第一篇:信息應急預案方案
廣元市精神衛生中心 信息化系統應急預案
為防止因醫院信息系統出現故障而影響全院正常醫療秩序,確保患者在特殊情況下能夠得到及時、有效地治療,結合我院實際,特制定本預案。
一、醫院信息系統出現故障報告程序
當各工作站發現計算機訪問數據庫速度遲緩、不能進入相應程序、不能保存數據、不能訪問網絡、應用程序非連續性工作時,要立即向信息科報告。信息科工作人員對各工作站提出的問題必須高度重視,做好記錄,經核實后及時給各工作站反饋故障信息,同時召集有關人員及時進行討論,如果故障原因明確,可以立刻恢復的,應盡快恢復工作;如故障原因不明、情況嚴重、不能在短期內排除的,應立即報告院領導,在網絡不能運轉的情況下由院領導協調全院各部門工作,以保障全院醫療工作的正常運轉。
二、醫院信息系統故障分級
根據故障發生的原因和性質不同分為四類:
一類故障:由于火災、水災、雷擊、盜竊等不可抗力因素造成的網絡癱瘓。
二類故障:由于服務器不能正常工作、光纖損壞、主服務器數據丟失、備份硬盤損壞、服務器工作不穩定、局部網絡不通、價表目錄被人刪除或修改、重點終端故障、規律性的整體、局部軟件和硬件發生故障等造成的網絡癱瘓。
三類故障:由于單一終端軟、硬件故障,單一病人信息丟失、偶然性的數據處理錯誤、某些科室違反工作流程引起系統故障。
四類故障:由于各終端操作不熟練或使用不當造成的錯誤。
針對上述故障分類等級,處理原則如下:
一類故障——由網絡管理人員上報院值班領導,由醫院組織協調恢復工作。
二類故障——由信息科科長上報院領導,由醫院組織協調恢復工作。
三類故障——由網絡管理人員上報信息科科長,由信息科集中解決。
四類故障——由網絡管理人員單獨解決,并詳細登記維護情況。
三、發生網絡整體故障時的首要工作
1、當信息科一旦確定為網絡整體故障時,首先是立刻報告院領導,同時組織恢復工作,并充分考慮到特殊情況如節假日、病員流量大、人員外出及醫院有重大活動等對故障恢復帶來的時間影響。
2、當發現網絡整體故障時,各部門根據故障恢復時間的程度將轉入手工操作,具體時限明確如下:
(1)30分鐘內不能恢復——門診掛號、住院登記、藥房等部門轉入手工操作。
(2)6小時內不能恢復——各護士工作站、藥房、手術室、醫技檢查轉入手工操作(具體時間由信息科通知)。
(3)24小時以上不能恢復——全院各種業務轉入手工操作。
四、各部門的具體協調安排
1、所有手工操作的統一啟動時間須由信息科通知,相關部門嚴格按照通知時間協調各項工作,在未接到新的指示前不準私自操作計算機。
2、門診掛號工作協調
(1)門診收費處由門診部主任負責聯系協調;(2)網絡恢復后,操作員要及時將中斷期間的患者信息輸入到計算機;
3、門診收費處工作協調
(1)由收費處負責人負責總體聯絡協調,要與信息科保持聯系,及時反饋最新消息;
(2)當網絡系統運行中斷超過30分鐘時,要通知收款員轉入手工收費程序;
(3)門診收款員要建立手工發票使用登記本,對發票使用情況做詳細登記;
(4)當系統恢復正常時,由收款員負責對網絡運行穩定性進行監測,如不穩定,及時向信息科反饋情況。
(5)在接到使用計算機的指令并重新啟動運行后,收款員逐步轉入到機器操作。
4、入出院結算處的工作協調
(1)由財務科科長總體負責聯絡協調;
(2)原則上不在收費室、入出院處進行費用補錄,以防止出現帳目混亂;
(3)當系統停止運行超過24小時,對普通出院患者,推遲出院結算時間。對急診出院的患者應根據病歷和臨床護士工作站記錄,進行手工核算,出具手寫發票。
(4)在網絡停止運行期間,出院患者急需結算時,應由該科護士工作站追查是否還有正在進行的檢查項目,并向出院結算處提供詳細費用情況后,方可送交結算。
5、護士工作站的協調
(1)護士工作站由護理部共同協調;
(2)網絡故障期間臨床科室應詳細記錄患者的所有費用執行情況;(3)科室詳細填寫每位患者的藥品請領單(包括姓名、住院號、費別、藥品名稱及用量),一式兩份,一份用于科室補錄醫囑,另一份送藥房作為領藥憑證。
(4)出院帶藥由主管醫生負責掌握經費情況,如出現費用超支時原則上不予帶藥;
(5)接到信息科通知恢復運行時間,按要求補錄醫囑。
6、醫技檢查工作協調
(1)在網絡停運期間應詳細留取、整理檢查申請單底聯;
(2)網絡恢復后根據檢查單底聯登記,通過手工記價補錄患者費用。(注意與臨床科室聯系溝通)
(3)對即將出院或有出院傾向的患者,主治醫師要在檢查申請單上要注明,檢查科室應及時通知科室或住院處溝通費用情況。
7、藥房工作協調
(1)嚴格按照信息科通知的時間及要求進行操作;(2)網絡故障時,根據臨床科室提供的藥品請領單發藥;
(3)網絡恢復時對臨床科補錄的擺藥醫囑進行發藥并確認,同時與發藥時藥品請領單內容詳細核對,如發現內容不符,須詳細追查;
(4)網絡恢復后對出院帶藥處方及時進行確認; 各工作站接到重新運行通知時,需重新啟動計算機,整體網絡故障的工程恢復工作,由信息科嚴格按照服務器數據管理要求進行恢復工作。
五、應急數據恢復工作規定
1、當服務器確認出現故障時,由網絡管理員按《數據備份恢復方案》進行系統恢復。
2、網絡管理員由信息科科長指定專人負責恢復。當人員變動時應有交接手續。
3、當網絡線路不通時,網絡管理員應立即到場進行維護,當光纖損壞時應立即使用備用光纖進行恢復,交換機出現故障時,應使用備用交換機。
4、對每次的恢復細節應做好詳細記錄。
5、平時每月對全系統備份數據要進行模擬恢復一次,以檢查數據的可用性。
六、網絡服務器故障應急處理規程
網絡服務器故障是因硬件或軟件原因致使醫院信息管理系統運行停止,一旦發生故障,按下列規程處理。
1、信息科應設24小時專人值班,監控網絡運行。發現問題,在及時處理的同時迅速向科室領導匯報。故障排除后,應完成故障報告,在技術討論會上匯報。
2、遇到較大故障,信息科工作人員應迅速集合,集體攻關。具體分為3個組做以下工作:
(1)故障檢修組:集中系統管理員繼續分析故障、查找原因、修復系統。組長:李柏鋅 成員:李俊、陳誠、陳敏、陳俊寅。
(2)技術聯絡組:迅速與軟、硬件供應商取得聯系,采取有效手段獲得技術支持。組長:李柏鋅 成員:王林波。
(3)院內協調組:通知全院各科室故障情況,并到關鍵科室協助數據保存。組長:魏瓊 成員:劉娟娟 唐小英 張茜。
3、全院各系統使用科室制定相應的系統故障數據保護措施,并建立數據搶錄小組,發現停機,應保存斷點,保護原始數據,斷點前后表單分開存放。
4、在停機期間,相關科室應組織數據搶錄小組在崗待命,一旦系統恢復,當日應立即完成對重要數據的錄入,第二天完成全部數據補錄。
5、故障排除后,信息科工作技術組應按制定方案分片包干,協助重要科室進行數據補錄工作。
6、故障排除后2天內,信息科應組織技術研討會,分析故障原因,制定預防措施,完成故障排除報告院領導。
第二篇:信息系統安全應急預案
信息系統安全應急預案
為全面加強信息系統安全管理,應對信息安全突發事件的發生,提高對安全事件的應急處置能力,保證網絡與信息安全指揮協調工作迅速、高效、有序地進行,滿足突發情況下信息系統安全穩定、持續運行,根據國家和省有關規定,制定本預案。
一、組織機構
信息系統安全應急工作,由信息安全工作領導小組統一領導。負責信息安全日常事務處理、應急處理及安全通報等事務。
二、工作原則
(一)明確責任、分級負責:按照“誰主管誰負責,誰運行誰負責”的要求,逐級建立并落實統計信息系統責任制和應急機制。
(二)加強領導、分工合作:各單位應按照規定的職責和流程,實施統計信息系統的應急處理工作。
(三)積極預防、及時預警:各單位應及早發現安全事件,及時進行預警和信息通報;積極做好應急處理準備,提高對安全事件的預防和應急處理能力。
(四)協作配合、確保恢復:各單位要協同配合,確保在最短的時間內完成系統的恢復。
三、應急措施(一)電力系統故障的應急處理流程
1.任何單位和人員發現本單位電力系統出現異常情況時,都應及時向辦公室報告。
2.辦公室是電力系統故障應急處理的第一責任單位。辦公室應盡快查清故障原因,提出解決辦法,確定故障排除可能需要的時間,報信息安全工作領導小組。
3.網絡運行負責人應根據停電時間和UPS電池的供電能力,在保證重點網絡關鍵設備用電的前提下,提出機房設備部分關機或全部關機方案,報信息安全工作領導小組。經認可后,安排相關人員按照規定的流程操作實施。
4.電力系統恢復供電后,辦公室應在第一時間通知網絡中心,以便以最快的速度恢復關閉的網絡應用。
計算中心網絡和系統管理人員在接到通知后,按照規定的流程開啟關閉相關設備。
(二)消防系統應急處理流程
1.當出現火情、火災時,發現人員應在最短時間內報告辦公室。若火情嚴重時,應迅速撥打119電話報警,并盡可能采取一些簡單可行的方法作初步處理,如:使用周圍的滅火器、水源(在允許用水滅火的場合)或采用其他滅火措施、手段。進展情況隨時向有關領導報告。
2.計算中心機房出現火情并且無法進行局部處理時,機房管理人員在緊急報告有關領導的同時,應立即疏散物理場地樓層以內的工作人員。并迅速撥打119電話報警。
(三)網絡信息系統故障的應急處理流程
1.網絡設備、網絡應用系統故障應由發現人通知計算中心,計算中心立即檢查故障,進行初步故障定位。如果網絡、應用系統出現比較嚴重的問題,對網絡業務的正常運行造成較大的影響,需立即向有關領導報告。
2.對簡單故障,運維人員應迅速排除故障,解決問題并記錄。如果需要更換設備,應上報有關領導經批準后馬上更換故障設備,盡快恢復網絡、應用系統運行。
運維部門判斷無法及時修理時,應立即通知相關的系統運行服務提供商,在最短的時間內安排修理或更換系統。
3.如發現屬外部線路的問題,應與線路服務提供商聯系,敦促對方盡快恢復故障線路。
4.啟用備份線路、設備、系統(如果存在的話),迅速恢復相關的應用。
(四)網站檢測與自動恢復系統應急處理流程
1.發現網站不能正常打開或網站內容被惡意篡改時,任何人員都有義務向網絡中心報告。由網絡應急小組組織應急響應,聯合相關部門進行故障排查。
2.先由運維小組查看網絡連接情況,若不是網絡故障,則排查軟、硬件故障。待故障處理完成并經過測試后,恢復系統的正常運行和內容的正常應用。
(五)黑客入侵的應急處理
1.發現網絡上有黑客攻擊行為,任何人員都有義務向網絡中心報告。計算中心立即啟動應急響應,切斷受攻擊計算機與網絡的連接,停止一切操作、保護現場,并上報有關領導。
2.對于黑客攻擊,由網絡中心組織應急響應小組查找入侵蹤跡,分析入侵方式和原因。由安全管理員根據對入侵事件的分析,組織相關人員對內部網計算機整改,防止黑客用同樣的手段再次入侵其他系統。安全管理員檢查確定無安全隱患后,才可將受攻擊計算機重新連接網絡,或啟用備份計算機來恢復應用。
3.安全管理員應做好記錄,保護現場,進行日志收集等工作。如果能追查到攻擊者的相關信息,可以對其發出警告,必要時可以采取進一步的行動,乃至采取法律手段。根據破壞程度,經有關領導同意后,上報公安部門。
若系統已被黑客破壞,無法恢復,應將受黑客攻擊的計算機上的重要數據備份到其他存儲介質,確保計算機內重要的數據不丟失。如果數據無法恢復,經有關領導同意后,可與國家指定的部門聯系,由他們來協助恢復,為保證數據信息安全,需在安全管理部門作記錄。
(六)大規模病毒(含惡意軟件)攻擊的應急處理
1.發現網絡上有大規模病毒攻擊的行為,任何人員都有義務向網絡中心報告。由網絡中心組織應急響應,切斷受攻擊計算機與網絡的連接,停止一切操作、保護現場,立即上報有關領導。2.若是已知病毒,使用最新版本殺毒軟件對染毒計算機進行全面殺毒,并對染毒計算機系統進行漏洞修補。安全管理員確定沒有病毒和安全漏洞后,再連接網絡恢復使用。
3.若是未知病毒,觀察網管軟件根據監視窗口的鏈路狀態,由此判斷感染病毒或惡意程序的客戶端、服務器所科的樓層交換機。打開該交換機的端口流量分析窗口,根據流量判斷感染病毒或惡意程序的客戶端所在的交換機端口。關閉該交換機端口,隔離該工作站、服務器,阻斷與局域網的連接。根據端口狀態功能,查看該感染病毒或惡意程序的工作站的IP地址。根據IP地址信息找到該工作站的具體位置,對該工作站進行病毒或惡意程序清除工作。
根據對于未知病毒,應首先嘗試手工殺毒處理,若系統已被病毒破壞,無法恢復,應將感染病毒的計算機上的硬盤加掛到其他機器上處理,將重要數據備份到其他存儲介質,盡最大努力保護、保留感染計算機內重要的數據,同時防止病毒感染其他計算機。如果數據無法恢復,經有關領導同意后,可與國家指定的反病毒部門聯系,由他們來協助恢復,為保證數據信息安全,需在安全管理部門作記錄。如為涉及國家秘密的數據,不允許由其他機構來恢復數據。
第三篇:信息網絡安全應急預案
應急預案
第一條 信息系統安全突發事件級別分為四級:一般(IV級)、較大(III級)、重大(II級)和特別重大(I級)。
IV級:
1.安全事件的發生不影響日常工作,不影響業務系統和網絡的正常運行。
2.個別內網用戶因安全事件的發生影響了日常工作。III級:
1.市人社業務專網骨干網絡全部或部分出現性能嚴重下降60分鐘以上。
2.市人社業務專網20%以上的內網用戶因同一類型安全事件的發生影響了日常的工作。
3.非關鍵性業務系統及網絡出現問題造成中斷。4.對外部用戶提供業務的網站及信息系統受到篡改、病毒、攻擊影響60分鐘以上。
II級:
1.市人社業務專網較大面積(30%以上區域)中斷或性能嚴重下降30分鐘以上。
2.市人社業務專網30%以上的內網用戶無法訪問網絡或進行正常辦公。
3.關鍵性業務系統及網絡出現問題影響業務運行。4.對外部用戶提供業務的網站及信息系統受到篡改、病毒、攻擊影響無法正常訪問。
I級:
1.市人社業務專網網絡大面積(50%以上區域)中斷或性能嚴重下降30分鐘以上。
2.市人社業務專網40%以上的內網用戶無法訪問網絡或進行正常辦公。
3.關鍵性業務系統及網絡發生中斷。
4.對外部用戶提供業務的網站及信息系統受到篡改、病毒、攻擊影響導致無法訪問。
第二條 市人社業務專網用戶發現業務專網工作不正常后,應立即報告本級信息化工作管理部門。信息化工作管理部門接到報告后,應立即組織力量對此次業務專網信息安全事件的危害程度和影響范圍進行初步評估認定,并根據初步判斷的事件緊急程度,進行信息上報/通報。
(一)緊急事件信息的上報。對于初步認定為三級以上內網信息安全事件,應當立即將有關情況向市人力資源和社會保障信息中心信息安全管理員報告。
(二)非緊急(一般)事件信息的報送/通報。各縣市區人社部門、局屬各單位對不符合上述條件的人社業務專網信息安全事件,應在對事件進行自行處置后,將事件發生情況、處置情況、相關建議信息等按月匯總后報送市人力資源和社會保障信息中心信息安全管理員。
(三)對造成系統中斷和造成信息泄密的安全事件應采用不同的處理程序和報告程序。
第三條 所有市人社系統干部職工都必須盡快向本級安全部門匯報已知或受懷疑的可能的安全事件,如系統漏洞、缺陷或誤用,以便最大限度地減少安全事件和故障所造成的破壞;
第四條 安全事件處理人員應在不延長業務中斷時間的前提下,盡量收集并記錄事件數據,特別是采取處理措施后無法再獲得的數據。例如:內存數據、進程狀態、連接等。
第四篇:信息系統安全應急預案
深圳市前海好彩金融服務有限公司
信息系統安全應急預案
一、總則
(一)編制目的
公司網絡和信息安全涉及以設備為中心的信息安全,技術涵蓋網絡系統、計算機操作系統、數據庫管理系統和應用軟件系統;涉及計算機病毒的防范、入侵的監控;涉及以用戶(包括內部員工和外部相關機構人員)為中心的安全管理,包括用戶的身份管理、身份認證、授權、審計等;涉及信息傳輸的機密性、完整性、不可抵賴性等等。為切實加強我司網絡運行安全與信息安全的防范,做好應對網絡與信息安全突發公共事件的應急處理工作,進一步提高預防和控制網絡和信息安全突發事件的能力和水平,昀大限度地減輕或消除網絡與信息安全突發事件的危害和影響,確保網絡運行安全與信息安全,結合公司工作實際,特制定本應急預案。
(二)編制依據
根據《中華人民共和國計算機信息系統安全保護條例》、《信息安全3級評級方法》、GB/T20269-2006《信息安全技術信息系統安全管理要求》、GB/T20270-2006《信息安全技術網絡基礎安全技術要求》、GB/T20281-2006《信息安全技術防火墻技術要求和測試評價方法》、GB/T19716-2005《信息技術信息安全管理使用規則》等有關法規、規定,制定本預案。
(三)本預案適用于深圳市前海好彩金融服務有限公司網絡與信息安全應急處理工作。
二、應急組織機構及職責
成立信息系統應急處理領導小組,負責領導、組織和協調全公司信息系統突發事件的應急保障工作。
(一)領導小組成員: 組長:技術主管 副組長:運維經理
成員:開發部.運維部.測試部.等部門負責人組成。
應急小組日常工作由公司技術部承擔,其他各相關部門積極配合。
(二)領導小組職責:制訂專項應急預案,負責定期組織演練,監督檢查各部門在本預案中履行職責情況。對發生事件啟動應急救援預案進行決策,全面指揮應急救援工作。
三、工作原則
(一)積極防御、綜合防范
立足安全防護,加強預警,重點保護重要信息網絡和關系社會穩定的重要信息系統;從預防、監控、應急處理、應急保障和打擊不法行為等環節,在管理、技術、宣傳等方面,采取多種措施,充分發揮各方面的作用,構筑網絡與信息安全保障體系
(二)明確責任、分級負責
按照“誰主管誰負責”的原則,分級分類建立和完善安全責任制度、協調管理機制和聯動工作機制。加強計算機信息網絡安全的宣傳和教育,進一步提高工作人員的信息安全意識。
(三)落實措施、確保安全
深圳市前海好彩金融服務有限公司
要對機房、網絡設備、服務器等設施定期開展安全檢查,對發現安全漏洞和隱患的進行及時整改。
(四)科學決策,快速反應
加強技術儲備,規范應急處置措施和操作流程,網絡與信息安全突發公共事件發生時,要快速反應,及時獲取準確信息,跟蹤研判,及時報告,果斷決策,迅速處理,昀大限度地減少危害和影響。
四、事件分類和風險程度分析
(一)物理層的安全風險分析
1、系統環境安全風險
(1)水災、火災、雷電等災害性故障引發的網絡中斷、系統癱瘓、數據被毀等;
(2)因接地不良、機房屏蔽性能差引起的靜電干擾或外界的電磁干擾使系統不能正常工作;(3)機房電力設備和其它配套設備本身缺陷誘發信息系統故障;(4)機房安全設施自動化水平低,不能有效監控環境和信息系統工作;(5)其它環境安全風險。
2、物理設備的安全風險由于信息系統中大量地使用了網絡設備如交換機、路由器等,服務器,移動設備,使得這些設備的自身安全性也會直接關系信息系統和各種網絡應用的正常運轉。例如,路由設備存在路由信息泄漏,交換機和路由器設備配置風險等。
(二)網絡安全風險
1、網絡體系結構的安全風險
網絡平臺是一切應用系統建設的基礎平臺,網絡體系結構是否按照安全體系結構和安全機制進行設計,直接關系到網絡平臺的安全保障能力。公司的網絡是由多個局域網和廣域網組成,網絡體系結構比較復雜。內部應用信息網、Internet網之間是否進行隔離及如何進行隔離,網段劃分是否合理,路由是否正確,網絡的容量、帶寬是否考慮客戶上網的峰值,網絡設備有無冗余設計等都與安全風險密切相關。
2、網絡通信協議的安全風險。
網絡通信協議存在安全漏洞,網絡黑客就能利用網絡設備和協議的安全漏洞進行網絡攻擊和信息竊取。例如未經授權非法訪問內部網絡和應用系統;對其進行監聽,竊取用戶的口令密碼和通信密碼;對網絡的安全漏洞進行探測掃描;對通信線路和網絡設備實施拒絕服務攻擊,造成線路擁塞和系統癱瘓。
3、網絡操作系統的安全風險
網絡操作系統,不論是 IOS,Android,還是 Windows,都存在安全漏洞;一些重要的網絡設備,如路由器、交換機、網關,防火墻等,由于操作系統存在安全漏洞,導致網絡設備的不安全;有些網絡設備存在“后門”(back door)。
(三)系統安全風險
1、操作系統安全風險
操作系統的安全性是系統安全管理的基礎。數據庫服務器、中間層服務器,以及各類業務和辦公客戶機等設備所使用的操作系統,不論是Win2008/XP/7,還是 Unix都存在信息安全漏洞,由操作系統信息安全漏洞帶來的安全風險是昀普遍的安全風險。
2、數據庫安全風險
深圳市前海好彩金融服務有限公司
所有的業務應用、決策支持、行政辦公的信息管理核心都是數據庫,而涉及公司運行的數據都是昀需要安全保護的信息資產,不僅需要統一的數據備份和恢復以及高可用性的保障機制,還需要對數據庫的安全管理,包括訪問控制,敏感數據的安全標簽,日志審計等多方面提升安全管理級別,規避風險。雖然,目前公司的數據庫管理系統可以達到較高的安全級別,但仍存在安全漏洞。建立在其上的各種應用系統軟件在數據的安全管理設計上也不可避免地存在或多或少的安全缺陷,需要對數據庫和應用的安全性能進行綜合的檢測和評估。
3、應用系統的安全風險
為優化整個應用系統的性能,無論是采用C/S應用模式或是B/S應用模式,應用系統都是其系統的重要組成部分,不僅是用戶訪問系統資源的入口,也是系統管理員和系統安全管理員管理系統資源的入口,桌面應用系統的管理和使用不當,會帶來嚴重的安全風險。例如當口令或通信密碼丟失、泄漏,系統管理權限丟失、泄漏時,輕者假冒合法身份用戶進行非法操作。重者,“黑客”對系統實施攻擊,造成系統崩潰。
4、病毒危害風險
計算機病毒的傳播會破壞數據信息,占用系統資源,影響計算機運行速度,引起網絡堵塞甚至癱瘓。盡管防病毒軟件安裝率已大幅度提升,但如果沒有好的防毒概念,從不進行病毒代碼升級,而新病毒層出不窮,因此威脅性愈來愈大。
5、黑客入侵風險
一方面風險來自于內部,入侵者利用 Sniffer等嗅探程序通過網絡探測、掃描網絡及操作系統存在的安全漏洞,如網絡 IP地址、應用操作系統的類型、開放哪些 TCP端口號、系統保存用戶名和口令等安全信息的關鍵文件等,并采用相應的攻擊程序對內網進行攻擊。入侵者通過拒絕服務攻擊,使得服務器超負荷工作以至拒絕服務甚至系統癱瘓。
另一方面風險來自外部,入侵者通過網絡監聽、用戶滲透、系統滲透、拒絕服務、木馬等綜合手段獲得合法用戶的用戶名、口令等信息,進而假冒內部合法身份進行非法登錄,竊取內部網重要信息,或使系統終止服務。所以,必須要對外部和內部網絡進行必要的隔離,避免信息外泄;同時還要對外網的服務請求加以過濾,只允許正常通信的數據包到達相應主機,其它的請求服務在到達主機之前就應該遭到拒絕。
(四)應用安全風險
1、身份認證與授權控制的安全風險
依靠用戶 ID和口令的認證很不安全,容易被猜測或盜取,會帶來很大的安全風險。為此,動態口令認證、CA第三方認證等被認為是先進的認證方式。但是,如果使用和管理不當,同樣會帶來安全風險。要基于應用服務和外部信息系統建立基于統一策略的用戶身份認證與授權控制機制,以區別不同的用戶和信息訪問者,并授予他們不同的信息訪問和事務處理權限。
2、信息傳輸的機密性和不可抵賴性風險
實時信息是應用系統的重要事務處理信息,必須保證實時信息傳輸的機密性和網上活動的不可抵賴性,能否做到這一點,關鍵在于采用什么樣的加密方式、密碼算法和密鑰管理方式。采用國內經過國家密碼管理委員會和公安部批準的加密方式、密碼算法和密鑰管理技術來強化這一環節的安全保障。
深圳市前海好彩金融服務有限公司
3、管理層安全風險分析
安全的網絡設備要靠人來實施,管理是整個網絡安全中昀為重要的一環,認真地分析管理所帶來的安全風險,并采取相應的安全措施。責權不明、管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。
當網絡出現攻擊行為或網絡受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當故障發生后,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網絡的可控性與可審查性。這就要求人們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
五、預防預警
(一)完善網絡與信息安全突發公共事件監測、預測和預警制度。
加強對各類網絡與信息安全突發事件和可能引起突發網絡與信息安全突發公共事件的有關信息的收集、分析、判斷和持續監測。當檢查到有網絡與信息安全突發事件發生或可能發生時,應及時對發生事件或可能發生事件進行調查核實、保存相關證據,并立即向應急領導小組報告。報告內容主要包括信息來源、影響范圍、事件性質、事件發展趨勢和采取的措施建議等。
若發現下列情況應及時向應急領導小組報告:利用網絡從事違法犯罪活動;網絡或信息系統通信和資源使用異常;網絡或信息系統癱瘓,應用服務中斷或數據篡改、丟失;網絡恐怖活動的嫌疑和預警信息;其他影響網絡與信息安全的信息。
(二)設定信息安全等級保護,實行信息安全風險評估。
通過相關設備實時監控網絡工作與信息安全狀況。各基礎信息網絡和重要信息系統建設要充分考慮抗毀性和災難恢復,制定并不斷完善信息安全應急處理預案。針對信息網絡的突發性、大規模安全事件,建立制度優化、程序化的處理流程。
(三)做好服務器及數據中心的數據備份及登記工作,建立災難性數據恢復機制。
一旦發生網絡與信息安全事件,立即啟動應急預案,采取應急處置措施,判定事件危害程度,并立即將情況向有關領導報告。在處置過程中,應及時報告處置工作進展情況,直至處置工作結束。
六、處置流程
(一)預案啟動
在發生網絡與信息安全事件后,信息中心應盡昀大可能迅速收集事件相關信息,鑒別事件性質,確定事件來源,弄清事件范圍和評估事件帶來的影響和損害,一旦確認為網絡與信息安全事件后,立即將事件上報工作組并著手處置。
(二)應急處理
1、電源斷電(1)查明故障原因。
(2)檢查 UPS是否正常供電。
(3)匯報相關領導,確認市電恢復時間,評估 UPS供電能力。(4)備份服務器數據、交換機配置。
深圳市前海好彩金融服務有限公司
(5)通知機房進行電源維修。做好事件記錄。
(6)必要時請示公司負責人及公司領導,主動關閉服務器、交換機、存儲等設備,以免設備損壞或數據損失。
2、局域網中斷緊急處理措施
(1)信息安全負責人員立即判斷故障節點,查明故障原因,及時匯報。(2)若是線路故障,重新安裝線路。
(3)若是路由器、交換機等設備故障,應立即從指定位置將備用設備取出接上,并調試暢通。(4)若是路由器、交換機等配置文件損壞,應迅速按照要求重新配置,并調試暢通。(5)匯報相關領導,做好事件記錄。
3、廣域網線路中斷
(1)信息安全負責人員應立即判斷故障節點,查明故障原因。(2)如是我方管轄范圍,由信息安全負責人員立即維修恢復。(3)如是電信部門管轄范圍,應立即與電信維護部門聯系修復。(4)做好事件記錄。
4、核心交換機故障
(1)檢查、備份核心交換機日志。(2)啟用備用核心交換機,檢查接管情況。(3)備份核心交換機配置信息。
(4)將服務器接入備用核心交換機,檢查服務器運行情況,將樓層交換機、接入交換機接入備用核心交換機,檢查各交換機運行情況。
(5)匯報有關領導,做好事件記錄。(6)聯系維修核心交換機。
5、光纜線路故障
(1)立即聯系光纖熔接人員攜帶尾纖等輔助材料,及時熔接連通。(2)檢查并做好備用光纜或備用芯的跳線工作,隨時切換到備用網絡。(3)做好事件記錄,及時上報。
6、計算機病毒爆發
(1)關閉計算機病毒爆發網段上聯端口。(2)隔離中病毒計算機。(3)關閉中病毒計算機上聯端口。(4)根據病毒特征使用專用工具進行查殺。(5)系統損壞計算機在備份其數據后,進行重裝。(6)通過專用工具對網絡進行清查。(7)做好事件記錄,及時上報。
7、服務器設備故障
深圳市前海好彩金融服務有限公司
(1)主要服務器應做多個數據備份。
(2)如能自行恢復,則立即用備件替換受損部件,如:電源損壞更換備用電源,硬盤損壞更換備用硬盤,網卡、主板損壞啟用備用服務器。
(3)若數據庫崩潰應立即啟用備用系統。并檢查備用服務器啟用情況。(4)對主機系統進行維修并做數據恢復。
(5)如不能恢復,立即聯系設備供應商,要求派維護人員前來維修。(6)匯報有關領導,做好事件記錄。
8、黑客攻擊事件
(1)若通過入侵監測系統發現有黑客進行攻擊,立即通知相關人員處理。(2)將被攻擊的服務器等設備從網絡中隔離出來。(3)及時恢復重建被攻擊或被破壞的系統
(4)記錄事件,及時上報,若事態嚴重,應及時向信息化主管部門和公安部門報警。
9、數據庫安全事件
(1)平時應對數據庫系統做多個備份。
(2)發生數據庫數據丟失、受損、篡改、泄露等安全事件時,信息安全人員應查明原因,按照情況采取相應措施:如更改數據庫密碼,修復錯誤受損數據。
(3)如果數據庫崩潰,信息安全人員應立即啟用備用系統,并向信息安全負責人報告;在備用系統運行期間,信息安全人員應對主機系統進行維修并作數據恢復。
(4)做好事件記錄,及時上報。
10、人員疏散與機房滅火預案
(1)當班人員發現機房內有起火、冒煙現象或聞到燒焦氣味時,應立即查明原因和地點,及時上報并針對不同情況,采取關閉電源總開關、隔離火源附近易燃物、用消防栓、滅火器等器材滅火等措施,組織本單位、部門在場的人員有序地投入撲救工作,將火撲滅或控制火勢蔓延。
(2)當火勢已無法控制時,一是指定專人立即撥打“119”火警電話報警和向上級保衛部門報告,并打破報警器示警。二是組織周圍人員迅速撤離。
(3)在保障人員安全的情況下,立即組織人員疏散和轉移重要物品,特別是易燃、易爆物品和重要的機器、數據要及時轉移到安全地點,并派人員守護,確保安全。
(4)火情結束之后,組織相關人員及時進行網絡系統恢復,及時向上級有關部門和領導匯報,并做好現場保護工作和防止起火點復燃。
11、發生自然災害后的緊急措施
(1)遇到重大雷暴天氣,可能對機房設備造成損害時,應關閉所有服務器,切斷電源,暫停內部計算機網絡工作。雷暴天氣結束后,及時開通服務器,恢復內部計算機網絡工作。
(2)確認災害不會造成人身傷害后,盡快將網絡恢復正常,若有設備、數據損壞,及時使用備份設備或備用數據。
(3)及時核實、報損,并將詳細情況向部門領導匯報。
深圳市前海好彩金融服務有限公司
12、關鍵人員不在崗的緊急處置措施
(1)對于關鍵崗位平時應做好人員儲備,確保一項工作有兩人能夠操作。對于關鍵賬戶和密碼進行密封保存。
(2)一旦發生系統安全事件,關鍵人員不在崗且聯系不上或 1小時內不能到達機房的情況,首先應向領導小組匯報情況。
(3)經領導小組批準后,啟用公司備份管理員密碼,由備用人員上崗操作。(4)如果備用人員無法上崗,請求軟件公司技術支援。(5)關鍵人員到崗后,按照相關規定進行密碼設定和封存。(6)做好事件記錄。
(三)后續處理
安全事件進行昀初的應急處置以后,應及時采取行動,抑制其影響的進一步擴大,限制潛在的損失與破壞,同時要確保應急處置措施對涉及的相關業務影響昀小。安全事件被抑制之后,通過對有關事件或行為的分析結果,找出其根源,明確相應的補救措施并徹底清除。在確保安全事件解決后,要及時清理系統、恢復數據、程序、服務,恢復工作應避免出現誤操作導致數據丟失。
(四)記錄上報
網絡與信息安全事件發生時,應及時向網絡與信息安全應急處置工作組匯報,并在事件處置工作中作好完整的過程記錄,及時報告處置工作進展情況,保存各相關系統日志,直至處置工作結束。
七、保障措施
(一)應急設備保障
對于重要網絡與信息系統,在建設系統時應事先預留一定的應急設備,建立信息網絡硬件、軟件、應急救援設備等應急物資庫。在網絡與信息安全突發公共事件發生時,報領導同意后,由應急工作組負責統一調用。
(二)數據保障
重要信息系統均應建立容災備份系統和相關工作機制,保證重要數據在遭到破壞后,可緊急恢復。各容災備份系統應具有一定的兼容性,在特殊情況下各系統間可互為備份。
日期:2015-06-12
審批人:
第五篇:信息系統安全應急預案
信息系統安全應急預案
為全面加強公司信息系統安全管理,應對信息安全突發事件的發生,提高對安全事件的應急處置能力,保證網絡與信息安全協調工作迅速、高效、有序地進行,滿足突發情況下信息系統安全穩定、持續運行,根據總公司有關規定,制定本預案。
一、工作原則
(一)明確責任:按照“誰主管誰負責,誰運行誰負責”的要求,建立并落實統計信息系統責任制和應急機制。
(二)積極預防、及時預警:各部門應及早發現安全事件,及時進行預警和信息通報;積極做好應急處理準備,提高對安全事件的預防和應急處理能力。
(三)協作配合、確保恢復:部門間要協同配合,確保在最短的時間內完成系統的恢復。
二、應急措施
電力系統故障的應急處理流程
1.任何部門和人員發現本單位電力系統出現異常情況時,都應及時向公司辦公室報告。
2.公司辦公室是電力系統故障應急處理的第一責任單位。公司辦公室應立即啟動電力系統故障應急處理流程,盡快查清故障原因,提出解決辦法,確定故障排除可能需要的時間并通知網絡機房管理部門。
3.計算中心機房停電的處理
網絡運行負責人應根據停電時間和UPS電池的供電能力,在保證重點網絡關鍵設備用電的前提下,提出機房設備部分關機或全部關機方案,經認可后按照規定的流程操作實施。
4. 電力系統恢復供電后的處理流程
電力系統恢復供電后,公司辦公室應在第一時間通知技術部門,以便以最快的速度恢復關閉的網絡應用。系統管理人員在接到通知后,按照規定的流程開啟關閉相關設備。
(二)消防系統應急處理流程
1.報告和簡單處理
當出現火情、火災時,發現人員應在最短時間內報告公司辦公室及機房管理部門。若火情嚴重時,應迅速撥打119電話報警,并盡可能采取一些簡單可行的方法作初步處理,如:使用周圍的滅火器、水源(在允許用水滅火的場合)或采用其他滅火措施、手段。進展情況隨時向有關領導報告。
2.滅火
計算中心機房出現火情并且無法進行局部處理時,機房管理人員在緊急報告有關領導的同時,應立即疏散物理場地樓層以內的工作人員。
三、網絡信息系統故障的應急處理流程
1.報告和簡單處理
網絡設備、網絡應用系統故障應由發現人通知機房管理人員,技術部門立即檢查故障,進行初步故障定位。如果網絡、應用系統出現比較嚴重的問題,對網絡業務的正常運行造成較大的影響,需立即向有關領導報告。2.故障判斷與排除
對簡單故障,運維人員應迅速排除故障,解決問題并記錄。如果需要更換設備,應上報有關領導,經批準后馬上更換故障設備,盡快恢復網絡、應用系統運行。運維人員判斷無法及時修理時,應立即通知相關的系統運行服務提供商,在最短的時間內安排修理或更換系統。
3.網絡線路故障排除
如發現屬外部線路的問題,應與線路服務提供商聯系,敦促對方盡快恢復故障線路。
4.啟用備份線路、設備、系統(如果存在的話),迅速恢復相關的應用。
四、網站檢測與自動恢復系統應急處理流程
1.報告和簡單處理
發現公司服務網站等對外不能正常打開或網站內容被惡意篡改時,任何公司人員都有義務向技術部門報告。由技術部們組織應急響應并進行故障排查。2.處理和恢復使用
先查看網絡連接情況,若不是網絡故障,再排查軟、硬件故障。待故障處理完成并經過測試后,恢復系統的正常運行和內容的正常應用。
五、黑客入侵的應急處理
1.報告和簡單處理
發現網絡上有黑客攻擊行為,任何人員都有義務向技術部門報告。技術部門立即啟動應急響應,切斷受攻擊計算機與網絡的連接,停止一切操作、保護現場,并上報有關領導。2.處理和恢復使用
對于黑客攻擊,由技術部門與機房管理人員協同查找入侵蹤跡,分析入侵方式和原因,分析入侵事件并內部網計算機進行整改,防止黑客用同樣的手段再次入侵其他系統。檢查確定無安全隱患后,才可將受攻擊計算機重新連接網絡,或啟用備份計算機來恢復應用。3.應急響應
機房管理人員應做好記錄,保護現場,進行日志收集等工作。如果能追查到攻擊者的相關信息,可以對其發出警告,必要時可以采取進一步的行動,乃至采取法律手段。根據破壞程度,經有關領導同意后,上報公安部門。若系統已被黑客破壞,無法恢復,應將受黑客攻擊的服務器上的重要數據備份到其他存儲介質,并做好數據異地備份工作,確保服務器內重要的數據不丟失。
六、大規模病毒(含惡意軟件)攻擊的應急處理
1.報告和簡單處理
發現網絡上有大規模病毒攻擊的行為,任何人員都有義務向技術部門報告。由機房管理員組織應急響應,切斷受攻擊計算機與網絡的連接,停止一切操作、保護現場,立即上報有關領導。2.已知病毒的處理和恢復
使用最新版本殺毒軟件對染毒計算機進行全面殺毒,并對染毒計算機系統進行漏洞修補。機房管理員確定沒有病毒和安全漏洞后,再連接網絡恢復使用。3.未知病毒的處理和恢復
觀察網管軟件根據監視窗口的鏈路狀態,由此判斷感染病毒或惡意程序的客戶端、服務器所屬的樓層交換機。打開該交換機的端口流量分析窗口,根據流量判斷感染病毒或惡意程序的客戶端所科交換機端口。關閉該交換機端口,隔離該工作站、服務器,阻斷與局域網的連接。根據端口狀態功能,查看該感染病毒或惡意程序的工作站的IP地址。根據IP地址信息找到該工作站的具體位置,對該工作站進行病毒或惡意程序清除工作。根據對于未知病毒,應首先嘗試手工殺毒處理,若系統已被病毒破壞,無法恢復,應將感染病毒的計算機上的硬盤加掛到其他機器上處理,將重要數據備份到其他存儲介質,盡最大努力保護、保留感染計算機內重要的數據,同時防止病毒感染其他計算機。
七、預案的發布與生效
本預案自發布之日起生效
點擊咨詢 