编号: CZSMK-YJ-1106-001
版本:1.0.0 密级:机密
XXX公司
网络与信息安全应急预案
V1.0
XXX公司 2011年6月
目录
一、 总则 ....................................................................................................................
(一) 编制目的 ................................................................................................. (二) 编制依据 ................................................................................................. (三) 适用范围 ................................................................................................. (四) 工作原则 ................................................................................................. 二、 组织机构 ............................................................................................................ 三、 预警预防机制 ....................................................................................................
(一) 信息系统概述 .........................................................................................
1、 业务系统 ................................................................................................. 2、 XX市XXX计算机信息网络拓扑图 .................................................... 3、 设备配置表 ............................................................................................. (二) 事件分类及分级 ..................................................................................... (三) 监控与预警信息报送 ............................................................................. (四) 预警响应 ................................................................................................. (五) 预警解除 ................................................................................................. 四、 应急措施 ............................................................................................................
(一) 信息报告 ................................................................................................. (二) 先期处理 ................................................................................................. (三) 应急处理 .................................................................................................
1、 电力系统故障的应急处理流程 ............................................................. 2、 消防系统应急处理流程 ......................................................................... 3、 网络中断紧急处理流程 ......................................................................... 4、 黑客攻击的应急处理流程 ..................................................................... 5、 大规模病毒(含恶意软件)攻击的应急处理 .....................................
6、 7、 8、 9、 (四)
1、 2、
一、
软件系统故障的应急处理流程 ............................................................. 数据库系统故障的应急处理流程 ......................................................... 设备硬件故障的应急处理流程 ............................................................. 应急故障处理流程图 ............................................................................. 后期处理 ................................................................................................. 善后处理 ................................................................................................. 调查和评估 .............................................................................................
总则
(一) 编制目的
建立健全的XXX公司网络与信息安全事件的预防和应急处理工作机制,提高对网络与信息安全事件能力,保障XXX公司网络和重要信息系统安全的运行,编制本预案。
(二) 编制依据
依据《中华人民共和国国家安全法》、《中华人民共和国电信条例》、《中华人民共和国无线电管理条例》、《中华人民共和国计算机信息系统安全保护条例》、《国家突发公共事件总体应急预案》、《国家通信保障应急预案》、《江苏省网络与信息安全事件应急预案》等
(三) 适用范围
本预案适用于江苏省XX市XXX信息系统发生网络与信息安全事件的预防和应急处理工作。 (四) 工作原则
统一领导,分级负责;以人为本,预防为主;依法规范,加强管理;依靠科技,资源整合;快速反应,协同合作。
二、
组织机构
(一) XX市XXX公司负责本地XXX系统网络与信息安全工作的组织、管理、协调和实施工作,负责本地信息系统的监测、预警和应急处理。
(二) 联创开发二部,负责为XXX公司的网络与信息安全突发事件的监测、预警和应急处理工作提供技术支持,并参与重要信息的研判、事件调查和总结评估工作。
(三) 组建网络与信息安全事件专家处理小组,并与相关信息安全服务机构建立联络机制,为应急处理工作提供决策建议和技术指导,必要时参与网络与信息安全事件的应急处理。
(四) 组织机构图 三、
预警预防机制
(一) 事件分类及分级
根据网路与信息安全突发事件的性质、机理和发生过程,XXX公司网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。
根据网路与信息安全突发事件的可控性、严重程度和影响范围,参照我省网络与信息安全事件分级标准,XX市XXX网络与信息安全事件分为四级:I级(特别重大网络与信息安全事件)、II级(重大网络与信息安全事件)、III级(较大网络与信息安全事件)、IV级(一般网络与信息安全事件)。
(二) 监控与预警信息报送
XXX公司承担网路与信息安全监测工作。各部门发现网络与信息安全预警信息,应及时通知技术部。技术部会进行处判,提出预警等级建议,遇到有可能造成严重后果的I 至III级信息安全预警事件,还应按相关规定提报领导审查后发出预警。
(三) 预警响应
技术部安全员应保持24小时通信畅通。接到预警信息后,应立即启动应急预案,进入预警状态,加强值班值守工作,做好应急处理各项准备工作。
(四) 预警解除
I 至III级预警解除后根据相关部门要求,经向领导请示同意以后,及时进行解除安全事件预警。 四、
应急措施
(一) 信息报告
发生网络与信息安全事件后,技术部安全员立即部门负责人,并通知相关业务部门。技术部和有关单位进行研判后,保存证据,检查影响范围和危害程度,提出应急处理建议,报分管领导同意后启动应急预案。遇到有可能造成严重后果的I至III级信息安全事件,还应按相关规定及时上报相关业务单位。
(二) 先期处理
当发生网路与信息安全突发事件时,相关工作人员做好先期应急处理工作,采取措施控制事态,必要时采用断网、关闭服务器等方式防止事态进一步扩大。根据突发事件发展事态,技术部应组织设备厂商、系统开发商及安全服务商等应急支援力量,保存证据,做好应急处理工作。
(三) 应急处理
1、 电力系统故障的应急处理流程
(1) 外电中断后,技术部值班人员应立即检查中心机房UPS电源是否正常供电,并查明中断原因,及时向技术部负责人报告。
(2) 如因楼内线路故障,要求物业管理部门迅速恢复供电。
(3) 如因供电部门因素导致供电中断,立即向供电部门联系,请供电部门迅速恢复供电。 (4) 如告知需要长时间停电,应作如下安排: ①预计停电1小时以内,由UPS供电;
②预计停电1小时以上2小时以内,关掉非关键设备,确保各主机、路由器、交换机供电。 ③预计停电超过2小时候,在设备运行1小时候关掉所有机器设备。 (5) 电力系统恢复供电后,技术部管理人员按照规定流程开启相关设备。 2、 消防系统应急处理流程
当出现火情、火灾时,发现人员应在最短时间内通知信息部安全员,并通知技术部及分管相关领导,通报物业管理部门。若火情严重时,应迅速拨打119电话报警,并尽可能采取一些简单可行的方法做初步的处理,如:科学使用周围的灭火器材或采用其他灭火措施、手段。在灭火的同时,立即疏散灾情范围的工作人员。进展情况随时向技术部及分管领导报告。
3、 网络中断紧急处理流程
(1) 故障排查。网络中断后,技术部技术人员要迅速判断故障节点,查明故障原因。 (2) 故障排除。
①如属线路故障,应重新安装线路。
②如属路由器、交换机等网络设备故障,技术部技术人员立即检修并调试通畅。如路由器、交换机配置文件破坏,信息安全员应迅速按照要求重新配置,调试通畅。必要时,请有关技术单位协助调测畅通。
③如需更换设备,应上报分管领导,经批准后马上更换故障设备,尽快恢复系统运行。 ④如发现属于外部线路的问题,应与线路运营商联系,敦促尽快恢复故障线路。 ⑤技术部无法及时修理时,应立即通知相关供应商及维护人员,在最短时间内安排修理。 4、 黑客攻击的应急处理流程
(1) 当发现网络上有黑客攻击行为时,应立即向信息安全员通报情况,并向分管领导报告。 (2) 信息安全员应立即赶到现场,将被攻击的服务器等设备从网络中隔离出来,保护现场。 (3) 如事态较为严重,经向分管领导请示后,立即向公安部门报警,配合公安部门展开调查。 (4) 技术部技术人员做好被攻击或破坏系统的恢复与重建工作。 (5) 技术部负责组织技术力量追查非法信息来源。
(6) 信息安全员将实施事件处理的过程和结果备案存档,必要时向分管领导汇报。 5、 大规模病毒(含恶意软件)攻击的应急处理
(1) 当发现有计算机被感染上病毒后,计算机使用人员应立即使用杀毒软件对计算机杀毒,并通知技术部。技术部技术人员应及时将该机从网络上隔离开来,并及时赶到现场。
(2) 技术人员对该设备的硬盘进行数据备份。
(3) 技术人员启用反病毒软件对该机进行杀毒处理,并对相关机器进行病毒扫描和清除工
作。
(4) 如发现反病毒软件无法清除该病毒,应向技术部领导汇报,有技术部组织相关技术人员研究解决。
(5) 情况较为严重的,还应及时向有关分管领导报告,并向公安部门报警,配合公安部门展开调查。
6、 软件系统故障的应急处理流程
(1) 软件系统平时必须存有备份,与软件系统相对应的数据必须有多日的备份;并将它们保存与安全处。
(2) 软件系统发生故障后,技术人员应立即向技术总监或总经理室汇报,经确认后停止该系统的运行并切换至备份系统,保证业务正常进行。
(3) 技术部及时组织本部门技术人员,并同时通知XX市研发人员等技术力量做好软件系统和有关数据的恢复工作。
(4) 信息安全员检查日志等资料,确定故障原因。
(5) 技术部会同技术中心相关人员将实施处理的过程和结果备案存档,并向有关领导汇报。 7、 数据库系统故障的应急处理流程
(1) 数据库系统每日必须存有备份,与软件系统相对应的数据必须有多日的备份;并将它们保存与安全处。
(2) 数据库系统发生故障以后,技术人员立即向技术总监或总经理室汇报,经同意后采用重启或其他手段尽快恢复数据库运行,保证业务不中断。
(3) 技术部及时组织本地技术人员,并同时通知XX市研发人员等技术力量做好数据库系统切换和有关数据的恢复工作。
(4) 信息安全员检查日志等资料,确定故障原因。
(5) 技术部会同技术中心相关人员将实施处理的过程和结果备案存档,并向有关领导汇报。 8、 设备硬件故障的应急处理流程
(1) 小型机、服务器等关键设备损坏后,技术人员应立即向技术部负责人报告。 (2) 技术部负责人立即组织技术人员查明原因。联系维保单位更换受损部件。 (3) 如果设备一时不能修复,应向分管领导汇报,并告知各部门暂缓上传上报数据。 9、 应急故障处理流程图 (四) 后期处理 1、 善后处理