林辦發(fā)〔2010〕185號《國家林業(yè)局網(wǎng)絡信息安全應急處置預案》（全文）

國家林業(yè)局網(wǎng)絡信息安全應急處置預案

林辦發(fā)〔2010〕185號

 

第一章  總 則
 

第一條  為加強國家林業(yè)局網(wǎng)絡與信息系統(tǒng)的安全，確保其設備安全、運行安全和數(shù)據(jù)安全，根據(jù)國家有關法律法規(guī)及規(guī)定，制定本辦法。

第二條  工作原則

（一）統(tǒng)一領導，協(xié)同配合。網(wǎng)絡與信息安全突發(fā)事件應急工作由國家林業(yè)局信息辦（信息中心）統(tǒng)一協(xié)調(diào)，相關單位按照“統(tǒng)一領導、歸口負責、綜合協(xié)調(diào)、各司其職”的原則協(xié)同配合，具體實施。

（二）明確責任，依法規(guī)范。各單位按照“屬地管理、分級響應、及時發(fā)現(xiàn)、及時報告、及時處置、及時控制”的要求，依法對信息安全突發(fā)事件進行防范、監(jiān)測、預警、報告、響應、協(xié)調(diào)和控制。按照“誰主管、誰負責，誰運營、誰負責”的原則，實行責任分工制和責任追究制。

（三）條塊結合，整合資源。充分利用現(xiàn)有信息安全應急支援服務設施，充分依靠網(wǎng)絡與信息安全工作力量，進一步完善應急響應服務體系，形成網(wǎng)絡與信息安全保障工作合力。

（四）防范為主，加強監(jiān)控。普及信息安全防范知識，牢固樹立“預防為主、常抓不懈”的意識，經(jīng)常性地做好應對信息安全突發(fā)事件的思想準備、預案準備、機制準備和工作準備，提高公共防范意識以及基礎網(wǎng)絡和重要信息系統(tǒng)的信息安全綜合保障水平。加強對信息安全隱患的日常監(jiān)測，發(fā)現(xiàn)和防范重大信息安全突發(fā)事件，及時采取有效的可控措施，迅速控制事件影響范圍，力爭將損失降到最低程度。

第三條  計算機網(wǎng)絡與信息系統(tǒng)遭受不可預知的外力破壞、毀損或故障，造成系統(tǒng)中斷、設備損壞、數(shù)據(jù)丟失等，對工作造成嚴重危害的網(wǎng)絡與信息安全事件，適用本預案。

第四條  聘請專業(yè)機構或?qū)＜遥闪⒕W(wǎng)絡與信息安全專家組，負責提供網(wǎng)絡與信息安全技術咨詢，參與重要信息研判，參與事件調(diào)查和總結評估，并在必要時直接參與網(wǎng)絡與信息安全事件應急處置。
 

第二章  事件分級

第五條  Ⅰ級（一般）事件：中心機房計算機網(wǎng)絡與信息系統(tǒng)受到一定程度的損壞，但不影響中心機房業(yè)務正常進行的事件。

第六條  Ⅱ級（較大）事件：中心機房某一區(qū)域網(wǎng)絡與信息系統(tǒng)受破壞、毀損，對中心機房業(yè)務造成較大影響的事件。

第七條  Ⅲ級（重大）事件：中心機房計算機網(wǎng)絡與信息系統(tǒng)遭受大規(guī)模破壞、毀損，系統(tǒng)出現(xiàn)嚴重故障，中心機房業(yè)務無法進行的事件。
 

第三章  預防預警
 

第八條  網(wǎng)絡信息監(jiān)測。堅持預防為主的方針，加強網(wǎng)絡與信息安全監(jiān)測，及時收集、分析、研判監(jiān)測信息，發(fā)現(xiàn)網(wǎng)絡與信息安全事件傾向或苗頭，迅速采取有效措施加以防范，及早消除安全隱患。

第九條  預警處理與發(fā)布

（一）發(fā)現(xiàn)可能發(fā)生網(wǎng)絡與信息安全事件的單位要及時發(fā)出預警，并在2小時內(nèi)向國家林業(yè)局信息辦報告。

（二）國家林業(yè)局信息辦接到報警后應當迅速組織有關人員進行技術分析，根據(jù)問題性質(zhì)和危害程度，提出安全警報級別及處置意見，及時向各部門和相關單位發(fā)布預警信息。

（三）國家林業(yè)局信息辦發(fā)布預警信息后，應當根據(jù)緊急情況做好相應的網(wǎng)絡與信息安全應急處置準備工作。

第十條  事件報告。當發(fā)生網(wǎng)絡與信息安全事件時，事發(fā)單位要及時向國家林業(yè)局信息辦報告。初次報告最遲不超過2小時，報告內(nèi)容包括信息來源、影響范圍、事件性質(zhì)、事件趨勢和擬采取的措施等。
 

第四章  應急響應
 

第十一條  應急處置。當發(fā)生網(wǎng)絡與信息安全事件時，首先應當區(qū)分事件性質(zhì)為自然災害事件或人為破壞事件，根據(jù)兩種情況分別采用不同處置流程。

流程一：當事件為自然災害事件時，應當根據(jù)實際情況，在保障人身安全的前提下，首先保障數(shù)據(jù)安全，然后保障設備安全。具體方法有：數(shù)據(jù)保存，設備斷電與拆卸、搬遷等。

流程二：當事件為人為或病毒破壞事件時，首先判斷破壞來源與性質(zhì)，如屬網(wǎng)絡入侵或病毒破壞，應斷開影響安全的網(wǎng)絡設備，斷開與破壞來源的網(wǎng)絡連接，跟蹤并鎖定破壞來源IP地址或其他用戶信息，修復被破壞的信息，恢復信息系統(tǒng)；如遇人為暴力破壞，立即制止并報警。

第十二條  具體處置方法。

（一）有害信息處置。確定專人全時監(jiān)控網(wǎng)站、網(wǎng)頁及郵件信息，對有害信息采取屏蔽、刪除等措施；清理有害信息，并做好相關記錄；采取技術手段追查有害信息來源；發(fā)現(xiàn)涉及國家安全、穩(wěn)定的重大有害信息，及時向公安部門網(wǎng)絡監(jiān)察機構報告。

（二）黑客攻擊處置。當發(fā)現(xiàn)網(wǎng)頁內(nèi)容被篡改或通過入侵檢測系統(tǒng)發(fā)現(xiàn)黑客攻擊時，首先將被攻擊服務器等設備從網(wǎng)絡中隔離；采取技術手段追查非法攻擊來源；召開信息安全評估會，評估破壞程度；恢復或重建被破壞的系統(tǒng)。

（三）病毒侵入處置。當發(fā)現(xiàn)計算機服務器系統(tǒng)感染病毒后，立即將該計算機從網(wǎng)絡上物理隔離，同時備份硬盤數(shù)據(jù)；啟用防病毒軟件進行殺毒處理，并使用病毒檢測軟件對其他計算機服務器進行病毒掃描和清除；一時無法查殺的新病毒，迅速與相關防病毒軟件供應商聯(lián)系解決。

（四）軟件遭受破壞性攻擊處置。重要軟件系統(tǒng)必須存有備份，與軟件系統(tǒng)相對應的數(shù)據(jù)必須有多日備份，并將它們保存于安全處；一旦軟件遭受破壞性攻擊，應當立即報告，并將系統(tǒng)停止運行；檢查日志等資料，確認攻擊來源；采取有效措施，恢復軟件系統(tǒng)和數(shù)據(jù)。

（五）數(shù)據(jù)庫安全防范處置。各數(shù)據(jù)庫系統(tǒng)至少要準備兩個以上數(shù)據(jù)庫備份，一份放在機房，一份放在其他地點；一旦數(shù)據(jù)庫崩潰，立即通知有關單位暫緩上傳、上報數(shù)據(jù)；組織對主機系統(tǒng)進行維修，如遇無法解決的問題，立即請求軟硬件供應商協(xié)助解決；系統(tǒng)修復啟動后，將第一個數(shù)據(jù)庫備份取出，按照要求將其恢復到主機系統(tǒng)中；如因第一個備份損壞，導致數(shù)據(jù)庫無法恢復，則取出第二個數(shù)據(jù)庫備份予以恢復。

（六）全國林業(yè)專網(wǎng)外部線路中斷處置。專網(wǎng)線路中斷后，應當迅速判斷故障節(jié)點，查明故障原因；如屬中心機房內(nèi)部線路故障，立即組織恢復；如屬通信部門管轄的線路，立即與通信維護部門聯(lián)系，及時進行修復。

（七）局域網(wǎng)中斷處置。局域網(wǎng)中斷后，應當立即判斷故障節(jié)點，查明故障原因；如屬線路故障，迅速組織修復；如屬路由器、交換機等網(wǎng)絡設備故障，立即與設備供應商聯(lián)系修復；如屬路由器、交換機配置文件破壞，迅速按照要求重新配置；如遇無法解決的技術問題，立即向國家林業(yè)局信息辦主管負責人或有關廠商請求支援。

（八）設備安全處置。發(fā)現(xiàn)服務器等關鍵設備損壞，應當立即查明設備故障原因；能自行恢復的，立即用備件替換受損部件；難以自行恢復的，立即與設備供應商聯(lián)系，請求派維修人員前來維修；如設備一時不能修復，應當及時采取必要措施，并告知有關單位暫緩上傳、上報數(shù)據(jù)。

（九）機房火災處置。一旦機房發(fā)生火災，首先切斷所有電源，按響火警警報；檢查自動氣體滅火系統(tǒng)是否啟動，并及時通過119電話向公安消防部門請求支援。

（十）外電中斷處置。外電中斷后，立即切換到備用電源；迅速查明斷電原因，如因內(nèi)部線路故障，馬上組織恢復；如因供電部門原因，立即與供電單位聯(lián)系，盡快恢復供電；如被告知將長時間停電，應當做好以下工作：預計停電1小時以內(nèi)，由UPS供電；預計停電6小時以內(nèi)，關掉非關鍵設備，確保各主機、路由器、交換機供電；預計停電超過6小時的，做好數(shù)據(jù)備份工作，及時關閉有關設備。

其他沒有列出的不確定因素造成的災害，可根據(jù)總的安全原則，結合具體情況做出相應處理；不能處理的可咨詢相關專業(yè)人員。

第十三條  應急支援。發(fā)生Ⅱ級以上（含Ⅱ級）網(wǎng)絡與信息安全事件，應當立即成立由國家林業(yè)局信息辦主要負責人帶隊的應急處置小組，督促、指導、協(xié)調(diào)應急處置工作；發(fā)生Ⅱ級以下級別網(wǎng)絡與信息安全事件，應當立即成立由國家林業(yè)局信息辦分管負責人帶隊的應急處置小組，督促、指導、協(xié)調(diào)應急處置工作。應急處置小組根據(jù)事態(tài)發(fā)展和處置工作需要，及時聯(lián)系專家小組和應急支援單位，并有權臨時調(diào)動系統(tǒng)內(nèi)必要的物資、設備，開展應急支援。

第十四條  善后處理。應急處置工作結束后，要迅速組織搶修受損設施，減少損失，盡快恢復正常工作；對事件造成的損失和影響進行分析評估；調(diào)查事故原因，制定恢復重建計劃并組織實施。
 

第五章  保障措施
 

第十五條  應急隊伍保障。國家林業(yè)局信息辦要組建網(wǎng)絡與信息安全應急處置隊伍（包括安全分析員、應急響應人員、災難恢復人員等），制定相應培訓和演練計劃，提高應對網(wǎng)絡與信息安全事件的能力。

第十六條  設備保障。根據(jù)工作需要，及時采購應急處置工作必需的設備或工具軟件；加強應急處置工具及設備維護調(diào)試，保證其隨時處于可用狀態(tài)；跟蹤最新技術發(fā)展動態(tài)，及時收集、整理文件完整性檢測工具、木馬/后門檢測工具等；及時更新病毒庫、脆弱性評估系統(tǒng)插件庫等。

第十七條  數(shù)據(jù)保障。重要信息系統(tǒng)應當建立備份系統(tǒng)和相關工作機制，保證重要數(shù)據(jù)受到破壞后可緊急恢復。各容災備份系統(tǒng)應當具有一定兼容性，在特殊情況下各系統(tǒng)之間互為備份。

第十八條  技術資料保障。全面的技術資料是高效應急處置的前提和基礎。網(wǎng)絡拓撲結構、重要系統(tǒng)或設備的型號及配置、主要設備廠商信息等技術資料，應當建立專門技術檔案，并及時更新，保證與實際系統(tǒng)相一致。
 

第六章  罰 則
 

第十九條  對違反本辦法的行為，國家林業(yè)局將給予相關單位或人員通報批評。造成失泄密或重大事故的，將依據(jù)國家有關法律法規(guī)和有關規(guī)定追究有關領導和人員的責任。
 

第七章  附 則
 

第二十條  本預案由國家林業(yè)局信息辦負責解釋。

第二十一條  本預案自印發(fā)之日起實施。

本文鏈接：http://m.per-better.com/law/9259.html

本文關鍵詞： 林辦發(fā)〔2010〕185號, 國家林業(yè)局, 網(wǎng)絡信息安全, 應急處置, 預案, 全文