網絡安全應急預案
一��、第一部分 總則
本預案的適用范圍為由信息管理中心負責建設管理的網站����、 網絡安全事件應急處理����。
(一)日常安全工作職責
信息管理中心工作人員根據分工��、做好以下工作:
1.對網站����、網絡進行日常檢查���、分析風險��、排除隱患�����、做好網站數據備份�,形成日常工作機制��,預防安全事故發生�����。
2.制定相關安全事件的預警方案和解決方案���。
3.掌握網絡網站技術發展趨勢�,不斷提升安全防范水平��。
4.及時處置各類突發安全事件����。
(二)安全應急處置原則
1.報告原則:發生突發安全事件��,第一時間向政務信息中心負責人報告��,同時積極進行處置���,處置全程要及時匯報工作進展���。
2.安全原則:處置安全事件時�,要科學客觀���,首先保證人員安全��,其次保證設備數據安全�。
3.效率原則:處置突發事件要及時迅速��,講究方法���,善于協調��,爭取在最短時間內解決問題���。
4.協調配合原則:出現大規模故障后���,根據工作需要�����,積極配合�����,協同處理�����,提高工作質量與效率����。
(三)安全應急事件處置
1.安全事件定義分類
一般故障:指區域性網絡安全事件���,具體包括:局部網 絡癱瘓���、個別設備死機���、網站服務器停止工作等��。
重大故障:指發生大規?����;蛘w性網絡癱瘓����、個別硬件 設備損壞或被竊�、數據丟失或網站遭惡意篡改破壞等���。
特大故障:指機房發生火災或遭可抗拒力破壞造成機房 損毀及人員傷害等����。
2.處置時限
發生突發安全事件���,一般故障 2 小時內解決��,重大故障 24 小時內解決��,特大故障 48 小時內解決���。
3.處置措施
(1) 發生突發事件���,工作人員第一時間報告領導并進行處置����。
(2) 迅速準確判斷事件原因,在保證人員�����、設備�����、數據安全的前提下�,進行針對性處置�����。
(3) 屬一般性故障的����,信息中心工作人員及時進行處置�����;屬設備損壞的���,要及時報告中心主任根據領導安排進行合理處置����;屬系統故障的�����,要及時聯系維護公司進行處置����;屬遭受攻擊的�,要及時取證留存�,并由維護公司進行處置���。
(4) 必要時�����,通知有關單位做好應對���。
(5) 事后總結本次事件處置情況��,形成分析報告�����。
二��、第二部分 網站安全應急處置
(一)日常維護
1.中心人員每天對網站進行查看�����,密切監視信息內容��。每天上午和下午各切換內 網一次����,查看內網運行情況���。
2.檢查各服務器殺毒軟件及防火墻升級情況�����,及時 給系統打補丁�����。
3.每月對內�、外網站及數據進行光盤備份��,并由專 人歸檔保存����。
(二)安全事件分類及應急處置辦法
1.硬件故障
指因自然災害����、供電不正常�、人為因素等造成的服務器 硬件損壞��、丟失情況�。
(1) "內網辦公系統"網站服務器中心工作人員每月對其 進行硬件檢測,"迎澤之窗"服務器由維護公司每月進行軟 硬件檢測����,并填寫記錄��,每年度進行匯報�����。
(2)發生硬件損壞或丟失后要立即報告中心主任��,并聯 系設備供應商及有關單位處理����。
2.攻擊�、篡改類故障
指網站系統遭到網絡攻擊不能正常運作���,或出現非法信息���、頁面被篡改��。
(1)發現網站出現非法信息或頁面被篡改�����,要第一時間對 其進行刪除��,恢復相關信息及頁面���,同時報告中心主任����,必要時可對網站服務器進行關閉���,待檢測無故障后再開啟服務���。
(2)網站維護員要妥善保存有關記錄及日志或審計記錄��,并立即追查非法信息來源���,將有關情況進行上報�,情況非常嚴重的要向公安部門報案�。
3.病毒木馬類故障
指網站服務器感染病毒木馬����,存在安全隱患���。
(1)每周對服務器殺毒安全軟件進行系統升級��,并進行病毒木馬掃描�,封堵系統漏洞��。
(2)發現服務器感染病毒木馬���,要立即對其進行查殺����,報告中心主任���,根據具體情況����,酌情發布網站公告通知聯網的相關單位進行終端的病毒木馬查殺���。
(3)由于病毒木馬入侵服務器造成數據丟失或系統崩潰的�,要第一時間報告中心主任���,并聯系相關單位進行數據恢復����。
4.系統類故障
指網站系統由于長時間運行或系統存在的 bug 造成網站 不能正常運行�����。
(1)相關負責人要每月對網站數據進行備份��,并刻錄光盤 進行存檔�。
(2)發現此類問題�,要報告中心主任���,并聯系網站維護單 位進行檢測修復����。
(三)應急保障
記錄門戶網站 IDC 托管機房����、運營商大客戶經理���、 服務器供應商及網站維護公司電話�����,出現問題能及時聯絡處 理�����。
三��、第三部 網絡安全應急處置
(一)適用范圍
信息中心負責建設管理的網絡安全事件
(二)���、日常維護
1�、每季度對設備進行例行檢查及衛生保潔���,檢查項目包括設備運行狀態�、溫度����、供電及設備周邊環境是否安全�。
2�����、每年對區屬駐地外各單位進行實地走訪��,查看實際情況���。
(三)����、應急處置
1��、發生故障后��,首先排查故障范圍��,確定是軟件故障 還是硬件故障����,是光路故障還是以太網故障�����。
2�����、對于大面積網絡故障或硬件線路設備損壞�����,要第一時間報告中心主任��。
3�、如發生光路設備故障���,及時聯絡聯通公司客戶經理協調處理��。
4��、如發生以太網故障�����,要及時進行處理���,必要時聯系 設備供應商及相關單位聯合處理�����。
四�����、第四部分 中心機房及辦公區安全應急處置
(一)���、用電安全
(1)堅持正確的用電規范��。
(2)不使用超負荷電器設備����。
(3)不隨意改變工程設計的供電線路�����。
(4)每天下班�����,最后離開辦公室的人員關閉辦公區主 電源�����。
(5)每兩個月對中心機房各電源設備進行檢查�。遇節假日��, 除關閉辦公區主電源外���,檢查中心機房內電源和線路�,確保設備安全穩定運行�����。
(6)外電中斷后��,應立即查明原因����,并向中心主任匯報�。
(7)如因機關內部線路故障�����,請機關物業公司迅速恢復����。
(8)如果是供電局的原因�,應立即與供電局聯系�,請供電局迅速恢復供電��。
(9)如果供電局告知需長時間停電�����,應做如下安排:
1�、預計停電 4 小時以內��,由 UPS 供電�。
2�、預計停電 24 小時���,請示中心主任�,關掉非關鍵設備�, 確保關鍵設備供電�����。
3�、預計停電超過 24 小時的���,關閉中心機房所有管轄設 備�,并通知托管服務器的相關單位進行設備停機��。
(10)中心機房及各設備恢復供電時�����,執行以下步驟:
1���、機房恢復供電前���,首先確認各設備的電源態處于下 電狀態���,以防止電源柜加電對設備的沖擊�。
2���、等待 10--20 分鐘后��,開始給電源柜加電��,以防止供 電不穩或再次掉電�����。
3�����、供電正常后�����,確定設備處于下電狀態后�,打開電力 柜的總控開����。
4����、根據設備加電順序�,啟動分項控開��。
5����、啟動數據庫及各項應用程序����。
(11)發生火警事件發生后�����,機房人員應根據所屬區域和現場情況�����, 判斷和選擇正確的方法��,及時上報中心領導����,同時配合相關人員處置����,降低事件帶來的影響���。
1�����、對于設備發生煙霧���,機房主管人員協同相關人員尋找煙霧點并切斷相關區域電源�����。
2����、當設備發生可以控制火情時���,機房主管人員應協同相關人員進行滅火工作�����。
3�����、當主機房發生火災而無法控制�,應采取施救方法等措施��。
(三)�����、核心設備安全
(1)根據實際情況對核心設備進行檢查��,確保設備安全穩定運行����。
(2)發生核心設備硬件故障后�����,工作人員應及時報告中心主任��,并查找�、確定故障設備及故障原因�,進行先期處置�����。同時聯系設備提供商共同檢測并排除故障����。
(3)若故障設備在短時間內無法修復��,應啟動備份設備�,保持系統正常運行��;將故障設備脫離網絡���,進行故障排除工作�����。
(4)故障排除后�����,在網絡空閑時期�����,替換備用設備��;若故障仍然存在�,立即聯系廠商進行返廠維修或調換設備���。
(四)�����、數據安全與恢復
(1)日常維護參照《網站安全應急預案》中"一����、日常維護"各項進行�����。
(2)發生業務數據損壞時��,工作人員應及時報告中心主任�,檢查�、備份系統當前數據����。
(3)信息中心負責調用備份服務器備份數據��,若備份數據損壞�,則調用異地光盤備份數據��。
(4)數據損壞事件較嚴重無法保證正常工作的���,經部門領導同意�,及時通知各部門以手工方式開展工作���。
(5)中心應待數據系統恢復后��,檢查基礎數據的完整性�;重新備份數據���,并寫出故障分析報告�����。
