建工集团责任公司网络信息安全应急预案

1、建工集团有限责任公司网络信息安全应急预案第一章总则第一条本预案根据中华人民共和国计算机信息系统安全保护条例、信息 系统安全等级保护基本要求及建工集团有限责任公司网络信息安全管理规定 等文件编制。第二条本预案适用于集团公司计算机网络及信息安全突发事件的组织指挥、 应急行动、后期处置。第三条网络信息安全应急响应工作原则是：统一领导、各司其职、整体作战、 发挥优势、准确及时、保障安全。第四条实施信息安全事故预警机制。预警信息分为外部预警信息和内部预警 信息两类。外部预警信息指集团公司外突发的可能破坏网络或者最新病毒等可能 产生重大影响的事件警报；内部预警信息指集团公司内通信网络中断或部分计算 机、服

2、务器系统中毒、流量及资源占用异常的事件警报。第五条集团公司信息管理部负责应急预案的制定和执行，并负责协调有关单 位和部门共同开展应急响应工作。第六条安全主管负责安全事件发生时的现场指挥和对安全管理员、网络管理员、系统管理员等专业人员的调度工作。第七条安全管理员负责安全事件的技术分析，并根据事件及现场情况配合网 络管理员和系统管理员开展具体工作。第八条网络管理员负责安全事件发生时的网络设备及网络策略的紧急处置。第九条系统管理员负责安全事件发生时的系统服务器及有关软件的应急处 置。第十条计算机管理员负责对外沟通联系、信息传递及可能的人员疏散等。第二章应急保障措施第十一条应建立完善的数据备份策略，做

3、好备份系统的维护及保养工作。第十二条应加强对员工安全使用计算机的宣传教育工作，全面提高员工的安 全意识。定期或不定期地对专业岗位人员进行技术培训和应急演练， 提高应急保 障的能力，保证应急预案的有效实施。第十三条 应急文档的备存：1、各类网络设备和服务器、磁盘阵列及其附属设备的型号、序列号等；2、硬件设备供应商、生产厂商的电话、联系人、网址；3、操作系统、关键业务应用软件开发商或供应商的电话、联系人；4、网络拓扑图；5、路由器、防火墙、入侵检测设备的配置文档，服务器登陆用户及原始密 码文档；6、各类软件的技术文档及其他需要保存的文档。第十四条 应急设备及软件备存：1、操作系统启动盘、安装盘；2

4、、防病毒软件（注明安装及升级序列号） ；3、数据库管理系统软件， 数据库备份软件及最近完整的数据备份存储介质；4、备用网线、测网仪、螺丝刀等必要工具；5、其它必备的应急工具。第十五条 信息安全工作应坚持预防为主的方针， 做好日常预防工作。 主要包 括：1、定期检查服务器及重要网络设备；2、及时更新服务器的防病毒软件病毒库；3、定期对所有服务器进行漏洞扫描、补丁修复；4、定时备份重要数据；5、特殊时期实行值班制度。第十六条 集团公司信息管理部获得外部预警信息后，对预警信息加以分析， 通知各单位、 各部门做好预防和网络保障应急准备工作； 通过网络监测或普通操 作人员报告获得内部预警信息，分析后按照

5、早发现、早报告、早处置的原则，解 决可能演变为严重应急事件的情况。第三章应急处理第十七条 黑客入侵或软件系统遭破坏性攻击时1、重要的信息系统必须保留两个以上镜像备份，与软件系统相对应的业务 数据必须有多个时间点的备份， 出现黑客入侵或攻击时能够尽快恢复到被破坏前状态；2、当发现网页内容被篡改，或通过入侵监测系统发现有黑客正在进行攻击 时，应立即向安全主管报告。安全管理员、网络管理员应尽快赶到现场，首先将 被攻击（或病毒感染）的服务器等设备从网络中隔离出来，立即记录系统状况， 复制系统登录文件、历史文件、日志文件等重要文件；3、利用完整性检查工具进行检查， 尽快恢复与重建被攻击或被破坏的系统，

6、恢复系统数据，并及时追查非法信息来源，做好记录；4、事态严重的，立即向集团 CIO 报告，必要时向公安机关报告并申请技术 协助；5、编写报告，详述事件过程及处理步骤。第十八条 网络中断1、防火墙、交换机等硬件故障：立刻使用备份端口或备份硬件进行替换， 如没有冗余硬件应立刻与设备供应商联系申请备机；2、通信线路故障：重要信息系统应立刻改用其他通信线路进行NAT映射，同时到域名解析商网址修改配置， 并向线路供应商联系， 在线路供应商承诺的时 间内解决问题。3、网络带宽阻塞： 判断阻塞原因及阻塞包发包点， 再按情况逐个断网排查， 直至网络恢复正常。对已断网计算机进行系统补丁升级、查毒等方式， 找到原

7、因 并恢复正常后方能接入网络。第十九条 断电1、使用备用UPS进行供电；2、与相关部门联系，尽快恢复供电；3、若在UPS供电时间范围内不能恢复供电，要在 UPS能正常供电的时间段 内进行对主要系统及数据进行备份工作， 备份工作完毕后， 对主要设备进行系统 关闭。第二十条 火灾1 、一旦机房发生火灾，应遵循下列原则：首先保证人员安全；其次保证关 键数据、设备安全；三是保证一般设备安全。2、立即发出火灾警报并报告相关部门，情况允许的情况下，立即对所有设 备进行断电操作3、其他人员按照预先确定的路线，迅速从机房中有序撤出。让相关消防人 员协助有秩序、有步骤地抢救数据资料和硬件设备。4、火险情况解除后，尽快检查并恢复应用系统的工作。第四章事后处理第二十一条 事件后期恢复及评估1、把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复 工作应避免出现误操作导致数据的丢失。2、备份硬件设备或配件代替使用后， 应及时将损坏设备进行维修或者更新。3、检查威胁造成的结果， 评估事件带来的影响和损害： 如检查系统、 服务、 数据的完整性、保密性或可用性， 检查攻击者是否侵入了系统， 以后是否能再次 随意进入，损失的程度，确定暴露出的主要危险等。第二十二条 总结报告。 每次应急预案完成后对应