網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案一、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案培訓(xùn)與演練網(wǎng)絡(luò)安全應(yīng)急響應(yīng)和一般意義的突發(fā)公共事件應(yīng)急響應(yīng)一樣，也需要對制定的應(yīng)急響應(yīng)方案“勤加演練”，以鞏固能力、磨煉意志、鍛煉隊伍。網(wǎng)絡(luò)攻擊等緊急事件的發(fā)生，往往會擾亂正常的網(wǎng)絡(luò)秩序，影響網(wǎng)絡(luò)辦公系統(tǒng)的正常運(yùn)行，使網(wǎng)絡(luò)安全受到威脅，造成如網(wǎng)絡(luò)癱瘓、數(shù)據(jù)被竊取或丟失等后果，甚至更嚴(yán)重的損失。因此，在應(yīng)急響應(yīng)預(yù)案制定以后，有組織有規(guī)劃地模擬演練具有至關(guān)重要的作用。只有經(jīng)過網(wǎng)絡(luò)安全應(yīng)急預(yù)案的扎實培訓(xùn)與演練，才能在遇到網(wǎng)絡(luò)突發(fā)事件時，及時有效地對事件做出響應(yīng)，切實履行應(yīng)急響應(yīng)預(yù)案內(nèi)容，準(zhǔn)確給出應(yīng)急處理方法，將危害降到最低。（一）網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案培訓(xùn)與演練目的1、增強(qiáng)網(wǎng)絡(luò)安全意識網(wǎng)絡(luò)安全事故隱患往往“生成”于無形。例如，漏洞或黑客攻擊發(fā)生之時，受害方企事業(yè)單位可能處于非常危險的境地而無所察覺，一些內(nèi)部部門人員的網(wǎng)絡(luò)安全意識也容易懈怠。但不論是內(nèi)部員工的疏忽還是管理上的大意，都可能給身在“暗處”的網(wǎng)絡(luò)犯罪分子以可乘之機(jī)。加上常規(guī)情況下，企事業(yè)單位的網(wǎng)絡(luò)安全事件并不常見，尤其是重大災(zāi)難性的網(wǎng)絡(luò)安全事故直接關(guān)系到企業(yè)的生存，更不是普通員工所了解的，因此網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的培訓(xùn)演練將對內(nèi)部管理人員、普通員工的網(wǎng)絡(luò)信息安全意識的提高非常重要。2、檢驗預(yù)案的有效性為了使政府機(jī)構(gòu)和企事業(yè)單位的相關(guān)人員了解應(yīng)急響應(yīng)預(yù)案的內(nèi)容，熟悉應(yīng)急響應(yīng)預(yù)案的制定規(guī)則和實施流程，相關(guān)組織需要對應(yīng)急響應(yīng)預(yù)案進(jìn)行培訓(xùn)，并通過演練來檢驗所制定的應(yīng)急響應(yīng)預(yù)案的有效性，使之在真正應(yīng)對突發(fā)事件，如網(wǎng)絡(luò)入侵和攻擊等情況時，能夠臨危不亂，有效應(yīng)對。通過應(yīng)急演練，還可以發(fā)現(xiàn)應(yīng)急預(yù)案中存在的問題，在突發(fā)事件發(fā)生前暴露預(yù)案的缺點，驗證預(yù)案在應(yīng)對可能出現(xiàn)的各種意外情況時所具備的適應(yīng)性，找出預(yù)案需要進(jìn)一步完善和修正的地方。3、提高整體作戰(zhàn)協(xié)調(diào)能力應(yīng)急響應(yīng)預(yù)案的培訓(xùn)與演練能夠在提高相關(guān)人員的網(wǎng)絡(luò)安全意識的同時，培養(yǎng)相關(guān)人員之間、特別是跨部門人員之間的協(xié)調(diào)能力，并且能夠檢測應(yīng)急響應(yīng)工作的整體性、充分性和完整性。通過機(jī)構(gòu)內(nèi)部各個業(yè)務(wù)部門、職能部門、技術(shù)部門在模擬演練中實時磨合，提高各級領(lǐng)導(dǎo)者應(yīng)對突發(fā)事件的分析研判、決策指揮和組織協(xié)調(diào)能力，幫助應(yīng)急管理人員和各類救援人員熟悉突發(fā)事件情景，提高應(yīng)急熟練程度和實戰(zhàn)技能。網(wǎng)絡(luò)系統(tǒng)可能跨越不同地區(qū)、不同城市，甚至相隔幾千公里的省份，因此重視網(wǎng)絡(luò)安全應(yīng)急響應(yīng)，并及時、適時加以培訓(xùn)和實戰(zhàn)演練，可以改善各應(yīng)急組織機(jī)構(gòu)、人員之間的交流溝通、協(xié)調(diào)合作，提升整體作戰(zhàn)的協(xié)調(diào)能力和水平。（二）網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案培訓(xùn)應(yīng)急響應(yīng)預(yù)案的培訓(xùn)是為了更好地應(yīng)對網(wǎng)絡(luò)突發(fā)狀況，實施演練計劃所做的每一項工作，其培訓(xùn)過程主要針對應(yīng)急預(yù)案涉及的相關(guān)內(nèi)容進(jìn)行培訓(xùn)學(xué)習(xí)。做好應(yīng)急預(yù)案的培訓(xùn)工作能使各級人員明確自身職責(zé)，是做好應(yīng)急響應(yīng)工作的基礎(chǔ)與前提。應(yīng)急響應(yīng)預(yù)案的培訓(xùn)分為以下幾個方面。1、應(yīng)急響應(yīng)預(yù)案培訓(xùn)的要求應(yīng)急響應(yīng)預(yù)案制定后需要對相關(guān)人員進(jìn)行培訓(xùn)，規(guī)定好針對不同角色人員的培訓(xùn)計劃、培訓(xùn)方式，并對最后的培訓(xùn)結(jié)果進(jìn)行驗收，同時，要對整體培訓(xùn)過程以及考核得分做出記錄。2、應(yīng)急響應(yīng)預(yù)案培訓(xùn)的方式應(yīng)急響應(yīng)預(yù)案的培訓(xùn)可以采用多種方式，包括書籍閱讀、人工授課、視頻教學(xué)、開展培訓(xùn)班等。通過培訓(xùn)學(xué)習(xí)提高相關(guān)人員的網(wǎng)絡(luò)安全意識，加強(qiáng)對于緊急網(wǎng)絡(luò)事件的應(yīng)變能力。3、應(yīng)急響應(yīng)預(yù)案培訓(xùn)的范圍（1）政府機(jī)構(gòu)人員：政府機(jī)構(gòu)網(wǎng)絡(luò)涉及重要資料數(shù)據(jù)甚至國家機(jī)密文件，對政府機(jī)構(gòu)人員的培訓(xùn)工作直接關(guān)系到國家安全。另外，在網(wǎng)絡(luò)救援實施過程中，需要政府相關(guān)部門起到領(lǐng)導(dǎo)決策作用，在救援行動的關(guān)鍵節(jié)點給予批準(zhǔn)，并做好整體把關(guān)，因此對其培訓(xùn)工作尤為重要。（2）企業(yè)人員：全體員工都要進(jìn)行應(yīng)急響應(yīng)預(yù)案相關(guān)知識的培訓(xùn)學(xué)習(xí)，提高網(wǎng)絡(luò)安全意識，在網(wǎng)絡(luò)安全受到威脅時了解自身崗位職責(zé)，提高執(zhí)行能力。（3）專業(yè)應(yīng)急處理人員：突發(fā)網(wǎng)絡(luò)攻擊事件發(fā)生時，專業(yè)應(yīng)急處理人員是救援工作的主要力量，因此要大力加強(qiáng)其培訓(xùn)工作，使其學(xué)習(xí)更多網(wǎng)絡(luò)安全威脅處理措施，熟悉應(yīng)急響應(yīng)預(yù)案的步驟及崗位職責(zé)，切實做到臨危不亂，對緊急情況有效有序地處理，快速恢復(fù)網(wǎng)絡(luò)系統(tǒng)正常狀態(tài)。4、應(yīng)急響應(yīng)預(yù)案培訓(xùn)的內(nèi)容學(xué)習(xí)網(wǎng)絡(luò)信息安全相關(guān)法規(guī)、條例、標(biāo)準(zhǔn)和安全知識，了解各種網(wǎng)絡(luò)惡意事件所造成的損害，學(xué)習(xí)不同級別事件的應(yīng)急策略和行動計劃等。培訓(xùn)過程中可根據(jù)預(yù)案中人員角色等級，有針對性地對內(nèi)容進(jìn)行更改調(diào)整。（三）網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案演練制定好的應(yīng)急響應(yīng)預(yù)案，只做培訓(xùn)還不夠，還需要通過實戰(zhàn)演練來提高應(yīng)對網(wǎng)絡(luò)突發(fā)事件的行動力，針對網(wǎng)絡(luò)突發(fā)事件的假想情景，按照應(yīng)急響應(yīng)預(yù)案中規(guī)定的職責(zé)和程序來執(zhí)行應(yīng)急響應(yīng)任務(wù)。根據(jù)出現(xiàn)的新的網(wǎng)絡(luò)攻擊手段或其他特殊情況，不斷進(jìn)行預(yù)案的調(diào)整完善。1、應(yīng)急演練的作用應(yīng)急演練是對應(yīng)急響應(yīng)預(yù)案可行性的有效驗證。通過演練可以檢驗應(yīng)急響應(yīng)小組中每個成員對工作完成的熟練程度和相互配合能力，包括各個部門之間的配合、成員之間的協(xié)調(diào)。通過實戰(zhàn)練習(xí)積累經(jīng)驗，對應(yīng)急響應(yīng)預(yù)案內(nèi)容不斷地充實和完善，使負(fù)責(zé)人員、執(zhí)行人員、應(yīng)急專業(yè)技術(shù)人員應(yīng)對網(wǎng)絡(luò)突發(fā)事件的應(yīng)變能力得以提升，從而有條不紊地處理突發(fā)事件。2、應(yīng)急演練的組織實施應(yīng)急演練的組織工作由應(yīng)急小組指揮人員執(zhí)行，包括演練地段的選擇、保障物資與設(shè)備的準(zhǔn)備、人員任務(wù)的分配等。整個實施過程由應(yīng)急響應(yīng)執(zhí)行人員和記錄人員組成，按照應(yīng)急響應(yīng)預(yù)案計劃進(jìn)行準(zhǔn)備與實行。各級人員明確分工，并充分做好網(wǎng)絡(luò)恢復(fù)保障工作。演練可以采用對網(wǎng)絡(luò)系統(tǒng)或者主機(jī)進(jìn)行虛擬攻擊的方式，過程中要特別注意對這些危害的掌控。3、應(yīng)急演練的考核與總結(jié)記錄人員對演練的每個環(huán)節(jié)都要做好記錄、資料收集和評價工作。對網(wǎng)絡(luò)突發(fā)事件處理過程中遇到的問題進(jìn)行分析匯總，并對每個崗位所在人員的表現(xiàn)進(jìn)行評測，演練完畢以后要對整個演練過程進(jìn)行總結(jié)，以不斷地改進(jìn)預(yù)案，驗證可行性，更好地應(yīng)對在實際生活中可能發(fā)生的多種緊急情況。4、應(yīng)急演練的注意事項應(yīng)急演練時首先要制定一個適應(yīng)性計劃，在證明應(yīng)急響應(yīng)預(yù)案有效性的同時，保證網(wǎng)絡(luò)的安全，避免由于一次演練的失誤而造成真正的網(wǎng)絡(luò)攻擊，使政府或企業(yè)重要資料數(shù)據(jù)泄露或財產(chǎn)遭受損失。二、網(wǎng)絡(luò)安全應(yīng)急演練環(huán)境應(yīng)急演練的環(huán)境包括進(jìn)行應(yīng)急演練所需的文檔、人員和設(shè)備。完整的環(huán)境不僅保證了演練可以完整實施，也提升了該演練的效果。應(yīng)急演練的環(huán)境應(yīng)該盡可能與真實場景相同，人員參與盡可能全面，對應(yīng)急演練事件的記錄盡量詳細(xì)。通過已有的一些網(wǎng)絡(luò)安全事件和網(wǎng)絡(luò)安全應(yīng)急演練，可以對一般的環(huán)境進(jìn)行綜合和總結(jié)，設(shè)計出綜合的應(yīng)急演練環(huán)境。（一）網(wǎng)絡(luò)安全應(yīng)急演練文檔應(yīng)急演練文檔是為了規(guī)范和記錄應(yīng)急演練事件，應(yīng)急演練文檔包括應(yīng)急演練方案、應(yīng)急通信錄以及應(yīng)急演練記錄表。1、應(yīng)急演練方案應(yīng)急演練方案是對每次應(yīng)急演練的部署和指導(dǎo)，該方案應(yīng)為每個參與應(yīng)急演練的人員所熟知。應(yīng)急演練方案應(yīng)包括以下內(nèi)容。（1）應(yīng)急演練的背景、目的和假設(shè)。這一部分應(yīng)對應(yīng)急演練進(jìn)行基本介紹，讓全體參與者對演練有初步的了解。（2）應(yīng)急演練流程。該部分通過流程圖的方式，明確整個事件流程、需要完成的任務(wù)、可能出現(xiàn)的情況等。流程圖可以對應(yīng)急演練進(jìn)行簡明扼要的歸納。（3）網(wǎng)絡(luò)架構(gòu)圖、應(yīng)急恢復(fù)策略及應(yīng)急故障處理。這一部分為技術(shù)人員提供指引，包括熟知網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及故障發(fā)生時所應(yīng)進(jìn)行的行動。（4）事故上報模板、任務(wù)分配表以及崗位職責(zé)。這一部分明確了應(yīng)急演練中部門的職責(zé)和個人的任務(wù)，通過提供模板提高上報速度。2、應(yīng)急通信錄應(yīng)急通信錄保證了當(dāng)發(fā)生事件時，每個涉事人員、部門和領(lǐng)導(dǎo)可以被聯(lián)絡(luò)到。應(yīng)急通信錄包括全員通信錄、關(guān)鍵電話線、設(shè)備供應(yīng)商通信錄和安全廠商通信錄。在進(jìn)行應(yīng)急演練中，通過全員通信錄，可以快速定位到個人；通過關(guān)鍵電話線，可以找到負(fù)責(zé)某一項工作的部門；如發(fā)生意外，通過設(shè)備供應(yīng)商通信錄和安全廠商通信錄，可以找到設(shè)備供應(yīng)商和有資質(zhì)的安全廠商，以避免造成不必要的損失。3、應(yīng)急演練記錄表應(yīng)急演練記錄表是指對應(yīng)急演練過程產(chǎn)生的相關(guān)數(shù)據(jù)進(jìn)行記錄，以備后期查詢、分析和總結(jié)。應(yīng)急演練記錄表包括響應(yīng)時間表、損失評估表等，對響應(yīng)的速度、應(yīng)急演練每一階段造成的損失進(jìn)行記錄。這些應(yīng)急演練記錄表是對本次應(yīng)急演練評估分析的重要依據(jù)，因此非常重要。以上為應(yīng)急演練基本文檔，在實際操作中可以根據(jù)實際情況進(jìn)行更改。（二）演練人員安排應(yīng)急演練的參與者可以分為3個層次：把握全局的領(lǐng)導(dǎo)層、具體執(zhí)行演練的實施層以及為演練提供支持的后勤層。1、領(lǐng)導(dǎo)層領(lǐng)導(dǎo)層對應(yīng)急演練的全局進(jìn)行把握，確定時間節(jié)點、具體方案、應(yīng)急演練實施的效果以及突發(fā)情況下的組織。同時對人員進(jìn)行調(diào)度，對資源進(jìn)行配置。2、實施層實施層負(fù)責(zé)具體執(zhí)行應(yīng)急演練的任務(wù)，包括執(zhí)行應(yīng)急演練和后期運(yùn)維2個方面。應(yīng)急演練執(zhí)行小組對網(wǎng)絡(luò)行為、數(shù)據(jù)行為進(jìn)行分析，對痕跡進(jìn)行取證，對涉及的樣本進(jìn)行逆向分析，并且整理應(yīng)急演練的報告。后期運(yùn)維小組對應(yīng)急演練中的行為監(jiān)控，避免出現(xiàn)越權(quán)或破壞行為，應(yīng)急演練前對設(shè)備進(jìn)行管理，應(yīng)急演練后對造成的影響進(jìn)行恢復(fù)。3、后勤層后勤層人員對安全事件的影響進(jìn)行評估。后勤層在出現(xiàn)問題時進(jìn)行上下級和部門間的溝通，并與外界的廠商、安全機(jī)構(gòu)聯(lián)絡(luò)，確保應(yīng)急演練的實施全程溝通暢通。當(dāng)出現(xiàn)意外情況時，可以快速尋求幫助，為全員提供支持。（三）演練設(shè)備安排應(yīng)急演練的環(huán)境既要能夠與實際環(huán)境相匹配，又要保證演練事件不會對正常的工作造成影響，不會對正常的網(wǎng)絡(luò)造成破壞。因此對設(shè)備的安排要遵從以下幾點。1、應(yīng)急演練的環(huán)境應(yīng)盡量與實際環(huán)境相同相似的人員結(jié)構(gòu)與拓?fù)浣Y(jié)構(gòu)可以提升演練在真實場景中的應(yīng)用。因此應(yīng)事先整理全局網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D，并由此給出應(yīng)急演練的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。對于非保密、非重要、非關(guān)鍵節(jié)點可以考慮用真機(jī)進(jìn)行操作。2、使用虛擬設(shè)備實現(xiàn)邏輯隔離對于一些重要的節(jié)點，應(yīng)急演練可能對該節(jié)點造成一定的影響，因此要使用虛擬設(shè)備進(jìn)行隔離，避免造成不必要的損失。3、使用備用設(shè)備替代或進(jìn)行物理隔離對于關(guān)鍵節(jié)點要進(jìn)行物理隔離，同一位置可以使用其他物理設(shè)備進(jìn)行替代，在保證拓?fù)浣Y(jié)構(gòu)完整的同時，對這些位置進(jìn)行保護(hù)。三、演練示例以企業(yè)為例以企業(yè)網(wǎng)絡(luò)應(yīng)急響應(yīng)為例，將企業(yè)網(wǎng)絡(luò)安全應(yīng)急演練的大致過程逐一呈現(xiàn)，分為演練準(zhǔn)備、演練步驟、其他相關(guān)保障3個部分。（一）演練準(zhǔn)備在網(wǎng)絡(luò)安全應(yīng)急演練之前，需要理解和熟悉應(yīng)急響應(yīng)預(yù)案的背景或相關(guān)信息；組織專門隊伍，明確職責(zé)定位；同時還需對接企業(yè)既有的預(yù)防監(jiān)控制度。1、熟悉預(yù)案，理解演練內(nèi)容主要目的是使該應(yīng)急響應(yīng)預(yù)案更容易理解、實施和后期維護(hù)。通常在這部分內(nèi)容中主要包括背景、目的、適用范圍及影響情況等。（1）背景：介紹該預(yù)案的背景信息，并說明其啟動響應(yīng)預(yù)案的原因及受影響的層面。（2）目的：介紹該預(yù)案的最終完成目標(biāo)。（3）適用范圍：介紹該預(yù)案涉及的范圍，確定該預(yù)案能夠解決哪些問題，以及不能夠解決哪些問題等。2、人員配置及職責(zé)企事業(yè)單位應(yīng)急響應(yīng)工作演練組織架構(gòu)按照人員的職能劃分為4個功能小組:領(lǐng)導(dǎo)小組、IT支撐實施小組、后期運(yùn)維小組及公關(guān)外聯(lián)小組。在發(fā)生網(wǎng)絡(luò)突發(fā)事件后，在領(lǐng)導(dǎo)小組的統(tǒng)一指揮下，各個應(yīng)急響應(yīng)小組的成員各司其職，并嚴(yán)格按照應(yīng)急響應(yīng)計劃組織實施應(yīng)急響應(yīng)的工作。（1）領(lǐng)導(dǎo)小組職能：領(lǐng)導(dǎo)預(yù)案的實施與監(jiān)督，例如由企業(yè)一把手擔(dān)任組長。（2）IT支撐實施小組職能：聯(lián)合業(yè)務(wù)線負(fù)責(zé)人、IT技術(shù)支撐人員、外部技術(shù)專家和外部顧問，共同執(zhí)行相關(guān)事故檢測、抑制、根除、恢復(fù)、跟進(jìn)等任務(wù)。（3）后期運(yùn)維小組職能：實際上也是上述IT支撐實施小組的組成分支之一，但更加注重處理“跟進(jìn)階段”的事宜，主要包括監(jiān)控各個提醒日志、權(quán)限管理、設(shè)備管理等，評估事件發(fā)生后的損失，并做好后方物質(zhì)保障。（4）公關(guān)外聯(lián)小組職能：在需要的情況下，負(fù)責(zé)對外溝通、互動，回應(yīng)公共輿論或網(wǎng)民的關(guān)切；特殊情況還要向主管部門、公安部門通報情況；如果是內(nèi)部可以處理，并未對公共互聯(lián)網(wǎng)和客戶造成明顯影響，那么公關(guān)外聯(lián)小組可以對內(nèi)發(fā)布消息，報告事實經(jīng)過即可。整個應(yīng)急響應(yīng)組織內(nèi)的人員需要具備良好的管理技能，不同程度的專業(yè)技能，保持團(tuán)隊合作精神，保障各個小組在事件發(fā)生時合理分工，建立起各個應(yīng)急響應(yīng)小組在突發(fā)狀況下的恢復(fù)控制能力。3、對接預(yù)防監(jiān)控制度為維護(hù)整個網(wǎng)絡(luò)信息系統(tǒng)的安全性和穩(wěn)定性，企業(yè)一般實行日常實時監(jiān)控制度，出現(xiàn)異?；驁缶闆r及時上報給網(wǎng)絡(luò)安全應(yīng)急響應(yīng)小組，由相關(guān)人員檢查處理，將事故消滅在萌芽狀態(tài)。因此，在應(yīng)急演練將要正式開始執(zhí)行時，須對接好常規(guī)網(wǎng)絡(luò)維護(hù)、預(yù)防監(jiān)控等制度。同時應(yīng)急響應(yīng)小組中的相關(guān)人員要定期檢查網(wǎng)絡(luò)日志，加強(qiáng)對網(wǎng)絡(luò)安全防護(hù)和應(yīng)急準(zhǔn)備工作的監(jiān)督檢查，保障網(wǎng)絡(luò)系統(tǒng)的安全暢通，隨時準(zhǔn)備發(fā)現(xiàn)網(wǎng)絡(luò)安全問題、啟動網(wǎng)絡(luò)安全應(yīng)急響應(yīng)。（二）演練步驟1、應(yīng)急事件通報應(yīng)急響應(yīng)實施后，發(fā)現(xiàn)網(wǎng)絡(luò)故障的相關(guān)人員有責(zé)任將情況進(jìn)行匯報。上報分為兩種情況：正常工作時間的突發(fā)事件的報告，根據(jù)報告流程，向直屬領(lǐng)導(dǎo)匯報，并通知應(yīng)急小組相關(guān)負(fù)責(zé)人;非工作時間的突發(fā)事件報告，通知應(yīng)急小組值班人員，值班人員及時備案，并盡量聯(lián)系維修人員做臨時的網(wǎng)絡(luò)維護(hù)。2、確定應(yīng)急事件優(yōu)先級這里我們假設(shè)企業(yè)按照應(yīng)急響應(yīng)四級的分類標(biāo)準(zhǔn)定級，但每個分級下的指標(biāo)可以由企業(yè)根據(jù)自己的業(yè)務(wù)特點和性質(zhì)加以限定。下面的指標(biāo)參數(shù)標(biāo)準(zhǔn)可作參考。（1）通過對突發(fā)事件的預(yù)警評估，突發(fā)事件符合以下一項或多項標(biāo)準(zhǔn)時，將突發(fā)事件性質(zhì)定義為重大突發(fā)事件（I級）。1）網(wǎng)絡(luò)系統(tǒng)中斷時間超過4h。2）其他關(guān)鍵業(yè)務(wù)系統(tǒng)中斷時間超過8h。3）受影響的業(yè)務(wù)范圍超過總量50%。4）超過60min以上的關(guān)鍵實時數(shù)據(jù)破壞或丟失。5）關(guān)鍵機(jī)房無法進(jìn)入時間超過12h。6）關(guān)鍵機(jī)房無法提供正常服務(wù)時間超過24h。7）其他滿足重大突發(fā)事件（I級）特征的突發(fā)事件。（2）通過對突發(fā)事件的預(yù)警評估，突發(fā)事件符合以下一項或多項標(biāo)準(zhǔn)時，將突發(fā)事件性質(zhì)定義為較大突發(fā)事件（II級）。1）網(wǎng)絡(luò)系統(tǒng)中斷時間超過2h。2）其他關(guān)鍵業(yè)務(wù)系統(tǒng)中斷時間超過4h。3）受影響的業(yè)務(wù)范圍超過總量30%。4）超過30min以上的關(guān)鍵實時數(shù)據(jù)破壞或丟失。5）關(guān)鍵機(jī)房無法進(jìn)入時間超過4h。6）關(guān)鍵機(jī)房無法提供正常服務(wù)時間超過12h。7）其他滿足較大突發(fā)事件（II級）特征的突發(fā)事件。（3）通過對突發(fā)事件的預(yù)警評估，突發(fā)事件符合以下一項或多項標(biāo)準(zhǔn)時，將突發(fā)事件性質(zhì)定義為一般突發(fā)事件（III級）。1）主要系統(tǒng)部分中斷超過2h。2）關(guān)鍵業(yè)務(wù)系統(tǒng)中斷時間超過4h（受影響的業(yè)務(wù)范圍超過總量10%）。3）超過5min以上的關(guān)鍵實時數(shù)據(jù)破壞或丟失。4）關(guān)鍵機(jī)房無法進(jìn)入時間超過30min。5）關(guān)鍵機(jī)房無法提供正常服務(wù)時間超過4h。6）其他滿足一般突發(fā)事件（I級）特征的突發(fā)事件。3、應(yīng)急響應(yīng)啟動實施（1）重大突發(fā)事件（I級）處置的指揮權(quán)限。1）組織處置：應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組直接負(fù)責(zé)。2）突發(fā)事件處置方案：應(yīng)急響應(yīng)IT支撐實施小組負(fù)責(zé)處理。3）災(zāi)難宣告：應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組負(fù)責(zé)決策是否啟動網(wǎng)絡(luò)恢復(fù)行動，負(fù)責(zé)決策是否啟動I級恢復(fù)預(yù)案。4）事件評級、事件升級預(yù)警：應(yīng)急響應(yīng)IT支撐實施小組提出建議，并報領(lǐng)導(dǎo)小組批準(zhǔn)。5）事件降級：應(yīng)急響應(yīng)IT支撐實施小組提出建議，應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組負(fù)責(zé)批準(zhǔn)。6）事件報告：由應(yīng)急響應(yīng)公關(guān)外聯(lián)小組負(fù)責(zé)向應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組報告。（2）重大突發(fā)事件（I級）的主要恢復(fù)策略包括以下五點。1）應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組立即啟動緊急指揮中心，進(jìn)行指揮部署。2）應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組通知和調(diào)動所有應(yīng)急響應(yīng)IT支撐實施團(tuán)隊。3）應(yīng)急響應(yīng)后期運(yùn)維小組調(diào)動所有備用處理設(shè)備。4）網(wǎng)絡(luò)恢復(fù)行動立即準(zhǔn)備就緒，人員到位，所有服務(wù)和設(shè)施立即現(xiàn)場激活。5）IT支撐實施小組接收到事件報告后，立即調(diào)動后期小組做好備份工作，同時應(yīng)急響應(yīng)IT支撐實施小組各個人員實施網(wǎng)絡(luò)救援工作。（3）較大突發(fā)事件（II級）處置的指揮權(quán)限。1）組織處置：應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組直接負(fù)責(zé)。2）突發(fā)事件處置方案：應(yīng)急響應(yīng)IT支撐實施小組負(fù)責(zé)處理。3）災(zāi)難宣告：由應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組負(fù)責(zé)決策是否啟動備份，負(fù)責(zé)決策啟動II級恢復(fù)預(yù)案。4）事件評級、事件升級預(yù)警：應(yīng)急響應(yīng)IT支撐實施小組提出建議，并報應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組批準(zhǔn)，如果事件的嚴(yán)重性超過II級但尚未達(dá)到I級，按相對高一級突發(fā)事件處理。5）事件降級：應(yīng)急響應(yīng)IT支撐實施小組提出建議，應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組負(fù)責(zé)批準(zhǔn)。6）事件報告：由應(yīng)急響應(yīng)公關(guān)外聯(lián)小組負(fù)責(zé)向領(lǐng)導(dǎo)小組報告。（4）較大突發(fā)事件（II級）的主要恢復(fù)策略包括以下幾個方面。1）應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組指揮工作啟動。2）應(yīng)急響應(yīng)外聯(lián)小組根據(jù)預(yù)先確定的降級策略和應(yīng)用優(yōu)先級，對網(wǎng)絡(luò)系統(tǒng)服務(wù)水平和持續(xù)時間進(jìn)行評估。3）制定本地網(wǎng)絡(luò)恢復(fù)和降級策略，首先組織應(yīng)急響應(yīng)IT支撐實施小組進(jìn)行現(xiàn)場恢復(fù)。4）將事件的嚴(yán)重性和緊急情況的預(yù)計持續(xù)時間通知應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組，決定是否部分啟動備用網(wǎng)絡(luò)恢復(fù)服務(wù)。5）IT支撐實施小組相關(guān)人員立即準(zhǔn)備就緒，人員到位。6）公關(guān)外聯(lián)小組對事件嚴(yán)重性和緊急情況評估結(jié)果上報，實施小組接到上報結(jié)果后，再激活所有服務(wù)和設(shè)施。7）IT支撐實施小組與后期運(yùn)維小組根據(jù)部分接管的策略，啟動相應(yīng)的接管程序。（5）一般突發(fā)事件（III級）處置的指揮權(quán)限。1）組織處置：應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組直接負(fù)責(zé)。2）突發(fā)事件處置方案：應(yīng)急響應(yīng)IT支撐實施小組負(fù)責(zé)處理。3）災(zāi)難宣告：由公關(guān)外聯(lián)小組報告后，領(lǐng)導(dǎo)小組負(fù)責(zé)決策是否啟動III級恢復(fù)預(yù)案。4）事件評級、事件升級預(yù)警：應(yīng)急響應(yīng)后期運(yùn)維小組負(fù)責(zé)評估。如果事件的嚴(yán)重性超過I級但尚未達(dá)到II級，按相對高一級突發(fā)事件處理。5）事件降級：應(yīng)急響應(yīng)后期運(yùn)維小組負(fù)責(zé)評估。6）事件報告：由應(yīng)急響應(yīng)公關(guān)外聯(lián)小組負(fù)責(zé)向領(lǐng)導(dǎo)小組報告。（6）一般突發(fā)事件（I級）的主要恢復(fù)策略：通過日常監(jiān)測和網(wǎng)絡(luò)維護(hù)就可以解決的網(wǎng)絡(luò)安全問題可不啟動應(yīng)急響應(yīng)，由應(yīng)急響應(yīng)IT支撐實施小組負(fù)責(zé)處理，并恢復(fù)系統(tǒng)即可。4、應(yīng)急響應(yīng)事件后期運(yùn)維應(yīng)急響應(yīng)處理過程完畢之后，各部門要做好后期保護(hù)檢查工作，防止故障再次發(fā)生。后期運(yùn)維小組要定期檢查各個提醒日志，監(jiān)控網(wǎng)絡(luò)狀態(tài)，檢查設(shè)備的完好性，并且組織實施網(wǎng)絡(luò)恢復(fù)和系統(tǒng)重建工作。應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組組織其他小組通知相關(guān)恢復(fù)團(tuán)隊和用戶部門，評估預(yù)計時間內(nèi)的網(wǎng)絡(luò)恢復(fù)情況，恢復(fù)網(wǎng)絡(luò)服務(wù)環(huán)境，不影響業(yè)務(wù)的正常進(jìn)行。