第一篇:信息网络应急预案
网络信息应急预案
吕梁机场网络信息系统突发事件应急预案 1 总则
1.1 编制目的
为了规范吕梁机场网络信息应急处理程序和内容,提高网络信息化队伍的应急处置能力,科学应对网络信息系统突发事件,有效预防、及时控制和最大限度消除网络信息系统突发事件造成的危害和影响,完善网络信息系统应急机制,确保吕梁机场日常工作的正常安全,特制订本应急预案。 1.2 指导思想和原则
应急处置应按照“积极防御,严格控制,防控并重”的原则。在认真做好日常网络信息管理、运维和监督的基础上,应急队伍充分做好突发情况下的网络信息系统的应急处置准备,健全防控措施,完善处置机制,加强应急演练,做到事件处置统一领导、职责明确、信息通畅、处置果断、规范有序、反应灵敏、保障到位。 1.3 编制依据
《中华人民共和国电信条例》 《国家通信保障应急预案》
《中华人民共和国计算机信息系统安全保护条例》 《计算机病毒防治管理办法》
《山西省人民政府办公厅关于制订和完善突发公共事件应急预案的通知》(晋政办发„2007‟46号)
《山西省人民政府突发公共事件应急预案体系建设制度》 《山西省突发事件应急预案管理办法》
1 《山西省民航机场集团公司(管理局)突发公共事件应急总体预案》
《山西省民航机场集团公司预案编制工作会议纪要》(„2010‟1次)以及信息安全等级保护相关规定等 1.4 适用范围
本预案适用于吕梁机场网络信息系统,在日常运维中由于系统软硬件故障、水电暖等能源供应故障、人为操作差错及驻场单位关联网络信息系统故障等原因造成的对吕梁机场生产运营产生不良影响网络信息系统突发故障事件。 2 预案体系和管理 2.1 预案体系
本预案囊括了吕梁机场网络信息体统的子预案组成,子预案定期进行修订及完善。子预案具体有:
《办公自动化系统应急预案》《安检信息系统应急预案》 2.2 预案管理
本预案编制内容包括了预案的目的、依据、适用范围、应急事件类别和原则、指导思想和原则。
包括了预案的体系构架,明确了领导机构和职责,以及日常办事机构。
明确了预案的预警和发布,以及应急事件的分级管理和处置,各级保障部门的职责和保障流程。
强调了应急的事后处置工作,日常应急培训工作,应急演练的相关规定,加强了应急队伍的建设工作。
2 系统地完善了制定了预案,注重与其他应急预案对接等的相关作。 3 组织机构及职责 3.1 领导机构
为全面管理网络信息应急工作,吕梁机场设立网络信息安全领导小组,负责网络信息突发事件处置工作的信息事件总体指挥协调工作。
组 长:吕梁机场副总经理 副组长:综合办公室主任 成 员:网络信息系统负责人 3.2 工作机构
网络信息安全领导小组办公室设在吕梁机场综合办公室,由综合办公室主任负责贯彻执行领导小组的决定;负责突发事件应急处置的指导协调、监督检查、组织实施等工作;负责对突发事件政令的上传下达工作,负责应急救援问题的调查研究、起草文件、预案修订、承办会议等工作;负责组织、指导和检查吕梁机场专项应急预案的修订工作;负责督促落实和检查指导吕梁机场组织实施的网络信息预案演练工作;负责收集应急信息进行分析、评估和报送工作;负责与应急单位的联络协调工作;负责领导小组交办的其他工作。 3.3 现场指挥机构及职责 3.3.1 领导小组
领导小组接到突发事件报告后,负责进行事件处置的全面动员工作。对物资需求、人员需求、信息传达、对外公布等工作指挥调度各有关单位分工落实。
3 领导小组负责确定大纲方针,信息决策。对突发事件处置进行总体把握和指导,下达最终意见和要求,起到导向性的作用。对突发事件之后,对上报的总结材料、自查报告具有最终处置意见。 领导小组汇总审核对外的信息公布工作。 3.3.2 领导小组办公室
领导小组办公室接到突发事件通报后,立即赶赴事件现场,协助信息单位做好事件处置工作,并及时向领导小组汇报处置工作的进展情况。
领导小组办公室执行好领导小组意见和要求,并进一步督查执行情况,督促执行力度。执行好信息单位汇报材料的审核上报工作。
领导小组办公室按照领导小组要求,事后组织总结会议。做好事件的调研、责任分清、经验总结工作。形成材料上报领导小组,经批准进一步上报山西省民航机场集团公司信息管理部或民航山西监管局。
领导小组办公室做好突发事件后的安全检查工作,查出隐患督促整改,负责接待监管单位审查的接洽工作。经领导小组审批,负责对外发布突发事件信息。 3.3.3 综合办公室
按照领导小组的要求,做好与地方政府、各厅级单位及驻场有关单位的外联工作。 3.3.4 应急管理部
按照领导小组的要求,协助信息单位做好应急处置、应急演练工作。
4 3.3.5 综合保障部
按照领导小组的要求,提供必要的物资调配支持,协助进行突发事件处置。
3.3.6 公安分局、安检站
按照领导小组的要求,做好维持秩序,现场治安工作。 3.3.7 各有关单位
按照领导小组的要求,做好人员、物资、交通、通讯等设施设备保障工作。
3.3.8 信息使用单位
按照领导小组的要求,履行信息应急预警、处置、报送、总结等实施工作。 4 应急基本程序
4.1 预测、预警机制及先期处置 4.1.1 危险源分析及预警级别划分
一、危险源分析
根据网络与信息安全突发公共事件的发生过程、性质和机理,网络与信息安全突发公共事件主要分为以下三类:
(1)自然灾害。指地震、台风、雷电、火灾、洪水等引起的网络与信息系统的损坏。
(2)事故灾难。指电力中断、网络损坏或是软件、硬件设备故障等引起的网络与信息系统的损坏。
(3)人为破坏。指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息系统的损坏。
二、预警级别划分
(1)预警级别划分
根据预测分析结果,预警划分为四个等级:Ⅰ级(特别严重)、Ⅱ级(严重)、Ⅲ级(较重)、Ⅳ级(一般)。
Ⅰ级(特别严重):因特别重大突发公共事件引发的,有可能造成整个公司互联网通信故障或大面积骨干网中断、通信枢纽设备遭到破坏或意外损坏等情况,及需要通信保障应急准备的重大情况;通信网络故障可能升级为造成整个公司互联网通信故障或大面积骨干网中断的情况。网络信息机房发现火情或其他重大自然灾害或存在重大自然灾害隐患的。
Ⅱ级(严重):因重大突发公共事件引发的,有可能造成公司多个下属单位网络通信中断或某个重要业务系统瘫痪,及需要通信保障应急准备的情况;通信网络故障可能升级为造成公司多个下属单位网络通信中断或某个重要业务系统瘫痪的情况。
Ⅲ级(较重):因较大突发公共事件引发的,有可能造成公司某个下属单位所属网络通信故障的情况;通信网络故障可能升级为造成公司某个下属单位所属网络通信故障的情况。
Ⅳ级(一般):因一般突发公共事件引发的,有可能造成局域网内某个交换点所属局部网通信故障(不影响正常一般通信)的情况。 4.1.2 预防机制
网络信息安全领导小组应加强对各级通信保障机构及全网通信网络安全防护工作和应急处置工作的监督检查,保障通信网络的安全畅通。
6 4.1.3 预警监测
各重要信息系统负责人和主管要进一步完善网络与信息安全突发公共事件监测、预测、预警制度。要落实责任,制定本单位信息通报工作制度。按照“早发现、早报告、早处置”的原则,加强对各类网络与信息安全突发公共事件和可能引发网络与信息安全突发公共事件的有关信息的收集、分析判断和持续监测。 4.1.4 先期处置
当发生网络与信息安全突发公共事件时,发现事故的人员在按规定向相关系统管理员报告的同时,及时向网络信息安全领导小组相关领导报告。负责人员在接手事故报告后要向网络信息安全领导小组进行应急工作进程报告和事故分析报告。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。 4.2 预警和发布
4.2.1 信息单位实时监控信息系统的运行状况,当突发事件发生后,值班人员接到故障通知后,及时上报本部门值班领导。 4.2.2 信息单位值班领导根据应急事件分级启动相应的预案流程并进行处置,并形成逐级报告的预警和发布机制。对会造成行业恶劣影响的敏感信息突发事件,应提前向领导小组及办公室提交预警信息。
4.2.3 领导小组按照突发事件的级别(2-5级以上),统一进行预警信息发布,按照突发事件级别确保准确地将预警信息通知到相关部门人员,信息内容切实有效,紧急程度准确无误。信息单位实时做好事件发生、事态发展等的上报工作。
7 4.2.4 信息管理部按照要求,统一思想、核查分析,做好对外上报的信息发布工作,对外通报经领导小组审核,完成报送职责。 4.2.5 各单位接到预警信息后,按照领导小组要求做好应急准备工作,避免对突发事件估计不足造成应急救援不力现象发生。 4.2.6 任何单位和个人不得编造、传播虚假信息,未经吕梁机场批准不得对外进行信息发布工作。
4.2.7 预警信息发布内容:地点、时间、事由、级别、上报部门、联系电话、处置部门等。 4.3 应急处置
4.3.1 信息单位值班人员实时监控信息系统的运行状况,及时发现突发情况。当突发事件发生后,值班人员接到故障通知后,迅速赶赴故障发生现场进行排故工作,同时上报部门值班领导。
4.3.2部门值班领导在接到上报后,立即到达岗位,督促信息维护、故障排除等工作。如果故障在规定时限内不能够排除,立即宣布开启应急预案,按照预案对事故定级、通报、处置。并及时协调各有关保障单位,同时报领导小组、领导小组办公室。
4.3.3 信息单位负责人接到领导小组通知后,按照应急预案要求,立即到达岗位。履行部门负责人职责,进行现场排故监督,及时协调各有关单位,争取各单位有力配合。
4.3.4 信息单位在执行应急预案的同时,要遵照领导小组、领导小组办公室的意见和要求,进行事件处置。严格执行上级下达的指示和要求,确保命令畅通、执行有力。
8 4.3.5 信息单位履行事件处置的阶段性材料报送工作,要做到处置期间有口头报送,处置完毕要履行包括事件、处置、结果、人员职责、经验总结等内容的材料报送,向领导小组、领导小组办公室报送。未经领导小组及办公室允许,严禁私自对外包括媒体、公众、内部等进行信息通报公开。
4.3.6 按照领导小组要求,其他有关单位要做好应急处置的配合协调工作,保证信息突发事件的处置工作能够顺利完成。 4.4 信息通报与沟通
4.4.1 信息单位值班人员接到信息系统运行异常通知后,第一时间赶赴现场进行维护,并同时报告部门值班领导
4.4.2 部门值班领导及时到位,督促信息维护、故障排除工作。对不能立即维护的故障,及时协调各有关单位,立即启动应急预案,并报领导小组、领导小组办公室。
4.4.3 领导小组、领导小组办公室接到运行故障通知,第一时间到达现场对信息系统的运作、维护、处置情况进行监督和调查,做好督查指导工作。事后进一步查找原因、分清职责、落实责任、积极整改。 4.4.4 领导小组、领导小组办公室及时上报吕梁机场,吕梁机场全面调控人力、物力等资源,指挥各单位进行应急事件的处置工作。 4.4.5 信息事件造成事故的,在事故发生10分钟内及时电话上报领导小组,并1小时内以书面材料上报领导小组。经领导小组审核后,按照要求,报告民航山西监管局、民航华北局。
4.4.6 信息事件造成事故或事故征候的,各信息单位应及时通知信息管理部,不得擅自进行信息发布和扩散,并由信息管理部上报领导
9 小组,按照要求进行处理。
4.4.7 信息管理部做好与民航上级部门、地方政府以及集团公司关于信息系统事故的通报工作,做好民航上级部门、地方政府、集团公司意见和要求的传达和督促工作。 5 应急响应
5.1应急处置分级和应急处置程序 5.1.1应急处置分级和应急处置程序
突发事件发生时应急通信保障工作和通信恢复工作,按照快速、机动、灵活的原则,根据响应的预警级别分别进行处置。
Ⅰ级:突发事件造成全公司通信故障或大面积骨干网中断、通信枢纽设备遭到破坏等情况以及接到公司下达的通信保障任务,由网络信息安全领导小组负责组织和协调。各负责人员要迅速准确的定位故障源,如果是核心设备故障要及时切换到备用核心设备上并测试调通;如果是骨干网物理链路故障要第一时间通知相关部门(通信公司)进行抢修并切换到备用线路上测试调通。面对黑客攻击或恶意破坏等人为造成的网络故障,要及时通知公安机关,同时采取紧急行动如切断数据源等将损失控制在最小范围。对于发现的重大自然灾害隐患时,要及时汇报网络信息安全领导小组并迅速通知消防局等相关部门,准备好临时处理灾情需要用到的工具。
火灾属于常见灾情,发现火情后按如下步骤处置:
(1) 发现火情要立即切断电源,值班员及时应用消防器材进行处理。 (2) 立即上报领导,同时做好事故处理记录。
(3) 如切断电源并使用消防器灭火都不能控制火情,要及时报警(机
10 场火警电话:3711119),报警时要准确说清火灾的地点和火灾状况,并留下联系电话。
(4) 出现危急情况要利用各种手段及时逃生。
Ⅱ级:突发事件造成公司多个下属单位网络通信中断或接到公司有关部门下达的通信保障任务时,由网络信息安全领导小组负责组织和协调。各负责人员要迅速准确的定位故障源,如果是关键部位网络设备故障要及时切换到备用设备上并测试调通;如果是骨干网物理链路故障要第一时间通知相关部门(通信公司)进行抢修并切换到备用线路上测试调通。具体应急措施见《安全防范和应急处置措施》。
Ⅲ级:突发事件造成公司某个下属单位所属网络通信故障时,由相关负责人进行恢复故障处理,如有需要可要求该单位主管进行配合,同时及时报告工作进程给网络信息安全领导小组。
Ⅳ级:突发事件造成局域网内某个交换点所属局部网通信故障(不影响正常一般通信)时,由相关负责人进行恢复故障处理并做好故障处理记录。
5.1.2应急保障任务结束
事故现场得以控制,网络环境符合有关标准,导致次生、衍生事故隐患消除后可确认网络通信保障和通信恢复应急工作任务完成。由网络信息安全领导小组下达解除任务通知,任务正式结束。 5.1.3调查、处理、后果评估与监督检查
网络信息安全领导小组负责对重大通信事故原因进行调查、分析和处理,对事故后果进行评估,并对事故责任处理情况进行监督检查。
11 5.1.4信息发布
网络信息安全领导小组负责有关信息的发布工作。 5.1.5通讯
在突发事件的应急响应过程中,要确保应急处置系统内部机构之间的通信畅通。通信联络方式主要采用固定电话、移动电话、卫星电话、传真等。
5.2 基本应急程序
在发生信息突发事件时,应急领导小组成员第一时间报告领导小组组长,以及领导小组办公室,同时与相关支持单位联系,获得必要的支持。在突发事件发生后,根据级别启动应急预案,展开应急处置。 5.2.1 预案启动
在发生Ⅱ级(包括)以上安全突发事件,应急处置单位按照应急响应流程,启动应急预案,最大可能收集事件相关信息,鉴别事件性质,确定事件来源,以确定事件影响范围和评估事件带来的影响和损害,确认为信息突发事件后,对事件进行定级和上报。并由领导小组负责应急处理协调工作。相关单位启动相关子预案。 5.2.2 应急处理
确认阶段,初步确定应急处理方式,确定是否存在针对该事件的预案,如有,则启动应急预案。
遏制阶段,及时采取行动遏制事件发展,限制潜在的损失和破坏,同时要采取积极措施,使危害降到最低。
根除阶段,在事件被遏制之后,通过对有关事件或行为的分析结果,找出事件根源,明确相应的补救措施,彻底消除安全隐患。
12 恢复和跟踪阶段,在确保安全问题解决后,要及时清理系统、恢复数据、程序、服务;恢复工作应避免因出现错误操作而导致新的问题;严守国家机密;问题解决后,要加强宣传学习,公布危害性和解决办法,避免产生社会负面影响。 5.2.3 应急支援
接到领导小组命令后,应急队伍立即赶赴现场,听从指挥组织开展处置工作;
如需备品备件及应急物资、应急装备,上报应急保障需求,经领导小组同意后,相关单位调拨相关物资进行应急保障;
各相关单位按照领导小组要求做好应急保障准备工作。
当采取一般应急处置措施仍无法控制事态时,要迅速研究采取有利于控制事态的非常措施,并向有关的技术部门、应急部门请求支援。 5.3 医疗救护
在突发事件发生后,如需医疗救护,医务室人员根据领导小组的指令,立即赶赴现场进行救护作业。 5.4 应急人员的安全防护程序
应急人员应急操作行为,严格按照各相关子应急预案、系统指导手册、操作规程等进行。实施持证上岗、经验丰富者优先上岗的原则,杜绝违规操作,杜绝损坏设施设备、违反安全操作规程的行为和情况的发生,最大化确保设施设备的安全,确保应急人员的安全。 5.5 事态检测与评估程序
在预案启动、确认、遏制、根除、恢复和跟踪等各处理阶段,网络信息安全领导小组办公室持续落实好监督和评估工作。对处置事态分
13 阶段开展检测工作,及时查找和督促,对不足之处及时进行提醒有关单位进行完善和落实,确保应急处置流程正常有序进行,使得处置效果在预期范围之内。并将检测事宜纳入到应急处置的评估体系当中,有助于事后进一步完成应急预案的修订和改进工作。 5.6 应急结束
经网络信息安全领导小组确定应急处置事件结束后,下达处置结束的指令,各相关单位听到指令后,随即解除应急战备状态,并做好本单位的应急善后工作。 5.7 后期处置
应急事件处置完成后,各单位及时整理应急物资,完成出入库登记,以备及时补充物资;调整应急队伍,总结经验心得,完善应急队伍建设及预案建设资料;审查信息系统设备,协调有关单位进行事后重建和恢复工作,及早投入使用,完善操作指导书和应急指导书等。
在事件的上报、接收和处理过程中,相关接收、处置人和负责人应及时做好完整的过程记录。事件处理完后上报、归档。
系统恢复正常运行后,领导小组办公室对事件造成的损失、事件处理流程和应急原因进行评估,对响应流程、预案提出修改意见,总结事件处理经验和教训,撰写事件处理报告上报领导小组。如需上报上级监管部门,经审核批准后上报。 6 保障措施
6.1 通信与信息保障
领导小组组长、副组长、各成员通讯保持畅通,领导小组办公室应急期间24小时通讯保持畅通,各单位将公司联络表张贴显眼之处,方
14 便联络及报送。各子预案涉及到的领导、职工电话等要明确。登记设备厂家负责人、维护人员的联系方式,作为信息人员应知应会的内容,出现问题能够及时联系厂家寻求援助。
相关单位应建立24小时值班制度,有值班记录单,有公开值班电话,有实时故障通报机制。
相关单位在遇到突发情况和难以协调事宜应随时向上级汇报,并形成逐级汇报与部门间通报相结合的报告制度。 6.2 应急队伍保障
各信息单位将应急队伍建在基层一线,应急队员就是由一线保障人员组成,日常做好信息系统的管理和维护,做好信息知识的培训和学习工作,做好应急知识的学习和实操工作,做好定期的应急演练工作。以各部门为应急队伍建制,各建制做好沟通协调工作,做好应急配合工作。
6.3 应急装备保障
应急装备可分为3块。
一是各信息单位负责维护管理的信息系统的备品备件,作为主要的应急保障装备,确保信息突发事件发生后的第一时间保障物资。
二是按照领导小组有关物资备件管理部门的应急保障装备,按照领导小组要求,对物资进行采购、管理、分发等事宜。
三是协调厂家,提供不常用或者价格昂贵的重要备品备件,经领导小组审核后,按照程序进行购买使用。
充足的应急物资保障是成功应急处置的关键环节,相关单位在做好信息系统重要设备备品备件充足可用的情况下,进而确保应急保障设
15 备的充分储备,并坚持对应急设备的定期维护保养,定期进行补充和更换,保证较高的设备完好率。 6.4 经费保障
各信息单位的信息应急保障经费,涉及到设备更换的,主要来源于部门信息系统维修经费,由本部门在计划内负责开支使用,报公司,由公司进行监督、审核和限制;保障经费巨大的,报请公司审核同意后,统一由公司负责进行费用支出。 6.5 其他保障
各保障单位按照领导小组要求,履行应急保障工作。 7 培训与演练 7.1 培训
加强信息人员的业务技能培训和应急处置相关知识的培训,提高一线保障人员的业务水平和初步应急处置水平。
各信息单位加强教育培训工作,应制定文档化的安全教育和培训计划,计划应包括参加人员、内容和具体时间。
针对信息系统重要岗位人员的不同安全职责,定期进行相应的安全知识和技能培训。落实重要岗位考核及持证上岗制度。 7.2 演练
为锻炼应急队伍,熟悉应急设施设备,掌握应急处置流程,真正具备应急处置能力,应制定应急演练制度,定期组织开展书面和实操应急演练。
7.2.1 演练开始前,演练单位值班人员按时到位,对生产状况进一步进行分析,确保演练不会造成安全事故,演练执行。如发生安全故
16 障及时通知值班领导。
7.2.2部门值班领导及时到位,及时协调各有关单位,督促故障排除工作。对不能立即维护的故障,立即启动应急预案,并报单位主管、网络信息安全领导小组,通知有关单位。
7.2.3 网络信息安全领导小组接到演练故障通知,第一时间到达现场做好督查指导工作。事后组织各相关单位对演练进行梳理总结,查找原因、分清职责、落实责任、积极整改。 8 应急预案的管理 8.1 预案的备案
本预案以及各相关子预案,按照备案要求,在吕梁机场、网络信息安全领导小组办公室进行备案,作为信息系统应急处置的依据。并进一步经公司审核后发各单位作为应急工作参照和指导资料。 8.2 预案的维护和更新
网络信息安全领导小组办公室、各信息单位定期按照各单位人员变动(包括人员素质、数量、分工、流动性等)、部门变动(包括内部分部变动、合并、拆分等)、职责变更(负责内容变更、管理权限变更、职能移交等)、信息系统的变更(信息系统升级、淘汰、管理、维护模式更新、新系统建立的更新维护等)等因素,及时组织开展信息系统的应急预案的更新,网络信息安全领导小组办公室负责监督指导及子预案的收集汇总工作,各信息单位按照要求落实预案的编写和更新工作。在总预案的指导下,各有信息系统的单位结合实际情况,完成信息系统的子预案,突发事件发生情况下,分级启动子应急处置。
17 9安全防范和应急处置措施 9.1 安全防范
9.1.1 网络安全防范
吕梁机场与外部联网必须采用单独的网络设备和通信线路,采用物理隔离或防火墙逻辑隔离的方式交换数据,采取严格的通信控制策略;内部计算机网络应与因特网物理隔离;在网络建设和改造时必须优先充分考虑到网络的安全性,要有足够的冗余或备份;按照集团公司信息管理部规划的IP地址配置公司内部网络;各类网络设备及关键主机设备的密码由专人保管并有定期变更机制;在未采取相应加密措施之前,不得利用电子邮件传递涉及机密的信息。 9.1.2病毒安全防范
计算机设备应配备正版的防病毒软件,所有的外来软件或存储介质,必须先进行病毒检查才能安装和使用。 9.1.3 软件系统安全防范
杜绝使用盗版软件,开发的应用软件要充分考虑软件安全的要求,并进行安全性能的评估。 9.1.4 数据安全防范
建立相应的数据备份、恢复机制;原则上备份介质不能与主机系统在同一地域存放。 9.1.5 设备安全防范
采购的计算机设备都必须有较高的可靠性,从源头上把好设备的性能安全关。各关键设备都要有冗余备份或相应配件,一旦出现故障能够及时维护、更换,确保不影响工作的开展和系统正常运行。
18 9.1.6 机房安全防范
计算机机房应符合国家标准和国家规定。计算机机房附近施工,不得危害计算机信息系统的安全。主机房都要严格按照国家标准建设和改进;必须具备防火、防雷、防静电、防电磁干扰设备;要有完备的环境控制设备和电源供应系统,以及严格的管理制度和值班制度,确保各类设备有良好的运行环境。 9.2 应急处置措施
9.2.1 黑客攻击时的紧急处置措施
(1)当责任人发现网络信息系统内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向网络信息安全领导小组办公室报告。
(2)网络信息安全领导小组办公室尽快赶到现场,立即关闭网络信息系统。
(3)由网络信息系统负责人负责恢复或重建被攻击和被破坏的系统。 (4)网络信息安全领导小组办公室和网络信息系统负责人应追查非法信息来源。
(5)网络信息安全领导小组办公室如认为情况严重,应立即向领导小组汇报。
(6)领导小组认为情况极为严重的,应立即向公安部门或上级机关报告。
9.2.2数据库安全紧急处置措施
(1)建立数据库系统双机设备设置,即小型机和服务器两种运行方式。
19 (2)一旦数据库崩溃,网络信息系统负责人应立即启动备用系统,并向领导小组报告。
(3)在备用系统运行期间,网络信息系统负责人应对主机系统进行维修。
(4)如果两套系统均崩溃,网络信息系统负责人应立即向软硬件提供商请求支援,同时通知相关单位系统情况并停止传送数据。 (5)系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中。
(6)如因第一个备份损坏,导致数据库无法恢复,则应以第二套数据备份加以恢复。
(7)如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。 9.2.3 广域网外部线路中断紧急处置措施
(1)网络信息系统负责人接到线路故障报告后,应迅速判断故障原因,并报告网络信息安全领导小组。
(2)如属单位管辖范围,由网络信息系统负责人立即予以恢复。 (3)如属网络运营商管辖范围,应立即与其联系,要求尽快修复。 9.2.4 局域网中断紧急处置措施
(1)网络信息系统单位平时应准备好网络备用设备,存放在指定位置。
(2)局域网中断后,网络信息系统值班人员应立即判断故障节点,查明故障原因,并向部门领导汇报。 (3)如属线路故障,应重新安装线路。
(4)如属交换机等网络设备故障,应立即将备用设备接上,并调试
20 通畅。
(5)如属交换机配置文件破坏,应迅速按照要求重新配置,并调试通畅。
(6)如有必要,应向领导小组汇报。 9.2.6 设备安全紧急处置措施
(1)小型机、服务器、路由器、交换机等关键设备损坏后,值班人员应立即向网络信息系统负责人报告。 (2)网络信息系统负责人应立即查明原因。 (3)如能自行恢复,应立即用备件替换受损部件。
(4)如不能自行恢复的,应立即与设备供应厂商联系,请求技术人员前来维修。
(5)如果设备一时不能修复,应向领导小组汇报。 9.2.7 人员疏散与机房灭火预案
(1)一旦机房发生火灾,应遵循下列原则:首先保人员安全;其次保关键设备、数据安全;三是保一般设备安全。
(2)人员疏散的程序是:机房值班人员立即按响火警警报,并向消防大队请求支援,所有不参与灭火的人员按照预先确定的线路,迅速从机房中有序撤出。
(3)灭火的程序是:首先切断所有电源,启动灭火系统,灭火值班人员戴好防毒面具,从指定位置取出泡沫灭火器进行灭火。 9.2.8 外电中断后的设备运行预案
(1)外电中断后,机房值班人员通知灯光站应立即启用备用电源。 (2)灯光站立即查明原因,并向值班领导汇报。
21 (3)如因场内线路故障,灯光站应立即组织恢复。
(4)如果是供电局原因,灯光站应立即与供电局联系,请求迅速恢复供电。
(5)如果供电局告知需长时间停电,应由灯光站负责启用备用发电机自行发电。
9.2.9 发生自然灾害后的紧急措施
(1)一旦发生自然灾害,导致设备损坏,由灾害发生单位向应急救援指挥中心请求支援。
(2)应急救援指挥中心接到支援请求后,立即通知应急管理部和网络信息安全领导小组,由网络信息安全领导小组和应急管理部尽快派遣人员携带有关设备赶到现场。
(3)到达现场后,寻找安全可靠的地点,重新构建系统网络。 9.2.10 关键人员不在岗的紧急处置措施
(1)对于关键岗位平时应做好人员储备,确保一项工作有两人能够操作。
(2)一旦发生关键人员不在岗的情况,首先应向领导小组汇报情况。 (3)经领导小组批准后,由备用人员上岗操作。 (4)如果备用人员无法上岗,请求上级单位支援。
22
第二篇:网络信息安全应急预案
潍坊市公路管理局网络信息安全应急预案
一、总则
1.编制目的
为提高应对网络与信息安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网站网络与信息安全突发事件的危害,特制定本预案。
2.编制依据
根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等有关法规、规定,制定本预案。
3.适用范围
本预案适用于发生与本预案定义的I-IV级网络与信息安全突发事件和可能导致I-IV级的网络与信息安全突发事件的应对处置工作。
4.分类分级
本预案所指的网络信息安全突发事件,是指网络信息系统突然遭受不可预知外力的破坏、毁损或故障,不良信息在网站乃至整个互联网的传播,发生对国家、社会、公众造成或者可能造成危害的紧急网络安全事件。
事件分类根据网络信息安全突发事件的发生过程、性质和特征,网络信息安全突发事件划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害、事故灾难和人为破坏引起的网络与信息系统的损坏;信息安全突发事件是指利用信息网络进行有目的或有组织的反动宣传、煽动和歪曲事理的不良活动或违法活动。
(1)自然灾害是指地震、台风、雷电、火灾、洪水等。
(2)事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。
(3)人为破坏是指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖主义活动等事件。
事件分级
根据网络信息安全突发事件的可控性、严重程度和影响范围,将网络信息安全突发事件分为四级:I级(特别重大)、II级(重大)、III级(较大)、IV级(一般)。具体级别定义如果国家有关法律法规有明确规定的,按国家有关规定执行。
(1)I级(特别重大):造成网络与信息系统发生大规模瘫痪,事态的发展超出区一级相关主管部门的控制能力,对国家安全、社会秩序、公共利益造成特别严重损害的突发事件。
(2)II级(重大):造成网站或其它上一级部门重要网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成严重损害,需要上级政府或公安部门协助,乃至需跨地区协同处置的突发事件。
(3)III级(较大):造成网站网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成一定损害,但只需在本区政府或区信息中心协同处置的突发事件。
(4)IV级(一般):造成网站网络重要网络与信息系统受到一定程度的损坏,但不危害国家安全、社会秩序和公共利益,可由我主管部门处置的突发事件。
二、工作原则
1.积极防御、综合防范。立足安全防护,加强预警,重点保护重要信息网络和关系社会稳定的重要信息系统;从预防、监控、应急处理、应急保障和打击不法行为等环节,在管理、技术、宣传等方面,采取多种措施,充分发挥各方面的作用,构筑网络与信息安全保障体系。
2.明确责任、分级负责。按照“谁主管、谁负责”的原则,加强网络安全管理,认真落实各项安全管理制度和措施。加强计算机信息网络安全的宣传和教育,进一步提高工作人员的信息安全意识。
3.落实措施、确保安全。要对机房、网络设备、服务器等设施定期开展安全检查,对发现安全漏洞和隐患的进行及时整改;要实行网站的巡察制度,密切关注互联网信息动态,要按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。
4.加强技术储备、规范应急处置措施与操作流程,树立常备不懈的观念,定期进行预案演练,确保应急预案切实可行。
5、事故上报
当发生网络信息安全突发事件时,应及时按规定向有关部门报告。初次报告最迟不得超过2小时,重大和特别重大的网络信息安全突发事件必须实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
三、事后处理
应急响应应急结束网络与信息安全突发事件经应急处置后,得到有效控制,事态下降到一定程度或基本得以解决,将各监测统计数据上报分管领导,由分管领导向局应急领导小组提出应急结束的建议,经批准后实施。
四、人员队伍
保障措施应急技术队伍保障按照一专多能的要求建立我局网络与信息安全应急技术保障队伍。并定期参加信息安全配训。
五、监督管理
1.加强对网络与信息安全等方面专业技能的培训,指定专人负责安全技术工作。
2.定期演练。通过演练,发现应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力。
在应急处置工作结束后,应立即组织有关人员组成事件调查组,查清事件发生的原因及财产损失情况,总结经验教训,写出调查评估报告,报应急领导小组,并根据问责制的有关规定,对有关责任人员作出处理。特别重大网站网络与信息安全突发公共事件的调查评估报告,报应急领导小组,必要时采取合理的形式向社会公众通报。
第三篇:信息网络故障应急预案
1总则 1.1目的
为提高处理突发信息网络事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减少网络与信息安全突发事件的危害,保护学校及师生利益,特制定本预案。
1.2适用范围
本预案适用于XXXX公司信息化系统发生和可能发生的网络与信息安全突发事件。
1.3工作原则
(1)预防为主。立足安全防护,加强预警,重点保护基础信息网络和重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,采取多种措施,共同构筑网络与信息安全保障体系。
(2)快速反应。在网络与信息安全突发公共事件发生时,按照快速反应机制,及时获取充分而准确的信息,迅速处置,最大程度地减少危害和影响。 (3)以人为本。把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免学校财产遭受损失。
(4)分级负责。按照“谁主管谁负责、谁使用谁负责”以及“条块结合”的原则,建立和完善安全责任制及联动工作机制。根据职责,各司其职,加强协调与配合,形成合力,共同履行应急处置工作的管理职责。
1.4编制依据
根据《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》及XXXX公司相关管理规定等,制定《信息网络故障应急预案》(以下简称预案)。
2团队职责
2.1负责编制、修订所辖范围内突发信息网络事件应急预案。 2.2通过国家互联网应急中心及国内外安全网络信息组织交流等手段获取安全预警信息,周期性或即时性地向局域网用户发布;对异常流量来源进行监控,并妥善处理各种异常情况。
2.3及时组织专业技术人员对所辖范围内突发信息网络事件进行应急处置;负责调查和处置突发信息网络事件,及时上报并按照相关规定作好善后工作。 2.4负责组建信息网络安全应急救援队伍并组织培训和演练。 3预警及预警机制
突发信息网络事件安全预防措施包括分析安全风险,准备应急处置措施,建立网络和信息系统的监测体系,控制有害信息的传播,预先制定信息安全重大事件的通报机制。
3.1突发信息网络故障分类
关键设备或系统的故障;自然灾害(水、火、电等)造成的物理破坏;人为失误造成的安全事件;电脑病毒等恶意代码危害;人为的恶意攻击等。
3.2应急准备
信息化建设部和各单位信息系统管理员明确职责和管理范围,根据实际情况,安排应急值班,确保到岗到人,联络畅通,处理及时准确。
3.3具体措施
(1)建立安全、可靠、稳定运行的机房环境,防火、防盗、防雷电、防水、防静电、防尘;建立备份电源系统;加强所有人员防火、防盗等基本技能培训。 (2)实行实时监视和监测,采用认证方式避免非法接入和虚假路由信息。
(3)重要系统采用可靠、稳定硬件,落实数据备份机制,遵守安全操作规范;安装有效的防病毒软件,及时更新升级扫描引擎;加强对局域网内所有用户和信息系统管理员的安全技术培训。
(4)安装反入侵检测系统,监测恶意攻击、病毒等非法侵入技术的发展,控制有害信息经过网络的传播,建立网关控制、内容过滤等控制手段。
4有关应急预案 4.1机房漏水应急预案
(1)发生机房漏水时,第一目击者应立即通知报告中心负责人。
(2)若空调系统出现渗漏水,第一目击者应立即安排停用故障空调,清除机房积水,并及时联系设备供应方处理,同时启动备用空调,必要情况下可临时用电扇对服务器进行降温。
(3)若为墙体或窗户渗漏水,信息化建设部负责人应立即采取有效措施确保机房安全,同时安排通知后勤与基建管理处,及时清除积水,维修墙体或窗户,消除渗漏水隐患。 4.2设备发生被盗或人为损害事件应急预案
(1)发生设备被盗或人为损害设备情况时,使用者或管理者应立即拍照保留原始影像资料,及时报告中心负责人并立即通知保卫处,同时保护好现场。
(2)重大事件由保卫处通知公安部门,一同核实审定现场情况,清点被盗物资或盘查人为损害情况,做好必要的影像记录和文字记录。
(3)事发单位和当事人应当积极配合公安部门进行调查,并将有关情况向中心负责人汇报。
(4)中心负责人安排相关科室及时恢复网络正常运行,并对事件进行调查。事发科室应在调查结束后一日内书面报告中心负责人。事态或后果严重的,应及时报告分管校领导、党院办和相关业务部门。
4.3机房长时间停电应急预案
(1)及时查询停电原因,及时通知电工与电房处理。
(2)接到长时间停电通知后,中心负责人应及时通过办公系统、电话等发布相关信息,部署应对具体措施,要求用户在停电前停止业务、保存数据。
(3)停电时间过长的,中心负责人应及时报告分管校领导、党院办和相关业务部门。 4.4通信网络故障应急预案
(1)发生通信线路中断、路由故障、流量异常、域名系统故障后,操作员应及时通知信息系统管理员,经初步判断后及时上报中心负责人。
(2)信息化建设部接报告后,应及时查清通信网络故障位置,隔离故障区域,并将事态及时报告中心负责人,通知相关通信网络运营商查清原因;同时及时组织相关技术人员检测故障区域,逐步恢复故障区与服务器的网络联接,恢复通信网络,保证正常运转。
(3)事态或后果严重的,中心负责人应及时报告分管校领导、党院办和相关业务部门。
(4)应急处置结束后,信息化建设部和事发部门应将故障分析报告,在调查结束后一日内书面报告中心负责人。
4.5不良信息和网络病毒事件应急预案
(1)发现不良信息或网络病毒时,信息系统管理员应立即断开网络,终止不良信息或网络病毒传播,并报告中心负责人和信息化建设部。
(2)信息化建设部应根据中心负责人指令,采取隔离网络等措施,及时杀毒或清除不良信息,并追查不良信息来源。 (3)事态或后果严重的,中心负责人应及时报告分管校领导、党院办和相关业务部门。
(4)处置结束后,信息化建设部和事发单位应将事发经过、造成影响、处置结果在调查工作结束后一日内书面报告中心负责人。
4.6服务器软件系统故障应急预案
(1)发生服务器软件系统故障后,应及时报告中心负责人;同时安排相关责任人将故障服务器脱离网络,保存系统状态不变,保持原始数据。
(2)信息化建设部应根据中心负责人指令,在确认安全的情况下,重新启动故障服务器系统;重启系统成功,则检查数据丢失情况,利用备份数据恢复;若重启失败,立即联系相关厂商和上级单位,请求技术支援,作好技术处理。
(3)事态或后果严重的,及时报告数字化校园建设小组。如有必要,及时报告分管校领导、党院办和相关业务部门。
(4)处置结束后,信息化建设部应将事发经过、处置结果等在调查工作结束后一日内报告中心负责人。
4.7黑客攻击事件应急预案 (1)当发现网络被非法入侵、网页内容被篡改,应用服务器上的数据被非法拷贝、修改、删除,或通过入侵检测系统发现有黑客正在进行攻击时,使用者或管理者应断开网络,并立即报告中心负责人。
(2)接报告后,中心负责人应立即指令信息化建设部核实情况,关闭服务器或系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登陆帐号,阻断可疑用户进入网络的通道。
(3)信息化建设部应及时清理系统,恢复数据、程序,恢复系统和网络正常;情况严重的,应上报数字化校园建设小组,并请求支援。必要时,及时报告分管校领导、党院办和相关业务部门。
(4)处置结束后,信息化建设部应将事发经过、处置结果等在调查工作结束后一日内报告中心负责人。
4.8网络核心设备硬件故障应急预案
(1)发生核心设备硬件故障后,信息化建设部应及时报告中心负责人,并组织查找、确定故障设备及故障原因,进行先期处置。
(2)若故障设备在短时间内无法修复,信息化建设部应启动备份设备,保持系统正常运行;将故障设备脱离网络,进行故障排除工作。 (3)信息化建设部应在故障排除后,在网络空闲时期,替换备用设备;若故障仍然存在,立即联系相关厂商,认真填写设备故障报告单备查。
(4)事态或后果严重的,及时报告数字化校园建设小组。如有必要,及时报告分管校领导、党院办和相关业务部门。
4.9业务数据损坏应急预案
(1)发生业务数据损坏时,信息化建设部应及时报告中心负责人,检查、备份业务系统当前数据。
(2)相关业务部门及信息化建设部负责调用备份服务器备份数据。
(3)业务数据损坏事件超过2小时后,信息化建设部应及时报告中心负责人,及时通知业务部门以手工方式开展业务。
(4)信息化建设部应待业务数据系统恢复后,检查历史数据和当前数据的差别,由相关系统业务员补录数据;重新备份数据,并写出故障分析报告,在调查工作结束后一日内报告中心负责人。
4.10雷击故障应急预案
(1)遇雷暴天气或接上级部门雷暴气象预警,信息化建设部应及时报告中心负责人,经请示同意后关闭所有服务器,切断电源,暂停内部计算机网络工作,并及时通知相关人员关闭一切网络设备及计算机等,并切断电源。
(2)雷暴天气结束后,信息化建设部报经中心负责人同意,及时开通服务器,恢复内部计算机网络工作,并通知相关人员及时恢复设备正常工作,对设备和数据进行检查。出现故障的,事发单位应将故障情况及时报告信息化建设部。
(3)因雷击造成损失的,信息化建设部应会同相关部门进行核实、报损,并在调查工作结束后一日内书面报告中心负责人。必要时,及时报告分管校领导、党院办和相关业务部门。
4.11火灾应急预案
(1)遇机房火灾报警,值班人员应第一时间报告保卫处和中心领导,由保卫处确认险情。
(2)确认险情后,应立即疏散楼宇内所有人员,告知相关情况,按照学校消防规范,配合学校保卫处处理相关险情,并切断电源。
(3)在人员疏散后,阻止除专业消防员以外的人员进入现场。 (4)处置结束后,相关人员应会同部门进行核实、报损,并在调查工作结束后一日内书面报告中心负责人,并及时报告分管校领导、党院办和相关业务部门。 5应急处置
发生信息网络突发事件后,相关人员应在5分钟内向中心负责人报告,中心负责人组织人员采取有效措施开展先期处置,恢复信息网络正常状态。
发生重大故障(事件),无法迅速消除或恢复系统,影响较大时实施紧急关闭,并立即向数字化校园建设小组报告。如有必要,及时及时报告分管校领导、党院办和相关业务部门。
6善后处置
应急处置工作结束后,中心负责人组织有关人员和技术专家组成事件调查组,对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估,根据应急处置中暴露出的管理、协调和技术问题,改进和完善预案,实施针对性演练,总结经验教训,整改存在隐患,组织恢复正常工作秩序。
7应急保障 7.1通信保障
信息化建设部负责收集、建立数字化校园建设小组内部及其他相关部门的应急联络信息。中心负责人应在重要部位醒目位置公布报警电话,中心负责人全体人员保证全天24小时通讯畅通。 7.2装备保障
信息化建设部负责建立并保持电力、空调、机房等网络安全运行基本环境,预留一定数量的信息网络硬件和软件设备,指定专人保管和维护。
7.3数据保障
重要信息系统均建立备份系统,保证重要数据在受到破坏后可紧急恢复。
7.4队伍保障
建立符合要求的网络与信息安全保障技术支持力量,对网络接入单位的网络与信息安全保障工作人员提供技术支持和培训服务。
8监督管理
8.1宣传、教育和培训
将突发信息网络事件的应急管理、工作流程等列为培训内容,增强应急处置能力。加强对突发信息网络事件的技术准备培训,提高技术人员的防范意识及技能。中心负责人每年至少开展一次全市系统范围内的信息网络安全教育,提高信息安全防范意识和能力。
8.2预案演练 中心负责人每年不定期安排演练,建立应急预案定期演练制度。通过演练,发现和解决应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力。
9附则 9.1预案更新
结合信息化建设发展状况,配合相关法律法规的制定、修改和完善,适时修订本预案。
9.2制定与解释部门
本预案由信息化建设部制定并负责解释。 9.3预案实施或生效时间
本预案经部门讨论后,部门内部发布实施。
第四篇:网络信息安全应急预案
合肥市电子学校网络信息安全应急预案
为科学应对网络与信息安全突发事件,建立健全信息安全应急响应机制,有效预防、及时控制和最大限度的消除信息安全各类突发事件的危害和影响,制定本应急预案。
一、工作原则
学校信息安全突发事件应急工作是在学校维护稳定安全领导小组和学校信息工作领导小组的统一领导下,督促相关部门遵照“统一领导、综合协调、各司其职”的原则,协同配合、完善应急工作的体系和机制。
各处室负责人为本处室网络信息工作负责人,负责本科室网络信息工作的。
二、应急处置工作的目
在最短时限内,及时、果断的处理学校网站以及校园网范围内传播的有害信息,遏制有害信息扩散,最大限度减轻社会危害,打击网上违法犯罪活动,维护校园信息安全和政治稳定。
三、网站以及校园网应急处置工作包含的主要内容
(一)有害信息内容:
1、攻击党和国家领导人;
2、煽动抗拒、破坏宪法和法律、行政法规实施;
3、煽动分裂国家、破坏国家统一;
4、捏造或歪曲事实,散布谣言,恶意攻击党委、政府领导同志,严重扰乱社会政治、经济秩序;
5、宣传邪教、色情、暴力、凶杀,教唆犯罪;
6、其他严重危害国家安全和社会治安秩序的信息。
(二)严重违法犯罪活动:
1、利用互联网、校园网大规模进行煽动颠覆国家政权、推翻社会主义制度、破坏国家统一,煽动民族仇恨,破坏民族团结活动;
2、利用互联网、校园网进行反动勾联、邪教活动;
3、利用网络技术进行大规模破坏社会稳定,扰乱金融秩序的活动;
4、利用互联网、校园网大规模制作、传播计算机病毒,非法入侵,致使计算机系统及通信网络遭受重大损失的活动。
四、组织领导
学校网络与信息工作领导小组,负责学校网络与信息安全应急处置工作。组长由文侠校长担任,副组长由王周秦副校长担任,成员由网管中心管理人员及信息技术组教师组成。联系电话:13013096113
五、应急处置基本程序及处置方法
1、学校应急处置办公室在接到案情报告后,应立即向学校维护稳定和安全领导小组、信息工作领导小组报告,立即保存相关网络日志,断开事故信息点的网络连接,保护事故现场,制止有害信息的再传播扩散。必要时向公安局有关部门汇报。积极配合公安机关、安全机关开展相关工作。
2、校园网责任处室,应在开通校园网时间内,由网管人员实行监控,发现异常情况和有害信息,应在1小时内报区学校应急领导办公室。
六、应急处置工作要求和纪律
1、各处室在接到案情报告或通知后,应立即行动,及时采取处置措施。
2、严格信息上报制度,及时上报情况。
3、严格工作责任制,对工作不落实、行动迟缓、措施不力以及清查处理后,网站上仍有相关有害信息出现的,要追究有关人员的责任。 本预案自2008年8 月 1日起执行。 合肥市电子学校
第五篇:网络与信息安全应急预案
为了规范公司信息应急处理的程序和内容,提高应急处理能力,完善应急机制,确保公司网站系统的安全、稳定运行,特制定信息安全应急预案。
一、应急预案的目的
根据我司的系统情况应急处理应坚持“积极预防,严格控制,防控并重”的原则。在认真做好日常管理和监控的基础上,充分做好紧急情况下主站系统的运行管理的应急准备,健全防控措施,完善处理机制,加强应急演练,确保在应急情况下做到反应迅速,处置果断,保障到位。
二、应急情况的标准
当出现以下所列情况之一时,应确认已达到应急情况标准,并迅速启动相应的应急处理程序:
1、主站系统无法访问。
2、主站服务器控制权限被接管。
3、主站内容被恶意篡改。
4、主站硬件设备被人为破坏。
5、上级确定的其它紧急情况。
三、组织机构及职责
为保证应急情况下应急机制的迅速启动和指挥顺畅,应设立应急小组,小组人员配置及职责如下:
组 长:岳 浪
副组长:王 灵
成 员:李俊峰 刘家瑞
当应急预案启动后,应急小组将自动成立并担负如下职责:
1、向上级汇报应急行动的进展情况和向有关单位通报相关情况;
2、传达上级的有关指示精神;
3、研究布置应急行动有关具体事宜;
4、应急行动期间的组织指挥;
5、负责应急行动的宣传教育和有关解释工作;
6、负责与有关单位进行重大事项的工作协调;
7、负责应急行动其它的有关组织领导工作。
8、负责应急行动技术支持工作;
9、负责应急行动的网站内容编辑工作;
10、研究布置并组织应急行动期间网站监管的有关事项;
11、认真详细地做好监管值班记录;
12、向上级汇报网站监管的情况;
13、完成上级赋予的其它任务。
四、应急行动的基本程序和主要内容
预测情况一:网站主页或重要的网页被修改
在工作人员发现网站主页或其他重要的网页被修改的情况后执行该预案。
1、首先切断主服务器的网络连接。
2、通知相关的人员进行修复,并更新相关数据。
3、整理事件的完整过程并按程序上报相关部门。
预测情况二:网站无法访问,但服务器网页未被修改
1、通知相关人员,包括技术人员,主要的责任领导等。
2、检查网络情况,尽力确定流量的来源与堵赛点。
3、检查服务器,严防骇客植入木马等进一步的破坏行为。
4、必要时采用重新启动服务器/更换IP地址等方式恢复服务。
5、整理事件的完整过程并按程序上报上级相关部门。
五、应急行动的基本制度
(一)值班制度
应急行动启动后,应急小组应在工作时间实时监测主站运行状态,工作开展情况应坚持每日向相关部门汇报情况。
(二)请示汇报制度
应急程序实施期间,应急小组在坚持每日值班汇报的前提下,遇有重大情况和自身不能处理的事项应及时向上级部门汇报。
(三)演练制度
为保证应急行动的能力,应定期组织应急行动演练,日常情况下每年至少组织一次应急行动的综合演练,遇有可预见的应急情况,应在事前组织演练,以提高处理应急事件的能力。
六、应急物资器材保障
应急行动所需的物资器材应给予充分保障,以确保应急预案落到实处,应坚持对应急行动的设备器材进行定期维护保养,保证完好率达到95%以上,所需的物资应坚持定期补充和更换,始终保持有效性,及时检查备用物资的可靠性。
七、日常工作中需为应急行动做好的有关工作
(一)关键网络设备及服务器备件先行服务;
(二)网站安全检测服务;
1、安排工作人员加强主站的监控,发现问题及时报告上级,并采取初步的应急处理措施;
2、通过对操作系统和网络服务安全漏洞的周期检测,实现Web站点主机的安全。
(三)网站安全紧急救援服务;
记录厂商联系人的联系方式,出现问题后能及时得到厂商援助。
(四)网站数据日常备份
节假日期间照常进行数据备份,确保关键数据安全。
(五)网站相关技术文档及时更新;
建立值班日志制度,要求值班人员每日更新日志和相关技术文档。