信息系统应急与灾难响应制度
第一条 总体要求是在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。
第二条 明确应急预案行动小组及小组人员,指定应急责任人,确定人员职责。
行动小组名单
组长:温川飙
副组长:高原、杜雅川、孙毅
成员:彭安杰、屈小辉、赵仕杰、肖磊、李亚丽、熊岚、聂昊
第三条 规定应急相应流程:1、对信息安全事件进行通告。2、信息安全事件分类与定级。3、启动应急预案,根据不同类型与不同等级安全事件启动相应应急预案。4、信息系统重建。5,应急响应总结,完善相应应急预案。
第四条 建立信息安全事件通告制度,在信息安全事件发生后,应将相关信息及时报给信息与教育技术中心,信息与教育技术中心根据事件的严重程度,组织指定小组及时控制信息外漏,按重要程度进行信息控制。
第五条 事件分类与定级:
1. 事件分类:①、有害程序事件,指蓄意制造、传播有害程序,或是因受到有害程序的影响导致信息安全事件。②、网络攻击事件,指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷用暴力攻击队信息系统进行攻击。③、信息破坏事件,指通过网络或其他手段造成信息被篡改、假冒、泄露、窃取等而导致的信息破坏事件。④、信息内容安全事件,指利用信息网络发布、传播危害国家社会稳定和公共利益的内容安全事件。
2. 信息安全事件分级:①特别重大事件,指会使特别重要信息系统遭受特别严重的系损失,产生特别重大的社会影响。②重大事件,回事特别重要信息系统遭受严重损失,产生重大社会影响。③较大事件,指能够导致较严重影响的信息安全事件,产生较大社会影响。④一般事件,指不满足以上条件的信息安全事件,产生一般的社会影响。
第六条 启动应急预案,根据不同类型与不同等级安全事件启动相应应急预案
网站、网页出现非法言论时的处置流程
1. 网站、网页由主办部门负责随时密切监视信息内容。
2. 发现网上出现非法信息时,计算机信息与教育技术中心派专人处理,作好必要记录,清除非法信息,确认后,再重新启动网站。
3. 服务器责任人妥善保存有关记录及日志。
4. 信息安全员通过技术手段追查非法信息来源。
5. 向上级领导汇报处理情况。
6. 如果非法信息不能自行处理或属严重事件的,应保留记录资料并立即向公安部门报警。
黑客攻击的紧急处置流程
1. 当发现网页内容被篡改或通过入侵检测系统发现网络正被攻击时,应立即将被攻击的服务器等设备从网络中隔离出来,保护现场并立刻向领导通报情况。
2. 进行被攻击、破坏系统的恢复、重建工作。
3. 追查非法来源。
4. 向上级领导汇报处理情况。
5. 如果不能自行处理或属严重事件的,应保留记录资料并立即向公安部门报警。
病毒安全紧急处置流程
1. 当发现计算机被感染上病毒后,将该机从网络上隔离开来。
2. 对该设备的硬盘进行数据备份。
3. 启用杀病毒软件对该机器进行杀毒处理工作。
4. 如果现行反病毒软件无法清除该病毒,在确认数据完全备份后,征求使用人同意重装系统。
软件系统遭破坏性攻击的紧急处置流程
1. 重要的软件平时做好备份,并存于异地存储服务器。
2. 一旦软件遭到破坏性攻击,应及时采取相应措施减少或降低损害,并立刻向领导报告。
3. 网络安全人员检查日志等资料,确定攻击来源。
4. 向上级领导汇报处理情况。
5. 事态严重,应保留记录资料并立即向公安部门报警。
数据库安全紧急处置流程
1. 主要数据库系统应做双机热备设置,至少准备两个以上数据库备份,并存于异地。
2. 一旦数据库崩溃,应立即启动备用系统,并立刻向领导报告。
3. 在备用系统运行的同时,应对主机系统进行修复工作。
4. 如果两套系统均崩溃,信息安全小组人员应立即向软硬件提供商请求支援。
5. 系统修复启动后,将数据库备份取出,按照要求将其恢复到主机系统中。
6. 如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。
广域网线路中断紧急处置流程
1. 广域网线路中断后,应立即启动线路接续工作,同时向领导报告。
2. 迅速判断故障节点,查明故障原因及时恢复网络。
3. 如故障节点属电信部门管辖范围,立即与电信维护部门联系,要求修复。
局域网中断紧急处置流程
1. 配置好备用网络设备,存放在指定的地方。
2. 局域网中断后,网络维护人员应立即判断故障节点,查明原因。
3. 如属线路故障,应重新安装线路。
4. 如属路由器、交换机等网络设备硬件故障,应立即使用备用设备,并调试通畅。
5. 如属路由器、交换机配置文件破坏等软件故障,应迅速按照要求重新导入备份配置。
6. 向上级领导汇报处理情况。
设备安全紧急处置流程
1. 小型机、服务器关键设备损坏后,应及时向领导报告。
2. 如果能够自行恢复,应立即使用备用部件更换受损部件。
3. 如不能自行恢复的,立即与设备提供商联系,请求前来维修。
机房灭火流程
1. 一旦发生火灾,应遵循下列原则:
2. 首先确保人员安全;其次保证关键设备、数据的安全;第三确保一般设备安全。
3. 人员疏散程序是:按响火警警报,并通过119电话向消防请求支援,所有不参与灭火的人员按照预先确定的路线撤离。
4. 人员灭火程序是:首先切断电源,启动自动灭火系统。
5. 向上级领导汇报处理情况。
电源中断后的处置流程
1. 停电发生后,由UPS供电,密切监察UPS工作状况。
2. 当UPS供电不足时,应按预先设定的顺序逐个关掉网络设备和服务器的服务程序和电源,向上级领导汇报处理情况。
第七条 对应急响应总结,完善相应应急预案。事后应对安全事件的处理过程予以总结并形成报告,其内容包括:导致事件的原因分析(尽量辨别其属于偶发事件还是必然事件),事件造成的危害和恢复程度,是否存在遗留问题,以及最新老虎机_pt老虎机游戏@应急响应方面的改进建议等。
附件一
信息安全事件报告表
报告时间 | 年 月 日 时 分 |
发生时间日期 | 年 月 日 时 分 |
发现时间的日期 | 年 月 日 时 分 |
单位名称 | |
报告人 | |
联系电话 | |
电子邮件 | |
信息系统名称 | |
主要用途 | |
信息安全事件的简要描述(如以前出现过类似情况也应加以说明) | ■发生了什么; ■如何发送的; ■为什么发生; ■受影响的部分; ■对业务系统的影响; ■已确定的脆弱性; |
信息安全事件的类型 | □攻击事件 □故障事件 □灾害事件 |
信息安全事件的级别 | □一般 □重大 □特别重大 |
受影响的资产(提供受事件影响或与事件有关的资产描述,包括相关序号、许可证和版本号) | 信息/数据; 硬件; 软件; 通信设施; 文档等; |
事件对业务的负面影响 | 违背保密性(即未授权泄漏) 违背完整性(即未授权更改) 违背可用性(即不可用) 遭受破坏 |
影响范围 | |
攻击者描述(实际的或察觉的动机) | □犯罪/经济收益 □消遣/黑客攻击 □政治/恐怖主意 □报复 □其他 |
已采取的解决事件行动 | |
计划采取的解决事件的行动 |
信息安全事件应急响应结果报告表
报告时间 | 年 月 日 时 分 |
发生时间日期 | 年 月 日 时 分 |
发现时间的日期 | 年 月 日 时 分 |
单位名称 | |
报告人 | |
联系电话 | |
电子邮件 | |
通信地址 | |
信息系统名称 | |
主要用途 | |
已采取的安全措施 | |
信息安全事件的补充描述 | |
信息安全事件最后判定的事故原因 | |
本次信息安全事件的影响状况 | |
影响范围 | |
事件后果 | |
严重程度 | |
本次信息安全事件的主要处理过程及结果 | |
针对此类信息安全事件采取的保障信息系统安全的措施和建议 |