您当前的位置: 首页 > 信息公开 > 信息公开目录 > 政策法规

株洲市住房公积金管理中心网络与信息安全应急预案

作者: 发布时间:2019-12-31 浏览次数: 字体[ ]

第一章  总则

第一条  为了切实做好株洲市住房公积金管理中心信息系统网络安全突发事件的防范和应急处理工作,进一步提高中心信息系统预防和控制网络突发事件的能力和水平,减轻或消除突发事件的危害和影响,依据《中华人民共和国网络安全法》、《计算机病毒防治管理办法》,制定本预案。

第二条  本预案所称突发性事件,是指因自然因素或人为活动引发的危害中心系统网络设施及信息安全相关的事件。

第三条  中心信息管理科在网络安全和信息化领导小组指导下开展网络与信息安全应急处置工作,协调有关单位和部门共同开展应急响应工作。

第二章  应急保障措施

第四条  应急防治是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作,中心必须做好应急保障工作。

第五条  加强管理。信息管理科要严格执行《株洲市住房公积金管理中心计算机网络管理办法》,做好网络信息系统安全的日常巡查及日志保存工作,加强对重点部位的监测和防范,以保障最先发现并及时处理突发性事件。

第六条  人员保障。重视人员的管理和培养,保证技术人员的配置。

第七条  技术保障。重视网络信息技术的建设和升级换代,重视网络信息系统的安全防护,应急处置和恢复过程中确保相关的技术支撑。

第八条  宣传教育与培训。加强对信息系统突发事件的宣传教育,提高技术人员的防范意识。对系统管理相关人员进行培训,将信息系统突发事件的应急管理、工作流程等列为培训内容,掌握应急处理中的有关控制手段及恢复策略,提高应急处置能力。

第九条  开展应急演练。为保证应急响应的能力,在条件允许时,应每年至少组织一次应急预案演练,提高应对网络安全事件的水平和协同配合能力。

第十条  发布预警。信息管理科获得外部预警信息,特别是一些在其他地方已经出现或在安全相关网站发布了预警而中心信息网络还没有出现相应的问题,对预警信息加以分析,除了在技术上进行防范以外,可根据危害程度适当地发布预警。

第三章  应急处理程序

第十一条  中心网络与信息安全应急处理程序

(一)事件发现。在发现事件或接到事件报告后,了解事件发生的时间、地点、过程、状况,信息管理科初步判定事件产生的原因以及对信息系统的影响后,立即报告中心领导,并组织相关人员进入处置程序;

(二)事件评估。根据事件发生后的危害程度、影响范围等因素对事件进行分级,确定是否需要启动应急预案。不影响正常办理业务的一般事件按照日常维护程序处置;影响正常办理业务且24小时内能恢复的重大事件需启动应急预案;影响正常办理业务且24小时内不能恢复的严重事件或突发事件启动应急救缓;

(三)应急处置。根据评估情况进行相关处理,将事件对业务工作造成的损失降至最低,组织人员加强对网络安全的监测,严防事件影响进一步扩大,并详细记载事件发生、评估及应急处置情况。事件影响信息系统业务正常办理超过24小时的,应立即告知业务部门进行相关处理,同时组织有关部门和专业人员,对事件进行分析,预测事件发生的可能性、影响范围和危害程度;

(四)测试验收。事件处置后,应对信息系统进行充分地自测自检,提交业务部门操作使用正常并对处理结果认同后,应急处置结束;

(五)事件记录。应对事件描述与起因、评估定级、应急处置过程与处置方法、测试验收结果进行详细记录;

(六)事件报告。对于重大事件、严重事件在故障排除并经测试验收后,应对事件及处理的全过程进行总结,以文字形式进行报告,提出防范类似事件发生的建议与方案等。对于影响较小的一般事件处理,在维护日志中做完整的说明和记录。

第四章  应急处置

第十二条  机房停电应急处置措施

(一)机房停电时,信息管理科网络管理员应立即查明停电原因并检查中心机房UPS电源供电情况,及时向信息管理科负责人报告;

(二)信息管理科负责人与办公室联系,查找停电原因并确认停电时间。根据停电时间,进行以下应急处理:

1.停电1小时以内,由UPS电源供电;

2.预计停电1小时以上2小时以内,关掉非关键设备,确保各主机、路由器、交换机供电;网络管理员每30分钟查看一次设备运行状态,详细记录机房温湿度;

3.预计停电超过2小时以上4小时以内,由办公室对外发布停办业务相关公告,关掉路由器、交换机等网络安全设备,确保核心主机供电,网络管理员每30分钟查看一次设备运行状态,详细记录机房温湿度;

4.预计停电超过4小时以上,由办公室对外发布停办业务相关公告,做好数据备份。在设备运行2小时候后关掉所有机器设备。

(三)电力系统恢复供电后,信息管理科网络管理员按照规定流程开启相关设备。

第十三条  消防系统报警应急处置措施

(一)主机房出现火情报警,发现人应立即拨打119报警。网络管理员迅速切断电源,强制启动机房气体自动消防系统;

(二)工作时间发生火警,听到消防系统发出报警后,网络管理员确认气体自动消防系统启动后迅速紧急撤离机房;

(三)非工作时间或节假日收到机房自动火情报警,网络管理员应立即告知办公室与值班人员联系确认火警情况,并向中心领导汇报,并马上赶赴现场进行处理;

(四)火警发生后,信息管理科负责人应立即联系各设备供应商及相关服务商,及时评估事故损失情况,研讨恢复信息系统的最佳解决方案。

第十四条  机房漏水应急处置措施

(一)网络管理员在巡查时发生机房漏水,应立即查找漏水原因;

(二)若精密空调系统出现渗漏水,网络管理员应立即联系办公室组织处理,及时清除机房积水;同时通知精密空调设备厂商,联系专业人员前往现场进行漏水点排查及修复;

(三)若墙体或窗户渗漏水,应立即采取有效措施确保机房安全,由办公室组织及时清除积水,维修墙体,消除渗漏水隐患。

第十五条  黑客攻击事件应急处置措施

(一)当系统管理员、网络管理员发现网页内容被篡改或通过入侵检测等网络设备发现有黑客正在进行攻击时,应立即向信息管理科负责人通报情况;

(二)信息管理科负责人应在接到通知后立即赶到现场,组织相关技术人员首先将被攻击的服务器等设备从网络中隔离出来,必要时可以采取照片、截图等方式留存记录,保护现场,并将有关情况向中心领导汇报;

(三)如事态较为严重,经中心领导同意后,立即向公安部门报警,并配合公安部门展开相关调查;

(四)信息管理科组织技术人员做好被攻击或破坏后系统的恢复与重建工作

第十六条  病毒事件(含恶意软件)应急处置措施

(一)当发现局域网中有大量计算机被感染上病毒后,应立即上报信息管理科;

(二)信息管理科系统管理员应及时赶到病毒机器处理现场,立即将该机从网络中隔离出来。如机器上有重要数据,对该机的硬盘进行数据备份;

(三)系统管理员启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作;

(四)如果现行反病毒软件无法清除该病毒,组织相关技术人员研究解决,通过分析病毒的特征行为,寻找病毒专杀工具进行查杀

(五)情况较为严重的,已影响到信息系统的数据传输、应用系统访问不正常等情况,应及时向中心领导报告,并启动相应的应急处理程序联系专业单位进行排除。

第十七条  数据库、软件系统故障应急处置措施

(一)数据库系统必须按天进行备份,重要的软件系统必须定期备份,并保存安全;

(二)数据库系统发生故障或软件遭到破坏性攻击,应立即向中心领导报告,经同意后,启动相应的应急处理程序,组织技术人员采用重启或其他手段尽快恢复数据库或将软件系统停止运行;

(三)检查信息系统的日志等资料,确定故障发生或攻击来源,进行相关处理,预防再次发生。

第十八条  网络中断应急处置措施

(一)网络中断后,信息管理科应迅速组织人员判断故障节点,查明故障原因,网络中断产生较大影响时应及时向中心领导汇报;

(二)如属网络线路故障,应重新调试线路;

(三)如属路由器、交换机等网络设备故障,网络管理员应立即检查。属路由器、交换机配置文件破坏,应迅速按照要求重新配置,调试通畅。如需更换设备,应向中心领导汇报,经主任批准后马上采购更换故障设备,尽快恢复系统运行。必要时,可请相关供应商、设备厂商、运维单位协助;

(四)如发现属于外部线路的问题,应与线路运营商联系,敦促尽快恢复故障线路。

第十九条  设备硬件故障应急处置措施

(一)设备硬件一般故障处理

1.网络管理员在日常巡查时发现小型机、服务器等关键设备报警后,应立即向信息管理科负责人报告。

2.发现故障后,初步判断故障位置,对于冗余结构的设备经批准后在最短时间采购新配件进行更换。

3.如果设备一时不能修复,向中心领导汇报,联系设备厂商立即上门维护。

(二)设备硬件严重故障的应急处理

1.服务器等设备硬件发生严重故障,应立即向信息管理科负责人报告。

2.信息管理科负责人根据故障机器立即判断是否核心业务。如是一般业务,看服务器是否可以即时处理好,如不行,联系供应商、运维支持单位,尽快迁移至别的服务器。如果是核心业务系统,一般都有双机冗余结构,有冗余结构会自动切换故障服务器,联系运维支持单位进行处理。

3.设备硬件严重故障出现问题短时间内不能迅速解决的,应向中心领导汇报,联系设备厂商进行处理。

第五章  附则

第二十条  本预案自印发之日起施行。