网络安全与信息化应急预案

甘肃省马路发展集团有限公司信息化与网络平安应急预案第一章总则一、编制目的为提高公司处置信息化与网络平安（以下简称信息平安系统）突发事务的实力，形成科学、有效、反应快速的应急工作机制，确保重要计算机信息系统的实体平安、运行平安和数据平安，最大程度地预防和削减信息平安系统突发事务及其造成的损害，保障信息资产平安，特制定本预案。二、编制依据依据《中华人民共和国计算机信息系统平安爱护条例》、公安部《计算机病毒防治管理方法》，制定本预案。三、分类分级本预案所称信息平安系统突发事务，是指公司信息平安系统突然遭遇不行预知外力的破坏、毁损、故障，发生对国家、社会、公众造成或者可能造成重大危害，危及公共平安的紧急事务。1.事务分类依据信息平安系统突发事务的性质、机理和发生过程，主要分为以下三类：（1）自然灾难。指地震、台风、雷电、火灾、洪水等引起的网络与信息平安系统的损坏。（2）事故灾难。指电力中断、网络损坏或是软件、硬件设备故障等引起的网络与信息平安系统的损坏。（3）人为破坏。指人为破坏网络线路、通信设施，黑客攻击、病毒攻击、恐怖攻击等引起的网络与信息平安系统的损坏。2.事务分级依据信息平安系统突发事务的可控性、严峻程度和影响范围，一般分为四级：Ⅰ级（特殊重大）、Ⅱ级（重大）、Ⅲ级（较大）和Ⅳ级（一般）。（1）Ⅰ级（特殊重大）、Ⅱ级（重大）。重要信息平安系统发生全局大规模瘫痪，事态发展超出公司的限制实力，须要由上级信息化平安主管部门协调解决，对国家平安、社会秩序、经济建设和公共利益造成特殊严峻损害的信息平安系统突发事务。（2）Ⅲ级（较大）。某一部分的重要信息平安系统瘫痪，对国家平安、社会秩序、经济建设和公共利益造成肯定损害，但在公司限制之内的信息平安系统突发事务。（3）Ⅳ级（一般）。重要信息平安系统运用效率上受到肯定程度的损坏，对公民、法人和其他组织的权益有肯定影响，但不危害国家平安、社会秩序、经济建设和公共利益的信息平安系统突发事务。四、适用范围本预案是甘肃马路发展集团有限公司信息平安系统的专项预案，适用于公司发生或可能导致发生信息平安系统突发事务的应急处置工作。五、工作原则1.居安思危，预防为主。立足平安防护，加强预警，重点爱护基础信息网络和关系国家平安、经济命脉、社会稳定的重要信息系统，从预防、监控、应急处理、应急保障和打击犯罪等环节，实行多种措施，充分发挥各方面的作用，共同构筑信息平安系统保障体系。2.明确责任、分级负责。依据“谁主管谁负责”的原则，分级分类建立和完善平安责任制度、协调管理机制和联动工作机制。3.提高素养，快速反应。加强信息化与网络平安科学探讨和技术开发，采纳先进的监测、预料、预警、预防和应急处置技术及设施，充分发挥专业人员的作用，在信息平安系统突发事务发生时，依据快速反应机制，刚好获得充分而精确的信息，跟踪研判，坚决决策，快速处置，最大程度地削减危害和影响。4.以人为本，削减损害。把保障公共利益作为首要任务，刚好实行措施，最大限度地避开公共财产、信息资产遭遇损失。5.定期演练，常备不懈。加强技术储备，规范应急处置措施与操作流程，定期进行预案演练，确保应急预案切实有效，实现信息平安系统突发事务应急处置的科学化、程序化与规范化。6.宣扬教化和培训。加强有关信息平安系统突发事务应急处置的法律法规和政策的宣扬，普及应急救援的基本学问，提高公司信息平安防范意识和应急处置实力。加强对信息平安系统突发事务的技术打算培训，提高工作人员的防范意识及技能。其次章组织指挥机构与职责一、组织体系成立甘肃省马路发展集团有限公司信息化与网络平安领导小组，负责领导、组织和协调公司信息化系统突发事务的应急保障工作，组长由总经理担当，副组长由分管信息化的分管领导担当，成员包括：办公室主任、副主任、平安管理部长、副部长、财务管理部部长、信息管理中心工作人员等组成。应急小组日常工作由办公室担当，其他各相关部门主动协作。二、工作职责1.制订专项应急预案，定期组织演练，监督检查各部门在本预案中履行状况。对发生事务启动应急救援预案进行决策，全面指挥应急救援工作。2.发生Ⅰ级、Ⅱ级、Ⅲ级信息平安系统突发事务后，确定启动本预案，组织应急处置工作。如信息平安系统突发事务属于Ⅰ级、Ⅱ级的，向上级信息化平安主管部门通报并协调有关部门协作处理。3.探讨提出信息平安系统应急机制建设规划，检查、指导和督促信息平安系统应急机制建设。指导督促重要信息平安系统应急预案的修订和完善，检查落实预案执行状况。4.指导应对信息平安系统突发事务的科学探讨、预案演习、宣扬培训，督促应急保障体系建设。5.收集信息平安系统突发事务相关信息，分析重要信息并提出处置建议。对可能演化为Ⅰ级、Ⅱ级、Ⅲ级的信息平安系统突发事务，应刚好向公司提出处置建议。6.负责供应技术询问、技术支持，进行重要信息的研判、信息平安系统突发事务的调查和总结评估。第三章监测、预防、预警和先期处置一、信息监测与报告1.要进一步完善各重要信息平安系统突发事务监测、预料、预警制度。依据“早发觉、早报告、早处置”的原则，加强对各类信息平安系统突发事务和可能引发信息平安系统突发事务的有关信息的收集、分析推断和持续监测。当发生信息平安系统突发事务时，在按规定向有关部门报告的同时，按紧急信息报送的规定刚好向集团信息化与网络平安领导小组汇报。初次报告最迟不得超过4小时，较大、重大和特殊重大的信息平安系统突发事务实行态势进程报告和日报制度。报告内容主要包括信息来源、影响范围、事务性质、事务发展趋势和实行的措施等。若发觉下列状况应刚好向集团信息化与网络平安领导小组报告。2.报告内容：（1）网络或信息系统通信和资源运用异样；（2）网络或信息系统瘫痪，应用服务中断或数据篡改、丢失；（3）网络恐怖活动的嫌疑和预警信息；（4）其他影响网络与信息平安的信息。3.信息平安定期汇报。定期自查公司信息平安系统工作状况，其中包括：（1）恶意人士利用网络从事违法犯罪活动的状况。（2）网络或信息系统通信和资源运用异样，网络和信息系统瘫痪、应用服务中断或数据篡改、丢失等状况。（3）网络恐怖活动的嫌疑状况和预警信息。（4）网络平安状况、平安形势分析预料等信息。（5）其他影响网络与信息平安的信息。4.实行信息平安风险评估。通过相关设备实时监控网络工作与信息平安状况。各基础信息网络和重要信息平安系统建设要充分考虑抗毁性和灾难复原，制定并不断完善信息平安应急处理预案。针对信息网络的突发性、大规模平安事务，建立制度优化、程序化的处理流程。5．做好服务器及数据中心的数据备份及登记工作，建立灾难性数据复原机制。一旦发生网络与信息平安事务，马上启动应急预案，实行应急处置措施，判定事务危害程度，并马上将状况向有关领导报告。在处置过程中，应刚好报告处置工作进展状况，直至处置工作结束。二、预警处理与预警发布1.对于可能发生或已经发生的信息平安系统突发事务，系统管理员应马上实行措施限制事态，并在2小时内进行风险评估，判定事务等级并发布预警。必要时应启动相应的预案，同时向集团信息化与网络平安领导小组汇报。2.信息化与网络平安领导小组接到汇报后应马上组织处置，查明事务状态及缘由，技术人员应刚好对信息进行技术分析、研判，依据问题的性质、危害程度，提出平安警报级别。三、先期处置1.当发生信息平安系统突发事务时，刚好请技术人员做好先期应急处置工作并马上实行措施限制事态，必要时采纳断网、关闭服务器等方式防止事态进一步扩大，同时向上级信息化平安主管部门汇报。2．集团信息化与网络平安领导小组在接到信息平安系统突发事务发生或可能发生的信息后，应加强与有关方面的联系，驾驭最新发展态势。对有可能演化为Ⅲ级信息平安系统突发事务，技术人员提出应急处置方案。信息化与网络平安领导小组依据信息平安系统突发事务发展态势，视状况确定现场指导、组织设备厂商或者系统开发商应急支援力气，做好应急处置工作。对有可能演化为Ⅱ级或Ⅰ级的信息平安系统突发事务，要依据有关部门的要求，向省厅、局信息化平安主管部门汇报，主动做好应急处置工作。第四章平安事务分类一、物理层平安1.系统环境平安2.物理设备的平安二、网络平安1.网络体系结构的平安2.网络通信协议的平安3.网络操作系统的平安三、系统平安风险1.操作系统平安2.数据库平安3.应用系统的平安4.病毒危害5.黑客入侵四、应用平安风险1.身份认证与授权限制的平安2.信息传输的机密性和不行抵赖性3.管理层平安第五章应急处置流程一、预案启动在发生信息平安系统突发事务后，工作人员应快速收集事务相关信息，鉴别事务性质，确定事务来源，弄清事务范围和评估事务带来的影响和损害，一旦确认为信息平安系统事务后，马上将事务上报公司信息化与网络平安领导小组并着手处置。二、应急指挥1.本预案启动后，信息化与网络平安领导小组建立与现场通讯联系，驾驭现场处置工作状态，分析事务发展趋势，探讨提出处置方案，调集和配置应急处置所须要的人、财、物等资源，统一指挥信息平安系统应急处置工作。2.须要成立现场指挥部的，马上在现场开设指挥部，并供应现场指挥运作的相关保障。现场指挥部要依据事务性质快速组建各类应急工作组，开展应急处置工作。三、应急处理现场信息收集、分析和上报。技术人员应对事务进行动态监测、评估，刚好将事务的性质、危害程度和损失状况及处置工作等状况刚好报领导小组，不得隐瞒、缓报、谎报。符合紧急信息报送规定的，属于Ⅰ级、Ⅱ级信息平安事务的，同时向上级信息化平安主管部门汇报。针对公司部分信息平安系统应急处置措施如下：1.机房强电源系统断电（1）查明故障缘由。（2）检查UPS是否正常供电。（3）汇报相关领导，确认强电复原时间，评估UPS供电实力。（4）通知相关部门进行电源修理。做好事务记录。（5）必要时请示信息化与网络平安领导小组，主动关闭服务器、交换机、存储等设备，以免设备损坏或数据损失。2.局域网中断紧急处理措施（1）工作人员马上推断故障节点，查明故障缘由，刚好汇报。（2）若是线路故障，重新安装线路。（3）若是路由器、交换机等设备故障，应马上从指定位置将备用设备取出接上，并调试畅通。（4）若是路由器、交换机等配置文件损坏，应快速依据要求重新配置，并调试畅通。（5）汇报相关领导，做好事务记录。3.广域网线路中断（1）工作人员应马上推断故障节点，查明故障缘由。（2）如是我方管辖的范围，由信息平安负责人员马上修理复原。（3）如是电信部门管辖的范围，应马上与电信维护部门联系修复。（4）做好事务记录。4.核心交换机故障（1）检查、备份核心交换机日志。（2）启用备用核心交换机，检查接管状况。（3）备份核心交换机配置信息。（4）将服务器接入备用核心交换机，检查服务器运行状况，将楼层交换机、接入交换机接入备用核心交换机，检查各交换机运行状况。（5）汇报有关领导，做好事务记录。（6）联系修理核心交换机。5.光缆线路故障（1）马上联系光纤熔接人员携带尾纤等协助材料，刚好熔接连通。（2）检查并做好备用光缆或备用芯的跳线工作，随时切换到备用网络。（3）做好事务记录，刚好上报。6.计算机病毒爆发（1）关闭计算机病毒爆发网段上联端口。（2）隔离病毒计算机。（3）关闭病毒计算机上联端口。（4）依据病毒特征运用专用工具进行查杀。（5）系统损坏计算机在备份其数据后，进行重装。（6）通过专用工具对网络进行清查。（7）做好事务记录，刚好上报。7.服务器设备故障（1）主要服务器应做多个数据备份。（2）如能自行复原，则马上用备件替换受损部件，如：电源损坏更换备用电源，硬盘损坏更换备用硬盘，网卡、主板损坏启用备用服务器。（3）若数据库崩溃应马上启用备用系统。并检查备用服务器启用状况。（4）对主机系统进行修理并做数据复原。（5）如不能复原，马上联系设备供应商，要求派维护人员前来修理。（6）汇报有关领导，做好事务记录。8.黑客攻击事务（1）若通过入侵监测系统发觉有黑客进行攻击，马上通知相关人员处理。（2）将被攻击的服务器等设备从网络中隔离出来。（3）刚好复原重建被攻击或被破坏的系统（4）记录事务，刚好上报，若事态严峻，应刚好向上级信息化平安主管部门和公安部门报警。9.数据库平安事务（1）平常应对数据库系统做多个备份。（2）发生数据库数据丢失、受损、篡改、泄露等平安事务时，信息平安人员应查明缘由，依据状况实行相应措施，如更改数据库密码、修复错误受损数据等。（3）假如数据库崩溃，信息平安人员应马上启用备用系统，并向信息平安负责人报告；在备用系统运行期间，信息平安人员应对主机系统进行修理并作数据复原。（4）做好事务记录，刚好上报。10.人员疏散与机房灭火预案（1）当班人员发觉机房内有起火、冒烟现象或闻到烧焦气味时，应马上查明缘由和地点，刚好上报并针对不同状况，实行关闭电源总开关、隔离火源旁边易燃物、用消防栓、灭火器等器材灭火等措施，组织本单位、部门在场的人员有序地投入扑救工作，将火扑灭或限制火势扩散。（2）当火势已无法限制时，一是指定专人马上拨打“119”火警电话报警和向上级信息化平安主管部门汇报，并打破报警器示警。二是组织四周人员快速撤离。（3）在保障人员平安的状况下，马上组织人员疏散和转移重要物品，特殊是易燃、易爆物品和重要的机器、数据要刚好转移到平安地点，并派人员守护，确保平安。（4）火情结束之后，组织相关人员刚好进行网络系统复原，刚好向上级信息化平安主管部门和领导小组汇报，并做好现场爱护工作和防止起火点复燃。11.发生自然灾难后的紧急措施（1）遇到重大雷暴天气，可能对机房设备造成损害时，应关闭全部服务器，切断电源，暂停内部计算机网络工作。雷暴天气结束后，刚好开通服务器，复原内部计算机网络工作。（2）确认灾难不会造成人身损害后，尽快将网络复原正常，若有设备、数据损坏，刚好运用备份设备或备用数据。（3）刚好核实、报损，并将具体状况向相关部门领导汇报。12．关键人员不在岗的紧急处置措施（1）对于关键岗位平常应做好人员储备，确保一项工作有两人能够操作。对于关键账户和密码进行密封保存。（2）一旦发生系统平安事务，关键人员不在岗且联系不上或一小时内不能到达机房的状况，首先应向领导小组汇报状况。（3）经领导小组批准后，启用备份管理员密码，由备用人员上岗操作。（4）假如备用人员无法上岗，恳求软件公司技术支援。（5）关键人员到岗后，依据相关规定进行密码设定和封存。（6）做好事务记录。13.视频会议系统应急处置措施（1）在各类会议进行中，当会议系统突然中断时，信息化与网络平安领导小组应维护会场秩序，保证会场纪律；工作人员应马上启用备用系统，查明故障缘由，快迅复原故障设备，保证会议接着进行。（2）当视频会议系统突然连接中断时，工作人员应刚好判定出是终端设备故障还是传输通道故障。（3）在会议期间本端发生视频信号正常而无音频信号时，工作人员应马上检查调音台工作状况，音频是否关为静音。是否音频信号未接收、发出。发觉本地故障设备应快速断开跳过，保证会议正常进行。（4）当全部的分会场无主会场图像时，应检查主会场视频源是否选择正确，摄像机是否工作，视频输入线是否接好；判定本端设备有无故障。（5）遇到不能解决的问题时，应向信息化与网络平安领导小组报告，并刚好与维护单位联系，取得技术支持，尽快解除故障。（6）当本地声音不能传到对方时，应检查话筒，音频输入连接线，附属音频设备是否出现故障。四、应急支援本预案启动后，信息化与网络平安领导小组可依据事态的发展和处置工作须要，刚好向上级信息化平安主管部门申请增派专家小组和应急支援单位，调动必需的物资、设备，支援应急工作。参与现场处置工作的有关人员要在现场指挥部统一指挥下，帮助开展处置行动。五、后续处理平安事务进行应急处置以后，应刚好实行行动，抑制其影响的进一步扩大，限制潜在的损失与破坏，同时要确保应急处置措施对涉及的相关业务影响最小。平安事务被抑制之后，通过对有关事务或行为的分析结果，找出其根源，明确相应的补救措施并彻底清除。在确保平安事务解决后，要刚好清理系统、复原数据、程序、服务，复原工作应避开出现误操作导致数据丢失。六、应急结束网络与信息平安事务发生时，应刚好向信息化与网络平安领导小组汇报，并在事务处置工作中作好完整的过