一 總則

1、編制目的 

建立健全的公司網(wǎng)絡(luò)與信息安全事件的預(yù)防和應(yīng)急處理工作機(jī)制，提高網(wǎng)絡(luò)與信息安全事件能力，保證公司網(wǎng)絡(luò)和重要信息安全的運行，編制本預(yù)案。 -

2、工作原則 

統(tǒng)一領(lǐng)導(dǎo)，分級負(fù)責(zé)，以人為本，預(yù)防為主，加強(qiáng)管理，依靠科技，資源整合，快速反應(yīng)，協(xié)同合作。 

二 預(yù)警防御機(jī)制

1、事件分類及等級 

根據(jù)網(wǎng)絡(luò)與信息安全突發(fā)事件的性質(zhì)，機(jī)理和發(fā)生過程，公司網(wǎng)絡(luò)與信息安全事件分為有害程序事件，網(wǎng)絡(luò)攻擊事件，信息破壞事件，信息內(nèi)容安全事件，設(shè)備設(shè)施故障和災(zāi)害性事件。

根據(jù)網(wǎng)絡(luò)與信息安全突發(fā)事件的可控性，嚴(yán)重程度和影響范圍，分為四級：I級（特別重大網(wǎng)絡(luò)與安全事件），II級(重大網(wǎng)絡(luò)與信息安全事件)，III級（較大網(wǎng)絡(luò)與信息安全事件）,IV級（一般網(wǎng)絡(luò)與信息安全事件）。 

2、監(jiān)控與預(yù)警信息報送 

信息管理中心承擔(dān)公司網(wǎng)絡(luò)與信息安全檢測工作。發(fā)現(xiàn)網(wǎng)絡(luò)與信息安全預(yù)警信息，應(yīng)及時通知網(wǎng)絡(luò)中心，協(xié)同網(wǎng)絡(luò)中心進(jìn)行判定，提出預(yù)警等級建議，遇到可能造成嚴(yán)重后果的I至III級信息安全預(yù)警事件，應(yīng)按相關(guān)規(guī)定提報領(lǐng)導(dǎo)審查后發(fā)出預(yù)警。 

3、預(yù)警響應(yīng) 

網(wǎng)絡(luò)中心主管安全人員應(yīng)保持24小時通信暢通，接到預(yù)警信息后，應(yīng)立即啟動應(yīng)急預(yù)案，進(jìn)入預(yù)警狀態(tài)，做好應(yīng)急處理各項準(zhǔn)備工作。 

4、預(yù)警解除 

I至III級預(yù)警解除后根據(jù)要求，經(jīng)向領(lǐng)導(dǎo)請示同意后，及時進(jìn)行解除安全事件預(yù)警。 

三 應(yīng)急措施

1、信息報告

發(fā)生網(wǎng)絡(luò)與信息安全事件后，網(wǎng)絡(luò)中心應(yīng)立即通知部門負(fù)責(zé)人，并通知相關(guān)業(yè)務(wù)部門，經(jīng)和有關(guān)部門進(jìn)行研判后，保存證據(jù)，檢查影響范圍和危害程度，提出應(yīng)急處理建議，報領(lǐng)導(dǎo)同意后，啟動應(yīng)急預(yù)案。 

2、先期處理 

當(dāng)發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)事件時，相關(guān)工作人員做好前期處理工作，采取措施控制事態(tài)，必要時采取斷網(wǎng)，關(guān)閉服務(wù)器等方式防止事態(tài)進(jìn)一步擴(kuò)大。 

3、應(yīng)急處理 

（1）網(wǎng)絡(luò)中斷緊急處理流程 

1）故障排除。網(wǎng)絡(luò)中斷后，技術(shù)部技術(shù)人員要迅速判斷故障節(jié)點，查明故障原因。 

①如屬于新路故障，應(yīng)重新安裝線路。 

②如屬于路由器，交換機(jī)等網(wǎng)絡(luò)設(shè)備故障，技術(shù)部應(yīng)立即檢修并調(diào)試暢通。如路由器、交換機(jī)配置文件損壞，網(wǎng)絡(luò)技術(shù)人員應(yīng)迅速安裝并按要求重新配置并調(diào)試暢通，必要時請有關(guān)技術(shù)支持部門協(xié)助調(diào)測暢通。

③如需更換設(shè)備應(yīng)報上級領(lǐng)導(dǎo)，經(jīng)批準(zhǔn)后馬上更換故障設(shè)備，盡快回復(fù)系統(tǒng)運行。 

④如服務(wù)器屬于租賃其他廠商的服務(wù)器，需要迅速與運營商取得聯(lián)系，敦促盡快恢復(fù)線路故障。 

⑤技術(shù)部門無法及時修理，應(yīng)立即通知相關(guān)供應(yīng)商及維護(hù)人員，在最短時間內(nèi)安排修理。 

（2）黑客攻擊的應(yīng)急處理流程 

①當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)上有黑客攻擊行為，應(yīng)立即向領(lǐng)導(dǎo)匯報，并且將被攻擊的服務(wù)器設(shè)備從網(wǎng)絡(luò)中隔離出來，保護(hù)現(xiàn)場。 

②如事態(tài)較為嚴(yán)重，經(jīng)向分管領(lǐng)導(dǎo)請示后，立即向公安部門報警，配合公安部門展開調(diào)查。 

③技術(shù)人員做好被攻擊或破壞系統(tǒng)的恢復(fù)與重建工作。 

④技術(shù)部門組織技術(shù)力量追查非法信息來源。 

⑤信息安全員將實施事件處理的過程和結(jié)果進(jìn)行備案存檔。 

（3）大規(guī)模病毒（含惡意軟件）攻擊的應(yīng)急處理

當(dāng)發(fā)現(xiàn)有計算機(jī)被感染病毒后，計算機(jī)使用人員應(yīng)立即使用殺毒軟件對計算機(jī)殺毒，并將該計算機(jī)從網(wǎng)絡(luò)上隔離開來，避免內(nèi)網(wǎng)感染。 

（4）應(yīng)用程序故障的應(yīng)急處理流程 

①應(yīng)用程序平時必須存有備份，與軟件系統(tǒng)相對應(yīng)的數(shù)據(jù)必須有最近幾次的備份，并將保留在安全區(qū)域。 

②應(yīng)用程序發(fā)生故障后，操作人員應(yīng)立即向上級進(jìn)行匯報，經(jīng)確認(rèn)后停止該系統(tǒng)，并切換至備份系統(tǒng)保證業(yè)務(wù)正常進(jìn)行。 

③技術(shù)人員應(yīng)檢查日志等資料，確定故障原因。 

④處理完畢后將處理過程及結(jié)果備案存檔。 

（5）數(shù)據(jù)庫系統(tǒng)故障的應(yīng)急處理流程 

①數(shù)據(jù)庫系統(tǒng)每日都必須備份，與軟件相對應(yīng)的數(shù)據(jù)必須有進(jìn)幾日的備份，并且保存至安全服務(wù)器。 

②數(shù)據(jù)庫發(fā)生故障后，應(yīng)立即向上級匯報，經(jīng)同意后采用重啟或者其他手段盡快回復(fù)數(shù)據(jù)庫運行，保證業(yè)務(wù)不中斷。 

③技術(shù)部門應(yīng)及時的做好數(shù)據(jù)庫系統(tǒng)的切換和有關(guān)數(shù)據(jù)的恢復(fù)工作。 

④檢查日志等資料，確定故障原因。

⑤解決后，將處理過程及結(jié)果備案存檔。