信息网络安全事故应急预案.docx
《信息网络安全事故应急预案.docx》由会员分享,可在线阅读,更多相关《信息网络安全事故应急预案.docx(10页珍藏版)》请在冰豆网上搜索。
信息网络安全事故应急预案
许昌市烟草公司卷烟物流配送中心
信息网络事故应急预案
一、总则
(一)编制目的
提高处置突发事件的能力,促进互联网应急通信、指挥、调度、处理工作迅速、高效、有序地进行,满足突发情况下互联网通信保障应急和通信恢复工作的需要,维护企业利益,为保障生产的顺利进行创造安全稳定可靠的网络环境。
(二)编制依据
《中华人民共和国电信条例》、《国家通信保障应急预案》、《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《非经营型互联网信息服务备案管理办法》、《互联网IP地址资源备案管理办法》和《中国互联网域名管理办法》等有关法规和规章制度。
(三)适用范围
本预案是《秦皇岛港务集团有限公司总体应急预案》的专项预案,适用于在秦皇岛港务集团有限公司发生的本预案定义的I级、II级、III级、IV级网络与信息安全突发事件和可能导致I级、II级、III级、IV级网络与信息安全突发事件的应对处置工作。
(四)工作原则
在集团公司领导的领导下,互联网通信保障和通信恢复工作坚持统一指挥、分级负责,严密组织、密切协同、快速反应,平战结合、保障有力的原则。
二、组织指挥体系及职责
设立信息网络安全事故应急指挥小组,负责信息网络安全事故的组织指挥和应急处置工作。
总指挥由技术中心主要领导担任,副总指挥由分管领导担任,指挥部成员由技术中心运行科、综合科、开发科部门相关人员组成。
三、预测、预警机制及先期处置
(一)危险源分析及预警级别划分
1.1危险源分析
根据网络与信息安全突发公共事件的发生过程、性质和机理,网络与信息安全突发公共事件主要分为以下三类:
(1)自然灾害。
指地震、台风、雷电、火灾、洪水等引起的网络与信息系统的损坏。
(2)事故灾难。
指电力中断、网络损坏或是软件、硬件设备故障等引起的网络与信息系统的损坏。
(3)人为破坏。
指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息系统的损坏。
2.2预警级别划分
1、预警级别划分
根据预测分析结果,预警划分为四个等级:
Ⅰ级(特别严重)、Ⅱ级(严重)、Ⅲ级(较重)、Ⅳ级(一般)。
Ⅰ级(特别严重):
因特别重大突发公共事件引发的,有可能造成整个集团公司互联网通信故障或大面积骨干网中断、通信枢纽设备遭到破坏或意外损坏等情况,及需要通信保障应急准备的重大情况;通信网络故障可能升级为造成整个集团公司互联网通信故障或大面积骨干网中断的情况。
计算机房发现火情或其他重大自然灾害或存在重大自然灾害隐患的。
Ⅱ级(严重):
因重大突发公共事件引发的,有可能造成集团公司多个下属分公司网络通信中断或某个重要业务系统瘫痪,及需要通信保障应急准备的情况;通信网络故障可能升级为造成集团公司多个下属分公司网络通信中断或某个重要业务系统瘫痪的情况。
Ⅲ级(较重):
因较大突发公共事件引发的,有可能造成集团公司某个下属子公司所属网络通信故障的情况;通信网络故障可能升级为造成集团公司某个下属子公司所属网络通信故障的情况。
Ⅳ级(一般):
因一般突发公共事件引发的,有可能造成局域网内某个交换点所属局部网通信故障(不影响正常一般通信)的情况。
(二)预防机制
信息网络安全事故应急指挥小组应加强对各级通信保障机构及全网通信网络安全防护工作和应急处置工作的监督检查,保障通信网络的安全畅通。
(三)预警监测
各重要信息系统重要负责人和主管科室要进一步完善网络与信息安全突发公共事件监测、预测、预警制度。
要落实责任,制定本单位信息通报工作制度。
按照“早发现、早报告、早处置”的原则,加强对各类网络与信息安全突发公共事件和可能引发网络与信息安全突发公共事件的有关信息的收集、分析判断和持续监测。
(四)先期处置
当发生网络与信息安全突发公共事件时,发现事故的人员在按规定向相关系统管理员报告的同时,及时向信息网络安全事故应急指挥小组相关领导报告。
负责人员在接手事故报告后要向信息网络安全事故应急指挥小组进行应急工作进程报告和事故分析报告。
报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
四、应急响应
(一)应急处置分级和应急处置程序
突发事件发生时应急通信保障工作和通信恢复工作,按照快速、机动、灵活的原则,根据响应的预警级别分别进行处置。
Ⅰ级:
突发事件造成全集团公司通信故障或大面积骨干网中断、通信枢纽设备遭到破坏等情况,及接到集团公司下达的通信保障任务,由信息网络安全事故应急指挥小组负责组织和协调。
负责人员要迅速准确的定位故障源,如果是核心设备故障要及时切换到备用核心设备上并测试调通;如果是骨干网物理链路故障要第一时间通知相关部门(通信公司)进行抢修并切换到备用线路上测试调通。
面对黑客攻击或恶意破坏等人为造成的网络故障,要及时通知公安机关,同时采取紧急行动如切断数据源等将损失控制在最小范围。
对于发现的重大自然灾害隐患,要及时汇报信息网络安全事故应急指挥小组并迅速通知消防局等相关部门,准备好临时处理灾情需要用到的工具。
火灾属于常见灾情,发现火情后按如下步骤处置:
(1)发现火情要立即切断电源,值班员及时应用消防器材进行处理。
(2)立即上报领导做好事故处理记录。
(3)如切断电源并使用机房消防器灭火都不能控制火情,要及时报警(报警电话:
119),报警时要准确说清火灾的地点和火灾状况,并留下联系电话。
(4)出现危急情况要利用各种手段及时逃生。
Ⅱ级:
突发事件造成本集团公司多个下属分公司网络通信中断或接到集团公司有关部门下达的通信保障任务时,由信息网络安全事故应急指挥小组负责组织和协调。
负责人员要迅速准确的定位故障源,如果是关键部位网络设备故障要及时切换到备用设备上并测试调通;如果是骨干网物理链路故障要第一时间通知相关部门(通信公司)进行抢修并切换到备用线路上测试调通。
如果是业务系统发生故障按如下办法处置:
一、OA系统服务器:
1、当OA系统出现以下情况时,值班员负责重启OA服务器
(1)、双击IE,不弹出“输入网络密码”对话框,下方状态栏一直显示正在“查找站点:
192.1.1.168”时。
(2)、双击IE进入OA时,报“该页无法显示”时。
(3)、其他类似非正常情况。
2、重启OA服务器后系统仍然不能正常运行,则立即通知系统管理员处理,并及时做好故障现象及处理过程记录。
3、当系统管理员经过一小时处理仍未排除故障时,应通知科长协调处理。
二、趋势防病毒服务器:
1、当趋势防病毒服务器出现以下情况时,值班员应负责重启趋势防病毒服务器
(1)、双击IE安装页面,出现“该页无法显示”时。
(2)、大量用户申告客户端无法连接服务器。
2、重启服务器后系统仍然不能正常应用,则立即通知系统管理员,并及时做好故障现象及处理过程记录。
3、当系统管理员经过一小时处理仍未排除故障时,应通知科长协调处理。
三、Landesk服务器:
1、Landesk无法正常安装客户端及其他非正常情况时,值班员应负责重启Landesk服务器。
2、重启服务器后系统仍然不能正常应用,则立即通知系统管理员,并及时做好故障现象及处理过程记录。
3、当系统管理员经过一小时处理仍未排除故障时,应通知科长协调处理。
四、调度系统
1、当调度系统出现以下情况时,值班员应按下列要求进行操作:
(1)、调度系统登录页面不能打开或打开速度慢:
在机房测试登录
页面是否能够正常打开,若可以,服务器没有故障,判断是用户操作问题还是网络问题,若是网络问题,通知网络管理员;若不可以打开或速度非常慢,通知调度系统管理员,接到管理员通知后,重启应用服务器。
(2)、调度系统登录失败:
使用测试帐号登录,若成功,服务器没
有问题,通知用户找业务部相关人员咨询用户名和帐号;若无法登录,通知数据库服务器管理员。
(3)、调度系统中某个功能无法执行:
通知调度系统管理员,接到
管理员通知后,重启应用服务器。
2、在重启应用服务器过程中出现问题,或是重启后问没有解决,
通知应用服务器管理员处理,同时做好故障现象及处理过程记录。
3、当应用服务器管理员经过一小时处理仍未排除故障时,应通知科长协调处理。
五、煤炭系统
1、当煤炭系统出现以下情况时,值班员应按下列要求进行操作:
(1)、煤炭系统登录页面不能打开或打开速度慢:
在机房测试登录页
面是否能够正常打开,若可以,服务器没有故障,判断是用户操作问题还是网络问题,若是网络问题,通知网络管理员;若不可以打开或速度非常慢,通知煤炭系统管理员,接到管理员通知后,重启应用服务器。
(2)、煤炭系统登录失败:
使用测试帐号登录,若成功,服务器没有问题,通知用户找业务部相关人员咨询用户名和帐号;若无法登录,通知数据库服务器管理员。
(3)、煤炭系统中某个功能无法执行:
通知煤炭系统管理员,接到管理员通知后,重启应用服务器。
2、在重启应用服务器过程中出现问题,或是重启后问题没有解决,
通知应用服务器管理员处理,同时做好故障现象及处理过程记录。
3、当系统管理员经过一小时处理仍未排除故障时,应通知科长协调处理。
六、杂货系统
1、当杂货煤系统出现以下情况时,值班员应进行以下操作:
(1)、杂货系统登录页面不能打开或打开速度慢:
在机房测试登录页面是否能够正常打开,若可以,服务器没有故障,判断是用户操作问题还是网络问题,若是网络问题,通知网络管理员;若不可以打开或速度非常慢,通知杂货系统管理员,接到管理员通知后,重启应用服务器。
(2)、杂货系统登录失败:
使用测试帐号登录,若成功,服务器没有问题,通知用户找业务部相关人员咨询用户名和帐号;若无法登录,通知数据库服务器管理员。
(3)、杂货系统中某个功能无法执行:
通知杂货系统管理员,接到管理员通知后,重启应用服务器。
2、在重启应用服务器过程中出现问题,或是重启后问题没有解决,
通知应用服务器管理员处理,同时做好故障现象及处理过程记录。
3、当系统管理员经过一小时处理仍未排除故障时,应通知科长协调处理。
六、海图系统
1、海图系统首页无法打开,不能正常显示海图时,值班员应重启应用服务器p650app2(192.1.1.206)。
2、在重启应用服务器过程中出现问题,或是重启后问题没有解决,通知服务器管理员处理,同时做好故障现象及处理过程记录。
3、当系统管理员经过一小时处理仍未排除故障时,应通知科长协调处理。
七、劳资系统
1、值班员如果接到用户申告劳资系统不能使用时,应进行以下操作:
(1)、值班人员ping192.68.2.1,如果不通,通知管理员解决;如果能ping通则转2。
(2)、让申告用户ping192.168.2.1,如果不通,则说明其本单位网络不通,让其查看本单位网络是否有故障。
如果能ping通则通知管理员来解决。
(3)、其他异常现象。
2、当系统管理员经过一小时处理仍未排除故障时,应通知科长,科长上报技术中心领导。
Ⅲ级:
突发事件造成集团公司某个下属子公司所属网络通信故障时,由相关负责人进行恢复故障处理,如有需要可要求该分公司相关负责人进行配合,同时及时报告工作进程给信息网络安全事故应急指挥小组。
Ⅳ级:
突发事件造成局域网内某个交换点所属局部网通信故障(不影响正常一般通信)时,由相关负责人进行恢复故障处理并做好故障处理记录。
(二)应急保障任务结束
事故现场得以控制,网络环境符合有关标准,导致次生、衍生事故隐患消除后可确认网络通信保障和通信恢复应急工作任务完成。
由信息网络安全事故应急指挥小组下达解除任务通知书,现场应急指挥机构收到通知书后,任务正式结束。
(三)调查、处理、后果评估与监督检查
信息网络安全事故应急指挥小组负责对重大通信事故原因进行调查、分析和处理,对事故后果进行评估,并对事故责任处理情况进行监督检查。
(四)信息发布
信息网络安全事故应急指挥小组负责有关信息的发布工作。
(五)通讯
在突发事件的应急响应过程中,要确保应急处置系统内部机构之间的通信畅通。
通信联络方式主要采用固定电话、小灵通、移动电话、卫星电话、传真等。
五、后期处置
(一)情况汇报和经验总结
在突发事件应急响应过程中,信息网络安全事故应急指挥小组应做好突发事件中网络设施损失情况的统计、汇总、原因分析、应急处置情况总结等,并按程序上报。
如有需要维护修理的设备要及时处理。
(二)奖惩评定及表彰
为提高通信保障应急工作的效率和积极性,对于在应对突发事件过程中表现突出的单位和个人应给予通报表扬;对保障不力,给企业造成损失的单位和个人按有关规定进行处理。
六、保障措施
(一)物资保障
信息网络安全事故应急指挥小组应建立必要的通信保障应急资源的保障机制,根据通信保障应急工作要求,配备必要的通信保障应急装备,加强对应急资源及装备的管理、维护和保养,以备随时紧急调用。
(二)人员保障
通信保障应急队伍主要由技术中心各科室相关人员组成。
信息网络安全事故应急指挥小组人员要不断提高自身专业水平并听从组长的指挥。
(三)宣传、培训和演习
信息网络安全事故应急指挥小组应加强对通信网络安全和通信保障应急的宣传教育工作,定期或不定期地对信息网络安全事故应急指挥小组主要技术人员进行技术培训和应急演练,保障应急预案的有效实施,不断提高通信保障应急的能力。
(五)通信保障应急工作监督检查制度
信息网络安全事故应急指挥小组应加强对通信保障应急工作的监督和检查,做到居安思危、常备不懈。
(六)需要其它部门保障的工作
1、交通保障
突发事件发生时,为了保证相关人员及时到达事发现场,由技术中心派车接送。
2、电力保障
突发事件发生时,为了保证通信网络设备的正常运行供电需求,由信息网络安全事故应急指挥小组与相应电力部门进行联系,取得支持。
具体停电应急方案如下:
停电后,值班员应及时与电力公司调度3093645联系问明停电时间,如在1小时内能恢复供电或在1小时内已由柴油发电机供电,可只在值班日志中记录不做任何处理。
当停电时间超过1小时,值班员必须做设备下电操作。
(1).下电操作:
1.关闭空调及新风机电源
2.所有PC服务器下电
3.IBM小型机下电
4.HPALPHA小型机下电
5.网络设备下电
6.UPS下电
(2).来电操作
1.UPS上电启动
2.网络设备上电启动
3.HPALPHA小型机上电启动
7.IBM小型机上电启动
4.所有PC服务器上电启动
5.空调及新风机电源上电启动
(3).停电、来电时间由值班员在值班日志中记录。
3、经费保障
由信息网络安全事故应急指挥小组根据通信应急保障需要,提出项目支出预算申请,报集团公司批准后执行。
升级会员 