① 晋城市互联网网络安全应急预案的应急处置
5.1 信息报告与处理
5.1.1信息来源主要有以下三类:
(1)预测预警系统监测到的互联网网络安全事件信息;
(2)上级机构或其他职能部门通报的互联网网络安全事件信息;
(3)接到来自社会和各信息安全责任单位的报告信息。
5.1.2互联网网络安全事件发生后,事发单位、责任单位和相关工作机构要按照相关应急预案和报告制度,在立即组织抢险救援的同时,及时汇总信息并迅速报告上级主管部门和市网安办。
5.1.3发生一般互联网网络安全事件,事发单位必须在半小时内向市网安办值班室(设在市信息中心)口头报告,在1小时内向市网安办值班室(设在市信息中心)书面报告;较大以上互联网网络安全事件或特殊情况,立即报告。
5.1.4发生重大互联网网络安全事件,市网安办、相关区县政府、责任单位等必须在接报后1小时内分别向市委、市政府值班室口头报告,在2小时内分别向市委、市政府值班室书面报告;特别重大互联网网络安全事件或特殊情况,立即报告。
5.1.5信息处理可按以下程序进行:
(1)记录与了解。接到互联网网络安全事件报警后,要先详细记录该事件数据痕迹和细节信息,了解事件造成的损失、影响以及现场控制情况,并尽可能全面了解与事件有关的信息。
(2)事件确认与判断。在汇总相关信息的基础上,及时判断事件性质,并根据判定结果,开展下一步的工作。
①属于互联网网络安全事件的,应参考数据库对该次事件做进一步的事件验证,确认属于互联网网络安全事件的,应进入事件分析流程。
②属于误报的,值班人员应对该事件进行记录和处理。
③对于与互联网网络安全无关的事件,值班人员也应做好记录,并将事件转交给相关主管机构处理。
(3)事件分析。事件确认后,根据掌握的信息,分析事件已经造成的损失和预计损失、事件的严重程度和扩散性等情况。
(4)准备启动应急处置规程。市网安办根据事件分析的结果,按照互联网网络安全事件等级判断标准确定事件等级,并做好启动相应应急预案处置规程的准备。
5.2应急响应
5.2.1响应等级
根据互联网网络安全事件的可控性、严重程度和影响范围,应急响应级别分为四级:Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级,分别应对特别重大、重大、较大和一般互联网网络安全事件。
5.2.2分级响应
(1)Ⅰ、Ⅱ级应急响应。发生重大或特别重大信息安全事件,市网安办立即报请或由市政府确定应急响应等级和范围,启动相应应急预案,必要时,组建市应急处置指挥部,统一指挥、协调有关单位和部门实施应急处置。
(2)Ⅲ、Ⅳ级响应。对于一般、较大信息安全事件,市网安办组织协调具有处置互联网网络安全事件职责的职能部门和单位以及事发地区县政府,调度所需应急资源,协助事发单位开展应急处置。
5.2.3响应程序
(1)应急资源调配
①应急人员协调。市网安办根据具体的互联网网络安全事件,负责组织协调信息安全专家、网络专家、信息系统专家等各类应急响应技术人员。
②相关权限。市网安办负责明确和协调处置机构或人员在应急响应过程中所需的权限。
③其它必要资源。市网安办根据应急数据库中的信息获取处置事件所必需的资源,如网络与通讯资源、计算机设备、网络设备、网络安全设备与软件、处置案例、解决方案等,为处置小组提供参考。
(2)处置方案制订与检验。处置小组制订具体处置方案,交由市网安办组织相关工作机构、事发单位和有关职能部门进行检验,检验结果上报市应急处置指挥部。
(3)处置决策与资源调度。市应急处置指挥部对市网安办上报的检验结果进行评估,经批准后,联络小组及有关部门按处置方案的要求,协调、落实所需的资源。
(4)实施处置。处置小组根据指挥部下达的指令,按照承担职责和操作权限建立运行机制,执行对互联网网络安全事件的应急处置。
5.3先期处置
5.3.1互联网网络安全事件发生后,事发单位必须在第一时间实施即时处置,并按职责和规定权限启动相关应急预案处置规程,控制事态发展并及时市网安办、市应急联动中心或事发地区县政府报告。
5.3.2市网安办应在接报事件信息后,及时掌握事件的发展情况,评估事件的影响和可能波及的范围,研判事件的发展态势,根据需要组织各专业工作机构在各自职责范围内参与互联网网络安全事件的先期应急处置工作。
5.3.3市网安办会同市应急联动中心组织事发地区县政府和相关联动单位联动处置较大和一般互联网网络安全事件,对特别重大或重大互联网网络安全事件,负责组织实施先期处置。
5.4应急指挥与协调
5.4.1一旦发生先期处置仍不能控制的互联网网络安全事件,市网安办应及时研判事件等级并上报市政府,必要时,成立市应急处置指挥部,下设联络小组和处置小组。
5.4.2现场指挥部由事发地区县政府和市网安办视情设立,在市应急处置指挥部的统一指挥下,负责现场应急处置的指挥协调。现场指挥部由市网安办、发生互联网网络安全事件所在的主管机构与责任单位负责人组成,并根据处置需要组织信息安全专家等参与。
5.5 应急结束
5.5.1对于重大和特别重大的互联网网络安全事件,在应急处置工作结束,或者相关危险因素消除后,市政府根据市应急处置指挥部的建议,决定终止实施应急措施,转入常态管理。
5.5.2对于一般和较大的互联网网络安全事件,应急结束的判断标准为信息系统和业务恢复正常,由该事件衍生的其它事件已经消失,安全隐患已经消除。由市网安办宣布应急结束,转入常态管理。
② 网络安全应急响应的网络安全应急响应做什么
应急响应的活动应该主要包括两个方面:
第一、未雨绸缪,即在事件发生前事先做好准备,比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施;
第二、亡羊补牢,即在事件发生后采取的措施,其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人,也可能来自系统,不如发现事件发生后,系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。
以上两个方面的工作是相互补充的。首先,事前的计划和准备为事件发生后的响应动作提供了指导框架,否则,响应动作将陷入混乱,而这些毫无章法的响应动作有可能造成比事件本身更大的损失;其次,事后的响应可能发现事前计划的不足,吸取教训,从而进一步完善安全计划。因此,这两个方面应该形成一种正反馈的机制,逐步强化组织的安全防范体系。
③ 《网络安全法》对网络安全应急预案有哪些要求
《网络安全法》第25条规定:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病 毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
《网络安全法》第53条规定:国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。
负责关键基础信息设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。
网络安全应急预案应立足安全防护,加强预警,重点保护重要信息网络和关系社会稳定的重要信息系统, 在预防、监控、应急处理、应急保障等方面采取多种措施,构筑网络与信息安全保障体系。加强计算机信息网 络安全的宣传和教育,提高工作人员的信息安全意识。 要对机房、网络设备、服务器等设施定期开展安全检查, 密切关注互联网信息动态,及时获取充分而准确的信息, 跟踪研判,果断决策,迅速处置,最大限度地减少危害和影响。
希望可以帮到您,谢谢!
④ 晋城市互联网网络安全应急预案的应急保障
后期处置有关部门和重点单位要按照职责分工和相关预案,切实做好应对互联网网络安全事件的人力、物力、财力、通讯、科技等保障工作,保证应急救援工作和恢复重建工作的顺利进行。
7.1应急队伍保障
7.1.1各职能部门、工作机构、重点单位应当根据本部门、本单位的实际情况,配备相应的应急力量或引进社会化应急服务。
7.1.2市网安办负责组建本市互联网网络安全事件应急响应专业队伍,培养骨干力量。
7.1.3社会团体、企事业单位等可按照有关规定,参与应急救援。
7.2经费保障
7.2.1各有关单位负责落实互联网网络安全事件应急管理工作专项经费预算。市网安办负责落实互联网网络安全事件应急管理工作的日常运作、应急处置和基础设施运维等应急管理经费预算,纳入市财政预算。
7.2.2各级财政和审计部门要对互联网网络安全事件应急经费的使用进行监管和评估。
7.3物资保障
各职能部门、工作机构、重点单位应当根据自己的实际需要做好网络信息系统设备储备工作。
7.4通信保障
市人民政府信息化管理办公室、中国网通晋城通信分公司、中国移动晋城分公司、中国联通晋城分公司、中国电信晋城分公司、中国铁通晋城分公司、市广电网络公司、市无线电管理局等部门负责建立健全应急通信保障工作体系,完善公用通信网,建立有线和无线相结合、基础电信网络与机动通信系统相配套的应急通信系统,确保通信畅通。
7.5科技支撑
7.5.1有关部门和单位要积极开展互联网网络安全领域的科学研究,建立健全本市互联网网络安全应急技术支撑平台,提高互联网网络安全科技水平,发挥企业在互联网网络安全领域的研发作用。
7.5.2市网安办等专业工作机构应当建立应急处置管理、应急预案管理、应急演练环境、灾难备份等数据系统,为互联网网络安全事件的处置提供科技支撑。
⑤ 网络安全事件应急预案应按照事件发生后的哪些因素对网络安全事件进行分级
摘要 可以根据网络安全事件的:
⑥ 晋城市互联网网络安全应急预案的组织体系
3.1 领导机构
《晋城市突发公共事件总体应急预案》明确,本市突发公共事件应急管理工作由市委、市政府统一领导;市政府是本市突发公共事件应急管理工作的行政领导机构;市应急委决定和部署本市突发公共事件应急管理工作,其日常事务由市应急办负责。
3.2 应急联动机构
市应急联动中心设在市公安局,作为本市突发公共事件应急联动先期处置的职能机构和指挥平台,履行应急联动处置较大和一般突发公共事件、组织联动单位对特大或重大突发公共事件进行先期处置等职能。各联动单位在各自职责范围内,负责突发公共事件应急联动先期处置工作。
3.3 工作机构
3.3.1 市互联网网络安全协调小组
市互联网网络安全协调小组(以下简称市网安协调小组)作为本市市级议事协调机构之一,主要负责综合协调本市互联网网络安全保障工作。
3.3.2市互联网网络安全协调小组办公室
市互联网网络安全协调小组办公室(以下简称市网安办)设在市人民政府信息化管理办公室,作为市网安协调小组的办事机构。
3.3.3 市应急处置指挥部
一旦发生重大、特别重大互联网网络安全事件,必要时,网安协调小组转为市互联网网络安全事件应急处置指挥部(以下简称市应急处置指挥部),统一组织指挥本市互联网网络安全事件应急处置行动。
负责本市各类互联网网络安全应急资源的管理与调度,提供互联网网络安全事件应急处置技术支持和服务;建设和完善本市互联网网络安全事件监测预警网络,发布本市相应级别的互联网网络安全事件预警信息。
其他有关单位。按照“谁主管谁负责,谁运营谁负责”原则,组织实施和指导本系统、行业的互联网网络安全事件的应急处置。
3.3.4现场指挥部
根据互联网网络安全事件的发展态势和实际控制需要,事发地所在县(市、区)政府负责成立现场指挥部,必要时,也可由市信息办组织有关专业机构负责开设,现场指挥部在市应急处置指挥部的统一领导下,具体负责现场应急处置工作。
3.4专家机构
组建互联网网络安全事件专家咨询组,并与其他相关专家机构建立联络机制,为应急处置工作提供决策建议和技术指导,必要时,参与互联网网络安全事件的应急处置。
⑦ 应急处置工具箱
天镜网络安全事件应急处置工具箱(简称:天镜应急工具箱),是一款通过安全策略快速定位问题,融合多种网络安全应急处置能力与实践经验,针对网络攻击、网络入侵、恶意程序等导致的网络安全突发事件,实现快速响应,并尽可能将事件造成的损失和影响降到最低的应急处置设备。
⑧ 网络安全事件应急预案应当按照事件发生后的什么因素,对网络安全事件进行分级,并规定相应的应急处置措施
可以根据网络安全事件的:
可控性、
严重程度、
影响范围
的不同对安全事件进行分级,并规定响应的处置措施
一般情况下分为4级
一级、特别重大--对xx工作造成特别严重损害,且事态发展超过xx控制能力的安全事件
二级、重大--造成严重损害,超出单一部门自身控制能力,需协调各部门协同处置的安全事件
三级、较大--对xx工作造成一定损害,但部门内部可自行处理的安全事件
四级、一般--对某些工作有些影响,但不危及整体工作
⑨ 网络安全处理过程
网络安全应急响应是十分重要的,在网络安全事件层出不穷、事件危害损失巨大的时代,应对短时间内冒出的网络安全事件,根据应急响应组织事先对各自可能情况的准备演练,在网络安全事件发生后,尽可能快速、高效的跟踪、处置与防范,确保网络信息安全。就目前的网络安全应急监测体系来说,其应急处理工作可分为以下几个流程:
1、准备工作
此阶段以预防为主,在事件真正发生前为应急响应做好准备。主要包括以下几项内容:制定用于应急响应工作流程的文档计划,并建立一组基于威胁态势的合理防御措施;制定预警与报警的方式流程,建立一组尽可能高效的事件处理程序;建立备份的体系和流程,按照相关网络安全政策配置安全设备和软件;建立一个支持事件响应活动的基础设施,获得处理问题必备的资源和人员,进行相关的安全培训,可以进行应急响应事件处理的预演方案。
2、事件监测
识别和发现各种网络安全紧急事件。一旦被入侵检测机制或另外可信的站点警告已经检测到了入侵,需要确定系统和数据被入侵到了什么程度。入侵响应需要管理层批准,需要决定是否关闭被破坏的系统及是否继续业务,是否继续收集入侵者活动数据(包括保护这些活动的相关证据)。通报信息的数据和类型,通知什么人。主要包括以下几种处理方法:
布局入侵检测设备、全局预警系统,确定网络异常情况;
预估事件的范围和影响的严重程度,来决定启动相应的应急响应的方案;
事件的风险危害有多大,涉及到多少网络,影响了多少主机,情况危急程度;
确定事件责任人人选,即指定一个责任人全权处理此事件并给予必要资源;
攻击者利用的漏洞传播的范围有多大,通过汇总,确定是否发生了全网的大规模入侵事件;
3、抑制处置
在入侵检测系统检测到有安全事件发生之后,抑制的目的在于限制攻击范围,限制潜在的损失与破坏,在事件被抑制以后,应该找出事件根源并彻底根除;然后就该着手系统恢复,把所有受侵害的系统、应用、数据库等恢复到它们正常的任务状态。
收集入侵相关的所有资料,收集并保护证据,保证安全地获取并且保存证据;
确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据和应用服务;
通过对有关恶意代码或行为的分析结果,找出事件根源明确相应的补救措施并彻底清除,并对攻击源进行准确定位并采取措施将其中断;
清理系统、恢复数据、程序、服务,把所有被攻破的系统和网络设备彻底还原到正常的任务状态。
4、应急场景
网络攻击事件:
安全扫描攻击:黑客利用扫描器对目标进行漏洞探测,并在发现漏洞后进一步利用漏洞进行攻击;
暴力破解攻击:对目标系统账号密码进行暴力破解,获取后台管理员权限;
系统漏洞攻击:利用操作系统、应用系统中存在漏洞进行攻击;
WEB漏洞攻击:通过SQL注入漏洞、上传漏洞、XSS漏洞、授权绕过等各种WEB漏洞进行攻击;
拒绝服务攻击:通过大流量DDOS或者CC攻击目标,使目标服务器无法提供正常服务;
信息破坏事件:
系统配置遭篡改:系统中出现异常的服务、进程、启动项、账号等等;
数据库内容篡改:业务数据遭到恶意篡改,引起业务异常和损失;
网站内容篡改事件:网站页面内容被黑客恶意篡改;
信息数据泄露事件:服务器数据、会员账号遭到窃取并泄露.
⑩ 网络安全法规定,网络运营者应当制定什么,及时处置系统漏洞
根据网络安全法第二十五条规定:
网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。