根据其可能造成的危害程度、紧急程度和发展态势,预警级别分别用蓝色(一般)、黄色(较重)、橙色(严重)和红色(特别严重)来表示。预警信息应包括事件的类别、可能波及的范围、可能危害程度、可能持续时间、提醒事宜和应采取的措施等。
4、应急处置
4.1 应急响应程序
当本地区/部门可能发生或已经发生“Ⅲ级/预警”、“Ⅱ级/报警”、“Ⅰ级/紧急”级别的网络与信息安全事件,事发单位应立即电话报告市网络与信息安全事件应急办公室。市网络与信息安全事件应急办公室接到紧急报告时,立即报告市网络与信息安全协调领导小组并报告省网络与信息安全突发事件应急办公室。报请市网络与信息安全事件领导小组批准,指示事发单位和相关部门是否启动应急预案并进入应急响应程序。
4.2 应急响应
(1)各县市区、市直各部门应当及时作出是否启动本级预案的决定,并报市网络与信息安全突发事件应急办公室备案,或向市网络与信息安全突发事件应急办公室提出启动市级预案的申请。
(2)市网络与信息安全突发事件应急办公室接到申请后,应立即上报市网络与信息安全协调小组的领导,并会同成员单位尽快组织专家对突发事件时间、性质、级别及启动预案的时机进行评估,提出启动预案的意见,报市网络与信息安全协调小组批准。
(3)市网络与信息安全协调小组在作出是否启动市级预案的决定后,立即通知与应急处理相关的各县市区人民政府、市直各部门。
4.3 现场应急处理
发生信息安全突发事件的单位按各县市区、市直各部门作出启动本级预案的决定,或报经市网络与信息安全协调小组批准启动市级预案,须作好现场应急处理。
(1)尽最大可能收集事件相关信息,正确定位威胁和安全事件的来源,缩短响应时间。
(2)检查威胁造成的结果:如检查系统、服务、数据的完整性、保密性或可用性,检查攻击者是否侵入了系统,再次侵入的可能性,损失的程度,确定暴露出的主要危险等。
(3)抑制事件的影响进一步扩大,限制潜在的损失与破坏。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登录帐号,阻断可疑用户得以进入网络的通路,提高系统或网络行为的监控级别,设置陷阱,启用紧急事件下的接管系统,实行特殊防卫状态安全警戒,反击攻击者的系统等。
(4)在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确响应的补救措施并彻底清除。与此同时,对攻击源进行定位并采取合适的措施将其中断。
