在現實生活或工作學習中,有時會出現一些突發事件,為了控制事故的發展,通常需要預先編制一份完整的應急預案。怎樣寫應急預案才更能起到其作用呢?以下是小編為大家整理的審計局網路與資訊保安應急預案,歡迎閱讀與收藏。
第一章總則
第一條本預案所稱突發性事件,是指自然因素或人為活動引發的危害福州市審計局網路設施及資訊保安等有關的災害。
第二條本預案的指導思想是確保福州市審計局有關計算機網路及資訊的安全。
第三條本預案適用於發生在福州市審計局網路範圍內的突發性事件應急工作。
第四條應急處置工作原則:
(一)明確責任、分級負責:按照“誰主管誰負責,誰執行誰負責”的要求,逐級建立並落實審計資訊系統責任制和應急機制。
(二)加強領導、分工合作:市局各處室應按照規定的職責和流程,實施統計資訊系統的應急處理工作。
(三)積極預防、及時預警:市局各處室應及早發現安全事件,及時進行預警和資訊通報;積極做好應急處理準備,提高對安全事件的預防和應急處理能力。
(四)協作配合、確保恢復:市局各處室要協同配合,確保在最短的時間內完成系統的恢復。
第二章組織指揮和職責任務
第五條福州市審計局成立網路與資訊保安工作領導小組,局辦公室負責日常工作。
組長:翁國榮
副組長:潘玉寧
成員:吳祥添
領導小組的主要職責與任務是統一領導資訊網路的災害應急工作,全面負責資訊網路可能出現的各種突發事件處置工作,協調解決災害處置工作中的重大問題等。
第三章處置措施和處置程式
第六條處置措施
處置的基本措施分災害發生前與災害發生後兩種情況。
(一)災害發生前,即日常管理與災害發生前的徵兆階段,局辦公室要預先對災害預警預報體系進行建設(防防毒體系、漏洞補丁修補、防ARP網路攻擊、單機網路備份系統、防單機非法內(外)聯、移動裝置認證系統),並開展災害調查,編制災害防治規劃,建設專業監測網路,並規劃建設災害資訊管理系統,及時處理災害訊情資訊。加強災害險情巡查。局辦公室要充分發揮專業監測的作用,進行定期和不定期的檢查,加強對災害重點部位的監測和防範,發現有不良險情時,要及時處理並向領導小組報告。建立健全災情速報制度,保障突發性災害緊急資訊報送渠道暢通。
(二)災害發生後,立即啟動應急預案,採取應急處置程式,判定災害級別,並立即將災情向網路與資訊保安領導小組報告,在處置過程中,應及時報告處置工作進展情況,直至處置工作結束。
第七條處置程式
(一)發現情況
市局各處室資訊化管理人員要嚴格執行監管制度、處內裝置管理和定期查防毒制度,局辦公室做好網路資訊系統安全的日常巡查工作,以保障最先發現災害並及時處置。
(二)預案啟動
一旦災害發生,立即啟動應急預案,進入應急預案的處置程式。
(三)應急處置方法
在災害發生時,首先應區分災害發生是否為自然災害與人為破壞兩種情況,根據這兩種情況把應急處置方法分為兩個流程。
流程一:當發生的災害為自然災害時,應根據當時的實際情況,在保障人身安全的前提下,首先保障資料的安全,然後是裝置安全。具體方法包括:硬碟的拔出與儲存,裝置的斷電與拆卸、搬遷等。
流程二:當人為或病毒破壞的災害發生時,具體按以下順序進行:判斷破壞的來源與性質,斷開影響安全與穩定的資訊網路裝置,斷開與破壞來源的網路物理連線,跟蹤並鎖定破壞來源的IP或其它網路使用者資訊,修復被破壞的資訊,恢復資訊系統。按照災害發生的性質分別採用以下方案:
1.網路資訊系統故障的應急處理流程
(1)報告和簡單處理
網路裝置、網路應用系統故障應由發現人通知局辦公室,局辦公室派人立即檢查故障,進行初步故障定位。如果網路、應用系統出現比較嚴重的問題,對網路業務的正常執行造成較大的影響,需立即向有關領導報告。
(2)故障判斷與排除
對簡單故障,運維人員應迅速排除故障,解決問題並記錄。如果需要更換裝置,應上報有關領導,經批准後馬上更換故障裝置,儘快恢復網路、應用系統執行。運維部門判斷無法及時修理時,應立即通知相關的系統執行服務提供商,在最短的時間內安排修理或更換系統。
(3)網路線路故障排除
如發現屬外部線路的問題,應與線路服務提供商聯絡,敦促對方儘快恢復故障線路。
(4)啟用備份線路、裝置、系統(如果存在的話),迅速恢復相關的應用。
2.網站檢測與自動恢復系統應急處理流程
(1)報告和簡單處理
當發現網站不能正常開啟或網站內容被惡意篡改時,任何人員都有義務向領導小組或局辦公室報告。由局辦公室應急響應,聯合相關部門進行故障排查。
(2)處理和恢復使用
先由網路運維部門檢視網路連線情況,若不是網路故障,則由局辦公室排查軟、硬體故障。待故障處理完成並經過測試後,恢復系統的正常執行和內容的正常應用。
3.黑客入侵的應急處理
(1)報告和簡單處理
當發現網路上有黑客攻擊行為,任何人員都有義務向領導小組或局辦公室報告。局辦公室立即啟動應急響應,切斷受攻擊計算機與網路的連線,停止一切操作、保護現場,並上報有關領導。
(2)處理和恢復使用
對於黑客攻擊,由局辦公室查詢入侵蹤跡,分析入侵方式和原因。由安全管理員根據對入侵事件的分析,組織相關人員對內部網計算機整改,防止黑客用同樣的手段再次入侵其他系統。安全管理員檢查確定無安全隱患後,才可將受攻擊計算機重新連線網路,或啟用備份計算機來恢復應用。
(3)應急響應
安全管理員應做好記錄,保護現場,進行日誌收集等工作。如果能追查到攻擊者的相關資訊,可以對其發出警告,必要時可以採取進一步的行動,乃至採取法律手段。根據破壞程度,經有關領導同意後,上報公安部門。
若系統已被黑客破壞,無法恢復,應將受黑客攻擊的計算機上的重要資料備份到其他儲存介質,確保計算機內重要的資料不丟失。如果資料無法恢復,經有關領導同意後,可與國家指定的部門聯絡,由他們來協助恢復,為保證資料資訊保安,需在安全管理部門做記錄。
4.大規模病毒(含惡意軟體)攻擊的應急處理
(1)報告和簡單處理
當發現網路上有大規模病毒攻擊的.行為,任何人員都有義務向領導小組或局辦公室報告。由局辦公室組織應急響應,切斷受攻擊計算機與網路的連線,停止一切操作、保護現場,立即上報有關領導。
(2)已知病毒的處理和恢復
使用最新版本防毒軟體對染毒計算機進行全面防毒,並對染毒計算機系統進行漏洞修補。安全管理員確定沒有病毒和安全漏洞後,再連線網路恢復使用。
(3)未知病毒的處理和恢復
觀察網管軟體根據監視視窗的鏈路狀態,由此判斷感染病毒或惡意程式的客戶端、伺服器所科的樓層交換機。開啟該交換機的埠流量分析視窗,根據流量判斷感染病毒或惡意程式的客戶端所科交換機埠。關閉該交換機埠,隔離該工作站、伺服器,阻斷與區域網的連線。根據埠狀態功能,檢視該感染病毒或惡意程式的工作站的IP地址。根據IP地址資訊找到該工作站的具體位置,對該工作站進行病毒或惡意程式清除工作。
根據對於未知病毒,應首先嚐試手工防毒處理,若系統已被病毒破壞,無法恢復,應將感染病毒的計算機上的硬碟加掛到其他機器上處理,將重要資料備份到其他儲存介質,盡最大努力保護、保留感染計算機內重要的資料,同時防止病毒感染其他計算機。如果資料無法恢復,經有關領導同意後,可與國家指定的反病毒部門聯絡,由他們來協助恢復,為保證資料資訊保安,需在安全管理部門作做記錄。如為涉及國家祕密的資料,不允許由其他機構來恢復資料。
5.其他沒有列出的不確定因素造成的災害,可根據總的安全原則,結合具體的情況,做出相應的處理。不能處理的可以請示相關的專業人員。
(四)情況報告
災害發生時,一方面按照應急處置方法進行處置,同時需要判定災害的級別,首先向網路與資訊保安應急處置領導小組彙報。在大型災害發生時或上級領導通知的特殊時間內發生的災害,可以直接向局領導報告,也可向相應的公安機關計算機資訊系統安全監察部門彙報。中、小型級別的災害,可以只向網路與資訊保安應急處置領導小組彙報,並及時報告處置工作進展情況,直至處置工作結束。情況報告內容包括:災害發生的時間、地點,災害的級別,災害造成的後果,應急處置的過程、結果,災害結束的時間,以後如何防範類似災害發生的建議與方案等。
(五)釋出預警
災害發生時,可根據災害的危害程度適當地釋出預警,特別是一些在其他地方已經出現,或在安全相關網站釋出了預警而資訊網路還沒有出現相應的災害,除了在技術上進行防範以外,還應當向網路資訊使用者釋出預警,直至災害警報解除。
(六)預案終止
經檢測,災害險情或災情已消除,或者得到有效控制後,由網路與資訊保安領導小組宣佈險情或災情應急期結束,並予以公告,同時預案終止。
第四章保障措施
災害應急防治是一項長期的、持續的、跟蹤式的、深層次的和各階段相互聯絡的工作,是有組織的科學與社會行為,而不是隨每次災害的發生而開始和結束的活動。因此,必須做好應急保障工作。
第八條人員保障
重視人員保障,確保在災害發生前的人員值班,災害處置過程和災後重建中的人員在崗與戰鬥力。
第九條技術保障
重視網路資訊科技的建設和升級換代,在災害發生前確保網路資訊系統的強勁與安全,災害處置過程中和災後重建中的相關技術支撐。
第十條物資保障
根據近二年網路資訊系統安全防治工作所需經費情況,相應購買應急設施。同時,建立應急物資儲備制度,保證應急搶險救災隊伍技術裝備的及時更新,以確保災害應急工作的順利進行。
第十一條訓練和演練
加強網路資訊的防災、減災知識的宣傳普及與培訓,增強審計人員防災意識和自救互救能力。有針對性地開展應急搶險救災演練,確保發災後應急救助手段及時到位和有效。
第五章附則
第十二條本預案由局辦公室負責解釋。
第十三條本預案自發布之日起施行。
第十四條各縣(市)、區審計局可參照本預案執行。