林办发〔2010〕185号《国家林业局网络信息安全应急处置预案》(全文)
第一章 总 则
第一条 为加强国家林业局网络与信息系统的安全,确保其设备安全、运行安全和数据安全,根据国家有关法律法规及规定,制定本办法。
第二条 工作原则
(一)统一领导,协同配合。网络与信息安全突发事件应急工作由国家林业局信息办(信息中心)统一协调,相关单位按照“统一领导、归口负责、综合协调、各司其职”的原则协同配合,具体实施。
(二)明确责任,依法规范。各单位按照“属地管理、分级响应、及时发现、及时报告、及时处置、及时控制”的要求,依法对信息安全突发事件进行防范、监测、预警、报告、响应、协调和控制。按照“谁主管、谁负责,谁运营、谁负责”的原则,实行责任分工制和责任追究制。
(三)条块结合,整合资源。充分利用现有信息安全应急支援服务设施,充分依靠网络与信息安全工作力量,进一步完善应急响应服务体系,形成网络与信息安全保障工作合力。
(四)防范为主,加强监控。普及信息安全防范知识,牢固树立“预防为主、常抓不懈”的意识,经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备,提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测,发现和防范重大信息安全突发事件,及时采取有效的可控措施,迅速控制事件影响范围,力争将损失降到最低程度。
第三条 计算机网络与信息系统遭受不可预知的外力破坏、毁损或故障,造成系统中断、设备损坏、数据丢失等,对工作造成严重危害的网络与信息安全事件,适用本预案。
第四条 聘请专业机构或专家,成立网络与信息安全专家组,负责提供网络与信息安全技术咨询,参与重要信息研判,参与事件调查和总结评估,并在必要时直接参与网络与信息安全事件应急处置。
第二章 事件分级
第五条 Ⅰ级(一般)事件:中心机房计算机网络与信息系统受到一定程度的损坏,但不影响中心机房业务正常进行的事件。
第六条 Ⅱ级(较大)事件:中心机房某一区域网络与信息系统受破坏、毁损,对中心机房业务造成较大影响的事件。
第七条 Ⅲ级(重大)事件:中心机房计算机网络与信息系统遭受大规模破坏、毁损,系统出现严重故障,中心机房业务无法进行的事件。
第三章 预防预警
第八条 网络信息监测。坚持预防为主的方针,加强网络与信息安全监测,及时收集、分析、研判监测信息,发现网络与信息安全事件倾向或苗头,迅速采取有效措施加以防范,及早消除安全隐患。
第九条 预警处理与发布
(一)发现可能发生网络与信息安全事件的单位要及时发出预警,并在2小时内向国家林业局信息办报告。
(二)国家林业局信息办接到报警后应当迅速组织有关人员进行技术分析,根据问题性质和危害程度,提出安全警报级别及处置意见,及时向各部门和相关单位发布预警信息。
(三)国家林业局信息办发布预警信息后,应当根据紧急情况做好相应的网络与信息安全应急处置准备工作。
第十条 事件报告。当发生网络与信息安全事件时,事发单位要及时向国家林业局信息办报告。初次报告最迟不超过2小时,报告内容包括信息来源、影响范围、事件性质、事件趋势和拟采取的措施等。
第四章 应急响应
第十一条 应急处置。当发生网络与信息安全事件时,首先应当区分事件性质为自然灾害事件或人为破坏事件,根据两种情况分别采用不同处置流程。
流程一:当事件为自然灾害事件时,应当根据实际情况,在保障人身安全的前提下,首先保障数据安全,然后保障设备安全。具体方法有:数据保存,设备断电与拆卸、搬迁等。
流程二:当事件为人为或病毒破坏事件时,首先判断破坏来源与性质,如属网络入侵或病毒破坏,应断开影响安全的网络设备,断开与破坏来源的网络连接,跟踪并锁定破坏来源IP地址或其他用户信息,修复被破坏的信息,恢复信息系统;如遇人为暴力破坏,立即制止并报警。
第十二条 具体处置方法。
(一)有害信息处置。确定专人全时监控网站、网页及邮件信息,对有害信息采取屏蔽、删除等措施;清理有害信息,并做好相关记录;采取技术手段追查有害信息来源;发现涉及国家安全、稳定的重大有害信息,及时向公安部门网络监察机构报告。
(二)黑客攻击处置。当发现网页内容被篡改或通过入侵检测系统发现黑客攻击时,首先将被攻击服务器等设备从网络中隔离;采取技术手段追查非法攻击来源;召开信息安全评估会,评估破坏程度;恢复或重建被破坏的系统。
(三)病毒侵入处置。当发现计算机服务器系统感染病毒后,立即将该计算机从网络上物理隔离,同时备份硬盘数据;启用防病毒软件进行杀毒处理,并使用病毒检测软件对其他计算机服务器进行病毒扫描和清除;一时无法查杀的新病毒,迅速与相关防病毒软件供应商联系解决。
(四)软件遭受破坏性攻击处置。重要软件系统必须存有备份,与软件系统相对应的数据必须有多日备份,并将它们保存于安全处;一旦软件遭受破坏性攻击,应当立即报告,并将系统停止运行;检查日志等资料,确认攻击来源;采取有效措施,恢复软件系统和数据。
(五)数据库安全防范处置。各数据库系统至少要准备两个以上数据库备份,一份放在机房,一份放在其他地点;一旦数据库崩溃,立即通知有关单位暂缓上传、上报数据;组织对主机系统进行维修,如遇无法解决的问题,立即请求软硬件供应商协助解决;系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中;如因第一个备份损坏,导致数据库无法恢复,则取出第二个数据库备份予以恢复。
(六)全国林业专网外部线路中断处置。专网线路中断后,应当迅速判断故障节点,查明故障原因;如属中心机房内部线路故障,立即组织恢复;如属通信部门管辖的线路,立即与通信维护部门联系,及时进行修复。
(七)局域网中断处置。局域网中断后,应当立即判断故障节点,查明故障原因;如属线路故障,迅速组织修复;如属路由器、交换机等网络设备故障,立即与设备供应商联系修复;如属路由器、交换机配置文件破坏,迅速按照要求重新配置;如遇无法解决的技术问题,立即向国家林业局信息办主管负责人或有关厂商请求支援。
(八)设备安全处置。发现服务器等关键设备损坏,应当立即查明设备故障原因;能自行恢复的,立即用备件替换受损部件;难以自行恢复的,立即与设备供应商联系,请求派维修人员前来维修;如设备一时不能修复,应当及时采取必要措施,并告知有关单位暂缓上传、上报数据。
(九)机房火灾处置。一旦机房发生火灾,首先切断所有电源,按响火警警报;检查自动气体灭火系统是否启动,并及时通过119电话向公安消防部门请求支援。
(十)外电中断处置。外电中断后,立即切换到备用电源;迅速查明断电原因,如因内部线路故障,马上组织恢复;如因供电部门原因,立即与供电单位联系,尽快恢复供电;如被告知将长时间停电,应当做好以下工作:预计停电1小时以内,由UPS供电;预计停电6小时以内,关掉非关键设备,确保各主机、路由器、交换机供电;预计停电超过6小时的,做好数据备份工作,及时关闭有关设备。
其他没有列出的不确定因素造成的灾害,可根据总的安全原则,结合具体情况做出相应处理;不能处理的可咨询相关专业人员。
第十三条 应急支援。发生Ⅱ级以上(含Ⅱ级)网络与信息安全事件,应当立即成立由国家林业局信息办主要负责人带队的应急处置小组,督促、指导、协调应急处置工作;发生Ⅱ级以下级别网络与信息安全事件,应当立即成立由国家林业局信息办分管负责人带队的应急处置小组,督促、指导、协调应急处置工作。应急处置小组根据事态发展和处置工作需要,及时联系专家小组和应急支援单位,并有权临时调动系统内必要的物资、设备,开展应急支援。
第十四条 善后处理。应急处置工作结束后,要迅速组织抢修受损设施,减少损失,尽快恢复正常工作;对事件造成的损失和影响进行分析评估;调查事故原因,制定恢复重建计划并组织实施。
第五章 保障措施
第十五条 应急队伍保障。国家林业局信息办要组建网络与信息安全应急处置队伍(包括安全分析员、应急响应人员、灾难恢复人员等),制定相应培训和演练计划,提高应对网络与信息安全事件的能力。
第十六条 设备保障。根据工作需要,及时采购应急处置工作必需的设备或工具软件;加强应急处置工具及设备维护调试,保证其随时处于可用状态;跟踪最新技术发展动态,及时收集、整理文件完整性检测工具、木马/后门检测工具等;及时更新病毒库、脆弱性评估系统插件库等。
第十七条 数据保障。重要信息系统应当建立备份系统和相关工作机制,保证重要数据受到破坏后可紧急恢复。各容灾备份系统应当具有一定兼容性,在特殊情况下各系统之间互为备份。
第十八条 技术资料保障。全面的技术资料是高效应急处置的前提和基础。网络拓扑结构、重要系统或设备的型号及配置、主要设备厂商信息等技术资料,应当建立专门技术档案,并及时更新,保证与实际系统相一致。
第六章 罚 则
第十九条 对违反本办法的行为,国家林业局将给予相关单位或人员通报批评。造成失泄密或重大事故的,将依据国家有关法律法规和有关规定追究有关领导和人员的责任。
第七章 附 则
第二十条 本预案由国家林业局信息办负责解释。
第二十一条 本预案自印发之日起实施。
扫描二维码 关注我们