网络与信息安全应急预案审批:审定:审核:初审:编制:XXXXX有限公司1.总则1.1目的为了有效处置XXXX网络与信息的安全性与可靠性,预防和遏制网络突发事件,提高应急工作水平,避免和减轻突发事件造成的危害和影响,维护全区信息安全和稳定,保证在发生各种信息安全事件情况下,能够从容处理事件,缩小影响、减少停运时间、降低损失,针对信息系统的设备、环境等运行情况,充分做好应急事件预想,结合XXXX信息工作实际情况,制定本预案。1.2依据根据《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、XX电科〔2007〕7号文件,制定本预案。1.3分类分级本预案所称网络与信息安全突发事件,是指重要信息系统突然遭受不可预知外力的破坏、毁损、故障,发生对国家、社会、电厂安全运行造成或者可能造成重大危害,危及公共安全的紧急事件。1.3.1事件分类根据网络与信息安全突发事件的发生过程、性质和机理,网络与信息安全突发事件主要分为以下三类:(1)自然灾害。指地震、台风、雷电、火灾、洪水等引起的网络与信息系统的损坏。(2)事故灾难。指电力中断、网络损坏或是软件、硬件设备故障等引起的网络与信息系统的损坏。(3)人为破坏。指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息系统的损坏。1.3.2事件分级信息安全突发事件级别分为三级:轻微、一般、重大。轻微:是指轻微的故障,对业务没有明显影响。由信息中心备案,系统管理员处理。如:XX系统出现的错误、个人OA发文拟稿出错、数据库查询速度变慢、个别客户机感染病毒、计划任务运行失败。一般:是指一般的故障,对业务有一定影响。如:策略没有正确执行、bfs++开票失败、表空间无法读取、一般广域网故障、回滚段出错等等重大:是指严重的故障,严重影响电厂业务的运行。如:电信光纤线路长时间中断,网络大面积感染病毒,UPS无法正常工作,路由器损坏,数据库服务器硬件坏掉,数据库无法启动、服务器操作系统无法启动。1.4适用范围本预案是适用于XXXX发生的网络与信息安全突发事件和可能导致网络与信息安全突发事件的应对工作。本预案启动后,XXXX其它网络与信息安全应急预案与本预案相冲突的,按照本预案执行;法律、法规和规章另有规定的从其规定。1.5工作原则(1)预防为主。立足安全防护,加强预警,重点保护基础信息网络和关系电厂安全、稳定运行的重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,全社会共同构筑网络与信息安全保障体系。(2)快速反应。在网络与信息安全突发事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。(3)分级负责。按照“谁主管谁负责、谁运营谁负责”以及“条块结合,以条为主”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强部门间、地区间的协调与配合,形成合力,共同履行应急处置工作的管理职责。(4)常备不懈。加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。2.网络与信息安全突发事件应急指挥机构在公司领导的统一指挥下,设立网络与信息安全突发事件应急指挥部,统一组织指挥全厂系统信息安全突发事件应急工作。信息安全应急指挥部下设办公室,协调应急处理的具体工作。2.1指挥部总指挥:孙术文成员:郑兵、李涛、李宏伟、邵海瑞、顾建英2.2指挥部办公室主任:李志恒联络员:刘江杰、平立3.监测和预防机制3.1信息监测及报告3.1.1公司信息中心及各部门系统管理员应加强信息安全监测、分析和预警工作,每天信息中心会组织人员到各机房对软、硬件进行巡检,进一步提高计算机安全管理工作。3.1.2建立信息安全突发事件报告制度,设立信息安全情况通报机制。3.1.2.1发现发生信息安全突发事件的人员应当在事件发生后,应当立即向信息安全应急指挥部办公室报告。3.1.2.2系统管理员应当立即对发生的事件进行调查核实、保存相关证据,并在事件被发现或应当被发现时起24小时内将有关材料报至信息安全应急指挥部办公室。3.2预警信息安全应急指挥部办公室接到信息安全突发事件报告后,应当经初步核实突发事件等级后,将有关情况及时向信息中心主任报告,进一步进行情况综合,研究分析可能造成损害的程度,提出初步行动对策,有必要可报信息应急指挥部总指挥。总指挥视情况召集协调,决策行动方案,发布指示和命令。3.3预防机制:3.3.1做好服务器的密码保护工作,防止非本部人员操作数据库。定期对数据库进行检查(如表空间、回滚段等),对预期发生的问题做好事先防范。3.3.2在数据库服务器上建立备份计划任务,在其他机器上建立转移备份计划任务并且要求备份的数据存放3个月以上,并定期刻录在不可擦写的介质里进行保存。3.3.3各服务器上打全补丁,安装杀毒软件,及时更新病毒代码。如发现危害大的病毒,需在24小时内于OA和网站上张贴公告通知用户并说明病毒发作的原因、相应的特征及动员防范、注意事项等。3.3.4在公司的路由器、防火墙做访问控制安全策略。4.应急处理程序4.1应急启动4.1.1发生重大的信息安全突发事件后,由信息中心启动本应急预案,并负责应急处理工作;发生轻微、一般网络信息安全事件后,信息中心启动相应预案,并负责应急处理工作,并会同相关部门尽快组织专家组对突发事件性质、级别及启动预案的时机进行评估,向信息安全应急指挥部提出启动预案的建议,报分公司信息安全应急指挥部批准。4.1.2公司信息安全应急小组在做出启动预案决定后,立即通知与应急处理相关的部门配合处理。4.2现场应急处理●硬件故障:联系代理商技术人员确认硬件故障,报修,代理商技术员到场解决,确保数据。●软件故障:确认可靠的最新备份数据已经转移到其他电脑上,查看数据库相关信息,根据对应的故障解决问题。●网络故障:通过PING,TRACERT等命令及查看本地连接状态,禁用、启用本地网卡,观察交换机、路由器、电信光端机等设备的状态等确定发生的故障。●尽最大可能收集事件相关信息,识别事件类别,确定事件来源,保护备份数据。●检查事件造成的结果,评估事件带来的影响和损害,如检查服务器、操作系统、数据库,检查是否有攻击者侵入了系统,以后是否能再次随意进入,损失的程度,确定暴露出的主要危险等。●抑制事件的影响进一步扩大,限制潜在的损失与破坏。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路。●根除。在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。●利用备份数据安装临时数据库服务器,确保业务恢复正常运行。●清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应该十分小心,避免出现误操作导致数据的丢失。4.3应急处理报告回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。发生重大信息安全事件的单位应当在事件处理完毕后15个工作日内将处理结果报分公司备案。系统恢复以后,关注其安全状况,特别是对曾经出问题的地方,要进行跟踪,并将突发事件处理结果记录存档。4.4调查和评估在应急处置工作结束后,主管部门应立即组织有关人员和专家组成事件调查组,在当有关部门的配合下,对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失状况和总结经验教训,并根据问责制的有关规定,对有关责任人员作出处理。5.应急保障5.1通信与信息保障在整合各职能部门专业通信网的基础上,加强应急通信装备准备,建立备份系统和紧急保障措施,形成跨部门、多手段、多路由,有线和无线相结合、微波和卫星相结合的反应快速、灵活机动、稳定可靠通信系统。本预案启动后,由信息中心负责,立即开通省协调小组办公室与现场指挥机构的通信联系,实现视频、音频和数据信息的实时传输;根据通信网络破坏状况,采取启用应急通信保障系统等应急保障措施;抓紧组织抢修损坏的通信网络和设施。5.2数据保障重要信息系统均应建立异地容灾备份系统和相关工作机制,保证重要数据在受到破坏后,可紧急恢复。各容灾备份系统应具有一定兼容性,在特殊情况下各系统间可互为备份。5.3应急队伍保障按照一专多能的要求建立网络与信息安全应急保障队伍。由信息中心选择若干具有管理规范、服务能力较强的企业作为公司网络与信息安全的应急支援单位,提供技术支持与服务。5.4交通运输保障各重要信息系统小组均应确定网络与信息安全突发公共事件应急交通工具,确保应急期间人员、物资、信息传递的需要,并根据应急处置工作需要,由信息中心调配。5.5经费保障网络与信息系统突发公共事件应急处置资金,应列入公司年度财政预算,切实予以保障。5.6治安保障本预案启动后,当网络与信息安全突发公共事件造成或可能造成严重社会治安问题时,保安部门应立即启用治安保障行动方案和有关预案,指导和支持现场治安保障工作,统一协调和指挥,做好治安应急保障工作。6.附则XXXX网络与信息安全应急预案编号:信息中心-web-2007-1日期:2007年4月25日预案名称公司内部网站内容被篡改应急预案等级高涉及部门信息中心,总经理工作部,企业文化部涉及人员及联系方式及职责预案事件描述公司内部网站主页内容被篡改。预案处理要求尽快断开服务器网络连接。通知相关人员到岗,及早恢复正常网页。保留现场。追查原因。演练要求1.对在线系统不造成影响2.在主要系统管理人员变更和服务器、操作系统、主页发布软件发生变更时要进行演练。3.演练前应填写工作单,并对系统做全备份。4.演练结束形成演练总结报告。预案流程说明1.事件报警与确认:系统运维单位值班人员每天定时对网站进行监测,及时发现网页的异常及其它故障。当通过系统自动报警、值班员巡检发现情况或客户投诉发现情况时,应由值班员首先确认网站是否确实发生主页被“篡改”。2.内部网站被“篡改”时,切断连接,通知相关人员,保留现场:切断XX主机网卡的网络连接线。(1)通知主机系统管理员、安全系统管理员、主页内容维护管理员。(2)另存XX主机系统日志,因特网防火墙系统内外入侵检测系统日志,因特网防火墙系统日志。3.启用备用系统:修改ip地址将备用系统主机作为内部网站服务器。4.备用系统测试:由主机系统管理员、主页内容维护管理员共同进行页面内容和系统测试。5.恢复网络连接:将连接备用系统主机网卡的网络连接线。6.网页内容手工或自动恢复:关电,拔出系统硬盘,插入保存好的镜像硬盘。7.安全审计及事故分析通过系统日志、主机防护系统日志、防火墙日志等,对事件进行审计,对损失进行评估,追查事件的发生原因。8.消除隐患、调整策略:根据审计结果,修正防火墙、主机防护系统策略。9.损失评估、责任追究:由信息中心、系统运维单位共同评估损失,追究责任。10.安全报告、归档:由系统运维单位形成事故分析报告,分析事故原因,修正预案处理流程并归档。预案流程备注编制人:审批人:抄送:事件报警及确认成功否?备用系统测试安全审计及事故分析是网页内容手工或自动恢复启动备用系统否消除安全隐患,安全策略调整切断连接,通知相关人员到场、保留现场恢复网络连接损失评估、责任追究安全报告、归档编号:信息中心-bfs++-2007-2日期:2007年4月25日预案名称公司bfs++系统故障应急预案等级高涉及部门信息中心,设备维护部,发电运行部涉及人员及联系方式及职责预案事件描述公司bfs++系统故障应急预案。预案处理要求尽快断开服务器网络连接。通知相关人员到岗,及早恢复正常数据库。保留现场。追查原因。演练要求1.对在线系统不造成影响2.在主要系统管理人员变更和服务器、操作系统、数据库软件发生变更时要进行演练。3.演练前应填写工作单,并对系统做全备份。4.演练结束形成演练总结报告。预案流程说明2.事件报警与确认:系统运维单位值班人员每天定