審計局網絡與信息安全應急預案

本文格式為Word版下載后可任意編輯和復制第第頁審計局網絡與信息安全應急預案第一章總則

第一條本預案所稱突發(fā)性大事，是指自然因素或人為活動引發(fā)的危害福州市審計局網絡設施及信息平安等有關的災難。

其次條本預案的指導思想是確保福州市審計局有關計算機網絡及信息的平安。

第三條本預案適用于發(fā)生在福州市審計局網絡范圍內的突發(fā)性大事應急工作。

第四條應急處置工作原則：

（一）明確責任、分級負責：根據(jù)“誰主管誰負責，誰運行誰負責”的要求，逐級建立并落實審計信息系統(tǒng)責任制和應急機制。

（二）加強領導、分工合作：市局各處室應根據(jù)規(guī)定的職責和流程，實施統(tǒng)計信息系統(tǒng)的應急處理工作。

（三）樂觀預防、準時預警：市局各處室應及早發(fā)覺平安大事，準時進行預警和信息通報；樂觀做好應急處理預備，提高對平安大事的預防和應急處理力量。

（四）協(xié)作協(xié)作、確保恢復：市局各處室要協(xié)同協(xié)作，確保在最短的時間內完成系統(tǒng)的恢復。

其次章組織指揮和職責任務

第五條福州市審計局成立網絡與信息平安工作領導小組，局辦公室負責日常工作。

組長：翁國榮

副組長：潘玉寧

成員：吳祥添

領導小組的主要職責與任務是統(tǒng)一領導信息網絡的災難應急工作，全面負責信息網絡可能消失的各種突發(fā)大事處置工作，協(xié)調解決災難處置工作中的重大問題等。

第三章處置措施和處置程序

第六條處置措施

處置的基本措施分災難發(fā)生前與災難發(fā)生后兩種狀況。

（一）災難發(fā)生前，即日常管理與災難發(fā)生前的征兆階段，局辦公室要預先對災難預警預報體系進行建設（防殺毒體系、漏洞補丁修補、防ARP網絡攻擊、單機網絡備份系統(tǒng)、防單機非法內（外）聯(lián)、移動設備認證系統(tǒng)），并開展災難調查，編制災難防治規(guī)劃，建設專業(yè)監(jiān)測網絡，并規(guī)劃建設災難信息管理系統(tǒng)，準時處理災難訊情信息。加強災難險情巡查。局辦公室要充分發(fā)揮專業(yè)監(jiān)測的作用，進行定期和不定期的檢查，加強對災難重點部位的監(jiān)測和防范，發(fā)覺有不良險情時，要準時處理并向領導小組報告。建立健全災情速報制度，保障突發(fā)性災難緊急信息報送渠道暢通。

（二）災難發(fā)生后，馬上啟動應急預案，實行應急處置程序，判定災難級別，并馬上將災情向網絡與信息平安領導小組報告，在處置過程中，應準時報告處置工作進展狀況，直至處置工作結束。

第七條處置程序

（一）發(fā)覺狀況

市局各處室信息化管理人員要嚴格執(zhí)行監(jiān)管制度、處內設備管理和定期查殺毒制度，局辦公室做好網絡信息系統(tǒng)平安的日常巡查工作，以保障最先發(fā)覺災難并準時處置。

（二）預案啟動

一旦災難發(fā)生，馬上啟動應急預案，進入應急預案的處置程序。

（三）應急處置方法

在災難發(fā)生時，首先應區(qū)分災難發(fā)生是否為自然災難與人為破壞兩種狀況，依據(jù)這兩種狀況把應急處置方法分為兩個流程。

流程一：當發(fā)生的災難為自然災難時，應依據(jù)當時的實際狀況，在保障人身平安的前提下，首先保障數(shù)據(jù)的平安，然后是設備平安。詳細方法包括：硬盤的拔出與保存，設備的斷電與拆卸、搬遷等。

流程二：當人為或病毒破壞的災難發(fā)生時，詳細按以下挨次進行：推斷破壞的來源與性質，斷開影響平安與穩(wěn)定的信息網絡設備，斷開與破壞來源的網絡物理連接，跟蹤并鎖定破壞來源的IP或其它網絡用戶信息，修復被破壞的信息，恢復信息系統(tǒng)。根據(jù)災難發(fā)生的性質分別采納以下方案：

1．網絡信息系統(tǒng)故障的應急處理流程

（1）報告和簡潔處理

網絡設備、網絡應用系統(tǒng)故障應由發(fā)覺人通知局辦公室，局辦公室派人馬上檢查故障，進行初步故障定位。假如網絡、應用系統(tǒng)消失比較嚴峻的問題，對網絡業(yè)務的正常運行造成較大的影響，需馬上向有關領導報告。

（2）故障推斷與排解

對簡潔故障，運維人員應快速排解故障，解決問題并記錄。假如需要更換設備，應上報有關領導,經批準后立刻更換故障設備，盡快恢復網絡、應用系統(tǒng)運行。運維部門推斷無法準時修理時，應馬上通知相關的系統(tǒng)運行服務供應商，在最短的時間內支配修理或更換系統(tǒng)。

（3）網絡線路故障排解

如發(fā)覺屬外部線路的問題，應與線路服務供應商聯(lián)系，敦促對方盡快恢復故障線路。

（4）啟用備份線路、設備、系統(tǒng)（假如存在的話），快速恢復相關的應用。

2．網站檢測與自動恢復系統(tǒng)應急處理流程

（1）報告和簡潔處理

當發(fā)覺網站不能正常打開或網站內容被惡意篡改時，任何人員都有義務向領導小組或局辦公室報告。由局辦公室應急響應，聯(lián)合相關部門進行故障排查。

（2）處理和恢復使用

先由網絡運維部門查看網絡連接狀況，若不是網絡故障，則由局辦公室排查軟、硬件故障。待故障處理完成并經過測試后，恢復系統(tǒng)的正常運行和內容的正常應用。

3.黑客入侵的應急處理

（1）報告和簡潔處理

當發(fā)覺網絡上有黑客攻擊行為，任何人員都有義務向領導小組或局辦公室報告。局辦公室馬上啟動應急響應，切斷受攻擊計算機與網絡的連接，停止一切操作、愛護現(xiàn)場，并上報有關領導。

（2）處理和恢復使用

對于黑客攻擊，由局辦公室查找入侵蹤跡，分析入侵方式和緣由。由平安管理員依據(jù)對入侵大事的分析，組織相關人員對內部網計算機整改，防止黑客用同樣的手段再次入侵其他系統(tǒng)。平安管理員檢查確定無平安隱患后，才可將受攻擊計算機重新連接網絡，或啟用備份計算機來恢復應用。

（3）應急響應

平安管理員應做好記錄，愛護現(xiàn)場，進行日志收集等工作。假如能追查到攻擊者的相關信息，可以對其發(fā)出警告，必要時可以實行進一步的行動，乃至實行法律手段。依據(jù)破壞程度，經有關領導同意后，上報公安部門。

若系統(tǒng)已被黑客破壞，無法恢復，應將受黑客攻擊的計算機上的重要數(shù)據(jù)備份到其他存儲介質，確保計算機內重要的數(shù)據(jù)不丟失。假如數(shù)據(jù)無法恢復，經有關領導同意后，可與國家指定的部門聯(lián)系，由他們來幫助恢復，為保證數(shù)據(jù)信息平安，需在平安管理部門做記錄。

4.大規(guī)模病毒（含惡意軟件）攻擊的應急處理

（1）報告和簡潔處理

當發(fā)覺網絡上有大規(guī)模病毒攻擊的行為，任何人員都有義務向領導小組或局辦公室報告。由局辦公室組織應急響應，切斷受攻擊計算機與網絡的連接，停止一切操作、愛護現(xiàn)場，馬上上報有關領導。

（2）已知病毒的處理和恢復

使用最新版本殺毒軟件對染毒計算機進行全面殺毒，并對染毒計算機系統(tǒng)進行漏洞修補。平安管理員確定沒有病毒和平安漏洞后，再連接網絡恢復使用。

（3）未知病毒的處理和恢復

觀看網管軟件依據(jù)監(jiān)視窗口的鏈路狀態(tài)，由此推斷感染病毒或惡意程序的客戶端、服務器所科的樓層交換機。打開該交換機的端口流量分析窗口，依據(jù)流量推斷感染病毒或惡意程序的客戶端所科交換機端口。關閉該交換機端口，隔離該工作站、服務器，阻斷與局域網的連接。依據(jù)端口狀態(tài)功能，查看該感染病毒或惡意程序的工作站的IP地址。依據(jù)IP地址信息找到該工作站的詳細位置，對該工作站進行病毒或惡意程序清除工作。

依據(jù)對于未知病毒，應首先嘗試手工殺毒處理，若系統(tǒng)已被病毒破壞，無法恢復，應將感染病毒的計算機上的硬盤加掛到其他機器上處理，將重要數(shù)據(jù)備份到其他存儲介質，盡最大努力愛護、保留感染計算機內重要的數(shù)據(jù)，同時防止病毒感染其他計算機。假如數(shù)據(jù)無法恢復，經有關領導同意后，可與國家指定的反病毒部門聯(lián)系，由他們來幫助恢復，為保證數(shù)據(jù)信息平安，需在平安管理部門作做記錄。如為涉及國家隱秘的數(shù)據(jù)，不允許由其他機構來恢復數(shù)據(jù)。

5．其他沒有列出的不確定因素造成的災難，可依據(jù)總的平安原則，結合詳細的狀況，做出相應的處理。不能處理的可以請示相關的專業(yè)人員。

（四）狀況報告

災難發(fā)生時，一方面根據(jù)應急處置方法進行處置，同時需要判定災難的級別，首先向網絡與信息平安應急處置領導小組匯報。在大型災難發(fā)生時或上級領導通知的特別時間內發(fā)生的災難，可以直接向局領導報告，也可向相應的公安機關計算機信息系統(tǒng)平安監(jiān)察部門匯報。中、小型級別的災難，可以只向網絡與信息平安應急處置領導小組匯報，并準時報告處置工作進展狀況，直至處置工作結束。狀況報告內容包括：災難發(fā)生的時間、地點，災難的級別，災難造成的后果，應急處置的過程、結果，災難結束的時間，以后如何防范類似災難發(fā)生的建議與方案等。

（五）發(fā)布預警

災難發(fā)生時，可依據(jù)災難的危害程度適當?shù)匕l(fā)布預警，特殊是一些在其他地方已經消失，或在平安相關網站發(fā)布了預警而信息網絡還沒有消失相應的災難，除了在技術上進行防范以外，還應當向網絡信息用戶發(fā)布預警，直至災難警報解除。

（六）預案終止

經檢測，災難險情或災情已消退，或者得到有效掌握后，由網絡與信息平安領導小組宣布險情或災情應急期結束，并予以公告，同時預案終止。

第四章保障措施

災難應急防治是一項長期的、持續(xù)的、跟蹤式的、深層次的和各階段相互聯(lián)系的工作，是有組織的科學與社會行為，而不是隨每次災難的發(fā)生而開頭和結束的活動。因此，必需做好應急保障工作。

第八條人員保障

重視人員保障，確保在災難發(fā)生前的人員值班，災難處置過程和災后重建中的人員在崗與戰(zhàn)斗力。

第九條技術保障

重視網絡信息技術的建設和升級換代，在災難發(fā)生前確保網絡信息系統(tǒng)的強勁與平安，災難處置過程中和災后重建中的相關技術支撐。

第十條物資保障

依據(jù)近二年網絡信息系統(tǒng)平安防治工作所需經費狀況，相應購買應急設施。同時，建立應急物資儲備制度，保