为了加强湘潭市环境信息中心网络系统的安全管理与维护,提高处理突发性网络异常事件的能力,确保业务应用系统的稳定运行,特制订本应急预案。该预案旨在建立紧急状态下的快速响应、快速定位、快速处理的应急机制,增强紧急情况下的应急处理能力,进一步完善湘潭市环境信息网络系统保障体系。
本预案是湘潭市环境信息中心根据国家有关法律、法规和政策,结合信息中心网络系统建设和运行情况,重点针对业务网络系统中可能发生的重大突发事件编制的,包括总则、组织指挥体系及职责、预警和预防机制、应急处理程序、保障措施、附则及附件等,其中明确规定了在发生网络突发事件情况下,网络系统管理人员的相关职能和工作方法,具有一定的指导性和可操作性。
一、总则
(一)目的
为科学应对网络系统突发事件,建立健全业务网络系统的应急响应机制,有效预防、及时控制和最大限度地消除各类突发事件的危害和影响,制订本应急预案。
(二)工作原则
1. 统一领导
遇到重大网络异常情况,应及时向有关领导报告,以便于统一调度、减少损失。
2. 综合协调
明确综合协调的职能机构和人员,做到职能间的相互衔接。
3. 重点突出
应急处理的重点放在运行着重要业务系统或可能导致严重事故后果的关键网络系统上。
4. 集中备份
通过网络设备备份和配置参数备份等措施,提高通信网络系统的安全系数。应以必要的投资,购置必要的备用设备,并在备用设备上按要求预先配置好各种参数,当发生故障时能直接上线运行。
5. 快速恢复
网络管理人员在坚持快速恢复系统的原则下,根据职责分工,加强团结协作,必要情况下与设备供应商以及系统集成商共同谋求问题的快速解决。
6. 及时反应,积极应对
出现网络故障时,网络维护人员应及时发现、及时报告、及时抢修、及时控制,积极对业务网络突发事件进行防范、监测、预警、报告、响应。
7. 防范为主,加强监控
经常性地做好应对网络突发事件的思想准备、预案准备、机制准备和工作准备,提高基础网络和重要信息系统的综合保障水平。加强对网络应用的日常监视,及时发现网络突发性事件并采取有效措施,迅速控制事件影响范围,力争将损失降到最低程度。
二、应急工作小组机构及职责
在网络事件的处理中,一个组织良好、职责明确、科学管理的应急队伍是成功的关键。组织机构的成立对于事件的响应、决策、恢复,防止类似事件的发生都具有重要
意义。结合湘潭市环境信息中心网络系统的实际情况,将有关应急人员的角色和职责进行明确划分如下(图1)。
1. 应急处理领导小组
及时掌握网络故障事件的发展动态,向上级部门报告事件动态;对有关事项做出重大决策;启动应急预案;组织和调度必要的人、财、物等资源。
领导小组组长:李汉军
领导小组成员:李 莉 赵 波 廖 勇 肖永定 朱启军
2. 应急处理工作小组
负责定期了解外部支持人员的变动情况,及时更新其技术人员及联系方式等信息;快速响应网管系统发现的网络故障事件、业务部门对网络故障的申告;执行网络故障的诊断、排查和恢复操作;定期通过网管软件、网络运行报告等工具对网络的使用情况进行分析,尽早发现网络的异常状况,排除网络隐患。
工作小组组长:谭劲松
工作小组成员:张新权 胡啸宇 汤 可 何菌子 岳芬芳 汤轩勇
3. 外部支持人员
包括电信运营商、设备供应商以及系统集成商。负责事先向湘潭市环境信息中心提供紧急情况下的应急技术方案和应急技术支援体系;积极配合信息中心应急人员进行故障处理。
名单:设备供应商、系统集成商、电信运营商等
三、预警和预防机制
(一)信息监测及报告
1.网络的日常管理和维护
网络的日常管理和维护应加强网络应用的监测、分析和预警工作。
2.建立网络故障事故报告制度
发生网络故障时,值班人员应当立即向信息中心负责人报告,并及时进行故障处理、调查核实、保存相关证据等。
(二)预警
在接到突发事件报告后,应当经初步核实之后,将有关情况及时向环境信息中心、局办公室等部门报告,进一步进行情况综合,研究分析可能造成损害的程度,提出初步行动对策。由上级领导视情况紧急程度召集协调会,决策行动方案,发布指示和实施命令等。
(三)预警支持系统
应建立和完善信息监测、消息传递和指挥决策支持系统,保证突发事件处理过程中的资源共享、运转正常、指挥有力。
(四)预防机制
各业务信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定并不断完善应急处理预案。针对基础信息网络的突发性、大规模异常事件,各相关部门建立制度化、程序化的处理流程。
四、应急处理程序
(一)业务网络突发事件分类分级的说明
根据业务网络突发事件的发生原因、性质和机理,业务网络突发事件主要分为以下三类:
1.攻击类事件:指互联网网络系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。
2.故障类事件:指互联网网络系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。
3.灾害类事件:指因爆炸、火灾、雷击、地震、台风等外力因素导致互联网网络系统损毁,造成业务中断、系统宕机、网络瘫痪等情况。
按照突发事件的性质、严重程度、可控性和影响范围,将其分为一般故障、严重故障、重大故障、特级故障四级。
1.一般故障
网络系统中单个系统故障,但未影响业务系统运行,也未造成社会影响或经济损失的突发事件。
2.严重故障
网络系统中个别节点故障(主要是分布层交换节点)而导致业务中断,可能造成严重社会影响或较大经济损失的突发事件。
3.重大故障
网络系统中多个节点故障(包括核心层和分布层)引起的多个基础网络设施损坏,导致业务系统长时间中断,可能造成重大社会影响和巨大经济损失的突发事件。
4.特级故障
特指发生不可预见的灾难性事故,如火灾、水灾和地震等。
(二)网络应急预案启动
根据以上定义的故障分级,当网络事件的要素满足启动应急预案要求时,进入相应的应急启动流程(图2)。
(1)应急处理工作小组从业务人员的故障申告、网管系统的故障告警中得知网络异常事件后,应在第一时间赶赴网络故障现场。
(2)应急处理工作小组针对网络事件做出初步的分析判断。若是电源接触不好、物理连线松动或者能在最短时间内自行解决的网络问题,及时按照有关操作规程进行故障处理,并报领导小组备案;否则,应急处理工作小组将故障大致定性为设备故障、线路故障、软件故障等故障之一,及时告知领导小组,并采取措施避免事件影响范围的扩大。
(3)应急处理工作小组向领导小组报告,在领导小组的授权后启动相应的应急预案。针对灾难事件和影响重要业务运行的重大事件,还要及时向上级机关进行报告。
(4)应急处理工作小组根据故障类型及时与外部支持人员取得联系。其中,设备故障的,可与设备供应商和集成商联系;软件故障的,可与系统集成商联系,由系统集成商进行现场或远程技术支持;线路故障的,可与电信运营商联系,三方密切协作力求通信线路在短时间内恢复正常。
(5)应急处理工作小组在上级机构或外部支持人员的配合下,充分利用应急预案的资源准备,采取有力措施进行故障处理,及时恢复网络的正常通信状态。
(6)应急处理工作小组通知业务部门网络恢复正常,并向领导小组报告故障处理的基本情况。重大事件形成文字资料,以书面形式向上级报告。
(7)总结整个处理过程中出现的问题,并及时改进应急预案。
(三)现场应急处理
(1)如遇到预知外界因素(如定时、定点停电)影响业务网络系统的正常运行,将根据有关部门的通知,提前安排技术人员到实地关闭网络设备并进行现场维护,直至外界因素消除。
(2)如遇到不可抗力因素(如火灾)造成的网络系统故障时,接到通知的值班人员要快速到达现场,果断切断相关设备配电柜的电源,积极参与消除不可抗力因素,并及时将情况上报局领导。
(3)如遇到一般故障、严重故障和重大故障,影响湘潭市环境信息中心网络系统的正常运行,值班人员要迅速、及时地赶到现场,进行相应突发事件的应急处理,处理过程参照《故障处理流程》(见附件1)和《业务网络系统应急措施》(见附件3)执行。
五、保障措施
(一)应急演练
为提高网络系统突发事件应急响应水平,信息中心或各有关单位应定期或不定期组织应急预案演练;检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充、完善。
(二)人员培训
为确保本应急预案有效运行,应定期或不定期地举办不同层次、不同类型的技术讲座或研讨会,以便不同岗位的应急人员能全面熟悉并熟练掌握突发事件的应急处理知识和技能。
(三)硬件资源保障
为了在网络设备发生故障时能够尽量降低业务系统的受影响程度,须为相应的核心业务网络系统提供必要的备份设备与线缆等硬件资源,并且配备与现有设备兼容的设备,确保相似或兼容的设备可以在应急情况下调配使用。这些备份设备需预先采购并保存在专门位置。
(四)文档资料准备
包括网络系统工程文档、网络系统维护手册、网络系统操作手册、网络设备配置参数、网络系统拓扑图以及IP地址规范及分布情况等。
(五)技术支持保障
建立预警与应急处理的技术平台,进一步提高网络突发事件的发现和分析能力,从技术上逐步实现发现、预警、处理、通报等多个环节和不同的业务网络、系统以及相关部门之间应急处理的联动机制。
(六)公众信息交流
在应急预案修订、演练的前后,应利用各种信息渠道进行宣传,并不定期的利用各种活动,宣传网络等突发事件的应急处理规程及其预防措施等应急常识。
六、网络安全防范措施
(一)建立健全网络与信息安全职责体系和规章制度。
信息中心负责各类应应信息系统和网站的维护和技术支持以及其他的监控和维护;各业务科室负责人对在网站相关栏目上发布信息的审查和监控;财务部门负责相关资金支持;机关服务部门负责电力、空调、防火、防雷等基础设施的监控和维护。
信息中心在处理网络安全突发事件中的职责:
1、综合协调在发生紧急事件时联络各相关人员到位并协调开展工作,并根据事件的严重程度起草向领导小组、公安部门或上级有关部门的报告或向全系统的通报;
2、负责网站、各应用系统、数据库系统的监控防范、应急处置和数据、系统恢复工作,以及信息安全事件的事后追查;
3、负责网络系统的安全防范、应急处置和网络恢复工作及网络安全事件的事后追查。
逐步建立健全各种安全制度,包括(1)运行审批制度;(2)日志管理制度;(3)安全审计制度;(4)数据保护、安全备份、灾难恢复计划;(5)计算机机房及其他重要区域的出入制度;(6)硬件、软件、网络、媒体的使用及维护制度;(7)账户、密码、通信保密的管理制度;(8)有害数据及计算机病毒预防、发现、报告及清除管理制度。
(二)明确信息安全等级、信息安全保护等级
根据信息的性质和重要程度划分为四级:(1)A级,高敏感信息,实行绝对强制保护;(2)B级,敏感信息,实行强制保护;(3)C级,内部管理信息,实行自主安全保护;(4)D级,公共信息,实行一般安全保护。根据确立的信息安全等级,依据国家颁布的《计算机信息系统安全保护等级划分准则》,确立计算及系统安全保护的五个等级,具体为:第一级,用户自主保护级;第二级,系统审计保护级;第三级,安全标记保护级;第四级,结构化保护级;第五级,访问验证保护级。
(二)网络安全防范
本单位与外部相关部门联网必须采用单独的网络设备和通信线路,必须采用物理隔离或防火墙逻辑隔离的方式交换数据,采用严格的通信控制策略并具备审计、记录等功能;内部计算级网络应与因特网物理隔离,如因多元化申报等原因需要与因特网相连,则必须配置多个高性能防火墙,并安装入侵检测软件;与电信部门签订网络通畅安全保障协议,确保在网络线路故障的情况下能够得到及时恢复;必须对主机或网络设备中不使用或较少使用使用的、存在安全隐患的服务进行关闭;对各类网络接入设备要采取具体严格的安全控制措施;在网络建设和改造时必须优先充分考虑到网络的安全性,要有足够的冗余或备份设备,一旦出现故障能够及时更换或维护;未经信息中心许可,严禁将外来的计算机和其他终端设备接入我局网络系统中;各类网络设备及关键主机设备的密码要有专人保管并有定期的变更机制;在未采取相应的加密措施之前,不得利用电子邮件传递涉及机密的信息。
(五)病毒安全防范
我局的计算机设备,应配备正版的防病毒软件,所有的外来软件或数据,必须先进行病毒检查才能安装和使用。
(六)软件系统安全防范
各科室部门要按照信息中心要求,杜绝使用盗版软件;各类业务和应用软件要充分考虑到软件安全的要求,并进行安全性能的评估。
(七)数据安全防范
各科室部门要按照信息中心的统一规划和部署使用相关软硬件产品,要逐步建立相应的数据备份、恢复机制;原则上备份介质的存储不能与主机系统在同一地域。
(八)设备安全防范
各科室部门的计算机设备都必须有较高的可靠性,特别是中心机房的服务器和中心网络设备、网络安全设备等关键设备要严格按照国家计算机信息系统安全相关标准进行采购,从源头上把好设备的性能安全关。各关键设备都要有冗余备份或相应配件,一旦设备出现故障能够及时维护、更换,确保不影响正常的开展和系统的运行。
(九)机房安全防范
计算机机房应符合国家标准和国家规定。计算机机房设计和改造方案,应向上级单位提出安全评估申请。计算机中心机房,都要严格按照有关的国家标准进行建设和改进;必须具备放火、防雷、防静电、防电磁干扰设备;要有完备的环境控制设备和电源供应设备;要有严格的管理制度和值班制度,确保各类设备有一个良好的运行环境。
七、分类突发事件应急处理措施
(一)黑客攻击时的紧急处置措施
1、当有关值班人员发现业务系统或网站内容被纂改,或通过入侵监测系统发现有黑客正在进行攻击时,应立即向网络管理技术人员通报情况。
2、网络管理技术人员应在十分钟内赶到现场,并首先应将被攻击的服务器等设备从网络中隔离出来,保护现场,并同时向应急处理领导小组通报情况。
3、网络管理技术人员负责被攻击或破坏系统的恢复与重建工作。
4、网络管理技术人员会同相关支持人员追查非法信息来源。
5、网络管理技术人员组织相关支持人员会商后,向应急处理工作小组组长汇报有关情况。
6、应急处理工作小组组长如认为情况严重,应立即向应急处理领导小组组长汇报。
7、应急处理领导小组组长组织应急处理领导小组召开会议,如认为事态严重,则立即向公安部门或上级机关报警。
(二)病毒安全紧急处置措施
1、当发现有计算机被感染上病毒后,应立即向网络管理技术人员报告,将该机从网络上隔离开来。
2、网络管理技术人员在接到通知后,应在十分钟内赶到现场。
3、对该设备的硬盘进行数据备份。用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
4、如果现行反病毒软件无法清除该病毒,应立即向应急处理工作小组组长报告,并迅速联系有关产品商研究解决。
5、应急处理工作小组经会商,认为情况严重的,应立即向应急处理领导小组组长汇报。
6、应急处理领导小组经会商后,认为情况极为严重的,应立即向公安部门或上级机关报告。
7、如果感染病毒的设备是中心服务器系统,经领导小组同意,应立即告知各相关科室部门做好相应的清查工作。
(三)软件系统遭破坏性攻击的紧急处置措施
重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日的备份,并将他们保存在安全处。
1、一旦软件遭到破坏性攻击,应立即向网络管理技术人员、业务系统技术人员报告,并将该系统停止运行。
2、业务系统技术人员软件系统和数据的恢复。
3、网络管理技术人员检查日志等资料,确定攻击来源。
4、由业务系统技术人员向应急处理工作小组组长汇报。
5、应急处理工作小组组长认为情况严重的,应立即向应急处理领导小组汇报。
6、应急处理领导小组认为情况极为严重的,应立即向公安部门或上级机关报告。
(四)数据库安全紧急处置措施
1、主要数据库应按双机热备设置,并至少要准备两个以上数据库备份,平时一个备份放在机房,另一个备份放在另一个安全的场所。
2、一旦数据库崩溃,值班人员盈立即启动备用系统,并向业务系统技术人员报告。
3、在备用系统运行期间,业务系统技术人员应对主机系统进行维修。
4、如果两套系统均崩溃,业务系统技术人员应立即向软硬件提供商请求支援,同时通知相关科室部门暂缓使用业务系统和上传上报数据。
5、系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中。
6、如因第一个备份损坏,导致数据库无法恢复,则应取出第二套数据库加已恢复。
7、如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。
(五)广域网外部线路中断紧急处置措施
1、广域网主、备用线路中断一条后,值班人员应立即启动备用线路接续工作,同时向网络管理技术人员报告。
2、网络管理技术人员接到报告后,应迅速判断故障节点,查明故障原因。
3、如属我方管辖范围,由网络管理技术人员立即予以恢复。
4、如属电信部门管辖范围,立即与电信维护部门联系,要求恢复。
5、如果主、备用线路同时中断,网络管理技术人员应在判断故障节点,查明故障原因后,尽快研究恢复措施,并立即向应急处理工作小组组长汇报。
6、经应急处理领导小组同意后,应通知相关科室部门相关原因,并暂缓使用业务系统和上传上报数据。
(六)局域网中断紧急处置措施
1、应急处理工作小组平适应准备好网络备用设备,存放在指定的位置。
2、局域网中断后,网络管理技术人员应立即判断故障节点,查明故障原因,并向应急处理工作小组组长汇报。
3、如属线路故障,应重新安装线路。
4、如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅。
5、如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试通畅。
6、如有必要,应向应急处理领导小组汇报。
(七)设备安全紧急处置措施
服务器、存储设备等关键设备损坏后,值班人员应立即向网络管理技术人员报告。
1、网络管理技术人员立即查明原因。
2、如果能够自行恢复,应立即用备件替换受损部件。
3、如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修。
4、如果设备一时不能修复,应向处理工作小组组长汇报,并告之相关科室部门,暂缓使用业务系统和上传上报数据。
(八)人员疏散与机房灭火预案
1、一旦机房发生火灾,应遵循下列原则:首先保人员安全;其次保关键设备、数据安全;三是保一般设备安全。
2、人员疏散的程序是:机房值班人员立即按响火警警报,并通过119电话向公安消防请求支援,所有人员戴上防毒面具,所有不参与灭火的人员按照预定的路线,迅速从机房中有序撤出。
3、人员灭火的程序是:首先切断所有电源,启动自动气体灭火装置,灭火值班人员戴好防毒面具,从指定位置取出气体灭火器进行灭火。
(九)供电中断后的设备运行预案
1) 外电中断后,机房值班人员应立即切换到备用电源。
2) 机房值班人员应立即查明原因,并向值班领导汇报。
3) 如因内部线路故障,请后勤服务部门迅速恢复。
4) 如果是供电局的原因,应立即与供电局联系,请供电局迅速恢复供电。
5) 如果供电局告知需长时间停电,应作如下安排。
(1)停电4小时以内,由UPS供电;
(2)停电4-24小时,关掉非关键设备,确保关键服务器、核心网络设备供电;
(3)停电24小时以上,应联系小型发电机自行发电。
(十)关键人员不在岗的紧急处置措施
1、对于关键岗位平时应做好人员储备,确保一项工作由两人能够操作。
2、一旦发生关键人员不在岗的情况,首先应向处理工作小组组长汇报情况。
3、经处理工作小组组长批准后,由备用人员上岗操作。
4、如果备用人员无法上岗,请求上级单位或外部支持技术人员支援。
八、附则
(1)本预案所称网络突发事件,是指由于自然灾害、设备软硬件故障、内部人为失误或破坏等原因,网络系统及其他重要信息系统的正常运行受到严重影响,出现业务中断、系统破坏、数据破坏等现象,造成不良影响以及造成一定程度直接或间接经济损失的事件。
(2)本预案通过演习、实践检验,以及根据应急力量变更、新技术、新资源的应用和应急事件发展趋势,及时进行修订和完善;所附的成员、联系方式等发生变化时也随时修订。
(3)本预案自发布之日起实施。
九、附件(略)