网络应急预案及网络与信息安全应急预案

网络与信息系统应急预案为切实做好网络突发事件的防范和应急处理工作，进一步提高预防和控制网络突发事件的能力和水平，减轻或消除突发事件的危害和影响，确保我局网络与信息安全，根据《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》及《XXXXXXXX突发公共事件总体应急预案》及杭州盛炬网络技术有限公司相关管理规定等，制定《XXXXXXXX突发信息网络事故应急预案》（以下简称预案）。一、指导思想

认真落实“教育在先，预防在前，积极处置”的工作原则，牢固树立安全意识，提高防范和救护能力，以维护正常的工作秩序和营造绿色健康的网络环境为中心，进一步完善网络管理机制，提高突发事件的应急处置能力。

二、组织领导及职责成立计算机信息系统安全保护工作领导小组组

长：xx副组长：xx成

员：xx主要职责：负责召集领导小组会议，部署工作，安排、检查落实计算机网络系统重大事宜。副组

长负责计算机网络系统应急预案的落实情况，处理突发事故，完成局领导交办的各项任务。三、安全保护工作职能部门1.负责人：xx2.信息安全技术人员：xx四、应急措施及要求

1.各处室要加强对本部门人员进行及时、全面地教育和引导，提高安全防范意识。

2.网站配备信息审核员和安全管理人员，严格执行有关计算机网络安全管理制度，规范办公室、计算机机房等上网场所的管理，落实上网电脑专人专用和日志留存。

3.信息所要建立健全重要数据及时备份和灾难性数据恢复机制。

4.采取多层次的有害信息、恶意攻击防范与处理措施。各处室信息员为第一层防线，发现有害信息保留原始数据后及时删除；信息所为第二层防线，负责对所有信息进行监视及信息审核，发现有害信息及时处理。

5.切实做好计算机网络设备的防火、防盗、防雷和防信号非法接入。

6.所有涉密计算机一律不许接入国际互联网，做到专网、专机、专人、专用，做好物理隔离。连接国际互联网的计算机绝对不能存储涉及国家秘密、工作秘密、商业秘密的文件。附：应急处理措施指南（一）当人为、病毒破坏或设备损坏的灾害发生时，具体按以下顺序进行：判断破坏的来源与性质，断开影响安全与稳定的信息网络设备，断开与破坏来源的网络物理连接，跟踪并锁定破坏来源的IP或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照灾害发生的性质分别采用以下方案：

1、网站、网页出现非法言论事件紧急处置措施

(1)网站、网页由信息所值班人员负责随时密切监视信息内容。

(2)发现在网上出现内容被篡改或非法信息时，值班人员应立即向本单位信息安全负责人通报情况；情况紧急的，首先中断服务器网线连接，再按程序报告。

(3)信息安全相关负责人应在接到通知后立即赶到现场，作好必要记录，清理非法信息，妥善保存有关记录及日志或审计记录，强化安全防范措施，并将网站网页重新投入使用。(4)追查非法信息来源，并将有关情况向本单位网络领导小组汇报。(5)信息化领导小组召开会议，如认为事态严重，则立即向市政府信息化办公室和公安部门报警。2、黑客攻击事件紧急处置措施

(1)当发现黑客正在进行攻击时或者已经被攻击时，首先将被攻击的服务器等设备从网络中隔离出来，保护现场，并将有关情况向本单位信息化领导小组汇报。

(2)信息安全相关负责人应在接到通知后立即赶到现场，对现场进行分析，并做好记录，必要时上报主管部门。

(3)恢复与重建被攻击或破坏系统。

(4)信息化领导小组召开会议，如认为事态严重，则立即向市政府信息化办公室和公安部门报警。3、病毒事件紧急处置措施(1)当发现有计算机被感染上病毒后，应立即向信息安全负责人报告，将该机从网络上隔离开来。(2)信息安全相关负责人员在接到通报后立即赶到现场。(3)对该设备的硬盘进行数据备份。(4)启用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。(5)如果现行反病毒软件无法清除该病毒，应立即向本单位信息化领导小组报告，并迅速联系有关产品商研究解决。(6)信息化领导小组开会研究，认为情况严重的，应立即市政府信息化办公室和公安部门报警。

4、软件系统遭破坏性攻击的紧急处置措施(1)重要的软件系统平时必须存有备份，与软件系统相对应的数据必须按本单位容灾备份规定的间隔按时进行备份，并将它们保存于安全处。（2)一旦软件遭到破坏性攻击，应立即向信息安全负责人报告，并将该系统停止运行。(3)检查信息系统的日志等资料，确定攻击来源，并将有关情况向本单位信息化领导小组汇报，再恢复软件系统和数据。(4)信息化领导小组召开会议，如认为事态严重，则立即市政府信息化办公室和公安部门报警。5、数据库安全紧急处置措施(1)对于重要的信息系统，主要数据库系统应按双机设备设置，并至少要准备两个以上数据库备份，平时一个备份放在机房，另一个备份放在另一安全的建筑物中。(2)一旦数据库崩溃，值班人员应立即启动备用系统，并向信息安全负责人报告。(3)在备用系统运行期间；信息安全工作人员应对主机系统进行维修并作数据恢复。(4)如果两套系统均崩溃而无法恢复，应立即向有关厂商请求紧急支援。6、广域网外部线路中断紧急处置措施

(1)广域网线路中断后，值班人员应立即向信息安全负责人报告。

(2)信息安全相关负责人员接到报告后，应迅速判断故障节点，查明故障原因。

(3)如属我方管辖范围，由信息安全工作人员立即予以恢复。

(4)如属电信部门管辖范围，立即与电信维护部门联系，要求修复。

(5)如有必要，向本单位信息化领导小组汇报。7、局域网中断紧急处置措施

(1)设备管理部门平时应准备好网络备用设备，存放在指定的位置。

(2)局域网中断后，信息安全相关负责人员应立即判断故节点，查明故障原因，并向网络安全组组长汇报。

(3)如属线路故障，应重新安装线路。

(4)如属路由器、交换机等网络设备故障，应立即从指定位置将备用设备取出接上，并调试通畅。

(5)如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调测通畅。

(6)如有必要，向本单位信息化领导小组汇报。8、设备安全紧急处置措施

(1)服务器等关键设备损坏后，值班人员应立即（）向信息安全负责人报告。

(2)信息安全相关负责人员立即查明原因。

(3)如果能够自行恢复，应立即用备件替换受损部件。

(4)如属不能自行恢复的，立即与设备提供商联系，请求派维护人员前来维修。(5)如果设备一时不能修复，应向本单位信息化领导小组汇报。（二）当发生的灾害为自然灾害时，应根据当时的实际情况，在保障人身安全的前提下，首先保障数据的安全，然后是设备安全。具体方法包括：硬盘的拔出与保存，设备的断电与拆卸、搬迁等。（三）当发生火灾时，若因用电等原因引起火灾，立即切断电源，拨打119报警，组织人员开启灭火器进行扑救。

（1）对于初起火灾，现场人员应立即实施扑救工作，使用灭火器具实施灭火扑救工作；

（2）火势较大时，应立即拨打119火灾报警电话和根据火灾情况启动有关消防设备，通知有关人员到场灭火；

（3）在保障人员安全的前提下，按上款保护数据及设备。（四）当市电不正常时，采用UPS供电，供电时间视电池容量而定，一般不超过1小时，若超过此时间，关团服务器等网络设备，等市电供应正常后半小时再重新启动服务器。

（五）其它

做好机房及户外网络设备的防盗窃、防雷击、防鼠害等工作。若发生事故，应立即组织人员自救，并报警。

其它没有列出的不确定因素造成的灾害，可根据总的安全原则，结合具体的情况，做出相应的处理。不能处理的可以请示相关的专业人员。网络与信息安全应急预案一、工作原则（一）预防为主、综合防范。立足安全防护，加强预警，重点保护基础信息网络和重要信息系统，抓好预防、监控、应急处理、应急保障等环节，构筑网络与信息安全保障体系。（二）明确责任、分级负责。按照“谁主管谁保障，谁保障谁处置，谁处置谁报告”的原则，建立和完善组织机构，明确职责分工，有效履行保障和应对网络与信息系统突发事件的职责。（三）迅速处置，事后整改。按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处置，最大程度地减少危害和影响。事后要剖析原因，总结教训，形成长效机制，实现网络与信息安全突发事件应急处置工作的科学化、程序化与规范化。二、组织机构和工作职责信息安全领导小组（以下简称领导小组）是我局网络与信息安全应急处置的组织协调机构，负责领导、协调应急处置工作。其工作职责是：确认是否达到应急情况标准；视情况严重程度，协调相关部门开展技术保障、办税服务厅涉税业务应急处理、发布税收征管信息、涉税舆情监控与处理等事项。三、事件分级根据信息安全事件造成后果的严重程度，税务系统信息安全事件可划分为5个等级，其中1级危害程度最高，5级危害程度最低，各级网络与信息安全事件的描述如下：1级网络与信息安全事件：灾难性安全事件。造成税务信息系统的业务瘫痪、对税务系统的利益或社会公共利益有灾难性的影响或危害。2级网络与信息安全事件：特别重大安全事件。造成税务信息系统的业务停顿、对税务系统利益或社会公共利益有极其严重的影响或危害。3级网络与信息安全事件：重大安全事件。造成税务信息系统的业务中断、影响系统效率、对税务系统利益或社会公共利益有较为严重的影响或危害。4级网络与信息安全事件：较大安全事件。造成税务信息系统的业务短暂停顿但可立即修复、对税务系统利益或社会公共利益有一定的影响或危害。5级网络与信息安全事件：一般安全事件。造成税务信息系统的效率受到轻微影响、对税务系统利益或社会公共利益基本不影响或危害极小。3级和3级以上的网络与信息安全事件统称为重大网络与信息安全事件。四、应急预案的启动（一）事件发现、初判和上报对于初判为4级和4级以上网络与信息安全事件，在事件发生后应及时上报市局信息安全领导小组，并填写《网络与信息安全事件报告表》。重大网络信息安全突发事件必须实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。（二）启动应急预案当发生网络安全与信息系统事件时，应立即启动应急预案，根据具体情况进行相应的应急处置。若影响到业务正常开展，由信息安全领导小组协调相关部门进行联合处理。五、应急处置（一）局域网中断的应急处置1.局域网中断后，应立即判断故障节点，查明故障原因，并向领导小组汇报。2.如属线路故障，对线路进行抢修和恢复。3.如属交换机等网络设备故障，应立即从指定位置提取备用设备替换安装，并调试通畅。4.如属配置文件被破坏，应重新拷入已备份的配置文件或按照要求迅速重新配置，必要时联系设备供应商。（二）广域网中断的应急处置1.广域网中断后，值班人员应迅速判断故障节点，查明故障原因，同时向领导小组汇报。如故障范围限于单位内部范围，技术人员应立即予以恢复；如有困难，请上级部门支持和技术公司帮助。2.如属路由器等网络设备故障，应立即从指定位置提取备用设备替换安装，并调试通畅。3.如发生光路设备和线路故障，应立即与运营商维护部门联系，尽快进行抢修恢复，必要时联系相关单位联合处理。4.如发生办税延伸点线路故障，必要时应联系物业所属单位联合处理。（三）病毒入侵的应急处置1.发现服务器操作系统有重大漏洞或感染病毒，应立即追加补丁，启用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。2.对该设备的硬盘进行数据备份。3.如果现行反病毒软件无法清除该病毒，应立即向领导小组汇报，并迅速联系有关产品厂商研究解决。（四）黑客攻击的应急处置1.当发现网络被非法入侵、网页内容被篡改、应用服务器上的数据被非法拷贝、修改、删除，或通过入侵检测系统发现有黑客正在进行攻击时，使用者或管理者应立刻断开网络，并立即向领导小组汇报。2.采取关闭网络、封锁或删除被攻破的登陆帐号等方式，阻断可疑用户进入网络的通道。3.及时清理系统，恢复数据和程序，将系统和网络恢复正常。4.经应急处置后，事态难以控制或有扩大发展趋势时，应实施扩大应急行动。应急处置和紧急支援的单位，要及时增加应急处置力量，加强工作协调，努力控制事态的扩大和发展。5.追查非法攻击和病毒来源。妥善保存有关记录及日志和审计记录，对现场进行分析，并写出分析报告存档，向领导小组汇报。事态严重的，要向公安部门报警。（五）省局集中信息系统的应急处置1.检查省局到市局、市局到区县局广域网络是否故障，如果故障，按照广域网中断的应急处置办法处理。2.如果确定是信息系统故障，先查看省局运维系统有无关于该系统故障的最新通知公告，如果没有，则将故障发生时间、故障现象等上报省局信息中心，并及时通知相关业务部门。（六）市局集中信息系统的应急处置本应急处置办法主要针对我局集中的面向纳税人的重要信息系统，包括：一户通扣款、社会化办税平台、网上认证、网上抄税等系统。1.遇到系统断电或服务不能响应时，应首先确认前置机、应用服务器、数据库服务器是否正常。如果异常，重启虚拟机，重启后故障还存在，则启动备份虚拟机。对于一户通系统，应启用备份前置机，并联系清算中心确定清算中心系统是否正常。2.检查中间件运行状态，如果有故障，重启中间件服务。3.检查数据库状态，如果有故障，重启数据库服务，如果重启后故障还存在，则重建数据库系统，利用最新备份数据作数据恢复，并应测试前台业务是否正常。4.检查网络线路是否正常，包括广域网络、电信和网通外网接入线路。对于一户通系统，应检查一户通前置机至清算中心的网络线路是否正常。对于社会化办税平台，应检查部署在省局的网络发票服务器的网络发票号获取是否正常。5.网络问题排除后故障仍然存在的，应立即联系技术公司技术人员提供现场技术支持。（七）主机故障的应急处置1.定期做好重要信息系统虚拟机克隆备份，在发生故障后，如确定是虚拟机本身问题，比如操作系统无法启动、系统蓝屏等，应立即启动备份虚拟机。2.如果服务器主机发生故障时虚拟机能正常访问，应将虚拟机迁移到其它主机（注意监控主机资源使用情况，在资源紧张的情况下，暂时关闭非重要虚拟机，保证重要信息系统正常运行）。如果服务器主机发生故障时虚拟机不能正常访问，应在其它主机上找到存储分区中该虚拟机对应的后台文件后加载启动。3.在主存储发生故障后，应立即断开数据同步服务，启用备用存储，及时联系硬件厂商获得技术服务，协同配合直至问题解决。4.服务器故障后，应立即根据服务器故障指示灯进行初步判断。在服务器硬件正常的情况下，尽快做好系统软件的恢复，或重新安装之后再进行应用软件和数据恢复。故障排除后，应按照操作规程开启系统，并应测试前台业务是否正常。5.如硬件故障无法解决，应立即联系相关厂商和技术支持，请求援助分析故障原因，若经设备厂商或技术支持认定是硬件损坏，则根据维保合同进行保修或维修。（八）机房断电的应急处置1.必须断电处理的情况，向各部门通告。2.查询断电时间、何时恢复等，关掉非关键设备，确保关键设备供电。3.监控UPS供电情况，随时注意检查尚在运行的计算机设备和机房室温。4.做好关机准备，预留相应的关机时间，到时供电没有恢复，按正常流程全部关闭计算机等设备。5.最后关闭UPS电源，关闭各空开，和电力相关单位沟通，合作尽快修复。（九）机房断电后恢复供电的处置1.恢复机房内空调。2.检查空调机启动运行情况。3.确认供电是否稳定、正常等。4.开启UPS恢复供电前，首先确认各设备的电源处于下电状态，以防止加电对设备的冲击。5.供电正常后，打开电力柜的总控开。根据设备加电顺序，启动分项控开。6.启动计算机、数据库及各项应用程序。7.在一段时间内，注意检查UPS指示、空调机运行、机房温度等与断电有关的设备运行情况，做出记录。（十）机房漏水的应急处置1.发现机房漏水后的第一目击者应立即向领导小组报告。2.若空调系统出现渗漏水应立即停止运行故障空调，将机房内的积水清除干净并及时联系设备供应方进行处理，必要情况下可以临时用电扇对服务器进行降温。3.若为墙体或窗户渗漏水应立即通知服务中心及时清除积水进行墙体或窗户维修，避免不必要的损失。（十一）机房发生火灾的应急处置1.火情发生时，立即组织机房内工作人员撤离机房区域，并关闭机房区域的所有房门。2.同时通过119电话报警，尽快确定火情的真伪和具体位置。3.立即通知局消防中控值班室。4.与消防中控人员共同对火情进行再次确认。5.由消防中控人员决定是否启动灭火系统。6.配合相关部门做好其他善后工作。7.总结事故原因及经验教训，杜绝隐患。（十二）设备发生被盗或人为损害的应急处置1.发生设备被盗或有人为损害设备情况时，使用者或管理者应立即报告领导小组，同时保护好现场。2.领导小组接报后通知安全保卫部门及公安部门一同核实审定现场情况，清点被盗物资或盘查人为