恢复：清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应该十分小心，避免出现误操作导致数据的丢失。另外，恢复工作中如果涉及到机密数据，需要额外遵照机密系统的恢复要求。对不同任务的恢复工作的承担单位，要有不同的担保。如果攻击者获得了超级用户的访问权，一次完整的恢复应该强制性地修改所有的口令。
    4．4报告和总结
回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中。发生重大信息安全事件应当在事件处理完毕后5个工作日内将处理结果报省信息产业厅备案。
    4．5应急行动结束
根据信息安全事件的处置进展情况和现场应急处理工作组意见，信息安全应急办公室应组织相关部门及专家组对信息安全事件的处置情况进行综合评估，并由应急办及时向应急委提出应急行动结束建议。应急行动是否结束，由应急委决定。
    五、保障措施
    5．1技术支撑保障
    设立信息安全应急响应中心，建立预警与应急处理的技术平台，进一步提高安全事件的发现和分析能力：从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。
    5．2应急队伍保障
    加强信息安全人才培养，强化信息安全宣传教育，建设一支高素质、高技术的信息安全核心人才和管理队伍，提高信息安全防御意识。
    与相关厂商、当地安全公司等第三方单位建立长期合作关系，充分利用社会资源，加强安全应急队伍保障。
    5．3物质条件保障
    安排一定的资金用于预防或应对信息安全突发事件，提供必要的设备保障，优化信息安全应急处理工作的物资保障条件。
    5．4技术储备保障
    信息安全应急委办公室组织有关专家和科研力量，开展应急运作机制、应急处理技术、预警和控制等研究，推广新的应急技术。
    六、培训和演练
    6．1 人员培训
    为确保信息安全应急预案有效运行，信息安全应急委应定期或不定期地举办不同层次、不同类型的培训班或研讨会，以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。
    6．2 应急演练
    为提高信息安全突发事件应急响应水平，信息安全应急委应定期或不定期组织预案演练；检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演练，进一步明确应急响应各岗位责任，对预案中存在的问题和不足及时补充、完善。
    七、监督检查与奖惩
    7．1预案执行监督
    信息安全应急委办公室负责对预案实施的全过程进行监督检查，督促相关单位和部门按本预案指定的职责采取应急措施，确保及时、到位。
    7．1．1发生重大信息安全事件的单位或部门应当按照规定及时如实地报告事件的有关信息，不得瞒报、缓报或者授意他人瞒报、缓报。任何单位或个人发现有瞒报、缓报、谎报重大信息安全事件情况时，有权直接向信息安全应应急委举报。
    7．1．2应急行动结束后，信息安全应急委办公室对相关成员单位采取的应急行动的及时性、有效性进行评估。
    7．2奖惩与责任 
    7．2．1对下列情况可以经信息安全应急委办公室评估审核，报信息安全应急委批准后予以奖励。
    在应急行动中做出特殊贡献的先进单位和集体；
    在应急行动中提出重要建议、节约大量应急资源或避免重大损失的人员；
    在应急行动第一线做出重大成绩的现场作业人员。
    7．2．2在发生重大信息安全事件后，有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的，信息安全应急委办公室将予以通报批评；对造成严重不良后果的，将视情节由有关主管部门追究责任领导和责任人的行政责任；构成犯罪的，由有关部门依法追究其法律责任。
    7．2．3对未及时落实信息安全应急委指令，影响应急行动的效果的，按《国务院关于特大安全事故行政责任追究的规定》追究相关人员的责任。

(责任编辑：adminadmin2008)