(2)检查安全事故造成的后果,确定暴露出的主要危险。一般应检查系统、服务、数据的完整性、保密性和可用性。检查攻击者是否侵入了系统,是否还能再次侵入、损失的程度等。
(3)及时控制事故影响进一步扩大。一般应采取的手段有:关闭不必要的服务,修改防火墙和路由器的访问规则,阻断可疑用户进入网络的通路,提高系统或网络行为的监控级别,必要时从网络上断开相关系统。
(4)事故受控后,应及时对事故进行分析与评估,找出事件根源,明确相应的补救措施并彻底清除。
(5)恢复数据。将系统和网络设备还原到正常的工作状态时应进行相应的安全处理。系统数据遭到破坏时,应及时启动备份系统。事故中涉及的机密数据恢复,遵照国家机密系统的恢复要求进行。
3.3 响应终止
事故险情已经消除或者得到有效控制后,应当根据调查组的建议,宣布结束事故应急期、撤销抢险救援特别管制区,确定撤销或者继续保留事故区事宜。事故发生区域内的部门和单位应在事故原因查明后2日内向市网络与信息安全突发事件应急办公室提交事故报告,如果属于责任事故,应追究相关人员责任。同时提出下一步预防准备、检测等方案措施和意见,并移交当地政府及相关部门备案后组织实施。
事故发生单位及上级部门应当根据事故情况和防范需要,统筹规划、安排事故区信息网络畅通的后续重建工作,保证网络和系统的正常运转。
4. 保障措施
4.1 制度保障
积极推行信息安全等级保护,逐步实行信息安全风险评估。各类网络设施和重要信息系统建设时要充分考虑抗毁性、冗灾备份及灾难恢复,制定并不断完善信息安全应急处置预案。针对基础信息网络的突发性、大规模安全事件,各相关部门要建立反应迅速、周密细致和制度保障的处理流程。
各网络应用单位要把突发性网络与信息安全事件应急恢复工作纳入工作计划,与系统建设同步规划、同步实施,制定突发性网络与信息安全事件的应急防范措施,进行周期性的检查。
4.2 管理保障
各区县、各部门应当抓好网络与信息安全管理的各项工作,落实专门技术人员负责此项工作。定期对相关人员进行应急处理知识、技能培训,提高应对各类突发性网络与信息安全事件的应急响应能力。
