目 录
一、编制依据
二、组织领导
三、工作基本原则
四、应急事件处理措施
1.故障分类
2、应急策略
3.应急处理方案
3.1黑客攻击的紧急处置流程
3.2病毒防治应急处置流程
3.3、软件系统遭破坏性攻击的应急处置流程
3.4、数据库安全应急处置流程
3.5网络外部通信中断应急处置流程
3.6网络内部通信中断应急处置流程
3.7、设备安全应急处置流程
3.8、机房突发停电应急处置流程
3.9、机房火灾应急处置流程
3.10、机房渗漏水应急处置流程
为提高中心应对网络安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保中心信息系统的实体安全、运行安全和数据安全,切实提高预防和处置突发事件的能力,根据相关法规、规定,结合我中心工作实际情况,特制定本预案。
一、编制依据
《中华人民共和国电信条例》、《国家通信保障应急预案》 《中华人民共和国计算机信息系全保护条例》、《计算机病毒防治管理办法》、《非经营型互联网信息服务备案管理办法》 《互联网IP地址资源备案管理办法》和《中国互联网域名管理办法》等有关法规和规章制度
二、组织领导
1、应急领导小组
组 长:中心主任
副组长:分管副主任
成 员:技术保障部全体工作人员
2、应急职能职责:
领导小组负责预防和处理网络安全工作,确保网络安全稳定,具体负责网络安全的协调、调度、检查、考核等工作。
三、工作基本原则
1、积极防御、综合防范。
立足安全防护,加强预警,重点保护重要信息网络和关系社会稳定的重要信息系统;从预防、监控、应急处理、应急保障和打击不法行为等环节,在管理、技术、宣传等方面,采取多种措施,充分发挥各方面的作用,构筑网络与信息安全保障体系。
2、明确责任,分级负责
明确责任、分级负责。按照“谁主管、谁负责”的原则,加强网络安全管理,认真落实各项安全管理制度和措施。加强计算机信息网络安全的宣传和教育,进一步提高工作人员的信息安全意识。
3、科学决策、快速反应
规范应急处置措施和操作流程,网络安全事件发生时,要快速反应,及时获取准确信息,密切跟踪,及时报告,果断决策,迅速处理,最大限度地减少危害和消极影响。
4、先主后次,先急后缓
应急处置中,要坚持先主后次、先急后缓原则,先人员、后物品;先主要物品、后次要物品。
四、应急事件处理措施
1.故障分类
(1)自然灾害是指地震、台风、雷电、火灾、洪水等
(2)事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等
(3)人为破坏是指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖主义活动等事件。
2、应急策略
(1) 值班人员平时应做好网络安全应急事件的监控工作,对于网络安全应突发事件应认真分析、准确判定故障发生的原因,迅速做出处理故障计划直至其结束。
(2) 正常情况下,要求值班人员在10分钟内进行网络安全事件确认。如果属于一般事件则按照事件流程进行分派处理,否则应严格按照《应急预案实施流程》所规定的步骤快速实施应急处置,及时报告上级领导,掌握实时处理情况。
(3) 在处理过程中,如有自身无法解决需增援处理的情况下,应及时向上级领导汇报,协调沟通,尽快联系增援力量赶至现场处理。
3.应急处理方案
3.1黑客攻击的紧急处置流程
(1) 当有关负责人员发现网页内容被篡改,或通过防火墙、入侵检测系统发现有黑客正在进行攻击时,应立即向应急处值班人员通报情况。
(2) 急处值班人员应在十分钟内进行处理,首先应立即通知电子政务云中心工作人员,协助其将被攻击的服务器等设备从网络中隔离出来,保护好现场,同时报告上级领导。
(3) 急处值班人员负责恢复被破坏的系统,修补漏洞、强化安全措施,在向主要领导请示并经其许可后方可将被攻击的服务器设备重新接入网络。
(4) 急处值班人员追查非法信息来源。
(5) 如认为情况严重,则立即向公安部门汇报。
(6) 总结经验教训,采取有效的防范措施其余服务器受到类似攻击。
3.2病毒防治应急处置流程
(1) 当发现有计算机被感染上病毒后,操作人员应立即向应急值班人员报告,并将该机从网络上隔离开来。
(2) 应急值班人员在接到通报后立即赶到现场。
(3) 对该设备的硬盘进行数据备份。
(4) 启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
(5) 如果现行反病毒软件无法清除该病毒,应立即向上级领导报告,并迅速联系相关供应商研究解决。
(6) 总结经验教训,对类似病毒采取有效的防范措施。
3.3、软件系统遭破坏性攻击的应急处置流程
(1)重要的软件系统平时必须存有备份,与软件系统相对应的数据必须按本单位容灾备份规定的间隔按时进行备份,并将它们保存于安全处
(2)一旦软件遭到破坏性攻击,应立即向网络安全应急负责人报告,并将该系统停止运行
(3)检查信息系统的日志等资料,确定攻击来源,并将有关情况向领导汇报,再恢复软件系统和数据。
(4)网络安全应急小组组长召开小组会议,如认为事态严重,则立即向主管部门和公安部门报警。
3.4、数据库安全应急处置流程
(1)在有条件的地区,主要数据库系统应按双机热备设置,并至少要准备两个以上数据库备份,平时一个备份放在机房,另一个备份放在另一安全的建筑物中。
(2)一旦数据库崩溃,值班人员应立即启动备用系统,并向网络安全应急负责人报告
(3)在备用系统运行期间;信息安全工作人员应对主机系统进行维修并作数据恢复
(4)如果两套系统均崩溃而无法恢复,应立即向有关厂商请求紧急支援
3.5网络外部通信中断应急处置流程
(1) 网络外部通信中断后,应迅速判断故障节点,查明故障原因后应立即向上级领导报告。
(2) 如属中心管辖范围,由应急值班人员立即予以恢复。如属电信部门管辖范围,立即与电信维护部门联系要求修复。
(3) 总结经验教训,采取有效的防范措施。
3.6网络内部通信中断应急处置流程
(1) 技术股平时应准备好备用设备存放在指定的位置。
(2) 网络内部通信中断后,应急值班人员应立即判断故节点,查明故障原因,并向上级领导汇报。
(3) 如属线路故障,应重新安装、调通线路。
(4) 如属路由器、交换机等网络设备故障,应立即采用备用设备替换,并调试通畅。
(5) 如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试通畅。
3.7、设备安全应急处置流程
(1)服务器等关键设备损坏后,值班人员应立即向网络安全应急负责人报告
(2)网络安全应急相关负责人员立即查明原因
(3)如果能够自行恢复,应立即用备件替换受损部件
(4)如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修
(5)如果设备—时不能修复,应向本单位领导汇报
3.8、机房突发停电应急处置流程
收到机房动环监控系统市电故障报警短信后,应急值班人员立即到达现场,确认机房停电原因。
(1) 如果是城管局配电室供电总闸跳闸导致的机房供电故障,电话通知城管局后勤部门安排相关人员解决供电故障,并同时将现场情况报告当日值班领导。
(2) 如果确认是本区域内市电供电故障,立即拨打电力服务热线电话(95598)咨询电力可能恢复的时间,并同时将现场情况报告上级领导。
(3) 如果确认停电的时间在1个小时内,采用UPS正常供电,直到市电供电恢复。临时采用电风扇对设备进行降温,同时注意监控密切机房内的环境温度。
(4) 如果不能确认在2个小时内恢复供电,应及时通知,要求平台工作人员在停电前停止办公、保存数据并正常关机。在UPS供电达1.5个小时后,严格按操作手册关停各应用服务器的电源,最后关停核心交换机和路由器的电源。
(5) 将电源柜总控空开和分项空开的状态处于断开状态。
(6) 电力恢复供电后,先不要急于给设备加电,等待半小时后再开始给设备加电,以防止供电不稳或再次掉电。
(7) 供电正常后,确定设备处于下电状态后,打开电力柜的总控空开。
(8) 根据设备加电顺序,启动分项空开。
(10)设备加电顺序,网络设备正常后再启动服务器。
3.9、机房火灾应急处置流程
(1)上班工作时间发生火警,还在机房工作的人员应及时紧急撤离,并立刻拨打119报警并立刻通知网络安全应急相关负责人和相关部门领导。在确保自身安全的情况下,应尽量使用灭火器进行灭火,减少电子设备的损坏。同时采取关闭电源总闸等措施,尽是减少可能造成的损失和破坏
(2)非工作时间或节假日休息时间值班人员发现火情后,要立刻拨打119报警,并立刻通知网络安全应急相关负责人和相关部门领导,做好火灾的处置工作
(3)火情结束之后,机房相关人员应全体赶赴现场,并向相关部门汇报。同时立即联系电信、联通、移动等相关网络公司和设备相关厂家,及时评估事故损失情况,研讨恢复网络系统正常运行的最佳解决方案。
3.10、机房渗漏水应急处置流程
接到工作人员现场检查的报告或机房动环监控系统漏水报警短信后,应急值班人员立即前往现场勘查确认渗漏水状况及原因。
(1) 立即将机房内的设备关停,将电源柜总控空开和分项空开的状态处于断开状态。
(2) 立即组织人员对渗漏水故障进行处理,同时将现场情况报告上级领导。
如果是空调系统出现漏水,应立即停止故障空调,擦干周围地面的水渍,并及时联系设备供应商进行空调维修;同时使用鼓风机、烘干机等加速机房空气和地面防火海棉的水分蒸发。
如果是从墙脚和天花板渗水进入机房,应立即找到渗水点进行堵漏,同时擦干地面和墙面的水渍,使用鼓风机、烘干机等加速机房空气和地面防火海棉的水分蒸发。
(3) 当机房的积水清理干净后,检测机房设备和强电供电系统是否达到供电运行的安全标准。
(4) 打开配电柜的总控空开,根据设备加电顺序,依次启动分项空开,先启动网络设备后再启动服务器。
岳阳市智慧城管指挥中心
2023年2月6日