随着互联网的普及与发展,计算机网络在人们的工作和生活中正发挥着日益重要的作用,同时,针对网站各种被攻击、入侵等各类安全事件也越来越多,为了建立健全本局网络与信息安全应急响应工作机制,科学应对网络与信息安全突发事件,有效预防、及时处置雅安市统计局网络与信息安全事件,保障雅安市统计局网站作用的正常发挥,依据《互联网信息服务管理办法》的规定,结合本局实际情况特制定本预案。
一、网络与信息安全组织机构
雅安市统计局网络与信息安全领导小组
组 长:局 长何 勇
副组长:副局长蒲 敏
网络管理员:何竞钟 徐金勇
二、处置程序
(一)预案启动
在发生网络与信息安全事件后,应尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,以确定事件范围和评估事件带来的影响和危害,确认为网络与信息安全事件后,对事件进行处置和上报。
(二)应急处置措施
初步确定应急处置方式,根据事件引发原因分为故障或攻击类两种情况,区别对待。
判断故障或攻击的来源与性质,断开影响安全与稳定的信息网络设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质分别采用以下方案:
(一)网站、网页出现非法言论时的紧急处置措施
1.网站由网站值班人员随时密切监视信息内容。
2.发现网上出现非法信息时,值班人员应立即向信息安全组副组长通报情况;情况紧急的应先及时采取删除等处理措施,再按程序报告。
3.信息安全组具体负责的技术人员应在接到通知后十分钟内赶到现场,作好必要的记录,清理非法信息,强化安全防范措施,并将网站网页重新投入使用。
4.网络管理员应妥善保存有关记录及日志或审计记录。
5.网络管理员应立即追查非法信息来源。
6.工作人员会商后,将有关情况向安全领导小组领导汇报有关情况。
7.安全领导小组召开安全领导小组会议,如认为情况严重,应及时向有关上级机关报告或向公安部门报警。
(二)黑客攻击时的紧急处置措施
1.当相关人员发现信息系统遭到破坏、网页内容被篡改或发现网站被植入木马病毒时,应立即向网络管理员通报情况。
2.网络管理员应在十分钟内赶到现场,并应首先将被攻击的网站从网络中隔离出来,保护现场,判断入侵来源,评价入侵可能造成或已经造成的危害。对攻击不成功、未造成损害的,且被评价为威胁很小的攻击,定位攻击者的IP地址,及时关闭相关漏洞或入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用关闭相应服务或断开网络连接的方法,避免造成更大损失和带来恶劣影响,同时向信息安全领导小组组长汇报情况。
3.网络管理员负责被破坏系统的恢复与重建工作,研究防御方法。
4.安全领导小组会商后,如认为情况严重,则立即向公安部门报警或向上级机关报告
(三)数据库安全紧急处置措施
核心主要数据库系统设备采用双机热备方式,预防单点故障,同时做好配置的文件记录,一旦数据库崩溃,网络管理员应立即启动备用系统,并向安全小组组长报告;在备用系统运行期间,网络管理员应对主机系统进行维修并作数据恢复。
(四)服务器通信或域名DNS解析中断紧急处置措施
1.如遇服务器通信线路中断,网络管理员应立即向安全小组领导汇报。
2.网络管理员接到报告后,应迅速与电信联系判断故障节点,查明故障原因。尽快与电信工作人员研究恢复措施。
3.如遇域名DNS解析中断,网络管理员应查明故障原因后,尽快与域名注册商研究恢复措施,并立即向安全小组领导汇报。
(五)服务器设备损坏紧急处置措施
1.如属服务器、路由器、交换机等网络设备等关键设备损坏后,有关人员应立即向安全小组组长汇报。
2.网络管理员应立即查明原因。
3.如果能够自行恢复,应立即用备件替换受损部件。
4.如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修。
(六)服务器机房电源中断后的预案
1.服务器机房电源中断后,电信机房值班人员应立即切换到备用电源。
2.网络管理员应及时向电信机房值班人员了解中断原因,并向安全小组领导汇报。
3.如因机房内部线路故障,网络管理员应及时请电信服务部门迅速恢复。
4.如果是供电部门的原因,网络管理员应立即与供电部门联系,请供电部门迅速恢复供电。
雅安市统计局
2017年6月9日