设计院网络信息安全应急预案

网络安全应急预案

第一部分 总则

本预案的适用范围为由设计院信息管理中心负责管理的网络基础设备设施、信息化子系统、网站等的网络安全事件应急处理。

一、日常安全工作职责

信息管理中心工作人员根据工作分工，做好以下工作：

（一）对设备设施、各信息化子系统、网站等进行日常巡查、风险分析、隐患排除、数据备份，完善日常工作机制，预防网络安全事故发生。

（二）制定相关网络安全事件的预警方案和解决方案。 （三）掌握网络技术发展趋势，不断提升安全防范水平。 （四）及时处置各类突发网络安全事件。

二、网络安全应急处置原则

（一）报告原则：发生突发网络安全事件，发现人员必须第一时间向信息管理中心负责人报告，必要时积极协助处置。

（二）安全原则：处置网络安全事件时，要科学客观，首先保证数据信息安全，其次保证硬件设备安全。

（三）效率原则：负责处置突发事件的信息管理中心要及时展开处置工作，讲究方法，善于协调，争取在最短时间内解决问题。

（四）协调配合原则：出现大规模故障后，各相关部门和人员应根据工作需要，积极配合，协同处理，提高工作质量与效率。

三、网络安全应急事件处置

（一）安全事件定义分类

1.一般故障：指区域性网络安全事件，具体包括：局部网络瘫痪、个别设备软件故障或遭受攻击导致的工作状态异常或宕机等。

2.重大故障：指发生整体性硬件问题或大规模网络攻击导致的网络瘫痪、个别硬件设备损坏或被窃、大面积数据丢失或信息系统遭恶意篡改破坏等。

3.特大故障：指中心机房因火灾、水害等不可抗力造成的机房损害、损毁或其它原因造成大规模信息数据灭失等。

（二）处置时限

发生突发网络安全事件，一般故障4 小时内解决，重大故障 48 小时内解决，特大故障视情况尽快解决。

（三）处置措施

1.发生突发事件，信息管理中心工作人员应第一时间收集事件信息并进行事件分类判断。

2.迅速准确判断事件原因，在保证设备、数据安全的前提下，进行针对性处置。

3.属一般故障的，信息管理中心工作人员及时进行处置；属设备损坏的，要及时报告并根据安排进行合理处置；属遭受攻击的，要及时取证留存、阻断攻击后进行相关处置。

4.必要时，及时通知有关部门做好应对措施。

5.事后总结本次事件处置情况，分析问题成因，必要时及时修订本预案。

第二部分网络设备安全应急处置

一、日常维护

（一）信息管理中心人员每天对网络设备设施、信息化子系统等部位进行例行巡查，开展信息内容监察。查看局域网运行情况。

（二）检查各服务器安全软件及防火墙状态，及时部署安全补丁程序。 （三）定期对各信息化子系统的必要数据进行离线备份，并归档保存。

二、安全事件分类及应急处置办法

（一）硬件故障

指因自然灾害、供电异常、操作失误、自然老化等因素造成的设备设施硬件损坏、损毁情况。

1.信息管理中心工作人员应每季度对各硬件设备设施进行例行状态巡查，巡查重点为监测存储设备的工作状态。对发现状态异常或故障先兆应予以重视，及时处置并汇报。

2.发生硬件损坏或损毁后要立即报告，并联系设备供应商及有关单位处理，在条件允许的情况下对故障硬件先行更换，尽量缩短设备故障时间。

（二）攻击、篡改类故障

指网络、信息化子系统遭到网络攻击影响正常运作，或出现非法信息、数

据被篡改。

1.发现系统出现非法信息或数据被篡改，要第一时间进行证据留存后删除非法数据，恢复相关信息及数据，必要时可对相关服务、服务器、网络设备进行关闭，待排除干扰后再行开启。

2.维护人员要妥善保存有关记录、日志或审计信息，并及时追查非法访问、非法信息来源，将有关情况进行上报，情况严重的要向公安部门报案。

（三）病毒木马类故障

指服务器感染病毒木马，存在安全隐患。

1.每月对服务器系统及安全软件进行升级，并进行病毒木马扫描，封堵系统漏洞。

2.发现服务器感染病毒木马，要立即对其进行查杀，根据具体情况，酌情发布信息安全提示，并通知联网的相关用户进行终端病毒木马查杀。

3.由于病毒木马入侵服务器造成数据丢失或系统崩溃的，要第一时间开展系统清理及数据恢复，必要时联系相关单位进行数据恢复。

（四）系统类故障

指服务器系统由于系统内部存在的缺陷造成操作系统或应用软件自身故障，不能正常运行。

1.信息管理中心工作人员应定期对必要的数据进行离线备份，并进行存档。 2.发现此类问题，应及时予以修复。对需要进行服务器离线维护的，应事先制定维护计划并予以公告，并按计划按时完成离线修复。

三、应急保障

（一）记录各设备设施、信息化子系统和ISP技术支持人员或供应商应急联系电话，出现问题能及时联络处理。

（二）信息管理中心人员应掌握应急笔记本电脑、数据备份光盘的使用方法及相关文档的存放位置信息。

（三）信息管理中心人员应掌握各类工作必需的软硬件知识，提高应对和处理突发网络安全问题的能力。

第三部分 网络线路安全应急处置

一、日常维护

（一）每季度对设备进行例行检查及卫生保洁，检查项目包括设备运行状态、温度、供电，检查相关设备周边环境安全，确保满足线路设备运行标准。

（二）每季度对院属各办公区进行实地走访，检查线路设备实际运行情况。 二、应急处置

（一）发生故障后，首先确定故障范围及故障类型。

（二）发生网络线路安全事件后，应尽快确定安全事件涉及范围及影响程度，对可能涉及泄密的事件应立即切断问题网络分支链路。

（三）对于大面积网络故障或硬件线路设备损坏，应在积极处理的同时发布信息公告。

（四）如发生光纤链路故障，及时联系ISP客户经理或技术支持人员协调处理。

（五）如发生以太网故障，要及时进行处理，必要时联系设备供应商或相关单位协助处理。