附件1:网络与信息安全应急处置组织架构图
附件2:网络与信息安全应急响应流程图
附件3:应急处置程序与措施
危害发生时,应根据现场情况判定危害的性质,分别进入下列不同的处置程序。
流程一攻击类事件应急处理流程
(一)网站、网页出现不恰当言论时的紧急处置措施
1、网站由办公室的具体负责人员随时密切监视信息内容。
2、发现网上出现非法信息时,负责人员应立即及时的采取删除等处理措施。
3、技术人员应在接到通知后作好必要的记录,清理非法信息,强化安全防范措施,并将网站网页重新投入使用。
4、网站维护员应妥善保存有关记录及日志或审计记录。
5、网站维护员工作人员应立即追查非法信息来源。
6、将有关情况部门领导汇报有关情况。
7、如认为情况严重,应及时向有关上级机关和公安部门报警。
(二)黑客攻击时的紧急处置措施
1、当有关负责人员网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向网站管理员通报情况。
2、网站管理员应尽快赶到现场,并首先应将被攻击的服务器等设备从网络中隔离出来,保护现场。
3、网络管理员负责被破坏系统的恢复与重建工作。
4、网站管理员协同有关部门共同追查非法信息来源。
5、如认为情况严重,则立即向公安部门或上级机关报警。
(三)病毒安全紧急处置措施
1、当发现计算机感染有病毒后,应立即将该机从网络上隔离出来。
2、对该设备的硬盘进行数据备份。
3、启用反病毒软件对该机进行杀毒处理,同时进行病毒检测软件对其他机器进行病毒扫描和清除工作。
4、如发现反病毒软件无法清楚该病毒,应立即向办公室报告。
5、网站管理员在接到通报后,应在尽快赶到现场。
6、经技术人员确认确实无法查杀该病毒后,应作好相关记录,同时立即向校办公室报告,并迅速联系有关厂商研究解决。
7、如认为情况极为严重,应立即向公安部门或上级机关报告。
流程二故障类事件应急处理流程
(一)软件系统遭受破坏性攻击的紧急处置措施
1、重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日备份,并将它们保存于安全处。
2、一旦软件遭到破坏性攻击,应立即向网站管理员报告,并将系统停止运行。
3、网站管理员负责软件系统和数据的恢复。
4、网站管理员检查日志等资料,确认攻击来源。
5、如认为情况极为严重的,应立即向公安部门或上级机关报告。
(二)数据库安全紧急处置措施
1、各数据库系统要至少准备两个以上数据库备份,分别存放在不同的计算机中。
2、一旦数据库崩溃,应立即向网络安全员报告,同时通知各部门暂缓上传上报数据。
3、网站管理员应对主机系统进行维修,如遇无法解决的问题,立即向上级单位或软硬件提供商请求支援。
4、系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中。
5、如因第一个备份损坏,导致数据库无法恢复,则应取出第二套数据库备份加以恢复。
6、如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。
(三)广域网外部线路中断紧急处置措施
1、广域网主、备用线路中断一条后,有关人员应立即启动备用线路接续工作,同时向网站管理员报告。
2、网站管理员接到报告后,应迅速判断故障节点,查明故障原因。
3、如属我方管辖范围,由网络管理员立即予以恢复。
如遇无法恢复情况,立即向有关厂商请求支援。
4、如属电信部门管辖范围,立即与电信维护部门联系,请求修复。
5、如果主、备用线路同时中断,网站管理员应在判断故障节点,查明故障原因后,尽快与其他相关领导和工作人员研究恢复措施,并立即向办公室汇报。
(四)局域网中断紧急处置措施
1、局域网中断后,网络管理员应立即判断故障节点,查明故障原因,并向办公室汇报。
2、如属线路故障,应重新安装线路。
3、如属路由器、交换机等网络设备故障,应立即与设备提供商联系更换设备,并调试畅通。
4、如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试畅通。
如遇无法解决的技术问题,立即向有关厂商请求支援。
(五)设备安全紧急处置措施
1、小型机、服务器等关键设备损坏后,有关人员应立即向网络管理员汇报。
2、网络管理员应立即查明原因。
3、如果能够自行恢复,应立即用备件替换受损部件。
4、如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修。
5、如果设备一时不能修复,应向安全领导小组领导汇报,并告知各下属部门,暂缓上传上报数据。
流程三灾害类事件应急处理流程
(一)机房漏水应急预案如下:
1. 发生机房漏水时,第一目击者应立即通知机房管理人员。
2. 若空调系统出现渗漏水,机房管理人员应立即安排停用故障空调,清除机房积水,并及时联系设备供应方处理,同时启动备用空调,必要情况下可临时用电扇对服务器进行降温。
3. 若为墙体或窗户渗漏水,机房管理人员应立即采取有效措施确保机房安全,同时安排通知办公室,及时清除积水,维修墙体或窗户,消除渗漏水隐患。
(二)机房火灾应急预案如下:
1. 完善机房环境,确保机房具备二氧化碳灭火器;禁止携带易燃易爆物品进入机房。
2. 机房管理人员应熟悉机房内部消防安全操作和规则,了解消防设备操作原理,
掌握消防应急处理步骤、措施和要领,懂得灭火的方法,会扑救初起火灾,并定期组织灭火演习。
3. 一旦发生火灾,迅速切断机房电源,避免灾情的扩散,并迅速拨打物业管理和119火警电话。
4. 等待消防车到来期间,应组织物业保安或工作人员在保证安全的前提下灭火,应急领导小组应在第一时间内集中所有二氧化碳灭火器,抓住时机,尽可能的把火扑灭。
5. 配合消防部门调查事故原因,对造成的损失和起火原因做好记录,以便进行灾后总结。
(三)雷击事故应急预案如下:
1. 遇雷暴天气,机房管理人员在下班后应及时关闭所有服务器,切断电源,暂停内部计算机网络工作。
2. 雷暴天气结束后,机房管理人员应及时开通服务器,恢复内部计算机网络工作,对设备和数据进行检查。
出现故障的,事发部门应将故障情况及时报告办公室。
3. 因雷击造成损失的,机房管理人员应会同相关部门进行核实、报损,并在调查工作结束后一日内书面报告领导。
(四)设备防盗被盗或人为损害应急预案如下:
1. 机房管理人员每日查看、清点设备并锁好机房大门。
2. 机房管理人员每日检查录像监控服务器状态,确保监控画面正常,并检查每日录像正常性、完整性。
3. 发生设备被盗或人为损害设备情况时,使用者或管理者应立即报告办公室负责人,同时保护好现场。
4. 办公室接报后,通知保安及公安部门,一同核实审定现场情况,清点被盗物资或盘查人为损害情况,做好必要的影像记录和文字记录。
5. 事发单位和当事人应积极配合公安部门进行调查,并将有关情况向办公室汇报。
附件4:办公终端安全处理流程
办公终端安全处理流程信息表
流程名称
办公终端处理流程 流程编码
流程负责人
流程起点:办公终端发现安全问题或异常现象 流程目的:提高对终端安全的响应能力,最大限度地减小异常事件给本单位带来的损失。
流程终点:终端
安全处理备案
步骤编号 操作 步骤 操作描述 操作岗位
1 发现 ⏹ 终端用户发现系统异常可疑 终端用户 2
报告 ⏹ 向办公室上报
办公室
3
分析
处理 ⏹ 办公室负责在规定时限内处理
办公室
4
恢复
备案
⏹ 恢复系统并定期在办公室进行备案
办公室
流程输入
步骤编号
输入部门
输入内容
输入标准
载体名称
1 终端用户 系统异常 及时 流程输出
步骤编号
接受部门 输出内容
输出标准
载体名称
4
办公室
终端安全备案信息
反映实际问题。
