網絡安全應急預案-通用版XXXXXX2023年07月目錄TOC\o"1-3"\h\u5887一、總則 416374編制目的 48815編制依據(jù) 41181適用范圍 47221工作原則 519000 65185工作領導小組 625247應急協(xié)調小組 614347安全監(jiān)控小組 725701應急聯(lián)絡小組 720201內部處理小組 78272外部支撐單位 76706三、風險分析 816252有害程序事件 816192網絡攻擊事件 914269信息破壞事件 1021209其他網絡安全事件 1128673四、應急預案體系 126275網絡安全事件應急預案 1231930場景應急方案 1224014網站篡改應急預案 1223704與其他預案的關系 1422683五、預防及預警機制 148220預警信息 1426854預警分級 1431442風險監(jiān)測 1524994預警發(fā)布及行動 1629481預警措施 1622944預警信息跟蹤反饋 1620039六、應急響應 1719618網絡安全事件分級 1732589特別重大網絡安全事件（Ⅰ級） 1722021重大突發(fā)事件（Ⅱ級） 1824037較大突發(fā)事件（Ⅲ級） 1817935一般突發(fā)事件（Ⅳ級） 1921714接警與處理 194999信息報送 198409信息報告 2015682一級應急處置流程 2130937二級應急處置流程 2214793三級應急處置流程 2326955四級響應流程 2423424應急結束 2415269七、后期處置 253099恢復生產 2518551持續(xù)監(jiān)測 2518644事件調查 2511101總結及改進 263349八、通信保障 2628518九、裝備保障 261975十、數(shù)據(jù)保障 2716362十一、隊伍保障 275899十二、監(jiān)督管理 2718666宣傳教育和培訓 2710814預案演練 272908責任與獎懲 2823264十三、附則 281975013.1預案更新 282651313.1制定和解釋 281882613.1預案實施 2816671十四、附錄： 2911856相關場景應急處置方案 299631網絡病毒事件 294857黑客攻擊事件 3124903數(shù)據(jù)損壞 3317078網絡信息泄漏 3519216客戶信息泄漏 3714080安全事件處理報告 41871安全事件處理報告 41一、總則編制目的為了提高XXXXXX（以下簡稱“XXXXXX”）網絡與信息系統(tǒng)的網絡安全突發(fā)事件的能力，形成快速、高效、有序的突發(fā)事件應急響應機制，最大限度地預防和減少網絡安全突發(fā)事件及其造成的損害和影響，保障信息系統(tǒng)的安全穩(wěn)定運行，維護正常的生產秩序，結合XXXXXX實際情況，制定本預案。編制依據(jù)本預案在編制過程中充分遵循和參考了如下法律法規(guī)和相關標準規(guī)范；《中華人民共和國突發(fā)事件應對法》《中華人民共和國網絡安全法》《國家突發(fā)公共事件總體應急預案》《突發(fā)事件應急預案管理辦法》（GB/Z20986-2007）《中華人民共和國計算機信息系統(tǒng)安全保護條例》適用范圍本預案所指網絡安全事件是指由于人為原因、軟硬件缺陷或故障、自然災害等，對網絡和信息系統(tǒng)或者其中的數(shù)據(jù)造成危害，對社會造成負面影響的事件，可分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他事件。本預案適用于網絡安全事件的應對工作。其中，有關信息內容安全事件的應對，另行制定專項預案。工作原則統(tǒng)一領導，分工負責網絡安全事件應急處置工作由網絡安全工作領導小組統(tǒng)一協(xié)調。按照“統(tǒng)一領導、分工負責”的原則，建立和完善網絡安全責任制；及時預警，協(xié)作配合建立網絡監(jiān)控機制，做到有問題及時發(fā)現(xiàn)、及時預警。建立和完善網絡安全聯(lián)動工作機制，形成網絡安全聯(lián)合應急處置合力，以最快、最優(yōu)的方式解決網絡的安全問題；快速處理、確?；謴蛢湟恢ЬW絡安全應急響應隊伍，既有過硬的技術，又有良好的政治背景，發(fā)現(xiàn)問題快速響應，快速解決，同時建立和完善網絡安全事件跟蹤機制，做到“閉環(huán)”處理，確保故障恢復。預防為主、加強預警建立預防預警機制和信息通報工作制度，將風險評估和安全檢查列入常態(tài)工作，做到早發(fā)現(xiàn)、早報告、早處置；根據(jù)業(yè)務特征和本單位應急工作實際，制定信息系統(tǒng)現(xiàn)場處置方案，做好應急資源準備、保障措施落實、應急培訓和應急演練等工作，切實提高對各類網絡安全突發(fā)事件的應急響應和處置能力。處置優(yōu)先、保證重點發(fā)生網絡安全突發(fā)事件時，事發(fā)部門要按照“處置優(yōu)先、快速反應”原則及時獲取充分而準確的信息，跟蹤研判，果斷決策，按照相關應急預案進行迅速處置，最大程度地減少危害和影響，并收集、保存好相應證據(jù)用于后續(xù)溯源研判攻擊者使用。在網絡安全突發(fā)事件處理過程中，應采取各種必要手段，防止事件范圍進一步擴大，優(yōu)先保證骨干網絡和核心系統(tǒng)的恢復，提高整個系統(tǒng)恢復速度?？茖W化、程序化與規(guī)范化加強技術儲備，規(guī)范應急處置措施與操作流程，實現(xiàn)網絡安全突發(fā)事件應急處置工作的科學化、程序化與規(guī)范化，樹立常備不懈的觀念，定期進行預案演練，確保應急預案切實可行。網絡安全應急組織架構各小組職責工作領導小組研究網絡安全重大應急決策和部署；III應急協(xié)調小組安全監(jiān)控小組網絡安全突發(fā)事件的監(jiān)控、告警及事故跟蹤，判斷突發(fā)事件警情級別并發(fā)布應急預警信息和信號；對突發(fā)事件所造成的業(yè)務影響作出預測分析并提出相關的對策建議；收集、匯總各部門上報的現(xiàn)場處置方案、預警信息、突發(fā)事件信息和處置期間的進展情況。應急聯(lián)絡小組行應急演練；監(jiān)督執(zhí)行應急響應領導小組的應急指令、重大應急決策和部署，協(xié)調各方應急資源，組織應急處置；進一步判斷突發(fā)事件的警情級別，并組織召開相關會議，提出相關對策建議，及時上傳下達，督促決策落實及反饋決策執(zhí)行情況。內部處理小組照相關現(xiàn)場處置方案迅速開展現(xiàn)場應急處置工作；時能及時響應；負責應急裝備、備品備件及工器具的準備工作；落實領導小組下達的各項任務；跟蹤、記錄事件處理過程，確保事件“閉環(huán)”處理。外部支撐單位外部支撐單位由設備及服務提供商等組成，主要是為應急處置工作提供處理建議和技術指導；必要時參與網絡安全事件現(xiàn)場應急處置工作。三、風險分析網絡信息存在受到計算機病毒、漏洞攻擊、掃描竊聽等風險，極有可能危害系統(tǒng)可用性、完整性或保密性，上述風險引起的網絡安全突發(fā)事件主要包括：有害程序事件指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導致的網絡安全事件。有害程序是指插入到信息系統(tǒng)中的一段程序，有害程序危害系統(tǒng)中數(shù)據(jù)、應用程序或操作系統(tǒng)的保密性、完整性或可用性，或影響信息系統(tǒng)的正常運行。有害程序事件包括計算機病毒事件、蠕蟲事件、木馬事件、僵尸網絡事件、混合攻擊程序事件、網頁內嵌惡意代碼事件和其它有害程序事件等7個第二層分類。計算機病毒事件是指蓄意制造、傳播計算機病毒，或是因受到計算機病壞數(shù)據(jù)，影響計算機使用，并能自我復制。自動復制并傳播的有害程序。木馬事件是指蓄意制造、傳播木馬程序，或是因受到木馬程序影響而導具有控制該信息系統(tǒng)或進行信息竊取等對該信息系統(tǒng)有害的功能。序。混合攻擊程序事件是指蓄意制造、傳播混合攻擊程序，或是因受到混合攻擊程序影響而導致的網絡安全事件?；旌瞎舫绦蚴侵咐枚喾N方法傳播和感染其它系統(tǒng)的有害程序，可能兼有計算機病毒、蠕蟲、木馬或僵尸網絡等多種特征?；旌瞎舫绦蚴录部梢允且幌盗杏泻Τ绦蚓C合有害程序。其它有害程序事件是指不能包含在以上6事件。網絡攻擊事件運行造成潛在危害的網絡安全事件。網絡攻擊事件包括拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件等7個第二層分類。拒絕服務攻擊事件是指利用信息系統(tǒng)缺陷、或通過暴力攻擊的手段，以CPU響信息系統(tǒng)正常運行為目的的網絡安全事件。后門攻擊事件是指利用軟件系統(tǒng)、硬件系統(tǒng)設計過程中留下的后門或有害程序所設置的后門而對信息系統(tǒng)實施的攻擊的網絡安全事件。漏洞攻擊事件是指除拒絕服務攻擊事件和后門攻擊事件之外，利用信息絡安全事件。置、端口、服務、存在的脆弱性等特征而導致的網絡安全事件。網絡釣魚事件是指利用欺騙性的計算機網絡技術，使用戶泄漏重要信息密碼等。干擾事件是指通過技術手段對網絡進行干擾，或對廣播電視有線或無線件。其他網絡攻擊事件是指不能被包含在以上6擊事件。信息破壞事件信息篡改事件是指未經授權將信息系統(tǒng)中的信息更換為攻擊者所提供的信息而導致的網絡安全事件，例如網頁篡改等導致的網絡安全事件。件，例如網頁假冒等導致的網絡安全事件。信息泄漏事件是指因誤操作、軟硬件缺陷或電磁泄漏等因素導致信息系全事件。系統(tǒng)中信息而導致的網絡安全事件。信息丟失事件是指因誤操作、人為蓄意或軟硬件缺陷等因素導致信息系統(tǒng)中的信息丟失而導致的網絡安全事件。其它信息破壞事件是指不能被包含在以上5壞事件。其他網絡安全事件四、應急預案體系網絡安全事件應急預案場景應急方案網站篡改應急預案（一）值班及技術人員（二）技術方案（三）處理流程值班人員斷開網站服務器的網線，切斷網站和互聯(lián)網之間的通信，保護現(xiàn)場。值班人員或防篡改系統(tǒng)發(fā)現(xiàn)官方網站被篡改值班人員斷開網站服務器的網線，切斷網站和互聯(lián)網之間的通信，保護現(xiàn)場。值班人員或防篡改系統(tǒng)發(fā)現(xiàn)官方網站被篡改網站被非法篡改，已經斷網處理）（改，已經斷網處理）網站負責人通知技術人員到場查明原因網站負責人通知技術人員到場查明原因公安局完成取證，查明原因并修復系統(tǒng)公安局完成取證，查明原因并修復系統(tǒng)值班人員報公司相關負責人值班人員報公司相關負責人（內容：網站恢復正常）值班人員報有關部門（內容：網站恢復正常）值班人員報有關部門（內容：網站恢復正常）與其他預案的關系五、預防及預警機制預警信息預警分級Ⅰ級預警安全漏洞類信息：漏洞可導致遠程運行任意代碼或受漏洞影響的服務死鎖，且攻擊代碼易于開發(fā);病毒類信息：病毒可導致遠程控制被感染系統(tǒng)或嚴重消耗系統(tǒng)資源，且病毒已大規(guī)模傳播或具有大規(guī)模傳播的趨勢;并且受漏洞影響的服務向全網用戶、或不可控的第三方（SP）開放;Ⅱ級預警安全漏洞類信息：漏洞可導致遠程運行任意代碼或受漏洞影響的服務死鎖，但攻擊代碼不易于開發(fā)病毒類信息：病毒可導致遠程控制被感染系統(tǒng)或嚴重消耗系統(tǒng)資源，但病毒尚未呈現(xiàn)已大規(guī)模傳播的趨勢Ⅲ級預警鎖；病毒類信息：病毒可導致本地控制被感染系統(tǒng)或嚴重消耗系統(tǒng)資源，但病毒尚未呈現(xiàn)大規(guī)模擴散的趨勢。Ⅳ級預警漏洞類信息：除高危和中危和外的所有安全漏洞；病毒類信息：除嚴重和中度以外的所有病毒。風險監(jiān)測安全預警信息的范圍包括最新的安全漏洞、病毒、安全補丁、入侵手法等，監(jiān)控小組通過各種途徑收集網絡安全預警信息。信息來源如下：上級機構下發(fā)的安全預警信息；定期主動與廠商確認周期內公布的安全預警信息；主動從安全信息站點以及國家相關安全機構獲取安全預警信息；與本公司各系統(tǒng)管理員建立聯(lián)系，定期從系統(tǒng)管理員收集相關系統(tǒng)的安全預警信息。預警信息的定義，分為緊急、重要、中度、一般四個等級。預警發(fā)布及行動預警措施預警信息跟蹤反饋六、應急響應網絡安全事件分級特別重大網絡安全事件（Ⅰ級）網絡大面積中斷：因網絡中斷，造成XXXXXX12小時以上的。主營業(yè)務系統(tǒng)大面積癱瘓：因系統(tǒng)主要功能不可用，造成XXXXXX三分之二以上部門不能正常使用一個及以上主營業(yè)務系統(tǒng)，系統(tǒng)癱瘓時間12個小時以上的。數(shù)據(jù)毀壞：主營業(yè)務數(shù)據(jù)毀壞后完全不能恢復的。數(shù)據(jù)泄密：通過網絡與信息系統(tǒng)發(fā)生涉及國家秘密與XXXXXX機密數(shù)據(jù)的數(shù)據(jù)泄漏。重大突發(fā)事件（Ⅱ級）網絡較大面積中斷：因網絡中斷，造成XXXXXX6小時以上。主營業(yè)務系統(tǒng)較大面積癱瘓：因系統(tǒng)主要功能不可用，造成XXXXXX半數(shù)6個小時以上。數(shù)據(jù)毀壞：主營業(yè)務數(shù)據(jù)毀壞后部分恢復的。XXXXXX較大突發(fā)事件（Ⅲ級）網絡中斷：因內部網絡中斷，造成XXXXXX2小時以上。主營業(yè)務系統(tǒng)癱瘓：因系統(tǒng)主要功能不可用，造成XXXXXX四分之一以上2個小時以上。數(shù)據(jù)毀壞：主營業(yè)務數(shù)據(jù)毀壞后大部分恢復的。XXXXXX用，發(fā)布或傳播了政治敏感信息，造成了一定程度不良政治影響的。一般突發(fā)事件（Ⅳ級）XXXXXX1單位不能正常使用一個及以上主營業(yè)務系統(tǒng)，持續(xù)時間超過1的。XXXXXX11個小時以上。數(shù)據(jù)毀壞：主營業(yè)務數(shù)據(jù)毀壞后能夠完全恢復的。數(shù)據(jù)泄密：通過網絡與信息系統(tǒng)發(fā)生涉及企密內部數(shù)據(jù)泄漏。接警與處理信息報送信息報告突發(fā)事件上報流程圖

聯(lián)絡員在收到突發(fā)事件報警后對報警情況進行核實，并立即向各部門經領導小組決策并下達啟動相應級別的應急響應。1030報事件。應急響應工作流程應急處置一級應急處置流程二級應急處置流程三級應急處置流程四級響應流程應急結束七、后期處置恢復生產持續(xù)監(jiān)測事件調查總結及改進八、通信保障九、裝備保障十、數(shù)據(jù)保障十一、隊伍保障十二、監(jiān)督管理宣傳教育和培訓預案演練責任與獎懲十三、附則一、預案知曉范圍13.1預案更新13.1制定和解釋13.1預案實施十四、附錄：相關場景應急處置方案網絡病毒事件并采取一定處理措施，應確定病毒感染的范圍，評估信息內容的影響，并判斷是否需要啟用應急響，若不需要則由事發(fā)部門自行處置。III響應領導小組。I10XX30XX2XX求幫助。絡隔離。聯(lián)絡小組應有向受影響用戶發(fā)布通知。應急結束后，應對時間進行分析、總結并形成安全事件處理報告（造成的直接損失等，并將報告上報應急處置工作領導小組，并向XX有關部門報備。黑客攻擊事件響，若不需要則由事發(fā)部門自行處置。III響應領導小組。I0XI0XXIII2XX道。系統(tǒng)能夠正?；謴秃陀行∽C。聯(lián)絡小組在處置進行各階段向受影響用戶發(fā)布通知。應急結束后，應對事件進行分析、總結并形成安全事件處理報告（有關部門報備。數(shù)據(jù)損壞系統(tǒng)發(fā)生宕機或者發(fā)生數(shù)據(jù)損壞時，監(jiān)控小組人員立即通知部門聯(lián)絡員并馬上做預處理。預處理操作后，未正常運行的情況，部門聯(lián)絡員立即通知聯(lián)絡小組，并視乎故障情況還原備份數(shù)據(jù)和還原系統(tǒng)。故障事件超過2XX應待系統(tǒng)或系統(tǒng)數(shù)據(jù)恢復正常后，檢查歷史數(shù)據(jù)和當前數(shù)據(jù)的差別，由系統(tǒng)管理員補