网络信息安全应急响应预案(12篇)
1.网络信息安全应急响应预案 篇一
网络与信息安全应急预案
为了规范公司信息应急处理的程序和内容,提高应急处理能力,完善应急机制,确保公司网站系统的安全、稳定运行,特制定信息安全应急预案。
一、应急预案的目的
根据我司的系统情况应急处理应坚持“积极预防,严格控制,防控并重”的原则。在认真做好日常管理和监控的基础上,充分做好紧急情况下主站系统的运行管理的应急准备,健全防控措施,完善处理机制,加强应急演练,确保在应急情况下做到反应迅速,处置果断,保障到位。
二、应急情况的标准
当出现以下所列情况之一时,应确认已达到应急情况标准,并迅速启动相应的应急处理程序:
1、主站系统无法访问。
2、主站服务器控制权限被接管。
3、主站内容被恶意篡改。
4、主站硬件设备被人为破坏。
5、上级确定的其它紧急情况。
三、组织机构及职责
为保证应急情况下应急机制的迅速启动和指挥顺畅,应设立应急小组,小组人员配置及职责如下:
组 长:岳 浪
副组长:王 灵
成 员:李俊峰 刘家瑞
当应急预案启动后,应急小组将自动成立并担负如下职责:
1、向上级汇报应急行动的进展情况和向有关单位通报相关情况;
2、传达上级的有关指示精神;
3、研究布置应急行动有关具体事宜;
4、应急行动期间的组织指挥;
5、负责应急行动的宣传教育和有关解释工作;
6、负责与有关单位进行重大事项的工作协调;
7、负责应急行动其它的有关组织领导工作。
8、负责应急行动技术支持工作;
9、负责应急行动的网站内容编辑工作;
10、研究布置并组织应急行动期间网站监管的有关事项;
11、认真详细地做好监管值班记录;
12、向上级汇报网站监管的情况;
13、完成上级赋予的其它任务。
四、应急行动的基本程序和主要内容
预测情况一:网站主页或重要的网页被修改
在工作人员发现网站主页或其他重要的网页被修改的情况后执行该预案。
1、首先切断主服务器的网络连接。
2、通知相关的人员进行修复,并更新相关数据。
3、整理事件的完整过程并按程序上报相关部门。
预测情况二:网站无法访问,但服务器网页未被修改
1、通知相关人员,包括技术人员,主要的责任领导等。
2、检查网络情况,尽力确定流量的来源与堵赛点。
3、检查服务器,严防骇客植入木马等进一步的破坏行为。
4、必要时采用重新启动服务器/更换IP地址等方式恢复服务。
5、整理事件的完整过程并按程序上报上级相关部门。
五、应急行动的基本制度
(一)值班制度
应急行动启动后,应急小组应在工作时间实时监测主站运行状态,工作开展情况应坚持每日向相关部门汇报情况。
(二)请示汇报制度
应急程序实施期间,应急小组在坚持每日值班汇报的前提下,遇有重大情况和自身不能处理的事项应及时向上级部门汇报。
(三)演练制度
为保证应急行动的能力,应定期组织应急行动演练,日常情况下每年至少组织一次应急行动的综合演练,遇有可预见的应急情况,应在事前组织演练,以提高处理应急事件的能力。
六、应急物资器材保障
应急行动所需的物资器材应给予充分保障,以确保应急预案落到实处,应坚持对应急行动的设备器材进行定期维护保养,保证完好率达到95%以上,所需的物资应坚持定期补充和更换,始终保持有效性,及时检查备用物资的可靠性。
七、日常工作中需为应急行动做好的有关工作
(一)关键网络设备及服务器备件先行服务;
(二)网站安全检测服务;
1、安排工作人员加强主站的监控,发现问题及时报告上级,并采取初步的应急处理措施;
2、通过对操作系统和网络服务安全漏洞的周期检测,实现Web站点主机的安全。
(三)网站安全紧急救援服务;
记录厂商联系人的联系方式,出现问题后能及时得到厂商援助。
(四)网站数据日常备份
节假日期间照常进行数据备份,确保关键数据安全。
(五)网站相关技术文档及时更新;
建立值班日志制度,要求值班人员每日更新日志和相关技术文档。
2.网络信息安全应急响应预案 篇二
网络信息安全已经经历了以下4个阶段:通信安全、计算机安全、网络安全以及内容安全。其中, 运行安全层面主要包括了网络安全和计算机安全, 而物理安全也就是我们平常所说的信息系统基础设施的保护。
目前, 有关部门非常关注信息安全应急处理的工作, 因此研究人员对此献策, 提出了许多可行性的建议, 有的提出了若干个应急预案, 此外对于怎样建立科学的体系也做出了不少的努力。尽管我们做出了许多努力, 但是依然存在问题, 比如: 普遍缺乏可操作性。我们的应急响应理论还存在弊端, 需要进一步完善。此外, 许多问题依然存在于应急响应的策略以及技术之中, 需要我们去解决。因此, 当下的第一要务是对应急响应理论、体系以及关键的技术进行分析和研究, 找出解决的办法。
1 应急响应的基本内容
1.1 应急响应
应急响应属于紧急措施的一种, 其可以发生在事件之前, 也可以发生在事件之后, 主要是为了应对各种安全事件。当网络健康基础设施被攻击, 那么网络就会变得脆弱, 而应急响应的目的是缩短破坏的时间, 让网络基础设施在最短的时间之中得到恢复。
目前的应急响应主要分为五个环节, 分别是:管理、准备、分析、响应以及服务。针对组织间的职责的划分就是管理。安全事件的类型是不同的, 因此准备就是根据不同的类型进行应急预案的制定。当安全事件发生之后, 响应会采取检测、恢复、遏制以及根除这4种方法来对信息系统的弱点进行有效、快速的响应, 做到及时沟通, 此外采取合适的保护措施, 对敏感资料以及重要的数据资源进行保护, 因此系统就会得到保护, 损失也会降到最低。分析可以给安全策略调整提供一定的依据。
1.2 信息安全事件
在一般情况下, 我们将信息系统、服务或者网络的一种可识别状态的发生称作信息安全事件。信息安全事件主要包括以下3个内容: (1) 违反信息安全策略。 (2) 保护措施的失效。 (3) 不可以预知的不安全状况。事件具有一般性, 主要指的是系统状态的改变。
信息安全事故可能引发信息资产的丢失以及损害。而事故则侧重于损害的发生, 因此具有特殊性。在认定事故时, 需要较长的时间, 这是因为需要按照一定的程序进行。在应急响应体系中, 我们使用了事件一词, 主要是为了保证快速反应。信息安全事件具有以下特点:规律性、偶然性、可预测性、再现性、潜在性以及必然性。而事件一般则包含3个阶段, 即:孕育、生长以及损失。从这些特点中我们看出对于信息安全事件的预防是可行的, 也是首要任务。当事件发生之后, 应急响应也可以降低损失。
1.3 应急响应系统的总体架构
我们可以对应急响应体系进行划分, 可以划分为:两个组和两个中心, 也就是专业应急组、应急管理组;应急响应中心和信息共享与分析中心。
系统的最高层是信息共享与分析中心, 该中心主要是对各级组织信息的交换以及共享进行负责, 因此主要包括以下几个功能:预警发布、事件跟踪、收集和整理信息。而整个应急响应体系的核心任务主要包括:预案管理、应急响应、信息安全事件分类等。
应急管理组属于总协调机构, 主要针对整个体系以及联动动作进行协调, 比如:专家咨询组、策略制定组以及技术研发组。
专业应急组的目标是对安全事件进行直接的应对, 而客户则是面对安全事件的最直接的实体。一方面, 客户开拓对ISAC提供的信息进行查看, 如果有需要则可以和实体进行联动, 也可以接受CERT提供的服务。另一方面, 也需要及时的将安全事件信息进行上报。
2 应急响应体系的层次结构
笔者针对突出事件和应急体系的联动, 经过研究提出了一个“8641”应急响应体系层次结构。“8641”应急响应体系层次结构主要的内容是:应急响应、四位一体、六面防护以及八方威胁。
安全事件是八方组成应急响应体系的对象。我们可以根据严重程度对八类事件进行划分和编号, 其中1类的程序最轻, 属于有害程序事件。8类的程序最为严重, 我们称之为网络战争。安全事件之间往往是有联系的, 因此并不是孤立的。其中, 网络战争属于多种安全事件的联合攻击行动。
技术防御层属于应急响应体系的最外层, 其是由六面组成的, 即:事件跟踪、网络监审、风险评估、预防指南、指挥协调机构以及监测预警机构。
组织保障层属于应急响应体系的次外层, 该保障体系是由以下几个部分组成的:应急小组、监测预警机构、指挥协调机构以及专家顾问组等。
响应实施层属于应急相应体系的核心层, 其有三个含义, 分别是: (1) 一个容灾备份中心。 (2) 一个目标。 (3) 一个应急响应功能实体。应急响应功能实体是由以下6个模块组成的:应急管理、信息发布、预警发布、应急相应、事件分类以及恢复重建。这些模块一起对应急响应的核心任务进行执行。保证核心资产安全是应急响应的目标, 也就是重要应用信息系统的安全以及重要应用网络的安全。整个应急响应体系的细胞核可以说是容灾备份, 属于最高的安全级别。
3 应急响应体系的联动
应急响应体系的功能要想得到全面的发挥, 就需要实体之间的联动。在应急体系结构之中, 如果层级机构图和圆形布局接近, 就说明其层内实体之间的联系就紧密, 也就是说联动活跃度高。从核心层、次外层到外层, 区域越来越大, 因此功能也就变得越来越简单, 活跃度也会下降。
技术防御层的六个实体间的因果关系传递为联动提供了基础。而组织保障层的四个实体间的联动紧密, 如果有必要可以实现点到点的直接传递。
技术防御层的联动。“等级保护”的确立需要“风险评估”给出安全需求。而“入侵检测”的确定则需要使用“等级保护”给出保护措施。“网络监审”的确定则需要使用“入侵检测”对漏洞和 威胁进行发现。在“网络监审”发现安全事件的基础上, 就可以进行“事件跟踪”了。使用“事件跟踪”开展行为分析, 这样就可以对”预防指南“的调整进行确定。
技术防御需要解决的第一个问题是“风险评估”, 可以说系统的安全风险直接决定了技术防御的强度。安全风险值的得出是建立在风险评估的基础上的。风险评估主要是对以下三个要素进行分析:脆弱性、威胁以及资产。在此基础上就可以获得系统的安全风险值, 这样系统的安全需求就会被导出。
4 结束语
安全事件频发, 这和网络以及系统的越发复杂有着直接的联系。传统的应对方法显然不能满足需要, 比如:单一的以安全为主的应对策略。因此, 我们需要使用全面的技术来解决和应对大规模网络突发事件。此外, 还需要配合多发的参与和协调以及安全管理, 这也是应急响应提出的背景。本文主要对网络与信息安全事件应急响应体系层次结构与联动思路进行了分析和探讨, 希望这些分析对同行有借鉴的意义。
参考文献
[1]张玉清, 高有行.网络安全事件应急响应联动系统研究[J].计算机工程.2012 (2) .
3.网络信息安全应急响应预案 篇三
关键词:突发事件;应急预案;启动、响应问题
突发事件是指突然发生,造成或者可能造成重大人员伤亡、财产损失、生态环境破坏和严重社会危害,危及公共安全,需要立即处理的紧急事件。高校突发事件也就是发生在或涉及高等学校校园内部的突发事件。根据高校突发事件的概念,社会关注程度、危害范围、危害程度以及发生频率,综合考虑,高校突发事件可以从宏观上分为:高校突发环境公共事件,突发自然灾害事故,突发群体性事件,突发人身伤害、死亡事件以及突发治安、刑事案件。
一、不同类型高校突发事件应急预案启动、响应问题研究思路
对于不同类型高校稳定安全突发事件应急预案启动、响应问题的研究,技术性方法很多,我们着重从“程序”合理、合法性和“实体内容”适用、可操作性两个方面进行研究。因为“程序”的合理、合法是对“实体内容”适用、可操作性的重要保证。所以对于每一类型的突发事件,我们将依据特定的程序,充实丰富实体内容,从而保证突发事件应急预案启动、响应的适用性和可操作性。
二、影响范围广,处置技术性要求较高的突发事件应急预案启动、响应的问题
1.高校突发环境公共事件,主要包括水污染事件、有毒有害气泄漏事件、实验室放射性物质污染环境事件
由于该类事件影响范围广,危害性强,危害后果在时间和空间上具有广延性,处置的技术性要求比较高。所以高校突发环境公共事件启动、响应问题,除做到以上谈及的六点要求外,还要做到:控制污染继续发展是前提,救治伤者是重点,消除潜在的安全隐患是根本。所以应急预案启动、响应重点应做好以下工作。一是立即报告主管部门突发事件发生区域,封锁污染区域,紧急疏散无关人员,禁止人员靠近。目的是控制污染范围的进一步扩大。在划定“封锁区域时”要以初步认定的“污染源”为中心向四周辐射。二是及时拨打急救电话“120”,报警电话“110”,并将接触人员送往医院进行检查和救治。救治“密切接触人员”时,要按照“120”急救人员的要求,全力做好协助工作。三是由主管部门组织专家勘察现场,确认或重新划定突发事件发生区域。保证突发事件控制、处置的有效性。四是向国家主管机关或职能部门报告突发事件的基本情况。
2.突发群体性事件,主要包括群体性卫生事件,群体性政治事件,群体性伤亡事件
由于该类事件具有人员多、规模大,集中爆发的特点。常伴有人员伤、亡和财物受损的情况发生。所以处置该类突发事件,要遵循“宜解不宜结,宜顺不宜激”“宜分散不宜聚集”的处置原则。一是及时拨打急救电话“120”,拨打报警电话“110”。救治受伤人员,做好聚集人员劝导和现场警戒工作,目的是防止事态进一步扩大和新的伤亡发生。二是及时掌握突发事件的基本情况,包括时间、地点、规模、事件组织形式和人员伤亡情况等,并向教育行政主管机关和公安机关报告。三是依据高校突发事件社会影响由发生区域或核心向周边跳跃性、不连续性发展的特点,掐断其与外界横向和纵向的联系。具体为掐断其与社会人员的联系;掐断其与周边高校的联系、呼应;掐断高校内部院系之间的联系、呼应。目的是防止事态扩大和蔓延,将事态控制在一定的范围内。四是掌握突发事件发生的核心问题、核心人物,以所属学院为单位,以思想政治辅导员为主力队伍,突出抓好对不明真相人员的思想政治工作,并可视情况配合公安机关对带头闹事的违法人员采取必要的强制措施。五是在处置过程中注意收集各类信息和证据,为事件的进一步处置提供依据。六是查清突发事件发生的原因,并对突发事件造成的危害和影响进行专业评估。
3.高校突发自然灾害事故,主要包括由自然现象引起的火灾、地震、泥石流等灾害事故
由于该类事件具有不可预见性、突发性和破坏性的特点,所以处理该类事件要遵循严防次生灾害发生,及时救助伤者,寻求专业技术救援和做好伤者的心理辅助治疗的原则。一是立即拨打急救电话“120”、报警电话“110”或火警电话“119”。报告灾害发生时间、地点、受灾概略范围(面积)、灾害程度等。二是及时向上级主管部门报告灾害的基本情况。初步划定灾害范围和区域,对灾害进展情况指定专门机构和人员实施动态的监测,对灾害区域实施警戒。三是协助医疗机构救治伤者,并及时向教育行政主管部门和国家行政机关报告。四是正确评估灾害影响的程度和救援工作的重点和难点,严防次生灾害的发生。
三、需要国家司法、行政机关介入处置的事件应急预案启动、响应的问题
这一大类的事件包括突发人身伤害、死亡事件;突发治安、刑事案件。这类事件分为两部分,一部分属于意外事件,不具有行政违法性或刑事犯罪性,不需要追究行政、民事、刑事责任的事件。比如说意外死亡事件(猝死等)、疾病死亡事件等。另一部分属于具有行政违法性或刑事犯罪性的案件,需要国家司法、行政机关立案侦查,并追究相关人员责任的案件。无论是以上哪一部分事件(案件),其处置程序都应该是一样的。在处置以上两类事件时,重点关注程序的合理、合法性问题。尤其是第一部分“意外事件”的处置,程序的合法性至关重要。高校的许多“信访”或“缠访”事件大多数是由于程序的合理、合法性被忽略导致的。一是迅速拨打急救电话“120”,积极协助医护人员救助伤者。二是及时向上级主管部门报告事件或案件的基本情况,保护好事件或案件现场,并及时拨打报警电话“110”;由公安机关或司法机关对事件或案件现场进行勘查;对当事人或知情人展开调查。三是及时通知相关学生家属或近亲属,讲明事件或案件的基本情况。四是协助公安机关勘查现场,展开外围调查工作;五是由公安机关认定事件性质,并由公安机关向相关学生家属通报事件性质,家属若有疑问可直接向公安机关问明情况。六是事件一旦被公安机关认定为案件,即由公安机关立案查处。
参考文献:
[1]王强.试论高校突发事件及其应对措施[J].陕西教育学院学报,2005.
[2]黄嫆.浅谈新形势下高校突发事件应急管理机制的建设[J].课程教育研究,2012.
[3]朱维林.浅议高校突发事件防控与思想政治教育[J].科技信息,2011.
作者简介:任恩岐,男,1979年生,汉族,陕西渭南人。工作单位:西安科技大学,法律本科学历,助理工程师。研究方向:高校稳定安全。
4.网络与信息安全应急预案 篇四
目录
1.总则
1.1编制目的…………………………………………
31.2工作原则…………………………………………3
1.3制定依据…………………………………………
41.4现状及其成因……………………………………4
1.5适用范围………………
…………………………
52.组织机构及职责
2.1应急指挥机构……………………………………5
2.2县信息安全专项应急委各成员单位的职责……7
2.3现场应急处理工作组……………………………7
2.4应急指挥机构…………………………………8
3预警和预防机制
3.1信息监测及报告…………………………………8
3.2预警.……………………………………………9
3.3预警支持系统……………………………………9
3.4预防机制…………………………………………9
4应急处理程序
4.1级别的确定………………………………………10
4.2预案启动…………………………………………1
14.3现场应急处理……………………………………11
4.4报告和总结………………………………………1
24.5应急行动结束……………………………………13
5保障措施
5.1技术支撑保障……………………………………13
5.2应急队伍保障……………………………………13
5.3物质条件保障……………………………………13
5.4技术储备保障……………………………………14
6宣传、培训和演习
6.1公众信息交流……………………………………1
46.2人员培训…………………………………………14
6.3应急演习…………………………………………14
7监督检查与奖惩
7.1预案执行监督……………………………………14
7.2奖惩与责任………………………………………1
58附则………………………………………………16
附件一:__县网络与信息安全应急处理组织机构…19
附件二:重大信息安全事件报告……………………20
附件三:重大信息安全事件处理结果报告…………
21附件四:单位自行应急处理指南………………………221、总则
1.1编制目的为科学应对网络与信息安全(以下简称信息安全)突发事件,建立健全信息安全应急响应机制,有效预防、及时控制和最大限度的消除信息安全各类突发事件的危害和影响,制定本应急预案。
1.2工作原则
__县网络与信息安全突发事件应急工作,由__县网络与信息安全专项应急委员会统一领导和协调,督促相关部门遵照“统一领导、归口负责、综合协调、各负其职”的原则协同配合、具体实施,完善应急工作体系和机制。
各乡镇人民政府办公室、县直各部门和有关单位,按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求,依法对信息安全突发事件进行防范、监测、预警、报告、响应、指挥和协调、控制。按照“谁主管、谁负责,谁运营、谁负责”的原则,实行责任制和责任追究制。
我县要充分利用现有信息安全应急支援服务设施,整合我县所属信息安全工作力量,充分依靠省市各有关部门在地方的信息安全工作力量,进一步完善应急响应服务体系。
大力宣传信息安全防范知识,贯彻预防为主的思想,树立常备不懈的观念,经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备,加强对信息安全隐患的日常监测,发现和防范重大信息安全突发性事件,及时采取有效的可控措施,迅速控制事件影响范围,力争将损失降到最低程度。
1.3制定依据
《中华人民共和国计算机信息系统安全保护条例》;《中共中央办公厅、国务院办公厅转发〈国家信息化领导小组关于加强网络与信息安全保障工作的意见〉的通知》;《陕西省人民政府办公厅关于认真做好突发公共事件应急预案制定工作的通知》;《延安市人民政府有关部门和单位制定突发事件专项应急预案框架指南》。
1.4现状及其成因
当我们正在享受信息化所带来巨大利益的同时,也面临着信息安全问题的严峻考验。信息安全问题已覆盖了各个领域。特别是信息与网络犯罪有快速蔓延之势。反动邪教组织和境内外敌对势力利用因特网从事各种违法犯罪活动,严重影响着社会稳定、经济发展和政权巩固。近年来,随着我国信息化进程的迅速发展,网络安全也需不断加强。信息安全保障基础工作和技术保障措施相对薄弱,与信息化快速发展的要求和日趋严峻的信息安全形势很不协调。
信息安全突发事件成因可分为两个方面:一是网络与信息
系统自身的脆弱性,主要表现在:安全漏洞的普遍性存在,攻击和恶意代码的流行性,入侵检测能力的局限性和准确性,网络和系统管理的复杂性。二是网络与信息系统外部体制性的不安全性,主要表现在:信息安全法制不健全,全社会的信息安全意识淡薄,我县信息安全自主可控能力不强,技术防御整体水平不高,信息安全专业人才相对缺乏,专业队伍建设严重滞后。
1.5适
用范围
本预案适用我县网络与信息安全应急处理工作。
基础通信网络的应急处理按照信息产业部有关规定实施,__县人民政府积极支持和配合。
2、组织机构及职责
2.1应急指挥机构
2.1.1__县网络与信息安全突发事件专项应急委员会
在__县应急委员会的统一领导下,设立县网络与信息安全突发事件专项应急委员会(以下简称县信息安全专项应急委),为__县人民政府处理信息安全突发事件应急工作的综合性议事、协调机构。主要职责是:按照国家、县信息安全应急机构的要求开展处置工作;研究决定全县信息安全应急工作的有关重大问题;决定信息安全突发事件应急预案的启动,组织力量对突发事件进行处置。
县信息安全专项应急委,由__县人民政府办公室主任担任主任职务,__县信息办主任担任副主任职务,成员由__县人民政府信息网络中心、县公安局、县电视台、县财政局、县电信局及其他有关单位负责人组成。
县信息安全专项应急委下设办公室,设在__县人民政府办公室信息网络中心。由县信息化管理办公室主任任主任,承担县信息安全专项应急委的日常工作,负责全县信息安全突发事件日常监测与预警。其主要职责是:
督促落实__县应急委和__县信息安全专项应急委作出的决定和采取的措施;
拟订或者组织拟订县人民政府应对信息安全突发事件的工作规划和应急预案,报县人民政府批准后组织实施;
督促检查县直有关部门和乡镇信息安全专项应急预案的制订、修订和执行情况;
汇总有关信息安全突发事件的各种重要信息,进行综合分析,并提出建议;
监督检查县直有关部门和乡镇信息安全专项应急委的信息安全突发事件预防、应急准备、应急处置和事后恢复与重建工作;
组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划,报县人民政府批准后督促落实;
县应急委和县信息安全专项应急委交办的其他工作。
2.1.2__县信息安全应急指挥部
在发生重大信息安全突发事件时,县信息安全专项应急委可以决定启动县信息安全应急指挥部,由分管信息化工作的副县长任总指挥,__县信息管理办公室主任担任副总指挥,统一指挥重大信息安全突发事件的处置工作。其主要职责是:组织组判定突发事件级别,根据情况提出加强或撤销控制措施的建议和意见;组织召开部门协调会议,协调县直各部门、各乡镇人民政府、企事业单位共同做好突发事件处置工作;检查督导突发事件应急措施的落实情况;及时收集、上报和通报突发事件有关情况,负责向县人民政府报告有关工作情况。
2.2__县信息安全专项应急委各成员单位的职责
县信息办:统筹规划建设应急处理技术平台,会同县公安局、县电信局等有关部门组织制定全县突发事件应急处理政策文件及技术方案。负责向县人民政府报告有关工作情况。
县公安局:严密监控境内互联网有害信息传播情况,制止互联网上发生对社会热点和敏感问题的恶意炒作,监测政府网站、新闻网站、门户网站的重大活动及运行安全。对发生重大计算机病毒疫情和大规模网络攻击事件进行预防和处置。依法查处网上散布谣言、制造恐慌、扰乱社会秩序、恶意攻击党和政府的有害信息。打击攻击、破坏网络安全运行等违法犯罪行为。
县财政局:制定经费保障相关政策及方案;保证应急处理体系建设和突发事件应急处理所需经费。
县电信局:提供可靠的网络软硬设施,协同公安系统,严厉打击破坏通信设施的犯罪分子,保证网络线路信息畅通。
2.3现场应急处理工作组
现场应急处理工作组,在出现安全事件后,对计算机系统和网络安全事件的处理提供技术支持和指导,遵循正确的流程,采取正确快速的行动作出响应,提出事件统计分析报告。
现场应急处理工作组由以下各方面的人员组成:
管理方面包含应急指挥部办公室主任或副主任,以及相关成员单位领导及部门负责人。主要确保安全策略的制定与执行;识别网络与信息系统正常运行的主要威胁;在出现问题时决定所采取行动的先后顺序;做出关键的决定;批准例外的特殊情况等。
技术方面县信息安全有关技术支撑机构技术人员。主要负责从技术方面处理发生问题的系统;检测入侵事件,并采取技术手段来降低损失。
2.4应急指挥机构
信息安全事件应急组织体系详见附件
(一)3、预警和预防机制
3.1信息监测及报告
3.1.1__县公安局、县通信、县信息办等部门应加强信息安全监测、分析和预警工作,进一步提高信息安全监察执法能力,加大对计算机犯罪的打击力度。
3.1.2建立信息安全事故报告制度,设立信息安全情况通报中心。
3.1.2.1发生信息安全突发事件的单位应当在事件发生后,应当立即向县信息安全专项应急委办公室报告。县直单位直接向县信息安全专项应急委办公室报告。
3.1.2.2发生信息安全突发事件的单位应当立即对发生的事件进行调查核实、保存相关证据,并在事件被发现或应当被发现时起及时将有关材料报至县信息安全专项应急委办公室。
3.2预警
__县信息安全专项应急委办公室接到信息安全突发事件报告后,应当经初步核实后,将有关情况及时向办公室主任报告,进一步进行情况综合,研究分析可能造成损害的程度,提出初步行动对策。并及时报县应急委办公室。办公室主任视情况召集协调会,决策行动方案。
3.3预警支持系统
__县信息安全专项应急委办公室应建立和完善信息监测、传递网络和指挥决策支持系统,要保证资源共享、运转正常、指挥有力。
3.4预防机制
积极推行信息安全等级保护,逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定并不断完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件,各相关部门建立制度化、程序化的处理流程。
4、应急处理程序
4.1级别的确定
信息安全事件分级的参考要素包括信息密级、公众影响和资产损失等四项。各参考要素分别说明如下:
(1)信息密级是衡量因信息失窃或泄密所造成的信息安全事件中所涉及信息的重要程度的要素;
(2)公众影响是衡量信息安全事件所造成的负面影响范围和程度的要素;
(3)业务影响是衡量信息安全事件对事发单位正常业务开展所造成的负面影响程度的要素;
(4)资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。
信息安全突发事件级别分为四级:一般(IV级)、较大(III级)、重大(II级)和特别重大(I级)。
IV级:县市区辖区内较大范围出现并可能造成较大损害的其他信息安全事件。
Ⅲ级:市直属重要部门网络与信息系统、重点网站或者关架到本地区社会事务或经济运行的其他网络与信息系统受到大面积严重冲击。
II级:市直重要部门或局部地区基础网络、重要信息系统、重点网站瘫痪,导致业务中断,但纵向或横向延伸可能造成严重社会影响或较大经济损失。
I级:敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动,或者市直单位多地点或多地区基础网络、重要信息系统、重点网站瘫痪,导致业务中断,可能造成严重社会影响或巨大经济损失的信息安全事件。
4.2预案启动
发生IV级网络信息安全事件后,县人民政府启动相应预案,并负责应急处理工作;发生III级网络信息安全事件后,县区人民政府启动相应预案,并由县信息安全应急指挥部负责应急处理工作;发生I、II级的信息安全突发事件后,上报市人民政府启动相应预案,并由市信息安全应急指挥部负责应急处理工作。县信息安全应急指挥部办公室接到报告后,应当立即上报县信息安全应急指挥部的领导,并会同相关成员单位尽快组织专家组对突发事件性质、级别及启动预案的时机进行评估,向县应急委提出启动预案的建议,报县人民政府批准。在县人民政府作出启动预案决定后,县信息安全应急指挥部立即启动应急处理工作。
4.3现场应急处理
事件发生单位和现场应急处理工作组尽最大可能收集事件相关信息,分别事件类别,确定来源,保护证据,以便缩短应急响应时间。
检查威胁造成的结果,评估事件带来的影响和损害:如检查系统、服务、数据的完整性、保密性或可用性,检查攻击者是否侵入了系统,以后是否能再次随意进入,损失的程度,确定暴露出的主要危险等。
抑制事件的影响进一步扩大,限制潜在的损失与破坏。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路,提高系统或网络行为的监控级别,设置陷阱,启用紧急事件下的接管系统,实行特殊“防卫状态”安全警戒等。
根除:在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。与此同时,执法部门和其他相关机构将对攻击源进行定位并采取合适的措施将其中断。
清理系统、数据恢复、运行程序、继续服务。把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应该十分小心,避免出现误操作导致数据的丢失。另外,恢复工作中如果涉及到机密数据,需要额外遵照机密系统的恢复要求。对不同任务的恢复工作的承担单位,要有不同的担保。如果攻击者获得了超级用户的访问权,一次完整的恢复应该强制性地修改所有的口令。
4.4报告和总结
认真回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。发生重大信息安全事件的单位应当在事件处理完毕后5个工作日内将处理结果报信息办备案。重大信息安全事件处理结果报告表见附件三。
4.5应急行动结束
根据信息安全事件的处置进展情况和现场应急处理工作组意见,县信息安全应急指挥部办公室应组织相关部门对信息安全事件的处置情况进行综合评估,并由县信息安全应急指挥部及时向县应急委提出应急行动结束建议,并报县人民政府批准。应急行动是否结束,由县人民政府决定。
5、保障措施
5.1技术支撑保障
__县设立信息安全应急响应中心,建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力:从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。
5.2应急队伍保障
我县要不断加强信息安全人才培养,进一步强化信息安全宣传教育,努力建设一支高素质、高技术的信息安全核心人才和管理队伍,提高全社会信息安全防御意识。大力发展信息安全服务业,增强社会应急支援能力。
5.3 物质条件保障
在__县信息化专项资金中安排一定的资金用于预防或应对信息安全突发事件,提供必要的交通运输保障,为信息安全应急处理工作提供可靠的物资保障。
5.4技术储备保障
__县信息安全专项应急委办公室要经常性组织相关技术人员进行培训,在允许的条件下,还可以邀请专家和科研力量,开展应急运作机制、应急处理技术等研究。
6、宣传、培训和演习
6.1公众信息交流
__县信息安全专项应急委办公室在应急预案修订、演练的前后,应利用各种新闻媒介如电视、网络、宣传单等方式进行宣传;并不定期的利用各种安全活动向人们宣传和普及信息安全应急常识。
6.2人员培训
为确保信息安全应急预案高效运行,__县信息安全专项应急委将定期或不定期地举办不同层次、不同类型的培训班或研讨会,以便不同岗位的应急人员都能熟悉掌握信息安全应急处理的知识和技能。
6.3应急演习
为了提高信息安全突发事件应急响应水平,__县信息安全专项应急委应定期或不定期组织预案演练。通过演习,进一步明确应急响应各岗位责任,对网络与信息预案中存在的问题和不足给予及时补充和完善。
7、监督检查与奖惩
7.1预案执行监督
__县信息安全专项应急委办公室负责对预案实施的全过程进行监督检查,督促成员单位按本预案指定的职责采取应急措施,确保及时、到位。
7.1.1发生重大信息安全事件的单位应当按照规定及时如实地报告事件的有关信息,不得瞒报、缓报。如发现任何人有瞒报、缓报、谎报等重大信息安全事件情况时,直接向__县信息安全应专项应急委举报。
7.1.2应急行动结束后,县信息安全专项应急委办公室对相关成员单位采取的应急行动的及时性、有效性进行评估。
7.2奖惩与责任
7.2.1对下列情况经县信息安全专项应急委办公室评估审核,报县信息安全专项应急委批准后予以奖励。
在应急行动中做出特殊贡献的先进单位或个人;在应急行动中提出重要建议方案,节约大量应急资源或避免重大损失的人员;在应急行动第一线做出重大成绩的现场作业人员。
7.2.2在发生重大信息安全事件后,有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的,县信息安全专项应急委办公室将予以通报批评;对造成严重不良后果的,将视情节由有关主管部门追究责任领导和责任人的行政责任;构成犯罪的,由有关部门依法追究其法律责任。
7.2.3对未及时落实县信息安全专项应急委指令,影响应急行动的效果的单位或个人,按《国务院关于特大安全事故行政责任追究的规定》、《陕西省重大事故责任追究制度》追究相关人员的责任。
8、附则
__县人民政府网络与信息安全重大突发事件应急预案,是指由于自然灾害、设备软硬件故障、内部人为失误或破坏、黑客攻击、无线电频率干扰和计算机病毒破坏等原因,__县政府网络与信息系统、关系到国计民生的基础性网络及重要信息系统的正常运行受到严重影响,出现业务中断、系统破坏、数据破坏或信息失窃或泄密等现象,以及境内外敌对势力、敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动,或者对通信网络或信息设施、重点网站进行大规模的破坏活动,在国家安全、社会稳定或公众利益等方面造成不良影响以及造成一定程度直接或间接经济损失的事件。信息安全事件的主体是指信息安全事件的制造者或造成信息安全事件的最终原因。信息安全事件的客体是指受信息安全事件影响或发生信息安全事件的计算机系统或网络系统。依据计算机系统和网络系统的特点,信息安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。
本预案通过演习、实践检验,以及根据应急力量变更、新技术、新资源的应用和应急事件发展趋势,及时进行修订和完善;
本预案所附的成员、通信地址等发生变化时也应随时修订;
本预案由__县人民政府信息化管理办公室会同县公安局、县电信局,报县人民政府批准后实施,授权县信息安全专项应急委办公室负责对本预案附件及附录的修改、审批和实施。
本预案由__县人民政府制定,由__县网络与信息安全专项应急委办公室负责解释。
本预案日常工作主要由__县人民政府信息网络管理中心负责。
联系电话:0911—811256
5传真:0911—81120
21联系地址:__县人民政府办公室信息网络中心
相关机构及人员通信录由县信息化管理办公室编制。
本预案自发布之日起实施。
附件一:
__县人民政府网络与信息安全
应急处理组织机构
一、网络与信息安全专项应急委员会
主任:__县人民政府办公室主任
副主任:__县信息网络中心主任
成员单位:县公安局
县信息网络中心
县财政局
县电信局
二、办公室
主任:__县人民政府办公室主任
副主任:__县信息网络中心主任
三、联络员
县公安局县信息网络中心县财政局县电信局
附件二:
重大信息安全事件报告表
报告时间: 年 月 日 时 分
单位名称:报告人:
联系电话:通讯地址:
传真:电子邮件:
发生重大信息安全事件的网络与信息系统名称及用途:
负责部门:负责人:
重大信息安全事件的简要描述(如以前出现过类似情况也应加以说明):
初步判定的事故原因:
当前采取的应对措施:
本次重大信息安全事件的初步影响状况:
事件后果:
影响范围:严重程度:
值班电话:传真:
附件
3重大信息安全事件处理结果报告表
原事件报告时间: 年 月 日 时 分
备案编号: 年 月 日 第 号 总第 号单位名称:联系人:
联系电话:通讯地址:
网络或信息系统名称及用途:
已采用的安全措施:
重大信息安全事件的补充描述及最后判定的事故原因:
对本次重大信息安全事件的事后影响状况:
事件后果:影响范围:
严重程度:
本次重大信息安全事件的主要处理过程及结果:
针对此类事件应采取的保障网络与信息系统安全的措施和建议:
报告人签名:
附件四:
单位自行应急处理指南
1、网站、网页出现非法言论事件紧急处置措施
(1)网站、网页由主办部门的值班人员负责随时密切监视信息内容。
(2)发现在网上出现非法信息时,值班人员应立即向本单位信息安全负责人通报情况;
(3)信息安全相关负责人应在接到通知后立即赶到现场,作好必要记录,清理非法信息,妥善保存有关记录及日志或审计记录,强化安全防范措施,并将网站网页重新投入使用。
(4)追查非法信息来源,并将有关情况向本单位网络领导小组汇报。
(5)信息化领导小组组长召开小组会议,如认为事态严重,则立即向县人民政府信息化主管部门和公安部门报警。
2、黑客攻击事件紧急处置措施
(1)当有关值班人员发现网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向信息安全负责人通报情况。
(2)信息安全相关负责人应在接到通知后立即赶到现场,并首先将被攻击的服务器等设备从网络中隔离出来,保护现场,并将有关情况向本单位信息化领导小组汇报。
(3)对现场进行分析,并写出分析报告存档。
(4)恢复与重建被攻击或破坏系统
(5)信息化领导小组组长召开小组会议,如认为事态严重,则立即向县人民政府信息化主管部门和公安部门报警。
3、病毒事件紧急处置措施
(1)当发现有计算机被感染上病毒后,应立即向信息安全负责人报告,将该机从网络上隔离开来。
(2)信息安全相关负责人员在接到通报后立即赶到现场。
(3)启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
(4)如果现行反病毒软件无法清除该病毒,应立即向本单位信息化领导小组报告,并迅速联系有关产品商研究解决。
(5)信息化领导小组经会商,认为情况严重的,应立即县人民政府信息化主管部门和公安部门报警。
(6)如果感染病毒的设备是主服务器,经本单位信息化领导小组同意,应立即告知各下属单位做好相应的清查工作。
4、软件系统遭破坏性攻击的紧急处置措施
重要的软件系统平时必须做好备份工作,并将它们保存到安全的地方;一旦软件遭到破坏性攻击,应立即向信息安全负责人报告,并将该系统暂停运行;信息安全负责人要认真检查信息系统的日志等资料,确定攻击来源,并将有关情况向本单位信息化领导小组汇报,再恢复软件系统和数据;信息化领导小组组长召开小组会议,如认为事态严重,则立即向县政府信息化主管部门和公安部门报警。
5、数据库安全紧急处置措施
主要数据库系统应做多个数据库备份;一旦数据库崩溃,值班人员应立即启动备用系统,并向信息安全负责人报告;在备用系统运行期间,信息安全工作人员应对主机系统进行维修并作数据恢复。
6、广域网外部线路中断紧急处置措施
(1)广域网线路中断后,值班人员应立即向信息安全负责人报告。
(2)信息安全相关负责人员接到报告后,应迅速判断故障节点,查明故障原因。
(3)如属我方管辖范围,由信息安全工作人员立即予以恢复。
(4)如属电信部门管辖范围,立即与电信维护部门联系,要求修复。
7、局域网中断紧急处置措施
设备管理部门平时应准备好网络备用设备,存放在指定的位置。局域网中断后,信息安全相关负责人员应立即判断故障节点,查明故障原因,有必要时并向网络安全组组长汇报。如属线路故障,应重新安装线路。如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅。如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调测通畅。如有必要,应向__县人民政府信息化主管部门汇报。
8、设备安全紧急处置措施
如果服务器等关键设备损坏后,值班人员应立即向信息安全负责人报告。信息安全相关负责人员要立即查明原因。如果能够自行恢复,应立即用备件替换受损部件。如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修。如果设备一时不能修复,应向本单位信息化领导小组汇报。
5.学校网络与信息安全事件应急预案 篇五
一、目标:
(一)编制目的
为提高学校教育系统应对突发网络与信息安全事件能力,保障基础信息网络和重要信息系统安全运行,维护国家安全和社会稳定,促进松江教育信息化可持续发展,编制本预案。
(二)编制依据
依据《中华人民共和国国家安全法》、《中华人民共和国电信条例》、《中华人民共和国无线电管理条例》、《中华人民共和国计算机信息系统安全保护条例》、《国家通信保障应急预案》
(三)分类分级
根据网络与信息安全事件的发生原因、性质和机理,网络与信息安全事件主要分为以下三类:
1、攻击类事件:指网络与信息系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。
2、故障类事件:指网络与信息系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。
3、灾害类事件:指因爆炸、火灾、雷击、地震、台风等外力因素导致网络与信息系统损毁,造成业务中断、系统宕机、网络瘫痪等情况。
按照网络与信息安全事件的性质、严重程度、可控性和影响范围,将其分为特别重大(一级)、重大(二级)、较大(三级)和一般(四级)四种。
1、特别重大网络与信息安全事件(一级)。指扩散性很强,并可能衍生其他重大安全事件,或造成全县教育系统的网络或重要信息系统长时间(4天以上)大面积瘫痪(5家以上)。
2、重大网络与信息安全事件(二级)。指扩散性强,或造成全县教育系统的网络或重要信息系统短期内(8小时—4天)大面积瘫痪(5家以上)。
3、较大网络与信息安全事件(三级)。指基本无扩散性,或发生在马坡县教育系统现有责任单位中的部分单位(5家)。
4、一般网络与信息安全事件(四级)。指无扩散性,或发生在教育系统个别责任单位(5家以下)。
(四)工作原则
以人为本,预防为主;统一领导,分级负责;依法规范,加强管理;快速反应,协同应对;依靠科技,资源整合。
二、组织体系
(一)领导机构
附属学校系统网络与信息安全由校长统一领导,成立网络与信息安全领导小组。其日常事务由学校网络与信息安全工作小组负责,提供网络与信息安全事件应急处置技术支持和服务;建设和完善学校教育系统网络与信息安全事件监测预警网络。
(二)网络与信息安全领导小组 组长:王开民 副组长:王开封
李忠华
宋立君
彭万水 成员:赵岩石
徐
波
肖雪玉
李春雷
许雪峰
教研组长及各实验员
三、预防机制
1、学校要根据实际情况建立和完善信息安全监测系统,制定应急预案,提高防范网络攻击、病毒入侵、网络窃密等的能力,防止有害信息传播。
2、学校根据实际情况和需要制定基本的安全管理制度,对重要网络设备、软件和业务数据的安全性进行规范、可靠的管理,提高本单位网络系统的安全防护能力。
3、学校针对内部网络系统制定安全运行管理流程,制定安全事件应急预案,以提高本单位网络安全应急响应能力。
4、学校应定期进行网络与信息安全自查,并针对本单位的实际情况,从物理、网络、系统、应用和数据等多个层面实施网络安全保障工作。
5、学校应定期或不定期组织预案演练,检验应急预案中存在的问题和不足,并及时补充、完善。
6、学校应大力宣传网络安全的基本原理、安全事件的预防措施和应急处理的基本知识,提高本单位人员的网络安全意识水平。
四、应急处置
(一)信息报告
学校网络与信息安全事件发生后,事发单位、责任单位和相关工作机构要按照应急预案和报告制度,在立即组织处置的同时,及时汇总信息并迅速报告上级主管部门。
发生一般网络与信息安全事件,事发单位必须在半小时内向县教育信息中心报告;较大以上网络与信息安全事件或特殊情况,立即报告。
发生重大网络与信息安全事件,县教育信息中心在接报后1小时内向网络与信息安全领导小组口头报告,在2小时内向网络与信息安全领导小组书面报告,并报上级相关部门;特别重大网络与信息安全事件或特殊情况,立即报告。
(二)应急响应
根据网络与信息安全事件的可控性、严重程度和影响范围,应急响应级别分为四级:一级、二级、三级和四级,分别应对特别重大、重大、较大和一般网络与信息安全事件。
1、一、二级应急响应,由学校网络与信息安全工作小组立即报请网络与信息安全领导小组确定应急响应等级和范围,启动相应应急预案,协调有关单位和部门实施应急处置。
2、三、四级响应,由县教育信息中心组织协调具有处置网络与信息安全事件职责的职能部门,调度所需应急资源,协助事发单位开展应急处置。
3、响应程序。网络与信息安全工作小组根据具体的网络与信息安全事件,负责组织协调各类应急响应技术人员和其它行业单位。网络与信息安全工作小组制订具体处置方案,交由网络与信息安全领导小组进行审核批准。网络与信息安全领导小组对网络与信息安全工作小组的方案进行评估,经批准后,网络与信息安全工作小组按处置方案的要求,协调、落实所需的资源。实施处置。县教育信息中心根据网络与信息安全工作小组的要求,按照承担职责和操作权限建立运行机制,执行对网络与信息安全事件的应急处置。
(三)先期处置
学校网络与信息安全事件发生后,事发单位必须在第一时间实施即时处置,并按职责和规定权限启动相关应急预案处置规程,控制事态发展并及时向县教育信息中心报告。
县教育信息中心应在接报事件信息后,及时掌握事件的发展情况,评估事件的影响和可能波及的范围,判断事件的发展态势,根据需要组织各专业人员在各自职责范围内参与网络与信息安全事件的先期应急处置工作,并向网络与信息安全工作小组报告现场动态信息。
(四)应急结束
对于重大和特别重大的网络与信息安全事件,在应急处置工作结束,或者相关危险因素消除后,网络与信息安全领导小组根据网络与信息安全工作小组的建议,决定终止实施应急措施,转入常态管理。
对于一般和较大的网络与信息安全事件,应急结束的判断标准为信息系统和业务恢复正常,由该事件衍生的其它事件已经消失,安全隐患已经消除。由县教育信息中心宣布应急结束,转入常态管理。
五、后期处置
(一)善后处置
网络与信息安全工作小组要积极稳妥、深入细致地搞好善后处置。对参与处置的工作人员,以及紧急调集、征用有关单位、个人的物资,要按照规定给予补助或补偿。
(二)调查与评估
网络与信息安全工作小组和相关部门对网络与信息安全事件的起因、性质、影响、责任、经验教训和恢复重建等问题进行调查和评估。应急处置工作结束后,应当分析产生该次事件的原因,对事件进行调查,确定责任人。应急处置工作结束后,实施事件处置的过程和结果须在办理归档。应急处置工作结束后,需根据应急过程中暴露的问题和调查评估的结果,对预案进行相应的修改和维护。
(三)恢复重建
恢复重建工作由事发单位负责。事发单位和相关职能部门在对可利用的资源进行评估后,制订重建和恢复生产的计划,迅速采取各种有效措施,恢复网络与信息系统的正常运行。
六、应急保障
1、学校网络与信息安全领导小组负责落实网络与信息安全事件应急管理工作的日常运作、应急处置和基础设施运维等应急管理经费预算,纳入财政预算。
2、学校要按照职责分工和相关预案,切实做好应对网络与信息安全事件的人力、物力、财力等保障工作,保证应急救援工作和恢复重建工作的顺利进行。
七、预案管理
学校网络与信息安全工作小组根据实际情况的变化,及时修订本预案。
第一中学附属学校
6.审计局网络与信息安全应急预案 篇六
第一章 总则
第一条 本预案所称突发性事件,是指自然因素或人为活动引发的危害福州市审计局网络设施及信息安全等有关的灾害。
第二条 本预案的指导思想是确保福州市审计局有关计算机网络及信息的安全。
第三条 本预案适用于发生在福州市审计局网络范围内的突发性事件应急工作。
第四条 应急处置工作原则:
(一)明确责任、分级负责:按照“谁主管谁负责,谁运行谁负责”的要求,逐级建立并落实审计信息系统责任制和应急机制。
(二)加强领导、分工合作:市局各处室应按照规定的职责和流程,实施统计信息系统的应急处理工作。
(三)积极预防、及时预警:市局各处室应及早发现安全事件,及时进行预警和信息通报;积极做好应急处理准备,提高对安全事件的预防和应急处理能力。
(四)协作配合、确保恢复:市局各处室要协同配合,确保在最短的时间内完成系统的恢复。
第二章 组织指挥和职责任务
第五条福州市审计局成立网络与信息安全工作领导小组,局办公室负责日常工作。
组长:翁国荣
副组长:潘玉宁
成员:吴祥添
领导小组的主要职责与任务是统一领导信息网络的灾害应急工作,全面负责信息网络可能出现的各种突发事件处置工作,协调解决灾害处置工作中的重大问题等。
第三章 处置措施和处置程序
第六条处置措施
处置的基本措施分灾害发生前与灾害发生后两种情况。
(一)灾害发生前,即日常管理与灾害发生前的征兆阶段,局办公室要预先对灾害预警预报体系进行建设(防杀毒体系、漏洞补丁修补、防ARP网络攻击、单机网络备份系统、防单机非法内(外)联、移动设备认证系统),并开展灾害调查,编制灾害防治规划,建设专业监测网络,并规划建设灾害信息管理系统,及时处理灾害讯情信息。加强灾害险情巡查。局办公室要充分发挥专业监测的作用,进行定期和不定期的检查,加强对灾害重点部位的监测和防范,发现有不良险情时,要及时处理并向领导小组报告。建立健全灾情速报制度,保障突发性灾害紧急信息报送渠道畅通。
(二)灾害发生后,立即启动应急预案,采取应急处置程序,判定灾害级别,并立即将灾情向网络与信息安全领导小组报告,在处置过程中,应及时报告处置工作进展情况,直至处置工作结束。
第七条处置程序
(一)发现情况
市局各处室信息化管理人员要严格执行监管制度、处内设备管理和定期查杀毒制度,局办公室做好网络信息系统安全的日常巡查工作,以保障最先发现灾害并及时处置。
(二)预案启动
一旦灾害发生,立即启动应急预案,进入应急预案的处置程序。
(三)应急处置方法
在灾害发生时,首先应区分灾害发生是否为自然灾害与人为破坏两种情况,根据这两种情况把应急处置方法分为两个流程。
流程一:当发生的灾害为自然灾害时,应根据当时的实际情况,在保障人身安全的前提下,首先保障数据的安全,然后是设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
流程二:当人为或病毒破坏的灾害发生时,具体按以下顺序进行:判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的IP或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照灾害发生的性质分别采用以下方案:
1.网络信息系统故障的应急处理流程
(1)报告和简单处理
网络设备、网络应用系统故障应由发现人通知局办公室,局办公室派人立即检查故障,进行初步故障定位。如果网络、应用系统出现比较严重的问题,对网络业务的正常运行造成较大的`影响,需立即向有关领导报告。
(2)故障判断与排除
对简单故障,运维人员应迅速排除故障,解决问题并记录。如果需要更换设备,应上报有关领导,经批准后马上更换故障设备,尽快恢复网络、应用系统运行。运维部门判断无法及时修理时,应立即通知相关的系统运行服务提供商,在最短的时间内安排修理或更换系统。
(3)网络线路故障排除
如发现属外部线路的问题,应与线路服务提供商联系,敦促对方尽快恢复故障线路。
(4)启用备份线路、设备、系统(如果存在的话),迅速恢复相关的应用。
2.网站检测与自动恢复系统应急处理流程
(1)报告和简单处理
当发现网站不能正常打开或网站内容被恶意篡改时,任何人员都有义务向领导小组或局办公室报告。由局办公室应急响应,联合相关部门进行故障排查。
(2)处理和恢复使用
先由网络运维部门查看网络连接情况,若不是网络故障,则由局办公室排查软、硬件故障。待故障处理完成并经过测试后,恢复系统的正常运行和内容的正常应用。
3.黑客入侵的应急处理
(1)报告和简单处理
当发现网络上有黑客攻击行为,任何人员都有义务向领导小组或局办公室报告。局办公室立即启动应急响应,切断受攻击计算机与网络的连接,停止一切操作、保护现场,并上报有关领导。
(2)处理和恢复使用
对于黑客攻击,由局办公室查找入侵踪迹,分析入侵方式和原因。由安全管理员根据对入侵事件的分析,组织相关人员对内部网计算机整改,防止黑客用同样的手段再次入侵其他系统。安全管理员检查确定无安全隐患后,才可将受攻击计算机重新连接网络,或启用备份计算机来恢复应用。
(3)应急响应
安全管理员应做好记录,保护现场,进行日志收集等工作。如果能追查到攻击者的相关信息,可以对其发出警告,必要时可以采取进一步的行动,乃至采取法律手段。根据破坏程度,经有关领导同意后,上报公安部门。
若系统已被黑客破坏,无法恢复,应将受黑客攻击的计算机上的重要数据备份到其他存储介质,确保计算机内重要的数据不丢失。如果数据无法恢复,经有关领导同意后,可与国家指定的部门联系,由他们来协助恢复,为保证数据信息安全,需在安全管理部门做记录。
4.大规模病毒(含恶意软件)攻击的应急处理
(1)报告和简单处理
当发现网络上有大规模病毒攻击的行为,任何人员都有义务向领导小组或局办公室报告。由局办公室组织应急响应,切断受攻击计算机与网络的连接,停止一切操作、保护现场,立即上报有关领导。
(2)已知病毒的处理和恢复
使用最新版本杀毒软件对染毒计算机进行全面杀毒,并对染毒计算机系统进行漏洞修补。安全管理员确定没有病毒和安全漏洞后,再连接网络恢复使用。
(3)未知病毒的处理和恢复
观察网管软件根据监视窗口的链路状态,由此判断感染病毒或恶意程序的客户端、服务器所科的楼层交换机。打开该交换机的端口流量分析窗口,根据流量判断感染病毒或恶意程序的客户端所科交换机端口。关闭该交换机端口,隔离该工作站、服务器,阻断与局域网的连接。根据端口状态功能,查看该感染病毒或恶意程序的工作站的IP地址。根据IP地址信息找到该工作站的具体位置,对该工作站进行病毒或恶意程序清除工作。
根据对于未知病毒,应首先尝试手工杀毒处理,若系统已被病毒破坏,无法恢复,应将感染病毒的计算机上的硬盘加挂到其他机器上处理,将重要数据备份到其他存储介质,尽最大努力保护、保留感染计算机内重要的数据,同时防止病毒感染其他计算机。如果数据无法恢复,经有关领导同意后,可与国家指定的反病毒部门联系,由他们来协助恢复,为保证数据信息安全,需在安全管理部门作做记录。如为涉及国家秘密的数据,不允许由其他机构来恢复数据。
5.其他没有列出的不确定因素造成的灾害,可根据总的安全原则,结合具体的情况,做出相应的处理。不能处理的可以请示相关的专业人员。
(四)情况报告
灾害发生时,一方面按照应急处置方法进行处置,同时需要判定灾害的级别,首先向网络与信息安全应急处置领导小组汇报。在大型灾害发生时或上级领导通知的特殊时间内发生的灾害,可以直接向局领导报告,也可向相应的公安机关计算机信息系统安全监察部门汇报。中、小型级别的灾害,可以只向网络与信息安全应急处置领导小组汇报,并及时报告处置工作进展情况,直至处置工作结束。情况报告内容包括:灾害发生的时间、地点,灾害的级别,灾害造成的后果,应急处置的过程、结果,灾害结束的时间,以后如何防范类似灾害发生的建议与方案等。
(五)发布预警
灾害发生时,可根据灾害的危害程度适当地发布预警,特别是一些在其他地方已经出现,或在安全相关网站发布了预警而信息网络还没有出现相应的灾害,除了在技术上进行防范以外,还应当向网络信息用户发布预警,直至灾害警报解除。
(六)预案终止
经检测,灾害险情或灾情已消除,或者得到有效控制后,由网络与信息安全领导小组宣布险情或灾情应急期结束,并予以公告,同时预案终止。
第四章 保障措施
灾害应急防治是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作,是有组织的科学与社会行为,而不是随每次灾害的发生而开始和结束的活动。因此,必须做好应急保障工作。
第八条 人员保障
重视人员保障,确保在灾害发生前的人员值班,灾害处置过程和灾后重建中的人员在岗与战斗力。
第九条 技术保障
重视网络信息技术的建设和升级换代,在灾害发生前确保网络信息系统的强劲与安全,灾害处置过程中和灾后重建中的相关技术支撑。
第十条 物资保障
根据近二年网络信息系统安全防治工作所需经费情况,相应购买应急设施。同时,建立应急物资储备制度,保证应急抢险救灾队伍技术装备的及时更新,以确保灾害应急工作的顺利进行。
第十一条 训练和演练
加强网络信息的防灾、减灾知识的宣传普及与培训,增强审计人员防灾意识和自救互救能力。有针对性地开展应急抢险救灾演练,确保发灾后应急救助手段及时到位和有效。
第五章 附则
第十二条 本预案由局办公室负责解释。
第十三条 本预案自发布之日起施行。
7.浅析计算机网络安全应急响应技术 篇七
一、应急响应的定义
“应急响应”对应的英文是“Incident Response”或“Emergency Response”等, 通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。以下我们从这三个方面解释应急响应的概念:应急的对象是什么?应急响应做什么?
(一) 应急响应的对象
计算机网络安全事件应急响应的对象是指针对计算机或网络所存储、传输、处理的信息的安全事件, 事件的主体可能来自自然界、系统自身故障、组织内部或外部的人、计算机病毒或蠕虫等。按照计算机信息系统安全的三个目标, 可以把安全事件定义为破坏信息或信息处理系统CIA的行为。比如:
1. 破坏保密性的安全事件:
比如入侵系统并读取信息、搭线窃听、远程探测网络拓扑结构和计算机系统配置等;
2. 破坏可用性 (战时最可能出现的网络攻击) 的安全事件:
比如系统故障、拒绝服务攻击、计算机蠕虫 (以消耗系统资源或网络带宽为目的) 等。但是越来越多的人意识到, CIA界定的范围太小了, 比如以下事件通常也是应急响应的对象:
3. 扫描:
包括地址扫描和端口扫描等, 为了侵入系统寻找系统漏洞。
4. 抵赖:
指一个实体否认自己曾经执行过的某种操作, 比如在电子商务中交易方之一否认自己曾经定购过某种商品, 或者商家否认自己曾经接受过订单。
5. 垃圾邮件骚扰:
垃圾邮件是指接收者没有订阅却被强行塞入信箱的广告、政治宣传等邮件, 不仅耗费大量的网络与存储资源, 也浪费了接收者的时间。
6. 传播色情内容:
尽管不同的地区和国家政策不同, 但是多数国家对于色情信息的传播是限制的, 特别是对于青少年儿童的不良影响是各国都极力反对的。
(二) 应急响应做什么
应急响应的活动应该主要包括两个方面:
第一、未雨绸缪, 即在事件发生前事先做好准备, 比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施;
第二、亡羊补牢, 即在事件发生后采取的措施, 其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人, 也可能来自系统, 不如发现事件发生后, 系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。
以上两个方面的工作是相互补充的。首先, 事前的计划和准备为事件发生后的响应动作提供了指导框架, 否则, 响应动作将陷入混乱, 而这些毫无章法的响应动作有可能造成比事件本身更大的损失;其次, 事后的响应可能发现事前计划的不足, 吸取教训, 从而进一步完善安全计划。因此, 这两个方面应该形成一种正反馈的机制, 逐步强化组织的安全防范体系。
(三) 应急响应与安全生命周期
我们把计算机信息系统的安全系统看作一个动态的过程, 它包括制定风险评估、实施事前的预防措施、实施事中的检测措施、以及事后的响应。这四个阶段形成了一个周期, 我们称之为以安全政策为中心的安全生命周期的P-RPDR模型。
其中, 风险分析产生安全政策, 安全政策决定预防、检测、和响应措施。应急响应在这个模型中, 不仅仅是预防和检测措施的必要, 而且对可以发现安全政策的漏洞, 重新进行风险评估、修订安全政策、加强或调整预防、检测和响应措施有很大的促进作用。
计算机网络安全就是网络上的信息安全, 是指网络系统的软件、硬件及系统中的数据受到保护, 不因偶然或恶意的原因造都到破坏、更改、泄漏, 系统连续可靠正常的运行, 网络服务不中断。
应急响应通常指一个组织为了应对各种突发安全事件发生所做的准备以及在事件发生后所进行的处理或采取的措施。计算机网络安全应急响应是一门综合性的技术学科, 技术要求较高, 是对突发安全事件进行响应、处理、恢复、跟综的方法及过程。目前流行的计算机网络安全响应技术主要有以下几种。
二、网络陷阱及诱骗技术
网络陷阱及诱骗技术是近期发展起来的一种网络安全动态防护技术, 它通过一个精心设计的、存在明显安全弱点的特殊系统来诱骗攻击者, 将黑客的入侵行为引入一个可以控制的范围, 消耗其资源, 了解其使用的方法和技术, 追踪其来源, 记录其犯罪证据。不但可研究和防止黑客攻击行为, 增加攻击者的工作量和攻击复杂度, 为真实系统做好防御准备赢得宝贵时间, 还可为打击计算机犯罪提供举证。蜜罐、蜜网是当前网络陷阱及诱骗技术的主要应用形式, 设计以下技术:
1.网络欺骗技术。是蜜罐技术最为关键的核心技术。
是指在一个严格控制的环境中, 利用各种手段, 如故意暴露系统漏洞等, 来诱骗攻击者提供其认为可信的对话信息, 从而保护实际运行的系统免受攻击, 并收集黑客攻击信息, 对黑客做出相应的认识。目前蜜罐的主要欺骗技术有以下几种:模拟端口服务和系统漏洞、IP空间欺骗、网络流量访真、系统动态配置、组织信息欺骗、端口重定向技术等。
2.数据控制技术。是指对蜜罐系统的连接控制和路由
控制。防火墙实现边接控制;允许所有外部数据包进入蜜罐, 但对蜜罐主机的对外边接进行追踪限制;路由器实现路由控制;防止基于蜜罐主机IP的跳转攻击。数据控制的关键是必须在黑客没的察觉的情况下监视并控制所有进出蜜罐的数据流量。
3.数据捕获。是指获取入侵者的活动信息, 如攻击者
键盘操作、屏幕信息以及曾使用过的工具等。并分析攻击者所要进行的下一步活动。难点在于如何获取尽可能多的数据而又不让攻击者发觉。捕获到的数据也不能存放在蜜罐主机上, 应进行异地存储。实现这些要求的关键是分层捕获数据。首先是通过防火墙来实现数据捕获, 这层主要是对出入蜜罐系统的网络连接进行日志记录。其次是由入侵检测系统来实现, 这层主要是捕获所有系统日志、用户击键序列和屏幕显示等。这些数据通过网络传送到远程日志服务器上, 防止黑客销毁证据。
摘要:文章对网络入侵检测、安全系统防范、应急恢复、网络陷阱及诱骗等应急响应关键技术进行简要介绍。
8.网络信息安全应急响应预案 篇八
1事故风险分析 1.1事故类型
根据网络与信息安全突发公共事件的发生过程、性质和机理,网络与通讯突发事件主要分为以下三类:
(1)自然灾害。指地震、台风、雷电、火灾、洪水等引起的网络与信息系统的损坏。
(2)事故灾难。指电力中断、网络损坏或软件、硬件设备故障等引起的网络与信息系统的损坏。
(3)人力破坏。指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息系统的损坏。
1.2危害程度分析: 网络通讯信息事故多发于人为因素、生产过程中,当网络通讯信息事故发生时,会对日常生产产生负作用,特大事故发生时,给井下救援带来不便,引发重大矿井事故,造成人员重大伤亡及设备财产损失等事故发生。
2应急指挥机构及职责
设立信息网络安全事故应急指挥小组,负责信息网络安全事故的组织指挥和应急处置工作。总指挥由分管信息中心的主要矿领导担任,副总指挥由信息中心部门领导担任,指挥部成员由信息中心部门相关人员组成。
176 2.1指挥组: 总 指 挥:生产矿长
副总指挥:调度室主任、信息科主管 成 员:信息科全体成员
职责:负责安排落实网络通讯信息事故预防日常工作;及时了解网络运行情况;提请应急领导小组决定进入和解除预警状态或应急状态,实施和终止应急预案;根据现场处置的需要,就生产经营区域内突发事件处置工作请求上级公司、地方政府提供援助;监督应急预案的执行情况;掌握应急处理和通讯恢复情况,及时协调解决应急过程中的重大问题。
2.2应急物资供应组 组 长:经营副矿长
成 员:器材科、机电科、财务科
职责:负责抢修物资的供应,安全防范物资保障,负责各通讯设设备、测试仪表、抢修工具的统一管理及使用调度;现场供电线路、设施的抢修,保证事故抢救工程中安全供电;负责组织通讯线路设施的抢修,保证通讯畅通;按应急领导小组命令报警,恢复供电或切断电源。
3处置程序 3.1信息报告程序
信息化班值班人员发现或接到突发通信安全事件警示信息后、首先要到达现场,采取必要措施,防止事故进一步扩大,同时问清或掌
177 握发生的时间、地点、原因、影响范围基本情况,迅速向值班领导汇报,并汇报现场情况。
利用矿程空电话系统作为报警系统。现场使用电话方式报警,可以直接接通矿调度中心。也可利用电话直接向调度中心报警。
焦家寨煤矿调度中心电话:836XXXX 83XXXXX 信息科电话:83XXXXX 3.2响应分级
根据可能出现的事故大小,结合本矿防灾能力,信息网络安全事故响应级别为Ⅳ级。
3.3响应程序
事故发生后,应急指挥中心应立即向总指挥汇报,值班领导和有关职能部门负责人和事故单位、事故涉及单位负责人接通知后,立即到调度中心集中。成立应急指挥中心,按事故类型启动相应专项应急预案的应急程序。
4处置措施
4.1应急处置基本原则
(1)预防为主。根据《计算机信息安全管理规定》的要求,建立、健全我矿计算机信息安全管理制度,有效预防网络与信息安全事故的发生。
(2)分级负责。按照“谁主管谁负责,谁运营谁负责”的原则,建立和完善安全责任制。各部门应积极支持和协助应急处置工作。
(3)果断处置。一旦发生网络与信息安全事故,应迅速反应,及时启动应急处置预案,尽最大力量减少损失,尽快恢复网络与系统
178 运行。
4.2应急处置
(1)设备安全发生故障时的应急处置
小型机、服务器、交换机等关键设备损坏后,管理员应立即向日常应急办公室报告;应急办公室网络安全岗负责人员立即查明原因;果能够自行恢复,应立即用备件替换受损部件;如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修;如果设备一时不能修复,应向信息安全领导小组汇报,并告知各部门,暂缓数据,直到故障排除设备恢复正常使用。
(2)环网及内部局域网故障中断时的应急处置
信息中心平时应准备好网络备用设备,存放在指定的位置;矿局域网中断后,网络安全岗负责人员应立即判断故障节点,查明故障原因,并向日常应急办公室汇报;如属线路故障,应重新安装线路;如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅;如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调测通畅。
(3)外网线路中断时的应急处置
外网线路中断后,管理员应向信息安全领导组日常应急办公室报告;日常应急办公室网络安全岗负责人员接到报告后,应迅速判断故障节点,查明故障原因;如属可即时恢复范围,由网络安全组人员立即予以恢复;如属公司网络处管辖范围,应立即与公司网络处的维护部门联系,要求尽快修复;如果恢复时间预计超过两小时,应立
179 即向信息安全领导小组汇报。经领导小组同意后,应通知各股室暂缓上传上报数据。
(4)黑客攻击或软件系统遭破坏性攻击时的应急处置 重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日的备份,并将它们保存于安全处;当管理员通过入侵监测系统发现有黑客正在进行攻击时,应立即向信息安全领导小组日常应急办公室报告。软件遭破坏性攻击(包括严重病毒)时要将系统停止运行;管理员首先要将被攻击(或病毒感染)的服务器等设备从网络中隔离出来,保护现场,并同时向信息安全领导小组报告情况;日常应急办公室负责恢复与重建被攻击或被破坏的系统,恢复系统数据,并及时追查非法信息来源;事态严重的,立即向信息安全领导组组长报告,并向相关部门进行汇报。(5)数据库发生故障时的应急处置
主要数据库系统应定时进行数据库备份;一旦数据库崩溃,管理员应立即进行数据及系统修复,修复困难的,可向矿领导汇报情况,以取得相应的支持;在此情况下无法修复的,应向信息安全领导组报告,在征得许可的情况下,可立即向软硬件提供商请求支援;在取得相应技术支援也无法修复的,应及时向信息安全领导小组报告,在征得许可、并可在业务操作弥补的情况下,由日常应急办公室信息安全岗人员利用最近备份的数据进行恢复。
(6)外部电中断后的应急处置
外部电中断后,值班室应立即向管理员汇报情况;如因矿内线
180 路故障,由办公室通知维修人员迅速恢复;如果是矿外部的原因,由办公室立即与供电公司联系,请供电公司迅速恢复供电;如果供电公司告知需长时间停电,应做如下安排: a 预计停电2小时以内,由UPS供电;
b预计停电2-4小时,关掉非关键设备,确保各主机、路由器、交换机供电;
c预计停电超过4小时,白天工作时间关键设备运行,晚上所有设备停机。
(7)机房发生火灾时的应急处置
一旦机房发生火灾,应遵循下列原则:首先保证人员安全;其次保证关键设备、数据安全;三是保证一般设备安全;人员灭火和疏散的程序是:值班人员应首先切断所有电源,同时通过8288119电话报警。值班人员戴好防毒面具,从最近的位置取出灭火器进行灭火,其他人员按照预先确定的路线,迅速从机房中有序撤出。
9.网络安全应急预案 篇九
为提高应对突发网络安全能力,维护网络安全和社会稳定,保障世博展览馆各项工作正常开展,特制定本预案。
一、根据网络安全的发生原因、性质和机理,网络安全主要分为以下三类:(1)攻击类事件:指网络系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。
(2)故障类事件:指网络系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。
(3)灾害类事件:指因爆炸、火灾、雷击、地震、台风等外力因素导致网络系统损毁,造成业务中断、系统宕机、网络瘫痪等情况。
二、建立应急网络联动机制
成立网络安全应急工作小组,按照“谁主管谁负责”原则,对于较大和一般突发公共事件进行先期处置等工作,并及时报领导处理并备案。发生一般互联网网络安全事件,事发半小时内向单位主管领导口头报告,在1小时内向出具书面报告;较大以上网络安全事件或特殊情况,立即报告。
三、应急处理流程
出现灾情后值班人员要及时通过电话、传真、邮件、短信等方式通知单位领导及相关技术负责人。值班人员根据灾情信息,初步判定灾情程度。能够自身解决,要及时加以解决;如果不能自行解决故障,由领导现场指挥,协调各部门力量,按照分工负责的原则,组织相关技术人员进入抢险程序。
四、单位自行应急处理措施指南
1、黑客攻击事件紧急处置措施
(1)当有关值班人员发现发现有黑客正在进行攻击时,应立即向网络安全应急负责人通报情况。
(2)网络安全应急相关负责人应在接到通知后立即赶到现场,并首先将被攻击的服务器等设备从网络中隔离出来,保护现场,并将有关情况向本单位领导汇报。(3)对现场进行分析,并写出分析报告存档,必要时上报主管部门。(4)恢复与重建被攻击或破坏系统
(5)网络安全应急小组组长召开小组会议,如认为事态严重,则立即向主管部门和公安部门报警。
2、病毒事件紧急处置措施
(1)当发现有计算机被感染上病毒后,应立即向网络安全应急负责人报告,将该机从网络上隔离开来。
(2)网络安全应急相关负责人员在接到通报后立即赶到现场。(3)对该设备的硬盘进行数据备份。
(4)启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
(5)如果现行反病毒软件无法清除该病毒,应立即向本单位领导报告,并迅速联系有关产品商研究解决。
(6)网络安全应急小组经会商,认为情况严重的,应立即向主管部门和公安部门报警。(7)如果感染病毒的设备是主服务器,经本单位领导同意,应立即告知各部门做好相应的清查工作。
3、软件系统遭破坏性攻击的紧急处置措施
(1)重要的软件系统平时必须存有备份,与软件系统相对应的数据必须按本单位容灾备份规定的间隔按时进行备份,并将它们保存于安全处。
(2)一旦软件遭到破坏性攻击,应立即向网络安全应急负责人报告,并将该系统停止运行。(3)检查信息系统的日志等资料,确定攻击来源,并将有关情况向领导汇报,再恢复软件系统和数据。
(4)网络安全应急小组组长召开小组会议,如认为事态严重,则立即向主管部门和公安部门报警。
4、数据库安全紧急处置措施
(1)在有条件的地区,主要数据库系统应按双机热备设置,并至少要准备两个以上数据库备份,平时一个备份放在机房,另一个备份放在另一安全的建筑物中。
(2)一旦数据库崩溃,值班人员应立即启动备用系统,并向网络安全应急负责人报告。(3)在备用系统运行期间;信息安全工作人员应对主机系统进行维修并作数据恢复。(4)如果两套系统均崩溃而无法恢复,应立即向有关厂商请求紧急支援。
5、广域网外部线路中断紧急处置措施
(1)广域网主、备用线路中断一条后,值班人员应立即启动备用线路接续工作,同时向网络安全应急负责人报告。
(2)网络安全应急相关负责人员接到报告后,应迅速判断故障节点,查明故障原因。(3)如属我方管辖范围,由工作人员立即予以恢复。
(4)如属电信部门管辖范围,立即与电信维护部门联系,要求修复。
(5)如果主、备用线路同时中断,网络安全应急相关负责人应在判断故障节点,查明故障原因后,尽快研究恢复措施,并立即向本单位领导汇报。
6、局域网中断紧急处置措施
(1)设备管理部门平时应准备好网络备用设备,存放在指定的位置。
(2)局域网中断后,网络安全应急相关负责人员应立即判断故节点,查明故障原因,并向网络安全应急组组长汇报。
(3)如属线路故障,应重新安装线路。
(4)如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅。
(5)如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调测通畅。(6)如有必要,应向主管部门领导汇报。
7、设备安全紧急处置措施
(1)服务器等关键设备损坏后,值班人员应立即向网络安全应急负责人报告。(2)网络安全应急相关负责人员立即查明原因。
(3)如果能够自行恢复,应立即用备件替换受损部件。
(4)如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修。(5)如果设备一时不能修复,应向本单位领导汇报。
8、停电紧急处置措施
(1)定期检查机房供电设备的运行状况和电路线缆器材情况,当发生下列突发事件时,按照以下方案进行处置:
(2)当机房发生市电供电突然停电或是电源异常时。首先应和馆内强电部门联系确认正常停电以及预计停电时间。检查不间断电源的电池可供电时间,确保设备正常运行,如遇到突然断电,应及时将空调等不在UPS电源供电范围内的设备及时断电,预防突然来电时瞬间电流过大导致设备损坏等现象。
(3)当确定停电时间超出机房UPS承载范围后,首先确定停电的范围以及受影响的设备范围。并及时通知各部门和网络安全应急小组做好停电应急准备。然后通知机房电源维护人和设备的负责人到达现场,做好各设备的电源停电准备。在UPS供电电量仅剩10%之后,严格按操作手册停掉各服务器的电源,最后停核心交换机和路由器,等待电力恢复。
(4)当确定停电原因是在本身供电系统范围内,立即汇报给负责领导,并及时联系相关维护人员达到现场检修。对于恢复时间无法预计的,要通知各部门做好停电应急准备。
(5)恢复供电后,严格按照操作程序逐步恢复机房设备和UPS的供电,以防瞬间电流过大造成设备损坏。
9、火灾紧急处置措施
(1)上班工作时间发生火警,还在机房工作的人员应及时紧急撤离,并立刻拨打119报警并立刻通知网络安全应急相关负责人和相关部门领导。在确保自身安全的情况下,应尽量使用灭火器进行灭火,减少电子设备的损坏。同时采取关闭电源总闸等措施,尽量减少可能造成的损失和破坏。
(2)非工作时间或节假日休息时间值班人员发现火情后,要立刻拨打119报警,并立刻通知网络安全应急相关负责人和相关部门领导,做好火灾的处置工作。
(3)火情结束之后,机房相关人员应全体赶赴现场,并向相关部门汇报。同时立即联系电信、联通、移动等相关网络公司和设备相关厂家,及时评估事故损失情况,研讨恢复网络系统正常运行的最佳解决方案。
10、其他自然灾害紧急处置措施
发生自然灾害后,首先应该组织人员撤离现场。当确认灾害不会造成人生伤害后,在回到机房检查设备,评估灾害受损范围,立刻向网络安全应急小组组长和公司领导汇报,并联系相关网络和设备厂家,积极做好灾后恢复工作,确保在最短时间内恢复机房正常运行。
10.网络信息安全应急响应预案 篇十
现在计算机网络技术应用到各个行业与领域,现在很先进的计算机技术都依赖于成熟的互联网技术,比如云计算技术以成熟的互联网技术搭建的数据平台进行数据挖掘,物联网技术以互联网技术为平台应用到各个行业,都取得一定成绩。现在网络用户越来越多,出现的问题也越来越多,本来互联网技术就不是很稳定,网络安全问题经常出现,但现在人们都希望计算机网络安全可靠,现在在互联网中数据传输过程中,我们都依靠了很多技术,比如加密技术等,保障数据在网络传输过程中,数据不丢失,保障数据的正确性。在网络上进行交易过程中,由于网络安全问题,每年大约都有上百亿元的损失,因此可以看出来计算机网络安全的重要,解决网络安全问题,是当今网络技术中最重要的工作。
1 计算机网络安全的概述
计算机网络安全就是保证数据在网络传输过程中,保障数据安全传递过程中不丢失,不受到病毒等攻击。一旦数据泄露会带来后果非常严重。而对于计算机网络安全,涵盖了所有与计算机安全、保密、真实特点相关的理论与技术,狭义上指的是计算机信息安全,重点维护计算机信息的安全与保密性,避免外来人为的系统恶意破坏、更改以及数据泄漏,盗取计算机网络上的信息等危害计算机网络合法用户实际权益的行为。根据计算机网络安全隐患的类型,可以采取提高计算机系统网络维护,设置计算机信息安全保护密码等有效途径来提高计算机网络维护,避免出现计算机信息泄漏,真正的实现计算机网络系统的安全保密。计算网络安全在计算机网络应用过程中是非常重要的,现在计算网络安全技术还不能完全保障,数据在网络传输过程中完全安全,但学者们在不断研究网络安全技术,网络安全技术一天比一天成熟,网络用户越来越多,终究有一天计算机网络会非常安全的,会给人们的生活带来了更大方便,现在网络交易是未来社会发展的大势所趋。
2 计算机网络的安全隐患
2.1 操作系统的不完善
现在的计算机操作系统基本都是Windows系列,这类网络操作系统都有一定的漏洞,在上网的过程中,都是黑客与计算机病毒攻击的对象,一旦计算机系统被攻击以后,计算机系统就不能正常工作,用户的密码要被黑客等破解,就可以任意的登陆该计算机系统,使该计算机的信息全部泄露,给计算机系统带来了一定的安全威胁,促使计算机系统加密是必然的要求。要是计算机病毒侵入该计算机系统,对计算机硬件也有一定破坏,计算机主板、CPU等都会产生一定影响,影响计算机正常工作性能。软件受到攻击,数据在传输过程中,信息会造成一定丢失,这都给计算机系统的安全带来一定威胁,影响了人们正常工作与学习。在某些方面又实现了计算机网络的集成性。但是在计算机操作系统中,许多系统自身都会存在一定的漏洞,这样的漏洞往往给计算机网络安全造成巨大威胁。因此,只有定期的进行计算机操作系统检测、升级,才能逐渐克服操作系统本身的漏洞缺陷。现在对一些网络操作系统,在一些政府部门,大型企业基本都适用UNIX等一些大型的网络操作系统,这样网络操作系统安全,不容易受病毒等攻击。但这类网络操作系统需要专业技术人员使用,不就有大众化,因此推广的价值不大,但对数据安全比较高的部门,一般都有专门的网络工程师进行使用,对网络数据起到重要保护作用。
2.2 网络协议(TCP/IP)漏洞
计算机网络数据能正常传输都依靠网络协议,网络协议是在Internet网络上大家共同遵守的协议,保障正常通信的协议。
根据该体系结构可以看出来,其体系结构在设计过程中存在一定漏洞,数据链路层是网络协议传输过程中的节点,数据传输过程中通过数据节点进行转播,这往往被攻击者认为是数据漏洞,进行数据攻击,计算机网络的攻击者可用进行信道修复技术,其病毒本身就具有潜伏性,在一定程度上进行攻击,从而进行计算机内部的破快活动,对计算机软件、硬件都能进行一定规模的破快,病毒给计算机网络能带来具体威胁,也是计算机网络安全重点的防御对象。其本身具有一定的实际应用意义。
2.3 病毒的广泛传播
计算机病毒本身就具有传播性,网络是计算机病毒传播的渠道,在网络上一旦一台计算机感染了病毒,瞬间或有多台计算机感染病毒,计算机病毒并不都是非常可怕,有的病毒不具有破坏性,但多数病毒具有很严重的破坏性,对单位一些重要的计算机,要安装防病毒软件,没有特殊情况不要与Internet相连接,要有专人管理。这些重要数据一旦泄露,会给企业带来一定经济损失,后果是很严重的。
2.4 计算机网络管理人员的技术水平与防范意识较低
现在网络用户越来越多,现在人们在网络交易比较流行,网络安全保障会受到一定的挑战。尤其现在有很多政府部门都要在网络上办公,比如财务部门现在都是网上缴税等。尤其这些重要部门的计算机需要有专门的管理人员,但现实中许多单位管理人员没有网络管理经验,没有经过一定的培训上岗,对网络安全的防范意识不强。认为计算机上安装了防火墙,杀毒软件就应该没事了,防火墙与杀毒软件对网络上数据是具有一定的保护作用,但管理人员网络防范意识不强,很容易被黑客窃取密码,黑客一旦进入该计算机系统,窃取大量机密文件,对该企业造成不良后果,因此,各部门要重视网络管理人员的素质,定期加强培养,提高网络安全防范意识,这是对计算机网络安全最后的保障。
2.5 黑客的攻击
计算机在网络上进行传输数据,不仅要防范计算机病毒的入侵,计算机病毒是能给用户带来一定的麻烦,但总的来说损失不会太大。但在网络上计算机系统一旦被黑客攻击,后果不堪设想。黑客就是计算机网络高级人才,一般都以赢利为目的,有意的窃取计算机系统的重要数据,一旦数据窃取成功,该企业会受到很大的经济损失,现在黑客在网络攻击时有发生,尤其重要部门计算机要加强保护,保障计算机网络的安全,免于黑客攻击,给自身带来不必要的麻烦。
3 计算机网络的应急响应技术
3.1 防火墙技术
计算机网络安全防火墙技术是最早的网络安全应用技术,分为硬件防火墙与软件防火墙、嵌入式防火墙等。其本身对计算机网络的攻击具有一定的保护作用,其作用主要是从计算机网络内部进行,对网络上数据进行过滤、根据自身的IP地址进行绑定。在防火墙应用过程中,可以进行模块设计,在内部进行数据的隔离,外部进入设置口令卡等确保网络安全技术的维护,防火墙技术能对计算机网络隐患起到一定防范作用,但绝对不是万能的,现在很多黑客,病毒都能通过防火墙过滤,能侵入计算机系统,现在很多机器还有很多网络安全技术应用,用户对计算机网络起到保护作用。
3.2 入侵系统
在计算机网络安全技术中,入侵系统技术也是常用网络安全技术之一。对计算机网络安全的防范具有一定的意义。入侵检测系统能够从检测、识别、分析、评估过程中,来处理非法用户对于计算机网络系统的入侵。这一功能的实现,可以通过在计算机网络系统的内部建立一些防护技术,包括分析器、数据库以及入侵实践生成器与响应等,首先通过这些环节来进行入侵行为的检测。同时,入侵检测系统还能够有效的实现对计算机网络使用者信息的检测,尤其是一些异常行为检测,能够在数据信息保护,病毒入侵预防上发挥巨大作用。计算机网络安全技术入侵系统的应用,网络安全的系数得到了进一步提高。
3.3 数字加密技术
数字加密技术主要分对称与非对称两种,无论那种数据加密技术都是计算机数据在网络传输过程中,对数据起到保护作用。对称加密技术是指数据发送方和接收房都用同一种技术,这类加密技术方便,快捷等优点。非对称加密技术采用不相同的密钥,且具有公钥与私钥之分。这种技术虽然安全性更高,也可以进行身份验证且保持数据的完整性,但目前技术条件下信息接收只能通过私钥进行,实现这种技术还需要网络计算机技术的进一步开发和进步。数据加密技术在电子商务上应用比较广泛,现在网络交易越来越频繁,数字加密技术的应用,确保了网络交易的安全,是提高计算机网络安全的一种有效手段。
3.4 访问控制技术
由于计算机网络系统具有资源共享的功能,因此计算机网络间的访问成为安全隐患的巨大缺口。许多不法分子,利用访问操作,进入其他计算机网络用户的内部,对其重要的数据信息进行更改、泄漏、破坏。因此,要对计算机网络的访问进行严格的把关控制,降低非法用户对自身计算机网络信息访问所带来的安全隐患。
3.5防病毒软件
现在计算机基本都按照防病毒软件,对计算机网络安全提供了保护措施。现在市面上的防病毒软件比较多,例如360杀毒软件、瑞星、卡巴斯基、金山毒霸等。每一种软件都只能对网络病毒起到一定的防范作用,但基本不能阻碍病毒的入侵,但这些软件还是起到一定防范作用。病毒和防病毒都是软件,都是人为的代码程序,所以每种防病毒软件只能起到防范作用,不能把病毒清理干净,随着科学技术的发展,还会有更多的病毒,同时也会有更多的防病毒软件,二者相辅相成,彼此是一个结合体,为计算机网络安全提供了保障。
总之,计算机网络安全是重要的,无论我们使用何种计算机网络安全技术在一定程度上都会受到攻击,计算机网络安全越来人们越重视,很多学者都去研究计算机网络安全技术,计算机网络用户也是越来越多,出现的新问题也与日俱增,网络安全技术也会研究出新的成果,因此计算机网络安全问题是一个长期问题,只能说计算机网络越来越安全,但暂时不能杜绝网络不安全问题发生,网络安全永远是一个需要研究的课题。
参考文献
[1]吴焘.机房网络安全隐患及网络安全技术和对策的应用分析[J].计算机光盘软件与应用.2012.
[2]张冠英.浅析计算机网络安全应急响应技术[J].才智.2012.
[3]房广铎.计算机网络安全应急响应技术浅析[J].才智.2011.
[4]南通.八方面原因导致计算机网速变慢[J].科学24小时.2010.
[5]周建民.浅析计算机网上录取[J].安徽科技.2000.
[6]杨传厚.计算机网中路径选择技术[J].计算机工程.1984.
11.网站网络安全应急预案 篇十一
第一部分 总则
本预案的适用范围为由信息中心负责建设管理的网站、网络安全事件应急处理。
一、日常安全工作职责
政务信息中心工作人员根据分工、做好以下工作: 1.对网站、网络进行日常检查、分析风险、排除隐患、做好网站数据备份,形成日常工作机制,预防安全事故发生。
2.制定相关安全事件的预警方案和解决方案。3.掌握网络网站技术发展趋势,不断提升安全防范水平。
4.及时处置各类突发安全事件。
二、安全应急处置原则
1.报告原则:发生突发安全事件,第一时间向政务信息中心负责人报告,同时积极进行处置,处置全程要及时汇报工作进展。
2.安全原则:处置安全事件时,要科学客观,首先保证人员安全,其次保证设备数据安全。
3.效率原则:处置突发事件要及时迅速,讲究方法,善于协调,争取在最短时间内解决问题。
4、协调配合原则:出现大规模故障后,根据工作需要,积极配合,协同处理,提高工作质量与效率。
三、安全应急事件处置
(一)安全事件定义分类
一般故障:指区域性网络安全事件,具体包括:局部网络瘫痪、个别设备死机、网站服务器停止工作等。
重大故障:指发生大规模或整体性网络瘫痪、个别硬件设备损坏或被窃、数据丢失或网站遭恶意篡改破坏等。
特大故障:指机房发生火灾或遭可抗拒力破坏造成机房损毁及人员伤害等。
(二)处置时限
发生突发安全事件,一般故障2小时内解决,重大故障24小时内解决,特大故障48小时内解决。
(三)处置措施
1.发生突发事件,工作人员第一时间报告领导并进行处置。2.迅速准确判断事件原因,在保证人员、设备、数据安全的前提下,进行针对性处置。
3、属一般性故障的,政务信息中心工作人员及时进行处置;属设备损坏的,要及时报告中心主任根据领导安排进行合理处置;属系统故障的,要及时联系维护公司进行处置;属遭受攻击的,要及时取证留存,并由维护公司进行处置。
4、必要时,通知有关单位做好应对。
5、事后总结本次事件处置情况,形成分析报告。第二部分 网站安全应急处置
一、日常维护
(一)中心人员将“迎泽之窗”设置为主页,每天对网站进行查看,密切监视信息内容。每天上午和下午各切换内网一次,查看内网运行情况。
(二)检查各服务器杀毒软件及防火墙升级情况,及时给系统打补丁。
(三)每月对内、外网站及数据进行光盘备份,并由专人归档保存。
二、安全事件分类及应急处置办法
(一)硬件故障
指因自然灾害、供电不正常、人为因素等造成的服务器硬件损坏、丢失情况。
1、“内网办公系统”网站服务器中心工作人员每月对其进行硬件检测,“迎泽之窗”服务器由维护公司每月进行软硬件检测,并填写记录,每进行汇报。
2、发生硬件损坏或丢失后要立即报告中心主任,并联系设备供应商及有关单位处理。
(二)攻击、篡改类故障
指网站系统遭到网络攻击不能正常运作,或出现非法信息、页面被篡改。
1、发现网站出现非法信息或页面被篡改,要第一时间对其进行删除,恢复相关信息及页面,同时报告中心主任,必要时可对网站服务器进行关闭,待检测无故障后再开启服务。
2、网站维护员要妥善保存有关记录及日志或审计记录,并立即追查非法信息来源,将有关情况进行上报,情况非常严重的要向公安部门报案。
(三)病毒木马类故障
指网站服务器感染病毒木马,存在安全隐患。
1、每周对服务器杀毒安全软件进行系统升级,并进行病毒木马扫描,封堵系统漏洞。
2、发现服务器感染病毒木马,要立即对其进行查杀,报告中心主任,根据具体情况,酌情发布网站公告通知联网的相关单位进行终端的病毒木马查杀。
3、由于病毒木马入侵服务器造成数据丢失或系统崩溃的,要第一时间报告中心主任,并联系相关单位进行数据恢复。
(四)系统类故障
指网站系统由于长时间运行或系统存在的bug造成网站不能正常运行。
1、相关负责人要每月对网站数据进行备份,并刻录光盘进行存档。
2、发现此类问题,要报告中心主任,并联系网站维护单位进行检测修复。
三、应急保障
1、记录门户网站IDC托管机房、运营商大客户经理、服务器供应商及网站维护公司电话,出现问题能及时联络处理。
2、中心人员应掌握应急笔记本电脑、数据备份光盘的存放和使用。
3、中心人员应学习各类软硬件知识,提高应对和处理突发网络故障的能力。
第三部分 网络安全应急处置
一、适用范围
信息中心负责建设管理的网络安全事件
二、职责分工
三、日常维护
1、每季度对设备进行例行检查及卫生保洁,检查项目包括设备运行状态、温度、供电及设备周边环境是否安全。
2、每年对区属驻地外各单位进行实地走访,查看实际情况。
四、应急处置
1、发生故障后,首先排查故障范围,确定是软件故障还是硬件故障,是光路故障还是以太网故障。
2、对于大面积网络故障或硬件线路设备损坏,要第一时间报告中心主任。
3、如发生光路设备故障,及时联络联通公司客户经理协调处理。
4、如发生以太网故障,要及时进行处理,必要时联系设备供应商及相关单位联合处理。
第四部分 中心机房及办公区安全应急处置
一、用电安全
(一)坚持正确的用电规范。
(二)不使用超负荷电器设备。
(三)不随意改变工程设计的供电线路。
(四)每天下班,最后离开办公室的人员关闭办公区主电源。
(五)每两个月对中心机房各电源设备进行检查。遇节假日,除关闭办公区主电源外,检查中心机房内电源和线路,确保设备安全稳定运行。
(六)外电中断后,应立即查明原因,并向中心主任汇报。
(七)如因机关内部线路故障,请机关物业公司迅速恢复。
(八)如果是供电局的原因,应立即与供电局联系,请供电局迅速恢复供电。
(九)如果供电局告知需长时间停电,应做如下安排:
1、预计停电4小时以内,由UPS供电。
2、预计停电24小时,请示中心主任,关掉非关键设备,确保关键设备供电。
3、预计停电超过24小时的,关闭中心机房所有管辖设备,并通知托管服务器的相关单位进行设备停机。
(十)中心机房及各设备恢复供电时,执行以下步骤:
1、机房恢复供电前,首先确认各设备的电源态处于下电状态,以防止电源柜加电对设备的冲击。
2、等待10--20分钟后,开始给电源柜加电,以防止供电不稳或再次掉电。
3、供电正常后,确定设备处于下电状态后,打开电力柜的总控开。
4、根据设备加电顺序,启动分项控开。
5、启动数据库及各项应用程序。
(十一)发生火警事件发生后,机房人员应根据所属区域和现场情况,判断和选择正确的方法,及时上报中心领导,同时配合相关人员处置,降低事件带来的影响。
1、对于设备发生烟雾,机房主管人员协同相关人员寻找烟雾点并切断相关区域电源。
2、当设备发生可以控制火情时,机房主管人员应协同相关人员进行灭火工作。
3、当主机房发生火灾而无法控制,应采取施救方法等措施。
二、空调及通风设备 正常情况:
温度: 冬季:18℃-20℃±2℃ 夏季:18℃-23℃±2℃ 温度变化≤5℃/H
湿度: 40%-50%±5% 每周对中心机房温湿度进行监控,防患于未然。空调系统故障导致机房内温度、湿度升高或设备出现温度告警等异常现象时,执行以下步骤:
(一)首先查看故障空调的位置和现象,联系空调厂家加紧维修。
(二)如果故障较为严重,影响范围大,则立即汇报给中心主任。
(三)启用备用风扇、加湿器等设备降低室内温度、湿度,并打开机柜门和房间门,以便于设备散热和空气流通。
(四)相关工作人员要密切注意各设备的运行情况,如出现告警,查看日志了解情况,必要时请设备厂家派人立即赶到现场进行技术支持。
(五)相关负责人员对各个维护业务进行检查,如已经影响到系统和业务的正常运行,尤其是一些重要业务,应立即汇报中心主任,做进一步处理。
(六)若此时空调已修好,室内温度、湿度恢复正常或在下降中,相关负责人员对各个设备的运行情况详细检查,确保恢复正常。
(七)待室内温度、湿度恢复正常并监控一段时间后无异常,将备用风扇、加湿器关闭并放回原位,保持机房卫生和整洁。
(八)相关负责人员对此次故障做好记录。
三、核心设备安全
(一)根据实际情况对核心设备进行检查,确保设备安全稳定运行。
(二)发生核心设备硬件故障后,工作人员应及时报告中心主任,并查找、确定故障设备及故障原因,进行先期处置。同时联系设备提供商共同检测并排除故障。
(三)若故障设备在短时间内无法修复,应启动备份设备,保持系统正常运行;将故障设备脱离网络,进行故障排除工作。
(四)故障排除后,在网络空闲时期,替换备用设备;若故障仍然存在,立即联系厂商进行返厂维修或调换设备。
四、数据安全与恢复
(一)日常维护参照《网站安全应急预案》中“
一、日常维护”各项进行。
(二)发生业务数据损坏时,工作人员应及时报告中心主任,检查、备份系统当前数据。
(三)信息中心负责调用备份服务器备份数据,若备份数据损坏,则调用异地光盘备份数据。
(四)数据损坏事件较严重无法保证正常工作的,经部门领导同意,及时通知各部门以手工方式开展工作。
(五)中心应待数据系统恢复后,检查基础数据的完整性;重新备份数据,并写出故障分析报告。
五、其他事项
(一)无关人员未经中心主任批准不得进入中心机房。
(二)对各设备和线路进行维护或改造,需经中心主任批准,由中心工作人员陪同进行。
(三)使用充分控干水份的抹布及拖把进行保洁,尽量不使用干布或扫帚,避免扬尘。
12.网络安全事件应急预案 篇十二
一、总则
(一)编制目的
建立健全招远市交通运输系统网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,维护交通运输安全和秩序。
(二)编制依据
《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》和《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)等相关规定。
(三)适用范围
本预案所指网络安全突发事件(以下简称突发事件)是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络或者其中的数据造成危害,对交通运输系统造成负面影响的事件。本预案适用于招远市交通运输系统发生突发事件的预防和应急处置工作。
(四)事件分类
根据网络与信息安全突发事件的性质、机理和发生过程,主要分为以下三类:
1.自然灾害。指地震、台风、雷电、火灾、洪水等引起的网络系统损坏。
2.事故灾难。指电力中断、网络损坏或是软件、硬件设备故障等引起的网络系统损坏。
3.人为破坏。指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息系统损坏,或是利用信息网络进行有组织的大规模的反动宣传、煽动和渗透等破坏活动。
根据突发事件的故障情况可以分为以下几类: 1.通道与网络故障;
2.主机设备、操作系统、中间件和数据库软件故障; 3.应用停止服务故障; 4.应用系统数据丢失;
5.机房电源、空调等环境故障;
6.大面积病毒爆发、蠕虫、木马程序、有害移动代码等; 7.非法入侵,或有组织的攻击; 8.自然灾害或人为外力破坏;
9.信息发布和服务网站遭受攻击和破坏; 10.其他原因。
(五)事件分级
1.Ⅰ级网络与信息安全突发事件。对服务对象的生产、生活造成特别严重影响,影响服务对象数量超过本单位服务总用户数量90%的;对本单位的管理和信息发布造成特别严重的影响,影响内部用户数超过90%的;出现大面积的有害信息传播,影响范围大,性质恶劣,影响本单位内部用户数超过90%的;涉及国家或单位利益的机密信息通过信息系统泄漏,造成特别重大影响的。
2.Ⅱ级网络与信息安全突发事件。对服务对象的生产、生活造成严重影响,影响服务对象数量超过本单位服务总用户数量50%,低于90%的;对本单位的管理和信息发布造成影响,影响内部用户数超过50%,低于90%的;出现大面积的有害信息传播,影响范围大,影响各有关单位内用户数超过50%,低于90%的;涉及国家或企业利益的秘密信息通过信息系统泄漏,造成重大影响的。
3.Ⅲ级网络与信息安全突发事件。对服务对象的生产、生活造成影响,影响用户数量超过本单位服务总用户数量20%,低于50%的;对本单位的管理和信息发布造成影响,影响内部用户数超过30%,低于50%的;出现大面积的有害信息传播,影响范围大,影响各有关单位内用户数超过30%,低于50%的。
二、责任分工
(一)组织机构
成立由局主要负责人任总指挥,分管领导任副总指挥的招远市交通运输系统网络安全应急指挥部(以下简称应急指挥部),负责对我市交通运输系统突发事件应急指挥工作的组织领导。应急指挥部办公室设在交通运输局办公室,负责网络安全日常工作。
(二)指挥机制 应急指挥部主要职责
1.贯彻落实相关网络安全法规、规定; 2.研究信息系统重大应急决策和部署;
3.宣布进入和解除应急状态,决定实施和终止信息系统应急预案;
4.统一领导各级突发事件的应急处置工作。应急指挥办公室主要职责
1.监督执行应急领导小组下达的应急指令和各项任务; 2.掌握应急处理情况,及时向应急指挥部报告应急处置过程中的重大问题;
3.监督落实应急预案的执行,在应急过程中协调有关科室和事业单位;
4.对网络安全突发事件的有关信息进行汇总和整理; 5.组织制定应急工作相关制度、标准、规范和预案,定期组织评估和复核,并监督、检查贯彻执行情况。
三、响应流程
(一)预警分级 网络安全事件预警等级分为三级:由高到低依次用红色、黄色和蓝色表示,分别对应发生或可能发生Ⅰ、Ⅱ、Ⅲ三级网络安全事件。
(二)预警监测
机关各科室、局属各事业单位按照“谁主管谁负责、谁运行谁负责”的要求,组织对本单位运行的网络系统开展网络安全监测工作。
(三)预警研判和发布
各有关单位组织对网络安全进行研判,认为需要立即采取防范措施的,应当及时通知有关部门和单位,对可能发生重大及以上网络安全事件的信息及时向应急办报告。各省(区、市)、各部门可根据监测研判情况,发布本地区、本行业的橙色及以下预警。
应急办组织研判,确定和发布红色预警和涉及多省(区、市)、多部门、多行业的预警。
预警信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。
(四)预警响应
Ⅰ级预警响应。应急办组织预警响应工作,联系局领导和有关单位,组织对事态发展情况进行跟踪研判,研究制定防范措施和应急工作方案,协调组织资源调度和部门联动的各项准备工作。应急指挥部实行24小时值班,相关人员保持通信联络畅通。加强网络安全事件监测和事态发展信息搜集工作,组织指导应急支撑队伍、各有关单位开展应急处置或准备、风险评估和控制工作,重要情况报市委、市政府办公室。
Ⅱ级预警响应。启动相应应急预案,组织开展预警响应工作,做好风险评估、应急准备和风险控制工作。各有关单位及时将事态发展情况报应急办。
Ⅲ级预警响应。启动相应应急预案,指导组织开展预警响应。
(五)响应结束
在同时满足下列条件下,应急指挥部可决定宣布解除应急状态:
1.各种网络安全突发事件已得到有效控制,情况趋缓。2.网络安全突发事件处理已经结束,设备、系统已经恢复运行。
3.上级应急部门发布的解除应急响应状态的指令。4.事件相关单位向应急指挥办公室报告应急处理已经结束,恢复正常生产工作秩序。
四、临时处置权限
(一)发生网络与信息安全突发事件后,事件发生单位立即启动应急预案,本着尽量减少损失的原则,将应急事件尽快隔离,在不影响正常生产、经营、管理秩序的情况下,保护现场。
(二)应急指挥部接到网络与信息安全突发事件的应急报告后,根据事件情况,立即启动网络安全突发事件应急预案。
(三)应急指挥部接到I级和II级网络与信息安全突发事件报告后,根据事件的性质和影响向市政府应急领导小组报告,对需要上级归口管理部门和市政府有关部门应急支持的事件,由应急领导小组开展应急协调。
五、应急支撑队伍
(一)人员保障
加强网络安全突发事件应急技术支持队伍的建设,组建由年轻化、知识化、信息化年轻干部队伍组成的应急支撑队伍,不断提高人员的业务素质、技术水平和应急处置能力。
(二)设备保障
应急行动所需的物资器材予以充分保障,以确保应急预案落到实处。坚持对应急设备器材进行定期维护保养,保证完好率达到95%以上,所需的物资应坚持定期补充和更换,始终保持其有效性。
(三)运行保障
1.正常运行中要加强对系统运行情况的监视,要做好软、硬件等可能出现的异常情况的预控,及时发现异常情况; 2.各单位负责本单位计算机设备的运行工作,出现异常和故障及时向办公室反映;
3.值班人员应加强对网络各系统巡视,记录完整,对异常情况正确判断,及时联系专业技术人员进行故障排除。
(四)资金保障
各有关单位应保障应急培训、演练、添置应急装备物资等所需经费。
六、事件评估
(一)后期观察
1.I级网络安全突发事件应急处理结束后应密切关注、监测系统2周,确认无异常现象。
2.II级网络安全突发事件应急处理结束后应密切关注、监测系统1周,确认无异常现象。
3.III级网络安全突发事件应急处理结束后应密切关注、监测系统2天,确认无异常现象。
(二)调查与评估
1.网络安全突发事件应急处理结束后,影响到服务对象利益和国家安全的事件,按照各级政府及部门的要求配合进行事件调查。
2.网络安全突发事件应急处理结束后,对按照相关规定要求需要成立调查组的事件,由负责人组织成立调查组,对事件产生的原因、影响进行调查和评估,对责任进行认定,提出整改建议。
3.网络安全突发事件应急处理结束后,按照相关规定由各有关单位自行组织调查的,各单位对事件产生的原因进行调查,对产生的影响进行评估,对责任进行认定,提出整改措施。调查报告上报应急指挥办公室。
(三)改进措施
1.网络安全突发事件应急处理结束后,相关单位应组织研究事件发生的原因和特点、分析事件发展过程,总结应急处理过程中的经验和教训,进行应急处置知识积累,进一步补充、完善和修订相关应急预案。
2.网络安全突发事件应急处理结束后,相关单位应结合运行过程中的异常和事件,综合分析信息系统中存在的关键点和薄弱点,提出该类事件的整改措施,制定整改实施方案并予以落实,整改措施和方案报应急指挥办公室备案。
七、监督管理
(一)采取多种形式,有计划地开展网络安全突发公共事件应急和处置的宣传教育活动,加强全体干部职工和从业人员安全防范意识的宣传普及,提高防范意识和应急处置能力。
(二)加强对网络安全等方面的知识培训,提高防范意识及技能,指定专人负责安全技术工作,并将网络安全突发公共事件的应急管理、工作流程等列为培训内容,增强应急处置工作的组织能力。
(三)通过演练,发现应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力。
(四)各有关的我要认真贯彻落实预案的各项要求与任务,建立监督检查和奖惩机制。应急办将不定期进行检查,对各项制度、计划、方案、人员、物资等进行实地验证,并以演练的评定结果作为是否有效落实预案的依据。
八、附则
(一)本预案由市交通运输局办公室制定,办公室根据实际情况,及时修订本预案。
(二)本预案由市交通运输局办公室负责解释。
(三)本预案自发布之日起实施。
招远市交通运输局
【网络信息安全应急响应预案】推荐阅读:
信息化办公室网络安全应急预案02-15
网络信息安全111-17
网络信息安全小组11-29
信息安全技术网络安全07-27
网络信息安全值班制度09-15
网络信息安全自查报告11-29
现代网络与信息安全12-22
网络信息安全经典案例06-21
学校网络信息化安全08-18
信息系统网络安全建设08-23