1、网络与信息安全应急预案1 编制目的建立健全的公司网络与信息安全事件的预防和应急处理工作机制,提高对网络与信息安全突发性危害事件的防范和应急处理能力,形成科学、有效、快速反应的应急响应机制最大限度地减少网络与信息安全突发事件对我公司造成的影响,保障各景区宾馆酒店的网络与业务信息系统的正常运行和数据安全。2 组织机构一网管部,负责为公司的网络与信息安全突发事件的监测、预警和应急处理工作提供技术支持,并参与重要信息的判研、事件调查和总结评估工作。二组建公司网络与信息安全事件处理小组,并与相关信息安全服务机构建立联络机制,为应急处理工作提供决策建议和技术指导,必要时参与网络与信息安全事件的应急处理。3
2、 预警预防机制一 事件分类根据网络与信息安全突发事件的性质、机理和发生过程,公司网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。二 监控与预警信息报送产品开发中心网管部承担网络与信息安全监测工作。各部门发现网络与信息安全预警信息,应及时通知网管部。网管部根据事件情况进行处判,提出预警等级建议,遇到有可能造成严重后果的信息安全预警事件,还应按相关规定提报领导审查后发出预警。三预警响应网管部技术人员应保持 24 小时通信通畅。接到预警信息后,应立即启动应急预案,进入预警状态,加强值班值守工作,做好应急处理各项准备工作。四预警解除预警解除
3、后根据相关部门要求,经向领导请示同意以后,及时进行解除安全事件预警。4 应急措施一 信息报告发生网络与信息安全事件后,网管部技术人员立即报告部门负责人,并通知相关业务部门。网管部和有关单位进行研判后,保存证据,检查影响范围和危害程度,提出应急处理建议,报分管领导同意后启动应急预案。遇到有可能造成严重后果的信息安全事件,还应按相关规定及时上报上级相关部门。二 先期处理当发生网络与信息安全突发事件时,相关工作人员做好先期应急处理工作,采取措施控制事态,必要时采用断网、关闭服务器等方式防止事态进一步扩大。根据突发事件发展事态,网管部应组织设备厂商、系统开发商及安全服务商等应急支援力量,保存证据,做好
4、应急处理工作。三应急处理1.网络中断紧急处理流程1)故障排查。网络中断后,网管部技术人员要迅速判断故障节点,查明故障原因。2)故障排除。1.如属线路故障,应重新安装线路。2.如属路由器、交换机等网络设备故障,网管部技术人员立即检修并调试通畅。如路由器、交换机配置文件破坏,信息安全员应迅速按照要求重新配置,调试通畅。必要时,请有关技术单位协助调测畅通。3. 如需更换设备,应上报分管领导,经批准后马上更换故障设备,尽快回复系统运行。4.如发现属于外部线路的问题,应与线路运营商联系,督促尽快恢复故障线路。5.网管部无法及时处理时,应立即通知相关供应商及维护人员,在最短时间内安排修理。2.黑客攻击的应
5、急处理流程1)当发现网络上有黑客攻击行为时,应立即向信息安全员通报情况,并向分管领导报告。2)信息安全员应立即赶到现场,将被攻击的服务器等设备从网络中隔离出来,保护现场。3)如事态较为严重,经向分管领导请示后,立即向公安部门报警,配合公安部门展开调查。4)网管部技术人员做好被攻击或破坏系统的恢复与重建工作。5)网管部负责组织技术力量追查非法信息来源。6)信息安全员将实施时间处理的过程和记过备案存档,必要时向分管领导汇报。3.大规模病毒(含恶意软件)攻击的应急处理1)当发现有计算机被感染上病毒后,计算机使用人员应立即使用杀毒软件对计算机杀毒,并通知网管部。网管部技术人员应及时将该机从网络上隔离开
6、来,并及时赶到现场。2)技术人员对该设备的硬盘进行数据备份。3)技术人员启用发病毒软件对该机进行杀毒处理,并对相关机器进行病毒扫描和消除工作。4)如发现反病毒软件无法清除该病毒,应向网管部领导汇报,由网管部组织相关技术人员研究解决。5)情况较为严重的,还应及时向有关分管领导报告,并向公安部门报警,配合公安部门展开调查。4.软件系统故障的应急处理流程1)软件系统平时必须存有备份,与软件系统相对应的数据必须有多日的备份,并将它们保存与安全处,重要的系统如售检票系统须有双机热备。2)软件系统发生故障后,技术人员应立即向部门负责人或总经理室汇报,经确认后停止该系统的运行并切换至备份系统,保证业务正常进
7、行。3)网管部及时组织本部门技术人员,并同时通知研发人员等技术力量做好软件系统和有关数据的恢复工作。4)信息安全员检查日志等资料,确定故障原因。5)网管部会同技术中心相关人员将实施处理的过程和结果备案存档,并向有关领导汇报5.数据库系统故障的应急处理流程1)数据库系统每日必须保存备份,与软件系统相对应的数据必须有多日的备份,并将它们保存于安全处。2)数据库系统发生故障以后,技术人员立即向部门负责人或总经理室汇报,经同意后采用重启或其他手段尽快恢复数据库运行,保证业务不中断。3)网管部及时组织本地技术人员,并同时通知研发人员等技术力量做好数据库系统切换和有关数据的恢复工作。4)信息安全员检查日志
8、等资料,确定故障原因。5)网管部会同技术中心相关人员将实施处理的过程和结果备案存档,并向有关领导汇报。6.设备硬件故障的应急处理流程1)小型机、服务器等关键设备损坏后,技术人员应立即向网管部负责人报告。2)网管部负责人立即组织技术人员查明原因,联系维保单位更换受损不见。3)如果设备一时不能修复,应向分管领导汇报,并告知各部门暂缓上传上报数据。4)建立第二机房,实现数据异地存储及灾备快速恢复,保障系统服务能够正常运行,保证公司业务不中断。四后期处理1.善后处理应急处理工作结束后,网管部应迅速采取措施,抓紧组织抢修受损的基础设施,减少损失,尽快恢复正常工作,统计各种数据,查明原因,对时间造成的损失
9、和影响以及恢复重建能力进行评估,真正制定恢复重建计划,迅速组织实施。2.调查和评估应急处理工作结束后,网管部立即组织有关人员成立时间调查小组,对时间发生及其处理过程进行全面的调查,查清时间发生的原因及财产损失状况并总结经验教训,写出调查评估报告。五应急培训和演练1.培训 应该对系统相关的人员进行培训使他们指导如何以及何时使用应急计划中的控制手段及恢复策略,对应急计划的培训至少每年举办一次,拥有计划制定职责的新雇员应该在被雇佣后接受短期培训。和应急计划相关的人员所接受的培训最终应该使得他们能够无需实际文档的协助就能够执行相应的恢复规程。2演练为保证应急性的能力,应每年至少组织一次应急行动演练,以
10、提高处理应急事件的能力,检验物资器材的完好情况,应急响应演练按如下步骤进行:1. 首先,由系统主管单位确定应急响应演练的目标和应急响应演练的范围。2.按系统主管单位的要求,信息安全管理小组制定应急响应演练的方案,并调配应急响应演练所需的各项资源,在必要时,由系统主管单位协调应急响应演练过程中涉及的部门和单位。3 信息安全管理小组组织相关部门和单位进行应急响应演练。4 系统主管单位对应急演练进行评估,并通报应急响应演练结果。5 系统主管单位总结经验,根据演练结果对应急预案的更新,并对本单位的应急工作进行整改。在每次应急响应过程结束之后,信息安全管理小组应针对应急响应工作过程中遇到的问题,分析应急响应预案的科学性和合理性,针对员中的问题向系统主管单位提出修改建议。系统主管单位组织人员对修改意见进行评估,修改后的员应经评估通过后,发布实施。
