网络系统应急预案及灾难恢复制度

北京市工业技师学院网络系统应急预案及灾难恢复制度第一章总则第一条目的为科学应对网络系统突发事件，建立健全网络系统的应急响应机制，有效预防、及时控制和最大限度地消除各类突发事件的危害和影响，制订本应急预案。第二条工作原则1.统一领导遇到重大网络异常情况，应及时向有关领导报告，以便于统一调度、减少损失。2.综合协调明确综合协调的职能机构和人员，做到职能间的相互衔接。3.重点突出应急处理的重点放在运行着重要业务系统或可能导致严重事故后果的关键网络系统上。4.集中备份通过网络设备备份和配置参数备份等措施，提高通信网络系统的安全系数。应以必要的投资，购置必要的备用设备，并在备用设备上按要求预先配置好各种参数，当发生故障时能直接上线运行。5.快速恢复网络管理人员在坚持快速恢复系统的原则下，根据职责分工，加强团结协作，必要情况下与设备供应商以及系统集成商共同谋求问题的快速解决。6.及时反应，积极应对出现网络故障时，网络维护人员应及时发现、及时报告、及时抢修、及时控制，积极对业务网络突发事件进行防范、监测、预警、报告、响应。7.防范为主，加强监控经常性地做好应对网络突发事件的思想准备、预案准备、机制准备和工作准备，提高基础网络和重要信息系统的综合保障水平。加强对网络应用的日常监视，及时发现网络突发性事件并采取有效措施，迅速控制事件影响范围，力争将损失降到最低程度。第二章应急和灾难恢复工作机构及职责第三条应急和灾难恢复工作组织结构第四条应急和灾难恢复工作组织职责（一）应急处理领导小组及时掌握网络故障事件的发展动态，向上级部门报告事件动态；对有关事项做出重大决策；启动应急预案；组织和调度必要的人、财、物等资源。领导小组组长：领导小组成员：（二）应急处理工作小组负责定期了解外部支持人员的变动情况，及时更新其技术人员及联系方式等信息；快速响应网管系统发现的网络故障事件、业务部门对网络故障的申告；执行网络故障的诊断、排查和恢复操作；定期通过网管软件、网络运行报告等工具对网络的使用情况进行分析，尽早发现网络的异常状况，排除网络隐患。工作小组组长：工作小组成员：（三）外部支持人员包括电信运营商、设备供应商以及系统集成商。负责事先向网络信息管理中心提供紧急情况下的应急技术方案和应急技术支援体系；积极配合网络信息管理中心应急人员进行故障处理。人员名单：设备供应商、系统集成商、电信运营商等。第三章预警和预防机制第五条信息监测及报告1.网络的日常管理和维护加强网络应用的监测、分析和预警工作。2.建立网络故障事故报告制度发生网络故障时，值班人员应当立即向信息中心负责人报告，并及时进行故障处理、调查核实、保存相关证据等。（二）预警在接到突发事件报告后，应当经初步核实之后，将有关情况及时向信息中心等部门报告，进一步进行情况综合，研究分析可能造成损害的程度，提出初步行动对策。由上级领导视情况紧急程度召集协调会，决策行动方案，发布指示和实施命令等。（三）预警支持系统建立和完善信息监测、消息传递和指挥决策支持系统，保证突发事件处理过程中的资源共享、运转正常、指挥有力。（四）预防机制重要网络和信息系统建设要充分考虑抗毁性与灾难恢复，制定并不断完善应急处理预案。针对基础信息网络的突发性、大规模异常事件，各相关部门建立制度化、程序化的处理流程。第四章应急处理程序第六条网络突发事件分类分级的说明根据网络突发事件的发生原因、性质和机理，网络突发事件主要分为以下几类:1.攻击类事件：指互联网网络系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。2.信息破坏事件：指信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。3.信息内容安全事件：指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。4.故障类事件：指互联网网络系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。5.灾害类事件：指因爆炸、火灾、雷击、地震、台风等外力因素导致互联网网络系统损毁，造成业务中断、系统宕机、网络瘫痪等情况。按照突发事件的性质、严重程度、可控性和影响范围，将其分为一般故障、严重故障、重大故障、特级故障四级。1.一般故障网络系统中单个系统故障，但未影响应用系统运行，也未造成社会影响或经济损失的突发事件。2.严重故障网络系统中个别节点故障（主要是分布层交换节点）而导致服务3.网络系统中多个节点故障（包括核心层和分布层）引起的多个基础网络设施损坏，导致应用系统长时间中断，可能造成重大社会影响和巨大经济损失的突发事件。4.特级故障特指发生不可预见的灾难性事故，如火灾、水灾和地震等。第七条网络应急预案启动根据以上定义的故障分级，当网络事件的要素满足启动应急预案要求时，进入相应的应急启动流程，实施处置并及时报送信息。1.应急处理工作小组从业务人员的故障申告、网管系统的故障告警中得知网络异常事件后，应在第一时间赶赴网络故障现场，控制事态发展，防控蔓延。与业务人员一起进行先期处置，采取各种技术措施，及时控制事态发展，最大限度地防止事件蔓延。2.应急处理工作小组应快速判断事件性质和危害程度，尽快分析事件发生原因。若是电源接触不好、物理连线松动或者能在最短时间内自行解决的网络问题，及时按照有关操作规程进行故障处理，并报领导小组备案；否则，应急处理工作小组应根据网络与信息系统运行和承载业务情况，初步判断事件的影响、危害和可能波及的范围，提出应对措施建议，及时告知领导小组。3.应急处理工作小组向领导小组报告，在领导小组的授权后启动相应的应急预案。针对灾难事件和影响重要业务运行的重大事件，还要及时向上级机关进行报告。4.应急处理工作小组根据故障类型及时与外部支持人员取得联系。其中，设备故障的，可与设备供应商和集成商联系；软件故障的，可与系统集成商联系，由系统集成商进行现场或远程技术支持；线路故障的，可与电信运营商联系，三方密切协作力求通信线路在短时间内恢复正常。5.应急处理工作小组在上级机构或外部支持人员的配合下，充分利用应急预案的资源准备，采取有力措施进行故障处理，及时恢复网络的正常通信状态。6.应急处理工作小组通知业务部门网络恢复正常，并向领导小组报告故障处理的基本情况。在事件处理过程中，应急处理工作小组应做好事件发生、发展、处置的记录和证据留存。重大事件应形成文字资料，以书面形式向上级报告。7.总结整个处理过程中出现的问题，并及时改进应急预案。第八条现场应急处理1.如遇到预知外界因素（如定时、定点停电）影响网络系统的正常运行，将根据有关部门的通知，提前安排技术人员到实地关闭网络设备并进行现场维护，直至外界因素消除。2.如遇到不可抗力因素（如火灾）造成的网络系统故障时，接到通知的值班人员要快速到达现场，果断切断相关设备配电柜的电源，积极参与消除不可抗力因素，并及时将情况上报相关领导。3.如遇到一般故障、严重故障和重大故障，影响校园网络系统的正常运行，值班人员要迅速、及时地赶到现场，进行相应突发事件的应急处理。第五章保障措施第九条应急演练为提高网络系统突发事件应急响应水平，网络信息管理中心及有关单位应定期或不定期组织应急预案演练；检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习，进一步明确应急响应各岗位责任，对预案中存在的问题和不足及时补充、完善。第十条人员培训为确保本应急预案有效运行，应定期或不定期地举办不同层次、不同类型的技术讲座或研讨会，以便不同岗位的应急人员能全面熟悉并熟练掌握突发事件的应急处理知识和技能。第十一条硬件资源保障为了在网络设备发生故障时能够尽量降低业务系统的受影响程度，须为相应的核心网络系统提供必要的备份设备与线缆等硬件资源，并且配备与现有设备兼容的设备，确保相似或兼容的设备可以在应急情况下调配使用。这些备份设备需预先采购并保存在专门位置。第十二条文档资料准备包括网络系统工程文档、网络系统维护手册、网络系统操作手册、网络设备配置参数、网络系统拓扑图以及IP地址规范及分布情况等。第十三条技术支持保障建立预警与应急处理的技术平台，进一步提高网络突发事件的发现和分析能力，从技术上逐步实现发现、预警、处理、通报等多个环节和不同的业务网络、系统以及相关部门之间应急处理的联动机制。第十四条公众信息交流在应急预案修订、演练的前后，应利用各种信息渠道进行宣传，并不定期的利用各种活动，宣传网络等突发事件的应急处理规程及其预防措施等应急常识。第六章网络安全防范措施第十五条建立健全网络与信息安全职责体系和规章制度。逐步建立健全各种安全制度，包括（1）运行审批制度；（2）日志管理制度；（3）安全审计制度；（4）数据保护、安全备份、灾难恢复计划；（5）计算机机房及其他重要区域的出入制度；（6）硬件、软件、网络、媒体的使用及维护制度；（7）账户、密码、通信保密的管理制度；（8）有害数据及计算机病毒预防、发现、报告及清除管理制度。第十六条明确信息安全等级、信息安全保护等级根据信息的性质和重要程度划分为四级：（1）A级，高敏感信息，实行绝对强制保护；（2）B级，敏感信息，实行强制保护；（3）C级，内部管理信息，实行自主安全保护；（4）D级，公共信息，实行一般安全保护。根据确立的信息安全等级，依据国家颁布的《计算机信息系统安全保护等级划分准则》，确立计算及系统安全保护的五个等级，具体为：第一级，用户自主保护级；第二级，系统审计保护级；第三级，安全标记保护级；第四级，结构化保护级；第五级，访问验证保护级。第十七条网络安全防范对各类网络接入设备采取具体严格的安全控制措施；在网络建设和改造时优先考虑网络的安全性和冗余；未经网络信息管理中心许可，严禁将外来的网络或终端设备接入学院网络系统中；各类网络设备及关键主机设备的密码要有专人保管并有定期的变更机制；在未采取相应的加密措施之前，不得利用电子邮件传递涉及机密的信息。第十八条病毒安全防范入网计算机设备，应配备正版的防病毒软件，所有的外来软件或数据，必须先进行病毒检查才能安装和使用。第十九条软件系统安全防范学院各部门要杜绝使用盗版软件；各类业务和应用软件要充分考虑到软件安全的要求，并进行安全性能的评估。第二十条数据安全防范学院各部门要按照《北京市工业技师学院信息化管理制度》统一规划和部署使用相关软硬件产品，要逐步建立相应的数据备份、恢复机制；原则上备份介质的存储不能与主机系统在同一地域。第二十一条设备安全防范学院各部门的计算机设备都必须有较高的可靠性。中心机房的服务器和中心网络设备、网络安全设备等关键设备要严格按照国家计算机信息系统安全相关标准进行采购，从源头上把好设备的性能安全关。各关键设备都要有冗余备份或相应配件，一旦设备出现故障能够及时维护、更换，确保不影响正常的开展和系统的运行。第二十二条机房安全防范网络机房应符合国家标准和国家规定。必须具备放火、防雷、防静电、防电磁干扰设备；要有完备的环境控制设备和电源供应设备；要有严格的管理制度和值班制度，确保各类设备有一个良好的运行环境。第七章分类突发事件应急处理措施第二十三条黑客攻击时的紧急处置措施1.当有关值班人员发现业务系统或网站内容被纂改，或通过入侵监测系统发现有黑客正在进行攻击时，应立即向网络管理技术人员通报情况。2．网络管理技术人员应尽快赶到现场，并首先应将被攻击的服务器等设备从网络中隔离出来，保护现场，并同时向应急处理领导小组通报情况。3．网络管理技术人员负责被攻击或破坏系统的恢复与重建工作。4．网络管理技术人员会同相关支持人员追查非法信息来源。5．网络管理技术人员组织相关支持人员会商后，向应急处理工作小组组长汇报有关情况。6．应急处理工作小组组长如认为情况严重，应立即向应急处理领导小组组长汇报。7．应急处理领导小组组长组织应急处理领导小组召开会议，如认为事态严重，则立即向公安部门或上级机关报警。第二十四条病毒安全紧急处置措施1．当发现有计算机被感染上病毒后，应立即向网络管理技术人员报告，将该机从网络上隔离开来。2．网络管理技术人员在接到通知后，应在十分钟内赶