信息安全保护应急预案

预案名称信息安全保护应急预案预案编号1-XXC-D-002版本号1.2类型口新订0修订适用部门全院□科室制定部门信息处审核人审核时间2021-04-201.编制目的为了有效防范医院信息系统运行过程中产生的风险，预防和减少突发事件造成的危害和损失，建立的健全医院计算机信息突发事件应急机制，提高自身的应急响应能力，完善应急响应机制，确保服务器、应用的安全、稳定运行和业务的连续性，特制定本应急预案。适用范围本预案适用于XX医院网络攻击重要系统遭到入侵事件时的应急响应工作。管理职责3.1领导小组职责：领导小组决定启动灾难性应急方案，全面领导并监督医院应急方案制定及准备情况，提供行政支持。其主要职责是：领导、制定、审核、落实应急方案；发布启动灾难性应急方案的命令；督促各应急小组按计划应急；统一调度医院设备、人员，保证在资金方面到位；组织应急方案的演练。负责检查各部门应急准备工作，检查应急启动后的落实情况和评估效果，并督促修订应急方案。3.2、数据安全组职责：系统发生问题时，及时作出判断，协调DBA。对于灾难性的问题，及时向应急小组汇报，应急小组向领导小组汇报并建议是否启动相应的应急计划。3.3网络安全组职责：网络或硬件发生问题时，及时作出判断，协调供应商。对于灾难性的问题，及时向领导小组汇报并建议是否启动相应的应急计划。应急事件分级网络安全事件按照影响程度分为三个等级：特大网络安全事件、重大网络安全事件、一般网络安全事件。4.1特大网络安全事件：严重影响XX医院业务，社会反响十分强烈的网络与信息安全事件，主要包括：网络数据或网络信息的篡改、假冒、泄漏、窃取、丢失以及传播违法违规内容等导致特别重大的负面社会影响或经济损失，或被公安部、中央网信办通报的网络与信息安全事件。4.2重大网络安全事件：影响XX医院业务，造成重大社会影响和严重后果的网络与信息安全事件，主要包括：网络数据或网络信息的篡改、假冒、泄漏、窃取、丢失以及传播违法违规信息导致重大的负面社会影响或经济损失。4.3一般网络安全事件:造成一定社会影响或对XX医院业务造成负面影响的网络与信息安全事件，主要包括：网络数据或网络信息的篡改、假冒、泄漏、窃取、丢失以及传播违法违规信息导致一定的负面社会影响或经济损失。信息应急报告程序5.1信息处工作人员发现故障后，立即通知相应的技术小组；技术小组根据故障情况，建议领导小组启动应急预案。5.2领导小组成员负责协调按应急方案执行。5.3恢复正常后，由技术小组进行汇报总结，对此事件进行分析并持续改进。7.信息的应急处理程序7.1应急抑制（来自公网或专网攻击）7.1.1信息处相关技术人员应在接到通知后立即赶到现场，做好必要记录，妥善保存有关记录及日志或审计记录。7.1.2通过态势感知平台主动监控攻击行为，通过联动机制，对防火墙设备的过滤规则进行动态配置，阻断包含恶意代码、攻击行为或有害信息的数据流进入网关设备保护的网络区域，有效实施针对信息安全事件的网络隔离。7.1.3提高网络入侵检测系统、专网安全监控系统的敏感程度和监控范围，收集更为细致的网络监控数据。7.1.4实施更为严格的身份认证和访问控制机制，启用主机防火墙或提高防火墙的安全级别，过滤可疑的访问请求。7.1.5找到控制服务器IP、端口等信息，在相关安全设备及出口处封杀控制服务器相关的IP、端口等、记录相关可疑地址的操作。7.1.6分析后台数据库操作日志，判断是否发生敏感数据泄露，检查校验数据的完整性和有效性。7.1.7收集相关网络日志、系统日志、应用日志、数据库日志等日志信息，对系统、应用进行全方位的扫描，分析入侵者的来源和具体活动，检查是否还有其他系统遭到了入侵，进一步确认事故的影响范围和程度。如事故范围扩大，应相应扩大隔离和分析范围。必要时保留相关证据以付诸法律。7.2应急抑制（来自内网攻击）7.2.1患者隐私外泄7.2.1.1涉及未经允许的敏感数据查询，进防统方平台探测后，以短消息提醒相关职能科室。7.2.1.2信息处负责人立即电话通知领导小组；7.2.1.3信息处负责人通知领导小组及保卫处，技术人员到达，并根据IP地址，寻找到电脑位置。7.2.2内网网络攻击7.2.2.1在IMC监控平台出现网络流量异常报警7.2.2.2信息处值班人员通知网络安全组，由网络安全组直接隔断相应网络区域7.2.2.3网络工程师通过态势感知平台收集相关网络日志、系统日志、应用日志、数据库日志等日志信息，对系统、应用进行全方位的扫描，分析入侵者的来源和具体活动，检查是否还有其他系统遭到了入侵，进一步确认事故的影响范围和程度。如事故范围扩大，应相应扩大隔离和分析范围。必要时保留相关证据以付诸法律。7.2.3应急抑制（来自终端）7.2.3.1安装补丁和升级：安装安全补丁和升级程序，但必须事先进行严格的审查和测试，并统一发布。7.2.3.2清除恶意代码和攻击者后门：如发现此类问题，应立即将感染区域进行隔离，手工清除感染计算设备的恶意代码，包括文件型病毒、引导型病毒、网络蠕虫、恶意脚本等。手工清除攻击者安装的后门，避免攻击者利用该后门登录受害计算设备。7.2.3.3系统修复：例如被非法篡改的系统注册表、信任主机列表、用户账号数据库、应用配置文件等。由于黑客入侵、网络攻击、恶意代码等信息安全事件对计算设备的文件、数据、配置信息等造成的破坏，对系统进行重装。7.2.3.4修复安全机制：修复并重新启用计算设备原有的访问控制、日志、审计等安全机制。7.2.3.5评估排查：对受保护网络系统中所有计算设备进行评估排查，测试是否仍然存在被同种信息安全事件影响的单机。7.2.3.6网络安全保障升级：对网络中的安全设备、安全工具进行升级，使其具备对该安全事件的报警、过滤和自动清除功能，例如向防火墙增加新的过滤规则，向入侵检测系统增加新的检测规则等手段阻止感染源的横向传播。7.2.4网站、网页出现非法言论时的紧急处置措施发现网站、网页出现非法信息时，应立即向宣传科和信息处报告。接到报告后，网站管理员应马上向上级报告并进行处理，不能处理的向技术小组、应急小