(4)事先应向领导小组汇报本次事件中所需用到的设备、环境,以及可能出现的事故及影响,在事件过程中出现任何问题应立刻向领导小组组长汇报。
三、应急预案的启动
(一)信息监测与报告
1、进一步完善网络与信息安全突发公共事件监测、预测和预警制度。落实工作责任制,按照“早发现、早报告、早处置”的原则,加强对各类网络与信息安全突发公共事件和可能引起突发网络与信息安全突发公共事件的有关信息的收集、分析、判断和持续监测。当检查到有网络与信息安全突发公共事件发生时,立即向应急领导小组报告(初次报告最迟不得超过半小时)。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施建议等。
2、发现下列情况应及时向应急领导小组报告:利用网络从事违法犯罪活动;网络或信息系统通信和资源使用异常;网络或信息系统瘫痪,应用服务中断或数据篡改、丢失;网络恐怖活动的嫌疑和预警信息;其他影响网络与信息安全的信息。
(二)应急预案处理与发布
1、对可能发生或已经发生的网络与信息安全突发公共事件,立即采取措施,制止事件的延续、蔓延并在1小时内进行风险评估,必要时启动相应预案,同时向应急领导小组报告。
2、应急领导小组接到报告后,对可能发生或已经发生的网络与信息安全突发公共事件,迅速召开应急领导小组会议,启动本预案,研究确定处置意见。
3、对需要向上级相关部门通报的,要及时通报。
四、应急处理
1、广域网中断的应急处置
1、1、广域网中断后,值班人员应迅30分钟内到达现场,如第一责任人无法规定时间内到达现场,第一责任人需紧急协调第二责任人迅速到达事故现场并速判断故障节点,查明故障原因,同时向应急领导小组汇报。如故障范围限于单位内部范围,技术人员应立即予以恢复;如有困难,报请上级部门或协调讯飞公司、电信公司给与处理。
1、2。、如属路由器等网络设备故障,应立即从指定位置提取备用设备替换安装,并调试通畅。
1、3、如发生光路设备和线路故障,应立即与运营商维护部门联系,尽快进行抢修恢复,必要时联系相关单位联合处理。
1、4、如发生办税延伸点线路故障,必要时应联系物业所属单位联合处理。
2、病毒入侵的应急处置
2、1、发现服务器操作系统有重大漏洞或感染病毒,值班人员应迅30分钟内到达现场,如第一责任人无法规定时间内到达现场,第一责任人需紧急协调第二责任人迅速到达事故现场并针对故障服务器应立即追加补丁,启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
2、2、对该设备的硬盘进行数据备份。
2、3、如果现行反病毒软件无法清除该病毒,应立即向领导小组汇报,并迅速联系有关产品厂商研究解决。
3、黑客攻击的应急处置
3、1、当发现网站、网络被非法入侵、网站内容被篡改、网站应用服务器和数据库服务器上的数据被非法拷贝、修改、删除,或通过入侵检测系统发现有黑客正在进行攻击时,值班人员应迅30分钟内到达现场,如第一责任人无法规定时间内到达现场,第一责任人需紧急协调第二责任人迅速到达事故现场,针对事故服务器应该刻断开网络,并立即向领导小组汇报。
3、2、现场针对事故服务器应采取关闭网络、封锁或删除被攻破的登陆帐号等方式,阻断可疑用户进入网络的通道。
3、3、及时清理系统,恢复数据和程序,将系统和网络恢复正常。
3、4。、经应急处置后,事态难以控制或有扩大发展趋势时,应实施扩大应急行动。应急处置和紧急支援的单位,要及时增加应急处置力量,加强工作协调,努力控制事态的扩大和发展。
3、5。、追查非法攻击和病毒来源。妥善保存有关记录及日志和审计记录,对现场进行分析,并写出分析报告存档,向领导小组汇报。事态严重的,要向公安部门报警。
4、机房断电的应急处置
4、1、必须断电处理的情况,向各部门通告。
4、2。、查询断电时间、何时恢复等,关掉非关键设备,确保关键设备供电。
4、3。、监控UPS供电情况,随时注意检查尚在运行的计算机设备和机房室温。
4、4。、做好关机准备,预留相应的关机时间,到时供电没有恢复,按正常流程全部关闭计算机等设备。
