4.3 现场应急处理 
    发生信息安全突发事件的单位按各市、省直各部门作出启动本级预案的决定，或报经省网络与信息安全协调小组批准启动省级预案，须做好现场应急处理。 
    (1) 尽最大可能收集事件相关信息，正确定位威胁和安全事件的来源，缩短响应时间。 
    (2) 检查威胁造成的结果：如检查系统、服务、数据的完整性、保密性或可用性，检查攻击者是否侵入了系统，再次侵入的可能性，损失的程度，确定暴露出的主要危险等。 
    (3) 抑制事件的影响进一步扩大，限制潜在的损失与破坏。可能的抑制策略一般包括：关闭服务或关闭所有的系统，从网络上断开相关系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路，提高系统或网络行为的监控级别，设置陷阱，启用紧急事件下的接管系统，实行特殊防卫状态安全警戒，反击攻击者的系统等。 
    (4) 根除。在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。与此同时，对攻击源进行定位并采取合适的措施将其中断。 
    (5) 恢复信息。恢复数据、程序、服务、系统。清理系统、把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复中涉及机密数据，需要额外遵照机密系统的恢复要求。
4.4 应急预案终止 
    (1) 发生信息安全突发事件的单位根据信息安全事件的处置进展情况，及时向省应急办、各市政府、省直各部门提出终止应急预案建议。 
    (2) 省应急办、各市(区)政府、省直各部门接到终止应急预案建议后，组织相关部门及本级专家组对信息安全事件的处置情况进行综合评估，按预警级别做出决定，并报省网络与信息安全协调小组备案。 
    (3) 总结。回顾并整理发生事件的各种相关信息，详细记录所有情况，认真总结经验教训，提出改进措施，逐级上报调查报告。
5、保障措施 
    省信息办、各市(区)、省公安厅、省国家安全厅、省保密局、省国密办、省通信管理局、省广电局、省财政厅等相关部门和单位在省网络与信息安全协调小组的统一领导下，认真履行各自职责，落实任务，密切配合，确保应急预案有效实施。并做好各项保障措施。 
    (1) 积极推行信息安全等级保护，逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复，制定并不断完善信息安全应急处置预案。针对基础信息网络的突发性、大规模安全事件，各相关部门要建立科学化、制度化的处理流程。 
    (2) 建立健全指挥调度机制和信息安全通报制度，进一步完善信息安全应急处理协调机制。 
    (3) 建立应急处理技术平台，进一步提高安全事件的发现和分析能力，从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。 
    (4) 加强信息安全人才培养，强化信息安全宣传教育，尽快建设一支高素质、高技术的信息安全核心人才及管理队伍，提高全社会网络与信息安全防御意识 。 
    (5) 加强对攻击网络与信息的分析和预警，进一步提高网络与信息安全监察执法能力，加大对计算机犯罪的打击力度。 
    (6) 大力发展网络与信息安全服务业，增强社会应急支援能力。 
    (7) 提供必要的交通运输保障和经费保障，优化信息安全应急处理工作的物资保障条件。 
    (8) 明确监督主体和责任，对预案实施的全过程进行监督检查，保障应急措施到位，预案实施有效。

6、附则 
    (1) 本预案自批准之日起执行。 
    (2) 各市(区)、省级各有关部门应参照本预案，制定各市(区)、各部门网络与信息安全突发事件应急预案。 
    (3) 本预案由省信息产业厅负责解释。

(责任编辑：adminadmin2008)