網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案資料

1、網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案一、工作原則（一）預(yù)防為主、綜合防范。立足安全防護，加強預(yù)警，重 點保護基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，抓好預(yù)防、監(jiān)控、應(yīng) 急處理、應(yīng)急保障等環(huán)節(jié)，構(gòu)筑網(wǎng)絡(luò)與信息安全保障體系。（二）明確責(zé)任、分級負(fù)責(zé)。按照“誰主管誰保障，誰保障 誰處置，誰處置誰報告”的原則，建立和完善組織機構(gòu)，明 確職責(zé)分工，有效履行保障和應(yīng)對網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件 的職責(zé)。（三）迅速處置，事后整改。按照快速反應(yīng)機制，及時獲取 充分而準(zhǔn)確的信息，跟蹤研判，果斷決策，迅速處置，最大 程度地減少危害和影響。事后要剖析原因，總結(jié)教訓(xùn)，形成 長效機制，實現(xiàn)網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急處置工作的科 學(xué)化、程序化與規(guī)范化

2、。二、組織機構(gòu)和工作職責(zé)信息安全領(lǐng)導(dǎo)小組（以下簡稱領(lǐng)導(dǎo)小組）是我局網(wǎng)絡(luò)與信息安全應(yīng)急處置的組織協(xié)調(diào)機構(gòu)，負(fù)責(zé)領(lǐng)導(dǎo)、協(xié)調(diào)應(yīng)急處置工作。其工作職責(zé)是：確認(rèn)是否達到應(yīng)急情況標(biāo)準(zhǔn)；視情況嚴(yán)重程度，協(xié)調(diào)相關(guān)部門開展技術(shù)保障、辦稅服務(wù)廳涉稅業(yè)務(wù)應(yīng)急處理、 發(fā)布稅收征管信息、 涉稅輿情監(jiān)控與處理等事項。三、事件分級根據(jù)信息安全事件造成后果的嚴(yán)重程度，稅務(wù)系統(tǒng)信息安全事件可劃分為 5 個等級，其中 1 級危害程度最高， 5 級危害程度最低，各級網(wǎng)絡(luò)與信息安全事件的描述如下：級網(wǎng)絡(luò)與信息安全事件：災(zāi)難性安全事件。造成稅務(wù)信息系統(tǒng)的業(yè)務(wù)癱瘓、對稅務(wù)系統(tǒng)的利益或社會公共利益有災(zāi)難性的影響或危害。級網(wǎng)絡(luò)與信息安全事件

3、：特別重大安全事件。造成稅務(wù)信息系統(tǒng)的業(yè)務(wù)停頓、對稅務(wù)系統(tǒng)利益或社會公共利益有極其嚴(yán)重的影響或危害。級網(wǎng)絡(luò)與信息安全事件：重大安全事件。造成稅務(wù)信息系統(tǒng)的業(yè)務(wù)中斷、影響系統(tǒng)效率、對稅務(wù)系統(tǒng)利益或社會公共利益有較為嚴(yán)重的影響或危害。級網(wǎng)絡(luò)與信息安全事件：較大安全事件。造成稅務(wù)信息系統(tǒng)的業(yè)務(wù)短暫停頓但可立即修復(fù)、對稅務(wù)系統(tǒng)利益或社會公共利益有一定的影響或危害。級網(wǎng)絡(luò)與信息安全事件：一般安全事件。造成稅務(wù)信息系統(tǒng)的效率受到輕微影響、對稅務(wù)系統(tǒng)利益或社會公共利益基本不影響或危害極小。級和 3 級以上的網(wǎng)絡(luò)與信息安全事件統(tǒng)稱為重大網(wǎng)絡(luò)與信息安全事件。四、應(yīng)急預(yù)案的啟動（一）事件發(fā)現(xiàn)、初判和上報對于初判為

4、 4 級和 4 級以上網(wǎng)絡(luò)與信息安全事件，在事件發(fā)生后應(yīng)及時上報市局信息安全領(lǐng)導(dǎo)小組，并填寫網(wǎng)絡(luò)與信息安全事件報告表 。重大網(wǎng)絡(luò)信息安全突發(fā)事件必須實行態(tài)勢進程報告和日報告制度。報告內(nèi)容主要包括信息來源、 影響范圍、事件性質(zhì)、事件發(fā)展趨勢和采取的措施等。（二）啟動應(yīng)急預(yù)案當(dāng)發(fā)生網(wǎng)絡(luò)安全與信息系統(tǒng)事件時，應(yīng)立即啟動應(yīng)急預(yù)案， 根據(jù)具體情況進行相應(yīng)的應(yīng)急處置。若影響到業(yè)務(wù)正常開展， 由信息安全領(lǐng)導(dǎo)小組協(xié)調(diào)相關(guān)部門進行聯(lián)合處理。五、應(yīng)急處置（一）局域網(wǎng)中斷的應(yīng)急處置. 局域網(wǎng)中斷后，應(yīng)立即判斷故障節(jié)點，查明故障原因，并 向領(lǐng)導(dǎo)小組匯報。.如屬線路故障，對線路進行搶修和恢復(fù)。.如屬交換機等網(wǎng)絡(luò)設(shè)備故障

5、，應(yīng)立即從指定位置提取備用 設(shè)備替換安裝，并調(diào)試通暢。.如屬配置文件被破壞， 應(yīng)重新拷入已備份的配置文件或按照要求迅速重新配置，必要時聯(lián)系設(shè)備供應(yīng)商。（二）廣域網(wǎng)中斷的應(yīng)急處置. 廣域網(wǎng)中斷后，值班人員應(yīng)迅速判斷故障節(jié)點，查明故障原因， 同時向領(lǐng)導(dǎo)小組匯報。 如故障范圍限于單位內(nèi)部范圍，技術(shù)人員應(yīng)立即予以恢復(fù)；如有困難，請上級部門支持和技術(shù)公司幫助。.如屬路由器等網(wǎng)絡(luò)設(shè)備故障，應(yīng)立即從指定位置提取備用設(shè)備替換安裝，并調(diào)試通暢。.如發(fā)生光路設(shè)備和線路故障，應(yīng)立即與運營商維護部門聯(lián)系，盡快進行搶修恢復(fù)，必要時聯(lián)系相關(guān)單位聯(lián)合處理。.如發(fā)生辦稅延伸點線路故障，必要時應(yīng)聯(lián)系物業(yè)所屬單位聯(lián)合處理。（三）

6、病毒入侵的應(yīng)急處置. 發(fā)現(xiàn)服務(wù)器操作系統(tǒng)有重大漏洞或感染病毒，應(yīng)立即追加補丁，啟用反病毒軟件對該機進行殺毒處理，同時通過病毒檢測軟件對其他機器進行病毒掃描和清除工作。.對該設(shè)備的硬盤進行數(shù)據(jù)備份。.如果現(xiàn)行反病毒軟件無法清除該病毒，應(yīng)立即向領(lǐng)導(dǎo)小組匯報，并迅速聯(lián)系有關(guān)產(chǎn)品廠商研究解決。（四）黑客攻擊的應(yīng)急處置. 當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)被非法入侵、網(wǎng)頁內(nèi)容被篡改、應(yīng)用服務(wù)器上的數(shù)據(jù)被非法拷貝、修改、刪除，或通過入侵檢測系統(tǒng)發(fā)現(xiàn)有黑客正在進行攻擊時，使用者或管理者應(yīng)立刻斷開網(wǎng)絡(luò)，并立即向領(lǐng)導(dǎo)小組匯報。.采取關(guān)閉網(wǎng)絡(luò)、封鎖或刪除被攻破的登陸帳號等方式，阻斷可疑用戶進入網(wǎng)絡(luò)的通道。.及時清理系統(tǒng)， 恢復(fù)數(shù)據(jù)和程序

7、， 將系統(tǒng)和網(wǎng)絡(luò)恢復(fù)正常。.經(jīng)應(yīng)急處置后，事態(tài)難以控制或有擴大發(fā)展趨勢時，應(yīng)實施擴大應(yīng)急行動。應(yīng)急處置和緊急支援的單位，要及時增加應(yīng)急處置力量， 加強工作協(xié)調(diào)， 努力控制事態(tài)的擴大和發(fā)展。.追查非法攻擊和病毒來源。妥善保存有關(guān)記錄及日志和審計記錄，對現(xiàn)場進行分析，并寫出分析報告存檔，向領(lǐng)導(dǎo)小組匯報。事態(tài)嚴(yán)重的，要向公安部門報警。（五）省局集中信息系統(tǒng)的應(yīng)急處置. 檢查省局到市局、市局到區(qū)縣局廣域網(wǎng)絡(luò)是否故障，如果故障，按照廣域網(wǎng)中斷的應(yīng)急處置辦法處理。.如果確定是信息系統(tǒng)故障，先查看省局運維系統(tǒng)有無關(guān)于該系統(tǒng)故障的最新通知公告， 如果沒有， 則將故障發(fā)生時間、故障現(xiàn)象等上報省局信息中心，并及時

8、通知相關(guān)業(yè)務(wù)部門。（六）市局集中信息系統(tǒng)的應(yīng)急處置本應(yīng)急處置辦法主要針對我局集中的面向納稅人的重要信息系統(tǒng)，包括：一戶通扣款、社會化辦稅平臺、網(wǎng)上認(rèn)證、網(wǎng)上抄稅等系統(tǒng)。. 遇到系統(tǒng)斷電或服務(wù)不能響應(yīng)時，應(yīng)首先確認(rèn)前置機、應(yīng)用服務(wù)器、 數(shù)據(jù)庫服務(wù)器是否正常。 如果異常， 重啟虛擬機，重啟后故障還存在，則啟動備份虛擬機。對于一戶通系統(tǒng)， 應(yīng)啟用備份前置機，并聯(lián)系清算中心確定清算中心系統(tǒng)是否 正常。.檢查中間件運行狀態(tài)，如果有故障，重啟中間件服務(wù)。.檢查數(shù)據(jù)庫狀態(tài)，如果有故障，重啟數(shù)據(jù)庫服務(wù)，如果重 啟后故障還存在，則重建數(shù)據(jù)庫系統(tǒng)，利用最新備份數(shù)據(jù)作 數(shù)據(jù)恢復(fù)，并應(yīng)測試前臺業(yè)務(wù)是否正常。.檢查網(wǎng)絡(luò)

9、線路是否正常，包括廣域網(wǎng)絡(luò)、電信和網(wǎng)通外網(wǎng) 接入線路。對于一戶通系統(tǒng)，應(yīng)檢查一戶通前置機至清算中 心的網(wǎng)絡(luò)線路是否正常。對于社會化辦稅平臺，應(yīng)檢查部署 在省局的網(wǎng)絡(luò)發(fā)票服務(wù)器的網(wǎng)絡(luò)發(fā)票號獲取是否正常。. 網(wǎng)絡(luò)問題排除后故障仍然存在的，應(yīng)立即聯(lián)系技術(shù)公司技 術(shù)人員提供現(xiàn)場技術(shù)支持。（七）主機故障的應(yīng)急處置. 定期做好重要信息系統(tǒng)虛擬機克隆備份，在發(fā)生故障后， 如確定是虛擬機本身問題，比如操作系統(tǒng)無法啟動、系統(tǒng)藍屏等，應(yīng)立即啟動備份虛擬機。.如果服務(wù)器主機發(fā)生故障時虛擬機能正常訪問，應(yīng)將虛擬機遷移到其它主機（注意監(jiān)控主機資源使用情況，在資源緊張的情況下，暫時關(guān)閉非重要虛擬機，保證重要信息系統(tǒng)正常運

10、行） 。如果服務(wù)器主機發(fā)生故障時虛擬機不能正常訪問，應(yīng)在其它主機上找到存儲分區(qū)中該虛擬機對應(yīng)的后臺文件后加載啟動。.在主存儲發(fā)生故障后，應(yīng)立即斷開數(shù)據(jù)同步服務(wù)，啟用備用存儲，及時聯(lián)系硬件廠商獲得技術(shù)服務(wù)，協(xié)同配合直至問題解決。.服務(wù)器故障后，應(yīng)立即根據(jù)服務(wù)器故障指示燈進行初步判斷。 在服務(wù)器硬件正常的情況下， 盡快做好系統(tǒng)軟件的恢復(fù)，或重新安裝之后再進行應(yīng)用軟件和數(shù)據(jù)恢復(fù)。故障排除后，應(yīng)按照操作規(guī)程開啟系統(tǒng)，并應(yīng)測試前臺業(yè)務(wù)是否正常。.如硬件故障無法解決，應(yīng)立即聯(lián)系相關(guān)廠商和技術(shù)支持，請求援助分析故障原因，若經(jīng)設(shè)備廠商或技術(shù)支持認(rèn)定是硬件損壞，則根據(jù)維保合同進行保修或維修。（八）機房斷電的應(yīng)急

11、處置. 必須斷電處理的情況，向各部門通告。.查詢斷電時間、何時恢復(fù)等，關(guān)掉非關(guān)鍵設(shè)備，確保關(guān)鍵設(shè)備供電。.監(jiān)控UPS供電情況，隨時注意檢查尚在運行的計算機設(shè)備 和機房室溫。.做好關(guān)機準(zhǔn)備， 預(yù)留相應(yīng)的關(guān)機時間， 到時供電沒有恢復(fù)，按正常流程全部關(guān)閉計算機等設(shè)備。.最后關(guān)閉 UPS 電源，關(guān)閉各空開，和電力相關(guān)單位溝通，合作盡快修復(fù)。（九）機房斷電后恢復(fù)供電的處置. 恢復(fù)機房內(nèi)空調(diào)。.檢查空調(diào)機啟動運行情況。.確認(rèn)供電是否穩(wěn)定、正常等。.開啟UPS恢復(fù)供電前，首先確認(rèn)各設(shè)備的電源處于下電狀 態(tài)，以防止加電對設(shè)備的沖擊。.供電正常后，打開電力柜的總控開。根據(jù)設(shè)備加電順序，啟動分項控開。.啟動計算機

12、、數(shù)據(jù)庫及各項應(yīng)用程序。.在一段時間內(nèi)， 注意檢查 UPS 指示、 空調(diào)機運行、 機房溫 度等與斷電有關(guān)的設(shè)備運行情況，做出記錄。（十）機房漏水的應(yīng)急處置. 發(fā)現(xiàn)機房漏水后的第一目擊者應(yīng)立即向領(lǐng)導(dǎo)小組報告。.若空調(diào)系統(tǒng)出現(xiàn)滲漏水應(yīng)立即停止運行故障空調(diào)，將機房內(nèi)的積水清除干凈并及時聯(lián)系設(shè)備供應(yīng)方進行處理，必要情況下可以臨時用電扇對服務(wù)器進行降溫。.若為墻體或窗戶滲漏水應(yīng)立即通知服務(wù)中心及時清除積水進行墻體或窗戶維修，避免不必要的損失。（十一）機房發(fā)生火災(zāi)的應(yīng)急處置. 火情發(fā)生時，立即組織機房內(nèi)工作人員撤離機房區(qū)域，并關(guān)閉機房區(qū)域的所有房門。.同時通過 119 電話報警， 盡快確定火情的真?zhèn)魏途唧w

13、位置。.立即通知局消防中控值班室。.與消防中控人員共同對火情進行再次確認(rèn)。. 由消防中控人員決定是否啟動滅火系統(tǒng)。.配合相關(guān)部門做好其他善后工作。.總結(jié)事故原因及經(jīng)驗教訓(xùn)，杜絕隱患。（十二）設(shè)備發(fā)生被盜或人為損害的應(yīng)急處置. 發(fā)生設(shè)備被盜或有人為損害設(shè)備情況時，使用者或管理者應(yīng)立即報告領(lǐng)導(dǎo)小組，同時保護好現(xiàn)場。.領(lǐng)導(dǎo)小組接報后通知安全保衛(wèi)部門及公安部門一同核實審定現(xiàn)場情況，清點被盜物資或盤查人為損害情況，做好必要的影像記錄和文字記錄。.事件當(dāng)事人應(yīng)當(dāng)積極配合公安部門進行調(diào)查，并將有關(guān)情況向領(lǐng)導(dǎo)小組匯報。六、后期處置在應(yīng)急處置工作結(jié)束后，應(yīng)組織有關(guān)人員迅速采取措施，抓緊搶修，減少損失，盡快恢復(fù)正

14、常工作，統(tǒng)計各種數(shù)據(jù)，查清事件發(fā)生的原因及危害情況，總結(jié)經(jīng)驗教訓(xùn)，填寫信息安全事件應(yīng)急響應(yīng)結(jié)果報告表 ，對 4 級以上事件，報上級信息安全領(lǐng)導(dǎo)小組。對調(diào)查中發(fā)現(xiàn)的薄弱環(huán)節(jié)進行整改，預(yù)防類似事件再次發(fā)生。七、保障措施應(yīng)急隊伍保障加強應(yīng)急人才隊伍建設(shè)，組織開展網(wǎng)絡(luò)與信息安全宣傳教育與培訓(xùn)，確保應(yīng)急處置人員熟悉應(yīng)急處置工作流程，并具備應(yīng)急工作必要的技術(shù)能力，以滿足應(yīng)急工作的要求。每年至少組織一次應(yīng)急演練，通過演練發(fā)現(xiàn)應(yīng)急處理過程中出現(xiàn)的問題，不斷完善應(yīng)急預(yù)案，提高應(yīng)急處置的能力和水平。（二）應(yīng)急設(shè)備保障各重要網(wǎng)絡(luò)與信息系統(tǒng)在建設(shè)時應(yīng)事先預(yù)留一定的應(yīng)急設(shè)備， 建立信息網(wǎng)絡(luò)硬件、 軟件、 應(yīng)急救援設(shè)備等應(yīng)急物資庫。主要網(wǎng)絡(luò)設(shè)備應(yīng)有備用機，并存放在指定位置。網(wǎng)絡(luò)管理員要熟悉網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，機房設(shè)備要標(biāo)清線路走向，配置好備用機。（三）數(shù)據(jù)保障重要信息系統(tǒng)均應(yīng)建立異地容災(zāi)備份系統(tǒng)和相關(guān)工作機制，保證重要數(shù)據(jù)在受到破壞后，可緊急恢復(fù)。