政务系统安全应急预案.doc

XX局政务系统安全应急预案1. 总则1.1编制目的为提高我局应对网络与信息安全突发事件的能力，加强网络信息安全保障工作，保证办公自动化网络、电子政务系统、数据库及其他重要信息系统的日常业务正常运行，确保信息的保密性、完整性、可靠性，使我局在发生突发性网络与信息安全事件时，能够迅速、高效、有序地进行应急处理，避免或最大限度地减轻事故造成的损失，根据中华人民共和国计算机信息系统安全保护条例、国家信息化领导小组关于加强信息安全保障工作的意见、关于维护互联网安全的决定、关于信息安全等级保护工作的实施意见、广西壮族自治区人民政府突发公共事件总体应急预案等相关法规、规定、文件精神，制定本预案。1.2工作原则网络与信息安全突发事件应急工作的基本原则：坚持统一领导、分级负责、部门协作和“谁主管谁负责、谁运营谁负责”的原则；坚持因地制宜、快速反应、果断处置的原则；坚持统筹规划、整合资源、信息共享的原则；坚持依法管理、规范有序的原则。1.3事件界定网络与信息安全重大突发事件是指由于自然灾害、设备软硬件故障、人为事故或破坏、黑客攻击和利用计算机病毒进行破坏，以及境内外敌对势力、敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动，或者对国内信息网络或设施、重点网站进行大规模的破坏活动等原因，严重影响到我局机关网络与信息系统、关系到信息网络及设施和重要的网络与信息系统的正常运行，出现业务中断、系统瘫痪、数据破坏或信息失窃密或泄密等，从而对我市安全、社会稳定或公共利益等方面造成不良影响以及造成一定程度直接和间接经济损失的事件。1.4事件等级按照对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的危害程度，网络与信息安全突发事件，由轻到重分为五个等级：第一级，为单一地点及冲击或损害相对较小的事件。也指一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。第二级，为单一地点及冲击或损害相对较重的事件。也适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。第三级，指两个或两个以上地点受到严重冲击或损害的安全事件。也适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统。其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。第四级，指多个地点受到特大冲击或损害的安全事件。适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。第五级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。对第一、第二级别的网络与信息安全突发事件属于一般事故（对业务没有影响）由事件发生部门根据应急预案自行处理；对第三、第四级别的网络与信息安全突发事件属于重大事故（对业务有一定影响），由市网络与信息安全协调领导小组协调启动相关部门和单位应急预案进行处理；对第五级别的网络与信息安全突发事件属于重大事故（是指严重的故障，严重影响业务的运行），立即上报市网络与信息安全突发事件应急办公室备案，必要时申请启动全市网络与信息安全应急预案。2.网络与信息安全突发事件应急指挥机构我局设立网络与信息安全突发事件应急领导小组，统一组织指挥全局系统信息安全突发事件应急工作。信息安全应急领导小组下设办公室，协调应急处理的具体工作。领导小组组长：副组长： 成 员： 应急领导小组设办公室，办公室主任由 担任，负责应急日常工作。联络员： 技术员： 3.监测和预防机制3.1信息监测及报告3.1.1局网络设备使用管理的负责人应加强信息安全监测、分析和预警工作，进一步提高计算机安全管理工作。3.1.2建立信息安全突发事件报告制度，设立信息安全情况通报机制。3.2预警主要包括三个方面：一是通过安全日志管理和日志抽查等手段实施监控，发现漏洞和隐患及时提出预警报告；二是加强管理，做好信息安全事故预防工作，收集我市信息安全事故预警预测信息；三是加强信息安全的普及推广和宣传，发挥各部门的力量，发现问题及时上报，以便及时开展预防。3.3预防机制：3.3.1做好服务器的密码保护工作，防止非专业人员操作数据库。定期对数据库进行检查（如表空间、回滚段等），对预期发生的问题做好事先防范。3.3.2在数据库服务器上建立备份计划任务，在其他机器上建立转移备份计划任务并且要求备份的数据存放3个月以上，并定期刻录在不可擦写的介质里进行保存。3.3.3每台服务器上打全补丁，安装杀毒软件，及时更新病毒代码。如发现危害大的病毒，需在24小时内于ftp和局网站上张贴公告通知用户并说明病毒发作的原因、相应的特征及动员防范、注意事项等。 3.3.4在防火墙及路由器上做访问控制安全策略。3.4报警机制： 发生重大的信息安全突发事件后，根据其性质、等级和危害程度，逐级上报。特大事故在向局领导汇报的同时报市政府信息化办公室；重大事故向局领导汇报；一般事故通知相关部门负责人。4.启动和实施应急响应4.1启动应急预案发生特、重大网络与信息安全事故后，向局长汇报，并启动我局应急预案，动员局内职工，做好应急处置。特大信息安全事故，应向市政府汇报。一般网络与信息安全事故，事故发生后向主管局领导汇报，争取在第一时间恢复运行。4.2实施应急预案的技术处置方案4.2.1黑客攻击事故应急处置措施（重大事故）（1）隔离被攻击服务器或关闭ftp站点或网站；（2）更改密码，改变安全策略；（3）清查系统，防止黑客留下后门程序；（4）在做主动防御的同时启动应急预案并向市政府信息化办公室上报情况，请求支援，把损失降到最小。4.2.2病毒大规模爆发事故应急处置措施（重大事故）（1）锁定病毒源或病毒发作区域，并及时对病毒发作区域进行隔离，防止病毒的扩散；（2）在被感染区域启动杀毒软件；（3）如有需要可格式化染毒计算机，将其操作系统重新安装后，正确配置参数并还原备份数据；（4）在启动隔离的同时上报市政府信息化办公室。4.2.3应用软件安全事故的应急处置措施（1）立即停止应用软件运行；（2）联系应用软件开发商，研究解决问题的方案；（3）在停用软件的同时上报主管领导。4.2.4数据库安全事故应急处置措施（1）立即关闭主服务器系统，启动备用服务器系统； （2）如果两套系统均崩溃而无法恢复，应立即向有关厂商请求紧急支援。4.2.5信息失密、泄密事故应急处置措施（1）暂停泄密系统及有关设备的运行；（2）向相关管理部门报案。4.2.6网络线路突然中断事故应急处置措施（1）判断事故节点，查明事故原因；（2）启动备用线路或搭建临时线路；（3）与网络提供商联系，确保线路及时恢复；4.2.7不可抗拒因素引发的重大、特大事故应急处置措施。不可抗拒因素引发的事故主要指因地震、台风、雷电、火灾、水灾等不可预测的自然力导致的信息安全事故。（1）对网络与信息系统设备进行必要的物理加固，增强对事故的抵抗能力；（2）可以按先重要、后次要，先数据、后硬件的顺序将网络和系统撤离危险区域。4.3应急处理和报告回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中。发生重大信息安全事件后将处理结果报相关部门备案。系统恢复以后，关注其安全状况，特别是对曾经出问题的地方，要进行跟踪观察，并进行详细记录。5、附则（1）本预案适用于我局网络与信息安全突发事件应急处理工作。由XX局制定