昆山市张浦震阳实验学校

南港中心小学网络安全事件应急预案

[发布时间2018年3月18日]

1.1. 总则
1、目的
为了规范本单位应急响应工作内容和工作流程，提高自身的应急响应能力，完善应急响应机制，确保信息系统的安全和业务的连续性，制定本应急预案。
2、应急响应需求
本单位应急响应工作的重点：
1是保证不出现泄密事件，出现泄密事件将影响控制在最小程度，并立即响应处理。
2是保证信息系统的安全、稳定运行和业务的连续性。对于关键性服务器应重点保护，工作日期间，核心业务中断时间不能超过1小时。
3、适用范围
本预案适用于本单位信息安全事件的应急响应工作。
启动条件
当发生重大信息安全事件时，启动本预案。
4、基本原则
（1）坚持预防为主
提高本单位的信息安全防护意识和水平，加强信息系统安全体系建设，按照涉密系统信息系统建设运行的特点和规律积极做好日常安全工作，开展安全教育和培训工作，建立完善的安全管理、监督和审查制度，提高各单位应对突发信息安全事件的能力。
（2）提高快速反应能力
建立信息安全预警和事件快速反应机制，建立高效的事件汇报渠道，强化人力、物力、财力储备，增强应急处理能力。保证对信息安全事件做到早发现、早报告、早处理、早恢复等环节的紧密衔接，一旦出现影响信息系统的安全事件，快速反应，及时准确处置。
（3）加强安全监管
在网络安全监控系统的基础上，建立完善的信息系统安全监控和管理机制，对数据库服务器、业务系统、应用系统和网络状况进行持续和重点监控，及时发现信息安全隐患和事件迹象，进行安全预警并采取针对性的应对措施。
（4）责任到人、制度保障
明确信息安全应急响应工作的角色和职责，保证各项工作责任到人，建立应急响应各项工作的处理流程，实现应急响应工作的规范化、制度化和流程化。
1.2. 应急响应的机构及分工
1.2.1. 信息安全应急响应及处置领导小组
组长：许国忠
成员：各相关处室负责人，网络管理员
朱惠民支文明周正龙屈建冬徐伟倪珍燕张秋荣
领导小组成员联系方式参见附件1。
领导小组在应急响应工作中的主要职责：
1）负责审核和批准涉密信息系统应急响应总体规划、重大网络与信息安全事件报告；
2）负责统筹规划信息系统网络与信息安全应急基础设施建设；
3）对重大网络与信息安全事件的应急响应工作进行宏观决策和应急指挥；
4）协调重大网络与信息安全事件的调查处理；
5）必要时接受专家顾问组的咨询服务。
1.2.2. 信息安全应急响应及处置办公室（简称应急办）
主任：许国忠
成员：各相关处室具体负责人
应急办成员联系方式参见附件1。
应急办在应急响应工作中的主要职责：
1）组建并调整应急响应工作组；
2）定期组织本单位网络与信息系统的风险评估和整改；
3）组织制订应急响应相关预案并定期演练；
4）编制重大网络与信息安全事件报告；
5）组织各项应急准备工作；
6）组织对本系统发生的重大信息安全运行和泄密事件的调查、通报工作；
7）组织和协调各种应急资源；
8）管理本系统范围内的应急响应工作；
9）与跨部门应急协调机构进行沟通。

1.3. 应急响应的流程
在发生信息安全事件时，启动下列应急响应流程，应急响应流程下图所示。
1、事件分析
事件分析主要完成如下工作：
1）在发生信息安全事件后，应急响应工作组对事件进行确认。
2）确认为信息安全事件后，根据应急处理事件分类规则对事件进行定性、定级和上报。
3）根据对事件的初步分析，确定应急处理方式，如果应急响应工作组以自身力量无法处理的事件，由应急办向上级领导或上级机关提出应急支援请求。

应急响应流程图
2、事件处理
事件处理主要包括以下内容：
1）泄密安全事件发生时，要及时的用口头或书面的形式向保密工作部门如实报告并上报上级主管部门的保密机构，同时采取断开网络、改变或终止用户权限等措施切断泄密源头，控制泄密范围，并及时对系统隐患进行修补。在对系统的泄漏隐患或风险进行重新评估，确认安全后，系统方能重新运行，对事件类型、发生原因、影响范围、补救措施和最终结果进行详细纪录。

2）系统运行安全事件发生时，应分析是否存在针对该事件的特定系统预案，如果存在则启动特定系统应急预案，如果涉及多个特定系统预案，应同时启动所有涉及的特定系统预案。分析是否存在针对该事件的专题预案，如果存在则启动专题预案，如果事件涉及多个专题预案，应同时启动所有涉及的专题预案。
3）如果没有针对该事件的应急预案，应根据事件具体情况，采取抑制措施，抑制事件进一步扩散，并根除事件影响，恢复系统运行；
3、结束响应
系统恢复运行后，应急响应工作组对事件造成的损失、事件处理流程、应急预案进行评估，对响应流程、预案提出修改意见，撰写事件处理报告。应急响应工作组应根据《应急响应管理制度》要求，确定是否需要上报该事件及其处理过程，需要上报的应及时准备相关材料，上报上级机关。
对于蠕虫、病毒等易造成大范围传播的信息安全事件，应及时向应急办提交预警信息。
应急响应流程结束。

1.4. 应急处置演练制度
为保证应急行动的能力，应每年至少组织一次应急行动演练，以提高处理应急事件的能力，检验物资器材的完好情况。
应急响应演练按如下步骤进行：
（1）由信息安全应急响应及处置领导小组确定应急响应演练的目标和应急响应演练的范围；
（2）按信息安全应急响应及处置领导小组的要求，由应急办组织应急响应工作组制定应急响应演练的方案；
（3）应急办调配应急响应演练所需的各项资源，并协调应急响应演练过程中涉及的部门和单位；
（4）应急办组织并监督应急响应工作小组进行应急演练；
（5）应急办对应急演练进行评估，并向领导小组报告演练结果；
（6）信息安全应急响应及处置领导小组总结经验，根据演练结果对应急预案进行更新，并对本单位的应急工作整改。
在应急响应演练结束之后，应急响应工作组应针对应急响应工作过程中遇到的问题，分析应急响应预案的科学性和合理性，针对预案中的问题向应急办提出修改建议。应急办组织对修改意见进行评估，修改后的预案应经评估通过后，上报领导小组，经批准后发布实施。
在上级机关预案或相关的法律标准修改后，本预案应进行调整与其保持一致。调整后，应急办应组织专家组对其评审，评审通过后上报领导小组，经批准后发布实施。

1.5. 应急响应总结制度
应急处置结束后，须进行以下工作：
（1）召开应急事件总结会议。
（2）分析异常事件发生的原因，形成信息安全事件原因分析报告。
（3）有关人员编制安全事件处置报告。报告内容包括事件发生事件、地点，监测到时间的事件、地点，事件的处理过程，事件的处理方法，事件造成的影响，可吸取的经验报告。
（4）对相关责任人员进行严肃的批评和教育，指出其工作中的缺陷，并让其提供总结报告。情节严重的，给予书面警告、除名等处罚措施。
（5）针对发生的事件的起因，分析改进的措施和补救方法，从技术和管理上加以改进，坚决杜绝类似事件在今后发生。
（6）技术改进措施：
1）针对脆弱性或漏洞，检查涉密信息系统的其他位置，找出并进行改进或加固；
2）改进应急方案内容，使应急方案满足今后的日常监测和应急需要；
3）增加可能出现故障设备的备份设备，增加单点设备的备份设备；
4）更换或升级经常出故障的产品。
5）对本次应急处理的处理方法进行归档，作为知识库进行保管。
（7）管理改进措施：
1）修改相关制度和岗位工作任务和职责；
2）落实人员的岗位职责；
3）进一步做好系统的日常运维工作；
4）加强教育，培养人员的安全意识；
5）进一步加强安全检查，以检查促安全。

1.6. 保障措施
1、人员保障
人力资源的保障是应急保障措施中的一项重要工作内容。为了提高应急响应工作组的人员素质，应针对本单位的应急响应工作任务，制定并实施完善、高效、合理的人员培训和演练计划。
在应急响应工作中，各部门工作人员应服从应急办的统一协调和安排。
2、设备保障
为保证在发生信息安全事件时应急工具及设备能够立即投入使用，有效地支持应急响应工作，应加强对这些工具及设备的日常维护调试，保证其随时处于可用状态。应急工作中涉及的关键设备包括：网络分析仪、数据恢复工具、流量监控设备。
另外，应急响应工作组还应注意跟踪最新的技术发展动态，收集、整理其他应急响应相关工具，包括文件完整性检测工具、木马/后门检测工具等等。对于病毒库、脆弱性评估系统插件库等应及时更新；根据工作需要，应急响应工作缺乏的设备或工具软件应及时采购。
3、技术资料保障
全面的技术资料是高效的应急响应工作的前提和基础，应急技术资料是网络和信息系统重要技术信息，包括网络拓扑结构、重要系统或设备的型号及配置（操作系统及版本号、应用软件及版本号等）、主要设备厂商信息、设备使用人员的详细信息等。这些信息必须及时更新，以保证与实际系统的一致性。
各部门还应根据需要对系统进行风险评估，随时掌握系统安全状况和存在的残余风险。
4、经费保障
财务部门应在每年的财务预算中安排应急响应工作所需网络与信息安全专项经费。
5、后勤保障
在应急响应工作中，行政部门应做好充分的后勤保障工作，包括应急人员的饮食，交通工具和通信联络等等，确保应急响应工作的顺利开展。