1总则
    1.1目的 
    为科学应对网络与信息安全(以下简称“信息安全”)突发事件，建立健全信息安全应急响应机制，有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响，保证公司局域网的稳定运行，提供良好的办公环境，制定本应急预案。 
    1.2工作原则 
    1.2.1依法管理，即贯彻落实《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、计算机信息网络国际联网管理暂行规定》等有关法律法规。 
    1.2.2按照“分级负责”的原则，公司一级的信息安全紧急事件由信息安全指挥组负责指挥处置；各部门一级的信息安全紧急事件由各部门主管领导负责，切实做到“责任落实、层层负责”。 
    1.3适用范围 
    本预案适用于公司局域网发生的信息安全预警以及突发紧急事件。 
    1.4术语定义 
    信息安全突发事件：是指由于自然灾害、设备软硬件故障、内部人为失误或破坏、黑客攻击、无线电频率干扰和计算机病毒破坏等原因，导致基础网络设施、信息内容及信息系统的正常运行受到严重影响，出现业务中断、系统破坏、数据破坏或信息失窃或泄密等现象。 
    1.5编制依据 
    《中华人民共和国计算机信息系统安全保护条例》 
    《计算机病毒防治管理办法》 
    《计算机信息网络国际联网管理暂行规定》 
    《国家信息化领导小组关于加强网络与信息安全保障工作的意见》 
    《中电投集团公司应急预案管理制度》 
    《重庆九龙电力股份有限公司突发事件总体应急预案》 
    《中电投远达环保工程有限公司事故综合应急预案》 
    《中电投远达环保工程有限公司网络与信息安全事件应急预案》 
    2 公司网络与信息安全现状及其成因 
    2.1公司网络与信息安全现状 
    随着公司信息化进程的迅速发展，网络安全也需不断加强。由于社会上信息与网络犯罪有快速蔓延之势，因此加强公司信息安全保障基础工作和技术保障措施，制定相应预防措施和应急预案是非常必要的。 
    信息安全突发事件原因可分为两个方面：一是网络与信息系统自身的脆弱性，主要表现在：安全漏洞的普遍性存在，攻击和恶意代码的流行性，入侵检测能力的局限性和准确性，网络和系统管理的复杂性；二是网络与信息系统外部体制性的不安全性，主要表现在：信息安全法制不健全，全社会的信息安全意识淡薄，技术防御整体水平不高。 
    2.2防范措施 
    提高警惕，严密防范，预防有害信息在局域网的传播，及时妥善地处置影响公司信息安全的突发事件，为保证和维护公司局域网稳定提供可靠的信息保证和良好的办公环境。发现和防范重大信息安全突发性事件，及时采取有效控制措施，迅速控制事件影响范围，力争将损失降到最低程度。
    3 组织机构及职责 
    3.1应急指挥机构 
    信息安全应急指挥组： 
    指挥长：何世德 
    副指挥长：李锐、陈再文 
    职责：负责指挥处置各类重大危害信息安全的突发事件。 
    3.2工作办公室 
    信息安全应急指挥组下设工作办公室，办公室设在总经理工作部。
职责：对公司信息安全工作进行全面的分析研究，制定工作方案；监督检查公司信息安全突发事件预防、应急准备、应急处置和事后恢复与重建工作；组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划。 
    3.3应急工作小组 
    工作办公室组织成立两个信息安全应急工作小组：网络信息安全应急工作小组、网络运行安全应急工作小组。 
    （1）网络信息安全应急工作小组（同时也是公司网络信息管理领导小组办公室) 
    成员：李旯（电话：68796982）、牟杰（电话：86565202）、牟强（电话：86587864） 
    职责：当公司网站中出现危害国家安全、社会稳定及公司正常办公秩序的非法信息时，负责及时清理，会同有关部门积极查找非法信息来源，并按照有关法律法规及公司相关规章制度进行处理。 
    （2）公司网络运行安全应急工作小组 
    成员：李旯、牟杰、周高飞（电话：86587860）
职责：当由于系统崩溃、病毒攻击、非法入侵等原因造成公司网络运行异常或瘫痪时，负责及时发现并找出原因，尽快恢复网络正常运行。 
    4 预警响应 
    4.1建立网络信息安全紧急事件预警机制 
    由网络信息安全应急工作小组负责具体监控和处理，主要是应对公司局域网内可能出现的非法信息的传播。 
    4.2预警分级
网络信息安全预警分为三个等级，即：Ⅰ级警告、Ⅱ级警告、Ⅲ级警告。 
    4.2.1Ⅰ级警告包括下列情况： 
    公司局域网提供有信息交互能力的服务出现非法信息，但尚未在公司和社会造成广泛影响的；公司外互联网上出现少量非法信息，经查非法信息确来自公司 IP 地址机器，但未造成严重影响的；公司内网用户邮箱出现大量非法宣传邮件，但未造成严重影响的。 
    4.2.2 Ⅱ级警告包括下列情况： 
    公司局域网提供有信息交互能力的服务出现非法信息，在公司内、外造成了一定影响，但未造成实质性危害的；公司外互联网上出现非法信息，经查非法信息确来自公司 IP 地址机器，在社会上造成一定影响但未造成实质性危害的；利用公司网络散布信息，煽动危害国家和社会的行动，尚未造成实质性危害的。 
    4.2.3 Ⅲ级警告包括下列情况： 
    公司外互联网上出现非法信息，经查非法信息确来自公司 IP 地址机器，在社会上造成实质性危害的，或利用公司网络组织危害国家和社会的行动；公司内网用户邮箱出现大量煽动性宣传邮件，在社会上造成实质性危害的，或者利用公司网络组织危害国家和社会的行动；公司内网提供有信息交互能力的服务出现非法信息，在公司内外造成实质性危害或利用公司网络组织危害国家和社会的行动。 
    4.3预警响应 
    4.3.1预警情况出现后一般处理方法
应急工作小组发现或得到举报后，立即定位有害信息，对有害信息立即备份留查，然后删除有害信息并立即报告指挥组和有关单位。对于不能立即删除或服务器大面积甚至全部出现有害信息时，应立即通知服务器管理管理人员立即停止服务器的网路连接或网络服务，进行隔离，然后管理人员进行善后处理，待问题解决后恢复网络服务。特殊情况下，工作小组将责成技术人员进行单机或区域隔离，然后通知服务器管理人员进行善后处理。 
    4.3.2Ⅰ级警告响应 
    对公司网实施动态监控，做好工作日志，加强防范，监视事件的发展动态，争取主动，控制事件升级。 
    4.3.2 Ⅱ级警告响应 
    （1）启动过滤措施，提高信息安全级别；提高各服务器的安全级别与安全级别设置。 
    （2）追查非法信息的发布源，及早按照公司有关规定严肃处理；控制非法信息传播区域。 
    （3）当发现或接到举报，某用户对于大量接受和发送有害信息邮件的邮件账户，进行临时关闭，并将用户情况报指挥组。 
    4.3.3 Ⅲ级警告响应 
    （1）应急工作小组组长负责组织实施应急措施，定时向指挥组和有关部门通告最新情况，并按照有关规定上报上级机关。 
    （2）根据非法信息的不良影响程度，关闭部分服务器及网络设备，以控制非法信息的传播途径。 
    （3）根据需要购置网络安全系统，更新网络安全设备，以提高技术监控能力。 
    （4）清查非法信息的传播者，并上报公司指挥组及地方相关部门，按照国家有关法律政策处理。 
    5 紧急事件应急响应 
    5.1建立网络运行安全紧急事件预警机制 
    由网络运行安全应急工作小组负责监测、通告和处理。主要应对网络可能会遭受的病毒、非法攻击影响网络正常工作的事件。 
    5.2网络紧急事件分级 
    网络紧急事件分为三个等级，即Ⅰ级事件、Ⅱ级事件、Ⅲ 级事件。 
    5.2.1Ⅰ级事件包括下列情况： 
    （1）由于病毒攻击、非法入侵等原因，内网部分计算机出现网络瘫痪，或者 FPT及部分网站服务器不能响应用户请求。 
    （2）主机由于病毒攻击或非法入侵，不能正常工作。 
    5.2.2 Ⅱ级事件包括下列情况： 
    由于病毒攻击、非法入侵等原因，部分计算机出现网络瘫痪，或者邮件、WEB服务器不能正常工作。 
    5.2.3 Ⅲ 级事件包括下列情况： 
    （1）由于病毒攻击、非法入侵等原因，网络整体瘫痪，或者机房全部DNS、主 WEB 服务器不能正常工作。 
    （2）由于病毒攻击、非法入侵、人为破坏或不可抗力等原因，造成网络出口中断。 
    5.3事件响应 
    5.3.1Ⅰ级事件响应 
    针对网络内发生的网络运行安全事件，诸如内部病毒泛滥、恶意攻击、服务器及网络设备的运行状况不佳等，及时公布检查办法、补丁下载，做好重要信息备份。同时做好技术防范，避免损失。 
    5.3.2 Ⅱ级事件响应 
    （1）对于病毒传播，病毒性恶意攻击，在网络上公布病毒攻击的情况、病毒特征以及相应的处理办法和工具。同时要求相关用户进行病毒清除工作，对于置之不理的用户，将关闭其网络连接，孤立病毒或攻击，将危害减少到最小。 
    （2）启动过滤措施，提高网络安全级别。更改防火墙的安全设置，提高各服务器的安全级别设置，增强安全过滤级别。 
    对于来自网络外的攻击，首先确定攻击源地址，在出口防火墙上过滤该攻击源，并请求ISP提供商进行技术支援，联合监控和过滤该攻击；对来自网络内的攻击，确定攻击源，进行个体隔离，如果不能进行个体隔离，将实行区域隔离，直至大面积关闭相关网络。对于大量接收和发送垃圾邮件、病毒邮件的邮件账户，进行临时关闭，防止导致邮件服务器负荷过重而瘫痪。 
    （3）通知用户进行个人计算机的病毒清除工作，待系统恢复正常后，再申请开通。 
    5.3.3 Ⅲ级事件响应 
    （1）根据对内网运行安全的影响，关闭部分服务器和网络设备，甚至临时关闭全网进行短暂的休眠疗法。 
    （2）逐个子网试验性开通，查出导致全网瘫痪的病毒或攻击源。对于来自网络外的强大攻击，首先确定攻击源地址，在出口防火墙上过滤该攻击源，并请求ISP提供商进行技术支援，在地区网络中心处进行过滤该攻击，以减低对公司外部通道的负荷。 
    对来自内网的攻击，确定攻击源，进行个体隔离，如果不能进行个体隔离，将实行区域隔离，直至大面积关闭相关网络。 
    （3）对于大量接收和发送垃圾邮件、病毒邮件的邮件账户，进行临时关闭，防止导致邮件服务器负荷过重而瘫痪。通知用户进行个人计算机的病毒和攻击清除工作，待系统恢复正常后，再申请开通。 
    （4）为了隔离病毒和恶意入侵攻击，保证网络其他区域的正常工作，工作小组有权关闭部分网络设备或部分相关服务器，待攻击被解决后，恢复关闭的网络。网络内的接入计算机，必须服从应急工作小组的领导、工作安排，积极配合应急工作小组进行工作，排查病毒和恶意攻击，配合追查恶意攻击者。 
    在服务器系统崩溃时，用备用服务器替换崩溃服务器。在病毒攻击或其他原因造成网络管理设备处理能力不足或网络设备损坏时，用备用网络设备替换损坏设备。 
    6 应急启动及中止 
    6.1应急启动程序 
    当公司网络运行及网络信息安全事件发生时，由相应的安全应急工作小组报公司信息安全应急处置指挥组、工作办公室，根据安全事件的级别，启动相应的应急措施，具体启动项目如下： 
    （1）应急保障启动 
    正式启动应急措施时，应急保障同时启动，工作小组成员要保证人、财、物的应急需求；必要时由相应的安全应急工作小组组长提出物资保障清单、后勤支持项目清单、必须采购的计算机系统及网络设备清单以及应急工作人员的合理补助等，报送公司信息安全应急处置指挥组、工作办公室，经公司有关部门审核通过后，予以实施。 
    （2）应急工作小组进入应急状态
应急工作小组进入应急状态后，由组长全面负责应急处理工作；工作小组成员进入应急状态，全力以赴采取相应处置措施，把损失降至最低。 
    6.2应急中止程序 
    根据公司内网运行情况及信息安全紧急事件的发展趋势，当该紧急事件应急处置结束，确认不会对国家安全、社会稳定及公司正常办公造成影响时，由公司网络信息安全应急处置指挥组组长签字认可后，正式终止应急措施。 
    7 应急保障 
    7.1内部保障 
    公司针对局域网络紧急事件的发生，应储备必须的有关物资、设备、人力，避免时间拖延造成不必要的损失。 
    7.2外部支援 
    依据公司网络及信息安全紧急事件的影响程度，如需上级部门或其他单位支持时，应寻求外部支援。重庆市公安局网络安全监察总队（电话：023-63757213）。 
    8 附则 
    8.1本预案通过演习、实践检验，以及根据应急力量变更、新技术、新资源的应用和应急事件发展趋势，及时修订和完善。 
    8.2本预案由总经理工作部/安全质量部编制。 
    8.3本预案的日常工作由总经理工作部负责。 
    8.4本预案自发布之日起实施

(责任编辑：adminadmin2008)