网站安全应急措施方案.docx
《网站安全应急措施方案.docx》由会员分享,可在线阅读,更多相关《网站安全应急措施方案.docx(4页珍藏版)》请在冰豆网上搜索。
网站安全应急措施方案
网站安全应急措施方案
一、总则.
(一)目的
为了防止病毒的攻击,保证整个企业网不受病毒的感染,科学应对网络与信息安全突发事件,建立健全网络安全应急响应机制,有效预防、及时控制和最大限度地消除网络安全各类突发事件的危害和影响,制订本应急预案。
(二)工作原则
1.统一领导,协同配合。
全局网络安全突发事件应急工作由IT部领导和协调,相关部门按照“统一领导、归口负责、综合协调、各司其职”的原则协同配合,具体实施。
2.明确责任,各司其职。
各部门按照“部门管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求,依据个人责任对网络安全突发事件进行防范、监测、预警、报告、响应、协调和控制。
按照“谁主管、谁负责,谁运营、谁负责”的原则,实行责任分工制和责任追究制。
3.条块结合,整合资源。
充分利用现有网络安全应急支援服务设施,整合我司所属信息安全工作力量。
充分依靠各个部门的网络安全工作力量,进一步完善应急响应服务体系,形成局域网络安全保障工作合力。
4.防范为主,加强监控。
宣传普及网络安全防范知识,牢固树立“预防为主、常抓不懈”的意识,经常性地做好应对网络安全突发事件的思想准备、预案准备、机制准备和工作准备,提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。
加强对网络安全隐患的日常监测,发现和防范重大信息安全突发性事件,及时采取有效的可控措施,迅速控制事件影响范围,力争将损失降到最低程度。
二、处理预案
(一)、网络恶意攻击事故处理预案
(1)发现出现网络恶意攻击,立刻确定该攻击来自公司内还是公司外;受攻击的设备有哪些;影响范围有多大。
并迅速推断出此次攻击的最坏结果,判断是否需要紧急切断公司网的服务器及公网的网络连接,以保护重要数据及信息;
(2)立刻从防火墙中查出对方IP地址并过滤,同时对防火墙设置对此类攻击的过滤,并视情况严重程度决定是否报警。
(3)重新启动该电脑所连接的网络设备,直至完全恢复网络通信。
(4)对该电脑进行分析,清除所有病毒、恶意程序、木马程序以及垃圾文件,测试运行该电脑5小时以上,并同时进行监控,无问题后归还该电脑。
(5)从事故一发生到处理事件的整个过程,IT部门接到网络信息安全突发事件报告后,在经初步核实后,将有关情况及时向上级主管部门报告。
在进一步综合情况,研究分析可能造成损害程度的基础上,提出初步行动对策,视情况召集协调会,并根据应急决策实施行动方案,发布指示和命令。
.
(6)全面查对HTTP日志,防火墙网络连接日志,确定该不良信息的源IP地址,如果来自校内,则立刻全面升级此次事件为最高紧急事件,立刻向领导小组组长汇报,视情节严重程度领导小组可决定是否向公安机关报案。
(7)从事故一发生到处理事件的整个过程,必须保持向领导汇报、解释此次事故的发生情况、发生原因、处理过程。
(二)、公司重大网络事件处理预案
(1)对公司重大事件进行评估、确定所需的网络设备及环境。
(2)关闭其它与该网络相连,有可能对该网络造成不利影响的一切网络设备及计算机设备,保障该网络的畅通。
(3)对重要网络设备提供备份,出现问题需尽快更换设备。
(4)对外网连接进行监控,清除非法连接,出现重大问题立刻由IT部门向上级部门求救。
(5)事先应向IT部门汇报本次事件中所需用到的设备、环境,以及可能出现的事故及影响,在事件过程中出现任何问题应立刻向IT部门主管汇报。
三、预警和预防机制
(一)预警
IT部门接到网络信息安全突发事件报告后,在经初步核实后,将有关情况及时向上级主管部门报告。
在进一步综合情况,研究分析可能造成损害程度的基础上,提出初步行动对策,视情况召集协调会,并根据应急决策实施行动方案,发布指示和命令。
.
(二)预防机制
积极推行网络信息安全等级保护,逐步实行网络和信息安全风险评估。
各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定完善网络与信息安全应急处理预案。
针对基础信息网络的突发性、大规模安全事件,各相关部门建立制度化、程序化的处理流程。
四、应急处理程序.
(一)现场应急处理
发现问题者尽最大可能收集事件相关信息,判别事件类别,确定事件来源,保护证据,以便缩短应急响应时间。
检查威胁造成的结果,评估事件带来的影响和损害:
如检查系统、服务、数据的完整性、保密性或可用性;检查攻击者是否侵入了系统;以后是否能再次随意进入;损失的程度;确定暴露出的主要危险等。
抑制事件的影响进一步扩大,限制潜在的损失与破坏。
可能的抑制策略一般包括:
关闭服务或关闭所有的系统,从网络上断开相关系统的物理链接,修改防火墙和路由器的过滤规则;封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路;提高系统或网络行为的监控级别;设置陷阱;启用紧急事件下的接管系统;实行特殊“防卫状态”安全警戒;反击攻击者的系统等。
在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。
与此同时,IT部门和其他相关机构对攻击源进行准确定位并采取合适的措施将其中断。
清理系统、恢复数据、程序、服务。
把所有被攻破的系统和网络设备彻底还原到正常的任务状态。
恢复工作应十分小心,避免出现操作失误而导致数据丢失。
另外,恢复工作中如果涉及机密数据,需要额外按照机密系统的恢复要求。
如果攻击者获得了超级用户的访问权,一次完整的恢复应强制性地修改所有的口令。
(四)报告和总结
回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。
发生重大信息安全事件的单位应当在事件处理完毕后将处理结果报上级主管部门备案。
(五)应急行动结束
根据信息安全事件的处置进展情况和现场应急处理工作组意见,IT部门组织相关部门对信息安全事件处置情况进行综合评估,并提出应急行动结束建议。
五、日常管理
1、IT部门发布有关消息和警报,全面组织各项网络安全防御、处理工作。
各有关组员随时准备执行应急任务。
2、网络管理人员对公司内外所属网络硬件软件设备及接入网络的计算机设备定期进行全面检查,封堵、更新有安全隐患的设备及网络环境。
3、加强对公司网内计算机设备的管理,加强对公司网络的使用者的网络安全教育。
加强对重要网络设备的软件防护以及硬件防护,确保正常的运行软件硬件环境。
4、加强各类值班值勤,保持通讯畅通,及时掌握公司情况,全力维护正常工作和生活秩序。
5、按预案落实各项物资准备。
升级会员 