應急響應的活動應該主要包括兩個方面:
第一、未雨綢繆,即在事件發生前事先做好准備,比如風險評估、制定安全計劃、安全意識的培訓、以發布安全通告的方式進行的預警、以及各種防範措施;
第二、亡羊補牢,即在事件發生後採取的措施,其目的在於把事件造成的損失降到最小。這些行動措施可能來自於人,也可能來自系統,不如發現事件發生後,系統備份、病毒檢測、後門檢測、清除病毒或後門、隔離、系統恢復、調查與追蹤、入侵者取證等一系列操作。
以上兩個方面的工作是相互補充的。首先,事前的計劃和准備為事件發生後的響應動作提供了指導框架,否則,響應動作將陷入混亂,而這些毫無章法的響應動作有可能造成比事件本身更大的損失;其次,事後的響應可能發現事前計劃的不足,吸取教訓,從而進一步完善安全計劃。因此,這兩個方面應該形成一種正反饋的機制,逐步強化組織的安全防範體系。
Ⅱ 網路安全應急響應的介紹
「應急響應」對應的英文是「Incident Response」或「Emergency Response」等,通常是指一個組織為了應對各種意外事件的發生所做的准備以及在事件發生後所採取的措施。
Ⅲ 國家網路信息安全應急協調機制
熱心相助
您好!您提出問題是國家安全機密不允許公開流傳,請參考:
1.網路信息安全應急機制的理論基礎及法律保障
http://wenku..com/view/184ab68002d276a200292e7e.html
2.網路與信息安全應急預案
http://wenku..com/view/dfa3bdfff705cc1755270977.html?from=rec&pos=1&weight=9
Ⅳ 網路安全應急響應現狀如何
當發生網路入侵、病毒爆發、現有網路安全防禦體系(如防火牆、入侵檢測、入侵防禦等)被突破或當機或無異常顯示、防毒軟體或被病毒所劫殺或對病毒不作為時,如何阻擊入侵、查殺病毒、恢復系統?事前制定的應急響應預案總難以有效應對尚且未知的病毒及網路攻擊,匆忙趕赴現場,無奈斷網恢復,或簡單備機切換,大多公司網路安全應急響應現狀如此,與黑客病毒實施的遠程入侵控制相比,技術和手段完全處於非對等的劣勢地位。能否改變現狀,有何解決方案?
網路安全體系從技術手段上由兩大部分構成:安全防禦與應急救治,其兩者的關系如同醫學上疾病防疫與疾病救治的關系一樣,兩者的差別在於時間和順序上的不同。防禦在前,黑客或病毒攻擊在後,使系統免受破壞稱之為安全防禦;黑客或病毒攻擊在前,救治在後,使系統重新恢復正常稱之為應急救治。
目前網路安全產品以安全防禦為主,如防火牆、入侵檢測、入侵防禦、防毒軟體,以及網路細分、流量監視、流量控制等等,但網路安全應急救治的產品卻處於稀缺或空白的狀態。其表現為基於網路安全防禦體系的技術水平現狀,系統漏洞隨著時間推移陸續顯露,新病毒總量每年以超幾何級數增長,黑客及病毒的技術含量不斷提高和攻擊手段不斷翻新,黑客及病毒突破和破壞現有網路安全防禦體系、劫殺和禁用防毒軟體現象屢有發生,事前制定的網路安全應急響應預案總難以有效應對尚且未知的病毒及網路攻擊,網路安全應急響應尚還處於趕赴現場,斷網恢復,備機切換的簡單低級層次,究其根本原因,缺乏阻斷黑客進攻和查殺病毒的有效工具和能力即時實施網路連接對黑客病毒完成外科手術般的精確打擊、定點清除,造成網路部分或全局癱瘓,特別是爆發的大規模傳染性網路病毒對提供公共服務的機構造成社會公共安全事件也時有發生。
未雨綢繆,亡羊補牢,事前風險評估、組織機構建立,安全意識培訓,安全策略制定,各種措施防範,事後總結提高,安全訪問策略修正增補,更加嚴格措施防範,這些都是合理和必要的,但網路安全應急響應目前狀況「重防輕治,以防代治」卻是明顯的事實。各公司安全防禦產品琳琅滿目,個個價格不菲,當真正遭受網路入侵、病毒爆發,請求應急幫助時,得到的回復往往可能是,需對貴公司網路狀況進行一個安全評估,制定一套安全策略,採用本公司的產品,可以保證下次免遭此類黑客病毒侵襲。「救人於水火,須臾不可待」。可否先救人出水火,再說那事前事後防水防火之事?另一方面,沒有哪家公司產品可說是萬能的,若此次採用此公司此產品,預防此類黑客病毒侵襲,他日遇彼類黑客病毒侵襲,是否需要採用彼公司彼產品呢?這是用戶常遇到的尷尬決擇,頗有一番「上船易,下船難」的意境。喊一聲「孫大聖」,只聽「大聖來也」,孫悟空即到眼前,這是小說《西遊記》常描述的情景。若將此描述的情景視為網路安全應急響應模式,或許是再恰當不過的了,「召之即來,揮之即去,來之能戰,戰之能勝」。
「預防為主,防治結合」,這句話是如此耳濡目染,以至於很少有人考究其正確性和合理性。疾病成千上萬,各種病毒也在不斷變異進化,在目前醫學技術條件下能以接種疫苗方式進行免疫的傳染病不過十幾種。從這十幾種傳染病免疫表現出兩個特徵:1.可預防的;2.預防成本小於救治成本,這正是「預防為主,防治結合」正確性和合理性成立的前提條件。以流感為例,少有人願意花費上萬元去預防花費百把元即可治癒的流感,就是這個道理,一則流感病毒種類繁多,且自身不斷變異進化,防不勝防;二則辦同樣的事花銷更少費用是人們普遍的理性決擇。防禦系統和防毒軟體不可能防住所有的黑客病毒的入侵和攻擊。基於特徵碼識別的防毒軟體通過特徵碼比對可識別具有已知特徵碼的未知病毒,基於行為模式識別的防毒軟體通過行為模式比對可識別具有已知行為模式的未知病毒,但前者需要從已知病毒提取特徵碼,後者需要從已知病毒學習行為模式,所以,基於特徵碼識別的防毒軟體不可能識別具有未知特徵碼的未知病毒,基於行為模式識別的防毒軟體不可能識別具有未知行為模式的未知病毒。假設有朝一日遭遇網路戰,遇到的都是已知特徵碼或已知行為模式的病毒嗎?對於穿透防禦系統和防毒軟體的少量病毒,本應通過應急響應遠程或本地即時網路連接,實施精確打擊,定點清除的方式給予解決,但如缺少這種應急救治能力,或被迫提高防禦級別,或增加備機,或添加人手趕赴現場,如此造成安全防禦成本不可避免急劇增長,且效果並不如意。
綜上所述,針對網路安全應急響應目前狀況及存在的問題,開發一款網路安全應急響應工具,用於發生網路入侵、病毒爆發、現有網路安全防禦體系被突破、防毒軟體被病毒所劫殺或對病毒不作為時,即時實施遠程或本地網路連接,阻擊入侵、查殺病毒、恢復系統的工作,這將改變網路安全應急響應「重防輕治,有防無治」的現狀,填補缺失了的網路安全應急救治環節,與現有的網路安全防禦形成互補,構成防治結合完整的網路安全體系,提升了網路安全應急響應能力,特別是對企業、國防、公安、銀行、交通、政府等集團用戶具有十分重要的意義;另一方面,通過遠程響應縮短應急響應時間,可避免安全事態惡化和大幅減少運行維護成本。
Ⅳ 如何理解應急響應在信息安全中的地位和作用
前不久,美國五角大樓向國會遞交了對中國軍力的年度評估報告,報告稱,中國政府和軍方招募民間網路黑客襲擊美國官方網站。隨後,我外交部發言人在記者會上否認了美方的說法,並表示,網路犯罪是世界各國都共同面臨的問題和挑戰,中國是黑客攻擊的受害者,我們希望有關國家加強合作,共同應對和解決這個問題。由此可見,信息和網路安全已成為世界各國都高度重視的問題。那麼,信息安全主要包括哪些內容?軍事領域的信息安全又面臨著哪些威脅?世界各國在信息安全領域有哪些有針對性的保護措施?就這些問題,記者采訪了信息工程大學電子技術學院教授蘇錦海。
記者:《孫子兵法》中講:「知彼知己,百戰不殆。」可見,信息歷來就是軍事斗爭中制勝的重要因素。那麼,「信息安全」這個概念是從什麼時候開始出現的?這個概念的出現和我們常說的信息時代和信息社會,有著怎樣的聯系?
蘇錦海:信息歷來是一種重要的資源,隨著信息技術的發展和應用,社會經濟的發展對信息資源、信息技術和信息產業的依賴程度越來越大,信息和材料、能源一樣成為社會的三大支柱之一,信息時代人類社會的共性之一是信息社會。然而,為了己方利益而非法利用信息,如非法獲得、偽造、篡改等,信息安全問題就產生了。保護信息的合法利用就是要解決信息安全問題。
「信息安全」這個概念要從其發展歷史來看,早在上世紀60年代以前,信息安全措施主要是加密,被稱為「通信保密(COMSEC)」階段。其後,隨著計算機的出現,人們關心的是計算機系統不被他人所非授權使用,稱之為「計算機安全(INFOSEC)」階段。上世紀90年代,隨著網路的應用,人們關心的是如何防止通過網路對計算機進行攻擊,稱之為「網路安全(NETSEC)」階段。進入21世紀,人們關心的是信息和信息系統的整體安全,如何建立完整的保障體系,確保信息和信息系統的安全,這時學術界稱之為「信息保障(IA)」。
信息技術的迅猛發展正在改變著人們的生活,合理使用先進的信息技術使得人們更好地利用信息的價值。然而,開放的網路是信息的主要承載體,人們在享受著它帶來的便利的同時,非法利用信息技術和網路帶來了信息安全問題,開始感受到信息安全所帶來的巨大威脅。信息安全已成為關系社會安全、文化安全、經濟安全、軍事安全乃至國家安全的重大戰略問題。
記者:蘇教授,在您看來,我們通常所講的信息安全包括哪幾個方面的內容?而如果從軍事這個領域來看,軍事信息安全遇到的主要威脅來自哪些方面?
蘇錦海:「信息安全」逐漸被廣大公眾所熟知,廣義信息安全是一般意義、任何形態的信息之安全;狹義信息安全主要指電子系統、計算機網路中的信息安全。
普遍認可的信息安全的定義是保護信息和信息系統不被未經授權的訪問、使用、泄露、中斷、修改和破壞,為信息和信息系統提供保密性、完整性、真實性、可用性、不可否認性服務。簡而言之,使非法者看不了、改不了信息,系統癱不了、信息假不了、行為賴不了。
信息時代的軍事威脅不是大軍壓境,而是直面軍事信息安全的挑戰。軍事信息安全內涵具有特殊性,如嚴格的保密性,地位的戰略性和超強的技術性,主要表現為軍事泄密、黑客攻擊和信息戰三個方面。
無形的信息已在信息化戰爭中起決定性作用,並日益成為最重要的戰鬥力和戰鬥力倍增器。軍事信息安全威脅主要發生在敵對雙方在信息領域的干擾與反干擾、破壞與反破壞、摧毀與反摧毀的斗爭中。目的都是為了奪取「制信息權」。威脅軍事信息安全的因素很多,但威脅最大、影響最深的主要有以下幾個方面:貫穿始終的電子戰威脅奪取「制電磁權,隱秘難測的網路戰威脅控制敵方信息網路,防不勝防的心理戰威脅渙散敵方軍心,高效能的實體摧毀威脅破壞對方信息系統的物理功能。
記者:有觀點認為,從軍隊的角度來講,以前我們可能更看重它的武器裝備的打擊能力,但是在現在的社會環境下,信息安全保密也必將成為關系未來打贏高技術戰爭的決定性因素。我不知道,您對這樣的判斷怎麼看?
蘇錦海:進入信息時代,使得信息由戰爭的幕後走到了台前,使戰場從「陸、海、空、天」發展到了「陸、海、空、天、電磁、網路、心理」七維空間。因此,信息領域的斗爭不可避免地成為未來信息化戰爭的主戰場。信息已成為信息化作戰的核心,信息安全也必然成為關系未來信息化戰爭勝負的戰略課題,成為奪取作戰勝利的重要保證,甚至是決定性因素,確保信息安全保密是信息化作戰的關鍵任務之一。
許多西方軍事分析家認為,工業時代軍隊的基礎是火力殺傷系統,信息時代軍隊的基礎是信息。因此,必須藉助信息這個「力量倍增器」,大力推行信息化建設,思想觀念上深化對信息的再認識,確認信息是「指揮的本錢」,是「制勝的關鍵」,把「制信息權」納入新的爭奪領域。
記者:我最近看了一些與軍隊信息安全相關的材料,其中講到了一個例子,幾年前,美軍一個年輕的空軍上尉,利用在商店裡買到的計算機和數據機,輕而易舉地進入了美軍海軍的指揮控制系統,並篡奪了美海軍大西洋艦隊的指揮權。當時,馬薩諸塞州漢斯科姆空軍基地電子系統中心控制室的計算機熒屏上顯示「控制完成」的字樣後,在場的五角大樓的要人,一時陷入極度恐慌之中。
您個人是否還知道一些這方面比較有代表性的事例?您覺得,類似事件的發生,可以給我們帶來哪些啟示和思考?
蘇錦海:不管是出於國家或軍事目的,還是團體利益或個人興趣誘惑,對軍事信息系統的攻擊和入侵時刻都存在。
伊拉克戰爭打響後,為什麼美軍打擊軍事目標時卻保留了伊軍的通信設施,答案也很清楚,如果早早摧毀伊軍的通信系統,就等於切斷了自己的重要情報來源。美軍使用的偵察衛星,全時監聽進出伊拉克的所有手機、衛星電話等通訊,從中搜索有價值的情報信息。美國情報人員,通過跟蹤監控、竊聽等手段獲取了大量伊拉克政府高官的活動情況,為美軍的「斬首」行動提供了及時可靠的情報。
海灣戰爭一開始,以美國為首的多國部隊就發動了代號為「白雪」行動的電子戰。在空中作戰前24小時,使伊軍失去了警戒偵察和通信能力。有時一天就有15.2萬條假消息、雜亂信息輸入伊軍信息接收站,「信息洪流」使伊軍整個信息系統癱瘓、指揮控制混亂、防空系統基本失去作用。
科索沃戰爭中,北約對南聯盟狂轟濫炸,唯獨對其手機基站網開一面,原因何在?就是利用手機網路的開發和廣播特性,從中截獲所需情報。在北約空襲期間,其信息系統連續遭到俄羅斯和南聯盟電腦「黑客」的網上攻擊,致使北約部分計算機系統的軟、硬體受到電腦病毒的重創,白宮網站曾經一整天無法工作,某航空母艦的指揮控制系統也曾被迫停止運行3小時。
以上事例告誡我們,必須重視和加強我軍信息安全防禦能力,這樣,才能在未來可能發生戰爭時處於不敗之地。
記者:從一個信息安全研究者的角度,您覺得世界各國的軍方對信息安全有著怎樣的態度?這方面有沒有一些比較具體的事例?
蘇錦海:美國率先提出信息安全關系國家戰略安全,把信息安全放到優先發展地位,認為網路攻擊是與核、生、化等武器並列的大規模破壞性武器。「9·11」恐怖襲擊發生後,美國接連頒發了多個重要信息安全法規和總統令,組建了信息安全專門機構,加強了統一領導,建成了一支以信號情報部隊為主力的信息作戰力量,研究開發出了信息攻擊手段和技術,具備了較強的信息防禦和攻擊作戰能力。美國政府把「保護美國信息網路免遭攻擊,並使對手的信息網路癱瘓」,作為軍事轉型的六個重點之一。
俄羅斯、日本、英國、法國、德國等發達國家,也都從國家發展戰略、安全戰略和軍事戰略的高度,大力加強信息安全保密建設,謀求在信息領域的有利地位。2000年總統普京批准了《俄羅斯聯邦信息安全學說》。日本的信息安全對策是從1999年開始正式啟動的,2001年發布「電子日本戰略」,宣布要確保信息通信網路的安全性及可靠性
Ⅵ 晉城市互聯網網路安全應急預案的預警機制
4.1預測預警系統
4.1.1整合本市信息化、公安、通信管理等相關互聯網網路安全監測資源,完善互聯網網路安全事件預測預警系統。
4.1.2本市基礎信息網路和各重要信息系統的主管部門或運營單位要根據實際情況建立和完善信息安全監測系統,提高防範網路攻擊、病毒入侵、網路竊密等的能力,防止有害信息傳播。
4.2預警信息
4.2.1互聯網網路安全事件預警信息分為面向信息安全重點單位和面向社會公眾兩類。
4.2.2各互聯網網路安全事件應急管理工作機構要及時、准確地向市網安辦報告互聯網網路安全事件有關信息。
4.2.3市網安辦要組織專家,分析各工作機構上報的信息和監測預警系統監測到的信息,評估風險等級,並根據確定的風險等級編制預警信息。預警信息包括互聯網網路安全事件的類別、預警級別、起始時間、可能影響的范圍、警示事項、應採取的措施和發布單位等。
4.3預警級別與發布
4.3.1根據信息預測分析結果,對可能發生的互聯網網路安全事件進行預警。按照互聯網網路安全可能造成的危害、緊急程度和發展勢態,預警級別分為四級:Ⅰ級(特別嚴重)、Ⅱ級(嚴重)、Ⅲ級(較重)和Ⅳ級(一般),依次用紅色、橙色、黃色和藍色表示。
(1)Ⅰ級預警(紅色)。指發現新的互聯網網路安全威脅,可能影響本市所有網路和重要信息系統,並有擴散到全國的可能性。
(2)Ⅱ級預警(橙色)。指發現新的互聯網網路安全威脅,可能影響本市基礎運營網路或2家以上重要信息系統的全部業務,並有繼續擴散的可能性。
(3)Ⅲ級預警(黃色)。指發現新的互聯網網路安全威脅,可能影響本市1至2家基礎運營網路或1至2家重要信息系統的全部業務,無擴散性。
(4)Ⅳ級預警(藍色)。指發現新的互聯網網路安全威脅,可能影響本市1家基礎運營的部分網路或1至2家重要信息系統的部分業務,無擴散性。
4.3.2市網安辦根據互聯網網路安全事件的管理許可權、危害性和緊急程度,統一發布、調整和解除預警信息,對嚴重、特別嚴重或可能衍生其他安全事件的預警信息,應按照市政府的決定由授權部門發布。
4.3.3面向信息安全重點單位的預警信息的發布、調整和解除,以電話、電子郵件、傳真等方式通知到所有相關單位以及相關的應急響應組織人員,所有被通知的單位和人員需要對接收到的預警信息進行確認;面向社會公眾的預警信息的發布、調整和解除可通過新聞媒體、通信、信息網路或組織人員等方式進行。
Ⅶ 晉城市互聯網網路安全應急預案的應急保障
後期處置有關部門和重點單位要按照職責分工和相關預案,切實做好應對互聯網網路安全事件的人力、物力、財力、通訊、科技等保障工作,保證應急救援工作和恢復重建工作的順利進行。
7.1應急隊伍保障
7.1.1各職能部門、工作機構、重點單位應當根據本部門、本單位的實際情況,配備相應的應急力量或引進社會化應急服務。
7.1.2市網安辦負責組建本市互聯網網路安全事件應急響應專業隊伍,培養骨幹力量。
7.1.3社會團體、企事業單位等可按照有關規定,參與應急救援。
7.2經費保障
7.2.1各有關單位負責落實互聯網網路安全事件應急管理工作專項經費預算。市網安辦負責落實互聯網網路安全事件應急管理工作的日常運作、應急處置和基礎設施運維等應急管理經費預算,納入市財政預算。
7.2.2各級財政和審計部門要對互聯網網路安全事件應急經費的使用進行監管和評估。
7.3物資保障
各職能部門、工作機構、重點單位應當根據自己的實際需要做好網路信息系統設備儲備工作。
7.4通信保障
市人民政府信息化管理辦公室、中國網通晉城通信分公司、中國移動晉城分公司、中國聯通晉城分公司、中國電信晉城分公司、中國鐵通晉城分公司、市廣電網路公司、市無線電管理局等部門負責建立健全應急通信保障工作體系,完善公用通信網,建立有線和無線相結合、基礎電信網路與機動通信系統相配套的應急通信系統,確保通信暢通。
7.5科技支撐
7.5.1有關部門和單位要積極開展互聯網網路安全領域的科學研究,建立健全本市互聯網網路安全應急技術支撐平台,提高互聯網網路安全科技水平,發揮企業在互聯網網路安全領域的研發作用。
7.5.2市網安辦等專業工作機構應當建立應急處置管理、應急預案管理、應急演練環境、災難備份等數據系統,為互聯網網路安全事件的處置提供科技支撐。
Ⅷ 應急響應的概念是什麼
應急響應對應的英文是Incident Response或Emergency
Response等,通常是指一個組織為了應對各種意外事件的發生所做的准備以及在事件發生後所採取的措施。
應急響應的對象:
計算機網路安全事件應急響應的對象是指針對計算機或網路所存儲、傳輸、處理的信息的安全事件,事件的主體可能來自自然界、系統自身故障、組織內部或外部的人、計算機病毒或蠕蟲等。按照計算機信息系統安全的三個目標,可以把安全事件定義為破壞信息或信息處理系統CIA的行為。比如:
1、破壞保密性的安全事件:比如入侵系統並讀取信息、搭線竊聽、遠程探測網路拓撲結構和計算機系統配置等;
2、破壞完整性的安全事件:比如入侵系統並篡改數據、劫持網路連接並篡改或插入數據、安裝特洛伊木馬、計算機病毒等;
3、破壞可用性的安全事件:比如系統故障、拒絕服務攻擊、計算機蠕蟲等;
4、掃描:包括地址掃描或埠掃描等,為了侵入系統尋找系統漏洞;
5、抵賴:指一個實體否認自己曾經執行過的某種操作,比如在電子商務中交易方之一否認自己曾經定購過某種商品,或者商家否認自己曾經接受過訂單;
6、垃圾郵件騷擾:垃圾郵件是指接收者沒有訂閱卻被強行塞入信箱的廣告、政治宣傳等郵件,不僅耗費大量的網路與存儲資源,也浪費接收者的時間;
7、傳播色情內容:盡管不同的地區和國家政策不同,但是多數國家對於色情信息的傳播是限制的,特別是對於青少年兒童的不良影響是各國都極力反對的;
8、愚弄和欺詐:是指散發虛假信息造成的事件,比如曾經發生過幾個組織發布應急通告,聲稱出現了一種可怕的病毒Virtual Card for
You,導致大量驚惶失措的用戶刪除了硬碟中很重要的數據,導致系統無法啟動。
Ⅸ 晉城市互聯網網路安全應急預案的應急處置
5.1 信息報告與處理
5.1.1信息來源主要有以下三類:
(1)預測預警系統監測到的互聯網網路安全事件信息;
(2)上級機構或其他職能部門通報的互聯網網路安全事件信息;
(3)接到來自社會和各信息安全責任單位的報告信息。
5.1.2互聯網網路安全事件發生後,事發單位、責任單位和相關工作機構要按照相關應急預案和報告制度,在立即組織搶險救援的同時,及時匯總信息並迅速報告上級主管部門和市網安辦。
5.1.3發生一般互聯網網路安全事件,事發單位必須在半小時內向市網安辦值班室(設在市信息中心)口頭報告,在1小時內向市網安辦值班室(設在市信息中心)書面報告;較大以上互聯網網路安全事件或特殊情況,立即報告。
5.1.4發生重大互聯網網路安全事件,市網安辦、相關區縣政府、責任單位等必須在接報後1小時內分別向市委、市政府值班室口頭報告,在2小時內分別向市委、市政府值班室書面報告;特別重大互聯網網路安全事件或特殊情況,立即報告。
5.1.5信息處理可按以下程序進行:
(1)記錄與了解。接到互聯網網路安全事件報警後,要先詳細記錄該事件數據痕跡和細節信息,了解事件造成的損失、影響以及現場控制情況,並盡可能全面了解與事件有關的信息。
(2)事件確認與判斷。在匯總相關信息的基礎上,及時判斷事件性質,並根據判定結果,開展下一步的工作。
①屬於互聯網網路安全事件的,應參考資料庫對該次事件做進一步的事件驗證,確認屬於互聯網網路安全事件的,應進入事件分析流程。
②屬於誤報的,值班人員應對該事件進行記錄和處理。
③對於與互聯網網路安全無關的事件,值班人員也應做好記錄,並將事件轉交給相關主管機構處理。
(3)事件分析。事件確認後,根據掌握的信息,分析事件已經造成的損失和預計損失、事件的嚴重程度和擴散性等情況。
(4)准備啟動應急處置規程。市網安辦根據事件分析的結果,按照互聯網網路安全事件等級判斷標准確定事件等級,並做好啟動相應應急預案處置規程的准備。
5.2應急響應
5.2.1響應等級
根據互聯網網路安全事件的可控性、嚴重程度和影響范圍,應急響應級別分為四級:Ⅰ級、Ⅱ級、Ⅲ級和Ⅳ級,分別應對特別重大、重大、較大和一般互聯網網路安全事件。
5.2.2分級響應
(1)Ⅰ、Ⅱ級應急響應。發生重大或特別重大信息安全事件,市網安辦立即報請或由市政府確定應急響應等級和范圍,啟動相應應急預案,必要時,組建市應急處置指揮部,統一指揮、協調有關單位和部門實施應急處置。
(2)Ⅲ、Ⅳ級響應。對於一般、較大信息安全事件,市網安辦組織協調具有處置互聯網網路安全事件職責的職能部門和單位以及事發地區縣政府,調度所需應急資源,協助事發單位開展應急處置。
5.2.3響應程序
(1)應急資源調配
①應急人員協調。市網安辦根據具體的互聯網網路安全事件,負責組織協調信息安全專家、網路專家、信息系統專家等各類應急響應技術人員。
②相關許可權。市網安辦負責明確和協調處置機構或人員在應急響應過程中所需的許可權。
③其它必要資源。市網安辦根據應急資料庫中的信息獲取處置事件所必需的資源,如網路與通訊資源、計算機設備、網路設備、網路安全設備與軟體、處置案例、解決方案等,為處置小組提供參考。
(2)處置方案制訂與檢驗。處置小組制訂具體處置方案,交由市網安辦組織相關工作機構、事發單位和有關職能部門進行檢驗,檢驗結果上報市應急處置指揮部。
(3)處置決策與資源調度。市應急處置指揮部對市網安辦上報的檢驗結果進行評估,經批准後,聯絡小組及有關部門按處置方案的要求,協調、落實所需的資源。
(4)實施處置。處置小組根據指揮部下達的指令,按照承擔職責和操作許可權建立運行機制,執行對互聯網網路安全事件的應急處置。
5.3先期處置
5.3.1互聯網網路安全事件發生後,事發單位必須在第一時間實施即時處置,並按職責和規定許可權啟動相關應急預案處置規程,控制事態發展並及時市網安辦、市應急聯動中心或事發地區縣政府報告。
5.3.2市網安辦應在接報事件信息後,及時掌握事件的發展情況,評估事件的影響和可能波及的范圍,研判事件的發展態勢,根據需要組織各專業工作機構在各自職責范圍內參與互聯網網路安全事件的先期應急處置工作。
5.3.3市網安辦會同市應急聯動中心組織事發地區縣政府和相關聯動單位聯動處置較大和一般互聯網網路安全事件,對特別重大或重大互聯網網路安全事件,負責組織實施先期處置。
5.4應急指揮與協調
5.4.1一旦發生先期處置仍不能控制的互聯網網路安全事件,市網安辦應及時研判事件等級並上報市政府,必要時,成立市應急處置指揮部,下設聯絡小組和處置小組。
5.4.2現場指揮部由事發地區縣政府和市網安辦視情設立,在市應急處置指揮部的統一指揮下,負責現場應急處置的指揮協調。現場指揮部由市網安辦、發生互聯網網路安全事件所在的主管機構與責任單位負責人組成,並根據處置需要組織信息安全專家等參與。
5.5 應急結束
5.5.1對於重大和特別重大的互聯網網路安全事件,在應急處置工作結束,或者相關危險因素消除後,市政府根據市應急處置指揮部的建議,決定終止實施應急措施,轉入常態管理。
5.5.2對於一般和較大的互聯網網路安全事件,應急結束的判斷標准為信息系統和業務恢復正常,由該事件衍生的其它事件已經消失,安全隱患已經消除。由市網安辦宣布應急結束,轉入常態管理。