1、27 信息系统应急与灾难响应制度第一条 总体要求是在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。第二条 明确应急预案行动小组及小组人员,指定应急责任人,确定人员职责。第三条 规定应急相应流程:1、对信息安全事件进行通告。2、信息安全事件分类与定级。3、启动应急预案,根据不同类型与不同等级安全事件启动相应应急预案。4、信息系统重建。5,应急响应总结,完善相应应急预案。第四条 建立信息安全事件通告制度,在信息安全事件发生后,应将相关信息及时报给信息中心,信息中心根据事件的严重程度,组织指定小组及时控制信息外漏,按重
2、要程度进行信息控制。第五条 事件分类与定级:1. 事件分类:、有害程序事件,指蓄意制造、传播有害程序,或是因受到有害程序的影响导致信息安全事件。、网络攻击事件,指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷用暴力攻击队信息系统进行攻击。、信息破坏事件,指通过网络或其他手段造成信息被篡改、假冒、泄露、窃取等而导致的信息破坏事件。、信息内容安全事件,指利用信息网络发布、传播危害国家社会稳定和公共利益的内容安全事件。2. 信息安全事件分级:特别重大事件,指会使特别重要信息系统遭受特别严重的系损失,产生特别重大的社会影响。重大事件,回事特别重要信息系统遭受严重损失,产生重大社会影响。较大事
3、件,指能够导致较严重影响的信息安全事件,产生较大社会影响。一般事件,指不满足以上条件的信息安全事件,产生一般的社会影响。第六条 启动应急预案,根据不同类型与不同等级安全事件启动相应应急预案安全事假类型安全事件等级 特别重大事件重大事件较大事件一般事件网站、网页出现非法言论时的处置流程1. 网站、网页由主办部门负责随时密切监视信息内容。2. 发现网上出现非法信息时,计算机信息中心派专人处理,作好必要记录,清除非法信息,确认后,再重新启动网站。3. 服务器责任人妥善保存有关记录及日志。4. 信息安全员通过技术手段追查非法信息来源。5. 向上级领导汇报处理情况。6. 如果非法信息不能自行处理或属严重
4、事件的,应保留记录资料并立即向公安部门报警。黑客攻击的紧急处置流程1. 当发现网页内容被篡改或通过入侵检测系统发现网络正被攻击时,应立即将被攻击的服务器等设备从网络中隔离出来,保护现场并立刻向领导通报情况。2. 进行被攻击、破坏系统的恢复、重建工作。3. 追查非法来源。4. 向上级领导汇报处理情况。5. 如果不能自行处理或属严重事件的,应保留记录资料并立即向公安部门报警。病毒安全紧急处置流程1. 当发现计算机被感染上病毒后,将该机从网络上隔离开来。2. 对该设备的硬盘进行数据备份。3. 启用杀病毒软件对该机器进行杀毒处理工作。4. 如果现行反病毒软件无法清除该病毒,在确认数据完全备份后,征求使
5、用人同意重装系统。软件系统遭破坏性攻击的紧急处置流程1. 重要的软件平时做好备份,并存于异地存储服务器。2. 一旦软件遭到破坏性攻击,应及时采取相应措施减少或降低损害,并立刻向领导报告。3. 网络安全人员检查日志等资料,确定攻击来源。4. 向上级领导汇报处理情况。5. 事态严重,应保留记录资料并立即向公安部门报警。数据库安全紧急处置流程1. 主要数据库系统应做双机热备设置,至少准备两个以上数据库备份,并存于异地。2. 一旦数据库崩溃,应立即启动备用系统,并立刻向领导报告。3. 在备用系统运行的同时,应对主机系统进行修复工作。4. 如果两套系统均崩溃,信息安全小组人员应立即向软硬件提供商请求支援
6、。5. 系统修复启动后,将数据库备份取出,按照要求将其恢复到主机系统中。6. 如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。广域网线路中断紧急处置流程1. 广域网线路中断后,应立即启动线路接续工作,同时向领导报告。2. 迅速判断故障节点,查明故障原因及时恢复网络。3. 如故障节点属电信部门管辖范围,立即与电信维护部门联系,要求修复。局域网中断紧急处置流程1. 配置好备用网络设备,存放在指定的地方。2. 局域网中断后,网络维护人员应立即判断故障节点,查明原因。3. 如属线路故障,应重新安装线路。4. 如属路由器、交换机等网络设备硬件故障,应立即使用备用设备,并调试通畅。5. 如属路由器、
7、交换机配置文件破坏等软件故障,应迅速按照要求重新导入备份配置。6. 向上级领导汇报处理情况。设备安全紧急处置流程1. 小型机、服务器关键设备损坏后,应及时向领导报告。2. 如果能够自行恢复,应立即使用备用部件更换受损部件。3. 如不能自行恢复的,立即与设备提供商联系,请求前来维修。机房灭火流程1. 一旦发生火灾,应遵循下列原则:2. 首先确保人员安全;其次保证关键设备、数据的安全;第三确保一般设备安全。3. 人员疏散程序是:按响火警警报,并通过119电话向消防请求支援,所有不参与灭火的人员按照预先确定的路线撤离。4. 人员灭火程序是:首先切断电源,启动自动灭火系统。5. 向上级领导汇报处理情况。电源中断后的处置流程1. 停电发生后,由UPS供电,密切监察UPS工作状况。2. 当UPS供电不足时,应按预先设定的顺序逐个关掉网络设备和服务器的服务程序和电源,向上级领导汇报处理情况。第七条 对应急响应总结,完善相应应急预案。事后应对安全事件的处理过程予以总结并形成报告,其内容包括:导致事件的原因分析(尽量辨别其属于偶发事件还是必然事件),事件造成的危害和恢复程度,是否存在遗留问题,以及关于应急响应方面的改进建议等。附件:应急响应工作机构附件:联系人员清单附件:信息安全事件报告表附件:信息安全事件应急响应结果报告表