网络安全应急预案.docx
《网络安全应急预案.docx》由会员分享,可在线阅读,更多相关《网络安全应急预案.docx(12页珍藏版)》请在冰点文库上搜索。
连云港市善后河枢纽船闸管理所网络信息安全应急预案
第一章总则
1、编制目的
为了有效保障闸所网络信息的安全性与可靠性,预防和遏制网络突发事件,提高应急工作水平,避免和降低网络安全事件造成的危害和影响,制定本预案。
2、编制依据
根据《中华人民共和国国家安全法》、《中华人民共和国计算机信息系统安全保护条例》、《国家通信保障应急预案》等法律、法规,结合善后河枢纽船闸管理所网络信息实际。
3、工作原则
统一领导,归口管理。
闸所网络信息安全应急处理工作在所长的协调指导下,由船闸所有关科室和互联网运营企业齐抓共管、各负其责,共同提高船闸所网络信息安全应急处理水平。
明确责任,依法规范。
要从船闸所信息网络安全保障的高度出发,明确科室的责任,严格依照国家法律和相关规定进行应急处理工作。
防范为主,加强监控。
要广泛宣传网络信息安全基本知识,切实落实安全防范措施,强化对网络信息系统的监控,减少安全事件可能带来的不良影响。
整合资源,协调处理。
要充分发挥专业信息安全机构的作用,加强协调与沟通,整合社会资源,提高善后河枢纽船闸管理所网络信息系统的应急处理能力。
4、适用范围。
本预案所称的网络安全重大事件是指由于自然灾害、人为攻击或破坏以及病毒爆发等原因所引发,严重影响到善后河枢纽船闸管理所网络信息系统的正常运行,造成业务中断、系统瘫痪、数据破坏或信息失窃等,从而在损害善后河枢纽船闸管理所形象、社会稳定或公众利益等方面造成严重影响以及造成一定程度直接和间接重大经济损失的事件。
第二章网络信息系统突发事件的类别、级别
1、突发事件类别
根据事件发生原因、性质和机理,善后河枢纽船闸管理所网络信息系统安全事件主要分为三类:
(1)攻击类事件:
指网络系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。
(2)故障类事件:
指网络系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。
(3)灾害类事件:
指因爆炸、火灾、雷击、地震、暴风等外力因素导致网络系统损毁,造成业务中断、系统宕机、网络瘫痪等情况。
2、突发事件级别
按照信息产业部《互联网网络安全应急预案》的规定,根据危害和紧急程度,互联网网络安全事件分为四个等级。
(1)四级(蓝色)
下列情况之一为“四级”级别安全事件:
①发生未达到三级的一般安全事件;
②出现新的漏洞,未发现利用方法或被利用迹象;
③出现新的蠕虫病毒或其他恶意代码,尚未证明可能造成严重危害。
(2)三级(黄色)
下列情况之一为“三级”级别安全事件:
①出现针对网络设备的主流操作系统和应用程序漏洞的攻击方法;
②有来自外地的网络性能明显下降的报警,并且其技术原因的适用于我所互联网;
③在24小时内出现的、对超过2台以上的路由器或交换机进行非法登陆尝试;
④导致某个科室网络瘫痪的安全事件;
⑤导致某个科室网络总流量在24小时内异常增加50%的安全事件。
(3)二级(橙色)
下列情况之一为“二级”级别安全事件:
①出现一种新的利用主流操作系统和应用程序漏洞的网络蠕虫;
②蠕虫或病毒导致二级及以上安全事件爆发并留下后门,其后一年内出现了针对该后门的攻击程序;
③有来自外地的网络瘫痪的报警,并且其技术原因适用于我所互联网;
④导致某个科室网络瘫痪的安全事件;
⑤导致两个及以上科室的网络总流量在24小时内异常增加50%的安全事件;
⑥通过监测发现有一个或多个科室的网络出现数据流量异常的情况;
⑦某个科室的网络设备超过10%失去控制。
⑧内网系统出现不稳定现象,数据出现丢失等。
(4)一级(红色)
下列情况之一为“一级”级别安全事件:
①导致一个及以上科室网络瘫痪的安全事件;
②导致两个及以上不同科室网络瘫痪的安全事件,并且有其他科室相同的网络性能下降的报警,或者有船闸所外网络遭遇相同故障而瘫痪的报警;
③通过监测发现有两个及以上科室的网络出现总流量严重异常;
④某个科室的网络设备超过20%失去控制。
⑤内网系统出现业务中断、系统宕机等。
第三章应急处理组织机构
1、成立船闸所网络安全应急处理领导组:
组 长:
沈爱国
副组长:
王浩
2、工作机构
善后河枢纽船闸管理所网络安全应急处理的组织机构包括:
善后河枢纽船闸管理所所长室、工技科、运调科、综合科、财务科。
应急处理领导小组是善后河枢纽船闸管理所网络信息安全应急管理机构,负责全所网络信息安全事件应急处理协调和领导工作。
具体负责制订全所网络信息安全应急预案,协调各科室、相应的电信运营商,共同推进全所网络安全应急机制建设。
组织实施和协调应急响应演练计划,并检查和监督全所各部门应急处理流程的执行情况。
工技科负责监督、检查、指导计算机信息系统安全保护工作。
负责对重大计算机病毒疫情和大规模网络攻击事件进行预防和处置。
各科室在善后河枢纽船闸管理所应急处理领导的协调下,根据本预案建立信息安全事件应急流程和应急预案,确保相应的人力、物力和资金保障,严格按照本预案的要求处理信息安全事件。
第四章预防措施
1、组织机构。
善后河枢纽船闸管理所建立网络信息安全管理组织机构,明确岗位职责,确定岗位人员名单、联系方式。
要指定一名网络安全负责人,至少配备一名应急处理技术人员,负责网络安全应急处理流程的实际执行,提交重大网络安全事件报告和应急处理工作的结果报告。
2、制度规范。
善后河枢纽船闸管理所应根据实际情况和需要制定基本的安全管理制度,对重要网络设备、软件和业务数据的安全性进行规范、可靠的管理,提高我所网络系统的安全防护能力。
包括制定机房管理制度、设备管理制度、病毒防治管理制度、数据备份与恢复制度、网站管理制度、值班制度、安全审计制度和应急响应制度等。
善后河枢纽船闸管理所要针对内部网络系统制定安全运行管理流程,建立安全事件应急预案,以提高我所网络安全应急响应能力。
善后河枢纽船闸管理所应根据本预案细化安全应急事件处理流程,包括事件的发现、判断、评估、上报和处理等内容,确保应急处理流程得到有效执行,网络安全事件得到有效控制和处理。
善后河枢纽船闸管理所应接受和配合上级领导对安全应急工作的指导,并将我所应急响应制度在善后河枢纽船闸管理所备案,建立起统一的应急响应体系。
3、宣传培训。
各科室应大力宣传网络安全的基本原理、安全事件的预防措施和应急处理的基本知识,提高本所人员的网络安全意识水平。
4、安全措施。
工技科应定期进行风险评估,了解网络系统目前可能存在的安全隐患和所面临的安全威胁,并针对本所的实际情况,从物理、网络、
系统、应用和数据等多个层面实施网络安全保障工作。
工技科应定期对网络系统的运行状态、系统日志和安全日志等进行检查,对重要信息系统如网站、核心数据库等应每日进行运行检查,对重要数据要实时和定时进行备份,对核心网络设备定期检查和维护,确保及时发现网络安全事件,减少安全事件所造成的损失。
工技科应定期组织预案演练,进一步明确应急响应各岗位责任,检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求,对预案中存在的问题和不足及时补充、完善。
5、灾前预防技术体系:
预防供电故障:
本所的网络交换中心和传输节点均应配置防雷击、防静电设备和长延时不间断电源。
预防火险:
机房空调要保持恒温。
每天下班前要检查电源接插件,如有烧焦现象,要立即更换。
灭火器要保证在保质期内,并放置于楼道入口处,所有的工作人员都要学会正确使用灭火器。
预防水渗故障:
交换中心、传输节点、通信管沟、分线盒、办公室均应采取防水渗措施。
预防设备丢失:
本所的网络及信息设备均应采取防盗措施,特别是室外交换设备、分线盒要有相应的防盗设施。
预防线路故障:
在城域网内部和网络出口采用冗余线路。
预防黑客病毒:
在城域网的出口设置高性能防火墙、入侵检测系统、防病毒系统。
在网络设备和服务器上采用安全策略,安装相应的
补丁程序、关闭不用的端口、启动日志记录。
预防数据丢失:
本所要备份自己的基础上
预防设备故障:
对于易损件,准备必要的备品、备件。
第五章应急处理流程
出现灾情后值班人员要及时通过电话、传真等方式通知单位领导及相关技术负责人。
值班人员根据灾情信息,初步判定灾情程度。
能够自己解决的,要及时加以解决;如果不能自行解决的,由单位领导现场指挥,协调各科室力量,按照分工负责的原则,组织相关技术人员进入抢险程序。
1、病毒爆发处理流程。
各单位的网络信息系统一旦发现感染病毒,应执行以下应急处理流程:
(1)立即切断感染病毒计算机与网络的联接;
(2)对该计算机的重要数据进行数据备份;
(3)启用防病毒软件对该计算机进行杀毒处理,同时通过防病毒软件对其他计算机进行病毒扫描和清除工作;
(4)如果满足下列情况之一的,应立即向本单位工技科负责人通报情况,并向市处信息中心报告:
①现行防病毒软件无法清除该病毒的;
②服务器在2小时内无法处理完毕的;
③内网系统或办公系统在4小时内无法处理完毕的。
(5)恢复系统和相关数据,检查数据的完整性;
(6)病毒爆发事件处理完毕,将计算机重新接入网络;
(7)总结事件处理情况,并提出防范病毒再度爆发的解决方案;(8)实施必要的安全加固。
2、非法入侵处理流程。
外网系统一旦发现被远程控制等非法入侵行为,应执行以下应急处理流程:
(1)发现系统服务器被远程控制、植入后门程序,或发现有黑客正在进行攻击时,应立即向工技科负责人通报情况,并立即向市处网络信息中心报告;
(2)如服务器已被入侵,将被攻击的服务器等设备从网络中隔离出来,保护现场;
(3)工技科负责人应在接到通知后立即赶到现场,做好必要记录,妥善保存有关记录及日志;
(4)相关技术人员应在业务系统和办公系统事件报告内4小时内赶到现场,对现场进行分析,追查攻击源,修改防火墙等设备的安全配置阻断黑客继续入侵。
(5)分析后台数据库操作日志,判断是否发生数据失窃。
检查、校验数据的完整性和有效性;
(6)实施必要的安全加固。
3、机房物理环境事故应急处理流程:
供电故障:
如果出现短路,切断电源,更换短路器件,恢复供电;如果出现断路,切断电源,连接断开线路,恢复供电;防雷防静电设备故障,切断电源,跳过防雷防静电设备直接供电,及时维修损坏设备并更换;UPS故障,跳过逆变输出,及时维修损坏设备并更换。
火灾:
切断电源,使用灭火器灭火;向119指挥中心报告火警,请求支援;如有人员遇险,应先救人后救物。
水渗故障:
切断电源,更换浸水设备,采取防水渗措施。
4、网络线路故障应急处理流程:
城域网内部线路故障:
如果有环路或冗余线路,通过自动路由或手动设置、联接等技术措施保障网络畅通。
对于需要抢修的线路,如果属于自建线路,维护人员赶赴现场抢修;如果是租用其它电信运营商的线路,通知相关运营商及时抢修;如果线路无法修复,协调架设临时线路。
互联网出口线路故障:
启用备份线路,通知线路维护人员及时抢修。
5、数据故障应急处理流程:
数据丢失或损坏:
从数据备份服务器上提取数据,尽快恢复,保证系统在最短时间内能够正常运行;分析造成事故的原因,针对具体问题,采取相应安全策略。
根据需要,可通过网站、报纸、电台、电视台等向社会公众发布灾情及救灾信息。
第六章监督检查
善后河枢纽船闸管理所根据实际情况制定本预案。
对违反本预案进行操作而导致严重不良后果的单位和负责人,将追究其相应的责任。
第七章附则
本预案由善后河枢纽船闸管理所负责解释。
本预案自印发之日起实施。
二〇一一年四月一日
升级会员 