第一章　总则

第一条本预案所称突发性事件，是指自然因素或人为活动引发的危害银川市审计局网络设施及信息安全等有关的灾害。

第二条本预案的指导思想是确保银川市审计局有关计算机网络及信息的安全。

第三条本预案适用于发生在银川市审计局网络范围内的突发性事件应急工作。

第四条应急处置工作原则：统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全。

第二章　组织机构与职责

第五条局网络安全和信息化领导小组办公室，负责局网络安全事件预防与应急处置工作，包括网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。主要职责包括：

1．组织落实局网络安全和信息化领导小组的部署要求，协调和调动各部门应对网络安全事件应急相关工作；

2．网络安全风险评估控制、隐患排查和整改；

3．制定完善局网络安全事件应急预案；

4．局网络安全事件的宣传教育与培训。

第三章　处置措施和处置程序

第六条处置措施

处置的基本措施分事故发生前与事故发生后两种情况。

（一）事故发生前，即日常管理与事故发生前的征兆阶段，局网络安全和信息化工作领导小组（以下简称领导小组）要预先建设事故预警预报体系（防杀毒体系、入侵检测系统），及时处理灾害讯情信息。领导小组办公室要充分发挥监测的作用，加强对重点部位的监测和防范，发现有意外状况时，要及时处理并向领导小组报告。

（二）事故发生后，立即启动应急预案，采取应急处置程序，判定事故级别，并立即向网络与信息安全领导小组报告，在处置过程中，应及时报告处置工作进展情况，直至处置工作结束。

第七条处置程序

（一）发现情况

市局各科室网络安全员要严格执行设备管理和定期查杀毒流程，审计信息数据分析中心做好网络信息安全的日常巡查工作，以保障最先发现事故并及时处置。

（二）预案启动

一旦事故发生，立即启动应急预案，进入应急预案的处置程序。

（三）应急处置方法

在事故发生时，首先应区分事故发生是否为自然灾害与人为破坏两种情况，根据这两种情况把应急处置方法分为两个流程。

流程一：当发生的事故为自然灾害时，应根据当时的实际情况，在保障人身安全的前提下，首先保障数据的安全，然后是设备安全。具体方法包括：硬盘的拔出与保存，设备的断电与拆卸、搬迁等。

流程二：当人为或病毒破坏事故发生时，具体按以下顺序进行：判断破坏的来源与性质，断开影响安全与稳定的信息网络设备，断开与破坏来源的网络物理连接，跟踪并锁定破坏来源的IP或其它网络用户信息，修复被破坏的信息数据，恢复系统运行。按照事故发生的性质分别采用以下方案：

1．网络、应用系统故障的应急处理流程

（1）报告和简单处理

网络、应用系统故障应由发现人通知领导小组办公室，审计信息数据分析中心派网络安全员立即检查故障，进行初步故障定位。如果网络、应用系统出现比较严重的问题，对网络业务的正常运行造成较大的影响，需立即向有关领导报告。

（2）故障判断与排除

对简单故障，网络安全员应迅速排除故障，解决问题并记录。如果需要更换设备，应上报有关领导，经批准后马上更换故障设备，尽快恢复网络、应用系统运行。网络安全员判断无法及时修理时，应立即通知相关的设备系统运行服务提供商，在最短的时间内安排修理或更换。

（3）网络线路故障排除

如发现属外部线路的问题，应与线路服务提供商联系，敦促对方尽快恢复故障线路。

2．黑客入侵的应急处理

（1）报告和简单处理

当发现网络上有黑客攻击行为，任何人员都有义务向领导小组办公室报告。审计信息数据分析中心立即启动应急响应，切断受攻击计算机与网络的连接，停止一切操作、保护现场，并上报有关领导。

（2）处理和恢复使用

对于黑客攻击，由审计信息数据分析中心查找入侵踪迹，分析入侵方式和原因。由网络安全员根据对入侵事件的分析，组织相关人员对内部网计算机整改，防止黑客用同样的手段再次入侵其他计算机。网络安全员检查确定无安全隐患后，才可将受攻击计算机重新连接网络。

（3）应急响应

网络安全员应做好记录，保护现场，进行日志收集等工作。如果能追查到攻击者的相关信息，可以对其发出警告，必要时可采取进一步的行动，乃至采取法律手段。根据破坏程度，经有关领导同意后，上报公安部门。

若系统已被黑客破坏，无法恢复，应将受黑客攻击的计算机上的重要数据备份到其他存储介质，确保计算机内重要的数据不丢失。如果数据无法恢复，经有关领导同意后，可与国家指定的部门联系，由他们来协助恢复，为保证数据信息安全，需在安全管理部门作记录。

3．大规模病毒（含恶意软件）攻击的应急处理

（1）报告和简单处理

当发现网络上有大规模病毒攻击的行为，任何人员都有义务向领导小组办公室报告。由审计信息数据分析中心组织应急响应，切断受攻击计算机与网络的连接，停止一切操作、保护现场，立即上报有关领导。

（2）已知病毒的处理和恢复

使用最新版本杀毒软件对染毒计算机进行全面杀毒，并对染毒计算机系统进行漏洞修补。网络安全员确定没有病毒和安全漏洞后，再连接网络恢复使用。

（3）未知病毒的处理和恢复

通过入侵检测系统控制台对网络目前正在发生的安全事件进行调用查看，分析主机上的审计记录和日志文件，查找到感染病毒或恶意程序的工作站的IP地址。根据IP地址信息找到该工作站的具体位置，断开网络端口，隔离该工作站、服务器，阻断其与局域网的连接。

对于未知病毒，应首先尝试手工杀毒处理，若系统已被病毒破坏，无法恢复，应将感染病毒计算机上的硬盘加挂到其他机器上处理，将重要数据备份到其他存储介质，尽最大努力保护、保留感染计算机内重要的数据，同时防止病毒感染其他计算机。如果数据无法恢复，经有关领导同意后，可与国家指定的反病毒部门联系，由他们来协助恢复，为保证信息数据安全，需在安全管理部门作记录。如为涉及国家秘密的数据，不允许由其他机构来恢复数据。

4．发生水害、火灾时的紧急处置措施

（1）数据分析室机房内发生水害、火警时，置身灾害现场的人员在确保自身安全的前提下呼喊提醒同事协助，在时间许可的情况下应关闭电源、房门后撤离，审计信息数据分析中心向分管局领导报告相关情况及处理措施；

（2）火灾扑灭后，协助消防等部门保护现场，查明起火原因清理现场，尽可能保全设备资产和信息资源；

（3）在技术支持部门的协助下，恢复系统运行。

5．发生断电时的紧急处置措施

（1）接到发生外电源中断通知，审计信息数据分析中心应立即向分管领导报告；

（2）审计信息数据分析中心负责通知相关处室保存相关数据，然后关闭网络系统及其它相关设备；

（3）恢复供电后，审计信息数据分析中心负责启动网络系统等相关设备，监视至系统重新正常运行；

（4）未接到通知发生断电的，审计信息数据分析中心应及时与市机关事务局联系，掌握断电情况，并及时向分管领导报告，恢复电源后启动设备并监测各设备是否工作正常。

6．其他没有列出的不确定因素造成的事故，可根据总的安全原则，结合具体的情况，做出相应的处理。不能处理的可以请示相关的专业人员。

（四）情况报告

事故发生时，一方面按照应急处置方法进行处置，同时向领导小组及时报告处置工作进展情况，直至处置工作结束。根据事故影响等级向市委网信办及公安机关计算机信息系统安全监察部门汇报。

情况报告内容包括：事故发生的时间、地点，灾害的级别，事故造成的后果，应急处置的过程、结果，事故结束的时间，以后如何防范类似事故发生的建议与方案等。

（五）发布预警

事故发生时，可根据事故的危害程度适当发布预警，特别是一些在其他地方已经出现，或在安全相关网站发布了预警而信息网络还没有出现相应的事故，除了在技术上进行防范以外，还应当向网络信息用户发布预警，直至事故警报解除。

（六）预案终止

经检测，事故险情或事故已消除，或者得到有效控制后，由领导小组宣布险情或事故应急期结束，并予以公告，同时预案终止。

第四章  保障措施

第八条人员保障

重视人员培训与保障，确保事故发生前、事故处置过程和重建中的人员在岗与战斗力。

第九条技术保障

重视网络信息技术的建设和升级换代，在事故发生前确保网络信息系统的安全，事故处置过程中和重建中的相关技术支撑。

第十条物资保障

要根据网络信息安全防治工作需要，做好网络信息安全设备储备工作，保证技术安全装备的及时更新，以确保应急工作的顺利进行。

第十一条宣传教育

定期对全局工作人员宣传培训网络信息安全相关法律法规和信息安全基础知识，提高信息安全应急防范意识。

第五章  附则

第十二条 本预案由局网络安全和信息化工作领导小组负责解释。　

第十三条 本预案自发布之日起施行。