福建海事局计算机网络及信息安全应急预案

福建海事局计算机网络及信息安全应急预案1总则1.1目的为保障福建海事局计算机系统的运行安全，正确、迅速和有效地处置可能发生的网络通讯故障，最大限度地消除计算机网络及信息的各类突发事件的危害和影响,特制订本预案.1.2编制依据《中华人民共和国计算机信息系统安全保护条例》、《海事信息网安全管理指导意见》等。1.3适用范围本预案适用于对福建海事局计算机网络及信息安全突发事件的组织指挥、应急行动、后期处置。2组织机构及职责2.1领导机构各单位计算机系统应急领导小组是各单位计算机系统应急计划实施的指挥机构。由单位负责人担任应急领导小组组长，分管领导担任副组长，信息化管理部门、各相关部门及基层机构负责人任成员。2.2领导小组主要职能：（1）领导并监督本单位计算机系统应急准备和应急执行，并提供行政及费用上的支持。（2）指导下级单位的计算机应急领导小组工作，保证扩大化网络故障处理的联动机制，实现互相间的协调和配合。（3）指挥和协调计算机系统应急处理工作，在应急程序启动期间，指挥调动本单位资源。（4）定期对应急工作小组成员进行有针对性的培训及应急演练。（5）负责应急方案更新及修订的审定。（6）决定重大、较大的计算机网络及信息突发事件应急预案的启动，组织力量对突发事件进行处置。2.3应急工作小组计算机系统应急领导小组下设应急工作小组，由各单位信息化管理及相关部门人员组成，组长由信息化管理部门负责人担任。2.4应急工作小组主要职责（1）按照应急领导小组及相关规定的要求开展工作。（2）根据事件危害情况，向应急领导小组提供应急方案，供领导决策。（3）决定一般性突发事件的应急预案启动，组织力量对突发事件进行处置。在应急事件发生后根据实际情况全面或部分的接管应用系统操作，并及时向领导小组汇报工作进展情况。3应急事件分类及等级3.1根据应急事件的特点及实发事件所产生的损失程度，将应急事件分为三级：3.1.1一般应急事件(1)单一地点的网络故障或服务器系统受损，对该地点的系统运行及业务运作造成严重损害，持续时间小于24小时的事件。超过24小时的升级到较大应急事件。3.1.2较大应急事件(2)两个及以上地点的网络故障或服务器系统受损，对该地点的系统运行及业务运作造成严重损害，持续时间小于24小时的事件。超过24小时的升级到特大应急事件。3.1.3重大应急事件多个（两个及以上）地点系统瘫痪，对业务运作造成巨大损失的安全事件。4应急保障措施4.1省级数据中心应建立异地数据备份中心，并做好备份中心的维护及保养工作。4.2技术储备与保障计算机系统应急领导小组在平时应加强技术储备与保障管理工作，建立通信保障应急管理机构与专家的日常联系和信息沟通机制，适时组织相关专家和机构分析当前网络安全，对网络应急预案及实施进行评估，开展现场研究，加强技术储备。4.3宣传、培训和演习各级单位应急管理部门应加强对普通人员安全使用计算机的宣传教育工作，全面提高网络使用人员的安全意识；定期或不定期地对有关应急领导小组和应急工作小组成员进行技术培训和应急演练，保证应急预案的有效实施，提高通信保障应急的能力。4.4应急文档的备存（1）各类网络设备和服务器、计算机及其附属设备的型号、序列号等；（2）硬件设备供应商、生产厂商的电话、联系人、网址；（3）操作系统、关键业务应用软件开发商或供应商的电话、联系人；（4）网络拓朴图；（5）路由器、防火墙、入侵检测设备的配置文档，服务器登陆用户及原始密码文档；（6）各类软件的技术文档及其他需要保存的文档。4.5应急设备及软件备存（1）正版操作系统启动盘、安装盘；（2）正版防病毒软件（注明安装及升级序列号）；（3）数据库管理系统软件，数据库备份软件及最近完整的数据备份存储介质；（4）相关的设备驱动程序（含主板、显卡、网卡等）及更新到最新的服务器注册表文件；（5）备用网线，万用表、测网仪、螺丝刀等必要工具；（6）其它必备的应急工具。5预防和预警机制5.1日常预防管理（1）定期检查服务器及重要网络设备。（2）及时更新服务器的防病毒软件病毒库。（3）定期对所有服务器进行漏洞扫描、补丁修复。（4）定时备份重要数据。（5）特殊时期实行值班制度。5.2预警机制预警信息分为外部预警信息和内部预警信息两类。外部预警信息指本单位外突发的可能破坏网络或者最新病毒等可能产生重大影响的事件警报;内部预警信息指单位内通信网络的中断或部分计算机系统崩溃对业务操作有影响的事件警报。应急工作小组获得外部预警信息后，对预警信息加以分析，通知各单位做好预防和网络保障应急准备工作，并报备应急领导小组；通过监测或普通操作人员报告获得内部预警信息，分析后按照早发现、早报告、早处置的原则，解决可能演变为严重应急事件的情况。6应急事件处理6.1确定事件类型（1）应急工作小组应及时判断事件的类型和紧急程度；（2）确定事件范围（多少地点发生事件），检查敏感信息失密情况及其程度，分析攻击来源及侵入点；（3）判断事件危害性及损失程度，分析人为原因、事件潜在危害性；（4）确定事件发生时间及延续时间；（5）判断需采用的手段及准备处理事件需要的必备资源；（6）根据损失程度及延续时间等情况确定等级，较大、重大信息险情需报应急领导小组，决策后启动相关应急预案。6.2事件报告6.2.1报告方式（1）根据事件的类型及紧急程度及时向应急领导小组报告（口头或者书面报告），并制定具体措施。（2）下属单位应急工作小组确定事件为较大（重大）信息险情时，报本单位应急领导小组同时报上级应急工作小组备案。6.2.2报告内容事件的基本信息（故障发生的时间、故障点、故障情况）、事件的类型、表现出来的现象、涉及的网络，事件当前的状态及可能造成的后果，以及事件解决的建议和措施。6.3现场处理抑制事件的影响进一步扩大，限制潜在的损失与破坏，对事件分类进行如下处理。6.3.1计算机病毒（1）断网、升级系统补丁及防病毒软件，查找病毒源，进行杀毒；（2）一时不能查，应向有关部门进行报告，提供病毒样本；（3）查找计算机病毒感染的存储介质；（4）对病毒利用的系统漏洞要通过补丁和升级的方式进行填补；（5）记录全部处理过程。6.3.2黑客入侵采取必要措施抵御入侵行为，保护系统和数据安全，利用完整性检查工具进行检查，必要时向公安机关报告并申请技术协助。（1）记录系统状况；（2）立即复制系统登录文件、历史文件、日志文件等重要文件；（3）修改防火墙、路由器等网络安全设备的过滤规则；（4）断开被攻主机、关闭不需要的服务；（5）处理可疑的文件和程序；（6）修改不安全的帐号和口令（7）恢复被修改的软件和数据（8）安装相应的补丁程序，填补安全漏洞（9）编写报告，详述事件过程及处理步骤6.3.3网络中断6.3.3.1广域网无法使用（1）路由器、交换机、防火墙等硬件故障：使用备份端口或备份硬件，并检查或配置相关内容，与供应商联系，尽早解决问题；（2）通信线路故障：关键业务使用应急通信线路，向受影响的单位发出通报，立即与线路供应商联系，在线路供应商承诺的时间内解决问题。（3）网络带宽阻塞：通过网管软件，判断阻塞原因及阻塞包发包点，再按情况逐个断网排查，直至网络恢复正常。对已断网计算机进行系统补丁升级、查毒等方式，找到原因并恢复正常后方能接入网络。6.3.3.2局域网无法使用（1）磁盘陈列（存储介质）设备问题：用同规格的备用硬盘进行替换，其他故障要及时与供应商联系修复；（2）服务器问题：启用备用服务器，通过热备服务服进行双机热备恢复（包括数据服务配置）。提供故障服务器型号、序列号并与服务器供应商联系，取得技术支持，检查服务器软件，将原有数据信息存盘并实施用户数据备分后移支正常服务器上使用，并与软件供应商联系，尽早解决问题。（3）路由器、交换机、防火墙等硬件故障：使用备份端口或备份硬件，并检查或配置相关内容，与供应商联系，尽早解决问题；（4）通信线路故障：用测网仪进行测试，用好的网线进行替代，关键业务使用应急通信线路，向受影响的单位发出通报，立即与线路供应商联系，在线路供应商承诺的时间内解决问题。（5）网络带宽阻塞：通过网管软件，判断阻塞原因及阻塞包发包点，再按情况逐个断网排查，直至网络恢复正常。对已断网计算机进行系统补丁升级、查毒等方式，找到原因并恢复正常后方能接入网络。6.3.4数据库无法正常使用（1）记录故障情况；（2）检查数据库服务是否启动，若未起，则重启数据库服务；（3）检查文件系统，若有问题则在备份重要数据文件后用文件修复软件修复；（4）与数据库供应商联系，取得技术支持；（5）重装数据库；（6）分析原因，编写报告，详述事件过程及处理步骤。6.3.5断电（1）启动应急电源；（2）使用备用UPS进行供电；（3）与相关部门联系，尽快恢复供电；（4）若在UPS供电时间范围内不能恢复供电，要在UPS能正常供电的时间段内进行对主要系统及数据进行备份工作，备份工作完毕后，对主要设备进行系统关闭。6.3.6火灾（1）立即发出火灾警报并报告；（2）根据情况立即断电；（3）根据《机房灭火流程》进行操作；（4）有秩序、有步骤地抢救数据资料和硬件设备（5）火险情况解除后，尽快检查并恢复应用系统的工作。7事件后期恢复及评估（1）清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应该十分小心，避免出现误操作导致数据的丢失。另外，恢复工作中如果涉及到机密数据，需要额外遵照机密系统的恢复要求。（2）备份硬件设备或配件代替使用后，应及时将损坏设备进行维修或者更新。（3）检查威胁造成的结果，评估事件带来的影响和损害：如检查系统、服务、数据的完整性、保密性或可用性，检查攻击者是否侵入了系统，以后是否能再次随意进入，损失的程度，确定暴露出的主要危险等。8总结报告每次应急预案完成后对应急事件进行分析，形成总结报告。报告应包括事件发生时间、参与人员、采取的措施及效果、事件损失评估，经验教训等内容。并及时向上级计算机应急领导小组报备。9附则（1）本预案福建海事局信息化工作办公室负责解释。（2）本预案自发布之日起实施。