霍山县税务局应急预案

霍山县税务局网络与信息安全应急预案

为保证我局网络与信息安全，有效地发现和防范蓄意攻击、破坏网络信息系统及传播、粘贴非法信息等突发紧急事件的发生。根据税务系统网络和信息系统建设及应用的现状，并针对存在的问题与风险，制订我局网络与信息安全应急预案。

一、安全防范措施

（一）建立健全网络与信息安全岗责体系和规章制度

办公室负责电力、空调、防火、防雷等基础设施的监控和维护以及在内、外网站上发布信息的审查和监控；信息中心负责对网站的维护和技术支持，以及其它各类应用信息系统的监控和维护；财务部门负责相关资金支持；监察部门负责对安全事故的调查及处理。

网络与信息安全办公室负责各类网站、各应用系统、数据库系统、网络系统的监控防范、应急处置和数据、系统恢复工作，以及安全事件的事后追查技术支持。

逐步建立健全各种安全制度，包括（1）运行审批制度；（2）日志管理制度；（3）安全审计制度；（4）数据保护、安全备份、灾难恢复制度；（5）计算机机房及其他重要区域的出入制度；（6）硬件、软件、网络、媒体的使用及维护制度；（7）帐户、密码、通信保密的管理制度；（8）有害数据及计算机病毒预防、发现、报告及清除管理制度。

（二）明确信息安全等级、信息安全保护等级

根据信息的性质和重要程度划分为四级：（1）A级，高敏感信息，实行绝对强制保护；（2）B级，敏感信息，实行强制保护3（3）C级，内部管理信息，实行自主安全保护；（4）D级，公共信息，实行一般安全保护。根据确立的信息安全等级，依据国家颁布的《计算机信息系统安全保护等级划分准则》，确立计算机系统安全保护的五个等级，具体为：第一级，用户自主保护级；第二级，系统审计保护级；第三级，安全标记保护级；第四级，结构化保护级；第五级：访问验证保护级。

（三）网站、网页信息安全防范

各单位在建立的内、外部网站、交互式论坛、电子公告版、聊天室等从事信息发布的系统，必须有专门的信息监控人员、系统管理人员随时监控维护，坚决杜绝含有反动政治内容、淫秽内容等有害信息的出现。在机关网站或主页上发布的信息，必须经办公室人员或其他指定人员的审查，才能发布。一旦发现非法内容，应立即按紧急处置预案处置。国家法定长假期间，无特殊情况，县局网站将关闭。

（四）网络安全防范

在广域网的主节点处应添加硬件防火墙设备；与互联网连接要采用单独的网络设备和通信线路，与机关内网完全物理隔离；要与电信部门签定网络通畅安全保障协议，确保在网络线路故障的情况下能够在2小时内得到及时恢复；主机系统、主路由器、主交换机及UPS等关键设备要实现双机冗余，对各类网络设备及关键主机设备的密码，要确定专人保管并定期更换；严禁在内网使用省局规定以外的IP地址。

（五）病毒安全防范

所有内网电脑必须安装县局统一规定的正版防病毒软件，所有外网电脑必须安装正版防病毒软件如360杀毒、360卫士等，并及时更新病毒库及扫描引擎，最大程度地确保网络不受病毒侵犯；对所有的外来软件或介质，必须先进行病毒检查才能安装和使用；凡是内网电脑发现有病毒者，应立即停止上内网，等病毒处理完后再上内网，防止病毒在内网交叉感染。

（六）数据安全防范

对日常办公数据要配备相应的数据备份设备，并实行异地存储。对重要数据如公文数据，要做到自动备份与手工备份同时进行，并定期刻录到光盘，实现永久备份，确保数据安全。

（七）机房安全防范

县局计算机中心机房，要严格按照有关的国家标准进行建设和改造，具备防火、防雷、防静电；分局机柜也要具备防火、防雷、防静电。

二、应急处理措施

（一）网站、网页出现非法言论时的紧急处置措施

1.网站、网页由主办部门的值班人员负责随时密切监视信息内容。

2.发现在网上出现非法信息时，值班人员应立即向领导小组汇报情况；情况紧急的，应先及时采取删除等处理措施，再按程序报告。

3.信息中心工作人员应在接到通知后要立即赶到现场，作好必要记录，清理非法信息，强化安全防范措施，再将网站网页重新投入使用。

4.追查非法信息来源，妥善保存有关记录及日志或审计记录，并将有关情况向县局网络与信息安全领导小组汇报。

5.县局网络与信息安全领导小组认为事态严重的，则立即向上级机关和当地信息办报告，必要时向公安部门报警。

（二）黑客攻击时的紧急处置措施

1.当有关值班人员发现网页内容被篡改，或监控到有黑客正在进行攻击时，应立即向县局网络与信息安全领导小组汇报情况。

2.信息中心工作人员要立即赶到现场，首先将被攻击的服务器等设备从网络中隔离出来，保护现场，作好必要记录，并将现场状况保存下来，向县局网络与信息安全领导小组汇报有关情况。

3.对现场进行分析，追查非法信息来源，并写出分析报告存档。

4.恢复或重建被攻击或破坏系统。

5.县局网络与信息安全领导小组认为事态严重的，则立即向上级机关和当地信息办报告，必要时向公安部门报警。

（三）病毒安全紧急处置措施

1.当发现有计算机被感染上病毒后，应立即通知计算机使用人，将该计算机从网络上隔离开来。

2.对该设备的硬盘进行数据备份，并启用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。

3.如果现行反病毒软件无法清除该病毒，应立即向县局网络与信息安全领导小组报告，并迅速联系有关产品厂商研究解决。

4.如果感染病毒的设备是主机系统，经县局网络与信息安全领导小组同意，应立即告知各下属单位做好相应的清查工作。

5.县局网络与信息安全领导小组认为事态严重的，则立即向上级机关和当地信息办报告，必要时向公安部门报警。

（四）软件系统遭破坏性攻击的紧急处置措施

1.重要的软件系统平时必须存有备份，与软件系统相对应的数据必须有多日的备份，并将它们保存于安全处。

2.一旦软件遭到破坏性攻击，应立即向县局网络与信息安全领导小组报告，并将该系统停止运行。

3.信息中心工作人员负责软件系统和数据的恢复，并检查系统日志等资料，确定攻击来源，同时向县局网络与信息安全领导小组汇报。

4.县局网络与信息安全领导小组认为事态严重的，则立即向上级机关和当地信息办报告，必要时向公安部门报警。

（五）数据库安全紧急处置措施

1.在有条件的地区，主要数据库系统应按双机热备设置，并至少要准备两个以上数据库备份，平时一个备份放在机房，另一个备份放在另一安全的建筑物中。

2.一旦数据库崩溃，值班人员应立即启动备用系统，并向领导小组报告。

3.在备用系统运行期间；信息中心工作人员应对主机系统进行维修并作数据恢复。

4.如果两套系统均崩溃，信息中心工作人员应立即向软硬件提供商请求紧急支援。

5.系统修复启动后，将第一个数据库备份取出，按照要求将其恢复到主机系统中。

6.如因第一个备份损坏，导致数据库无法恢复，则应取出第二套数据库备份加以恢复。

7.如果两个备份均无法恢复，应立即向厂商请求紧急支援。

8.经县局网络与信息安全领导小组同意后，应通告各下属单位相关原因，并暂缓上传数据。如有必要，应向上级机关报告。

（六）广域网外部线路中断紧急处置措施

1.广域网主、备用线路中断一条后，值班人员应立即启动备用线路继续工作，同时向县局网络与信息安全领导小组报告。

2.信息中心工作人员接到报告后，应迅速判断故障节点，查明故障原因。

3.如属我方原因，应查明原因，立即予以恢复。如属电信部门原因，立即与电信维护部门联系，要求修复。

4.如果主、备用线路同时中断，信息中心工作人员应在判断故障节点，查明故障原因后，尽快研究恢复措施，并立即向县局网络与信息安全领导小组汇报。

5.经县局网络与信息安全领导小组同意后，应通告各下属单位相关原因，并暂缓上传数据。如有必要，应向上级机关报告。

（七）局域网中断紧急处置措施

1.设备管理部门平时应准备好网络备用设备，存放在指定的位置。

2.局域网中断后，信息中心工作人员应立即判断故障节点，查明故障原因，并向县局网络与信息安全领导小组汇报。

3.如属线路故障，应重新安装线路。

4.如属路由器、交换机等网络设备故障，应立即从指定位置将备用设备取出接上，并调试通畅。

5.如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调测通畅。

（八）设备安全紧急处置措施

1.服务器等关键设备损坏后，应立即向领导小组报告。

2.信息中心工作人员立即查明原因。

3.如果能够自行恢复，应立即用备件替换受损部件。

4.如属不能自行恢复的，立即与设备提供商联系，请求派维护人员前来维修。

5.如果设备一时不能修复，应向县局网络与信息安全领导小组汇报，并告知各下属单位，暂缓上传上报数据。

6.若出现设备被盗，应立即向县局网络与信息安全领导小组汇报，并封闭保护现场,同时向公安局报案，配合警方进行调查，直致问题解决。

（九）人员疏散与机房灭火预案

1.一旦机房发生火灾，应遵循下列原则：首先保人员安全；其次保关键设备、数据安全；三是保一般设备安全。

2.当火灾发生时，机房值班人员立即按响火警警报，切断所有电源，将火情及时通知公安局，启动灭火装置，并通过119电话向公安消防请求支援。

3.组织有关人员灭火，疏散人员，直至火势扑灭。

4.配合有关部门调查分析火灾原因，进行防火措施改进。

（十）外电中断后的设备运行预案

1.外电中断后，UPS备用电源自动切换，值班人员应立即查明原因，并向县局网络与信息安全领导小组汇报。

2.如因局内线路故障，请县局办公室迅速恢复。如果是供电局的原因，应立即与供电局联系，请供电局迅速恢复供电。

3.如果供电局告知需长时间停电，应做如下安排：

（1）预计停电2小时以内，由UPS供电；

（2）预计停电2－24小时，关掉非关键设备，确保各主机、路由器、交换机供电；

（3）预计停电超过24－72小时，白天工作时间关键设备运行，晚上所有设备停机；

（4）预计停电超过72小时，应联系小型发电机自行发电。