网络与信息系统安全应急预案.docx

1、网络与信息系统安全应急预案沈阳市统计局网络及信息系统安全应急预案1、总则1.1 编制目的为科学应对统计网络及信息安全突发事件，建立健全统计网络及信息安全应急响应机制，有效预防、控制和最大限度的消除各类统计网络及信息安全突发事件的危害和影响，制定本应急预案。1.2 制定依据中华人民共和国计算机信息系统安全保护条例等法律法规、国家网络以信息安全事件应急预案、辽宁省网络及信息安全应急预案、辽宁省统计局网络及信息系统安全应急预案、沈阳市人民政府突发公共事件总体应急预案、中共沈阳市委办公厅沈阳市人民政府办公厅转发信息化工作领导小组关于加强全市信息安全保障工作实施意见的通知、沈阳市统计局保密工作规定、沈阳

2、市统计局网络系统安全管理规定。1.3 工作原则统计网络及信息安全突发事件应急工作，由沈阳市统计局信息安全突发事件应急委员会统一领导和协调，督促相关单位和部门，按照“统一领导、归口负责、综合协调、各负其职”的原则组织实施。1.3.1 明确责任,分工负责。对沈阳市统计网络及信息安全按照“归口管理、分级响应、及时发现、及时报告、及时处理、及时控制”的要求，依法对突发事件进行防范、监测、预警、报告、响应、指挥、协调和控制。按照“谁主管、谁负责，谁应用、谁负责”的原则，实行责任制和责任追究制。1.3.2 积极防御，综合防范。立足安全防护，加强预警，重点保护基础统计网络及信息的安全；从预防、监控、应急处理

3、、应急保障和打击犯罪等环节，在法律、管理、技术、人才等方面采取多种措施、充分发挥各方面的作用，共同构筑统计网络及信息安全保障体系。1.3.3 依靠科学，平战结合。加强技术储备，规范应急处置措施及操作流程，实现统计网络及信息安全突发事件应急处置工作的科学化、程序化及规范化。树立常备不懈的观念，定期进行预案演练，确保应急预案切实可行。1.3.4 以人为本，快速反应。要大力宣讲网络及信息安全防范知识，贯彻预防为主的思想，树立常备不懈的观念，加强对统计网络及信息安全隐患的日常监测，及时发现和防范重大信息统计网络及信息安全突发性事件，采取有效的可控措施，迅速控制事件影响范围，力争将损失降到最低程度。1.

4、4现状及其成因近年来随着互联网的发展，信息安全问题已覆盖各个领域。特别是信息及网络犯罪有快速蔓延之势。反动邪教组织和境内外敌对势力利用因特网从事各种违法犯罪活动，严重影响着社会稳定、经济发展。近年来，随着我国信息化进程的迅速发展，统计网络安全亟需不断加强。统计网络及信息安全突发事件成因可分为两个方面：一是网络及信息系统自身的脆弱性。二是网络及信息系统外部体制性的不安全性。1.5适用范围本预案适用沈阳市统计信息系统网络及安全应急处理工作。本方案为内部应急方案，仅在我市局本级内部执行。如方案规定的内容及法律法规相悖时, 以法律法规为准。2、组织机构及职责2.1应急指挥机构及职责沈阳市统计局成立局信

5、息安全突发事件应急委员会 (以下简称“局安全应急委”)，承担统计网络及信息安全突发事件的组织处理，是处理统计网络及信息安全突发事件应急工作的领导和协调机构。局安全应急委主任由市统计局局长担任，副主任由主管信息化工作副局长担任，各职能部门负责同志为成员。按照国家、省、市政府网络及信息安全应急机构的要求开展处置工作；研究决定统计网络及信息安全应急工作的有关重大问题；组织制订信息安全常识、应急知识的宣传培训和应急救援队伍的业务培训及演练；决定统计网络及信息安全突发事件应急预案的启动，组织力量对突发事件进行处置；汇总有关统计网络及信息安全突发事件的各种重要信息，进行综合分析；应急处置和事后恢复及重建工

6、作。2.2局安全应急委各成员单位的职责沈阳市统计网络及信息安全事件应急组织体系见附件1。办公室：接收来自有关部门的重要信息，向局安全应急委报告和通报，应局安全应急委的委托发布预警信息；在应急期间会同有关部门做好保密、现场保护、安全保卫、交通通信等工作；及相关部门的联系及协调；统计信息网站的建设及管理。会计核算中心:确保应急处理系统建设和突发事件应急处理所需经费。数据管理中心：统筹规划建设应急处理技术平台，严密监控统计信息网络运行状况，对发生重大计算机病毒和大规模网络攻击事件进行及时处置，打击攻击、破坏网络安全运行等违法犯罪行为。从技术方面处理发生问题的系统，检测入侵事件，并采取技术手段来降低损

7、失。2.3应急指挥“局安全应急委”负责重大安全事件的应急指挥。3、分类分级本预案所指的统计网络及信息安全突发事件,是指重要的统计信息网络系统和安全系统（包括：供电系统、消防系统、信息系统等）突然遭受不可预知外力的破坏、毁损、故障,对统计信息网、社会公众乃至国家造成或者可能造成重大危害的紧急事件。3.1 事件分类根据统计网络及信息安全突发事件的发生过程、性质和特征，可划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害、事故灾难和人为破坏引起的网络及信息系统的损坏；信息安全突发事件是指利用信息网络进行有组织的大规模的反动宣传、窃取和渗透等破坏活动。3.1.1 自然灾害是指地震、

8、台风、雷电、火灾和洪水等。3.1.2 事故灾难是指电力中断、网络损坏、硬件设备故障等。3.1.3 人为破坏是指人为破坏网络线路、通信设施、黑客攻击、病毒攻击和恐怖主义活动等事件。3.2 事件分级根据统计网络及信息安全突发事件的可控性、严重程度和影响范围，分为四级级(特别重大)级(重大)级(较大)级(一般)。3.2.1 级(特别重大)：重要统计网络及信息安全系统发生全市统计系统大规模瘫痪，事态发展超出控制能力,对国家财产、公共利益和统计工作造成特别严重损害的突发事件，需要跨部门协同处置的突发事件。3.2.2 级(重大):重要统计网络及信息安全系统造成系统性瘫痪，对国家安全、公共利益和统计工作造成

9、严重损害，但不需要跨部门协同处置。3.2.3 级(较大):某一区域的重要统计网络及信息安全系统瘫痪,对国家安全、公共利益和统计工作造成一定损害。3.2.4 级(一般):重要统计网络及信息安全系统受到一定程度的损坏，但不危害国家安全, 公共利益和统计工作的突发事件。4、电力系统应急方案4.1发现本单位电力系统出现异常情况时，现场人员应立即向电力管理部门（联系电话：电力室内线426，值班室内线233，外线）和主管领导报告，并对发生的突发事件做出初步的判断。4.2接到停电通知时，数据管理中心根据停电时间、电池电能贮备、供电管理部门信息、网络和信息运行情况等及时通过发布或电话作调度，要求用户在停电前停

10、止业务、保存数据。4.3电话询问供电部门询问停电原因及具体停电时间，如供电部门告知停电时间过长，通报主管领导，并告知所知事件详情，通知局办公室做出相应处理。4.4 几种非正常停电的情况处理过程(不限于以下几种处理办法)。4.4.1机房输入线路（市电）出现故障的处理过程。正常情况下应提前接到政府电力室停电通知。4.4.1.1 观察机房配电系统的市电和输入指示，如市电电表归零，且输入无电压显示，表示市电输入已停。4.4.4.2检查输出，如果正常，则察看当前负载量和计算后备电池支撑时间。并联系电力部门了解停电时间间隔，如果超出后备电池的支撑时间，应要求网络管理人员对各应用系统、设备进行必要处理（关闭

11、部分不重要的业务应用），以防止后备电源很快耗光而影响重要工作进行。4.4.1.3如果无输出，说明逆变器故障，在市电停电的同时已无法为机房提供电源。首先，应电话通知工程师立即到现场排除故障；值班人员应先关闭配电系统各分路空开和各机柜三级开关；再关闭及空调输入电源二级开关，最后关闭总闸。以防止来电时冲击电流过大而损坏设备。4.4.1.4 在由后备电池供电时间内应密切观察控制面板显示屏，检查机房所属设备各项指标正常及否；待市电来电后，不要急于合各分路分断器，应等待十分钟左右或及电力室人员沟通，确认市电供电无反复、稳定后，再开启各分路开关。4.4.1.5 如果停电时间过长，应启动停电处理程序：依次关闭

12、机房内网络及各应用系统设备，关闭供电系统，关闭三级分断器，关闭二级分断器，总后关闭总闸。来电后先合总闸，待市电稳定后，顺序合上二级各分路分断器，开启机房照明系统，观察输入，开启，待整个供电系统运行正常后，合上三级分断器，方可启动各设备，以防止不必要的故障发生。4.4.1.6值班技术人员分析评估系统出现故障或停电过程所造成的损失，记录处理的全过程并上报相关部门领导。4.4.2 配电柜故障造成的停电处理过程。4.4.2.1迅速打开配电柜，依次检查空开通断情况，对突发事件做出迅速判断。4.4.2.2 如有分断器断开现象，试合一次，仍有分断，确定有短路故障，按电路走向拔出所属供电电路连接电器，查找短路

13、点，通知电力专业人员检查并修复故障。4.4.2.3用专用测试设备依次测量跳闸开关，对于无接地现象的电路，应尽快恢复供电。4.4.2.4值班人员根据配电系统出现故障所造成的损失，记录事件发生及处理的全过程并填写安全事件报告表上报相关部门领导。（如图一）通知部门领导检查各级分闸未跳跳试合该分闸有短路情况询问政府电力室十分钟后合上二、三级分断器未来电其它分闸未分断，总闸跳供未跳闸分路电源来电测试绝缘找出故障点外部供电故障内部故障坏好后备电池耗光前适时进行系统备份等应急准备尽快维修、更换部件和设备在供电电池耗光前分断三、二级开关，关闭总闸及政府电力室保持联系并监视市电输入指示恢复供电后执行上述“来电”

14、处理程序恢复各设备及应用系统正常运行填写安全事件记录表由处理人员上报相关负责人备案拉下各分闸，依次测试进出线绝缘通知主管领导及相关部门领导通知主管领导及相关部门记录备案检修，更新设备大范围停电故障持有电工操作证的操作人员通知和了解电力管理部门值班人员发现异常情况普通照明停电或个别设备出现电力故障检查 输入电源显示关闭正常好坏分断配电柜中三、二级分断器依次测量各分闸进出线路更换损坏部件和线路跳图一：电力系统应急方案流程图5、消防系统应急方案5.1 当主机房出现火情、火灾时，现场人员应保持镇静。同时，应在最短时间内通知主管领导及局办公室，并对火情做出正确判断，及时采用一些简单可行的方法做初步处理，

15、如：到指定的位置取灭火器或采用一些应急灭火措施灭火；第一时间迅速切断总闸、关闭供电系统，将自动灭火系统转为“手动”方式。5.2 平时要注意保养和维护七氟丙烷自动灭火系统，使之保持正常工作状态，如果夜间出现火情，机房专用的自动灭火控制器将会自动开启，实施灭火。5.3 平时机房值班人员应熟练掌握各类灭火器的使用方法，掌握灭火技能，并能做到反应迅速，操作准确，处理得当。具体应急方法简要过程如下：5.3.1 接到报火险或设备报火警的情况时，若火势较小，先将自动灭火控制器转到“手动”档；立即提取摆放在周围固定位置的手持式灭火器进行处置。5.3.2手提灭火器使用方法：提取灭火器，拔下安全销，左手紧握喷管前

16、端橡胶处，右手压住灭火器按把，如果是灯具着火应站在灯具斜下方向上喷射，如果在桌上，应站在距离火点三米左右地方喷射着火点。5.3.3 若发现火势及烟雾较大，在保证设备、人员安全的条件下，应立即疏散物理场地内的工作人员。5.3.4若火势特大，用普通的灭火器已无法控制，应迅速打119电话报警，并派人到大门外等候并引导消防车和救援人员进入火灾现场；必须启动气体消防系统时，首先确认物理场地内无任何人员，在征得主管领导同意后，由安全管理员按照七氟丙烷气体灭火系统的操作说明启动灭火系统。 5.3.5 如果是电器火灾应注意电气安全，因为电器在着火时，并不能确定电闸是否分断，应先关闭总闸、供电系统以及所属设备。

17、5.3.6 安全管理人员应了解火灾事件造成的损失，记录整个过程并报部门领导。5.4机房发生火情90%以上是电器火灾，所以在日常巡察的基础上，主管部门应定期组织相关人员检查、维护配电系统和机房所属设备运行状态，至少一个季度进行一次全面的检修，更换有安全隐患的器件，防患于未然。（如图二）发生火情立即通知局消防值班人员确定火情部位及严重程度通知上级主管和相关领导由安全管理人员整理事件原因及损失情况上报本单位相关负责人备案组织现场人员疏散，手动启动“自动”灭火系统火情严重、难以控制关闭电源和设备切断火源通知消防部门并就近组织人员灭火组织人员灭火组织人员到指定位置取灭火器灭火火情不严重火情严重关闭电源和

18、设备30秒钟内将灭火器系统转到“手动”方式30秒钟内将灭火器系统拨到“手动”方式图二：消防系统应急方案流程图6、信息系统应急方案6.1 通信系统应急方案6.1.1发生通信线路中断、路由故障时，网络系统管理员应检查故障线路、进行初步故障定位并通知运维管理部门。6.1.2 如果通讯系统出现比较严重的问题，对单位的正常运转造成较大的影响，需立即向上级主管报告，并通知相关人员，不得擅自做出决定；6.1.3 对有简单故障的设备，运维管理人员可以修理发生故障的设备，解决相应问题并记录；6.1.4发现需要更换设备，应上报领导,经批准后马上更换相应故障设备，尽快恢复线路；6.1.5 运维管理部门发现无法及时修

19、理时，应立即通知相关厂家的维修人员，由厂家维修人员尽快解决；6.1.6 如发现交换机发生故障，应立即通知厂家的维修人员来修理，不能擅自修理；6.1.7 如发现是线路的问题，应及线路提供商联系，敦促对方尽快恢复故障线路；6.1.8 网络运行管理部门应将应急处理过程备案并报上级部门备案。6.2 黑客攻击应急方案沈阳市统计局网站建设和办公系统管理由局办公室分管，办公室负责对统计信息网站和办公系统中出现的网页篡改、黑客入侵等现象的监察，并及时向数据管理中心反映故障情况。统计数据网上直报系统和安全文档管理系统由数据管理中心负责监察及维护。6.2.1 发现有黑客入侵迹象后，应立即通知网络管理员和安全管理员

20、，并停止一切操作；6.2.2 同时切断受攻击计算机及网络的物理连接；6.2.3 由网络管理员来调查具体情况，并立即采取相应的防范措施；6.2.4 立即对内部网内所有的机器采取防范措施，防止黑客用同样的手段再次入侵；6.2.5 由网络管理员判断损失情况，并立即上报上级主管，对损失的数据和资料立即采取相应的补救措施；6.2.6 受攻击的主机的一切设置都要更改，原有的用户名和口令都要更改，机器使用者的其他账户也要更改；6.2.7 如果有可能泄露单位内部网的相关信息，需要立即更换所有内部网的设置，所有用户的账号和密码都要更改，一切有可能泄露的信息都要立即加以修改；6.2.8 如果受攻击的为服务器，则服

21、务器上的所有相关信息都要立即更改；6.2.9 如有必要，停止使用受攻击的主机和服务器，启用备用服务器；6.2.10 对受攻击机器加强监控，随时注意异常情况；6.2.11 如果能追查到攻击者的相关信息，可以对其发出警告，在警告无效的情况下，可以采取进一步的行动，乃至采取法律手段；6.2.12 一切情况处理完成后，需填写安全事件报告表。6.3 网络系统应急方案6.3.1 发现网络故障，立即通知网络管理员；6.3.2 由网络管理员来检查网络情况，初步确定故障原因；6.3.3 如网络设备发生严重故障，导致网络无法正常运转，应立即通知相关人员，并立即启用网络备用设备；6.3.4 如果是线路故障，应立即启

22、用备用线路；6.3.5 如果有重要的信息需要在网上处理，在上级主管批准后，由安全管理员做记录后，可以临时使用调制解调器拨号上网；6.3.6 使用调制解调器拨号上网的计算机不能及内部网相连，必须独立；6.3.7 如有必要应提前在安全管理部登记备案；6.3.8 在此期间，不得擅自使用本单位以外的网络进行信息交流；6.3.9 其他信息参见相关管理规范。6.4 病毒应急方案6.4.1 发生病毒感染情况的时候，马上停止所有操作，切断网络连接，并通知系统维护人员和安全管理员；6.4.2 在感染病毒的计算机上运行杀毒软件，全面检查计算机系统，将病毒彻底清除；6.4.3 如果是服务器发生了病毒感染，应立即停止

23、服务器所运行的所有程序和相关服务，防止病毒进一步扩散，并通知系统维护人员和安全管理员；在服务器端运行杀毒软件，全面检查计算机系统，清除病毒；6.4.4 服务器查杀病毒的同时，所有及服务器连接的计算机都要进行病毒查杀；6.4.5 启动备用服务器，同时，将原有服务器及网络彻底断绝物理连接；6.4.6 若病毒已将系统破坏，导致系统无法恢复，应将感染病毒的计算机上的重要数据备份到其他存储介质，确保计算机内重要的数据不会丢失；6.4.7 备份数据也要进行病毒检测，防止病毒交叉感染；6.4.8 数据无法恢复，经单位领导同意后，可及反病毒部门联系，由他们来协助恢复，需要保证数据信息不泄露，并由安全管理员做记

24、录；如为涉密数据，按安全保密有关规定处理；6.4.9 完成后需要由安全管理员做记录；6.4.10 如为病毒服务器问题，需在处理后填写安全事件报告表。6.5 系统备份应急方案数据管理中心定期做好应用数据库、安全文档管理、电子档案、办公系统、网站系统等主要应用系统数据备份工作。6.5.1 发现数据由于某些原因丢失，首先记录故障时间和相关信息；注意保护数据现场。6.5.2 判断故障类型和级别。6.5.3 安排相关技术人员进行紧急处理。6.5.4 如果是硬盘错误，则需要用备用硬盘替换；如果是硬盘数据丢失，要尽力采取措施修复或复制出数据。在相关负责人员确信无法挽救数据后，才可作废弃处理。6.5.5 利用

25、存储备份系统恢复离故障点最近时间的数据，尽可能地降低损失。6.5.6 数据灾难恢复后，提交故障报告，分析并总结故障原因。7、应急处理程序7.1 预案启动当发生统计网络及信息安全事件时，由局安全应急委启动应急预案，负责指挥应急处理工作，数据管理中心负责技术指挥和处理。7.2 现场应急处理事件发生现场应急处理工作组尽最大可能收集事件相关信息，分别事件类别，确定来源，保护证据，以便缩短应急响应时间。检查威胁造成的结果，评估事件带来的影响和损害。抑制事件的影响进一步扩大，限制潜在的损失及破坏。在事件被抑制之后，要进行综合分析，找出事件根源，明确相应的补救措施并彻底清除。7.3 报告和总结认真回顾并整理

26、发生事件的各种相关信息，尽可能地把所有情况记录到文档中，并将安全事件处理完毕后，在5个工作日内将处理结果报局安全应急委备案。（重大安全事件报告单见附件2）7.4 应急行动结束根据统计网络及信息安全事件的处置进展情况和现场应急处理工作组意见，安全应急委组织相关部门对处置情况进行综合评估，确定应急行动是否结束。8、保障措施8.1 技术支撑保障建立预警及应急处理的技术平台，进一步提高安全事件的发现和分析能力：从技术上逐步实现发现、预警、处置、通报应急处理的联动机制。8.2 应急队伍保障要不断加强安全应急人才培养，进一步强化安全宣传教育，努力建设一支高素质、高技术的安全核心人才和管理队伍，提高安全防御

27、意识。8.3 物质条件保障在年度资金预算中，要安排一定的资金用于预防或应对安全突发事件，提供必要的交通运输保障，为安全应急处理工作提供可靠的物资保障。8.4 技术储备保障局安全应急委要经常组织相关技术人员进行培训，在允许的条件下，还可以邀请专家和科研力量，开展应急运作机制、应急处理技术等研究。9、培训和演习9.1 人员培训为确保统计网络及信息安全应急预案高效运行，局安全应急委将定期或不定期地举办不同类型的培训或研讨会，以便不同岗位的应急人员都能熟悉掌握安全应急处理的知识和技能。9.2 应急演习为提高安全突发事件应急响应水平，局安全应急委定期或不定期组织预案演练。通过演习，进一步明确应急响应各岗

28、位责任，对网络及信息预案中存在的问题和不足给予及时补充和完善。10、监督检查及奖惩10.1 预案执行监督局安全应急委负责对预案实施的全过程进行监督检查，督促成员单位按本预案指定的职责采取应急措施，确保及时、到位。发生重大安全事件的单位应当按照规定及时如实地报告事件的有关信息，不得瞒报、缓报。应急行动结束后，安全应急委对相关成员单位采取的应急行动的及时性、有效性进行评估。10.2 奖惩及责任10.2.1 对下列情况经局安全应急委评估审核后，报局党组批准后予以奖励:在应急行动中做出特殊贡献的先进单位和个人；在应急行动中提出重要建议方案，节约大量应急资源或避免重大损失的人员；在应急行动第一线做出重大

29、成绩的现场作业人员。10.2.2在发生重大信息安全事件后，有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的，安全应急委将予以通报批评；对造成严重不良后果的，将视情节由有关主管部门追究领导和当事人的责任；构成犯罪的，由有关部门依法追究其法律责任。11、附则本预案通过演习、实践检验，以及根据应急力量变更、新技术、新资源的应用和应急事件发展趋势，及时进行修订和完善。本预案所附的沈阳市统计网络及信息安全应急处理组织机构的组成和成员，将根据实际情况的变化随时修订。本预案沈阳市统计局安全应急委制定，并负责解释。本预案日常工作主要由沈阳市统计数据管理中心负责。联系电话：、本预案自发布之日起实施。