陝西科技信息網網路安全事件應急處置措施

一、網站物理安全處置措施

1.落實7*24小時值班，加強巡查。

2.安裝網防G01防護系統，系統防護功能包括：網頁防篡改、數據防盜取、黑客入侵攔截、網站木馬檢測查殺、攻擊者追蹤定位等。可有效幫助政府網站發現並抵禦 CC 攻擊、SQL 注入、XSS 跨站、漏洞利用、木馬、後門等黑客入侵行為，具有自動隔離Webshell、Struts2 漏洞防護、JAVA反序列化漏洞防護、命令行執行漏洞防護等專業安全防護能力。

3.加強FW、IPS、上網行為管理系統。

4.配備門禁系統、監控系統，經授權才能進入機房。

二、網站、網頁出現非法言論時的緊急處置措施

1.網站、網頁由網路信息中心的具體負責人員隨時密切監視信息內容。每天早、中、晚三次 不少於一小時。

2.發現網上出現非法信息時，網站維護員應立即向網路與信息安全工作領導小組通報情況；情況緊急的應先及時採取刪除等處理措施，再按程式報告。

3.技術人員應在接到通知後十分鐘內趕到現場，作好必要的記錄，清理非法信息，強化安全防範措施，並將網站網頁重新投入使用。

4.網站維護員應妥善保存有關記錄及日誌或審計記錄。

5.網站維護員應立即追查非法信息來源。

6.工作人員會商後，將有關情況向網路與信息安全工作領導小組匯報有關情況。

7.網路與信息安全工作領導小組召開安全領導小組會議，如認為情況嚴重，4 小時內向有關上級機關和公安部門報警。

三、黑客攻擊時的緊急處置措施

1.當有關負責人員發現，網頁內容被篡改、掛馬、注入，或通過入侵檢測系統發現有黑客正在進行攻擊時, 應立即向網路與信息安全工作領導小組通報情況。

2.網路安全員應在十分鐘內趕到現場，並首先應將被攻擊的伺服器等設備從網路中隔離出來，保護現場，同時向領導匯報情況。

3.網站維護員和網路管理員負責被破壞系統的恢復與重建工作。

4.網站維護員協同有關部門共同追查非法信息來源。

5.當網站發生暴力訪問攻擊的時候，網站管理人員將根據網站訪問IP記錄系統記錄的情況，即使對惡意訪問IP或IP段進行“黑名單”禁止，保證網站正常使用。

6.網路與信息安全工作領導小組會商後，如認為情況嚴重，則立即向公安部門或上級機關報警。

四、病毒安全緊急處置措施

1.當發現計算機感染有病毒後，應立即將該機從網路上隔離出來。

2.對該設備的硬碟進行數據備份。

3.啟用反病毒軟體對該機進行防毒處理，同時進行病毒檢測軟體對其他機器進行病毒掃描和清除工作。

4.如發現反病毒軟體無法清除該病毒，應立即向網路與信息安全工作領導小組報告。

5.網路與信息安全工作領導小組相關負責人員在接到通報後，應在十分鐘內趕到現場。

6.經技術人員確認確實無法查殺該病毒後，應作好相關記錄，同時立即向網路與信息安全工作領導小組組長報告，並迅速聯繫有關產品商研究解決。

7.網路與信息安全工作領導小組經會商後，認為情況極為嚴重，應立即向公安部門或上級機關報告。

8.如果感染病毒的設備是伺服器或者主機系統，經網路與信息安全工作領導小組組長同意，應立即告知各下屬單位做好相應的清查工作。

五、軟體系統遭受破壞性攻擊的緊急處置措施

1.重要的軟體系統平時必須存有備份，與軟體系統相對應的數據必須有多日備份，並將它們保存於安全處。

2.一旦軟體遭到破壞性攻擊，應立即向網路安全員、網路管理員報告，並將系統停止 運行。

3.網路維護員負責軟體系統和數據的恢復。

4.網路安全員和網路管理員檢查日誌等資料，確認攻擊來源。

5.網路與信息安全工作領導小組認為情況極為嚴重的，應立即向公安部門或上級機關報告。

六、資料庫安全緊急處置措施

1.各資料庫系統要至少準備兩個以上資料庫備份，平時一份放在機房，另一份放在另一安全的建築物中。

2.一旦資料庫崩潰，應立即向網路與信息安全工作領導小組報告，同時通知各下屬單位暫緩上傳上報數據。

3.網路管理員應對主機系統進行維修，如遇無法解決的問題，立即向上級單位或軟硬體提供商請求支援。

4.系統修復啟動後，將第一個資料庫備份取出，按照要求將其恢復到主機系統中。

5.如因第一個備份損壞，導致資料庫無法恢復，則應取出第二套資料庫備份加以恢復。

6.如果兩個備份均無法恢復，應立即向有關廠商請求緊急支援。