您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 其它文档 > 网络安全与信息化应急预案
1甘肃省公路发展集团有限公司信息化与网络安全应急预案第一章总则一、编制目的为提高公司处置信息化与网络安全(以下简称信息安全系统)突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大程度地预防和减少信息安全系统突发事件及其造成的损害,保障信息资产安全,特制定本预案。二、编制依据根据《中华人民共和国计算机信息系统安全保护条例》、公安部《计算机病毒防治管理办法》,制定本预案。三、分类分级本预案所称信息安全系统突发事件,是指公司信息安全系统突然遭受不可预知外力的破坏、毁损、故障,发生对国家、社会、公众造成或者可能造成重大危害,危及公共安全的紧急事件。1.事件分类根据信息安全系统突发事件的性质、机理和发生过程,主要分为以下三类:(1)自然灾害。指地震、台风、雷电、火灾、洪水等2引起的网络与信息安全系统的损坏。(2)事故灾难。指电力中断、网络损坏或是软件、硬件设备故障等引起的网络与信息安全系统的损坏。(3)人为破坏。指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息安全系统的损坏。2.事件分级根据信息安全系统突发事件的可控性、严重程度和影响范围,一般分为四级:Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)和Ⅳ级(一般)。(1)Ⅰ级(特别重大)、Ⅱ级(重大)。重要信息安全系统发生全局大规模瘫痪,事态发展超出公司的控制能力,需要由上级信息化安全主管部门协调解决,对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的信息安全系统突发事件。(2)Ⅲ级(较大)。某一部分的重要信息安全系统瘫痪,对国家安全、社会秩序、经济建设和公共利益造成一定损害,但在公司控制之内的信息安全系统突发事件。(3)Ⅳ级(一般)。重要信息安全系统使用效率上受到一定程度的损坏,对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益的信息安全系统突发事件。3四、适用范围本预案是甘肃公路发展集团有限公司信息安全系统的专项预案,适用于公司发生或可能导致发生信息安全系统突发事件的应急处置工作。五、工作原则1.居安思危,预防为主。立足安全防护,加强预警,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,采取多种措施,充分发挥各方面的作用,共同构筑信息安全系统保障体系。2.明确责任、分级负责。按照“谁主管谁负责”的原则,分级分类建立和完善安全责任制度、协调管理机制和联动工作机制。3.提高素质,快速反应。加强信息化与网络安全科学研究和技术开发,采用先进的监测、预测、预警、预防和应急处置技术及设施,充分发挥专业人员的作用,在信息安全系统突发事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。4.以人为本,减少损害。把保障公共利益作为首要任务,及时采取措施,最大限度地避免公共财产、信息资产遭受损失。45.定期演练,常备不懈。加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现信息安全系统突发事件应急处置的科学化、程序化与规范化。6.宣传教育和培训。加强有关信息安全系统突发事件应急处置的法律法规和政策的宣传,普及应急救援的基本知识,提高公司信息安全防范意识和应急处置能力。加强对信息安全系统突发事件的技术准备培训,提高工作人员的防范意识及技能。第二章组织指挥机构与职责一、组织体系成立甘肃省公路发展集团有限公司信息化与网络安全领导小组,负责领导、组织和协调公司信息化系统突发事件的应急保障工作,组长由总经理担任,副组长由分管信息化的分管领导担任,成员包括:办公室主任、副主任、安全管理部长、副部长、财务管理部部长、信息管理中心工作人员等组成。应急小组日常工作由办公室承担,其他各相关部门积极配合。二、工作职责1.制订专项应急预案,定期组织演练,监督检查各部门在本预案中履行情况。对发生事件启动应急救援预案进行决策,全面指挥应急救援工作。52.发生Ⅰ级、Ⅱ级、Ⅲ级信息安全系统突发事件后,决定启动本预案,组织应急处置工作。如信息安全系统突发事件属于Ⅰ级、Ⅱ级的,向上级信息化安全主管部门通报并协调有关部门配合处理。3.研究提出信息安全系统应急机制建设规划,检查、指导和督促信息安全系统应急机制建设。指导督促重要信息安全系统应急预案的修订和完善,检查落实预案执行情况。4.指导应对信息安全系统突发事件的科学研究、预案演习、宣传培训,督促应急保障体系建设。5.收集信息安全系统突发事件相关信息,分析重要信息并提出处置建议。对可能演变为Ⅰ级、Ⅱ级、Ⅲ级的信息安全系统突发事件,应及时向公司提出处置建议。6.负责提供技术咨询、技术支持,进行重要信息的研判、信息安全系统突发事件的调查和总结评估。第三章监测、预防、预警和先期处置一、信息监测与报告1.要进一步完善各重要信息安全系统突发事件监测、预测、预警制度。按照“早发现、早报告、早处置”的原则,加强对各类信息安全系统突发事件和可能引发信息安全系统突发事件的有关信息的收集、分析判断和持续监测。当发生信息安全系统突发事件时,在按规定向有关部门报告的同时,按紧急信息报送的规定及时向集团信息化与网络安全领导6小组汇报。初次报告最迟不得超过4小时,较大、重大和特别重大的信息安全系统突发事件实行态势进程报告和日报制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。若发现下列情况应及时向集团信息化与网络安全领导小组报告。2.报告内容:(1)网络或信息系统通信和资源使用异常;(2)网络或信息系统瘫痪,应用服务中断或数据篡改、丢失;(3)网络恐怖活动的嫌疑和预警信息;(4)其他影响网络与信息安全的信息。3.信息安全定期汇报。定期自查公司信息安全系统工作情况,其中包括:(1)恶意人士利用网络从事违法犯罪活动的情况。(2)网络或信息系统通信和资源使用异常,网络和信息系统瘫痪、应用服务中断或数据篡改、丢失等情况。(3)网络恐怖活动的嫌疑情况和预警信息。(4)网络安全状况、安全形势分析预测等信息。(5)其他影响网络与信息安全的信息。4.实行信息安全风险评估。通过相关设备实时监控网络工作与信息安全状况。各基础信息网络和重要信息安全系统建设要充分考虑抗毁性和灾难恢复,制定并不断完善信息安7全应急处理预案。针对信息网络的突发性、大规模安全事件,建立制度优化、程序化的处理流程。5.做好服务器及数据中心的数据备份及登记工作,建立灾难性数据恢复机制。一旦发生网络与信息安全事件,立即启动应急预案,采取应急处置措施,判定事件危害程度,并立即将情况向有关领导报告。在处置过程中,应及时报告处置工作进展情况,直至处置工作结束。二、预警处理与预警发布1.对于可能发生或已经发生的信息安全系统突发事件,系统管理员应立即采取措施控制事态,并在2小时内进行风险评估,判定事件等级并发布预警。必要时应启动相应的预案,同时向集团信息化与网络安全领导小组汇报。2.信息化与网络安全领导小组接到汇报后应立即组织处置,查明事件状态及原因,技术人员应及时对信息进行技术分析、研判,根据问题的性质、危害程度,提出安全警报级别。三、先期处置1.当发生信息安全系统突发事件时,及时请技术人员做好先期应急处置工作并立即采取措施控制事态,必要时采用断网、关闭服务器等方式防止事态进一步扩大,同时向上级信息化安全主管部门汇报。2.集团信息化与网络安全领导小组在接到信息安全系8统突发事件发生或可能发生的信息后,应加强与有关方面的联系,掌握最新发展态势。对有可能演变为Ⅲ级信息安全系统突发事件,技术人员提出应急处置方案。信息化与网络安全领导小组根据信息安全系统突发事件发展态势,视情况决定现场指导、组织设备厂商或者系统开发商应急支援力量,做好应急处置工作。对有可能演变为Ⅱ级或Ⅰ级的信息安全系统突发事件,要根据有关部门的要求,向省厅、局信息化安全主管部门汇报,积极做好应急处置工作。第四章安全事件分类一、物理层安全1.系统环境安全2.物理设备的安全二、网络安全1.网络体系结构的安全2.网络通信协议的安全3.网络操作系统的安全三、系统安全风险1.操作系统安全2.数据库安全3.应用系统的安全4.病毒危害5.黑客入侵9四、应用安全风险1.身份认证与授权控制的安全2.信息传输的机密性和不可抵赖性3.管理层安全第五章应急处置流程一、预案启动在发生信息安全系统突发事件后,工作人员应迅速收集事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围和评估事件带来的影响和损害,一旦确认为信息安全系统事件后,立即将事件上报公司信息化与网络安全领导小组并着手处置。二、应急指挥1.本预案启动后,信息化与网络安全领导小组建立与现场通讯联系,掌握现场处置工作状态,分析事件发展趋势,研究提出处置方案,调集和配置应急处置所需要的人、财、物等资源,统一指挥信息安全系统应急处置工作。2.需要成立现场指挥部的,立即在现场开设指挥部,并提供现场指挥运作的相关保障。现场指挥部要根据事件性质迅速组建各类应急工作组,开展应急处置工作。三、应急处理现场信息收集、分析和上报。技术人员应对事件进行动态监测、评估,及时将事件的性质、危害程度和损失情况及10处置工作等情况及时报领导小组,不得隐瞒、缓报、谎报。符合紧急信息报送规定的,属于Ⅰ级、Ⅱ级信息安全事件的,同时向上级信息化安全主管部门汇报。针对公司部分信息安全系统应急处置措施如下:1.机房强电源系统断电(1)查明故障原因。(2)检查UPS是否正常供电。(3)汇报相关领导,确认强电恢复时间,评估UPS供电能力。(4)通知相关部门进行电源维修。做好事件记录。(5)必要时请示信息化与网络安全领导小组,主动关闭服务器、交换机、存储等设备,以免设备损坏或数据损失。2.局域网中断紧急处理措施(1)工作人员立即判断故障节点,查明故障原因,及时汇报。(2)若是线路故障,重新安装线路。(3)若是路由器、交换机等设备故障,应立即从指定位置将备用设备取出接上,并调试畅通。(4)若是路由器、交换机等配置文件损坏,应迅速按照要求重新配置,并调试畅通。(5)汇报相关领导,做好事件记录。3.广域网线路中断11(1)工作人员应立即判断故障节点,查明故障原因。(2)如是我方管辖的范围,由信息安全负责人员立即维修恢复。(3)如是电信部门管辖的范围,应立即与电信维护部门联系修复。(4)做好事件记录。4.核心交换机故障(1)检查、备份核心交换机日志。(2)启用备用核心交换机,检查接管情况。(3)备份核心交换机配置信息。(4)将服务器接入备用核心交换机,检查服务器运行情况,将楼层交换机、接入交换机接入备用核心交换机,检查各交换机运行情况。(5)汇报有关领导,做好事件记录。(6)联系维修核心交换机。5.光缆线路故障(1)立即联系光纤熔接人员携带尾纤等辅助材料,及时熔接连通。(2)检查并做好备用光缆或备用芯的跳线工作,随时切换到备用网络。(3)做好事件记录,及时上报。6.计算机病毒爆发12(1)关闭计算机病毒爆发网段上联端口。(2)隔离病毒计算机。(3)关闭病毒计算机上联端口。(4)根据病毒特征使用专用工具进行查杀。(5)系统损坏计算机在备份其数据后,进行重装。(6)通过专用工具对网络进行清查。(7)做好事件记录,及时上报。7.服务器设备故障(1)主要服务器应做多个数据备份。(2)如能自行恢复,则立即用备件替换受损部件,如:电源损坏更换备用电源,硬盘损坏更换备用硬盘,网卡、主板损坏启用备用服务器。(3)若数据库崩溃应立即启用备用系统。并检查备用服务器启用情况。(4)对主机系统进行维修并做数据恢复。(5)如不能恢复,立即联系设备供应商,要求派维护人员前来维修。(6)汇报有关领导,做好事件记录。8.黑客攻击事件(1)若通过入侵监测系统发现有黑客进行攻击,立即通知相关人员处理。(2)将被攻击的服务器等设备从网络中隔离出来。13(3)及时恢复重建被攻击或被破坏的系统(4)记录事件,及时上报,若事态严重,应及时向上
本文标题:网络安全与信息化应急预案
链接地址:https://www.777doc.com/doc-3975357 .html