网络与信息安全应急预案样本.docx
《网络与信息安全应急预案样本.docx》由会员分享,可在线阅读,更多相关《网络与信息安全应急预案样本.docx(8页珍藏版)》请在冰豆网上搜索。
网络与信息安全应急预案样本
网络与信息安全应急预案
一、工作原则
(一)防止为主、综合防范。
立足安全防护,加强预警,重点保护基本信息网络和重要信息系统,抓好防止、监控、应急解决、应急保障等环节,构筑网络与信息安全保障体系。
(二)明确责任、分级负责。
按照“谁主管谁保障,谁保障谁处置,谁处置谁报告”原则,建立和完善组织机构,明确职责分工,有效履行保障和应对网络与信息系统突发事件职责。
(三)迅速处置,事后整治。
按照迅速反映机制,及时获取充分而精确信息,跟踪研判,坚决决策,迅速处置,最大限度地减少危害和影响。
事后要剖析因素,总结教训,形成长效机制,实现网络与信息安全突发事件应急处置工作科学化、程序化与规范化。
二、组织机构和工作职责
信息安全领导小组(如下简称领导小组)是我局网络与信息安全应急处置组织协调机构,负责领导、协调应急处置工作。
其工作职责是:
确认与否达到应急状况原则;视状况严重限度,协调有关部门开展技术保障、办税服务厅涉税业务应急解决、发布税收征管信息、涉税舆情监控与解决等事项。
三、事件分级
依照信息安全事件导致后果严重限度,税务系统信息安全事件可划分为5个级别,其中1级危害限度最高,5级危害限度最低,各级网络与信息安全事件描述如下:
1级网络与信息安全事件:
劫难性安全事件。
导致税务信息系统业务瘫痪、对税务系统利益或社会公共利益有劫难性影响或危害。
2级网络与信息安全事件:
特别重大安全事件。
导致税务信息系统业务停顿、对税务系统利益或社会公共利益有极其严重影响或危害。
3级网络与信息安全事件:
重大安全事件。
导致税务信息系统业务中断、影响系统效率、对税务系统利益或社会公共利益有较为严重影响或危害。
4级网络与信息安全事件:
较大安全事件。
导致税务信息系统业务短暂停顿但可及时修复、对税务系统利益或社会公共利益有一定影响或危害。
5级网络与信息安全事件:
普通安全事件。
导致税务信息系统效率受到轻微影响、对税务系统利益或社会公共利益基本不影响或危害极小。
3级和3级以上网络与信息安全事件统称为重大网络与信息安全事件。
四、应急预案启动
(一)事件发现、初判和上报
对于初判为4级和4级以上网络与信息安全事件,在事件发生后应及时上报市局信息安全领导小组,并填写《网络与信息安全事件报告表》。
重大网络信息安全突发事件必要实行态势进程报告和日报告制度。
报告内容重要涉及信息来源、影响范畴、事件性质、事件发展趋势和采用办法等。
(二)启动应急预案
当发生网络安全与信息系统事件时,应及时启动应急预案,依照详细状况进行相应应急处置。
若影响到业务正常开展,由信息安全领导小组协调有关部门进行联合解决。
五、应急处置
(一)局域网中断应急处置
1.局域网中断后,应及时判断故障节点,查明故障因素,并向领导小组报告。
2.如属线路故障,对线路进行抢修和恢复。
3.如属互换机等网络设备故障,应及时从指定位置提取备用设备替代安装,并调试畅通。
4.如属配备文献被破坏,应重新拷入已备份配备文献或按照规定迅速重新配备,必要时联系设备供应商。
(二)广域网中断应急处置
1.广域网中断后,值班人员应迅速判断故障节点,查明故障因素,同步向领导小组报告。
如故障范畴限于单位内部范畴,技术人员应及时予以恢复;如有困难,请上级部门支持和技术公司协助。
2.如属路由器等网络设备故障,应及时从指定位置提取备用设备替代安装,并调试畅通。
3.如发生光路设备和线路故障,应及时与运营商维护部门联系,尽快进行抢修恢复,必要时联系有关单位联合解决。
4.如发生办税延伸点线路故障,必要时应联系物业所属单位联合解决。
(三)病毒入侵应急处置
1.发现服务器操作系统有重大漏洞或感染病毒,应及时追加补丁,启用反病毒软件对该机进行杀毒解决,同步通过病毒检测软件对其她机器进行病毒扫描和清除工作。
2.对该设备硬盘进行数据备份。
3.如果现行反病毒软件无法清除该病毒,应及时向领导小组报告,并迅速联系关于产品厂商研究解决。
(四)黑客袭击应急处置
1.当发现网络被非法入侵、网页内容被篡改、应用服务器上数据被非法拷贝、修改、删除,或通过入侵检测系统发既有黑客正在进行袭击时,使用者或管理者应立即断开网络,并及时向领导小组报告。
2.采用关闭网络、封锁或删除被攻破登陆帐号等方式,阻断可疑顾客进入网络通道。
3.及时清理系统,恢复数据和程序,将系统和网络恢复正常。
4.经应急处置后,事态难以控制或有扩大发展趋势时,应实行扩大应急行动。
应急处置和紧急增援单位,要及时增长应急处置力量,加强工作协调,努力控制事态扩大和发展。
5.追查非法袭击和病毒来源。
妥善保存关于记录及日记和审计记录,对现场进行分析,并写出分析报告存档,向领导小组报告。
事态严重,要向公安部门报警。
(五)省局集中信息系统应急处置
1.检查省局到市局、市局到区县局广域网络与否故障,如果故障,按照广域网中断应急处置办法解决。
2.如果拟定是信息系统故障,先查看省局运维系统有无关于该系统故障最新告知公示,如果没有,则将故障发生时间、故障现象等上报省局信息中心,并及时告知有关业务部门。
(六)市局集中信息系统应急处置
本应急处置办法重要针对我局集中面向纳税人重要信息系统,涉及:
一户通扣款、社会化办税平台、网上认证、网上抄税等系统。
1.遇到系统断电或服务不能响应时,应一方面确认前置机、应用服务器、数据库服务器与否正常。
如果异常,重启虚拟机,重启后故障还存在,则启动备份虚拟机。
对于一户通系统,应启用备份前置机,并联系清算中心拟定清算中心系统与否正常。
2.检查中间件运营状态,如果有故障,重启中间件服务。
3.检查数据库状态,如果有故障,重启数据库服务,如果重启后故障还存在,则重建数据库系统,运用最新备份数据作数据恢复,并应测试前台业务与否正常。
4.检查网络线路与否正常,涉及广域网络、电信和网通外网接入线路。
对于一户通系统,应检查一户通前置机至清算中心网络线路与否正常。
对于社会化办税平台,应检查布置在省局网络发票服务器网络发票号获取与否正常。
5.网络问题排除后故障依然存在,应及时联系技术公司技术人员提供现场技术支持。
(七)主机故障应急处置
1.定期做好重要信息系统虚拟机克隆备份,在发生故障后,如拟定是虚拟机自身问题,例如操作系统无法启动、系统蓝屏等,应及时启动备份虚拟机。
2.如果服务器主机发生故障时虚拟机能正常访问,应将虚拟机迁移到其他主机(注意监控主机资源使用状况,在资源紧张状况下,暂时关闭非重要虚拟机,保证重要信息系统正常运营)。
如果服务器主机发生故障时虚拟机不能正常访问,应在其他主机上找到存储分区中该虚拟机相应后台文献后加载启动。
3.在主存储发生故障后,应及时断开数据同步服务,启用备用存储,及时联系硬件厂商获得技术服务,协同配合直至问题解决。
4.服务器故障后,应及时依照服务器故障批示灯进行初步判断。
在服务器硬件正常状况下,尽快做好系统软件恢复,或重新安装之后再进行应用软件和数据恢复。
故障排除后,应按照操作规程启动系统,并应测试前台业务与否正常。
5.如硬件故障无法解决,应及时联系有关厂商和技术支持,祈求助助分析故障因素,若经设备厂商或技术支持认定是硬件损坏,则依照维保合同进行保修或维修。
(八)机房断电应急处置
1.必要断电解决状况,向各部门告示。
2.查询断电时间、何时恢复等,关掉非核心设备,保证核心设备供电。
3.监控UPS供电状况,随时注意检查尚在运营计算机设备和机房室温。
4.做好关机准备,预留相应关机时间,届时供电没有恢复,按正常流程所有关闭计算机等设备。
5.最后关闭UPS电源,关闭各空开,和电力有关单位沟通,合伙尽快修复。
(九)机房断电后恢复供电处置
1.恢复机房内空调。
2.检查空调机启动运营状况。
3.确认供电与否稳定、正常等。
4.启动UPS恢复供电前,一方面确认各设备电源处在下电状态,以防止加电对设备冲击。
5.供电正常后,打开电力柜总控开。
依照设备加电顺序,启动分项控开。
6.启动计算机、数据库及各项应用程序。
7.在一段时间内,注意检查UPS批示、空调机运营、机房温度等与断电关于设备运营状况,做出记录。
(十)机房漏水应急处置
1.发现机房漏水后第一目击者应及时向领导小组报告。
2.若空调系统浮现渗漏水应及时停止运营故障空调,将机房内积水清除干净并及时联系设备供应方进行解决,必要状况下可以暂时用电扇对服务器进行降温。
3.若为墙体或窗户渗漏水应及时告知服务中心及时清除积水进行墙体或窗户维修,避免不必要损失。
(十一)机房发生火灾应急处置
1.火情发生时,及时组织机房内工作人员撤离机房区域,并关闭机房区域所有房门。
2.同步通过119电话报警,尽快拟定火情真伪和详细位置。
3.及时告知局消防中控值班室。
4.与消防中控人员共同对火情进行再次确认。
5.由消防中控人员决定与否启动灭火系统。
6.配合有关部门做好其她善后工作。
7.总结事故因素及经验教训,杜绝隐患。
(十二)设备发生被盗或人为损害应急处置
1.发生设备被盗或有人为损害设备状况时,使用者或管理者应及时报告领导小组,同步保护好现场。
2.领导小组接报后告知安全保卫部门及公安部门一同核算审定现场状况,清点被盗物资或盘查人为损害状况,做好必要影像记录和文字记录。
3.事件当事人应当积极配合公安部门进行调查,并将关于状况向领导小组报告。
六、后期处置
在应急处置工作结束后,应组织关于人员迅速采用办法,抓紧抢修,减少损失,尽快恢复正常工作,记录各种数据,查清事件发生因素及危害状况,总结经验教训,填写《信息安全事件应急响应成果报告表》,对4级以上事件,报上级信息安全领导小组。
对调查中发现薄弱环节进行整治,防止类似事件再次发生。
七、保障办法
(一)应急队伍保障
加强应急人才队伍建设,组织开展网络与信息安全宣教与培训,保证应急处置人员熟悉应急处置工作流程,并具备应急工作必要技术能力,以满足应急工作规定。
每年至少组织一次应急演习,通过演习发现应急解决过程中浮现问题,不断完善应急预案,提高应急处置能力和水平。
(二)应急设备保障
各重要网络与信息系统在建设时应事先预留一定应急设备,建立信息网络硬件、软件、应急救援设备等应急物资库。
重要网络设备应有备用机,并存储在指定位置。
网络管理员要熟悉网络拓扑构造,机房设备要标清线路走向,配备好备用机。
(三)数据保障
重要信息系统均应建立异地容灾备份系统和有关工作机制,保证重要数据在受到破坏后,可紧急恢复。
各容灾备份系统应具备一定兼容性,在特殊状况下各系统间可互为备份。
1.数据备份以本地备份和异地备份相结合,对于重要信息系统,应每日备份,检查备份文献大小和有效性,注意检查备份空间和备份日记。
2.定期做好备份数据恢复测试,保证备份数据有效性。
3.数据备份介质以非本机硬盘、移动存储介质为主,定期检查备份介质有效性。
4.一旦数据库崩溃,应运用数据库备份,按照规定将其恢复到主机系统中。
如果备份数据无法恢复,应及时向有关厂商祈求紧急增援,并报告领导小组。