网络与信息安全应急预案
为了杭州市长征中学信息系统的安全管理与维护,提高处理突发性信息系统异常事件的能力,确保业务系统的稳定运行,特制订本应急预案。该预案旨在建立紧急状态下的快速响应、快速定位、快速处理的应急机制,增强紧急情况下的应急处理能力,进一步完善杭州市长征中学信息系统保障体系。
本预案是杭州市长征中学根据国家有关法律、法规和政策,结合杭州市长征中学信息系统建设和运行情况,重点针对业务系统中可能发生的重大突发事件编制的,包括总则、组织指挥体系及职责、预警和预防机制、应急处理程序、保障措施、附则及附件等,其中明确规定了在发生各类突发事件情况下,信息系统管理人员的相关职能和工作方法,具有一定的指导性和可操作性。
1. 总则
1.1 目的
为科学应对信息系统突发事件,建立健全信息系统的应急响应机制,有效预防、及时控制和最大限度地消除各类突发事件的危害和影响,制订本应急预案。
1.2 工作原则
a) 统一领导
遇到重大异常情况,应及时向有关领导报告,以便于统一调度、减少不良影响。
b) 综合协调
明确综合协调的职能机构和人员,做到职能间的相互衔接。
c) 重点突出
应急处理的重点放在运行着重要业务系统或可能导致严重事故后果的关键系统上。
d) 硬件及配置备份
备份相关网络设备、服务器参数、系统配置,相关硬件、线路的热备与冷备等措施,提高信息系统的安全系数。并在备用设备上按要求预先配置好各种参数,当发生故障时能自动或者手动切换能直接上线运行。
e) 快速恢复
系统管理人员在坚持快速恢复系统的原则下,根据职责分工,加强团结协作,必要情况下与设备供应商、维护商、网络平台提供商以及系统集成商等共同谋求问题的快速解决。
f) 及时反应,积极应对
出现信息业务故障时,值班人员应及时发现、及时报告、及时抢修、及时控制,积极对信息业务突发事件进行防范、监测、预警、报告、响应。
g) 防范为主,加强监控
经常性地做好应对信息业务突发事件的思想准备、预案准备、机制准备和工作准备,提高基础设备、基础网络和重要信息系统的综合保障水平。加强对信息业务应用的日常监视,及时发现信息业务突发性事件并采取有效措施,迅速控制事件影响范围,力争将损失降到最低程度。
2. 应急工作小组机构及职责
在网络事件的处理中,一个组织良好、职责明确、科学管理的应急队伍是成功的关键。组织机构的成立对于事件的响应、决策、恢复,防止类似事件的发生都具有重要意义。结合杭州市长征中学信息系统的实际情况,将信息系统故障有关应急人员的角色和职责进行明确划分如下(图1)。
1) 应急处理领导小组
及时掌握信息系统故障事件的发展动态,向上级部门报告事件动态;对有关事项做出重大决策;启动应急预案;组织和调度必要的人和外部资源等。
领导小组组长:吴震宇
领导小组副组长:朱理清、许雪强
领导小组成员:方虹、韩洁
2) 应急处理工作小组
负责定期了解外部支持人员的变动情况,及时更新其技术人员及联系方式等信息;快速响应由硬件系统、软件系统、网络系统、机房环境系统故障以及地震、火灾、雷电、水灾等自然灾害引起导致信息业务系统中断事件;执行上述相关故障的诊断、排查和恢复操作;定期通过运行维护管理软件、系统运行报告等方式对信息业务系统的使用情况进行分析,尽早发现网络的异常状况,排除网络隐患。
工作小组组长:陈伟
工作小组成员:郑潇轩、汪益停、陈鹏
3) 外部支持人员
包括网络运营商、设备供应维护商以及系统集成商等。负责事先向杭州市长征中学提供紧急情况下的应急技术方案和应急技术支援体系;积极配合应急人员进行故障处理。
设备供应商、系统集成商、电信运营商、设备维保商等联系方式。
3. 预警和预防机制
3.1 信息监测及报告
1) 信息系统的日常管理和维护
信息系统的日常管理和维护应加强信息业务应用的监测、分析和预警工作。
2) 建立信息业务系统故障事故报告制度
发生信息业务系统故障时,值班人员应当立即向杭州市长征中学现代教育技术中心负责人报告,并及时进行故障处理、调查核实、保存相关证据等。
3.2 预警
在接到突发事件报告后,应当经初步核实之后,将有关情况及时向杭州市长征中学报告,进一步进行情况综合,研究分析可能造成影响的程度,提出初步行动对策。由上级领导视情况紧急程度召集协调会,决策行动方案,发布指示和实施命令等。
3.3 预警支持系统
应建立和完善信息监测、消息传递和指挥决策支持系统,保证突发事件处理过程中的资源共享、运转正常、指挥有力。
3.4 预防机制
各关键业务信息系统建设要充分考虑抗毁性与灾难恢复,制定并不断完善应急处理预案。针对信息系统的突发性、大规模异常事件,各相关部门建立制度化、程序化的处理流程。
4. 应急处理程序
4.1 信息系统突发事件分类分级的说明
根据信息系统突发事件的发生原因、性质和机理,信息系统突发事件主要分为以下三类:
1) 攻击类事件:指信息系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。
2) 故障类事件:指信息系统因计算机软硬件故障、机房环境系统故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。
3) 灾害类事件:指因爆炸、火灾、雷击、地震、台风等外力因素导致信息网络系统损毁,造成业务中断、系统宕机、网络瘫痪等情况。
按照突发事件的性质、严重程度、可控性和影响范围,将其分为一般故障、严重故障、重大故障、特级故障四级。
1) 一般故障
信息系统中单个设备终端或单个外联单位软硬件故障,但未影响主业务系统运行,也未造成社会影响或经济损失的突发事件。
2) 严重故障
信息系统中因某类业务节点软、硬件故障而导致部分业务中断,可能造成社会影响的突发事件。
3) 重大故障
信息系统主业务瘫痪,导致业务系统长时间中断,可能造成重大社会影响和巨大经济损失的突发事件。
4) 特级故障
特指发生不可预见的灾难性事故,如火灾、水灾和地震等。
4.2 信息系统应急预案启动
根据以上定义的故障分级,当信息系统事件的要素满足启动应急预案要求时,进入相应的应急启动流程。
1) 应急处理工作小组从业务人员的故障申告、运行维护管理系统的故障告警中得知信息系统异常事件后,应在第一时间派相关人员赶赴故障现场。
2) 应急处理工作小组针对信息系统异常事件做出初步的分析判断。若是单个终端业务故障或者单个业务模块故障,比如IP地址更改、物理连线松动、某个业务算法参数调整或者能在最短时间内自行解决的问题,及时按照有关操作规程进行故障处理,并报领导小组备案;否则,应急处理工作小组将故障大致定性为硬件故障、线路故障、软件故障等故障之一,及时告知领导小组,并采取措施避免事件影响范围的扩大。
3) 应急处理工作小组向领导小组报告,同时启动相应的应急预案。针对灾难事件和影响重要业务运行的重大事件,还要及时向上级机关进行报告。
4) 应急处理工作小组根据故障类型及时与外部支持人员取得联系。其中,设备故障的,可与设备供应维护商和集成商联系;软件故障的,可与系统集成商联系,由系统集成商进行现场或远程技术支持;线路故障的,可与网络运营商联系,三方密切协作力求通信线路在短时间内恢复正常。
5) 应急处理工作小组在上级机构或外部支持人员的配合下,充分利用应急预案的资源准备,采取有力措施进行故障处理,及时将信息系统恢复到正常状态。
6) 应急处理工作小组通知业务部门信息系统恢复正常,并向领导小组报告故障处理的基本情况。重大事件形成文字资料,以书面形式向上级报告。
7) 总结整个处理过程中出现的问题,并及时改进应急预案。
4.3 现场应急处理
1) 如遇到预知外界因素(如定时、定点停电)影响信息系统的正常运行,将根据有关部门的通知,提前安排技术人员准备实施相关应急预案(如停电应急预案,详见《供电中断后的设备运行预案》),并进行现场维护,直至外界因素消除。
2) 如遇到不可抗力因素(如火灾)造成的信息系统故障时,接到通知的值班人员要快速到达现场启动相关应急预案(如火灾应急预案,详见《人员疏散与机房灭火预案》),果断切断相关设备配电柜的电源,积极参与消除不可抗力因素,并及时将情况上报中心负责人。
3) 如遇到一般故障、严重故障和重大故障,影响信息系统的正常运行,值班人员要迅速、及时地赶到现场,进行相应突发事件的应急处理,处理过程参照《故障处理流程》,见附件一。
5. 保障措施
5.1 应急演练
为提高信息系统突发事件应急响应水平,定期或不定期组织应急预案演练;检验应急预案各环节之间的信息处理、协调、指挥等是否符合快速、高效的要求。通过演习,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充、完善。
5.2 人员培训
为确保本应急预案有效运行,本中心定期或不定期地组织相关人员参加专业的技术培训班或研讨交流会,以便不同岗位的应急人员能全面熟悉并熟练掌握突发事件的应急处理知识和技能。
5.3 硬件资源保障
为了在信息系统发生故障时能够尽量降低业务系统的受影响程度,须为相应的核心业务系统提供必要的备份设备与备份网络等资源,并且配备与现有设备兼容的设备,确保相同或兼容的设备可以在应急情况下调配使用。备份设备需预先采购并保存在专门位置。这些备份设备可以实现热备的设备,要实行双机在线运行;不能实现热备的,要及时更新冷备份设备的配置,使之能快速顶替上。
5.4 文档资料准备
包括信息系统小型机配置情况、存储配置情况、前置机配置情况、网络设备配置参数、网络系统拓扑图以及IP地址分布情况等。
5.5 技术支持保障
建立预警与应急处理的技术平台,进一步提高信息系统突发事件的发现和分析能力,从技术上逐步实现发现、预警、处理、通报等多个环节和不同的业 务网络、系统以及相关部门之间应急处理的联动机制。
5.6 公众信息交流
在应急预案修订、演练的前后,利用各种信息渠道进行宣传,并不定期的利用各种活动,宣传信息系统突发事件的应急处理规程及其预防措施等应急常识。
6. 信息系统安全防范措施
6.1 建立健全信息系统职责体系和规章制度
杭州市长征中学现代教育技术中心负责各类信息系统的维护和技术支持以及其他的监控和维护;对相关监控信息的核实和处理;负责电力、空调、防火、防雷等基础设施的监控和维护。
杭州市长征中学现代教育技术中心在处理信息系统突发事件中的职责:
1) 综合协调在发生紧急事件时联络各相关人员到位并协调开展工作,并根据事件的严重程度向领导小组、公安部门或上级有关部门的报告或向全系统的通报;
2) 负责各应用系统、数据库系统、网络系统的监控防范、应急处置和数据、系统恢复工作,以及信息安全事件的事后追查;
3) 负责信息系统的安全防范、应急处置和恢复工作及安全事件的事后追查。
逐步健全完善各种信息安全管理制度,包括:
a) 运行审批制度;
b) 日志管理制度;
c) 安全审计制度;
d) 数据保护、安全备份、灾难恢复计划;
e) 计算机机房及其他重要区域的出入制度;
f) 硬件、软件、网络、媒体的使用及维护制度;
g) 账户、密码、通信保密的管理制度;
h) 有害数据及计算机病毒预防、发现、报告及清除管理制度。
6.2 明确信息安全等级、信息安全保护等级
根据信息的性质和重要程度划分为四级:
A级,高敏感信息,实行绝对强制保护;
B级,敏感信息,实行强制保护;
C级,内部管理信息,实行自主安全保护;
D级,公共信息,实行一般安全保护。
根据确立的信息安全等级,依据国家颁布的《计算机信息系统安全保护等级划分准则》,确立计算及系统安全保护的五个等级,具体为:
第一级,用户自主保护级;
第二级,系统审计保护级;
第三级,安全标记保护级;
第四级,结构化保护级;
第五级,访问验证保护级。
6.3 网络安全防范
本单位与外部相关部门联网尽量采用单独的网络设备和通信线路,采用物理隔离或防火墙逻辑隔离的方式交换数据,采用严格的通信控制策略并具备审计、记录等功能;内部计算级网络应与因特网物理隔离,如因多元化申报等原因需要与因特网相连,则必须配置多个高性能防火墙,并配置网闸;与电信、移动等部门签订网络通畅安全保障协议,确保在网络线路故障的情况下能够得到及时恢复;必须对主机或网络设备中不使用或较少使用的、存在安全隐患的服务进行关闭;对各类网络接入设备要采取具体严格的安全控制措施;在网络建设和改造时必须优先充分考虑到网络的安全性,要有足够的冗余或备份设备,一旦出现故障能够及时更换或维护;未经杭州市长征中学现代教育技术中心许可,严禁将外来的计算机和其他终端设备接入杭州市长征中学业务网络系统中;各类网络设备及关键主机设备的密码要有专人保管并有定期的变更机制;在未采取相应的加密措施之前,不得利用电子邮件传递涉及机密的信息。
6.4 病毒安全防范
杭州市长征中学的内网计算机设备,统一使用正版的杀毒软件,所有的外来软件或数据,必须先进行病毒检查才能安装和使用。
6.5 软件系统安全防范
内网系统要按照杭州市长征中学现代教育技术中心要求,原则上杜绝使用盗版软件;各类业务和应用软件要充分考虑到软件安全的要求,并进行安全性能的评估。
6.6 数据安全防范
内网系统用户要按照杭州市长征中学现代教育技术中心的统一规划和部署使用相关软硬件产品,相应的数据备份、恢复机制定期检查并实施;原则上备份介质的存储不能与主机系统在同一地域。
6.7 设备安全防范
信息系统的设备都必须有较高的可靠性,特别是中心机房的服务器和中心网络设备、网络安全设备等关键设备要严格按照国家计算机信息系统安全相关标准进行采购,从源头上把好设备的性能安全关。各关键设备都要有冗余备份或相应配件,一旦设备出现故障能够及时维护、更换,确保不影响正常的开展和系统的运行。
6.8 机房安全防范
现有主机房符合国家B类标准建设。具备放火、防雷、防静电、防电磁干扰设备;要有完备的环境控制设备和电源供应设备;要有严格的管理制度和值班制度,确保各类设备有一个良好的运行环境。
7. 分类突发事件应急处理措施
7.1 黑客攻击时的紧急处置措施
1) 当有关值班人员发现业务系统或网站内容被纂改,或通过IPS系统发现有黑客正在进行攻击时,应立即向网络管理技术人员通报情况。
2) 网络管理技术人员应首先应将被攻击的服务器等设备断网,保护现场,并同时向应急处理领导小组通报情况。
3) 网络管理技术人员负责被攻击或破坏系统的恢复与重建工作。
4) 网络管理技术人员会同相关支持人员追查非法信息来源。
5) 网络管理技术人员组织相关支持人员会商后,向应急处理工作小组组长汇报有关情况。
6) 应急处理工作小组组长如认为情况严重,应立即向应急处理领导小组汇报。
7) 应急处理领导小组组长组织应急处理领导小组召开会议,如认为事态严重,则立即向公安部门或上级机关报警。
7.2 病毒安全紧急处置措施
1) 当发现有计算机被感染上病毒后,应立即向安全管理技术人员报告,并将该机断网。
2) 安全管理技术人员在接到通知后,应第一时间赶到现场处理。
3) 对该设备的硬盘进行数据备份。用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
4) 如果现行反病毒软件无法清除该病毒,应立即向应急处理工作小组组长报告,并迅速联系有关产品商研究解决。
5) 应急处理工作小组经会商,认为情况严重的,应立即向应急处理领导小组汇报。
6) 应急处理领导小组经会商后,认为情况极为严重的,应立即向公安部门或上级机关报告。
7) 如果感染病毒的设备是中心服务器系统,经领导小组同意,应立即告知各相关科室部门做好相应的清查工作。
7.3 软件系统遭破坏性攻击的紧急处置措施
重要的软件系统平时必须存有备份,与软件系统相对应的数据有备份,并将他们保存在安全处。
1) 一旦软件遭到破坏性攻击,应立即向网络管理技术人员、业务系统技术人员报告,并将该系统停止运行。
2) 业务系统技术人员软件系统和数据的恢复。
3) 网络管理技术人员检查日志等资料,确定攻击来源。
4) 由业务系统技术人员向应急处理工作小组组长汇报。
5) 应急处理工作小组组长认为情况严重的,应立即向应急处理领导小组汇报。
6) 应急处理领导小组认为情况极为严重的,应立即向公安部门或上级机关报告。
7.4 数据库安全紧急处置措施
1) 主要数据库应按尽可能有热备设置,并至少要准备两个以上数据库备份,平时一个备份放在机房,另一个备份放在异地安全的场所。
2) 一旦数据库崩溃,值班人员立即向业务系统领导报告。
3) 值班人员应立即向技术人员请求支援,同时通知相关部门暂缓使用业务系统和上传上报数据。
4) 系统修复启动后,通知相关部门使用业务系统和上传上报数据。
7.5 公司域网中断紧急处置措施
1) 网络备用设备应存放在指定的位置。
2) 公司域网中断后,网络管理技术人员应立即判断故障节点,查明故障原因,并向应急处理工作小组组长汇报。
3) 如属线路故障,应重新安装线路。
4) 如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅。
5) 如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试通畅。
6) 并向应急处理领导小组汇报。
7.6 设备安全紧急处置措施
服务器、存储设备等关键设备损坏后,值班人员应立即向硬件管理技术人员报告。
1) 硬件管理技术人员立即查明原因。
2) 如果能够自行恢复,应立即重新启用该设备。
3) 如属不能自行恢复的,立即与设备提供、维护商联系,请求派维护人员前来维修。
4) 如果设备一时不能修复,应向处理工作小组组长汇报,并告之相关科室部门,暂缓使用业务系统和上传上报数据。
5) 同时向应急处理领导小组汇报。
7.7 人员疏散与机房灭火预案
1) 一旦机房发生火灾,应遵循下列原则:首先确保人员安全;其次保护关键设备、数据安全;三是保护一般设备安全。
2) 人员疏散的程序是:机房值班人员立即按响火警警报,并通过119电话向公安消防请求支援,所有不参与灭火的人员按照预定的路线,迅速从机房中有序撤出。
3) 人员灭火的程序是:首先切断所有电源,启动自动气体灭火装置。
4) 如果自动灭火未开启,在主机房大门外同时按下隔离开关和启动开关,启动灭火。
7.8 供电中断后的设备运行预案
应尽可能让市供电局从不同供电所供两路市电至中心机房,一路市电故障,不影响中心机房市电供电。
1) 市电中断后,机房供电自动由UPS备用电源供电。
2) 机房值班人员应立即查明原因,并向处理工作小组组长汇报情况。
3) 如因大楼内部线路故障,请物业服务部门迅速恢复。
4) 如果是供电局的原因, 应立即与供电局联系,请供电局迅速恢复供电。
5) 如果供电局告知需长时间停电,应作如下安排。
6) 向应急处理领导小组汇报情况
7) 市电恢复后关掉发电机,将开关向右打到中间停机位。
7.9 关键人员不在岗的紧急处置措施
1) 对于关键岗位平时应做好人员储备,确保一项工作由两人能够操作。
2) 一旦发生关键人员不在岗的情况,首先应向处理工作小组组长汇报情况。
3) 经处理工作小组组长批准后,由备用人员上岗操作。
4) 如果备用人员无法上岗,请求维保商、集成商或外部支持技术人员支援。
8. 附则
1) 本预案所称信息系统突发事件,是指由于自然灾害、软硬件故障、内部人为失误或破坏等原因,信息系统正常运行受到严重影响,出现业务中断、系统破坏、数据破坏等现象,造成不良影响以及造成一定程度直接或间接经济损失的事件。
2) 本预案通过演习、实践检验,以及根据应急历练变更、新技术、新资源的应用和应急事件发展趋势,及时进行修订和完善;所附的成员、联系方式等发生变化时也随时修订。
3) 本预案自发布之日起实施。
杭州市长征中学
2021年09月10日
附件一:故障处理流程
故障处理流程
附件二:信息安全事件登记表
信息安全事件登记表
编号:
事件发生部门: |
事件发生时间: |
事件调查处理部门: |
调查人员: |
事件类型: |
|
事件级别: □重大 □较大 □一般 |
|
事件描述及处理经过
|
|
调查负责人: |
日期: |
事件影响及原因分析
|
|
调查负责人: |
日期: |
处理意见
|
|
批准人: |
日期: |
纠正预防措施
|
|
责任部门: |
日期: |
纠正预防措施的验证
|
|
验证人: |
日期: |
附件三:应急预案培训记录
应急预案培训记录 |
|||
培训时间 |
|
培训地点 |
|
培训人员 |
|
培训方式 |
|
参与部门 |
|
||
参与人员 |
|
||
培训内容 |
|||
|
|||
审批人 |
|
审批时间 |
|
附件四:应急预案演练记录
应急预案演练记录 |
|||
记录人 |
|
记录时间 |
|
演练地点 |
|
||
参与部门 |
|
||
参与人员 |
|
||
演练内容 |
|||
|
|||
演练目的 |
|||
|
|||
演练结果 |
|||
|
|||
审批人 |
|
审批时间 |
|