2011网络应急预案.doc

为防止外部敌对势力利用互联网(INTERNET)对我关网络与信息系统进行攻击或传播有害信息，维护我关海关网络和信息系统安全，切实保障我关政务、业务工作的正常开展，特制定本预案。一、网络与信息安全应急组织机构（一）网络与信息安全应急领导机构、职责1、网络与信息安全领导小组组 长：分管副关长 副组长：办公室主任 技术处处长成 员：缉私局政委、人事处、财务处、监察室、法规处、监通处、关税处、加贸处“一把手”2、网络与信息安全领导小组职责制定计算机安全应急措施，计算机网络安全措施，计算机应用系统安全应急措施，计算机病毒的防范措施，制定业务应急措施，网络与信息应急操作的培训和演练。3、网络与信息安全应急领导小组组 长：分管副关长成 员：缉私局政委、办公室、人事处、技术处、监通处、机关服务中心“一把手”4、网络与信息安全应急领导小组职责负责制定我关网络与信息安全应急预案，并组织进行必要的演练。做好紧急重大、突发事件的应急处理工作。（二）网络与信息安全应急的值班机构和机制1、值班机制总关、技术处、缉私局、各隶属海关实行24小时值班制度。总关由办公室负责。2、值班机构（1）总关24小时值班电话外线）、87081207（2）技术处24小时值班电话3）缉私局24小时值班电话4）各隶属海关24小时值班电话A马尾海关值班电话保税区海关值班电话福清海关值班电话宁德海关值班电话莆田海关值班电话三明海关值班电话：南平海关值班电话武夷山海关值班电话（三）网络与信息安全应急技术协调小组及工作机制1、网络与信息安全应急技术协调小组计算机中心值班电话：87025231（24小时值班）数据分中心值班电话：87025988（24小时值班）2、网络与信息安全应急技术协调小组职责负责我关网络与信息安全应急预案的实施工作，对出现的紧急事件进行分类并作相应处理，做好紧急重大、突发事件的应急处理工作。3、技术应急情况联络机制运行系统应急技术联络： 网络应急技术联络： 应急系统应急技术联络： SCA系统安全应急技术联络： 通信系统和交换设备安全应急技术联络：政务信息系统安全应急技术联络： H2000系统外网信息系统安全应急技术联络。二、网络与信息安全应急措施（一） 备份1、数据及软件的备份（1）定时对程控交换机的运行数据和运行软件(主要针对程控交换机数据加载带)进行备份。保证在主机发生重大故障时,可通过数据加载带进行紧急启动。（2）小型机系统采取定期备份的方式，分别对系统盘、程序盘、数据盘作备份，在操作系统更新后对系统作完全备份，每周对H883程序盘作完全备份，隔日进行数据盘的完全备份。（3）H2000系统参数库服务器采用冷备份方式，每日数据均定时复制到备份参数库服务器上。2、硬件备份（1）中心网络设备运行网为2套在线的港湾6805核心交换机，一主一备，管理网为2套在线的港湾6808核心交换机，一主一备，在参数配置和线路上完成备份的预备。（2）对路由器、交换机、终端服务器等主要网络设备，采取按10:1比例集中备份；距总关较远的下属关采用现场备份方式，一旦发生故障可立即更换，恢复网络通信。（3）对端用户设备为终端、微机、打印机等，采用维修备机的工作方式，保障海关业务的正常开展。（4）我关的运行主机均已过保修期，为了确保主机的正常运行，我关为已经过保修期H883主机及RA7000磁盘阵列购买了1年的保修服务，其中规定了主机设备的关键部件（如CPU、内存等）在中国均有备件，在发生故障时Compaq工程师应在4小时内上门服务等条款；对其中容易出现故障的电源模块，我关保持两块电源模块的备用件，出现问题时可以立即更换。 （5）H2000中间层服务器采用3机组成集群系统，3台服务器既协同工作又互为备份，域控制器、预定系统服务器均有备份服务器。（6）关键程控交换机的关键电路板做到1+1备份。3、网络线路备份（1）通过与福州电信公司签订关区网络通信线路安全保障协议，建立通信故障应急排查机制，实现在最短时间内获得电信部门的技术支持，从而保障网络通信畅通。（2）本关区主要办公大楼及业务现场联网的主用线路采用SDH电路，我关拟建立互联网VPN备份系统，一旦在主干线路中断时，启动VPN设备建立起VPN隧道，实现对主用线路的备份，并及时向电信部门申报、积极配合排查故障，实现较短时间内恢复原通信链路。（3）对其他业务现场通信线路中断，立即向电信部门申报、积极配合排查故障，无法在短时间内恢复的，启用手动拨号备份线路。4、供电备份（1）我关信息中心机房具备双路供电；并且机房所在大楼可以自己发电；机房内有两台UPS以并连冗余方式连接，任一台UPS均可以保障机房小时供电。（2）程控交换机的供电方式采用双回路交流供电，并备有长延时直流供电系统。（二）分类措施1、计算机主机(含存储系统)安全应急措施我关现有H883系统的运行主机由1台ALPHA4100（XM40）及1台ALPHA4000（XM42）通过共享磁盘阵列RA7000连接成CLUSTER组成。其中XM40主机承担了我关95%以上的通关业务，包括预录入、审单、征税、放行等主要子系统，在这台主机出现故障并且在短时间内无法解决的时候，应把这些子系统切换到XM42上运行，暂时停止一些非紧急的子系统（如查询、统计等）的运行，限制相关子系统的登录用户数量。这样，可以保证通关业务不停止。运行系统应急技术小组联系表见附件1。我关RA7000磁盘阵列上盘组均做RAID 5，可以保证一个磁盘出现故障时，数据不会丢失；并且磁盘阵列上设有3个磁盘作为SPARE SET，可以对出现故障的磁盘自动进行替换；磁盘阵列上具有两个HZ70控制卡，其中一个出现故障时，另一个均可以自动启动。2、计算机网络安全应急措施网络通信故障是一种复杂的综合性故障，为保障网络通信安全，实行科长负责制并组成应急技术小组，坚持以防范为主，实行重大故障报告制度，采用下列应急措施：我关目前无与互联网连接的网站或网页，已在总关海关大楼建立了独立的互联网吧（与海关所有网络物理隔离），以满足工作需要，其他工作地点需要上互联网的，采用单机拨号上网，并严格与海关网络物理隔离。随着互联网VPN备份系统的建立，将在技术设备和管理手段上进一步加强对接入互联网的安全管理。海关外部用户经严格审批后，采用拨号方式（用户只能通过唯一锁定的号码拨入），经身份认证、防火墙进入外联网，实现与海关网络进行数据传输；安全系统实时进行入侵检测并作访问日志记录。一旦发现拨入用户有非法操作，立即停止该用户访问权限并查明原因、追究相应责任。3、计算机应用系统安全应急措施加强应用系统数据备份，数据每日备份，每周异地存放。加强应用系统软件备份，运行机程序盘每周备份并异地存放，调试机程序盘上带。应用系统应急技术小组成员联系表见附件1。恢复步骤：运行机数据盘故障时，启用前一日备份数据，通知业务部门补齐当日数据。运行机程序盘故障时，启用运行机程序盘备份，恢复运行机环境。调试机程序盘故障时，启用调试机程序盘备份，恢复调试机环境。4、病毒防范及应急措施根据总署统一要求,我关在全关范围内推广使用了网络版杀毒软件及防病毒网关，能够有效防御计算机病毒，病毒特征码能够自动从总署服务器上下载更新。病毒事件应急处置流程图，见附件3。 对于关区内灾难性病毒感染：主动切断与总署的网络连接，向上级报告并建议进入业务紧急状态，采用手工操作；紧急动员全体技术人员进行病毒清除工作，必要时请求专家援助。 对于区域性病毒感染：首先中断该网段与关区主干网的连接，避免病毒感染进一步扩大；其次技术人员立即赶赴现场进行逐一清除病毒，并恢复该网段与关区主干网的连接；最后分析病毒的起因、来源，作好防范工作，向上级报告。 对于个别单机感染病毒：首先封闭感染病毒单机的网络端口；其次技术人员赶赴现场清除病毒；最后查明病毒起因、来源，作好病毒防范工作，并恢复其网络连接。 5、SCA系统安全应急措施 SCA安全认证机房位于主机房内，除了具有主机房已有的安全措施外，SCA机房有可靠供配电系统并提供UPS备用电源保护，保证停电时的应急措施。 目前我关所使用的SCA服务器为SCA双机，使SCA机能够互为热备份，如果一台服务器死机，所有业务可以转到另外的服务器上，保证业务畅通。为做好数据备份工作,总署已统一购置了刻录机，在关闭SCA服务器远程登录功能的前提下，可手工异地备份数据。如果系统的硬件和数据受到破坏；或受到病毒和黑客的攻击；或人为的破坏，都可以在最短的时间内启用硬件和数据备份。所有使用系统及应用安装软件目前都有光盘备份，这样就保证了SCA服务器遭受破坏时可以马上恢复所有系统及配置。如果SCA服务器出现死机，所有业务现场应转入手工操作。 我关对安全操作人员进行了AB角配置，配备审计IC卡对海关内部网安全认证系统运行情况、应用系统数据签名验签情况及IC卡和读卡器使用情况进行日常监视、跟踪、分析及处理。如有异常，及时联系有关人员（见附件1）解决。6、通信线路和程控交换机安全应急措施（1）停电应急措施发生停电时，总机值班人员应立即通知第一、第二联系人(通信系统和交换设备安全应急技术小组成员联系表见附件1)，联系人接到通知后应及时了解候备电源的供电情况，并与大楼配电室取得联系，要求其在长延时直流供电系统供电期限内恢复供电。如在停电期间发生长延时直流供电系统故障时，联系人应通知技术人员立即前往现场进行故障处理。当故障无法处理且交流电无法及时供电时，应通知总署及其它关键部门使用总关关长值班室的值班外线电话进行通信联络。（2）程控交换主机故障应急处理总机值班人员随时观察程控交换机的运行情况，在主机发生故障时应及时通知第一、第二联系人，联系人应及时了解故障情况，必要时须通知技术人员立即赶到现场进行故障处理。如故障无法排除，应及时通知总署及其它关键部门使用值班外线电话进行通信联络。7、H2000系统外网信息系统安全应急处理（1）数据安全为了保障外网预录入系统的数据安全性，采取了以下措施：磁盘镜像：将预申报服务器硬盘转换成动态磁盘，然后创建镜像卷，镜像卷具有容错功能并使用RAID1，它通过创建两份相同的卷副本来提供冗余性；数据库备份：利用Oracle数据库逻辑备份功能，每天定时备份数据库；定期复制Oracle数据库文件，备份Oracle数据及控制文件，做好数据库的物理备份；为了备份数据的安全性，所有备份数据使用异机方式进行备份。（2）防病毒 服务器及客户端机器均安装总署下发的防病毒软件，每天定时更新病毒引擎并由服务器端控制病毒引擎代码的分发，严格控制了网络内的病毒传播。（3）用户权限控制（监通处管理）针对原.Net程序统一使用默认用户eport存在的问题在局域网内，eport用户是管理员并且每台机器上的口令都相同，造成局域网内部机器可以随意互访在网络内使用Windows 2000域管理模式，对报关行的每台机器进行管理，为每台PC分配不同的域用户，保证了每个用户只能访问本地机器以及指定的服务器。（4）VPN安全对于海关人员远程VPN接入的用户而言，系统共设置了3道防线：、硬件防火墙上的包过滤及软件防火墙的资源访问控制；、建立USBKEY的身份认证系统，控制用户访问；、域安全控制：要求用户使用VPN时，使用远程方式登陆域，利用域安全控制对用户权限做控制。三、业务应急（一）进入业务应急状态的条件由于供电、网络中断或计算机系统受到攻击，经技术处确定紧急状态出现，海关业务处理分为通关作业和其他海关作业，区分不同程度可忍受的最大停运行时间按以下条件办理：1、通关作业环节分进口和出口可忍受的最大停运行时间，原则上出口为半个工作日，进口1个工作日，停止运行时间超过上述工作日的，海关业务现场根据关应急领导小组的通知启动应急作业，进出口报关单手工填制，由现场通关科接受申报，接单、审单、布控、查验、放行全程手工作业。空运出口货物和进出口军事物资、救灾救援物资、易燃易爆危险品等情况特殊，确需急于提取或出运的，可不受上述最大停运行时间的约束，业务现场根据企业申请，报请关应急领导小组批准，可在紧急状态出现后1小时内启动手工作业。2、其他海关作业环节可忍受的最大停运行时间为1个工作日，停止运行时间超过1个工作日的，各业务环节根据关应急领导小组的通知启动应急作业。特殊情况需予紧急处理的，一律报经关应急领导小组审批。（二）进入业务紧急状态的工作程序具体工作流程执行福州海关H2000系统通关作业应急预案（试行）。（三）业务紧急状态下手工作业的必需用品准备1、各业务现场确定紧急状态报警、接受应急处理通知的电话、传真机，并安装来电显示装置，便于识别。2、启动手工作业的现场要做好作业记录，作业记录采用统一格式。（四）解除业务紧急状态的工作程序解除业务紧急状态的工作程序按上述第二条进入紧急状态的程序办理。（五）解除业务紧急状态后的业务数据补录入处理流程和规定1、通关环节手工作业的进出口报关单，应于紧急状态解除后2个工作日内，由实施手工作业的现场通关科负责催促企业办理报关数据录入和申报手续。2、海关各通关作业环节应按现行通关作业操作规范，对手工作业的报关单逐票作业。四、网络与信息安全应急的培训和演练各业务部门要根据上述应急预案的要求，思想上必须引起高度重视，认真组织学习，切实抓好落实，并做到责任到岗、责任到人。各业务部门要即时组织好在应急期间的培训工作，特别是对紧急出口货物和进口的危险品、化学品应尽快熟练掌握应急方案的要求，做到临危不乱，工作不断。应急领导小组将不定期组织演练，重点检查各业务部门的反映能力、处理突发事件的应急能力。检查方式将采取抽查的方式。五、网络与信息安全应急工作的报告制度（一）按照全国海关网络与信息系统安全紧急事件定义表的10项内容，确定我关9项紧急事件定义表： 事件编号事 件 内 容1网络或系统中出现非法信息内容2网络或系统的硬件受到破坏性攻击3网络或系统的软件受到破坏性攻击4网络或系统受到病毒侵害，致使系统不能工作或工作效率急剧下降5网络或系统受到黑客入侵，致使系统不能工作或工作效率急剧下降6网络或系统受到自然灾害的破坏7网络或系统的物理设备受到人为破坏，无法正常工作8相关网络服务机构，如电信骨干网络，发生故障9其他具有危害性的网络安全事件 （二）紧急事件分类事件编号事 件 分 类 原 则A类事件B类事件