信息系统安全 突发事件
应急预案
杭州市XXXX局
二○一X年X月
目录
++++6.1++++ ++++软硬件厂商联系方式一览表++++
++++6.2++++ ++++应急处理专题预案应急响应工作组成员角色及职责表++++
++++6.3++++ ++++重大网络与信息安全事件报告表++++
++++6.4++++ ++++重大网络与信息安全事件处理报告++++
一、总则
1.1目的
为正确、有效处理杭州市XXXX局各类信息系统在运行过程中由于设备、源程序、网络攻击以及其他不可抗拒原因出现的运行故障,保证网站安全、稳定运行,最大限度地降低风险带来的损失,制定本预案。
1.2基本原则
- 安全性原则
应急处理措施必须通过各种有效方法控制新闻的发布,确保信息不错不乱。
- 连续性原则
应急处理措施要确保网站系统在工作日期间的不间断运行。
- 可操作性原则
应急处理措施要具有可操作性。
1.3适用范围
本预案适用于杭州市XXXX局预防和处理由于设备、源程序、网络攻击以及其他不可抗拒因素等原因导致门户网站等系统出现故障和异常情况而影响用户的正常使用。
二、网站系统应急处理和报告程序
2.1应急处理流程
2.2突发事件汇报流程
|-------------------------|----------------------|---------------------------------------------------------------|--------|
| 突发事件 | 职 责 | 工作要求 / 控制点 * | 备注 |
| 突发事件 | 责任人 / 部门 | 工作要求 / 控制点 * | 备注 |
| 开始 | | 判断标准为:计算机系统已经遭到非法攻击,并造成严重损失,或遭受软硬件故障导致服务受到影响。(资产已经遭受威胁) | |
| 报告 | 1、监控人员 | 报告硬件、应用科、信息中心或其他领导。 | |
| 备份 | 1、监控人员 2、相关管理员 | 备份受影响的服务器或设备的所有事务日志以及在内存和缓冲区内的数据。 | |
| 隔离 | 1、监控人员 2、相关管理员 | 把受影响的服务器或设备进行隔离,并关闭所有网络访问接入点(网关、防火墙等)。 | |
| 现场分析处理 | 1、监控人员 2、相关管理员 | 1、分析受损原因 2、预测和确认入侵方法及时间 3、统计威胁造成的严重性 | |
| 1. 软件故障 2. 硬件故障 3. 其他原因 | 1、监控人员 2、相关管理员 | 1、分析解决方案 2、制定解决方案并处理 3、如果不能解决,则转入联系第三方 | |
| 联系第三方相关安全咨询公司,安全顾问,安全专家 | 1、监控人员 2、相关管理员 | 网络管理员、相关系统管理员和第三方共同找出解决方案 |
| 恢复日常状态 | 1、监控人员 2、相关管理员 | 将系统恢复到日常运行状态; 安装系统patch,修补系统漏洞,通知相应的人员; 此次事件所有恢复系统的行为都应该记录在案。 | |
| 加固处理 | 1、监控人员 2、相关管理员 | 根据解决方案,按照加固手册进行加固处理 | |
| 重新入网 | 1、监控人员 2、相关管理员 | 把受影响的系统或设备重新入网,解除隔离状态 | |
| 汇报 | 1、监控人员 | 进行善后处理。 | |
| 结束 | | 系统恢复运行,事件结束 安全事故处理报告抄送给信息文档部门进行归档 | |
三、风险等级分析
3.1一般事件
是指网站系统出现运行故障导致信息不能发布,但当日能够恢复的情况。
3.2严重事件
是指由于遭受攻击、硬件设备、程序等问题,导致系统运行故障,次日仍无法恢复的情况。
3.3灾难事件
由于不可抗拒外部原因造成服务器上的网站系统源程序和数据全部丢失,恢复数据困难,需要长时间进行故障处理的情况。
四、应急准备
4.1防范措施
针对网站系统运行的过程中可能发生的事件,尽早准备,完善规章制度,落实岗位责任,加强审计监督。安排专门人员对系统设备定期检查,并对重要数据和源文件进行定期、不定期备份。
4.2应急资源准备
对应急设备、资源做好准备。具体如下:
基础设施:对机房、网络、通讯设备(电话、传真)等设施必须可用,关键设备应有备份,即使某部分出现问题有能够替代的设备。
设备准备:必须保证有备份设备,对备份设备进行检查,保存设备提供商联系方式,设备采购及维护合同。
软件准备:妥善保管操作系统、应用系统、数据库、工具软件、驱动程序的正确版本和补丁,统一维护管理,并对所有应用程序有相应的备份。
人员准备:主机及系统的运行维护人员要保证AB角,并在奥运前进行备份切换演练。
4.3应急策略
发生的事件时,应急策略是基于现实具体条件,在最短时间内用最小代价将损失降至最低。具体实行时,尽量保证系统不间断运行,同时兼顾主机设施优先备份机设施,主要系统优先外围系统。
4.4应急准备
4.4.1制定日常维护检查制度
(1)日志检查、备份
指派专人定期进行日志的备份,做到有据可查以防万一。做好备份数据的保存、保管工作,切实落实备份数据异地存储(如:移动硬盘)。在应对突发事件时,能够提供真实、完整的记录,作为事故处理小组的评估依据。
(2)观察设备运行状态提示
指派专人定期检查设备运行状态,重点关注设备功能、外观、指示灯等是否有运行提示、警告、报警等硬件提示。针对设备硬件的运行状态提示,及时查看硬件手册联系硬件供应商,确定事故的等级。要做到早发现、早汇报、及时把故障消灭在萌芽阶段。
(3)检查硬盘使用情况
维护人员定期查看硬盘工作状态,查看硬盘空间大小,注意硬盘指示灯变化,严禁不经允许私自添加、更改、删除硬盘上的数据。
(4)数据库运行状态
定期检查数据库日志,了解数据库运行状态。严禁未经允许私自添加、修改、删除数据库中的数据。
4.4.2保持备份设备有效
备份设备是保证整个系统正常运行的重要保障。维护人员应该定期检查备份设备和介质是否有效,并保存所有设备提供商的联系方式。
4.4.3保存所有软件的有效拷贝
除了必要的硬件设备备份外,应该对相关的软件进行备份。这些软件备份包括操作系统、应用系统、数据库、工具软件、驱动程序和补丁等,必须保证所有软件的正确版本和确实可用。以上软件必须有备份并且在异地有可靠存储。对所有软件应有统一的管理和记录,保存所有软件更新和升级的日志,以备日后查询。
五、门户网站系统应急处理预案
5.1系统介绍
5.1.1系统构成
数据库和WEB应用程序共一台服务器。
5.1.2系统环境
- 操作系统:windows 2003 sp2;
- 数据库:sql server 2003;
- 应用程序:IIS、ASP
- 数据库-备份措施:每天数据库全备份(自动)
5.2应急处理
5.2.1网站、网页出现非法言论时的紧急处置措施
- 网站、网页由值班巡检人员密切监视信息内容。每天不少于一次。
- 发现网上出现非法信息时,负责人员应立即向部门负责人通报情况;情况紧急的应先及时采取删除等处理措施,再按程序报告。
- 技术人员应在接到通知后立即清理非法信息,强化安全防范措施,并将网站网页重新投入使用。
- 网站维护员应妥善保存有关记录及日志或审计记录。
5.2.2文件损坏或丢失
系统不能正常启动,或者部分功能异常,经检查有部分文件丢失或损坏,维护人员对应用程序进行诊断,用备份文件进行修复。
5.2.3操作系统故障
系统维护人员用系统备份文件对操作系统进行快速重装,如果备份文件安装失败,用系统安装盘重装系统并安装相应的硬件驱动、应用程序和系统补丁。
启用备份机,同时抢修主机。
一级维护如果不能排除故障,应向市信息中心请求技术支持,如果通过上述方法可以恢复系统并保证数据的完整,则可使系统进入运行状态。
5.2.4硬件故障
- 硬盘正常,服务器故障(如电源、CPU等)
1.- 系统维护人员应及时向科室负责人报告,同时联系硬件提供商。
- 启用备机并恢复最新备份数据,通知各部门重新发送已丢失的新闻,尽可能减少数据丢失。
- 联系设备供应商抢修故障机。
- 阵列硬盘上单个硬盘故障
1.- 维护人员应及时向科室负责人报告,同时联系硬件提供商。
- 维护人员在硬件提供商的协助下,使用备份硬盘重建镜象,在重建镜象的过程中的细节问题请向硬件服务商咨询和参阅硬件服务商提供的手册。
- 联系设备供应商抢修故障硬盘,若硬盘不能修复,则立即购置。
- 阵列硬盘上两个硬盘故障
1.- 系统维护人员应及时向科室负责人报告,同时联系硬件提供商。
- 启用备机并恢复最新备份数据,通知各部门重新发送已丢失的新闻,尽可能减少数据丢失。
- 联系设备供应商抢修故障硬盘,若硬盘不能修复,则立即购置。
5.2.5 Web服务、数据库管理系统故障
服务器正常,web服务故障的情况下,重启web服务。
服务器正常,数据库系统故障情况下,应重新启动数据库服务程序,如果出现数据丢失等现象,应用备份数据库文件进行恢复。
5.2.6 主备机程序与数据全部丢失
若为源程序文件丢失,应将移动硬盘上的备份文件拷贝到备机上,调试成功后在主机上安装调试,同时通知新闻发布员在系统恢复后,立即补录已丢失的新闻信息,并尽快查明数据丢失的原因。
若为系统软硬件故障导致:
- 汇报。及时向应急领导小组汇报。
- 准备替代机器。科技科准备替代机器,并将计划安排通知各部门。
- 安装系统。在替代机器上安装操作系统、应用系统(移动硬盘上备份的以及工具软件)、数据库系统、恢复数据和其他驱动程序。
5.2.7 主备机因外部原因无法运行
由于外部原因(如网络中断、供电系统瘫痪等)主备机完好,但是无法运行。
- 系统维护员应及时向科室负责人报告,并通知各科室新闻发布员。
- 技术支持人员使用应急准备资源力争尽快恢复系统。
- 新闻发布员在系统恢复后,立即补录因系统无法工作延误的信息的发布。
5.2.8 主备机因不可抗力事件同时损坏
- 系统维护员应及时向应急领导小组报告。
- 技术支持人员恢复、查找所有业务数据。
- 安装替代服务器,恢复业务运行环境。
- 技术支持小组协调、组织相关人员尽快恢复系统运行。
5.2.9黑客攻击时的紧急处理措施
当入侵检测系统发现有黑客进行攻击的时候或管理员发现有其他黑客入侵的时候应进行如下操作:
- 首先应将被攻击的服务器等设备从网络中隔离出来,同时向领导汇报情况。
- 技术人员立即进行被破坏系统的恢复与重建工作。
5.2.10病毒安全紧急处置措施
- 当发现计算机感染有病毒后,应立即将该机从网络上隔离出来。
- 对该设备的硬盘进行数据备份。
- 启用反病毒软件对该机进行杀毒处理,同时进行病毒检测软件对其他机器进行病毒扫描和清除工作。
- 如发现反病毒软件无法清楚该病毒,应立即向领导报告。
- 经技术人员确认确实无法查杀该病毒后,应作好相关记录,同时立即向信息技术人员报告,并迅速研究解决问题。
- 如果感染病毒的设备是服务器或者主机系统,经领导同意,应立即告知各下属单位做好相应的清查工作。
六、附表
6.1软硬件厂商联系方式一览表
|------|-----|----|------|----|
| 厂商名称 | 联系人 | 职务 | 联系电话 | 邮件 |
| | | | | |
| | | | | |
| | | | | |
| | | | | |
| | | | | |
| | | | | |
6.2应急处理专题预案应急响应工作组成员角色及职责表
|-----|------------|---------------------------------------|
| 姓 名 | 所属工作小组及职务 | 角色和职责 |
| | 技术响应工作小组组长 | 应急工作技术负责; |
| | 综合工作小组组长 | 应急工作综合服务; |
| | 业务响应工作小组组长 | 应急工作业务负责; |
| | 技术响应工作小组成员 | 软件安装、升级; 受损服务器和主机的修复操作 |
| | 技术响应工作小组成员 | 受损服务器和主机的修复操作; 联系厂商; |
| | 综合工作小组成员 | 应急工作后勤保障; |
| | 业务响应工作小组成员 | 通知业务人员对业务进行调整,确定受损业务服务器和客户机隔离时间和业务备份等 |
6.3重大网络与信息安全事件报告表
单位名称: 报告时间: 年 月 日 时 分
|------|---|------|---|------|----|---|
| 报告人 | | 联系电话 | || 传真 | |
| 通讯地址 | ||| 电子邮件 | ||
| 备案编号: 年 月 日 总第 号 |||||||
| 发生重大网络与信息安全事件的系统名称及用途 |||||||
| |||||||
| 责任部门 | ||| 负责人 | ||
| 重大网络与信息安全事件简要描述 |||||||
| |||||||
| 初步判定的事件原因 |||||||
| |||||||
| 事件影响状况评估 |||||||
| 可能后果 | □业务中断 □系统损坏 □数据丢失 □其他 ||||||
| 影响范围 | □ 套设备(系统) □本局局域网 □本局广域网 □其他 ||||||
| 损害程度 | □严重 □一般 □轻微 □其他 ||||||
| 应急响应领导小组处理意见 |||||||
| 领导小组组长签字 : |||||||
6.4重大网络与信息安全事件处理报告
单位名称: 报告时间: 年 月 日 时 分
|------|---|------|---|------|----|---|
| 报告人 | | 联系电话 | || 传真 | |
| 通讯地址 | ||| 电子邮件 | ||
| 备案编号: 年 月 日 总第 号 |||||||
| 重大网络与信息安全事件补充描述 |||||||
| (可增页附文字、图片以及其他文件) |||||||
| 最终判定事件原因 |||||||
| (可增页附文字、图片以及其他文件) |||||||
| 事件影响状况评估 |||||||
| 可能后果 | □业务中断 □系统损坏 □数据丢失 □其他 ||||||
| 影响范围 | □ 套设备(系统) □本局局域网 □本局广域网 □其他 ||||||
| 损害程度 | □严重 □一般 □轻微 □其他 ||||||
| 处理过程及采取措施 |||||||
| (可增页附文字、图片以及其他文件) |||||||
| 存在问题及建议 |||||||
| (可增页附文字、图片以及其他文件) |||||||
| 应急响应领导小组处理意见 |||||||
| 领导小组组长签字 : |||||||