互联网网络与信息安全应急预案-四平教育信息网.docVIP

附件7： 四平教育信息网网站应急预案 一、总则 （一）目的 为及时发现、有效控制、果断处理各种突发灾难事件，确保四平教育信息网网站正常运行。 （二）工作原则 统一领导、分级负责、严密组织、密切协同、快速反应、保障有力以及充分利用现有资源。 （三）适用范围 本预案适用于发生下述重大突发事件时的安全应急工作。 （1）四平教育信息网网站发生重大突发灾难事件； （2）四平教育信息网网站预警到可能发生重大突发灾难事件； （3）四平教育信息网网站发生较大政治影响的事件。 二、组织机构和职责 为了加强应急事件的处理，并且协调相关单位对安全事件的处理，成立四平教育信息网网站安全应急小组（成员名单见附表）。 1、应急小组的主要职责为： （1）制定四平教育信息网网站的安全应急处置预案。 （2）协调相关单位的人员和技术力量，作好安全应急处置工作。 （3）在应急响应期间，负责现场指挥协调，组织、落实安全应急处理技术措施；及时收集有关单位上报的安全事件处理进展情况,向上级领导报告并提出建议。 （4）遵守政府网站的保密要求，对所有网络与信息安全事务处理严守秘密，确保政府利益。 2、对政府网站突发灾难事件的处理应遵循以下应急处置原则： （1）统一指挥，信息共享，密切配合，协同作战。在上级领导下，加强与兄弟单位的密切沟通，做好信息共享。 （2）加强对关键网络设施的实时监控和防范，对重点网络设备或可能发生单点故障的设备或电路加强主动维护，增加冗余备份措施，首先确保网站的安全运行。 （3）快速反应，迅速处理，控制事态的发展。发现突发事件，情况紧急时，根据应急预案的总原则，迅速上报，同时，采取必要的应急手段，防止事态进一步蔓延，将损失和危害降到最小。 （5）做好安全事件的历史记录，以便追查根源。对于网络信息安全事件的处理过程，作好详细记录，以便追查事故起源，并配合相关部门进行处理。 （6）定期交流，提高处置能力。定期进行工作交流，通报工作情况，交流处理经验，提高应急处理能力。 三、应急响应预案 （一）应急处理流程 1、接到应急小组的指示后，立即启动应急处理程序。 2、组织协调应急小组各成员，结合实际针对具体的事件采取以下的相应措施： a．针对黑客流量攻击事件，密切关注涉及的协议/端口的流量变化，及时采取防范和消除攻击的手段； b．针对网站瘫痪的事件， （1）立即组织恢复相关网站服务的正常运行，并将事件分析报告及时上报应急小组； （2）根据应急小组的指令对事件原因进行深入调查； （3）根据应急小组的指令对相关网络设备采取相应的技术处理和防范措施。 d、对于服务器主机及设备硬件发生的事件，及时调拨备件更换处理，或相应地利用备份数据将服务迁移到备用主机设备上。 e、对于网页被篡改的事件，根据应急小组指示，首先切断网站网络连接以消除影响，然后立即恢复备份数据，恢复网站正常运行，网页恢复正常内容。接下来对事件原因进行深入调查，采取相应的技术处理和防范措施。 （二） 应急响应及处置过程 1、 网络设备和主机系统安全应急预案 （1）应急措施 a.网络设备和主机系统安全策略实施情况的全面自查。 b.重新设置网络设备和主机系统的口令，删除不需要的帐号；并严格检查网络设备和主机系统的登录记录。 c.网站管理员应提前做好主机系统数据的备份。 d.安全小组成员实行7X24小时的工作方式。 e.及时向上级领导汇报网站安全情况，遇到重大安全事件立即上报，并在事件处理后3个工作日内上报事件处理情况。 （2）网络设备和主机系统安全应急处理流程 a.安全管理员在系统管理员的协助下进行安全问题的诊断和分析，确定安全问题的类型。 b.对于安全问题应及时判断攻击源，同时对攻击数据源进行跟踪，争取在攻击的发起端进行过滤。消耗网络资源的主要攻击手段为拒绝服务攻击，对于此类安全问题应判断拒绝服务攻击的类型，若拒绝服务攻击针对于非正常服务端口，则关闭这些端口。若拒绝服务攻击针对于正常服务端口，则调整主机系统本身和防火墙系统的设置，尽量减小拒绝服务攻击的危害。 c.如果安全问题属于系统入侵，应根据被入侵系统的重要性选择处理的方法。若被入侵系统上有重要业务或者数据，应采取紧急消除和恢复的方法，否则可以对入侵者进行网络跟躁和监视，分析攻击者的攻击目标和影响的范围，并根据分析结果采取相应的防范措施。 d.在系统恢复和安全漏洞修补之后，还应分析入侵事件对被入侵系统和相关系统的影响，如果入侵事件可能导致系统文件被非法修改，必须在紧急消除和恢复之后尽快进行全系统的重新安装和配置，以防止系统被安装木马程序。如果由于客观原因，系统不允许重新安装，那么必须对系统进行全面的安全扫描以检查系统中潜在的安全漏洞。如果入侵事件可能影响到网络中其它系统，必须对相应系统作安全检查。 e.在安全问题处理完毕后，