3．2 预警
    信息安全应急委办公室接到信息安全突发事件报告后，应当经初步核实后，将有关情况及时向办公室主任报告，进一步进行情况综合，研究分析可能造成损害的程度，提出初步行动对策，并及时向上级汇报。办公室主任视情况召集协调会，决策行动方案，发布指示和命令。
    3．3预警支持系统
    信息安全应急委办公室应建立和完善信息监测、传递网络和指挥决策支持系统，要保证资源共享、运转正常。
    3．4预防机制
    积极推行信息安全等级保护，定期进行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复，制定并不断完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件，各相关部门建立制度化、程序化的处理流程。
    四、应急处理程序
    4．1级别的确定
    信息安全事件分级的参考要素包括信息密级、公众影响、业务影响和资产损失等四项。各参考要素分别说明如下：
    (1)信息密级是衡量因信息失窃或泄密所造成的信息安全事件中所涉及信息的重要程度的要素；
    (2)公众影响是衡量信息安全事件所造成的负面影响范围和程度的要素；　
    (3)业务影响是衡量信息安全事件对事发单位正常业务开展所造成的负面影响程度的要素；
    (4)资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。
    信息安全突发事件级别分为四级：一般(IV级)、较大(III级)、重大(II级)和特别重大(I级)，对应颜色依次为蓝色、黄色、橙色和红色。
    IV级：科技厅内部小范围出现并可能造成较大损害的信息安全事件。
    Ⅲ级：科技厅重要部门网络与信息系统、重点网站网络与信息系统受到大面积严重冲击。
    II级：科技厅重要部门或局部地区基础网络、重要信息系统、重点网站瘫痪，导致业务中断，但纵向或横向延伸可能造成严重社会影响或较大经济损失。
    I级：敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动，或者多地点或多地区基础网络、重要信息系统、重点网站瘫痪，导致业务中断，造成或可能造成严重社会影响或巨大经济损失的信息安全事件。
    4．2预案启动
    4．2．1发生IV级网络信息安全事件后，由发生事件的单位或部门启动相应预案，并负责急办处理工作；发生III级网络信息安全事件后，由发生事件的单位或部门启动相应预案，并由应急办负责指挥应急处理工作；发生I、II级的信息安全突发事件后，上报至应急委启动相应预案，并由应急委负责应急处理工作。
    4．2．2 应急办接到报告后，应当立即相关领导，并尽快组织专家组对突发事件性质、级别及启动预案的时机进行评估，向应急委提出启动预案的建议，报应急委批准。
    4．2．3在启动预案决定后，应急小组立即启动应急处理工作。
    4．3现场应急处理
    事件发生单位和现场应急处理工作组尽最大可能收集事件相关信息，强别事件类别，确定事件来源，保护证据，以便缩短应急响应时间。
    评估：确定威胁造成的结果，评估事件带来的影响和损害：如检查系统、服务、数据的完整性、保密性或可用性，检查攻击者是否侵入了系统，以后是否能再次随意进入，损失的程度，确定暴露出的主要危险等。
    抑制：抑制事件的影响进一步扩大，限制潜在的损失与破坏。可能的抑制策略一般包括：关闭服务，关闭所有的系统，从网络上断开相关系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路，提高系统或网络行为的监控级别，设置陷阱，启用紧急事件下的接管系统，实行特殊“防卫状态”安全警戒，反击攻击者的系统等。
    根除:在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。与此同时，配合执法部门和其他相关机构将对攻击源进行定位并采取合适的措施将其中断。

(责任编辑：adminadmin2008)