突发信息网络事件应急预案
1 总则 1.1 目的
为提高处理突发信息网络事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减少网络与信息安全突发事件的危害,保护公司利益,特制定本预案。 1.2 适用范围
本预案适用于发生和可能发生的网络与信息安全突发事件。 1.3 工作原则
(1)预防为主。立足安全防护,加强预警,重点保护基础信息网络和重要信息系统,从预防、监控、应急处理、应急保障等环节,采取多种措施,共同构筑网络与信息安全保障体系。
(2)快速反应。在网络与信息安全突发事件发生时,按照快速反应机制,及时获取充分而准确的信息,迅速处置,最大程度地减少危害和影响。
(3)分级负责。按照“谁主管谁负责、谁使用谁负责”以及“条块结合”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强协调与配合,形成合力,共同履行应急处置工作的管理职责。
(4)常备不懈。加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现网络与信息安全突发事件应急处置的科学化、程序化与规范化。
1.4 编制依据
根据《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》制定《突发信息网络事件应急预案》(以下简称预案)。 2 组织机构及职责 2.1 组织机构
成立XXXXXX 突发信息网络事件应急领导小组(以下简称“信息网络事件应急领导小组”)。
组 长:XXXXXX 副组长:XXXXXX
成 员:XXXXXX
2.2 信息网络事件应急领导小组职责
(1)负责编制、修订所辖范围内突发信息网络事件应急预案。
(2)通过本系统局域网络中心及国内外安全网络信息组织交流等手段获取安全预警信息,周期性或即时性地向局域网和用户网络管理部门发布;对异常流量来源进行监控,并妥善处理各种异常情况。
(3)及时组织专业技术人员对所辖范围内突发信息网络事件进行应急处置;负责调查和处置突发信息网络事件,及时上报并按照相关规定作好善后工作。
(4)负责组建信息网络安全应急救援队伍并组织培训和演练。
3 预警及预警机制
突发信息网络事件安全预防措施包括分析安全风险,准备应急处置措施,建立网络和信息系统的监测体系,控制有害信息的传播,预先制定信息安全重大事件的通报机制。 3.1 突发信息网络事故分类
关键设备或系统的故障;自然灾害(水、火、电等)造成的物理破坏;人为失误造成的安全事件;电脑病毒等恶意代码危害;人为的恶意攻击等。
3.2 应急准备
XXXXXX 信息中心和各单位信息系统管理员明确职责和管理范围,根据实际情况,安排应急值班,确保到岗到人,联络畅通,处理及时准确。 3.3 具体措施
(1)建立安全、可靠、稳定运行的机房环境,防火、防盗、防雷电、防水、防静电、防尘;建立备份电源系统;加强所有人员防火、防盗等基本技能培训。
(2)实行实时监视和监测,采用认证方式避免非法接入和虚假路由信息。
(3)重要系统采用可靠、稳定硬件,落实数据备份机制,遵守安全操作规范;安装有效的防病毒软件,及时更新升级扫描引擎;加强对局域网内所有用户和信息系统管理员的安全技术培训。
(4)安装反入侵检测系统,监测恶意攻击、病毒等非法侵入技术的发展,控制有害信息经过网络的传播,建立网关控制、内容过滤等控制手段。 4、系统故障应急流程 4.1 系统故障应急流程说明 4.1.1、故障发生
运维科可从以下途径得知故障的发生:
1)运维服务通过网管告警发现故障 2)通过维护巡检发现故障 3)用户发现故障,报给信息中心 4)运维工程师发现故障 4.1.2、报障受理
运维科得知系统故障发生后,立即响应,并向报障人或单位详细了解系统故障情况。
4.1.3、信息研判
运维科根据了解到的系统故障情况进行分析判断,以确定采用一般故障处理流程还是立即启动系统突发故障应急处理预案。 4.1.4、预案启动
如需启动应急预案,则立刻通知系统突发故障应急领导小组,由领导小组启动应急预案,对系统突发故障应急事件进行全面管控处理。
4.1.5、资源确认
系统突发故障应急预案启动后,首先是根据现场突发故障实际状况、紧急程度、技术难度、备品备件等情况对相关资源(主要是参与人员)依据经验进行调度和确认,主要有以下资源: 我公司技术支持人员;
相关厂家技术支持人员; 相关系统集成商的技术人员
另外,如果现有资源不能满足应急需要的,可同时启动我公司内部的资源应急调度流程。 4.1.6、预案执行
按照既定的预案进行突发故障抢修,如遇到问题及时向突发信息网络事件应急领导小组汇报。 4.1.7、预案终止
预案的终止时间由故障现场技术人员根据现场的实际进展情况,在与用户单位有关部门协调后报系统突发故障应急领导小组决定。 4.1.8、结果上报
预案中止后,相关预案参与人员将整个事件过程中所有收发信息、领导批示、事故调查报告、现场录像、图片等材料及时整理归档,并总结事件处理过程中的经验和教训,修改、完善事件应急预案。然后集中上报至突发信息网络事件应急领导小组。
应急流程管理报告填写指南
编号:(格式为D0405-日期+两位序列号,其中日期按“yyyy+mm+dd”格式,2位序列号根据日期从01起顺序递增,例如D0405-2015031401,表示2015年3月14日第1张应急流程管理报告。)
报告日期: 年 月 日至 年 月 日(统计时间段)
报告人签名: 服务主管签名: 时间: 时间
4.2 系统故障应急处理流程图
4 有关应急预案 4.1 机房漏水应急预案
(1)发生机房漏水时,第一目击者应立即通知信息中心,并及时报告信息网络事件应急领导小组。
(2)若空调系统出现渗漏水,经济信息中心负责人应立即安排停用故障空调,清除机房积水,并及时联系设备供应方处理,同时启动备用空调,必要情况下可临时用电扇对服务器进行降温。
(3)若为墙体或窗户渗漏水,信息中心负责人应立即采取有效措施确保机房安全,同时安排通知综合管理部,及时清除积水,维修墙体或窗户,消除渗漏水隐患。
4.2 设备发生被盗或人为损害事件应急预案
(1)发生设备被盗或人为损害设备情况时,使用者或管理者应立即报告信息网络事件应急领导小组,同时保护好现场。
(2)信息网络事件应急领导小组接报后,通知公安科、信息中心及公安部门,一同核实审定现场情况,清点被盗物资或盘查人为损害情况,做好必要的影像记录和文字记录。
(3)事发单位和当事人应当积极配合公安部门进行调查,并将有关情况向信息网络事件应急领导小组汇报。
(4)信息网络事件应急领导小组安排信息中心、事发单位及时恢复网络正常运行,并对事件进行调查。信息中心和事发单位应在调查结束后一日内书面报告信息网络事件应急领导小组。事态或后果严重的,应向上级单位相关业务部门上报。 4.3 机房长时间停电应急预案
(1)接到长时间停电通知后,信息网络事件应急领导小组应及时通过办公系统 、电话等发布相关信息,部署应对具体措施,要求用户在停电前停止业务、保存数据。
(2)在机房动力发生异常情况时,动力系统通常可自动切换由备用电池提供机房设备的动力,在无法短时间内正常恢复机房动力的情况下,启动机房动力系统应急处理流程,采用应急油机发电,确保公司网络通信网络能够安全、高效和可靠地运行。具体流程见下图:
市电供电/蓄电池充电正
常
消障
当发生长时间停电的动力系统故障时,运维人员在机房现场实时测试记录备用电池的放电情况,电池放电容量超过40%时,如果动力系统还没有恢复正常供电,就用油机发电为机房提供动力。
动力系统恢复后立即对电池进行均充。一天内发生多次停电,放电容量在50%以下,均充转浮充后,浮充时间不少于24小时。一次停电放电容量在50%~80%时,均充转浮充后,浮充时间不少于48小时。 (3)停电时间过长的,信息网络事件应急领导小组应向上级单位相关业务部门上报,并可对数据中心设备进行关闭。
设备关闭顺序如下:
4.5 不良信息和网络病毒事件应急预案
(1)发现不良信息或网络病毒时,运维人员应立即断开网线,终止不良信息或网络病毒传播,并报告信息网络事件应急领导小组和信息中心。
(2)信息中心应根据信息网络事件应急领导小组指令,采取隔离网络等措施,及时杀毒或清除不良信息,并追查不良信息来源。
(3)事态或后果严重的,信息网络事件应急领导小组应向上级单位相关业务部门上报。
(4)处置结束后 , 经济信息中心和事发单位应将事发经过、造成影响、处置结果在调查工作结束后一日内书面报告信息网络事件应急领导小组。 4.6 服务器系统故障应急预案
(1)发生服务器软件系统故障后,信息中心负责人应立即组织启动备份服务器系统,由备份服务器接管业务应用,并及时报告信息网络事件应急领导小组;同时安排相关责任人将故障服务器脱离网络,保存系统状态不变,取出系统镜像备份磁盘,保持原始数据。
(2)信息中心应根据信息网络事件应急领导小组指令,在确认安全的情况下,重新启动故障服务器系统;重启系统成功,则检查数据丢失情况,利用备份数据恢复;若重启失败,立即联系相关厂商,请求技术支援,作好技术处理。
(3)事态或后果严重的,信息网络事件应急领导小组应向上级单位相关业务部门上报。
(4)处置结束后,信息中心应将事发经过、处置结果等在调查工作结束后一日内报告信息网络事件应急领导小组 。
(3)信息中心应及时清理系统,恢复数据、程序,恢复系统和网络正常;情况严重的,信息网络事件应急领导小组应向上级单位相关业务部门上报,并请求支援。
(4)处置结束后,信息中心应将事发经过、处置结果等在调查工作结束后一日内报告信息网络事件应急领导小组。
4.8 核心设备硬件故障应急预案
(1)发生核心设备硬件故障后,信息中心应及时报告信息网络事件应急领导小组,并组织查找、确定故障设备及故障原因,进行先期处置。
(2)若故障设备在短时间内无法修复,信息中心应启动备份设备,保持系统正常运行;将故障设备脱离网络,进行故障排除工作。
(3)信息中心应在故障排除后,在网络空闲时期,替换备用设备;若故障仍然存在,立即联系相关厂商,认真填写设备故障报告单备查。
(4)事态或后果严重的,信息网络事件应急领导小组应向上级单位相关业务部门上报。 4.9 业务数据损坏应急预案
(1)发生业务数据损坏时,信息中心应及时报告信息网络事件应急领导小组,检查、备份业务系统当前数据。
(2)信息中心负责调用备份服务器备份数据,若备份数据损坏,则调用备份设备中历史备份数据,若备份设备数据仍不可用,则调用异地虚拟带库备份数据。
(3)业务数据损坏事件超过2小时后,信息中心应及时报告信息网络事件应急领导小组,及时通知生产部门以手工方式开展业务。
(4)信息中心应待业务数据系统恢复后,检查历史数据和当前数据的差别,由相关系统人员补录数据;重新备份数据,并写出故障分析报告,在调查工作结束后一日内报告信息网络事件应急领导小组。
4.10 雷击事故应急预案
(1)遇雷暴天气或接上级部门雷暴气象预警,信息中心应及时报告信息网络事件应急领导小组,经请示同意后关闭所有服务器,切断电源,暂停内部计算机网络工作,并及时通知各单位关闭一切网络设备及计算机等,并切断电源。
(2)雷暴天气结束后,信息中心报经信息网络事件应急领导小组同意,及时开通服务器,恢复内部计算机网络工作,并通知各单位及时恢复设备正常工作,对设备和数据进行检查。出现故障的,事发单位应将故障情况及时报告信息中心。
(3)因雷击造成损失的,信息中心应会同相关部门进行核实、报损,并在调查工作结束后一日内书面报告信息网络事件应急领导小组。
4.11 消防设备故障应急预案
一旦机房发生火灾,应遵照下列原则:首先确保人员安全;其次保护关键设备、数据安全;三是保护一般设备安全;人员疏散的程序是:机房工作人员立即按响火警警报,并通过119电话向公安消防请求支援,所有人员戴上防毒面具,所有不参与灭火的人员按照预先确定的线路,迅速从机房中撤出;人员灭火的程序是:首先切断所有电源,启动自动气体灭火装置系统或使用灭火器,灭火值班人员戴好防毒面具,从指定位置取出灭火器进行灭火。
4.12 电源设备故障处理
机房目前使用UPS 系统,在紧急情况发生时,应按如下步骤进行关机:
(1)确认所有负载均已安全关机。 (2)关闭UPS 负载电源。
(3)将UPS 的系统启用开关切换到off 的状态。 (4)将DC 电池连接断路器切换到off 的位置。
(5)将所有电池拉出到红色电池断开线以外。 (6)断开PDU 上的断路器。
(7)将PDU 后面总输入断路器切换到断开位置。 (8)将每个上行主电路断路器切换到断开位置。
5 应急处置
发生信息网络突发事件后,相关人员应在5分钟内向信息网络事件应急领导小组报告,信息网络事件应急领导小组组织人员采取有效措施开展先期处置,恢复信息网络正常状态。
发生重大事故(事件),无法迅速消除或恢复系统,影响较大时实施紧急关闭,信息网络事件应急领导小组应立即向上级单位相关业务部门上报。 6 善后处置
应急处置工作结束后,信息网络事件应急领导小组组织有关人员,对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估,根据应急处置中暴露出的管理、协调和技术问题,改进和完善预案,实施针对性演练,总结经验教训,整改存在隐患,组织恢复正常工作秩序。 7 应急保障 7.1 通信保障
信息中心负责收集、建立突发信息网络事件应急处置工作小组内部及其他相关部门的应急联络信息。信息网络事件应急领导小组应在重要部位醒目位置公布报警电话,信息网络事件应急领导小组全体人员保证全天24小时通讯畅通。
7.2 装备保障
信息中心负责建立并保持电力、空调、机房等网络安全运行基本环境,预留一定数量的信息网络硬件和软件设备,指定专人保管和维护。 7.3 数据保障
重要信息系统均建立备份系统,保证重要数据在受到破坏后可紧急恢复。 7.4 队伍保障
建立符合要求的网络与信息安全保障技术支持力量,对网络接入单位的网络与信息安全保障工作人员提供技术支持和培训服务。
8 监督管理
8.1 宣传、教育和培训
将突发信息网络事件的应急管理、工作流程等列为培训内容,增强应急处置能力。加强对突发信息网络事件的技术准备培训,提高技术人员的防范意识及技能。信息网络事件应急领导小组每年至少开展一次全公司范围内的信息网络安全教育,提高信息安全防范意识和能力。 8.2 预案演练
信息网络事件应急领导小组每年不定期安排演练,建立应急预案定期演练制度。通过演练,发现和解决应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力。 8.3 责任与奖惩
信息网络事件应急领导小组不定期组织对各项制度、计划、方案、人员及物资等进行检查,对在突发信息网络事件应急处置中做出突出贡献的集体和个人,提出表彰奖励建议;对玩忽职守,造成不良影响或严重后果的,依法依规提出处理意见,追究其责任。 9 附则 9.1 预案更新
结合信息网络快速发展发展状况,配合相关法律法规的制定、修改和完善,适时修订本预案。
9.2 制定与解释部门
本预案由信息中心制定并负责解释。
9.3 预案实施或生效时间
本预案经XXXXXX 批准后发布实施。
厂家协助服务人员联系方式