芜湖市住房公积金管理中心网络与信息安全应急预案
第一章 总 则
第一条 为切实做好芜湖市住房公积金管理中心(以下简称“中心”)信息系统网络安全突发事件的防范和应急处理工作,进一步提高中心信息系统预防和控制网络突发事件的能力和水平,减轻或消除突发事件的危害和影响,依据《中华人民共和国网络安全法》《计算机病毒防治管理办法》,制定本预案。
第二条 本预案所称突发性事件,是指因自然因素或人为活动引发的危害中心系统网络设施及信息安全的相关事件。
第三条 中心服务管理科(以下简称“服务管理科”)负责网络与信息安全应急处置工作,协调有关单位和部门共同开展应急响应工作。
第二章 应急保障措施
第四条 应急防治是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作,必须做好应急保障工作。
第五条 加强管理。服务管理科要做好网络信息系统安全的日常巡查及日志保存工作,加强对重点部位的监测和防护,以保证第一时间发现并处理突发性事件。
第六条 人员保障。重视人员的管理和培养,保证技术人员的配置。
第七条 技术保障。重视网络信息技术的建设和升级换代,重视网络信息系统的安全防护,确保应急处置和恢复过程中的相关技术支撑。
第八条 宣传教育与培训。加强对信息系统突发事件的宣传教育,提高技术人员的防范意识。将信息系统突发事件的应急管理、工作流程等纳入培训内容,使系统管理相关人员熟练掌握应急处理中的有关控制手段及恢复策略,提高应急处置能力。
第九条 开展应急演练。为保证应急响应的能力,在条件允许时,应每年至少组织一次应急预案演练,提高应对网络安全事件的水平和协同配合能力。
第十条 发布预警。对已获得外部预警信息,特别是在其他地方已经出现或相关网站已发布预警,而在中心信息网络尚未发现的问题,服务管理科应及时加以分析,除在技术上进行防范,还可根据危害程度适当发布预警。
第三章 应急处理程序
第十一条 中心网络与信息安全应急处理程序
(一)事件发现。在发现事件或接到事件报告后,了解事件发生的时间、地点、过程、状况,服务管理科初步判定事件产生的原因以及对信息系统的影响后,立即报告中心分管领导,并组织相关人员进入处置程序;
(二)事件评估。事件发生后,应立即告知业务部门进行相关处理,同时组织有关部门和专业人员,对事件进行分析,预测事件影响范围和危害程度,并对事件进行分级,确定是否需要启动应急预案;
(三)应急处置。对不影响正常业务办理的一般事件,按照日常维护程序处置;对影响正常业务办理且24小时内能够恢复的重大事件,启动应急预案;对影响正常业务办理且24小时内不能恢复的严重事件或突发事件,启动应急救援。通过相应处理,将事件对业务工作造成的损失降至最低,并组织人员加强对网络安全的监测,严防事件影响进一步扩大,详细记载事件发生、评估及应急处置情况;
(四)测试验收。事件处置完成后,应对信息系统进行充分地自测自检,由业务部门确认系统使用正常并对处理结果认同后,应急处置结束;
(五)事件记录。应对事件描述与起因、评估定级、应急处置过程与处置方法、测试验收结果进行详细记录;
(六)事件报告。对于重大事件、严重事件在故障排除并经测试验收后,应对事件及处理的全过程进行总结,以文字形式进行报告,提出防范类似事件发生的建议与方案等。对于影响较小的一般事件,应在维护日志中对处理过程做完整的说明和记录。
第四章 应急处置
第十二条 机房停电应急处置措施
(一)机房停电时,服务管理科网络管理员应立即查明停电原因并检查中心机房电源供电情况,及时向科室负责人报告;
(二)服务管理科负责人与物业公司和大数据中心联系,查找停电原因并确认停电时间。根据停电时间,进行以下应急处理:
1.预计停电1小时以内,由UPS电源供电;
2.预计停电1小时以上2小时以内,关掉非关键设备,确保各主机、路由器、交换机供电;网络管理员每30分钟查看一次设备运行状态,详细记录机房温湿度;
3.预计停电超过2小时以上,由服务管理科对外发布停办业务相关公告,做好数据备份。在设备运行2小时后关掉所有机器设备。
(三)电力系统恢复供电后,服务管理科网络管理员按照规定流程开启相关设备,同时通知各部门恢复业务办理。
第十三条 消防系统报警应急处置措施
(一)主机房出现火情报警,发现人应立即拨打119报警。网络管理员迅速切断电源,强制启动机房气体自动消防系统,同时与物业公司和大数据中心联系;
(二)工作时间发生火警,听到消防系统发出报警后,网络管理员确认气体自动消防系统启动,并迅速紧急撤离机房;
(三)非工作时间或节假日收到机房自动火情报警,网络管理员应立即告知物业公司、大数据中心,与值班人员联系确认火警情况,并向中心领导汇报,并立即赶赴现场进行处理;
(四)火警发生后,服务管理科负责人应立即联系各设备供应商及相关服务商,及时评估事故损失情况,研讨恢复信息系统的最佳解决方案。
第十四条 机房漏水应急处置措施
(一)网络管理员在巡查时发生机房漏水,应立即查找漏水原因;
(二)若精密空调系统出现渗漏水,网络管理员应立即联系大数据中心组织处理,及时清除机房积水;
(三)若墙体或窗户渗漏水,应立即联系物业公司和大数据中心采取有效措施确保机房安全,维修墙体,消除渗漏水隐患。
第十五条 黑客攻击事件应急处置措施
(一)当系统管理员、网络管理员发现网页内容被篡改或通过入侵检测等网络设备发现有黑客正在进行攻击时,应组织相关技术人员将被攻击的服务器等设备从网络中隔离出来,并立即向服务管理科负责人通报情况;
(二)服务管理科负责人应在接到通知后立即赶到现场,组织相关技术人员分析被攻击的服务器等设备,必要时可以采取照片、截图等方式留存记录,保护现场,并将有关情况向中心领导汇报;
(三)如事态较为严重,经中心领导同意后,立即向公安部门报警,并配合公安部门展开相关调查;
(四)服务管理科组织技术人员做好被攻击或破坏后系统的恢复与重建工作。
第十六条 病毒事件(含恶意软件)应急处置措施
(一)当发现局域网中有大量计算机被感染上病毒后,应立即上报服务管理科;
(二)服务管理科系统管理员应及时赶到病毒机器处理现场,立即将该机从网络中隔离出来。如机器上有重要数据,对该机的硬盘进行数据备份;
(三)系统管理员启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作;
(四)如果现行反病毒软件无法清除该病毒,组织相关技术人员研究解决,通过分析病毒的特征行为,寻找病毒专杀工具进行查杀;
(五)情况较为严重,已出现影响信息系统数据传输、应用系统访问不正常等情况的,应及时向中心领导报告,并启动相应的应急处理程序,联系专业单位进行处置。
第十七条 数据库、软件系统故障应急处置措施
(一)数据库系统必须按天进行备份,重要的软件系统必须定期备份,并安全保存;
(二)数据库系统发生故障或软件遭到破坏性攻击,应立即向中心领导报告,经同意后,启动相应的应急处理程序,组织技术人员采用重启或其他手段尽快恢复数据库或将软件系统停止运行;
(三)检查信息系统的日志等资料,确定故障发生原因或攻击来源,进行相关处理,预防再次发生。
第十八条 网络中断应急处置措施
(一)网络中断后,服务管理科应迅速组织人员判断故障节点,查明故障原因,网络中断产生较大影响时应及时向中心领导汇报;
(二)如属网络线路故障,应重新调试线路;
(三)如属路由器、交换机等网络设备故障,网络管理员应立即检查。属路由器、交换机配置文件破坏,应迅速按照要求重新配置,调试通畅。如需更换设备,应向中心领导汇报,经批准后立即采购更换故障设备,尽快恢复系统运行。必要时,可请相关供应商、设备厂商、运维单位协助;
(四)如发现属于外部线路的问题,应与线路运营商联系,敦促尽快恢复故障线路。
第十九条 设备硬件故障应急处置措施
(一)设备硬件一般故障处理
1.网络管理员在日常巡查时发现服务器等关键设备报警后,应立即向服务管理科负责人报告;
2.发现故障后,初步判断故障位置,对于冗余结构的设备经批准后在最短时间采购新配件进行更换;
3.如果设备一时不能修复,向中心领导汇报,联系设备厂商立即上门维护。
(二)设备硬件严重故障的应急处理
1.服务器等设备硬件发生严重故障,应立即向服务管理科负责人报告;
2.由服务管理科负责人判断机器故障的具体影响。若故障影响核心业务,应立即联系运维支持单位,将系统切换至备份服务器。其他故障由系统管理员及时处理,必要时应联系供应商、运维支持单位,将系统尽快迁移至其他服务器;
3.设备硬件故障严重且短时间内不能解决的,应向中心领导汇报,联系设备厂商进行处理。
第五章 后期处置
第二十条 中心对信息安全事件的起因、性质、影响、责任、经验教训和恢复重建等问题进行调查和评估。
(一)责任确定。应急处置工作结束后,应当分析产生该次事件的原因,对事件进行调查,确定责任人。如果涉及违法犯罪行为,由司法机关及时追究当事人的刑事责任。
(二)事件归档。应急处置工作结束后,中心实施事件处置的过程和结果须整理归档。
(三)预案维护。应急处置工作结束后,中心需根据应急过程中暴露的问题和调查评估的结果,对预案进行相应的修改和维护。
第六章 附 则
第二十一条 本预案自印发之日起施行,有效期5年。原《芜湖市住房公积金管理中心网络与信息安全应急预案》(房金中心〔2020〕年16号)同时废止。