網(wǎng)站應急管理制度、流程、應對措施網(wǎng)站應急管理制度、流程、應對措施網(wǎng)站應急管理制度、流程、應對措施網(wǎng)站應急管理制度、流程、應對措施編制僅供參考審核批準生效日期地址：電話：傳真:郵編:市政務服務中心網(wǎng)站應急預案1總則編制目的和依據(jù)為及時、有效、妥善處置XX市人民政府政務服務中心（以下簡稱“市政務中心”）網(wǎng)絡與信息安全突發(fā)事件，建立和完善相關應急工作制度，加強和規(guī)范網(wǎng)絡與信息安全事件應急處置工作，提高網(wǎng)絡與信息安全事件應急處置能力，預防和減少網(wǎng)絡與信息安全事件的發(fā)生，控制和降低網(wǎng)絡與信息安全事件帶來的危害和損失，保障信息基礎設施和重要信息系統(tǒng)網(wǎng)絡與信息安全，依據(jù)《中華人民共和國突發(fā)事件應對法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《國家突發(fā)公共事件總體應急預案》、《國家網(wǎng)絡與信息安全事件應急預案》、《信息安全事件分類分級指南》、等法律法規(guī)、規(guī)章政策，結合市政務中心實際，制定本預案。適用范圍適用于市政務中心信息系統(tǒng)網(wǎng)絡與信息安全事件的預防、監(jiān)測、報告和應急處置工作。事件分類分級網(wǎng)絡與信息安全事件分為有害程序事件、網(wǎng)絡攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設備設施故障和災害性事件等。事件分類（1）有害程序事件：分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。（2）網(wǎng)絡攻擊事件：分為拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡掃描竊聽事件、網(wǎng)絡釣魚事件、干擾事件和其他網(wǎng)絡攻擊事件。（3）信息破壞事件：分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。（4）信息內(nèi)容安全事件：指通過網(wǎng)絡傳播法律法規(guī)禁止信息，組織非法串聯(lián)、煽動集會游行或炒作敏感問題并危害國家安全、社會穩(wěn)定和公眾利益的事件。（5）設備設施故障事件：分為軟硬件自身故障、外圍保障設施故障、人為破壞事故和其他設備設施故障。（6）災害性事件：指由自然災害等其他突發(fā)事件導致的網(wǎng)絡與信息安全事件。事件分級網(wǎng)絡與信息安全突發(fā)事件由高到低劃分為四級：特別重大網(wǎng)絡與信息安全事件（Ⅰ級）、重大網(wǎng)絡與信息安全事件（Ⅱ級）、較大網(wǎng)絡與信息安全事件（Ⅲ級）、一般網(wǎng)絡與信息安全事件（Ⅳ級）。（1）特別重大網(wǎng)絡與信息安全事件（Ⅰ級）符合下列情況之一的，為特別重大網(wǎng)絡與信息安全事件（Ⅰ級）：①信息系統(tǒng)中斷運行2小時以上、影響用戶數(shù)100萬以上；②信息系統(tǒng)中的數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構成特別嚴重威脅，或導致10億元人民幣以上的經(jīng)濟損失。③通過網(wǎng)絡傳播反動信息、煽動性信息、涉密信息、謠言等，對國家安全和社會穩(wěn)定構成特別嚴重危害的事件。④其他對國家安全、社會秩序、經(jīng)濟建設和公眾利益構成特別嚴重威脅、造成特別嚴重影響的網(wǎng)絡與信息安全突發(fā)事件。（2）重大網(wǎng)絡與信息安全事件（Ⅱ級）符合下列情形之一且未達到特別重大網(wǎng)絡與信息安全事件（Ⅰ級）的，為重大網(wǎng)絡與信息安全事件（Ⅱ級）：①信息系統(tǒng)中斷運行30分鐘以上、影響用戶數(shù)10萬人以上；②信息系統(tǒng)中的數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構成嚴重威脅，或導致1億元人民幣以上的經(jīng)濟損失。③通過網(wǎng)絡傳播反動信息、煽動性信息、涉密信息、謠言等，對國家安全和社會穩(wěn)定構成嚴重危害的事件。④其他對國家安全、社會秩序、經(jīng)濟建設和公眾利益構成嚴重威脅、造成嚴重影響的網(wǎng)絡與信息安全突發(fā)事件。（3）較大網(wǎng)絡與信息安全事件（Ⅲ級）符合下列情形之一且未達到重大網(wǎng)絡與信息安全事件（Ⅱ級）的，為較大網(wǎng)絡與信息安全事件（Ⅲ級）：①信息系統(tǒng)中斷運行造成較嚴重影響的；②信息系統(tǒng)中的數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構成較大威脅，或導致1000萬元人民幣以上經(jīng)濟損失。③通過網(wǎng)絡傳播反動信息、煽動性信息、涉密信息、謠言等，對國家安全和社會穩(wěn)定構成較嚴重危害的事件。④其他對國家安全、社會秩序、經(jīng)濟建設和公眾利益構成較大威脅、造成較大影響的網(wǎng)絡與信息安全突發(fā)事件。（4）一般網(wǎng)絡與信息安全事件（Ⅳ級）除上述情形外，對國家安全、社會秩序、經(jīng)濟建設和公眾利益構成一定威脅、造成一定影響的網(wǎng)絡與信息安全突發(fā)事件，為一般網(wǎng)絡與信息安全事件（Ⅳ級）。工作原則統(tǒng)一領導、分級負責、預防為主、防處結合、快速應對、保障有力。2組織體系及職責領導機構成立市政務中心網(wǎng)絡與信息安全工作領導小組（以下簡稱“領導小組”），作為市政務中心網(wǎng)絡與信息安全應急處置領導機構，負責中心網(wǎng)絡與信息安全工作的統(tǒng)一領導，以及中心網(wǎng)絡與信息安全突發(fā)事件應急處置工作的決策、指揮、協(xié)調(diào)和監(jiān)督。處置機構領導小組下設辦公室，作為中心網(wǎng)絡與信息安全應急處置部門，負責中心網(wǎng)絡與信息安全工作的日常聯(lián)絡、事務處理和突發(fā)事件的具體應急處置工作。3預防與監(jiān)測預警預防加強對信息系統(tǒng)的日常運行維護和管理，健全完善各類應對網(wǎng)絡與信息安全事件的設備和基礎設施，制定和完善相關應急預案，組織做好信息系統(tǒng)的安全等級保護、風險評估、災難備份和隱患排查工作，預防網(wǎng)絡與信息安全事件的發(fā)生，降低網(wǎng)絡與信息安全事件的危害和損失。監(jiān)測堅持預防為主的方針，加強網(wǎng)絡與信息安全日常監(jiān)測，及時收集、分析、研判監(jiān)測信息，及時發(fā)現(xiàn)網(wǎng)絡與信息安全事件傾向或苗頭，迅速采取有效措施加以防范，及早消除安全隱患。預警及響應網(wǎng)絡與信息安全事件預警等級分為Ⅰ級（特別嚴重）、Ⅱ級（嚴重）、Ⅲ級（較重）、Ⅳ級（一般）四個等級，從高到低依次以紅色預警、橙色預警、黃色預警和藍色預警表示，分別對應即將發(fā)生或可能發(fā)生特別重大、重大、較大和一般的網(wǎng)絡與信息安全事件。預警信息報送（1）領導小組辦公室負責中心網(wǎng)絡與信息安全監(jiān)測預警工作，按照“早發(fā)現(xiàn)、早報告、早處置”的原則，加強對各類網(wǎng)絡與信息安全突發(fā)事件和可能引發(fā)突發(fā)事件的信息的整理收集、分析判斷和持續(xù)監(jiān)測，并及時向市網(wǎng)安辦報送相關信息，對重要的網(wǎng)絡與信息安全事件監(jiān)測預警信息要及時通報信息系統(tǒng)的各使用部門。（2）網(wǎng)絡與信息系統(tǒng)發(fā)現(xiàn)異常情況時，領導小組辦公室應立即組織有關人員進行技術分析，及時向領導小組報告，并根據(jù)問題性質(zhì)和危害程度在30分鐘內(nèi)向市網(wǎng)安辦報告，特別重大、重大和較大的網(wǎng)絡與信息系統(tǒng)異常情況實行動態(tài)報告和日報告制度。緊急情況下，采取先電話報告后書面報告的形式。預警響應領導小組接到預警信息后，應根據(jù)預警級別立即啟動相應的應急預案，組織中心技術力量和應急救援隊伍立即響應，進入應急狀態(tài)，履行承擔的職責。藍色、黃色預警響應（1）安排有關人員實行24小時值班，保持通信聯(lián)絡暢通，密切關注事態(tài)發(fā)展，及時收集、匯總、上報監(jiān)測信息和重要信息。（2）網(wǎng)絡與信息安全應急隊伍進入應急狀態(tài)，確保80%應急技術人員處于待命狀態(tài)，檢查應急設備、軟件工具等，確保處于可用狀態(tài)；針對預警內(nèi)容研究制定防范措施，做好安全加固和預防工作。（3）公布熱線電話、電子郵箱等公眾溝通渠道，安排專業(yè)人員值守；及時發(fā)布避免或減輕事件危害的科學常識和人民政府處理事件的相關信息，同時積極監(jiān)測社會輿情，引導社會輿論，疏導社會情緒。橙色、紅色預警響應在黃色預警響應的基礎上，進一步強化以下措施：（1）責令網(wǎng)安應急隊伍全面進入緊急狀態(tài)，做好應急準備。（2）按照上級指令作好網(wǎng)安應急物資準備，檢查調(diào)試有關物資、設備。（3）采取隔離或停用相關網(wǎng)絡等強制措施，控制事態(tài)擴大。預警的調(diào)整和解除根據(jù)事態(tài)發(fā)展和上級指示，按照有關規(guī)定適時調(diào)整預警級別。當確定網(wǎng)絡與信息安全突發(fā)事件不可能發(fā)生或危險已經(jīng)解除時，按照有關程序報請解除預警。4應急響應與處置信息報告網(wǎng)絡與信息安全事件發(fā)生后，領導小組在做好先期處置的同時立即組織研判，保存相關證據(jù)，按照突發(fā)事件信息報送要求，及時向市網(wǎng)安辦報告處置情況。根據(jù)事態(tài)發(fā)展，及時續(xù)報應急處置等有關情況。Ⅰ、Ⅱ級事件發(fā)生后應立即上報，最遲不超過事件發(fā)生后1小時報告市網(wǎng)安辦；對于Ⅲ、Ⅳ級事件，必須在事件發(fā)生后30分鐘內(nèi)報告市網(wǎng)安辦。先期處置網(wǎng)絡與信息安全突發(fā)事件發(fā)生后，領導小組根據(jù)突發(fā)事件等級，立即啟動相應的應急預案，組織有關人員實施先期處置。做好現(xiàn)場劃定，實行有效的現(xiàn)場管控措施，通報信息系統(tǒng)各使用部門，快速組織開展應急救援，快速恢復系統(tǒng)運行，防止事態(tài)擴大等先期處置工作；按照信息報送規(guī)定上報安全事件信息和先期處置情況。應急響應（1）應急處置當發(fā)生網(wǎng)絡與信息安全事件時，首先應區(qū)分事件性質(zhì)為自然災害事件或人為破壞事件，根據(jù)兩種情況分別采用不同處置流程。流程一：當事件為自然災害事件時，應根據(jù)實際情況，在保障人身安全的前提下，首先保障數(shù)據(jù)安全，然后保障設備安全。具體方法有：硬盤拔出與保存，設備斷電與拆卸、搬遷等。流程二：當事件為人為攻擊或病毒破壞事件時，首先判斷破壞來源與性質(zhì)，然后斷開影響安全的網(wǎng)絡設備，斷開與破壞來源的網(wǎng)絡連接，跟蹤并鎖定破壞來源IP地址或其它用戶信息，修復被破壞的信息，恢復信息系統(tǒng)。（2）具體處置方法：①有害信息處置中心信息系統(tǒng)出現(xiàn)非法信息時，應確定專人全時監(jiān)控網(wǎng)站、網(wǎng)頁及郵件信息，對有害信息采取屏蔽、刪除等措施；清理有害信息，并做好相關記錄；協(xié)助、配合有關部門采取技術手段追查有害信息來源；發(fā)現(xiàn)涉及國家安全、穩(wěn)定的重大有害信息，及時向公安部門網(wǎng)絡監(jiān)察機構報告。②網(wǎng)絡攻擊處置當發(fā)現(xiàn)信息系統(tǒng)遭受網(wǎng)絡攻擊時，首先將被攻擊服務器等設備從網(wǎng)絡中隔離；協(xié)助、配合有關部門采取技術手段追查非法攻擊來源；評估破壞程度；恢復或重建被破壞的系統(tǒng)。③病毒入侵處置當發(fā)現(xiàn)信息系統(tǒng)感染病毒后，立即尋找并斷開傳播源，同時備份相關數(shù)據(jù)，必要時可斷開相應端口或網(wǎng)絡；判斷病毒的類型、性質(zhì)、可能的危害范圍，啟用防病毒軟件進行殺毒處理，并使用病毒檢測軟件對系統(tǒng)內(nèi)其他設備進行病毒掃描和清除；一時無法查殺的新病毒，迅速與相關防病毒軟件供應商聯(lián)系解決。④數(shù)據(jù)庫安全防范處置各數(shù)據(jù)庫系統(tǒng)至少要準備兩個以上數(shù)據(jù)庫備份；一旦數(shù)據(jù)庫崩潰，立即通知有關單位暫緩上傳、上報數(shù)據(jù)；組織對主機系統(tǒng)進行維修，如遇無法解決的問題，立即請求軟硬件供應商協(xié)助解決；系統(tǒng)修復啟動后，立即對數(shù)據(jù)進行恢復。⑤網(wǎng)絡中斷處置發(fā)生信息系統(tǒng)網(wǎng)絡中斷后，應迅速判斷故障節(jié)點，查明故障原因；如屬中心內(nèi)部線路故障，應立即協(xié)調(diào)市信息中心組織恢復；如屬通信部門管轄的線路，立即與通信維護部門聯(lián)系，及時進行修復；如屬路由器、交換機等網(wǎng)絡設備故障，立即與設備供應商聯(lián)系修復；如屬路由器、交換機配置文件破壞，迅速按照要求重新配置；如遇無法解決的技術問題，立即向有關廠商請求支援。⑥設備安全處置發(fā)現(xiàn)服務器等關鍵設備損壞，應立即查明設備故障原因；能自行恢復的，立即用備件替換受損部件；難以自行恢復的，立即與設備供應商聯(lián)系，請求派維修人員前來維修；若設備一時不能修復，應及時采取必要措施，并告知有關單位暫緩上傳、上報數(shù)據(jù)。⑦機房火災處置機房發(fā)生火災后，應立即啟動中心消防應急預案，按照消防應急預案有關規(guī)定處置。⑧外部電源中斷處置外部電源中斷后，應迅速查明斷電原因，如因內(nèi)部線路故障，馬上組織恢復；如因供電部門原因，立即與供電單位聯(lián)系，盡快恢復供電；如被告知將長時間停電，應做好以下工作：預計停電1小時以內(nèi)，由UPS供電；預計停電6小時以內(nèi)，關閉非關鍵設備，確保各主機、路由器、交換機供電；預計停電超過6小時的，做好數(shù)據(jù)備份工作，及時關閉有關設備。其他沒有列出的不確定因素造成的災害，可根據(jù)總的安全原則，結合具體情況做出相應處理；不能處理的可咨詢相關專業(yè)人員。（3）應急支援發(fā)生網(wǎng)絡與信息安全突發(fā)事件后，成立由中心各處室有關人員及各運維單位技術人員組成的應急處置小組，由領導小組有關領導帶隊，督促、指導、協(xié)調(diào)、安排應急處置工作。處置小組根據(jù)事態(tài)發(fā)展和處置工作需要，及時聯(lián)系有關專家和應急支援單位，并有權臨時調(diào)動系統(tǒng)內(nèi)必要的物資、設備，開展應急支援。5后期處置恢復重建應急處置工作結束后，要迅速組織搶修受損設施，減少損失，并使用應急處置設備盡快恢復事件涉及的基礎信息網(wǎng)絡、重要信息系統(tǒng)正常運行，制定恢復重建計劃并組織實施?？偨Y評估對事件造成的損失和影響進行分析評估，對網(wǎng)絡與信息安全突發(fā)事件的起因、性質(zhì)、影響、責任等進行調(diào)查總結，提出處理意見和改進措施，并及時向市有關部門報送有關報告。6保障措施應急隊伍建設組建網(wǎng)絡與信息安全應急處置隊伍，加強對網(wǎng)絡與信息安全突發(fā)事件應急知識特別是網(wǎng)絡與信息安全突發(fā)事件應急預案的培訓，適時組織演練，切實提高應急處置人員的防范意識和應對網(wǎng)絡與信息安全事件的能力。設備保障根據(jù)工作需要，及時