《网络安全应急预案申请许可证必备资料》由会员分享,可在线阅读,更多相关《网络安全应急预案申请许可证必备资料(10页珍藏版)》请在金锄头文库上搜索。
1、某某科技有限公司某某科技有限公司网络安全应急预案为切实做好网络安全的防范和应急处理工作,进一步提高预防和控制网络安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保我司网络与信息安全,根据中华人民共和国电信条例及互联网网络安全应急预案、某某省互联网网络安全应急预案、中华人民共和国计算机突发事件应急预案、中华人民共和国计算机信息系统安全保护条例、计算机病毒防治管理办法、计算机信息网络国际联网管理暂行规定、国家信息化领导小组关于加强网络与信息安全保障工作的意见及我司相关管理规定等,制定某某科技有限公司网络安全应急预案(以下简称预案)。一、指导思想 认真落实“教育在先,预防为主,积极处置”
2、的工作原则,牢固树立安全意识,提高防范和救护能力,以维护正常的工作秩序和营造绿色健康的网络环境为中心,进一步完善网络管理机制,提高突发事件的应急处置能力。二、组织领导及职责成立网络安全应急办公室领导小组:组长:某某某成员:某某某(电话:123456789)某某某(电话:123456789)主要职责:负责召集领导小组会议,部署工作,安排、检查落实网络安全重大事宜,负责网络安全应急预案的落实情况,处理突发事故,完成公司领导交办的各项任务。三、网络安全应急工作小组:1. 负责人:某某某2. 安全技术人员:某某某(电话:123456789)某某某(电话:123456789)四、应急措施及要求1. 公司
3、各部门要加强对本部门人员进行及时、全面地教育和引导,提高安全防范意识。2. 网站配备信息审核员和安全管理人员,严格执行有关计算机网络安全管理制度,规范办公室、计算机机房等上网场所的管理,落实上网电脑专人专用和日志留存。3. 重要信息所要建立健全重要数据及时备份和灾难性数据恢复机制。4. 采取多层次的有害信息、恶意攻击防范与处理措施。各处室信息员为第一层防线,发现有害信息保留原始数据后及时删除;信息所为第二层防线,负责对所有信息进行监视及信息审核,发现有害信息及时处理。5. 切实做好网络设备的防火、防盗 、防雷和防信号非法接入。6. 所有涉密计算机一律不许接入国际互联网,做到专网、专机、专人、专
4、用,做好物理隔离。连接国际互联网的计算机绝对不能存储涉及国家秘密、工作秘密、商业秘密的文件。五、预警响应 5.1建立网络安全紧急事件预警机制 由网络安全应急工作小组负责具体监控和处理,主要是应对公司互联网业务以及局域网内可能出现的非法信息的传播。 5.2预警分级 网络安全预警分为三个等级,即:级警告、级警告、级警告。 5.2.1级警告包括下列情况: 公司局域网提供有信息交互能力的服务出现非法信息,但尚未在公司和社会造成广泛影响的;公司互联网业务中出现少量非法信息,经查非法信息的确来自公司 IP 地址机器,但未造成严重影响的;公司互联网业务中客户邮箱出现大量非法宣传邮件,但未造成严重影响的。 5
5、.2.2 级警告包括下列情况: 公司互联网业务与局域网提供有信息交互能力的服务出现非法信息,在公司内、外造成了一定影响,但未造成实质性危害的;公司互联网业务出现非法信息,经查非法信息确来自公司 IP 地址机器,在社会上造成一定影响但未造成实质性危害的;利用公司网络散布信息,煽动危害国家和社会的行动,尚未造成实质性危害的。 5.2.3 级警告包括下列情况: 公司互联网业务中出现非法信息,经查非法信息确来自公司 IP 地址机器,在社会上造成实质性危害的,或利用公司网络组织危害国家和社会的行动;公司互联网业务中客户邮箱出现大量煽动性宣传邮件,在社会上造成实质性危害的,或者利用公司网络组织危害国家和社
6、会的行动;公司内网提供有信息交互能力的服务出现非法信息,在公司内外造成实质性危害或利用公司网络组织危害国家和社会的行动。 5.3预警响应 5.3.1预警情况出现后一般处理方法 网络安全应急工作小组发现或得到举报后,立即定位有害信息,对有害信息立即备份留查,然后删除有害信息并立即报告指挥组和有关单位。对于不能立即删除或服务器大面积甚至全部出现有害信息时,应立即通知服务器管理管理人员立即停止服务器的网路连接或网络服务,进行隔离,然后管理人员进行善后处理,待问题解决后恢复网络服务。特殊情况下,网络安全应急工作小组将责成技术人员进行单机或区域隔离,然后通知服务器管理人员进行善后处理。 5.3.2级警告
7、响应 对公司网络实施动态监控,做好工作日志,加强防范,监视事件的发展动态,争取主动,控制事件升级。 5.3.2 级警告响应 (1)启动过滤措施,提高网络安全级别;提高各服务器的安全级别与安全级别设置。 (2)追查非法信息的发布源,及早按照公司有关规定严肃处理;控制非法信息传播区域。(3)当发现或接到举报,某用户对于大量接受和发送有害信息邮件的邮件账户,进行临时关闭,并将用户情况报指挥组。 5.3.3 级警告响应 (1)网络安全应急工作小组组长负责组织实施应急措施,定时向指挥组和有关部门通告最新情况,并按照有关规定上报上级机关。 (2)根据非法信息的不良影响程度,关闭部分服务器及网络设备,以控制
8、非法信息的传播途径。 (3)根据需要购置网络安全系统,更新网络安全设备,以提高技术监控能力。 (4)清查非法信息的传播者,并上报公司网络安全应急指挥组及地方相关部门,按照国家有关法律政策处理。 六、紧急事件应急响应 6.1建立网络安全紧急事件预警机制 由网络安全应急工作小组负责监测、通告和处理。主要应对网络可能会遭受的病毒、非法攻击影响网络正常工作的事件。 6.2网络紧急事件分级 网络紧急事件分为三个等级,即级事件、级事件、 级事件。 6.2.1级事件包括下列情况: (1)由于病毒攻击、非法入侵等原因,内网部分计算机出现网络瘫痪,或者 FPT及部分网站服务器不能响应用户请求。 (2)主机由于病
9、毒攻击或非法入侵,不能正常工作。 6.2.2 级事件包括下列情况: 由于病毒攻击、非法入侵等原因,部分计算机出现网络瘫痪,或者邮件、WEB服务器不能正常工作。 6.2.3 级事件包括下列情况: (1)由于病毒攻击、非法入侵等原因,网络整体瘫痪,或者机房全部DNS、主 WEB 服务器不能正常工作。 (2)由于病毒攻击、非法入侵、人为破坏或不可抗力等原因,造成网络出口中断。 6.3事件响应 6.3.1级事件响应 针对公司互联网业务发生的网络安全事件,诸如内部病毒泛滥、恶意攻击、服务器及网络设备的运行状况不佳等,及时公布检查办法、补丁下载,做好重要信息备份。同时做好技术防范,避免损失。 6.3.2
10、级事件响应 (1)对于病毒传播,病毒性恶意攻击,在网络上公布病毒攻击的情况、病毒特征以及相应的处理办法和工具。同时要求相关用户进行病毒清除工作,对于置之不理的用户,将关闭其网络连接,孤立病毒或攻击,将危害减少到最小。 (2)启动过滤措施,提高网络安全级别。更改防火墙的安全设置,提高各服务器的安全级别设置,增强安全过滤级别。 对于来自公司网络外的攻击,首先确定攻击源地址,在出口防火墙上过滤该攻击源,并请求ISP提供商进行技术支援,联合监控和过滤该攻击;对来自公司网络内的攻击,确定攻击源,进行个体隔离,如果不能进行个体隔离,将实行区域隔离,直至大面积关闭相关网络。对于大量接收和发送垃圾邮件、病毒邮
11、件的邮件账户,进行临时关闭,防止导致邮件服务器负荷过重而瘫痪。 (3)通知用户进行个人计算机的病毒清除工作,待系统恢复正常后,再申请开通。 6.3.3 级事件响应 (1)根据对公司内网运行安全的影响,关闭部分服务器和网络设备,甚至临时关闭全网进行短暂的休眠疗法。 (2)逐个子网试验性开通,查出导致全网瘫痪的病毒或攻击源。对于来自网络外的强大攻击,首先确定攻击源地址,在出口防火墙上过滤该攻击源,并请求ISP提供商进行技术支援,在地区网络中心处进行过滤该攻击,以减低对公司外部通道的负荷。 对来自公司内网的攻击,确定攻击源,进行个体隔离,如果不能进行个体隔离,将实行区域隔离,直至大面积关闭相关网络。
12、 (3)对于大量接收和发送垃圾邮件、病毒邮件的邮件账户,进行临时关闭,防止导致邮件服务器负荷过重而瘫痪。通知用户进行个人计算机的病毒和攻击清除工作,待系统恢复正常后,再申请开通。 (4)为了隔离病毒和恶意入侵攻击,保证公司网络其他区域的正常工作,网络安全应急工作小组有权关闭部分网络设备或部分相关服务器,待攻击被解决后,恢复关闭的网络。公司网络内的接入计算机,必须服从网络安全应急工作小组的领导、工作安排,积极配合网络安全应急工作小组进行工作,排查病毒和恶意攻击,配合追查恶意攻击者。 在服务器系统崩溃时,用备用服务器替换崩溃服务器。在病毒攻击或其他原因造成网络管理设备处理能力不足或网络设备损坏时,
13、用备用网络设备替换损坏设备。 七、应急启动及中止 7.1应急启动程序 当公司网络运行及网络安全事件发生时,由相应的安全应急工作小组报公司网络安全应急处置指挥组、工作办公室,根据安全事件的级别,启动相应的应急措施,具体启动项目如下: (1)应急保障启动 正式启动应急措施时,应急保障同时启动,网络安全应急工作小组成员要保证人、财、物的应急需求;必要时由相应的网络安全应急工作小组组长提出物资保障清单、后勤支持项目清单、必须采购的计算机系统及网络设备清单以及应急工作人员的合理补助等,报送公司信息安全应急处置指挥组、工作办公室,经公司有关部门审核通过后,予以实施。 (2)网络安全应急工作小组进入应急状态
14、 网络安全应急工作小组进入应急状态后,由组长全面负责应急处理工作;工作小组成员进入应急状态,全力以赴采取相应处置措施,把损失降至最低。 7.2应急中止程序 根据公司互联网业务与局域网运行情况及网络安全紧急事件的发展趋势,当该紧急事件应急处置结束,确认不会对国家安全、社会稳定及公司正常办公造成影响时,由公司网络安全应急处置指挥组组长签字认可后,正式终止应急措施。 八、应急保障8.1内部保障 公司针对互联网业务与局域网网络安全紧急事件的发生,应储备必须的有关物资、设备、人力,避免时间拖延造成不必要的损失。 8.2外部支援 依据公司互联网业务与局域网及网络安全紧急事件的影响程度,如需上级部门或其他单
15、位支持时,应寻求外部支援。某某市公安局网络安全监察处(电话:010-123456789)。九、附则 9.1本预案通过演习、实践检验,以及根据应急力量变更、新技术、新资源的应用和网络安全应急事件发展趋势,及时修订和完善。9.2本预案由总经理工作部/安全质量部编制。 9.3本预案的日常工作由总经理工作部负责。 9.4本预案自发布之日起实施。附:应急处理措施指南(一)当人为、病毒破坏或设备损坏的灾害发生时,具体按以下顺序进行:判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的IP或其它网络用户信息,修复被破坏的信息,恢复网络相关系统。按照灾害发生的性质分别采用以下方案:1、网站、网页出现非法言论事件紧急处置措施(1)网站、网页由信息所值班人员负责随时密切监视信息内容。(2)发现在网上出现内容被篡改或非法信息时,值班人员应立即向本单位网络安全负责人通报情况;情况紧急的,首先中断服务器网线连接,再按程序报告。(3)网络安全相关负责人应在接到通知后立即赶到现场,作好必要记录,清理非法信息,妥善保存有关记录及日志或审计记录,强化安全防范措施,并将网站网页重新投入使用。(4)追查非法信息来源,并将有关情况向本单位网络安全应急领
