為了切實做好網絡與信息安全突發(fā)事件的防范和應急處理工作,進一步提高我院預防和控制網絡與信息安全突發(fā)事件的能力和水平�����,減輕或消除突發(fā)事件的危害和影響���,保證網絡的正常運行�,結合本院實際,制定本預案���。
一�����、應急處置工作的目標
在最短時限內��,及時�、果斷處理在本院范圍內發(fā)生的危害網絡與信息安全的突發(fā)性事件�����,維護網絡信息安全與穩(wěn)定��。
二���、應急預案啟動
有下列情況應啟動應急預案:
1�����、網站�����、網頁出現非法言論�;
2、網絡遭受黑客攻擊�����;
3�、計算機網絡出現病毒;
4�、軟件系統(tǒng)遭受破壞性攻擊;
5���、數據庫系統(tǒng)出現故障���;
6、廣域網外部線路中斷�����;
7���、局域網大范圍中斷;
8�����、服務器等關鍵網絡設備故障;
9���、網絡中心機房外電中斷�����。
三�、組織領導
成立網絡與信息安全領導小組��,領導小組的主要職責與任務是統(tǒng)一領導全院網絡與信息安全的應急工作�,全面負責院內網絡與信息安全可能出現的各種突發(fā)事件處置工作,協(xié)調解決災害處置工作中的重大問題等��。下設網絡與信息安全應急處置工作組�����,由辦公室��、醫(yī)務科���、保健部成員組成���,具體負責網絡與信息安全應急處置工作�。
四�����、應急預案啟動時的應急處理措施
1���、網站�、網頁出現非法言論時的緊急處置措施
(1)網站��、網頁由各相關使用部門的具體負責人員隨時密切監(jiān)視信息內容�。每天不少于5次;非常時期�����,每半小時監(jiān)控一次��,必要時���,24小時監(jiān)控�。
(2)發(fā)現網上出現非法信息時,負責人員應立即向應急處置工作組通報情況�����;情況緊急的應先及時采取刪除等處理措施��,再按程序報告�����。
(3)應急處置工作組人員應在接到通知后十分鐘內進行處理�,作好必要的記錄�,清理網站上的非法信息,強化安全防范措施后方可將網站網頁重新投入使用�����。
(4)應急處置人員應妥善保存有關記錄及日志或審計記錄���。
(5)應急處置人員應立即追查非法信息來源���,若非法信息來源于院內,則由本院保衛(wèi)處和網絡技術人員進行處理���,同時報告網絡與信息安全領導小組負責人�,根據管理制度對非法傳播者及時處置,并報知上級公安部門備案��;若非法信息來自于院外��,則立即報知上報公安部門�����,并由技術人員將這些信息保存�����、記錄IP地址���,以備上級公安部門互聯網突發(fā)事件處置行動組調用���。
2、黑客攻擊時的緊急處置措施
(1)當有關負責人員發(fā)現網頁內容被篡改��,或通過防火墻�、入侵檢測系統(tǒng)發(fā)現有黑客正在進行攻擊時,應立即向應急處置工作組通報情況。
(2)應急處置人員應在十分鐘內進行處理�����,首先應將被攻擊的服務器等設備從網絡中隔離出來,保護現場���,同時向網絡與信息安全領導小組匯報情況。
(3)應急處置人員負責被破壞系統(tǒng)的恢復與重建工作���,修補漏洞��、強化安全措施后方可將被攻擊的服務器設備接入網絡��。
(4)應急處置人員追查非法信息來源�。
(5)網絡與信息安全領導小組會商后�,如認為情況嚴重,則立即向公安部門匯報�����。
3�、計算機網絡病毒安全緊急處置措施
(1)當發(fā)現網絡上出現病毒,并影響網絡的正常運行后�,應立即找出感染病毒機器。
(2)將感染病毒機器和網絡隔離�����,待病毒徹底清除后方允許再次接入網絡。
(3)網絡中心技術人員要針對該款病毒進行研究��,做好相應的病毒發(fā)作特征及解決方案�。
4、軟件系統(tǒng)遭受破壞性攻擊的緊急處置措施
(1)重要的軟件系統(tǒng)平時必須存有備份�����,與軟件系統(tǒng)相對應的數據必須有多日備份��,并將它們保存于安全處���。
(2)一旦軟件遭到破壞性攻擊�����,應立即停止軟件系統(tǒng)�����。
(3)網絡管理人員負責軟件系統(tǒng)和數據的恢復�����。
(4)網絡管理人員檢查日志等資料�,確認攻擊來源。
(5)安全領導小組認為情況極為嚴重的�����,應立即向公安部門報告�。
5、數據庫安全緊急處置措施
(1)各數據庫系統(tǒng)要至少準備兩個以上數據庫備份��,平時一份放在機房���,另一份放在另一安全的建筑物中。
(2)一旦數據庫崩潰�,應急處置組人員應對主機系統(tǒng)進行維修,如遇無法解決的問題�,立即向上級單位或軟硬件提供商請求支援。
(3)系統(tǒng)修復啟動后��,將第一個數據庫備份取出���,按照要求將其恢復到主機系統(tǒng)中�����。
(4)如因第一個備份損壞��,導致數據庫無法恢復��,則應取出第二套數據庫備份加以恢復�。
(5)如果兩個備份均無法恢復,應立即向有關廠商請求緊急支援�,并向網絡與信息安全領導小組匯報。
6�、廣域網外部線路中斷緊急處置措施
(1)廣域網線路中斷后,網絡管理員接到報告后��,應迅速判斷故障節(jié)點�����,查明故障原因���。
(2)如屬我院管轄范圍�����,由網絡管理員予以恢復��。如遇無法恢復情況�����,立即向有關廠商請求支援��。
(3)如屬電信部門管轄范圍�����,立即與電信維護部門聯系��,請求修復�。
7、局域網大范圍中斷緊急處置措施
(1)局域網出現大范圍中斷現象后��,網絡管理員應立即判斷故障節(jié)點��,查明故障原因�����。
(2)如屬線路故障���,應重新安裝線路。
(3)如屬路由器���、交換機配置文件破壞���,應迅速按照要求重新配置�,并調試暢通�。
(4)如屬路由器、交換機等網絡設備故障���,應立即調換備機�����,如無備機�����,立即向設備提供商聯系更換設備�����,并調試暢通�����;并向網絡與信息安全領導小組領導匯報�����。
8���、服務器等關鍵網絡設備故障安全緊急處置措施
(1)服務器等關鍵設備損壞后�����,網絡管理人員應立即查明原因�����。
(2)如果能夠自行恢復���,應立即用備件替換受損部件。
(3)如果不能自行恢復的���,立即與設備提供商聯系,請求派維修人員前來維修 ���。
(4)如果設備一時不能修復�,應向網絡與信息安全領導小組匯報�。
9�、網絡中心機房外電中斷后的處置措施
(1)外電中斷后��,機房會自動切換到備用電源���。
(2)檢查斷電原因���,如因內部線路故障,請總務科協(xié)助迅速恢復�。
(3)如果是供電局的原因,應立即與供電局聯系�����,請供電局迅速恢復供電��。
(4)如果供電局告知需長時間停電�����,應做如下安排:
a)預計停電1小時以內��,由UPS供電���。
b)預計停電1-3小時�����,關掉非關鍵設備��,確保各主機�����、路由器���、交換機供電���。
c)預計停電超過3小時,關掉非關鍵設備�����,確保各主機�、路由器、交換機供電���。UPS使用4小時后,關閉所有的設備。
五�、保障措施
網絡與信息安全的防治工作是一項長期的、持續(xù)的��、跟蹤式的���、深層次的和各階段相互聯系的工作�����,是有組織的科學與社會行為���,而不是隨著每次災害的發(fā)生而開始和結束的活動。因此���,必須做好應急保障工作�����。
1�����、人員保障
重視網絡管理人員隊伍的建設與保障��,確保在災害發(fā)生前的人員值班��,災害處置過程和災后重建中的人員在崗與戰(zhàn)斗力�����。
2��、技術保障
重視網絡信息技術的建設和升級換代�,在災害發(fā)生前確保網絡信息系統(tǒng)的安全與穩(wěn)定,災害處置過程中和災后重建中的相關技術支撐���。
3��、物資保障
網絡與信息安全應急處置工作組�����,報請領導小組批準后��,根據院財力情況及網絡管理的實際需要�����,適當購入一些網絡與信息安全保障設備��。
4��、訓練和演練
加強全院網絡信息用戶的防災�����、減災知識的宣傳普及�����,增強這些用戶的防災意識和自救互救能力�。有針對性地開展應急搶險救災演練��,確保發(fā)生災害時的應急救助手段及時到位和有效�����。
