第一篇:信息系統安全應急預案
信息系統安全應急預案
為全面加強信息系統安全管理,應對信息安全突發事件的發生,提高對安全事件的應急處置能力,保證網絡與信息安全指揮協調工作迅速、高效、有序地進行,滿足突發情況下信息系統安全穩定、持續運行,根據國家和省有關規定,制定本預案。
一、組織機構
信息系統安全應急工作,由信息安全工作領導小組統一領導。負責信息安全日常事務處理、應急處理及安全通報等事務。
二、工作原則
(一)明確責任、分級負責:按照“誰主管誰負責,誰運行誰負責”的要求,逐級建立并落實統計信息系統責任制和應急機制。
(二)加強領導、分工合作:各單位應按照規定的職責和流程,實施統計信息系統的應急處理工作。
(三)積極預防、及時預警:各單位應及早發現安全事件,及時進行預警和信息通報;積極做好應急處理準備,提高對安全事件的預防和應急處理能力。
(四)協作配合、確保恢復:各單位要協同配合,確保在最短的時間內完成系統的恢復。
三、應急措施(一)電力系統故障的應急處理流程
1.任何單位和人員發現本單位電力系統出現異常情況時,都應及時向辦公室報告。
2.辦公室是電力系統故障應急處理的第一責任單位。辦公室應盡快查清故障原因,提出解決辦法,確定故障排除可能需要的時間,報信息安全工作領導小組。
3.網絡運行負責人應根據停電時間和UPS電池的供電能力,在保證重點網絡關鍵設備用電的前提下,提出機房設備部分關機或全部關機方案,報信息安全工作領導小組。經認可后,安排相關人員按照規定的流程操作實施。
4.電力系統恢復供電后,辦公室應在第一時間通知網絡中心,以便以最快的速度恢復關閉的網絡應用。
計算中心網絡和系統管理人員在接到通知后,按照規定的流程開啟關閉相關設備。
(二)消防系統應急處理流程
1.當出現火情、火災時,發現人員應在最短時間內報告辦公室。若火情嚴重時,應迅速撥打119電話報警,并盡可能采取一些簡單可行的方法作初步處理,如:使用周圍的滅火器、水源(在允許用水滅火的場合)或采用其他滅火措施、手段。進展情況隨時向有關領導報告。
2.計算中心機房出現火情并且無法進行局部處理時,機房管理人員在緊急報告有關領導的同時,應立即疏散物理場地樓層以內的工作人員。并迅速撥打119電話報警。
(三)網絡信息系統故障的應急處理流程
1.網絡設備、網絡應用系統故障應由發現人通知計算中心,計算中心立即檢查故障,進行初步故障定位。如果網絡、應用系統出現比較嚴重的問題,對網絡業務的正常運行造成較大的影響,需立即向有關領導報告。
2.對簡單故障,運維人員應迅速排除故障,解決問題并記錄。如果需要更換設備,應上報有關領導經批準后馬上更換故障設備,盡快恢復網絡、應用系統運行。
運維部門判斷無法及時修理時,應立即通知相關的系統運行服務提供商,在最短的時間內安排修理或更換系統。
3.如發現屬外部線路的問題,應與線路服務提供商聯系,敦促對方盡快恢復故障線路。
4.啟用備份線路、設備、系統(如果存在的話),迅速恢復相關的應用。
(四)網站檢測與自動恢復系統應急處理流程
1.發現網站不能正常打開或網站內容被惡意篡改時,任何人員都有義務向網絡中心報告。由網絡應急小組組織應急響應,聯合相關部門進行故障排查。
2.先由運維小組查看網絡連接情況,若不是網絡故障,則排查軟、硬件故障。待故障處理完成并經過測試后,恢復系統的正常運行和內容的正常應用。
(五)黑客入侵的應急處理
1.發現網絡上有黑客攻擊行為,任何人員都有義務向網絡中心報告。計算中心立即啟動應急響應,切斷受攻擊計算機與網絡的連接,停止一切操作、保護現場,并上報有關領導。
2.對于黑客攻擊,由網絡中心組織應急響應小組查找入侵蹤跡,分析入侵方式和原因。由安全管理員根據對入侵事件的分析,組織相關人員對內部網計算機整改,防止黑客用同樣的手段再次入侵其他系統。安全管理員檢查確定無安全隱患后,才可將受攻擊計算機重新連接網絡,或啟用備份計算機來恢復應用。
3.安全管理員應做好記錄,保護現場,進行日志收集等工作。如果能追查到攻擊者的相關信息,可以對其發出警告,必要時可以采取進一步的行動,乃至采取法律手段。根據破壞程度,經有關領導同意后,上報公安部門。
若系統已被黑客破壞,無法恢復,應將受黑客攻擊的計算機上的重要數據備份到其他存儲介質,確保計算機內重要的數據不丟失。如果數據無法恢復,經有關領導同意后,可與國家指定的部門聯系,由他們來協助恢復,為保證數據信息安全,需在安全管理部門作記錄。
(六)大規模病毒(含惡意軟件)攻擊的應急處理
1.發現網絡上有大規模病毒攻擊的行為,任何人員都有義務向網絡中心報告。由網絡中心組織應急響應,切斷受攻擊計算機與網絡的連接,停止一切操作、保護現場,立即上報有關領導。2.若是已知病毒,使用最新版本殺毒軟件對染毒計算機進行全面殺毒,并對染毒計算機系統進行漏洞修補。安全管理員確定沒有病毒和安全漏洞后,再連接網絡恢復使用。
3.若是未知病毒,觀察網管軟件根據監視窗口的鏈路狀態,由此判斷感染病毒或惡意程序的客戶端、服務器所科的樓層交換機。打開該交換機的端口流量分析窗口,根據流量判斷感染病毒或惡意程序的客戶端所在的交換機端口。關閉該交換機端口,隔離該工作站、服務器,阻斷與局域網的連接。根據端口狀態功能,查看該感染病毒或惡意程序的工作站的IP地址。根據IP地址信息找到該工作站的具體位置,對該工作站進行病毒或惡意程序清除工作。
根據對于未知病毒,應首先嘗試手工殺毒處理,若系統已被病毒破壞,無法恢復,應將感染病毒的計算機上的硬盤加掛到其他機器上處理,將重要數據備份到其他存儲介質,盡最大努力保護、保留感染計算機內重要的數據,同時防止病毒感染其他計算機。如果數據無法恢復,經有關領導同意后,可與國家指定的反病毒部門聯系,由他們來協助恢復,為保證數據信息安全,需在安全管理部門作記錄。如為涉及國家秘密的數據,不允許由其他機構來恢復數據。
第二篇:信息系統安全應急預案
深圳市前海好彩金融服務有限公司
信息系統安全應急預案
一、總則
(一)編制目的
公司網絡和信息安全涉及以設備為中心的信息安全,技術涵蓋網絡系統、計算機操作系統、數據庫管理系統和應用軟件系統;涉及計算機病毒的防范、入侵的監控;涉及以用戶(包括內部員工和外部相關機構人員)為中心的安全管理,包括用戶的身份管理、身份認證、授權、審計等;涉及信息傳輸的機密性、完整性、不可抵賴性等等。為切實加強我司網絡運行安全與信息安全的防范,做好應對網絡與信息安全突發公共事件的應急處理工作,進一步提高預防和控制網絡和信息安全突發事件的能力和水平,昀大限度地減輕或消除網絡與信息安全突發事件的危害和影響,確保網絡運行安全與信息安全,結合公司工作實際,特制定本應急預案。
(二)編制依據
根據《中華人民共和國計算機信息系統安全保護條例》、《信息安全3級評級方法》、GB/T20269-2006《信息安全技術信息系統安全管理要求》、GB/T20270-2006《信息安全技術網絡基礎安全技術要求》、GB/T20281-2006《信息安全技術防火墻技術要求和測試評價方法》、GB/T19716-2005《信息技術信息安全管理使用規則》等有關法規、規定,制定本預案。
(三)本預案適用于深圳市前海好彩金融服務有限公司網絡與信息安全應急處理工作。
二、應急組織機構及職責
成立信息系統應急處理領導小組,負責領導、組織和協調全公司信息系統突發事件的應急保障工作。
(一)領導小組成員: 組長:技術主管 副組長:運維經理
成員:開發部.運維部.測試部.等部門負責人組成。
應急小組日常工作由公司技術部承擔,其他各相關部門積極配合。
(二)領導小組職責:制訂專項應急預案,負責定期組織演練,監督檢查各部門在本預案中履行職責情況。對發生事件啟動應急救援預案進行決策,全面指揮應急救援工作。
三、工作原則
(一)積極防御、綜合防范
立足安全防護,加強預警,重點保護重要信息網絡和關系社會穩定的重要信息系統;從預防、監控、應急處理、應急保障和打擊不法行為等環節,在管理、技術、宣傳等方面,采取多種措施,充分發揮各方面的作用,構筑網絡與信息安全保障體系
(二)明確責任、分級負責
按照“誰主管誰負責”的原則,分級分類建立和完善安全責任制度、協調管理機制和聯動工作機制。加強計算機信息網絡安全的宣傳和教育,進一步提高工作人員的信息安全意識。
(三)落實措施、確保安全
深圳市前海好彩金融服務有限公司
要對機房、網絡設備、服務器等設施定期開展安全檢查,對發現安全漏洞和隱患的進行及時整改。
(四)科學決策,快速反應
加強技術儲備,規范應急處置措施和操作流程,網絡與信息安全突發公共事件發生時,要快速反應,及時獲取準確信息,跟蹤研判,及時報告,果斷決策,迅速處理,昀大限度地減少危害和影響。
四、事件分類和風險程度分析
(一)物理層的安全風險分析
1、系統環境安全風險
(1)水災、火災、雷電等災害性故障引發的網絡中斷、系統癱瘓、數據被毀等;
(2)因接地不良、機房屏蔽性能差引起的靜電干擾或外界的電磁干擾使系統不能正常工作;(3)機房電力設備和其它配套設備本身缺陷誘發信息系統故障;(4)機房安全設施自動化水平低,不能有效監控環境和信息系統工作;(5)其它環境安全風險。
2、物理設備的安全風險由于信息系統中大量地使用了網絡設備如交換機、路由器等,服務器,移動設備,使得這些設備的自身安全性也會直接關系信息系統和各種網絡應用的正常運轉。例如,路由設備存在路由信息泄漏,交換機和路由器設備配置風險等。
(二)網絡安全風險
1、網絡體系結構的安全風險
網絡平臺是一切應用系統建設的基礎平臺,網絡體系結構是否按照安全體系結構和安全機制進行設計,直接關系到網絡平臺的安全保障能力。公司的網絡是由多個局域網和廣域網組成,網絡體系結構比較復雜。內部應用信息網、Internet網之間是否進行隔離及如何進行隔離,網段劃分是否合理,路由是否正確,網絡的容量、帶寬是否考慮客戶上網的峰值,網絡設備有無冗余設計等都與安全風險密切相關。
2、網絡通信協議的安全風險。
網絡通信協議存在安全漏洞,網絡黑客就能利用網絡設備和協議的安全漏洞進行網絡攻擊和信息竊取。例如未經授權非法訪問內部網絡和應用系統;對其進行監聽,竊取用戶的口令密碼和通信密碼;對網絡的安全漏洞進行探測掃描;對通信線路和網絡設備實施拒絕服務攻擊,造成線路擁塞和系統癱瘓。
3、網絡操作系統的安全風險
網絡操作系統,不論是 IOS,Android,還是 Windows,都存在安全漏洞;一些重要的網絡設備,如路由器、交換機、網關,防火墻等,由于操作系統存在安全漏洞,導致網絡設備的不安全;有些網絡設備存在“后門”(back door)。
(三)系統安全風險
1、操作系統安全風險
操作系統的安全性是系統安全管理的基礎。數據庫服務器、中間層服務器,以及各類業務和辦公客戶機等設備所使用的操作系統,不論是Win2008/XP/7,還是 Unix都存在信息安全漏洞,由操作系統信息安全漏洞帶來的安全風險是昀普遍的安全風險。
2、數據庫安全風險
深圳市前海好彩金融服務有限公司
所有的業務應用、決策支持、行政辦公的信息管理核心都是數據庫,而涉及公司運行的數據都是昀需要安全保護的信息資產,不僅需要統一的數據備份和恢復以及高可用性的保障機制,還需要對數據庫的安全管理,包括訪問控制,敏感數據的安全標簽,日志審計等多方面提升安全管理級別,規避風險。雖然,目前公司的數據庫管理系統可以達到較高的安全級別,但仍存在安全漏洞。建立在其上的各種應用系統軟件在數據的安全管理設計上也不可避免地存在或多或少的安全缺陷,需要對數據庫和應用的安全性能進行綜合的檢測和評估。
3、應用系統的安全風險
為優化整個應用系統的性能,無論是采用C/S應用模式或是B/S應用模式,應用系統都是其系統的重要組成部分,不僅是用戶訪問系統資源的入口,也是系統管理員和系統安全管理員管理系統資源的入口,桌面應用系統的管理和使用不當,會帶來嚴重的安全風險。例如當口令或通信密碼丟失、泄漏,系統管理權限丟失、泄漏時,輕者假冒合法身份用戶進行非法操作。重者,“黑客”對系統實施攻擊,造成系統崩潰。
4、病毒危害風險
計算機病毒的傳播會破壞數據信息,占用系統資源,影響計算機運行速度,引起網絡堵塞甚至癱瘓。盡管防病毒軟件安裝率已大幅度提升,但如果沒有好的防毒概念,從不進行病毒代碼升級,而新病毒層出不窮,因此威脅性愈來愈大。
5、黑客入侵風險
一方面風險來自于內部,入侵者利用 Sniffer等嗅探程序通過網絡探測、掃描網絡及操作系統存在的安全漏洞,如網絡 IP地址、應用操作系統的類型、開放哪些 TCP端口號、系統保存用戶名和口令等安全信息的關鍵文件等,并采用相應的攻擊程序對內網進行攻擊。入侵者通過拒絕服務攻擊,使得服務器超負荷工作以至拒絕服務甚至系統癱瘓。
另一方面風險來自外部,入侵者通過網絡監聽、用戶滲透、系統滲透、拒絕服務、木馬等綜合手段獲得合法用戶的用戶名、口令等信息,進而假冒內部合法身份進行非法登錄,竊取內部網重要信息,或使系統終止服務。所以,必須要對外部和內部網絡進行必要的隔離,避免信息外泄;同時還要對外網的服務請求加以過濾,只允許正常通信的數據包到達相應主機,其它的請求服務在到達主機之前就應該遭到拒絕。
(四)應用安全風險
1、身份認證與授權控制的安全風險
依靠用戶 ID和口令的認證很不安全,容易被猜測或盜取,會帶來很大的安全風險。為此,動態口令認證、CA第三方認證等被認為是先進的認證方式。但是,如果使用和管理不當,同樣會帶來安全風險。要基于應用服務和外部信息系統建立基于統一策略的用戶身份認證與授權控制機制,以區別不同的用戶和信息訪問者,并授予他們不同的信息訪問和事務處理權限。
2、信息傳輸的機密性和不可抵賴性風險
實時信息是應用系統的重要事務處理信息,必須保證實時信息傳輸的機密性和網上活動的不可抵賴性,能否做到這一點,關鍵在于采用什么樣的加密方式、密碼算法和密鑰管理方式。采用國內經過國家密碼管理委員會和公安部批準的加密方式、密碼算法和密鑰管理技術來強化這一環節的安全保障。
深圳市前海好彩金融服務有限公司
3、管理層安全風險分析
安全的網絡設備要靠人來實施,管理是整個網絡安全中昀為重要的一環,認真地分析管理所帶來的安全風險,并采取相應的安全措施。責權不明、管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。
當網絡出現攻擊行為或網絡受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當故障發生后,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網絡的可控性與可審查性。這就要求人們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
五、預防預警
(一)完善網絡與信息安全突發公共事件監測、預測和預警制度。
加強對各類網絡與信息安全突發事件和可能引起突發網絡與信息安全突發公共事件的有關信息的收集、分析、判斷和持續監測。當檢查到有網絡與信息安全突發事件發生或可能發生時,應及時對發生事件或可能發生事件進行調查核實、保存相關證據,并立即向應急領導小組報告。報告內容主要包括信息來源、影響范圍、事件性質、事件發展趨勢和采取的措施建議等。
若發現下列情況應及時向應急領導小組報告:利用網絡從事違法犯罪活動;網絡或信息系統通信和資源使用異常;網絡或信息系統癱瘓,應用服務中斷或數據篡改、丟失;網絡恐怖活動的嫌疑和預警信息;其他影響網絡與信息安全的信息。
(二)設定信息安全等級保護,實行信息安全風險評估。
通過相關設備實時監控網絡工作與信息安全狀況。各基礎信息網絡和重要信息系統建設要充分考慮抗毀性和災難恢復,制定并不斷完善信息安全應急處理預案。針對信息網絡的突發性、大規模安全事件,建立制度優化、程序化的處理流程。
(三)做好服務器及數據中心的數據備份及登記工作,建立災難性數據恢復機制。
一旦發生網絡與信息安全事件,立即啟動應急預案,采取應急處置措施,判定事件危害程度,并立即將情況向有關領導報告。在處置過程中,應及時報告處置工作進展情況,直至處置工作結束。
六、處置流程
(一)預案啟動
在發生網絡與信息安全事件后,信息中心應盡昀大可能迅速收集事件相關信息,鑒別事件性質,確定事件來源,弄清事件范圍和評估事件帶來的影響和損害,一旦確認為網絡與信息安全事件后,立即將事件上報工作組并著手處置。
(二)應急處理
1、電源斷電(1)查明故障原因。
(2)檢查 UPS是否正常供電。
(3)匯報相關領導,確認市電恢復時間,評估 UPS供電能力。(4)備份服務器數據、交換機配置。
深圳市前海好彩金融服務有限公司
(5)通知機房進行電源維修。做好事件記錄。
(6)必要時請示公司負責人及公司領導,主動關閉服務器、交換機、存儲等設備,以免設備損壞或數據損失。
2、局域網中斷緊急處理措施
(1)信息安全負責人員立即判斷故障節點,查明故障原因,及時匯報。(2)若是線路故障,重新安裝線路。
(3)若是路由器、交換機等設備故障,應立即從指定位置將備用設備取出接上,并調試暢通。(4)若是路由器、交換機等配置文件損壞,應迅速按照要求重新配置,并調試暢通。(5)匯報相關領導,做好事件記錄。
3、廣域網線路中斷
(1)信息安全負責人員應立即判斷故障節點,查明故障原因。(2)如是我方管轄范圍,由信息安全負責人員立即維修恢復。(3)如是電信部門管轄范圍,應立即與電信維護部門聯系修復。(4)做好事件記錄。
4、核心交換機故障
(1)檢查、備份核心交換機日志。(2)啟用備用核心交換機,檢查接管情況。(3)備份核心交換機配置信息。
(4)將服務器接入備用核心交換機,檢查服務器運行情況,將樓層交換機、接入交換機接入備用核心交換機,檢查各交換機運行情況。
(5)匯報有關領導,做好事件記錄。(6)聯系維修核心交換機。
5、光纜線路故障
(1)立即聯系光纖熔接人員攜帶尾纖等輔助材料,及時熔接連通。(2)檢查并做好備用光纜或備用芯的跳線工作,隨時切換到備用網絡。(3)做好事件記錄,及時上報。
6、計算機病毒爆發
(1)關閉計算機病毒爆發網段上聯端口。(2)隔離中病毒計算機。(3)關閉中病毒計算機上聯端口。(4)根據病毒特征使用專用工具進行查殺。(5)系統損壞計算機在備份其數據后,進行重裝。(6)通過專用工具對網絡進行清查。(7)做好事件記錄,及時上報。
7、服務器設備故障
深圳市前海好彩金融服務有限公司
(1)主要服務器應做多個數據備份。
(2)如能自行恢復,則立即用備件替換受損部件,如:電源損壞更換備用電源,硬盤損壞更換備用硬盤,網卡、主板損壞啟用備用服務器。
(3)若數據庫崩潰應立即啟用備用系統。并檢查備用服務器啟用情況。(4)對主機系統進行維修并做數據恢復。
(5)如不能恢復,立即聯系設備供應商,要求派維護人員前來維修。(6)匯報有關領導,做好事件記錄。
8、黑客攻擊事件
(1)若通過入侵監測系統發現有黑客進行攻擊,立即通知相關人員處理。(2)將被攻擊的服務器等設備從網絡中隔離出來。(3)及時恢復重建被攻擊或被破壞的系統
(4)記錄事件,及時上報,若事態嚴重,應及時向信息化主管部門和公安部門報警。
9、數據庫安全事件
(1)平時應對數據庫系統做多個備份。
(2)發生數據庫數據丟失、受損、篡改、泄露等安全事件時,信息安全人員應查明原因,按照情況采取相應措施:如更改數據庫密碼,修復錯誤受損數據。
(3)如果數據庫崩潰,信息安全人員應立即啟用備用系統,并向信息安全負責人報告;在備用系統運行期間,信息安全人員應對主機系統進行維修并作數據恢復。
(4)做好事件記錄,及時上報。
10、人員疏散與機房滅火預案
(1)當班人員發現機房內有起火、冒煙現象或聞到燒焦氣味時,應立即查明原因和地點,及時上報并針對不同情況,采取關閉電源總開關、隔離火源附近易燃物、用消防栓、滅火器等器材滅火等措施,組織本單位、部門在場的人員有序地投入撲救工作,將火撲滅或控制火勢蔓延。
(2)當火勢已無法控制時,一是指定專人立即撥打“119”火警電話報警和向上級保衛部門報告,并打破報警器示警。二是組織周圍人員迅速撤離。
(3)在保障人員安全的情況下,立即組織人員疏散和轉移重要物品,特別是易燃、易爆物品和重要的機器、數據要及時轉移到安全地點,并派人員守護,確保安全。
(4)火情結束之后,組織相關人員及時進行網絡系統恢復,及時向上級有關部門和領導匯報,并做好現場保護工作和防止起火點復燃。
11、發生自然災害后的緊急措施
(1)遇到重大雷暴天氣,可能對機房設備造成損害時,應關閉所有服務器,切斷電源,暫停內部計算機網絡工作。雷暴天氣結束后,及時開通服務器,恢復內部計算機網絡工作。
(2)確認災害不會造成人身傷害后,盡快將網絡恢復正常,若有設備、數據損壞,及時使用備份設備或備用數據。
(3)及時核實、報損,并將詳細情況向部門領導匯報。
深圳市前海好彩金融服務有限公司
12、關鍵人員不在崗的緊急處置措施
(1)對于關鍵崗位平時應做好人員儲備,確保一項工作有兩人能夠操作。對于關鍵賬戶和密碼進行密封保存。
(2)一旦發生系統安全事件,關鍵人員不在崗且聯系不上或 1小時內不能到達機房的情況,首先應向領導小組匯報情況。
(3)經領導小組批準后,啟用公司備份管理員密碼,由備用人員上崗操作。(4)如果備用人員無法上崗,請求軟件公司技術支援。(5)關鍵人員到崗后,按照相關規定進行密碼設定和封存。(6)做好事件記錄。
(三)后續處理
安全事件進行昀初的應急處置以后,應及時采取行動,抑制其影響的進一步擴大,限制潛在的損失與破壞,同時要確保應急處置措施對涉及的相關業務影響昀小。安全事件被抑制之后,通過對有關事件或行為的分析結果,找出其根源,明確相應的補救措施并徹底清除。在確保安全事件解決后,要及時清理系統、恢復數據、程序、服務,恢復工作應避免出現誤操作導致數據丟失。
(四)記錄上報
網絡與信息安全事件發生時,應及時向網絡與信息安全應急處置工作組匯報,并在事件處置工作中作好完整的過程記錄,及時報告處置工作進展情況,保存各相關系統日志,直至處置工作結束。
七、保障措施
(一)應急設備保障
對于重要網絡與信息系統,在建設系統時應事先預留一定的應急設備,建立信息網絡硬件、軟件、應急救援設備等應急物資庫。在網絡與信息安全突發公共事件發生時,報領導同意后,由應急工作組負責統一調用。
(二)數據保障
重要信息系統均應建立容災備份系統和相關工作機制,保證重要數據在遭到破壞后,可緊急恢復。各容災備份系統應具有一定的兼容性,在特殊情況下各系統間可互為備份。
日期:2015-06-12
審批人:
第三篇:信息系統安全應急預案
信息系統安全應急預案
為全面加強公司信息系統安全管理,應對信息安全突發事件的發生,提高對安全事件的應急處置能力,保證網絡與信息安全協調工作迅速、高效、有序地進行,滿足突發情況下信息系統安全穩定、持續運行,根據總公司有關規定,制定本預案。
一、工作原則
(一)明確責任:按照“誰主管誰負責,誰運行誰負責”的要求,建立并落實統計信息系統責任制和應急機制。
(二)積極預防、及時預警:各部門應及早發現安全事件,及時進行預警和信息通報;積極做好應急處理準備,提高對安全事件的預防和應急處理能力。
(三)協作配合、確保恢復:部門間要協同配合,確保在最短的時間內完成系統的恢復。
二、應急措施
電力系統故障的應急處理流程
1.任何部門和人員發現本單位電力系統出現異常情況時,都應及時向公司辦公室報告。
2.公司辦公室是電力系統故障應急處理的第一責任單位。公司辦公室應立即啟動電力系統故障應急處理流程,盡快查清故障原因,提出解決辦法,確定故障排除可能需要的時間并通知網絡機房管理部門。
3.計算中心機房停電的處理
網絡運行負責人應根據停電時間和UPS電池的供電能力,在保證重點網絡關鍵設備用電的前提下,提出機房設備部分關機或全部關機方案,經認可后按照規定的流程操作實施。
4. 電力系統恢復供電后的處理流程
電力系統恢復供電后,公司辦公室應在第一時間通知技術部門,以便以最快的速度恢復關閉的網絡應用。系統管理人員在接到通知后,按照規定的流程開啟關閉相關設備。
(二)消防系統應急處理流程
1.報告和簡單處理
當出現火情、火災時,發現人員應在最短時間內報告公司辦公室及機房管理部門。若火情嚴重時,應迅速撥打119電話報警,并盡可能采取一些簡單可行的方法作初步處理,如:使用周圍的滅火器、水源(在允許用水滅火的場合)或采用其他滅火措施、手段。進展情況隨時向有關領導報告。
2.滅火
計算中心機房出現火情并且無法進行局部處理時,機房管理人員在緊急報告有關領導的同時,應立即疏散物理場地樓層以內的工作人員。
三、網絡信息系統故障的應急處理流程
1.報告和簡單處理
網絡設備、網絡應用系統故障應由發現人通知機房管理人員,技術部門立即檢查故障,進行初步故障定位。如果網絡、應用系統出現比較嚴重的問題,對網絡業務的正常運行造成較大的影響,需立即向有關領導報告。2.故障判斷與排除
對簡單故障,運維人員應迅速排除故障,解決問題并記錄。如果需要更換設備,應上報有關領導,經批準后馬上更換故障設備,盡快恢復網絡、應用系統運行。運維人員判斷無法及時修理時,應立即通知相關的系統運行服務提供商,在最短的時間內安排修理或更換系統。
3.網絡線路故障排除
如發現屬外部線路的問題,應與線路服務提供商聯系,敦促對方盡快恢復故障線路。
4.啟用備份線路、設備、系統(如果存在的話),迅速恢復相關的應用。
四、網站檢測與自動恢復系統應急處理流程
1.報告和簡單處理
發現公司服務網站等對外不能正常打開或網站內容被惡意篡改時,任何公司人員都有義務向技術部門報告。由技術部們組織應急響應并進行故障排查。2.處理和恢復使用
先查看網絡連接情況,若不是網絡故障,再排查軟、硬件故障。待故障處理完成并經過測試后,恢復系統的正常運行和內容的正常應用。
五、黑客入侵的應急處理
1.報告和簡單處理
發現網絡上有黑客攻擊行為,任何人員都有義務向技術部門報告。技術部門立即啟動應急響應,切斷受攻擊計算機與網絡的連接,停止一切操作、保護現場,并上報有關領導。2.處理和恢復使用
對于黑客攻擊,由技術部門與機房管理人員協同查找入侵蹤跡,分析入侵方式和原因,分析入侵事件并內部網計算機進行整改,防止黑客用同樣的手段再次入侵其他系統。檢查確定無安全隱患后,才可將受攻擊計算機重新連接網絡,或啟用備份計算機來恢復應用。3.應急響應
機房管理人員應做好記錄,保護現場,進行日志收集等工作。如果能追查到攻擊者的相關信息,可以對其發出警告,必要時可以采取進一步的行動,乃至采取法律手段。根據破壞程度,經有關領導同意后,上報公安部門。若系統已被黑客破壞,無法恢復,應將受黑客攻擊的服務器上的重要數據備份到其他存儲介質,并做好數據異地備份工作,確保服務器內重要的數據不丟失。
六、大規模病毒(含惡意軟件)攻擊的應急處理
1.報告和簡單處理
發現網絡上有大規模病毒攻擊的行為,任何人員都有義務向技術部門報告。由機房管理員組織應急響應,切斷受攻擊計算機與網絡的連接,停止一切操作、保護現場,立即上報有關領導。2.已知病毒的處理和恢復
使用最新版本殺毒軟件對染毒計算機進行全面殺毒,并對染毒計算機系統進行漏洞修補。機房管理員確定沒有病毒和安全漏洞后,再連接網絡恢復使用。3.未知病毒的處理和恢復
觀察網管軟件根據監視窗口的鏈路狀態,由此判斷感染病毒或惡意程序的客戶端、服務器所屬的樓層交換機。打開該交換機的端口流量分析窗口,根據流量判斷感染病毒或惡意程序的客戶端所科交換機端口。關閉該交換機端口,隔離該工作站、服務器,阻斷與局域網的連接。根據端口狀態功能,查看該感染病毒或惡意程序的工作站的IP地址。根據IP地址信息找到該工作站的具體位置,對該工作站進行病毒或惡意程序清除工作。根據對于未知病毒,應首先嘗試手工殺毒處理,若系統已被病毒破壞,無法恢復,應將感染病毒的計算機上的硬盤加掛到其他機器上處理,將重要數據備份到其他存儲介質,盡最大努力保護、保留感染計算機內重要的數據,同時防止病毒感染其他計算機。
七、預案的發布與生效
本預案自發布之日起生效
第四篇:信息系統安全應急預案
xxx信息系統安全應急預案v1.0 1 目的
隨著大量信息技術的采用,公司信息化建設發展迅速,并日益成為提高公司競爭力的重要因素。公司建立了支持全公司業務經營的核心業務處理系統、財務處理系統、OA系統和郵件系統,實現了數據的集中管理。但伴隨著公司信息化建設的發展,IT系統的安全性也越發重要,需要全面加強信息安全性的建設,確保系統不受到來自內部和外部的攻擊,實現對非法入侵的安全審計與跟蹤,保證業務應用和數據的安全性。同時還必須建立起一套完善、可行的應急處理規章制度,在出現重大情況后能及時響應,盡最大可能減少損失。
1.2 公司系統架構和現狀
2.1 IT應用系統架構
公司的IT系統以總公司為中心,各分支機構通過租用專用線路同總公司連通,在各分支機構內部也建立較完善的多級綜合網絡,包括中心支公司、支公司、出單點等等。在網絡上運行著以下系統:
(一)生產系統
包括核心業務處理系統、財務處理系統、再保險處理系統等,貫穿公司的各個層面,包括總公司、分公司、支公司、出單點等,是公司整個IT系統的核心部件,也是最需要投入資源的部分。
(二)辦公自動化系統
輔助公司日常辦公的系統,實現公司上下級之間的公文與協同工作信息傳遞。
(三)郵件系統 為公司內、外部信息交流提供方便、快捷的通道。
(四)公司網站
發布公司信息,在宣傳公司,提升公司形象上發揮重要作用。
2.2 系統安全隱患
由于公司的系統是多應用、多連接的平臺,本身就可能存在著難于覺察的安全隱患,同時又面臨來自各方面的安全威脅,這些威脅既可能是惡意的攻擊,又可能是某些員工無心的過失。下面從網絡系統、操作系統與數據庫、數據以及管理等方面進行描述:
(一)網絡
與公司各級網絡進行互聯的外部網絡用戶及Internet黑客對各級單位網絡的非法入侵和攻擊;公司內部各級單位網絡相互之間的安全威脅,例如某個分支單位網絡中的人員對網絡中關鍵服務器的非法入侵和破壞;在各級單位網絡中,對于關鍵的生產業務應用和辦公應用系統而言,可能會受到局域網上一些無關用戶的非法訪問。
(二)操作系統與數據庫
操作系統與數據庫都存在一定的安全缺陷或者后門,很容易被攻擊者用來進行非法的操作;系統管理員經驗不足或者工作疏忽造成的安全漏洞,也很容易被攻擊者利用;系統合法用戶特別是擁有完全操作權限的特權用戶的誤操作可能導致系統癱瘓、數據丟失等情況。
(三)網絡應用
網絡上多數應用系統采用客戶/服務器體系或衍生的方式運行,對應用系統訪問者的控制手段是否嚴密將直接影響到應用自身的安全性;由于實現了Internet接入,各級單位的計算機系統遭受病毒感染的機會也更大,且很容易通過文件共享、電子郵件等網絡應用迅速蔓延到整個公司網絡中;網絡用戶自行指定IP地址而產生IP地址沖突,將導致業務系統的UNIX小型機服務器自動宕機。
(四)數據
數據存儲和傳輸所依賴的軟、硬件環境遭到破壞,或者操作系統用戶的誤操
作,以及數據庫用戶在處理數據時的誤操作,都會使嚴重威脅數據的安全。
(五)管理
如果缺乏嚴格的企業安全管理,信息系統所受到的安全威脅即使是各種安全技術手段也無法抵抗。
在充分認識到確保核心業務和應用有效運轉的前提下,公司已經采取了一定的措施,如利用操作系統和應用系統自身的功能進行用戶訪問控制,建立容錯和備份機制,采用數據加密等。但是這些措施所能提供的安全功能和安全保護范圍都非常有限,為了在不斷發展變化著的網絡計算環境中保護公司信息系統的安全,特制定了IT系統重大事件應急方案。
2.3 IT系統重大事件的界定
IT系統的脆弱性體現在很多方面,小到短暫的電力不足或磁盤錯誤,大到設備的毀壞或火災等等。很多系統弱點可以在組織風險管理控制過程中通過技術的、管理的或操作的方法消除,但理論上是不可能完全消除所有的風險。為了能更好的制定針對IT系統重大事件的應急方案,必須先對所有可能發生的重大事件進行詳細的描述和定義。下面將從IT系統相關聯的電源、網絡、主機及存儲設備、數據庫、病毒、信息中心機房等多個方面進行說明。
3.1 電源
電源是IT系統最基礎的部分,也是最容易受到外界干擾的部分之一。在既能保證公司系統平穩運行,又能保證關鍵或重要設備安全的前提下,根據目前配備的UPS電源的實際情況,將電源事件分為三個層次:
一般性電源事件:停電時間在1小時以內的(包括1小時); 需關注電源事件:停電時間在2小時以內的(包括2小時); 密切關注電源事件:停電時間在2小時以上的。
3.2 網絡
網絡是IT系統及網絡客戶進行通訊的通道,也是最容易受到外界干擾或攻擊的部分之一。目前總公司主要對各地分公司到總公司的網絡線路進行管控,而公司又是采用數據集中的運營模式,鑒于這種情況,將網絡事件分為三個層次:
一般性網絡事件:樓層交換機出現異常,或局域網絡中斷時間在5分鐘以內的(包括5分鐘);
需關注網絡事件:主交換機、防火墻、上網設備出現異常,或局域網絡中斷時間在30分鐘以內的(包括30分鐘),廣域網絡中斷時間在5分鐘以內的(包括5分鐘);
密切關注網絡事件:主干交換機、核心路由器、VPN設備出現異常,或廣域網絡中斷時間在30分鐘以上的。
3.3 主機及存儲設備
主機及存儲設備是IT系統運行的關鍵和核心,也是相對脆弱的部分,對工作環境的要求是相當高的,任何外部的變化都可能導致這些設備出現異常。根據出現的異常情況,將主機及存儲設備事件分成三個層次:
一般性事件:非系統關鍵進程或文件系統出現異常,不影響生產系統運行的; 需關注事件:根文件系統或生產系統所在的文件系統的磁盤空間將滿/已滿或系統關鍵進程異常,即將影響或已經影響生產系統運行的;主機或存儲設備的磁盤異常并發出警告的;
密切關注事件:主機宕機;存儲設備不能正常工作的;主機與存儲設備中斷連接的;主機性能嚴重降低,影響終端用戶運行的;系統用戶誤操作導致重要文件丟失的。3.4 數據庫
數據庫是存儲公司經營信息的關鍵部分,由于數據庫是建立在主機及存儲設備上的應用,任何主機及存儲設備的變化都會對數據庫產生或大或小的影響,同時數據庫也是公司各個層面用戶的使用對象,用戶對數據的操作可能導致不可預料的影響。根據數據庫對外界操作的反映,將數據庫事件分為兩個層次:
一般事件:不影響大量用戶或應用系統正常運行的警告或錯誤報告; 重要事件:數據庫的系統表空間將滿/已滿的;業務系統表空間將滿/已滿的;數據庫網絡監視進程終止運行的;數據庫內部數據組織出現異常的;數據庫用戶誤操作導致數據丟失的;數據庫關鍵進程異常;數據庫性能嚴重降低,影響終端用戶運行;數據庫宕機。
3.5 電腦病毒
由于Internet接入,員工從Internet上進行下載或者接收郵件,都有感染病毒的可能性。某些病毒帶有極大的危害性和極快的傳播速度,從而可能導致在公司內部的病毒大范圍傳播。針對病毒在公司內部的傳播范圍或危害程度,分為三個層次:
一般性事件:獨立的病毒感染,并沒有傳播和造成損失的;
密切關注事件:病毒小范圍傳播,并造成一定損失,但不是重大損失的; 嚴重關注事件:病毒大范圍傳播,并造成重大損失的;
3.6 其他事件
信息中心機房其他影響IT系統運行的因素可能會產生一些突然事件,主要有以下一些方面:
(一)空調工作異常,導致機房溫度過高;
(二)空調防水保護出現異常導致滲水;
(三)發生火災;
(四)粉塵導致主機或存儲設備異常的。
3.4 信息系統重大事件的應急方案
根據上節對IT系統重大事件的界定,公司已經建立了一套完整的應急方案,在硬件方面采用雙機熱備機制,同時加強日常的系統監控,保持完整的數據備份,及時進行災難恢復,和儲備必要的系統備件等多種技術和方法。下面按照IT系統相關聯的電源、網絡、主機及存儲設備、數據庫、電腦病毒等多個方面進行說明。
4.1 電源
采用UPS為主要設備進行供電,為了應對重大突發事件,采用以下了手段:
(一)加強UPS的維護,保證UPS的正常工作;
(二)在必要情況下,交流輸入供電系統采用雙路市電供電和發電機聯合供電,保證市電使長期停電, UPS仍能正常供電;
(三)直流輸入方面,采用公用一組電池組的設計,配置長達4小時的后備電池, 并提供交流輸入瞬變或市電與發電機供電切換時的短時供電;
(四)根據停電時間的長短,依次發布一般性通知、較緊急通知和緊急通知給相關部門和機構;
(五)停電發生后,及時聯系供電部門和物業管理部門。
4.2 網絡
(一)核心路由器做雙以太口綁定,如一端口發生故障,自動切換到VPN備份線路接入主機系統,直到修復使用正常,同時由網絡集成商提供技術和備件支持,一旦出現緊急故障,1小時趕到現場處理故障;
(二)到分支機構專線采用2M數字線路,如2M數字線路發生故障斷開則自動切換到VPN備份線路接入主機系統,直到專線修復則使用正常2M線路通信;
(三)對于網絡核心設備出現重大故障,盡快了解情況,分析問題和提出應急解決方案,做好現場應急處理,立即通知網絡集成服務商到現場處理,主干交換機由網絡集成商提供技術和備件支持,一旦出現緊急故障,1小時內趕到現場處理故障;
(四)為防止核心路由器或主干交換機發生故障后無法解決問題,在必要情況下,配備一臺備用路由器和主干交換機,配置接口與核心路由器和主干交換機相同,一旦出現故障,能在十分種內進行更換;
(五)采用CISCO PIX FIREWALL在網絡入口處檢查網絡通訊,根據設定的安全規則,在保護內部網絡安全的前提下,保障內外網絡通訊,實現了內部網絡與外部網絡有效的隔離,所有來自外部網絡的訪問請求都要通過防火墻的檢查,內部網絡的安全將會得到保證。具體有:
1、設置源地址過濾,拒絕外部非法IP地址,有效避免了外部網絡上與業務無關的主機的越權訪問;
2、防火墻只保留有用的WEB服務和郵件服務,將其它不需要的服務關閉(含即時通信QQ或其它,MSN控制在一定范圍使用),將系統受攻擊的可能性降低到最小限度,使黑客無機可乘;
3、防火墻制定訪問策略,只有被授權的外部主機可以訪問內部網絡的有限IP地址,保證外部網絡只能訪問內部網絡中的必要資源,與業務無關的操作將被拒絕;
4、全面監視外部網絡對內部網絡的訪問活動,并進行詳細的記錄,及時分析得出可疑的攻擊行為;
5、網絡的安全策略由防火墻集中管理,使黑客無法通過更改某一臺主機的安全策略來達到控制其他資源訪問權限的目的;
6、設置地址轉換功能,使外部網絡用戶不能看到內部網絡的結構,使黑客攻擊失去目標。4.3 主機、存儲設備及數據庫
為保證生產系統穩定運行,主機與存儲系統保持7X24小時的可用。為應對可能發生的重大事件或突發事件,采取以下措施:
(一)在接到緊急停電通知后30-40分鐘內按照先數據庫、次主機、最后存儲設備的順序停止所有系統運行,在必要的情況下,須拔掉所有電源插頭;
(二)采用雙機熱備技術,在其中一臺主機出現異常時,及時進行切換;
(三)采用硬盤、磁帶庫等設備作好日常數據備份;
(四)如果發生誤刪除操作系統文件,立即進行文件系統恢復(必須有備份);
(五)如果發生誤刪除數據,立即進行數據庫恢復(必須有備份);
(六)如果文件系統空間不夠,導致系統不能正常運行,立即進行文件系統擴展。
(七)如果數據庫表空間不足,立即進行表空間擴展,同時可能還進行文件系統擴展;
(八)在必要情況下,建立異地數據備份中心,以保持數據安全性。
(九)出現重大故障,盡快了解情況,分析問題和提出應急解決方案,做好現場應急處理,立即通知系統服務商到現場處理,并由系統服務商提供備件支援。
4.4 電腦病毒
為防止電腦病毒在公司內部的傳播,反毒和信息安全應按照“整體防御,整體解決”的原則實施,采用多種手段和產品來切斷電腦病毒的傳播“通道”。具體措施如下:
(一)配置企業級網絡版殺毒軟件,在公司總部、分公司、營業部所有聯網的PC機、PC服務器上安裝病毒/郵件防火墻,部署統一的公司網絡防毒系統,實現反毒分級防范和集中安全管理;
(二)在公司總部和分公司配置防毒網關服務器,檢查所有進出郵件、所訪問的網頁和FTP文件,防止病毒通過外部網絡進入公司內網進行傳播;
(三)建立定時自動更新防病毒軟件和病毒庫的機制,確保殺毒軟件的有效性;
(四)建立集中的網絡入侵檢測和漏洞掃描系統,防范黑客入侵和攻擊,及時給系統打補丁;
(五)加強對用戶的教育,不從不明網站下載,不查看來源不明的郵件,不運行可能含有病毒的程序等;
(六)如果用戶機器發現病毒,應立即終止網絡連接并通知信息部門進行相關處理;
(七)如果因病毒發作而導致數據丟失,應立即與信息部門聯系,不要自行處理。
第五篇:行政部門信息系統安全應急預案
市行政管理局
信息系統安全應急預案
(試行)
為保證市系統網絡與信息安全,防范出現大規模的網絡與信息安全事件,根據市系統網絡和信息系統建設及應用的現狀,針對存在的問題與風險,特制定本安全應急預案。
一、現狀與風險
隨著市系統信息化建設的發展,信息化已經滲透到的每一項工作,信息化給我們的工作帶來效率的同時,也增加了我們對計算機系統的依賴性,網絡與信息安全的風險也逐漸顯露。一是隨著業務的發展,逐步與外部相關部門實現了聯網與信息交接,從而使市系統網絡由過去完全封閉的內部網,轉變成與外部網、因特網邏輯隔離的網絡。二是網絡與信息系統中的關鍵設備如主機、路由器、交換機、操作系統等大部分采用國外產品,存在著較大的安全隱患。三是系統內計算機應用操作人員水平參差不齊,安全意識和安全防護手段不盡如人意。四是敵對勢力以及受利益驅使的犯罪分子一直蠢蠢欲動,對政府部門構成巨大威脅。上述幾個方面構成市系統網絡與信息安全的主要風險。
二、指導思想與總體目標
指導思想:以“科學發展觀”為指導,把做好全市系統網絡與信息安全工作作為當前一項嚴肅的政治任務來完成,切實維護國家的政治安全、經濟安全和政府部門網絡信息安全。
總體目標:建立科學、有效、反應迅速的網絡與信息安全應急工作機制,提高應對突發事件的組織指揮能力和應急處置能力,最大限度地減輕網絡與信息安全突發事件的危害,確保計算機信息系統的實體安全、運行安全和數據安全。
三、組織體系
為了加強我局信息化建設與等級保護工作的開展,落實信息安全責任,健全網絡與信息安全工作機制,提高應對突發事件的組織指揮能力和應急處置能力
經研究,決定成立信息化等級保護與信息安全領導小組 現將組成人員通知如下:
組長:王建偉
副組長:蔡小成洪曉明
周慶祥
蔡斌
成員:卓鄭勇、徐建書、屠征宇、陳益飛、管敏益、屠勝達、陳愛飛、陳雪芬成員:卓鄭勇、徐建書、屠征宇、陳益飛、管敏益、萬曉波、包哲克、鮑魚千、屠勝達、屠旭東、陳六平、王高平、黃明金、姚正杰、仇展煬、葉傲蕾、徐浩、楊宏遠、吳小東、陳永正、鄭海斌、周昌林、鄭曉陽、周宏。
領導小組下設辦公室,洪曉明同志兼任辦公室主任,屠征宇同志兼任辦公室副主任,辦公機構設在監察室。
1、領導機構
建立市行政管理局網絡與信息安全應急領導小組(以下簡稱領導小組),分管信息化的局領導任組長,辦公室、信息辦負責人任副組長,成員由各科室負責人組成。領導小組負責研究制訂系統網絡與信息安全應急處置工作的規劃和計劃,協調推進網絡與信息安全應急機制和工作體系建設;發生網絡與信息安全突發事件后,決定啟動本預案,領導應急處置工作。
2、應急辦公室
領導小組下設應急辦公室,辦公室設在信息辦,辦公室主任由信息辦負責人擔任,成員由信息辦相關技術人員組成。應急辦公室的職責:
(1)負責處理領導小組的日常工作,檢查督促領導小組決定事項的落實。
(2)研究提出網絡與信息安全應急機制建設規劃和工作計劃,檢查、指導和督促全市網絡與信息安全應急機制建設。
(3)負責網絡與信息安全應急預案的管理,檢查落實預案執行情況。
(4)負責應對網絡與信息安全突發事件的預案演習和宣傳培訓。
(5)對接市政府和市級各部門網絡與信息安全突發事件應急處置工作。
(6)及時收集分析網絡與信息安全相關信息,及時向領導小組提出啟動本預案的建議。
四、預防預警
1、異常報告 系統每位干部和職工均有責任和義務維護系統信息化硬件、軟件、網絡和信息安全,發現計算機設備和網絡發生異常情況,應立即向所在單位信息員報告,信息員應及時對異常計算機設備和網絡進行檢查并采取必要措施;信息員無法解決問題的,應立即向局信息辦報告。信息辦接到報告后,應立即采取措施,對異常情況進行分析,防止異常情況擴散。
2、信息監測
建立網絡與信息安全突發事件監測、預測、預警制度。各級信息辦要按照“早發現、早報告、早處置”的原則,加強對各類網絡與信息安全突發事件和可能引發突發事件的有關信息的收集、分析判斷和持續監測。
3、預警處理與發布
對于可能發生或已經發生的網絡與信息安全突發事件,信息辦應立即采取措施控制事態,在2小時內進行風險評估,判定事件等級,并立即向應急辦公室報告。
應急辦公室接到報警信息后,應及時對信息進行技術分析、研判,根據問題的性質、危害程度和發展態勢,向領導小組提出預警的建議。對需要發布預警的,由領導小組授權應急辦公室發布。預警內容應包括事件的類別、可能波及的范圍、可能危害程度、可能延續時間、提醒事宜和應采取的措施等。
對發生和可能發生重大網絡與信息安全突發事件,應急辦公室應迅速提議召開領導小組會議。由領導小組會議決定啟動本預案,確定指揮人員。
五、應急響應
1、應急指揮
本預案啟動后,根據領導小組會議的統一部署,擔任指揮的領導和參與指揮的有關部門領導迅速進入指揮崗位,迅速建立與現場的通信聯系,分析事件發展態勢,研究提出處置方案,并調集和配置應急處置所需的人、財、物等資源,統一指揮應急處置工作。
需要成立現場指揮部的,應立即在現場開設指揮部。現場指揮部在領導小組的領導下全權負責現場的應急處置工作。
2、應急支援
本預案啟動后,根據情況成立應急響應先遣小組,趕赴事發地,督促、指導和協調處置工作。領導小組根據事態的發展和處置工作需要,及時增派專家,調動必需的物資、設備,支援應急工作。
3、信息處理
應急辦公室做好信息分析、報告和發布工作。要組織有關人員研判各類信息,研究提出對策措施。
5、信息發布
網絡與信息安全突發事件發生后,導致行政管理公共行政業務無法正常開展的。應急辦公室應通知相關業務部門。相關業務部門應做好業務應急準備,并根據情況向社會和服務對象發布通知。
6、應急結束
網絡與信息安全突發事件經應急處置后,得到有效控制,事態下降到一定程度或基本得以解決,由應急辦公室向領導小組提出應急結束的建議,經批準后實施。
六、后期處置
1、善后處理
應急處置工作結束后,各級信息辦要迅速采取措施,抓緊組織搶修受損的基礎設施,減少損失,盡快恢復正常工作。
2、調查評估
在應急處置工作結束后,各級信息辦應對事件發生及其處置過程進行全面的調查,查清事件發生的原因及財產損失情況,總結經驗教訓,寫出調查評估報告,報應急辦公室。
七、保障措施
1、應急裝備保障
建立信息網絡硬件、軟件、應急救援設備等應急物資庫。應急物資庫采用服務外包的形式,與專業公司簽訂合同,在網絡與信息安全突發事件發生時,由應急辦公室出面向公司調用。
2、數據保障
建立業務數據備份系統,保證在網絡和信息安全突發事件發生時,可緊急恢復。
3、交通運輸保障
本預案啟動后,根據領導小組的決定,局辦公室負責確保應急交通工具,確保應急期間人員、物資和信息傳遞的需要。
4、經費保障 網絡與信息系統突發事件應急處置資金,應列入預算。
八、監督管理
1、宣傳教育
各科室、所、分局要加強網絡與信息安全突發事件應急和處置有關知識的宣傳,提高防范意識。并將網絡與信息安全突發事件的應急管理、工作流程等列入干部的培訓內容,增強應急處置能力。
2、應急演練
建立應急預案定期演練制度。通過演練,發現應急工作體系和工作機制存在的問題,不斷完善應急預案。應急辦公室每年要組織一次網絡與信息安全突發事件應急演練。
3、檢查與考核
建立檢查和考核機制。網絡與信息安全應急工作列入工作目標考核體系。應急辦公室不定期對應急制度、計劃、方案和人員等進行檢查,并以應急演練的評定結果作為考核的依據。
九、附則
1、附件
網絡和信息安全突發事件應急處置規程。
2、解釋部門
本預案由市局信息辦負責解釋。
3、實施時間
本預案自印發之日起實施。
附件:網絡和信息安全突發事件應急處置規程
一、網站出現非法信息的應急處置規程
1、發現網站出現非法信息時,網站內容管理部門應按規定向局領導報告,同時通報信息辦;信息辦應立即采取屏蔽、刪除等處理措施,防止信息擴散。
2、信息辦應追查非法信息來源,確定相關責任人。
3、信息辦在查清事件發生原因的基礎上,及時總結經驗教訓,提出強化安全防范的措施,寫出調查報告,報網絡和信息安全應急領導小組。
4、領導小組根據調查報告,決定是否追究相關責任人責任。
二、黑客攻擊的緊急處置規程
1、發現網頁內容被篡改,或通過入侵檢測手段等發現有黑客正在進行攻擊時,應立即向信息辦報告。
2、信息辦首先應將被攻擊的服務器等設備從網絡中隔離出來,保護現場,同時向網絡和信息安全應急領導小組報告。
3、恢復或重建被破壞的系統。
4、追查黑客攻擊來源。
5、情況嚴重時,召開網絡和信息安全應急領導小組會議;經會議批準,可向公安部門報警。
6、總結經驗教訓,采取有效的防范措施。
三、病毒防治應急處置規程
1、當計算機使用人員發現其計算機被感染上病毒后,若無法清除該病毒,應第一時間將計算機從網絡上物理斷開。
2、向信息辦人員報告,確定病毒的性質和危害,對病毒進行進一步查殺。
3、若該病毒已經在局域網內擴散,并嚴重影響日常辦公及網絡安全,應立即向領導小組報告。
4、領導小組根據報告,確定具體的處置方式,保證網絡暢通和計算機安全。
5、總結經驗教訓,采取有效的防范措施。
四、軟件系統異常應急處置規程
1、對發現系統軟件和應用軟件響應異常的,應立即向信息辦報告。
2、信息辦對系統軟件和應用軟件進行檢查,視情采取停用、修復和重新啟用等手段。
3、信息辦通過檢查訪問各類日志記錄等資料,確認分析異常原因。
4、情況嚴重的,召開網絡和信息安全應急領導小組會議;
5、總結經驗教訓,采取有效的防范措施。
五、數據庫安全應急處置規程 核心數據庫數據異常應遵循如下規程:
1、發現核心數據庫數據大規模異常或丟失后,立即向信息辦報告。
2、信息辦接到報告后,應指定數據庫管理員進行檢查,確屬異常的,應立即向領導小組報告。
3、領導小組決定是否啟動應急預案。經領導小組批準啟動應急預案后,暫停相關業務服務,并通知相關業務部門。
4、使用備份數據恢復數據后重新啟動服務,并立即追查原因。如屬設備故障的,應立即聯系廠商維修設備。如屬人為原因的,應立即追查相關人員,必要時請公安機關介入。
5、總結相關教訓,分析具體原因,加固核心數據庫系統安全,并報領導小組。
六、廣域網外部線路中斷應急處置規程
1、廣域網線路若中斷后,應立即向領導小組報告。
2、信息辦應迅速判斷故障節點,查明故障原因。
3、如屬內部管轄范圍,由系統管理員立即予以恢復。如遇無法恢復情況,立即向有關廠商請求支援。
4、如屬通信部門管轄范圍,立即與通信維護部門聯系,請求及時修復。
5、總結經驗教訓,采取有效的防范措施。
七、局域網中斷應急處置規程
1、局域網中斷后,信息辦應判斷故障節點,查明故障原因,并向領導小組匯報。
2、如屬線路故障,應立即搶修線路。
3、如屬路由器、交換機等網絡設備故障,應立即與設備提供商聯系更換設備,并調試暢通。
4、如屬路由器、交換機配置文件破壞,應迅速按照要求重新配置,并調試暢通。如遇無法解決的技術問題,立即報告領導小組,請求廠方專家支援。
5、總結經驗教訓,采取有效的防范措施。
八、設備故障應急處置規程
1、發現服務器等關鍵設備損壞后,應立即向信息辦領導報告。
2、信息辦指定系統管理員查明設備故障原因,并向領導小組匯報情況。
3、如果能夠自行恢復,應立即用備件替換受損部件。
4、如果不能自行恢復的,立即與設備提供商聯系,請求派維修人員前來維修。
5、如果設備一時不能修復,應向領導小組匯報,視情決定是否啟動應急預案。
6、總結經驗教訓,采取有效的防范措施。
九、機房著火應急處置規程
1、一旦機房發生火災,應遵照下列原則:首先保證人員安全;其次保證關鍵設備和數據安全;三是保證一般設備安全。
2、人員疏散程序:機房值班人員立即按響火警警報,并通過119電話向消防部門請求支援,所有不參與滅火的人員按照預先確定的線路,迅速從機房中撤出。
3、滅火程序:規范化的機房啟動氣體滅火系統,沒有氣體滅火系統的機房,首先切斷所有電源,取出泡沫滅火器進行滅火。
4、滅火后,迅速組織搶修受損的基礎設施,減少損失,盡快恢復正常工作。
5、總結經驗教訓,采取有效的防范措施。
十、電力中斷應急處置規程
1、發生電力中斷,應立即向領導小組報告。
2、屬內部電力線路故障的,辦公室應迅速組織力量恢復電力。
3、屬供電局供電故障的,應立即與供電局聯系,請供電局迅速恢復供電。
4、如供電局告知需長時間停電,應做好如下工作:
(1)預計停電半小時以內,由UPS供電。視情關閉一些服務器等設備。涉及業務中斷的,通知相關業務部門。
(2)預計停電半小時以上,關掉所有關鍵設備,暫停一切業務。
5、電力恢復后,信息辦應重新啟動設備,恢復業務運行。
點擊咨詢 