时间:2023-03-04 08:56:17
1.总则
1.1编制目的…………………………………………3
1.2工作原则…………………………………………3
1.3制定依据…………………………………………4
1.4现状及其成因……………………………………4
1.5适用范围…………………………………………5
2.组织机构及职责
2.1应急指挥机构……………………………………5
2.2县信息安全专项应急委各成员单位的职责……7
2.3现场应急处理工作组……………………………7
2.4应急指挥机构…………………………………8
3预警和预防机制
3.1信息监测及报告…………………………………8
3.2预警.……………………………………………9
3.3预警支持系统……………………………………9
3.4预防机制…………………………………………9
4应急处理程序
4.1级别的确定………………………………………10
4.2预案启动…………………………………………11
4.3现场应急处理……………………………………11
4.4报告和总结………………………………………12
4.5应急行动结束……………………………………13
5保障措施
5.1技术支撑保障……………………………………13
5.2应急队伍保障……………………………………13
5.3物质条件保障……………………………………13
5.4技术储备保障……………………………………14
6宣传、培训和演习
6.1公众信息交流……………………………………14
6.2人员培训…………………………………………14
6.3应急演习…………………………………………14
7监督检查与奖惩
7.1预案执行监督……………………………………14
7.2奖惩与责任………………………………………15
8附则………………………………………………16
附件一:__县网络与信息安全应急处理组织机构…19
附件二:重大信息安全事件报告……………………20
附件三:重大信息安全事件处理结果报告…………21
附件四:单位自行应急处理指南………………………22
1、总则
1.1编制目的
为科学应对网络与信息安全(以下简称信息安全)突发事件,建立健全信息安全应急响应机制,有效预防、及时控制和最大限度的消除信息安全各类突发事件的危害和影响,制定本应急预案。
1.2工作原则
__县网络与信息安全突发事件应急工作,由__县网络与信息安全专项应急委员会统一领导和协调,督促相关部门遵照“统一领导、归口负责、综合协调、各负其职”的原则协同配合、具体实施,完善应急工作体系和机制。
各乡镇人民政府办公室、县直各部门和有关单位,按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求,依法对信息安全突发事件进行防范、监测、预警、报告、响应、指挥和协调、控制。按照“谁主管、谁负责,谁运营、谁负责”的原则,实行责任制和责任追究制。
我县要充分利用现有信息安全应急支援服务设施,整合我县所属信息安全工作力量,充分依靠省市各有关部门在地方的信息安全工作力量,进一步完善应急响应服务体系。
大力宣传信息安全防范知识,贯彻预防为主的思想,树立常备不懈的观念,经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备,加强对信息安全隐患的日常监测,发现和防范重大信息安全突发性事件,及时采取有效的可控措施,迅速控制事件影响范围,力争将损失降到最低程度。
1.3制定依据
《中华人民共和国计算机信息系统安全保护条例》;《中共中央办公厅、国务院办公厅转发〈国家信息化领导小组关于加强网络与信息安全保障工作的意见〉的通知》;《陕西省人民政府办公厅关于认真做好突发公共事件应急预案制定工作的通知》;《延安市人民政府有关部门和单位制定突发事件专项应急预案框架指南》。
1.4现状及其成因
当我们正在享受信息化所带来巨大利益的同时,也面临着信息安全问题的严峻考验。信息安全问题已覆盖了各个领域。特别是信息与网络犯罪有快速蔓延之势。反动组织和境内外敌对势力利用因特网从事各种违法犯罪活动,严重影响着社会稳定、经济发展和政权巩固。近年来,随着我国信息化进程的迅速发展,网络安全也需不断加强。信息安全保障基础工作和技术保障措施相对薄弱,与信息化快速发展的要求和日趋严峻的信息安全形势很不协调。
信息安全突发事件成因可分为两个方面:一是网络与信息系统自身的脆弱性,主要表现在:安全漏洞的普遍性存在,攻击和恶意代码的流行性,入侵检测能力的局限性和准确性,网络和系统管理的复杂性。二是网络与信息系统外部体制性的不安全性,主要表现在:信息安全法制不健全,全社会的信息安全意识淡薄,我县信息安全自主可控能力不强,技术防御整体水平不高,信息安全专业人才相对缺乏,专业队伍建设严重滞后。
1.5适用范围
本预案适用我县网络与信息安全应急处理工作。
基础通信网络的应急处理按照信息产业部有关规定实施,__县人民政府积极支持和配合。
2、组织机构及职责
2.1应急指挥机构
2.1.1__县网络与信息安全突发事件专项应急委员会
在__县应急委员会的统一领导下,设立县网络与信息安全突发事件专项应急委员会(以下简称县信息安全专项应急委),为__县人民政府处理信息安全突发事件应急工作的综合性议事、协调机构。主要职责是:按照国家、县信息安全应急机构的要求开展处置工作;研究决定全县信息安全应急工作的有关重大问题;决定信息安全突发事件应急预案的启动,组织力量对突发事件进行处置。
县信息安全专项应急委,由__县人民政府办公室主任担任主任职务,__县信息办主任担任副主任职务,成员由__县人民政府信息网络中心、县
公安局、县电视台、县财政局、县电信局及其他有关单位负责人组成。
县信息安全专项应急委下设办公室,设在__县人民政府办公室信息网络中心。由县信息化管理办公室主任任主任,承担县信息安全专项应急委的日常工作,负责全县信息安全突发事件日常监测与预警。其主要职责是:
督促落实__县应急委和__县信息安全专项应急委作出的决定和采取的措施;
拟订或者组织拟订县人民政府应对信息安全突发事件的工作规划和应急预案,报县人民政府批准后组织实施;
督促检查县直有关部门和乡镇信息安全专项应急预案的制订、修订和执行情况;
汇总有关信息安全突发事件的各种重要信息,进行综合分析,并提出建议;
监督检查县直有关部门和乡镇信息安全专项应急委的信息安全突发事件预防、应急准备、应急处置和事后恢复与重建工作;
组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划,报县人民政府批准后督促落实;
县应急委和县信息安全专项应急委交办的其他工作。
2.1.2__县信息安全应急指挥部
在发生重大信息安全突发事件时,县信息安全专项应急委可以决定启动县信息安全应急指挥部,由分管信息化工作的副县长任总指挥,__县信息管理办公室主任担任副总指挥,统一指挥重大信息安全突发事件的处置工作。其主要职责是:组织组判定突发事件级别,根据情况提出加强或撤销控制措施的建议和意见;组织召开部门协调会议,协调县直各部门、各乡镇人民政府、企事业单位共同做好突发事件处置工作;检查督导突发事件应急措施的落实情况;及时收集、上报和通报突发事件有关情况,负责向县人民政府报告有关工作情况。
2.2__县信息安全专项应急委各成员单位的职责
县信息办:统筹规划建设应急处理技术平台,会同县公安局、县电信局等有关部门组织制定全县突发事件应急处理政策文件及技术方案。负责向县人民政府报告有关工作情况。
县公安局:严密监控境内互联网有害信息传播情况,制止互联网上发生对社会热点和敏感问题的恶意炒作,监测政府网站、新闻网站、门户网站的重大活动及运行安全。对发生重大计算机病毒疫情和大规模网络攻击事件进行预防和处置。依法查处网上散布谣言、制造恐慌、扰乱社会秩序、恶意攻击党和政府的有害信息。打击攻击、破坏网络安全运行等违法犯罪行为。
县财政局:制定经费保障相关政策及方案;保证应急处理体系建设和突发事件应急处理所需经费。
县电信局:提供可靠的网络软硬设施,协同公安系统,严厉打击破坏通信设施的犯罪分子,保证网络线路信息畅通。
2.3现场应急处理工作组
现场应急处理工作组,在出现安全事件后,对计算机系统和网络安全事件的处理提供技术支持和指导,遵循正确的流程,采取正确快速的行动作出响应,提出事件统计分析报告。
现场应急处理工作组由以下各方面的人员组成:
管理方面包含应急指挥部办公室主任或副主任,以及相关成员单位领导及部门负责人。主要确保安全策略的制定与执行;识别网络与信息系统正常运行的主要威胁;在出现问题时决定所采取行动的先后顺序;做出关键的决定;批准例外的特殊情况等。
技术方面县信息安全有关技术支撑机构技术人员。主要负责从技术方面处理发生问题的系统;检测入侵事件,并采取技术手段来降低损失。2.4应急指挥机构
信息安全事件应急组织体系详见附件(一)
3、预警和预防机制
3.1信息监测及报告
3.1.1
__县公安局、县通信、县信息办等部门应加强信息安全监测、分析和预警工作,进一步提高信息安全监察执法能力,加大对计算机犯罪的打击力度。
3.1.2建立信息安全事故报告制度,设立信息安全情况通报中心。
3.1.2.1发生信息安全突发事件的单位应当在事件发生后,应当立即向县信息安全专项应急委办公室报告。县直单位直接向县信息安全专项应急委办公室报告。
3.1.2.2发生信息安全突发事件的单位应当立即对发生的事件进行调查核实、保存相关证据,并在事件被发现或应当被发现时起及时将有关材料报至县信息安全专项应急委办公室。
3.2预警
__县信息安全专项应急委办公室接到信息安全突发事件报告后,应当经初步核实后,将有关情况及时向办公室主任报告,进一步进行情况综合,研究分析可能造成损害的程度,提出初步行动对策。并及时报县应急委办公室。办公室主任视情况召集协调会,决策行动方案。
3.3预警支持系统
__县信息安全专项应急委办公室应建立和完善信息监测、传递网络和指挥决策支持系统,要保证资源共享、运转正常、指挥有力。
3.4预防机制
积极推行信息安全等级保护,逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定并不断完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件,各相关部门建立制度化、程序化的处理流程。
4、应急处理程序
4.1级别的确定
信息安全事件分级的参考要素包括信息密级、公众影响和资产损失等四项。各参考要素分别说明如下:
(1)信息密级是衡量因信息失窃或泄密所造成的信息安全事件中所涉及信息的重要程度的要素;
(2)公众影响是衡量信息安全事件所造成
的负面影响范围和程度的要素;
(3)业务影响是衡量信息安全事件对事发单位正常业务开展所造成的负面影响程度的要素;
(4)资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。
信息安全突发事件级别分为四级:一般(IV级)、较大(III级)、重大(II级)和特别重大(I级)。
IV级:县市区辖区内较大范围出现并可能造成较大损害的其他信息安全事件。
Ⅲ级:市直属重要部门网络与信息系统、重点网站或者关架到本地区社会事务或经济运行的其他网络与信息系统受到大面积严重冲击。
II级:市直重要部门或局部地区基础网络、重要信息系统、重点网站瘫痪,导致业务中断,但纵向或横向延伸可能造成严重社会影响或较大经济损失。
I级:敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动,或者市直单位多地点或多地区基础网络、重要信息系统、重点网站瘫痪,导致业务中断,可能造成严重社会影响或巨大经济损失的信息安全事件。
4.2预案启动
发生IV级网络信息安全事件后,县人民政府启动相应预案,并负责应急处理工作;发生III级网络信息安全事件后,县区人民政府启动相应预案,并由县信息安全应急指挥部负责应急处理工作;发生I、II级的信息安全突发事件后,上报市人民政府启动相应预案,并由市信息安全应急指挥部负责应急处理工作。县信息安全应急指挥部办公室接到报告后,应当立即上报县信息安全应急指挥部的领导,并会同相关成员单位尽快组织专家组对突发事件性质、级别及启动预案的时机进行评估,向县应急委提出启动预案的建议,报县人民政府批准。在县人民政府作出启动预案决定后,县信息安全应急指挥部立即启动应急处理工作。
4.3现场应急处理
事件发生单位和现场应急处理工作组尽最大可能收集事件相关信息,分别事件类别,确定来源,保护证据,以便缩短应急响应时间。检查威胁造成的结果,评估事件带来的影响和损害:如检查系统、服务、数据的完整性、保密性或可用性,检查攻击者是否侵入了系统,以后是否能再次随意进入,损失的程度,确定暴露出的主要危险等。
抑制事件的影响进一步扩大,限制潜在的损失与破坏。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路,提高系统或网络行为的监控级别,设置陷阱,启用紧急事件下的接管系统,实行特殊“防卫状态”安全警戒等。
根除:在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。与此同时,执法部门和其他相关机构将对攻击源进行定位并采取合适的措施将其中断。
清理系统、数据恢复、运行程序、继续服务。把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应该十分小心,避免出现误操作导致数据的丢失。另外,恢复工作中如果涉及到机密数据,需要额外遵照机密系统的恢复要求。对不同任务的恢复工作的承担单位,要有不同的担保。如果攻击者获得了超级用户的访问权,一次完整的恢复应该强制性地修改所有的口令。
4.4报告和总结
认真回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。发生重大信息安全事件的单位应当在事件处理完毕后5个工作日内将处理结果报信息办备案。重大信息安全事件处理结果报告表见附件三。
4.5应急行动结束
根据信息安全事件的处置进展情况和现场应急处理工作组意见,县信息安全应急指挥部办公室应组织相关部门对信息安全事件的处置情况进行综合评估,并由县信息安全应急指挥部及时向县应急委提出应急行动结束建议,并报县人民政府批准。应急行动是否结束,由县人民政府决定。
5、保障措施
5.1技术支撑保障
__县设立信息安全应急响应中心,建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力:从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。
5.2应急队伍保障
我县要不断加强信息安全人才培养,进一步强化信息安全宣传教育,努力建设一支高素质、高技术的信息安全核心人才和管理队伍,提高全社会信息安全防御意识。大力发展信息安全服务业,增强社会应急支援能力。
5.3 物质条件保障
在__县信息化专项资金中安排一定的资金用于预防或应对信息安全突发事件,提供必要的交通运输保障,为信息安全应急处理工作提供可靠的物资保障。
5.4技术储备保障
__县信息安全专项应急委办公室要经常性组织相关技术人员进行培训,在允许的条件下,还可以邀请专家和科研力量,开展应急运作机制、应急处理技术等研究。
6、宣传、培训和演习
6.1公众信息交流
__县信息安全专项应急委办公室在应急预案修订、演练的前后,应利用各种新闻媒介如电视、网络、宣传单等方式进行宣传;并不定期的利用各种安全活动向人们宣传和普及信息安全应急常识。
6.2人员培训
为确保信息安全应急预案高效运行,__县信息安全专项应急委将定期或不定期地举办不同层次、不同类型的培训班或研讨会,以便不同岗位的应急人员都能熟悉掌握信息安全应急处理的知识和技能。
6.3应急演习
为了提高信息安全突发事件应急响应水平,__县信息安全专项应急委应定期或不定期组织预案演练。通过演习,进一步明确应急响应各岗位责任,对网络与信息预案中存在的问题和不足给予及时补充和完善。
7、监督检查与奖惩
7.1预案执行监督
__县信息安全专项应急委办公室负责对预案实施的全过程进行监督检查,督促成员单位按本预案指定的职责采取应急措施,确保及时、到位。
7.1.1发生重大信息安全事件的单位应当按照规定及时如实地报告事件的有关信息,不得瞒报、缓报。如发现任何人有瞒报、缓报、谎报等重大信息安全事件情况时,直接向__县信息安全应专项应急委举报。
7.1.2应急行动结束后,县信息安全专项应急委办公室对相关成员单位采取的应急行动的及时性、有效性进行评估。
7.2奖惩与责任
7.2.1对下列情况经县信息安全专项应急委办公室评估审核,报县信息安全专项应急委批准后予以奖励。
在应急行动中做出特殊贡献的先进单位或个人;在应急行动中提出重要建议方案,节约大量应急资源或避免重大损失的人员;在应急行动第一线做出重大成绩的现场作业人员。
7.2.2在发生重大信息安全事件后,有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的,县信息安全专项应急委办公室将予以通报批评;对造成严重不良后果的,将视情节由有关主管部门追究责任领导和责任人的行政责任;构成犯罪的,由有关部门依法追究其法律责任。
7.2.3对未及时落实县信息安全专项应急委指令,影响应急行动的效果的单位或个人,按《国务院关于特大安全事故行政责任追究的规定》、《陕西省重大事故责任追究制度》追究相关人员的责任。
8、附则
__县人民政府网络与信息安全重大突发事件应急预案,是指由于自然灾害、设备软硬件故障、内部人为失误或破坏、黑客攻击、无线电频率干扰和计算机病毒破坏等原因,__县政府网络与信息系统、关系到国计民生的基础性网络及重要
信息系统的正常运行受到严重影响,出现业务中断、系统破坏、数据破坏或信息失窃或泄密等现象,以及境内外敌对势力、敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动,或者对通信网络或信息设施、重点网站进行大规模的破坏活动,在国家安全、社会稳定或公众利益等方面造成不良影响以及造成一定程度直接或间接经济损失的事件。信息安全事件的主体是指信息安全事件的制造者或造成信息安全事件的最终原因。信息安全事件的客体是指受信息安全事件影响或发生信息安全事件的计算机系统或网络系统。依据计算机系统和网络系统的特点,信息安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。
本预案通过演习、实践检验,以及根据应急力量变更、新技术、新资源的应用和应急事件发展趋势,及时进行修订和完善;
本预案所附的成员、通信地址等发生变化时也应随时修订;
本预案由__县人民政府信息化管理办公室会同县公安局、县电信局,报县人民政府批准后实施,授权县信息安全专项应急委办公室负责对本预案附件及附录的修改、审批和实施。
本预案由__县人民政府制定,由__县网络与信息安全专项应急委办公室负责解释。
本预案日常工作主要由__县人民政府信息网络管理中心负责。
联系电话:0911—8112565
传真:0911—8112021
联系地址:__县人民政府办公室信息网络中心
相关机构及人员通信录由县信息化管理办公室编制。
本预案自之日起实施。
附件一:
__县人民政府网络与信息安全
应急处理组织机构
一、网络与信息安全专项应急委员会
主任:__县人民政府办公室主任
副主任:__县信息网络中心主任
成员单位:县公安局
县信息网络中心
县财政局
县电信局
二、办公室
主任:__县人民政府办公室主任
副主任:__县信息网络中心主任
三、联络员
县公安局县信息网络中心县财政局县电信局
附件二:
重大信息安全事件报告表
报告时间: 年 月 日 时 分
单位名称:报告人:
联系电话:通讯地址:
传真:电子邮件:
发生重大信息安全事件的网络与信息系统名称及用途:
负责部门:负责人:
重大信息安全事件的简要描述(如以前出现过类似情况也应加以说明):
初步判定的事故原因:
当前采取的应对措施:
本次重大信息安全事件的初步影响状况:
事件后果:
影响范围:严重程度:
值班电话:传真:
附件3
重大信息安全事件处理结果报告表
原事件报告时间: 年 月 日 时 分
备案编号: 年 月 日 第 号 总第 号
单位名称:联系人:
联系电话:通讯地址:
网络或信息系统名称及用途:
已采用的安全措施:
重大信息安全事件的补充描述及最后判定的事故原因:
对本次重大信息安全事件的事后影响状况:
事件后果:影响范围:
严重程度:
本次重大信息安全事件的主要处理过程及结果:
针对此类事件应采取的保障网络与信息系统安全的措施和建议:
报告人签名:
附件四:
单位自行应急处理指南
1、网站、网页出现非法言论事件紧急处置措施
(1)网站、网页由主办部门的值班人员负责随时密切监视信息内容。
(2)发现在网上出现非法信息时,值班人员应立即向本单位信息安全负责人通报情况;
(3)信息安全相关负责人应在接到通知后立即赶到现场,作好必要记录,清理非法信息,妥善保存有关记录及日志或审计记录,强化安全防范措施,并将网站网页重新投入使用。(4)追查非法信息来源,并将有关情况向本单位网络领导小组汇报。
(5)信息化领导小组组长召开小组会议,如认为事态严重,则立即向县人民政府信息化主管部门和公安部门报警。
2、黑客攻击事件紧急处置措施
(1)当有关值班人员发现网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向信息安全负责人通报情况。
(2)信息安全相关负责人应在接到通知后立即赶到现场,并首先将被攻击的服务器等设备从网络中隔离出来,保护现场,并将有关情况向本单位信息化领导小组汇报。
(3)对现场进行分析,并写出分析报告存档。
(4)恢复与重建被攻击或破坏系统
(5)信息化领导小组组长召开小组会议,如认为事态严重,则立即向县人民政府信息化主管部门和公安部门报警。
3、病毒事件紧急处置措施
(1)当发现有计算机被感染上病毒后,应立即向信息安全负责人报告,将该机从网络上隔离开来。
(2)信息安全相关负责人员在接到通报后立即赶到现场。
(3)启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
(4)如果现行反病毒软件无法清除该病毒,应立即向本单位信息化领导小组报告,并迅速联系有关产品商研究解决。
(5)信息化领导小组经会商,认为情况严重的,应立即县人民政府信息化主管部门和公安部门报警。
(6)如果感染病毒的设备是主服务器,经本单位信息化领导小组同意,应立即告知各下属单位做好相应的清查工作。
4、软件系统遭破坏性攻击的紧急处置措施
重要的软件系统平时必须做好备份工作,并将它们保存到安全的地方;一旦软件遭到破坏性攻击,应立即向信息安全负责人报告,并将该系统暂停运行;信息安全负责人要认真检查信息系统的日志等资料,确定攻击来源,并将有关情况向本单位信息化领导小组汇报,再恢复软件系统和数据;信息化领导小组组长召开小组会议,如认>,!
5、数据库安全紧急处置措施
主要数据库系统应做多个数据库备份;一旦数据库崩溃,值班人员应立即启动备用系统,并向信息安全负责人报告;在备用系统运行期间,信息安全工作人员应对主机系统进行维修并作数据恢复。
6、广域网外部线路中断紧急处置措施
(1)广域网线路中断后,值班人员应立即向信息安全负责人报告。
(2)信息安全相关负责人员接到报告后,应迅速判断故障节点,查明故障原因。
(3)如属我方管辖范围,由信息安全工作人员立即予以恢复。
(4)如属电信部门管辖范围,立即与电信维护部门联系,要求修复。
7、局域网中断紧急处置措施
设备管理部门平时应准备好网络备用设备,存放在指定的位置。局域网中断后,信息安全相关负责人员应立即判断故障节点,查明故障原因,有必要时并向网络安全组组长汇报。如属线路故障,应重新安装线路。如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅。如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调测通畅。如有必要,应向__县人民政府信息化主管部门汇报。
8、设备安全紧急处置措施
如果服务器等关键设备损坏后,值班人员应立即向信息安全负责人报告。信息安全相关负责人员要立即查明原因。如果能够自行恢复,应立即用备件替换
(一)目的
为科学应对网络与信息安全(以下简称信息安全)突发事件,建立健全信息安全应急响应机制,有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响,制定本应急预案。
(二)工作原则
1.统一领导,协同配合。全区信息安全突发事件应急工作由区信息化工作领导组统一领导和协调,相关部门按照“统一领导、归口负责、综合协调、各司其职”的原则协同配合,具体实施。
2.明确责任,依法规范。各镇人民政府、各街道办事处、区直各部门按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求,依法对信息安全突发事件进行防范、监测、预警、报告、响应、协调和控制。按照“谁主管、谁负责,谁运营、谁负责”的原则,实行责任分工制和责任追究制。
3.条块结合,整合资源。充分利用现有信息安全应急支援服务设施,整合我区所属信息安全工作力量。充分依靠省市各有关部门在地方的信息安全工作力量,进一步完善应急响应服务体系,形成区域信息安全保障工作合力。
4.防范为主,加强监控。宣传普及信息安全防范知识,牢固树立“预防为主、常抓不懈”的意识,经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备,提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测,发现和防范重大信息安全突发性事件,及时采取有效的可控措施,迅速控制事件影响范围,力争将损失降到最低程度。
(三)适用范围
本预案适用III、IV级应急处理工作和具体响应I、II级应急处理工作。
基础通信网络的应急处理按照信息产业部有关规定实施,区人民政府积极支持和配合。
二、组织机构及职责
(一)应急指挥机构
在区信息化工作领导组的统一领导下,设立区网络与信息安全突发事件专项应急委员会(以下简称区信息安全专项应急委),为区人民政府处理信息安全突发事件应急工作的综合性议事、协调机构。主要职责是:按照国家、省、市、区信息化工作领导机构的要求开展处置工作;研究决定全区信息安全应急工作的有关重大问题;决定III、IV级信息安全突发事件应急预案的启动,组织力量对III级和IV级突发事件进行处置;统一领导和组织指挥重大信息安全突发事件的应急响应处置工作;区信息化工作领导组交办的事项和法律、法规、规章规定的其他职责。
区信息安全专项应急委由分管信息化工作的副区长任主任,有关单位负责人组成。
区信息安全专项应急委办公室设在区计算机信息中心,其主要职责是:
1.督促落实区信息化工作领导组和区信息安全专项应急委作出的决定和措施;
2.拟订或者组织拟订区人民政府应对信息安全突发事件的工作规划和应急预案,报区人民政府批准后组织实施;
3.督促检查各镇、各街道和区直有关部门信息安全专项应急预案的制订、修订和执行情况,并给予指导;
4.督促检查各镇、各街道和区直有关部门的信息安全突发事件监测、预警工作情况,并给予指导;
5.汇总有关信息安全突发事件的各种重要信息,进行综合分析,并提出建议;
6.监督检查、协调指导各镇、各街道和区直有关部门的信息安全突发事件预防、应急准备、应急处置、事后恢复与重建工作;
7.组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划,报区人民政府批准后督促落实;
8.区信息化工作领导组和区信息安全专项应急委交办的其他工作。
(二)区信息安全专项应急委各成员单位的职责
区计算机信息中心:统筹规划建设应急处理技术平台,会同___公安分局、国保大队、区国家保密局等有关单位组织制定全区突发事件应急处理政策文件及技术方案,负责安全事件处理的培训,及时收集、上报和通报突发事件情况,负责向区人民政府报告有关工作情况。
___公安分局:严密监控境内互联网有害信息传播情况,制止互联网上对社会热点和敏感问题的恶意炒作,监测政府网站、新闻网站、门户网站和国家重大活动、会议期间重点网站网络运行安全。对发生重大计算机病毒疫情和大规模网络攻击事件进行预防和处置。依法查处网上散布谣言、制造恐慌、扰乱社会秩序、恶意攻击党和政府的有害信息。打击攻击、破坏网络安全运行、制造网上恐怖事件的违法犯罪行为。
国保大队:收集潜在的国外敌人攻击计划和能力信息,依法对间谍组织以及敌对势力、民族分裂势力、势力等内外勾结,利用计算机网络危害国家安全的行为开展各种侦察工作;依法对涉嫌危害国家安全的犯罪进行查处;依法对在计算机网络上窃取国家秘密或制作、传播危害国家安全信息的违法犯罪活动进行查处。
区
财政局:制定经费保障相关政策及方案;保证应急处理体系建设和突发事件应急处理所需经费。区国家保密局:依法组织协调有关部门对计算机网络上泄露和窃取国家秘密的行为进行查处,做好密级鉴定和采取补救措施。
(三)现场应急处理工作组
发生安全事件后,区信息安全专项应急委成立现场应急处理工作组,对计算机系统和网络安全事件的处理提供技术支持和指导,按照正确流程,快速响应,提出事件统计分析报告。
现场应急处理工作组由以下各方面的人员组成:
管理方面包含应急委副主任,以及相关成员单位领导及科室负责人。主要任务是确保安全策略的制定与执行;识别网络与信息系统正常运行的主要威胁;在出现问题时决定所采取行动的先后顺序;做出关键的决定;批准例外的特殊情况等。
技术方面应包含市有关专家、区信息安全有关技术支撑机构技术人员。主要负责从技术方面处理发生问题的系统;检测入侵事件,并采取技术手段来降低损失。
三、预警和预防机制
(一)信息监测及报告
1.公安、国保大队、区计算机信息中心等单位要加强信息安全监测、分析和预警工作,进一步提高信息安全监察执法能力,加大对计算机犯罪的打击力度。
2.建立信息安全事故报告制度。发生信息安全突发事件的单位应当在事件发生后,立即对发生的事件进行调查核实、保存相关证据,并在事件被发现或应当被发现时起5小时内将有关材料报至区计算机信息中心。
(二)预警
区计算机信息中心接到信息安全突发事件报告后,在经初步核实后,将有关情况及时向区信息安全专项应急委报告。在进一步综合情况,研究分析可能造成损害程度的基础上,提出初步行动对策,视情况召集协调会,并根据应急委的决策实施行动方案,指示和命令。
(三)预警支持系统
区计算机信息中心建立和逐步完善信息监测、传递网络和指挥决策支持系统,要保证资源共享、运转正常、指挥有力。
(四)预防机制
积极推行信息安全等级保护,逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件,各相关部门建立制度化、程序化的处理流程。
四、应急处理程序
(一)级别的确定
信息安全事件分级的参考要素包括信息密级、公众影响和资产损失等四项。各参考要素分别说明如下:
(1)信息密级是衡量因信息失窃或泄文秘站:密所造成的信息安全事件中所涉及信息重要程度的要素;
(2)公众影响是衡量信息安全事件所造成负面影响范围和程度的要素;
(3)业务影响是衡量信息安全事件对事发单位正常业务开展所造成负面影响程度的要素;
(4)资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。
信息安全突发事件级别分为四级:一般(IV级)、较大(III级)、重大(II级)和特别重大(I级)。
IV级:区内较大范围出现并可能造成较大损害的信息安全事件。
III级:区属重要部门网络与信息系统、重点网站或者关系到本地区社会事务或经济运行的其他网络与信息系统受到大面积严重冲击。
II级:区属重要部门或局部基础网络、重要信息系统、重点网站瘫痪,导致业务中断,纵向或横向延伸可能造成严重社会影响或较大经济损失。
I级:敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动,或者区直单位多地点或多个基础网络、重要信息系统、重点网站瘫痪,导致业务中断,造成或可能造成严重社会影响或巨大经济损失的信息安全事件。
(二)预案启动
1.发生IV级网络信息安全事件后,区政府启动相应预案,并负责应急处理工作;发生III级网络信息安全事件后,区政府启动相应预案,并由区信息安全专项应急委负责应急处理工作;发生I、II级的信息安全突发事件后,上报市人民政府启动相应预案。
2.区信息安全专项应急委办公室接到报告后,应当立即上报区应急委,并会同相关成员单位尽快组织专家组对突发事件性质、级别及启动预案的时机开展评估,向区应急委提出启动预案的建议,报区人民政府批准。
3.在区人民政府做出启动预案决定后,区信息安全专项应急委立即启动应急处理工作。
(三)现场应急处理
事件发生单位和现场应急处理工作组尽最大可能收集事件相关信息,判别事件类别,确定事件来源,保护证据,以便缩短应急响应时间。
检查威胁造成的结果,评估事件带来的影响和损害:如检查系统、服务、数据的完整性、保密性或可用性;检查攻击者是否侵入了系统;以后是否能再次随意进入;损失的程度;确定暴露出的主要危险等。
抑制事件的影响进一步扩大,限制潜在的损失与破坏。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统的物理链接,修改防火墙和路由器的过滤规则;封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路;提高系统或网络行为的监控级别;设置陷阱;启用紧急事件下的接管系统;实行特殊“防卫状态”安全警戒;反击攻击者的系统等。
根除。在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。与此同时,执法部门和其他相关机构对攻击源进行准确定位并采取合适的措施将其中断。
清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到正常的任务状态。恢复工作应十分小心,避免出现操作失误而导致数据丢失。另外,恢复工作中如果涉及到机密数据,需要额外按照机密系统的恢复要求。如果攻击者获得了超级用户的访问权,一次完整的恢复应强制性地修改所有的口令。
(四)报告和总结
回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。发生重大信息安全事件的单位应当在事件处理完毕后5个工作日内将处理结果报市信息化工作领导组备案。(《重大信息安全事件处理结果报告表》见附件三)
(五)应急行动结束
根据信息安全事件的处置进展情况和现场应急处理工作组意见,区计算机信息中心组织相关部门及专家组对信息安全事件处置情况进行综合评估,并提出应急行动结束建议,报区人民政府批准。应急行动是否结束,由区人民政府决定。
五、保障措施
(一)技术支撑保障
区计算机信息中心建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力:从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。
(二)应急队伍保障
加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息安全核心人才和管理队伍,提高全社会信息安全防御意识。大力发展信息安全服务业,增强社会应急支援能力。
(三)物资条件保障
安排区信息化建设专项资金用于预防或应对信息安全突发事件,提供必要的经费保障,强化信息安全应急处理工作的物资保障条件。
(四)技术储备保障
区计算机
信息中心组织有关专家和科研力量,开展应急运作机制、应急处理技术、预警和控制等研究,组织参加省、市相关培训,推广和普及新的应急技术。六、宣传、培训和演习
(一)公众信息交流
区计算机信息中心在应急预案修订、演练的前后,应利用各种新闻媒介开展宣传;不定期地利用各种安全活动向社会大众宣传信息安全应急法律、法规和预防、应急的常识。
(二)人员培训
为确保信息安全应急预案有效运行,区信息安全专项应急委定期或不定期举办不同层次、不同类型的培训班或研讨会,以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。
(三)应急演习
为提高信息安全突发事件应急响应水平,区信息安全专项应急委办公室定期或不定期组织预案演练;检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充、完善。
七、监督检查与奖惩
(一)预案执行监督
区信息安全专项应急委办公室负责对预案实施的全过程进行监督检查,督促成员单位按本预案指定的职责采取应急措施,确保及时、到位。
1.发生重大信息安全事件的单位应当按照规定,及时如实地报告事件的有关信息,不得瞒报、缓报或者授意他人瞒报、缓报。任何单位或个人发现有瞒报、缓报、谎报重大信息安全事件情况的,有权直接向区信息安全专项应急委举报。
2.应急行动结束后,区信息安全专项应急委办公室对相关成员单位采取的应急行动的及时性、有效性进行评估。
(二)奖惩与责任
1.对下列情况可以经区信息安全专项应急委办公室评估审核,报区信息安全专项应急委批准后予以奖励:在应急行动中做出特殊贡献的先进单位和集体;在应急行动中提出重要建议方案,节约大量应急资源或避免重大损失的人员;在应急行动第一线做出重大成绩的现场作业人员。奖励资金由区、镇财政或相关单位提供。
2.在发生重大信息安全事件后,有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的,区信息安全专项应急委办公室将予以通报批评;对造成严重不良后果的,将视情节由有关主管部门追究责任领导和责任人的行政责任;构成犯罪的,由有关部门依法追究其法律责任。
3.对未及时落实区信息安全专项应急委指令,影响应急行动效果的,按《国务院关于特大安全事故行政责任追究的规定》及有关规定追究相关人员的责任。
八、附则
本预案所称网络与信息安全重大突发事件,是指由于自然灾害、设备软硬件故障、内部人为失误或破坏、黑客攻击、无线电频率干扰和计算机病毒破坏等原因,本区政府机关网络与信息系统、关系到国计民生的基础性网络及重要信息系统的正常运行受到严重影响,出现业务中断、系统破坏、数据破坏或信息失窃或泄密等现象,以及境内外敌对势力、敌对分子利用信息网络进行有组织的大规模宣传、煽动和渗透活动,或者对国内通信网络或信息设施、重点网站进行大规模的破坏活动,在国家安全、社会稳定或公众利益等方面造成不良影响以及造成一定程度直接或间接经济损失的事件。信息安全事件的主体是指信息安全事件的制造者或造成信息安全事件的最终原因。信息安全事件的客体是指受信息安全事件影响或发生信息安全事件的计算机系统或网络系统。依据计算机系统和网络系统的特点,信息安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。
1.本预案通过演习、实践检验,以及根据应急力量变更、新技术、新资源的应用和应急事件发展趋势,及时修订和完善;
2.本预案所附的成员、通信地址等发生变化时也应随时修订;
3.本预案由区计算机信息中心会同___公安分局、国保大队、区国家保密局负责修订,经区人民政府常务会议审议批准后实施。
4.本预案修订采取改版或换页的方式进行。
5.本预案由区计算机机信息中心负责解释。
6.本预案日常工作由区计算机信息中心负责。
联系电话:2319255传真:2319257
摘要:文章结合图书馆网络信息系统安全需求,提出安全体系防范策略。为了更好地应对网络系统突发事件,图书馆须制定相关的应急预案。
中图分类号:G250文献标识码:A文章编号:1003-1588(2015)05-0129-03
1背景
随着图书馆的不断发展,信息化发展的规模也不断扩大,图书馆信息系统成为图书馆业务管理中不可缺少的部分,已逐渐成为图书馆业务稳定运行的有效保障。
图书馆是365天24小时不中断为读者提供服务,信息安全已经成为图书馆正常运行的重大隐患。图书馆网络信息系统任何一个故障的出现,都会使图书馆业务运行受到不同程序的影响,如业务终端用户计算机故障、网络链接中单点故障、楼层支路交换设备故障等;而核心交换机、服务器、数据库等故障会影响到图书馆整个业务的正常运行,严重者可导致图书馆业务整体瘫痪[1]。因此,图书馆网络信息系统应始终把安全性放在首位.建立完善的安全体系,具备周密的应急预案。
2建立完善的安全体系防范策略
2.1架构安全
合理的架构是图书馆业务服务网络安全的前提,网络在总体结构上要减少相互间的依赖和影响。任何一个模块出现故障后,对上/下工序流程不产生严重影响。各子系统可独立运作,各子系统单一升级而不影响到其他子系统的功能。
2.2设备安全
主干网采用光纤双路备份,采用双机冗余式主干交换机,网络核心设备(交换机、服务器等)需采用模块化、支持热插拔设计。主业务应用服务器要双机热备,并采用双网卡接入、服务器集群、RAID等措施。主存储系统需要极高的安全稳定性,具有合理的存储构架和数据重新快速分配能力。在设备的分配上,避免在同一台服务器上部署多种应用。在各楼层设立交换机柜, 对重要接入层设备,应考虑必要的网络设备和接入端口的备份手段。中心机房配有24小时双路电源,并配备大功率的UPS电源。另外,为防止外部的攻击和病毒的侵袭,解决业务网与办公网的信息交互问题,要设置高安全区网段,须将业务内部网络与外网分开,在物理上隔离网络,业务终端用户计算机屏蔽USB接口,不配置光驱,并安装网络版的防病毒软件。
2.3软件安全
主要有:①操作系统安全。为确保图书馆的安全,主要服务器尽可能采用企业版Linux操作系统。②数据安全。为保障关键运行数据的存储、管理和备份,要求采用集中与分布方式相结合的数据库系统设计。③应用软件安全。应用软件应具有完善的备份措施,系统故障后,要求及时恢复,确保图书分编数据不丢失,图书借还信息不丢失。④数据库系统安全。主要应用系统中的数据库均采用双机热备共享RAID盘阵的方式,实现双主机同时对外提供服务,盘阵采用了最高等级的RAID5技术,任何一个硬盘故障也不会影响系统,对于核心数据库要求采用本地备份和远程备份相结合的方式。
2.4运维安全
在提高技术系统安全性的同时,还必须提供良好的运行维护,防范由于操作不当、网络管理漏洞、运维措施不完备所造成的网络信息系统异常。在网络信息系统运行中,应对设备、服务、业务等方面的监控和故障报警。通常情况下,设备运用指示灯变成黄色,表示出现故障,应尽快进行检查。
2.5外网文件交互安全
为隔离来自办公外网等的安全风险,图书馆自动化主业务系统专门设置高安全区网段,高安全区网段的文件拷贝通过私有协议或网闸实现,主要用于与办公网络以及其他网络的数据交互的病毒防御。
3制定出一套操作性强、目的明确的应急处理预案
为了及时应对图书馆网络信息系统突发故障和事件,在完善网络信息安全体系建立策略上,在技术上应做好各种预防措施的同时,制定出一套操作性强,在突发事件发生时,能迅速做出响应并快速处理,积极恢复图书馆网络业务系统等全方位的应急体系,即网络信息系统故障应急预案。
著名的墨菲定律指出:凡事只要有可能出错,那就一定会出错[2]。因此对图书馆主信息应用系统,对其部署的机房环境、人员、网络、数据存储、应用系统的主机及数据库情况以及所使用的中间件环境等因素进行全面分析,预测网络信息故障风险点和故障可能造成的危害,确定应急预案,选择处理故障的有效手段。
3.1预案适用情形
图书馆网络信息安全涉及管理与信息技术等方面,图书馆平时要从网络、计算机操作系统、应用业务系统等安全管理规范以及计算机使用人员安全意识等几个方面,做好以下几项工作: ①制定系统规章。②制订培训计划。③加强人员管理。④成立事故应急处理小组。
针对图书馆网络故障对系统的影响程度,当出现以下所列情形之一时,事故处理小组确认已达到预案应急情况,应迅速启动相应的应急处理程序:①网络遭受灾害或病毒大面积攻击而造成图书馆整个业务系统的瘫痪。②网络服务器不明原因宕机,对图书馆业务造成影响范围大,且持续时间长。③网站内容被恶意篡改。④供电系统故障。⑤机房火灾。⑥空调系统及供水系统故障。
3.2预案制定及启动
预案是由图书馆信息安全管理应急处理小组负责制定及审核。小组职责是对图书馆信息网络安全的整体规划、安全应急预案演练及网络与信息系统突发事件的处理,小组组长负责启动应急预案 。
针对上述情形,在图书馆网络信息系统运行中可能存在以下问题,技术人员应立即启动以下应急预案。
3.2.1遇到网络遭受病毒大面积攻击而造成图书馆整个业务系统的瘫痪,立即启动以下应急预案。查找受病毒攻击的计算机,并及时从网络上隔离出来,判断病毒的性质,关闭相应的端口;对该机进行数据备份;启用防病毒软件对该机进行杀毒处理,同时对其他机器进行病毒检测软件扫描和清除工作;对被病毒感染的终端电脑进行全面杀毒之后再恢复使用;及时最新病毒攻击信息以及防御方法。
3.2.2遇到网络服务器不明原因宕机,对图书馆业务造成影响范围大,且持续时间长的情况,立即启动以下应急预案:①服务器宕机应急处置措施。图书馆关键应用系统所用的服务器宕机,应立即将网络线路切换到备用服务器上,并立即恢复应用系统正常使用;对宕机服务器进行全面检查,分析是硬件还是软件故障;立即与设备提供商联系,请求派维修人员前来维修;在确实解决问题之后,切换回主服务器,给主机加电;系统启动完毕,检查系统及双机状态;启动数据库;启动应用程序可以正常启动和运行。②网络不明原因中断。属局域网出故障断网后,网络维护人员应立即判断故障节点,及时向信息部负责人报告,查明故障原因,立即恢复。如遇无法恢复,立即进行备件更换或向有关厂商请求支援。属光纤主干出故障,立即向上级报告,并通知维护公司对光纤进行融接,尽快恢复网络功能;属与楼层的上联网线故障,应使用备用或更换新的双绞线连接至故障设备。属网络设备(光模块)故障如路由器、交换机等,应立即用相关备件替换,或与设备提供商联系更换设备,并调试畅通。属网络设备配置文件破坏如路由器、交换机,应迅速用备份配置文件重新复制配置,并调试畅通;如遇无法解决的技术问题,立即向有关厂商请求支援。属运营商管辖范围,立即与运营商维护部门申报故障,请求修复。
3.2.3遇到网站内容被恶意篡改,应参照以下应急预案。切断服务器的网络连接;从备份数据中恢复正确的数据;检查网站源码漏洞,安装网站源码的最新补丁;安装最新的系统补丁并重新配置防火墙,修改管理员密码;查看网络访问日志,分析事件发生原因、源IP地址和操作时间,并做好记录;重新恢复服务器网络连接;向保卫科备案,如造成重大损失或影响恶劣的,通知司法机关寻求法律途径解决。
3.2.4遇到供电系统故障,应参照以下应急预案。当供电系统出现故障,中心机房UPS在尚能维持供电一段时间时,应通知各业务相关部门,迅速将所有运行中的服务器、存储及网络设备等安全关机,防止数据损失。关闭所有服务器时,应遵循如下步骤:先关闭所有应用服务器和数据库服务器,再关闭存储设备。启动所有服务器时,应先打开存储设备,再打开数据库服务器,最后打开应用服务器;确认机房中所有设备安全关机之后,将UPS电源关闭;恢复供电后,重新启动所有设备运行,并把UPS电源打开。
3.2.5遇到机房火灾,应参照以下应急预案。确保人员安全;保护关键设备、数据安全;保护一般设备;机房工作人员立即按响火警警报,不参与灭火的人员迅速从机房离开;人员灭火时要切断所有电源,从消防工具箱中取出消防设备进行灭火。
3.2.6遇到空调系统及供水系统故障,应参照以下应急预案。空调系统及供水系统如有报警信息,应及时查找故障原因,对于不能自行排除的问题,应及时与设备提供商进行联系。如发现有漏水现象应马上关闭进水阀,并对漏水进行处理。当中心机房主空调因故障无法制冷,致使机房内环境温度超过摄氏40度时,打开机房房门,及时报告信息部相关领导请示,获得授权后应按顺序关闭所有服务器及网络设备。
3.3重大事件应急预案
针对发生重大事件导致图书馆网络瘫痪,信息系统无法正常运行,相关服务部门应立即启动以下应急预案:①各部门对读者服务窗口,立即恢复手工操作模式。②网络部门负责立即启动应急服务器系统。③应急系统使用期间,办证处不可对读者进行办理或办退读者借阅证。待系统正常恢复后才可办证或退证。④应急系统使用期间,各图书阅览室对读者只提供图书阅览、还书服务,并采用手工登记服务信息;暂停图书借书服务,待系统正常恢复后才可进行各项业务服务。⑤系统恢复后,网络部门应及时安排人员对读者还书期限信息进行延期处理。
3.4预案处理流程
图书馆网络信息系统预案处理流程见图1。
任何一个预案的落实首先必须得到图书馆领导的重视,各业务部门的积极配合,我们才能做到最佳的处理效果。[1]
4预案培训、演练及改进
图书馆网络信息系统应急预案确定后,应对与预案处置相关的所有人员进行培训,了解安全故障或事件风险点和危害程度,掌握预案应急处置办法,明确预案处理流程预警。图书馆每年要拟订年度应急演练计划,应定期或不定期开展网络信息安全预案演练,明确应急响应相关责任部门和人员的责任,模拟完成安全故障发现、判断、通报、处置、解除等各重要环节应急措施的演练,总结演练情况书面报告。
图书馆网络信息系统每年至少应进行1次应急预案文档的分析、评审,根据演练总结和实际情况,进一步对预案中存在的问题和不足及时补充、完善。
5结语
随着信息技术与图书馆工作结合日益紧密,图书馆业务和服务对信息网络的依赖性越来越高[3]。制定图书馆网络信息应急预案能提高网络与信息系统突发事件的处理能力和速度,建立科学有效的应急工作机制,确保图书馆业务系统安全运行,尽可能减少各种突发事件的危害,保障图书馆网络及信息系统安全稳定地运行。
参考文献:
[1][ZK(#]龚剑国,刘涛.谈医院信息网络应急预案的制定和应用[J].光盘技术,2008(8):27-28.
[2]崔全会等.简论安全管理的警示职能――墨菲定律的启示[J].中国安全科学学报,1999(4).
[3]赵梅亭.信息技术与图书馆服务创新刍议[J].内蒙古科技与经济,2011(3):66-67.
要想把应急预案从书本上走到实践中去,就一定要通过应急预案的演练来实现,这样可以对于检验应急预案编制的可操作性和科学性进行有效检验,也能不断地完善电力系统中的网络信息化预案,能更为有效提高预案减灾功能。通过有效编写演练方案,能够把应急预案的指导性进行实践化,体现出来演练的实战性和可操作性。1)在应急预案中,指导性的描述往往应用在事件的相关的处置方式、性质、发生规模方面,更为丰富的信息则需要提供给演练,这样才能提高救援恢复行动的针对性。为了更为有效的开展针对性的工作,编制演练方案过程中,则需要考虑哪些设备需要进行配置,哪些地方的业务则会受到影响,哪些人员和部门会受到网络中断的影响,哪些需要进行调试程序等方面。2)为了更好落实各种应急救援恢复任务,以及保证其实施质量,具体化一定要体现在执行演练的过程中,明确应急响应程序的可操作化。进行量化相关的反应程序,比如,包括工具箱、水晶头是否到位,多模淡抹光模块型号是否正确、笔记本及调试线是否够用、备件备品是否齐全、备份数据是否完整,这些相关的细节问题都应该在事前进行相应的缜密设计。3)步骤流程化。通过对于演练各个程序的衔接机型优化,合理有序地组合演练各个环节的响应程序,通过演练程序流程表的编制来实现。这样能够有效提高应急反应反应效率,并且提高演练的流畅性。同时,应急演练的进展也可以被参与人员所更加了解。
2预防为主的基础上进行监控的进一步加强
预防为主的思想肆意一定要在单位的各个环节中进行强调,在准备应急预案和实战演练的基础上,还应该充分做好相关的信息网络系统突发事件的机制准备、思想准备和工作准备,使得防范意识不断提高,同时,也应提高信息安全综合保障水平。通过对于信息安全隐患进行一定的日常监测,能够对于重大信息安全突发事件进行有效防范和及时发现,为了尽量使得损失最小化,则应该通过及时的可控措施来有效控制事件影响范围。公司的日常工作已经建立起有效长效机制,主要包括信息系统安全保障重点措施、信息安全隐患排查和治理、信息安全风险评估以及信息安全等级保护方面。在相关的检查结果基础上,对于应用系统安全管理、信息设备安全使用、信息机房值班等问题进行进一步加强管理,严格要求并执行国家电网公司信息规定,对于内外网计算机和外设管理需要进一步加强,只有这样,才能有效使得监测防控能力不断增强,使得信息系统安全得以保障。
3保障措施分析与思考
在信息安全管理中,除了要保障一定的技术先进性,更为重要的则体现在管理方面。在实际工作中,我们一定要充分考虑到这一点,不断加强“人防、制防、技防、物防”工作,对于信息安全统一管理进一步加强。
3.1应急队伍建设问题思考在信息安全管理方面,有安全工作小组和网络信息安全领导小组,前者主要是由信息技术人员骨干、各部门信息员组成,后者则是各部门的主要负责人组成。通过这样的分工,就可以从决策、监督和具体执行三个层面,立体化对于网络信息安全提供有力保障。另外,还应该对于信息安全专业人才培养进行重视,相关的信息安全技术培训可以定期或者不定期展开,相应的信息安全应急处理知识就能够让不同岗位的人员进行掌握。
3.2需要有一定的制度保障只有通过严格的管理制度才能有效保障良好的网络信息安全,本公司在此方面制定了相应的21管理标准、10个制度,以及一系列的规范。这样能够保障网络信息安全工作能够有章可循,有案可稽。对于不同工作职责的小组来说,应该划分具体的安全工作的执行情况,为了更好能够保障网络基础、系统运行维护以及开发建设等方面的安全,应该做好相关的分工合作、整体统一、分级处理等问题。
3.3做好技术保障工作为了保障网络信息安全,这里采用相关的较为先进的技术工具和手段,包括:1)更新专业的防病毒软件,有效防治计算机病毒影响;2)旁路监听技术的设备进行过滤处理,能有效限制访问不良网络信息;3)使用双层FWSM防火墙防护托管服务器群;4)定期对于系统进行漏洞扫描;5)建立异地数据的容灾方案以及数据备份方案,还有相关的NTP服务器、LogServer日志记录等。
4结束语
信息化建设的大潮中,应该不断完善系统的应急预案,应该尽量挖掘出系统的无故障、高效、安全的网络环境,通过不断探索有效保障网络安全、应用系统数据等方面的措施,才能促进网络信息系统建设。
关键词:云计算;信息安全;应急系统
1云应急服务
1.1云计算技术分析
云计算应用环境中,云端大型的服务器可以被人们高效利用,充分发挥数据资源优势,保证资源能够得到可靠、准确的计算、储存以及整合,结合实际需要,由云端服务商合理划分硬件资源,保证运用在使用云端服务器以及相关程序时不会花费过多的成本,实现统一、标准化的信息资源。通过云安全应急服务平台避免出现安全问题,如木马、僵尸网、SQL注入以及漏洞攻击等[1],发挥页面优化、缓存以及智能化调度运营商的技术,减少问题出现的几率,提高访问的速度以及效率,保证用户的信息安全不受影响,优化服务质量。
1.2云安全应急服务
信息应急安全管理中,云应急服务平台发挥着不可忽视的作用,将信息安全应急的实际情况在线传输给用户,云端承受用户的应急压力。云应急服务平台能够对应急资源进行科学的划分、配置,使应急响应更加及时,受到的各种攻击能够被直接有效解决,将流量通过智能化的方法进行划分,使其达到安全服务节点中,避免安全管理不足的出现,在云计算的影响下,云应急服务的功能也十分强大。云安全应急服务是在云平台中对用户域名进行解析,实现智能化效果,使用户流量能够被最近距离的云端节点接收,承载用户提出的需要,同时对流量进行过滤,能够做好监控预警的工作。云安全应急服务平台的基础云架构是分布式的计算,实现多线的智能化解析调度,将单点的万维网通过动态化的方法负载到云端的节点中[2],用户请求被承载,保证用户流量得到有效分析管理。架构云安全应急平台时分为中心与边缘两个部分,中心位置的是应急响应系统以及域名系统,应急处理信息安全问题。边缘则是在不同节点上,能够对信息内容进行分发,做好监督预警工作,使用户应用正常推进。
2云应急系统架构
云应急系统能够将服务很好地通过提供给用户,发挥云平台的优势,使用户的监测预警工作顺利推进,利用应急响应明确判断发生的事件,保证事件能够得到有效的控制,尽快恢复到初始状态。遇到各种危险以及安全威胁时,关键的信息服务还是能够继续保持正常运行。云应急服务平台主要包括三层架构,具体如图1。
2.1信息采集安全层
这一层主要是基础性的设施,如网络设施、硬件以及软件平台等,能够为系统的运行提供支持。硬件主要是各种服务器、储存设备、入侵检测以及防火墙等,基础性的软件主要是数据库平台、操作系统等系统平台。
2.2信息传输安全层
这是以基础软件和数据作为基础的,有良好的支撑环境为应用系统提供支持,使其功能发挥更加充分,其中主要包括对数据的备份、对日志进行管理、通讯服务等内容[3]。数据资源是对平台中的资源进行储存以及管理,其中装有应急管理的相关人员、数据以及物资等,能够实现有效的调度以及检索,有效整合应急业务信息,能够明确数据库中各种信息数据的储存方式、机制,了解数据的管理方法以及入库更新情况。
2.3信息处理
安全层应急平台功能模块中主要分为三个部分,即监测预警、安全管理以及应急响应,这三个方面对于业务应用的顺利实现起到保障作用。监测预警可以有效监测云端用户被入侵等问题。日常安全管理就是做好应急值守工作,处理好应急的资源,科学对风险进行评估等。应急响应就是对事件进行处理、统计,信息等。
3云应急系统的功能
3.1监控预警
监控预警就是对于云端接入的网站、信息系统等进行安全评估,及时分析其中潜在的风险,并作为预警。云应急服务平台能够科学的评估监控对象的安全性,渗透测试就是对黑客攻击的手段进行模拟,从而对计算机的安全进行评价,在此过程中需要科学分析系统以及应用漏洞,技术上的不足以及配置上的优化,从黑客的角度全面的攻击被测试的对象,实时监控预警事件。依据资产的价值以及威胁性对不同资产的风险值进行评估。做好漏洞的扫描关注,在文件上传网站时也需要进行及时的检测,分析网络流量,实现整体性的安全评价。
3.2资源的应急管理
资源应急管理中主要涉及以下内容,分别是机房、设备、工具软件、网络、应急设备、救援的专家小组、法律法规等。优化应急资源数据库,其中主要包括应急管理数据库、安全事件信息库、应急预案库、政策法规数据库等,应急管理人员要登录到管理门户中,借助于应急资源的作用,对信息安全以及风险等进行全面细致的阐述,有效预警可能存在的安全问题。安全知识库通常包括病毒库、补丁库以及漏洞库等,此外还有安全案例库,其中包含很多安全知识的文章内容等。
3.3应急值守
利用监控预警机制,通过对日志、流量等信息的采集,有效的扫描漏洞,准确获得安全信息,能够实时监控网络情况,在智能分析、专家判断等基础上对信息系统的安全事件以及风险进行研究,由专门的值班工作人员上报、处理、管理安全事件。要处理安全事件时需要明确事件的具体情况,比如风险高低、历史情况等,依据安全信息的不同来源进行种类划分,对实时事件进行查看,做好过滤工作,对于满足过滤条件的事件进行显示,可以自己定义过滤的条件,依据设计的审计情况科学的审计分析安全事件。
3.4预案管理
对信息安全事件要建立应急预案,并努力实现数字化的应急预案,出现信息安全事件时,需要对自动关联应急预案,结合预案情况对信息安全问题进行处理,应急预案中要有方案、清单、规划报告以及记录等。实现数字化的预案其实就是利用结构化的方法将文本转化为对应急指挥有利的方案,在数字化管理过程中,要明确其适用范围、进行种类以及级别的划分、明确职责分工、做好应急资源处理,保证应急流程信息实现数字化。
3.5风险管理
信息安全的风险管理的关键就是资产管理,依据相关等级标准分析资产存管理存在的风险以及风险出现的变化等,明确减少资产风险的方法以及策略。风险分析主要是依据国际上的安全标准方法进行,了解信息资产的价值、出现的几率,脆弱性被威胁利用的几率,量化风险。
3.6应急响应
应急响应是对各种威胁信息安全的、预警事件进行科学的处理,及时监测事件,对各种技术资源进行科学协调划分,帮助用户、相关单位等对安全事件进行处理。信息安全的应急响应就是与辅助决策系统一起,将应急预案提高到重要位置上,科学的跟踪、处理以及评估信息安全事件。辅助决策功能就是在用户处理安全事件时充分发挥数字化预案的优势,结合相关信息,自动找到合适的预案,由用户自己决策是否要对安全事件处理,采取何种方式进行处理,进而确定应急处理方案,全面、动态化的调整安全措施,保证网络安全有序运行。
4结束语
云计算的数据处理能力是比较强大的,能够实现资源的优化配置,减少资金消耗,优化资源配置与利用。信息安全应急在云计算环境中占有十分重要的地位,必须要完善应急系统建设,采用科学、规范的模式进行管理,统一认识数据信息的来源、储存以及共享等,保证云计算环境下的信息安全。
参考文献:
[1]汤祥州,郑绵彬,俞维露.云计算下的信息安全应急系统研究[J].网络空间安全,2016,06:50-52+55.
[2]吕雪,凌捷.基于J2EE架构的信息安全应急预案管理系统研究与实现[J].计算机工程与设计,2013,04:1197-1201+1237.
[3]孙志丹,邹哲峰,刘鹏.基于云计算技术的信息安全试验系统设计与实现[J].信息网络安全,2012,12:50-52.
关键词 应急预案;网络信息系统;预案演练、保障
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)14-0171-01
当前,我国各个地方的信息化发展十分迅速,已经大幅度提高了信息技术基础条件,相关的信息网络系统、综合业务数据网、通信网都已具规模,信息化的应用广度和深度都达到了前所未有的高度。在不断进步的信息化过程中,尽管人们已经越来越重视网络信息系统安全问题,但是,它的脆弱性往往在突发事件面前就显露无疑。在任何原因下,信息系统安全中最不可控的因素就是突发事件[1]。所以,为了更加有效应对突发事件,应该通过各种积极有效措施,尽量最小化突发事件所带来的影响和损失,这也是在行业信息管理中重要问题。
1 应急预案应该进一步加强
为了能够更好的保障网络信息系统安全,更好处理好相应的突发事件,就应该做好防备,做好相关的应急预案的制定工作。这里所谓的应急预案,则是在风险评估和安全评价的基础上,参考具体的信息设备和机房环境的特点,对于事故发生以后的相关的条件、设施、设备、数据、应急人员,以及相关的行为的纲领、控制事故的方法等方面进行有效的科学化安排和制定,目的则是尽量能够降低突发事件造成的损失。通过实现制定的应急预案和措施,针对不可控的突发事件来说,能够沉着应对突发事件的到来,使得损失尽量减少[2]。
在相关的信息化工作要求下,结合本单位的实际信息系统运行环境的情况,相应的一系列的应急预案由公司进行文件形式进行明确并,其则包括数据库系统、业务应用系统、网络设备等。对于日常信息系统来说,应该把应急预案做到全生命周期管理各环节中去,并且能够不断使得硬件设备进一步完善,业务系统环境进一步提高,这样能够更为有效防范突发事件的发生,并能准备好做好的处理手段。
2 通过预案和演练尽量做到最小损失
要想把应急预案从书本上走到实践中去,就一定要通过应急预案的演练来实现,这样可以对于检验应急预案编制的可操作性和科学性进行有效检验,也能不断地完善电力系统中的网络信息化预案,能更为有效提高预案减灾功能。通过有效编写演练方案,能够把应急预案的指导性进行实践化,体现出来演练的实战性和可操作性。
1)在应急预案中,指导性的描述往往应用在事件的相关的处置方式、性质、发生规模方面,更为丰富的信息则需要提供给演练,这样才能提高救援恢复行动的针对性。为了更为有效的开展针对性的工作,编制演练方案过程中,则需要考虑哪些设备需要进行配置,哪些地方的业务则会受到影响,哪些人员和部门会受到网络中断的影响,哪些需要进行调试程序等方面。
2)为了更好落实各种应急救援恢复任务,以及保证其实施质量,具体化一定要体现在执行演练的过程中,明确应急响应程序的可操作化。进行量化相关的反应程序,比如,包括工具箱、水晶头是否到位,多模淡抹光模块型号是否正确、笔记本及调试线是否够用、备件备品是否齐全、备份数据是否完整,这些相关的细节问题都应该在事前进行相应的缜密设计。
3)步骤流程化。通过对于演练各个程序的衔接机型优化,合理有序地组合演练各个环节的响应程序,通过演练程序流程表的编制来实现。这样能够有效提高应急反应反应效率,并且提高演练的流畅性。同时,应急演练的进展也可以被参与人员所更加了解。
3 预防为主的基础上进行监控的进一步加强
预防为主的思想肆意一定要在单位的各个环节中进行强调,在准备应急预案和实战演练的基础上,还应该充分做好相关的信息网络系统突发事件的机制准备、思想准备和工作准备,使得防范意识不断提高,同时,也应提高信息安全综合保障水平。通过对于信息安全隐患进行一定的日常监测,能够对于重大信息安全突发事件进行有效防范和及时发现,为了尽量使得损失最小化,则应该通过及时的可控措施来有效控制事件影响范围。
公司的日常工作已经建立起有效长效机制,主要包括信息系统安全保障重点措施、信息安全隐患排查和治理、信息安全风险评估以及信息安全等级保护方面。在相关的检查结果基础上,对于应用系统安全管理、信息设备安全使用、信息机房值班等问题进行进一步加强管理,严格要求并执行国家电网公司信息规定,对于内外网计算机和外设管理需要进一步加强,只有这样,才能有效使得监测防控能力不断增强,使得信息系统安全得以保障。
4 保障措施分析与思考
在信息安全管理中,除了要保障一定的技术先进性,更为重要的则体现在管理方面。在实际工作中,我们一定要充分考虑到这一点,不断加强“人防、制防、技防、物防”工作,对于信息安全统一管理进一步加强。
4.1 应急队伍建设问题思考
在信息安全管理方面,有安全工作小组和网络信息安全领导小组,前者主要是由信息技术人员骨干、各部门信息员组成,后者则是各部门的主要负责人组成。通过这样的分工,就可以从决策、监督和具体执行三个层面,立体化对于网络信息安全提供有力保障。另外,还应该对于信息安全专业人才培养进行重视,相关的信息安全技术培训可以定期或者不定期展开,相应的信息安全应急处理知识就能够让不同岗位的人员进行掌握。
4.2 需要有一定的制度保障
只有通过严格的管理制度才能有效保障良好的网络信息安全,本公司在此方面制定了相应的21管理标准、10个制度,以及一系列的规范。这样能够保障网络信息安全工作能够有章可循,有案可稽。对于不同工作职责的小组来说,应该划分具体的安全工作的执行情况,为了更好能够保障网络基础、系统运行维护以及开发建设等方面的安全,应该做好相关的分工合作、整体统一、分级处理等问题。
4.3 做好技术保障工作
为了保障网络信息安全,这里采用相关的较为先进的技术工具和手段,包括:1)更新专业的防病毒软件,有效防治计算机病毒影响;2)旁路监听技术的设备进行过滤处理,能有效限制访问不良网络信息;3)使用双层FWSM防火墙防护托管服务器群;4)定期对于系统进行漏洞扫描;5)建立异地数据的容灾方案以及数据备份方案,还有相关的NTP服务器、LogServer日志记录等。
5 结束语
信息化建设的大潮中,应该不断完善系统的应急预案,应该尽量挖掘出系统的无故障、高效、安全的网络环境,通过不断探索有效保障网络安全、应用系统数据等方面的措施,才能促进网络信息系统建设。
参考文献
[1]尚金成,黄永皓,黄勇前,等.市场技术支持系统网络信息安全技术与解决方案[J].电力系统自动化,2003,27(9).
[2]贺洁.谈电力网络信息安全[J].技术与市场,2012,19(7).
作者简介
保障信息的安全是呼叫中心运营的核心问题之一,为了正确、有效和快速地处理系统支撑潜在安全类突发事件,最大限度地减少突发事件对生产、经营、管理造成的损失和对社会的不良影响,提高信息系统的安全稳定运行水平,呼叫中心需制定完善的信息系统应急响应机制。
1.1应急管理适用范围
1.1.1适用于应对和处置涉及造成重大损失和影响的系统支撑类突发事件。
1.1.2用于指导和规范我各信息应用业务部门制定信息系统突发事件应急预案,建立相关突发事件应急处置体系,规范对突发事件处理的逐级汇报流程。
1.1.3系统突发事件包括呼叫中心管理信息系统相关支撑的软硬件、物理环境、网络与信息安全的突发事件。
1.2 工作原则
1.2.1 预防为主,常备不懈,超前预想。
坚持“安全第一、预防为主”的方针。做好应对各种信息系统突发事件的预案准备、应急资源准备、保障措施准备和超前信息系统突发事件预想,充分利用现有资源,制定科学的应急预案,定期组织开展应急培训和应急演练,提高对各种信息系统突发事件的应急响应和处置能力。
1.2.2 统一指挥,分级管理,分工协作。
建立有系统的应急组织,组织开展事件预防、应急处置、恢复运行、事件通报等各项应急工作。应急预案制定、修订和应急处置应明确牵头部门,以及各有关部门的职责和权限。应急处理过程中,牵头部门要主动协调各有关方面,参与部门听从指挥、步调一致。
1.2.3 保证重点,有效组织,及时响应。
对重要系统要加大监控和应急工作力度,有效组织和发挥各应急队伍和应急资源的作用,确保信息及时准确传递,有效控制损失。做到保证重点、预防和处理相结合,反应迅速。
1.2.4 技术支撑,健全机制,不断完善。
在充分利用呼叫中心现有信息资源、系统和设备的基础上,采用先进适用的预测、预防、预警和应急处置技术,改进和完善应急处理装备、设施和手段,提高应对信息系统突发事件的技术支撑能力。切实提高应急处理人员的业务素质、安全防护意识和科学指挥能力,建立健全应对信息系统突发事件的有效机制。
2.0 呼叫中心应急管理体系
2.1 在建设应急管理体系的过程中需对呼叫中心潜在的信息安全风险进行识别,主要包括以下:
2.1.1 物理安全
包括系统机房火灾、系统机房UPS电源故障、系统机房空调系统故障、系统机房整流系统故障等;
2.1.2 呼中中心系统平台相关设备安全
包括中继异常、系统平台语音交换机及相关数据库、应用、IC、IR等应用系统服务器故障;
2.1.3 其他信息安全
包括病毒爆发、网络异常、信息泄密、反动或有害信息传播、数据篡改与丢失等;
2.1.4 不可抗力因素
包括台风、地震等其他自然灾害天气引起话务高峰
2.1.5 人员安全
非授权人员进入授权区域执行相关操作影响网络与信息安全
2.2 安全评估
在完成风险识别后需对相应的应急事件进行评估,参考如下:
2.2.1 定级说明:
频率级别 定义
4 至少每周发生1次
3 至少每月发生1次
2 至少每年会发生1次
1 至少1年以上可能发生
影响程度:共4级,具体如下:
影响程度级别 说明
4 影响范围大,涉及全省或中心形象等
3 影响范围中等,涉及中心层面
2 影响范围一般,涉及中心局部层面
1 影响范围小,涉及个体
2.2.2 根据频率与影响程度,确定风险系数,参考如下:
内容 影响范围 发生
频率 影响
等级 风险
系数
局部火灾 可能影响局部设备正常运行 1 3 3
机房整体失火 影响机房所有设备正常运行 1 4 4
2.2.3 根据风险系数,制定相应的应急操作流程。
2.3应急管理
2.3.1 建立应急管理组织机构
分为信息安全应急管理工作领导小组与应急工作组,其中领导小组负责应急管理的重大决策与部署;应急工作组负责根据领导小组意见开展具体应急处置工作;
2.3.2 应急响应
2.3.2.1 应急启动,当发生信息系统突发事件后,应立即启动相应应急预案,本着尽量减少损失的原则,尽快恢复生产经营。
2.3.2.2 事件报告
分为紧急报告和详细汇报。紧急报告是指事件发生后,信息应用业务部门向技术支持部门以口头和应急报告表(见附件一)形式汇报事件的简要情况;详细汇报是指由信息应用业务部门在事件处理暂告一段落后,以书面形式提交的详细报告。
2.3.2.3 应急处理
建立应急处置总体流程,从故障发生、故障处置与应急解除三个阶段,对所涉及的环节、责任人与环节处置时间进行明确定义,当发生信息安全事件事,各环节责任根据事先建立的流程执行相应的处置工作。
2.3.2.4 应急结束
当信息安全事件等到有效控制或业务系统恢复正常运作后,解除应急状态;
2.3.2.5 后期处理
依据风险危害程度,确定不同的监测周期,持续观察,确认无异常。
2.3.2.5.2 调查与评估
信息系统突发事件应急处理结束后,对按照相关规定要求需要成立调查组的事件,对事件产生的原因、影响进行调查和评估,对责任进行认定,提出整改建议,如涉及人为因素依照相关影响程度、范围等情况根据我中心与相关上级意见进行处理。
2.3.2.5.3 改进措施
在调查与评估后,应结合运行过程中的异常和事件,综合分析信息安全中存在的关键点和薄弱点,提出该类事件的整改措施,制定整改实施方案并予以落实,整改措施和方案报省公司信息中心和省公司营销部。
2.3.3 应急保障
在日常管理中应建立通信保障、物资保障与技术保障制度,以确保应急过程执行的有序性。
2.4 安全预防工作
2.4.1加强应急工作的宣传和教育,提高各级人员对应急预案重要性的认识,加强各部门和单位之间的协调与配合。
2.4.2 在信息系统应急预案编制完成和修订后,要组织对应急预案涉及的组织、指挥、操作人员与新入职员工、离职员工进行培训,通过培训使有关人员熟练掌握应急处理的程序和应急处理技能。
2.4.3 建立呼叫中心内部的信息安全防护体系,针对人员、设备与技术资源制作相应的管理办法,并依据管理办法开展常态的巡视工作。
2.4.4在各专项应急预案在制定、修订后,要组织相应的演练,并通过演练验证应急预案和各专项应急预案的合理性、流程的适用性,并及时修订和完善。
1.总则
1.1目的
为提高XX部处理突发信息网络事件的能力、形成科学、有效、反应迅速的应急工作机制,确保重要可视化数字化信息系统的实体安全、运行安全和数据安全,最大限度地减少网络与信息安全突发公共事件的危害,保护公司利益,特制定本预案。
1.2适用范围
本预案适用于XX部发生和可能发生的网络与信息安全突发事件。
1.3工作原则
(1) 预防为主。立足安全防护,加强预警,重点保护基础信息和重要信息系统,从预防、监控、应急处理、应急保障环节,采取多种措施,共同构筑网络与信息安全保障体系。
(2) 快速反应。在网络与信息安全突发公共事件发生时,按照快速反应机制,及时获取充分而准确的信息,迅速处置,最大程度地减少危害和影响。
(3) 分级负责。按照“谁主管谁负责、谁使用谁负责”以及“条块结合”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,加强协调与配合,形成合力,共同履行应急处置工作的管理职责。
1.4编制依据
根据《中华人民共和国计算机信息系统安全保护条例》、《计算病毒防治管理办法》及《XX矿总体应急预案》及XX部设备管理等管理规定,制定《XX部突发信息网络事故应急预案》(以下简称预案)。
2组织机构及职责
2.1组织机构
成立XX部突发信息网络事故应急领导小组(以下简称“信息网络事故应急领导小组”)。
组长:王晟秋
副组长:陈达才
成员:维护员及监控班长
2.2信息网络事故应急领导小组职责。
(1)负责编制、修所辖范围内突发信息网络事件应急预案(2)通过本系统局域网络中心及电信网络机房交流等手段获取安全预警信息,周期性或即时性地向局域网和用户网络管理部门;对异常流量来源进行监控,并妥善处理各种异常情况。
(3)及时组织专业技术人员对所辖范围内突发信息网络事件进行应急处置;负责调查和处置突发信息网络事件,及时上报并按照相关规定作好善后工作,
(4)负责组建信息网络安全应急救援队伍并组织培训与演练。
3 预警及预警机制
突发信息网络事件安全预防措施包括分析安全风险,准备应急处置措施,建立网络和信息系统的监测体系,控制有害信息的传播,预先制定信息安全重大事件的通报机制。
3.1突发信息网络事故分类
关键设备或系统的故障;自然灾害(水、火、电等)造成的物理破坏;人为失误造成的安全事件;电脑病毒等恶意攻击等。
3.2应急准备
XX部监控中心明确职责和管理范围,根据实际情况,安排应急值班,确保到岗到人,联络畅通,处理及时准确。
3.3具体措施
(1)建立安全、可靠、稳定运行的机房环境,防火、防盗、防雷电、防水、防静电、防尘;建立备份电源系统;加强所有人员防火、防盗等基本技能培训。
(2)实行实时监视和监测,采用认证方式避免非法接入和虚假路由信息。
(3)重要系统采用可靠、稳定硬件,落实数据备份机制,遵守安全操作规范;安装有效的防病毒软件,及时更新升级扫描引擎:加强对局域网内所有用户和信息系统管理员的安全技术培训。
(4)安装反入侵检测系统,监测恶意攻击、病毒等非法浸入技术的发展,控制有害信息经过网络的传播,建立网关控制、内容过滤等控制手段。
4有关应急预案
4.1机房漏水应急预案
(1)发生机房漏水时,第一目击者应立即通知监控中心,并及时报告信息网络事件应急领导小组。
(2)若空调系统出现渗漏水,监控中心值班班长应立即安排停用故障空调,清除机房积水,并及时联系设备供应方处理,同时启动备用空调,必要情况下可临时用电扇对服务器进行降温。
(3)若为墙体或窗户渗漏水,监控中心值班班长应立即采取有效措施确保机房安全,同时安排通知综合管理部,及时清除积水,维修墙体或窗户,清除渗漏水隐患。
4.2设备、物资发生被盗或人为损害事件应急预案
(1)发生设备或物资被盗或人为损害设备情况时,使用者或管理者应立即报告信息网络事件应急领导小组,同时保护好现场。
(2)信息网络事件应急领导小组接报后,通知特保大队、值班领导、派出所、一同核实审定现场情况,查看被盗或盘查人为损害情况,做好必要的录像回放记录和文字记录。
(3)事发单位和当事人应当积极配合公安部门进行调查,并将有关情况向公与领导汇报。
4.3长时间停电应急预案
(1)接到长时间停电通知后,信息网络事件应急领导小组应及时通过办公系统电话等相关信息,部署应对具体措施,要求前端在停电前停止业务、保存数据。
(2)停电时间过长的,启动备用电源,保证监控中心正常运转,如有必要及时报巡逻队前网断电地点实时监控。
4.4通信网络故障应急预案
(1)发生通信线路中断、路由故障、流量异常、域名系统故障后,操作员应及时通知系统管理员,并停止前端一切行为操作,经初步判断后及时上报信息网络事件应急领导小组主管领导。
(2)领导小组接报告后,应及时查清通信网络故障位置,并将事态及时报告主管领导,如外网应通过相关通信网络运营商查清原因;内网故障及时组织相关技术人员检测故障区域,逐步恢复故障区与服务器的网络连接,恢复通信网络,保证正常运转。
(3)应急处置结束后,应出具故障分析报告。
4.5不良信息和网络病毒事件应急预案
(1)发现不良信息或网络病毒时,信息系统管理员应立即断开网线,终止不良信息或网络病毒传播,并报告信息网络事件应急领导小组。
(2)根据信息网络事件应急领导小组指令,采取隔离网络等措施,及时杀毒或清除不良信息,并追查不良信息来源。
(3)事态或后果严重的,信息网络事件应急领导小组应及时报告主管领导。
(4)处置结束后,应出具事件分析报告。
4.6 服务器软件系统故障应急预案
(1)发生服务器软件系统故障后,网络管理应立即启动备用服务器系统,由备用服务器接管业务应用,并及时报告信息网络事件应急领导小组;同时安排相关责任人将故障服务器脱离网络,保存系统状态不变,保持原始数据。
(2)网络、监控中心应根据信息网络事件应急领导小组指令,在确认安全的情况下,重新启动故障服务器系统;重启系统成功。则检查数据丢失情况,利用备份数据恢复;若重启失败,立即联系相关单位,请求技术支援,作好技术处理。
(3)事态或后果严重的,及时报告主管领导。
(4)处置结束后,应出具事件分析报告。
4.7 黑客攻击事件应急预案
(1)当发现网络被非法入侵、数据影响内容被篡改、应用服务器上的数据的被非法拷贝、修改、删除、或通过入侵检测系统发现有黑客正在进行攻击时,使用者或管理者应断开网络,并立即报告信息网络事件应急领导小组。
(2)接报告后,信息网络事件应急领导小组应立即核实情况,关闭服务器或系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登陆账号,阻断可疑用户进入网络的通道。
(3)维护技术员应及时清理系统,恢复数据、程序,恢复系统和网络正常;情况严重的立即上报主管领导。
(4)处置结束后,应出具事件分析报告。
4.8核心设备硬件故障应急预案
(1)发生核心设备硬件故障后,网络监控中心应及时报告信息网络事件应急领导小组,并组织查找、确定故障设备及故障原因,进行先期处置。
(2)若故障设备在短时间内无法修复,监控中心维护员应启动备用设备,保持系统正常运行;将故障设备脱离网络,进行故障排除工作。
(3)网络监控中心应在故障排除后,在网络空闲时期,替换备用设备;若故障仍然存在,立即联系相关厂商,认真填写设备故障报告单备查。
(4)处置结束后,应出具事件分析报告。
4.9运矿数据损坏应急预案
(1)发生运矿数据损坏时,监控中心应及时报告信息网络事件应急领导小组,检查、备份运矿系统当前数据。
(2)监控中心维护员负责调用备份服务器备份数据,若备份数据损坏,则调用历史备份数据,若历史数据仍不可用,则调用异地备份数据。
(3)运矿数据损坏事件无法恢复时及时通知主管领导,并开展相应的备用服务器。
(4)维护员待数据系统恢复后,检查历史数据和当前数据的差别,重新备份数据,并写出故障分析报告。
4.10雷击事故应急预案
(1)遇雷暴天气或雷暴气象预报,监控中心应及时报告信息网络事件应急领导小组或主管领导,经请示同意是否可以关闭部分服务器,切断电源,暂停部分计算机网络工作。
(2)雷暴天气结束后、及时开通部分暂停服务器,恢复计算机网络工作,对设备和数据进行检查,出现故障的,及时报信息网络事件应急领导小组。
(3)因雷击造成损失的,信息网络事件应急领导小组应进行核实、报损、结束后做出书面报告。
5应急处置
发生信息网络突发事件后,相关人员应在3分钟内向信息网络事件应急领导小组报告,信息网络事件应急领导小组组织人员采取有效措施开展先期处置,恢复信息网络正常状态。
发生重大事故(事件),无法迅速消除或恢复系统,影响较大时实施紧急关闭,并立即向主管领导汇报并通知相关业务部门。
6 善后处置
应急处置工作结束后,信息网络事件应急领导小组组织有关人员和技术人员组成事件调查组,对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估,根据应急处置中暴露出的管理、协调和技术问题,改进和完善预案,实施针对性演练,总结经验教训,整改存在隐患,组织恢复正常工作秩序。
7应急保障
7.1 通信保障
监控中心负责收集、建立突发信息网络事件应急处置工作小组内部及其他相关部门的应急联络信息,信息网络事件应急领导小组全体人员保证全天24小时通讯畅通。
7.2装备保障
监控中心负责建立并保持电力、空调、机房等网络安全运行基本环境,预留一定数量的信息网络硬件和软件设备,指定专人保管和维护。
7.3数据保障
重要信息系统均建立备份系统,保证重要数据在受到破坏后可紧急恢复。
7.4队伍保证
建立符合要求的网络与信息安全保障技术支持力量,对网络接入部门的网络与信息安全保障工作人员提供技术支持和培训服务。
8 监督管理
8.1宣传、教育和培训
将突发信息网络事件的应急管理,工作流程等列为培训内容,增强应急处置能力,加强对突发信息网络事件的技术准备培训,提高技术人员的防范意识及技能。信息网络事件应急领导小组每年至少开展一次公司系统范围内的信息网络安全教育,提高信息安全防范意识和能力。
8.2预案演练
信息网络事件应急领导小组每年不定期安排演练,建立应急预案定期演练制度。通过演练,发现和解决应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力。
8.3 责任与奖惩
信息网络事件应急领导小组不定期组织对各项制度、计划、方案、人员及物资等进行检查,对在突发信息网络事件应急处置中做出贡献的集体和个人,在部门二次分配中给予奖励;对,造成不良影响或严重后果的追究其责任。
9 附则
9.1预案更新
结合公司信息网络发展配合相关制度的规定、修改和完善,适时修订本预案。
9.2 制定与解释部门
本预案由XX部制定并负责解释。
9.3预案实施或生效时间
对比省级及以上级别的商业银行,中小城市银行分支机构、村镇银行普遍存在信息安全基础设施不达标、技术水平落后、运维能力薄弱等问题。针对这些问题,本文提出了建立统一的信息安全基础环境建设标准以及健全的信息安全管理体系,不断提高信息安全运维水平,有效防范区域性信息安全风险。
关键词:
信息安全;中小城市;银行分支机构;基础设施
近年来,我国中小城市商业银行不断发展壮大,银行业数据大集中趋势越来越明显,对于地级市商业银行分支机构和村镇银行等小微金融机构而言,由于其存在规模小、信息安全专业人才相对匮乏、信息安全建设资金投入较少、信息安全意识淡薄、信息安全风险防范能力不强等原因,风险日益突出。因此,中小城市银行分支机构的信息安全管理应引起高度关注。
一、中小城市银行分支机构信息安全管理现状
以笔者所在城市最近5年的情况来看,新成立村镇银行有3家,商业银行新设分支机构有4家(不包括新设营业网点),根据历年综合执法检查的情况分析,这些银行普遍存在机房基础设施建设不达标、网络综合布线不规范、应急演练记录缺失、应急预案与实际不符、信息安全运维人员匮乏、工作人员信息安全意识薄弱等问题。大部分分支机构的日常运维工作都采取外包服务的方式,其可靠性和安全性无法得到充分保障。
二、中小城市银行分支机构信息安全存在问题
(一)信息安全软硬件环境不达标。
一是机房、供电、综合布线、防雷等安全保护措施等方面达不到相关标准,设备、介质等安全管理软件欠缺。二是由于目前数据大集中趋势,地市级银行分支机构的网络和主机审计、接入认证、系统授权管理等手段缺失,应对信息安全风险事件反应较慢。三是主机病毒防护、系统安全、数据库安全、身份鉴别、数据完整性、保密性等方面缺少必要的软件,或相关安全配置工作不到位。四是大多数地市级银行分支机构缺少整体的运维监控平台,制约了应急响应处置能力。
(二)信息安全管理体系不健全。
信息安全管理工作主要由分支机构综合业务部负责。虽然人民银行加强了“两管理、两综合”检查,对新成立的银行分支机构开展了开业管理,并要求建立全面的信息安全长效管理机制,但在通过开业申请之后,制度执行力往往不够,信息安全责任很难落实到位。应急管理注重形式,缺乏与实际的结合,尽管制定了应急预案,但应急实战演练较少、涵盖范围不全,应急措施缺乏针对性、操作性和实效性。
(三)信息安全管理意识不强。
一是管理层对信息安全管理重视度不高,对信息安全的投入往往只有在机构成立时的一次性投入,忽视了信息安全管理是一个持续长久的过程。二是信息系统的运维人员把信息安全管理工作看成是技术问题,过分强调信息系统的可用性,认为信息安全管理工作就是网络安全和核心主机安全。实际上,信息安全更多应该是个管理问题,信息系统的可控性和保密性是信息安全不可或缺的部分。三是大部分员工只关注计算机的便捷性,而忽视了做好相关安全措施。
(四)信息安全运维能力薄弱。
首先,地市级银行分支机构科技运维大多采用外包方式,外包管理制度和约束不全面,使得系统运行风险及运维难度加大,村镇银行等小微金融机构大多并未配备科技人员,管理科技的人员往往身兼数职,很难对信息安全风险进行及时响应。其次,科技运维人员参加信息技术培训较少,缺少完整、系统的信息安全知识,应对信息安全风险处置能力不够。
三、相关对策和建议
(一)建立一套中小城市银行分支机构信息安全软硬件环境标准。
在不同等级的分支机构及营业网点建立相配套的软硬件设施,特别是加强机房、供配电、网络等基础设施的建设管理,在设备选型、施工安装和运行维护等过程严把关。同时,后期维护和管理也应持续遵循建设标准,做到“有章可循,有据可依”,确保IT基础设施安全稳定运行。
(二)建立健全信息安全管理体系,将责任层层落实。
一是要建立相应的信息安全领导小组,明确领导小组对信息安全管理和监督工作的领导,完善组织保障、协调机制,信息安全管理不只是科技部门的工作,应将信息安全管理纳入机构管理范畴。形成各部门协调统一、齐抓共管的信息安全工作局面。二是实施有效的信息安全防范措施,制定应急预案并与实际情况联系,应急操作要有针对性、实用性,要通过定期的演练来验证应急预案,并及时对应急预案进行评估和修订。
(三)不断提高信息安全运维水平。
一是各商业银行应定期对中小城市银行分支机构的科技人员及全体员工进行信息安全培训,提高风险防范意识,培养信息安全业务骨干,提升分支机构的应急响应和应急处置能力。二是要建立统一的信息资产监控平台,让分支机构的科技人员参与进来,及时发现问题并解决问题。三是要加强外包服务管理,签订相关的保密协议,同时在运维过程中要做好文档管理,充分考虑外包服务的连续性。
(四)监管机构要加强对当地商业银行和小微金融机构的信息安全管理指导和监督。
参考银行业监督管理委员会的《商业银行信息科技风险管理指引》和《人民银行信息系统信息安全等级保护实施指引(试行)》,加强银行分支机构开业管理和指导,定期对辖内银行机构开展信息安全检查,并纳入全年商业银行考评体系。
作者:李苏 单位:中国人民银行衡阳市中心支行
参考文献:
[1]邱成良.中小银行防范科技风险相关实践的探讨[J].时代金融,2014(32):118-120.
为科学应对体育局网络与信息安全突发事件,建立健全体育局网络与信息安全应急响应机制,有效预防、控制和最大限度的消除体育类网络与信息安全突发事件的危害和影响,等制定本预案。
1.2制定依据
《中华人民共和国计算机信息系统安全保护条例》等法律法规、《国家网络以信息安全事件应急预案》、《省网络与信息安全应急预案》、、《市人民政府突发公共事件总体应急预案》、《中共市委办公厅市人民政府办公厅转发信息化工作领导小组关于加强全市信息安全保障工作实施意见的通知》、《市体育局保密工作规定》、《市体育局网络系统安全管理规定》。
1.3工作原则
市体育局网络与信息安全突发事件应急工作,由市体育局信息安全突发事件领导小组统一领导,组织协调所属单位和部门,按照“统一领导、相互协调、各负其职”的原则组织实施。
1.3.1明确责任,分工负责。市体育局网络与信息安全按照“归口管理、分级响应、及时发现、及时报告、及时处理、及时控制”的要求,依法对突发事件进行防范、监测、预警、报告、响应、指挥、协调和控制。按照“谁主管、谁负责,谁应用、谁负责”的原则,实行责任制和责任追究制。
1.3.2积极防御,综合防范。立足安全防护,加强预警,重点保护基础网络与信息的安全;从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面采取多种措施、充分发挥各方面的作用,共同构筑网络与信息安全保障体系。
1.3.3依靠科学,平战结合。加强技术储备,规范应急处置措施与操作流程,实现体育网络与信息安全突发事件应急处置工作的科学化、程序化与规范化。树立常备不懈的观念,定期进行预案演练,确保应急预案切实可行。
1.3.4以人为本,快速反应。大力宣讲网络与信息安全防范知识,贯彻预防为主的思想,加强对网络与信息安全隐患的日常监测,及时发现和防范重大信息体育局网络与信息安全突发性事件,采取有效的可控措施,及时控制事件影响范围,力争将损失降到最低程度。
1.4现状及其成因
近年来随着互联网的发展,信息安全问题已覆盖各个领域。特别是信息与网络犯罪有快速蔓延之势。反动组织和境内外敌对势力利用互联网从事各种违法犯罪活动,影响着社会稳定、经济发展。近年来,随着我国信息化进程的迅速发展,网络安全工作亟需加强完善。
体育局网络与信息安全突发事件成因可分为两个方面:一是网络与信息系统局内部局域网的脆弱性。二是网络与信息系统外部安全的不确定性。
1.5适用范围
本预案适用市体育局信息系统网络与安全应急处理工作。
本预案为内部应急预案,仅在我市局系统内执行。如方案规定的内容与法律法规相悖时,以法律法规为准。
2、组织机构及职责
2.1应急指挥机构及职责
市体育局成立局信息安全突发事件应急领导小组(以下简称“局信息安全领导小组”),承担体育局网络与信息安全突发事件的组织领导,局信息安全领导小组组长由市体育局局长担任,副组长由主管信息化工作的领导担任。局信息安全领导小组下设信息安全突发事件应急处理办公室,办公室由局办公室、机关各处室和直属事业单位领导组成,具体负责局系统内信息安全突发事件应急处理工作。
按照国家、省、市政府网络与信息安全应急机构的要求开展处置工作;研究决定体育局网络与信息安全应急工作的有关重大问题;组织制订信息安全常识、应急知识的宣传培训和应急救援队伍的业务培训与演练;决定体育网络与信息安全突发事件应急预案的启动,组织力量对突发事件进行处置;汇总有关体育网络与信息安全突发事件的各种重要信息,进行综合分析;应急处置和事后恢复与重建工作。
2.2局信息安全应急处理办公室职责
接收来自有关部门的重要信息,向局信息安全领导小组报告,局信息安全领导小组的预警信息;在应急期间会同有关部门做好保密、现场保护、安全保卫、交通通信等工作;与相关部门的联系与协调;体育局信息网站的建设与管理,统筹规划建设应急处理技术平台,严密监控信息网络运行状况,对发生重大计算机病毒和大规模网络攻击事件进行及时处置,打击攻击、破坏网络安全运行等违法犯罪行为。从技术方面处理发生问题的系统,检测入侵事件,并采取技术手段来降低损失。
2.3应急指挥
局信息安全领导小组负责重大安全事件的应急指挥。
3、分类分级
本预案所指的体育局网络与信息安全突发事件,是指重要的体育局信息网络系统和安全系统(包括:供电系统、消防系统、信息系统等)突然遭受不可预知外力的破坏、毁损、故障,对体育信息网、社会公众乃至国家造成或者可能造成重大危害的紧急事件。
3.1事件分类
根据体育网络与信息安全突发事件的发生过程、性质和特征,可划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害、事故灾难和人为破坏引起的网络与信息系统的损坏;信息安全突发事件是指利用信息网络进行有组织的大规模的反动宣传、窃取和渗透等破坏活动。
3.1.1自然灾害是指地震、台风、雷电、火灾和洪水等。
3.1.2事故灾难是网络损坏、硬件设备故障等。
3.1.3人为破坏是指人为破坏网络线路、通信设施、黑客攻击、病毒攻击和恐怖主义活动等事件。
3.2事件分级
根据体育网络与信息安全突发事件的可控性、严重程度和影响范围,分为四级:I级(特别重大),II级(重大),III级(较大),IV级(一般)。
3.2.1Ⅰ级(特别重大):体育局网络与信息安全系统发生全市体育系统大规模瘫痪,事态发展超出控制能力,对国家财产、公共利益和体育工作造成特别严重损害的突发事件,需要跨部门协同处置的突发事件。
3.2.2Ⅱ级(重大):体育局网络与信息安全系统造成系统性瘫痪,对国家安全、公共利益和体育工作造成严重损害,但不需要跨部门协同处置。
3.2.3Ⅲ级(较大):某一区域的体育局网络与信息安全系统瘫痪,对国家安全、公共利益和体育工作造成一定损害。
3.2.4Ⅳ级(一般):体育局网络与信息安全系统受到一定程度的损坏,但不危害国家安全,公共利益和体育工作的突发事件。
4、消防系统应急方案
4.1当服务器机房出现火情、火灾时,现场人员应保持镇静。同时,应在最短时间内通知主管领导及局办公室,对火情做出正确判断,及时采用一些简单可行的方法做初步处理,如:到指定的位置取灭火器或采用一些应急灭火措施灭火;第一时间迅速切断总闸、关闭供电系统,将自动灭火系统转为“手动”方式。
4.2平时要注意保养和维护七氟丙烷自动灭火系统,使之保持正常工作状态,如果夜间出现火情,机房专用的自动灭火控制器将会自动开启,实施灭火。
4.3平时机房值班人员应熟练掌握各类灭火器的使用方法,掌握灭火技能,并能做到反应迅速,操作准确,处理得当。具体应急方法简要过程如下:
4.3.1接到报火险或设备报火警的情况时,若火势较小,先将自动灭火控制器转到“手动”档;立即提取摆放在周围固定位置的手持式灭火器进行处置。
4.3.2手提灭火器使用方法:提取灭火器,拔下安全销,左手紧握喷管前端橡胶处,右手压住灭火器按把,如果是灯具着火应站在灯具斜下方向上喷射,如果在桌上,应站在距离火点三米左右地方喷射着火点。
4.3.3若发现火势及烟雾较大,在保证设备、人员安全的条件下,应立即疏散物理场地内的工作人员。
4.3.4若火势特大,用普通的灭火器已无法控制,应迅速打119电话报警,并派人到大门外等候并引导消防车和救援人员进入火灾现场;必须启动气体消防系统时,首先确认物理场地内无任何人员,在征得主管领导同意后,由安全管理员按照《七氟丙烷气体灭火系统的操作说明》启动灭火系统。
4.3.5如果是电器火灾应注意电气安全,因为电器在着火时,并不能确定电闸是否分断,应先关闭总闸、UPS供电系统以及所属设备。
4.3.6安全管理人员应了解火灾事件造成的损失,记录整个过程并报部门领导。
4.4机房发生火情90%以上是电器火灾,所以在日常巡察的基础上,主管部门应定期组织相关人员检查、维护配电系统和机房所属设备运行状态,至少一个季度进行一次全面的检修,更换有安全隐患的器件,防患于未然。
5、信息系统应急方案
5.1通信系统应急方案
5.1.1发生通信线路中断、路由故障时,网络系统管理员应检查故障线路、进行初步故障定位并通知运维管理部门。
5.1.2如果通讯系统出现比较严重的问题,对单位的正常运转造成较大的影响,需立即向上级主管报告,并通知相关人员,不得擅自做出决定;
5.1.3对有简单故障的设备,运维管理人员可以修理发生故障的设备,解决相应问题并记录;
5.1.4发现需要更换设备,应上报领导,经批准后马上更换相应故障设备,尽快恢复线路;
5.1.5运维管理部门发现无法及时修理时,应立即通知相关厂家的维修人员,由厂家维修人员尽快解决;
5.1.6如发现交换机发生故障,应立即通知厂家的维修人员来修理,不能擅自修理;
5.1.7如发现是线路的问题,应与线路提供商联系,敦促对方尽快恢复故障线路;
5.1.8网络运行管理部门应将应急处理过程备案并报上级部门备案。
5.2黑客攻击应急方案
市体育局网站建设和办公系统管理由局办公室分管,办公室负责对体育信息网站和办公系统中出现的网页篡改、黑客入侵等现象的监察,并及时向经济信息中心(数据管理中心)反映故障情况。
5.2.1发现有黑客入侵迹象后,应立即通知网络管理员和安全管理员,并停止一切操作;
5.2.2同时切断受攻击计算机与网络的物理连接;
5.2.3由网络管理员来调查具体情况,并立即采取相应的防范措施;
5.2.4立即对内部网内所有的机器采取防范措施,防止黑客用同样的手段再次入侵;
5.2.5由网络管理员判断损失情况,并立即上报上级主管,对损失的数据和资料立即采取相应的补救措施;
5.2.6受攻击的主机的一切设置都要更改,原有的用户名和口令都要更改,机器使用者的其他账户也要更改;
5.2.7如果有可能泄露单位内部网的相关信息,需要立即更换所有内部网的设置,所有用户的账号和密码都要更改,一切有可能泄露的信息都要立即加以修改;
5.2.8如果受攻击的为服务器,则服务器上的所有相关信息都要立即更改;
5.2.9如有必要,停止使用受攻击的主机和服务器,启用备用服务器;
5.2.10对受攻击机器加强监控,随时注意异常情况;
5.2.11如果能追查到攻击者的相关信息,可以对其发出警告,在警告无效的情况下,可以采取进一步的行动,乃至采取法律手段;
5.2.12一切情况处理完成后,需填写《安全事件报告表》。
5.3网络系统应急方案
5.3.1发现网络故障,立即通知网络管理员;
5.3.2由网络管理员来检查网络情况,初步确定故障原因;
5.3.3如网络设备发生严重故障,导致网络无法正常运转,应立即通知相关人员,并立即启用网络备用设备;
5.3.4如果是线路故障,应立即启用备用线路;
5.3.5如果有重要的信息需要在网上处理,在上级主管批准后,由安全管理员做记录后,可以临时使用调制解调器拨号上网;
5.3.6使用调制解调器拨号上网的计算机不能与内部网相连,必须独立;
5.3.7如有必要应提前在安全管理部登记备案;
5.3.8在此期间,不得擅自使用本单位以外的网络进行信息交流;
5.3.9其他信息参见相关管理规范。
5.4病毒应急方案
5.4.1发生病毒感染情况的时候,马上停止所有操作,切断网络连接,并通知系统维护人员和安全管理员;
5.4.2在感染病毒的计算机上运行杀毒软件,全面检查计算机系统,将病毒彻底清除;
5.4.3如果是服务器发生了病毒感染,应立即停止服务器所运行的所有程序和相关服务,防止病毒进一步扩散,并通知系统维护人员和安全管理员;在服务器端运行杀毒软件,全面检查计算机系统,清除病毒;
5.4.4服务器查杀病毒的同时,所有与服务器连接的计算机都要进行病毒查杀;
5.4.5启动备用服务器,同时,将原有服务器与网络彻底断绝物理连接;
5.4.6若病毒已将系统破坏,导致系统无法恢复,应将感染病毒的计算机上的重要数据备份到其他存储介质,确保计算机内重要的数据不会丢失;
5.4.7备份数据也要进行病毒检测,防止病毒交叉感染;
5.4.8数据无法恢复,经单位领导同意后,可与反病毒部门联系,由他们来协助恢复,需要保证数据信息不泄露,并由安全管理员做记录;如为数据,按安全保密有关规定处理;
5.4.9完成后需要由安全管理员做记录;
5.4.10如为病毒服务器问题,需在处理后填写《安全事件报告表》。
5.5系统备份应急方案
数据管理中心定期做好应用数据库、安全文档管理、电子档案、办公系统、网站系统等主要应用系统数据备份工作。
5.5.1发现数据由于某些原因丢失,首先记录故障时间和相关信息;注意保护数据现场。
5.5.2判断故障类型和级别。
5.5.3安排相关技术人员进行紧急处理。
5.5.4如果是硬盘错误,则需要用备用硬盘替换;如果是硬盘数据丢失,要尽力采取措施修复或复制出数据。在相关负责人员确信无法挽救数据后,才可作废弃处理。
5.5.5利用存储备份系统恢复离故障点最近时间的数据,尽可能地降低损失。
5.5.6数据灾难恢复后,提交故障报告,分析并总结故障原因。
6、应急处理程序
6.1预案启动
当发生体育局网络与信息安全事件时,由局信息安全领导小组启动应急预案,负责指挥应急处理工作,经济信息中心(数据管理中心)负责技术指挥和处理。
6.2现场应急处理
事件发生现场应急处理工作组尽最大可能收集事件相关信息,分别事件类别,确定来源,保护证据,以便缩短应急响应时间。
检查威胁造成的结果,评估事件带来的影响和损害。
抑制事件的影响进一步扩大,限制潜在的损失与破坏。
在事件被抑制之后,要进行综合分析,找出事件根源,明确相应的补救措施并彻底清除。
6.3报告和总结
认真回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中,并将安全事件处理完毕后,在5个工作日内将处理结果报局信息安全领导小组。
6.4应急行动结束
根据体育网络与信息安全事件的处置进展情况和现场应急处理工作组意见,安全应急委组织相关部门对处置情况进行综合评估,确定应急行动是否结束。
7、保障措施
7.1技术支撑保障
建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力:从技术上逐步实现发现、预警、处置、通报应急处理的联动机制。
7.2应急队伍保障
不断加强安全应急人才培养,进一步强化安全宣传教育,努力建设一支高素质、高技术的安全核心人才和管理队伍,提高安全防御意识。
7.3物质条件保障
在年度资金预算中,安排一定的资金用于预防或应对安全突发事件,提供必要的交通运输保障,为安全应急处理工作提供可靠的物资保障。
7.4技术储备保障
局信息安全应急处理办公室要经常组织相关技术人员进行培训,在允许的条件下,还可以邀请专家和科研力量,开展应急运作机制、应急处理技术等研究。
8、培训和演习
8.1人员培训
为确保体育网络与信息安全应急预案高效运行,将定期或不定期地举办不同类型的培训或研讨会,以便不同岗位的应急人员都能熟悉掌握安全应急处理的知识和技能。
8.2应急演习
为提高安全突发事件应急响应水平,定期或不定期组织预案演练。通过演习,进一步明确应急响应各岗位责任,对网络与信息预案中存在的问题和不足给予及时补充和完善。
9、监督检查与奖惩
9.1预案执行监督
局安全应急委负责对预案实施的全过程进行监督检查,督促成员单位按本预案指定的职责采取应急措施,确保及时、到位。
发生重大安全事件的单位应当按照规定及时如实地报告事件的有关信息,不得瞒报、缓报。
应急行动结束后,安全应急委对相关成员单位采取的应急行动的及时性、有效性进行评估。
9.2奖惩与责任
9.2.1对下列情况经局信息安全领导小组评估审核后,报局党组批准后予以奖励:
在应急行动中做出特殊贡献的先进单位和个人;在应急行动中提出重要建议方案,节约大量应急资源或避免重大损失的人员;在应急行动第一线做出重大成绩的现场作业人员。