网络安全应急预案.doc
《网络安全应急预案.doc》由会员分享,可在线阅读,更多相关《网络安全应急预案.doc(25页珍藏版)》请在冰豆网上搜索。
XX市XXXX
网络和信息安全突发事件应急预案
(2018年修订)
XX市XXXX
2018年5月
目录
一、 总则 4
(一) 目的 4
(二) 工作原则 4
(三) 修订依据 4
(四) 事件分类分级 5
1事件分类 5
2事件等级 6
二、 组织指挥体系及职责 6
(一)电子政务网络安全突发事件应急领导小组 6
1、应急领导小组组成 6
2、应急领导小组职责 7
(二)应急领导小组办公室 7
1、人员构成 7
2、办公室职责 7
(三)应急领导小组系统恢复组 8
1、系统恢复组组成 8
2、系统恢复组职责 8
三、 监测、预警和预防 8
(一) 监测 8
(二) 预警级别及发布 8
(三) 应急预防 9
四、 突发事件应急响应 9
(一)一、二级突发事件响应程序 9
(二)三级突发事件应急响应程序 9
(三)四级突发事件应急响应程序 9
五、 应急处置 9
(一)一级突发事件处置 9
1、事件分类 9
2、预防措施 9
3、预备措施 10
4、应对措施 10
5、存在的缺陷 10
(二)二级突发事件预案 10
1、事件分类 10
2、预防措施 11
3、预备措施 11
4、应对措施 12
5、存在的缺陷 错误!
未定义书签。
(三)三级突发事件预案 14
1、事件分类 14
2、预防措施 14
3、预备措施 16
4、应对措施 17
5、存在的缺陷 错误!
未定义书签。
(四)四级突发事件预案 19
1、事件分类 19
2、预防措施 20
3、预备措施 20
4、应对措施 20
5、存在的缺陷 错误!
未定义书签。
六、 突发事件后处理 21
七、 保障措施 22
(一) 专业支撑队伍 22
(二) 技术支援队伍的建设 22
八、 宣传、培训和演练 23
(一) 宣传教育 23
(二) 培训 23
(三) 演练 23
九、 其它 23
十、 技术服务支撑人员 25
网络和信息安全突发事件应急预案
一、总则
(一)目的
为做好XX网络与信息安全事件应对工作,提高应急处理能力,最大限度的减少各种突发事件对系统造成的损失,保障XXXX安全稳定运行,制定本预案。
(二)工作原则
统一领导、分级管理,条块结合、以块为主,职责明确、规范有序,结构完整、功能全面,反应灵敏、运转高效,整合资源、信息共享。
(三)修订依据
《中华人民共和国突发事件应对法》等法律法规,《国家突发公共事件总体应急预案》、《国家网络与信息安全事件应急预案》、《国家突发公共事件总体应急预案》、《XX省突发公共事件总体应急预案》、《X市突发事件应急预案管理办法(试行)》、《信息安全事件分类分级指南》(GB/Z20986-2007)等相关规定。
4
(四)事件分类分级
1事件分类
网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。
⑴有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
⑵网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
⑶信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
⑷信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
⑸设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
⑹灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。
2事件等级
(1)一级事件
整个系统瘫痪、完全恢复所需时间很长、费用高昂。
(2)二级事件
关键设备瘫痪、无法替代、恢复时间长、费用高。
(3)三级事件
病毒攻击或设备故障造成部分应用堵塞或停顿,运营商链路故障以及网络主干非关键设备故障,电子政务应用系统故障。
(4)四级事件
一般网络与设备故障。
二、组织指挥体系及职责
为切实加强对突发事件的应急响应、处置工作的指挥和领导,保障XX系统的正常运行和国家财产不受损失,特成立XX系统网络和信息安全突发事件应急领导小组,负责对XX系统网络安全突发事件的应急指挥、协调、监督管理、事件处置的具体实施。
小组下设办公室、系统恢复组两个部门。
(一)XX网络安全突发事件应急领导小组
1、应急领导小组组成
组长:
副组长:
成员:
2、应急领导小组职责
(1)组织实施XX网络和信息安全突发事件应急预案,承担应急处置组织领导工作;
(2)收集、分析工作信息,及时上报重要信息;
(3)负责XX网络与信息安全的监测预警和风险评估控制、隐患排查整改工作;
(4)组织制订、修订XX网络安全突发事件应急预案;
(5)负责组织协调网络与信息安全突发事件应急演练;
(6)负责XX应对网络与信息安全突发事件的宣传教育与培训;
(7)启动和终止XX系统网络安全突发事件应急预案;
(8)协调各部门人员、物力。
(9)协调各协作和相关的单位:
应急技术支援、机房环境与设备日常监控管理等单位。
(二)应急领导小组办公室
1、人员构成
主任:
成员:
2、办公室职责
(1)负责组织拟订市XX网络突发事件应急预案;
(2)负责突发事件应急处理的综合协调工作;
(3)负责起草突发事件应急响应工作报告;
(三)应急领导小组系统恢复组
1、系统恢复组组成
组长:
成员:
2、系统恢复组职责
(1)负责制定网络安全突发事件应急响应预案;
(2)组织因突发事件引起的系统故障的诊断和恢复工作;
(3)组织突发事件期间相关设备的准备和调拨,提出紧急资源调配的申请;
三、监测、预警和预防
(一)监测
与市网信办、公安局、专业监测机构等,建立网络与信息安全事件信息第三方监测机制。
通过电话、传真等途径向协作单位公布网络与信息安全事件接报电话、传真、电子邮箱等信息,加强宣传培训,做好来自协作单位、机房环境监控管理单位和网络与信息系统运营使用管理单位的预警信息、事件信息的接收,建立并完善网络与信息安全事件信息的接收机制。
(二)预警级别及发布
根据事件对系统的影响程度和范围及恢复所需时间,将事件划分为四个风险等级。
一级和二级风险出现时由应急领导小组负责启动应急预案并监督执行。
三级风险和四级风险由系统恢复小组负责启动应急预案并执行。
(三)应急预防
系统应急预案的核心是备份,包括硬件设备的备份和数据备份。
预案应保证在最坏的情况下可以最大限度的恢复系统,其核心是备份,据此,必须做好关键设备的配置备份、数据备份。
四、突发事件应急响应
(一)一、二级突发事件响应程序
应急领导小组发现或收到网络安全突发事件报告后应立即启动应急预案,系统恢复小组应随时对网络安全突发事件作出响应,办公室应立即做好准备,协调各方面人力、物力。
(二)三级突发事件应急响应程序
系统恢复小组接到网络安全突发事件报告后应立即通知领导小组、办公室,并启动相应预案,尽快恢复系统。
(三)四级突发事件应急响应程序
系统恢复小组接到故障报告后应立即检查故障原因,尽快恢复系统正常运行。
五、应急处置
(一)一级突发事件处置
1、事件分类
自然灾害、火灾、水浸等对整体设备、系统造成难以修复的故障
2、预防措施
及时关注气象和地震等部门有关的天气、地震等灾害预报,积极采取相应的应对措施,尽可能的减少损失。
对火灾、水浸等灾害应加强日常设备的检查维护,进一步加强值班制度建设。
本部分工作主要采用租赁A类机房,委托专业管理团队对供电和温度、湿度等机房环境,硬件指示状态等进行监控管理。
保证7*24小时处于有效的监控之下,及时发现问题及时进行处理。
3、预备措施
①购买财产保险,使硬件设施的损失降低到最低限度。
②做好数据备份工作,实现对数据的本地及异地备份、从而将数据的损失降低到最低限度。
4、应对措施
应急领导小组及时向有关部门通报,并及时与保险部门进行沟通,尽快恢复硬件设施的正常运转。
及时联系机房环境保障团队,尽快恢复设备所需的运行环境。
系统恢复小组应根据数据备份对数据进行恢复,使整个系统尽快恢复运行。
5、存在的缺陷
该类风险属于不可抗风险,且破坏性大。
该类事件发生后,系统的完全恢复的可能性较低,只能尽可能的恢复系统。
(二)二级突发事件预案
1、事件分类
①网络出口硬件防火墙自身故障
②UPS故障
③存储故障
④主干交换设备故障
⑤主干网络链路故障
2、预防措施
①做好机房监控管理单位的监督检查工作,严格执行监督检查措施。
严格执行合同条款。
②督促机房监控管理单位做好机房的日常检查及设备的维护,尽可能的提前发现故障隐患。
③保持与机房监控管理单位信息沟通,及时回应机房监控管理单位巡查报告的设备指示状态。
④做好设备监控管理系统的监测工作,并做好应对网络安全突发事件的预备措施。
⑤主干链路采用多家运营商的多条出口链路做链路备份和数据分流。
目前我们采用了联通、移动、电信等多家运营商的多条链路。
并做好出口链路的监控检查工作。
3、预备措施
购买设备的后续服务及保修
做好网络出口防火墙设备配置备份,主干交换设备配置备份。
做好设备的应急替代方案:
①网络出口防火墙设备可使用撤换下来的功能完好的防火墙设备临时替代。
②UPS(供电由机房提供方负责)
③存储是采用XX整体存储机柜,可存储虚拟机和数据备份。
严格执行存储数据的备份和存储空间的合理分配和预留。
④业务核心交换机XX的主引擎目前有替代,交换的模块目前也有替代。
⑤存储核心交换机XX的主引擎目前有替代,交换的模块目前也有替代。
但交换机箱体故障,目前没有替代。
⑥专网的华为XX的主引擎目前有替代,交换的模块目前也有替代。
4、应对措施
事件发生后,有关人员应及时向应急领导小组及系统恢复小组汇报。
系统恢复小组在取得应急领导小组的许可后,应根据实际情况采取以下对应措施:
①网络出口防火墙设备故障:
a.调整线路。
将故障网络出口防火墙设备上的有关线路调整到应急网络出口防火墙设备上。
b.替代防火墙设备性能如果不能满足要求,则根据实际情况关停部分非关键业务。
c.对故障防火墙设备进行检修,并根据实际情况对其进行维修或更换。
②UPS故障:
应急领导小组立即联系机房机房监控管理服务方,系统恢复小组现场督导机房机房监控管理服务方尽快恢复设备供电。
③存储故障:
a.确认存储资源池故障。
(如果是磁盘组中的磁盘故障,马上更换备用磁盘,如果是存储系统出现问题,需要联系厂家,电话:
)
b.迁移可迁移的数据。
c.从备份数据中恢复最新数据。
(该数据无法保证完全恢复,只能根据备份频率恢复最新的数据。
)
d.修复存储。
联系厂家尽快派遣工程师进行现场检测修复。
④业务核心交换机、存储核心交换机和专网交换机设备故障:
故障发生后,值班人员应向信息安全领导小组日常应急办公室报告。
应急恢复小组立即查找及判断故障原因。
如果是模块、跳线及板卡的原因,立即进行更换并恢复配置。
如果是设备的整体故障,立即联系厂商和供应商,申请代用产品恢复正常后,对故障设备进行修理。
⑤主干网络运营商链路故障:
广域网线路中断后,值班人员应向网络信息安全领导小组报告。
日常应急处置网络安全岗负责人员接到报告后,应迅速判断故障节点,查明故障原因。
如属我方管辖范围,由网络安全组人员立即予以恢复。
如属电信部门管辖范围,立即与电信维护部门联系,要
升级会员 