高速公路网络与信息安全专项应急预案

海量资料超值下载高速公路网络与信息安全专项应急预案1总则1.1编制目的为建立健全高速公路网络与信息安全应急工作机制，提高应对网络与信息安全事件的能力，预防和减少网络与信息安全事件造成的损失和危害，确保公司计算机网络安全和信息上报的流转畅通，特制定此应急预案。1.2编制依据根据《中华人民共和国公路法》、《中华人民共和国突发事件应对法》、《中华人民共和国环境保护法》、《公路安全保护条例》、《山西省高速公路管理条例》、《山西省高速公路突发事件应急预案》、《山西省高速公路“保畅通”工程公路管理应急预案》等有关规定，制定本预案。1.3适用范围本预案适用于各类引发公司范围内道路通行情况变化的突发事件的信息应急处置及信息网络安全的突发事件的应急处置。1.4事件分类1.4.1机电系统内病毒范围较大或者有蔓延趋势；1.4.2通信、网络设备受到雷击影响出现故障；1.4.3服务器发现病毒或服务器被非法侵入；1.4.4其他故障（如火灾等）影响了机电系统正常运行的情况。2组织指挥体系及职责2.1组织机构2.1.1公司设立网络与信息安全应急工作领导组，负责指导、协调公司网络与信息安全的应急处置工作。组长：总经理公司分管信息工作领导副组长：其他班子成员（分管信息工作领导为常务副组长）成员：机关各部室、基层各单位主要负责人领导组下设网络与信息安全应急分队，设在公司信息监控中心，主任由信息监控中心主任担任。信息报告联系电话：380376（内线）、380378（内线）1.2各单位成立相应的网络与信息安全应急小分队，明确责任，细化措施，责任到人。2.2职责2.2.1应急领导组职责：负责落实上级应急指挥机构的指示；负责信息网络应急指挥分中心应急预案内容的制定和完善；负责督促考核各项信息监控工作应急措施的落实；负责本单位预案执行情况的定期总结，做出对有关部门、人员相应的奖惩。2.2.2应急分队职责：负责对公司高速公路信息监控应急管理工作的协调及调度；负责信息监控系统突发事件等信息的分类统计和定量分析，做好收集、处理和上报工作；负责向社会提供查询、咨询、紧急救援等服务项目；负责抢修损毁的机电设备设施；负责信息网络应急知识的培训、教育和模拟训练；负责信息网络应急工作的检查、考核等日常管理工作；组织落实领导组对应急工作的各项决定、指示等；完成其它日常工作。3预防预警3.1信息监测与报告3.1.1按照“早发现、早报告、早处置”的原则，信息监控中心要加强对公司所属各单位、各部门有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发事件时，按规定及时向应急领导小组报告，初次报告最迟不得超过1小时，重大和特别重大的网络与信息安全突发公共事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。3.1.2建立网络与信息安全报告制度。发现下列情况时应及时向应急领导小组报告：利用网络从事违法犯罪活动的情况；网络或信息系统通信和资源使用异常，网络和信息系统瘫痪，应用服务中断或数据篡改，丢失等情况；网络恐怖活动的嫌疑情况和预警信息；其他影响网络与信息安全的信息。3.2机电系统预警确定原则网络与信息安全预警处理应遵循“第一时间预警、高效高质处置和事后评估改进”的指导原则。根据可能导致全公司网络系统受损的范围、程度、危害、直接经济损失等方面的内容确定预警级别。3.3机电系统信息确认出现机电系统内病毒范围较大或者有蔓延趋势、通信、网络设备受到雷击影响出现故障、服务器发现病毒或服务器被非法侵入、或者其他故障影响了机电系统正常运行的情况，即启动本预案。3.4机电系统预警级别按照突发事件严重性和紧急程度，分为一般(Ⅳ级)、较重(Ⅲ级)、严重(Ⅱ级)和特别严重(Ⅰ级)四级预警，颜色依次为蓝色、黄色、橙色和红色。3.4.1Ⅰ级启动标准（红色，特别严重）通信系统：通信干线中断96小时以上（含96小时）或通信接入网中断36小时，或3个以上（含3个）站点通信设施遭到破坏并造成通信阻断的情况；监控系统：硬盘录像机故障，预计处置时间24小时以上或全公司内部视频网络中断的情况；收费系统：全公司5个以上（含5个）收费站同一时间发现病毒的，或者因病毒灾害导致收费系统瘫痪的，或者在上述范围内因病毒感染、网络故障或中断导致系统尚未瘫痪但是影响收费业务并造成了社会影响的，站级服务器故障预计处置时间超过24小时或者发现病毒感染的情况；治超联网系统：10个治超点以上同一时间发现病毒，或者一个、多个路段因病毒灾害导致治超系统瘫痪，或者系统尚未瘫痪但是影响治超业务进行造成了社会影响，或者中心服务器发现病毒的情况；视频会议系统：因设备损坏无法与省局连接的情况；机房：火灾造成各系统业务的中断和正常运营秩序的破坏，造成恶劣社会影响、人员伤亡、财产损失的情况。3.4.2Ⅱ级启动标准（橙色，严重）通信系统：通信干线中断12-96小时以上或通信接入网中断12-36小时并造成通信阻断的情况；监控系统：硬盘录像机故障预计处置时间1--8小时或2个以上收费站视频网络中断的情况；收费系统：病毒已经扩散3个收费站，因病毒感染、网络故障或中断引起收费系统瘫痪的，或者尚未瘫痪但系统运行缓慢已经影响到收费业务进行，且在12小时之内无法自行排除故障的情况；治超联网系统：病毒已经扩散3个治超点，引起治超系统瘫痪，或者尚未瘫痪但系统运行缓慢已经影响到治超业务进行，且24小时无法自行排除故障的情况；视频会议系统：无法与主会场接入且24小时内无法解决的情况；机房：火灾或地震等不可抗拒自然灾害引起系统瘫痪，且12小时无法自行排除故障的情况。3.4.3Ⅲ级启动标准（黄色，较重）通信系统：通信接入网中断6—12小时或一个站通信设施遭到破坏并造成通信阻断的情况；监控系统：1个收费站视频网络中断的情况；收费系统：两个收费站发现病毒或者片区中心系统本身发现病毒，或者虽仅有一个收费站发现病毒尚未蔓延，但是已经引起收费系统瘫痪的，在上述范围内因病毒感染、网络故障或中断造成收费缓慢，已经影响到收费业务进行，造成社会影响的，持续24小时仍无法自行排除的情况；治超联网系统：两个治超点发现病毒，或者虽仅有一个治超点发现病毒尚未蔓延，但是已经引起治超系统瘫痪，或者因病毒或网络故障造成治超缓慢，已经影响到治超业务进行，造成社会影响，持续24小时仍无法自行排除的情况；视频会议系统：无法与主会场接入且12小时内无法自行排除的的情况；机房：火灾、雷击或地震等不可抗拒自然灾害造成机电系统运行缓慢已经影响到正常业务进行，且8小时无法自行排除故障的情况。3.4.4Ⅳ级启动标准（蓝色，一般）通信系统：接入网通信中断6小时以内或干线设备故障在6小时之内处理完毕的情况；监控系统：站级设备故障预计处置时间1小时以内的情况；收费系统：一个收费站出现病毒影响收费系统运行，或者一个收费站虽未出现上述情况但出现收费网络运行异常或中断且在24小时内无法自行排除的情况；治超联网系统：一个治超点发现病毒，或者一个治超点出现病毒影响治超系统运行，或者一个治超点虽未出现上述情况但出现治超网络运行异常且在24小时内无法自行排除的情况；视频会议系统：出现会议终端系统的一部分无法正常运行的情况；机房：火灾或雷击造成机电系统局部运行异常的情况。3.5预警的处理与发布3.5.1对于可能发生或已经发生的网络与信息安全突发公共事件，立即采取措施控制事态，并向应急领导小组汇报情况。3.5.2应急领导小组接到报告后，应迅速召开应急领导小组会议，研究确定网络与信息安全突发公共事件的等级，根据具体情况启动相应的应急预案，并向相关部门进行汇报。3.5.3网络与信息安全的风险预警信息监测由信息监控中心主要负责并予以发布。4应急响应与处置4.1分级响应4.1.1当达到Ⅰ级启动标准时，事发单位或信息监控中心要立即启动相应级别应急预案。处置期间，公司党政主要领导要赶赴现场，信息监控中心领导、相关单位领导协调，机电负责人配合4.1.2当达到Ⅱ级启动标准时，事发单位或信息监控中心要立即启动相应级别应急预案。处置期间，公司分管领导要赶赴现场，信息监控中心负责人、相关单位领导协调，机电负责人配合，信息监控中心应急分队要赶赴现场进行处置。4.1.3当达到Ⅲ级启动标准时，事发单位或信息监控中心要立即启动相应级别应急预案。处置期间，信息监控中心主要领导要赶赴现场，信相关单位领导协调，机电负责人配合。信息监控中心应急分队要赶赴现场进行处置。4.1.4当达到Ⅳ级启动标准时，相关站点要及时上报信息监控中心，立即启动相应级别的应急预案。处置期间，事发单位分管领导要赶赴现场，相关站点主要负责人协调信息监控中心应急分队进行处置。4.2处置要求各级机电工程师要密切监视网络信息系统运行情况，掌握系统运行第一手资料，掌握一般的运行故障处置方法，避免盲目启动预案或者延迟启动；各级负责人在接到预警信息报告后要第一时间启动相关预案，不得延误；事件处理完毕后，各级负责人要按照规定上报，不得迟报、漏报、瞒报。信息网络通讯故障时采用电话快报方式向高管局报告。4.3应急处置方法在灾害发生时，首先应区分灾害发生是否为自然灾害与人为破坏两种情况，根据这两种情况把应急处置方法分为两个流程。4.3.1当发生的灾害为自然灾害时，应根据当时的实际情况，在保障人身安全的前提下，首先保障数据的安全，然后设备安全。具体的方法可以有：硬盘的拔出与保存，设备的断电与拆卸、搬迁。4.3.2当人为或病毒破坏的灾害发生时，具体可以按以下顺序进行。判断破坏的来源与性质，断开影响安全与稳定的网络设备，断开与破坏来源的网络物理连接，跟踪并锁定破坏来源的IP或其它网络用户信息，修复被破坏的系统。具体按照灾害发生的性质分别采用如下方案：（1）病毒传播：针对这种现象，要及时断开传播源，判断病毒的性质、采用的端口，然后关闭相应的端口，在公司内部公布病毒攻击信息以及防御方法。（2）入侵：对于网络入侵，首先要判断入侵的来源，定位入侵的IP地址，及时关闭入侵的端口，限制入侵地IP地址的防问，在无法制止的情况下可以采用断开网络连接的方法。（3）数据被篡改：这种情况，要求一经发现马上断开相应的网络链接，并尽快恢复。（4）网络故障：一旦发现，可根据相应工作流程尽快排除。（5）其它没有列出的不确定因素造成的灾害，可根据总的安全原则，结合具体的情况，做出相应的处理。不能处理的可以请示相关的专业人员。4.4处置流程图详见附件。4.5应急响应终止4.5.1应急状态解除后，信息监控中心应及时督促相关单位尽快提交应急事件处置报告，并及时上报至应急指挥中心。处置报告包括事件发生的时间、所属路段、原因、持续时间、影响情况、启动预案等级、主办配合部门、处置简要情况、存在问题及建议等。4.5.2事发单位要填报《运城公司突发事件应急处置审批表》，并撰写突发事件应急处置总结报告归档，同时上报公司应急指挥中心备案。5保障措施5.1数据保障重要信息系统均应建立备份系统和相关工作机制，保证重要数据在受到破坏后，可紧急恢复。5.2应急队伍网络与信息安全突发事件应急队伍信息监控中心相关应急工作人员组成。各单位应不断加强网络与信息安全突发事件应急队伍的建设，以满足公司网络与信息安全工作需要。5.3物资保障信息监控中心、各单位应建立必要的信息监控系统突发事件应急资源的保障机制，并按照信息监控系统突发事件应急工作需要配备必要的应急装备，加强对应急资源及备品备件的管理、维护和保养，以备随时紧急调用。5.4必备资料信息监控中心、各单位网络与信息安全突发事件应急管理机构必须备有详细系统图纸、系统保障应急预案、异常情况处理流程图、备品备件、设备储备清单和相关单位、部门及主管领导联系方式。5.5技术储备与保障在平时应加强技术储备与保障管理工作，建立突发事件应急管理机构与专家的日常联系和信息沟通机制，在决策重大突发事件方案过程中认真听取专家意见和建议。5.6培训与演练5.6.1信息监控中心、各单位应加强对信息监控工作突发事件应急的宣传教育工作，定期或不定期地对有关应急指挥管理机构和人员进行技术培训。5.6.2信息监控中心、各单位应定期或不定期地对有关应急指挥管理机构和人员进