栏目导航

当前的位置: 主页 > 曾道长一肖中特免费公开资料大全 >

眉山市彭山区审计局网络安全事件应急预案
发布时间:2019-07-12

  第一条为完善局网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,保证网络安全事件应急处置工作迅速、高效、有序执行,依据《国家网络安全事件应急预案》(中网办发〔2017〕4号)和《审计署办公局关于印发审计署网络安全事件应急预案的通知》(审办计发〔2017〕57号)制定本预案。

  第二条坚持统一指挥、密切协同、快速反应、科学处置;坚持以预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责等原则,充分发挥各方面的力量,共同做好局网络安全事件的预防与处置工作。

  第三条本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对局网络和信息系统或者其中数据造成危害,对社会造成不良影响的事件。本预案适用于局网络安全事件的应对工作。

  第四条成立网络安全应急办公室(以下简称“网络安全应急办”),网络安全应急办在局信息化建设领导小组的领导下开展工作,负责局网络安全事件预防与应急处置工作,包括网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。

  第五条网络安全应急办设在审计信息中心,审计信息中心具体承担局网络安全事件应对工作。审计信息中心负责人在局信息化建设领导小组的领导下全面负责处置网络安全事件的组织、指挥、协调工作。下设应急工作组和技术支持组。

  1.组织落实局信息化建设领导小组的部署要求,协调和调动各部门应对网络安全事件应急相关工作;

  应急工作组负责现场应急指挥处置。应急工作组在审计信息中心授权下,行使现场应急指挥、协调、处置等职责。

  1.根据事件性质,迅速调集相关人员组成事件处置工作组,为网络安全应急办提供决策支持;

  2.根据网络安全应急办指令,负责现场应急指挥工作,针对网络安全事件发展的事态,制定和调整相应网络安全事件处置、恢复和预防方案;

  组建局网络安全事件应急技术支撑队伍。从网络信息安全相关技术服务单位中选择相关专家和技术人员,与我局有关单位人员组成局网络安全应急技术支撑队伍。

  第六条网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件等。

  (一)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件;

  (二)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件;

  (三)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件;

  (四)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件;

  (五)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障;

  第七条局网络安全事件分为四级:由高到低划分为特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)4个级别,其中特别重大(Ⅰ级)、重大(Ⅱ级)遵循《国家网络安全事件应急预案》分级标准进行分级,较大(Ⅲ级)、一般(Ⅳ级)分级标准由局按照严重程度、可控性和影响范围等因素确定。

  (二)因断电、水害、设备失灵等,造成局内部网络5个工作日以上的中断,对工作造成严重影响;

  (三)数据丢失或系统故障,影响系统正常运行且5个工作日内不能恢复,对工作造成严重影响;

  (四)病毒和木马入侵导致局内部网络30%以上的计算机感染,对工作造成严重影响;

  (六)除上述情况外,其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络与信息安全事件。

  (一)因断电、水害、设备失灵等,造成局内部网络1个工作日以上的网络中断,对工作造成一定影响;

  (二)数据丢失或系统故障,影响系统正常运行且1个工作日内不能恢复,对工作造成一定影响;

  (三)病毒和木马入侵导致局审计专网10%以上的计算机感染,对工作造成一定影响;

  (四)除上述情况外,其他对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络与信息安全事件。

  第十条局建立网络安全事件信息接收机制,审计信息中心接收预警信息、事件信息:

  (二)国家互联网应急中心、国家信息安全漏洞共享平台等机构通过新闻媒体公开发布的网络安全事件预警信息;

  第十一条按照“谁主管谁负责、谁运行谁负责”的要求,审计信息中心负责局机关审计内网局域网、审计专网局域网和因特网的网络安全监测工作,

  第十二条审计信息中心负责统筹组织开展网络和信息系统的网络安全监测工作,网络安全监测工作包括:应用系统、系统软件、网络及网络设备、安全设备、主机、存储、外设、终端、电力、空调等基础环境的可用性和连续性的监测。

  第十三条局网络安全事件预警等级遵循《国家网络安全事件应急预案》的分级标准,由高到低依次为:红色预警、橙色预警、黄色预警和蓝色预警,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。

  第十四条审计信息中心负责组织对局监测信息进行研判,对需要立即采取防范措施的,立即向局信息化建设领导小组报告,同时组织实施对应的预防工作并结合事件具体情况在局发布黄色及以下预警。

  对国家应急办发布关于网络安全红色预警事件,局网络安全应急办实行24小时值班,应急工作组全员保持通信联络畅通。网络安全应急办组织应急支撑队伍开展应急处置或准备、风险评估和控制工作。

  对相关部门发布的关于网络安全橙色预警事件,局网络安全应急办组织开展局的应急响应工作,结合局实际情况及时开展风险评估、应急准备和风险控制工作。

  对相关部门发布的关于网络安全黄色和蓝色预警事件,局网络安全应急办启动相应应急预案,协调应急工作组、技术支持组开展应急处置。

  第十六条对局发布的关于网络安全黄色及以下预警事件,局网络安全应急办启动相应应急预案。

  第十七条局网络安全事件应急处置工作在局网络安全应急办统一调度下开展工作。

  发生较大级网络安全事件时,事故发现人必须在第一时间向审计信息中心负责人报告;审计信息中心负责人必须在30分钟内向分管局领导报告。

  发生一般级网络安全事件时,事故发现人必须在30分钟内向审计信息中心负责人报告;审计信息中心负责人必须在1小时内向分管局领导报告。

  审计信息中心负责人、相关小组人员进入应急状态,组织开展勘察、研判、处置、恢复、信息通报和管理应急状态,必要时组织相关网络信息安全技术服务单位专家参与。

  第十八条较大级网络安全事件、一般级网络安全事件处置完毕后,局网络安全应急办应当组织编制网络安全事件处置报告。

  网络安全事件处置报告应结合分析系统日志、运行记录、值班记录等资料,评估事件造成的后果、产生的影响,统计处置所发生的费用和造成损失,分析事件产生的原因,提出应当采取规避措施的意见。

  1.网络管理员得到多个病毒事件报告或者得到重要应用服务器感染病毒报告后,应当指导计算机或者服务器的使用者将染毒计算机和服务器从网络上隔离,启用反病毒软件杀毒;

  2.当认为查杀病毒可能对数据造成损害时,网络管理员通知系统管理员,对数据进行备份;

  3.启用反病毒软件杀毒无效时,立即升级最新版本后查杀,仍无效时,通知反病毒软件公司、技术支撑专家队伍,提供病毒样本,寻求支持解决;

  4.确认反病毒软件有效时,网络管理员经审计信息中心负责人批准以中心名义发布公告,组织全网计算机统一清查杀毒;

  5.网络管理员分析查明病毒暴发原因。必要时可请技术支撑单位参与分析研究。

  4.分析追查木马或间谍程序,必要时可请信息安全机构和技术支撑单位参与分析研究。查明后,视需要向省相关机构报告或向公安部门报警。

  (一)网络管理员发现网络攻击后,抓取能够证明被网络攻击的界面,注意保存好相关系统日志;

  (二)将被攻击计算机从网络上隔离开来。采取查杀病毒或者升级漏洞补丁方式,避免再次遭受攻击;

  (三)分析研究攻击性质,评估风险。必要时可请信息安全机构和技术支撑单位参与分析研究。

  1.按照局网站安全管理有关规定,由办公室和审计信息中心人员负责监测网站信息内容,并做好监测记录;

  2.发现有关局网站内容被恶意篡改,应急工作组应切断网站与因特网的联接,并按程序报告(同时向审计信息中心负责人,办公室负责人报告);

  4.抓取保存被恶意篡改内容的全部网页页面,编制抓取过程记录,注意保存好系统日志;

  5  分析追查非法信息来源,必要时可请相关信息安全技术服务单位参与分析研究。

  1.因误删除造成数据中心电子数据丢失时,操作人员应立即停止操作,并向审计信息中心负责人报告;

  2.查看备份系统中是否有备份数据,其他介质中是否有可使用的备份数据。如有备份数据,审计信息中心负责恢复数据,恢复完成后调试系统至运行正常;

  3.数据无法从备份系统中或其他介质中自行恢复,但人工恢复工作量可以接受的,审计信息中心负责组织人工恢复;无法人工恢复的,审计信息中心负责寻求专业数据恢复公司恢复。

  1.因硬盘、磁盘阵列故障造成数据中心电子数据丢失时,操作人员应立即停止操作,并向审计信息中心负责人报告;

  2.检查数据是否完整、RAID机制是否起作用。如数据完整,更换硬盘,监视系统至运行正常;

  3.检查与磁盘阵列柜有关的配置,属于配置破坏造成的数据丢失,审计信息中心应备份原配置文件,保存好系统日志,重新配置,调试至系统正常,属于磁盘阵列柜硬件故障的,审计信息中心负责联系相关厂商维修;

  4.查看备份系统中是否有备份数据,其他介质中是否有可使用的备份数据。如有备份数据,审计信息中心负责恢复数据,恢复完成后调试系统至运行正常;

  5.数据无法从备份系统中或其他介质中恢复,但人工恢复工作量可以接受的,审计信息中心负责组织人工恢复;无法人工恢复的,审计信息中心负责寻求专业数据恢复公司恢复。

  (一)接到有关信息系统存在恶意信息要求采取措施的情况通报后,或者审计信息中心人员发现恶意信息,应联系相关处室立即撤下恶意信息,同时报告审计信息中心负责人;

  (二)审计信息中心负责抓取保存恶意信息的全部网页页面,编制抓取过程记录,注意保存好系统日志;

  (三)审计信息中心负责分析追查非法信息来源,必要时可请信息安全机构参与分析研究。查明后,向分管局领导或相关部门报告。

  1.审计管理系统、审计实施系统、联网审计系统等所使用的操作系统、数据库管理系统、中间件等系统软件发生故障影响系统运行时,系统管理员查明故障原因,判断故障模块;

  2.如属于配置的原因,应备份原配置文件,保存好系统日志,重新配置,调试至系统正常;

  3.不能判断故障原因时,联系应用软件开发集成商、系统软件开发商,提出解决方案。

  1.审计管理系统、审计实施系统、联网审计系统等发生影响运行的故障时,系统管理员查明故障原因,判断故障模块;

  1.发现空调非正常停机的审计信息中心人员应立即通知机房管理员,重启空调,如空调重启动不能正常工作,必要时可先开窗、开门降温。机房管理员向信息中心负责人报告,并查明初步原因,及时联系空调维保厂商处理相关故障;

  2.空调正常运行后,开启关闭的设备,机房管理员监视机房温度维持在正常范围。

  (四)通信设备故障或线.路由器等通信设备发生故障,或者ISP运营商的通信线路中断,造成审计专网中断运行时,网络管理员应迅速确认故障产生节点;

  2.属于路由器等通信设备发生故障,应立即与相关厂家联系维修,必要时联系相关厂家提供应急设备;

  3.属于ISP运营商的通讯线路中断,应立即与相关通信网络提供商联系,要求查明原因,恢复线路。

  1.防火墙、交换机等网络设备发生故障造成审计专网中断运行时,网络管理员应迅速确认故障节点,尽快排除故障;

  2.确认属于设备硬件故障后,应立即与相关厂家联系维修,必要时联系相关厂家提供应急设备;

  3.确认属于设备配置文件破坏后,应备份原配置文件,保存好系统日志,重新配置,调试恢复。

  1.机房内发生火警时,置身起火现场的人员在确保自身安全的前提下呼喊提醒同事协助,立即切断主机房供电,撤离防护区后启动机房惰性气体灭火系统;机房周边或气体灭火系统防护区外起火应使用手持灭火器等扑救。立即报告审计信息中心负责人,审计信息中心负责人向分管局领导报告相关情况及处理措施;

  4.火灾扑灭后,协助消防部门保护现场,查明起火原因,清理现场,尽可能保全设备资产和信息资源;

  5.办公楼其他部位发生火警时,审计信息中心人员在时间许可的情况下应关闭电源、房门后撤离,以减少火灾殃及机房等重要区域、重要设施设备的可能性。

  1.未接到通知的情况下发生外电源中断,机房管理人员应立即查明原因,并向审计信息中心负责人报告;

  2.如因内部线路故障,联系管理部门迅速恢复;如属于外部供电环节的原因,应立刻与相关部门联系,确定恢复来电时间,如果需长时间停电,应做如下安排:

  (1)预计停电1小时以内,由UPS供电,机房管理人员监控机房温湿度情况,并根据实际情况关闭部分设备;

  (2)预计停电超过1小时,审计信息中心负责人应立即向办公室及分管局领导报告,经批准后关停机房网络系统。

  3.审计信息中心负责关闭机房网络系统及其它相关设备,并配合办公室通知相关股室关闭有关系统并保存相关数据;

  4.恢复供电后,审计信息中心负责启动机房空调、网络系统、服务器等相关设备,监视至系统重新正常运行;

  5.接到发生外电源中断通知,机房管理员应提前做好正常关闭设备的准备,恢复电源后,启动设备并监测各设备是否都工作正常。

  1.如果机房发生漏水,应根据机房监控系统中漏水监测确定漏水位置,对漏水源进行快速处理,如不能处理,应联系相关部门人员立刻进行现场处理,并报告审计信息中心负责人;

  2.如办公楼内发生自来水、污水泄漏,或因办公楼窗户开启大量雨水可能进入机房时,机房管理人员应立即关闭机房电源并通知审计信息中心负责人应立即联系办公室负责人并向分管局领导报告;

  3.确认水害消除,达到设备和线路所需要的干燥程度时,恢复供电和系统运行,机房管理员监视机房温度维持在正常范围。

  1.机房间、配电间发现人身触电,应立即切断电源或者采取安全方式使触电人脱离电源;

  3.审计信息中心负责人组织查明触电原因,采取相关措施并向分管局领导报告。

  (二)由各类紧急情况次生、衍生的对关键基础设施、信息系统造成危害的紧急情况。

  1.审计信息中心负责人召集会议,研究次生、衍生紧急情况的原因,找出主要矛盾,部署处置顺序。必要时可以局部或者全部停止系统运行;

  第二十六条日常工作中遇到与本预案相似情形但不能判定是否属于紧急情况的,先行按照一般网络安全事件处置。

  第二十七条网络安全事件处置完毕,局网络安全应急办应组织对应急响应工作进行分析和回顾,形成总结报告,总结经验并部署采取适当的后续措施。

  第二十九条网络安全事件处置完毕,局网络安全应急办应组织对应急响应工作有效性和实效性进行评估,提出改进目标、改进的具体工作内容。

  第三十条审计信息中心负责局网络安全事件日常预防工作,定期检测排查网络安全隐患,开展风险评估和容灾备份工作,不断完善网络安全信息通报机制,提高网络安全应对能力,减少和避免网络安全事件的发生与危害。

  第三十一条审计信息中心负责局网络安全应急预案的演练工作,每半年选择一个专题开展一次应急演练,根据演练结果评估应急预案并进一步完善。

  第三十二条审计信息中心配合办公室等单位负责局的网络安全事件预防和处置有关法律、法规和政策的宣传。办公室应每年开展一次网络安全事件应急知识培训,提高网络安全防范意识及技能。

  第三十三条在国家、省重要活动、会议等敏感时期,局网络安全应急办加强网络安全的检测和分析研判,及时预警可能造成的重大影响的风险和隐患。

  审计信息中心负责在国家、省重要活动和会议前,按照相关主管部门的要求,委托安全机构对局因特网网站开展渗透测试或开展防护演练。局按照有关部门预警要求,审计信息中心及时组织相关人员实行24小时现场或电话值班制度,及时发现和处置网络安全事件隐患。

  第三十四条审计信息中心每年根据工作需要对网络安全应急技术支撑队伍的人员进行调整和培训。

  第三十五条审计信息中心每年将网络安全事件应急经费列入计算机网络运行维护项目。

  第三十六条审计信息中心配合局办公室与有关部门要建立对外合作渠道,必要时通过对外合作共同应对网络与信息安全突发事件。

  第三十七条在局信息化建设领导小组、局保密委的领导下,审计信息中心与公安局、网信办、保密委等加强网络与信息安全有关情报搜集能力建设,为网络与信息安全应急工作提供情报支撑,做到早发现、早预警、早响应,提高应急处置能力。

  第三十八条实行网络安全事件处置责任追究制。对迟报、谎报、瞒报和漏报网络安全事件,造成不良后果的,按照局有关规定处理。

  第四十条本预案由审计信息中心制定并组织实施,每年审计信息中心组织对本预案进行评估,并根据实际情况进行修订。本预案自公布之日起执行。这里红姐彩色统一图库