网络与应用系统突发事件应急预案

网络与应用系统突发事件应急预案1.事故类型和危害程度分析根据网络与信息安全突发事件的发生过程、性质和机理，网络与信息安全突发公共事件主要分为以下三类：1.1自然灾害：指地震、台风、雷电、火灾、洪水等引起的计算机、网络设备硬件的损坏，导致业务中断、网络瘫痪等情况。1.2事故灾难：指电力中断、网络损坏或是软件、硬件设备故障等引起的网络与信息系统的损坏，导致业务中断、网络瘫痪等情况。1.3人为破坏：指人为破坏光缆网络线路、通信设施，黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息系统的损坏，导致业务中断、网络瘫痪等情况。2.处理网络与应用系统的基本原则2.1预防为主：立足安全防护，加强预警，加强技术储备，规范应急处置措施与操作流程，定期进行各应用系统数据的备份，确保应用系统的正常使用，实现网络与应用系统突发公共事件应急处置的科学化、程序化与规范化。2.2快速反应：在网络与应用系统安全突发事件发生时，按照快速反应机制，及时获取充分而准确的信息，跟踪判断，果断决策，迅速处置，最大程度地减少危害和影响。2.3以人为本：把保障公共利益以及公民合法权益的安全作为首要任务，及时采取措施，最大限度地避免财产遭受损失。2.4分级负责：按照“谁主管谁负责”的原则，建立和完善安全责任制及联动工作机制。根据部门职能，各司其职，加强部门间的协调与配合，形成合力，共同履行应急处置工作的管理职责。3.应急组织机构及职责成立网络及应用系统故障应急领导小组组长：赵有华副组长：韩浩杰、田宇、董新燕成员：张宇、刘轩珲、刘军、易元办公室设在信息技术部，联系电话：或8224163信息技术部负责中心网络及应用系统的畅通与正常使用，接到事故汇报要认真做好记录并汇报组长。4.预防与预警灾害发生时，中心网络与应用系统安全管理负责人报请领导小组批准后可根据灾害的危害程度适当地发布预警，特别是一些在其它地方已经出现，或在安全相关网站发布了预警而中心信息网络还没有出现相应的灾害，除了在技术上进行防范以外，还应当向网络信息用户发布预警，直至灾害警报解除。4.1加强中心各部门计算机、网络设备、网站服务器的检查、数据备份、管理等工作。4.2不要随便浏览陌生和来历不明的网站、电子邮件附件，避免计算机中病毒或木马，影响到其他人计算机及中心网络。4.3安装最新的杀毒软件，能在一定的范围内处理常见的恶意网页代码，还要记得及时对杀毒软件升级,以保证计算机受到持续地保护；4.4安装防火墙,阻止来自网络的病毒、木马、黑客攻击以及间谍软件攻击。4.5及时更新系统漏洞补丁，修复操作系统存在的安全与漏洞。5.信息报告程序5.1物供中心网络与信息突发事件应急预案流程图网络及应用系统突发事件发生通知中心业务协调部中心突发事件应急领导小组进行先期处置同时上报中心领导反馈领导批示中心突发事件应急领导小组按事件发生规模确定处置方案报中心分管领导审批不启动应急预案启动应急预案中心突发事件应急领导小组按预案部署各项处置工作自然灾害事件处置人为或病毒灾害事件处置病毒传播方案实施入侵事件处置信息被篡改事件处置网络故障事件处置事态监控符合添加终止相应恢复正常发布信息解除警戒善后处置总结和调查评估5.2故障报告的内容、通讯方式：1）发生网络或应用系统故障的单位及发生的时间、地点、发生故障的类型。2）汇报部门：信息技术部联系电话：或82241636应急响应一旦灾害发生，网络与信息安全应急处置工作组报请中心突发事件应急领导小组批准后，立即启动应急预案，进入应急预案的处置程序。7应急物资与装备保障灾害应急防治是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作，是有组织的科学与社会行为，而不是随着每次灾害的发生而开始和结束的活动。因此，必须做好应急保障工作。7.1人员保障重视网络信息管理队伍的建设与保障，确保在灾害发生前的人员值班，灾害处置过程和灾后重建中的人员在岗与战斗力。7.2技术保障重视网络信息技术的建设和升级换代，在灾害发生前确保网络及应用系统的强劲与安全，灾害处置过程中和灾后重建中的相关技术支撑。7.3物资设备保障网络与应用系统安全应急处置工作组，报请中心领导小组批准后，根据中心的实际需要，适当购入一些网络与信息安全保障设备。7.4培训与学习加强全中心网络信息用户的知识的培训与学习，有针对性地开展培训工作，增强用户的安全防范意识和数据自救互救能力。网络及应用系统现场处置方案1事故特征1.1网络及应用系统无确定性、突发性、传播速度快的特点。1.2导致中心系统不能正常使用，办理业务延迟。2应急组织与职责同上预案内容3应急处置3.1处置措施和处置程序3.1.1处置措施分灾害发生前与灾害发生后两种情况。3.1.2灾害发生前，网络与信息安全管理人员要预先对灾害预警预报体系进行建设，开展灾害调查，编制灾害防治规划，建设专业监测平台，及时处理灾害信息。加强灾害险情巡查：信息技术部要充分发挥专业监测的作用，进行定期和不定期的检查，加强对重点部位的监测和防范，发现有不良险情时，要及时处理并向中心突发事件应急领导小组办公室报告。建立健全灾情速报制度，保障突发性灾害紧急信息报送渠道畅通。3.1.3灾害发生后，应报请中心突发事件应急领导小组批准，立即启动应急预案，采取应急处置程序，及时向中心突发事件应急领导小组报告处置工作进展情况，直至处置工作结束。3.2处置程序3.2.1发现情况网络与应用系统安全应急处置工作组及信息技术部要严格执行值班制度，做好中心应用系统的日常检查工作，确保最先发现灾害。3.2.2预案启动一旦灾害发生，网络与信息安全应急处置工作组报请中心突发事件应急领导小组批准后，立即启动应急预案，进入应急预案的处置程序。3.2.3应急处置方法在灾害发生时，首先应区分灾害发生是否为自然灾害与人为破坏两种情况，根据这两种情况把应急处置方法分为两个流程。流程一：当发生的灾害为自然灾害时，应根据当时的实际情况，在保障人身安全的前提下，首先保障数据的安全，然后是设备安全。具体方法包括：硬盘的拔出与保存，设备的断电与拆卸、搬迁等。流程二：当人为或病毒破坏的灾害发生时，具体按以下顺序进行：判断破坏的来源与性质，断开影响安全与稳定的信息网络设备，断开与破坏来源的网络物理连接，跟踪并锁定破坏来源的IP或其它网络用户信息，修复被破坏的数据信息，恢复信息系统。按照灾害发生的性质分别采用以下处置方案：a．病毒传播：针对这种现象，立即切断感染病毒计算机与网络的联接，判断病毒的性质、采用的端口，然后联系信息中心关闭该设备连接的相应端口，启用防病毒软件对该计算机进行杀毒处理，同时通过防病毒软件对其他计算机进行病毒扫描和清除工作，并在网上公布病毒攻击信息以及防御处理方法。b．黑客入侵：对于网络入侵，首先要判断入侵的来源，区分外网与内网。入侵来自外网的，定位入侵的IP地址，及时关闭入侵的端口，限制入侵该IP地址的访问，在无法制止的情况下可以采用断开网络连接的方法，如无法自行解决可请求信息中心网络技术人员的技术支持。入侵来自内网的，查清入侵来源，如IP地址、账号等信息，同时断开对应的交换机端口，然后针对系统漏洞安装相应补丁或软件。c．网页信息及数据被篡改：这种情况，要求一经发现马上断开相应的设备上网物理链接，并尽快进行数据恢复，查找信息被篡改漏洞并安装相应补丁或软件。本单位对外服务网站一旦发现网页被非法篡改，应执行以下应急处理流程：1）发现网站网页出现非法信息时，网站负责人员应立即向本部门负责人通报情况，并立即向信息中心报告。情况紧急的，应先及时采取断网等处理措施，再按程序报告；2）本单位负责人应在接到通知后立即赶到现场，做好必要记录，妥善保存有关记录及日志或审计记录；3）信息中心接到报告后赶到现场，追查非法信息来源。信息技术部做好各种相关的配合工作，必要时协调相关部门或公司来协助解决；d．网络故障：发现光缆中断或交换机故障导致网络中断，及时联系信息中心网络科修复中断光缆或更换受损设备，交换机以下网络故障可根据相应的网络故障排除流程尽快给予解决。e．机房火灾：1）一旦机房发生火灾，应遵照下列原则：首先保人员安全；其次保关键设备、数据安全；三是保一般设备安全；2）人员疏散程序：值班人员立即拨打119或当地消防电话，迅速从机房撤出。3）人员灭火程序：首先切断所有电源，取出泡沫灭火器进行灭火。f．其它没有列出的不确定因素造成的灾害，可根据总的安全原则，结合具体的情况，做出相应的处理。处理不了的咨询相关专业人员迅速解决。3.2.4预案终止经鉴定，灾害险情或灾情已经消除，或者得到有效控制后，由中心网络与应用系统安全应急处置工作组宣布险情或灾情应急期结束，并予以公告，同时预案终止。3.2.5情况报告灾害发生时，中心网络与应用系统安全应急处置工作组一方面按照应急处置方法进行处置，同时需要判定灾害的级别，首先向中心突发事件应急领导小组汇报。中心突发事件应急领导小组再根据灾害情况确定是否向公安部门汇报。情况报告内容包括：灾害发生的时间、地点，灾害的级别，灾害造成的后果，应急处置的过程、结果，灾害结束的时间，以后如何防范类似灾害发生的建议与方案等。4注意事项4.1将所有计算机的网络名称设置为使用者的姓名。4.2将计算机系统安装的杀毒软件升级到最新版本，并全盘杀毒，修复计算机操作系统的漏洞4.3避免U盘复制文件导致病毒或木马的传播。