2022年行政部门信息系统安全应急预案.doc

《2022年行政部门信息系统安全应急预案.doc》由会员分享，可在线阅读，更多相关《2022年行政部门信息系统安全应急预案.doc（62页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、行政部门信息系统安全应急预案 信息系统安全应急预案 （试行） 为保证市系统网络与信息安全，防范出现大规模的网络与信息安全事件，根据市系统网络和信息系统建设及应用的现状，针对存在的问题与风险，特制定本安全应急预案。 一、现状与风险 随着市系统信息化建设的发展，信息化已经渗透到的每一项工作，信息化给我们的工作带来效率的同时，也增加了我们对计算机系统的依赖性，网络与信息安全的风险也逐渐显露。一是随着业务的发展，逐步与外部相关部门实现了联网与信息交接，从而使市系统网络由过去完全封闭的内部网，转变成与外部网、因特网逻辑隔离的网络。二是网络与信息系统中的关键设备如主机、路由器、交换机、操作系统等大部分采用

2、国外产品，存在着较大的安全隐患。三是系统内计算机应用操作人员水平参差不齐，安全意识和安全防护手段不尽如人意。四是敌对势力以及受利益驱使的犯罪分子一直蠢蠢欲动，对政府部门构成巨大威胁。上述几个方面构成市系统网络与信息安全的主要风险。 二、指导思想与总体目标 指导思想。以“科学发展观”为指导，把做好全市系统网络与信息安全工作作为当前一项严肃的政治任务来完成，切实维护国家的政治安全、经济安全和政府部门网络信息安全。 总体目标。建立科学、有效、反应迅速的网络与信息安全应急工作机制，提高应对突发事件的组织指挥能力和应急处置能力，最大限度地减轻网络与信息安全突发事件的危害，确保计算机信息系统的实体安全、运

3、行安全和数据安全。 三、组织体系 为了加强我局信息化建设与等级保护工作的开展，落实信息安全责任，健全网络与信息安全工作机制，提高应对突发事件的组织指挥能力和应急处置能力 经研究，决定成立信息化等级保护与信息安全领导小组现将组成人员通知如下： 组长：王建伟 副组长：蔡小成 洪晓明 周庆祥 蔡斌 成员：卓郑勇、徐建书、屠征宇、陈益飞、管敏益、屠胜达、陈爱飞、陈雪芬成员：卓郑勇、徐建书、屠征宇、陈益飞、管敏益、万晓波、包哲克、鲍鱼千、屠胜达、屠旭东、陈六平、王高平、黄明金、姚正杰、仇展炀、叶傲蕾、徐浩、杨宏远、吴小东、陈永正、郑海斌、周昌林、郑晓阳、周宏。 领导小组下设办公室，洪晓明同志兼任办公室主

4、任，屠征宇同志兼任办公室副主任，办公机构设在监察室。 1、领导机构 建立市行政管理局网络与信息安全应急领导小组（以下简称领导小组），分管信息化的局领导任组长，办公室、信息办负责人任副组长，成员由各科室负责人组成。领导小组负责研究制订系统网络与信息安全应急处置工作的规划和计划，协调推进网络与信息安全应急机制和工作体系建设；发生网络与信息安全突发事件后，决定启动本预案，领导应急处置工作。 2、应急办公室 领导小组下设应急办公室，办公室设在信息办，办公室主任由信息办负责人担任，成员由信息办相关技术人员组成。应急办公室的职责： （1）负责处理领导小组的日常工作，检查督促领导小组决定事项的落实。 （2）

5、研究提出网络与信息安全应急机制建设规划和年度工作计划，检查、指导和督促全市网络与信息安全应急机制建设。 （3）负责网络与信息安全应急预案的管理，检查落实预案执行情况。 （4）负责应对网络与信息安全突发事件的预案演习和宣传培训。 （5）对接市政府和市级各部门网络与信息安全突发事件应急处置工作。 （6）及时收集分析网络与信息安全相关信息，及时向领导小组提出启动本预案的建议。 四、预防预警 1、异常报告系统每位干部和职工均有责任和义务维护系统信息化硬件、软件、网络和信息安全，发现计算机设备和网络发生异常情况，应立即向所在单位信息员报告，信息员应及时对异常计算机设备和网络进行检查并采取必要措施；信息员

6、无法解决问题的，应立即向局信息办报告。信息办接到报告后，应立即采取措施，对异常情况进行分析，防止异常情况扩散。 2、信息监测 建立网络与信息安全突发事件监测、预测、预警制度。各级信息办要按照“早发现、早报告、早处置”的原则，加强对各类网络与信息安全突发事件和可能引发突发事件的有关信息的收集、分析判断和持续监测。 3、预警处理与发布 对于可能发生或已经发生的网络与信息安全突发事件，信息办应立即采取措施控制事态，在2小时内进行风险评估，判定事件等级，并立即向应急办公室报告。 应急办公室接到报警信息后，应及时对信息进行技术分析、研判，根据问题的性质、危害程度和发展态势，向领导小组提出预警的建议。对需

7、要发布预警的，由领导小组授权应急办公室发布。预警内容应包括事件的类别、可能波及的范围、可能危害程度、可能延续时间、提醒事宜和应采取的措施等。 对发生和可能发生重大网络与信息安全突发事件，应急办公室应迅速提议召开领导小组会议。由领导小组会议决定启动本预案，确定指挥人员。 五、应急响应 1、应急指挥 本预案启动后，根据领导小组会议的统一部署，担任指挥的领导和参与指挥的有关部门领导迅速进入指挥岗位，迅速建立与现场的通信联系，分析事件发展态势，研究提出处置方案，并调集和配置应急处置所需的人、财、物等资源，统一指挥应急处置工作。 需要成立现场指挥部的，应立即在现场开设指挥部。现场指挥部在领导小组的领导下

8、全权负责现场的应急处置工作。 2、应急支援 本预案启动后，根据情况成立应急响应先遣小组，赶赴事发地，督促、指导和协调处置工作。领导小组根据事态的发展和处置工作需要，及时增派专家，调动必需的物资、设备，支援应急工作。 3、信息处理 应急办公室做好信息分析、报告和发布工作。要组织有关人员研判各类信息，研究提出对策措施。 5、信息发布 网络与信息安全突发事件发生后，导致行政管理公共行政业务无法正常开展的。应急办公室应通知相关业务部门。相关业务部门应做好业务应急准备，并根据情况向社会和服务对象发布通知。 6、应急结束 网络与信息安全突发事件经应急处置后，得到有效控制，事态下降到一定程度或基本得以解决，

9、由应急办公室向领导小组提出应急结束的建议，经批准后实施。 六、后期处置 1、善后处理 应急处置工作结束后，各级信息办要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作。 2、调查评估 在应急处置工作结束后，各级信息办应对事件发生及其处置过程进行全面的调查，查清事件发生的原因及财产损失情况，总结经验教训，写出调查评估报告，报应急办公室。 七、保障措施 1、应急装备保障 建立信息网络硬件、软件、应急救援设备等应急物资库。应急物资库采用服务外包的形式，与专业公司签订合同，在网络与信息安全突发事件发生时，由应急办公室出面向公司调用。 2、数据保障 建立业务数据备份系统，保证在网络和

10、信息安全突发事件发生时，可紧急恢复。 3、交通运输保障 本预案启动后，根据领导小组的决定，局办公室负责确保应急交通工具，确保应急期间人员、物资和信息传递的需要。 4、经费保障网络与信息系统突发事件应急处置资金，应列入年度预算。 八、监督管理 1、宣传教育 各科室、所、分局要加强网络与信息安全突发事件应急和处置有关知识的宣传，提高防范意识。并将网络与信息安全突发事件的应急管理、工作流程等列入干部的培训内容，增强应急处置能力。 2、应急演练 建立应急预案定期演练制度。通过演练，发现应急工作体系和工作机制存在的问题，不断完善应急预案。应急办公室每年要组织一次网络与信息安全突发事件应急演练。 3、检查

11、与考核 建立检查和考核机制。网络与信息安全应急工作列入工作目标考核体系。应急办公室不定期对应急制度、计划、方案和人员等进行检查，并以应急演练的评定结果作为考核的依据。 九、附则 1、附件 网络和信息安全突发事件应急处置规程。 2、解释部门 本预案由市局信息办负责解释。 3、实施时间 本预案自印发之日起实施。 附件：网络和信息安全突发事件应急处置规程 一、网站出现非法信息的应急处置规程 1、发现网站出现非法信息时，网站内容管理部门应按规定向局领导报告，同时通报信息办；信息办应立即采取屏蔽、删除等处理措施，防止信息扩散。 2、信息办应追查非法信息来源，确定相关责任人。 3、信息办在查清事件发生原因

12、的基础上，及时总结经验教训，提出强化安全防范的措施，写出调查报告，报网络和信息安全应急领导小组。 4、领导小组根据调查报告，决定是否追究相关责任人责任。 二、黑客攻击的紧急处置规程 1、发现网页内容被篡改，或通过入侵检测手段等发现有黑客正在进行攻击时，应立即向信息办报告。 2、信息办首先应将被攻击的服务器等设备从网络中隔离出来，保护现场，同时向网络和信息安全应急领导小组报告。 3、恢复或重建被破坏的系统。 4、追查黑客攻击来源。 5、情况严重时，召开网络和信息安全应急领导小组会议；经会议批准，可向公安部门报警。 6、总结经验教训，采取有效的防范措施。 三、病毒防治应急处置规程 1、当计算机使用

13、人员发现其计算机被感染上病毒后，若无法清除该病毒，应第一时间将计算机从网络上物理断开。 2、向信息办人员报告，确定病毒的性质和危害，对病毒进行进一步查杀。 3、若该病毒已经在局域网内扩散，并严重影响日常办公及网络安全，应立即向领导小组报告。 4、领导小组根据报告，确定具体的处置方式，保证网络畅通和计算机安全。 5、总结经验教训，采取有效的防范措施。 四、软件系统异常应急处置规程 1、对发现系统软件和应用软件响应异常的，应立即向信息办报告。 2、信息办对系统软件和应用软件进行检查，视情采取停用、修复和重新启用等手段。 3、信息办通过检查访问各类日志记录等资料，确认分析异常原因。 4、情况严重的，

14、召开网络和信息安全应急领导小组会议； 5、总结经验教训，采取有效的防范措施。 五、数据库安全应急处置规程核心数据库数据异常应遵循如下规程： 1、发现核心数据库数据大规模异常或丢失后，立即向信息办报告。 2、信息办接到报告后，应指定数据库管理员进行检查，确属异常的，应立即向领导小组报告。 3、领导小组决定是否启动应急预案。经领导小组批准启动应急预案后，暂停相关业务服务，并通知相关业务部门。 4、使用备份数据恢复数据后重新启动服务，并立即追查原因。如属设备故障的，应立即联系厂商维修设备。如属人为原因的，应立即追查相关人员，必要时请公安机关介入。 5、总结相关教训，分析具体原因，加固核心数据库系统安

15、全，并报领导小组。 六、广域网外部线路中断应急处置规程 1、广域网线路若中断后，应立即向领导小组报告。 2、信息办应迅速判断故障节点，查明故障原因。 3、如属内部管辖范围，由系统管理员立即予以恢复。如遇无法恢复情况，立即向有关厂商请求支援。 4、如属通信部门管辖范围，立即与通信维护部门联系，请求及时修复。 5、总结经验教训，采取有效的防范措施。 七、局域网中断应急处置规程 1、局域网中断后，信息办应判断故障节点，查明故障原因，并向领导小组汇报。 2、如属线路故障，应立即抢修线路。 3、如属路由器、交换机等网络设备故障，应立即与设备提供商联系更换设备，并调试畅通。 4、如属路由器、交换机配置文件

16、破坏，应迅速按照要求重新配置，并调试畅通。如遇无法解决的技术问题，立即报告领导小组，请求厂方专家支援。 5、总结经验教训，采取有效的防范措施。 八、设备故障应急处置规程 1、发现服务器等关键设备损坏后，应立即向信息办领导报告。 2、信息办指定系统管理员查明设备故障原因，并向领导小组汇报情况。 3、如果能够自行恢复，应立即用备件替换受损部件。 4、如果不能自行恢复的，立即与设备提供商联系，请求派维修人员前来维修。 5、如果设备一时不能修复，应向领导小组汇报，视情决定是否启动应急预案。 6、总结经验教训，采取有效的防范措施。 九、机房着火应急处置规程 1、一旦机房发生火灾，应遵照下列原则。首先保证

17、人员安全；其次保证关键设备和数据安全；三是保证一般设备安全。 2、人员疏散程序。机房值班人员立即按响火警警报，并通过119电话向消防部门请求支援，所有不参与灭火的人员按照预先确定的线路，迅速从机房中撤出。 3、灭火程序。规范化的机房启动气体灭火系统，没有气体灭火系统的机房，首先切断所有电源，取出泡沫灭火器进行灭火。 4、灭火后，迅速组织抢修受损的基础设施，减少损失，尽快恢复正常工作。 5、总结经验教训，采取有效的防范措施。 十、电力中断应急处置规程 1、发生电力中断，应立即向领导小组报告。 2、属内部电力线路故障的，办公室应迅速组织力量恢复电力。 3、属供电局供电故障的，应立即与供电局联系，请

18、供电局迅速恢复供电。 4、如供电局告知需长时间停电，应做好如下工作： （1）预计停电半小时以内，由ups供电。视情关闭一些服务器等设备。涉及业务中断的，通知相关业务部门。 （2）预计停电半小时以上，关掉所有关键设备，暂停一切业务。 5、电力恢复后，信息办应重新启动设备，恢复业务运行。 第二篇：信息系统安全应急预案信息系统安全应急预案 为全面加强公司信息系统安全管理，应对信息安全突发事件的发生，提高对安全事件的应急处置能力，保证网络与信息安全协调工作迅速、高效、有序地进行，满足突发情况下信息系统安全稳定、持续运行，根据总公司有关规定，制定本预案。 一、工作原则 （一）明确责任。按照“谁主管谁负责

19、，谁运行谁负责”的要求，建立并落实统计信息系统责任制和应急机制。 （二）积极预防、及时预警。各部门应及早发现安全事件，及时进行预警和信息通报；积极做好应急处理准备，提高对安全事件的预防和应急处理能力。 （三）协作配合、确保恢复。部门间要协同配合，确保在最短的时间内完成系统的恢复。 二、应急措施 电力系统故障的应急处理流程 1.任何部门和人员发现本单位电力系统出现异常情况时，都应及时向公司办公室报告。 2.公司办公室是电力系统故障应急处理的第一责任单位。公司办公室应立即启动电力系统故障应急处理流程，尽快查清故障原因，提出解决办法，确定故障排除可能需要的时间并通知网络机房管理部门。 3.计算中心机

20、房停电的处理 网络运行负责人应根据停电时间和ups电池的供电能力，在保证重点网络关键设备用电的前提下，提出机房设备部分关机或全部关机方案，经认可后按照规定的流程操作实施。 4.电力系统恢复供电后的处理流程 电力系统恢复供电后，公司办公室应在第一时间通知技术部门，以便以最快的速度恢复关闭的网络应用。系统管理人员在接到通知后，按照规定的流程开启关闭相关设备。 （二）消防系统应急处理流程 1.报告和简单处理 当出现火情、火灾时，发现人员应在最短时间内报告公司办公室及机房管理部门。若火情严重时，应迅速拨打119电话报警，并尽可能采取一些简单可行的方法作初步处理，如：使用周围的灭火器、水源（在允许用水灭

21、火的场合）或采用其他灭火措施、手段。进展情况随时向有关领导报告。 2.灭火 计算中心机房出现火情并且无法进行局部处理时，机房管理人员在紧急报告有关领导的同时，应立即疏散物理场地楼层以内的工作人员。 三、网络信息系统故障的应急处理流程 1.报告和简单处理 网络设备、网络应用系统故障应由发现人通知机房管理人员，技术部门立即检查故障，进行初步故障定位。如果网络、应用系统出现比较严重的问题，对网络业务的正常运行造成较大的影响，需立即向有关领导报告。 2.故障判断与排除 对简单故障，运维人员应迅速排除故障，解决问题并记录。如果需要更换设备，应上报有关领导，经批准后马上更换故障设备，尽快恢复网络、应用系统

22、运行。运维人员判断无法及时修理时，应立即通知相关的系统运行服务提供商，在最短的时间内安排修理或更换系统。 3.网络线路故障排除 如发现属外部线路的问题，应与线路服务提供商联系，敦促对方尽快恢复故障线路。 4.启用备份线路、设备、系统（如果存在的话），迅速恢复相关的应用。 四、网站检测与自动恢复系统应急处理流程 1.报告和简单处理 发现公司服务网站等对外不能正常打开或网站内容被恶意篡改时，任何公司人员都有义务向技术部门报告。由技术部们组织应急响应并进行故障排查。 2.处理和恢复使用 先查看网络连接情况，若不是网络故障，再排查软、硬件故障。待故障处理完成并经过测试后，恢复系统的正常运行和内容的正常

23、应用。 五、黑客入侵的应急处理 1.报告和简单处理 发现网络上有黑客攻击行为，任何人员都有义务向技术部门报告。技术部门立即启动应急响应，切断受攻击计算机与网络的连接，停止一切操作、保护现场，并上报有关领导。 2.处理和恢复使用 对于黑客攻击，由技术部门与机房管理人员协同查找入侵踪迹，分析入侵方式和原因，分析入侵事件并内部网计算机进行整改，防止黑客用同样的手段再次入侵其他系统。检查确定无安全隐患后，才可将受攻击计算机重新连接网络，或启用备份计算机来恢复应用。 3.应急响应 机房管理人员应做好记录，保护现场，进行日志收集等工作。如果能追查到攻击者的相关信息，可以对其发出警告，必要时可以采取进一步的

24、行动，乃至采取法律手段。根据破坏程度，经有关领导同意后，上报公安部门。若系统已被黑客破坏，无法恢复，应将受黑客攻击的服务器上的重要数据备份到其他存储介质，并做好数据异地备份工作，确保服务器内重要的数据不丢失。 六、大规模病毒（含恶意软件）攻击的应急处理 1.报告和简单处理 发现网络上有大规模病毒攻击的行为，任何人员都有义务向技术部门报告。由机房管理员组织应急响应，切断受攻击计算机与网络的连接，停止一切操作、保护现场，立即上报有关领导。 2.已知病毒的处理和恢复 使用最新版本杀毒软件对染毒计算机进行全面杀毒，并对染毒计算机系统进行漏洞修补。机房管理员确定没有病毒和安全漏洞后，再连接网络恢复使用。

25、 3.未知病毒的处理和恢复 观察网管软件根据监视窗口的链路状态，由此判断感染病毒或恶意程序的客户端、服务器所属的楼层交换机。打开该交换机的端口流量分析窗口，根据流量判断感染病毒或恶意程序的客户端所科交换机端口。关闭该交换机端口，隔离该工作站、服务器，阻断与局域网的连接。根据端口状态功能，查看该感染病毒或恶意程序的工作站的ip地址。根据ip地址信息找到该工作站的具体位置，对该工作站进行病毒或恶意程序清除工作。根据对于未知病毒，应首先尝试手工杀毒处理，若系统已被病毒破坏，无法恢复，应将感染病毒的计算机上的硬盘加挂到其他机器上处理，将重要数据备份到其他存储介质，尽最大努力保护、保留感染计算机内重要的

26、数据，同时防止病毒感染其他计算机。 七、预案的发布与生效 本预案自发布之日起生效 第三篇：信息系统安全应急预案XX市前海好彩金融服务有限公司 信息系统安全应急预案 一、总则 （一）编制目的 公司网络和信息安全涉及以设备为中心的信息安全，技术涵盖网络系统、计算机操作系统、数据库管理系统和应用软件系统；涉及计算机病毒的防范、入侵的监控；涉及以用户（包括内部员工和外部相关机构人员）为中心的安全管理，包括用户的身份管理、身份认证、授权、审计等；涉及信息传输的机密性、完整性、不可抵赖性等等。为切实加强我司网络运行安全与信息安全的防范，做好应对网络与信息安全突发公共事件的应急处理工作，进一步提高预防和控制

27、网络和信息安全突发事件的能力和水平，昀大限度地减轻或消除网络与信息安全突发事件的危害和影响，确保网络运行安全与信息安全，结合公司工作实际，特制定本应急预案。 （二）编制依据 根据中华人民共和国计算机信息系统安全保护条例、信息安全3级评级方法、gb/t20269-2006信息安全技术信息系统安全管理要求、gb/t20270-2006信息安全技术网络基础安全技术要求、gb/t20281-2006信息安全技术防火墙技术要求和测试评价方法、gb/t19716-2005信息技术信息安全管理使用规则等有关法规、规定，制定本预案。 （三）本预案适用于XX市前海好彩金融服务有限公司网络与信息安全应急处理工作。

28、 二、应急组织机构及职责 成立信息系统应急处理领导小组，负责领导、组织和协调全公司信息系统突发事件的应急保障工作。 （一）领导小组成员：组长：技术主管副组长：运维经理 成员。开发部.运维部.测试部.等部门负责人组成。 应急小组日常工作由公司技术部承担，其他各相关部门积极配合。 （二）领导小组职责。制订专项应急预案，负责定期组织演练，监督检查各部门在本预案中履行职责情况。对发生事件启动应急救援预案进行决策，全面指挥应急救援工作。 三、工作原则 （一）积极防御、综合防范 立足安全防护，加强预警，重点保护重要信息网络和关系社会稳定的重要信息系统；从预防、监控、应急处理、应急保障和打击不法行为等环节，

29、在管理、技术、宣传等方面，采取多种措施，充分发挥各方面的作用，构筑网络与信息安全保障体系 （二）明确责任、分级负责 按照“谁主管谁负责”的原则，分级分类建立和完善安全责任制度、协调管理机制和联动工作机制。加强计算机信息网络安全的宣传和教育，进一步提高工作人员的信息安全意识。 （三）落实措施、确保安全 XX市前海好彩金融服务有限公司 要对机房、网络设备、服务器等设施定期开展安全检查，对发现安全漏洞和隐患的进行及时整改。 （四）科学决策，快速反应 加强技术储备，规范应急处置措施和操作流程，网络与信息安全突发公共事件发生时，要快速反应，及时获取准确信息，跟踪研判，及时报告，果断决策，迅速处理，昀大限

30、度地减少危害和影响。 四、事件分类和风险程度分析 （一）物理层的安全风险分析 1、系统环境安全风险 （1）水灾、火灾、雷电等灾害性故障引发的网络中断、系统瘫痪、数据被毁等； （2）因接地不良、机房屏蔽性能差引起的静电干扰或外界的电磁干扰使系统不能正常工作；（3）机房电力设备和其它配套设备本身缺陷诱发信息系统故障；（4）机房安全设施自动化水平低，不能有效监控环境和信息系统工作；（5）其它环境安全风险。 2、物理设备的安全风险由于信息系统中大量地使用了网络设备如交换机、路由器等，服务器，移动设备，使得这些设备的自身安全性也会直接关系信息系统和各种网络应用的正常运转。例如，路由设备存在路由信息泄漏，

31、交换机和路由器设备配置风险等。 （二）网络安全风险 1、网络体系结构的安全风险 网络平台是一切应用系统建设的基础平台，网络体系结构是否按照安全体系结构和安全机制进行设计，直接关系到网络平台的安全保障能力。公司的网络是由多个局域网和广域网组成，网络体系结构比较复杂。内部应用信息网、internet网之间是否进行隔离及如何进行隔离，网段划分是否合理，路由是否正确，网络的容量、带宽是否考虑客户上网的峰值，网络设备有无冗余设计等都与安全风险密切相关。 2、网络通信协议的安全风险。 网络通信协议存在安全漏洞，网络黑客就能利用网络设备和协议的安全漏洞进行网络攻击和信息窃取。例如未经授权非法访问内部网络和应

32、用系统；对其进行监听，窃取用户的口令密码和通信密码；对网络的安全漏洞进行探测扫描；对通信线路和网络设备实施拒绝服务攻击，造成线路拥塞和系统瘫痪。 3、网络操作系统的安全风险 网络操作系统，不论是ios，android，还是windows，都存在安全漏洞；一些重要的网络设备，如路由器、交换机、网关，防火墙等，由于操作系统存在安全漏洞，导致网络设备的不安全；有些网络设备存在“后门”（backdoor）。 （三）系统安全风险 1、操作系统安全风险 操作系统的安全性是系统安全管理的基础。数据库服务器、中间层服务器，以及各类业务和办公客户机等设备所使用的操作系统，不论是win2008/xp/7，还是un

33、ix都存在信息安全漏洞，由操作系统信息安全漏洞带来的安全风险是昀普遍的安全风险。 2、数据库安全风险 XX市前海好彩金融服务有限公司 所有的业务应用、决策支持、行政办公的信息管理核心都是数据库，而涉及公司运行的数据都是昀需要安全保护的信息资产，不仅需要统一的数据备份和恢复以及高可用性的保障机制，还需要对数据库的安全管理，包括访问控制，敏感数据的安全标签，日志审计等多方面提升安全管理级别，规避风险。虽然，目前公司的数据库管理系统可以达到较高的安全级别，但仍存在安全漏洞。建立在其上的各种应用系统软件在数据的安全管理设计上也不可避免地存在或多或少的安全缺陷，需要对数据库和应用的安全性能进行综合的检测

34、和评估。 3、应用系统的安全风险 为优化整个应用系统的性能，无论是采用cs应用模式或是bs应用模式，应用系统都是其系统的重要组成部分，不仅是用户访问系统资源的入口，也是系统管理员和系统安全管理员管理系统资源的入口，桌面应用系统的管理和使用不当，会带来严重的安全风险。例如当口令或通信密码丢失、泄漏，系统管理权限丢失、泄漏时，轻者假冒合法身份用户进行非法操作。重者，“黑客”对系统实施攻击，造成系统崩溃。 4、病毒危害风险 计算机病毒的传播会破坏数据信息，占用系统资源，影响计算机运行速度，引起网络堵塞甚至瘫痪。尽管防病毒软件安装率已大幅度提升，但如果没有好的防毒概念，从不进行病毒代码升级，而新病毒层

35、出不穷，因此威胁性愈来愈大。 5、黑客入侵风险 一方面风险来自于内部，入侵者利用sniffer等嗅探程序通过网络探测、扫描网络及操作系统存在的安全漏洞，如网络ip地址、应用操作系统的类型、开放哪些tcp端口号、系统保存用户名和口令等安全信息的关键文件等，并采用相应的攻击程序对内网进行攻击。入侵者通过拒绝服务攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。 另一方面风险来自外部，入侵者通过网络监听、用户渗透、系统渗透、拒绝服务、木马等综合手段获得合法用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息，或使系统终止服务。所以，必须要对外部和内部网络进行必要的隔离，避

36、免信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝。 （四）应用安全风险 1、身份认证与授权控制的安全风险 依靠用户id和口令的认证很不安全，容易被猜测或盗取，会带来很大的安全风险。为此，动态口令认证、ca第三方认证等被认为是先进的认证方式。但是，如果使用和管理不当，同样会带来安全风险。要基于应用服务和外部信息系统建立基于统一策略的用户身份认证与授权控制机制，以区别不同的用户和信息访问者，并授予他们不同的信息访问和事务处理权限。 2、信息传输的机密性和不可抵赖性风险 实时信息是应用系统的重要事务处理信息，必须保证实时信息

37、传输的机密性和网上活动的不可抵赖性，能否做到这一点，关键在于采用什么样的加密方式、密码算法和密钥管理方式。采用国内经过国家密码管理委员会和公安部批准的加密方式、密码算法和密钥管理技术来强化这一环节的安全保障。 XX市前海好彩金融服务有限公司 3、管理层安全风险分析 安全的网络设备要靠人来实施，管理是整个网络安全中昀为重要的一环，认真地分析管理所带来的安全风险，并采取相应的安全措施。责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。 当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当故障发生后，也

38、无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求人们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。 五、预防预警 （一）完善网络与信息安全突发公共事件监测、预测和预警制度。 加强对各类网络与信息安全突发事件和可能引起突发网络与信息安全突发公共事件的有关信息的收集、分析、判断和持续监测。当检查到有网络与信息安全突发事件发生或可能发生时，应及时对发生事件或可能发生事件进行调查核实、保存相关证据，并立即向应急领导小组报告。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施建议等。 若发现下列情况应及时向应急领导小组报告。利用网络从事

39、违法犯罪活动；网络或信息系统通信和资源使用异常；网络或信息系统瘫痪，应用服务中断或数据篡改、丢失；网络恐怖活动的嫌疑和预警信息；其他影响网络与信息安全的信息。 （二）设定信息安全等级保护，实行信息安全风险评估。 通过相关设备实时监控网络工作与信息安全状况。各基础信息网络和重要信息系统建设要充分考虑抗毁性和灾难恢复，制定并不断完善信息安全应急处理预案。针对信息网络的突发性、大规模安全事件，建立制度优化、程序化的处理流程。 （三）做好服务器及数据中心的数据备份及登记工作，建立灾难性数据恢复机制。 一旦发生网络与信息安全事件，立即启动应急预案，采取应急处置措施，判定事件危害程度，并立即将情况向有关领

40、导报告。在处置过程中，应及时报告处置工作进展情况，直至处置工作结束。 六、处置流程 （一）预案启动 在发生网络与信息安全事件后，信息中心应尽昀大可能迅速收集事件相关信息，鉴别事件性质，确定事件来源，弄清事件范围和评估事件带来的影响和损害，一旦确认为网络与信息安全事件后，立即将事件上报工作组并着手处置。 （二）应急处理 1、电源断电（1）查明故障原因。 （2）检查ups是否正常供电。 （3）汇报相关领导，确认市电恢复时间，评估ups供电能力。（4）备份服务器数据、交换机配置。 XX市前海好彩金融服务有限公司 （5）通知机房进行电源维修。做好事件记录。 （6）必要时请示公司负责人及公司领导，主动关

41、闭服务器、交换机、存储等设备，以免设备损坏或数据损失。 2、局域网中断紧急处理措施 （1）信息安全负责人员立即判断故障节点，查明故障原因，及时汇报。（2）若是线路故障，重新安装线路。 （3）若是路由器、交换机等设备故障，应立即从指定位置将备用设备取出接上，并调试畅通。（4）若是路由器、交换机等配置文件损坏，应迅速按照要求重新配置，并调试畅通。（5）汇报相关领导，做好事件记录。 3、广域网线路中断 （1）信息安全负责人员应立即判断故障节点，查明故障原因。（2）如是我方管辖范围，由信息安全负责人员立即维修恢复。（3）如是电信部门管辖范围，应立即与电信维护部门联系修复。（4）做好事件记录。 4、核心

42、交换机故障 （1）检查、备份核心交换机日志。（2）启用备用核心交换机，检查接管情况。（3）备份核心交换机配置信息。 （4）将服务器接入备用核心交换机，检查服务器运行情况，将楼层交换机、接入交换机接入备用核心交换机，检查各交换机运行情况。 （5）汇报有关领导，做好事件记录。（6）联系维修核心交换机。 5、光缆线路故障 （1）立即联系光纤熔接人员携带尾纤等辅助材料，及时熔接连通。（2）检查并做好备用光缆或备用芯的跳线工作，随时切换到备用网络。（3）做好事件记录，及时上报。 6、计算机病毒爆发 （1）关闭计算机病毒爆发网段上联端口。（2）隔离中病毒计算机。（3）关闭中病毒计算机上联端口。（4）根据病

43、毒特征使用专用工具进行查杀。（5）系统损坏计算机在备份其数据后，进行重装。（6）通过专用工具对网络进行清查。（7）做好事件记录，及时上报。 7、服务器设备故障 XX市前海好彩金融服务有限公司 （1）主要服务器应做多个数据备份。 （2）如能自行恢复，则立即用备件替换受损部件，如。电源损坏更换备用电源，硬盘损坏更换备用硬盘，网卡、主板损坏启用备用服务器。 （3）若数据库崩溃应立即启用备用系统。并检查备用服务器启用情况。（4）对主机系统进行维修并做数据恢复。 （5）如不能恢复，立即联系设备供应商，要求派维护人员前来维修。（6）汇报有关领导，做好事件记录。 8、黑客攻击事件 （1）若通过入侵监测系统发

44、现有黑客进行攻击，立即通知相关人员处理。（2）将被攻击的服务器等设备从网络中隔离出来。（3）及时恢复重建被攻击或被破坏的系统 （4）记录事件，及时上报，若事态严重，应及时向信息化主管部门和公安部门报警。 9、数据库安全事件 （1）平时应对数据库系统做多个备份。 （2）发生数据库数据丢失、受损、篡改、泄露等安全事件时，信息安全人员应查明原因，按照情况采取相应措施：如更改数据库密码，修复错误受损数据。 （3）如果数据库崩溃，信息安全人员应立即启用备用系统，并向信息安全负责人报告；在备用系统运行期间，信息安全人员应对主机系统进行维修并作数据恢复。 （4）做好事件记录，及时上报。 10、人员疏散与机房灭火预案 （1）当班人员发现机房内有起火、冒烟现象或闻到烧