网络应急预案Word文档下载推荐.docx
- 文档编号:17100448
- 上传时间:2022-11-28
- 格式:DOCX
- 页数:22
- 大小:30.59KB
网络应急预案Word文档下载推荐.docx
《网络应急预案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《网络应急预案Word文档下载推荐.docx(22页珍藏版)》请在冰豆网上搜索。
1.5与其他预案的关系
1.5.1与镇雄供电有限公司专项应急预案的关系
本预案是镇雄供电有限公司突发事件专项应急预案之一,在自然灾害、通信中断事件发生或处置过程中,当发生网络系统、应用系统和数据系统中断等网络与信息安全事故,且网络与信息安全事故达到Ⅱ级及以上应急响应标准时。
应按本预案开展网络与信息安全事故的应急救援,并配合相关应急预案的应急行动。
本预案可能配合的其它专项应急预案包括:
(1)《镇雄供电有限公司自然灾害应急预案》
1.5.2与上下级预案的关系
当发生的网络与信息安全事故为Ⅰ级应急响应时,由本预案与昭通供电局网络与信息安全专项应急预案衔接和配合。
1.5.3与政府预案的关系
当发生的网络与信息安全事故为Ⅰ级应急响应时,由本预案配合昭通市公安厅网络与信息安全应急预案的指挥、协调行动。
2风险与资源分析
2.1风险分析
镇雄供电有限公司网络与信息系统存在计算机病毒、网络攻击、数据安全以及设备设施故障等风险,由此引起的网络系统、应用系统和数据系统突发事件包括:
(1)有害程序类突发事件:
指受到有害程序的影响而导致的网络与信息安全突发事件。
有害程序类事件包含(但不限于)计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合攻击程序、网页内嵌恶意代码等事件。
(2)网络攻击类突发事件:
指通过网络或其它技术手段,利用配置缺陷、协议缺陷、程序缺陷等攻击网络与信息系统,造成网络与信息系统异常或不可用的网络与信息安全突发事件。
网络攻击类事件包括(但不限于)拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰等事件。
(3)信息安全破坏类突发事件:
指通过网络或其它技术手段,造成网络与信息系统中的信息被篡改、假冒、泄漏、窃取等而导致系统瘫痪、数据毁坏、数据泄漏的突发事件。
信息安全破坏类事件包括信息篡改、信息假冒、信息泄漏、信息窃取、信息丢失等事件。
(4)系统故障类突发事件:
指网络与信息系统因自身或外围设备设施故障、以及人为误操作等导致的信息安全突发事件。
系统故障类事件包括软硬件自身故障、外围保障设施故障、人为破坏事故、人为误操作事故和机房电源事故等。
(5)灾害破坏类突发事件:
指由于不可抗力对网络与信息系统造成物理破坏而导致的网络与信息安全突发事件。
灾害类事件包括水灾、台风、冰灾、火灾、雷击、地震、坍塌、恐怖袭击、战争等导致的网络与信息安全突发事件。
2.2资源分析
2.2.1内部应急力量
镇雄供电有限公司所属的所有网络与信息系统维护人员、系统管理员、管理人员等人员是本公司网络与信息安全事件应急处理的力量,另外电网系统内网络与信息专业人员均可作为本网络与信息安全事件应急处理的内部应急力量。
2.2.2外部应急力量
地方政府相关部门、软硬件制造商、供应商、系统集成商以及技术服务提供商,均可作为外部应急力量。
2.2.3物资和装备资源
镇雄供电有限公司所属硬件备件、软件介质、数据备份、专业检测及维修工具、消防工具、通讯器材、交通工具等,均可作为应急的物资装备资源。
3突发事件分级
3.1一级事件
凡发生下列情况之一者,评价为一级事件一次。
(1)发生网络攻击或有害程序破坏造成局域网全部瘫痪超过24个小时及以上。
(2)违反网络与信息设备操作规程造成人身伤亡或经济损失价值为10万元及以上.
3.2二级事件
凡发生下列情况之一者,评价为二级事件一次。
(1)发生网络攻击或有害程序破坏造成局域网部分瘫痪超过24个小时及以上。
(2)交换机故障全停15分钟。
(3)机房网络与服务器设备供电电源全部中断一次。
4组织机构及职责
4.1应急机构设置
当镇雄供电有限公司系统发生网络与信息安全事故需要启动本预案时,由镇雄供电有限公司信息安全小组负责相关事务处理,并指定专门应急信息技术专责。
公司应急办协助事件处置。
4.2应急工作小组职责
4.2.1应急工作小组职责
镇雄供电有限公司网络与信息安全应急小组的主要职责如下:
(1)负责按照本预案指挥网络与信息安全应急处置工作;
(2)负责指导、协调网络与信息安全应急处置工作;
(3)负责向镇雄供电有限公司应办报告网络与信息安全应急处置进展情况;
(4)当网络与信息安全涉及启动地方政府相关部门应急预案时,配合地方政府相关部门相关应急机构开展应急处置工作。
4.2.2应急处置工作内容
(1)与网络与信息安全事故的事发现场和事发单位(部门)建立通信联络,掌握相关人员的联系方式;
(2)与应急办和其他相关部门建立通信联络;
(3)文件、资料等的打印、复印、递送;
(4)协调车辆,保障应急人员、应急物资的运送。
(5)应急技术方案的处理工作;
(6)事故演习过程具体技术操作。
(7)接收事发单位(部门)报送的应急信息;
(8)向公司应急办公室报送应急信息;
(9)各类应急信息的收集、汇总和编辑;
(10)记录应急指挥工作过程信息。
(11)赶赴事发现场指导事发单位的应急处置工作;
(12)协助事发单位调度外部应急力量和应急物资;
(13)及时向上级应急机构或部门报告事发现场应急状况。
(14)消除网络与信息安全事故的影响,恢复网络与信息系统运行;
(15)负络与信息安全事故的调查处理;
(16)向外包单位索赔。
5预防与预警
5.1预警分级
镇雄供电有限公司网络与信息安全事故分为一般、较大、重大和特别重大四个级别,按照网络与信息安全事故的级别和发生的可能性,网络与信息安全事故预警分为四个级别,由高到低依次为红色预警、橙色预警、黄色预警、蓝色预警。
(1)特别重大的网络与信息安全事故即将发生或者发生的可能性增大时,构成红色预警。
(2)重大的网络与信息安全事故即将发生或者发生的可能性增大时,构成橙色预警。
(3)较大的网络与信息安全事故即将发生或者发生的可能性增大时,构成黄色预警。
(4)一般的网络与信息安全事故即将发生或者发生的可能性增大时,构成蓝色预警。
5.2预警监测
(1)镇雄供电有限公司信息化管理部门,负责管辖全司的网络与信息安全事故风险监测工作,网络与信息安全事故风险监测的重点包括:
⏹计算机病毒、蠕虫、木马、恶意代码等入侵的风险;
⏹漏洞攻击、后门攻击、拒绝服务、网络窃听、网络钓鱼等网络攻击的风险;
⏹信息丢失、信息窃取、信息泄露、信息假冒等信息安全风险;
⏹利用网站发布或传播违法、违规等负面信息;
⏹机房设备故障、系统软硬件故障、人为破坏、误操作等系统故障风险;
⏹系统变更导致的不可预测风险;
⏹因系统业务量增加致使系统资源不够,系统高压力状态下运行的业务风险。
(2)在风险监测中,应通过多种方式获取预警支持信息,一般包括以下方式:
⏹通过风险监测和风险分析获得的数据;
⏹上级应急办公室、信息化管理部门传达的网络与信息安全事故预警信息;
⏹地方政府相关部门发布的网络与信息安全事故预警信息等。
5.3预警发布与行动
5.3.1预警信息报告
信息化管理部门通过对网络与信息安全事故预警支持信息的分析和评估,认为构成预警的,应立即将预警支持信息的分析和评估结果作为预警信息,向应急办公室报告。
应急办公室在获取网络与信息安全事故预警信息后,通过进一步分析和确认,认为构成黄色及以上级别预警的,应立即向供电局应急办公室报告;
认为构成蓝色及以上级别预警的,应按照预警发布程序发布该预警。
认为构成蓝色及以上级别预警但不需要供电局发布的,应及时向可能受到影响的部门传达该预警信息。
网络与信息安全事故预警信息通过“预警信息通报单”的形式进行报告和传达,预警信息通报单的格式见附件1。
5.3.2预警信息发布
镇雄供电有限公司应急办公室负责网络与信息安全事故预警的发布和预警响应范围的确定。
(1)镇雄供电有限公司应急办公室有权发布针对本单位内部的蓝色预警、黄色预警、橙色预警和红色预警。
(2)应急办公室在发布网络与信息安全事故预警时,应明确预警的响应范围和公开程度(或保密要求)。
(3)应急办公室在发布网络与信息安全事故预警后,应通过公文、传真、电话、短信、电子邮件等多种方式,将预警尽快传达到相关部门和人员。
(4)正式的网络与信息安全事故预警通过下发“预警发布单”的形式进行发布,预警发布单的格式见附件2。
5.3.3预警行动
(1)在网络与信息安全事故预警发布后,预警响应范围内的单位(部门)应配合公司信息安全小组针对可能发生的网络与信息安全事故,及时采取有效的防范和应对措施,控制网络与信息安全事故风险,避免网络与信息安全事故发生;
可以根据具体情况采取以下措施:
⏹内存及系统病毒、木马、蠕虫、恶意代码查杀清除;
⏹安装必要的系统安全补丁,关闭不必要端口,检查是否存在系统后门;
⏹做好重要数据安全保障及备份工作、定期更换用户密码、安全信息专人专管;
⏹准备常用备品备件、实时监控系统资源情况、规范人工操作、限制操作员权限、严格管理超级管理员权限;
⏹避免不必要的系统变更,并对必要变更做好记录及回退准备;
⏹重启相应高负载业务或系统资源不足的设备;
(2)在网络与信息安全事故预警发布后,预警响应范围内的各级信息化管理部门,应对网络与信息安全事故风险进行持续监测,为预警响应行动、预警级别与范围调整和预警解除提供支持信息。
5.4预警调整与解除
在网络与信息安全事故预警发布后,预警响应范围内的各级信息化管理部门,应对网络与信息安全事故风险进行持续监测,为预警响应行动、预警级别与范围调整和预警解除提供支持信息,并根据风险变化及时报告公司应急办公室。
公司应急办公室在获取网络与信息安全事故预警级别与范围调整、预警解除信息后,经分析和确认,及时调整预警级别和预警响应范围,直至预警状态结束。
5.4.1预警调整
当外部条件变化或已采取相应控制措施,网络与信息安全事故发出的风险降低后,应急办应按具体情况通过下发“预警调整单”的形式对已经发布的预警予以调整,预警调整单的通知格式见附件6。
当预警响应范围内的某一部门、单位(或场所)的网络与信息安全风险已经全部消除或被有效控制时,由该部门、单位(或场所)通过书面形式向局应急办申请解除预警状态,经应急办分析后认为可以解除的,由应急办下发“预警调整单”将该部门、单位(或场所)从预警响应范围内删除。
在提高预警级别时,须经同级应急机构批准;
若提升至橙色及以上级别预警的,立即向上级应急部门报告。
5.4.2预警解除
当网络与信息安全事故发生的风险已经消除或被有效控制,或者突发事件已经发生,应急办应按具体情况通过下发“预警解除单”的形式对已经发布的预警予以解除,预警解除单的通知格式见附件7。
(1)能够充分确认网络与信息安全事故风险已经全部消除或被有效控制,或者预警响应范围内的部门单位(或场所)全部解除预警状态时,解除预警。
(2)当预警的突发事件已经在预警响应范围内的某一部门、单位(或场所)发生时,该部门、单位(或场所)的预警状态自动解除。
6应急响应与处置
6.1应急响应分级
6.1.1应急响应分级标准
6.1.1.1网络与信息安全事故分级
按照网络与信息安全事故的严重程度,镇雄供电有限公司的网络与信息安全事故分为一般网络与信息安全事故、较大网络与信息安全事故、重大网络与信息安全事故和特别重大网络与信息安全事故四个级别。
(1)一般网络与信息安全事故:
因故障导致单位内部主要应用系统服务不可用或服务质量严重劣化累计时长已经(或预期)达24小时(时间/应用系统);
因故障导致一半及以上办公用户内部网络访问中断或服务质量严重劣化时长已经(或预期)达6小时;
因故障导致单位外部广域网访问中断或服务质量严重劣化时长已经(或预期)达12小时;
因故障导致内部主要应用系统丢失数据累计已经(或预期)达10工作日数据。
(2)较大网络与信息安全事故:
因故障导致单位内部主要应用系统服务不可用或服务质量严重劣化累计时长已经(或预期)达36小时(时间/应用系统);
因故障导致一半及以上办公用户内部网络访问中断或服务质量严重劣化时长已经(或预期)达12小时;
因故障导致单位外部广域网访问中断或服务质量严重劣化时长已经(或预期)达24小时;
因故障导致内部主要应用系统丢失数据累计已经(或预期)达20工作日数据。
(3)重大网络与信息安全事故:
因故障导致单位内部主要应用系统服务不可用或服务质量严重劣化累计时长已经(或预期)达48小时(时间/应用系统);
因故障导致一半及以上办公用户内部网络访问中断或服务质量严重劣化时长已经(或预期)达24小时;
因故障导致单位外部广域网访问中断或服务质量严重劣化时长已经(或预期)达48小时;
因故障导致内部主要应用系统丢失数据累计已经(或预期)达30工作日数据;
单位内部主要应用系统重要、机密数据泄密或被篡改,对单位造成一定负面影响或产生一定威胁。
(4)特别重大网络与信息安全事故:
因故障导致单位内部所有主要应用系统服务不可用或服务质量严重劣化累计时长已经(或预期)达72小时;
因故障导致内部网络系统中断或服务质量严重劣化累计时长已经(或预期)达72小时;
因故障导致单位外部广域网访问中断或服务质量严重劣化时长已经(或预期)达72小时;
单位内部主要应用系统重要、机密数据泄密或被篡改,对单位造成明显的负面影响或重大威胁。
6.1.1.2网络与信息安全事故应急响应分级
镇雄供电有限公司网络与信息安全事故应急响应按照事故级别和响应范围分为四级,由低到高依次为Ⅳ级响应、Ⅲ级响应、Ⅱ级响应和Ⅰ级响应。
(1)已经或预期同时满足下列条件的应急响应,为Ⅳ级响应:
⏹网络与信息安全事故为一般网络与信息安全事故的;
⏹本单位网络与信息安全事故应急力量可以应对,且不需要地方政府相关部门应急力量配合的。
(2)已经或预期同时满足下列条件的应急响应,为Ⅲ级响应:
⏹网络与信息安全事故为较大网络与信息安全事故的,或者网络与信息安全事故为一般网络与信息安全事故且超出Ⅳ级响应条件的;
⏹本单位网络与信息安全事故的应急力量可以单独应对的,或者需要政府相关部门应急力量配合应对的。
(3)已经或预期同时满足下列条件的应急响应,为Ⅱ级响应:
⏹网络与信息安全事故为重大或者特别重大网络与信息安全事故的,或者网络与信息安全事故为较大网络与信息安全事故且超出Ⅲ级响应条件的,或者网络与信息安全事故为一般网络与信息安全事故且超出Ⅳ、Ⅲ级响应条件的;
⏹本单位网络与信息安全事故的应急力量无法单独应对,必需要地方政府相关部门或其它外部应急力量配合的。
(4)已经或预期同时满足下列条件的应急响应,为Ⅰ级响应:
⏹网络与信息安全事故为重大或者特别重大网络与信息安全事故且超出Ⅱ级响应条件的,或者网络与信息安全事故为较大网络与信息安全事故且超出Ⅲ、Ⅱ级响应条件的,或者网络与信息安全事故为一般网络与信息安全事故且超出Ⅳ、Ⅲ、Ⅱ级响应条件的;
⏹本单位网络与信息安全事故的应急力量无法单独应对,必需要地方政府相关部门和云南电网公司系统的应急力量配合应对的。
6.1.2网络与信息安全事故分级响应及处置主体
(1)满足Ⅳ级应急响应标准的网络与信息安全事故,由事发单位(部门)启动事发现场的现场处置方案进行应急响应。
(2)满足Ⅲ级应急响应标准的网络与信息安全事故,由事发单位(部门)根据本预案要求采取必要的应急措施并启动现场处置方案进行应急响应。
(3)满足Ⅱ级应急响应标准的网络与信息安全事故,由镇雄供电有限公司应急办批准启动镇雄供电有限公司网络与信息安全事故应急预案(即本预案)和现场处置方案进行应急响应。
(4)满足Ⅰ级应急响应标准的网络与信息安全事故,由云南电网公司统一指挥,启动镇雄供电有限公司网络与信息安全事故应急预案(即本预案)和现场处置方案进行应急响应。
6.1.3本预案启动程序
(1)镇雄供电有限公司应急办在接到网络与信息安全事故初始信息后,召集公司相关部门工作人员分析事故;
(2)应急办公室分析判断事故的应急响应级别,当响应级别达到Ⅱ级及以上时,向公司应急办申请启动本预案,当响应级别未达到Ⅱ级,持续关注事态发展;
(3)应急办到预案启动申请后,经研究决定是否批准该申请;
(4)本预案启动申请被批准后,公司信息安全小组负责网络与信息安全事故应急处置。
6.2信息报告
6.2.1应急接警电话
相关应急机构、部门、人员的联络方式见附件8和公司经理工作部印发的“通讯录”。
6.2.2网络与信息安全事故初始事件分析
网络与信息安全事故初始信息一般包括以下内容:
(1)事故的类型、发生时间、发生地点;
(2)事故的原因、性质、范围、经初步判断的严重程度;
(3)网络与信息系统故障的严重程度、典型症状;
(4)网络与信息系统受损部件列表、具体情况描述;
(5)事故发生单位(部门)已采取的控制措施及其他应对措施;
(6)事故报告单位(部门)、联系人员及通讯方式。
6.2.3网络与信息安全事故初始信息报告
(1)当网络与信息系统发生一般及以上级别网络与信息安全事故时,应在事故发生后30分钟内,向局应急办公室报告网络与信息安全事故初始信息。
(2)应急办公室在接到一般及以上级别网络与信息安全事故初始信息报告后,应对网络与信息安全事故初始信息进行确认,并在确认后立即向公司应急办相关人员报告。
应急办公室在接到一般及以上级别网络与信息安全事故初始信息报告后,经应急办相关人员批准,在接到报告后40分钟内向供电局应急机构报告。
(3)在报告网络与信息安全事故初始信息时,应做到及时、客观、真实,不得迟报、谎报、瞒报、漏报。
(4)网络与信息安全事故初始信息报告流程图见附件3。
6.2.4网络与信息安全事故应急信息
网络与信息安全事故应急信息是指在网络与信息安全事故应急响应过程中,与网络与信息安全事故和网络与信息安全事故应急响应有关的数据和信息,一般包括网络与信息安全事故最新概况、应急处置进展情况、应急资源调度情况、下一步应急工作部署等内容。
(1)网络与信息安全事故最新概况。
(2)应急处置进展情况,包括已开展的应急处置行动、已取得的应急成果、当前主要应急处置工作和政府部门的参与情况。
(3)应急资源调度情况,包括应急人员调动情况、应急物资调配情况和应急资源需求情况。
(4)下一步应急工作部署,包括应急处置进展情况预估和应急处置行动计划。
(5)网络与信息安全事故应急信息报告的通用格式见附件5,在网络与信息安全事故应急信息的收集和报告中,相关部门可以根据具体需要选择其中的全部或部分内容,或者自行增加需要的内容。
6.2.5网络与信息安全事故应急信息报告
(1)在网络与信息安全事故Ⅳ级及以上应急响应过程中,由启动现场处置方案的应急指挥机构,负责收集应急处置范围内的网络与信息安全事故应急信息,并负责向公司应急办应急信息。
(2)在网络与信息安全事故Ⅲ级及以上应急响应过程中,由公司应急办公室负责收集网络与信息安全事故应急信息,并负责向公司应急办相关成员报告;
经应急办领导批准,负责按规定向上级应急办公室和地方地方政府相关部门报告应急信息。
(3)网络与信息安全事故应急信息报告流程图见附件3。
6.3响应程序
6.3.1应急响应流程
本预案的应急响应可以分为应急启动、应急行动、应急响应扩大和应急结束四个过程,应急响应流程图见附件3。
6.3.2应急启动
(1)经镇雄供电有限公司应办领导批准,由镇雄供电有限公司网络与信息安全事故应急小组启动本预案;
(2)镇雄供电有限公司网络与信息安全事故应急办和各应急处置工作人员就位;
(3)由通信联络工作组负责与事故现场建立通信联系。
6.3.3应急行动
(1)指挥事故现场应急人员积极进行系统恢复;
(2)由信息技术工作组负责收集、整理事故应急信息,对事故的发展态势进行动态监测,及时掌握应急处置状况;
(3)做好系统备份恢复及相应回退准备工作。
6.3.4应急响应扩大
(1)在应急处置过程中,当网络或主营业务系统瘫痪影响的范围增加时,应急办应及时增加应急力量投入;
(2)在应急处置过程中,当事故发展为Ⅰ级应急响应时,应急办公室应及时向上级主管部门和(或)公安部门汇报,申请应急支援。
6.3.5应急处置措施
(1)有害程序类突发事件
⏹检查系统、服务、数据的完整性、可用性,中断应用系统或企业服务,从软件层面进行排查、系统升级、安全防御等操作,尽快减少此类有害程序的破坏和影响。
⏹断开网络,避免传染更多主机;
⏹进行病毒类型诊断;
⏹通知其它部门进行该类型病毒的防范与检测;
⏹使用专业杀毒软件/工具按照专业流程进行病毒及木马查杀;
⏹追踪病毒传播途径,制定该类型病毒防治规范;
⏹对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。
(2)网络攻击类突发事件
⏹在网络攻击中如拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听等,首先如检查网络、系统、服务、数据的保密性或可用性;
损失的程度;
确定暴露出的主要危险等。
⏹判断攻击类型与手段,评估系统现状;
⏹定位攻击路径;
⏹在业务中断允许的时间范围内追查攻击者位置;
⏹在尽可能靠近攻击源的节点切断攻击源;
⏹继续对攻击者的位置与攻击手段进行分析并搜集原始资料;
⏹可能的话关闭问题服务,系统漏洞升级;
⏹抑制事件的影响进一步扩大,限制潜在的损失与破坏。
可能的抑制策略一般包括:
关闭服务或关闭所有的系统,从网络上断开相关系统的物理链接,修改防火墙和路由器的过滤规则;
封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路;
提高系统或网络行为的监控级别;
设置陷阱;
启用紧急事件下的接管系统;
实行特殊“防卫状态”安全警戒;
反击攻击者的系统等。
(3)信息安全破坏类突发事件
⏹保护企业的信息安全,应急指挥部门和其他相关人员将对攻击源进行定位并采取合适的措施将其中断。
⏹系统漏洞升级;
⏹在出现信息篡改事件、信息假冒事件、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 应急 预案