网络应急预案

网络应急预案

在现实的学习、工作、生活中，难免会有事故发生，为了降低事故后果，通常需要提前准备好一份应急预案。那要怎么制定科学的应急预案呢？下面是小编整理的网络应急预案，仅供参考，大家一起来看看吧。

1、总则

1、1目的

为科学应对信息系统突发事件，建立健全信息系统的应急响应机制，有效预防、及时控制和最大限度地消除各类突发事件的危害和影响，制订本应急预案。

1、2工作原则

a)统一领导

遇到重大异常情况，应及时向有关领导报告，以便于统一调度、减少不良影响。

b)综合协调

明确综合协调的职能机构和人员，做到职能间的相互衔接。

c)重点突出

应急处理的重点放在运行着重要业务系统或可能导致严重事故后果的关键系统上。

d)硬件及配置备份

备份相关网络设备、服务器参数、系统配置，相关硬件、线路的热备与冷备等措施，提高信息系统的安全系数。并在备用设备上按要求预先配置好各种参数，当发生故障时能自动或者手动切换能直接上线运行。

e)快速恢复

系统管理人员在坚持快速恢复系统的原则下，根据职责分工，加强团结协作，必要情况下与设备供应商、维护商、网络平台提供商以及系统集成商等共同谋求问题的快速解决。

f)及时反应，积极应对

出现信息业务故障时，值班人员应及时发现、及时报告、及时抢修、及时控制，积极对信息业务突发事件进行防范、监测、预警、报告、响应。

g)防范为主，加强监控

经常性地做好应对信息业务突发事件的思想准备、预案准备、机制准备和工作准备，提高基础设备、基础网络和重要信息系统的综合保障水平。加强对信息业务应用的日常监视，及时发现信息业务突发性事件并采取有效措施，迅速控制事件影响范围，力争将损失降到最低程度。

2、应急工作小组机构及职责

在网络事件的处理中，一个组织良好、职责明确、科学管理的应急队伍是成功的关键。组织机构的成立对于事件的响应、决策、恢复，防止类似事件的发生都具有重要意义。结合杭州市长征中学信息系统的实际情况，将信息系统故障有关应急人员的角色和职责进行明确划分如下（图1）。

1)应急处理领导小组

及时掌握信息系统故障事件的发展动态，向上级部门报告事件动态；对有关事项做出重大决策；启动应急预案；组织和调度必要的人和外部资源等。

领导小组组长：xxx

领导小组副组长：xxx、xxx

领导小组成员：xxx、xxx

2)应急处理工作小组

负责定期了解外部支持人员的变动情况，及时更新其技术人员及联系方式等信息；快速响应由硬件系统、软件系统、网络系统、机房环境系统故障以及地震、火灾、雷电、水灾等自然灾害引起导致信息业务系统中断事件；执行上述相关故障的诊断、排查和恢复操作；定期通过运行维护管理软件、系统运行报告等方式对信息业务系统的使用情况进行分析，尽早发现网络的异常状况，排除网络隐患。

工作小组组长：xxx

工作小组成员：xxx、xxx、xxx

3)外部支持人员

包括网络运营商、设备供应维护商以及系统集成商等。负责事先向杭州市长征中学提供紧急情况下的应急技术方案和应急技术支援体系；积极配合应急人员进行故障处理。

设备供应商、系统集成商、电信运营商、设备维保商等联系方式。

3、预警和预防机制

3、1信息监测及报告

1)信息系统的日常管理和维护

信息系统的日常管理和维护应加强信息业务应用的监测、分析和预警工作。

2)建立信息业务系统故障事故报告制度

发生信息业务系统故障时，值班人员应当立即向杭州市长征中学现代教育技术中心负责人报告，并及时进行故障处理、调查核实、保存相关证据等。

3、2预警

在接到突发事件报告后，应当经初步核实之后，将有关情况及时向杭州市长征中学报告，进一步进行情况综合，研究分析可能造成影响的程度，提出初步行动对策。由上级领导视情况紧急程度召集协调会，决策行动方案，发布指示和实施命令等。

3、3预警支持系统

应建立和完善信息监测、消息传递和指挥决策支持系统，保证突发事件处理过程中的资源共享、运转正常、指挥有力。

3、4预防机制

各关键业务信息系统建设要充分考虑抗毁性与灾难恢复，制定并不断完善应急处理预案。针对信息系统的突发性、大规模异常事件，各相关部门建立制度化、程序化的处理流程。

4、应急处理程序

4、1信息系统突发事件分类分级的说明

根据信息系统突发事件的发生原因、性质和机理，信息系统突发事件主要分为以下三类：

1)攻击类事件：指信息系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。

2)故障类事件：指信息系统因计算机软硬件故障、机房环境系统故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。

3)灾害类事件：指因爆炸、火灾、雷击、地震、台风等外力因素导致信息网络系统损毁，造成业务中断、系统宕机、网络瘫痪等情况。

按照突发事件的性质、严重程度、可控性和影响范围，将其分为一般故障、严重故障、重大故障、特级故障四级。

1)一般故障

信息系统中单个设备终端或单个外联单位软硬件故障，但未影响主业务系统运行，也未造成社会影响或经济损失的突发事件。

2)严重故障

信息系统中因某类业务节点软、硬件故障而导致部分业务中断，可能造成社会影响的突发事件。

3)重大故障

信息系统主业务瘫痪，导致业务系统长时间中断，可能造成重大社会影响和巨大经济损失的突发事件。

4)特级故障

特指发生不可预见的灾难性事故，如火灾、水灾和地震等。

4、2信息系统应急预案启动

根据以上定义的故障分级，当信息系统事件的要素满足启动应急预案要求时，进入相应的应急启动流程。

1)应急处理工作小组从业务人员的故障申告、运行维护管理系统的故障告警中得知信息系统异常事件后，应在第一时间派相关人员赶赴故障现场。

2)应急处理工作小组针对信息系统异常事件做出初步的分析判断。若是单个终端业务故障或者单个业务模块故障，比如IP地址更改、物理连线松动、某个业务算法参数调整或者能在最短时间内自行解决的问题，及时按照有关操作规程进行故障处理，并报领导小组备案；否则，应急处理工作小组将故障大致定性为硬件故障、线路故障、软件故障等故障之一，及时告 ……此处隐藏32438个字……信息安全防护意识，加强日常安全检测，积极主动防御，做到安全风险早发现。

明确分工，落实责任。加强网络和信息安全组织体系建设，明确网络安全应急工作权责，健全安全信息通报机制，做到安全风险早通报。

快速响应，有效处置。加强日常监管和运维，强化人力、物资、技术等基础资源储备，增强应急响应能力，做到安全问题早处置。

1.4适用范围

本预案适用于市医疗保障局网络和信息安全事件应急工作。

2、事件分级与监测预警

2.1事件分类

网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件。

（1）有害程序事件。包括：计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

（2）网络攻击事件。包括：拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

（3）信息破坏事件。包括：信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

（4）信息内容安全事件。指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。

（5）设备设施故障。包括：软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

（6）灾害性事件。指由自然灾害等其他突发事件导致的网络安全事件。

（7）其他事件。指除以上所列事件之外的网络安全事件。

2.2事件分级

按照事件性质、严重程度、可控性和影响范围等因素，将市医疗保障局网络和信息安全事件划分为四级：Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级，分别对应特别重大、重大、较大和一般安全应急事件。

（1）Ⅰ级（特别重大）。局网络和信息系统发生全局性瘫痪，事态发展超出控制能力，产生特别严重的社会影响或损害的安全事件。

（2）Ⅱ级（重大）。局网络与信息系统发生大规模瘫痪，对社会造成严重损害，需要局各科室（单位）协同处置应对的安全事件。

（3）Ⅲ级（较大）。局部分网络和信息系统瘫痪，对社会造成一定损害，事态发展在掌控之中的.安全事件。

（4）Ⅳ级（一般）。局网络与信息系统受到一定程度的损坏，对社会不构成影响的安全事件。

2.3预警监测

有关科室（单位）应加强日常预警和监测，必要时应启动应急预案，同时向局网络安全和信息化领导小组（以下简称“领导小组”）通报情况。收到或发现预警信息，须及时进行技术分析、研判，根据问题的性质、危害程度，提出安全预警级别。

（1）对发生或可能发生的Ⅳ级安全事件，及时消除隐患避免产生更为严重的后果。

（2）对发生或可能发生的Ⅲ级安全事件，迅速组织技术力量，研判风险，消除影响，并将处置情况和结果报领导小组，由领导小组发布预警信息。

（3）对发生和可能发生的Ⅱ级安全事件，应迅速启动应急预案，召开应急工作会议，研究确定事件等级，研判事件产生的影响和发展趋势，组织技术力量进行应急处置，并将处置情况报领导小组，由领导小组发布预警信息。

（4）对于发生和可能发生的Ⅰ级安全事件，迅速启动应急预案，由领导小组向省医疗保障局、市委网络安全和信息化委员会办公室、市公安局通报，并在省级有关部门的指挥下开展应急处置工作，预警信息由省级有关部门发布。

3、应急处置

3.1网页被篡改时处置流程

（1）网页由主办网站的科室（单位）负责随时密切监视显示内容。

（2）发现非法篡改时，通知技术单位派专人处理，并作好必要记录，确认清除非法信息后，重新恢复网站访问。

（3）保存有关记录及日志，排查非法信息来源。

（4）向领导小组汇报处理情况。

（5）情节严重时向公安部门报警。

3.2遭受攻击时处置流程

（1）发现网络被攻击时，立即将被攻击的服务器等设备断网隔离，并及时向领导小组通报情况。

（2）进行系统恢复或重建。

（3）保持日志记录，排查攻击来源和攻击路径。

（4）如果不能自行处理或属严重事件的，应保留记录资料并立即向公安部门报警。

3.3病毒感染处置流程

（1）发现计算机被感染上病毒后，将该机从网络上隔离。

（2）对该设备的硬盘进行数据备份。

（3）启用杀病毒软件对该机器进行杀毒处理工作。

（4）必要时重新安装操作系统。

3.4软件系统遭受攻击时处置流程

（1）重要的软件系统应做异地存储备份。

（2）遭受攻击时，应及时采取相应措施减少或降低损害，必要时关停服务，断网隔离，并立即向领导小组报告。

（3）网络安全人员排查问题，确保安全后重新部署系统。

（4）检查日志等资料，确定攻击来源。

（5）情况严重时，应保留记录资料并立即向公安部门报警。

3.5数据库安全紧急处置流程

（1）主要数据库系统应做双机热备，并存于异地。

（2）发生数据库崩溃时，立即启动备用系统。

（3）在备用系统运行的同时，尽快对故障系统进行修复。

（4）若两主备系统同时崩溃，应立即向领导小组报告，并向软硬件厂商请求支援。

（5）系统恢复后，排查原因，出具调查报告。

3.6网络中断处置流程

（1）网络中断后，立即安排人员排查原因，寻找故障点。

（2）如属线路故障，重新修复线路。

（3）如是路由器、交换机配置问题，应迅速重新导入备份配置。

（4）如是路由器、交换机等网络设备硬件故障，应立即使用备用设备，并调试通畅。

（5）如故障节点属电信部门管辖范围，立即与电信维护部门联系，要求修复。

3.7发生火灾处置流程

（1）首先确保人员安全，其次确保核心信息资产的安全，条件允许的情况下再确保一般信息资产的安全。

（2）及时疏散无关人员，拨打119报警电话。

（3）现场紧急切断电源，启动灭火装置。

（4）向领导小组报告火灾情况。

4、调查与评估

（1）网络和信息安全事件应急处置结束后，由相关科室（单位）自行组织调查的，科室（单位）对事件产生的原因、影响以及责任认定进行调查，调查报告报领导小组。

（2）网络和信息安全事件应急处置结束后，对按照规定需要成立调查组的事件，由领导小组组织成立调查组，对事件产生的原因、影响及责任认定进行调查。

（3）网络和信息安全事件应急处置结束后，对产生社会影响且由省级有关部门进行调查的，按照省级有关部门的要求配合进行事件调查。

5、附则