吕梁机场网络信息系统突发事件应急预案 1 总则
1.1 编制目的
为了规范吕梁机场网络信息应急处理程序和内容,提高网络信息化队伍的应急处置能力,科学应对网络信息系统突发事件,有效预防、及时控制和最大限度消除网络信息系统突发事件造成的危害和影响,完善网络信息系统应急机制,确保吕梁机场日常工作的正常安全,特制订本应急预案。 1.2 指导思想和原则
应急处置应按照“积极防御,严格控制,防控并重”的原则。在认真做好日常网络信息管理、运维和监督的基础上,应急队伍充分做好突发情况下的网络信息系统的应急处置准备,健全防控措施,完善处置机制,加强应急演练,做到事件处置统一领导、职责明确、信息通畅、处置果断、规范有序、反应灵敏、保障到位。 1.3 编制依据
《中华人民共和国电信条例》 《国家通信保障应急预案》
《中华人民共和国计算机信息系统安全保护条例》 《计算机病毒防治管理办法》
《山西省人民政府办公厅关于制订和完善突发公共事件应急预案的通知》(晋政办发„2007‟46号)
《山西省人民政府突发公共事件应急预案体系建设制度》 《山西省突发事件应急预案管理办法》
1 《山西省民航机场集团公司(管理局)突发公共事件应急总体预案》
《山西省民航机场集团公司预案编制工作会议纪要》(„2010‟1次)以及信息安全等级保护相关规定等 1.4 适用范围
本预案适用于吕梁机场网络信息系统,在日常运维中由于系统软硬件故障、水电暖等能源供应故障、人为操作差错及驻场单位关联网络信息系统故障等原因造成的对吕梁机场生产运营产生不良影响网络信息系统突发故障事件。 2 预案体系和管理 2.1 预案体系
本预案囊括了吕梁机场网络信息体统的子预案组成,子预案定期进行修订及完善。子预案具体有:
《办公自动化系统应急预案》《安检信息系统应急预案》 2.2 预案管理
本预案编制内容包括了预案的目的、依据、适用范围、应急事件类别和原则、指导思想和原则。
包括了预案的体系构架,明确了领导机构和职责,以及日常办事机构。
明确了预案的预警和发布,以及应急事件的分级管理和处置,各级保障部门的职责和保障流程。
强调了应急的事后处置工作,日常应急培训工作,应急演练的相关规定,加强了应急队伍的建设工作。
2 系统地完善了制定了预案,注重与其他应急预案对接等的相关作。 3 组织机构及职责 3.1 领导机构
为全面管理网络信息应急工作,吕梁机场设立网络信息安全领导小组,负责网络信息突发事件处置工作的信息事件总体指挥协调工作。
组 长:吕梁机场副总经理 副组长:综合办公室主任 成 员:网络信息系统负责人 3.2 工作机构
网络信息安全领导小组办公室设在吕梁机场综合办公室,由综合办公室主任负责贯彻执行领导小组的决定;负责突发事件应急处置的指导协调、监督检查、组织实施等工作;负责对突发事件政令的上传下达工作,负责应急救援问题的调查研究、起草文件、预案修订、承办会议等工作;负责组织、指导和检查吕梁机场专项应急预案的修订工作;负责督促落实和检查指导吕梁机场组织实施的网络信息预案演练工作;负责收集应急信息进行分析、评估和报送工作;负责与应急单位的联络协调工作;负责领导小组交办的其他工作。 3.3 现场指挥机构及职责 3.3.1 领导小组
领导小组接到突发事件报告后,负责进行事件处置的全面动员工作。对物资需求、人员需求、信息传达、对外公布等工作指挥调度各有关单位分工落实。
3 领导小组负责确定大纲方针,信息决策。对突发事件处置进行总体把握和指导,下达最终意见和要求,起到导向性的作用。对突发事件之后,对上报的总结材料、自查报告具有最终处置意见。 领导小组汇总审核对外的信息公布工作。 3.3.2 领导小组办公室
领导小组办公室接到突发事件通报后,立即赶赴事件现场,协助信息单位做好事件处置工作,并及时向领导小组汇报处置工作的进展情况。
领导小组办公室执行好领导小组意见和要求,并进一步督查执行情况,督促执行力度。执行好信息单位汇报材料的审核上报工作。
领导小组办公室按照领导小组要求,事后组织总结会议。做好事件的调研、责任分清、经验总结工作。形成材料上报领导小组,经批准进一步上报山西省民航机场集团公司信息管理部或民航山西监管局。
领导小组办公室做好突发事件后的安全检查工作,查出隐患督促整改,负责接待监管单位审查的接洽工作。经领导小组审批,负责对外发布突发事件信息。 3.3.3 综合办公室
按照领导小组的要求,做好与地方政府、各厅级单位及驻场有关单位的外联工作。 3.3.4 应急管理部
按照领导小组的要求,协助信息单位做好应急处置、应急演练工作。
4 3.3.5 综合保障部
按照领导小组的要求,提供必要的物资调配支持,协助进行突发事件处置。
3.3.6 公安分局、安检站
按照领导小组的要求,做好维持秩序,现场治安工作。 3.3.7 各有关单位
按照领导小组的要求,做好人员、物资、交通、通讯等设施设备保障工作。
3.3.8 信息使用单位
按照领导小组的要求,履行信息应急预警、处置、报送、总结等实施工作。 4 应急基本程序
4.1 预测、预警机制及先期处置 4.1.1 危险源分析及预警级别划分
一、危险源分析
根据网络与信息安全突发公共事件的发生过程、性质和机理,网络与信息安全突发公共事件主要分为以下三类:
(1)自然灾害。指地震、台风、雷电、火灾、洪水等引起的网络与信息系统的损坏。
(2)事故灾难。指电力中断、网络损坏或是软件、硬件设备故障等引起的网络与信息系统的损坏。
(3)人为破坏。指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息系统的损坏。
二、预警级别划分
(1)预警级别划分
根据预测分析结果,预警划分为四个等级:Ⅰ级(特别严重)、Ⅱ级(严重)、Ⅲ级(较重)、Ⅳ级(一般)。
Ⅰ级(特别严重):因特别重大突发公共事件引发的,有可能造成整个公司互联网通信故障或大面积骨干网中断、通信枢纽设备遭到破坏或意外损坏等情况,及需要通信保障应急准备的重大情况;通信网络故障可能升级为造成整个公司互联网通信故障或大面积骨干网中断的情况。网络信息机房发现火情或其他重大自然灾害或存在重大自然灾害隐患的。
Ⅱ级(严重):因重大突发公共事件引发的,有可能造成公司多个下属单位网络通信中断或某个重要业务系统瘫痪,及需要通信保障应急准备的情况;通信网络故障可能升级为造成公司多个下属单位网络通信中断或某个重要业务系统瘫痪的情况。
Ⅲ级(较重):因较大突发公共事件引发的,有可能造成公司某个下属单位所属网络通信故障的情况;通信网络故障可能升级为造成公司某个下属单位所属网络通信故障的情况。
Ⅳ级(一般):因一般突发公共事件引发的,有可能造成局域网内某个交换点所属局部网通信故障(不影响正常一般通信)的情况。 4.1.2 预防机制
网络信息安全领导小组应加强对各级通信保障机构及全网通信网络安全防护工作和应急处置工作的监督检查,保障通信网络的安全畅通。
6 4.1.3 预警监测
各重要信息系统负责人和主管要进一步完善网络与信息安全突发公共事件监测、预测、预警制度。要落实责任,制定本单位信息通报工作制度。按照“早发现、早报告、早处置”的原则,加强对各类网络与信息安全突发公共事件和可能引发网络与信息安全突发公共事件的有关信息的收集、分析判断和持续监测。 4.1.4 先期处置
当发生网络与信息安全突发公共事件时,发现事故的人员在按规定向相关系统管理员报告的同时,及时向网络信息安全领导小组相关领导报告。负责人员在接手事故报告后要向网络信息安全领导小组进行应急工作进程报告和事故分析报告。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。 4.2 预警和发布
4.2.1 信息单位实时监控信息系统的运行状况,当突发事件发生后,值班人员接到故障通知后,及时上报本部门值班领导。 4.2.2 信息单位值班领导根据应急事件分级启动相应的预案流程并进行处置,并形成逐级报告的预警和发布机制。对会造成行业恶劣影响的敏感信息突发事件,应提前向领导小组及办公室提交预警信息。
4.2.3 领导小组按照突发事件的级别(2-5级以上),统一进行预警信息发布,按照突发事件级别确保准确地将预警信息通知到相关部门人员,信息内容切实有效,紧急程度准确无误。信息单位实时做好事件发生、事态发展等的上报工作。
7 4.2.4 信息管理部按照要求,统一思想、核查分析,做好对外上报的信息发布工作,对外通报经领导小组审核,完成报送职责。 4.2.5 各单位接到预警信息后,按照领导小组要求做好应急准备工作,避免对突发事件估计不足造成应急救援不力现象发生。 4.2.6 任何单位和个人不得编造、传播虚假信息,未经吕梁机场批准不得对外进行信息发布工作。
4.2.7 预警信息发布内容:地点、时间、事由、级别、上报部门、联系电话、处置部门等。 4.3 应急处置
4.3.1 信息单位值班人员实时监控信息系统的运行状况,及时发现突发情况。当突发事件发生后,值班人员接到故障通知后,迅速赶赴故障发生现场进行排故工作,同时上报部门值班领导。
4.3.2部门值班领导在接到上报后,立即到达岗位,督促信息维护、故障排除等工作。如果故障在规定时限内不能够排除,立即宣布开启应急预案,按照预案对事故定级、通报、处置。并及时协调各有关保障单位,同时报领导小组、领导小组办公室。
4.3.3 信息单位负责人接到领导小组通知后,按照应急预案要求,立即到达岗位。履行部门负责人职责,进行现场排故监督,及时协调各有关单位,争取各单位有力配合。
4.3.4 信息单位在执行应急预案的同时,要遵照领导小组、领导小组办公室的意见和要求,进行事件处置。严格执行上级下达的指示和要求,确保命令畅通、执行有力。
8 4.3.5 信息单位履行事件处置的阶段性材料报送工作,要做到处置期间有口头报送,处置完毕要履行包括事件、处置、结果、人员职责、经验总结等内容的材料报送,向领导小组、领导小组办公室报送。未经领导小组及办公室允许,严禁私自对外包括媒体、公众、内部等进行信息通报公开。
4.3.6 按照领导小组要求,其他有关单位要做好应急处置的配合协调工作,保证信息突发事件的处置工作能够顺利完成。 4.4 信息通报与沟通
4.4.1 信息单位值班人员接到信息系统运行异常通知后,第一时间赶赴现场进行维护,并同时报告部门值班领导
4.4.2 部门值班领导及时到位,督促信息维护、故障排除工作。对不能立即维护的故障,及时协调各有关单位,立即启动应急预案,并报领导小组、领导小组办公室。
4.4.3 领导小组、领导小组办公室接到运行故障通知,第一时间到达现场对信息系统的运作、维护、处置情况进行监督和调查,做好督查指导工作。事后进一步查找原因、分清职责、落实责任、积极整改。 4.4.4 领导小组、领导小组办公室及时上报吕梁机场,吕梁机场全面调控人力、物力等资源,指挥各单位进行应急事件的处置工作。 4.4.5 信息事件造成事故的,在事故发生10分钟内及时电话上报领导小组,并1小时内以书面材料上报领导小组。经领导小组审核后,按照要求,报告民航山西监管局、民航华北局。
4.4.6 信息事件造成事故或事故征候的,各信息单位应及时通知信息管理部,不得擅自进行信息发布和扩散,并由信息管理部上报领导
9 小组,按照要求进行处理。
4.4.7 信息管理部做好与民航上级部门、地方政府以及集团公司关于信息系统事故的通报工作,做好民航上级部门、地方政府、集团公司意见和要求的传达和督促工作。 5 应急响应
5.1应急处置分级和应急处置程序 5.1.1应急处置分级和应急处置程序
突发事件发生时应急通信保障工作和通信恢复工作,按照快速、机动、灵活的原则,根据响应的预警级别分别进行处置。
Ⅰ级:突发事件造成全公司通信故障或大面积骨干网中断、通信枢纽设备遭到破坏等情况以及接到公司下达的通信保障任务,由网络信息安全领导小组负责组织和协调。各负责人员要迅速准确的定位故障源,如果是核心设备故障要及时切换到备用核心设备上并测试调通;如果是骨干网物理链路故障要第一时间通知相关部门(通信公司)进行抢修并切换到备用线路上测试调通。面对黑客攻击或恶意破坏等人为造成的网络故障,要及时通知公安机关,同时采取紧急行动如切断数据源等将损失控制在最小范围。对于发现的重大自然灾害隐患时,要及时汇报网络信息安全领导小组并迅速通知消防局等相关部门,准备好临时处理灾情需要用到的工具。
火灾属于常见灾情,发现火情后按如下步骤处置:
(1) 发现火情要立即切断电源,值班员及时应用消防器材进行处理。 (2) 立即上报领导,同时做好事故处理记录。
(3) 如切断电源并使用消防器灭火都不能控制火情,要及时报警(机
10 场火警电话:3711119),报警时要准确说清火灾的地点和火灾状况,并留下联系电话。
(4) 出现危急情况要利用各种手段及时逃生。
Ⅱ级:突发事件造成公司多个下属单位网络通信中断或接到公司有关部门下达的通信保障任务时,由网络信息安全领导小组负责组织和协调。各负责人员要迅速准确的定位故障源,如果是关键部位网络设备故障要及时切换到备用设备上并测试调通;如果是骨干网物理链路故障要第一时间通知相关部门(通信公司)进行抢修并切换到备用线路上测试调通。具体应急措施见《安全防范和应急处置措施》。
Ⅲ级:突发事件造成公司某个下属单位所属网络通信故障时,由相关负责人进行恢复故障处理,如有需要可要求该单位主管进行配合,同时及时报告工作进程给网络信息安全领导小组。
Ⅳ级:突发事件造成局域网内某个交换点所属局部网通信故障(不影响正常一般通信)时,由相关负责人进行恢复故障处理并做好故障处理记录。
5.1.2应急保障任务结束
事故现场得以控制,网络环境符合有关标准,导致次生、衍生事故隐患消除后可确认网络通信保障和通信恢复应急工作任务完成。由网络信息安全领导小组下达解除任务通知,任务正式结束。 5.1.3调查、处理、后果评估与监督检查
网络信息安全领导小组负责对重大通信事故原因进行调查、分析和处理,对事故后果进行评估,并对事故责任处理情况进行监督检查。
11 5.1.4信息发布
网络信息安全领导小组负责有关信息的发布工作。 5.1.5通讯
在突发事件的应急响应过程中,要确保应急处置系统内部机构之间的通信畅通。通信联络方式主要采用固定电话、移动电话、卫星电话、传真等。
5.2 基本应急程序
在发生信息突发事件时,应急领导小组成员第一时间报告领导小组组长,以及领导小组办公室,同时与相关支持单位联系,获得必要的支持。在突发事件发生后,根据级别启动应急预案,展开应急处置。 5.2.1 预案启动
在发生Ⅱ级(包括)以上安全突发事件,应急处置单位按照应急响应流程,启动应急预案,最大可能收集事件相关信息,鉴别事件性质,确定事件来源,以确定事件影响范围和评估事件带来的影响和损害,确认为信息突发事件后,对事件进行定级和上报。并由领导小组负责应急处理协调工作。相关单位启动相关子预案。 5.2.2 应急处理
确认阶段,初步确定应急处理方式,确定是否存在针对该事件的预案,如有,则启动应急预案。
遏制阶段,及时采取行动遏制事件发展,限制潜在的损失和破坏,同时要采取积极措施,使危害降到最低。
根除阶段,在事件被遏制之后,通过对有关事件或行为的分析结果,找出事件根源,明确相应的补救措施,彻底消除安全隐患。
12 恢复和跟踪阶段,在确保安全问题解决后,要及时清理系统、恢复数据、程序、服务;恢复工作应避免因出现错误操作而导致新的问题;严守国家机密;问题解决后,要加强宣传学习,公布危害性和解决办法,避免产生社会负面影响。 5.2.3 应急支援
接到领导小组命令后,应急队伍立即赶赴现场,听从指挥组织开展处置工作;
如需备品备件及应急物资、应急装备,上报应急保障需求,经领导小组同意后,相关单位调拨相关物资进行应急保障;
各相关单位按照领导小组要求做好应急保障准备工作。
当采取一般应急处置措施仍无法控制事态时,要迅速研究采取有利于控制事态的非常措施,并向有关的技术部门、应急部门请求支援。 5.3 医疗救护
在突发事件发生后,如需医疗救护,医务室人员根据领导小组的指令,立即赶赴现场进行救护作业。 5.4 应急人员的安全防护程序
应急人员应急操作行为,严格按照各相关子应急预案、系统指导手册、操作规程等进行。实施持证上岗、经验丰富者优先上岗的原则,杜绝违规操作,杜绝损坏设施设备、违反安全操作规程的行为和情况的发生,最大化确保设施设备的安全,确保应急人员的安全。 5.5 事态检测与评估程序
在预案启动、确认、遏制、根除、恢复和跟踪等各处理阶段,网络信息安全领导小组办公室持续落实好监督和评估工作。对处置事态分
13 阶段开展检测工作,及时查找和督促,对不足之处及时进行提醒有关单位进行完善和落实,确保应急处置流程正常有序进行,使得处置效果在预期范围之内。并将检测事宜纳入到应急处置的评估体系当中,有助于事后进一步完成应急预案的修订和改进工作。 5.6 应急结束
经网络信息安全领导小组确定应急处置事件结束后,下达处置结束的指令,各相关单位听到指令后,随即解除应急战备状态,并做好本单位的应急善后工作。 5.7 后期处置
应急事件处置完成后,各单位及时整理应急物资,完成出入库登记,以备及时补充物资;调整应急队伍,总结经验心得,完善应急队伍建设及预案建设资料;审查信息系统设备,协调有关单位进行事后重建和恢复工作,及早投入使用,完善操作指导书和应急指导书等。
在事件的上报、接收和处理过程中,相关接收、处置人和负责人应及时做好完整的过程记录。事件处理完后上报、归档。
系统恢复正常运行后,领导小组办公室对事件造成的损失、事件处理流程和应急原因进行评估,对响应流程、预案提出修改意见,总结事件处理经验和教训,撰写事件处理报告上报领导小组。如需上报上级监管部门,经审核批准后上报。 6 保障措施
6.1 通信与信息保障
领导小组组长、副组长、各成员通讯保持畅通,领导小组办公室应急期间24小时通讯保持畅通,各单位将公司联络表张贴显眼之处,方
14 便联络及报送。各子预案涉及到的领导、职工电话等要明确。登记设备厂家负责人、维护人员的联系方式,作为信息人员应知应会的内容,出现问题能够及时联系厂家寻求援助。
相关单位应建立24小时值班制度,有值班记录单,有公开值班电话,有实时故障通报机制。
相关单位在遇到突发情况和难以协调事宜应随时向上级汇报,并形成逐级汇报与部门间通报相结合的报告制度。 6.2 应急队伍保障
各信息单位将应急队伍建在基层一线,应急队员就是由一线保障人员组成,日常做好信息系统的管理和维护,做好信息知识的培训和学习工作,做好应急知识的学习和实操工作,做好定期的应急演练工作。以各部门为应急队伍建制,各建制做好沟通协调工作,做好应急配合工作。
6.3 应急装备保障
应急装备可分为3块。
一是各信息单位负责维护管理的信息系统的备品备件,作为主要的应急保障装备,确保信息突发事件发生后的第一时间保障物资。
二是按照领导小组有关物资备件管理部门的应急保障装备,按照领导小组要求,对物资进行采购、管理、分发等事宜。
三是协调厂家,提供不常用或者价格昂贵的重要备品备件,经领导小组审核后,按照程序进行购买使用。
充足的应急物资保障是成功应急处置的关键环节,相关单位在做好信息系统重要设备备品备件充足可用的情况下,进而确保应急保障设
15 备的充分储备,并坚持对应急设备的定期维护保养,定期进行补充和更换,保证较高的设备完好率。 6.4 经费保障
各信息单位的信息应急保障经费,涉及到设备更换的,主要来源于部门信息系统维修经费,由本部门在计划内负责开支使用,报公司,由公司进行监督、审核和限制;保障经费巨大的,报请公司审核同意后,统一由公司负责进行费用支出。 6.5 其他保障
各保障单位按照领导小组要求,履行应急保障工作。 7 培训与演练 7.1 培训
加强信息人员的业务技能培训和应急处置相关知识的培训,提高一线保障人员的业务水平和初步应急处置水平。
各信息单位加强教育培训工作,应制定文档化的安全教育和培训计划,计划应包括参加人员、内容和具体时间。
针对信息系统重要岗位人员的不同安全职责,定期进行相应的安全知识和技能培训。落实重要岗位考核及持证上岗制度。 7.2 演练
为锻炼应急队伍,熟悉应急设施设备,掌握应急处置流程,真正具备应急处置能力,应制定应急演练制度,定期组织开展书面和实操应急演练。
7.2.1 演练开始前,演练单位值班人员按时到位,对生产状况进一步进行分析,确保演练不会造成安全事故,演练执行。如发生安全故
16 障及时通知值班领导。
7.2.2部门值班领导及时到位,及时协调各有关单位,督促故障排除工作。对不能立即维护的故障,立即启动应急预案,并报单位主管、网络信息安全领导小组,通知有关单位。
7.2.3 网络信息安全领导小组接到演练故障通知,第一时间到达现场做好督查指导工作。事后组织各相关单位对演练进行梳理总结,查找原因、分清职责、落实责任、积极整改。 8 应急预案的管理 8.1 预案的备案
本预案以及各相关子预案,按照备案要求,在吕梁机场、网络信息安全领导小组办公室进行备案,作为信息系统应急处置的依据。并进一步经公司审核后发各单位作为应急工作参照和指导资料。 8.2 预案的维护和更新
网络信息安全领导小组办公室、各信息单位定期按照各单位人员变动(包括人员素质、数量、分工、流动性等)、部门变动(包括内部分部变动、合并、拆分等)、职责变更(负责内容变更、管理权限变更、职能移交等)、信息系统的变更(信息系统升级、淘汰、管理、维护模式更新、新系统建立的更新维护等)等因素,及时组织开展信息系统的应急预案的更新,网络信息安全领导小组办公室负责监督指导及子预案的收集汇总工作,各信息单位按照要求落实预案的编写和更新工作。在总预案的指导下,各有信息系统的单位结合实际情况,完成信息系统的子预案,突发事件发生情况下,分级启动子应急处置。
17 9安全防范和应急处置措施 9.1 安全防范
9.1.1 网络安全防范
吕梁机场与外部联网必须采用单独的网络设备和通信线路,采用物理隔离或防火墙逻辑隔离的方式交换数据,采取严格的通信控制策略;内部计算机网络应与因特网物理隔离;在网络建设和改造时必须优先充分考虑到网络的安全性,要有足够的冗余或备份;按照集团公司信息管理部规划的IP地址配置公司内部网络;各类网络设备及关键主机设备的密码由专人保管并有定期变更机制;在未采取相应加密措施之前,不得利用电子邮件传递涉及机密的信息。 9.1.2病毒安全防范
计算机设备应配备正版的防病毒软件,所有的外来软件或存储介质,必须先进行病毒检查才能安装和使用。 9.1.3 软件系统安全防范
杜绝使用盗版软件,开发的应用软件要充分考虑软件安全的要求,并进行安全性能的评估。 9.1.4 数据安全防范
建立相应的数据备份、恢复机制;原则上备份介质不能与主机系统在同一地域存放。 9.1.5 设备安全防范
采购的计算机设备都必须有较高的可靠性,从源头上把好设备的性能安全关。各关键设备都要有冗余备份或相应配件,一旦出现故障能够及时维护、更换,确保不影响工作的开展和系统正常运行。
18 9.1.6 机房安全防范
计算机机房应符合国家标准和国家规定。计算机机房附近施工,不得危害计算机信息系统的安全。主机房都要严格按照国家标准建设和改进;必须具备防火、防雷、防静电、防电磁干扰设备;要有完备的环境控制设备和电源供应系统,以及严格的管理制度和值班制度,确保各类设备有良好的运行环境。 9.2 应急处置措施
9.2.1 黑客攻击时的紧急处置措施
(1)当责任人发现网络信息系统内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向网络信息安全领导小组办公室报告。
(2)网络信息安全领导小组办公室尽快赶到现场,立即关闭网络信息系统。
(3)由网络信息系统负责人负责恢复或重建被攻击和被破坏的系统。 (4)网络信息安全领导小组办公室和网络信息系统负责人应追查非法信息来源。
(5)网络信息安全领导小组办公室如认为情况严重,应立即向领导小组汇报。
(6)领导小组认为情况极为严重的,应立即向公安部门或上级机关报告。
9.2.2数据库安全紧急处置措施
(1)建立数据库系统双机设备设置,即小型机和服务器两种运行方式。
19 (2)一旦数据库崩溃,网络信息系统负责人应立即启动备用系统,并向领导小组报告。
(3)在备用系统运行期间,网络信息系统负责人应对主机系统进行维修。
(4)如果两套系统均崩溃,网络信息系统负责人应立即向软硬件提供商请求支援,同时通知相关单位系统情况并停止传送数据。 (5)系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中。
(6)如因第一个备份损坏,导致数据库无法恢复,则应以第二套数据备份加以恢复。
(7)如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。 9.2.3 广域网外部线路中断紧急处置措施
(1)网络信息系统负责人接到线路故障报告后,应迅速判断故障原因,并报告网络信息安全领导小组。
(2)如属单位管辖范围,由网络信息系统负责人立即予以恢复。 (3)如属网络运营商管辖范围,应立即与其联系,要求尽快修复。 9.2.4 局域网中断紧急处置措施
(1)网络信息系统单位平时应准备好网络备用设备,存放在指定位置。
(2)局域网中断后,网络信息系统值班人员应立即判断故障节点,查明故障原因,并向部门领导汇报。 (3)如属线路故障,应重新安装线路。
(4)如属交换机等网络设备故障,应立即将备用设备接上,并调试
20 通畅。
(5)如属交换机配置文件破坏,应迅速按照要求重新配置,并调试通畅。
(6)如有必要,应向领导小组汇报。 9.2.6 设备安全紧急处置措施
(1)小型机、服务器、路由器、交换机等关键设备损坏后,值班人员应立即向网络信息系统负责人报告。 (2)网络信息系统负责人应立即查明原因。 (3)如能自行恢复,应立即用备件替换受损部件。
(4)如不能自行恢复的,应立即与设备供应厂商联系,请求技术人员前来维修。
(5)如果设备一时不能修复,应向领导小组汇报。 9.2.7 人员疏散与机房灭火预案
(1)一旦机房发生火灾,应遵循下列原则:首先保人员安全;其次保关键设备、数据安全;三是保一般设备安全。
(2)人员疏散的程序是:机房值班人员立即按响火警警报,并向消防大队请求支援,所有不参与灭火的人员按照预先确定的线路,迅速从机房中有序撤出。
(3)灭火的程序是:首先切断所有电源,启动灭火系统,灭火值班人员戴好防毒面具,从指定位置取出泡沫灭火器进行灭火。 9.2.8 外电中断后的设备运行预案
(1)外电中断后,机房值班人员通知灯光站应立即启用备用电源。 (2)灯光站立即查明原因,并向值班领导汇报。
21 (3)如因场内线路故障,灯光站应立即组织恢复。
(4)如果是供电局原因,灯光站应立即与供电局联系,请求迅速恢复供电。
(5)如果供电局告知需长时间停电,应由灯光站负责启用备用发电机自行发电。
9.2.9 发生自然灾害后的紧急措施
(1)一旦发生自然灾害,导致设备损坏,由灾害发生单位向应急救援指挥中心请求支援。
(2)应急救援指挥中心接到支援请求后,立即通知应急管理部和网络信息安全领导小组,由网络信息安全领导小组和应急管理部尽快派遣人员携带有关设备赶到现场。
(3)到达现场后,寻找安全可靠的地点,重新构建系统网络。 9.2.10 关键人员不在岗的紧急处置措施
(1)对于关键岗位平时应做好人员储备,确保一项工作有两人能够操作。
(2)一旦发生关键人员不在岗的情况,首先应向领导小组汇报情况。 (3)经领导小组批准后,由备用人员上岗操作。 (4)如果备用人员无法上岗,请求上级单位支援。
22
