网络与信息安全事件应急预案 为保证我公司信息系统安全,加强和完善网络与信息安全应急管理措施,层层落实责任,有效预防、及时控制和最大限度地消除信息安全突发事件的危害和影响,确保信息系统和网络的通畅运行,结合实际,特制定本应急预案。
一、总则
(一)工作目标
保障信息的合法性、完整性、准确性,保障网络、计算机、相关配套设备设施及系统运行环境的安全,其中重点维护铁路局办公网络信息系统、多元投资集团办公网络信息系统的信息安全。
(二)编制依据
根据《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《计算机网络信息安全保密制度》《涉密存储介质保密管理规定》、计算机网络保密要求“五条禁令,十个不得”等相关法规、规定、文件精神,制定本预案。
(三)基本原则
1、预防为主。根据《计算机信息安全管理规定》的要求,建立、健全计算机信息安全管理制度,有效预防网络与信息
安全事故的发生。
2、分级负责。按照“谁主管谁负责,谁运营谁负责”的原则,建立和完善安全责任制。各部门应积极支持和协助应急处置工作。
3、果断处置。一旦发生网络与信息安全事故,应迅速反应,及时启动应急处置预案,尽最大力量减少损失,尽快恢复网络与系统运行。
(四)适用范围
本预案适用于公司所属各单位,公司各部门。
二、组织体系
成立网络与信息安全领导组,为我公司网络与信息安全应急处置的组织协调机构。
1.网络与信息安全应急领导组组长由主管领导担任, 成员由各部门负责人及相关人员组成。负责网络与信息安全应急响应工作的整体规划、组织协调和决策指挥。
2.网络与信息安全应急领导组下设办公室。由部门主任担任检查组长。
职责:
(1)负责和处理应急领导小组的日常工作,检查督促应急领导组决定事项的落实。
(2)负责网络与信息安全应急预案的管理,指导督促重要信息系统应急预案的修订和完善,检查落实预案执行情况。
(3)指导全公司应对网络与信息安全突发公共事件的预案演习、宣传培训、督促应急保障体系建设。
三、预防预警
1. 信息监测与报告。
(1)按照“早发现、早报告、早处置”的原则,加强对公司属各单位、各部门有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发公共事件时,按规定及时向应急领导小组报告,初次报告最迟不得超过1小时,重大和特别重大的网络与信息安全突发公共事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
(2)建立网络与信息安全报告制度。
发现下列情况时应及时向应急领导小组报告:
利用网络从事违法犯罪活动的情况;
网络或信息系统通信和资源使用异常,网络和信息系统瘫痪,应用服务中断或数据篡改,丢失等情况;
网络恐怖活动的嫌疑情况和预警信息;
其他影响网络与信息安全的信息。
2. 预警处理与发布。
(1)对于可能发生或已经发生的网络与信息安全突发公共事件,立即采取措施控制事态,并向应急领导小组汇报情况。
(2)应急领导小组接到报告后,应迅速召开应急领导小组会议,研究确定网络与信息安全突发公共事件的等级,根据具体情况启动相应的应急预案,并向相关部门进行汇报。
四、应急预案
(一)网站、网页出现非法言论时的应急预案
1、网站、网页由负责网站维护的管理员随时监控信息内容。
2、发现在网上出现非法信息时,网站管理员立即向信息安全领导小组通报情况,并作好记录。清理非法信息,采取必要的安全防范措施,将网站、网页重新投入使用;情况紧急的,应先及时采取删除等处理措施,再按程序报告。
3、网站管理员应妥善保存有关记录、日志或审计记录,将有关情况向安全领导小组汇报,并及时追查非法信息来源。
4、事态严重的,立即向信息安全领导组组长报告,并向相关部门进行汇报。
(二)黑客攻击或软件系统遭破坏性攻击时的应急预案
1、重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日的备份,并将它们保存于安全处。
2、当管理员通过入侵监测系统发现有黑客正在进行攻击时,
应立即向局信息安全领导小组日常应急办公室报告。软件遭破坏性攻击(包括严重病毒)时要将系统停止运行。
3、管理员首先要将被攻击(或病毒感染)的服务器等设备从网络中隔离出来,保护现场,并同时向信息安全领导小组报告情况。
4、日常应急办公室负责恢复与重建被攻击或被破坏的系统,恢复系统数据,并及时追查非法信息来源。
5、事态严重的,立即向信息安全领导组组长报告,并向相关部门进行汇报。
(三)数据库发生故障时的应急预案
1、主要数据库系统应定时进行数据库备份。
2、一旦数据库崩溃,管理员应立即进行数据及系统修复,修复困难的,可向县信息产业中心汇报情况,以取得相应的技术支持。
3、在此情况下无法修复的,应向信息安全领导组报告,在征得许可的情况下,可立即向软硬件提供商请求支援。
4、在取得相应技术支援也无法修复的,应及时向信息安全领导小组组长或领导报告,在征得许可、并可在业务操作弥补的情况下,由日常应急办公室信息安全岗人员利用最近备份的数据进行恢复。
(四)设备安全发生故障时的应急预案
1、小型机、服务器等关键设备损坏后,管理员应立即向日常应急办公室报告。
2、日常应急办公室网络安全岗负责人员立即查明原因。
3、如果能够自行恢复,应立即用备件替换受损部件。
4、如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修。
5、如果设备一时不能修复,应向信息安全领导小组汇报,并告知各股室,暂缓上传上报数据,直到故障排除设备恢复正常使用。
(五)内部局域网故障中断时的应急预案
1、办公室平时应准备好网络备用设备,存放在指定的位置。
2、局域网中断后,网络安全岗负责人员应立即判断故障节点,查明故障原因,并向日常应急办公室汇报。
3、如属线路故障,应重新安装线路。
4、如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅。
5、如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调测通畅。
6、如有必要,应向信息安全领导组汇报。
(六)广域网外部线路中断时的应急预案
1、广域网线路中断后,管理员应向信息安全领导组日常应急办公室报告。
2、日常应急办公室网络安全岗负责人员接到报告后,应迅速判断故障节点,查明故障原因。
3、如属可即时恢复范围,由网络安全组人员立即予以恢复。
4、如属电信运营商管辖范围,应立即与电信运营商的维护部门联系,要求尽快修复。
5、如果恢复时间预计超过两小时, 应立即向信息安全领导小组汇报。经领导小组同意后,应通知各部门暂缓上传上报数据。
(七)外部电中断后的应急预案
1、外部电中断后,值班室应立即向管理员汇报情况。
2、如因局内线路故障,由办公室通知维修人员迅速恢复。
3、如果是局外部的原因,由办公室立即与供电局联系,请供电局迅速恢复供电;如果供电局告知需长时间停电,提前做好存档工作。
(八)机房发生火灾时的应急预案
1、一旦机房发生火灾,应遵循下列原则:首先保证人员安全;其次保证关键设备、数据安全;三是保证一般设备安全。
2、人员灭火和疏散的程序是:应首先切断所有电源,同时通过119电话报警。并从最近的位置取出灭火器进行灭火,其他人员按照预先确定的路线,迅速从机房中有序撤出。
五、应急响应
1. 先期处置。
(1)当发生网络与信息安全突发公共事件时,值班人员应做好先期应急处置工作,立即采取措施控制事态,同时向应急办公室报告。
(2)应急办公室在接到网络与信息安全突发公共事件发生或可能发生的信息后,应立即向应急领导小组汇报,并加强与有关方面的联系,并做好启动本预案的各项准备工作。
2. 应急指挥。
预案启动后,要抓紧收集相关信息,掌握现场处置工作状态,分析事件发展态势,研究提出处置方案,统一指挥网络与信息应急处置工作。
3. 应急支援。
预案启动后,立即成立由应急领导小组领导带队的应急响应先遣小组,督促、指导和协调处置工作。局应急领导小组根据事态的发展和处置工作需要,及时增派专员小组,调动必需的物资、设备,支援应急工作。
4. 信息处理。
(1)应对事件进行动态监测、评估,将事件的性质、危害程度和损失情况及处置工作等情况,及时报应急领导小组,不得隐瞒、缓报、谎报。
(2)应急领导小组要明确信息采集、编辑、分析、审核、签发的责任人,做好信息分析、报告和发布工作。
5. 应急结束。
网络与信息安全突发公共事件经应急处置后,由事发单位,部门向应急领导小组提出应急结束的建议,经批准后实施。
五、后期处置
1. 善后处理。
在应急处置工作结束后,要迅速采取措施,抓紧组织抢修受损的基础设施,减少损失,尽快恢复正常工作。
2. 调查评估。
在应急处置工作结束后,应急领导小组办公室应立即组织有关人员和专员组成事件调查组,对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失情况,总结经验教训,写出调查评估报告,报应急领导小组,并根据问责制的有关规定,对有关责任人员作出处理。
六、保障措施
1. 数据保障。
重要信息系统均应建立备份系统和相关工作机制,保证重要数据在受到破坏后,可紧急恢复。
2. 应急队伍保障。
按照一专多能的要求建立网络信息安全应急保障队伍。
3. 经费保障。
落实网络与信息系统突发公共事件应急处置资金。
七、监督管理
1. 宣传教育。
要充分利用各种传播媒介及有效的形式,加强网络与信息安全突发公共事件应急和处置的有关法律法规和政策的宣传,开展预防、预警、自救、互救和减灾等知识的宣讲活动,普及应急救援的基本知识,提高公众防范意识和应急处置能力。
要加强对网络与信息安全等方面的知识培训,提高防范意识及技能,指定专人负责安全技术工作。并将网络与信息安全突发公共事件的应急管理、工作流程等列为培训内容,增强应急处置工作的组织能力。
2.责任与奖惩。
网络与信息系统的管理部门要认真贯彻落实预案的各项要求与任务,建立监督检查和奖惩机制。应急领导小组将不定期进行检查,对各项制度、计划、方案、人员等进行实地验证。
八、本预案由应急领导小组办公室制定。
九、本预案应急领导小组办公室负责解释。
十、本预案自印发之日起实施。
广西宁铁国际物流有限公司 2013.12.25
第二篇:网络与信息系统安全应急预案
沈阳市统计局网络与信息系统安全应急预案
1、总则
1.1 编制目的
为科学应对统计网络与信息安全突发事件,建立健全统计网络与信息安全应急响应机制,有效预防、控制和最大限度的消除各类统计网络与信息安全突发事件的危害和影响,制定本应急预案。
1.2 制定依据
《中华人民共和国计算机信息系统安全保护条例》等法律法规、《国家网络以信息安全事件应急预案》、《辽宁省网络与信息安全应急预案》、《辽宁省统计局网络与信息系统安全应急预案》、《沈阳市人民政府突发公共事件总体应急预案》、《中共沈阳市委办公厅沈阳市人民政府办公厅转发信息化工作领导小组关于加强全市信息安全保障工作实施意见的通知》、《沈阳市统计局保密工作规定》、《沈阳市统计局网络系统安全管理规定》。
1.3 工作原则
统计网络与信息安全突发事件应急工作,由沈阳市统计局信息安全突发事件应急委员会统一领导和协调,督促相关单位和部门,按照“统一领导、归口负责、综合协调、各负其职”的原则组织实施。
1.3.1 明确责任,分工负责。对沈阳市统计网络与信息安全按照“归口管理、分级响应、及时发现、及时报告、及时处理、及时控制”的要求,依法对突发事件进行防范、监测、预警、报告、响应、指挥、协调和控制。按照“谁主管、谁负责,谁应用、谁负责”的原则,实行责任制和责任追究制。
1.3.2 积极防御,综合防范。立足安全防护,加强预警,重点保护基础统计网络与信息的安全;从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面采取多种措施、充分发挥各方面的作用,共同构筑统计网络与信息安全保障体系。
1.3.3 依靠科学,平战结合。加强技术储备,规范应急处置措施与操作流程,实现统计网络与信息安全突发事件应急处置工作的科学化、程序化与规范化。树立常备不懈的观念,定期进行预案演练,确保应急预案切实可行。
1.3.4 以人为本,快速反应。要大力宣讲网络与信息安全防范知识,贯彻预防为主的思想,树立常备不懈的观念,加强对统计网络与信息安全隐患的日常监测,及时发现和防范重大信息统计网络与信息安全突发性事件,采取有效的可控措施,迅速控制事件影响范围,力争将损失降到最低程度。
1.4现状及其成因
近年来随着互联网的发展,信息安全问题已覆盖各个领域。特别是信息与网络犯罪有快速蔓延之势。反动邪教组织和境内外敌对势力利用因特网从事各种违法犯罪活动,严重影响着社会稳定、经济发展。近年来,随着我国信息化进程的迅速发展,统计网络安全亟需不断加强。
统计网络与信息安全突发事件成因可分为两个方面:一是网络与信息系统自身的脆弱性。二是网络与信息系统外部体制性的不安全性。
1.5适用范围
本预案适用沈阳市统计信息系统网络与安全应急处理工作。
本方案为内部应急方案,仅在我市局本级内部执行。如方案规定的内容与法律法规相悖时, 以法律法规为准。
2、组织机构及职责
2.1应急指挥机构及职责
沈阳市统计局成立局信息安全突发事件应急委员会 (以下简称“局安全应急委”),承担统计网络与信息安全突发事件的组织处理,是处理统计网络与信息安全突发事件应急工作的领导和协调机构。局安全应急委主任由市统计局局长担任,副主任由主管信息化工作副局长担任,各职能部门负责同志为成员。
按照国家、省、市政府网络与信息安全应急机构的要求开展处置工作;研究决定统计网络与信息安全应急工作的有关重大问题;组织制订信息安全常识、应急知识的宣传培训和应急救援队伍的业务培训与演练;决定统计网络与信息安全突发事件应急预案的启动,组织力量对突发事件进行处置;汇总有关统计网络与信息安全突发事件的各种重要信息,进行综合分析;应急处置和事后恢复与重建工作。
2.2局安全应急委各成员单位的职责
沈阳市统计网络与信息安全事件应急组织体系见附件1。
办公室:接收来自有关部门的重要信息,向局安全应急委报告和通报,应局安全应急委的委托发布预警信息;在应急期间会同有关部门做好保密、现场保护、安全保卫、交通通信等工作;与相关部门的联系与协调;统计信息网站的建设与管理。
会计核算中心:确保应急处理系统建设和突发事件应急处理所需经费。
数据管理中心:统筹规划建设应急处理技术平台,严密监控统计信息网络运行状况,对发生重大计算机病毒和大规模网络攻击事件进行及时处置,打击攻击、破坏网络安全运行等违法犯罪行为。从技术方面处理发生问题的系统,检测入侵事件,并采取技术手段来降低损失。
2.3应急指挥
“局安全应急委”负责重大安全事件的应急指挥。
3、分类分级
本预案所指的统计网络与信息安全突发事件,是指重要的统计信息网络系统和安全系统(包括:供电系统、消防系统、信息系统等)突然遭受不可预知外力的破坏、毁损、故障,对统计信息网、社会公众乃至国家造成或者可能造成重大危害的紧急事件。
3.1 事件分类
根据统计网络与信息安全突发事件的发生过程、性质和特征,可划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害、事故灾难和人为破坏引起的网络与信息系统的损坏;信息安全突发事件是指利用信息网络进行有组织的大规模的反动宣传、窃取和渗透等破坏活动。
3.1.1 自然灾害是指地震、台风、雷电、火灾和洪水等。
3.1.2 事故灾难是指电力中断、网络损坏、硬件设备故障等。
3.1.3 人为破坏是指人为破坏网络线路、通信设施、黑客攻击、病毒攻击和恐怖主义活动等事件。
3.2 事件分级
根据统计网络与信息安全突发事件的可控性、严重程度和影响范围,分为四级:I级(特别重大),II级(重大),III级(较大),IV级(一般)。
3.2.1 Ⅰ级(特别重大):重要统计网络与信息安全系统发生全市统计系统大规模瘫痪,事态发展超出控制能力,对国家财产、公共利益和统计工作造成特别严重损害的突发事件,需要跨部门协同处置的突发事件。
3.2.2 Ⅱ级(重大):重要统计网络与信息安全系统造成系统性瘫痪,对国家安全、公共利益和统计工作造成严重损害,但不需要跨部门协同处置。
3.2.3 Ⅲ级(较大):某一区域的重要统计网络与信息安全系统瘫痪,对国家安全、公共利益和统计工作造成一定损害。
3.2.4 Ⅳ级(一般):重要统计网络与信息安全系统受到一定程度的损坏,但不危害国家安全, 公共利益和统计工作的突发事件。
4、电力系统应急方案
4.1发现本单位电力系统出现异常情况时,现场人员应立即向电力管理部门(联系电话:电力室内线426,值班室内线233,外线22721144)和主管领导报告,并对发生的突发事件做出初步的判断。
4.2接到停电通知时,数据管理中心根据停电时间、电池电能贮备、供电管理部门信息、网络和信息运行情况等及时通过OA发布或电话作调度,要求用户在停电前停止业务、保存数据。
4.3电话询问供电部门询问停电原因及具体停电时间,如供电部门告知停电时间过长,通报主管领导,并告知所知事件详情,通知局办公室做出相应处理。
4.4 几种非正常停电的情况处理过程(不限于以下几种处理办法)。
4.4.1机房输入线路(市电)出现故障的处理过程。正常情况下应提前接到政府电力室停电通知。
4.4.1.1 观察机房配电系统的市电和UPS输入指示,如市电电表归零,且UPS输入无电压显示,表示市电输入已停。
4.4.4.2检查UPS输出,如果正常,则察看当前负载量和计算后备电池支撑时间。并联系电力部门了解停电时间间隔,如果超出后备电池的支撑时间,应要求网络管理人员对各应用系统、设备进行必要处理(关闭部分不重要的业务应用),以防止UPS后备电源很快耗光而影响重要工作进行。
4.4.1.3如果UPS无输出,说明UPS逆变器故障,在市电停电的同时已无法为机房提供电源。首先,应电话通知UPS工程师立即到现场排除故障;值班人员应先关闭配电系统各分路空开和各机柜PDU三级开关;再关闭UPS及空调输入电源二级开关,最后关闭总闸。以防止来电时冲击电流过大而损坏设备。
4.4.1.4 在由UPS后备电池供电时间内应密切观察控制面板显示屏,检查机房所属设备各项指标正常与否;待市电来电后,不要急于合各分路分断器,应等待十分钟左右或与电力室人员沟通,确认市电供电无反复、稳定后,再开启各分路开关。
4.4.1.5 如果停电时间过长,应启动停电处理程序:依次关闭机房内网络及各应用系统设备,关闭UPS供电系统,关闭三级分断器,关闭二级分断器,总后关闭总闸。
来电后先合总闸,待市电稳定后,顺序合上二级各分路分断器,开启机房照明系统,观察UPS输入,开启UPS,待整个供电系统运行正常后,合上三级分断器,方可启动各设备,以防止不必要的故障发生。
4.4.1.6值班技术人员分析评估系统出现故障或停电过程所造成的损失,记录处理的全过程并上报相关部门领导。
4.4.2 配电柜故障造成的停电处理过程。
4.4.2.1迅速打开配电柜,依次检查空开通断情况,对突发事件做出迅速判断。
4.4.2.2 如有分断器断开现象,试合一次,仍有分断,确定有短路故障,按电路走向拔出所属供电电路连接电器,查找短路点,通知电力专业人员检查并修复故障。
4.4.2.3用专用测试设备依次测量跳闸开关,对于无接地现象的电路,应尽快恢复供电。
4.4.2.4值班人员根据配电系统出现故障所造成的损失,记录事件发生及处理的全过程并填写《安全事件报告表》上报相关部门领导。(如图一)
通知部门领导
检查各级分闸
未跳
跳
试合该分闸
有短路情况
询问政府电力室
十分钟后合上二、三级分断器
未来电
其它分闸未分断,总闸跳
供未跳闸分路电源
来电
测试绝缘
找出故障点
外部供电故障
内部故障
坏
好
UPS后备电池耗光前适时
进行系统备份等应急准备
尽快维修、更换部件和设备
在UPS供电电池耗光前
分断三、二级开关,关闭总闸
与政府电力室保持联系并监视市电输入指示
恢复供电后执行上述“来电”处理程序
恢复各设备及应用系统正常运行
填写安全事件记录表
由处理人员上报相关负责人备案
拉下各分闸,依次测试进出线绝缘
通知主管领导及相关部门领导
通知主管领导及相关部门
记录备案
检修,更新设备
大范围停电故障
持有电工操作证的操作人员
通知和了解电力管理部门值班人员
发现异常情况
普通照明停电或个别设备出现电力故障
检查UPS
输入电源显示
关 闭
正 常
好
坏
分断配电柜中三、二级分断器
依次测量各分闸进出线路
更换损坏部件和线路
跳
图一:电力系统应急方案流程图
5、消防系统应急方案
5.1 当主机房出现火情、火灾时,现场人员应保持镇静。同时,应在最短时间内通知主管领导及局办公室,并对火情做出正确判断,及时采用一些简单可行的方法做初步处理,如:到指定的位置取灭火器或采用一些应急灭火措施灭火;第一时间迅速切断总闸、关闭供电系统,将自动灭火系统转为“手动”方式。
5.2 平时要注意保养和维护七氟丙烷自动灭火系统,使之保持正常工作状态,如果夜间出现火情,机房专用的自动灭火控制器将会自动开启,实施灭火。
5.3 平时机房值班人员应熟练掌握各类灭火器的使用方法,掌握灭火技能,并能做到反应迅速,操作准确,处理得当。具体应急方法简要过程如下:
5.3.1 接到报火险或设备报火警的情况时,若火势较小,先将自动灭火控制器转到“手动”档;立即提取摆放在周围固定位置的手持式灭火器进行处置。
5.3.2手提灭火器使用方法:提取灭火器,拔下安全销,左手紧握喷管前端橡胶处,右手压住灭火器按把,如果是灯具着火应站在灯具斜下方向上喷射,如果在桌上,应站在距离火点三米左右地方喷射着火点。
5.3.3 若发现火势及烟雾较大,在保证设备、人员安全的条件下,应立即疏散物理场地内的工作人员。
5.3.4若火势特大,用普通的灭火器已无法控制,应迅速打119电话报警,并派人到大门外等候并引导消防车和救援人员进入火灾现场;必须启动气体消防系统时,首先确认物理场地内无任何人员,在征得主管领导同意后,由安全管理员按照《七氟丙烷气体灭火系统的操作说明》启动灭火系统。
5.3.5 如果是电器火灾应注意电气安全,因为电器在着火时,并不能确定电闸是否分断,应先关闭总闸、UPS供电系统以及所属设备。
5.3.6 安全管理人员应了解火灾事件造成的损失,记录整个过程并报部门领导。
5.4机房发生火情90%以上是电器火灾,所以在日常巡察的基础上,主管部门应定期组织相关人员检查、维护配电系统和机房所属设备运行状态,至少一个季度进行一次全面的检修,更换有安全隐患的器件,防患于未然。(如图二)
发生火情
立即通知局消防值班人员
确定火情部位及严重程度
通知上级主管和相关领导
由安全管理人员整理事件原因及损失情况上报本单位相关负责人备案
组织现场人员疏散,手动启动“自动”灭火系统
火情严重、难以控制
关闭电源和设备切断火源
通知消防部门并就近组织人员灭火
组织人员灭火
组织人员到指定位置取灭火器灭火
火情不严重
火情严重
关闭电源和设备
30秒钟内将灭火器系统转到“手动”方式
30秒钟内将灭火器系统拨到“手动”方式
图二:消防系统应急方案流程图
6、信息系统应急方案
6.1 通信系统应急方案
6.1.1发生通信线路中断、路由故障时,网络系统管理员应检查故障线路、进行初步故障定位并通知运维管理部门。
6.1.2 如果通讯系统出现比较严重的问题,对单位的正常运转造成较大的影响,需立即向上级主管报告,并通知相关人员,不得擅自做出决定;
6.1.3 对有简单故障的设备,运维管理人员可以修理发生故障的设备,解决相应问题并记录;
6.1.4发现需要更换设备,应上报领导,经批准后马上更换相应故障设备,尽快恢复线路;
6.1.5 运维管理部门发现无法及时修理时,应立即通知相关厂家的维修人员,由厂家维修人员尽快解决;
6.1.6 如发现交换机发生故障,应立即通知厂家的维修人员来修理,不能擅自修理;
6.1.7 如发现是线路的问题,应与线路提供商联系,敦促对方尽快恢复故障线路;
6.1.8 网络运行管理部门应将应急处理过程备案并报上级部门备案。
6.2 黑客攻击应急方案
沈阳市统计局网站建设和办公系统管理由局办公室分管,办公室负责对统计信息网站和办公系统中出现的网页篡改、黑客入侵等现象的监察,并及时向数据管理中心反映故障情况。统计数据网上直报系统和安全文档管理系统由数据管理中心负责监察与维护。
6.2.1 发现有黑客入侵迹象后,应立即通知网络管理员和安全管理员,并停止一切操作;
6.2.2 同时切断受攻击计算机与网络的物理连接;
6.2.3 由网络管理员来调查具体情况,并立即采取相应的防范措施;
6.2.4 立即对内部网内所有的机器采取防范措施,防止黑客用同样的手段再次入侵;
6.2.5 由网络管理员判断损失情况,并立即上报上级主管,对损失的数据和资料立即采取相应的补救措施;
6.2.6 受攻击的主机的一切设置都要更改,原有的用户名和口令都要更改,机器使用者的其他账户也要更改;
6.2.7 如果有可能泄露单位内部网的相关信息,需要立即更换所有内部网的设置,所有用户的账号和密码都要更改,一切有可能泄露的信息都要立即加以修改;
6.2.8 如果受攻击的为服务器,则服务器上的所有相关信息都要立即更改;
6.2.9 如有必要,停止使用受攻击的主机和服务器,启用备用服务器;
6.2.10 对受攻击机器加强监控,随时注意异常情况;
6.2.11 如果能追查到攻击者的相关信息,可以对其发出警告,在警告无效的情况下,可以采取进一步的行动,乃至采取法律手段;
6.2.12 一切情况处理完成后,需填写《安全事件报告表》。
6.3 网络系统应急方案
6.3.1 发现网络故障,立即通知网络管理员;
6.3.2 由网络管理员来检查网络情况,初步确定故障原因;
6.3.3 如网络设备发生严重故障,导致网络无法正常运转,应立即通知相关人员,并立即启用网络备用设备;
6.3.4 如果是线路故障,应立即启用备用线路;
6.3.5 如果有重要的信息需要在网上处理,在上级主管批准后,由安全管理员做记录后,可以临时使用调制解调器拨号上网;
6.3.6 使用调制解调器拨号上网的计算机不能与内部网相连,必须独立;
6.3.7 如有必要应提前在安全管理部登记备案;
6.3.8 在此期间,不得擅自使用本单位以外的网络进行信息交流;
6.3.9 其他信息参见相关管理规范。
6.4 病毒应急方案
6.4.1 发生病毒感染情况的时候,马上停止所有操作,切断网络连接,并通知系统维护人员和安全管理员;
6.4.2 在感染病毒的计算机上运行杀毒软件,全面检查计算机系统,将病毒彻底清除;
6.4.3 如果是服务器发生了病毒感染,应立即停止服务器所运行的所有程序和相关服务,防止病毒进一步扩散,并通知系统维护人员和安全管理员;在服务器端运行杀毒软件,全面检查计算机系统,清除病毒;
6.4.4 服务器查杀病毒的同时,所有与服务器连接的计算机都要进行病毒查杀;
6.4.5 启动备用服务器,同时,将原有服务器与网络彻底断绝物理连接;
6.4.6 若病毒已将系统破坏,导致系统无法恢复,应将感染病毒的计算机上的重要数据备份到其他存储介质,确保计算机内重要的数据不会丢失;
6.4.7 备份数据也要进行病毒检测,防止病毒交叉感染;
6.4.8 数据无法恢复,经单位领导同意后,可与反病毒部门联系,由他们来协助恢复,需要保证数据信息不泄露,并由安全管理员做记录;如为涉密数据,按安全保密有关规定处理;
6.4.9 完成后需要由安全管理员做记录;
6.4.10 如为病毒服务器问题,需在处理后填写《安全事件报告表》。
6.5 系统备份应急方案
数据管理中心定期做好应用数据库、安全文档管理、电子档案、办公系统、网站系统等主要应用系统数据备份工作。
6.5.1 发现数据由于某些原因丢失,首先记录故障时间和相关信息;注意保护数据现场。
6.5.2 判断故障类型和级别。
6.5.3 安排相关技术人员进行紧急处理。
6.5.4 如果是硬盘错误,则需要用备用硬盘替换;如果是硬盘数据丢失,要尽力采取措施修复或复制出数据。在相关负责人员确信无法挽救数据后,才可作废弃处理。
6.5.5 利用存储备份系统恢复离故障点最近时间的数据,尽可能地降低损失。
6.5.6 数据灾难恢复后,提交故障报告,分析并总结故障原因。
7、应急处理程序
7.1 预案启动
当发生统计网络与信息安全事件时,由局安全应急委启动应急预案,负责指挥应急处理工作,数据管理中心负责技术指挥和处理。
7.2 现场应急处理
事件发生现场应急处理工作组尽最大可能收集事件相关信息,分别事件类别,确定来源,保护证据,以便缩短应急响应时间。
检查威胁造成的结果,评估事件带来的影响和损害。
抑制事件的影响进一步扩大,限制潜在的损失与破坏。
在事件被抑制之后,要进行综合分析,找出事件根源,明确相应的补救措施并彻底清除。
7.3 报告和总结
认真回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中,并将安全事件处理完毕后,在5个工作日内将处理结果报局安全应急委备案。 (重大安全事件报告单见附件2)
7.4 应急行动结束
根据统计网络与信息安全事件的处置进展情况和现场应急处理工作组意见,安全应急委组织相关部门对处置情况进行综合评估,确定应急行动是否结束。
8、保障措施
8.1 技术支撑保障
建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力:从技术上逐步实现发现、预警、处置、通报应急处理的联动机制。
8.2 应急队伍保障
要不断加强安全应急人才培养,进一步强化安全宣传教育,努力建设一支高素质、高技术的安全核心人才和管理队伍,提高安全防御意识。
8.3 物质条件保障
在年度资金预算中,要安排一定的资金用于预防或应对安全突发事件,提供必要的交通运输保障,为安全应急处理工作提供可靠的物资保障。
8.4 技术储备保障
局安全应急委要经常组织相关技术人员进行培训,在允许的条件下,还可以邀请专家和科研力量,开展应急运作机制、应急处理技术等研究。
9、培训和演习
9.1 人员培训
为确保统计网络与信息安全应急预案高效运行,局安全应急委将定期或不定期地举办不同类型的培训或研讨会,以便不同岗位的应急人员都能熟悉掌握安全应急处理的知识和技能。
9.2 应急演习
为提高安全突发事件应急响应水平,局安全应急委定期或不定期组织预案演练。通过演习,进一步明确应急响应各岗位责任,对网络与信息预案中存在的问题和不足给予及时补充和完善。
10、监督检查与奖惩
10.1 预案执行监督
局安全应急委负责对预案实施的全过程进行监督检查,督促成员单位按本预案指定的职责采取应急措施,确保及时、到位。
发生重大安全事件的单位应当按照规定及时如实地报告事件的有关信息,不得瞒报、缓报。
应急行动结束后,安全应急委对相关成员单位采取的应急行动的及时性、有效性进行评估。
10.2 奖惩与责任
10.2.1 对下列情况经局安全应急委评估审核后,报局党组批准后予以奖励:
在应急行动中做出特殊贡献的先进单位和个人;在应急行动中提出重要建议方案,节约大量应急资源或避免重大损失的人员;在应急行动第一线做出重大成绩的现场作业人员。
10.2.2在发生重大信息安全事件后,有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的,安全应急委将予以通报批评;对造成严重不良后果的,将视情节由有关主管部门追究领导和当事人的责任;构成犯罪的,由有关部门依法追究其法律责任。
11、附则
本预案通过演习、实践检验,以及根据应急力量变更、新技术、新资源的应用和应急事件发展趋势,及时进行修订和完善。
本预案所附的《沈阳市统计网络与信息安全应急处理组织机构》的组成和成员,将根据实际情况的变化随时修订。
本预案沈阳市统计局安全应急委制定,并负责解释。
本预案日常工作主要由沈阳市统计数据管理中心负责。
联系电话:23768029、22732822、22724573
本预案自发布之日起实施。