网络安全应急预案、应急演练计划及相应报告

网络安全人人有责

　　网络安全应急预案

　　为提高应对突发网络安全能力，维护网络安全和社会稳定，保障公积金业务各项工作正常开展，特制定本预案。

　　一、 根据网络安全的发生原因、性质和机理，网络安全主要分为以下三类:

　　（1）攻击类事件：指网络系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。

　　（2）故障类事件：指网络系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。

　　（3）灾害类事件：指因爆炸、火灾、雷击、地震、台风等外力因素导致网络系统损毁，造成业务中断、系统宕机、网络瘫痪等情况。

　　二、建立应急网络联动机制

　　成立网络安全应急工作小组，按照“谁主管谁负责”原则，对于较大和一般突发公共事件进行先期处置等工作，并及时报领导处理并备案。

　　发生一般互联网网络安全事件，事发半小时内向单位主管领导口头报告，在1小时内向出具书面报告；较大以上网络安全事件或特殊情况，立即报告。

　　三、应急处理流程

　　出现灾情后值班人员要及时通过电话、传真、邮件、短信等方式通知单位领导及相关技术负责人。值班人员根据灾情信息，初步判定灾情程度。能够自身解决，要及时加以解决；如果不能自行解决故障，由领导现场指挥，协调各部门力量，按照分工负责的原则，组织相关技术人员进入抢险程序。

　　四、单位自行应急处理措施指南

　　1、黑客攻击事件紧急处置措施

　　(1)当有关值班人员发现发现有黑客正在进行攻击时，应立即向网络安全应急负责人通报情况。

　　(2)网络安全应急相关负责人应在接到通知后立即赶到现场，并首先将被攻击的服务器等设备从网络中隔离出来，保护现场，并将有关情况向本单位领导汇报。

　　(3)对现场进行分析，并写出分析报告存档，必要时上报主管部门。

　　(4)恢复与重建被攻击或破坏系统

　　(5)网络安全应急小组组长召开小组会议，如认为事态严重，则立即向主管部门和公安部门报警。

　　2、病毒事件紧急处置措施

　　(1)当发现有计算机被感染上病毒后，应立即向网络安全应急负责人报告，将该机从网络上隔离开来。

　　(2)网络安全应急相关负责人员在接到通报后立即赶到现场。

　　(3)对该设备的硬盘进行数据备份。

　　(4)启用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他机器进行病毒扫描

　　和清除工作。

　　(5)如果现行反病毒软件无法清除该病毒，应立即向本单位领导报告，并迅速联系有关产品商研究解决。

　　(6)网络安全应急小组经会商，认为情况严重的，应立即向主管部门和公安部门报警。

　　(7)如果感染病毒的设备是主服务器，经本单位领导同意，应立即告知各部门做好相应的清查工作。

　　3、软件系统遭破坏性攻击的紧急处置措施

　　(1)重要的软件系统平时必须存有备份，与软件系统相对应的数据必须按本单位容灾备份规定的间隔按时进行备份，并将它们保存于安全处。

　　(2)一旦软件遭到破坏性攻击，应立即向网络安全应急负责人报告，并将该系统停止运行。

　　(3)检查信息系统的日志等资料，确定攻击来源，并将有关情况向领导汇报，再恢复软件系统和数据。

　　(4)网络安全应急小组组长召开小组会议，如认为事态严重，则立即向主管部门和公安部门报警。

　　4、数据库安全紧急处置措施

　　(1)在有条件的地区，主要数据库系统应按双机热备设置，并至少要准备两个以上数据库备份，平时一个备份放在机房，另一个备份放在另一安全的建筑物中。

　　(2)一旦数据库崩溃，值班人员应立即启动备用系统，并向网络安全应急负责人报告。

　　(3)在备用系统运行期间；信息安全工作人员应对主机系统进行维修并作数据恢复。

　　(4)如果两套系统均崩溃而无法恢复，应立即向有关厂商请求紧急支援。

　　5、广域网外部线路中断紧急处置措施

　　(1)广域网主、备用线路中断一条后，值班人员应立即启动备用线路接续工作，同时向网络安全应急负责人报告。

　　(2)网络安全应急相关负责人员接到报告后，应迅速判断故障节点，查明故障原因。

　　(3)如属我方管辖范围，由工作人员立即予以恢复。

　　(4)如属电信部门管辖范围，立即与电信维护部门联系，要求修复。

　　(5)如果主、备用线路同时中断，网络安全应急相关负责人应在判断故障节点，查明故障原因后，尽快研究恢复措施，并立即向本单位领导汇报。

　　6、局域网中断紧急处置措施

　　(1)设备管理部门平时应准备好网络备用设备，存放在指定的位置。

　　(2)局域网中断后，网络安全应急相关负责人员应立即判断故节点，查明故障原因，并向网络安全应急组组长汇报。

　　(3)如属线路故障，应重新安装线路。

　　(4)如属路由器、交换机等网络设备故障，应立即从指定位置将备用设备取出接上，并调试通畅。

　　(5)如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调测通畅。

　　(6)如有必要，应向主管部门领导汇报。

　　7、设备安全紧急处置措施

　　(1)服务器等关键设备损坏后，值班人员应立即向网络安全应急负责人报告。

　　(2)网络安全应急相关负责人员立即查明原因。

　　(3)如果能够自行恢复，应立即用备件替换受损部件。

　　(4)如属不能自行恢复的，立即与设备提供商联系，请求派维护人员前来维修。

　　(5)如果设备一时不能修复，应向本单位领导汇报。

　　8、停电紧急处置措施

　　（1）定期检查机房供电设备的运行状况和电路线缆器材情况，当发生下列突发事件时，按照以下方案进行处置.

　　（2）当机房发生市电供电突然停电或是电源异常时。首先应和馆内强电部门联系确认正常停电以及预计停电时间。

　　检查不间断电源的电池可供电时间，确保设备正常运行，如遇到突然断电，应及时将空调等不在UPS电源供电范围内的设备及时断电，预防突然来电时瞬间电流过大导致设备损坏等现象。

　　（3）当确定停电时间超出机房UPS承载范围后，首先确定停电的范围以及受影响的设备范围。并及时通知各部门和网络安全应急小组做好停电应急准备。然后通知机房电源维护人和设备的负责人到达现场，做好各设备的电源停电准备。在UPS供电电量剩10%之后，严格按操作手册停掉各服务器的电源，最后停核心交换机和路由器，等待电力恢复。

　　（4）当确定停电原因是在本身供电系统范围内，立即汇报给负责领导，并及时联系相关维护人员达到现场检修。对于恢复时间无法预计的，要通知各部门做好停电应急准备。

　　（5）恢复供电后，严格按照操作程序逐步恢复机房设备和

　　UPS的供电，以防瞬间电流过大造成设备损坏。

　　9、火灾紧急处置措施

　　（1）上班工作时间发生火警，还在机房工作的人员应及时紧急撤离，并立刻拨打119报警并立刻通知网络安全应急相关负责人和相关部门领导。在确保自身安全的情况下，应尽量使用灭火器进行灭火，减少电子设备的损坏。同时采取关闭电源总闸等措施，尽量减少可能造成的损失和破坏。

　　（2）非工作时间或节假日休息时间值班人员发现火情后，要立刻拨打119报警，并立刻通知网络安全应急相关负责人和相关部门领导，做好火灾的处置工作。

　　（3）火情结束之后，机房相关人员应全体赶赴现场，并向相关部门汇报。同时立即联系电信、联通、移动等相关网络公司和设备相关厂家，及时评估事故损失情况，研讨恢复网络系统正常运行的最佳解决方案。

　　10、其他自然灾害紧急处置措施发生自然灾害后，首先应该组织人员撤离现场。当确认灾害不会造成人生伤害后，在回到机房检查设备，评估灾害受损范围，立刻向网络安全应急小组组长和公司领导汇报，并联系相关网络和设备厂家，积极做好灾后恢复工作，确保在最短时间内恢复机房正常运行。

　　应急演练计划

　　一、应急演练总体目标

　　网络与信息安全应急演练的总体目标:建立健全网络与信息安全运行应急工作机制，检验网络与信息安全综合应急预案与业务技术专项应急预案的有效性,验证相关组织与人员应对网络与信息安全突发事件的组织指挥能力与应急处置能力，保证各项应急指挥调度工作迅速、高效、有序地进行，满足突发情况下网络与信息系统运行保障与故障恢复的需要，确保信息系统安全畅通。同时通过演练，不断提高各部门开展应急工作的水平与效率，发现预案的不足，进一步完善应急预案。

　　二、安全应急演练的具体目标为:

　　(1)信息系统突发故障时，问题报告的渠道畅通。发生紧急突发事件时,根据事件应急措施正确启动应急处理程序

　　(2)应急事件启动后,应急指挥组、技术，各科室协调有序、处置准确。

　　(3)故障恢复后,应急指挥小组按程字结束应急，做好报告与总结。

　　三、应急演练计划安排

　　1-1数据库系统故障应急演练

　　时间安排:2021年5月演练地点:机房

　　演练步骤:

　　1)备份保存数据库系统及其数据，并将它们保存于安全处。

　　2)模拟数据库系统发生故障，技术人员立即向信息科负责人或应急指挥小组组长汇报，经同意后采用重启恢复数据库。

　　3)重启失败，数据库系统故障依然存在。

　　4)信息科组织技术人员做好数据库系统切换与有关数据的恢复工作。

　　5)信息安全员检查日志等资料,确定故障原因.

　　6故障排除解决，数据库系统恢复正常

　　7)信息科会同相关人员将实施处理的过程与结果备案存档,并向有关领导汇报。

　　1-2黑客攻击服务器应急演练

　　时间安排:2021年3月

　　演练地点: XXX

　　演练步骤:

　　1)模拟黑客攻击我局服务器行为。

　　2)信息安全员接收警情通知，向分管领导报告。

　　3)信息部主管远程断开受攻击服务器，并通知信息安全员赶到现场，将被攻击的服务器等设备从网络中隔离出来，保护现场。

　　4)判断事态严重性，严重级别高，向分管领导请示后，向公安部门报警，配合公安部门展开调查。

　　5发布对内与对外的公告通知。

　　6)信息部技术人员做好被攻击或破坏系统的恢复与重建工作。

　　7)信息科负责组织技术力量追查非法信息来源。

　　8)模拟故障消除,应急指挥组宣布结束应急，进行总结报告。

　　1-3大规模病毒（含恶意软件）攻击应急演练

　　时间安排：2021年3月

　　演练地点：XXX

　　演练步骤：

　　1)计算机被感染上病毒,计算机使用人员使用杀毒软件对计算机杀毒，并通知信息科。

　　2)信息科工作人员远程将该机从网络上断开,通知信息安全员到达现场。

　　3)信息安全员对该设备的硬盘进行数据备份。

　　4)信息科工作人员远程断开受攻击服务器并通知信息安全员赶到现场，将被攻击的服务器等设备从网络中隔离出来，保护现场。

　　5)信息安全员启用病毒软件对该机进行杀毒处理,并对相关机器进行病毒扫描与消除工作。

　　6)反病毒软件无法清除该病毒,信息安全员向信息科领导汇报，由信息科组织相关技术人员研究解诀。

　　7)情况较为严重的,向分管领导报告,并向公安部门报警,配合公安部门展开调查。

　　8)模拟故障消除信息部应急处理人员及计算机使用人员进行总结报告。

　　四、应急演练组织机构 ：应急指挥组

　　组 长：XXX

　　副组长：XXX

　　成 员：XXX 杨明奇 王德帅

　　五、演练要求：

　　1、加强领导,确保演练工作达到预期目的。在指挥部的统一部署下，信息科全体工作人员要高度重视，提高认识，积极参加确保演练效果。调整好工作，确保人员参加,增强自己处理突发事件的能力技能。

　　2、完善规章制度，强化责任制的落实。演练结束后，信息部科要对这次演练活动进行认真的总结，针对演练中出现的问题要及时进行整改，设备需要更新的立即请示行领导进行解决，制度不完善的立即着手完善,对于各岗位的责任制要再次加以明确与落实。

　　六、总结汇报。演练结束后，信息科要对演练进行总结，针对演练中出现的问题要及时.上报并进行整改。

　　应急演练报告

　　5月7日在局领导的指挥下，成功进行了黑客攻击服务器应急演练、大规模病毒(含恶意软件)攻击应急演练、数据库系统故障的应急演练本次演练旨在检验面对机房突发事件时的快速反应、I综合协调能力及应急机制落实情况，进一步补充完善各类事故预案与应急处理措施的衔接性与可行性,切实提高我单位在发生机房突发事件时的综合反应与应急应变能力。

　　一、演练情形

　　1、2021年5月7日上班后,信息科发现服务器受到黑客攻击,信息科立即将此情况报告应急指挥小组。指挥组启动相关应急预案并组织人员进行恢复重建。

　　2、2021年5月7日下午3时办公室发现电脑感染病毒，无法操作。办公室立即将情况报告我司应急指挥小组。指挥组启动相关应急预案组织人员进行杀毒。

　　3、2021年5月7日下午4时信息科发现数据库系统故障故障，信息科立即将此情况上报至应急指挥小组，应急指挥小组启动相关应急预案并组织人员进行判断与排除。信息部查明原因后立即进行排除故障工作。

　　二、实战效果评价：

　　相应人员，根据应急预案，基本解决了对应故障，达到了以演练提示时间工作水平和能力的目的。

　　三、存在问题：

　　1、参加演练个别人员处理事故中存在慌乱。

　　2、参加演练个别人员快速反应。从容应对能力缺乏。

　　四、演习总结：

　　1、处理工作开始前,应做好相关安全措施与事故预想,防止盲目检修扩大事故影响范围。

　　2、紧急处理事故人员的配合比较默契,但安排任务时部分环节遗漏。

　　3、通过本次演练活动,提高了检修人员快速反应与应急处理能力,确保一旦发生事故,将危急事件造成的损失与影响降低到最低程度。

　　4、通过本次演练活动,对制定的应急预案进行适宜评估，现有应急预案基本适宜、充分

　　2021年5月