【正文】 預(yù)案由局信息化領(lǐng)導(dǎo)小組辦公室負責(zé)解釋。十、本預(yù)案自印發(fā)之日起實施。第五篇：網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案為科學(xué)有效地預(yù)防和應(yīng)對各類網(wǎng)絡(luò)與信息安全突發(fā)事件，及時控制并最大限度地消除危害和影響，切實保障施橋鎮(zhèn)信息系統(tǒng)的正常運行和數(shù)據(jù)、硬件安全，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)管理暫行規(guī)定》等有關(guān)法規(guī)、規(guī)定，特制定本預(yù)案。一、適用范圍本預(yù)案所稱突發(fā)性事件，是指自然因素或人為活動引發(fā)的危害網(wǎng)絡(luò)設(shè)施及信息安全等有關(guān)的災(zāi)害。根據(jù)網(wǎng)絡(luò)與信息安全事件的發(fā)生原因、性質(zhì)和機理，網(wǎng)絡(luò)與信息安全事件主要分為以下三類：（一）人為類事件：指網(wǎng)絡(luò)與信息系統(tǒng)因計算機病毒感染、非法入侵等造成網(wǎng)站主頁被惡意篡改，計算機上的數(shù)據(jù)被非法拷貝、修改、刪除；人為破壞網(wǎng)絡(luò)線路、通信設(shè)施；在網(wǎng)站上發(fā)布的內(nèi)容違反國家的法律法規(guī)、侵犯知識版權(quán)并已造成嚴(yán)重后果等，由此導(dǎo)致的業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓等情況。（二）故障類事件：指網(wǎng)絡(luò)與信息系統(tǒng)因計算機軟硬件故障、人為誤操作等導(dǎo)致業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓等情況。（三）災(zāi)害類事件：指因洪水、火災(zāi)、雷擊、地震、臺風(fēng)等外力因素導(dǎo)致網(wǎng)絡(luò)與信息系統(tǒng)損毀，造成業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓等情況。二、事件分級實施預(yù)警信息等級制度，按照事件可控性、嚴(yán)重程度和影響范圍，將網(wǎng)絡(luò)與信息安全突發(fā)事件分為四級：I級（特別重大）、II級（重大）、III級（較大）、IV級（一般）。具體級別定義如果國家有關(guān)法律法規(guī)有明確規(guī)定的，按國家有關(guān)規(guī)定執(zhí)行：（1）I級（特別重大）：造成網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生大規(guī)模癱瘓，事態(tài)的發(fā)展超出區(qū)一級相關(guān)主管部門的控制能力，對國家安全、社會秩序、公共利益造成特別嚴(yán)重損害的突發(fā)事件。（2）II級（重大）：造成網(wǎng)站或其它上一級部門重要網(wǎng)絡(luò)與信息系統(tǒng)癱瘓，對國家安全、社會秩序、公共利益造成嚴(yán)重損害，需要上級政府或公安部門協(xié)助，乃至需跨地區(qū)協(xié)同處置的突發(fā)事件。（3）III級（較大）：造成網(wǎng)站網(wǎng)絡(luò)與信息系統(tǒng)癱瘓，對國家安全、社會秩序、公共利益造成一定損害，但只需在本區(qū)政府或區(qū)信息中心協(xié)同處置的突發(fā)事件。（4）IV級（一般）：造成網(wǎng)站網(wǎng)絡(luò)重要網(wǎng)絡(luò)與信息系統(tǒng)受到一定程度的損壞，但不危害國家安全、社會秩序和公共利益，可由我主管部門處置的突發(fā)事件。三、組織領(lǐng)導(dǎo)（一）鎮(zhèn)網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)小組的主要職責(zé)與任務(wù)是統(tǒng)一領(lǐng)導(dǎo)信息安全事件應(yīng)急工作，全面負責(zé)信息安全可能出現(xiàn)的各種突發(fā)事件處置，協(xié)調(diào)解決網(wǎng)絡(luò)與信息安全事件處置工作中的重大問題等。（二）應(yīng)急工作要求1．重在防御、綜合防范。立足安全防護，加強預(yù)警，重點保護重要信息網(wǎng)絡(luò)和關(guān)系到社會穩(wěn)定的重要信息系統(tǒng)；從預(yù)防、監(jiān)控、應(yīng)急處理、應(yīng)急保障和打擊不法行為等環(huán)節(jié)和管理、技術(shù)、宣傳等方面，采取多項措施，充分發(fā)揮各方面的作用，構(gòu)筑網(wǎng)絡(luò)與信息安全保障體系。2．明確責(zé)任、分級負責(zé)。按照“誰主管、誰負責(zé)”的原則，加強網(wǎng)絡(luò)安全管理，認真落實各項安全管理制度和措施。加強計算機信息網(wǎng)絡(luò)安全的宣傳和教育，進一步提高工作人員的網(wǎng)絡(luò)與信息安全意識。3．落實措施、防護到位。對機房、網(wǎng)絡(luò)設(shè)備等設(shè)施定期開展安全檢查，對發(fā)現(xiàn)的安全漏洞和隱患及時進行整改；實行網(wǎng)站的巡察制度，密切關(guān)注互聯(lián)網(wǎng)信息動態(tài)，要按照快速反應(yīng)機制，及時獲取充分而準(zhǔn)確的信息，跟蹤研判，果斷決策，迅速處置，最大程度地降低乃至消除危害和影響。4．加強培訓(xùn)，定期演練。增加技術(shù)學(xué)習(xí)儲備、規(guī)范應(yīng)急處置措施與操作流程，樹立常備不懈的觀念，定期進行預(yù)案演練，確保應(yīng)急預(yù)案切實可行。實時監(jiān)控，及時上報。當(dāng)發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)事件時，應(yīng)及時按規(guī)定向有關(guān)部門報告。初次報告最遲不得超過2小時，重大和特別重大的網(wǎng)絡(luò)與信息安全突發(fā)事件必須實行態(tài)勢進程報告和日報告制度。報告內(nèi)容主要包括信息來源、影響范圍、事件性質(zhì)、事件發(fā)展趨勢和采取的措施等。四、應(yīng)急響應(yīng)處置流程（一）預(yù)案啟動網(wǎng)絡(luò)與信息安全事件發(fā)生后，應(yīng)急領(lǐng)導(dǎo)工作組盡最大可能收集事件相關(guān)信息，鑒別事件性質(zhì)，確定事件來源，以確定事件范圍和評估事件帶來的影響和損害，確認為網(wǎng)絡(luò)信息安全事件后，對事件進行定級和上報。按照應(yīng)急響應(yīng)流程，由網(wǎng)絡(luò)與信息安全應(yīng)急小組決定啟動應(yīng)急預(yù)案，并由組長負責(zé)應(yīng)急處理協(xié)調(diào)工作。（二）應(yīng)急處理確認階段。初步確定應(yīng)急處理方式，確定是否符合應(yīng)急預(yù)案啟動條件，若符合，則啟動本預(yù)案。遏制階段。及時采取行動遏制事態(tài)發(fā)展，限制潛在的損失與破壞，同時要采取積極措施，使危害程度降到最低。根除階段。在事態(tài)得到有效控制后，通過對有關(guān)事件或行為的分析結(jié)果，找出事件根源，明確相應(yīng)的補救措施，徹底消除安全隱患?；謴?fù)和跟蹤階段。在確保安全問題解決后，要及時清理系統(tǒng)、恢復(fù)數(shù)據(jù)、程序、服務(wù)?；謴?fù)工作應(yīng)避免出現(xiàn)誤操作導(dǎo)致數(shù)據(jù)的丟失。另外，恢復(fù)工作中如果涉及到機密數(shù)據(jù)，需遵照機密系統(tǒng)的恢復(fù)要求。在應(yīng)急處置工作結(jié)束后，應(yīng)立即組織有關(guān)人員組成事件調(diào)查組，查清事件發(fā)生的原因及財產(chǎn)損失情況，總結(jié)經(jīng)驗教訓(xùn)，寫出調(diào)查評估報告，報應(yīng)急領(lǐng)導(dǎo)小組，并根據(jù)問責(zé)制的有關(guān)規(guī)定，對有關(guān)責(zé)任人員作出處理。必要時采取合理的形式向社會公眾通報。進一步加強宣傳，公布危害性和解決辦法，以避免和減少產(chǎn)生的社會負面影響。（三）應(yīng)急處置方法當(dāng)發(fā)生的網(wǎng)絡(luò)與信息安全事件為故障類或自然災(zāi)害類事件時，應(yīng)根據(jù)當(dāng)時的實際情況，在保障人身安全的前提下，首先保障數(shù)據(jù)的安全，然后是設(shè)備安全。具體方法如：硬盤的拔出與保存，設(shè)備的斷電與拆卸、搬遷等。當(dāng)發(fā)生的網(wǎng)絡(luò)與信息安全事件為人為類事件時，具體按以下順序進行：判斷破壞的來源與性質(zhì)，斷開影響安全與穩(wěn)定的信息網(wǎng)絡(luò)設(shè)備，斷開與破壞來源的網(wǎng)絡(luò)物理連接，聯(lián)系有關(guān)部門跟蹤并鎖定破壞來源的IP或其它網(wǎng)絡(luò)用戶信息，修復(fù)被破壞的信息，恢復(fù)信息系統(tǒng)。按照災(zāi)害發(fā)生的性質(zhì)分別采用以下方案：（1）病毒傳播：要及時斷開傳播源，聯(lián)系相關(guān)技術(shù)部門判斷病毒的性質(zhì)、采用的端口，然后關(guān)閉相應(yīng)的端口，在網(wǎng)上公布病毒攻擊信息以及防御方法。（2）網(wǎng)絡(luò)入侵：首先要聯(lián)系相關(guān)技術(shù)部門，判斷入侵的來源，區(qū)分外網(wǎng)與內(nèi)網(wǎng)。入侵來自外網(wǎng)的，定位入侵的IP地址，及時關(guān)閉入侵的端口，限制入侵地IP地址的訪問，在無法制止的情況下可以采用斷開網(wǎng)絡(luò)連接的方法。入侵來自內(nèi)網(wǎng)的，查清入侵來源，如IP地址、上網(wǎng)帳號等信息，同時斷開對應(yīng)的交換機端口。然后針對入侵方法建設(shè)或更新入侵檢測設(shè)備。（3）信息被篡改：一經(jīng)發(fā)現(xiàn)馬上斷開相應(yīng)的信息上網(wǎng)鏈接，并盡快恢復(fù)。（4）網(wǎng)絡(luò)故障：根據(jù)相應(yīng)工作流程盡快排除。（5）其他沒有列出的不確定因素造成的災(zāi)害，可根據(jù)總的安全原則，結(jié)合具體的情況，做出相應(yīng)的處理。當(dāng)采用一般應(yīng)急處置措施仍無法控制事態(tài)時，要迅速研究采取有利于控制事態(tài)的非常措施，并向區(qū)政府網(wǎng)絡(luò)與信息安全應(yīng)急領(lǐng)導(dǎo)小組辦公室請求支援。（四）安全事件的處理記錄在事件的上報、接收和處理過程中，事件接收人、處理負責(zé)人應(yīng)及時作好完整的過程記錄。事件處理完成后歸檔。（五）結(jié)束響應(yīng)系統(tǒng)恢復(fù)正常運行后，應(yīng)急領(lǐng)導(dǎo)小組對事件造成的損失、事件處理流程和應(yīng)急預(yù)案進行評估，對響應(yīng)流程、預(yù)案提出修改意見，總結(jié)事件處理經(jīng)驗和教訓(xùn)，撰寫事件處理報告，同時確定是否需要上報該事件及其處理過程，需要上報的應(yīng)及時準(zhǔn)備相關(guān)材料，上報相關(guān)部門。五、應(yīng)急保障措施人員保障堅持網(wǎng)絡(luò)與信息安全防護24小時值班制度，認真落實值班人員安排。技術(shù)保障重視網(wǎng)絡(luò)與信息技術(shù)的建設(shè)和升級換代，確保網(wǎng)絡(luò)與信息系統(tǒng)的安全，為事件處置和網(wǎng)絡(luò)重建過程提供技術(shù)支撐。應(yīng)急演練加強施橋鎮(zhèn)政府網(wǎng)絡(luò)信息員的宣傳培訓(xùn)，增強防范意識和自救互救能力。有針對性地開展網(wǎng)絡(luò)與信息安全應(yīng)急演練，確保事件發(fā)生后應(yīng)急救助手段及時、有效。六、附則本預(yù)案由鎮(zhèn)網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組負責(zé)解釋，并自發(fā)布之日起正式施行。