网络安全突发事件应急预案

网络安全突发事件应急预案
运维星火燎原 2024-06-15 00:01 山西

1. 总则

1.1 编制目的

建立健全网络安全突发事件应急组织体系和工作机制，提高网络安全突发事件综合应对能力，确保及时有效地控制、减轻和消除网络安全突发事件造成的社会危害和损失，保证持续稳定运行和数据安全。

1.2 编制依据

《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国电信条例》等法律法规和《国家突发公共事件总体应急预案》《国家网络安全事件应急预案》《网络安全突发事件应急预案》等相关规定。

1.3 适用范围

本预案适用于行政区域内面向社会提供服务的基础电信企业、域名注册管理和服务机构（以下简称域名机构）、互联网企业（含工业互联网平台企业）发生网络安全突发事件的应对工作。

本预案所称网络安全突发事件，是指突然发生的，由网络攻击、网络入侵、恶意程序等导致的，造成或可能造成严重社会危害或影响，需要网络安全管理部门组织采取应急处置措施予以应对的网络中断（拥塞）、系统瘫痪（异常）、数据泄露（丢失）、病毒传播等事件。

工业和信息化部及网络安全管理部门对国家和本省重大活动期间网络安全突发事件应对工作另有规定的，从其规定。

1.4 工作原则

网络安全突发事件应急工作坚持统一领导、分级负责；坚持统一指挥、密切协同、快速反应、科学处置；坚持预防为主，预防与应急相结合；落实基础电信企业、域名机构、互联网企业的主体责任；充分发挥网络安全专业机构、网络安全企业和专家学者等各方面力量的作用。

1.组织体系

2.1 领导机构与职责

在工业和信息化部网络安全应急办公室（以下简称部应急办）统一指挥下，在委网络安全和信息化领导小组办公室（以下简称省委网信办）统筹协调下，网络安全管理部门网络安全领导小组（以下简称领导小组）统一领导本省网络安全突发事件应急管理工作，负责较大网络安全突发事件的指挥和协调。

2.2 办事机构与职责

在部应急办和领导小组的领导下，网络安全管理部门网络安全领导小组办公室（以下简称网安办）负责本省网络安全突发事件应急管理事务性工作；及时向部应急办和领导小组报告突发事件情况，提出较大网络安全突发事件应对措施建议；负责一般网络安全突发事件的统一指挥和协调。

网安办具体工作由网络安全管理部门网络安全管理处承担，有关单位应明确负责人和联络员参与相关工作。

2.3 其他相关单位职责

基础电信企业、域名机构、互联网企业负责本单位网络安全突发事件预防、监测、报告和应急处置工作，为其他单位的网络安全突发事件应对提供技术支持。

网络信息安全技术管控中心、中国信息通信研究院、中国软件评测中心等网络安全专业机构受网络安全管理部门委托，协助监测、报告网络安全突发事件和预警信息，为应急工作提供决策支持和技术支撑。

鼓励网络安全企业和专家学者支撑参与网络安全突发事件应对工作。

1. 事件分级

根据社会影响范围和危害程度，网络安全突发事件分为四级：特别重大事件、重大事件、较大事件、一般事件。

3.1 特别重大事件

符合下列情形之一的，为特别重大网络安全事件：

（1）全国范围大量互联网用户无法正常上网；

（2）.CN 国家顶级域名系统解析效率大幅下降；

（3）1 亿以上互联网用户信息泄露；

（4）网络病毒在全国范围大面积爆发；

（5） 其他造成或可能造成特别重大危害或影响的网络安全事件。

3.2 重大事件

符合下列情形之一的，为重大网络安全事件：

（1）多个省大量互联网用户无法正常上网；

（2） 在全国范围有影响力的网站或平台访问出现严重异常；

（3）大型域名解析系统访问出现严重异常；

（4）1 千万以上互联网用户信息泄露；

（5）网络病毒在多个省范围内大面积爆发；

（5） 其他造成或可能造成重大危害或影响的网络安全事件。

3.1 较大事件

符合下列情形之一的，为较大网络安全事件：

（1）1 个省内大量互联网用户无法正常上网；

（2）在省内有影响力的网站或平台访问出现严重异常；

（3）1 百万以上互联网用户信息泄露；

（4）网络病毒在 1 个省范围内大面积爆发；

（5） 其他造成或可能造成较大危害或影响的网络安全事件。

3.2 一般事件

符合下列情形之一的，为一般网络安全事件：

（1）1 个地市大量互联网用户无法正常上网；

（2）10 万以上互联网用户信息泄露；

（3）其他造成或可能造成一般危害或影响的网络安全事件。

1. 监测预警

4.1 事件监测

基础电信企业、域名机构、互联网企业应当对本单位网络和系统的运行状况进行密切监测，一旦发生本预案规定的网络安全突发事件，应当立即通过电话等方式向网安办报告，不得迟报、谎报、瞒报、漏报。

网络安全专业机构、网络安全企业应当通过多种途径监测、收集已经发生的网络安全突发事件信息，并及时向网安办报告。

报告突发事件信息时，应当说明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和有关建议。

4.1 预警监测

基础电信企业、域名机构、互联网企业、网络安全专业机构、网络安全企业应当通过多种途径监测、收集漏洞、病毒、网络攻击最新动向等网络安全隐患和预警信息，对发生突发事件的可能性及其可能造成的影响进行分析评估；认为可能发生突发事件的，应当立即向网安办报告。

4.2 预警分级

按照紧急程度、发展态势和可能造成的危害程度，网络安全突发事件预警等级分为四级：由高到低依次用红色、橙色、黄色和蓝色标示，分别对应可能发生特别重大、重大、较大和一般网络安全突发事件。

4.3 预警发布

网安办及时汇总分析突发事件隐患和预警信息，必要时组织相关单位、专业技术人员、专家学者进行会商研判。

红色、橙色预警由部应急办统一发布。

黄色、蓝色预警由网安办报请领导小组同意后统一发布，并报部应急办，同时通报委网信办等相关部门。

对达不到预警级别但又需要发布警示信息的，网安办可以发布风险提示信息。

发布预警信息时，应当包括预警级别、起始时间、可能的影响范围和造成的危害、应采取的防范措施、时限要求和发布机关等，并公布咨询电话。面向社会发布预警信息可通过网站、短信、微信等多种形式。

4.4 预警响应

4.4.1 黄色、蓝色预警响应

发布黄色、蓝色预警后，网安办应当针对即将发生的网络安全突发事件的特点和可能造成的危害，采取下列措施：

（1） 要求有关单位、机构和人员及时收集、报告有关信息，加强网络安全风险的监测；

（2） 组织有关单位、机构和人员加强事态跟踪分析评估，密切关注事态发展，重要情况报部应急办和领导小组；

（3）及时宣传避免、减轻危害的措施，公布咨询电话，并对相关信息的报道工作进行正确引导。

4.1.1 红色、橙色预警响应

发布红色、橙色预警后，网安办除采取黄色、蓝色预警响应措施外，还应当在部应急办和领导小组的领导下，针对即将发生的网络安全突发事件的特点和可能造成的危害，配合采取下列措施：

（1）要求各相关单位实行 24 小时值班，相关人员保持通信联络畅通；

（2）按照部应急办制定的防范措施和应急工作方案，协调调度各方资源，做好各项准备工作，重要情况报部应急办和领导小组；

（3） 组织有关单位加强对重要网络、系统的网络安全防护；

（4） 要求相关网络安全专业机构、网络安全企业进入待命状态，针对预警信息研究制定应对方案，检查应急设备、软件工具等，确保处于良好状态。

4.2 预警解除

红色、橙色预警由部应急办统一解除。

黄色、蓝色预警发布后, 网安办应当根据事态发展，报请领导小组同意后，适时调整预警级别并按照权限重新发布；经网安办组织研判确定不可能发生突发事件或风险已经解除的，报请领导小组同意后，应当及时宣布解除预警，解除已经采取的有关措施，并报部应急办，同时通报委网信办等相关部门。

1. 应急处置

5.1 响应分级

网络安全突发事件应急响应分为四级：I 级、 II 级、III 级、IV 级，分别对应已经发生的特别重大、重大、较大、一般事件的应急响应。

5.2 先行处置

网络安全突发事件发生后，事发单位在按照本预案规定立即向网安办报告的同时，应当立即启动本单位应急预案，组织本单位应急队伍和工作人员采取应急处置措施，尽最大努力恢复网络和系统运行，尽可能减少对用户和社会的影响，同时注意保存网络攻击、网络入侵或网络病毒的证据。

5.3 启动响应

I 级响应根据国家有关决定或经部领导小组批准后启动， II 级响应由部应急办决定启动。

III 级响应由领导小组决定启动，并负责指挥、协调。IV 级响应由网安办决定启动，并负责指挥、协调。启动 I 级、II 级响应后，网安办在部应急办和领导

小组指挥、协调下开展相关工作。

启动 III 级、IV 级响应后，经领导小组批准，网安办立即将突发事件情况向部应急办报告；网安办和相关单位进入应急状态，实行 24 小时值班，相关人员保持联络畅通；网安办视情况组织相关单位集中办公，设立应急恢复、攻击溯源、影响评估、信息发布、跨部门协调等工作组。

5.1 事态跟踪

启动 I 级、II 级响应后，网安办立即全面了解受影响情况，经领导小组批准后，及时报部应急办。

启动 III 级、IV 级响应后，网安办组织相关单位加强事态跟踪研判。事发单位和网络安全专业机构、网络安全企业应当持续加强监测，及时将事态发展情况、处置进展情况、相关舆情报网安办。基础电信企业、域名机构、互联网企业立即了解自身网络和系统受影响情况，并及时报网安办。

5.2 决策部署

启动 I 级、II 级响应后，网安办在部应急办和领导小组的统一指挥、协调下，组织开展相关处置工作。

启动III 级、IV 级响应后，领导小组或网安办紧急召开会议，听取各相关方面情况汇报，研究紧急应对措施，对应急处置工作进行决策部署。

针对突发事件的类型、特点和原因，要求相关单位采取以下措施：带宽紧急扩容、控制攻击源、过滤攻击流量、修补漏洞、查杀病毒、关闭端口、启用备份数据、暂时关闭相关系统等；对大规模用户信息泄露事件，要求事发单位及时告知受影响的用户，并告知用户减轻危害的措施；防止发生次生、衍生事件的必要措施；其他可以控制和减轻危害的措施。

做好信息报送。经领导小组批准，及时向部应急办报告突发事件处置进展情况；视情况由网安办向委网信办等相关部门通报突发事件有关情况，必要时向部应急办和委网信办等相关部门请求提供支援。

注重信息发布。及时向社会公众通告突发事件情况，宣传避免或减轻危害的措施，公布咨询电话，引导社会舆论。未经领导小组或网安办同意，各相关单位不得擅自向社会发布突发事件相关信息。

5.1 结束响应

突发事件的影响和危害得到控制或消除后，I 级响应根据国家有关决定或经部领导小组批准后结束；II 级响应由部应急办决定结束；III 级、IV 级响应由领导小组或网安办决定结束，并报部应急办，同时通报委网信办等相关部门。

1. 事后总结

6.1 调查评估

网络安全突发事件应急响应结束后，事发单位要及时调查突发事件的起因（包括直接原因和间接原因）、经过、责任，评估突发事件造成的影响和损失，总结突发事件防范和应急处置工作的经验教训，提出处理意见和改进措施，在应急响应结束后 10 个工作日内形成总结报告，报

网安办。网安办汇总并研究后，在应急响应结束后 20 个工作日内形成报告，经领导小组批准，报部应急办。

6.2 奖惩问责

对在应急事件响应过程中做出突出贡献的单位和个人，网络安全管理部门给予表彰和奖励。

对不按照规定制定应急预案和组织开展演练，迟报、谎报、瞒报和漏报突发事件重要情况，或在预防、预警和应急工作中有其他失职、渎职行为的单位或个人，由网络安全管理部门给予约谈、通报或依法、依规给予问责或处分。基础电信企业有关情况纳入企业年度网络与信息安全责任考核。

1. 预防与应急准备

7.1 预防保护

基础电信企业、域名机构、互联网企业应当根据有关法律法规和国家、行业标准的规定，建立健全网络安全管理制度，采取网络安全防护技术措施，建设网络安全技术手段，定期进行网络安全检查和风险评估，及时消除隐患和风险。网络安全管理部门依法开展网络安全监督检查，指导督促相关单位消除安全隐患。

7.2 应急演练

网络安全管理部门组织开展网络安全突发事件应急演练，提高相关单位网络安全突发事件应对能力。基础电信企业、互联网企业、域名机构要积极参与网络安全管理部门组织的应急演练，并应每年组织开展本单位网络安全应急演练，应急演练情况要向网络安全管理部门报告。

7.3 宣传培训

网络安全管理部门组织开展网络安全应急相关法律法规、应急预案和基本知识的宣传教育和培训，提高相关企业和社会公众的网络安全意识和防护、应急能力。基础电信企业、域名机构、互联网企业要面向本单位员工加强网络安全应急宣传教育和培训。鼓励开展各种形式的网络安全竞赛。

7.4 手段建设

网络安全管理部门依托工业和信息化部规划建设的网络安全应急指挥平台，汇集、存储、分析有关突发事件的信息，开展应急指挥调度；指导基础电信企业、大型互联网企业、域名机构和网络安全专业机构等单位规划建设本单位突发事件信息系统，并与工业和信息化部应急指挥平台实现互联互通。

7.1 工具配备

基础电信企业、域名机构、互联网企业和网络安全专业机构应加强对木马查杀、漏洞检测、网络扫描、渗透测试等网络安全应急装备、工具的配备，及时调整、升级软件硬件工具。鼓励研制开发相关技术装备和工具。

1. 保障措施

8.1 落实责任

基础电信企业、域名机构、互联网企业和网络安全专业机构要落实网络安全应急工作责任制，把责任落实到单位领导、具体部门、具体岗位和个人，建立健全本单位网络安全应急工作体制机制。

8.2 经费保障

网络安全管理部门为网安办开展网络安全突发事件应对工作提供必要的经费保障。基础电信企业、域名机构、互联网企业应当安排专项资金，支持本单位网络安全应急队伍建设、手段建设、应急演练、应急培训等工作开展。

8.3 队伍建设

基础电信企业、域名机构、互联网企业要建立专门的网络安全应急队伍，加强网络安全人才储备，提升本单位网络安全应急能力。支持网络安全企业提升应急支撑能力，促进网络安全应急产业发展。

8.4 社会力量

建立网络安全应急专家组，充分发挥专家在应急处置工作中的作用。从网络安全专业机构、相关企业、科研院所、高等学校中选拔网络安全技术人才，形成网络安全技术人才库。

题外话

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程
网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

3.技术文档和电子书
技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源
————————————————

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。