1、網絡平安應急預案一、總那么（一）目的為科學應對網絡與信息平安（以下簡稱信息平安）突發事件，建 立健全信息平安應急響應機制，有效預防、及時控制和最大限 度地消除信息平安各類突發事件的危害和影響，制訂本應急預 案。（二）工作原那么預防為主。立足平安防護，加強預警，重點保護基礎信息網絡 和關系國家平安、經濟命脈、社會穩定的重要信息系統。快速反響。及時獲取充分而準確的信息，果斷決策，迅速處置, 最大程度地減少危害和影響。分級負責。按照誰主管誰負責的原那么，建立和完善平安責任 制及聯開工作機制。加強部門間的協調與配合，形成合力，共 同履行應急處置工作的管理職責。常備不懈。規范應急處置措施與操作流程，定期

2、進行預案演練, 確保應急預案切實有效，實現網絡與信息平安突發公共事件應 急處置的科學化、程序化與規范化。（三）組織機構及職責設立信息系統應急工作領導小組，為公司處理信息平安突發事 件應急工作的綜合性議事、協調機構。主要職責是：按照研究決定信息平安應急工作的有關重大問 題，決定啟動網絡與信息平安突發事件應急指揮部，統一領導 和組織指揮重大信息平安突發事件的應急處置工作。二、預警和預防機制（一）預警信息系統應急工作領導小組接到信息平安突發事件報告后，在 核實，研究分析可能造成損害程度的基礎上，提出初步行動對 策，視情況召集協調會，并根據應急委的決策實施行動方案， 發布指示和命令。（二）預防機制積極

3、推行信息平安等級保護，逐步實行信息平安風險評估。各 基礎信息網絡和重要信息系統建設要充分考慮抗毀性與災難 恢復，制定完善信息平安應急處理預案。針對基礎信息網絡的 突發性、大規模平安事件，各相關部門建立制度化、程序化的 處理流程。三、應急處理程序（一）級別確實定根據信息系統平安等級保護定級報告確定信息平安事件等 級。（二）預案啟動根據網絡信息平安事件等級的不同，相關部門啟動相應預案， 并負責應急處理工作。（三）現場應急處理事件發生單位和現場應急處理工作組盡最大可能收集事件相 關信息，判別事件類別，確定事件來源，保護證據，以便縮短 應急響應時間。檢查威脅造成的結果，評估事件帶來的影響和損害：如檢查

4、系 統、服務、數據的完整性、保密性或可用性；檢查攻擊者是否 侵入了系統；以后是否能再次隨意進入；損失的程度；確定暴 露出的主要危險等。抑制事件的影響進一步擴大，限制潛在的損失與破壞。可能的 抑制策略一般包括：關閉服務或關閉所有的系統，從網絡上斷 開相關系統的物理鏈接，修改防火墻和路由器的過濾規那么；封 鎖或刪除被攻破的登錄賬號，阻斷可疑用戶得以進入網絡的通 路；提高系統或網絡行為的監控級別；設置陷阱；啟用緊急事 件下的接管系統；實行特殊防衛狀態平安警戒；還擊攻擊者 的系統等。在事件被抑制之后，通過對有關惡意代碼或行為的分析結果， 找出事件根源，明確相應的補救措施并徹底清除。與此同時， 執法部門

5、和其他相關機構對攻擊源進行準確定位并采取合適 的措施將其中斷。清理系統、恢復數據、程序、服務。把所有被攻破的系統和網 絡設備徹底還原到正常的任務狀態。恢復工作應十分小心，避 免出現操作失誤而導致數據喪失。另外，恢復工作中如果涉及 機密數據，需要額外按照機密系統的恢復要求。如果攻擊者獲 得了超級用戶的訪問權，一次完整的恢復應強制性地修改所有 的口令。（四）報告和總結回顧并整理發生事件的各種相關信息，盡可能地把所有情況記 錄到文檔中。發生重大信息平安事件的單位應當在事件處理完 畢后將處理結果報上級主管部門備案。（五）應急行動結束 根據信息平安事件的處置進展情況和現場應急處理工作組意 見，信息系統應

6、急工作領導小組組織相關部門及專家組對信息 平安事件處置情況進行綜合評估，并提出應急行動結束建議， 報相關部門審批。應急行動是否結束，相關主管部門決定。四、保障措施（一）技術支撐保障建立預警與應急處理的技術平臺，進一步提高平安事件的發現 和分析能力：從技術上逐步實現發現、預警、處置、通報等多 個環節和不同的網絡、系統、部門之間應急處理的聯動機制。（二）應急隊伍保障加強信息平安人才培養，強化信息平安宣傳教育，建設一支高 素質、高技術的信息平安核心人才和管理隊伍，提高全社會信 息平安防御意識。大力開展信息平安服務業，增強社會應急支 援能力。（三）物資條件保障安排信息化建設專項資金用于預防或應對信息平

7、安突發事件， 提供必要的經費保障，強化信息平安應急處理工作的物資保障 條件。（四）技術儲藏保障 信息系統應急工作領導小組組織有關專家和科研力量，開展應 急運作機制、應急處理技術、預警和控制等研究，組織參加相 關培訓，推廣和普及新的應急技術。五、事件處理流程（一）黑客攻擊時的緊急處置流程：當有關值班人員發現平臺內容被篡改，或通過入侵檢測系統發 現有黑客正在進行攻擊時，應立即向信息系統應急工作領導小 組報告情況。信息系統應急工作領導小組相關成員應在十分鐘內趕到現場， 并首先應將被攻擊的服務器等設備從網絡中隔離出來，保護現 場。信息系統應急工作領導小組負責被攻擊或破壞系統的恢復與 重建工作。信息系統

8、應急工作領導小組組織相關人員追查攻擊來源。會商 后，將有關情況向信息平安領導小組報告，并妥善保存有關記 錄及 日 志或審計記錄。信息系統應急工作領導小組組長召開信息平安領導小組會議， 如認為事態嚴重，那么立即向公安部門或上級機關報警。（二）病毒平安緊急處置流程：當發現有服務器被感染上病毒后，應立即通知平安管理員，將 該機從網絡上隔離開來。平安管理員在接到通報后，應在十分鐘內趕到現場。對該設備 的硬盤進行數據備份。啟用反病毒軟件對該機進行殺毒處理， 同時通過病毒檢測軟件對其他機器進行病毒掃描和清除工作。 如果現行反病毒軟件無法清除該病毒，應立即向信息系統應急 工作領導小組報告，并迅速聯系有關產品商研究解決。信息系統應急工作領導小組會商后，認為情況嚴重的，應立即 將有關情況向上級主管部門報告，并妥善保存有關記錄及日志 或審計記錄。信息系統應急工作領導小組組長召開信息平安領導小組會議， 如認為事態嚴重，那么立即向公安