《最新网络与信息安全应急演练实施.docx》由会员分享,可在线阅读,更多相关《最新网络与信息安全应急演练实施.docx(45页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络与信息安全应急演练实施(可以直接使用,可编辑 优秀版资料,欢迎下载)网络与信息安全应急演练 为保障集团网络安全,对网络突发事件能及时做出防范处理,进一步提高预防和控制网络突发事件的能力和水平,减轻或消除网络突发事件的危害和影响,根据公发集团网络安全与信息化预案进行了网络安全应急演练。一、组织机构(一)应急指挥部: 总指挥:xx成员: xx指挥部在演练中负责信息系统突发事件应急演练的指挥、组织协调和过程控制,并向上级部门报告演练进展情况和总结报告.(二)应急演练工作组 组长:xx 成员:xxx应急演练工作组负责信息突发事件应急演练的具体工作;对信息系统突发事件应急演练业务影响情况进行分析和评
2、估;收集分析信息系统突发事件应急演练处置过程中的数据信息和记录;向应急指挥部报告应急演练的进度情况和事态发展情况。并做好后勤保障工作:提供应急演练所需的人力和物力等资源保障。二、进行演练(一)演练时间 2021年9月25日进行应急演练,集团办公室全体人员参加(二)演练内容 1、对集团网络通信线路的检查和故障排除.2、机房网络设备故障的检查和排除3、黑客攻击服务器的应对处理.4、大规模病毒(含恶意软件)攻击的应急处理(三)演练的过程 1、 2021年9月25日早晨上班后,发现集团网络不通,不能登录OA办公软件,各部门无法正常联系和办理业务,随即立刻通知集团网络管理员,网络管理员在了解大体情况后,
3、立即上报给应急演练指挥部。指挥部启动相关应急预案并组织人员进行故障排查,发现光钎收发机损坏,更换收发器后,网络恢复正常。2、2021年9月26日,集团财务室无法登录NC系统,办公室立刻将情况通知应急指挥部,指挥部立即启动相关预案,网络安全员立即检查网络情况,发现网络正常,之后去机房检查NC系统的服务器,发现长时间运行外加机房散热问题,导致服务器宕机,在重启服务器和通风散热后,系统恢复正常. 3、2021年9月27日,集团机房服务器模拟被黑客攻击,应急指挥部收到警情通知后,向上级领导报告并立即切断被攻击的服务器网络,保护现场并向公安部门报警,配合公安部门展开调查.发布对内和对外的公告通知,组织技
4、术人员做好被攻击系统的恢复和重建工作。4、2021年9月27日,集团财务部电脑感染病毒,财务软件无法登录,机器运行缓慢.财务部将情况上报给应急指挥部,指挥部启动相关预案进行处理:首先切断被感染的计算机的网络,其次网络安全员对该设备的硬盘备份重要资料,并使用360系统急救箱进全盘查杀扫描,对于杀毒软件无法清除的病毒,向相关领导汇报后,保存重要数据重新做电脑系统。情节较为严重的,向公安部门报警,配合公安部门展开调查。三、演练总结本次演练的目的是以防范网络与信息存在的风险为目的,建立科学有效、协调有序的网络与信息安全的应急管理机制和相关协调机制,以落实和完善应急预案为基础,全面加强信息与网络应急管理
5、工作。从本次演练的效果来看,这次演练指导有方、准备有序、组织有力、扎实有效,基本达到了预期目标.整个演练工作体现了以下俩个方面的特点:(一) 领导重视,组织健全,启动快速集团领导对这次演练非常重视,为了保障演练工作利,召开了集团信息与网络安全应急演练动员会,成立以办公室为主体的应急指挥部和应急演练工作组,负责演练的策划、统筹、协调、保障等工作。(二) 提前准备,重点推进演练前办公室联系各科室做好相关准备,对机房的安全设备和服务器进行安全补丁升级和重要数据备份,以免在演练出现突发情况,演练后应急指挥部对财务部和工程部进行了数据信息保密的培训。演练达到了预期目标,但同时也有需要改进的地方,首先是实
6、战经验不足,在演练前没有进行过相关事件的处理,其次是机房的散热需要安装制冷设备,机房的安全设备需要更新。最后是网络与机房的管理人员需要进行培训,提高处理机房设备故障的能力。 网络与信息安全应急处置预案一、总则第一条 根据福建省网络与信息安全协调小组关于制定网络与信息安全应急处置预案的通知(闽信安办20045号)等有关规定和要求,为保证医疗保险信息网络系统正常稳定运行和信息数据的安全存储,特制定本规定。第二条 本预案适用于某省某某某考务系统管理,包括系统运行安全、数据存储与灾备、网络安全与维护、病毒防治、黑客入侵五大部分。凡在某省某某某考务系统中运行计算机软硬件设备的处室(单位)和相关人员均应遵
7、守本预案的相关规定。第三条 本预案处置遵循“统一领导、统一指挥、各司其职、整体作战、发挥优势”的原则,全力保障考务系统考生数据的安全,保障信息系统的稳定无差错运行、网络安全稳定运行,事故发生后尽快恢复数据并确保稳定运行.二、组织指挥和职责任务第四条 成立某省某某某中心网络与信息安全应急处置领导小组,由中心主任担任组长,中心副主任担任副组长,信息科、综合科和考务科负责人担任成员。下设的办公室挂靠在信息管理科,由信息科科长担任主任。(名单附后)第五条 建立内部安全管理制度,包括机房管理制度、设备管理制度、病毒防范制度、操作安全管理制度等,并确保制度有效执行。第六条信息管理科指定技术人员作为监测成员
8、,与相关技术支持公司签订安全合同,聘请专业网络安全技术员作为技术处置员。监测成员职责:负责各种管理制度的制定,日常网络信息安全的监测,检查相关人员是否有违规行为;发现异常情况,及时报告,按照处置程序进行应急处理.技术处置员职责:根据签订的安全合同,在出现任何网络信息安全问题时在合同规定的时间内赶到现场并进行技术处理,尽可能减轻损失,在最短时间内恢复医疗保险信息网络的正常运行.三、处置措施与处置程序第七条 处置程序1、发现情况。各科室工作人员、值班人员发现网络与信息安全情况异常,需要紧急处理的,应立即报告,并进入预案启动程序;2、预案启动。在领导的指示下,根据第八、九条的标准划分,启动不同等级的
9、预案处理程序;3、应急处置.针对各类情况,根据第十一条进行实施应急处理,将损失减到最小程度;4、情况报告。根据情况的等级不同,按第十条规定标准,报告各级领导,将情况具体内容与处理过程详细记录,备案待查;5、发布预警。根据遇到的紧急情况的等级,在必要时向不同范围的人员或者单位发布预警,保证信息网络系统的正常运行;6、预案中止。在进行了正确的处理,并解决了故障问题,检测医疗保险信息网络系统已经恢复稳定正常运行后,宣布预案运行中止。第八条 信息网络系统紧急安全情况分级定义一级:指主要硬件故障或者中心数据库故障、灾害性故障引起某某某某某网无法继续运行,直接导致考生报名工作无法正常进行;二级:直接存在局
10、部硬件故障或者数据库故障、存在直接影响某某某某某网运行的隐患,不及时解决将有可能升级为一级故障。局部影响了某某某工作,但不会对整个某某某工作产生决定性影响;三级:因个别信息系统的软硬件故障,在小范围内个别影响了某某某工作.第九条 根据网络与信息安全遇到紧急情况种类及严重程度的不同,分别归入不同级别的预案处理,具体分类如下:1、灾难性事故安全处理预案。当遇到火灾、地震、雷击、漏水等自然灾害事故或者其它不可抗拒力量的事故时,应视为一级紧急信息安全情况,迅速启动一级安全预案,马上上报并立即着手紧急处理方案;2、系统运行安全处理预案。当运行某某某某某网的服务器遇到硬件故障或者数据库遇到问题时,应视为一
11、级紧急信息安全情况迅速上报并进行处理;3、数据存储处理预案。当某某某某某网数据的存储与备份出现错误时,如果直接对当前系统造成影响,应按一级紧急信息安全情况迅速上报并进行处理。如果不直接影响当前系统运行,但存在隐患的,应按二级紧急信息安全情况进行处理;4、网络安全与维护处理预案.当某某某某某网安全出现紧急情况时,应视网络事故的等级及影响面的大小分级进行上报处理。中心端路由器故障应视为一级紧急信息安全情况;中心端单口故障应视为二级紧急信息安全情况进行处理;单机网络故障按三级紧急信息安全情况处理;5、黑客入侵处理预案.当怀疑有黑客入侵时,应马上组织技术人员进行查证,暂时封闭有关线路并按二级紧急信息安
12、全情况进行上报处理;当确认有黑客入侵时,应马上关闭网络系统,发布预警,按一级紧急信息安全情况上报处理;6、病毒防治处理预案.当查实有单台计算机感染恶性病毒时,应按三级紧急信息安全情况进行上报处理,并实行隔离杀毒工作;当查实有多台计算机感染恶性病毒时,应按二级紧急信息安全情况进行上报处理,并暂时关闭相关网络进行隔离杀毒,如果影响医疗保险工作则应在相关范围内发布预警;如果系统数据库或者小型机查实感染病毒,应按一级紧急信息安全情况上报处理并发布预警。7、断电事故安全处理预案。当运行某某某某某网的机房遇到电力中断情况时,中断时间预计小于30分钟时视为二级安全情况,如达到或超过30分钟则直接升级为一级紧
13、急信息安全情况迅速上报并进行处理。第十条 遇到信息网络安全问题时,应根据不同的级别,分级上报,具体分级上报规定如下:一级:应马上通知应急处置领导小组副组长,并由领导小组副组长上报领导小组组长,信息科将情况登记备案;二级:应马上通知应急处置领导小组副组长,信息科将情况登记备案;三级:应及时处理并报备应急处置领导小组副组长。第十一条 分级处理的人员安排一级:由值班人员立即上报应急处置领导小组副组长并对现场进行必要处理,迅速通知技术处置员。技术处置员应在一小时内赶到现场进行处理,如果无法到达需指定专员于网络远程保持实时操作。同时应急处置领导小组副组长接到通知并了解详细情况后上报应急处置领导小组组长,
14、并由领导小组组长指导工作,各成员保持实时联系;二级:由值班人员立即上报应急处置领导小组副组长并对现场进行必要处理,迅速通知技术处置员。技术处置员应在两小时内赶到现场进行处理,如果无法到达需指定专员于网络远程保持实时操作。同时应急处置领导小组副组长接到通知并了解详细情况后直接指导工作,各成员保持实时联系;三级:由值班人员对情况进行必要处理,通知技术处置员。技术支持应在当天内对故障进行处理并报备应急处置领导小组副组长。四、保障措施第十二条 信息科实时接收和监测各种信息网络系统运行情况。第十三条 配有专职的日常网络管理人员,外聘专业的网络安全服务商,与相关技术支持公司签订系统与设备维护合同,并于合同
15、中标明各级应急处理预案技术支持的安排,做到可以根据紧急情况处理预案的要求及时提供技术支持。第十四条 购置防火墙、入侵检测设备、防病毒产品、物理隔离设备、扫描设备等安全防范专用设备,正确设置这些设备的各项参数,确保其配置不允许被随便修改.随着网络规模的调整,及时调整防范设备的部署。第十五条 定期安排网络信息安全技术讲座,通过技术讲座切实增强网络技术人员和所有人员的安全意识;针对系统管理员、应用系统管理员、防病毒软件分发管理员、防病毒系统使用管理员等不同层次的使用者进行相关的培训.第十六条 安排专项经费用于网络安全技术防范设备的添置、升级、更新,外聘专业的网络安全服务商对网络安全进行定期巡检和评估
16、。第十七条 网络安全评估与修复由技术服务工程师对网络安全风险进行评估,评估内容主要包括网络实体、平台、数据、通信、系统管理等方面。根据评估结果和建设性意见,对网络进行脆弱性修补,以提高整体的网络安全.第十八条 网络安全信息服务1、漏洞和补丁通报坚持每周一次通过FTP服务器、网络版杀毒软件服务端、电子邮件等方式为内部用户提供最新出现的安全漏洞和安全升级、病毒疫情通告,直接下载或者升级病毒码,保证网络安全体系实时处于先进水平。2、技术行业通报通过追踪和整理世界信息安全技术最新动态、产品和行业情况、安全厂商情况、安全标准与法规等内容,使信息中心及时掌握新的安全技术、政策、法规和行业动态。3、重大疫情
17、的公告针对恶性病毒的特点(发作突然,破坏作用大,蔓延速度快)以及出现的最新系统漏洞,为了最大程度的避免遭受恶性病毒及黑客的突然袭击,在内部进行重大疫情公告的服务。五、附则第十九条 本规定自发布之日起开始实施.附:某省某某某中心网络与信息安全应急处置领导小组成员名单:网络信息安全应急预案一、总则 1编制目的为提高应对网络与信息安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网站网络与信息安全突发事件的危害,特制定本预案。 2编制依据根据中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际互联网管
18、理暂行规定等有关法规、规定,制定本预案。 3适用范围本预案适用于发生与本预案定义的IIV级网络与信息安全突发事件和可能导致IIV级的网络与信息安全突发事件的应对处置工作。 4分类分级 本预案所指的网络信息安全突发事件,是指网络信息系统突然遭受不可预知外力的破坏、毁损或故障,不良信息在网站乃至整个互联网的传播,发生对国家、社会、公众造成或者可能造成危害的紧急网络安全事件。事件分类根据网络信息安全突发事件的发生过程、性质和特征,网络信息安全突发事件划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害、事故灾难和人为破坏引起的网络与信息系统的损坏;信息安全突发事件是指利用信息网络进
19、行有目的或有组织的反动宣传、煽动和歪曲事理的不良活动或违法活动。 (1)自然灾害是指地震、台风、雷电、火灾、洪水等. (2)事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。 (3)人为破坏是指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖主义活动等事件。 事件分级 根据我省对网络信息安全突发事件的可控性、严重程度和影响范围,将网络信息安全突发事件分为四级:I级(特别重大)、II级(重大)、III级(较大)、IV级(一般)。具体级别定义如果国家有关法律法规有明确规定的,按国家有关规定执行. (1)I级(特别重大):造成网络与信息系统发生大规模瘫痪,事态的发展超出区一级相关主管部门
20、的控制能力,对国家安全、社会秩序、公共利益造成特别严重损害的突发事件。 (2)II级(重大):造成网站或其它上一级部门重要网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成严重损害,需要上级政府或公安部门协助,乃至需跨地区协同处置的突发事件。 (3)III级(较大):造成网站网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成一定损害,但只需在本区政府或区信息中心协同处置的突发事件。 (4)IV级(一般):造成网站网络重要网络与信息系统受到一定程度的损坏,但不危害国家安全、社会秩序和公共利益,可由我主管部门处置的突发事件。 二、工作原则 1积极防御、综合防范。立足安全防护,加强预警,重点
21、保护重要信息网络和关系社会稳定的重要信息系统;从预防、监控、应急处理、应急保障和打击不法行为等环节,在管理、技术、宣传等方面,采取多种措施,充分发挥各方面的作用,构筑网络与信息安全保障体系。 2明确责任、分级负责.按照“谁主管、谁负责”的原则,加强网络安全管理,认真落实各项安全管理制度和措施.加强计算机信息网络安全的宣传和教育,进一步提高工作人员的信息安全意识。 3落实措施、确保安全。要对机房、网络设备、服务器等设施定期开展安全检查,对发现安全漏洞和隐患的进行及时整改;要实行网站的巡察制度,密切关注互联网信息动态,要按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大
22、程度地减少危害和影响。 4加强技术储备、规范应急处置措施与操作流程,树立常备不懈的观念,定期进行预案演练,确保应急预案切实可行。 5、事故上报 当发生网络信息安全突发事件时,应及时按规定向有关部门报告。初次报告最迟不得超过2小时,重大和特别重大的网络信息安全突发事件必须实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等. 三、事后处理 应急响应应急结束网络与信息安全突发事件经应急处置后,得到有效控制,事态下降到一定程度或基本得以解决,将各监测统计数据上报院领导,由院领导向区应急小组提出应急结束的建议,经批准后实施. 四、人员队伍 保障措施应急
23、技术队伍保障按照一专多能的要求建立我院网络与信息安全应急技术保障队伍。并定期参加信息安全配训。 五、监督管理 1加强对网络与信息安全等方面专业技能的培训,指定专人负责安全技术工作。 2定期演练。通过演练,发现应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力. 在应急处置工作结束后,应立即组织有关人员组成事件调查组,查清事件发生的原因及财产损失情况,总结经验教训,写出调查评估报告,报应急领导小组,并根据问责制的有关规定,对有关责任人员作出处理。特别重大网站网络与信息安全突发公共事件的调查评估报告,报应急领导小组,必要时采取合理的形式向社会公众通报。网络与信息安全应急预案一、工
24、作原则(一)预防为主、综合防范。立足安全防护,加强预警,重点保护基础信息网络和重要信息系统,抓好预防、监控、应急处理、应急保障等环节,构筑网络与信息安全保障体系。(二)明确责任、分级负责。按照“谁主管谁保障,谁保障谁处置,谁处置谁报告”的原则,建立和完善组织机构,明确职责分工,有效履行保障和应对网络与信息系统突发事件的职责。(三)迅速处置,事后整改。按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。事后要剖析原因,总结教训,形成长效机制,实现网络与信息安全突发事件应急处置工作的科学化、程序化与规范化。二、组织机构和工作职责信息安全领导小组(以下
25、简称领导小组)是我局网络与信息安全应急处置的组织协调机构,负责领导、协调应急处置工作。其工作职责是:确认是否达到应急情况标准;视情况严重程度,协调相关部门开展技术保障、办税服务厅涉税业务应急处理、发布税收征管信息、涉税舆情监控与处理等事项。三、事件分级根据信息安全事件造成后果的严重程度,税务系统信息安全事件可划分为5个等级,其中1级危害程度最高,5级危害程度最低,各级网络与信息安全事件的描述如下:1级网络与信息安全事件:灾难性安全事件.造成税务信息系统的业务瘫痪、对税务系统的利益或社会公共利益有灾难性的影响或危害。2级网络与信息安全事件:特别重大安全事件。造成税务信息系统的业务停顿、对税务系统
26、利益或社会公共利益有极其严重的影响或危害。3级网络与信息安全事件:重大安全事件.造成税务信息系统的业务中断、影响系统效率、对税务系统利益或社会公共利益有较为严重的影响或危害.4级网络与信息安全事件:较大安全事件。造成税务信息系统的业务短暂停顿但可立即修复、对税务系统利益或社会公共利益有一定的影响或危害。5级网络与信息安全事件:一般安全事件.造成税务信息系统的效率受到轻微影响、对税务系统利益或社会公共利益基本不影响或危害极小。3级和3级以上的网络与信息安全事件统称为重大网络与信息安全事件。四、应急预案的启动(一)事件发现、初判和上报对于初判为4级和4级以上网络与信息安全事件,在事件发生后应及时上
27、报市局信息安全领导小组,并填写网络与信息安全事件报告表。重大网络信息安全突发事件必须实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。(二)启动应急预案当发生网络安全与信息系统事件时,应立即启动应急预案,根据具体情况进行相应的应急处置.若影响到业务正常开展,由信息安全领导小组协调相关部门进行联合处理。五、应急处置(一)局域网中断的应急处置1.局域网中断后,应立即判断故障节点,查明故障原因,并向领导小组汇报。2.如属线路故障,对线路进行抢修和恢复。3.如属交换机等网络设备故障,应立即从指定位置提取备用设备替换安装,并调试通畅。 4.如属配置文
28、件被破坏,应重新拷入已备份的配置文件或按照要求迅速重新配置,必要时联系设备供应商。(二)广域网中断的应急处置1。广域网中断后,值班人员应迅速判断故障节点,查明故障原因,同时向领导小组汇报。如故障范围限于单位内部范围,技术人员应立即予以恢复;如有困难,请上级部门支持和技术公司帮助。2.如属路由器等网络设备故障,应立即从指定位置提取备用设备替换安装,并调试通畅。3。如发生光路设备和线路故障,应立即与运营商维护部门联系,尽快进行抢修恢复,必要时联系相关单位联合处理。4.如发生办税延伸点线路故障,必要时应联系物业所属单位联合处理。(三)病毒入侵的应急处置1。发现服务器操作系统有重大漏洞或感染病毒,应立
29、即追加补丁,启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作.2.对该设备的硬盘进行数据备份.3。如果现行反病毒软件无法清除该病毒,应立即向领导小组汇报,并迅速联系有关产品厂商研究解决。(四)黑客攻击的应急处置1。当发现网络被非法入侵、网页内容被篡改、应用服务器上的数据被非法拷贝、修改、删除,或通过入侵检测系统发现有黑客正在进行攻击时,使用者或管理者应立刻断开网络,并立即向领导小组汇报。2.采取关闭网络、封锁或删除被攻破的登陆帐号等方式,阻断可疑用户进入网络的通道。3.及时清理系统,恢复数据和程序,将系统和网络恢复正常.4.经应急处置后,事态难以控制或有扩
30、大发展趋势时,应实施扩大应急行动。应急处置和紧急支援的单位,要及时增加应急处置力量,加强工作协调,努力控制事态的扩大和发展。5。追查非法攻击和病毒来源。妥善保存有关记录及日志和审计记录,对现场进行分析,并写出分析报告存档,向领导小组汇报。事态严重的,要向公安部门报警。(五)省局集中信息系统的应急处置1。检查省局到市局、市局到区县局广域网络是否故障,如果故障,按照广域网中断的应急处置办法处理。2。如果确定是信息系统故障,先查看省局运维系统有无关于该系统故障的最新通知公告,如果没有,则将故障发生时间、故障现象等上报省局信息中心,并及时通知相关业务部门。(六)市局集中信息系统的应急处置本应急处置办法
31、主要针对我局集中的面向纳税人的重要信息系统,包括:一户通扣款、社会化办税平台、网上认证、网上抄税等系统。1.遇到系统断电或服务不能响应时,应首先确认前置机、应用服务器、数据库服务器是否正常。如果异常,重启虚拟机,重启后故障还存在,则启动备份虚拟机.对于一户通系统,应启用备份前置机,并联系清算中心确定清算中心系统是否正常。2.检查中间件运行状态,如果有故障,重启中间件服务.3.检查数据库状态,如果有故障,重启数据库服务,如果重启后故障还存在,则重建数据库系统,利用最新备份数据作数据恢复,并应测试前台业务是否正常.4.检查网络线路是否正常,包括广域网络、电信和网通外网接入线路。对于一户通系统,应检
32、查一户通前置机至清算中心的网络线路是否正常。对于社会化办税平台,应检查部署在省局的网络发票服务器的网络发票号获取是否正常。5。网络问题排除后故障仍然存在的,应立即联系技术公司技术人员提供现场技术支持。(七)主机故障的应急处置1.定期做好重要信息系统虚拟机克隆备份,在发生故障后,如确定是虚拟机本身问题,比如操作系统无法启动、系统蓝屏等,应立即启动备份虚拟机。2。如果服务器主机发生故障时虚拟机能正常访问,应将虚拟机迁移到其它主机(注意监控主机资源使用情况,在资源紧张的情况下,暂时关闭非重要虚拟机,保证重要信息系统正常运行)。如果服务器主机发生故障时虚拟机不能正常访问,应在其它主机上找到存储分区中该
33、虚拟机对应的后台文件后加载启动.3.在主存储发生故障后,应立即断开数据同步服务,启用备用存储,及时联系硬件厂商获得技术服务,协同配合直至问题解决。4。服务器故障后,应立即根据服务器故障指示灯进行初步判断.在服务器硬件正常的情况下,尽快做好系统软件的恢复,或重新安装之后再进行应用软件和数据恢复。故障排除后,应按照操作规程开启系统,并应测试前台业务是否正常。5.如硬件故障无法解决,应立即联系相关厂商和技术支持,请求援助分析故障原因,若经设备厂商或技术支持认定是硬件损坏,则根据维保合同进行保修或维修。(八)机房断电的应急处置1.必须断电处理的情况,向各部门通告.2.查询断电时间、何时恢复等,关掉非关
34、键设备,确保关键设备供电。3.监控UPS供电情况,随时注意检查尚在运行的计算机设备和机房室温。4.做好关机准备,预留相应的关机时间,到时供电没有恢复,按正常流程全部关闭计算机等设备。5.最后关闭UPS电源,关闭各空开,和电力相关单位沟通,合作尽快修复.(九)机房断电后恢复供电的处置1.恢复机房内空调。2.检查空调机启动运行情况.3。确认供电是否稳定、正常等。4。开启UPS恢复供电前,首先确认各设备的电源处于下电状态,以防止加电对设备的冲击。5.供电正常后,打开电力柜的总控开。根据设备加电顺序,启动分项控开。6。启动计算机、数据库及各项应用程序。7。在一段时间内,注意检查 UPS 指示、空调机运
35、行、机房温度等与断电有关的设备运行情况,做出记录。(十)机房漏水的应急处置1.发现机房漏水后的第一目击者应立即向领导小组报告。2.若空调系统出现渗漏水应立即停止运行故障空调,将机房内的积水清除干净并及时联系设备供应方进行处理,必要情况下可以临时用电扇对服务器进行降温。3.若为墙体或窗户渗漏水应立即通知服务中心及时清除积水进行墙体或窗户维修,避免不必要的损失.(十一)机房发生火灾的应急处置1。火情发生时,立即组织机房内工作人员撤离机房区域,并关闭机房区域的所有房门。2.同时通过119 报警,尽快确定火情的真伪和具体位置.3。立即通知局消防中控值班室。4.与消防中控人员共同对火情进行再次确认。5。
36、由消防中控人员决定是否启动灭火系统。6.配合相关部门做好其他善后工作。7。总结事故原因及经验教训,杜绝隐患。(十二)设备发生被盗或人为损害的应急处置1。发生设备被盗或有人为损害设备情况时,使用者或管理者应立即报告领导小组,同时保护好现场。2。领导小组接报后通知安全保卫部门及公安部门一同核实审定现场情况,清点被盗物资或盘查人为损害情况,做好必要的影像记录和文字记录。3.事件当事人应当积极配合公安部门进行调查,并将有关情况向领导小组汇报。六、后期处置在应急处置工作结束后,应组织有关人员迅速采取措施,抓紧抢修,减少损失,尽快恢复正常工作,统计各种数据,查清事件发生的原因及危害情况,总结经验教训,填写
37、信息安全事件应急响应结果报告表,对4级以上事件,报上级信息安全领导小组。对调查中发现的薄弱环节进行整改,预防类似事件再次发生。七、保障措施(一)应急队伍保障加强应急人才队伍建设,组织开展网络与信息安全宣传教育与培训,确保应急处置人员熟悉应急处置工作流程,并具备应急工作必要的技术能力,以满足应急工作的要求。每年至少组织一次应急演练,通过演练发现应急处理过程中出现的问题,不断完善应急预案,提高应急处置的能力和水平。(二)应急设备保障各重要网络与信息系统在建设时应事先预留一定的应急设备,建立信息网络硬件、软件、应急救援设备等应急物资库.主要网络设备应有备用机,并存放在指定位置。网络管理员要熟悉网络拓
38、扑结构,机房设备要标清线路走向,配置好备用机。(三)数据保障重要信息系统均应建立异地容灾备份系统和相关工作机制,保证重要数据在受到破坏后,可紧急恢复.各容灾备份系统应具有一定兼容性,在特殊情况下各系统间可互为备份。1。数据备份以本地备份和异地备份相结合,对于重要信息系统,应每日备份,检查备份文件的大小和有效性,注意检查备份空间和备份日志.2。定期做好备份数据的恢复测试,保证备份数据的有效性。3。数据备份介质以非本机硬盘、移动存储介质为主,定期检查备份介质的有效性。4.一旦数据库崩溃,应利用数据库备份,按照要求将其恢复到主机系统中。如果备份数据无法恢复,应立即向相关厂商请求紧急支援,并报告领导小
39、组。xxxx网络与信息安全应急处置预案为了切实做好网络与信息安全突发事件的防范和应急处理工作,进一步提高我院预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,保证网络的正常运行,结合本院实际,制定本预案。一、应急处置工作的目标在最短时限内,及时、果断处理在本院范围内发生的危害网络与信息安全的突发性事件,维护网络信息安全与稳定。二、应急预案启动有下列情况应启动应急预案:1、网站、网页出现非法言论;2、网络遭受黑客攻击;3、计算机网络出现病毒;4、软件系统遭受破坏性攻击;5、数据库系统出现故障;6、广域网外部线路中断;7、局域网大范围中断;8、服务器等关键网络设备故障;
40、9、网络中心机房外电中断。三、组织领导成立网络与信息安全领导小组,领导小组的主要职责与任务是统一领导全院网络与信息安全的应急工作,全面负责院内网络与信息安全可能出现的各种突发事件处置工作,协调解决灾害处置工作中的重大问题等。下设网络与信息安全应急处置工作组,由办公室、医务科、保健部成员组成,具体负责网络与信息安全应急处置工作。四、应急预案启动时的应急处理措施1、网站、网页出现非法言论时的紧急处置措施(1)网站、网页由各相关使用部门的具体负责人员随时密切监视信息内容.每天不少于5次;非常时期,每半小时监控一次,必要时,24小时监控。(2)发现网上出现非法信息时,负责人员应立即向应急处置工作组通报
41、情况;情况紧急的应先及时采取删除等处理措施,再按程序报告。(3)应急处置工作组人员应在接到通知后十分钟内进行处理,作好必要的记录,清理网站上的非法信息,强化安全防范措施后方可将网站网页重新投入使用.(4)应急处置人员应妥善保存有关记录及日志或审计记录。(5)应急处置人员应立即追查非法信息来源,若非法信息来源于院内,则由本院保卫处和网络技术人员进行处理,同时报告网络与信息安全领导小组负责人,根据管理制度对非法传播者及时处置,并报知上级公安部门备案;若非法信息来自于院外,则立即报知上报公安部门,并由技术人员将这些信息保存、记录IP地址,以备上级公安部门互联网突发事件处置行动组调用.2、黑客攻击时的
42、紧急处置措施(1)当有关负责人员发现网页内容被篡改,或通过防火墙、入侵检测系统发现有黑客正在进行攻击时,应立即向应急处置工作组通报情况。(2)应急处置人员应在十分钟内进行处理,首先应将被攻击的服务器等设备从网络中隔离出来,保护现场,同时向网络与信息安全领导小组汇报情况。(3)应急处置人员负责被破坏系统的恢复与重建工作,修补漏洞、强化安全措施后方可将被攻击的服务器设备接入网络。(4)应急处置人员追查非法信息来源.(5)网络与信息安全领导小组会商后,如认为情况严重,则立即向公安部门汇报。3、计算机网络病毒安全紧急处置措施(1)当发现网络上出现病毒,并影响网络的正常运行后,应立即找出感染病毒机器.(
43、2)将感染病毒机器和网络隔离,待病毒彻底清除后方允许再次接入网络。(3)网络中心技术人员要针对该款病毒进行研究,做好相应的病毒发作特征及解决方案。4、软件系统遭受破坏性攻击的紧急处置措施(1)重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日备份,并将它们保存于安全处。(2)一旦软件遭到破坏性攻击,应立即停止软件系统。(3)网络管理人员负责软件系统和数据的恢复。(4)网络管理人员检查日志等资料,确认攻击来源。(5)安全领导小组认为情况极为严重的,应立即向公安部门报告。5、数据库安全紧急处置措施(1)各数据库系统要至少准备两个以上数据库备份,平时一份放在机房,另一份放在另一安全的建
44、筑物中.(2)一旦数据库崩溃,应急处置组人员应对主机系统进行维修,如遇无法解决的问题,立即向上级单位或软硬件提供商请求支援.(3)系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中.(4)如因第一个备份损坏,导致数据库无法恢复,则应取出第二套数据库备份加以恢复。(5)如果两个备份均无法恢复,应立即向有关厂商请求紧急支援,并向网络与信息安全领导小组汇报.6、广域网外部线路中断紧急处置措施(1)广域网线路中断后,网络管理员接到报告后,应迅速判断故障节点,查明故障原因。(2)如属我院管辖范围,由网络管理员予以恢复.如遇无法恢复情况,立即向有关厂商请求支援。(3)如属电信部门管辖范围
45、,立即与电信维护部门联系,请求修复。7、局域网大范围中断紧急处置措施(1)局域网出现大范围中断现象后,网络管理员应立即判断故障节点,查明故障原因。(2)如属线路故障,应重新安装线路。(3)如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试畅通。(4)如属路由器、交换机等网络设备故障,应立即调换备机,如无备机,立即向设备提供商联系更换设备,并调试畅通;并向网络与信息安全领导小组领导汇报。8、服务器等关键网络设备故障安全紧急处置措施(1)服务器等关键设备损坏后,网络管理人员应立即查明原因。(2)如果能够自行恢复,应立即用备件替换受损部件。(3)如果不能自行恢复的,立即与设备提供商联系,
46、请求派维修人员前来维修 。(4)如果设备一时不能修复,应向网络与信息安全领导小组汇报。9、网络中心机房外电中断后的处置措施(1)外电中断后,机房会自动切换到备用电源.(2)检查断电原因,如因内部线路故障,请总务科协助迅速恢复。(3)如果是供电局的原因,应立即与供电局联系,请供电局迅速恢复供电。(4)如果供电局告知需长时间停电,应做如下安排:a)预计停电1小时以内,由UPS供电。b)预计停电1-3小时,关掉非关键设备,确保各主机、路由器、交换机供电。c)预计停电超过3小时,关掉非关键设备,确保各主机、路由器、交换机供电。UPS使用4小时后,关闭所有的设备。五、保障措施网络与信息安全的防治工作是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作,是有组织的科学与社会行为,而不是随着每次灾害的发生而开始和结束的活动。因此,必须做好应急保障工作。1、人员保障重视网络管理人员队伍的建设与保障,确保在灾害发生前的人员值班,灾害处置过程和灾后重建中的人员在岗与战斗力。2、技术保障重视网络信息技术的建设和升级换代,在灾害发生前确保网