第一篇:信息系统安全应急预案
信息系统安全应急预案
为全面加强公司信息系统安全管理,应对信息安全突发事件的发生,提高对安全事件的应急处置能力,保证网络与信息安全协调工作迅速、高效、有序地进行,满足突发情况下信息系统安全稳定、持续运行,根据总公司有关规定,制定本预案。
一、工作原则
(一)明确责任:按照“谁主管谁负责,谁运行谁负责”的要求,建立并落实统计信息系统责任制和应急机制。
(二)积极预防、及时预警:各部门应及早发现安全事件,及时进行预警和信息通报;积极做好应急处理准备,提高对安全事件的预防和应急处理能力。
(三)协作配合、确保恢复:部门间要协同配合,确保在最短的时间内完成系统的恢复。
二、应急措施
电力系统故障的应急处理流程
1.任何部门和人员发现本单位电力系统出现异常情况时,都应及时向公司办公室报告。
2.公司办公室是电力系统故障应急处理的第一责任单位。公司办公室应立即启动电力系统故障应急处理流程,尽快查清故障原因,提出解决办法,确定故障排除可能需要的时间并通知网络机房管理部门。
3.计算中心机房停电的处理
网络运行负责人应根据停电时间和UPS电池的供电能力,在保证重点网络关键设备用电的前提下,提出机房设备部分关机或全部关机方案,经认可后按照规定的流程操作实施。
4. 电力系统恢复供电后的处理流程
电力系统恢复供电后,公司办公室应在第一时间通知技术部门,以便以最快的速度恢复关闭的网络应用。系统管理人员在接到通知后,按照规定的流程开启关闭相关设备。
(二)消防系统应急处理流程
1.报告和简单处理
当出现火情、火灾时,发现人员应在最短时间内报告公司办公室及机房管理部门。若火情严重时,应迅速拨打119电话报警,并尽可能采取一些简单可行的方法作初步处理,如:使用周围的灭火器、水源(在允许用水灭火的场合)或采用其他灭火措施、手段。进展情况随时向有关领导报告。
2.灭火
计算中心机房出现火情并且无法进行局部处理时,机房管理人员在紧急报告有关领导的同时,应立即疏散物理场地楼层以内的工作人员。
三、网络信息系统故障的应急处理流程
1.报告和简单处理
网络设备、网络应用系统故障应由发现人通知机房管理人员,技术部门立即检查故障,进行初步故障定位。如果网络、应用系统出现比较严重的问题,对网络业务的正常运行造成较大的影响,需立即向有关领导报告。 2.故障判断与排除
对简单故障,运维人员应迅速排除故障,解决问题并记录。如果需要更换设备,应上报有关领导,经批准后马上更换故障设备,尽快恢复网络、应用系统运行。运维人员判断无法及时修理时,应立即通知相关的系统运行服务提供商,在最短的时间内安排修理或更换系统。
3.网络线路故障排除
如发现属外部线路的问题,应与线路服务提供商联系,敦促对方尽快恢复故障线路。
4.启用备份线路、设备、系统(如果存在的话),迅速恢复相关的应用。
四、网站检测与自动恢复系统应急处理流程
1.报告和简单处理
发现公司服务网站等对外不能正常打开或网站内容被恶意篡改时,任何公司人员都有义务向技术部门报告。由技术部们组织应急响应并进行故障排查。 2.处理和恢复使用
先查看网络连接情况,若不是网络故障,再排查软、硬件故障。待故障处理完成并经过测试后,恢复系统的正常运行和内容的正常应用。
五、黑客入侵的应急处理
1.报告和简单处理
发现网络上有黑客攻击行为,任何人员都有义务向技术部门报告。技术部门立即启动应急响应,切断受攻击计算机与网络的连接,停止一切操作、保护现场,并上报有关领导。 2.处理和恢复使用
对于黑客攻击,由技术部门与机房管理人员协同查找入侵踪迹,分析入侵方式和原因,分析入侵事件并内部网计算机进行整改,防止黑客用同样的手段再次入侵其他系统。检查确定无安全隐患后,才可将受攻击计算机重新连接网络,或启用备份计算机来恢复应用。 3.应急响应
机房管理人员应做好记录,保护现场,进行日志收集等工作。如果能追查到攻击者的相关信息,可以对其发出警告,必要时可以采取进一步的行动,乃至采取法律手段。根据破坏程度,经有关领导同意后,上报公安部门。 若系统已被黑客破坏,无法恢复,应将受黑客攻击的服务器上的重要数据备份到其他存储介质,并做好数据异地备份工作,确保服务器内重要的数据不丢失。
六、大规模病毒(含恶意软件)攻击的应急处理
1.报告和简单处理
发现网络上有大规模病毒攻击的行为,任何人员都有义务向技术部门报告。由机房管理员组织应急响应,切断受攻击计算机与网络的连接,停止一切操作、保护现场,立即上报有关领导。 2.已知病毒的处理和恢复
使用最新版本杀毒软件对染毒计算机进行全面杀毒,并对染毒计算机系统进行漏洞修补。机房管理员确定没有病毒和安全漏洞后,再连接网络恢复使用。 3.未知病毒的处理和恢复
观察网管软件根据监视窗口的链路状态,由此判断感染病毒或恶意程序的客户端、服务器所属的楼层交换机。打开该交换机的端口流量分析窗口,根据流量判断感染病毒或恶意程序的客户端所科交换机端口。关闭该交换机端口,隔离该工作站、服务器,阻断与局域网的连接。根据端口状态功能,查看该感染病毒或恶意程序的工作站的IP地址。根据IP地址信息找到该工作站的具体位置,对该工作站进行病毒或恶意程序清除工作。根据对于未知病毒,应首先尝试手工杀毒处理,若系统已被病毒破坏,无法恢复,应将感染病毒的计算机上的硬盘加挂到其他机器上处理,将重要数据备份到其他存储介质,尽最大努力保护、保留感染计算机内重要的数据,同时防止病毒感染其他计算机。
七、预案的发布与生效
本预案自发布之日起生效
第二篇:信息系统安全应急预案
为全面加强信息系统安全管理,应对信息安全突发事件的发生,提高对安全事件的应急处置能力,保证网络与信息安全指挥协调工作迅速、高效、有序地进行,满足突发情况下信息系统安全稳定、持续运行,根据国家和省有关规定,制定本预案。
一、组织机构
信息系统安全应急工作,由信息安全工作领导小组统一领导。负责信息安全日常事务处理、应急处理及安全通报等事务。
二、工作原则
(一)明确责任、分级负责:按照“谁主管谁负责,谁运行谁负责”的要求,逐级建立并落实统计信息系统责任制和应急机制。
(二)加强领导、分工合作:各单位应按照规定的职责和流程,实施统计信息系统的应急处理工作。
(三)积极预防、及时预警:各单位应及早发现安全事件,及时进行预警和信息通报;积极做好应急处理准备,提高对安全事件的预防和应急处理能力。
(四)协作配合、确保恢复:各单位要协同配合,确保在最短的时间内完成系统的恢复。
三、应急措施 (一)电力系统故障的应急处理流程
1.任何单位和人员发现本单位电力系统出现异常情况时,都应及时向办公室报告。
2.办公室是电力系统故障应急处理的第一责任单位。办公室应尽快查清故障原因,提出解决办法,确定故障排除可能需要的时间,报信息安全工作领导小组。
3.网络运行负责人应根据停电时间和UPS电池的供电能力,在保证重点网络关键设备用电的前提下,提出机房设备部分关机或全部关机方案,报信息安全工作领导小组。经认可后,安排相关人员按照规定的流程操作实施。
4.电力系统恢复供电后,办公室应在第一时间通知网络中心,以便以最快的速度恢复关闭的网络应用。
计算中心网络和系统管理人员在接到通知后,按照规定的流程开启关闭相关设备。
(二)消防系统应急处理流程
1.当出现火情、火灾时,发现人员应在最短时间内报告办公室。若火情严重时,应迅速拨打119电话报警,并尽可能采取一些简单可行的方法作初步处理,如:使用周围的灭火器、水源(在允许用水灭火的场合)或采用其他灭火措施、手段。进展情况随时向有关领导报告。
2.计算中心机房出现火情并且无法进行局部处理时,机房管理人员在紧急报告有关领导的同时,应立即疏散物理场地楼层以内的工作人员。并迅速拨打119电话报警。
(三)网络信息系统故障的应急处理流程
1.网络设备、网络应用系统故障应由发现人通知计算中心,计算中心立即检查故障,进行初步故障定位。如果网络、应用系统出现比较严重的问题,对网络业务的正常运行造成较大的影响,需立即向有关领导报告。
2.对简单故障,运维人员应迅速排除故障,解决问题并记录。如果需要更换设备,应上报有关领导经批准后马上更换故障设备,尽快恢复网络、应用系统运行。
运维部门判断无法及时修理时,应立即通知相关的系统运行服务提供商,在最短的时间内安排修理或更换系统。
3.如发现属外部线路的问题,应与线路服务提供商联系,敦促对方尽快恢复故障线路。
4.启用备份线路、设备、系统(如果存在的话),迅速恢复相关的应用。
(四)网站检测与自动恢复系统应急处理流程
1.发现网站不能正常打开或网站内容被恶意篡改时,任何人员都有义务向网络中心报告。由网络应急小组组织应急响应,联合相关部门进行故障排查。
2.先由运维小组查看网络连接情况,若不是网络故障,则排查软、硬件故障。待故障处理完成并经过测试后,恢复系统的正常运行和内容的正常应用。
(五)黑客入侵的应急处理
1.发现网络上有黑客攻击行为,任何人员都有义务向网络中心报告。计算中心立即启动应急响应,切断受攻击计算机与网络的连接,停止一切操作、保护现场,并上报有关领导。
2.对于黑客攻击,由网络中心组织应急响应小组查找入侵踪迹,分析入侵方式和原因。由安全管理员根据对入侵事件的分析,组织相关人员对内部网计算机整改,防止黑客用同样的手段再次入侵其他系统。安全管理员检查确定无安全隐患后,才可将受攻击计算机重新连接网络,或启用备份计算机来恢复应用。
3.安全管理员应做好记录,保护现场,进行日志收集等工作。如果能追查到攻击者的相关信息,可以对其发出警告,必要时可以采取进一步的行动,乃至采取法律手段。根据破坏程度,经有关领导同意后,上报公安部门。
若系统已被黑客破坏,无法恢复,应将受黑客攻击的计算机上的重要数据备份到其他存储介质,确保计算机内重要的数据不丢失。如果数据无法恢复,经有关领导同意后,可与国家指定的部门联系,由他们来协助恢复,为保证数据信息安全,需在安全管理部门作记录。
(六)大规模病毒(含恶意软件)攻击的应急处理
1.发现网络上有大规模病毒攻击的行为,任何人员都有义务向网络中心报告。由网络中心组织应急响应,切断受攻击计算机与网络的连接,停止一切操作、保护现场,立即上报有关领导。 2.若是已知病毒,使用最新版本杀毒软件对染毒计算机进行全面杀毒,并对染毒计算机系统进行漏洞修补。安全管理员确定没有病毒和安全漏洞后,再连接网络恢复使用。
3.若是未知病毒,观察网管软件根据监视窗口的链路状态,由此判断感染病毒或恶意程序的客户端、服务器所科的楼层交换机。打开该交换机的端口流量分析窗口,根据流量判断感染病毒或恶意程序的客户端所在的交换机端口。关闭该交换机端口,隔离该工作站、服务器,阻断与局域网的连接。根据端口状态功能,查看该感染病毒或恶意程序的工作站的IP地址。根据IP地址信息找到该工作站的具体位置,对该工作站进行病毒或恶意程序清除工作。
根据对于未知病毒,应首先尝试手工杀毒处理,若系统已被病毒破坏,无法恢复,应将感染病毒的计算机上的硬盘加挂到其他机器上处理,将重要数据备份到其他存储介质,尽最大努力保护、保留感染计算机内重要的数据,同时防止病毒感染其他计算机。如果数据无法恢复,经有关领导同意后,可与国家指定的反病毒部门联系,由他们来协助恢复,为保证数据信息安全,需在安全管理部门作记录。如为涉及国家秘密的数据,不允许由其他机构来恢复数据。
第三篇:行政部门信息系统安全应急预案
市行政管理局
信息系统安全应急预案
(试行)
为保证市系统网络与信息安全,防范出现大规模的网络与信息安全事件,根据市系统网络和信息系统建设及应用的现状,针对存在的问题与风险,特制定本安全应急预案。
一、现状与风险
随着市系统信息化建设的发展,信息化已经渗透到的每一项工作,信息化给我们的工作带来效率的同时,也增加了我们对计算机系统的依赖性,网络与信息安全的风险也逐渐显露。一是随着业务的发展,逐步与外部相关部门实现了联网与信息交接,从而使市系统网络由过去完全封闭的内部网,转变成与外部网、因特网逻辑隔离的网络。二是网络与信息系统中的关键设备如主机、路由器、交换机、操作系统等大部分采用国外产品,存在着较大的安全隐患。三是系统内计算机应用操作人员水平参差不齐,安全意识和安全防护手段不尽如人意。四是敌对势力以及受利益驱使的犯罪分子一直蠢蠢欲动,对政府部门构成巨大威胁。上述几个方面构成市系统网络与信息安全的主要风险。
二、指导思想与总体目标
指导思想:以“科学发展观”为指导,把做好全市系统网络与信息安全工作作为当前一项严肃的政治任务来完成,切实维护国家的政治安全、经济安全和政府部门网络信息安全。
总体目标:建立科学、有效、反应迅速的网络与信息安全应急工作机制,提高应对突发事件的组织指挥能力和应急处置能力,最大限度地减轻网络与信息安全突发事件的危害,确保计算机信息系统的实体安全、运行安全和数据安全。
三、组织体系
为了加强我局信息化建设与等级保护工作的开展,落实信息安全责任,健全网络与信息安全工作机制,提高应对突发事件的组织指挥能力和应急处置能力
经研究,决定成立信息化等级保护与信息安全领导小组 现将组成人员通知如下:
组长:王建伟
副组长:蔡小成
洪晓明
周庆祥
蔡斌
成员:卓郑勇、徐建书、屠征宇、陈益飞、管敏益、屠胜达、陈爱飞、陈雪芬成员:卓郑勇、徐建书、屠征宇、陈益飞、管敏益、万晓波、包哲克、鲍鱼千、屠胜达、屠旭东、陈六平、王高平、黄明金、姚正杰、仇展炀、叶傲蕾、徐浩、杨宏远、吴小东、陈永正、郑海斌、周昌林、郑晓阳、周宏。
领导小组下设办公室,洪晓明同志兼任办公室主任,屠征宇同志兼任办公室副主任,办公机构设在监察室。
1、领导机构
建立市行政管理局网络与信息安全应急领导小组(以下简称领导小组),分管信息化的局领导任组长,办公室、信息办负责人任副组长,成员由各科室负责人组成。领导小组负责研究制订系统网络与信息安全应急处置工作的规划和计划,协调推进网络与信息安全应急机制和工作体系建设;发生网络与信息安全突发事件后,决定启动本预案,领导应急处置工作。
2、应急办公室
领导小组下设应急办公室,办公室设在信息办,办公室主任由信息办负责人担任,成员由信息办相关技术人员组成。应急办公室的职责:
(1)负责处理领导小组的日常工作,检查督促领导小组决定事项的落实。
(2)研究提出网络与信息安全应急机制建设规划和工作计划,检查、指导和督促全市网络与信息安全应急机制建设。
(3)负责网络与信息安全应急预案的管理,检查落实预案执行情况。
(4)负责应对网络与信息安全突发事件的预案演习和宣传培训。
(5)对接市政府和市级各部门网络与信息安全突发事件应急处置工作。
(6)及时收集分析网络与信息安全相关信息,及时向领导小组提出启动本预案的建议。
四、预防预警
1、异常报告 系统每位干部和职工均有责任和义务维护系统信息化硬件、软件、网络和信息安全,发现计算机设备和网络发生异常情况,应立即向所在单位信息员报告,信息员应及时对异常计算机设备和网络进行检查并采取必要措施;信息员无法解决问题的,应立即向局信息办报告。信息办接到报告后,应立即采取措施,对异常情况进行分析,防止异常情况扩散。
2、信息监测
建立网络与信息安全突发事件监测、预测、预警制度。各级信息办要按照“早发现、早报告、早处置”的原则,加强对各类网络与信息安全突发事件和可能引发突发事件的有关信息的收集、分析判断和持续监测。
3、预警处理与发布
对于可能发生或已经发生的网络与信息安全突发事件,信息办应立即采取措施控制事态,在2小时内进行风险评估,判定事件等级,并立即向应急办公室报告。
应急办公室接到报警信息后,应及时对信息进行技术分析、研判,根据问题的性质、危害程度和发展态势,向领导小组提出预警的建议。对需要发布预警的,由领导小组授权应急办公室发布。预警内容应包括事件的类别、可能波及的范围、可能危害程度、可能延续时间、提醒事宜和应采取的措施等。
对发生和可能发生重大网络与信息安全突发事件,应急办公室应迅速提议召开领导小组会议。由领导小组会议决定启动本预案,确定指挥人员。
五、应急响应
1、应急指挥
本预案启动后,根据领导小组会议的统一部署,担任指挥的领导和参与指挥的有关部门领导迅速进入指挥岗位,迅速建立与现场的通信联系,分析事件发展态势,研究提出处置方案,并调集和配置应急处置所需的人、财、物等资源,统一指挥应急处置工作。
需要成立现场指挥部的,应立即在现场开设指挥部。现场指挥部在领导小组的领导下全权负责现场的应急处置工作。
2、应急支援
本预案启动后,根据情况成立应急响应先遣小组,赶赴事发地,督促、指导和协调处置工作。领导小组根据事态的发展和处置工作需要,及时增派专家,调动必需的物资、设备,支援应急工作。
3、信息处理
应急办公室做好信息分析、报告和发布工作。要组织有关人员研判各类信息,研究提出对策措施。
5、信息发布
网络与信息安全突发事件发生后,导致行政管理公共行政业务无法正常开展的。应急办公室应通知相关业务部门。相关业务部门应做好业务应急准备,并根据情况向社会和服务对象发布通知。
6、应急结束
网络与信息安全突发事件经应急处置后,得到有效控制,事态下降到一定程度或基本得以解决,由应急办公室向领导小组提出应急结束的建议,经批准后实施。
六、后期处置
1、善后处理
应急处置工作结束后,各级信息办要迅速采取措施,抓紧组织抢修受损的基础设施,减少损失,尽快恢复正常工作。
2、调查评估
在应急处置工作结束后,各级信息办应对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失情况,总结经验教训,写出调查评估报告,报应急办公室。
七、保障措施
1、应急装备保障
建立信息网络硬件、软件、应急救援设备等应急物资库。应急物资库采用服务外包的形式,与专业公司签订合同,在网络与信息安全突发事件发生时,由应急办公室出面向公司调用。
2、数据保障
建立业务数据备份系统,保证在网络和信息安全突发事件发生时,可紧急恢复。
3、交通运输保障
本预案启动后,根据领导小组的决定,局办公室负责确保应急交通工具,确保应急期间人员、物资和信息传递的需要。
4、经费保障 网络与信息系统突发事件应急处置资金,应列入预算。
八、监督管理
1、宣传教育
各科室、所、分局要加强网络与信息安全突发事件应急和处置有关知识的宣传,提高防范意识。并将网络与信息安全突发事件的应急管理、工作流程等列入干部的培训内容,增强应急处置能力。
2、应急演练
建立应急预案定期演练制度。通过演练,发现应急工作体系和工作机制存在的问题,不断完善应急预案。应急办公室每年要组织一次网络与信息安全突发事件应急演练。
3、检查与考核
建立检查和考核机制。网络与信息安全应急工作列入工作目标考核体系。应急办公室不定期对应急制度、计划、方案和人员等进行检查,并以应急演练的评定结果作为考核的依据。
九、附则
1、附件
网络和信息安全突发事件应急处置规程。
2、解释部门
本预案由市局信息办负责解释。
3、实施时间
本预案自印发之日起实施。
附件:网络和信息安全突发事件应急处置规程
一、网站出现非法信息的应急处置规程
1、发现网站出现非法信息时,网站内容管理部门应按规定向局领导报告,同时通报信息办;信息办应立即采取屏蔽、删除等处理措施,防止信息扩散。
2、信息办应追查非法信息来源,确定相关责任人。
3、信息办在查清事件发生原因的基础上,及时总结经验教训,提出强化安全防范的措施,写出调查报告,报网络和信息安全应急领导小组。
4、领导小组根据调查报告,决定是否追究相关责任人责任。
二、黑客攻击的紧急处置规程
1、发现网页内容被篡改,或通过入侵检测手段等发现有黑客正在进行攻击时,应立即向信息办报告。
2、信息办首先应将被攻击的服务器等设备从网络中隔离出来,保护现场,同时向网络和信息安全应急领导小组报告。
3、恢复或重建被破坏的系统。
4、追查黑客攻击来源。
5、情况严重时,召开网络和信息安全应急领导小组会议;经会议批准,可向公安部门报警。
6、总结经验教训,采取有效的防范措施。
三、病毒防治应急处置规程
1、当计算机使用人员发现其计算机被感染上病毒后,若无法清除该病毒,应第一时间将计算机从网络上物理断开。
2、向信息办人员报告,确定病毒的性质和危害,对病毒进行进一步查杀。
3、若该病毒已经在局域网内扩散,并严重影响日常办公及网络安全,应立即向领导小组报告。
4、领导小组根据报告,确定具体的处置方式,保证网络畅通和计算机安全。
5、总结经验教训,采取有效的防范措施。
四、软件系统异常应急处置规程
1、对发现系统软件和应用软件响应异常的,应立即向信息办报告。
2、信息办对系统软件和应用软件进行检查,视情采取停用、修复和重新启用等手段。
3、信息办通过检查访问各类日志记录等资料,确认分析异常原因。
4、情况严重的,召开网络和信息安全应急领导小组会议;
5、总结经验教训,采取有效的防范措施。
五、数据库安全应急处置规程 核心数据库数据异常应遵循如下规程:
1、发现核心数据库数据大规模异常或丢失后,立即向信息办报告。
2、信息办接到报告后,应指定数据库管理员进行检查,确属异常的,应立即向领导小组报告。
3、领导小组决定是否启动应急预案。经领导小组批准启动应急预案后,暂停相关业务服务,并通知相关业务部门。
4、使用备份数据恢复数据后重新启动服务,并立即追查原因。如属设备故障的,应立即联系厂商维修设备。如属人为原因的,应立即追查相关人员,必要时请公安机关介入。
5、总结相关教训,分析具体原因,加固核心数据库系统安全,并报领导小组。
六、广域网外部线路中断应急处置规程
1、广域网线路若中断后,应立即向领导小组报告。
2、信息办应迅速判断故障节点,查明故障原因。
3、如属内部管辖范围,由系统管理员立即予以恢复。如遇无法恢复情况,立即向有关厂商请求支援。
4、如属通信部门管辖范围,立即与通信维护部门联系,请求及时修复。
5、总结经验教训,采取有效的防范措施。
七、局域网中断应急处置规程
1、局域网中断后,信息办应判断故障节点,查明故障原因,并向领导小组汇报。
2、如属线路故障,应立即抢修线路。
3、如属路由器、交换机等网络设备故障,应立即与设备提供商联系更换设备,并调试畅通。
4、如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试畅通。如遇无法解决的技术问题,立即报告领导小组,请求厂方专家支援。
5、总结经验教训,采取有效的防范措施。
八、设备故障应急处置规程
1、发现服务器等关键设备损坏后,应立即向信息办领导报告。
2、信息办指定系统管理员查明设备故障原因,并向领导小组汇报情况。
3、如果能够自行恢复,应立即用备件替换受损部件。
4、如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修。
5、如果设备一时不能修复,应向领导小组汇报,视情决定是否启动应急预案。
6、总结经验教训,采取有效的防范措施。
九、机房着火应急处置规程
1、一旦机房发生火灾,应遵照下列原则:首先保证人员安全;其次保证关键设备和数据安全;三是保证一般设备安全。
2、人员疏散程序:机房值班人员立即按响火警警报,并通过119电话向消防部门请求支援,所有不参与灭火的人员按照预先确定的线路,迅速从机房中撤出。
3、灭火程序:规范化的机房启动气体灭火系统,没有气体灭火系统的机房,首先切断所有电源,取出泡沫灭火器进行灭火。
4、灭火后,迅速组织抢修受损的基础设施,减少损失,尽快恢复正常工作。
5、总结经验教训,采取有效的防范措施。
十、电力中断应急处置规程
1、发生电力中断,应立即向领导小组报告。
2、属内部电力线路故障的,办公室应迅速组织力量恢复电力。
3、属供电局供电故障的,应立即与供电局联系,请供电局迅速恢复供电。
4、如供电局告知需长时间停电,应做好如下工作:
(1)预计停电半小时以内,由UPS供电。视情关闭一些服务器等设备。涉及业务中断的,通知相关业务部门。
(2)预计停电半小时以上,关掉所有关键设备,暂停一切业务。
5、电力恢复后,信息办应重新启动设备,恢复业务运行。
第四篇:电力网络信息系统安全事故应急预案
日照旭日发电有限公司电力网络信息系统安全事故
应急预案
1 总则 1.1编制目的
高效、有序地处置电力网络信息系统安全突发事件,确保重要信息系统的实体安全、运行安全和数据安全,避免和减轻重大经济损失及政治影响,保障员工生命和企业财产安全,维护社会稳定。 1.2编制依据
《中华人民共和国突发事件应对法》
《生产经营单位安全生产事故应急预案编制导则》 《电力企业专项应急预案编制导则》 1.3适用范围
适用于本企业电力网络信息系统安全突发事件的应急处置和应急救援工作。 2 应急处置基本原则
遵循“安全第一,预防为主,综合治理”的方针,坚持防御和救援相结合的原则,统一领导、分工负责、加强联动、快速响应,最大限度的减少突发事件造成的损失。 3 事故类型和危害程度分析 3.1事故风险的来源、特性
通过危险源辨识和风险评估,在过去的公司生产经营过程中,存在如下安全风险,可能会导致发生电力网络信息系统安全突发事件。 3.1.1由于自然灾害引起的网络与信息系统安全事故。 3.1.2由于事故灾难引起的网络与信息系统安全事故。 3.1.3由于人为破坏引起的网络与信息系统安全事故。 3.2事故类型、影响范围及后果
3.2.1自然灾害:指地震、台风、雷电、火灾、洪水等。
3.2.2事故灾难:指电力中断、网络损坏或是软件、硬件设备故障等。
3.2.3人为破坏:指人为破坏网络线路、通讯设施,黑客攻击,病毒攻击,恐怖袭击等。 4 事件分级 按照事件性质、严重程度、可控性和影响范围等因素,电力网络信息系统安全突发事件一般分为四级Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)、Ⅳ级(一般),具体情况如下: 4.1Ⅰ级:电力网络信息系统瘫痪和失控造成风电公司或风电场负有责任的电网事故、特大或对风电公司产生严重负面影响的突发事件。
4.2 Ⅱ级:电力网络信息系统瘫痪和失控造成或可能造成全风场对外停电的重大设备事故或对风电公司产生重大负面影响的突发事件。
4.3 Ⅲ级:电力网络信息系统瘫痪和失控造成或可能造成一条集电线路或其中的单台机组被迫停止运行或对公司产生较大负面影响的突发事件。
4.4 Ⅳ级:造成或可能造成电力网络信息系统主要功能故障的突发事件。 5 应急指挥机构及职责 5.1应急指挥机构 5.1.1应急指挥领导小组 组长:总经理 副组长:生产副总经理
成员:经理部经理、财经部经理、安生部经理、规划部经理。 5.1.2应急处置工作
继保应急组 继保人员
信息应急组 信息中心人员
运行应急组 当值运行人员
后勤保障组 经理工作部人员
通讯保障组 运行信息人员
设备应急组 运行维护人员
安全保卫组 安监部人员、保卫人员 5.2 应急指挥机构的职责 5.2.1应急指挥领导小组职责:
(1)贯彻落实国家及国家电网公司有关安全生产事故应急工作的法律法规和要求。 (2)接受国家电网公司和地方政府应急指挥机构的领导,请求和提供应急救援。 (3)统一领导电力网络信息系统安全事故的预防和应急处置工作。
(4)组织制定电力网络信息系统安全事故应急预案管理制度等,并定期对其进行评估和修订。 (5)发布电力网络信息系统安全事故应急预案的启动命令和终止命令。 (6)统一指挥协调电力网络信息系统安全事故应急预案的实施工作。 (7)发布电力网络信息系统安全事故的进展与处置情况。 5.2.2运行应急组职责
(1)负责在应急指挥组的统一领导下,保证机组的安全运行。 (2)值长负责向上级调度汇报事故情况和处理进展情况。 (3)组织各应急小组采取有效措施保证机组的安全运行。 5.2.3继保应急组职责
负责在“电力网络故障”后组织力量赶赴现场,组织电力网络系统检查分析及应急处理。
5.2.4信息应急组职责
负责信息设备检查分析及应急处理,确保信息设备安全运行。 5.2.5后勤保障组职责
负责组织救护车辆,安排事故恢复所必需的生产车辆及提供救援人员食宿等后勤保障工作。
5.2.6通讯保障组职责
提供生产调度通信保障,包括固定电话、移动电话、载波通信、对讲机等,确保生产调度通讯畅通。 5.2.7设备应急组职责
(1)按照专业分工尽快到达现场
(2)事故处理期间,要求各岗位尽责尽职,根据情况对设备采取相应保护、隔离措施,对可能产生的不良影响提出事故处理方案。 5.2.8安全保卫保障组职责
(1)发生事故后维持现场秩序、现场警戒,划定警戒区域。 (2)控制现场人员,无关人员不准出入现场。
(3)负责抢险现场安全隔离措施的检查,并督促相关部门执行到位。 (4)组织实施事故恢复所必须采取的临时性措施。
(5)协助完成事故(发生原因、处理经过)调查报告的编写和上报工作。 6 预防与预警 6.1风险监测 6.1.1电力网络应用功能监测
安全生产部当值运行人员负责,监测风电机组控制系统SCADA,SVC控制系统、自动控制装置、五防系统、电能量采集装置、继电保护、故障录波等运行是否正常,收集事件的类型、发生时间、发生地点、事件的原因、性质、范围、严重程度、事件已经造成的影响和发展趋势、已采取的控制措施及效果,发现异常立即上报值长。 6.1.2通讯监测
安全生产部当值运行人员负责,监视通讯机房内设备运行状况,收集事件的类型,发生时间、发生地点、事件的原因、性质、范围、严重程度、事件已经造成的影响和发展趋势、已采取的控制措施及效果,发现异常立即上报值长。 6.1.3信息报告程序
风险监测所获得信息的报告程序:获得的信息人直接报告值长,值长按汇报程序通知本预案相关人员。 6.2预警发布与预警行动
预警分为四级预警,具体分类如下:
Ⅰ级预警:发电厂电力网络信息系统异常影响调度中心电力网络正常运行。
Ⅱ级预警:两台及以上风电机组公用电力网络信息系统异常。 Ⅲ级预警:单台机组电力网络信息系统异常。 Ⅳ级预警:电力网络信息系统单个或多个功能异常。 6.2.1预警的发布程序和相关要求
当发生电力网络信息系统异常时,发现人应立即汇报值长,值长启动预警行动,要求记录异常发生的时间、过程和处理经过。 6.2.2预警发布后的应对程序和措施
当运行人员发现电力网络信息系统异常时,应联系相关单位询问相关系统运行状况,进行初步分析、判断和处理,必要时向调度申请退出异常的系统功能保证机组的安全运行。
检修人员根据异常情况对可能造成的危害和影响进行分析判断,查明异常原因进行处理。 6.3预警结束
6.3.1 Ⅰ级结束预警的条件:设备异常原因明确,调度中心同意异常原因和处理方案,系统已恢复正常运行。
6.3.2 Ⅱ级结束预警的条件:设备异常原因明确,系统已恢复正常运行。异常的风电机组已恢复正常运行。
6.3.3 Ⅲ级结束预警的条件:设备异常原因明确,系统已恢复正常运行。异常的风电机组已恢复正常运行。
6.3.4 Ⅳ级结束预警的条件:设备异常原因明确,系统已恢复正常运行。 7 信息报告
7.1发生电力网络安全事故后,立即汇报值长。 7.2值长汇报风场场长,并按规定向上级单位汇报。
7.3报告内容主要包括:报告单位、报告人,联系人、联系方式,报告时、地点和现场情况:事件的简要经过、人员伤亡和财产损失情况的初步估计;事件原因的初步分析,事件发生后已经采取的措施、效果及下一步工作方案;其他需要报告的事项。 8 应急响应 8.1响应分级
按照电力网络安全事故的严重程度和影响范围,应急响应级别分为四级响应。 8.1.1 Ⅰ级响应
由于电力网络信息系统瘫痪和失控造成或可能造成公司负有责任的电网事故、特大或对风电分公司产生严重负面影响的突发事件。 8.1.2 Ⅱ级响应
由于电力网络信息系统瘫痪和失控造成或可能造成全风场对外停电的重大设备事故或对风电分公司产生重大负面影响的突发事件。 8.1.3 Ⅲ级响应
由于电力网络信息系统瘫痪和失控造成或可能造成整条集电线路所有机组被迫停运或对风电分公司产生较大负面影响的突发事件。 8.1.4 Ⅳ级响应
造成或可能造成电力网络信息系统主要功能故障。 8.2 响应程序
8.2.1该预案由总经理宣布启动, 8.2.2各岗位人员按照本预案处理。
8.2.3各应急小组人员及时进入现场进行应急处理。 8.3 应急处置 8.3.1 Ⅰ级应急处置
(1)先期处置:运行应急组向调度中心申请退出与调度中心相关的自动功能系统,确保机组安全。
(2)应急处置:接受调度中心指挥,通讯应急小组向调度中心申请断开与调度中心的联络通道;运行应急小组应终止机组重大操作,确定机组负荷,积极与调度中心沟通升降负荷,保证电网稳定。
(3)扩大应急响应:经应急处置后,事态难以控制或有扩大发展趋势时,应急指挥领导小组研究决定下达扩大应急响应命令。 8.3.2 Ⅱ级应急处置
(1)先期处置:运行应急组确保停机机组安全停机,确保机组安全停机。在控制室之间设隔离带。
(2)应急处置:了解事件基本情况,对故障系统进行检查,检查与事件有关的仪表、自动装置、保护、故障录波器、遥测遥信、遥控和计算机等记录和动作情况,分析事件原因,对故障系统进行抢修或可靠隔离。发生全场停电时,启动全场停电应急预案。
(3)扩大应急响应:经应急处置后,事态难以控制或有扩大发展趋势时,应急指挥领导小组研究决定下达扩大应急响应命令。 8.3.3 Ⅲ级应急处置
(1)先期处置:运行应急组确保停机机组安全停机,确保机组安全停机。在控制室之间设隔离带。
(2)应急处置:了解事件基本情况,对故障系统进行检查,检查与事件有关的仪表、自动装置、保护、故障录波器、遥测遥信、遥控和计算机等记录和动作情况,分析事件原因,对故障系统进行抢修或可靠隔离。
(3)扩大应急响应:经应急处置后,事态难以控制或有扩大发展趋势时,应急指挥领导小组研究决定下达扩大应急响应命令。 8.3.4 Ⅳ级应急处置
(1)先期处置:运行应急组退出故障系统。
(2)应急处置:了解事件基本情况,对故障系统进行检查,分析事件原因,对故障系统进行抢修或可靠隔离。
(3)扩大应急响应:经应急处置后,事态难以控制或有扩大发展趋势时,应急指挥领导小组研究决定下达扩大应急响应命令。 8.4 应急结束
当故障消除时,机组运行稳定,事故现场已得到恢复后由总经理宣布本预案结束。 9 后期处置 9.1后期处置内容
各单位生产人员在公共系统发生故障后,在人生安全不受危害的情况下要坚守本职岗位,使生产、生活秩序正常运行。 9.2事故调查与应急评估
9.2.1按照国家法律法规、法规规定组成事故调查组进行事故调查。事故调查坚持实事求是、尊重科学的原则,客观、公正、准确及时地查清事故原因、发生经过、恢复情况、事故损失、事故责任等,提出防范措施和事故责任处理意见。
9.2.2组织或聘请有关专家对事件应急处置过程进行评估,并形成评估报告。评估内容的报告应包括:事故发生的经过、现场调查结果;事故发生的主要原因分析、责任认定等结论性意见;事故处理结果或初步处理意见;事故的经验教训、存在的问题与困难;改进工作的建议和应对措施等。 9.3应急工作总结与评价
设备故障所涉及的相关单位应及时总结应急处置工作的经验和教训,对故障所做的技术分析以及各单位采取的整改措施开展技术交流,进一步完善和改进突发事件的应急处置、应急救援、事故抢修等的保障体系,提高整体应急处置能力。 10 应急保障 10.1应急队伍
按照一专多能的要求,建立电力网络信息安全应急救援队伍,由安全生产部负责组建,经理工作部、财务经营部、规划发展部和维护单位相互配合。选择技术水平较高、熟悉现场设备系统、具有相关作业资质、管理协调能力较强、服务能力较强的人员,必要时能够有效调动华北电科院、生产厂家等保障力量,进行技术支援。 10.2应急物资与装备
各重要电力网络信息系统的责任专业在建设系统时,应事先预留出一定的应急设备,建立信息网络硬件、软件、应急救援设备等应急物资库。电力网络信息安全突发事件发生后时,有应急指挥领导小组负责统一调用。 10.3通信与信息
建立包括公司领导及各部门领导、专业负责人和电网调度等人员在内的通讯录,并保证主管以上岗位人员手机24小时联系畅通。事故情况下直接拨打值长电话,值长按汇报程序,通知本方案组相关人员。 10.4 经费
应急处置资金列入本企业年度财政预算。 10.5 其他 11 培训和演练
11.1为确保突发事件发生时相关人员能及时、正确应对,应加强员工教育,提高员工对危及事件的认识、分析、判断、处理的能力,力求险情发生后在预案实施过程中各级人员各尽其责,迅速投入到抢险工作中去,从而有效预防和减小影响和损失。
11.2应急领导小组、专业应急小组人员熟悉本预案内容,每年组织相关部门的员工对本预案进行学习。
11.3演练要求:每年组织一次演练,按照应急预案要求,根据实际情况进行模拟,由总指挥布置、安全生产部组织,各相关部门具体实施。
第五篇:医院信息系统安全保障与应急预案
随着医院信息化的日益深入,医院的日常业务对计算机网络及信息系统的依赖也将日益增加。医院信息系统利用计算机的高新技术,使医院日常管理合理化,大大提高了医疗服务质量,提高了医院的管理水平。鉴于任何系统都可能因设备故障、系统缺陷、病毒破坏、黑客攻击、人为错误或意外灾害等原因导致速度下降甚至系统崩溃,严重影响医院医疗活动的正常开展。因此,尽快建立并完善计算机网络系统安全及其应急预案就具有十分重要的意义。
我院是一所二级专科医院。我院的计算机网络从2010年开始建设,此后多次进行了改建、扩建,形成了一定的规模,随着医院信息化建设的逐步深入,网上业务由单一到多元化,任何网络系统的设计与建设都不可能达到绝对的安全可靠,因此只有通过细致的日常维护与及时的故障处理应急预案,才能最大限度提高网络系统的可靠性;只有建立合理可靠的事故处理机制,才可能在计算机网络或医院信息系统出现故障时最快、最安全、最有效地恢复医院正常业务。因此我们作出如下安全部署:
一、网络安全
(一)内外网访问控制
我院的计算机网络为主干1000M的千兆以太网,采用二层架构。主要完成医疗、管理、财务等医院内部重要业务的网络应用管理、资源内部共享和数据传递。通过网管软件、防火墙策略,控制用户的网络访问权限,做到内外网访问控制。
(二)网络管理
保证院内、外网系统的正常运行,保持网络系统的正常稳定工作,严格监控网络运行状态,调整必要的网络设备参数,建立数据自我检测机制,设置数据库管理系统的数据管理选项,对每天的数据进行自我检测,对大批量的数据更新进行记录,并以消息方式提交系统管理员。
(每日)查询并导出关键设备的日志;
(及时)记录网络设备的配置及相关信息的变更; (及时)排除用户终端的通信故障并记录相关信息; (及时)记录新入网设备进行配置并作相关的记录; (每周)提交网络系统运行状况分析报告。 二 应用安全
(一)医院信息系统建设
医院信息系统数据每天作异地全备份到备份服务器。
(二)建立防御体系
整个网络采用USB口禁用方法,将网络流量控制在预测的波动范围内,大幅度提高网络稳定性,业务系统的运行效率因此大大提高,系统死机、瘫痪事故也大幅度减少,网络维护和管理的压力有效地得以降低。同时提供入侵监测保障内网安全,强化了安全策略、限制暴露用户点。
三 物理安全
(一)网络设备备件
网络设备的故障是网络出现问题的主要原因之一。通过适量的备件冗余,当部分备件出现故障时,维护部门可以用更换部件的方案迅速解决问题,快速恢复网络的正常运转。在最短的时间内解决问题,最大限度地降低系统停机时间;然后将有故障的模块或器材送回厂家修理。为了及时满足我院网络系统应急事件处理过程中对部分硬件设备的需求,采取提供全部网络设备综合备机服务,且全部备机保证在功能上与原有设备相同。
(二)电源备份
不间断电源(UPS)作为计算机系统外设之一,特别是医院网络中的保护设备,它主要起到三个作用:一是提供后备电源,防止突然断电造成的损害,一些重要数据的丢失;二是消除“污染”,改善电源质量,对电源系统中的浪涌、噪声、电压下降等现象起到改进作用,使计算机中的电子部件免受摧毁性损坏;三是对整个数据通道进行保护,提高网络的可用性,使我院的计算机系统和网络运行更加稳定安全。目前,我院在机房及交换机布置了UPS防护,作到电源冗余,安全支持了系统关键业务的不间断运行。能在外界电力出现问题的情况下,有效保存关键应用的关键数据,并保持主要网络干路的通畅约四个小时。这在很大程度提高整体信息系统的安全性。
四 制度安全
为保证及时处理医院信息系统的各种故障,保障门诊、病房HIS系统正常工作,信息中心设立24小时手机值班制。不但在技术和设备上达到网络安全、应用安全和物理安全,而且还建立了一整套相关的信息安全管理体制。严格执行考勤制度,明确工作职责,贯彻值班制度。遇到网络故障、系统故障或用户反映的问题时能很快组织有关人员找到原因并排除故障。我院网络系统根据不同情况对计算机系统进行不同处理,争取在最短的时间内恢复计算机系统的正常运行。
(一) 处理步骤
我们针对可能出现的应急情况综合分析,如医院全面断电、机房断电、HIS系统核心服务器、数据库、网络交换机(核心交换机、二层交换机)出现故障,导致所有一线业务计算机无法正常登陆HIS系统,不能进行正常的挂号、收费、划价、取药等情况。制定了各种应急预案:信息中心停电应急预案、网络故障紧急预案、信息系统应急预案、门诊收费应急预案。
1.计算机因不间断电源(UPS)供电不正常时,技术人员以及相关负责人在五分钟内到达故障现场,解决问题并最快速度恢复设备的正常供电。
2.当计算机服务器数据出现崩溃,主服务器发生故障,十分钟内启动后备服务器,并通知门诊办公室做好相关的处理工作。
3.数据库崩溃,不能正常运行或数据库实在无法恢复,立即启用数据库备份与恢复方案,来恢复数据库。
4.计算机故障发生在主干网的连接线,立即启用备用链路,更换交换机,改变主干网布线结构。
5.HIS软件系统故障,HIS系统程序或数据库出现故障时,首先由信息中心人员进行初步排查,同时通知软件开发商的维护人员赶往医院,在10分钟内无法解决时,启用备份服务器。
(二)门诊应急预案
门急诊是医院的窗口,是患者来院进行诊断、治疗、预防保健的第一服务场所,门急诊服务直接影响到医院的形象和声誉。门急诊系统安全尤为重要,因此,为门诊系统工作站专门备有门诊应急服务器,主要针对门急诊窗口病人,一旦主从服务器同时宕机、核心交换机出现故障,将前台切换到门诊应急服务器确保门诊工作正常进行。恢复正常后数据回传到主服务器。为保障网络高可靠性、高可用性,除了采取上述措施外,在门诊及机房备有一套应急交换机,一旦网络出现问题,可以保证收费、药房、检验等重要部门切换到备用交换机上使用。保证医院业务不间断。整个应急预案做到人人心中有数。
(三)网络故障紧急预案
任何网络系统的设计与建设都不可能达到绝对的安全可靠,因此只有通过细致的日常维护与及时的故障处理才能最大限度提高网络系统的可靠性。当网络系统发生应急事件需要处理时,当有用户报告网络故障时作如下处理:
五 总结
医院网络信息安全是一个整体的问题,需要从管理与技术相结合的高度,制定与时俱进的整体管理策略,并切实认真地实施这些策略,才能达到提高网络信息系统安全性的目的。根据医院网络建设的不断完善以及软件的不断升级,将不定期的举行应急预案的演练,信息中心软、硬件组人员,每人熟知应急预案中的流程和分工,对数据库备份服务器每天检查数据备份情况,提高医院信息中心管理人员的技术水平,更好的保障医院信息系统稳定、安全的运行,通过在在技术、设备、人员上达到网络安全、应用安全、物理安全和制度安全,使整个信息系统在突发事件面前处事不惊,它既能方便患者就医,同时也提高服务质量和医院的形象和声誉。把因重大故障给医疗工作带来的影响减到最低线。