网络安全与信息化应急预案.docx

1、网络安全与信息化应急预案甘肃省公路发展集团有限公司信息化与网络安全应急预案第一章 总则一、编制目的为提高公司处理信息化与网络安全（以下简称信息安全系统）突发事件的能力，形成科学、有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大程度地预防和减少信息安全系统突发事件及其造成的损害，保障信息资产安全，特制定本预案。二、编制依据根据中华人民共和国计算机信息系统安全保护条例、公安部计算机病毒防治管理办法，制定本预案。三、分类分级本预案所称信息安全系统突发事件，是指公司信息安全系统突然遭受不可预知外力的破坏、毁损、故障，发生对国家、社会、公众造成或者可能造成重大危害

2、，危及公共安全的紧急事件。1.事件分类根据信息安全系统突发事件的性质、机理和发生过程，主要分为以下三类：（1）自然灾害。指地震、台风、雷电、火灾、洪水等引起的网络与信息安全系统的损坏。（2）事故灾难。指电力中断、网络损坏或是软件、硬件设备故障等引起的网络与信息安全系统的损坏。（3）人为破坏。指人为破坏网络线路、通信设施，黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息安全系统的损坏。2.事件分级根据信息安全系统突发事件的可控性、严重程度和影响范围，一般分为四级：级（特别重大）、级（重大）、级（较大）和级（一般）。（1）级（特别重大）、级（重大）。重要信息安全系统发生全局大规模瘫痪，事态发展超出公

3、司的控制能力，需要由上级信息化安全主管部门协调解决，对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的信息安全系统突发事件。（2）级（较大）。某一部分的重要信息安全系统瘫痪，对国家安全、社会秩序、经济建设和公共利益造成一定损害，但在公司控制之内的信息安全系统突发事件。（3）级（一般）。重要信息安全系统使用效率上受到一定程度的损坏，对公民、法人和其它组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益的信息安全系统突发事件。四、适用范围本预案是甘肃公路发展集团有限公司信息安全系统的专项预案，适用于公司发生或可能导致发生信息安全系统突发事件的应急处理工作。五、工作原则1.居

4、安思危，预防为主。立足安全防护，加强预警，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统，从预防、监控、应急处理、应急保障和打击犯罪等环节，采取多种措施，充分发挥各方面的作用，共同构筑信息安全系统保障体系。2.明确责任、分级负责。按照“谁主管谁负责”的原则，分级分类建立和完善安全责任制度、协调管理机制和联动工作机制。3.提高素质，快速反应。加强信息化与网络安全科学研究和技术开发，采用先进的监测、预测、预警、预防和应急处理技术及设施，充分发挥专业人员的作用，在信息安全系统突发事件发生时，按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处理，最大程度地减少

5、危害和影响。4.以人为本，减少损害。把保障公共利益作为首要任务，及时采取措施，最大限度地避免公共财产、信息资产遭受损失。5.定期演练，常备不懈。加强技术储备，规范应急处理措施与操作流程，定期进行预案演练，确保应急预案切实有效，实现信息安全系统突发事件应急处理的科学化、程序化与规范化。6.宣传教育和培训。加强有关信息安全系统突发事件应急处理的法律法规和政策的宣传，普及应急救援的基本知识，提高公司信息安全防范意识和应急处理能力。加强对信息安全系统突发事件的技术准备培训，提高工作人员的防范意识及技能。第二章 组织指挥机构与职责一、组织体系成立甘肃省公路发展集团有限公司信息化与网络安全领导小组，负责领

6、导、组织和协调公司信息化系统突发事件的应急保障工作，组长由总经理担任，副组长由分管信息化的分管领导担任，成员包括：办公室主任、副主任、安全管理部长、副部长、财务管理部部长、信息管理中心工作人员等组成。应急小组日常工作由办公室承担，其它各相关部门积极配合。二、工作职责1.制订专项应急预案，定期组织演练，监督检查各部门在本预案中履行情况。对发生事件启动应急救援预案进行决策，全面指挥应急救援工作。2.发生级、级、级信息安全系统突发事件后，决定启动本预案，组织应急处理工作。如信息安全系统突发事件属于级、级的，向上级信息化安全主管部门通报并协调有关部门配合处理。3.研究提出信息安全系统应急机制建设规划，

7、检查、指导和督促信息安全系统应急机制建设。指导督促重要信息安全系统应急预案的修订和完善，检查落实预案执行情况。4.指导应对信息安全系统突发事件的科学研究、预案演习、宣传培训，督促应急保障体系建设。5.收集信息安全系统突发事件相关信息，分析重要信息并提出处理建议。对可能演变为级、级、级的信息安全系统突发事件，应及时向公司提出处理建议。6.负责提供技术咨询、技术支持，进行重要信息的研判、信息安全系统突发事件的调查和总结评估。第三章 监测、预防、预警和先期处理一、信息监测与报告1.要进一步完善各重要信息安全系统突发事件监测、预测、预警制度。按照“早发现、早报告、早处理”的原则，加强对各类信息安全系统

8、突发事件和可能引发信息安全系统突发事件的有关信息的收集、分析判断和持续监测。当发生信息安全系统突发事件时，在按规定向有关部门报告的同时，按紧急信息报送的规定及时向集团信息化与网络安全领导小组汇报。初次报告最迟不得超过4小时，较大、重大和特别重大的信息安全系统突发事件实行态势进程报告和日报制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。若发现下列情况应及时向集团信息化与网络安全领导小组报告。2.报告内容：（1）网络或信息系统通信和资源使用异常；（2）网络或信息系统瘫痪，应用服务中断或数据篡改、丢失；（3）网络恐怖活动的嫌疑和预警信息；（4）其它影响网络与信息安全的

9、信息。3.信息安全定期汇报。定期自查公司信息安全系统工作情况，其中包括：（1）恶意人士利用网络从事违法犯罪活动的情况。（2）网络或信息系统通信和资源使用异常，网络和信息系统瘫痪、应用服务中断或数据篡改、丢失等情况。（3）网络恐怖活动的嫌疑情况和预警信息。（4）网络安全状况、安全形势分析预测等信息。（5）其它影响网络与信息安全的信息。4.实行信息安全风险评估。经过相关设备实时监控网络工作与信息安全状况。各基础信息网络和重要信息安全系统建设要充分考虑抗毁性和灾难恢复，制定并不断完善信息安全应急处理预案。针对信息网络的突发性、大规模安全事件，建立制度优化、程序化的处理流程。5做好服务器及数据中心的数

10、据备份及登记工作，建立灾难性数据恢复机制。一旦发生网络与信息安全事件，立即启动应急预案，采取应急处理措施，判定事件危害程度，并立即将情况向有关领导报告。在处理过程中，应及时报告处理工作进展情况，直至处理工作结束。二、预警处理与预警发布 1.对于可能发生或已经发生的信息安全系统突发事件，系统管理员应立即采取措施控制事态，并在2小时内进行风险评估，判定事件等级并发布预警。必要时应启动相应的预案，同时向集团信息化与网络安全领导小组汇报。2.信息化与网络安全领导小组接到汇报后应立即组织处理，查明事件状态及原因，技术人员应及时对信息进行技术分析、研判，根据问题的性质、危害程度，提出安全警报级别。三、先期

11、处理1.当发生信息安全系统突发事件时，及时请技术人员做好先期应急处理工作并立即采取措施控制事态，必要时采用断网、关闭服务器等方式防止事态进一步扩大，同时向上级信息化安全主管部门汇报。2集团信息化与网络安全领导小组在接到信息安全系统突发事件发生或可能发生的信息后，应加强与有关方面的联系，掌握最新发展态势。对有可能演变为级信息安全系统突发事件，技术人员提出应急处理方案。信息化与网络安全领导小组根据信息安全系统突发事件发展态势，视情况决定现场指导、组织设备厂商或者系统开发商应急支援力量，做好应急处理工作。对有可能演变为级或级的信息安全系统突发事件，要根据有关部门的要求，向省厅、局信息化安全主管部门汇

12、报，积极做好应急处理工作。第四章 安全事件分类一、物理层安全1.系统环境安全2.物理设备的安全二、网络安全1.网络体系结构的安全2.网络通信协议的安全3.网络操作系统的安全三、系统安全风险1.操作系统安全2.数据库安全3.应用系统的安全4.病毒危害5.黑客入侵四、应用安全风险1.身份认证与授权控制的安全2.信息传输的机密性和不可抵赖性3.管理层安全第五章 应急处理流程一、预案启动在发生信息安全系统突发事件后，工作人员应迅速收集事件相关信息，鉴别事件性质，确定事件来源，弄清事件范围和评估事件带来的影响和损害，一旦确认为信息安全系统事件后，立即将事件上报公司信息化与网络安全领导小组并着手处理。二、

13、应急指挥1.本预案启动后，信息化与网络安全领导小组建立与现场通讯联系，掌握现场处理工作状态，分析事件发展趋势，研究提出处理方案，调集和配置应急处理所需要的人、财、物等资源，统一指挥信息安全系统应急处理工作。2.需要成立现场指挥部的，立即在现场开设指挥部，并提供现场指挥运作的相关保障。现场指挥部要根据事件性质迅速组建各类应急工作组，开展应急处理工作。三、应急处理现场信息收集、分析和上报。技术人员应对事件进行动态监测、评估，及时将事件的性质、危害程度和损失情况及处理工作等情况及时报领导小组，不得隐瞒、缓报、谎报。符合紧急信息报送规定的，属于级、级信息安全事件的，同时向上级信息化安全主管部门汇报。针

14、对公司部分信息安全系统应急处理措施如下：1.机房强电源系统断电 （1）查明故障原因。（2）检查 UPS是否正常供电。（3）汇报相关领导，确认强电恢复时间，评估 UPS供电能力。（4）通知相关部门进行电源维修。做好事件记录。（5）必要时请示信息化与网络安全领导小组，主动关闭服务器、交换机、存储等设备，以免设备损坏或数据损失。2.局域网中断紧急处理措施（1）工作人员立即判断故障节点，查明故障原因，及时汇报。（2）若是线路故障，重新安装线路。（3）若是路由器、交换机等设备故障，应立即从指定位置将备用设备取出接上，并调试畅通。（4）若是路由器、交换机等配置文件损坏，应迅速按照要求重新配置，并调试畅通。

15、（5）汇报相关领导，做好事件记录。3.广域网线路中断（1）工作人员应立即判断故障节点，查明故障原因。（2）如是我方管辖的范围，由信息安全负责人员立即维修恢复。（3）如是电信部门管辖的范围，应立即与电信维护部门联系修复。（4）做好事件记录。4.核心交换机故障（1）检查、备份核心交换机日志。 （2）启用备用核心交换机，检查接管情况。（3）备份核心交换机配置信息。（4）将服务器接入备用核心交换机，检查服务器运行情况，将楼层交换机、接入交换机接入备用核心交换机，检查各交换机运行情况。（5）汇报有关领导，做好事件记录。（6）联系维修核心交换机。5.光缆线路故障（1）立即联系光纤熔接人员携带尾纤等辅助材料

16、，及时熔接连通。（2）检查并做好备用光缆或备用芯的跳线工作，随时切换到备用网络。（3）做好事件记录，及时上报。6.计算机病毒爆发（1）关闭计算机病毒爆发网段上联端口。（2）隔离病毒计算机。（3）关闭病毒计算机上联端口。 （4）根据病毒特征使用专用工具进行查杀。（5）系统损坏计算机在备份其数据后，进行重装。（6）经过专用工具对网络进行清查。（7）做好事件记录，及时上报。7.服务器设备故障（1）主要服务器应做多个数据备份。（2）如能自行恢复，则立即用备件替换受损部件，如：电源损坏更换备用电源，硬盘损坏更换备用硬盘，网卡、主板损坏启用备用服务器。 （3）若数据库崩溃应立即启用备用系统。并检查备用服务

17、器启用情况。（4）对主机系统进行维修并做数据恢复。（5）如不能恢复，立即联系设备供应商，要求派维护人员前来维修。 （6）汇报有关领导，做好事件记录。8.黑客攻击事件（1）若经过入侵监测系统发现有黑客进行攻击，立即通知相关人员处理。（2）将被攻击的服务器等设备从网络中隔离出来。（3）及时恢复重建被攻击或被破坏的系统（4）记录事件，及时上报，若事态严重，应及时向上级信息化安全主管部门和公安部门报警。9.数据库安全事件（1）平时应对数据库系统做多个备份。（2）发生数据库数据丢失、受损、篡改、泄露等安全事件时，信息安全人员应查明原因，按照情况采取相应措施，如更改数据库密码、修复错误受损数据等。（3）如

18、果数据库崩溃，信息安全人员应立即启用备用系统，并向信息安全负责人报告；在备用系统运行期间，信息安全人员应对主机系统进行维修并作数据恢复。 （4）做好事件记录，及时上报。10.人员疏散与机房灭火预案（1）当班人员发现机房内有起火、冒烟现象或闻到烧焦气味时，应立即查明原因和地点，及时上报并针对不同情况，采取关闭电源总开关、隔离火源附近易燃物、用消防栓、灭火器等器材灭火等措施，组织本单位、部门在场的人员有序地投入扑救工作，将火扑灭或控制火势蔓延。（2）当火势已无法控制时，一是指定专人立即拨打“119”火警电话报警和向上级信息化安全主管部门汇报，并打破报警器示警。二是组织周围人员迅速撤离。（3）在保障

19、人员安全的情况下，立即组织人员疏散和转移重要物品，特别是易燃、易爆物品和重要的机器、数据要及时转移到安全地点，并派人员守护，确保安全。（4）火情结束之后，组织相关人员及时进行网络系统恢复，及时向上级信息化安全主管部门和领导小组汇报，并做好现场保护工作和防止起火点复燃。11.发生自然灾害后的紧急措施（1）遇到重大雷暴天气，可能对机房设备造成损害时，应关闭所有服务器，切断电源，暂停内部计算机网络工作。雷暴天气结束后，及时开通服务器，恢复内部计算机网络工作。（2）确认灾害不会造成人身伤害后，尽快将网络恢复正常，若有设备、数据损坏，及时使用备份设备或备用数据。（3）及时核实、报损，并将详细情况向相关部

20、门领导汇报。12关键人员不在岗的紧急处理措施（1）对于关键岗位平时应做好人员储备，确保一项工作有两人能够操作。对于关键账户和密码进行密封保存。（2）一旦发生系统安全事件，关键人员不在岗且联系不上或一小时内不能到达机房的情况，首先应向领导小组汇报情况。（3）经领导小组批准后，启用备份管理员密码，由备用人员上岗操作。（4）如果备用人员无法上岗，请求软件公司技术支援。（5）关键人员到岗后，按照相关规定进行密码设定和封存。（6）做好事件记录。13.视频会议系统应急处理措施（1）在各类会议进行中，当会议系统突然中断时，信息化与网络安全领导小组应维护会场秩序，保证会场纪律；工作人员应立即启用备用系统，查明

21、故障原因，快迅恢复故障设备，保证会议继续进行。（2）当视频会议系统突然连接中断时，工作人员应及时判定出是终端设备故障还是传输通道故障。（3）在会议期间本端发生视频信号正常而无音频信号时，工作人员应立即检查调音台工作情况，音频是否关为静音。是否音频信号未接收、发出。发现本地故障设备应迅速断开跳过，保证会议正常进行。（4）当所有的分会场无主会场图像时，应检查主会场视频源是否选择正确，摄像机是否工作，视频输入线是否接好；判定本端设备有无故障。（5）遇到不能解决的问题时，应向信息化与网络安全领导小组报告，并及时与维护单位联系，取得技术支持，尽快排除故障。（6）当本地声音不能传到对方时，应检查话筒，音频

22、输入连接线，附属音频设备是否出现故障。四、应急支援本预案启动后，信息化与网络安全领导小组可根据事态的发展和处理工作需要，及时向上级信息化安全主管部门申请增派专家小组和应急支援单位，调动必须的物资、设备，支援应急工作。参加现场处理工作的有关人员要在现场指挥部统一指挥下，协助开展处理行动。五、后续处理安全事件进行应急处理以后，应及时采取行动，抑制其影响的进一步扩大，限制潜在的损失与破坏，同时要确保应急处理措施对涉及的相关业务影响最小。安全事件被抑制之后，经过对有关事件或行为的分析结果，找出其根源，明确相应的补救措施并彻底清除。在确保安全事件解决后，要及时清理系统、恢复数据、程序、服务，恢复工作应避

23、免出现误操作导致数据丢失。 六、应急结束网络与信息安全事件发生时，应及时向信息化与网络安全领导小组汇报，并在事件处理工作中作好完整的过程记录，及时报告处理工作进展情况，保存各相关系统日志，直至处理工作结束。第六章 后期处理一、善后处理在应急处理工作结束后，要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作，统计各种数据，查明原因，对事件造成的损失和影响以及恢复重建能力进行分析评估，认真制定恢复重建计划，迅速组织实施。二、调查和评估在应急处理工作结束后，信息化与网络安全领导小组应立即组织有关人员和专家组成事件调查组，对事件发生及其处理过程进行全面的调查，查清事件发生的原因及财

24、产损失状况和总结经验教训，写出调查评估报告。第七章 应急保障一、通信与信息保障信息化与网络安全领导小组各成员应保证电话24小时开机，以确保发生信息安全事故时能及时联系到位。二、应急设备保障各重要信息安全系统在建设时应事先预留出一定的应急设备，做好信息网络硬件、软件、应急救援设备等应急物资储备工作。在信息安全系统突发公共事件发生时，信息化与网络安全领导小组负责统一调用。 三、数据保障重要信息安全系统均应建立容灾备份系统和相关工作机制，保证重要数据在遭到破坏后，可紧急恢复。各容灾备份系统应具有一定的兼容性，在特殊情况下各系统间可互为备份。 四、应急队伍保障要求建立信息安全系统应急保障队伍。选择具有管理规范、服务能力较强的单位作为公司信息安全系统的应急支援单位，提供技术支持与服务。五、交通运输保障应确定信息安全系统突发事件应急交通工具，确保应急期间人员、物资、信息传递的需要，并根据应急处理工作需要，由领导小组统一调配。六、经费保障预留应急处理资金保障信息化与网络安全应急处理工作。第八章 附则一、实施时间本预案自发布之日起实施。二、解释部门本预案的解释权归甘肃省公路发展集团有限公司信息化与网络安全领导小组。