隨著互聯(lián)網(wǎng)的普及與發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)在人們的工作和生活中正發(fā)揮著日益重要的作用,，同時(shí),，針對網(wǎng)站各種被攻擊、入侵等各類安全事件也越來越多,，為了建立健全本局網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)工作機(jī)制,，科學(xué)應(yīng)對網(wǎng)絡(luò)與信息安全突發(fā)事件，有效預(yù)防,、及時(shí)處置雅安市統(tǒng)計(jì)局網(wǎng)絡(luò)與信息安全事件,，保障雅安市統(tǒng)計(jì)局網(wǎng)站作用的正常發(fā)揮，依據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》的規(guī)定,，結(jié)合本局實(shí)際情況特制定本預(yù)案,。

一、網(wǎng)絡(luò)與信息安全組織機(jī)構(gòu)

雅安市統(tǒng)計(jì)局網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組

組 長：局  長何  勇

副組長：副局長蒲  敏

網(wǎng)絡(luò)管理員：何競鐘 徐金勇

二、處置程序

（一）預(yù)案啟動(dòng)

在發(fā)生網(wǎng)絡(luò)與信息安全事件后，應(yīng)盡最大可能收集事件相關(guān)信息,，鑒別事件性質(zhì),，確定事件來源，以確定事件范圍和評估事件帶來的影響和危害，確認(rèn)為網(wǎng)絡(luò)與信息安全事件后，對事件進(jìn)行處置和上報(bào)。

（二）應(yīng)急處置措施

初步確定應(yīng)急處置方式,，根據(jù)事件引發(fā)原因分為故障或攻擊類兩種情況，區(qū)別對待,。

判斷故障或攻擊的來源與性質(zhì),，斷開影響安全與穩(wěn)定的信息網(wǎng)絡(luò)設(shè)備，斷開信息系統(tǒng)與攻擊來源的網(wǎng)絡(luò)物理連接,，跟蹤并鎖定攻擊來源的IP或其它網(wǎng)絡(luò)用戶信息,，修復(fù)被破壞的信息，恢復(fù)信息系統(tǒng),。按照事件發(fā)生的性質(zhì)分別采用以下方案：

（一）網(wǎng)站,、網(wǎng)頁出現(xiàn)非法言論時(shí)的緊急處置措施

1.網(wǎng)站由網(wǎng)站值班人員隨時(shí)密切監(jiān)視信息內(nèi)容。

2.發(fā)現(xiàn)網(wǎng)上出現(xiàn)非法信息時(shí),，值班人員應(yīng)立即向信息安全組副組長通報(bào)情況,；情況緊急的應(yīng)先及時(shí)采取刪除等處理措施,，再按程序報(bào)告。

3.信息安全組具體負(fù)責(zé)的技術(shù)人員應(yīng)在接到通知后十分鐘內(nèi)趕到現(xiàn)場,，作好必要的記錄,，清理非法信息，強(qiáng)化安全防范措施,，并將網(wǎng)站網(wǎng)頁重新投入使用,。

4.網(wǎng)絡(luò)管理員應(yīng)妥善保存有關(guān)記錄及日志或?qū)徲?jì)記錄,。

5.網(wǎng)絡(luò)管理員應(yīng)立即追查非法信息來源,。

6.工作人員會(huì)商后，將有關(guān)情況向安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)匯報(bào)有關(guān)情況,。

7.安全領(lǐng)導(dǎo)小組召開安全領(lǐng)導(dǎo)小組會(huì)議,，如認(rèn)為情況嚴(yán)重，應(yīng)及時(shí)向有關(guān)上級(jí)機(jī)關(guān)報(bào)告或向公安部門報(bào)警,。

（二）黑客攻擊時(shí)的緊急處置措施

1.當(dāng)相關(guān)人員發(fā)現(xiàn)信息系統(tǒng)遭到破壞,、網(wǎng)頁內(nèi)容被篡改或發(fā)現(xiàn)網(wǎng)站被植入木馬病毒時(shí)，應(yīng)立即向網(wǎng)絡(luò)管理員通報(bào)情況,。

2.網(wǎng)絡(luò)管理員應(yīng)在十分鐘內(nèi)趕到現(xiàn)場,，并應(yīng)首先將被攻擊的網(wǎng)站從網(wǎng)絡(luò)中隔離出來，保護(hù)現(xiàn)場,，判斷入侵來源,，評價(jià)入侵可能造成或已經(jīng)造成的危害。對攻擊不成功,、未造成損害的,，且被評價(jià)為威脅很小的攻擊，定位攻擊者的IP地址,，及時(shí)關(guān)閉相關(guān)漏洞或入侵的端口,，限制入侵的IP地址的訪問。對于已經(jīng)造成危害的,，應(yīng)立即采用關(guān)閉相應(yīng)服務(wù)或斷開網(wǎng)絡(luò)連接的方法,，避免造成更大損失和帶來惡劣影響，同時(shí)向信息安全領(lǐng)導(dǎo)小組組長匯報(bào)情況,。

3.網(wǎng)絡(luò)管理員負(fù)責(zé)被破壞系統(tǒng)的恢復(fù)與重建工作,，研究防御方法。

4.安全領(lǐng)導(dǎo)小組會(huì)商后,，如認(rèn)為情況嚴(yán)重,，則立即向公安部門報(bào)警或向上級(jí)機(jī)關(guān)報(bào)告

（三）數(shù)據(jù)庫安全緊急處置措施

核心主要數(shù)據(jù)庫系統(tǒng)設(shè)備采用雙機(jī)熱備方式，預(yù)防單點(diǎn)故障,，同時(shí)做好配置的文件記錄,，一旦數(shù)據(jù)庫崩潰,，網(wǎng)絡(luò)管理員應(yīng)立即啟動(dòng)備用系統(tǒng)，并向安全小組組長報(bào)告,；在備用系統(tǒng)運(yùn)行期間,，網(wǎng)絡(luò)管理員應(yīng)對主機(jī)系統(tǒng)進(jìn)行維修并作數(shù)據(jù)恢復(fù)。

（四）服務(wù)器通信或域名DNS解析中斷緊急處置措施

1.如遇服務(wù)器通信線路中斷,，網(wǎng)絡(luò)管理員應(yīng)立即向安全小組領(lǐng)導(dǎo)匯報(bào),。

2.網(wǎng)絡(luò)管理員接到報(bào)告后，應(yīng)迅速與電信聯(lián)系判斷故障節(jié)點(diǎn),，查明故障原因,。盡快與電信工作人員研究恢復(fù)措施。

3.如遇域名DNS解析中斷,，網(wǎng)絡(luò)管理員應(yīng)查明故障原因后,，盡快與域名注冊商研究恢復(fù)措施，并立即向安全小組領(lǐng)導(dǎo)匯報(bào),。

（五）服務(wù)器設(shè)備損壞緊急處置措施

1.如屬服務(wù)器,、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備等關(guān)鍵設(shè)備損壞后,，有關(guān)人員應(yīng)立即向安全小組組長匯報(bào),。

2.網(wǎng)絡(luò)管理員應(yīng)立即查明原因。

3.如果能夠自行恢復(fù),，應(yīng)立即用備件替換受損部件,。

4.如果不能自行恢復(fù)的，立即與設(shè)備提供商聯(lián)系,，請求派維修人員前來維修,。

（六）服務(wù)器機(jī)房電源中斷后的預(yù)案

1.服務(wù)器機(jī)房電源中斷后，電信機(jī)房值班人員應(yīng)立即切換到備用電源,。

2.網(wǎng)絡(luò)管理員應(yīng)及時(shí)向電信機(jī)房值班人員了解中斷原因,，并向安全小組領(lǐng)導(dǎo)匯報(bào)。

3.如因機(jī)房內(nèi)部線路故障,，網(wǎng)絡(luò)管理員應(yīng)及時(shí)請電信服務(wù)部門迅速恢復(fù),。

4.如果是供電部門的原因，網(wǎng)絡(luò)管理員應(yīng)立即與供電部門聯(lián)系,，請供電部門迅速恢復(fù)供電,。

雅安市統(tǒng)計(jì)局

2017年6月9日