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件(Ⅲ级):
①重要业务信息系统(网站)遭受较大系统损失,明显影响系统效率,业务处理能力受到影响。
②重要业务信息系统(网站)的信息或数据发生丢失或被窃取、篡改、假冒。
③其他业务系统安全稳定和正常秩序构成较大威胁,造成较大影响的网络安全事件。
(4)一般网络安全事件(Ⅳ级):
除上述情形外,对安全稳定和正常秩序构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
1.5工作原则
(1)统一指挥、密切协同。网络安全和信息化工作领导小组统筹协调网络安全应急指挥工作,建立与网络安全职能部门、专业机构等多方参与的协调联动机制,加强预防、监测、报告和应急处置等环节的紧密衔接,做到快速响应、正确应对、果断处置。
(2)分级管理、强化责任。按照“谁主管谁负责、谁运维谁负责”的原则,各单位对本单位网络安全工作负主体责任。
(3)预防为主、演练结合。坚持事件处置和预防工作相结合,做好事件预防、预判、预警工作,加强应急支撑保障能力和安全态势感知能力建设。提高网络安全事件快速响应和科学处置能力,抓早抓小,争取早发现、早报告、早控制、早解决,严控网络安全事件风险和影响范围。
二 预警防御机制
1、监控与预警信息报送
信息管理中心承担学大剧院网络与信息安全检测工作。发现网络与信息安全预警信息,应及时通知网络中心,协同网络中心进行判定,提出预警等级建议,遇到可能造成严重后果的I至III级信息安全预警事件,应按相关规定提报领导审查后发出预警。
2、预警响应
网络中心主管安全人员应保持24小时通信畅通,接到预警信息后,应立即启动应急预案,进入预警状态,做好应急处理各项准备工作。
3、预警解除
I至III级预警解除后根据要求,经向领导请示同意后,及时进行解除安全事件预警。
三 应急措施
1、信息报告
发生网络与信息安全事件后,网络中心应立即通知部门负责人,并通知相关业务部门,经和有关部门进行研判后,保存证据,检查影响范围和危害程度,提出应急处理建议,报领导同意后,启动应急预案。
2、先期处理
当发生网络与信息安全突发事件时,相关工作人员做好前期处理工作,采取措施控制事态,必要时采取断网,关闭服务器等方式防止事态进一步扩大。
3、应急处理
(1)网络中断紧急处理流程
1)故障排除。网络中断后,技术部技术人员要迅速判断故障节点,查明故障原因。
①如属于新路故障,应重新安装线路。
②如属于路由器,交换机等网络设备故障,技术部应立即检修并调试畅通。如路由器、交换机配置文件损坏,网络技术人员应迅速安装并按要求重新配置并调试畅通,必要时请有关技术支持部门协助调测畅通。
③如需更换设备应报上级领导,经批准后马上更换故障设备,尽快回复系统运行。
④如服务器属于租赁其他厂商的服务器,需要迅速与运营商取得联系,敦促尽快恢复线路故障。
⑤技术部门无法及时修理,应立即通知相关供应商及维护人员,在最短时间内安排修理。
(2)黑客攻击的应急处理流程
①当发现网络上有黑客攻击行为,应立即向领导汇报,并且将被攻击的服务器设备从网络中隔离出来,保护现场。
②如事态较为严重,经向分管领导请示后,立即向公安部门报警,配合公安部门展开调查。
③技术人员做好被攻击或破坏系统的恢复与重建工作。
④技术部门组织技术力量追查非法信息来源。
⑤信息安全员将实施事件处理的过程和结果进行备案存档。
(3)大规模病毒(含恶意软件)攻击的应急处理
当发现有计算机被感染病毒后,计算机使用人员应立即使用杀毒软件对计算机杀毒,并将该计算机从网络上隔离开来,避免内网感染。
(4)应用程序故障的应急处理流程
①应用程序平时必须存有备份,与软件系统相对应的数据必须有最近几次的备份,并将保留在安全区域。
②应用程序发生故障后,操作人员应立即向上级进行汇报,经确认后停止该系统,并切换至备份系统保证业务正常进行。
③技术人员应检查日志等资料,确定故障原因。
④处理完毕后将处理过程及结果备案存档。
(5)数据库系统故障的应急处理流程
①数据库系统每日都必须备份,与软件相对应的数据必须有进几日的备份,并且保存至安全服务器。
②数据库发生故障后,应立即向上级汇报,经同意后采用重启或者其他手段尽快回复数据库运行,保证业务不中断。
③技术部门应及时的做好数据库系统的切换和有关数据的恢复工作。
④检查日志等资料,确定故障原因。
⑤解决后,将处理过程及结果备案存档。
四、预防工作
4.1日常管理
各单位应做好网络安全事件日常预防工作,根据本预案制定完善相关的专项应急预案和配套的管理制度,建立完善的应急管理体制。按照网络安全等级保护、信息基础设施防护等相关要求落实各项防护措施,做好网络安全检查、风险评估和容灾备份,加强信息系统的安全保障能力。
4.2监测预警和通报
加强网络安全监测预警和通报,及时发现并处置安全威胁。各部门应全面掌握本部门信息系统(网站)情况,建立网络安全监测预警和通报机制,并指导、监督本部门及时修复安全威胁,全面排查安全隐患,提高发现和应对网络安全事件的能力。
4.3应急演练
每年组织针对特别重大网络安全事件的跨单位、跨层级的应急演练,检验和完善预案,提高实战能力。每年至少组织一次应急演练,每年年底前将本年度演练情况报网络安全应急办。
4.4宣传教育
各部门应将网络安全教育作为国家安全教育的重要内容,加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传教育。同时,充分利用网络安全周等各种活动形式和传播媒介,开展网络安全基本知识和技能的宣传活动,提高在校师生的网络安全意识。
4.5工作培训
各部门应定期组织网络安全培训,将网络安全事件的应急知识列为领导干部和有关人员的培训内容,加强网络安全特别是网络安全事件应急预案的学习,提高网络安全管理和技术人员的防范意识及安全技能。
五、工作保障
5.1机构和人员
各部门应落实网络安全应急工作责任制,明确网络安全职能科室,并将网络安全应急工作作为重点工作予以部署。按照“谁主管谁负责”的原则,把网络安全应急工作责任落实到具体部门、具体岗位和个人,建立健全应急工作机制。
5.2技术支撑
各单位应明确或建立网络安全技术支撑部门,加强网络安全应急技术支撑队伍建设和网络安全物资保障,做好网络安全事件的监测预警、预防防护、应急处置、应急技术支援工作。
5.3专家队伍
建立网络安全专家组,完善专家研判分析与支撑保障机制,为网络安全事件的预防和处置提供技术咨询和决策建议。各单位根据单位实际,建立本单位的网络安全专家咨询队伍,提高应急保障能力。
5.4信息共享与应急合作
加强与网络安全职能部门、网络安全专业机构、行业学会等单位的合作,建立网络安全威胁的信息共享机制和网络安全事件的快速发现和协同处置机制。
5.5责任与奖惩
对网络安全事件应急管理工作中作出突出贡献的先进集体和个人给予表彰和奖励;对不按照规定制定预案和组织开展演练,迟报、谎报、瞒报和漏报网络安全事件重要情况或者在应急管理工作中有其他失职、渎职行为的,依照相关规定对有关责任人给予处分;构成犯罪的,依法追究刑事责任
六、预案管理
本预案原则上每年评估一次,根据实际情况适时修订,原则上每三年至少修订一次。有下列情形之一的,应当及时修订应急预案:
一、有关法律、行政法规、规章、标准、预案中的有关规定发生变化的;
二、应急指挥机构及其职责发生重大调整的;
三、面临的风险发生重大变化的;
四、重要应急资源发生重大变化的;
五、预案中的其他重要信息发生变化的;
六、在突发事件实际应对和应急演练中发现问题需要作出重大调整的;
七、相关部门名称或职能发生变化的;
八、应急预案制定单位认为应当修订的其他情况。
七、预案实施
本预案自发布之日起施行
