网络安全考核文档之12:晋城市统计局信息安全应急预案

1、总则

1.1目的

为科学应对网络与信息安全（以下简称信息安全）突发事件，建立健全信息安全应急响应机制，有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响，制定本应急预案。

1.2工作原则

网络与信息安全突发事件应急工作的基本原则：加强领导、统一指挥、分工负责、协作配合、积极预防、及时预警、快速处理、确保恢复。

●加强领导、统一指挥。

全市网络与信息安全突发事件应急工作由市局计算中心

统一领导和指挥，协调相关部门具体实施，完善应急工作体系和机制。

●分工负责、协作配合。

各有关科室和各县市统计局有责任对网络信息安全突发事件进行防范、预警、报告、响应、协调、控制，明确责任，相互配合。

●积极预防、及时预警。

宣传普及信息安全防范知识，树立常备不懈的观念，经常性地做好应对网络与信息安全突发事件的思想准备和工作准备，提高公共防范意识和信息安全保障水平。加强对网络与信息安全隐患的日常管理维护。

●快速处理、确保恢复。

如发现和防范网络与信息安全突发事件，应及时报告，充分利用现有信息安全应急支援服务设施，采取有效的措施，迅速处理，确保网络和信息系统的有效恢复、稳定运行。

2．网络与信息安全突发事件应急指挥机构

在市局的统一领导下，设立网络与信息安全突发事件应急指挥部，统一组织指挥全市系统信息安全突发事件应急工作。信息安全应急指挥部下设办公室，协调应急处理的具体工作。

2．1指挥部

总指挥：郭治琛  市统计局局长

成  员：申锦州  市统计局副局长

              申云峰  市统计局副局长

王建民  市统计局纪检组长

张志兴  市统计局总统计师

指挥部设办公室：

办公室主  任：李晓峰

副主任：魏  斌   贾光辉

联络员：程满胜  姜孝则   赵文红  李鸿先  唐振芳

        卫联起  杨瑞臻  

技术员：王  涛  田江波

3、监测和预防机制

3.1信息监测及报告

3.1.1市局计算中心及各县(市、区) 计算室负责人应加强信息安全监测、分析和预警工作，进一步提高计算机安全管理工作。

3.1.2建立信息安全突发事件报告制度，设立信息安全情况通报机制。

3.2预警

信息安全应急指挥部办公室接到信息安全突发事件报告后，应当经初步核实突发事件等级后，将有关情况及时向计算中心主任报告，进一步进行情况综合，研究分析可能造成损害的程度，提出初步行动对策。

3.3预防机制：

3．3．1做好服务器的密码保护工作，防止非本部人员操作数据库。定期对数据库进行检查（如表空间、回滚段等），对预期发生的问题做好事先防范。

3．3．2在数据库服务器上建立备份计划任务，在其他机器上建立转移备份计划任务并且要求备份的数据存放3个月以上，并定期刻录在不可擦写的介质里进行保存。

3．3．3各服务器上打全补丁，安装杀毒软件，及时更新病毒代码。如发现危害大的病毒，需在24小时内于OA和网站上张贴公告通知用户并说明病毒发作的原因、相应的特征及动员防范、注意事项等。

3．3．4在分公司的路由器、防火墙及各县路由器上做访问控制安全策略。

4应急处理程序

4．1级别的确定

信息安全突发事件级别分为三级：轻微、一般、重大。

轻微：是指轻微的故障，对业务没有明显影响。由县统计局系统管理员报市局计算中心备案，由市局计算中心协助县统计局系统管理员处理。

一般：是指一般的故障，对业务有一定影响。

重大：是指严重的故障，严重影响业务的运行。如：电信光纤线路长时间中断，网络大面积感染病毒，UPS无法正常工作，路由器损坏，数据库服务器硬件坏掉，数据库无法启动、服务器操作系统无法启动。

4．2应急启动

发生重大的信息安全突发事件后，由市局计算中心启动本应急预案，并负责应急处理工作；发生轻微、一般网络信息安全事件后，市局计算中心启动相应预案，并负责应急处理工作。

4．3现场应急处理

●硬件故障：联系代理商技术人员确认硬件故障，报修，代理商技术员到场解决，确保数据。

●软件故障：确认可靠的最新备份数据已经转移到其他电脑上，查看数据库相关信息，根据对应的故障解决问题。

●网络故障：通过PING,TRACERT等命令及查看本地连接状态，禁用、启用本地网卡，观察交换机、路由器、电信光端机等设备的状态等确定发生的故障。

●尽最大可能收集事件相关信息，识别事件类别，确定事件来源，保护备份数据。

●检查事件造成的结果，评估事件带来的影响和损害，如检查服务器、操作系统、数据库，检查是否有攻击者侵入了系统，以后是否能再次随意进入，损失的程度，确定暴露出的主要危险等。

●抑制事件的影响进一步扩大，限制潜在的损失与破坏。可能的抑制策略一般包括：关闭服务或关闭所有的系统，从网络上断开相关系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路。

●根除。在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。

●利用备份数据安装临时数据库服务器，确保业务恢复正常运行。

●清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应该十分小心，避免出现误操作导致数据的丢失。

4．4应急处理和报告

回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中。发生重大信息安全事件的单位应当在事件处理完毕后15个工作日内将处理结果报分公司备案。

系统恢复以后，关注其安全状况，特别是对曾经出问题的地方，要进行跟踪，并将突发事件处理结果记录于“宁德烟草信息系统处理申请表（附三）”。并上报市计算中心；并根据突发事件的原因及处理情况进行综合评估，并做出相应的通报、批评。

5、附则

5.1本预案适用于全市统计系统网络与信息安全突发事件应急处理工作。由市统计局计算中心制定。

5.2本预案通过实践检验,以及根据应急力量变更、新技术、新资源的应用和应急突发事件趋势，及时进行修订和完善。

5.3本预案网络与信息安全突发事件应急指挥部的成员、通信地址等发生变化时也应随时修订。

5.4本预案由市局批准后实施，由市局计算中心制定，解释权归市局网络与信息安全突发事件应急指挥部所有。