第一章 總則
第一條 本預案所稱突發性事件,是指自然因素或人為活動引發的危害福州市審計局網絡設施及信息安全等有關的災害。
第二條 本預案的指導思想是確保福州市審計局有關計算機網絡及信息的安全。
第三條 本預案適用於發生在福州市審計局網絡範圍內的突發性事件應急工作。
第四條 應急處置工作原則:
(一)明確責任、分級負責:按照“誰主管誰負責,誰運行誰負責”的要求,逐級建立並落實審計信息系統責任制和應急機制。
(二)加強領導、分工合作:市局各處室應按照規定的職責和流程,實施統計信息系統的應急處理工作。
(三)積極預防、及時預警:市局各處室應及早發現安全事件,及時進行預警和信息通報;積極做好應急處理準備,提高對安全事件的預防和應急處理能力。
(四)協作配合、確保恢復:市局各處室要協同配合,確保在最短的時間內完成系統的恢復。
第二章 組織指揮和職責任務
第五條福州市審計局成立網絡與信息安全工作領導小組,局辦公室負責日常工作。
組長:翁國榮
副組長:潘玉寧
成員:吳祥添
領導小組的主要職責與任務是統一領導信息網絡的災害應急工作,全面負責信息網絡可能出現的各種突發事件處置工作,協調解決災害處置工作中的重大問題等。
第三章 處置措施和處置程序
第六條處置措施
處置的基本措施分災害發生前與災害發生後兩種情況。
(一)災害發生前,即日常管理與災害發生前的徵兆階段,局辦公室要預先對災害預警預報體系進行建設(防殺毒體系、漏洞補丁修補、防ARP網絡攻擊、單機網絡備份系統、防單機非法內(外)聯、移動設備認證系統),並開展災害調查,編制災害防治規劃,建設專業監測網絡,並規劃建設災害信息管理系統,及時處理災害訊情信息。加強災害險情巡查。局辦公室要充分發揮專業監測的作用,進行定期和不定期的檢查,加強對災害重點部位的監測和防範,發現有不良險情時,要及時處理並向領導小組報告。建立健全災情速報制度,保障突發性災害緊急信息報送渠道暢通。
(二)災害發生後,立即啟動應急預案,採取應急處置程序,判定災害級別,並立即將災情向網絡與信息安全領導小組報告,在處置過程中,應及時報告處置工作進展情況,直至處置工作結束。
第七條處置程序
(一)發現情況
市局各處室信息化管理人員要嚴格執行監管制度、處內設備管理和定期查殺毒制度,局辦公室做好網絡信息系統安全的日常巡查工作,以保障最先發現災害並及時處置。
(二)預案啟動
一旦災害發生,立即啟動應急預案,進入應急預案的處置程序。
(三)應急處置方法
在災害發生時,首先應區分災害發生是否為自然災害與人為破壞兩種情況,根據這兩種情況把應急處置方法分為兩個流程。
流程一:當發生的災害為自然災害時,應根據當時的實際情況,在保障人身安全的前提下,首先保障數據的安全,然後是設備安全。具體方法包括:硬盤的拔出與保存,設備的斷電與拆卸、搬遷等。
流程二:當人為或病毒破壞的災害發生時,具體按以下順序進行:判斷破壞的來源與性質,斷開影響安全與穩定的信息網絡設備,斷開與破壞來源的網絡物理連接,跟蹤並鎖定破壞來源的IP或其它網絡用户信息,修復被破壞的信息,恢復信息系統。按照災害發生的性質分別採用以下方案:
1.網絡信息系統故障的應急處理流程
(1)報告和簡單處理
網絡設備、網絡應用系統故障應由發現人通知局辦公室,局辦公室派人立即檢查故障,進行初步故障定位。如果網絡、應用系統出現比較嚴重的問題,對網絡業務的正常運行造成較大的影響,需立即向有關領導報告。
(2)故障判斷與排除
對簡單故障,運維人員應迅速排除故障,解決問題並記錄。如果需要更換設備,應上報有關領導,經批准後馬上更換故障設備,儘快恢復網絡、應用系統運行。運維部門判斷無法及時修理時,應立即通知相關的系統運行服務提供商,在最短的時間內安排修理或更換系統。
(3)網絡線路故障排除
如發現屬外部線路的問題,應與線路服務提供商聯繫,敦促對方儘快恢復故障線路。
(4)啟用備份線路、設備、系統(如果存在的話),迅速恢復相關的應用。
2.網站檢測與自動恢復系統應急處理流程
(1)報告和簡單處理
當發現網站不能正常打開或網站內容被惡意篡改時,任何人員都有義務向領導小組或局辦公室報告。由局辦公室應急響應,聯合相關部門進行故障排查。
(2)處理和恢復使用
先由網絡運維部門查看網絡連接情況,若不是網絡故障,則由局辦公室排查軟、硬件故障。待故障處理完成並經過測試後,恢復系統的正常運行和內容的正常應用。
3.黑客入侵的應急處理
(1)報告和簡單處理
當發現網絡上有黑客攻擊行為,任何人員都有義務向領導小組或局辦公室報告。局辦公室立即啟動應急響應,切斷受攻擊計算機與網絡的連接,停止一切操作、保護現場,並上報有關領導。
(2)處理和恢復使用
對於黑客攻擊,由局辦公室查找入侵蹤跡,分析入侵方式和原因。由安全管理員根據對入侵事件的分析,組織相關人員對內部網計算機整改,防止黑客用同樣的手段再次入侵其他系統。安全管理員檢查確定無安全隱患後,才可將受攻擊計算機重新連接網絡,或啟用備份計算機來恢復應用。
(3)應急響應
安全管理員應做好記錄,保護現場,進行日誌收集等工作。如果能追查到攻擊者的相關信息,可以對其發出警告,必要時可以採取進一步的行動,乃至採取法律手段。根據破壞程度,經有關領導同意後,上報公安部門。
若系統已被黑客破壞,無法恢復,應將受黑客攻擊的計算機上的重要數據備份到其他存儲介質,確保計算機內重要的數據不丟失。如果數據無法恢復,經有關領導同意後,可與國家指定的部門聯繫,由他們來協助恢復,為保證數據信息安全,需在安全管理部門做記錄。
4.大規模病毒(含惡意軟件)攻擊的應急處理
(1)報告和簡單處理
當發現網絡上有大規模病毒攻擊的行為,任何人員都有義務向領導小組或局辦公室報告。由局辦公室組織應急響應,切斷受攻擊計算機與網絡的連接,停止一切操作、保護現場,立即上報有關領導。
(2)已知病毒的處理和恢復
使用最新版本殺毒軟件對染毒計算機進行全面殺毒,並對染毒計算機系統進行漏洞修補。安全管理員確定沒有病毒和安全漏洞後,再連接網絡恢復使用。
(3)未知病毒的處理和恢復
觀察網管軟件根據監視窗口的鏈路狀態,由此判斷感染病毒或惡意程序的客户端、服務器所科的樓層交換機。打開該交換機的端口流量分析窗口,根據流量判斷感染病毒或惡意程序的客户端所科交換機端口。關閉該交換機端口,隔離該工作站、服務器,阻斷與局域網的連接。根據端口狀態功能,查看該感染病毒或惡意程序的工作站的IP地址。根據IP地址信息找到該工作站的具體位置,對該工作站進行病毒或惡意程序清除工作。
根據對於未知病毒,應首先嚐試手工殺毒處理,若系統已被病毒破壞,無法恢復,應將感染病毒的計算機上的硬盤加掛到其他機器上處理,將重要數據備份到其他存儲介質,盡最大努力保護、保留感染計算機內重要的數據,同時防止病毒感染其他計算機。如果數據無法恢復,經有關領導同意後,可與國家指定的反病毒部門聯繫,由他們來協助恢復,為保證數據信息安全,需在安全管理部門作做記錄。如為涉及國家祕密的數據,不允許由其他機構來恢復數據。
5.其他沒有列出的不確定因素造成的災害,可根據總的安全原則,結合具體的情況,做出相應的處理。不能處理的可以請示相關的專業人員。
(四)情況報告
災害發生時,一方面按照應急處置方法進行處置,同時需要判定災害的級別,首先向網絡與信息安全應急處置領導小組彙報。在大型災害發生時或上級領導通知的特殊時間內發生的災害,可以直接向局領導報告,也可向相應的公安機關計算機信息系統安全監察部門彙報。中、小型級別的災害,可以只向網絡與信息安全應急處置領導小組彙報,並及時報告處置工作進展情況,直至處置工作結束。情況報告內容包括:災害發生的時間、地點,災害的級別,災害造成的後果,應急處置的過程、結果,災害結束的時間,以後如何防範類似災害發生的建議與方案等。
(五)發佈預警
災害發生時,可根據災害的危害程度適當地發佈預警,特別是一些在其他地方已經出現,或在安全相關網站發佈了預警而信息網絡還沒有出現相應的災害,除了在技術上進行防範以外,還應當向網絡信息用户發佈預警,直至災害警報解除。
(六)預案終止
經檢測,災害險情或災情已消除,或者得到有效控制後,由網絡與信息安全領導小組宣佈險情或災情應急期結束,並予以公告,同時預案終止。
第四章 保障措施
災害應急防治是一項長期的、持續的、跟蹤式的、深層次的和各階段相互聯繫的工作,是有組織的科學與社會行為,而不是隨每次災害的發生而開始和結束的活動。因此,必須做好應急保障工作。
第八條 人員保障
重視人員保障,確保在災害發生前的人員值班,災害處置過程和災後重建中的人員在崗與戰鬥力。
第九條 技術保障
重視網絡信息技術的建設和升級換代,在災害發生前確保網絡信息系統的強勁與安全,災害處置過程中和災後重建中的相關技術支撐。
第十條 物資保障
根據近二年網絡信息系統安全防治工作所需經費情況,相應購買應急設施。同時,建立應急物資儲備制度,保證應急搶險救災隊伍技術裝備的及時更新,以確保災害應急工作的順利進行。
第十一條 訓練和演練
加強網絡信息的防災、減災知識的宣傳普及與培訓,增強審計人員防災意識和自救互救能力。有針對性地開展應急搶險救災演練,確保發災後應急救助手段及時到位和有效。
第五章 附則
第十二條 本預案由局辦公室負責解釋。
第十三條 本預案自發布之日起施行。
第十四條 各縣(市)、區審計局可參照本預案執行。