网站、网络安全应急预案
总则
编制目的
提高处置网络与信息安全突发事件能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网络与信息安全突发事件造成的损失,保障某单位信息系统系统长期安全稳定运行,为人民群众提供良好的信息服务。
适用范围
本应急预案适用于通信网络、门户网站、业务系统等发生网络和信息应急事件时的应急处理。
编制依据
根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《计算机病毒防治管理办法》、《中共中央办公厅、国务院办公厅转发〈国家信息化领导小组关于加强网络与信息安全保障工作的意见〉的通知》、GB/T 24363-2009 《信息安全技术 信息安全应急响应计划规范》、GB/Z 20985-2007 《信息技术 安全技术 信息安全事件管理指南》、GB/Z 20986-2007 《信息安全技术 信息安全事件分类分级指南》等文件,制定本预案。
指导思想
应坚持“积极预防,严格控制,防控并重”的原则。在认真做好日常管理和监控的基础上,充分做好紧急情况下信息系统运行管理的应急准备,健全防控措施,完善处理机制,加强应急演练,确保在应急情况下做到反应迅速,处置果断,保障到位。
工作原则
本项内容包括:
a) 积极防御,综合防范
立足安全防护,加强预警,抓好预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。
b) 明确责任,分级负责
按照“谁主管谁负责,谁运营谁负责”的原则,建立和完善安全责任制,协调管理机制和联动工作机制。
c) 以人为本,快速反应
把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免公民财产遭受损失。网络与信息安全突发事件发生时,要按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。
d) 依靠科学,平战结合
加强技术储备,规范应急处置措施与操作流程,实现网络与信息安全突发事件应急处置工作的科学化、程序化与规范化。树立常备不懈的观念,定期进行预案演练,确保应急预案切实可行。
分类分级与预案启动
本预案所指的网络与信息安全突发事件,是指网络与信息系统突然遭受不可预知外力的破坏、毁损、故障,发生对网络和信息系统造成或者可能造成重大危害,影响系统向人民群众提供信息服务、影响单位形象的事件。
事件分类
根据网络与信息安全突发事件的发生过程、性质和特征,网络与信息安全突发事件可划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害、事故灾难和人为破坏引起的网络与信息系统的损坏;信息安全突发事件是指利用信息网络进行有组织的大规模的反动宣传、煽动和渗透等破坏活动。
a) 自然灾害是指地震、台风、雷电、火灾、洪水等引起的网络与信息系统的损坏。
e) 事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等引起的网络与信息系统的损坏。
f) 人为破坏是指人为破坏网络线路、通信设施、黑客攻击、病毒攻击、恐怖袭击等事件引起的网络与信息系统的损坏。
事件分级
根据网络与信息安全突发事件的可控性、严重程度和影响范围和某单位信息系统的实际情况,分为四级:Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)和Ⅳ级(一般)。国家有关法律法规有明确规定的,按国家有关规定执行。
a) IV级:个别计算机无法联网、或无法访问业务信息系统。
b) Ⅲ级:小面积或某个处室网段中的计算机无法联网、或无法访问信息系统;普通应用系统瘫痪造成无法使用。
c) II级:病毒、蠕虫发作导致网络核心瘫痪;核心业务系统和向公众提供服务的网络系统瘫痪,无法使用。
d) I级:应用系统信息被篡改,特别是向公众提供服务的网站系统被篡改或出现非法言论、机房发生火灾等。
处置与预防预警
本项内容包括:
a) IV级事件发生时,由信息中心组织系统和安全维护人员进行处理。
b) III级事件发生时,首先由( 技术 )部门组织系统和安全维护人员进行处理,时限为两小时;两小时后仍无法解决的,联系维护支撑单位协助处理。
c) II和I级事件发生时,直接启动相应的应急处置程序。
d) 充分利用现有的网络和信息安全监测设备和措施,防范网络中断和信息系统异常中止和非法篡改。
e) 当发生相应安全事件时,要在第一时间通过手机短信、邮件或电话等方式通知安全管理人员,安全管理人员根据实际情况启动应急预案。
组织架构
成立某单位信息安全应急响应小组,组长由分管领导( 黄出为 )担任,副组长由( 王朝龙 )部门负责人担任。成员包括:安全管理人员、网络管理人员、业务系统运维人员、外包维护单位人员等。应急响应小组职责如下:
a) 研究制定某单位网络与信息安全应急处置工作的规划、计划和政策,协调推进某单位网络与信息安全应急机制和工作体系建设。
g) 发生I级、Ⅱ级、Ⅲ级网络与信息安全突发事件后,决定启动本预案,组织应急处置工作。如网络与信息安全突发事件属于I级、Ⅱ级的,向上级信息化主管部门通报并协调有关部门配合处置。
h) 研究提出网络与信息安全应急机制建设规划,检查、指导和督促网络与信息安全应急机制建设。指导督促重要信息系统应急预案的修订和完善,检查落实预案执行情况。
i) 指导应对网络与信息安全突发事件的科学研究、预案演习、宣传培训,督促应急保障体系建设。
j) 及时收集网络与信息安全突发事件相关信息,分析重要信息并提出处置建议。对可能演变为I级、Ⅱ级、Ⅲ级的网络与信息安全突发事件,应及时向单位领导提出启动本预案的建议。
k) 负责提供技术咨询、技术支持,参与重要信息的研判、网络与信息安全突发事件的调查和总结评估工作,进行应急处置工作。
处置程序
根据对局近年来信息安全形势的分析,结合信息安全管理工作需要,某单位针对常见网络与信息安全事件的具体处置程序设计如下:
核心业务系统中断或硬件设备故障时的应急处置程序(I级)
事件:当发现核心业务系统中断或硬件设备故障时,启动I级处置程序,具体如下:
a) 迅速判断故障节点,启用备用设备或线路。
l) 如防火墙发生故障,将防火墙最近一次配置备份文件导入到备用防火墙中,然后将故障设备替换为备用设备,设备替换完成之后,首先检查网络的连通性,确认能够正常访问业务系统,然后再检查防火墙的状态及策略是否正常。
m) 如因交换机发生故障,启用备用设备,将故障交换机的备份配置文件导入到备用设备,然后检查各用户的网络访问是否正常。
n) 如发生属于上级信息网络管理部门的网络故障,立即向上级信息网络管理部门报障,要求尽快恢复网络运行,报障电话:( 400-6857-886 )。
o) 责任人:( 王朝龙 )。
门户网站出现非法言论时的应急处置程序(I级)
事件:当发现门户网站或本单位在互联网上运行的其它业务网站出现非法言论时,启动I级处置程序,具体如下:
a) 立即断开网站与互联网的联接,并保存好现场,将该非法信息从网站撤下。
b) 记录当前连接,妥善保存有关记录、日志或审计记录;
c) 追查非法信息来源,向上级主管部门或公安部门报警,报警电话:( 0851-86797786 )。
d) 在强化安全防范措施的基础上,修复网站后,将网站重新联入互联网投入使用。
e) 责任人:( 包兴恋 )。
门户网站及托管系统遭到完整性破坏时的应急处置程序(I级)
事件:当发现门户网站或本单位在互联网上运行的其它业务网站内容被篡改或遭破坏性攻击(包括严重病毒)时,启动I级处置程序,具体如下:
a) 立即断开网站与互联网的连接,并停止系统运行。
b) 首先将被攻击(或病毒感染)的服务器等设备从网络中隔离出来,保护好现场。
c) 由网站及相关业务系统人员负责恢复与重建被攻击或被破坏的系统,恢复系统数据。
d) 追查非法信息来源,向上级主管部门或公安部门报警,报警电话:( 0851-86797786 )。
e) 责任人:( 孙鹏 )。
机房发生火灾时的应急处置程序(I级)
事件:当发生机房发生火灾时,启动I级处置程序,具体如下:
a) 立即撤离机房内的人员,阻止机房外的人员进入,并疏散机房楼层的工作人员;
f) 立即关闭机房总电源;
g) 向消防部门报警,消防报警电话119;
h) 视火灾情况,尽快组织进行灭火救灾;
i) 尽可能地关闭机房内的设备和系统,减少损失;
j) 责任人:( 孙鹏 )。
网络系统中断或硬件设备故障时的应急处置程序(II级)
事件:当发现网络系统中断或硬件设备故障时,启动II级处置程序,具体如下:
a) 迅速判断故障节点,启用备用设备或线路。
k) 如防火墙发生故障,将防火墙最近一次配置备份文件导入到备用防火墙中,然后将故障设备替换为备用设备,设备替换完成之后,首先检查网络的连通性,确认能够正常访问单位门户网站等互联网相关应用,然后再检查防火墙的状态及策略是否正常。
l) 如因交换机发生故障,启用备用设备,将故障交换机的备份配置文件导入到备用设备,然后检查各用户的网络访问是否正常。
m) 如发生互联网网出口线路故障,立即向上级信息网络管理部门或电信运营商报障,要求尽快出口链路的通信。上级信息网络管理部门报障电话:( 950808 ),电信运营商报故障电话:( 950808 )。
n) 责任人:( 孙鹏 )。
外网系统遭遇黑客入侵攻击时的应急程序(II级)
事件:当发现门户网站、电子邮件系统等遭遇黑客入侵攻击时,启动II级处置程序,具体如下:
a) 立即断开网站和相关系统与互联网的联接。
o) 使用防火墙对攻击来源进行封堵。
p) 记录当前连接情况,保存相关日志。
q) 向上级主管部门或网监部门报警,报警电话:( 0851-86797786 )。
r) 在强化安全防范措施的基础上,修复网站或相关系统后,将其重新投入使用。
s) 责任人:( 孙鹏 )。
外网系统遭遇拒绝服务攻击时的应急处置程序(II级)
事件:当发现门户网站、电子邮件系统等互联网业务网站遭遇拒绝服务攻击时,启动II级处置程序,具体如下:
a) 使用防火墙对攻击来源进行封堵。
t) 更改DNS解析,将拒绝服务攻击分流。
u) 记录当前连接情况,保存相关日志。
v) 通过以上程序仍无法解决时,即断开网站与互联网的联接,并向上级主管部门或公安部门报警,报警电话:( 0851-86797786 )。
w) 在互联网管理部门和公安部门的协助下解决此项应急工作。
x) 责任人( 方云 )。
网站数据库发生故障时的应急处置程序(II级)
事件:当发现在门户网站等互联网业务网站的数据库服务器硬件故障,失去数据库服务能力时,启动II级处置程序,具体如下:
a) 在网站首页发布系统升级公告,告知公众网站部分服务暂停。
y) 立即启动数据库容灾程序,启动容灾端数据库服务器服务。
z) 将生产端应用系统的数据库连接指向数据库容灾服务器。
aa) 生产端硬件系统修复,重建生产端数据库服务能力,修复后,停止容灾端数据库服务,将生产端应用系统的数据库连接指向生产端数据库服务器。
ab) 如果2个小时内仍无法恢复,应立即向相关厂商请求紧急支援。
ac) 责任人:( 方云 )。
电子邮件系统无法提供服务的应急处置程序(II级)
事件:当发现电子邮件系统无法提供服务时,启动II级处置程序,具体如下:
a) 对故障排除所需要的时间进行评估。
b) 如恢复时间在2小时以内,尽快组织技术人员对系统进行恢复。
c) 如恢复时间超过2小时,应通过办公或网站系统向各处室工作人员告知。
d) 责任人:( 李占涛 )。
电视电话会议系统无法提供服务的应急处置程序(II级)
事件:当发现应急指挥系统无法提供服务时,启动II级处置程序,具体如下:
a) 判断故障节点,尽快恢复。
e) 因核心设备故障,例如,控制主机、多媒体视频矩阵和音频矩阵等核心设备故障,应立即安装调试备用设备,在安装调试完成后,检查系统是否正常工作。
f) 如主干线路故障,应立即切换到备用链路。
g) 分会场的系统出现设备与信号故障或网络中断时,应急小组要远程或派人到现场处理。
h) 如确认为网络线路故障,应立即向运营商请求支援,电话:( 10086 )。
i) 责任人:( 陈建 )。
外部电源中断后的应急程序(II级)
事件:当发现外部电源中断故障时,启动II级处置程序,具体如下:
a) 手动切换至备用供电线路。
j) 立即查明断电原因。
k) 如因局内部线路故障,迅速联系物业管理部门恢复供电。
l) 预计停电1小时以内,由UPS供电(适用无备用供电线路的情况)。
m) 停电超过1小时,关闭网络设备、服务器、精密空调、UPS电源设备和配电柜总开关等设备,并关闭机房所有设备。
n) 责任人:( 李占涛 )。
后期处置
a) 善后处理
在应急处置工作结束后,要迅速采取措施,抓紧组织抢修受损的基础设施,减少损失,尽快恢复正常工作。统计各种数据,查明原因,对事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,并迅速组织实施。有关部门要提供必要的人员和技术、物资和装备以及资金等支持。
b) 调查评估
在应急处置工作结束后,应立即组织有关人员和专家组成事件调查组,对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失情况,总结经验教训,写出调查评估报告,报告信息安全领导小组,并根据后果的严重程度对造成事件的有关责任人员做出处理。
保障措施
本项内容包括:
a) 应急装备保障
重要网络与信息系统在建设系统时应事先预留一定的应急设备,建立信息网络硬件、软件、应急救援设备等应急物资库。在网络与信息安全突发事件发生时,由应急响应小组负责统一调用。
b) 数据保障
重要信息系统均应建立备份系统和相关工作机制,保证重要数据在受到破坏后,可紧急恢复。
c) 应急队伍保障
按照一专多能的要求建立网络信息安全应急保障队伍。选择若干经国家有关部门资质认可的、管理规范、服务能力较强的单位或部门作为局网络与信息安全的应急支援单位,提供技术支持与服务。
d) 经费保障
网络与信息安全突发事件应急处置专项经费,应列入年度预算,切实予以保障。
监督管理
本项内容包括:
a) 宣传教育
要加强对网络与信息安全等方面的知识培训,提高防范意识及技能,指定专人负责安全技术工作。并将网络与信息安全突发事件的应急管理、工作流程等列为培训内容,增强应急处置工作的组织能力。
p) 演练
建立应急预案演练制度。通过演练,发现应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力。
q) 责任与奖惩
各相关部门和单位要认真贯彻落实本预案的各项要求,信息安全领导小组将不定期组织检查,对未有效落实预案各项规定的部门和个人进行通报批评。对在网络与信息安全突发事件应急处置中做出突出贡献的集体和个人,给予表彰奖励;对在网络与信息安全突发事件预防和应急处置中有玩忽职守、失职等行为者,依法依规追究责任。
附则
本项内容包括:
a) 本预案由( 技术部 )部门负责解释。
b) 本预案自发布之日起生效执行。
c) 紧急情况处理细则:
1、 网站内容由具体负责人员密切监视,每天不少于一 小时。发现网上出现非法信息时,应立即向单位网络安全分 管领导报告情况;情况紧急的应先及时采取删除等处理措 施,再按程序报告。
2、 单位网络安全分管领导接到报告后,应于二十分钟 内核实情况,并协调技术人员做好清理非法信息、作好必要 的记录,强化安全防范措施等工作。
3、 网站维护工作人员应立即追查非法信息来源,并妥 善保存有关记录及日志。
4、 网络安全分管领导召开安全相关会议,如认为情况 严重,4小时内向有关上级机关和公安部门报警。
1、 如网页内容被篡改时,应立即单位分管网络安全分管 领导通报情况。
2、 网络安全分管领导接到报告后,应于十分钟内核实 情况,并协调技术人员网络安全员开展应对工作,网络安全 员应在十分钟内首先应将被攻击的服务器等设备从网络中 隔离出来,并保护好现场。
5、 网络安全分管领导召开安全相关会议,如认为情况 严重,则立即向公安部门或上级机关报警。
1、 当发现计算机感染有病毒后,应立即将该机从网络 上隔离出来。
3、 启用反病毒软件对该机进行杀毒处理,同时进行病 毒检测软件对其他机器进行病毒扫描和清除工作。
4、 如发现反病毒软件无法清楚该病毒,应立即向网络 安全分管领导报告。
5、 网络安全分管领导接到报告后,应协调技术人员做 好病毒查杀工作。
6、 经技术人员确认确实无法查杀该病毒后,应作好相 关记录,并迅速联系有关产品商研究解决。
7、 网络安全分管领导召开安全相关会议,认为情况极 为严重,应立即向公安部门或上级机关报告。
时一份放在机房,另一份放在另一安全的建筑物中。
2、一旦数据库崩溃,应立即向网络安全分管领导报告, 数据库安全员应试图排查问题,如遇无法解决的问题,立即 向上级单位或软硬件提供商请求支援。
1、 广域网中断后,有关人员应立即启动备用线路接续 工作,同时向网络管理员报告。
2、 网络管理员接到报告后,应迅速判断故障节点,查 明故障原因。
3、 如属我方管辖范围,网络管理员要立即予以恢复。 如遇无法恢复情况,立即向有关厂商请求支援。
4、 如属电信部门管辖范围,立即与电信维护部门联系, 请求修复。
1、 局域网中断后,网络管理员应立即判断故障节点, 查明故障原因,并向网络安全分管领导汇报。
3、 如属路由器、交换机等网络设备故障,应立即与设 备提供商联系更换设备,并调试畅通。
4、 如属路由器、交换机配置文件破坏,应迅速按照要 求重新配置,并调试畅通。如遇无法解决的技术问题,立即 向上级单位或有关厂商请求支援。
1、 服务器等关键设备损坏后,有关人员应立即向网络 管理员通报。
4、 如果不能自行恢复的,立即与设备提供商联系,请 求派维修人员前来维修。