1、XX市XXXX網(wǎng)絡(luò)和信息安全突發(fā)事件應(yīng)急預(yù)案（2018年修訂）XX市XXXX2018年5月目錄一、總則4(一)目的4(二)工作原則4(三)修訂依據(jù)4(四)事件分類分級51事件分類52事件等級6二、組織指揮體系及職責(zé)6（一）電子政務(wù)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組61、應(yīng)急領(lǐng)導(dǎo)小組組成62、應(yīng)急領(lǐng)導(dǎo)小組職責(zé)7（二）應(yīng)急領(lǐng)導(dǎo)小組辦公室71、人員構(gòu)成72、辦公室職責(zé)7（三）應(yīng)急領(lǐng)導(dǎo)小組系統(tǒng)恢復(fù)組81、系統(tǒng)恢復(fù)組組成82、系統(tǒng)恢復(fù)組職責(zé)8三、監(jiān)測、預(yù)警和預(yù)防8(一)監(jiān)測8(二)預(yù)警級別及發(fā)布8(三)應(yīng)急預(yù)防9四、突發(fā)事件應(yīng)急響應(yīng)9（一）一、二級突發(fā)事件響應(yīng)程序9（二）三級突發(fā)事件應(yīng)急響應(yīng)程序9（三）四級突

2、發(fā)事件應(yīng)急響應(yīng)程序9五、應(yīng)急處置9（一）一級突發(fā)事件處置91、事件分類92、預(yù)防措施93、預(yù)備措施104、應(yīng)對措施105、存在的缺陷10（二）二級突發(fā)事件預(yù)案101、事件分類102、預(yù)防措施113、預(yù)備措施114、應(yīng)對措施125、存在的缺陷錯誤!未定義書簽。（三）三級突發(fā)事件預(yù)案141、事件分類142、預(yù)防措施143、預(yù)備措施164、應(yīng)對措施175、存在的缺陷錯誤!未定義書簽。（四）四級突發(fā)事件預(yù)案191、事件分類192、預(yù)防措施203、預(yù)備措施204、應(yīng)對措施205、存在的缺陷錯誤!未定義書簽。六、突發(fā)事件后處理21七、保障措施22(一)專業(yè)支撐隊伍22(二)技術(shù)支援隊伍的建設(shè)22八、宣傳、

3、培訓(xùn)和演練23(一)宣傳教育23(二)培訓(xùn)23(三)演練23九、其它23十、技術(shù)服務(wù)支撐人員25網(wǎng)絡(luò)和信息安全突發(fā)事件應(yīng)急預(yù)案一、 總則(一) 目的為做好XX網(wǎng)絡(luò)與信息安全事件應(yīng)對工作，提高應(yīng)急處理能力，最大限度的減少各種突發(fā)事件對系統(tǒng)造成的損失，保障XXXX安全穩(wěn)定運行，制定本預(yù)案。(二) 工作原則統(tǒng)一領(lǐng)導(dǎo)、分級管理，條塊結(jié)合、以塊為主，職責(zé)明確、規(guī)范有序，結(jié)構(gòu)完整、功能全面，反應(yīng)靈敏、運轉(zhuǎn)高效，整合資源、信息共享。(三) 修訂依據(jù)中華人民共和國突發(fā)事件應(yīng)對法等法律法規(guī)，國家突發(fā)公共事件總體應(yīng)急預(yù)案、國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案、國家突發(fā)公共事件總體應(yīng)急預(yù)案、XX省突發(fā)公共事件總體應(yīng)急預(yù)案

4、、X市突發(fā)事件應(yīng)急預(yù)案管理辦法（試行）、信息安全事件分類分級指南(GB/Z20986-2007)等相關(guān)規(guī)定。(四) 事件分類分級1事件分類網(wǎng)絡(luò)與信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障和災(zāi)害性事件等。有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。網(wǎng)絡(luò)攻擊事件分為拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事

5、件。信息內(nèi)容安全事件是指通過網(wǎng)絡(luò)傳播法律法規(guī)禁止信息，組織非法串聯(lián)、煽動集會游行或炒作敏感問題并危害國家安全、社會穩(wěn)定和公眾利益的事件。設(shè)備設(shè)施故障分為軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障。災(zāi)害性事件是指由自然災(zāi)害等其他突發(fā)事件導(dǎo)致的網(wǎng)絡(luò)與信息安全事件。2事件等級(1)一級事件整個系統(tǒng)癱瘓、完全恢復(fù)所需時間很長、費用高昂。(2)二級事件關(guān)鍵設(shè)備癱瘓、無法替代、恢復(fù)時間長、費用高。(3)三級事件病毒攻擊或設(shè)備故障造成部分應(yīng)用堵塞或停頓，運營商鏈路故障以及網(wǎng)絡(luò)主干非關(guān)鍵設(shè)備故障，電子政務(wù)應(yīng)用系統(tǒng)故障。(4)四級事件一般網(wǎng)絡(luò)與設(shè)備故障。二、 組織指揮體系及職責(zé)為切實加強對

6、突發(fā)事件的應(yīng)急響應(yīng)、處置工作的指揮和領(lǐng)導(dǎo)，保障XX系統(tǒng)的正常運行和國家財產(chǎn)不受損失，特成立XX系統(tǒng)網(wǎng)絡(luò)和信息安全突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組，負(fù)責(zé)對XX系統(tǒng)網(wǎng)絡(luò)安全突發(fā)事件的應(yīng)急指揮、協(xié)調(diào)、監(jiān)督管理、事件處置的具體實施。小組下設(shè)辦公室、系統(tǒng)恢復(fù)組兩個部門。（一）XX網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組1、應(yīng)急領(lǐng)導(dǎo)小組組成組長： 副組長： 成員： 2、應(yīng)急領(lǐng)導(dǎo)小組職責(zé)(1)組織實施XX網(wǎng)絡(luò)和信息安全突發(fā)事件應(yīng)急預(yù)案，承擔(dān)應(yīng)急處置組織領(lǐng)導(dǎo)工作；(2)收集、分析工作信息，及時上報重要信息；(3)負(fù)責(zé)XX網(wǎng)絡(luò)與信息安全的監(jiān)測預(yù)警和風(fēng)險評估控制、隱患排查整改工作；(4)組織制訂、修訂XX網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案；(5)

7、負(fù)責(zé)組織協(xié)調(diào)網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急演練；(6)負(fù)責(zé)XX應(yīng)對網(wǎng)絡(luò)與信息安全突發(fā)事件的宣傳教育與培訓(xùn)；(7)啟動和終止XX系統(tǒng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案；(8)協(xié)調(diào)各部門人員、物力。(9)協(xié)調(diào)各協(xié)作和相關(guān)的單位：應(yīng)急技術(shù)支援、機房環(huán)境與設(shè)備日常監(jiān)控管理等單位。（二）應(yīng)急領(lǐng)導(dǎo)小組辦公室1、人員構(gòu)成主任： 成員： 2、辦公室職責(zé)（1）負(fù)責(zé)組織擬訂市XX網(wǎng)絡(luò)突發(fā)事件應(yīng)急預(yù)案；（2）負(fù)責(zé)突發(fā)事件應(yīng)急處理的綜合協(xié)調(diào)工作；（3）負(fù)責(zé)起草突發(fā)事件應(yīng)急響應(yīng)工作報告；（三）應(yīng)急領(lǐng)導(dǎo)小組系統(tǒng)恢復(fù)組1、系統(tǒng)恢復(fù)組組成組長： 成員： 2、系統(tǒng)恢復(fù)組職責(zé)（1）負(fù)責(zé)制定網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急響應(yīng)預(yù)案；（2）組織因突發(fā)事件引起

8、的系統(tǒng)故障的診斷和恢復(fù)工作；（3）組織突發(fā)事件期間相關(guān)設(shè)備的準(zhǔn)備和調(diào)撥，提出緊急資源調(diào)配的申請；三、 監(jiān)測、預(yù)警和預(yù)防(一) 監(jiān)測與市網(wǎng)信辦、公安局、專業(yè)監(jiān)測機構(gòu)等，建立網(wǎng)絡(luò)與信息安全事件信息第三方監(jiān)測機制。通過電話、傳真等途徑向協(xié)作單位公布網(wǎng)絡(luò)與信息安全事件接報電話、傳真、電子郵箱等信息，加強宣傳培訓(xùn)，做好來自協(xié)作單位、機房環(huán)境監(jiān)控管理單位和網(wǎng)絡(luò)與信息系統(tǒng)運營使用管理單位的預(yù)警信息、事件信息的接收，建立并完善網(wǎng)絡(luò)與信息安全事件信息的接收機制。(二) 預(yù)警級別及發(fā)布根據(jù)事件對系統(tǒng)的影響程度和范圍及恢復(fù)所需時間，將事件劃分為四個風(fēng)險等級。一級和二級風(fēng)險出現(xiàn)時由應(yīng)急領(lǐng)導(dǎo)小組負(fù)責(zé)啟動應(yīng)急預(yù)案并監(jiān)督執(zhí)

9、行。三級風(fēng)險和四級風(fēng)險由系統(tǒng)恢復(fù)小組負(fù)責(zé)啟動應(yīng)急預(yù)案并執(zhí)行。(三) 應(yīng)急預(yù)防系統(tǒng)應(yīng)急預(yù)案的核心是備份，包括硬件設(shè)備的備份和數(shù)據(jù)備份。預(yù)案應(yīng)保證在最壞的情況下可以最大限度的恢復(fù)系統(tǒng)，其核心是備份，據(jù)此，必須做好關(guān)鍵設(shè)備的配置備份、數(shù)據(jù)備份。四、 突發(fā)事件應(yīng)急響應(yīng)（一）一、二級突發(fā)事件響應(yīng)程序應(yīng)急領(lǐng)導(dǎo)小組發(fā)現(xiàn)或收到網(wǎng)絡(luò)安全突發(fā)事件報告后應(yīng)立即啟動應(yīng)急預(yù)案，系統(tǒng)恢復(fù)小組應(yīng)隨時對網(wǎng)絡(luò)安全突發(fā)事件作出響應(yīng)，辦公室應(yīng)立即做好準(zhǔn)備，協(xié)調(diào)各方面人力、物力。（二）三級突發(fā)事件應(yīng)急響應(yīng)程序系統(tǒng)恢復(fù)小組接到網(wǎng)絡(luò)安全突發(fā)事件報告后應(yīng)立即通知領(lǐng)導(dǎo)小組、辦公室，并啟動相應(yīng)預(yù)案，盡快恢復(fù)系統(tǒng)。（三）四級突發(fā)事件應(yīng)急響應(yīng)程序

10、系統(tǒng)恢復(fù)小組接到故障報告后應(yīng)立即檢查故障原因，盡快恢復(fù)系統(tǒng)正常運行。五、 應(yīng)急處置（一）一級突發(fā)事件處置1、事件分類自然災(zāi)害、火災(zāi)、水浸等對整體設(shè)備、系統(tǒng)造成難以修復(fù)的故障2、預(yù)防措施及時關(guān)注氣象和地震等部門有關(guān)的天氣、地震等災(zāi)害預(yù)報，積極采取相應(yīng)的應(yīng)對措施，盡可能的減少損失。對火災(zāi)、水浸等災(zāi)害應(yīng)加強日常設(shè)備的檢查維護，進一步加強值班制度建設(shè)。本部分工作主要采用租賃A類機房，委托專業(yè)管理團隊對供電和溫度、濕度等機房環(huán)境，硬件指示狀態(tài)等進行監(jiān)控管理。保證7*24小時處于有效的監(jiān)控之下，及時發(fā)現(xiàn)問題及時進行處理。3、預(yù)備措施購買財產(chǎn)保險，使硬件設(shè)施的損失降低到最低限度。做好數(shù)據(jù)備份工作，實現(xiàn)對數(shù)據(jù)

11、的本地及異地備份、從而將數(shù)據(jù)的損失降低到最低限度。4、應(yīng)對措施應(yīng)急領(lǐng)導(dǎo)小組及時向有關(guān)部門通報，并及時與保險部門進行溝通，盡快恢復(fù)硬件設(shè)施的正常運轉(zhuǎn)。及時聯(lián)系機房環(huán)境保障團隊，盡快恢復(fù)設(shè)備所需的運行環(huán)境。系統(tǒng)恢復(fù)小組應(yīng)根據(jù)數(shù)據(jù)備份對數(shù)據(jù)進行恢復(fù)，使整個系統(tǒng)盡快恢復(fù)運行。5、存在的缺陷該類風(fēng)險屬于不可抗風(fēng)險，且破壞性大。該類事件發(fā)生后，系統(tǒng)的完全恢復(fù)的可能性較低，只能盡可能的恢復(fù)系統(tǒng)。（二）二級突發(fā)事件預(yù)案1、事件分類網(wǎng)絡(luò)出口硬件防火墻自身故障UPS故障存儲故障主干交換設(shè)備故障主干網(wǎng)絡(luò)鏈路故障2、預(yù)防措施做好機房監(jiān)控管理單位的監(jiān)督檢查工作，嚴(yán)格執(zhí)行監(jiān)督檢查措施。嚴(yán)格執(zhí)行合同條款。督促機房監(jiān)控管理單

12、位做好機房的日常檢查及設(shè)備的維護，盡可能的提前發(fā)現(xiàn)故障隱患。保持與機房監(jiān)控管理單位信息溝通，及時回應(yīng)機房監(jiān)控管理單位巡查報告的設(shè)備指示狀態(tài)。做好設(shè)備監(jiān)控管理系統(tǒng)的監(jiān)測工作，并做好應(yīng)對網(wǎng)絡(luò)安全突發(fā)事件的預(yù)備措施。主干鏈路采用多家運營商的多條出口鏈路做鏈路備份和數(shù)據(jù)分流。目前我們采用了聯(lián)通、移動、電信等多家運營商的多條鏈路。并做好出口鏈路的監(jiān)控檢查工作。3、預(yù)備措施購買設(shè)備的后續(xù)服務(wù)及保修做好網(wǎng)絡(luò)出口防火墻設(shè)備配置備份，主干交換設(shè)備配置備份。做好設(shè)備的應(yīng)急替代方案：網(wǎng)絡(luò)出口防火墻設(shè)備可使用撤換下來的功能完好的防火墻設(shè)備臨時替代。UPS（供電由機房提供方負(fù)責(zé)）存儲是采用XX整體存儲機柜，可存儲虛擬機

13、和數(shù)據(jù)備份。嚴(yán)格執(zhí)行存儲數(shù)據(jù)的備份和存儲空間的合理分配和預(yù)留。業(yè)務(wù)核心交換機XX的主引擎目前有替代，交換的模塊目前也有替代。 存儲核心交換機XX的主引擎目前有替代，交換的模塊目前也有替代。但交換機箱體故障，目前沒有替代。專網(wǎng)的華為XX的主引擎目前有替代，交換的模塊目前也有替代。 4、應(yīng)對措施事件發(fā)生后，有關(guān)人員應(yīng)及時向應(yīng)急領(lǐng)導(dǎo)小組及系統(tǒng)恢復(fù)小組匯報。系統(tǒng)恢復(fù)小組在取得應(yīng)急領(lǐng)導(dǎo)小組的許可后，應(yīng)根據(jù)實際情況采取以下對應(yīng)措施：網(wǎng)絡(luò)出口防火墻設(shè)備故障：a.調(diào)整線路。將故障網(wǎng)絡(luò)出口防火墻設(shè)備上的有關(guān)線路調(diào)整到應(yīng)急網(wǎng)絡(luò)出口防火墻設(shè)備上。b.替代防火墻設(shè)備性能如果不能滿足要求，則根據(jù)實際情況關(guān)停部分非關(guān)鍵業(yè)

14、務(wù)。c.對故障防火墻設(shè)備進行檢修，并根據(jù)實際情況對其進行維修或更換。UPS故障： 應(yīng)急領(lǐng)導(dǎo)小組立即聯(lián)系機房機房監(jiān)控管理服務(wù)方，系統(tǒng)恢復(fù)小組現(xiàn)場督導(dǎo)機房機房監(jiān)控管理服務(wù)方盡快恢復(fù)設(shè)備供電。存儲故障：a.確認(rèn)存儲資源池故障。（如果是磁盤組中的磁盤故障，馬上更換備用磁盤，如果是存儲系統(tǒng)出現(xiàn)問題，需要聯(lián)系廠家，電話： ）b.遷移可遷移的數(shù)據(jù)。c.從備份數(shù)據(jù)中恢復(fù)最新數(shù)據(jù)。（該數(shù)據(jù)無法保證完全恢復(fù)，只能根據(jù)備份頻率恢復(fù)最新的數(shù)據(jù)。）d.修復(fù)存儲。聯(lián)系廠家盡快派遣工程師進行現(xiàn)場檢測修復(fù)。業(yè)務(wù)核心交換機、存儲核心交換機和專網(wǎng)交換機設(shè)備故障：故障發(fā)生后，值班人員應(yīng)向信息安全領(lǐng)導(dǎo)小組日常應(yīng)急辦公室報告。應(yīng)急恢復(fù)

15、小組立即查找及判斷故障原因。如果是模塊、跳線及板卡的原因，立即進行更換并恢復(fù)配置。如果是設(shè)備的整體故障，立即聯(lián)系廠商和供應(yīng)商，申請代用產(chǎn)品恢復(fù)正常后，對故障設(shè)備進行修理。主干網(wǎng)絡(luò)運營商鏈路故障：廣域網(wǎng)線路中斷后，值班人員應(yīng)向網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組報告。日常應(yīng)急處置網(wǎng)絡(luò)安全崗負(fù)責(zé)人員接到報告后，應(yīng)迅速判斷故障節(jié)點，查明故障原因。如屬我方管轄范圍，由網(wǎng)絡(luò)安全組人員立即予以恢復(fù)。如屬電信部門管轄范圍，立即與電信維護部門聯(lián)系，要求修復(fù)。（三）三級突發(fā)事件預(yù)案1、事件分類病毒攻擊造成網(wǎng)絡(luò)堵塞病毒攻擊造成部分服務(wù)器癱瘓防火墻故障（非防火墻自身硬件故障）一般交換設(shè)備故障服務(wù)器自身故障或數(shù)據(jù)損壞分支網(wǎng)絡(luò)故障XX

16、 系統(tǒng)故障 2、預(yù)防措施網(wǎng)絡(luò)中部署IPS、IDS、堡壘機及防火墻等安全設(shè)備，并細(xì)化配置，做好整網(wǎng)的安全防護和監(jiān)測工作。針對WEB網(wǎng)站的防護，我們加載了WAF，用于對WEB網(wǎng)站進行防護。時刻關(guān)注相關(guān)部門發(fā)布的安全預(yù)警和病毒預(yù)警信息，及時對系統(tǒng)軟件、應(yīng)用軟件進行安全漏洞補丁的升級，及時對安全防護設(shè)備的特征庫進行升級，及時對終端設(shè)備所部署的殺毒軟件進行升級，提高安全設(shè)備的防控能力。針對病毒主要加強網(wǎng)絡(luò)監(jiān)控措施、加強病毒的防控措施，盡量縮小病毒的危害范圍。在接入互聯(lián)網(wǎng)辦公電腦加裝防病毒軟件。各接入單位網(wǎng)絡(luò)負(fù)責(zé)人監(jiān)督各自單位的接入互聯(lián)網(wǎng)的辦公電腦的殺毒軟件的安裝和日常使用U盤及移動硬盤等設(shè)備的殺毒情況，

17、防止病毒和木馬軟件在局域網(wǎng)內(nèi)部傳播。 對本單位所擁有和應(yīng)用的服務(wù)器及時對系統(tǒng)和應(yīng)用平臺軟件進行補丁升級。做好應(yīng)用服務(wù)器的管理工作，對服務(wù)器的系統(tǒng)密碼、應(yīng)用賬戶及密碼按照復(fù)雜度要求進行設(shè)置并定期進行更改，做好賬戶及密碼的保密工作。在部署時要進行代碼審計和數(shù)據(jù)庫開發(fā)審核，防止數(shù)據(jù)庫和代碼漏洞。對發(fā)現(xiàn)的漏洞要及時對軟件源代碼和數(shù)據(jù)庫漏洞進行修補。做好對服務(wù)器應(yīng)用的日常管理工作。防止服務(wù)器受到入侵和成為“肉雞”。對防火墻及交換設(shè)備，其故障原因一般為元件老化等自然損壞，要注意對設(shè)備的保養(yǎng)及檢查，盡早發(fā)現(xiàn)故障隱患，做好預(yù)備措施。對服務(wù)器及磁盤數(shù)據(jù)故障一般有兩種原因引起：病毒及元件老化，需要我們做好數(shù)據(jù)的備

18、份及系統(tǒng)的日常維護，減少因病毒引起的數(shù)據(jù)損壞和丟失。加強對防火墻、IPS、IDS以及WAF等安全設(shè)備的巡查工作，及時發(fā)現(xiàn)問題，及時進行處理。人工與自動運維管理相結(jié)合。充分利用實時拓?fù)溆^測檢測工具，實時的觀測網(wǎng)內(nèi)鏈路狀態(tài)，及時發(fā)現(xiàn)分支網(wǎng)絡(luò)設(shè)備和鏈路故障。電子政務(wù)應(yīng)用系統(tǒng)故障大多數(shù)原因是系統(tǒng)服務(wù)長時間占有內(nèi)存不釋放，累積一定限制后造成無法正常訪問，要求業(yè)務(wù)主管單位能定期查看服務(wù)器資源使用情況，及時重啟系統(tǒng)服務(wù)或服務(wù)器，一旦服務(wù)器無法進入進行操作，由技術(shù)人員強制操作。3、預(yù)備措施做好日常病毒防范管理，做好人員的培訓(xùn)工作，提高工作人員的安全防范意識。及時對發(fā)布的系統(tǒng)及應(yīng)用的漏洞加打補丁。加強對安全設(shè)備

19、的觀測，注意觀測設(shè)備防控記錄和設(shè)備日志。關(guān)注網(wǎng)內(nèi)各服務(wù)器和終端設(shè)備的數(shù)據(jù)流量，對異常的設(shè)備流量進行重點監(jiān)控和抓包分析。對各類交換設(shè)備必須做好配置的備份，并有明細(xì)的配置表，便于進行配置的恢復(fù)。對防火墻、IPS、WAF等安全設(shè)備做好配置的備份工作，并對配置信息進行標(biāo)注，以便于進行配置的恢復(fù)。網(wǎng)絡(luò)故障成因繁復(fù)復(fù)雜，人員對網(wǎng)絡(luò)故障的正確判斷也是影響故障處理速度的重要因素。不斷提高網(wǎng)絡(luò)安全管理人員的技術(shù)水平和素質(zhì)是網(wǎng)絡(luò)安全與故障的重要保證。各服務(wù)器應(yīng)作好關(guān)鍵數(shù)據(jù)的備份，涉及關(guān)鍵應(yīng)用的服務(wù)器應(yīng)有應(yīng)急用替代設(shè)備。做好XX 系統(tǒng)的虛擬機和數(shù)據(jù)備份工作，不定期進行虛擬機和數(shù)據(jù)的恢復(fù)演練。4、應(yīng)對措施針對單個用戶

20、終端病毒木馬,監(jiān)測發(fā)現(xiàn)后，立即聯(lián)系終端用戶所在單位的網(wǎng)絡(luò)管理聯(lián)系人，通知該終端用戶斷開網(wǎng)絡(luò)接入進行木馬病毒查殺處理。在確保處理完成后，再接入辦公網(wǎng)。對單個接入單位，監(jiān)控發(fā)現(xiàn)該單位病毒木馬泛濫，立即上報網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組。同時通知該單位網(wǎng)絡(luò)管理聯(lián)系人，將該單位網(wǎng)絡(luò)進行隔離，待木馬病毒處理完成后，恢復(fù)其網(wǎng)絡(luò)的正常服務(wù)。如該單位無法處理，可由網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組協(xié)調(diào)技術(shù)支持。監(jiān)控發(fā)現(xiàn)服務(wù)器連接或訪問數(shù)據(jù)及會話異常，不影響全局網(wǎng)絡(luò)的正常訪問，立即聯(lián)系該服務(wù)器所用單位的網(wǎng)絡(luò)管理聯(lián)系人，確認(rèn)該服務(wù)器是否有維護操作并核實該服務(wù)器應(yīng)用是否是正常的。緊急事件處置小組在請示網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組后，可對該服務(wù)器或終端通過抓包

21、等一系列手段，確認(rèn)其行為是否正常。如果是人為的行為就要聯(lián)系該服務(wù)器所用單位的網(wǎng)絡(luò)管理聯(lián)系人對其行為進行提醒。如果是由于病毒木馬或惡意代碼引起的就要聯(lián)系該服務(wù)器所用單位的網(wǎng)絡(luò)管理聯(lián)系人進行病毒木馬的查殺并升級系統(tǒng)補丁，升級應(yīng)用系統(tǒng)補丁，查找修復(fù)代碼漏洞和數(shù)據(jù)庫漏洞，并對中間件等漏洞進行修補。如該單位無法處理，可由網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組協(xié)調(diào)技術(shù)支持。或者請求外援支持。監(jiān)控發(fā)現(xiàn)服務(wù)器或終端連接或訪問數(shù)據(jù)及會話異常，影響全局網(wǎng)絡(luò)的正常訪問，立即上報網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，由緊急事件處理小組對該服務(wù)器或終端進行緊急隔離，阻斷其對內(nèi)和對外的訪問，通知該服務(wù)器或終端所用單位的網(wǎng)絡(luò)管理聯(lián)系人，確認(rèn)是否是由于病毒木馬或惡意

22、代碼引起的。如果是病毒木馬就要進行病毒木馬的查殺，如果是惡意代碼，就要升級系統(tǒng)補丁，升級應(yīng)用系統(tǒng)補丁，查找修復(fù)代碼漏洞和數(shù)據(jù)庫漏洞，并對中間件等漏洞進行修補，查殺惡意代碼。如該單位無法處理，可由網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組協(xié)調(diào)技術(shù)支持。如果是人為的行為就要由網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組聯(lián)系該服務(wù)器或終端使用單位的網(wǎng)絡(luò)管理聯(lián)系人對其行為進行提醒或通報。惡意攻擊造成網(wǎng)絡(luò)堵塞。應(yīng)急處置小組立即對整網(wǎng)設(shè)備實時監(jiān)控，查看IPS、IDS、防火墻、主干交換機等設(shè)備。查找造成網(wǎng)絡(luò)堵塞的源或目的地址，上報網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，由應(yīng)急處置小組對發(fā)動攻擊的源和目的地址進行阻斷，恢復(fù)網(wǎng)絡(luò)正常訪問。分支網(wǎng)絡(luò)故障。引起分支網(wǎng)絡(luò)故障的原因多種多樣，主

23、要有：分支交換設(shè)備故障，級聯(lián)端口故障，模塊故障，物理鏈路介質(zhì)故障，設(shè)備配置，設(shè)備供電，分支網(wǎng)絡(luò)環(huán)路等等多方面的原因。故障出現(xiàn)后，應(yīng)急處置小組首先要確認(rèn)是否是設(shè)備供電問題。是否能ping通該分支的出口網(wǎng)絡(luò)設(shè)備，是否能通過Telnet或ssh管理到該分支的出口網(wǎng)絡(luò)設(shè)備，逐步縮小排查的范圍，及時作出正確的判斷。如果是運營商提供的光纖鏈路的問題，及時協(xié)調(diào)運營商進行排查處理，盡快恢復(fù)網(wǎng)絡(luò)的暢通。如果是設(shè)備硬件的故障或端口模塊的故障，及時更換硬件并導(dǎo)入備份的配置。如果是跳線或跳纖的問題及時更換跳線或跳纖。一般交換設(shè)備故障。交換設(shè)備硬件故障，及時更換硬件并導(dǎo)入備份的配置。軟件配置故障，要及時的變更交換機的配

24、置，恢復(fù)網(wǎng)絡(luò)暢通。服務(wù)器自身故障或數(shù)據(jù)損壞。應(yīng)急處置小組立即通知服務(wù)器所用單位網(wǎng)絡(luò)管理聯(lián)系人，啟用備用服務(wù)器并對數(shù)據(jù)進行備份數(shù)據(jù)恢復(fù)和確認(rèn)。由于備份時間點的問題有可能造成一定的數(shù)據(jù)丟失。可根據(jù)數(shù)據(jù)的重要程度決定是否對故障服務(wù)器的數(shù)據(jù)進行數(shù)據(jù)恢復(fù)。（四）四級突發(fā)事件預(yù)案1、事件分類一般磁盤故障一般網(wǎng)絡(luò)故障一般電源故障一般應(yīng)用系統(tǒng)故障終端用戶認(rèn)證連接故障2、預(yù)防措施定期檢查設(shè)備運行狀態(tài)，定期對數(shù)據(jù)進行整理。通過各種形式的培訓(xùn)，提高終端用戶的計算機網(wǎng)絡(luò)應(yīng)用水平。3、預(yù)備措施備有易損件，如U盤、內(nèi)存等。備有網(wǎng)線，RJ45頭，網(wǎng)線工具等，在設(shè)備發(fā)生故障時能及時更換。專人進行電話接聽和服務(wù)器日常事務(wù)及終端

25、用戶問題的處理。4、應(yīng)對措施一般磁盤故障和設(shè)備電源故障確定故障原因后可直接更換。一般應(yīng)用系統(tǒng)故障針對一般應(yīng)用系統(tǒng)故障，可在確定故障系統(tǒng)后，對服務(wù)進行重啟，恢復(fù)系統(tǒng)正常運行。一般網(wǎng)絡(luò)故障一般網(wǎng)絡(luò)故障的處理是日常工作的一部分。日常出現(xiàn)的網(wǎng)絡(luò)故障繁復(fù)復(fù)雜，這就需要我們注意學(xué)習(xí)，不斷提高技術(shù)水平，確保能快速定位故障排除故障。終端用戶認(rèn)證連接故障對于客戶端不能正常認(rèn)證的情況，一般如下處理：對于個別電腦不能認(rèn)證的情況，一般通過電話溝通解決，類似的情況有以下幾種：未能正確獲取地址的情況：檢查線路是否連接通暢或者網(wǎng)卡和網(wǎng)卡驅(qū)動是否正確安裝。客戶端經(jīng)常自動掉線的情況：若是單臺機器出現(xiàn)此種情況，可以確認(rèn)機器上是否

26、裝有類似360之類的WIFI驅(qū)動，如果裝有類似驅(qū)動，刪除即可解決；若是本單位機器大面積出現(xiàn)此類情況則需考慮是否存在回路，排除回路即可解決。如果以上操作未能解決，則要考慮各網(wǎng)絡(luò)接口是否緊實，接入的交換機端口是否有問題，電腦網(wǎng)卡是否出現(xiàn)問題等。客戶端認(rèn)證失敗，提示“請檢查您的網(wǎng)絡(luò)通訊是否正常，確認(rèn)防火墻未攔截本機的UDP通訊報文（源端口：138，目的端口53）”的情況：此類問題需要開啟防火墻，然后開啟防火墻設(shè)置出入站規(guī)則里面所有的138端口，最后重啟電腦即可解決。客戶端認(rèn)證失敗，提示MAC地址沖突的情況：在SMP平臺上解除該用戶的原綁定MAC地址即可解決。客戶端認(rèn)證失敗，提示你不能使用原生1X方式

27、進行認(rèn)證的情況：重裝客戶端即可解決。客戶端認(rèn)證失敗，提示用戶名不存在或密碼錯誤的情況：核對對方用戶名是否正確輸入或重置密碼。對于本單位出現(xiàn)大規(guī)模斷網(wǎng)情況，一般需要委派工程師協(xié)助本單位技術(shù)人員現(xiàn)場查找問題，直到問題解決。六、 突發(fā)事件后處理當(dāng)事件結(jié)束，在系統(tǒng)恢復(fù)穩(wěn)定運行后，系統(tǒng)恢復(fù)組應(yīng)將事件調(diào)查報告及處理過程和結(jié)果上報辦公室，由辦公室匯總上報應(yīng)急領(lǐng)導(dǎo)小組。小組辦公室要做好相關(guān)資料的收集，及時組織做好總結(jié)，發(fā)現(xiàn)隱患，不斷對本預(yù)案進行完善。七、 保障措施（一）專業(yè)支撐隊伍加強XX網(wǎng)絡(luò)與信息安全應(yīng)急隊伍建設(shè)，作為XX網(wǎng)絡(luò)與信息安全應(yīng)急隊伍做好網(wǎng)絡(luò)與信息安全事件的應(yīng)急救援和支援工作。XX網(wǎng)絡(luò)與信息安全應(yīng)

28、急隊伍承擔(dān)以下主要職責(zé)：(1)按照網(wǎng)絡(luò)安全應(yīng)急領(lǐng)導(dǎo)小組的指令，開展應(yīng)急救援；(2)承辦網(wǎng)絡(luò)與信息安全事件應(yīng)急處置培訓(xùn)工作；(3)負(fù)責(zé)搶險隊伍設(shè)備、器材及相關(guān)軟件的日常管理和維護工作；(4)負(fù)責(zé)網(wǎng)絡(luò)與信息安全社會應(yīng)急力量的聯(lián)系和組織工作；(5)負(fù)責(zé)協(xié)助網(wǎng)絡(luò)安全應(yīng)急領(lǐng)導(dǎo)小組做好網(wǎng)絡(luò)與信息安全事件應(yīng)急演練工作；(6)根據(jù)事發(fā)單位應(yīng)急支援請求，提供應(yīng)急救援服務(wù)；(7)承辦網(wǎng)絡(luò)安全應(yīng)急領(lǐng)導(dǎo)小組交辦的其他事項。（二）技術(shù)支援隊伍的建設(shè)依托優(yōu)秀信息安全企業(yè)建立XX網(wǎng)絡(luò)與信息安全事件應(yīng)急處置技術(shù)支援隊伍，發(fā)揮社會力量和人才在XX網(wǎng)絡(luò)與信息安全事件應(yīng)對工作中的積極作用，提高網(wǎng)絡(luò)與信息安全事件應(yīng)對能力和水平。必要

29、時，與相關(guān)技術(shù)支援隊伍簽訂技術(shù)支援協(xié)議或合同。主要包括：關(guān)鍵設(shè)備廠商技術(shù)支持人員，關(guān)鍵設(shè)備服務(wù)商的技術(shù)人員，技術(shù)支援協(xié)議或技術(shù)支援合同等。八、 宣傳、培訓(xùn)和演練(一) 宣傳教育由XX應(yīng)急領(lǐng)導(dǎo)小組辦公室制定應(yīng)對網(wǎng)絡(luò)與信息安全事件的宣傳教育規(guī)劃，組織有關(guān)部門、專家、應(yīng)急隊伍編制公眾預(yù)防、應(yīng)對信息安全事件宣傳資料，組織開展宣傳教育活動。由XX應(yīng)急領(lǐng)導(dǎo)小組利用各種傳播媒介及其他有效的宣傳形式，加強網(wǎng)絡(luò)與信息安全事件預(yù)防和處置的有關(guān)法律、法規(guī)和政策的宣傳，開展網(wǎng)絡(luò)與信息安全基本知識和技能的宣講活動。(二) 培訓(xùn)XX應(yīng)急領(lǐng)導(dǎo)小組辦公室組織各有關(guān)部門，開展信息安全法規(guī)標(biāo)準(zhǔn)、信息安全預(yù)案編制、風(fēng)險評估、事件分析處置、容災(zāi)備份等方面的專業(yè)技術(shù)培訓(xùn)。(三) 演練XX應(yīng)急領(lǐng)導(dǎo)小組每年至少組織一次預(yù)案演練，模擬處置重大或較大網(wǎng)絡(luò)與信息安全事件，提高實戰(zhàn)能力，檢驗和完善預(yù)案。九、 其它1、小組辦公室應(yīng)做好設(shè)備的保險工作2、系統(tǒng)恢復(fù)小組應(yīng)做好數(shù)據(jù)備份工作。3、系統(tǒng)恢復(fù)小組應(yīng)做好日常的系統(tǒng)檢查工作。4、工作人員應(yīng)作好日常維護及檢查記錄。尤其是發(fā)生故障時，更應(yīng)詳細(xì)記錄故障現(xiàn)象、時間、恢復(fù)過程等。5、根據(jù)處置的網(wǎng)絡(luò)安全事件的不同情況，及時的修訂補充本應(yīng)急預(yù)案。當(dāng)網(wǎng)絡(luò)安全應(yīng)急事件發(fā)生時，能夠及時的進行應(yīng)急處置，確保整個XX系統(tǒng)高效運行。十、 技術(shù)服務(wù)支撐人員單位姓名聯(lián)系方式備注