信息系统安全应急预案

信息系统安全应急预案为全面加强信息系统安全管理，应对信息安全突发事件的发生，提高对安全事件的应急处置能力，保证网络与信息安全指挥协调工作迅速、高效、有序地进行，满足突发情况下信息系统安全稳定、持续运行，根据国家和省有关规定，制定本预案。一、 组织机构信息系统安全应急工作，由信息安全工作领导小组统一领导。负责信息安全日常事务处理、应急处理及安全通报等事务。二、 工作原则（一） 明确责任、分级负责：按照“谁主管谁负责，谁运行谁负责”的要求，逐级建立并落实统计信息系统责任制和应急机制。（二） 加强领导、分工合作：各单位应按照规定的职责和流程，实施统计信息系统的应急处理工作。（三） 积极预防、及时预警：各单位应及早发现安全事件，及时进行预警和信息通报；积极做好应急处理准备，提高对安全事件的预防和应急处理能力。（四） 协作配合、确保恢复：各单位要协同配合，确保在最短的时间内完成系统的恢复。三、 应急措施（一）电力系统故障的应急处理流程1.任何单位和人员发现本单位电力系统浮现异常情况时，都应及时向办公室报告。办公室是电力系统故障应急处理的第一责任单位。办公室应尽快查清故障原因，提出解决办法，确定故障排除可能需要的时间，报信息安全工作领导小组。网络运行负责人应根据停电时间和UPS电池的供电能力，在保证重点网络关键设备用电的前提下，提出机房设备部份关机或者全部关机方案，报信息安全工作领导小组。经认可后，安排相关人员按照规定的流程操作实施。4.电力系统恢复供电后，办公室应在第一时间通知网络中心，以便以最快的速度恢复关闭的网络应用。计算中心网络和系统管理人员在接到通知后，按照规定的流程开启关闭相关设备。（二）消防系统应急处理流程1.当浮现火情、火灾时，发现人员应在最短期内报告办公室。若火情严重时，应迅速拨打119电话报警，并尽可能采取一些简单可行的方法作初步处理，如：使用周围的灭火器、水源（在允许用水灭火的场合）或者采用其他灭火措施、手段。发展情况随时向有关领导报告。计算中心机房浮现火情并且无法进行局部处理时，机房管理人员在紧急报告有关领导的同时，应即将疏散物理场地楼层以内的工作人员。并迅速拨打119电话报警。（三） 网络信息系统故障的应急处理流程1.网络设备、网络应用系统故障应由发现人通知计算中心，计算中心即将检查故障，进行初步故障定位。如果网络、应用系统浮现比较严重的问题，对网络业务的正常运行造成较大的影响，需即将向有关领导报告。对简单故障，运维人员应迅速排除故障，解决问题并记录。如果需要更换设备，应上报有关领导经批准后即将更换故障设备，尽快恢复网络、应用系统运行。运维部门判断无法及时修理时，应即将通知相关的系统运行服务提供商，在最短的时间内安排修理或者更换系统。如发现属外部路线的问题，应与路线服务提供商联系，敦促对方尽快恢复故障路线。启用备份路线、设备、系统（如果存在的话），迅速恢复相关的应用。（四） 网站检测与自动恢复系统应急处理流程发现网站不能正常打开或者网站内容被恶意篡改时，任何人员都有义务向网络中心报告。由网络应急小组组织应急响应，联合相关部门进行故障排查。先由运维小组查看网络连接情况，若不是网络故障，则排查软、硬件故障。待故障处理完成并经过测试后，恢复系统的正常运行和内容的正常应用。（五）黑客入侵的应急处理1.发现网络上有黑客攻击行为，任何人员都有义务向网络中心报告。计算中心即将启动应急响应，切断受攻击计算机与网络的连接，住手一切操作、保护现场，并上报有关领导。2.对于黑客攻击，由网络中心组织应急响应小组查找入侵踪迹，分析入侵方式和原因。由安全管理员根据对入侵事件的分析，组织相关人员对内部网计算机整改，防止黑客用同样的手段再次入侵其他系统。安全管理员检查确定无安全隐患后，才可将受攻击计算机重新连接网络，或者启用备份计算机来恢复应用。3.安全管理员应做好记录，保护现场，进行日志采集等工作。如果能追查到攻击者的相关信息，可以对其发出警告，必要时可以采取进一步的行动，乃至采取法律手段。根据破坏程度，经有关领导同意后，上报公安部门。若系统已被黑客破坏，无法恢复，应将受黑客攻击的计算机上的重要数据备份到其他存储介质，确保计算机内重要的数据不丢失。如果数据无法恢复，经有关领导允许后，可与国家指定的部门联系，由他们来协助恢复，为保证数据信息安全，需在安全管理部门作记录。（六）大规模病毒（含恶意软件）攻击的应急处理1.发现网络上有大规模病毒攻击的行为，任何人员都有义务向网络中心报告。由网络中心组织应急响应，切断受攻击计算机与网络的连接，住手一切操作、保护现场，即将上报有关领导。2.若是已知病毒，使用最新版本杀毒软件对染毒计算机进行全面杀毒，并对染毒计算机系统进行漏洞修补。安全管理员确定没有病毒和安全漏洞后，再连接网络恢复使用。若是未知病毒，观察网管软件根据监视窗口的链路状态，由此判断感染病毒或者恶意程序的客户端、服务器所科的楼层交换机。打开该交换机的端口流量分析窗口，根据流量判断感染病毒或者恶意程序的客户端所在的交换机端口。关闭该交换机端口，隔离该工作站、月艮务器，阻断与局域网的连接。根据端口状态功能，查看该感染病毒或者恶意程序的工作站的IP地址。根据IP地址信息找到该工作站的具体位置，对该工作站进行病毒或者恶意程序清除工作。根据对于未知病毒，应首先尝试手工杀毒处理，若系统已被病毒破坏，无法恢复，应将感染病毒的计算机上的硬盘加挂到其他机器上处理，将重要数据备份到其他存储介质，尽最大努力保护