【正文】 規(guī)、規(guī)定、文件精神，制定本預案。按照“誰主管誰負責，誰運營誰負責”的原則，建立和完善安全責任制。（四）適用范圍本預案適用于公司所屬各單位，公司各部門。2．網(wǎng)絡與信息安全應急領導組下設辦公室。（3）指導全公司應對網(wǎng)絡與信息安全突發(fā)公共事件的預案演習、宣傳培訓、督促應急保障體系建設。報告內(nèi)容主要包括信息來源、影響范圍、事件性質、事件發(fā)展趨勢和采取的措施等。（2）應急領導小組接到報告后，應迅速召開應急領導小組會議，研究確定網(wǎng)絡與信息安全突發(fā)公共事件的等級，根據(jù)具體情況啟動相應的應急預案，并向相關部門進行匯報。網(wǎng)站管理員應妥善保存有關記錄、日志或審計記錄，將有關情況向安全領導小組匯報，并及時追查非法信息來源。軟件遭破壞性攻擊（包括嚴重病毒）時要將系統(tǒng)停止運行。（三）數(shù)據(jù)庫發(fā)生故障時的應急預案主要數(shù)據(jù)庫系統(tǒng)應定時進行數(shù)據(jù)庫備份。（四）設備安全發(fā)生故障時的應急預案小型機、服務器等關鍵設備損壞后，管理員應立即向上級領導報告。如果設備一時不能修復，應向上級領導匯報，并告知各部門，暫緩上傳上報數(shù)據(jù)，直到故障排除設備恢復正常使用。如屬路由器、交換機等網(wǎng)絡設備故障，應立即從指定位置將備用設備取出接上，并調試通暢。管理員應迅速判斷故障節(jié)點，查明故障原因。經(jīng)領導同意后，應通知各部門暫緩上傳上報數(shù)據(jù)。（八）機房發(fā)生火災時的應急預案一旦機房發(fā)生火災，應遵循下列原則：首先保證人員安全；其次保證關鍵設備、數(shù)據(jù)安全；三是保證一般設備安全。（1）當發(fā)生網(wǎng)絡與信息安全突發(fā)公共事件時，值班人員應做好先期應急處置工作，立即采取措施控制事態(tài)，同時向行政部報告。預案啟動后，立即成立應急響應先遣小組，督促、指導和協(xié)調處置工作。（2）要明確信息采集、編輯、分析、審核、簽發(fā)的責任人，做好信息分析、報告和發(fā)布工作。在應急處置工作結束后，要迅速采取措施，抓緊組織搶修受損的基礎設施，減少損失，盡快恢復正常工作。重要信息系統(tǒng)均應建立備份系統(tǒng)和相關工作機制，保證重要數(shù)據(jù)在受到破壞后，可緊急恢復。七、監(jiān)督管理 。負責信息安全日常事務處理、應急處理及安全通報等事務。（四）協(xié)作配合、確?；謴停焊鲉挝灰獏f(xié)同配合，確保在最短的時間內(nèi)完成系統(tǒng)的恢復。3．網(wǎng)絡運行負責人應根據(jù)停電時間和UPS電池的供電能力，在保證重點網(wǎng)絡關鍵設備用電的前提下，提出機房設備部分關機或全部關機方案，報信息安全工作領導小組。（二）消防系統(tǒng)應急處理流程1．當出現(xiàn)火情、火災時，發(fā)現(xiàn)人員應在最短時間內(nèi)報告辦公室。并迅速撥打119電話報警。如果需要更換設備，應上報有關領導經(jīng)批準后馬上更換故障設備，盡快恢復網(wǎng)絡、應用系統(tǒng)運行。（四）網(wǎng)站檢測與自動恢復系統(tǒng)應急處理流程1．發(fā)現(xiàn)網(wǎng)站不能正常打開或網(wǎng)站內(nèi)容被惡意篡改時，任何人員都有義務向網(wǎng)絡中心報告。（五）黑客入侵的應急處理1．發(fā)現(xiàn)網(wǎng)絡上有黑客攻擊行為，任何人員都有義務向網(wǎng)絡中心報告。安全管理員檢查確定無安全隱患后，才可將受攻擊計算機重新連接網(wǎng)絡，或啟用備份計算機來恢復應用。若系統(tǒng)已被黑客破壞，無法恢復，應將受黑客攻擊的計算機上的重要數(shù)據(jù)備份到其他存儲介質，確保計算機內(nèi)重要的數(shù)據(jù)不丟失。2．若是已知病毒，使用最新版本殺毒軟件對染毒計算機進行全面殺毒，并對染毒計算機系統(tǒng)進行漏洞修補。關閉該交換機端口，隔離該工作站、服務器，阻斷與局域網(wǎng)的連接。如果數(shù)據(jù)無法恢復，經(jīng)有關領導同意后，可與國家指定的反病毒部門聯(lián)系，由他們來協(xié)助恢復，為保證數(shù)據(jù)信息安全，需在安全管理部門作記錄。（二）編制依據(jù)根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《信息安全3級評級方法》、GB/T202692006《信息安全技術信息系統(tǒng)安全管理要求》、GB/T202702006《信息安全技術網(wǎng)絡基礎安全技術要求》、GB/T202812006《信息安全技術防火墻技術要求和測試評價方法》、GB/T197162005《信息技術信息安全管理使用規(guī)則》等有關法規(guī)、規(guī)定，制定本預案。應急小組日常工作由公司技術部承擔，其他各相關部門積極配合。加強計算機信息網(wǎng)絡安全的宣傳和教育，進一步提高工作人員的信息安全意識。物理設備的安全風險由于信息系統(tǒng)中大量地使用了網(wǎng)絡設備如交換機、路由器等，服務器，移動設備，使得這些設備的自身安全性也會直接關系信息系統(tǒng)和各種網(wǎng)絡應用的正常運轉。內(nèi)部應用信息網(wǎng)、Internet網(wǎng)之間是否進行隔離及如何進行隔離，網(wǎng)段劃分是否合理，路由是否正確，網(wǎng)絡的容量、帶寬是否考慮客戶上網(wǎng)的峰值，網(wǎng)絡設備有無冗余設計等都與安全風險密切相關。網(wǎng)絡操作系統(tǒng)的安全風險網(wǎng)絡操作系統(tǒng)，不論是 IOS，Android，還是 Windows，都存在安全漏洞；一些重要的網(wǎng)絡設備，如路由器、交換機、網(wǎng)關，防火墻等，由于操作系統(tǒng)存在安全漏洞，導致網(wǎng)絡設備的不安全；有些網(wǎng)絡設備存在“后門”（back door）。雖然，目前公司的數(shù)據(jù)庫管理系統(tǒng)可以達到較高的安全級別，但仍存在安全漏洞。重者，“黑客”對系統(tǒng)實施攻擊，造成系統(tǒng)崩潰。入侵者通過拒絕服務攻擊，使得服務器超負荷工作以至拒絕服務甚至系統(tǒng)癱瘓。為此，動態(tài)口令認證、CA第三方認證等被認為是先進的認證方式。采用國內(nèi)經(jīng)過國家密碼管理委員會和公安部批準的加密方式、密碼算法和密鑰管理技術來強化這一環(huán)節(jié)的安全保障。同時，當故障發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡的可控性與可審查性。當檢查到有網(wǎng)絡與信息安全突發(fā)事件發(fā)生或可能發(fā)生時，應及時對發(fā)生事件或可能發(fā)生事件進行調查核實、保存相關證據(jù)，并立即向應急領導小組報告。通過相關設備實時監(jiān)控網(wǎng)絡工作與信息安全狀況。一旦發(fā)生網(wǎng)絡與信息安全事件，立即啟動應急預案，采取應急處置措施，判定事件危害程度，并立即將情況向有關領導報告。（2）檢查 UPS是否正常供電。做好事件記錄。（3）若是路由器、交換機等設備故障，應立即從指定位置將備用設備取出接上，并調試暢通。（2）如是我方管轄范圍，由信息安全負責人員立即維修恢復。（2）啟用備用核心交換機，檢查接管情況。（6）聯(lián)系維修核心交換機。計算機病毒爆發(fā)（1）關閉計算機病毒爆發(fā)網(wǎng)段上聯(lián)端口。（5）系統(tǒng)損壞計算機在備份其數(shù)據(jù)后，進行重裝。（2）如能自行恢復，則立即用備件替換受損部件，如：電源損壞更換備用電源，硬盤損壞更換備用硬盤，網(wǎng)卡、主板損壞啟用備用服務器。（5）如不能恢復，立即聯(lián)系設備供應商，要求派維護人員前來維修。（3）及時恢復重建被攻擊或被破壞的系統(tǒng)（4）記錄事件，及時上報，若事態(tài)嚴重，應及時向信息化主管部門和公安部門報警。（4）做好事件記錄，及時上報。（3）在保障人員安全的情況下，立即組織人員疏散和轉移重要物品，特別是易燃、易爆物品和重要的機器、數(shù)據(jù)要及時轉移到安全地點，并派人員守護，確保安全。（2）確認災害不會造成人身傷害后，盡快將網(wǎng)絡恢復正常，若有設備、數(shù)據(jù)損壞，及時使用備份設備或備用數(shù)據(jù)。（2）一旦發(fā)生系統(tǒng)安全事件，關鍵人員不在崗且聯(lián)系不上或 1小時內(nèi)不能到達機房的情況，首先應向領導小組匯報情況。（6）做好事件記錄。（四）記錄上報網(wǎng)絡與信息安全事件發(fā)生時，應及時向網(wǎng)絡與信息安全應急處置工作組匯報，并在事件處置工作中作好完整的過程記錄，及時報告處置工作進展情況，保存各相關系統(tǒng)日志，直至處置工作結束。各容災備份系統(tǒng)應具有一定的兼容性，在特殊情況下各系統(tǒng)間可互為備份。（三）協(xié)作配合、確?；謴停翰块T間要協(xié)同配合，確保在最短的時間內(nèi)完成系統(tǒng)的恢復。3．計算中心機房停電的處理網(wǎng)絡運行負責人應根據(jù)停電時間和UPS電池的供電能力，在保證重點網(wǎng)絡關鍵設備用電的前提下，提出機房設備部分關機或全部關機方案，經(jīng)認可后按照規(guī)定的流程操作實施。若火情嚴重時，應迅速撥打119電話報警，并盡可能采取一些簡單可行的方法作初步處理，如：使用周圍的滅火器、水源（在允許用水滅火的場合）或采用其他滅火措施、手段。如果網(wǎng)絡、應用系統(tǒng)出現(xiàn)比較嚴重的問題，對網(wǎng)絡業(yè)務的正常運行造成較大的影響，需立即向有關領導報告。3．網(wǎng)絡線路故障排除如發(fā)現(xiàn)屬外部線路的問題，應與線路服務提供商聯(lián)系，敦促對方盡快恢復故障線路。2．處理和恢復使用先查看網(wǎng)絡連接情況，若不是網(wǎng)絡故障，再排查軟、硬件故障。2．處理和恢復使用對于黑客攻擊，由技術部門與機房管理人員協(xié)同查找入侵蹤跡，分析入侵方式和原因，分析入侵事件并內(nèi)部網(wǎng)計算機進行整改，防止黑客用同樣的手段再次入侵其他系統(tǒng)。根據(jù)破壞程度，經(jīng)有關領導同意后，上報公安部門。2．已知病毒的處理和恢復使用最新版本殺毒軟件對染毒計算機進行全面殺毒，并對染毒計算機系統(tǒng)進行漏洞修補。關閉該交換機端口，隔離該工作站、服務器，阻斷與局域網(wǎng)的連接。七、預案的發(fā)布與生效本預案自發(fā)布之日起生效