网络信息安全应急响应预案

网络信息安全应急响应预案（精选8篇）

网络信息安全应急响应预案 篇1

产业集聚区建设管理委员会 网络信息安全应急预案

一、总则

1．编制目的

为提高单位处理网络与信息安全突发事件的能力，形成科学、有效、反应迅速的应急工作机制，确保单位网络重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网络信息安全突发事件的危害，保护职工权益，维护正常社会秩序、办公秩序，促进园区的和谐发展。

2．编制依据

根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等有关法规、规定，制定本预案。

3．适用范围

本预案启动后，单位以前制定的网络与信息安全应急预案与本预案相冲突的，按照本预案执行。而法律、法规和规章另有规定的从其规定。

4．分类分级

本预案所指的网络信息安全突发事件，是指官方网站网等重要网络信息系统突然遭受不可预知外力的破坏、毁损或故障，不良信息在我院校园网乃至整个互联网的传播，发生对国家、社会、公众、学院造成或者可能造成危害的紧急网络安全事件。事件分类根据网络信息安全突发事件的发生过程、性质和特征，网络信息安全突发事件划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害、事故灾难和人为破坏引起的网络与信息系统的损坏；信息安全突发事件是指利用信息网络进行有目的或有组织的反动宣传、煽动和歪曲事理的不良活动或违法活动。

（1）自然灾害是指地震、台风、雷电、火灾、洪水等。

（2）事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。

（3）人为破坏是指人为破坏网络线路、通信设施，黑客攻击、病毒攻击、恐怖主义活动等事件。

事件分级

根据我省对网络信息安全突发事件的可控性、严重程度和影响范围，将网络信息安全突发事件分为四级：I级（特别重大）、II级（重大）、III级（较大）、IV级（一般）。具体级别定义如果国家有关法律法规有明确规定的，按国家有关规定执行。

（1）I级（特别重大）：造成我院网络与信息系统发生大规模瘫痪，事态的发展超出区一级相关主管部门的控制能力，对国家安全、社会秩序、公共利益或教育形象造成特别严重损害的突发事件。

（2）II级（重大）：造成我院或其它上一级部门重要网络与信息系统瘫痪，对国家安全、社会秩序、公共利益或教育形象造成严重损害，需要上级政府或公安部门协助，乃至需跨地区协同处置的突发事件。

（3）III级（较大）：造成我院网络与信息系统瘫痪，对国家安全、社会秩序、公共利益或教育形象造成一定损害，但只需在本区政府或区信息中心协同处置的突发事件。

（4）IV级（一般）：造成单位网络重要网络与信息系统受到一定程度的损坏，对企业、群众或其他人员和单位的权益有一定影响，但不危害国家安全、社会秩序和公共利益，可由单位主管部门处置的突发事件。

二、工作原则

1．积极防御、综合防范。立足安全防护，加强预警，重点保护重要信息网络和关系社会稳定的重要信息系统；从预防、监控、应急处理、应急保障和打击不法行为等环节，在管理、技术、宣传等方面，采取多种措施，充分发挥各方面的作用，构筑园区网络与信息安全保障体系。

2．明确责任、分级负责。按照“谁主管、谁负责”的原则，加强网络安全管理，认真落实各项安全管理制度和措施。加强计算机信息网络安全的宣传和教育，进一步提高广大职工的信息安全意识。

3．落实措施、确保安全。要对机房、网络设备、服务器等设施定期开展安全检查，对发现安全漏洞和隐患的进行及时整改；在国际互联网上已建立网站的分院单位，要实行网站的巡察制度，密切关注互联网信息动态，要按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处置，最大程度地减少危害和影响。

4．依靠科学、平战结合。各科室应根据本预案的标准，建立本单位的应急处置预案，并加强技术储备、规范应急处置措施与操作流程，树立常备不懈的观念，定期进行预案演练，确保应急预案切实可行。

5、事故上报

1．网络信息安全事故上报

（1）当发生网络信息安全突发事件时，应及时按规定向有关部门报告。初次报告最迟不得超过2小时，重大和特别重大的网络信息安全突发事件必须实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。

发生信息安全事件的部门应当在发生信息安全事件后，首先以口头方式立即向信息化工作领导小组办公室报告。

发生信息安全事件的部门应当立即对发生的事件进行调查核实、保存相关证据，并在事件被发现或应当被发现时起5小时内将有关材料报至信息化工作领导小组办公室。

对于信息安全事件，信息化工作领导小组办公室接到报告后，应当立即上报领导小组相关领导，并负责组织人员对事件进行调查和处理。

发生信息安全事件的部门应当在事件处理完毕后5个工作日内将处理结果报院办备案。

信息化工作领导小组办公室负责组织对事件进行分析和研究，并将结果通报院领导。

（2）信息化工作领导小组办公室负责人和领导小组相关责任人应确立两个以上的即时联系方式，公众可通过固定电话、移动电话、互联网等多种联系方式进行报警，避免因信息网络突发事件发生后，必要的信息通报与指挥协调通信渠道中断。

2．网络信息安全预警处理与发布

（1）对于可能发生或已经发生的网络信息安全突发事件，应立即采取措施控制事态，并在2小时内进行相应的风险评估，并及时按规定向领导小组组长报告。

（2）发现网络信息安全突发事件或事故时，网络管理中心配合对突发事件或事故进行风险评估，并把评估信息及时反馈给区领导小组小组。

三、事后处理

应急响应应急结束网络与信息安全突发事件经应急处置后，得到有效控制，事态下降到一定程度或基本得以解决，将各监测统计数据上领导小组，由领导小组向区应急小组提出应急结束的建议，经批准后实施。

四、人员队伍

保障措施应急技术队伍保障按照一专多能的要求建立我院网络与信息安全应急技术保障队伍。并定期参加信息安全配训。

五、监督管理

1．充分利用各种传播媒介及有效的形式，比如信息平台、微博平台、电视台、职工大会等形式，加强对计算机信息网络安全的宣传和教育工作，提高广大职工的防范意识和应急处置能力。加强对网络与信息安全等方面专业技能的培训，指定专人负责安全技术工作。并将网络与信息安全突发事件的应急管理、工作流程等列为管理干部的培训内容，增强应急处置工作中的组织能力。

2．演练建立应急预案定期演练制度。通过演练，发现应急工作体系和工作机制存在的问题，不断完善应急预案，提高应急处置能力。

3．责任与奖惩要认真贯彻落实预案的各项要求与任务，建立监督检查制度。单位将不定期进行检查，对各项制度、计划、方案、人员等进行实地督察，对未有效落实预案各项规定的进行通报批评，责令限期改正。

网络信息安全应急响应预案 篇2

我国网络与信息安全应急响应体系起步较晚, 它是在原信息产业部的领导下, 成功处理了“红色代码蠕虫”、“SQL杀手蠕虫”、“尼姆达蠕虫”、“口令蠕虫”等大规模的网络安全事件后才正式成立的, 并于2002年8月成功加入了国际最权威的网络安全应急组织合作联盟FIRST。

1 我国网络安全应急响应体系架构

目前, 我国的“国家公共互联网安全事件应急处理体系”总体分为国家级政府、国家级非政府和地方级非政府3个层面。

1.1 国家级政府层面———工信部

工信部主要负责安排网络安全应急协调工作同各部委之间横向协作, 并负责与国外同层次的政府部门和国际组织 (如APEC经济体) 之间进行合作、交流。

1.2 国家级非政府组织层面———国家计算机网络应急技术处理协调中心

协调中心对上接受工信部的领导, 对下领导各省的协调分中心的工作, 利用其网络安全监测平台等技术手段对全国互联网的安全状况进行实时监测, 为国家各个重要信息系统运行部门提供网络安全应急支援, 负责与国际民间网络安全应急组织之间的交流和联系。

1.3 地方级非政府层面———协调分中心

协调分中心主要工作是协调和指导当地的互联网运营商应急组织、省级互联网应急处理支撑单位开展面向地方的应急处理工作, 并负责为地方政府及地方重要网络信息系统运行部门提供网络安全应急支援。

2 应急响应的流程

就应急响应的流程来看, 我国基本采用的是PDCERF方法, 将应急响应流程分成准备、检测、抑制、根除、恢复、总结这6个可循环的阶段。

(1) 准备阶段。使应急响应人员能够尽快检测到入侵事件的发生, 并尽快提高系统的安全级别, 使系统恢复到可信赖的、可靠的运行状态。主要包括确定应急响应安全策略、确定安全事件检测的过程、确定安全事件响应的过程、建立应急预案、准备应急人员和资源、建立支持应急响应的更新策略和规程等几方面。

(2) 检测阶段。主要是判断安全事件是否发生。常用的检测方法有监视并检查网络行为、审查可疑的网络行为和事件等。

(3) 抑制阶段。当检测到入侵事件的确已经发生后, 通过技术手段限制入侵程度, 避免入侵造成更大损失。技术手段包括修改防火墙和路由器的过滤规则、关闭某些服务, 甚至关闭系统等。抑制行为最基本的工作是找到入侵者或入侵的恶意程序。

(4) 根除阶段。借助在准备阶段预备的各种安全工具, 找出事件根源并彻底清除。

(5) 恢复阶段。采用备份机制将被入侵的系统和网络环境还原到正常的工作状态。根据不同的网络环境, 恢复的方法有所不同, 但主要就是恢复用户、恢复系统服务、恢复系统的可用性等。

(6) 总结阶段。通过分析安全事件的发生及处理过程, 有助于提高应急人员的技术水平和应急处理能力, 以应付将来发生的同样事件。对整个安全事件做一次事后分析, 总结处理过程中的得失, 包括处理流程、处理人员、处理手段等, 完善应急响应流程及技术, 编写安全服务报告书、修订安全文档。

3 应急响应平台的主要技术

3.1 操作系统加固优化技术

安全可靠的操作系统是网络应用的基础, 可靠的系统可为整体系统的安全稳定运行提供坚实的保障。操作系统加固优化的方法包括:提高系统的安全级别, 将服务和应用建立在安全级别较高 (如B1级) 的操作系统上;及时修复操作系统的漏洞, 并加强对重要文件、重点进程的监控与管理, 增强操作系统的稳定性和安全性。

3.2 网络陷阱及诱骗技术

网络陷阱:是一种网络安全的动态防护技术, 即通过一个预先设计的、明显存在安全防护弱点的特殊网络环境, 诱骗入侵者。将其入侵行为引入一个可以控制的网络环境, 并通过其它技术手段查明入侵者所使用的方法和技术, 追踪其来源。

网络诱骗技术:主要采用蜜罐技术, 即在一个特殊的环境中, 故意暴露系统弱点等, 诱骗入侵者对系统进行攻击。同时, 为入侵者提供其认为是真实的信息, 从而保护实际系统免受攻击, 并收集攻击信息, 做出相应的认识。

3.3 访问控制技术

访问控制技术包括:入网访问控制, 通过识别与校验用户名和用户口令, 检查用户账号能否进入网络;网络权限控制, 给用户或用户组设定访问权限, 确认用户只能对某些文件或目录执行特定的操作, 以防止用户越权访问;属性安全控制, 网络系统管理员给文件、目录等规定的访问属性。例如, 可读、可写、可执行等, 以确保重要的目录或文件不被用户误删除、执行修改等操作;服务器安全控制, 控制网络的服务器一定要设置密码, 并经常查看日志文件, 确保没有非法登陆。

3.4 入侵检测技术

应急响应由预定的事件进行触发, 而事件是靠检测来发现的, 检测系统则是由系统自动完成的检测技术, 它是能对计算机系统和网络资源的恶意使用行为进行识别和相应处理的系统, 既能监视网络中的事件动态, 还能对非法入侵行为进行报警, 甚至还能自动地采取相应的处理措施, 如关闭服务, 阻止入侵等。

3.5 紧急恢复技术

紧急恢复:在服务器被攻击或者重要数据被破坏后, 可以通过紧急恢复技术进行数据或系统恢复。典型的恢复技术包括系统漏洞修复和数据灾难恢复等。

3.6 网络追踪技术

网络追踪技术包括主动追踪和被动追踪。主动追踪与信息隐形技术有关, 在返回的HTTP报文中加入不易察觉并有特殊标记的内容, 可以在网络中通过检测这些标记来定位网络攻击的路径。被动追踪则是通过记录网络入侵状态下不同节点的网络标识, 分析整个网络在同一时刻不同网络节点处的网络纹印, 找出攻击轨迹。

3.7 数据库安全技术

安全的数据库系统应使用双机以上的热备措施, 一旦数据库崩溃, 应立即启动备用系统, 并对主数据库系统进行维修并作数据恢复。

3.8 取证技术

取证技术是通过对日志或存储介质的检查和分析, 收集网络或计算机中的电子证据。主要的方法有:日志分析技术、数据捕获分析技术、解密技术。

4 结语

网络信息安全应急响应预案 篇3

[关键词]油田网络；信息安全；应急预案；设计

[中图分类号]P624.8 [文献标识码]A [文章编号]1672-5158（2013）06-0108-02

1 前言

大庆油田目前正处于“三步走”发展构想的战略调整阶段，围绕着“拓展领域，优化业务构成”这一核心工作内容，近年来大庆油田网络信息化建设步履生风，勘探开发生产系统、油田地理信息系统、ERP系统和票据系统等多个大型信息化建设项目的正式上线及平稳运行，极大地推动了油田开发生产信息管理体系和油田财务信息化建设的不断完善，同时也对网络信息安全提出了更高的要求，特别是加强网络信息安全应急预案的建设尤为重要，本文对此提出设计构想，以为优化油田网络信息安全应急预案提供借鉴。

2 油田网络信息安全应急预案的总体设计

2.1 应急预案适用范围

油田网络信息安全应急预案是针对因不可抗力、应用系统漏洞以及人为操作而导致的突发性网络信息危机事件所做的应急处理工作。其目的在于一旦油田各网络信息系统出现突发性危机事件时，依然能够维持油田各项工作顺利进行。

2.2 应急预案的实施主体

油田网络信息安全应急预案的实施主体就是负责领导、制定、组织实施应急预案的工作人员，为此应当自上而下地，从大庆油田公司直至三、四级基层单位，都要设立网络信息安全委员会，并由专家和相关部门领导组成网络信息安全领导小组负责网络与信息安全事件应急建设管理和应急处置。

2.3 应急预案的客体

油田网络信息安全应急预案的客体就是网络信息应急处理的对象，即针对何种事件进行应急处置。对此，由于不同的应急事件给油田网络信息带来的危害不同，对油田正常工作带来的影响程度也不同，因而若要做好大庆油田网络信息安全的防范与应急工作，首先要在应急预案中将大庆油田面临的应急事件按相应等级进行分类。对此，可参照《中国石油天然气集团公司网络与信息安全突发事件专项应急预案》将应急事件分为六大类四大等级。

2.3.1 油田网络信息应急事件的种类

六大类应急事件分别为：因破坏油田各应用系统正常使用而危害网络信息安全的危害程序事件；因通过木马、病毒等网络技术手段或者外力攻击危害油田网络信息安全的网络攻击事件；因利用各种手段私自篡改、假冒、泄露、窃取而危害油田网络信息安全的信息破坏事件；因服务端、客户端设备故障而危害油田网络信息安全的设备设施故障事件；因地震、冰雹等不可抗力导致油田网络不能正常使用的灾害性信息安全事件；除上述五大类之外的信息安全事件。

2.3.2 油田网络信息应急事件的级别设定

参照《中国石油天然气集团公司网络与信息安全突发事件专项应急预案》对网络信息安全危害程度的界定，可将上述每一类应急事件都按最终产生的危害程度划分为特大事件、重大事件、较大事件和一般事件四个级别。

（1）油田网络特大信息安全事件

此类突发性安全事件是指足以导致财务、勘探开发、油气生产、地面工程以及人力资源等油田最为重要的信息系统遭受特别重大的破坏乃至瘫痪，且急需由大庆油田公司统筹安排各方面资源和指挥各界力量快速消除负面影响，确保各油田网络信息系统恢复正常。一般包括如下两种情况：一是油田网络信息交互部分甚至全部链路中断而造成的特大影响。；二是遭到不法分子恶意入侵并大肆宣传危害国家安全的内容，或者通过网络攻击来窃取国家秘密、机密和绝密内容。

（2）油田网络重大信息安全事件

此类突发性安全事件是指导致油田各信息系统遭受较为严重但不致于瘫痪的破坏，其产生的危害要小于特大安全事件，只需要大庆油田各二级单位统一协调、调度各方资源和力量来保障各油田网络信息系统恢复正常。

（3）油田网络较大信息安全事件

此类安全危机事件是指由大庆油田各二级单位认定的有可能对下属各三、四级基层单位网络信息安全造成较大危害，但该危害不会扩散至全大庆油田范围的网络信息安全事件。

（4）油田网络一般信息安全事件

由大庆油田各二级单位下属各三、四级单位认定的有可能对本单位造成较大危害，但该危害不会扩散至各二级单位的网络信息安全事件。

3 油田网络信息安全应急预案的方案设计

3.1 应急预警的方案设计

建立并完善应急预防与预警机制是将突发性应急事件扼杀在摇篮中的“先锋队”和“排头兵”，因而油田各级单位都要做好网络信息安全事件的预防工作。

首先，及时升级更新系统应用补丁、杀毒软件和网络防火墙来加强对服务器和用户端的病毒防范，采用Station Lock等先进技术来辨别潜在的病毒攻击意图，将其拒之“局网”门外；

其次，应当对财务集成平台、资金平台、ERP系统和A4系统等油田重要业务的应用系统增加用户身份验证和识别功能，建立身份确认和授权管理机制，防止非法用户窃取油田应用系统中各项保密级别的数据；

再次，各级单位还要做到每日备份主要数据、每周扫描漏洞、每月备份全部数据，以便系统发生危机后能够及时恢复数据；

最后，还要建立完善各级安全事件的预警机制，做到基层系统应用岗位向网络信息安全委员会报告，由网络与信息安全领导小组办公室启动预警程序，即“向各级单位发布启动应急预案的通知，要求各职能部门进入网络安全预警状态——组织专家、工程师和系统应用部门运维人员组成应急事件技术组，分析网络信息安全事件的实际情况，提出问题解决意见，并在应急处理全过程提供必要的技术支持——网络信息安全委员会根据技术组提供的意见作出应急处理决策，指挥、调度各级单位各方资源和力量作出防范和应急处理——网络信息安全事件潜在危害消除后，安全委员会领导小组发布解除预警的通知”。

3.2 应急处置的方案设计

当接到各级网络信息安全突发事件的通知后，网络信息安全委员会要严格按照“应急预案启动”、“应急处理程序”和“应急终止”三方面的处置程序对突发事件进行处理。

3.2.1 应急处置方案的启动

当网络与信息安全事件发生时，由网络信息安全应急领导小组组长宣布启动本预案，由网络信息安全应急领导小组办公室负责通知专家组成员，按照应急委员会主任授权，在2小时内向上级机关有关部门汇报。

3.2.2 应急处置程序的设计

首先，由网络信息安全委员会组织、协调各方应急力量赶到应急事件现场，成立应急事件技术分析组，根据预案规定界定事件类别及等级，分析事件起因及性质，提出应急技术处置建议；其次，由网络信息安全委员会领导小组综合各项处置建议制定最佳处置方案，布置工作内容，指挥各方力量控制应急事件进一步扩大，减少潜在的损失与破坏，对事件源头进行控制和彻底清除，恢复被破坏的信息、清理系统、恢复数据、程序、服务，使遭到破坏的系统重新运行；最后，对应急处理全过程进行评估，总结经验，找到不足，填写《大庆油田网络与信息安全事件应急处理结果反馈表》，做好记录以备调查；对进入司法程序的事件，配合公安保卫部门进行进一步的调查，打击违法犯罪活动。

4 结束语

近年来，大庆油田各项工作依托互联网和现代信息技术不断上线运行大型应用系统，例如油气水井生产数据管理系统、工程技术生产运行管理系统、人力资源系统和财务管理集成平台等等。随着这些系统的不断完善和成熟应用，危害油田网络信息安全的突发性潜在事件越来越多，因而油田网络信息安全必须受到重视，尤其是要不断优化设计应急预案，在总体设计上要明确应急预案适用范围、实施主体和应急对象，在方案设计上要制定完善的应急预警和应急处置机制，从而确保潜在危害事件一旦发生便能够得到及时处理，为油田各应用系统的正常运行提供切实保障！

参考文献

[1]雷领红、莫永华，《计算机网络安全问题分析与对策研究》，现代计算机，2010年第8期

网络与信息安全应急预案 篇4

一、总则

1.编制目的

为提高处置网络与信息安全突发公共事件能力，形成科学有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网络与信息安全突发公共事件造成的危害。

2.编制依据

根据《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》制定本预案。

3.事件分类

本预案所指的网络与信息安全突发公共事件，是指重要网络与信息系统突然遭受不可预知外力的破坏、毁损、故障，发生对国家、社会、公众造成或者可能造成重大危害，危及公共安全的紧急事件。

根据网络与信息安全突发公共事件的发生过程、性质和特征，网络与信息安全突发公共事件可划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害、事故灾难和人为破坏引起的网络与信息系统的损坏；信息安全突发事件是指利用信息网络进行有组织的大规模的反动宣传、煽动和渗透等破坏活动。

4.适用范围

本预案适用于新余市交通运输局发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。

本预案所指网络与信息系统的重要性是根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及公民、法人和其他组织的合法权益的危害程度来确定的。重要网络与信息系统主要是指党政事务处理信息系统和相关学校（单位）的信息系统及承载这些信息系统的网络（以下简称重要信息系统）。不包括电信基础网络设施。

本预案启动后，新余市交通运输局其它网络与信息安全应急预案与本预案相冲突的，按照本预案执行；法律、法规和规章另有规定的从其规定。

5.工作原则

(1)积极防御，综合防范。

(2)明确责任，分级负责。

(3)以人为本，快速反应。

(4)依靠科学，平战结合。

二、组织体系

发生网络与信息安全突发公共事件后，交通运输局网络与信息安全应急领导小组(以下简称应急领导小组)，由交通局行办交通运输局网络与信息安全应急领导小组办公室，负责具体工作。

1.市交通运输局网络与信息安全应急领导小组的职责为：研究制定市交通运输局网络与信息安全应急处置工作的规划、计划和政策，协调推进全局网络与信息安全应急机制和工作体系建设；网络与信息安全突发公共事件后，决定启动本预案，组织应急处置工作。

2.市交通运输局网络与信息安全应急领导小组办公室的职责为：

(1)负责和处理应急领导小组的日常工作，检查督促应急领导小组决定事项的落实。

(2)研究提出网络与信息安全应急机制建设规划，检查、指导和督促全局网络与信息安全应急机制建设。

(3)负责全局网络与信息安全应急预案的管理，指导督促重要信息系统应急预案的修订和完善，检查落实预案执行情况。

(4)指导全局应对网络与信息安全突发公共事件的科学研究、预案演习、宣传培训、督促应急保障体系建设。

(5)负责对全局各部门应急处置工作的指导、协调、监督与检查工作，并组织力量进行援救。

(6)建立网络信息及网上舆情监看机制。每日不少于三次监看，每周做好监看记录并做好上报工作。发现不良信息或异常舆情，在第一时间关闭服务器。然后再内部查找原因，寻求解决办法。

(7)及时收集网络与信息安全突发公共事件相关信息，分析重要信息并向应急领导小组提出处置建议。对可能演变的网络与信息安全突发公共事件，应及时向应急

领导小组提出启动本预案的建议。

三、预防预警

1.信息监测与报告

(1)进一步完善网络与信息安全突发公共事件监测、预测、预警制度。要落实责任制，按照“早发现、早报告、早处置”的原则，加强对各类网络与信息安全突发公共事件和可能引发突发公共事件的有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发公共事件时，按规定及时向应急领导小组报告，初次报告最迟不得超过半小时，重大和特别重大的网络与信息安全突发公共事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。

(2)建立网络与信息安全报告制度

发现下列情况时应及时向应急领导小组报告：

●利用网络从事违法犯罪活动的情况；

●网络或信息系统通信和资源使用异常，网络和信息系统瘫痪，应用服务中断或数据篡改，丢失等情况；

●网络恐怖活动的嫌疑情况和预警信息；

●其他影响网络与信息安全的信息。

2.预警处理与发布

(1)对于可能发生或已经发生的网络与信息安全突发公共事件，立即采取措施控制事态，并在 1小时内进行风险评估，判定事件等级。必要时应启动相应的预案，同时向应急协调小组办公室通报情况。

(2)应急协调小组办公室接到报警信息后应及时组织有关专家对信息进行技术分析、研判，根据问题的性质、危害程度，提出安全警报级别，并及时向局应急领导小组报告。

(3)应急领导小组接到报告后，对发生和可能发生的网络与信息安全突发公共事件时，应迅速召开应急领导小组会议，研究确定网络与信息安全突发公共事件的等级，决定启动本预案，同时确定指挥人员，并向相关部门进行通报。

(4)对需要向市公安局网监支队通报的要及时通报，并争取支援。

四、应急响应

1.先期处置

当发生网络与信息安全突发公共事件时，值班人员应做好先期应急处置工作，立即采取措施控制事态，同时向应急协调小组办公室报告。

应急协调小组办公室在接到网络与信息安全突发公共事件发生或可能发生的信息后，应加强与有关方面的联系，掌握最新发展动态。对一般的突发事件，自行负责应急处置工作，有关情况报应急领导小组。应急领导小组在接到发生重大和有可能演变为重大的网络与信息安全突发公共事件时，要为应急协调小组办公室处置工作提出建议方案，并做好启动本预案的各项准备工作。还要根据网络与信息安全突发公共事件发展态势，视情况决定赶赴现场指导，组织派遣应急支援力量。

2.应急指挥

本预案启动后，要抓紧收集相关信息，掌握现场处置工作状态，分析事件发展态势，研究提出处置方案，统一指挥网络与信息应急处置工作。需要成立现场指挥部的，应立即在现场开设指挥部，现场指挥部要根据事件性质迅速组建各类应急工作组，开展应急处置工作。

3.应急支援

本预案启动后，立即成立由应急领导小组领导带队的应急响应先遣小组，督促、指导和协调处置工作。应急协调小组办公室根据事态的发展和处置工作需要，及时增派专家小组，调动必需的物资、设备，支援应急工作。参加现场处置工作的各有关部门和单位在现场指挥部的统一指挥下，协助开展处置行动。

4.信息处理

应对事件进行动态监测、评估，及时报应急协调小组办公室，不得隐瞒、缓报、谎报。应急协调小组办公室要明确信息采集、编辑、分析、审核、签发的责任人，做好信息分析、报告和发布工作。要及时编发事件动态信息供领导参阅。要组织专家和有关人员研判各类信息，研究提出对策措施，完善应急处置计划方案。

5.信息发布

当网络与信息安全突发公共事件发生时，应急协调小组办公室应及时做好信息发布工作，通过相关单位发布网络与信息安全突发公共事件预警及应急处置的相关信息，引导舆论和公众行为，增强公众的信心。应急协调小组办公室要密切关注国内外关于网络与信息安全突发公共事件的新闻报道，及时采取措施，对媒体关于事件以及处置工作的不正确信息，进行澄清、纠正影响，接受群众咨询，释疑解惑，稳定人心。

6.扩大应急

经应急处置后，事态难以控制或有扩大发展趋势时，应实施扩大应急行动。要迅速召开应急领导小组会议，根据事态情况，研究采取有利于控制事态的非常措施，并向市公安局网监支队请求支援。

7.应急结束

网络与信息安全突发公共事件经应急处置后，得到有效控制，事态下降到一定程度或基本得到解决，将各监测统计数据上报应急协调小组办公室，由应急协调小组办公室向应急领导小组提出应急结束的建议，经批准后实施。

五、后期处置

1.善后处理

在应急处置工作结束后，要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作。统计各种数据，查明原因，对事件造成的损失和影响以及恢复重建能力进行分析评估，认真制定恢复重建计划，并迅速组织实施。有关部门要提供必要的人员和技术、物资和装备以及资金等支持，并将善后处置的有关情况报应急协调小组办公室。

2.调查评估

在应急处置工作结束后，局主管部门应立即组织有关人员和专家组成事件调查组，对事件发生及其处置过程进行全面的调查，查清事件发生的原因及财产损失情况，总结经验教训，写出调查评估报告，报应急领导小组，并根据问责制的有关规定，对有关责任人员作出处理。特别重大网络与信息安全突发公共事件的调查评估报告，经应急协调小组办公室审核后，报应急领导小组，必要时采取合理的形式向社会公众通报。

六、保障措施

1.应急装备保障

重要网络与信息系统在建设系统时应事先预留一定的应急设备，建立信息网络硬件、软件、应急救援设备等应急物资库。在网络与信息安全突发公共事件发生时，由应急协调小组办公室负责统一调用。

2.数据保障

重要信息系统均应建立异地容灾备份系统和相关工作机制，保证重要数据在受到破坏后，可紧急恢复。各容灾备份系统应具有一定兼容性，在特殊情况下各系统间可互为备份。

3.应急队伍保障

按照一专多能的要求建立网络信息安全应急保障队伍。由应急协调小组办公室选择若干经国家有关部门资质认可的、管理规范、服务能力较强的部门作为局网络与信息安全的应急支援单位，提供技术支持与服务。

4.经费保障

网络与信息安全突发公共事件应急处置专项经费，应列入预算，切实予以保障。

七、监督管理

1.宣传交通

要充分利用各种传播媒介及有效的形式，加强网络与信息安全突发公共事件应急和处置的有关法律法规和政策的宣传，开展宣讲活动，普及应急救援的基本知识，提高公众防范意识和应急处置能力。要加强对网络与信息安全等方面的知识培训，提高防范意识及技能，指定专人负责安全技术工作。并将网络与信息安全突发公共事件的应急管理、工作流程等列为培训内容，增强应急处置工作的组织能力。

2.演练

建立应急预案定期演练制度。通过演练，发现应急工作体系和工作机制存在的问题，不断完善应急预案，提高应急处置能力。

3.责任与奖惩

各相关部门和单位要认真贯彻落实本预案的各项要求，安全领导小组办公室将不定期组织检查，对未有效落实预案各项规定的单位和部门进行通报批评。对在网络与信息安全突发公共事件应急处置中作出突出贡献的集体和个人，给予表彰奖励；对在网络与信息安全突发公共事件预防和应急处置中有玩忽职守、失职等行为者，依法追究责任。

八、附则

信息中心网络安全应急预案 篇5

一、机房漏水防治应急预案

⑴ 发生机房漏水后，第一目击者应立即通知网络安全领导小组领导。

⑵ 若空调系统出现渗漏水，应立即停止故障空调,将机房内的积水清除干净，并及时联系设备供应方进行处理，必要情况下可以临时用电扇对服务器进行降温。

⑶ 若为墙体或窗户渗漏水，应立即通知服务中心，及时清除积水，进行墙体或窗户维修，避免不必要的损失。

二、设备发生被盗或人为损害事件应急预案

⑴ 发生设备被盗或有人为损害设备情况时，使用者或管理者应立即报告网络安全领导小组，同时保护好现场。

⑵网络安全领导小组接报后，通知安全保卫部门及公安部门，一同核实审定现场情况，清点被盗物资或盘查人为损害情况，做好必要的影像记录和文字记录。

⑶ 事件当事人应当积极配合公安部门进行调查，并将有关情况向网络安全领导小组汇报。

⑷ 网络安全领导小组召开会议研讨，事态严重时，应向局领导报告，请示进一步处理的决策。

三、机房长时间停电应急预案

⑴ 接到长时间停电通知后，应及时通过OA发布或电话通知停电通告，要求用户在停电前停止业务、保存数据。

⑵ 打电话询问供电部门询问停电原因及具体停电时间。

四、通信网络故障应急预案

⑴ 发生通信网络故障后，计算机操作员应及时将信息告知网络安全领导小组。

⑵ 网络安全领导小组及时查清通信网络故障位置，或告知相关通信网络运营商，请求协助查清原因。

⑶相关责任人负责写出故障分析报告，上报网络安全领导小组备查。

五、不良信息和网络病毒事件应急预案

⑴ 当发现不良信息或网络病毒时，网络管理员应立即断开网线，终止不良信息或网络病毒传播，并告知信息网络事件应急小组。

⑵ 接到报告后，网络安全领导小组应立即通告局域网内所有计算机用户防病毒方法，隔离网络，指导各计算机操作人员进行杀毒处理，直至网络处于安全状态。

⑶ 对不良信息要进一步追查来源，对未经相关领导同意，擅自发布信息，造成不良影响且触犯法律者，移交执法部门追究法律责任。

六、计算机软件系统故障应急预案

⑴ 发生计算机软件系统故障后，计算机操作人员立即保存数据，并停止该计算机使用应用。

⑵ 由部门负责人将情况报告网络安全领导小组，不得擅自进行处理。

⑶ 网络安全领导小组迅速派出技术人员进行处理，必要情况下，应对硬盘进行备份。

⑷ 在保持原始数据安全的情况下，对计算机系统进行修复；修复系统成功，则检查数据丢失情况，利用备份数据恢复；若修复失败，立即联系相关厂商请求支援。

七、黑客攻击事件应急预案

⑴ 当发现网络被非法入侵、网页内容被篡改，应用服务器上的数据被非法拷贝、修改、删除，或通过入侵检测系统发现有黑客正在进行攻击时，使用者或管理者应断开网络，并立即报告网络安全领导小组。

⑵ 接到报告后，网络安全领导小组应立即关闭网络，封锁或删除被攻破的登陆帐号，阻断可疑用户进入网络的通道。

⑶ 及时清理系统、恢复数据、程序，尽力将系统和网络恢复正常。

八、机房设备硬件故障应急预案

⑴ 发生机房设备硬件故障后，网络安全领导小组应立即确定故障设备及故障原因，并进行先期处置。

⑵ 若故障设备在短时间内无法修复，应启动备份设备，保持系统正常运行；将故障设备脱离网络，进行故障排除工作。

网络信息安全应急响应预案 篇6

2011年学校网络和信息安全应急预案

一、制定预案的目的为确保发生网络安全问题时各项应急工作高效、有序地进行，最大限度地减少损失，根据互联网网络安全相关条例及上级相关 部门文件精神，结合我校校园网工作实际，特制定本预案。

二、本预案的适用范围

适用于在本校区电脑发生不良信息、网上恶意攻击等事故.三、应急指挥领导小组

组长：李永宪

副组长：杨兵吴位仲黄秀强

成员：滕建强何兴俊向泽华邓彪康安平刘兵

黄量郑鑫王勇朱学奎李建波、李云华、全体网络管理员（计算机课教师）各班主任

四、积极预防网络和信息事故发生

（1）加强领导，健全组织，强化工作职责，完善各项应急预案的制定和各项措施的落实。

（2）充分利用各种渠道进行网络安全知识的宣传教育，组织、指导全校网络安全常识的普及教育，广泛开展网络安全和有关技能训练，不断提高广大师生的防范意识和基本技能。

（3）认真搞好各项物资保障，严格按照预案要求积极配备网络安全设施设备，落实网络线路、交换设备、网络安全设备等物资，强化管理，使之保持良好工作状态。

（4）采取一切必要手段，组织各方面力量全面进行网络安全事故处理工作，把不良影响与损失降到最低点。

（5）调动一切积极因素，全面保证和促进学校网络安全稳定地运行。

五、各级处理预案

1、网站不良信息事故处理预案

（1）一旦发现学校网站上出现不良信息（或者被黑客攻击修改了网页），立刻关闭网站。

（2）备份不良信息出现的目录、备份不良信息出现时间前后一个星期内的HTTP连接日志、备份防火墙中不良信息出现时间前后一个星期内的网络连接日志。

（3）打印不良信息页面留存。

（4）完全隔离出现不良信息的目录，使其不能再被访问。

（5）删除不良信息，并清查整个网站所有内容，确保没有任何不良信息，重新开通网站服务，并测试网站运行。

（6）修改该目录名，对该目录进行安全性检测，升级安全级别，升级程序，去除不安全隐患，关闭不安全栏目，重新开放该目录的网络连接，并进行测试，正常后，重新修改该目录的上级链接。

（7）全面查对HTTP日志，防火墙网络连接日志，确定该不良信息的源IP地址，如果来自校内，则立刻全面升级此次事件为最高紧急事件，立刻向领导小组组长汇报，视情节严重程度领导小组可决定是否向公安机关报案。

（8）从事故一发生到处理事件的整个过程，必须保持向领导小组组长汇报、解释

此次事故的发生情况、发生原因、处理过程。

2、网络恶意攻击事故处理预案

（1）发现出现网络恶意攻击，立刻确定该攻击来自校内还是校外；受攻击的设备有哪些；影响范围有多大。并迅速推断出此次攻击的最坏结果，判断是否需要紧急切断校园网的服务器及公网的网络连接，以保护重要数据及信息；

（2）如果攻击来自校外，立刻从防火墙中查出对方IP地址并过滤，同时对防火墙设置对此类攻击的过滤，并视情况严重程度决定是否报警。

为确保发生网络安全问题时各项应急工作高效、有序地进行，最大限度地减少损失，根据互联网网络安全相关条例及上级相关部门文件精神，结合我校校园网工作实际，特制定本预案。

六、日常管理

1、领导小组依法发布有关消息和警报，全面组织各项网络安全防御、处理工作。各有关组员随时准备执行应急任务。

2、网络管理员对校园内外所属网络硬件软件设备及接入网络的计算机设备定期进行全面检查，封堵、更新有安全隐患的设备及网络环境。

3、加强对校园网内计算机设备的管理，加强对学校网络的使用者（学生和教师）的网络安全教育。加强对重要网络设备的软件防护以及硬件防护，确保正常的运行软件硬件环境。

4、加强各类值班值勤，保持通讯畅通，及时掌握学校情况，全力维护正常教学、工作和生活秩序。

5、按预案落实各项物资准备。

七、网络安全事故发生后有关行动

1、领导小组得悉消防紧急情况后立即赶赴本级指挥所，各种网络安全事故处理小

组迅速集结待命。

2、应急小组成员听从组织指挥，迅速组织本级抢险防护。

（1）确保WEB网站信息安全为首要任务,学校公网连接。迅速发出紧急警报，所有相关成员集中进行事故分析，确定处理方案。

（2）确保校内其它接入设备的信息安全：经过分析，可以迅速关闭、切断其他接入设备的所有网络连接，防止滋生其他接入设备的安全事故。

（3）分析网络，确定事故源：使用各种网络管理工具，迅速确定事故源，按相关程序进行处理。

（4）事故源处理完成后，逐步恢复网络运行，监控事故源是否仍然存在。

（5）针对此次事故，进一步确定相关安全措施、总结经验，加强防范。

（6）从事故一发生到处理的整个过程，必须及时向领导小组组长以及教务处以及校长汇报，听从安排，注意做好保密工作。

3、积极做好广大师生的思想宣传教育工作，迅速恢复正常秩序，全力维护校园网安全稳定。

4、迅速了解和掌握事故情况，及时汇总上报。

5、事后迅速查清事件发生原因，查明责任人，并报领导小组根据责任情况进行处理。

八、其他

1、在应急行动中，学校各部门要密切配合，服从指挥，确保政令畅通和各项工作的落实。

浅述网络安全应急响应系统 篇7

随着网络技术飞速发展, 网络重要性的不断提高, 隐藏其中的各种危险也越来越明显, 然而, 现实中的入侵检测工具离完善还有很大距离。因此, 完善的网络安全体系要求在保护体系之外还必须有应急响应体系, 使得网络安全事件发生时, 能够得到迅速的控制, 以期尽可能地减小甚至避免损失。

因为网络信息系统的多样性和异构性, 单一层面上的网络安全防护手段和方法已经无法解决现在错综复杂的网络安全问题。现在的网络安全解决方案需要的是一个综合多层面安全技术、多项产品的网络安全防护和保障体系。

实践证明, 只有实施和部署可管理的网络安全组件, 才有可能实现真正的网络安全;同时, 不是以纯人工方式、而是尽可能结合程序自动化方式对管理网络中重要网络资源等安全事件源的安全日志信息进行分析, 使得在发生网络服务故障、检测到违规行为的时候, IT工作人员能够进行及时响应、迅速恢复, 将因此而引起的风险减至最低。只有这样, 才能使保证网络中信息自动化服务正常有效运行的网络安全管理平台安全可靠。

综上所述, 要在现代网络环境中有效地提供网络信息自动化服务, 首先应该解决以下几方面的问题:

(1) 如何实现对网络安全策略进行集中、统一的管理, 尽可能地消除或者降低网络安全策略在实施中所涉及到的一切人的因素的负面影响。

(2) 如何实现对所有网络安全组件的集中配置和统一管理, 从而可以将制定的网络安全策略规则, 实施到每一个具体的网络安全组件中去。

(3) 如何实现对所有网络安全组件的安全事件的集中审计、分析和报告, 以达到实时检测和迅速恢复网络故障、保障网络信息自动化服务正常运行。

(4) 如何实现对网络安全故障应急响应工作进行有效性的管理。

(5) 如何实现对安全组件的互动关系进行管理和配置, 使得在检测网络违规行为后, 可以迅速在管理网络范围内进行一致化响应, 以防止进一步的破坏或者对再次攻击进行封锁。

作为网络安全问题的全面解决方案, 网络安全应急响应是网络安全管理系统的重要组成部分, 是保证对网络违规行为进行一致化响应的重要工具, 具有重要的现实和经济意义。

2 网络安全与应急响应

2.1 网络安全

一般意义上, 网络安全是指信息安全和控制安全两个部分。信息安全是指信息的完整性、可用性、保密性和可靠性;控制安全是指身份认证、不可否认性、授权和访问控制等。

2.1.1 网络安全目标

通常网络安全要达到的目标有以下几个方面:

(1) 确认或排除突发事件的发生与否。

(2) 促进准确信息的积累。

(3) 对正确获取和证据管理进行控制。

(4) 保护计算机网络使用者的隐私权。

(5) 使计算机网络遭受的损失最小化。

(6) 为司法提供可用证据。

(7) 提供准确的报告和有价值的建议。

传统的网络信息安全有7个属性, 即保密性、完整性、可用性、真实性、不可否认性、可追究性和可控性/可治理性。信息安全的目标是要确保全局的掌控, 确保整个体系的完整性, 而不仅限于局部系统的完整性;对于安全问题、事件的检测要能够汇总和综合到中央监控体系, 确保可追究性是整个体系的可追究性。

2.1.2 信息安全模型

根据我国国情, 我国专家提出了“预警、保护、检测、反应、恢复、反击”的动态安全管理模型, 使信息安全保障技术体系立足于更坚实的基础之上。

2.2 应急响应

随着网络技术及相关技术的发展, 以前采取的传统的、静态的安全保密措施已不足以抵御计算机黑客入侵或有组织的信息手段攻击, 必须建立一种全新的安全防护及管理机制, 以应对日益严峻的网络安全状况。

2.2.1 应急响应定义

所谓应急响应即“Incident Response”或“Emergency Response”, 通常是指一个组织为了应付各种突发事件的发生所做的准备, 以及在事件发生后所采取的措施。简单地说, 应急响应就是指对突发安全事件进行响应、处理、恢复、跟踪的方法及过程。

2.2.2 应急响应的对象──安全事件

应急响应的开始是因为有“事件”发生。“事件”是指影响计算机系统和网络安全的不当行为。目前, 发生在互联网上的安全事件种类越来越多, 呈现出如下特点:

(1) 入侵者难以追踪。

(2) 拒绝服务攻击发生频繁。

(3) 攻击者需要的技术水平逐渐降低但危害增大。

(4) 联合攻击。

2.2.3 应急响应的内容──事件响应

“事件响应”是指安全事件发生后采取的措施和行动。网络安全事件响应作为一种安全服务, 其完整的活动内容应包括:

(1) 未雨绸缪:即在事件发生前, 事先做好准备。

(2) 亡羊补牢:在事件发生后, 所采取的措施, 其目的在于把事件造成的损失降到最小。

2.2.4 应急响应的必要性

应急响应的必要性主要表现在如下几方面:

(1) 安全事件影响的严重性。

(2) 安全漏洞的普遍性。

(3) 攻击和恶意代码的流行。

(4) 入侵检测能力的局限性。

(5) 网络和系统管理的复杂性。

(6) 法律方面。

2.2.5 应急响应与安全生命周期

我们把计算机信息系统的安全系统看作一个动态的过程, 它包括制定风险评估、实施事前的预防措施、实施事中的检测措施以及实施事后的应急响应等四个阶段, 这四个阶段形成了一个生命周期, 如图1所示。

上述生命周期全面、实际地概括了网络安全体系。可以看出, 应急响应必须放在这个网络安全体系中进行研究, 并作为其中重要的一环。

3 应急响应方法学与网络安全应急响应系统模型

为了更好、更迅速有效地对网络安全事件进行应急响应, 本节将介绍在应急响应领域得到广泛应用的应急响应方法学。由于该方法学更多是面向应急响应组的, 本节将首先介绍应急响应组的基本概念, 在此基础上再提出网络安全应急响应系统模型和系统工作流程。

3.1 应急响应方法学

应急响应方法学是研究事件响应过程的科学, 它通过定义响应的各个阶段, 明确响应的任务、顺序和过程, 有助于在一个组织混乱的状态下迅速恢复控制;能够提高事件响应的效率;形成提高事件响应处理过程的机制;有助于对意外情况的处理。

应急响应方法学 (PDCERF) 六阶段包括准备 (Preparatory Works) 、检测 (Detection Mechanisms) 、抑制 (Containment Strategies) 、根除 (Eradication Procedures) 、恢复 (Recovery Steps) 、跟踪 (Follow-Up Reviews) 等, 应急响应方法学PDCERF模型如图2所示。

3.2 应急响应组

应急响应中最重要的主体是应急响应组。应急响应组 (CSIRT) 作为应急响应过程中决定性的力量, 是应急响应的主要决策和执行者, 也是应急响应各阶段的指导者。但是, 应急响应组只是应急响应的组织形式中最基本, 也是最普遍的一种。

3.2.1 CSIRT简介

应急响应组 (CSIRT) 是专门处理安全事件的组织, CSIRT中的每个成员都应有明确定义的职责, 以确保能对每一个方面做出响应。其职责包括:

(1) 监视系统中的安全违规操作。

(2) 作为信息沟通中心, 既负责接收安全事件报告, 又负责将关于安全事件的重要信息通知有关各方。

(3) 记录整理安全事件。

(4) 提高公司员工的安全意识, 以防安全事件从该组织内部发生。

(5) 通过诸如漏洞评估和渗透测试等过程, 支持系统和网络审核。

(6) 掌握攻击者所攻击的漏洞和攻击策略的最新动态。

(7) 保证使用最新的软件修补程序。

(8) 分析并开发新技术, 以使安全漏洞和风险减至最少。

(9) 提供安全咨询服务。

(10) 不断强化和更新当前的安全系统和安全步骤。

3.2.2 CSIRT小组成员

(1) CSIRT小组领导人。CSIRT小组领导人通常负责CSIRT的活动, 并对该小组活动进行协调和检查。

(2) CSIRT事件负责人。CSIRT事件负责人在发生事件时, 负责协调整个响应行动。

(3) CSIRT助理成员。除了核心CSIRT小组外, 还应让一些特定的人员参与特定事件的处理和响应行动。他们专门负责受到安全事件影响, 但不应由核心CSIRT小组直接处理的一些情况。

3.3 网络安全应急响应系统模型

在应急响应方法学和应急响应组的理论基础上, 针对网络对应急响应的相关需求, 我们提出了网络安全应急响应系统的基本模型, 并以此模型作为系统的实现基础, 如图3所示。

从图3模型可以看出, 网络安全应急响应系统将作为一个管理安全事件应急响应的协调中心, 它起到连接网络与响应工程师之间的桥梁作用, 主要完成以下功能:

(1) 制定安全策略, 建立应急预案, 为响应做准备。

(2) 检测并分析在网络中发生的安全事件, 并根据相关安全策略作初步响应。

(3) 基于WEB方式的工单管理系统, 通过各种方式通知响应工程师处理安全事件。

(4) 根据权威组织的规范, 定义安全事件应急响应过程。

(5) 进行安全事故归档管理, 并建立相关知识库。

网络安全应急响应系统的具体工作流程如图4所示。

4 网络安全应急响应系统的目标及功能

4.1 系统的总体目标

构建基于网络的半自动化应急响应平台, 将应急响应时间缩短到最小, 并确保严格依从应急响应策略。应急响应系统将集中管理事件的响应工作, 所有的应急响应相关人员均可以从该平台获得必要的信息和权限去执行应急响应任务。

4.2 半自动化应急响应

半自动化应急响应是指对应急响应网络化支持的主动实现。其应用表现在:

(1) 自动通知应急响应人员:自动通知功能保证以尽可能快速和可达的方式将事故发生的情况通知给相应的应急响应人员。

(2) 事故通知的自动生成:事故通知的自动生成功能, 可将事故信息处理成适合应急响应工作的通知信息, 代替人工的整理。

(3) 主动的知识库帮助:主动的知识库帮助可根据事故的信息主动对应急响应人员进行帮助, 如给予解决方案、工具等的支持。

(4) 应急响应跟踪:应急响应跟踪是一个智能化逻辑程序的实现, 用于代替人工对事故应急响应过程的监督和审核。

半自动化的概念还表现在使用本系统进行应急响应时, 自动过程的可配置性。在本系统中的自动过程, 既可配置为人工参与, 也可以配置成无须人工参与。同时, 对应一些需要人工参与的过程, 提供了比较灵活的处理方式, 如事故通知确认, 事故通知确认要求接受事故通知的应急响应人员使用标准的方式确认收到或者可以处理事故;当接受通知的人员没有确认 (无法处理) 或者设置了将通知转移到其他人员的时候, 系统会根据一种策略找到当前最合适的人员或者指定的人员去处理安全事故。

4.3 网络安全应急响应系统的功能

网络安全应急响应系统是网络安全应急响应的综合管理系统, 它具有如下六个部分功能:

第一部分是应急响应梯队管理。它主要是为应急响应建立人员梯队的准备。

第二部分是事故管理部分。它将负责应急响应对象的接受、应急响应任务的分派、跟踪、处理与归档等整个事故生命周期的响应流程管理。

第三部分是应急预案管理。该模块负责为应急响应提供可行的可操作的解决方案, 包括响应步骤和部门间的协作等。

第四部分是知识库管理。它将记录和管理历史事故的解决方案、与CVE兼容的业界解决方案以及其它相关应急响应工具包等。

第五部分是信息资产管理。记录信息资产的基本信息和维护信息。

第六部分是系统辅助功能。扩展身份认证、日志管理、报表管理, 知识库在线升级等。

以上几个部分都是为事故管理服务的, 在应急响应过程中, 以手动或者自动服务的方式对应急响应队员和应急预案进行关联等。

4.4 系统处理流程

根据应急响应方法以及相关知识库管理的相关内容, 图5给出了系统的基本处理流程图。

5 结论

本文对基于网络的网络安全应急响应系统进行了简要描述, 力图为设计和实现一种适合单位网络安全管理的应急响应模式提供参考依据, 以提高在网络安全故障发生后的应急预警和响应能力。

本文所阐述的网络安全应急响应系统, 是集安全事件应急响应、资产定位和知识管理于一体的综合应急响应系统, 对于应急响应系统的创新, 具有一定的现实意义。

摘要：本文对基于网络的网络安全应急响应系统的必要性、总体目标和主要功能进行了分析和阐述, 同时还介绍了网络安全应急响应系统的模型和基本处理流程。

网络信息安全应急响应预案 篇8

但笔者在实际办理一些小型化肥企业特种设备延期检验手续时，由于所在地的小型化肥企业，均由国有企业改制为私营企业。私营企业的负责人为了追求利益最大化，企业机构精减，相应人员缩减，安全重视不够，所以他们制订的应急救援预案，内容比较简单，可操作性不强，有些是为了应付办理延期检验手续。为了规范小型化肥企业的特种设备发生安全事故时，不致于手足无措，导致事故扩大或发生次生灾害，笔者归纳整理出一份针对小型化肥企业的特种设备安全事故应急救援预案，供大家商榷。

小型化肥企业特种设备安全事故应急救援预案

1、编制依据

（1）《中华人民共和国安全生产法》。

（2）《特种设备安全监察条例》。

（3）《锅炉压力容器压力管道特种设备事故处理规定》。

2、适用范围

（1）本单位内发生死亡1-2人，或者受伤19人（含19人）以下及其更多伤亡人员的特种设备事故。

（2）本单位内发生性质特别恶劣（如特种设备爆炸事故），经济损失在50万元以上的特种设备事故。

3、特种设备安全事故应急指挥组织机构

（1）特种设备安全事故应急抢险工作实行单位统一组织领导和各部门牵头负责相结合的原则。

（2）单位成立安全事故应急救援指挥部。

①总指挥：一般为单位负责人（即法人）。

②副总指挥：一般为单位主要管理人员（即总经理）。

③成员：单位各部门负责人。

④指挥部设综合协调组、抢险救援组、后勤保障组、善后处理组等专业处理组，具体承担事故救援和处理工作。

4、应急救援机构职责

（1）单位应急救援指挥部：

在发生特种设备安全事故时，负责事故现场应急处置和抢险救援以及善后处理的组织指挥工作。

（2）专业处理组的职责：

综合协调组：由办公室负责，生产技术部配合，承办特种设备安全事故的报告，通知指挥部成员及各专业处理组立即赶赴事故现场，协调各专业处理组的抢险救援工作，及时报告事故抢险救援进展情况，落实关于事故抢险救援的指示；应指定专人负责。

抢险救援组：单位主要分管生产的领导负责，具体由生产技术部组织抢险队伍，进行抢险救援；应指定专人负责。

后勤保障组：由供销部和财务部负责，相关部门配合，提供各种抢险救灾物资和通讯保障工作；组织人员对事故现场及周边地区进行警戒，控制组织人员有序疏散；联系当地医院急救中心，对伤亡人员实施救治和处理；应指定专人负责。

善后处理组：由办公室负责，相关部门配合，配合安全监管部门进行现场勘察取证，以及上级调查组对事故进行调查处理工作；处理伤亡人员的善后工作；应指定专人负责。

参与救援行动的全体人员应在应急救援指挥部的统一指挥下，分工合作，密切配合，安全、高效，有序完成救援任务。

5、应急救援预案

（一）发生特种设备安全事故时，按下列程序报告

（1）发生事故后，要立即向应急救援指挥部综合协调组报告，内容包括事故发生的时间、地点、发生事故的特种设备名称、人员伤亡、经济损失以及事故概况。

（2）综合协调组应立即向总指挥报告，同时尽快通知指挥部其他成员以及各专业处理组，以便迅速、高效、有序的开展救援处理工作。特种设备事故应急救援预案指挥部指挥及相关人员联系电话,见附件。

（3）应急救援指挥部必须立即报告主管部门和安全监管部门，还应报告当地人民政府、公安、消防、医院，以求得紧急救援。

（二）应急处理措施

收到特种设备安全事故报告后，由指挥部根据发生事故的类别和应急救援工作需要，确定是否启动本预案，确需启动本预案的，立即按本预案组织指挥应急救援工作。

（1）现场救援：

单位应急救援指挥部和综合协调组应立即派人赶赴事故现场，并迅速指示，调整必要的人员，车辆及机械设备。参加应急抢险救援的工作人员，应当按照应急预案的规定，装备齐全各种安全防护用品和安全设施、设备。在事故现场抢救伤员，维护秩序，保护事故现场等。

①对事故危害情况的初始评估。先期处置队伍赶到事故现场后，应当尽快对事故发生的基本情况做出初始评估，包括事故范围及事故危害扩展的趋势以及人员伤亡和财产损失情况等。

②封锁事故现场。加强现场警戒保卫，防止故意破坏现场。严禁一切无关的人员、车辆和物品进入事故危险区域，开辟应急救援人员、车辆及物资进出的安全通道，维持事故现场的社会治安和交通秩序。

③探测危险物质及控制危险源。根据发生事故的特种设备的结构、工艺特点以及所发生事故的类别，确认危险物质的类型和特性，制定抢险救援的技术方案，并在专业部门的专业人员的指导下进行必要的技术处理。及时有效地控制事故的扩大，消除事故危害和影响，并防止可能发生的次生灾害。

④建立现场工作区域。应当根据事故的危害、天气条件（特别是风向）等因素，设立现场抢险救援的安全工作区域。

对特种设备事故引发的危险介质泄漏应当设立三类工作区域，即危险区域、缓冲区域和安全区域。

⑤伤员抢救。在现场首先要及时抢救伤员或者安全转移，最大可能减少伤亡程度，减少事故所造成的财产损失，同时，后勤保障组应立即与当地医院急救中心或邻近医院联系，请求出动急救车辆并做好急救准备，确保伤员得到及时救治。

⑥控制事故的蔓延和扩大。协助、配合上级救援部门处理疏散人群，维持现场秩序等问题。根据事故的类别、规模和危害程度，在必要时，应当果断迅速地划定危险波及范围和区域，组织相关人员和物资安全撤离危险波及的范围和区域。

⑦保护事故现场。确认并保护事故现场，在救助行动中采取紧急措施和移动现场物件应做出标志，绘制现场简图并写出书面记录，见证人员应签字，必要时应对事故现场和伤亡情况录像或者拍照。

消防、救灾时做好路线、方位、位置的选择，尽量保持好现场原始状况。不得随意改变事故现场的地形、地貌，不得移动或取走现场任何物品，不得改变现场设备、管子、管件、阀门、控制或保护装置、仪器仪表的位置、状态以及显示数字或指针的位置等。

破裂设备的断口，如不影响事故原因分析，可以涂机油以保护断口不锈蚀和腐蚀。

（2）事故调查

善后处理组要主动与事故发生地安全监管部门联系，报告事故情况和组织的救援工作，协助核实人员的伤亡情况，按照安全监管部门的有关规定和要求，配合、协助事故的现场勘察和调查取证。

（3）善后处理

组织有关部门和人员妥善做好伤亡人员的处置和身份确认，对伤亡人员的家属做好相应的招待和安抚解释工作。

针对事故对人体、动植物、土壤、水源、空气已经造成和可能造成的危害，迅速采取封闭、隔离、清洗、化学中和等技术措施进行事故后处理，防止危害的继续扩大和环境的污染。

（4）责任处理

按照实事求是、尊重科学的原则，在安全监管部门查明事故原因和责任，对事故进行处理的基础上，提出对事故责任者的处理意见，编写事故报告，总结事故教训，制定防范措施，并报主管部门和安全监管部门。

6、预案管理与更新

将本单位特种设备安全事故应急救援预案报当地安全监管部门备案。

本预案应当每两年或者在发生特种设备事故后，对应急救援预案进行评审和更新。

7、奖励与责任

应急救援工作结束后，认真进行总结、分析，吸取事故（事件）的教训，及时进行整改，并按照下列规定对有关人员进行奖惩：

（1）对在应急抢险救援、指挥、信息报送等方面有突出贡献的个人，按有关规定，给予表彰和奖励。

（2）对瞒报、迟报、漏报、谎报、误报重大事故和突发事故中玩忽职守、不听从指挥、不履行职责或者临阵逃脱、擅离职守的人员，以及扰乱、妨碍抢险救援工作的人员，按照有关规定，给予责任追究，构成犯罪的依法追究刑事责任。

8、预案解释部门

本预案由本单位负责解释。

9、 预案施行时间

本预案自发布之日起施行。

附件：特种设备应急救援预案指挥部指挥及相关人员联系电话。