临朐县大数据中心关于印发《临朐县云中心机房网络安全应急预案》应急预案的通知-凯发k8旗舰厅

各镇（街、园、区）政府（办事处、发展服务中心），县直有关部门、单位：

现将《临朐县云中心机房网络安全应急预案》印发给你们，请结合各自实际，认真组织实施。

 

临朐县大数据中心

2023年8月8日

临朐县云中心机房网络安全应急预案

 

目    录

 

1. 总则

 1.1    编制目的

 1.2    适用范围

 1.3    事件内容与等级划分

 1.4    工作原则

2.组织机构与职责

2.1    应急响应小组的成立

3.应急处置

3.1    应急准备

3.2    事件报告

3.3    应急响应

3.4    应急结束

4.后期处置

4.1    事件总结

5.附则

5.1    应急预案演练及培训

5.2    预案解释部门

5.3    预案实施时间

   

1    总则

    1.1    编制目的

为进一步做好临朐县大数据中心云中心机房信息系统网络与信息安全事件的应急工作，提高公共互联网网络安全突发事件综合应对能力，保证云中心机房持续稳定运行和数据安全，根据国家、临朐县大数据中心云计算机房关于计算机信息系统安全有关规定，特制定本规定。

    1.2    适用范围

信息系统网络与信息安全事件指危害信息系统系统安全、影响系统正常使用、或系统发生信息泄露的事件。本预案适用于临朐县大数据中心云中心机房信息系统发生和可能发生的网络与信息安全突发事件。

 1.3   事件内容与等级划分

1.3.1 网络与信息安全事件具体内容包括：

   （一）系统的文档数据遭到破坏、篡改或窃取。

   （二）系统硬件受到破坏性攻击不能正常发挥其部分功能或全部功能。

   （三）系统软件受到破坏性攻击不能正常发挥其部分功能或全部功能。

   （四）系统软件受到计算机病毒的侵害，局部或全部数据和功能受到损坏，使系统不能工作或工作效率急剧下降。

   （五）系统的物理设备被人为毁坏，无法正常工作。

   （六）系统受到自然灾害的破坏，如：地震、水灾、火灾、雷电、台风。

   （七）系统面临意外停电后备供电不足情况。

   （八）系统的关键岗位人员不能上岗。

 1.3.2 网络与信息安全事件的等级划分

   （一）造成的损失较小的网络与信息安全事件为一般等级，如系统卡顿、设备损坏等；

   （二）造成的损失较大，要求紧急处理的网络与信息安全事件为重要等级，如自然灾害、系统受到攻击等；

   （三）造成的损失很大的网络与信息安全事件为严重等级，如保密性要求较高的文档、数据遭到窃取。

1.4    工作原则

在县大数据中心网络安全工作领导小组的统一领导下，按照有关规定，在上级业务部门的指导下，坚持预防为主；快速反应；以人为本；分级负责的原则。充分发挥各方面力量共同做好网络安全应急处置工作。

 

 2    组织机构与职责

2.1 应急响应小组的成立

当遇到重要网络与信息安全事件或严重网络与信息安全事件，由临朐县大数据中心网络安全工作领导小组牵头，成立应急响应小组，组长由临朐县大数据中心网络安全工作领导小组组长担任，责任科室为网络数据科，成员有网络数据科科长窦博、科员杨林，运维公司运维工程师杨磊、段淑程、柳栋，移动运营商工程师刘顺周，联通运营商工程师傅绍录，电信运营商工程师吕小建。应急响应小组应及时向临朐县大数据中心网络安全工作领导小组汇报事件处理进展情况。

应急响应小组能快速调动相关资源，协调本单位和相关单位的信息安全专家，防止事件处理的任何环节出现延迟，以最快速度确定故障点，及时排除故障，保证系统正常运行。

3  应急处置

 3.1 应急准备

在日常工作中应做好应急资源准备，包括软件资源、设备资源、电源、经费及应急标识，具体工作如下：

软件资源备用：对每一信息资源均有足够备份，并将备份存放于免受攻击或受灾害影响的地方。

设备备用：主要设备设置主备热备策略，如互联网出口防火墙、负载均衡、核心路由器等，互联网出口、政务网主干路等配置线路冗余，在机房现场设有设备主板、硬盘、内存等备件，以及其它备用的外部设备。

电源备用：配置不间断电源，64块蓄电池组，发电机组，电池组备用电源可在断电后维持工作一小时以上，发电机组在检测到电池组供电10分钟内自动启动并切换供电，市电恢复后自动切换市电主路供电。市电断电后一分钟内自动向运维管理人员短信、电话、微信推送断电告警。

经费保障：网络与信息安全事件应急处置专项经费，应列入年度预算，切实予以保障。

应急标识标记：应急计划标识标记应张贴在显著和方便的位置，应急标识标记包括：火警电话、报警电话、应急负责人电话和住址。

重要或大型系统中的关键设备和信息安全产品均采用双机热备份。

3.2 事件报告

3.2.1网络与信息安全事件的报告

   （一）当遇到一般网络与信息安全事件时，发现人应立即报告本科室领导和中心领导。中心领导通知有关人员立即进行处理；如在2个小时内仍然无法解决，应向有关领导报告。

   （二）当遇到重要网络与信息安全事件时，发现人应立即报告本科室领导、中心领导。中心领导组织有关人员到现场处理，同时要立即向临朐县大数据中心网络安全工作领导小组副组长报告，协调解决。

   （三）当遇到严重网络与信息安全事件，发现人应立即报告本科室领导、中心领导。中心领导组织有关人员到现场处理，同时立即向临朐县大数据中心网络安全工作领导小组报告。

   （四）遇到无法与上一级领导取得联系的情况，可越级上报。

 3.3 应急响应

3.3.1 机房漏水应急响应预案

（一） 发生机房漏水时，水浸感应自动告警，第一目击者应立即报告应急响应小组。

（二） 若空调系统出现渗漏水，运维人员应立即安排停用故障空调,确保备用空调正常运转，清除机房积水，并及时联系设备厂家处理，机房除配备双机热备空调，1台替换空调外，额外配备2台小型水冷空调，必要情况下对服务器进行降温。

（三） 若为墙体或窗户渗漏水，运维人员应立即采取有效措施确保机房安全，同时安排通知应急响应小组，及时清除积水，维修墙体或窗户，消除渗漏水隐患。

3.3.2设备发生被盗或人为损害事件应急响应预案

（一） 发生设备被盗或人为损害设备情况时，使用者或管理者应立即报告应急响应小组，同时保护好现场。

（二）应急响应小组接报后，通知安保人员及公安部门，一同核实审定现场情况，清点被盗物资或盘查人为损害情况，做好必要的影像记录和文字记录。

（三）事发单位和当事人应当积极配合公安部门进行调查，并将有关情况向应急响应小组汇报。

（四） 应急响应小组安排运维人员、事发部门及时恢复网络正常运行，并对事件进行调查。运维人员和事发部门应在调查结束后一日内书面报告应急响应小组。事态或后果严重的，应向上级领导部门和相关业务部门报告。

3.3.3通信网络故障应急响应预案

（一） 发生通信线路中断、路由故障、流量异常、域名系统故障后，操作员应及时通知本单位信息运维人员，经初步判断后及时上报应急响应小组。具体流程如下：

1、 全县出现大面积内外断网情况

（1） 外网

1） 移动工程师排查互联网出口设备、核心路由器、汇聚交换机等设备

2） 移动、电信查看机房互联网出口链路

3） 运维工程师查看边界安全设备、数通设备、服务器等

（2） 内网

4） 移动工程师排查政务网网络状态，各数通设备之间网络状况

5） 运维工程师排查政务云平台服务器、存储、虚拟化平台、服务器接入交换机、汇聚交换机、边界防火墙等

2、 全县出现个别单位断网情况

联系移动公司进行故障排查，排查顺序按照：单位终端电脑排查、访问控制排查、接入链路排查、接入交换机排查、汇聚交换机排查。

（二）应急人员接报告后，应及时查清通信网络故障位置，隔离故障区域，并通知相关通信网络运营商查清原因；同时及时组织相关技术人员检测故障区域，逐步恢复故障区与服务器的网络联接，恢复通信网络，保证正常运转。

（三） 事态或后果严重的，应及时报告应急响应小组组长及相关业务部门。

（四） 应急处置结束后，运维人员和事发单位应将故障分析报告，在调查结束后一日内书面报告应急响应小组组长。

3.3.4不良信息和网络病毒事件应急响应预案

（一） 发现不良信息或网络病毒时，信息运维人员应立即断开网络，终止不良信息或网络病毒传播，并报告应急响应小组。

（二）运维人员应在采取隔离网络等措施的同时，及时杀毒或清除不良信息，并追查不良信息来源。

（三） 事态或后果严重的，应及时报告应急响应小组组长及相关业务部门。

（四） 处置结束后, 运维人员和事发部门应将事发经过、造成影响、处置结果在调查工作结束后一日内书面报告应急小组组长。

3.3.5服务器软件系统故障应急响应预案

（一） 发生服务器软件系统故障后，运维人员应立即组织启动备份服务器系统，由备份服务器接管业务应用，并及时报告应急响应小组和中心；同时安排将故障服务器脱离网络，保存系统状态不变，使用虚拟化快照恢复，保持原始数据。

（二） 运维人员应在确认安全的情况下，重新启动故障服务器系统；重启系统成功，则检查数据丢失情况，利用备份数据恢复；若重启失败，使用虚拟化快照恢复。

（三） 事态或后果严重的，及时报告应急响应小组组长。

（四） 处置结束后, 运维人员应将事发经过、处置结果等在调查工作结束后一日内报告应急响应小组。

3.3.6黑客攻击事件应急响应预案

（一） 当发现网络被非法入侵、网页内容被篡改，应用服务器上的数据被非法拷贝、修改、删除，或通过入侵检测系统发现有黑客正在进行攻击时，使用者或管理者应断开网络，并立即报告应急响应小组和中心。

（二） 接报告后，应急响应小组应立即指令运维人员核实情况，关闭服务器或系统，封锁攻击源地址，删除上传病毒文件，阻断可疑流量进入网络的通道。

（三） 运维人员应及时清理系统，恢复数据、程序，恢复系统和网络；情况严重的，应及时报告应急响应小组组长。

（四） 处置结束后, 运维人员应将事发经过、处置结果等在调查工作结束后一日内报告应急响应小组。

3.3.7核心设备硬件故障应急响应预案

（一） 发生核心设备硬件故障后，运维人员应及时报告应急响应小组，并组织查找、确定故障设备及故障原因，进行先期处置。

（二） 若故障设备在短时间内无法修复，运维人员应启动备份设备，保持系统正常运行；将故障设备脱离网络，进行故障排除工作。

（三） 运维人员应在故障排除后，在网络空闲时期，替换备用设备；若故障仍然存在，立即联系相关厂商返厂维修， 填写设备故障报告单备查。

（四）事态或后果严重的，及时报告应急响应小组组长。

3.3.8业务数据损坏应急响应预案

（一） 发生业务数据损坏时，运维人员应及时报告应急响应小组，检查、备份业务系统当前数据。

（二）运维人员负责调用备份服务器备份数据，若备份数据损坏，调用异地备份数据。

（三） 业务数据损坏事件超过2小时后，运维人员应及时报告应急响应小组，及时通知业务部门以人工方式开展业务。

（四）运维人员应待业务数据系统恢复后，检查历史数据和当前数据的差别，由相关系统业务员补录数据；重新备份数据，并写出故障分析报告，在调查工作结束后一日内报告应急响应小组。

3.3.9雷击事故应急响应预案

（一） 遇雷暴天气或接上级部门雷暴气象预警，运维人员应及时报告应急响应小组，经请示同意后关闭所有服务器，切断电源，暂停内部计算机网络工作，并及时通知中心。

（二） 雷暴天气结束后，运维人员报经应急小组同意，及时开通服务器，恢复内部计算机网络工作，并通知中心，对设备和数据进行检查。出现故障的，事发单位应将故障情况及时报告中心。

（三）因雷击造成损失的，运维人员应汇同保险公司、综合科等相关部门进行核实、报损，并在调查工作结束后一日内书面报告应急小组。

3.3.10中心机房断电应急响应预案

（一）空调停止运行的情况下，立即采取其它措施降温，如开窗通风等。

（二）通知所有应用部门，抓紧完成信息处理工作、停止应用。

（三）实时检测中心机房的室内温度，根据相关情况关闭非重要设备，如机房内温度过高，应立即通知应用部门停止应用并关闭所有设备。

（四）立即向供电部门询问何时恢复供电，并实时检测ups的储存电能，并有计划地使用，如ups电能不足以维持所有设备的运转，酌情关闭相关设备，保证关键设备的运作。

3.4    应急结束 

应急事件响应结束由应急响应小组提出建议，报网络安全工作领导小组决定。

    

4   后期处置

4.1    事件总结

发生应急事件并处理完成后应当对事件的起因、性质、影响、责任等进行调查，提出处理意见和改进措施，对事件进行分析总结，进行风险评估，改进不足，弥补漏洞。

5   附则

5.1   应急预案演练及培训

每年至少组织一次对系统用户进行安全应急培训和应急演练，使每个工作人员熟悉应急知识和在应急计划中应采取的措施和应负的责任，以利于紧急事故出现时能迅速执行应急计划。并根据演练结果对应急预案进行评审和修订。

5.2    预案解释部门

本规定由临朐县大数据中心负责解释。

5.3    预案实施时间

本规定自发布之日起施行。

 

 

 

 

 

 

 

 

附件一. 应急计划和响应审查记录表

策略名称		审查时间
审查机构		负责人
审查情况
审查结果
情况说明
备注

附件二.  应急响应与系统恢复演练记录表

演练时间		演练地点
演练内容
演练负责人
参与人员
演练过程
演练结果
备注

 

 

附件三.  应急响应培训记录表

序号	部门	人员签名	培训时间	培训内容	备注

附件四.  备份与恢复策略测试记录表

策略描述		测试时间
测试人员		测试对象
测试过程
测试结果
问题描述
备注

附件五.  信息泄露事件记录表