霍山县税务局网络与信息安全应急预案
为保证我局网络与信息安全,有效地发现和防范蓄意攻击、破坏网络信息系统及传播、粘贴非法信息等突发紧急事件的发生。根据税务系统网络和信息系统建设及应用的现状,并针对存在的问题与风险,制订我局网络与信息安全应急预案。
一、安全防范措施
(一)建立健全网络与信息安全岗责体系和规章制度
办公室负责电力、空调、防火、防雷等基础设施的监控和维护以及在内、外网站上发布信息的审查和监控;信息中心负责对网站的维护和技术支持,以及其它各类应用信息系统的监控和维护;财务部门负责相关资金支持;监察部门负责对安全事故的调查及处理。
网络与信息安全办公室负责各类网站、各应用系统、数据库系统、网络系统的监控防范、应急处置和数据、系统恢复工作,以及安全事件的事后追查技术支持。
逐步建立健全各种安全制度,包括(1)运行审批制度;(2)日志管理制度;(3)安全审计制度;(4)数据保护、安全备份、灾难恢复制度;(5)计算机机房及其他重要区域的出入制度;(6)硬件、软件、网络、媒体的使用及维护制度;(7)帐户、密码、通信保密的管理制度;(8)有害数据及计算机病毒预防、发现、报告及清除管理制度。
(二)明确信息安全等级、信息安全保护等级
根据信息的性质和重要程度划分为四级:(1)A级,高敏感信息,实行绝对强制保护;(2)B级,敏感信息,实行强制保护3(3)C级,内部管理信息,实行自主安全保护;(4)D级,公共信息,实行一般安全保护。根据确立的信息安全等级,依据国家颁布的《计算机信息系统安全保护等级划分准则》,确立计算机系统安全保护的五个等级,具体为:第一级,用户自主保护级;第二级,系统审计保护级;第三级,安全标记保护级;第四级,结构化保护级;第五级:访问验证保护级。
(三)网站、网页信息安全防范
各单位在建立的内、外部网站、交互式论坛、电子公告版、聊天室等从事信息发布的系统,必须有专门的信息监控人员、系统管理人员随时监控维护,坚决杜绝含有反动政治内容、淫秽内容等有害信息的出现。在机关网站或主页上发布的信息,必须经办公室人员或其他指定人员的审查,才能发布。一旦发现非法内容,应立即按紧急处置预案处置。国家法定长假期间,无特殊情况,县局网站将关闭。
(四)网络安全防范
在广域网的主节点处应添加硬件防火墙设备;与互联网连接要采用单独的网络设备和通信线路,与机关内网完全物理隔离;要与电信部门签定网络通畅安全保障协议,确保在网络线路故障的情况下能够在2小时内得到及时恢复;主机系统、主路由器、主交换机及UPS等关键设备要实现双机冗余,对各类网络设备及关键主机设备的密码,要确定专人保管并定期更换;严禁在内网使用省局规定以外的IP地址。
(五)病毒安全防范
所有内网电脑必须安装县局统一规定的正版防病毒软件,所有外网电脑必须安装正版防病毒软件如360杀毒、360卫士等,并及时更新病毒库及扫描引擎,最大程度地确保网络不受病毒侵犯;对所有的外来软件或介质,必须先进行病毒检查才能安装和使用;凡是内网电脑发现有病毒者,应立即停止上内网,等病毒处理完后再上内网,防止病毒在内网交叉感染。
(六)数据安全防范
对日常办公数据要配备相应的数据备份设备,并实行异地存储。对重要数据如公文数据,要做到自动备份与手工备份同时进行,并定期刻录到光盘,实现永久备份,确保数据安全。
(七)机房安全防范
县局计算机中心机房,要严格按照有关的国家标准进行建设和改造,具备防火、防雷、防静电;分局机柜也要具备防火、防雷、防静电。
二、应急处理措施
(一)网站、网页出现非法言论时的紧急处置措施
1.网站、网页由主办部门的值班人员负责随时密切监视信息内容。
2.发现在网上出现非法信息时,值班人员应立即向领导小组汇报情况;情况紧急的,应先及时采取删除等处理措施,再按程序报告。
3.信息中心工作人员应在接到通知后要立即赶到现场,作好必要记录,清理非法信息,强化安全防范措施,再将网站网页重新投入使用。
4.追查非法信息来源,妥善保存有关记录及日志或审计记录,并将有关情况向县局网络与信息安全领导小组汇报。
5.县局网络与信息安全领导小组认为事态严重的,则立即向上级机关和当地信息办报告,必要时向公安部门报警。
(二)黑客攻击时的紧急处置措施
1.当有关值班人员发现网页内容被篡改,或监控到有黑客正在进行攻击时,应立即向县局网络与信息安全领导小组汇报情况。
2.信息中心工作人员要立即赶到现场,首先将被攻击的服务器等设备从网络中隔离出来,保护现场,作好必要记录,并将现场状况保存下来,向县局网络与信息安全领导小组汇报有关情况。
3.对现场进行分析,追查非法信息来源,并写出分析报告存档。
4.恢复或重建被攻击或破坏系统。
5.县局网络与信息安全领导小组认为事态严重的,则立即向上级机关和当地信息办报告,必要时向公安部门报警。
(三)病毒安全紧急处置措施
1.当发现有计算机被感染上病毒后,应立即通知计算机使用人,将该计算机从网络上隔离开来。
2.对该设备的硬盘进行数据备份,并启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
3.如果现行反病毒软件无法清除该病毒,应立即向县局网络与信息安全领导小组报告,并迅速联系有关产品厂商研究解决。
4.如果感染病毒的设备是主机系统,经县局网络与信息安全领导小组同意,应立即告知各下属单位做好相应的清查工作。
5.县局网络与信息安全领导小组认为事态严重的,则立即向上级机关和当地信息办报告,必要时向公安部门报警。
(四)软件系统遭破坏性攻击的紧急处置措施
1.重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日的备份,并将它们保存于安全处。
2.一旦软件遭到破坏性攻击,应立即向县局网络与信息安全领导小组报告,并将该系统停止运行。
3.信息中心工作人员负责软件系统和数据的恢复,并检查系统日志等资料,确定攻击来源,同时向县局网络与信息安全领导小组汇报。
4.县局网络与信息安全领导小组认为事态严重的,则立即向上级机关和当地信息办报告,必要时向公安部门报警。
(五)数据库安全紧急处置措施
1.在有条件的地区,主要数据库系统应按双机热备设置,并至少要准备两个以上数据库备份,平时一个备份放在机房,另一个备份放在另一安全的建筑物中。
2.一旦数据库崩溃,值班人员应立即启动备用系统,并向领导小组报告。
3.在备用系统运行期间;信息中心工作人员应对主机系统进行维修并作数据恢复。
4.如果两套系统均崩溃,信息中心工作人员应立即向软硬件提供商请求紧急支援。
5.系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中。
6.如因第一个备份损坏,导致数据库无法恢复,则应取出第二套数据库备份加以恢复。
7.如果两个备份均无法恢复,应立即向厂商请求紧急支援。
8.经县局网络与信息安全领导小组同意后,应通告各下属单位相关原因,并暂缓上传数据。如有必要,应向上级机关报告。
(六)广域网外部线路中断紧急处置措施
1.广域网主、备用线路中断一条后,值班人员应立即启动备用线路继续工作,同时向县局网络与信息安全领导小组报告。
2.信息中心工作人员接到报告后,应迅速判断故障节点,查明故障原因。
3.如属我方原因,应查明原因,立即予以恢复。如属电信部门原因,立即与电信维护部门联系,要求修复。
4.如果主、备用线路同时中断,信息中心工作人员应在判断故障节点,查明故障原因后,尽快研究恢复措施,并立即向县局网络与信息安全领导小组汇报。
5.经县局网络与信息安全领导小组同意后,应通告各下属单位相关原因,并暂缓上传数据。如有必要,应向上级机关报告。
(七)局域网中断紧急处置措施
1.设备管理部门平时应准备好网络备用设备,存放在指定的位置。
2.局域网中断后,信息中心工作人员应立即判断故障节点,查明故障原因,并向县局网络与信息安全领导小组汇报。
3.如属线路故障,应重新安装线路。
4.如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅。
5.如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调测通畅。
(八)设备安全紧急处置措施
1.服务器等关键设备损坏后,应立即向领导小组报告。
2.信息中心工作人员立即查明原因。
3.如果能够自行恢复,应立即用备件替换受损部件。
4.如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修。
5.如果设备一时不能修复,应向县局网络与信息安全领导小组汇报,并告知各下属单位,暂缓上传上报数据。
6.若出现设备被盗,应立即向县局网络与信息安全领导小组汇报,并封闭保护现场,同时向公安局报案,配合警方进行调查,直致问题解决。
(九)人员疏散与机房灭火预案
1.一旦机房发生火灾,应遵循下列原则:首先保人员安全;其次保关键设备、数据安全;三是保一般设备安全。
2.当火灾发生时,机房值班人员立即按响火警警报,切断所有电源,将火情及时通知公安局,启动灭火装置,并通过119电话向公安消防请求支援。
3.组织有关人员灭火,疏散人员,直至火势扑灭。
4.配合有关部门调查分析火灾原因,进行防火措施改进。
(十)外电中断后的设备运行预案
1.外电中断后,UPS备用电源自动切换,值班人员应立即查明原因,并向县局网络与信息安全领导小组汇报。
2.如因局内线路故障,请县局办公室迅速恢复。如果是供电局的原因,应立即与供电局联系,请供电局迅速恢复供电。
3.如果供电局告知需长时间停电,应做如下安排:
(1)预计停电2小时以内,由UPS供电;
(2)预计停电2-24小时,关掉非关键设备,确保各主机、路由器、交换机供电;
(3)预计停电超过24-72小时,白天工作时间关键设备运行,晚上所有设备停机;
(4)预计停电超过72小时,应联系小型发电机自行发电。