網(wǎng)絡(luò)安全應(yīng)急預(yù)案

網(wǎng)絡(luò)安全應(yīng)急預(yù)案-通用版XXXXXX2023年07月目錄TOC\o"1-3"\h\u5887一、總則 416374編制目的 48815編制依據(jù) 41181適用范圍 47221工作原則 519000 65185工作領(lǐng)導(dǎo)小組 625247應(yīng)急協(xié)調(diào)小組 614347安全監(jiān)控小組 725701應(yīng)急聯(lián)絡(luò)小組 720201內(nèi)部處理小組 78272外部支撐單位 76706三、風(fēng)險分析 816252有害程序事件 816192網(wǎng)絡(luò)攻擊事件 914269信息破壞事件 1021209其他網(wǎng)絡(luò)安全事件 1128673四、應(yīng)急預(yù)案體系 126275網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案 1231930場景應(yīng)急方案 1224014網(wǎng)站篡改應(yīng)急預(yù)案 1223704與其他預(yù)案的關(guān)系 1422683五、預(yù)防及預(yù)警機制 148220預(yù)警信息 1426854預(yù)警分級 1431442風(fēng)險監(jiān)測 1524994預(yù)警發(fā)布及行動 1629481預(yù)警措施 1622944預(yù)警信息跟蹤反饋 1620039六、應(yīng)急響應(yīng) 1719618網(wǎng)絡(luò)安全事件分級 1732589特別重大網(wǎng)絡(luò)安全事件（Ⅰ級） 1722021重大突發(fā)事件（Ⅱ級） 1824037較大突發(fā)事件（Ⅲ級） 1817935一般突發(fā)事件（Ⅳ級） 1921714接警與處理 194999信息報送 198409信息報告 2015682一級應(yīng)急處置流程 2130937二級應(yīng)急處置流程 2214793三級應(yīng)急處置流程 2326955四級響應(yīng)流程 2423424應(yīng)急結(jié)束 2415269七、后期處置 253099恢復(fù)生產(chǎn) 2518551持續(xù)監(jiān)測 2518644事件調(diào)查 2511101總結(jié)及改進 263349八、通信保障 2628518九、裝備保障 261975十、數(shù)據(jù)保障 2716362十一、隊伍保障 275899十二、監(jiān)督管理 2718666宣傳教育和培訓(xùn) 2710814預(yù)案演練 272908責(zé)任與獎懲 2823264十三、附則 281975013.1預(yù)案更新 282651313.1制定和解釋 281882613.1預(yù)案實施 2816671十四、附錄： 2911856相關(guān)場景應(yīng)急處置方案 299631網(wǎng)絡(luò)病毒事件 294857黑客攻擊事件 3124903數(shù)據(jù)損壞 3317078網(wǎng)絡(luò)信息泄漏 3519216客戶信息泄漏 3714080安全事件處理報告 41871安全事件處理報告 41一、總則編制目的為了提高XXXXXX（以下簡稱“XXXXXX”）網(wǎng)絡(luò)與信息系統(tǒng)的網(wǎng)絡(luò)安全突發(fā)事件的能力，形成快速、高效、有序的突發(fā)事件應(yīng)急響應(yīng)機制，最大限度地預(yù)防和減少網(wǎng)絡(luò)安全突發(fā)事件及其造成的損害和影響，保障信息系統(tǒng)的安全穩(wěn)定運行，維護正常的生產(chǎn)秩序，結(jié)合XXXXXX實際情況，制定本預(yù)案。編制依據(jù)本預(yù)案在編制過程中充分遵循和參考了如下法律法規(guī)和相關(guān)標準規(guī)范；《中華人民共和國突發(fā)事件應(yīng)對法》《中華人民共和國網(wǎng)絡(luò)安全法》《國家突發(fā)公共事件總體應(yīng)急預(yù)案》《突發(fā)事件應(yīng)急預(yù)案管理辦法》（GB/Z20986-2007）《中華人民共和國計算機信息系統(tǒng)安全保護條例》適用范圍本預(yù)案所指網(wǎng)絡(luò)安全事件是指由于人為原因、軟硬件缺陷或故障、自然災(zāi)害等，對網(wǎng)絡(luò)和信息系統(tǒng)或者其中的數(shù)據(jù)造成危害，對社會造成負面影響的事件，可分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他事件。本預(yù)案適用于網(wǎng)絡(luò)安全事件的應(yīng)對工作。其中，有關(guān)信息內(nèi)容安全事件的應(yīng)對，另行制定專項預(yù)案。工作原則統(tǒng)一領(lǐng)導(dǎo)，分工負責(zé)網(wǎng)絡(luò)安全事件應(yīng)急處置工作由網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組統(tǒng)一協(xié)調(diào)。按照“統(tǒng)一領(lǐng)導(dǎo)、分工負責(zé)”的原則，建立和完善網(wǎng)絡(luò)安全責(zé)任制；及時預(yù)警，協(xié)作配合建立網(wǎng)絡(luò)監(jiān)控機制，做到有問題及時發(fā)現(xiàn)、及時預(yù)警。建立和完善網(wǎng)絡(luò)安全聯(lián)動工作機制，形成網(wǎng)絡(luò)安全聯(lián)合應(yīng)急處置合力，以最快、最優(yōu)的方式解決網(wǎng)絡(luò)的安全問題；快速處理、確?；謴?fù)儲備一支網(wǎng)絡(luò)安全應(yīng)急響應(yīng)隊伍，既有過硬的技術(shù)，又有良好的政治背景，發(fā)現(xiàn)問題快速響應(yīng)，快速解決，同時建立和完善網(wǎng)絡(luò)安全事件跟蹤機制，做到“閉環(huán)”處理，確保故障恢復(fù)。預(yù)防為主、加強預(yù)警建立預(yù)防預(yù)警機制和信息通報工作制度，將風(fēng)險評估和安全檢查列入常態(tài)工作，做到早發(fā)現(xiàn)、早報告、早處置；根據(jù)業(yè)務(wù)特征和本單位應(yīng)急工作實際，制定信息系統(tǒng)現(xiàn)場處置方案，做好應(yīng)急資源準備、保障措施落實、應(yīng)急培訓(xùn)和應(yīng)急演練等工作，切實提高對各類網(wǎng)絡(luò)安全突發(fā)事件的應(yīng)急響應(yīng)和處置能力。處置優(yōu)先、保證重點發(fā)生網(wǎng)絡(luò)安全突發(fā)事件時，事發(fā)部門要按照“處置優(yōu)先、快速反應(yīng)”原則及時獲取充分而準確的信息，跟蹤研判，果斷決策，按照相關(guān)應(yīng)急預(yù)案進行迅速處置，最大程度地減少危害和影響，并收集、保存好相應(yīng)證據(jù)用于后續(xù)溯源研判攻擊者使用。在網(wǎng)絡(luò)安全突發(fā)事件處理過程中，應(yīng)采取各種必要手段，防止事件范圍進一步擴大，優(yōu)先保證骨干網(wǎng)絡(luò)和核心系統(tǒng)的恢復(fù)，提高整個系統(tǒng)恢復(fù)速度?？茖W(xué)化、程序化與規(guī)范化加強技術(shù)儲備，規(guī)范應(yīng)急處置措施與操作流程，實現(xiàn)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急處置工作的科學(xué)化、程序化與規(guī)范化，樹立常備不懈的觀念，定期進行預(yù)案演練，確保應(yīng)急預(yù)案切實可行。網(wǎng)絡(luò)安全應(yīng)急組織架構(gòu)各小組職責(zé)工作領(lǐng)導(dǎo)小組研究網(wǎng)絡(luò)安全重大應(yīng)急決策和部署；III應(yīng)急協(xié)調(diào)小組安全監(jiān)控小組網(wǎng)絡(luò)安全突發(fā)事件的監(jiān)控、告警及事故跟蹤，判斷突發(fā)事件警情級別并發(fā)布應(yīng)急預(yù)警信息和信號；對突發(fā)事件所造成的業(yè)務(wù)影響作出預(yù)測分析并提出相關(guān)的對策建議；收集、匯總各部門上報的現(xiàn)場處置方案、預(yù)警信息、突發(fā)事件信息和處置期間的進展情況。應(yīng)急聯(lián)絡(luò)小組行應(yīng)急演練；監(jiān)督執(zhí)行應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組的應(yīng)急指令、重大應(yīng)急決策和部署，協(xié)調(diào)各方應(yīng)急資源，組織應(yīng)急處置；進一步判斷突發(fā)事件的警情級別，并組織召開相關(guān)會議，提出相關(guān)對策建議，及時上傳下達，督促決策落實及反饋決策執(zhí)行情況。內(nèi)部處理小組照相關(guān)現(xiàn)場處置方案迅速開展現(xiàn)場應(yīng)急處置工作；時能及時響應(yīng)；負責(zé)應(yīng)急裝備、備品備件及工器具的準備工作；落實領(lǐng)導(dǎo)小組下達的各項任務(wù)；跟蹤、記錄事件處理過程，確保事件“閉環(huán)”處理。外部支撐單位外部支撐單位由設(shè)備及服務(wù)提供商等組成，主要是為應(yīng)急處置工作提供處理建議和技術(shù)指導(dǎo)；必要時參與網(wǎng)絡(luò)安全事件現(xiàn)場應(yīng)急處置工作。三、風(fēng)險分析網(wǎng)絡(luò)信息存在受到計算機病毒、漏洞攻擊、掃描竊聽等風(fēng)險，極有可能危害系統(tǒng)可用性、完整性或保密性，上述風(fēng)險引起的網(wǎng)絡(luò)安全突發(fā)事件主要包括：有害程序事件指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導(dǎo)致的網(wǎng)絡(luò)安全事件。有害程序是指插入到信息系統(tǒng)中的一段程序，有害程序危害系統(tǒng)中數(shù)據(jù)、應(yīng)用程序或操作系統(tǒng)的保密性、完整性或可用性，或影響信息系統(tǒng)的正常運行。有害程序事件包括計算機病毒事件、蠕蟲事件、木馬事件、僵尸網(wǎng)絡(luò)事件、混合攻擊程序事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其它有害程序事件等7個第二層分類。計算機病毒事件是指蓄意制造、傳播計算機病毒，或是因受到計算機病壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制。自動復(fù)制并傳播的有害程序。木馬事件是指蓄意制造、傳播木馬程序，或是因受到木馬程序影響而導(dǎo)具有控制該信息系統(tǒng)或進行信息竊取等對該信息系統(tǒng)有害的功能。序?；旌瞎舫绦蚴录侵感钜庵圃?、傳播混合攻擊程序，或是因受到混合攻擊程序影響而導(dǎo)致的網(wǎng)絡(luò)安全事件?；旌瞎舫绦蚴侵咐枚喾N方法傳播和感染其它系統(tǒng)的有害程序，可能兼有計算機病毒、蠕蟲、木馬或僵尸網(wǎng)絡(luò)等多種特征?；旌瞎舫绦蚴录部梢允且幌盗杏泻Τ绦蚓C合有害程序。其它有害程序事件是指不能包含在以上6事件。網(wǎng)絡(luò)攻擊事件運行造成潛在危害的網(wǎng)絡(luò)安全事件。網(wǎng)絡(luò)攻擊事件包括拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件等7個第二層分類。拒絕服務(wù)攻擊事件是指利用信息系統(tǒng)缺陷、或通過暴力攻擊的手段，以CPU響信息系統(tǒng)正常運行為目的的網(wǎng)絡(luò)安全事件。后門攻擊事件是指利用軟件系統(tǒng)、硬件系統(tǒng)設(shè)計過程中留下的后門或有害程序所設(shè)置的后門而對信息系統(tǒng)實施的攻擊的網(wǎng)絡(luò)安全事件。漏洞攻擊事件是指除拒絕服務(wù)攻擊事件和后門攻擊事件之外，利用信息絡(luò)安全事件。置、端口、服務(wù)、存在的脆弱性等特征而導(dǎo)致的網(wǎng)絡(luò)安全事件。網(wǎng)絡(luò)釣魚事件是指利用欺騙性的計算機網(wǎng)絡(luò)技術(shù)，使用戶泄漏重要信息密碼等。干擾事件是指通過技術(shù)手段對網(wǎng)絡(luò)進行干擾，或?qū)V播電視有線或無線件。其他網(wǎng)絡(luò)攻擊事件是指不能被包含在以上6擊事件。信息破壞事件信息篡改事件是指未經(jīng)授權(quán)將信息系統(tǒng)中的信息更換為攻擊者所提供的信息而導(dǎo)致的網(wǎng)絡(luò)安全事件，例如網(wǎng)頁篡改等導(dǎo)致的網(wǎng)絡(luò)安全事件。件，例如網(wǎng)頁假冒等導(dǎo)致的網(wǎng)絡(luò)安全事件。信息泄漏事件是指因誤操作、軟硬件缺陷或電磁泄漏等因素導(dǎo)致信息系全事件。系統(tǒng)中信息而導(dǎo)致的網(wǎng)絡(luò)安全事件。信息丟失事件是指因誤操作、人為蓄意或軟硬件缺陷等因素導(dǎo)致信息系統(tǒng)中的信息丟失而導(dǎo)致的網(wǎng)絡(luò)安全事件。其它信息破壞事件是指不能被包含在以上5壞事件。其他網(wǎng)絡(luò)安全事件四、應(yīng)急預(yù)案體系網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案場景應(yīng)急方案網(wǎng)站篡改應(yīng)急預(yù)案（一）值班及技術(shù)人員（二）技術(shù)方案（三）處理流程值班人員斷開網(wǎng)站服務(wù)器的網(wǎng)線，切斷網(wǎng)站和互聯(lián)網(wǎng)之間的通信，保護現(xiàn)場。值班人員或防篡改系統(tǒng)發(fā)現(xiàn)官方網(wǎng)站被篡改值班人員斷開網(wǎng)站服務(wù)器的網(wǎng)線，切斷網(wǎng)站和互聯(lián)網(wǎng)之間的通信，保護現(xiàn)場。值班人員或防篡改系統(tǒng)發(fā)現(xiàn)官方網(wǎng)站被篡改網(wǎng)站被非法篡改，已經(jīng)斷網(wǎng)處理）（改，已經(jīng)斷網(wǎng)處理）網(wǎng)站負責(zé)人通知技術(shù)人員到場查明原因網(wǎng)站負責(zé)人通知技術(shù)人員到場查明原因公安局完成取證，查明原因并修復(fù)系統(tǒng)公安局完成取證，查明原因并修復(fù)系統(tǒng)值班人員報公司相關(guān)負責(zé)人值班人員報公司相關(guān)負責(zé)人（內(nèi)容：網(wǎng)站恢復(fù)正常）值班人員報有關(guān)部門（內(nèi)容：網(wǎng)站恢復(fù)正常）值班人員報有關(guān)部門（內(nèi)容：網(wǎng)站恢復(fù)正常）與其他預(yù)案的關(guān)系五、預(yù)防及預(yù)警機制預(yù)警信息預(yù)警分級Ⅰ級預(yù)警安全漏洞類信息：漏洞可導(dǎo)致遠程運行任意代碼或受漏洞影響的服務(wù)死鎖，且攻擊代碼易于開發(fā);病毒類信息：病毒可導(dǎo)致遠程控制被感染系統(tǒng)或嚴重消耗系統(tǒng)資源，且病毒已大規(guī)模傳播或具有大規(guī)模傳播的趨勢;并且受漏洞影響的服務(wù)向全網(wǎng)用戶、或不可控的第三方（SP）開放;Ⅱ級預(yù)警安全漏洞類信息：漏洞可導(dǎo)致遠程運行任意代碼或受漏洞影響的服務(wù)死鎖，但攻擊代碼不易于開發(fā)病毒類信息：病毒可導(dǎo)致遠程控制被感染系統(tǒng)或嚴重消耗系統(tǒng)資源，但病毒尚未呈現(xiàn)已大規(guī)模傳播的趨勢Ⅲ級預(yù)警鎖；病毒類信息：病毒可導(dǎo)致本地控制被感染系統(tǒng)或嚴重消耗系統(tǒng)資源，但病毒尚未呈現(xiàn)大規(guī)模擴散的趨勢。Ⅳ級預(yù)警漏洞類信息：除高危和中危和外的所有安全漏洞；病毒類信息：除嚴重和中度以外的所有病毒。風(fēng)險監(jiān)測安全預(yù)警信息的范圍包括最新的安全漏洞、病毒、安全補丁、入侵手法等，監(jiān)控小組通過各種途徑收集網(wǎng)絡(luò)安全預(yù)警信息。信息來源如下：上級機構(gòu)下發(fā)的安全預(yù)警信息；定期主動與廠商確認周期內(nèi)公布的安全預(yù)警信息；主動從安全信息站點以及國家相關(guān)安全機構(gòu)獲取安全預(yù)警信息；與本公司各系統(tǒng)管理員建立聯(lián)系，定期從系統(tǒng)管理員收集相關(guān)系統(tǒng)的安全預(yù)警信息。預(yù)警信息的定義，分為緊急、重要、中度、一般四個等級。預(yù)警發(fā)布及行動預(yù)警措施預(yù)警信息跟蹤反饋六、應(yīng)急響應(yīng)網(wǎng)絡(luò)安全事件分級特別重大網(wǎng)絡(luò)安全事件（Ⅰ級）網(wǎng)絡(luò)大面積中斷：因網(wǎng)絡(luò)中斷，造成XXXXXX12小時以上的。主營業(yè)務(wù)系統(tǒng)大面積癱瘓：因系統(tǒng)主要功能不可用，造成XXXXXX三分之二以上部門不能正常使用一個及以上主營業(yè)務(wù)系統(tǒng)，系統(tǒng)癱瘓時間12個小時以上的。數(shù)據(jù)毀壞：主營業(yè)務(wù)數(shù)據(jù)毀壞后完全不能恢復(fù)的。數(shù)據(jù)泄密：通過網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生涉及國家秘密與XXXXXX機密數(shù)據(jù)的數(shù)據(jù)泄漏。重大突發(fā)事件（Ⅱ級）網(wǎng)絡(luò)較大面積中斷：因網(wǎng)絡(luò)中斷，造成XXXXXX6小時以上。主營業(yè)務(wù)系統(tǒng)較大面積癱瘓：因系統(tǒng)主要功能不可用，造成XXXXXX半數(shù)6個小時以上。數(shù)據(jù)毀壞：主營業(yè)務(wù)數(shù)據(jù)毀壞后部分恢復(fù)的。XXXXXX較大突發(fā)事件（Ⅲ級）網(wǎng)絡(luò)中斷：因內(nèi)部網(wǎng)絡(luò)中斷，造成XXXXXX2小時以上。主營業(yè)務(wù)系統(tǒng)癱瘓：因系統(tǒng)主要功能不可用，造成XXXXXX四分之一以上2個小時以上。數(shù)據(jù)毀壞：主營業(yè)務(wù)數(shù)據(jù)毀壞后大部分恢復(fù)的。XXXXXX用，發(fā)布或傳播了政治敏感信息，造成了一定程度不良政治影響的。一般突發(fā)事件（Ⅳ級）XXXXXX1單位不能正常使用一個及以上主營業(yè)務(wù)系統(tǒng)，持續(xù)時間超過1的。XXXXXX11個小時以上。數(shù)據(jù)毀壞：主營業(yè)務(wù)數(shù)據(jù)毀壞后能夠完全恢復(fù)的。數(shù)據(jù)泄密：通過網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生涉及企密內(nèi)部數(shù)據(jù)泄漏。接警與處理信息報送信息報告突發(fā)事件上報流程圖

聯(lián)絡(luò)員在收到突發(fā)事件報警后對報警情況進行核實，并立即向各部門經(jīng)領(lǐng)導(dǎo)小組決策并下達啟動相應(yīng)級別的應(yīng)急響應(yīng)。1030報事件。應(yīng)急響應(yīng)工作流程應(yīng)急處置一級應(yīng)急處置流程二級應(yīng)急處置流程三級應(yīng)急處置流程四級響應(yīng)流程應(yīng)急結(jié)束七、后期處置恢復(fù)生產(chǎn)持續(xù)監(jiān)測事件調(diào)查總結(jié)及改進八、通信保障九、裝備保障十、數(shù)據(jù)保障十一、隊伍保障十二、監(jiān)督管理宣傳教育和培訓(xùn)預(yù)案演練責(zé)任與獎懲十三、附則一、預(yù)案知曉范圍13.1預(yù)案更新13.1制定和解釋13.1預(yù)案實施十四、附錄：相關(guān)場景應(yīng)急處置方案網(wǎng)絡(luò)病毒事件并采取一定處理措施，應(yīng)確定病毒感染的范圍，評估信息內(nèi)容的影響，并判斷是否需要啟用應(yīng)急響，若不需要則由事發(fā)部門自行處置。III響應(yīng)領(lǐng)導(dǎo)小組。I10XX30XX2XX求幫助。絡(luò)隔離。聯(lián)絡(luò)小組應(yīng)有向受影響用戶發(fā)布通知。應(yīng)急結(jié)束后，應(yīng)對時間進行分析、總結(jié)并形成安全事件處理報告（造成的直接損失等，并將報告上報應(yīng)急處置工作領(lǐng)導(dǎo)小組，并向XX有關(guān)部門報備。黑客攻擊事件響，若不需要則由事發(fā)部門自行處置。III響應(yīng)領(lǐng)導(dǎo)小組。I0XI0XXIII2XX道。系統(tǒng)能夠正?；謴?fù)和有效取證。聯(lián)絡(luò)小組在處置進行各階段向受影響用戶發(fā)布通知。應(yīng)急結(jié)束后，應(yīng)對事件進行分析、總結(jié)并形成安全事件處理報告（有關(guān)部門報備。數(shù)據(jù)損壞系統(tǒng)發(fā)生宕機或者發(fā)生數(shù)據(jù)損壞時，監(jiān)控小組人員立即通知部門聯(lián)絡(luò)員并馬上做預(yù)處理。預(yù)處理操作后，未正常運行的情況，部門聯(lián)絡(luò)員立即通知聯(lián)絡(luò)小組，并視乎故障情況還原備份數(shù)據(jù)和還原系統(tǒng)。故障事件超過2XX應(yīng)待系統(tǒng)或系統(tǒng)數(shù)據(jù)恢復(fù)正常后，檢查歷史數(shù)據(jù)和當前數(shù)據(jù)的差別，由系統(tǒng)管理員補