《信息系统应急与灾难响应制度》.docVIP

27 信息系统应急与灾难响应制度 第一条 总体要求是在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。 第二条 明确应急预案行动小组及小组人员，指定应急责任人，确定人员职责。 第三条 规定应急相应流程：1、对信息安全事件进行通告。2、信息安全事件分类与定级。3、启动应急预案，根据不同类型与不同等级安全事件启动相应应急预案。4、信息系统重建。5，应急响应总结，完善相应应急预案。 第四条 建立信息安全事件通告制度，在信息安全事件发生后，应将相关信息及时报给信息中心，信息中心根据事件的严重程度，组织指定小组及时控制信息外漏，按重要程度进行信息控制。 第五条 事件分类与定级： 事件分类：①、有害程序事件，指蓄意制造、传播有害程序，或是因受到有害程序的影响导致信息安全事件。②、网络攻击事件，指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷用暴力攻击队信息系统进行攻击。③、信息破坏事件，指通过网络或其他手段造成信息被篡改、假冒、泄露、窃取等而导致的信息破坏事件。④、信息内容安全事件，指利用信息网络发布、传播危害国家社会稳定和公共利益的内容安全事件。 信息安全事件分级：①特别重大事件，指会使特别重要信息系统遭受特别严重的系损失，产生特别重大的社会影响。②重大事件，回事特别重要信息系统遭受严重损失，产生重大社会影响。③较大事件，指能够导致较严重影响的信息安全事件，产生较大社会影响。④一般事件，指不满足以上条件的信息安全事件，产生一般的社会影响。 第六条 启动应急预案，根据不同类型与不同等级安全事件启动相应应急预案 安全事假类型 安全事件等级 ① ② ③ ④ 特别重大事件 重大事件 较大事件 一般事件 网站、网页出现非法言论时的处置流程 网站、网页由主办部门负责随时密切监视信息内容。 发现网上出现非法信息时，计算机信息中心派专人处理，作好必要记录，清除非法信息，确认后，再重新启动网站。 服务器责任人妥善保存有关记录及日志。 信息安全员通过技术手段追查非法信息来源。 向上级领导汇报处理情况。 如果非法信息不能自行处理或属严重事件的，应保留记录资料并立即向公安部门报警。 黑客攻击的紧急处置流程 当发现网页内容被篡改或通过入侵检测系统发现网络正被攻击时，应立即将被攻击的服务器等设备从网络中隔离出来，保护现场并立刻向领导通报情况。 进行被攻击、破坏系统的恢复、重建工作。 追查非法来源。 向上级领导汇报处理情况。 如果不能自行处理或属严重事件的，应保留记录资料并立即向公安部门报警。 病毒安全紧急处置流程 当发现计算机被感染上病毒后，将该机从网络上隔离开来。 对该设备的硬盘进行数据备份。 启用杀病毒软件对该机器进行杀毒处理工作。 如果现行反病毒软件无法清除该病毒，在确认数据完全备份后，征求使用人同意重装系统。 软件系统遭破坏性攻击的紧急处置流程 重要的软件平时做好备份，并存于异地存储服务器。 一旦软件遭到破坏性攻击，应及时采取相应措施减少或降低损害，并立刻向领导报告。 网络安全人员检查日志等资料，确定攻击来源。 向上级领导汇报处理情况。 事态严重，应保留记录资料并立即向公安部门报警。 数据库安全紧急处置流程 主要数据库系统应做双机热备设置，至少准备两个以上数据库备份，并存于异地。 一旦数据库崩溃，应立即启动备用系统，并立刻向领导报告。 在备用系统运行的同时，应对主机系统进行修复工作。 如果两套系统均崩溃，信息安全小组人员应立即向软硬件提供商请求支援。 系统修复启动后，将数据库备份取出，按照要求将其恢复到主机系统中。 如果两个备份均无法恢复，应立即向有关厂商请求紧急支援。 广域网线路中断紧急处置流程 广域网线路中断后，应立即启动线路接续工作，同时向领导报告。 迅速判断故障节点，查明故障原因及时恢复网络。 如故障节点属电信部门管辖范围，立即与电信维护部门联系，要求修复。 局域网中断紧急处置流程 配置好备用网络设备，存放在指定的地方。 局域网中断后，网络维护人员应立即判断故障节点，查明原因。 如属线路故障，应重新安装线路。 如属路由器、交换机等网络设备硬件故障，应立即使用备用设备，并调试通畅。 如属路由器、交换机配置文件破坏等软件故障，应迅速按照要求重新导入备份配置。 向上级领导汇报处理情况。 设备安全紧急处置流程 小型机、服务器关键设备损坏后，应及时向领导报告。 如果能够自行恢复，应立即使用备用部件更换受损部件。 如不能自行恢复的，立即与设备提供商联系，请求前来维修。 机房灭火流程 一旦发生火灾，应遵循下列原则： 首先确保人员安全；其次保证关键设备、数据的安全；第三确保一般设备安全。 人员疏散程序是：按响火警警报，并通过119电话向消防请求支援，所有不参与灭火