林辦發(fā)〔2010〕185號《國家林業(yè)局網(wǎng)絡(luò )信息安全應急處置預案》（全文）

國家林業(yè)局網(wǎng)絡(luò )信息安全應急處置預案

林辦發(fā)〔2010〕185號

 

第一章  總 則
 

第一條  為加強國家林業(yè)局網(wǎng)絡(luò )與信息系統的安全，確保其設備安全、運行安全和數據安全，根據國家有關(guān)法律法規及規定，制定本辦法。

第二條  工作原則

（一）統一領(lǐng)導，協(xié)同配合。網(wǎng)絡(luò )與信息安全突發(fā)事件應急工作由國家林業(yè)局信息辦（信息中心）統一協(xié)調，相關(guān)單位按照“統一領(lǐng)導、歸口負責、綜合協(xié)調、各司其職”的原則協(xié)同配合，具體實(shí)施。

（二）明確責任，依法規范。各單位按照“屬地管理、分級響應、及時(shí)發(fā)現、及時(shí)報告、及時(shí)處置、及時(shí)控制”的要求，依法對信息安全突發(fā)事件進(jìn)行防范、監測、預警、報告、響應、協(xié)調和控制。按照“誰(shuí)主管、誰(shuí)負責，誰(shuí)運營(yíng)、誰(shuí)負責”的原則，實(shí)行責任分工制和責任追究制。

（三）條塊結合，整合資源。充分利用現有信息安全應急支援服務(wù)設施，充分依靠網(wǎng)絡(luò )與信息安全工作力量，進(jìn)一步完善應急響應服務(wù)體系，形成網(wǎng)絡(luò )與信息安全保障工作合力。

（四）防范為主，加強監控。普及信息安全防范知識，牢固樹(shù)立“預防為主、常抓不懈”的意識，經(jīng)常性地做好應對信息安全突發(fā)事件的思想準備、預案準備、機制準備和工作準備，提高公共防范意識以及基礎網(wǎng)絡(luò )和重要信息系統的信息安全綜合保障水平。加強對信息安全隱患的日常監測，發(fā)現和防范重大信息安全突發(fā)事件，及時(shí)采取有效的可控措施，迅速控制事件影響范圍，力爭將損失降到最低程度。

第三條  計算機網(wǎng)絡(luò )與信息系統遭受不可預知的外力破壞、毀損或故障，造成系統中斷、設備損壞、數據丟失等，對工作造成嚴重危害的網(wǎng)絡(luò )與信息安全事件，適用本預案。

第四條  聘請專(zhuān)業(yè)機構或專(zhuān)家，成立網(wǎng)絡(luò )與信息安全專(zhuān)家組，負責提供網(wǎng)絡(luò )與信息安全技術(shù)咨詢(xún)，參與重要信息研判，參與事件調查和總結評估，并在必要時(shí)直接參與網(wǎng)絡(luò )與信息安全事件應急處置。
 

第二章  事件分級

第五條  Ⅰ級（一般）事件：中心機房計算機網(wǎng)絡(luò )與信息系統受到一定程度的損壞，但不影響中心機房業(yè)務(wù)正常進(jìn)行的事件。

第六條  Ⅱ級（較大）事件：中心機房某一區域網(wǎng)絡(luò )與信息系統受破壞、毀損，對中心機房業(yè)務(wù)造成較大影響的事件。

第七條  Ⅲ級（重大）事件：中心機房計算機網(wǎng)絡(luò )與信息系統遭受大規模破壞、毀損，系統出現嚴重故障，中心機房業(yè)務(wù)無(wú)法進(jìn)行的事件。
 

第三章  預防預警
 

第八條  網(wǎng)絡(luò )信息監測。堅持預防為主的方針，加強網(wǎng)絡(luò )與信息安全監測，及時(shí)收集、分析、研判監測信息，發(fā)現網(wǎng)絡(luò )與信息安全事件傾向或苗頭，迅速采取有效措施加以防范，及早消除安全隱患。

第九條  預警處理與發(fā)布

（一）發(fā)現可能發(fā)生網(wǎng)絡(luò )與信息安全事件的單位要及時(shí)發(fā)出預警，并在2小時(shí)內向國家林業(yè)局信息辦報告。

（二）國家林業(yè)局信息辦接到報警后應當迅速組織有關(guān)人員進(jìn)行技術(shù)分析，根據問(wèn)題性質(zhì)和危害程度，提出安全警報級別及處置意見(jiàn)，及時(shí)向各部門(mén)和相關(guān)單位發(fā)布預警信息。

（三）國家林業(yè)局信息辦發(fā)布預警信息后，應當根據緊急情況做好相應的網(wǎng)絡(luò )與信息安全應急處置準備工作。

第十條  事件報告。當發(fā)生網(wǎng)絡(luò )與信息安全事件時(shí)，事發(fā)單位要及時(shí)向國家林業(yè)局信息辦報告。初次報告最遲不超過(guò)2小時(shí)，報告內容包括信息來(lái)源、影響范圍、事件性質(zhì)、事件趨勢和擬采取的措施等。
 

第四章  應急響應
 

第十一條  應急處置。當發(fā)生網(wǎng)絡(luò )與信息安全事件時(shí)，首先應當區分事件性質(zhì)為自然災害事件或人為破壞事件，根據兩種情況分別采用不同處置流程。

流程一：當事件為自然災害事件時(shí)，應當根據實(shí)際情況，在保障人身安全的前提下，首先保障數據安全，然后保障設備安全。具體方法有：數據保存，設備斷電與拆卸、搬遷等。

流程二：當事件為人為或病毒破壞事件時(shí)，首先判斷破壞來(lái)源與性質(zhì)，如屬網(wǎng)絡(luò )入侵或病毒破壞，應斷開(kāi)影響安全的網(wǎng)絡(luò )設備，斷開(kāi)與破壞來(lái)源的網(wǎng)絡(luò )連接，跟蹤并鎖定破壞來(lái)源IP地址或其他用戶(hù)信息，修復被破壞的信息，恢復信息系統；如遇人為暴力破壞，立即制止并報警。

第十二條  具體處置方法。

（一）有害信息處置。確定專(zhuān)人全時(shí)監控網(wǎng)站、網(wǎng)頁(yè)及郵件信息，對有害信息采取屏蔽、刪除等措施；清理有害信息，并做好相關(guān)記錄；采取技術(shù)手段追查有害信息來(lái)源；發(fā)現涉及國家安全、穩定的重大有害信息，及時(shí)向公安部門(mén)網(wǎng)絡(luò )監察機構報告。

（二）黑客攻擊處置。當發(fā)現網(wǎng)頁(yè)內容被篡改或通過(guò)入侵檢測系統發(fā)現黑客攻擊時(shí)，首先將被攻擊服務(wù)器等設備從網(wǎng)絡(luò )中隔離；采取技術(shù)手段追查非法攻擊來(lái)源；召開(kāi)信息安全評估會(huì )，評估破壞程度；恢復或重建被破壞的系統。

（三）病毒侵入處置。當發(fā)現計算機服務(wù)器系統感染病毒后，立即將該計算機從網(wǎng)絡(luò )上物理隔離，同時(shí)備份硬盤(pán)數據；啟用防病毒軟件進(jìn)行殺毒處理，并使用病毒檢測軟件對其他計算機服務(wù)器進(jìn)行病毒掃描和清除；一時(shí)無(wú)法查殺的新病毒，迅速與相關(guān)防病毒軟件供應商聯(lián)系解決。

（四）軟件遭受破壞性攻擊處置。重要軟件系統必須存有備份，與軟件系統相對應的數據必須有多日備份，并將它們保存于安全處；一旦軟件遭受破壞性攻擊，應當立即報告，并將系統停止運行；檢查日志等資料，確認攻擊來(lái)源；采取有效措施，恢復軟件系統和數據。

（五）數據庫安全防范處置。各數據庫系統至少要準備兩個(gè)以上數據庫備份，一份放在機房，一份放在其他地點(diǎn)；一旦數據庫崩潰，立即通知有關(guān)單位暫緩上傳、上報數據；組織對主機系統進(jìn)行維修，如遇無(wú)法解決的問(wèn)題，立即請求軟硬件供應商協(xié)助解決；系統修復啟動(dòng)后，將第一個(gè)數據庫備份取出，按照要求將其恢復到主機系統中；如因第一個(gè)備份損壞，導致數據庫無(wú)法恢復，則取出第二個(gè)數據庫備份予以恢復。

（六）全國林業(yè)專(zhuān)網(wǎng)外部線(xiàn)路中斷處置。專(zhuān)網(wǎng)線(xiàn)路中斷后，應當迅速判斷故障節點(diǎn)，查明故障原因；如屬中心機房?jì)炔烤€(xiàn)路故障，立即組織恢復；如屬通信部門(mén)管轄的線(xiàn)路，立即與通信維護部門(mén)聯(lián)系，及時(shí)進(jìn)行修復。

（七）局域網(wǎng)中斷處置。局域網(wǎng)中斷后，應當立即判斷故障節點(diǎn)，查明故障原因；如屬線(xiàn)路故障，迅速組織修復；如屬路由器、交換機等網(wǎng)絡(luò )設備故障，立即與設備供應商聯(lián)系修復；如屬路由器、交換機配置文件破壞，迅速按照要求重新配置；如遇無(wú)法解決的技術(shù)問(wèn)題，立即向國家林業(yè)局信息辦主管負責人或有關(guān)廠(chǎng)商請求支援。

（八）設備安全處置。發(fā)現服務(wù)器等關(guān)鍵設備損壞，應當立即查明設備故障原因；能自行恢復的，立即用備件替換受損部件；難以自行恢復的，立即與設備供應商聯(lián)系，請求派維修人員前來(lái)維修；如設備一時(shí)不能修復，應當及時(shí)采取必要措施，并告知有關(guān)單位暫緩上傳、上報數據。

（九）機房火災處置。一旦機房發(fā)生火災，首先切斷所有電源，按響火警警報；檢查自動(dòng)氣體滅火系統是否啟動(dòng)，并及時(shí)通過(guò)119電話(huà)向公安消防部門(mén)請求支援。

（十）外電中斷處置。外電中斷后，立即切換到備用電源；迅速查明斷電原因，如因內部線(xiàn)路故障，馬上組織恢復；如因供電部門(mén)原因，立即與供電單位聯(lián)系，盡快恢復供電；如被告知將長(cháng)時(shí)間停電，應當做好以下工作：預計停電1小時(shí)以?xún)?，由UPS供電；預計停電6小時(shí)以?xún)?，關(guān)掉非關(guān)鍵設備，確保各主機、路由器、交換機供電；預計停電超過(guò)6小時(shí)的，做好數據備份工作，及時(shí)關(guān)閉有關(guān)設備。

其他沒(méi)有列出的不確定因素造成的災害，可根據總的安全原則，結合具體情況做出相應處理；不能處理的可咨詢(xún)相關(guān)專(zhuān)業(yè)人員。

第十三條  應急支援。發(fā)生Ⅱ級以上（含Ⅱ級）網(wǎng)絡(luò )與信息安全事件，應當立即成立由國家林業(yè)局信息辦主要負責人帶隊的應急處置小組，督促、指導、協(xié)調應急處置工作；發(fā)生Ⅱ級以下級別網(wǎng)絡(luò )與信息安全事件，應當立即成立由國家林業(yè)局信息辦分管負責人帶隊的應急處置小組，督促、指導、協(xié)調應急處置工作。應急處置小組根據事態(tài)發(fā)展和處置工作需要，及時(shí)聯(lián)系專(zhuān)家小組和應急支援單位，并有權臨時(shí)調動(dòng)系統內必要的物資、設備，開(kāi)展應急支援。

第十四條  善后處理。應急處置工作結束后，要迅速組織搶修受損設施，減少損失，盡快恢復正常工作；對事件造成的損失和影響進(jìn)行分析評估；調查事故原因，制定恢復重建計劃并組織實(shí)施。
 

第五章  保障措施
 

第十五條  應急隊伍保障。國家林業(yè)局信息辦要組建網(wǎng)絡(luò )與信息安全應急處置隊伍（包括安全分析員、應急響應人員、災難恢復人員等），制定相應培訓和演練計劃，提高應對網(wǎng)絡(luò )與信息安全事件的能力。

第十六條  設備保障。根據工作需要，及時(shí)采購應急處置工作必需的設備或工具軟件；加強應急處置工具及設備維護調試，保證其隨時(shí)處于可用狀態(tài)；跟蹤最新技術(shù)發(fā)展動(dòng)態(tài)，及時(shí)收集、整理文件完整性檢測工具、木馬/后門(mén)檢測工具等；及時(shí)更新病毒庫、脆弱性評估系統插件庫等。

第十七條  數據保障。重要信息系統應當建立備份系統和相關(guān)工作機制，保證重要數據受到破壞后可緊急恢復。各容災備份系統應當具有一定兼容性，在特殊情況下各系統之間互為備份。

第十八條  技術(shù)資料保障。全面的技術(shù)資料是高效應急處置的前提和基礎。網(wǎng)絡(luò )拓撲結構、重要系統或設備的型號及配置、主要設備廠(chǎng)商信息等技術(shù)資料，應當建立專(zhuān)門(mén)技術(shù)檔案，并及時(shí)更新，保證與實(shí)際系統相一致。
 

第六章  罰 則
 

第十九條  對違反本辦法的行為，國家林業(yè)局將給予相關(guān)單位或人員通報批評。造成失泄密或重大事故的，將依據國家有關(guān)法律法規和有關(guān)規定追究有關(guān)領(lǐng)導和人員的責任。
 

第七章  附 則
 

第二十條  本預案由國家林業(yè)局信息辦負責解釋。

第二十一條  本預案自印發(fā)之日起實(shí)施。

本文鏈接：http://jumpstarthappiness.com/law/9259.html

本文關(guān)鍵詞： 林辦發(fā)〔2010〕185號, 國家林業(yè)局, 網(wǎng)絡(luò )信息安全, 應急處置, 預案, 全文