林辦發(fā)〔2010〕185號(hào)《國(guó)家林業(yè)局網(wǎng)絡(luò)信息安全應(yīng)急處置預(yù)案》（全文）

國(guó)家林業(yè)局網(wǎng)絡(luò)信息安全應(yīng)急處置預(yù)案

林辦發(fā)〔2010〕185號(hào)

 

第一章  總 則
 

第一條  為加強(qiáng)國(guó)家林業(yè)局網(wǎng)絡(luò)與信息系統(tǒng)的安全，確保其設(shè)備安全、運(yùn)行安全和數(shù)據(jù)安全，根據(jù)國(guó)家有關(guān)法律法規(guī)及規(guī)定，制定本辦法。

第二條  工作原則

（一）統(tǒng)一領(lǐng)導(dǎo)，協(xié)同配合。網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急工作由國(guó)家林業(yè)局信息辦（信息中心）統(tǒng)一協(xié)調(diào)，相關(guān)單位按照“統(tǒng)一領(lǐng)導(dǎo)、歸口負(fù)責(zé)、綜合協(xié)調(diào)、各司其職”的原則協(xié)同配合，具體實(shí)施。

（二）明確責(zé)任，依法規(guī)范。各單位按照“屬地管理、分級(jí)響應(yīng)、及時(shí)發(fā)現(xiàn)、及時(shí)報(bào)告、及時(shí)處置、及時(shí)控制”的要求，依法對(duì)信息安全突發(fā)事件進(jìn)行防范、監(jiān)測(cè)、預(yù)警、報(bào)告、響應(yīng)、協(xié)調(diào)和控制。按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)”的原則，實(shí)行責(zé)任分工制和責(zé)任追究制。

（三）條塊結(jié)合，整合資源。充分利用現(xiàn)有信息安全應(yīng)急支援服務(wù)設(shè)施，充分依靠網(wǎng)絡(luò)與信息安全工作力量，進(jìn)一步完善應(yīng)急響應(yīng)服務(wù)體系，形成網(wǎng)絡(luò)與信息安全保障工作合力。

（四）防范為主，加強(qiáng)監(jiān)控。普及信息安全防范知識(shí)，牢固樹(shù)立“預(yù)防為主、常抓不懈”的意識(shí)，經(jīng)常性地做好應(yīng)對(duì)信息安全突發(fā)事件的思想準(zhǔn)備、預(yù)案準(zhǔn)備、機(jī)制準(zhǔn)備和工作準(zhǔn)備，提高公共防范意識(shí)以及基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全綜合保障水平。加強(qiáng)對(duì)信息安全隱患的日常監(jiān)測(cè)，發(fā)現(xiàn)和防范重大信息安全突發(fā)事件，及時(shí)采取有效的可控措施，迅速控制事件影響范圍，力爭(zhēng)將損失降到最低程度。

第三條  計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)遭受不可預(yù)知的外力破壞、毀損或故障，造成系統(tǒng)中斷、設(shè)備損壞、數(shù)據(jù)丟失等，對(duì)工作造成嚴(yán)重危害的網(wǎng)絡(luò)與信息安全事件，適用本預(yù)案。

第四條  聘請(qǐng)專業(yè)機(jī)構(gòu)或?qū)＜?，成立網(wǎng)絡(luò)與信息安全專家組，負(fù)責(zé)提供網(wǎng)絡(luò)與信息安全技術(shù)咨詢，參與重要信息研判，參與事件調(diào)查和總結(jié)評(píng)估，并在必要時(shí)直接參與網(wǎng)絡(luò)與信息安全事件應(yīng)急處置。
 

第二章  事件分級(jí)

第五條  Ⅰ級(jí)（一般）事件：中心機(jī)房計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)受到一定程度的損壞，但不影響中心機(jī)房業(yè)務(wù)正常進(jìn)行的事件。

第六條  Ⅱ級(jí)（較大）事件：中心機(jī)房某一區(qū)域網(wǎng)絡(luò)與信息系統(tǒng)受破壞、毀損，對(duì)中心機(jī)房業(yè)務(wù)造成較大影響的事件。

第七條  Ⅲ級(jí)（重大）事件：中心機(jī)房計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)遭受大規(guī)模破壞、毀損，系統(tǒng)出現(xiàn)嚴(yán)重故障，中心機(jī)房業(yè)務(wù)無(wú)法進(jìn)行的事件。
 

第三章  預(yù)防預(yù)警
 

第八條  網(wǎng)絡(luò)信息監(jiān)測(cè)。堅(jiān)持預(yù)防為主的方針，加強(qiáng)網(wǎng)絡(luò)與信息安全監(jiān)測(cè)，及時(shí)收集、分析、研判監(jiān)測(cè)信息，發(fā)現(xiàn)網(wǎng)絡(luò)與信息安全事件傾向或苗頭，迅速采取有效措施加以防范，及早消除安全隱患。

第九條  預(yù)警處理與發(fā)布

（一）發(fā)現(xiàn)可能發(fā)生網(wǎng)絡(luò)與信息安全事件的單位要及時(shí)發(fā)出預(yù)警，并在2小時(shí)內(nèi)向國(guó)家林業(yè)局信息辦報(bào)告。

（二）國(guó)家林業(yè)局信息辦接到報(bào)警后應(yīng)當(dāng)迅速組織有關(guān)人員進(jìn)行技術(shù)分析，根據(jù)問(wèn)題性質(zhì)和危害程度，提出安全警報(bào)級(jí)別及處置意見(jiàn)，及時(shí)向各部門和相關(guān)單位發(fā)布預(yù)警信息。

（三）國(guó)家林業(yè)局信息辦發(fā)布預(yù)警信息后，應(yīng)當(dāng)根據(jù)緊急情況做好相應(yīng)的網(wǎng)絡(luò)與信息安全應(yīng)急處置準(zhǔn)備工作。

第十條  事件報(bào)告。當(dāng)發(fā)生網(wǎng)絡(luò)與信息安全事件時(shí)，事發(fā)單位要及時(shí)向國(guó)家林業(yè)局信息辦報(bào)告。初次報(bào)告最遲不超過(guò)2小時(shí)，報(bào)告內(nèi)容包括信息來(lái)源、影響范圍、事件性質(zhì)、事件趨勢(shì)和擬采取的措施等。
 

第四章  應(yīng)急響應(yīng)
 

第十一條  應(yīng)急處置。當(dāng)發(fā)生網(wǎng)絡(luò)與信息安全事件時(shí)，首先應(yīng)當(dāng)區(qū)分事件性質(zhì)為自然災(zāi)害事件或人為破壞事件，根據(jù)兩種情況分別采用不同處置流程。

流程一：當(dāng)事件為自然災(zāi)害事件時(shí)，應(yīng)當(dāng)根據(jù)實(shí)際情況，在保障人身安全的前提下，首先保障數(shù)據(jù)安全，然后保障設(shè)備安全。具體方法有：數(shù)據(jù)保存，設(shè)備斷電與拆卸、搬遷等。

流程二：當(dāng)事件為人為或病毒破壞事件時(shí)，首先判斷破壞來(lái)源與性質(zhì)，如屬網(wǎng)絡(luò)入侵或病毒破壞，應(yīng)斷開(kāi)影響安全的網(wǎng)絡(luò)設(shè)備，斷開(kāi)與破壞來(lái)源的網(wǎng)絡(luò)連接，跟蹤并鎖定破壞來(lái)源IP地址或其他用戶信息，修復(fù)被破壞的信息，恢復(fù)信息系統(tǒng)；如遇人為暴力破壞，立即制止并報(bào)警。

第十二條  具體處置方法。

（一）有害信息處置。確定專人全時(shí)監(jiān)控網(wǎng)站、網(wǎng)頁(yè)及郵件信息，對(duì)有害信息采取屏蔽、刪除等措施；清理有害信息，并做好相關(guān)記錄；采取技術(shù)手段追查有害信息來(lái)源；發(fā)現(xiàn)涉及國(guó)家安全、穩(wěn)定的重大有害信息，及時(shí)向公安部門網(wǎng)絡(luò)監(jiān)察機(jī)構(gòu)報(bào)告。

（二）黑客攻擊處置。當(dāng)發(fā)現(xiàn)網(wǎng)頁(yè)內(nèi)容被篡改或通過(guò)入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)黑客攻擊時(shí)，首先將被攻擊服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離；采取技術(shù)手段追查非法攻擊來(lái)源；召開(kāi)信息安全評(píng)估會(huì)，評(píng)估破壞程度；恢復(fù)或重建被破壞的系統(tǒng)。

（三）病毒侵入處置。當(dāng)發(fā)現(xiàn)計(jì)算機(jī)服務(wù)器系統(tǒng)感染病毒后，立即將該計(jì)算機(jī)從網(wǎng)絡(luò)上物理隔離，同時(shí)備份硬盤數(shù)據(jù)；啟用防病毒軟件進(jìn)行殺毒處理，并使用病毒檢測(cè)軟件對(duì)其他計(jì)算機(jī)服務(wù)器進(jìn)行病毒掃描和清除；一時(shí)無(wú)法查殺的新病毒，迅速與相關(guān)防病毒軟件供應(yīng)商聯(lián)系解決。

（四）軟件遭受破壞性攻擊處置。重要軟件系統(tǒng)必須存有備份，與軟件系統(tǒng)相對(duì)應(yīng)的數(shù)據(jù)必須有多日備份，并將它們保存于安全處；一旦軟件遭受破壞性攻擊，應(yīng)當(dāng)立即報(bào)告，并將系統(tǒng)停止運(yùn)行；檢查日志等資料，確認(rèn)攻擊來(lái)源；采取有效措施，恢復(fù)軟件系統(tǒng)和數(shù)據(jù)。

（五）數(shù)據(jù)庫(kù)安全防范處置。各數(shù)據(jù)庫(kù)系統(tǒng)至少要準(zhǔn)備兩個(gè)以上數(shù)據(jù)庫(kù)備份，一份放在機(jī)房，一份放在其他地點(diǎn)；一旦數(shù)據(jù)庫(kù)崩潰，立即通知有關(guān)單位暫緩上傳、上報(bào)數(shù)據(jù)；組織對(duì)主機(jī)系統(tǒng)進(jìn)行維修，如遇無(wú)法解決的問(wèn)題，立即請(qǐng)求軟硬件供應(yīng)商協(xié)助解決；系統(tǒng)修復(fù)啟動(dòng)后，將第一個(gè)數(shù)據(jù)庫(kù)備份取出，按照要求將其恢復(fù)到主機(jī)系統(tǒng)中；如因第一個(gè)備份損壞，導(dǎo)致數(shù)據(jù)庫(kù)無(wú)法恢復(fù)，則取出第二個(gè)數(shù)據(jù)庫(kù)備份予以恢復(fù)。

（六）全國(guó)林業(yè)專網(wǎng)外部線路中斷處置。專網(wǎng)線路中斷后，應(yīng)當(dāng)迅速判斷故障節(jié)點(diǎn)，查明故障原因；如屬中心機(jī)房?jī)?nèi)部線路故障，立即組織恢復(fù)；如屬通信部門管轄的線路，立即與通信維護(hù)部門聯(lián)系，及時(shí)進(jìn)行修復(fù)。

（七）局域網(wǎng)中斷處置。局域網(wǎng)中斷后，應(yīng)當(dāng)立即判斷故障節(jié)點(diǎn)，查明故障原因；如屬線路故障，迅速組織修復(fù)；如屬路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備故障，立即與設(shè)備供應(yīng)商聯(lián)系修復(fù)；如屬路由器、交換機(jī)配置文件破壞，迅速按照要求重新配置；如遇無(wú)法解決的技術(shù)問(wèn)題，立即向國(guó)家林業(yè)局信息辦主管負(fù)責(zé)人或有關(guān)廠商請(qǐng)求支援。

（八）設(shè)備安全處置。發(fā)現(xiàn)服務(wù)器等關(guān)鍵設(shè)備損壞，應(yīng)當(dāng)立即查明設(shè)備故障原因；能自行恢復(fù)的，立即用備件替換受損部件；難以自行恢復(fù)的，立即與設(shè)備供應(yīng)商聯(lián)系，請(qǐng)求派維修人員前來(lái)維修；如設(shè)備一時(shí)不能修復(fù)，應(yīng)當(dāng)及時(shí)采取必要措施，并告知有關(guān)單位暫緩上傳、上報(bào)數(shù)據(jù)。

（九）機(jī)房火災(zāi)處置。一旦機(jī)房發(fā)生火災(zāi)，首先切斷所有電源，按響火警警報(bào)；檢查自動(dòng)氣體滅火系統(tǒng)是否啟動(dòng)，并及時(shí)通過(guò)119電話向公安消防部門請(qǐng)求支援。

（十）外電中斷處置。外電中斷后，立即切換到備用電源；迅速查明斷電原因，如因內(nèi)部線路故障，馬上組織恢復(fù)；如因供電部門原因，立即與供電單位聯(lián)系，盡快恢復(fù)供電；如被告知將長(zhǎng)時(shí)間停電，應(yīng)當(dāng)做好以下工作：預(yù)計(jì)停電1小時(shí)以內(nèi)，由UPS供電；預(yù)計(jì)停電6小時(shí)以內(nèi)，關(guān)掉非關(guān)鍵設(shè)備，確保各主機(jī)、路由器、交換機(jī)供電；預(yù)計(jì)停電超過(guò)6小時(shí)的，做好數(shù)據(jù)備份工作，及時(shí)關(guān)閉有關(guān)設(shè)備。

其他沒(méi)有列出的不確定因素造成的災(zāi)害，可根據(jù)總的安全原則，結(jié)合具體情況做出相應(yīng)處理；不能處理的可咨詢相關(guān)專業(yè)人員。

第十三條  應(yīng)急支援。發(fā)生Ⅱ級(jí)以上（含Ⅱ級(jí)）網(wǎng)絡(luò)與信息安全事件，應(yīng)當(dāng)立即成立由國(guó)家林業(yè)局信息辦主要負(fù)責(zé)人帶隊(duì)的應(yīng)急處置小組，督促、指導(dǎo)、協(xié)調(diào)應(yīng)急處置工作；發(fā)生Ⅱ級(jí)以下級(jí)別網(wǎng)絡(luò)與信息安全事件，應(yīng)當(dāng)立即成立由國(guó)家林業(yè)局信息辦分管負(fù)責(zé)人帶隊(duì)的應(yīng)急處置小組，督促、指導(dǎo)、協(xié)調(diào)應(yīng)急處置工作。應(yīng)急處置小組根據(jù)事態(tài)發(fā)展和處置工作需要，及時(shí)聯(lián)系專家小組和應(yīng)急支援單位，并有權(quán)臨時(shí)調(diào)動(dòng)系統(tǒng)內(nèi)必要的物資、設(shè)備，開(kāi)展應(yīng)急支援。

第十四條  善后處理。應(yīng)急處置工作結(jié)束后，要迅速組織搶修受損設(shè)施，減少損失，盡快恢復(fù)正常工作；對(duì)事件造成的損失和影響進(jìn)行分析評(píng)估；調(diào)查事故原因，制定恢復(fù)重建計(jì)劃并組織實(shí)施。
 

第五章  保障措施
 

第十五條  應(yīng)急隊(duì)伍保障。國(guó)家林業(yè)局信息辦要組建網(wǎng)絡(luò)與信息安全應(yīng)急處置隊(duì)伍（包括安全分析員、應(yīng)急響應(yīng)人員、災(zāi)難恢復(fù)人員等），制定相應(yīng)培訓(xùn)和演練計(jì)劃，提高應(yīng)對(duì)網(wǎng)絡(luò)與信息安全事件的能力。

第十六條  設(shè)備保障。根據(jù)工作需要，及時(shí)采購(gòu)應(yīng)急處置工作必需的設(shè)備或工具軟件；加強(qiáng)應(yīng)急處置工具及設(shè)備維護(hù)調(diào)試，保證其隨時(shí)處于可用狀態(tài)；跟蹤最新技術(shù)發(fā)展動(dòng)態(tài)，及時(shí)收集、整理文件完整性檢測(cè)工具、木馬/后門檢測(cè)工具等；及時(shí)更新病毒庫(kù)、脆弱性評(píng)估系統(tǒng)插件庫(kù)等。

第十七條  數(shù)據(jù)保障。重要信息系統(tǒng)應(yīng)當(dāng)建立備份系統(tǒng)和相關(guān)工作機(jī)制，保證重要數(shù)據(jù)受到破壞后可緊急恢復(fù)。各容災(zāi)備份系統(tǒng)應(yīng)當(dāng)具有一定兼容性，在特殊情況下各系統(tǒng)之間互為備份。

第十八條  技術(shù)資料保障。全面的技術(shù)資料是高效應(yīng)急處置的前提和基礎(chǔ)。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、重要系統(tǒng)或設(shè)備的型號(hào)及配置、主要設(shè)備廠商信息等技術(shù)資料，應(yīng)當(dāng)建立專門技術(shù)檔案，并及時(shí)更新，保證與實(shí)際系統(tǒng)相一致。
 

第六章  罰 則
 

第十九條  對(duì)違反本辦法的行為，國(guó)家林業(yè)局將給予相關(guān)單位或人員通報(bào)批評(píng)。造成失泄密或重大事故的，將依據(jù)國(guó)家有關(guān)法律法規(guī)和有關(guān)規(guī)定追究有關(guān)領(lǐng)導(dǎo)和人員的責(zé)任。
 

第七章  附 則
 

第二十條  本預(yù)案由國(guó)家林業(yè)局信息辦負(fù)責(zé)解釋。

第二十一條  本預(yù)案自印發(fā)之日起實(shí)施。

本文鏈接：http://www.dyerandpostasalon.com/law/9259.html

本文關(guān)鍵詞： 林辦發(fā)〔2010〕185號(hào), 國(guó)家林業(yè)局, 網(wǎng)絡(luò)信息安全, 應(yīng)急處置, 預(yù)案, 全文