1、网络与信息安全应急演练实施优秀文档网络与信息安全应急演练实施优秀文档(可以直接使用,可编辑 优秀版资料,欢迎下载)网络与信息安全应急演练 为保障集团网络安全,对网络突发事件能及时做出防范处理,进一步提高预防和控制网络突发事件的能力和水平,减轻或消除网络突发事件的危害和影响,根据公发集团网络安全与信息化预案进行了网络安全应急演练。一、组织机构(一)应急指挥部: 总指挥:xx成员: xx指挥部在演练中负责信息系统突发事件应急演练的指挥、组织协调和过程控制,并向上级部门报告演练进展情况和总结报告.(二)应急演练工作组 组长:xx 成员:xxx应急演练工作组负责信息突发事件应急演练的具体工作;对信息系
2、统突发事件应急演练业务影响情况进行分析和评估;收集分析信息系统突发事件应急演练处置过程中的数据信息和记录;向应急指挥部报告应急演练的进度情况和事态发展情况。并做好后勤保障工作:提供应急演练所需的人力和物力等资源保障。二、进行演练(一)演练时间 2021年9月25日进行应急演练,集团办公室全体人员参加(二)演练内容 1、对集团网络通信线路的检查和故障排除.2、机房网络设备故障的检查和排除3、黑客攻击服务器的应对处理.4、大规模病毒(含恶意软件)攻击的应急处理(三)演练的过程 1、 2021年9月25日早晨上班后,发现集团网络不通,不能登录OA办公软件,各部门无法正常联系和办理业务,随即立刻通知集
3、团网络管理员,网络管理员在了解大体情况后,立即上报给应急演练指挥部。指挥部启动相关应急预案并组织人员进行故障排查,发现光钎收发机损坏,更换收发器后,网络恢复正常。2、2021年9月26日,集团财务室无法登录NC系统,办公室立刻将情况通知应急指挥部,指挥部立即启动相关预案,网络安全员立即检查网络情况,发现网络正常,之后去机房检查NC系统的服务器,发现长时间运行外加机房散热问题,导致服务器宕机,在重启服务器和通风散热后,系统恢复正常. 3、2021年9月27日,集团机房服务器模拟被黑客攻击,应急指挥部收到警情通知后,向上级领导报告并立即切断被攻击的服务器网络,保护现场并向公安部门报警,配合公安部门
4、展开调查.发布对内和对外的公告通知,组织技术人员做好被攻击系统的恢复和重建工作。4、2021年9月27日,集团财务部电脑感染病毒,财务软件无法登录,机器运行缓慢.财务部将情况上报给应急指挥部,指挥部启动相关预案进行处理:首先切断被感染的计算机的网络,其次网络安全员对该设备的硬盘备份重要资料,并使用360系统急救箱进全盘查杀扫描,对于杀毒软件无法清除的病毒,向相关领导汇报后,保存重要数据重新做电脑系统。情节较为严重的,向公安部门报警,配合公安部门展开调查。三、演练总结本次演练的目的是以防范网络与信息存在的风险为目的,建立科学有效、协调有序的网络与信息安全的应急管理机制和相关协调机制,以落实和完善
5、应急预案为基础,全面加强信息与网络应急管理工作。从本次演练的效果来看,这次演练指导有方、准备有序、组织有力、扎实有效,基本达到了预期目标.整个演练工作体现了以下俩个方面的特点:(一)领导重视,组织健全,启动快速集团领导对这次演练非常重视,为了保障演练工作利,召开了集团信息与网络安全应急演练动员会,成立以办公室为主体的应急指挥部和应急演练工作组,负责演练的策划、统筹、协调、保障等工作。(二)提前准备,重点推进演练前办公室联系各科室做好相关准备,对机房的安全设备和服务器进行安全补丁升级和重要数据备份,以免在演练出现突发情况,演练后应急指挥部对财务部和工程部进行了数据信息保密的培训。演练达到了预期目
6、标,但同时也有需要改进的地方,首先是实战经验不足,在演练前没有进行过相关事件的处理,其次是机房的散热需要安装制冷设备,机房的安全设备需要更新。最后是网络与机房的管理人员需要进行培训,提高处理机房设备故障的能力。 网络与信息安全应急预案一、工作原则(一)预防为主、综合防范。立足安全防护,加强预警,重点保护基础信息网络和重要信息系统,抓好预防、监控、应急处理、应急保障等环节,构筑网络与信息安全保障体系。(二)明确责任、分级负责。按照“谁主管谁保障,谁保障谁处置,谁处置谁报告”的原则,建立和完善组织机构,明确职责分工,有效履行保障和应对网络与信息系统突发事件的职责。(三)迅速处置,事后整改。按照快速
7、反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。事后要剖析原因,总结教训,形成长效机制,实现网络与信息安全突发事件应急处置工作的科学化、程序化与规范化。二、组织机构和工作职责信息安全领导小组(以下简称领导小组)是我局网络与信息安全应急处置的组织协调机构,负责领导、协调应急处置工作。其工作职责是:确认是否达到应急情况标准;视情况严重程度,协调相关部门开展技术保障、办税服务厅涉税业务应急处理、发布税收征管信息、涉税舆情监控与处理等事项。三、事件分级根据信息安全事件造成后果的严重程度,税务系统信息安全事件可划分为5个等级,其中1级危害程度最高,5级危害程度
8、最低,各级网络与信息安全事件的描述如下:1级网络与信息安全事件:灾难性安全事件.造成税务信息系统的业务瘫痪、对税务系统的利益或社会公共利益有灾难性的影响或危害。2级网络与信息安全事件:特别重大安全事件。造成税务信息系统的业务停顿、对税务系统利益或社会公共利益有极其严重的影响或危害。3级网络与信息安全事件:重大安全事件.造成税务信息系统的业务中断、影响系统效率、对税务系统利益或社会公共利益有较为严重的影响或危害.4级网络与信息安全事件:较大安全事件。造成税务信息系统的业务短暂停顿但可立即修复、对税务系统利益或社会公共利益有一定的影响或危害。5级网络与信息安全事件:一般安全事件.造成税务信息系统的
9、效率受到轻微影响、对税务系统利益或社会公共利益基本不影响或危害极小。3级和3级以上的网络与信息安全事件统称为重大网络与信息安全事件。四、应急预案的启动(一)事件发现、初判和上报对于初判为4级和4级以上网络与信息安全事件,在事件发生后应及时上报市局信息安全领导小组,并填写网络与信息安全事件报告表。重大网络信息安全突发事件必须实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。(二)启动应急预案当发生网络安全与信息系统事件时,应立即启动应急预案,根据具体情况进行相应的应急处置.若影响到业务正常开展,由信息安全领导小组协调相关部门进行联合处理。五、
10、应急处置(一)局域网中断的应急处置1.局域网中断后,应立即判断故障节点,查明故障原因,并向领导小组汇报。2.如属线路故障,对线路进行抢修和恢复。3.如属交换机等网络设备故障,应立即从指定位置提取备用设备替换安装,并调试通畅。 4.如属配置文件被破坏,应重新拷入已备份的配置文件或按照要求迅速重新配置,必要时联系设备供应商。(二)广域网中断的应急处置1。广域网中断后,值班人员应迅速判断故障节点,查明故障原因,同时向领导小组汇报。如故障范围限于单位内部范围,技术人员应立即予以恢复;如有困难,请上级部门支持和技术公司帮助。2.如属路由器等网络设备故障,应立即从指定位置提取备用设备替换安装,并调试通畅。
11、3。如发生光路设备和线路故障,应立即与运营商维护部门联系,尽快进行抢修恢复,必要时联系相关单位联合处理。4.如发生办税延伸点线路故障,必要时应联系物业所属单位联合处理。(三)病毒入侵的应急处置1。发现服务器操作系统有重大漏洞或感染病毒,应立即追加补丁,启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作.2.对该设备的硬盘进行数据备份.3。如果现行反病毒软件无法清除该病毒,应立即向领导小组汇报,并迅速联系有关产品厂商研究解决。(四)黑客攻击的应急处置1。当发现网络被非法入侵、网页内容被篡改、应用服务器上的数据被非法拷贝、修改、删除,或通过入侵检测系统发现有黑客
12、正在进行攻击时,使用者或管理者应立刻断开网络,并立即向领导小组汇报。2.采取关闭网络、封锁或删除被攻破的登陆帐号等方式,阻断可疑用户进入网络的通道。3.及时清理系统,恢复数据和程序,将系统和网络恢复正常.4.经应急处置后,事态难以控制或有扩大发展趋势时,应实施扩大应急行动。应急处置和紧急支援的单位,要及时增加应急处置力量,加强工作协调,努力控制事态的扩大和发展。5。追查非法攻击和病毒来源。妥善保存有关记录及日志和审计记录,对现场进行分析,并写出分析报告存档,向领导小组汇报。事态严重的,要向公安部门报警。(五)省局集中信息系统的应急处置1。检查省局到市局、市局到区县局广域网络是否故障,如果故障,
13、按照广域网中断的应急处置办法处理。2。如果确定是信息系统故障,先查看省局运维系统有无关于该系统故障的最新通知公告,如果没有,则将故障发生时间、故障现象等上报省局信息中心,并及时通知相关业务部门。(六)市局集中信息系统的应急处置本应急处置办法主要针对我局集中的面向纳税人的重要信息系统,包括:一户通扣款、社会化办税平台、网上认证、网上抄税等系统。1.遇到系统断电或服务不能响应时,应首先确认前置机、应用服务器、数据库服务器是否正常。如果异常,重启虚拟机,重启后故障还存在,则启动备份虚拟机.对于一户通系统,应启用备份前置机,并联系清算中心确定清算中心系统是否正常。2.检查中间件运行状态,如果有故障,重
14、启中间件服务.3.检查数据库状态,如果有故障,重启数据库服务,如果重启后故障还存在,则重建数据库系统,利用最新备份数据作数据恢复,并应测试前台业务是否正常.4.检查网络线路是否正常,包括广域网络、电信和网通外网接入线路。对于一户通系统,应检查一户通前置机至清算中心的网络线路是否正常。对于社会化办税平台,应检查部署在省局的网络发票服务器的网络发票号获取是否正常。5。网络问题排除后故障仍然存在的,应立即联系技术公司技术人员提供现场技术支持。(七)主机故障的应急处置1.定期做好重要信息系统虚拟机克隆备份,在发生故障后,如确定是虚拟机本身问题,比如操作系统无法启动、系统蓝屏等,应立即启动备份虚拟机。2
15、。如果服务器主机发生故障时虚拟机能正常访问,应将虚拟机迁移到其它主机(注意监控主机资源使用情况,在资源紧张的情况下,暂时关闭非重要虚拟机,保证重要信息系统正常运行)。如果服务器主机发生故障时虚拟机不能正常访问,应在其它主机上找到存储分区中该虚拟机对应的后台文件后加载启动.3.在主存储发生故障后,应立即断开数据同步服务,启用备用存储,及时联系硬件厂商获得技术服务,协同配合直至问题解决。4。服务器故障后,应立即根据服务器故障指示灯进行初步判断.在服务器硬件正常的情况下,尽快做好系统软件的恢复,或重新安装之后再进行应用软件和数据恢复。故障排除后,应按照操作规程开启系统,并应测试前台业务是否正常。5.
16、如硬件故障无法解决,应立即联系相关厂商和技术支持,请求援助分析故障原因,若经设备厂商或技术支持认定是硬件损坏,则根据维保合同进行保修或维修。(八)机房断电的应急处置1.必须断电处理的情况,向各部门通告.2.查询断电时间、何时恢复等,关掉非关键设备,确保关键设备供电。3.监控UPS供电情况,随时注意检查尚在运行的计算机设备和机房室温。4.做好关机准备,预留相应的关机时间,到时供电没有恢复,按正常流程全部关闭计算机等设备。5.最后关闭UPS电源,关闭各空开,和电力相关单位沟通,合作尽快修复.(九)机房断电后恢复供电的处置1.恢复机房内空调。2.检查空调机启动运行情况.3。确认供电是否稳定、正常等。
17、4。开启UPS恢复供电前,首先确认各设备的电源处于下电状态,以防止加电对设备的冲击。5.供电正常后,打开电力柜的总控开。根据设备加电顺序,启动分项控开。6。启动计算机、数据库及各项应用程序。7。在一段时间内,注意检查 UPS 指示、空调机运行、机房温度等与断电有关的设备运行情况,做出记录。(十)机房漏水的应急处置1.发现机房漏水后的第一目击者应立即向领导小组报告。2.若空调系统出现渗漏水应立即停止运行故障空调,将机房内的积水清除干净并及时联系设备供应方进行处理,必要情况下可以临时用电扇对服务器进行降温。3.若为墙体或窗户渗漏水应立即通知服务中心及时清除积水进行墙体或窗户维修,避免不必要的损失.
18、(十一)机房发生火灾的应急处置1。火情发生时,立即组织机房内工作人员撤离机房区域,并关闭机房区域的所有房门。2.同时通过119 报警,尽快确定火情的真伪和具体位置.3。立即通知局消防中控值班室。4.与消防中控人员共同对火情进行再次确认。5。由消防中控人员决定是否启动灭火系统。6.配合相关部门做好其他善后工作。7。总结事故原因及经验教训,杜绝隐患。(十二)设备发生被盗或人为损害的应急处置1。发生设备被盗或有人为损害设备情况时,使用者或管理者应立即报告领导小组,同时保护好现场。2。领导小组接报后通知安全保卫部门及公安部门一同核实审定现场情况,清点被盗物资或盘查人为损害情况,做好必要的影像记录和文字
19、记录。3.事件当事人应当积极配合公安部门进行调查,并将有关情况向领导小组汇报。六、后期处置在应急处置工作结束后,应组织有关人员迅速采取措施,抓紧抢修,减少损失,尽快恢复正常工作,统计各种数据,查清事件发生的原因及危害情况,总结经验教训,填写信息安全事件应急响应结果报告表,对4级以上事件,报上级信息安全领导小组。对调查中发现的薄弱环节进行整改,预防类似事件再次发生。七、保障措施(一)应急队伍保障加强应急人才队伍建设,组织开展网络与信息安全宣传教育与培训,确保应急处置人员熟悉应急处置工作流程,并具备应急工作必要的技术能力,以满足应急工作的要求。每年至少组织一次应急演练,通过演练发现应急处理过程中出
20、现的问题,不断完善应急预案,提高应急处置的能力和水平。(二)应急设备保障各重要网络与信息系统在建设时应事先预留一定的应急设备,建立信息网络硬件、软件、应急救援设备等应急物资库.主要网络设备应有备用机,并存放在指定位置。网络管理员要熟悉网络拓扑结构,机房设备要标清线路走向,配置好备用机。(三)数据保障重要信息系统均应建立异地容灾备份系统和相关工作机制,保证重要数据在受到破坏后,可紧急恢复.各容灾备份系统应具有一定兼容性,在特殊情况下各系统间可互为备份。1。数据备份以本地备份和异地备份相结合,对于重要信息系统,应每日备份,检查备份文件的大小和有效性,注意检查备份空间和备份日志.2。定期做好备份数据
21、的恢复测试,保证备份数据的有效性。3。数据备份介质以非本机硬盘、移动存储介质为主,定期检查备份介质的有效性。4.一旦数据库崩溃,应利用数据库备份,按照要求将其恢复到主机系统中。如果备份数据无法恢复,应立即向相关厂商请求紧急支援,并报告领导小组。网络与信息安全应急处置预案一、总则第一条 根据福建省网络与信息安全协调小组关于制定网络与信息安全应急处置预案的通知(闽信安办20045号)等有关规定和要求,为保证医疗保险信息网络系统正常稳定运行和信息数据的安全存储,特制定本规定。第二条 本预案适用于某省某某某考务系统管理,包括系统运行安全、数据存储与灾备、网络安全与维护、病毒防治、黑客入侵五大部分。凡在
22、某省某某某考务系统中运行计算机软硬件设备的处室(单位)和相关人员均应遵守本预案的相关规定。第三条 本预案处置遵循“统一领导、统一指挥、各司其职、整体作战、发挥优势”的原则,全力保障考务系统考生数据的安全,保障信息系统的稳定无差错运行、网络安全稳定运行,事故发生后尽快恢复数据并确保稳定运行.二、组织指挥和职责任务第四条 成立某省某某某中心网络与信息安全应急处置领导小组,由中心主任担任组长,中心副主任担任副组长,信息科、综合科和考务科负责人担任成员。下设的办公室挂靠在信息管理科,由信息科科长担任主任。(名单附后)第五条 建立内部安全管理制度,包括机房管理制度、设备管理制度、病毒防范制度、操作安全管
23、理制度等,并确保制度有效执行。第六条信息管理科指定技术人员作为监测成员,与相关技术支持公司签订安全合同,聘请专业网络安全技术员作为技术处置员。监测成员职责:负责各种管理制度的制定,日常网络信息安全的监测,检查相关人员是否有违规行为;发现异常情况,及时报告,按照处置程序进行应急处理.技术处置员职责:根据签订的安全合同,在出现任何网络信息安全问题时在合同规定的时间内赶到现场并进行技术处理,尽可能减轻损失,在最短时间内恢复医疗保险信息网络的正常运行.三、处置措施与处置程序第七条 处置程序1、发现情况。各科室工作人员、值班人员发现网络与信息安全情况异常,需要紧急处理的,应立即报告,并进入预案启动程序;
24、2、预案启动。在领导的指示下,根据第八、九条的标准划分,启动不同等级的预案处理程序;3、应急处置.针对各类情况,根据第十一条进行实施应急处理,将损失减到最小程度;4、情况报告。根据情况的等级不同,按第十条规定标准,报告各级领导,将情况具体内容与处理过程详细记录,备案待查;5、发布预警。根据遇到的紧急情况的等级,在必要时向不同范围的人员或者单位发布预警,保证信息网络系统的正常运行;6、预案中止。在进行了正确的处理,并解决了故障问题,检测医疗保险信息网络系统已经恢复稳定正常运行后,宣布预案运行中止。第八条 信息网络系统紧急安全情况分级定义一级:指主要硬件故障或者中心数据库故障、灾害性故障引起某某某
25、某某网无法继续运行,直接导致考生报名工作无法正常进行;二级:直接存在局部硬件故障或者数据库故障、存在直接影响某某某某某网运行的隐患,不及时解决将有可能升级为一级故障。局部影响了某某某工作,但不会对整个某某某工作产生决定性影响;三级:因个别信息系统的软硬件故障,在小范围内个别影响了某某某工作.第九条 根据网络与信息安全遇到紧急情况种类及严重程度的不同,分别归入不同级别的预案处理,具体分类如下:1、灾难性事故安全处理预案。当遇到火灾、地震、雷击、漏水等自然灾害事故或者其它不可抗拒力量的事故时,应视为一级紧急信息安全情况,迅速启动一级安全预案,马上上报并立即着手紧急处理方案;2、系统运行安全处理预案
26、。当运行某某某某某网的服务器遇到硬件故障或者数据库遇到问题时,应视为一级紧急信息安全情况迅速上报并进行处理;3、数据存储处理预案。当某某某某某网数据的存储与备份出现错误时,如果直接对当前系统造成影响,应按一级紧急信息安全情况迅速上报并进行处理。如果不直接影响当前系统运行,但存在隐患的,应按二级紧急信息安全情况进行处理;4、网络安全与维护处理预案.当某某某某某网安全出现紧急情况时,应视网络事故的等级及影响面的大小分级进行上报处理。中心端路由器故障应视为一级紧急信息安全情况;中心端单口故障应视为二级紧急信息安全情况进行处理;单机网络故障按三级紧急信息安全情况处理;5、黑客入侵处理预案.当怀疑有黑客
27、入侵时,应马上组织技术人员进行查证,暂时封闭有关线路并按二级紧急信息安全情况进行上报处理;当确认有黑客入侵时,应马上关闭网络系统,发布预警,按一级紧急信息安全情况上报处理;6、病毒防治处理预案.当查实有单台计算机感染恶性病毒时,应按三级紧急信息安全情况进行上报处理,并实行隔离杀毒工作;当查实有多台计算机感染恶性病毒时,应按二级紧急信息安全情况进行上报处理,并暂时关闭相关网络进行隔离杀毒,如果影响医疗保险工作则应在相关范围内发布预警;如果系统数据库或者小型机查实感染病毒,应按一级紧急信息安全情况上报处理并发布预警。7、断电事故安全处理预案。当运行某某某某某网的机房遇到电力中断情况时,中断时间预计
28、小于30分钟时视为二级安全情况,如达到或超过30分钟则直接升级为一级紧急信息安全情况迅速上报并进行处理。第十条 遇到信息网络安全问题时,应根据不同的级别,分级上报,具体分级上报规定如下:一级:应马上通知应急处置领导小组副组长,并由领导小组副组长上报领导小组组长,信息科将情况登记备案;二级:应马上通知应急处置领导小组副组长,信息科将情况登记备案;三级:应及时处理并报备应急处置领导小组副组长。第十一条 分级处理的人员安排一级:由值班人员立即上报应急处置领导小组副组长并对现场进行必要处理,迅速通知技术处置员。技术处置员应在一小时内赶到现场进行处理,如果无法到达需指定专员于网络远程保持实时操作。同时应
29、急处置领导小组副组长接到通知并了解详细情况后上报应急处置领导小组组长,并由领导小组组长指导工作,各成员保持实时联系;二级:由值班人员立即上报应急处置领导小组副组长并对现场进行必要处理,迅速通知技术处置员。技术处置员应在两小时内赶到现场进行处理,如果无法到达需指定专员于网络远程保持实时操作。同时应急处置领导小组副组长接到通知并了解详细情况后直接指导工作,各成员保持实时联系;三级:由值班人员对情况进行必要处理,通知技术处置员。技术支持应在当天内对故障进行处理并报备应急处置领导小组副组长。四、保障措施第十二条 信息科实时接收和监测各种信息网络系统运行情况。第十三条 配有专职的日常网络管理人员,外聘专
30、业的网络安全服务商,与相关技术支持公司签订系统与设备维护合同,并于合同中标明各级应急处理预案技术支持的安排,做到可以根据紧急情况处理预案的要求及时提供技术支持。第十四条 购置防火墙、入侵检测设备、防病毒产品、物理隔离设备、扫描设备等安全防范专用设备,正确设置这些设备的各项参数,确保其配置不允许被随便修改.随着网络规模的调整,及时调整防范设备的部署。第十五条 定期安排网络信息安全技术讲座,通过技术讲座切实增强网络技术人员和所有人员的安全意识;针对系统管理员、应用系统管理员、防病毒软件分发管理员、防病毒系统使用管理员等不同层次的使用者进行相关的培训.第十六条 安排专项经费用于网络安全技术防范设备的
31、添置、升级、更新,外聘专业的网络安全服务商对网络安全进行定期巡检和评估。第十七条 网络安全评估与修复由技术服务工程师对网络安全风险进行评估,评估内容主要包括网络实体、平台、数据、通信、系统管理等方面。根据评估结果和建设性意见,对网络进行脆弱性修补,以提高整体的网络安全.第十八条 网络安全信息服务1、漏洞和补丁通报坚持每周一次通过FTP服务器、网络版杀毒软件服务端、电子邮件等方式为内部用户提供最新出现的安全漏洞和安全升级、病毒疫情通告,直接下载或者升级病毒码,保证网络安全体系实时处于先进水平。2、技术行业通报通过追踪和整理世界信息安全技术最新动态、产品和行业情况、安全厂商情况、安全标准与法规等内容,使信息中心及时掌握新的安全技术、政策、法规和行业动态。3、重大疫情的公告针对恶性病毒的特点(发作突然,破坏作用大,蔓延速度快)以及出现的最新系统漏洞,为了最大程度的避免遭受恶性病毒及黑客的突然袭击,在内部进行重大疫情公告的服务。五、附则第十九条 本规定自发布之日起开始实施.附:某省某某某中心网络与信息安全应急处置领导小组成员名单:网络与信息安全应急预案为了切实做好财政系统网络与信息安全突发事件的防范和应急处理工作,提高财政系统预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1