文号		索引号	005452102/2017-00007	关键词
主题分类	科技工作管理	体裁分类		服务对象



为了切实做好中心网络突发事件的防范和应急处理工作，进一步提高预防和控制网络安全突发事件的能力和水平，减轻或消除突发事件的危害和影响，确保网络正常运行与信息安全，依据国家有关法律法规的规定，结合科技系统网络应用实际，制订本预案。
   第一章
   总 则
   第一条、编制目的
   建立健全中心网络应急工作机制，保证科技局网络安全应急工作迅速、高效和有序进行，维护科技局网络正常运行与网络信息安全。
   第二条、编制依据
   依据《中华人民共和国电信条例》、信息产业部《互联网网络安全应急预案》公安部《互联网安全保护技术措施规定》结合我局实际，制定本预案。
   第三条、适用范围
   1、本预案适用于我局网站、接入我局网络的服务器及内部工作电脑等信息系统上的突发性事件的应急工作指导。
   2、在科技局发生网络安全事件，相关人员通知各科室参考本应急预案。
   第二章
   互联网络安全应急处置措施
   处置措施是在问题发生时，首先应区别灾害发生是否人为与不可抗力两种情况，根据这两种情况，把问题处置措施分成两个流程：
   流程一：
   当发生不可抗力（如天灾、火灾、通信供应商网络异常或施工造成）危及科技局网络与信息安全时，根据发生时情况，在确保在场人员人身安全前提下，首先保障数据安全，其次是设备安全。具体方法包括：安全关机、数据设备强行关机、数据随时备份等。
   流程二：
   当人为或因病毒、攻击、入侵造成灾害发生时，具体按以下顺序进行：立即通知中心和科技局并随时根据情况轻重，报所在地公安局网络监管部门，同时判断破坏的来源与性质，断开影响安全与稳定的信息网络设备，断开与破坏来源的网络物理连接，跟踪并锁定破坏来源的IP或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照网络安全问题发生的性质分别采用以下方案：
   1．病毒传播：针对这种现象，要及时断开传播源，判断病毒的性质、采用的端口，然后关闭相应的端口，清除相关病毒文件
   2．入侵和攻击：对于网络入侵和攻击，首先要判断入侵和攻击的来源，区分外网 与内网。入侵来自外网的，定位入侵的IP地址，及时关闭入侵的端口，限制入侵地IP 地址的访问，在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的，查清入侵来源，如IP地址、上网帐号等信息，同时断开对应的交换机端口。然后针对入侵方法更新入侵检测设备。
   3．网站信息被篡改：引入必要的检测手段，出现这种情况，必须马上断开相应的信息上网链接，保留证据，并尽快恢复。
   4．网络故障：一旦发现，可根据相应工作流程尽快排除。
   5．其它没有列出的不确定因素造成的，应进行相关核实并通知中心负责人。
   6.一般性安全隐患处理：
   中心服务器应配备相应的硬件防火墙和防病毒软件并且及时进行升级等操作，检测到入侵和攻击事件时，立即向各科室发出警告，由应急办公室安排人员在第一时间处理事件，保存相关的证据，并对后续进行跟进。 定期检查设备和系统的运转情况，保证设备高效稳定的运行。
   第三章
   科技局网络安全相关操作要求
   （1）对工作中使用的计算机进行定期杀毒操作和对杀毒软件定期进行升级操作。
   （2）对于工作中需用到移动设备（如U盘，移动硬盘）的，需先设置移动设备不能自动打开。
   （3）如发现计算机被恶意攻击或感染木马等恶意程序，立即拔掉网线，断开物理层连接，然后通过杀毒软件进行查杀。
   （4）如果发现电脑提示遭到攻击，IP是192.168开头的内网网段IP地址，立即上报中心，并在其没造成其它影响之前关闭其计算机。
   （5）如果发现网络流量长时间异常偏高超过50%（超过24小时）立即核实原因。
   （6）除机房管理人员外，他人对任何计算机发起远程操控操作一律禁止。如发现被强制远程操控，应立即断开网络连接。
   （7）对一种新的利用主流操作系统和应用程序漏洞的蠕虫或病毒应马上去下载其专杀程序，确保不让以上安全事件爆发并留下后门。
   第四章
   应急保障
   （1）人员保障 要加强应急处理人员必要的应急处理培训，使应急人员熟悉工作原则、工作流程，具备必要的技能，以满足互联网网络安全应急工作的需要。
   （2）物资保障 根据网络信息系统安全工作所需，由相关行政人员建立应急物资储备制度，保证应急技术设备的及时更新，以确保应急工作的顺利进行。
   （3）经费保障 从网络运行经费中拿出部分经费，确保应急设备的购置，保障人员的培训和应急演练的有效进行。
   （4）应急演练 每年至少进行一次应急演练，预先安排好演练内容并按安排进行演练。