1、福建海事局計算機網絡及信息安全應急預案1總則 1.1目的為保障福建海事局計算機系統(tǒng)的運行安全，正確、迅速和 有效地處置可能發(fā)生的網絡通訊故障，最大限度地消除計算機網 絡及信息的各類突發(fā)事件的危害和影響，特制訂本預案.1.2編制依據中華人民共和國計算機信息系統(tǒng)安全保護條例、海事信 息網安全管理指導意見等。1.3適用范圍本預案適用于對福建海事局計算機網絡及信息安全突發(fā)事件的組織指揮、應急行動、后期處置。2組織機構及職責2.1領導機構各單位計算機系統(tǒng)應急領導小組是各單位計算機系統(tǒng)應急 計劃實施的指揮機構。由單位負責人擔任應急領導小組組長，分 管領導擔任副組長，信息化管理部門、各相關部門及基層機構負

2、責人任成員。2.2領導小組主要職能：(1 )領導并監(jiān)督本單位計算機系統(tǒng)應急準備和應急執(zhí)行，并提供行政及費用上的支持。(2) 指導下級單位的計算機應急領導小組工作，保證擴大化網絡故障處理的聯(lián)動機制，實現(xiàn)互相間的協(xié)調和配合。(3) 指揮和協(xié)調計算機系統(tǒng)應急處理工作，在應急程序啟動期間，指揮調動本單位資源。(4)定期對應急工作小組成員進行有針對性的培訓及應急演練。(5)負責應急方案更新及修訂的審定。(6)決定重大、較大的計算機網絡及信息突發(fā)事件應急預案的啟動，組織力量對突發(fā)事件進行處置。2.3應急工作小組計算機系統(tǒng)應急領導小組下設應急工作小組，由各單位信息化管理及相關部門人員組成，組長由信息化管理部

3、門負責人擔 任。2.4應急工作小組主要職責(1) 按照應急領導小組及相關規(guī)定的要求開展工作。(2) 根據事件危害情況，向應急領導小組提供應急方案，供領導決策。(3) 決定一般性突發(fā)事件的應急預案啟動，組織力量對突發(fā)事件進行處置。在應急事件發(fā)生后根據實際情況全面或部分的 接管應用系統(tǒng)操作，并及時向領導小組匯報工作進展情況。3應急事件分類及等級31根據應急事件的特點及實發(fā)事件所產生的損失程度，將 應急事件分為三級：3.1.1 一般應急事件(1) 單一地點的網絡故障或服務器系統(tǒng)受損，對該地點的系 統(tǒng)運行及業(yè)務運作造成嚴重損害，持續(xù)時間小于24小時的事件。 超過24小時的升級到較大應急事件。3.1.2

4、較大應急事件(2) 兩個及以上地點的網絡故障或服務器系統(tǒng)受損，對該地 點的系統(tǒng)運行及業(yè)務運作造成嚴重損害，持續(xù)時間小于24小時 的事件。超過24小時的升級到特大應急事件。3.1.3重大應急事件多個(兩個及以上)地點系統(tǒng)癱瘓，對業(yè)務運作造成巨大 損失的安全事件。4應急保障措施 4. 1省級數據中心應建立異地數據備份中心，并做好備份中心的維護及保養(yǎng)工作。42技術儲備與保障 計算機系統(tǒng)應急領導小組在平時應加強技術儲備與保障管理工作，建立通信保障應急管理機構與專家的日常聯(lián)系和信息溝 通機制，適時組織相關專家和機構分析當前網絡安全，對網絡 應急預案及實施進行評估，開展現(xiàn)場研究，加強技術儲備。43宣傳.培

5、訓和演習各級單位應急管理部門應加強對普通人員安全使用計算機的宣傳教育工作，全面提高網絡使用人員的安全意識；定期或不 定期地對有關應急領導小組和應急工作小組成員進行技術培訓 和應急演練，保證應急預案的有效實施，提高通信保障應急的能4.4應急文檔的備存(1) 各類網絡設備和服務器、計算機及其附屬設備的型號、 序列號等；(2) 硬件設備供應商、生產廠商的電話、聯(lián)系人、網址；(3) 操作系統(tǒng)、關鍵業(yè)務應用軟件開發(fā)商或供應商的電話、 聯(lián)系人；(4) 網絡拓樸圖；(5) 路由器、防火墻、入侵檢測設備的配置文檔，服務器 登陸用戶及原始密碼文檔；(6 )各類軟件的技術文檔及其他需要保存的文檔。4.5應急設備及

6、軟件備存(1 )正版操作系統(tǒng)啟動盤、安裝盤；(2) 正版防病毒軟件(注明安裝及升級序列號)；(3) 數據庫管理系統(tǒng)軟件，數據庫備份軟件及最近完整的 數據備份存儲介質；(4) 相關的設備驅動程序(含主板、顯卡、網卡等)及更 新到最新的服務器注冊表文件；(5) 備用網線，萬用表、測網儀、螺絲刀等必要工具;(6) 其它必備的應急工具。5預防和預警機制5.1日常預防管理(1) 定期檢查服務器及重要網絡設備。(2) 及時更新服務器的防病毒軟件病毒庫。(3) 定期對所有服務器進行漏洞掃描、補丁修復。(4) 定時備份重要數據。(5) 特殊時期實行值班制度。5. 2預警機制預警信息分為外部預警信息和內部預警信

7、息兩類。外部預警 信息指本單位外突發(fā)的可能破壞網絡或者最新病毒等可能產生 重大影響的事件警報；內部預警信息指單位內通信網絡的中斷或 部分計算機系統(tǒng)崩潰對業(yè)務操作有影響的事件警報。應急工作小組獲得外部預警信息后，對預警信息加以分析,通知各單位做好預防和網絡保障應急準備工作，并報備應急領導 小組；通過監(jiān)測或普通操作人員報告獲得內部預警信息，分析后 按照早發(fā)現(xiàn)、早報告、早處置的原則，解決可能演變?yōu)閲乐貞?事件的情況。6應急事件處理6.1確定事件類型（1）應急工作小組應及時判斷事件的類型和緊急程度；（2 ）確定事件范圍（多少地點發(fā)生事件）,檢查敏感信息失 密情況及其程度，分析攻擊來源及侵入點；（3）

8、判斷事件危害性及損失程度，分析人為原因、事件潛 在危害性；（4）確定事件發(fā)生時間及延續(xù)時間；（5）判斷需采用的手段及準備處理事件需要的必備資源；（6）根據損失程度及延續(xù)時間等情況確定等級，較大、重 大信息險情需報應急領導小組，決策后啟動相關應急預案。6. 2事件報告6. 2. 1報告方式（1）根據事件的類型及緊急程度及時向應急領導小組報告 （口頭或者書面報告），并制定具體措施。（2 ）下屬單位應急工作小組確定事件為較大（重大）信息 險情時，報本單位應急領導小組同時報上級應急工作小組備案。6.2.2報告內容事件的基本信息（故障發(fā)生的時間、故障點、故障情況）、 事件的類型、表現(xiàn)出來的現(xiàn)象、涉及的網

9、絡，事件當前的狀態(tài)及 可能造成的后果，以及事件解決的建議和措施。6. 3現(xiàn)場處理抑制事件的影響進一步擴大，限制潛在的損失與破壞，對事 件分類進行如下處理。6. 3. 1計算機病毒(1) 斷網、升級系統(tǒng)補丁及防病毒軟件，查找病毒源，進 行殺毒；(2) 時不能查，應向有關部門進行報告，提供病毒樣本;(3) 查找計算機病毒感染的存儲介質；(4) 對病毒利用的系統(tǒng)漏洞要通過補丁和升級的方式進行 填補；(5) 記錄全部處理過程。6. 3. 2黑客入侵采取必要措施抵御入侵行為，保護系統(tǒng)和數據安全，利用完 整性檢查工具進行檢查，必要時向公安機關報告并申請技術協(xié) 助。(1 )記錄系統(tǒng)狀況；(2) 立即復制系統(tǒng)

10、登錄文件、歷史文件、日志文件等重要文件；(3) 修改防火墻、路由器等網絡安全設備的過濾規(guī)則;(4) 斷開被攻主機、關閉不需要的服務；(5) 處理可疑的文件和程序；(6 )修改不安全的帳號和口令(7) 恢復被修改的軟件和數據(8) 安裝相應的補丁程序，填補安全漏洞(9) 編寫報告，詳述事件過程及處理步驟6. 33網絡中斷6. 3. 3.1廣域網無法使用(1) 路由器、交換機、防火墻等硬件故障：使用備份端口 或備份硬件，并檢查或配置相關內容，與供應商聯(lián)系，盡早解決問題；(2) 通信線路故障：關鍵業(yè)務使用應急通信線路，向受影 響的單位發(fā)出通報，立即與線路供應商聯(lián)系，在線路供應商承諾 的時間內解決問題

11、。(3) 網絡帶寬阻塞：通過網管軟件，判斷阻塞原因及阻塞 包發(fā)包點，再按情況逐個斷網排查，直至網絡恢復正常。對已斷 網計算機進行系統(tǒng)補丁升級、查毒等方式，找到原因并恢復正常后方能接入網絡。6. 3. 3. 2局域網無法使用(1) 磁盤陳列(存儲介質)設備問題：用同規(guī)格的備用硬盤進行替換，其他故障要及時與供應商聯(lián)系修復;(2) 服務器問題：啟用備用服務器，通過熱備服務服進行 雙機熱備恢復(包括數據服務配置)。提供故障服務器型號、序 列號并與服務器供應商聯(lián)系，取得技術支持，檢查服務器軟件，將原有數據信息存盤并實施用戶數據備分后移支正常服務器上 使用，并與軟件供應商聯(lián)系，盡早解決問題。(3) 路由器

12、、交換機、防火墻等硬件故障：使用備份端口 或備份硬件，并檢查或配置相關內容，與供應商聯(lián)系，盡早解決 問題；(4) 通信線路故障：用測網儀進行測試，用好的網線進行 替代，關鍵業(yè)務使用應急通信線路，向受影響的單位發(fā)出通報, 立即與線路供應商聯(lián)系，在線路供應商承諾的時間內解決問題。(5) 網絡帶寬阻塞：通過網管軟件，判斷阻塞原因及阻塞 包發(fā)包點，再按情況逐個斷網排查，直至網絡恢復正常。對已斷 網計算機進行系統(tǒng)補丁升級、查毒等方式，找到原因并恢復正常 后方能接入網絡。6. 3. 4數據庫無法正常使用(1) 記錄故障情況；(2) 檢查數據庫服務是否啟動，若未起，則重啟數據庫服 務；(3) 檢查文件系統(tǒng)，

13、若有問題則在備份重要數據文件后用 文件修復軟件修復；(4) 與數據庫供應商聯(lián)系，取得技術支持；(5) 重裝數據庫；(6) 分析原因，編寫報告，詳述事件過程及處理步驟。6. 3. 5斷電(1) 啟動應急電源；(2) 使用備用ups進行供電；(3) 與相關部門聯(lián)系，盡快恢復供電；(4) 若在ups供電時間范圍內不能恢復供電，要在ups能 正常供電的時間段內進行對主要系統(tǒng)及數據進行備份工作，備份 工作完畢后，對主要設備進行系統(tǒng)關閉。6. 3. 6火災(1) 立即發(fā)出火災警報并報告；(2) 根據情況立即斷電；(3) 根據機房滅火流程進行操作；(4) 有秩序、有步驟地搶救數據資料和硬件設備(5) 火險情況解除后，盡快檢查并恢復應用系統(tǒng)的工作。7事件后期恢復及評估(1) 清理系統(tǒng)、恢復數據、程序、服務。把所有被攻破的 系統(tǒng)和網絡設備徹底還原到它們正常的任務狀態(tài)。恢復工作應該 十分小心，避免出現(xiàn)誤操作導致數據的丟失。另外，恢復工作中 如果涉及到機密數據，需要額外遵照機密系統(tǒng)的恢復要求。(2) 備份硬件設備或配件代替使用后，應及時將損壞設備 進行維修或者更新。(3) 檢查威脅造成的結果，評估事件