林辦發(fā)〔2010〕185號《國家林業(yè)局網(wǎng)絡(luò)信息安全應(yīng)急處置預(yù)案》（全文）

國家林業(yè)局網(wǎng)絡(luò)信息安全應(yīng)急處置預(yù)案

林辦發(fā)〔2010〕185號

 

第一章  總 則
 

第一條  為加強國家林業(yè)局網(wǎng)絡(luò)與信息系統(tǒng)的安全，確保其設(shè)備安全、運行安全和數(shù)據(jù)安全，根據(jù)國家有關(guān)法律法規(guī)及規(guī)定，制定本辦法。

第二條  工作原則

（一）統(tǒng)一領(lǐng)導，協(xié)同配合。網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急工作由國家林業(yè)局信息辦（信息中心）統(tǒng)一協(xié)調(diào)，相關(guān)單位按照“統(tǒng)一領(lǐng)導、歸口負責、綜合協(xié)調(diào)、各司其職”的原則協(xié)同配合，具體實施。

（二）明確責任，依法規(guī)范。各單位按照“屬地管理、分級響應(yīng)、及時發(fā)現(xiàn)、及時報告、及時處置、及時控制”的要求，依法對信息安全突發(fā)事件進行防范、監(jiān)測、預(yù)警、報告、響應(yīng)、協(xié)調(diào)和控制。按照“誰主管、誰負責，誰運營、誰負責”的原則，實行責任分工制和責任追究制。

（三）條塊結(jié)合，整合資源。充分利用現(xiàn)有信息安全應(yīng)急支援服務(wù)設(shè)施，充分依靠網(wǎng)絡(luò)與信息安全工作力量，進一步完善應(yīng)急響應(yīng)服務(wù)體系，形成網(wǎng)絡(luò)與信息安全保障工作合力。

（四）防范為主，加強監(jiān)控。普及信息安全防范知識，牢固樹立“預(yù)防為主、常抓不懈”的意識，經(jīng)常性地做好應(yīng)對信息安全突發(fā)事件的思想準備、預(yù)案準備、機制準備和工作準備，提高公共防范意識以及基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全綜合保障水平。加強對信息安全隱患的日常監(jiān)測，發(fā)現(xiàn)和防范重大信息安全突發(fā)事件，及時采取有效的可控措施，迅速控制事件影響范圍，力爭將損失降到最低程度。

第三條  計算機網(wǎng)絡(luò)與信息系統(tǒng)遭受不可預(yù)知的外力破壞、毀損或故障，造成系統(tǒng)中斷、設(shè)備損壞、數(shù)據(jù)丟失等，對工作造成嚴重危害的網(wǎng)絡(luò)與信息安全事件，適用本預(yù)案。

第四條  聘請專業(yè)機構(gòu)或?qū)＜?，成立網(wǎng)絡(luò)與信息安全專家組，負責提供網(wǎng)絡(luò)與信息安全技術(shù)咨詢，參與重要信息研判，參與事件調(diào)查和總結(jié)評估，并在必要時直接參與網(wǎng)絡(luò)與信息安全事件應(yīng)急處置。
 

第二章  事件分級

第五條  Ⅰ級（一般）事件：中心機房計算機網(wǎng)絡(luò)與信息系統(tǒng)受到一定程度的損壞，但不影響中心機房業(yè)務(wù)正常進行的事件。

第六條  Ⅱ級（較大）事件：中心機房某一區(qū)域網(wǎng)絡(luò)與信息系統(tǒng)受破壞、毀損，對中心機房業(yè)務(wù)造成較大影響的事件。

第七條  Ⅲ級（重大）事件：中心機房計算機網(wǎng)絡(luò)與信息系統(tǒng)遭受大規(guī)模破壞、毀損，系統(tǒng)出現(xiàn)嚴重故障，中心機房業(yè)務(wù)無法進行的事件。
 

第三章  預(yù)防預(yù)警
 

第八條  網(wǎng)絡(luò)信息監(jiān)測。堅持預(yù)防為主的方針，加強網(wǎng)絡(luò)與信息安全監(jiān)測，及時收集、分析、研判監(jiān)測信息，發(fā)現(xiàn)網(wǎng)絡(luò)與信息安全事件傾向或苗頭，迅速采取有效措施加以防范，及早消除安全隱患。

第九條  預(yù)警處理與發(fā)布

（一）發(fā)現(xiàn)可能發(fā)生網(wǎng)絡(luò)與信息安全事件的單位要及時發(fā)出預(yù)警，并在2小時內(nèi)向國家林業(yè)局信息辦報告。

（二）國家林業(yè)局信息辦接到報警后應(yīng)當迅速組織有關(guān)人員進行技術(shù)分析，根據(jù)問題性質(zhì)和危害程度，提出安全警報級別及處置意見，及時向各部門和相關(guān)單位發(fā)布預(yù)警信息。

（三）國家林業(yè)局信息辦發(fā)布預(yù)警信息后，應(yīng)當根據(jù)緊急情況做好相應(yīng)的網(wǎng)絡(luò)與信息安全應(yīng)急處置準備工作。

第十條  事件報告。當發(fā)生網(wǎng)絡(luò)與信息安全事件時，事發(fā)單位要及時向國家林業(yè)局信息辦報告。初次報告最遲不超過2小時，報告內(nèi)容包括信息來源、影響范圍、事件性質(zhì)、事件趨勢和擬采取的措施等。
 

第四章  應(yīng)急響應(yīng)
 

第十一條  應(yīng)急處置。當發(fā)生網(wǎng)絡(luò)與信息安全事件時，首先應(yīng)當區(qū)分事件性質(zhì)為自然災(zāi)害事件或人為破壞事件，根據(jù)兩種情況分別采用不同處置流程。

流程一：當事件為自然災(zāi)害事件時，應(yīng)當根據(jù)實際情況，在保障人身安全的前提下，首先保障數(shù)據(jù)安全，然后保障設(shè)備安全。具體方法有：數(shù)據(jù)保存，設(shè)備斷電與拆卸、搬遷等。

流程二：當事件為人為或病毒破壞事件時，首先判斷破壞來源與性質(zhì)，如屬網(wǎng)絡(luò)入侵或病毒破壞，應(yīng)斷開影響安全的網(wǎng)絡(luò)設(shè)備，斷開與破壞來源的網(wǎng)絡(luò)連接，跟蹤并鎖定破壞來源IP地址或其他用戶信息，修復(fù)被破壞的信息，恢復(fù)信息系統(tǒng)；如遇人為暴力破壞，立即制止并報警。

第十二條  具體處置方法。

（一）有害信息處置。確定專人全時監(jiān)控網(wǎng)站、網(wǎng)頁及郵件信息，對有害信息采取屏蔽、刪除等措施；清理有害信息，并做好相關(guān)記錄；采取技術(shù)手段追查有害信息來源；發(fā)現(xiàn)涉及國家安全、穩(wěn)定的重大有害信息，及時向公安部門網(wǎng)絡(luò)監(jiān)察機構(gòu)報告。

（二）黑客攻擊處置。當發(fā)現(xiàn)網(wǎng)頁內(nèi)容被篡改或通過入侵檢測系統(tǒng)發(fā)現(xiàn)黑客攻擊時，首先將被攻擊服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離；采取技術(shù)手段追查非法攻擊來源；召開信息安全評估會，評估破壞程度；恢復(fù)或重建被破壞的系統(tǒng)。

（三）病毒侵入處置。當發(fā)現(xiàn)計算機服務(wù)器系統(tǒng)感染病毒后，立即將該計算機從網(wǎng)絡(luò)上物理隔離，同時備份硬盤數(shù)據(jù)；啟用防病毒軟件進行殺毒處理，并使用病毒檢測軟件對其他計算機服務(wù)器進行病毒掃描和清除；一時無法查殺的新病毒，迅速與相關(guān)防病毒軟件供應(yīng)商聯(lián)系解決。

（四）軟件遭受破壞性攻擊處置。重要軟件系統(tǒng)必須存有備份，與軟件系統(tǒng)相對應(yīng)的數(shù)據(jù)必須有多日備份，并將它們保存于安全處；一旦軟件遭受破壞性攻擊，應(yīng)當立即報告，并將系統(tǒng)停止運行；檢查日志等資料，確認攻擊來源；采取有效措施，恢復(fù)軟件系統(tǒng)和數(shù)據(jù)。

（五）數(shù)據(jù)庫安全防范處置。各數(shù)據(jù)庫系統(tǒng)至少要準備兩個以上數(shù)據(jù)庫備份，一份放在機房，一份放在其他地點；一旦數(shù)據(jù)庫崩潰，立即通知有關(guān)單位暫緩上傳、上報數(shù)據(jù)；組織對主機系統(tǒng)進行維修，如遇無法解決的問題，立即請求軟硬件供應(yīng)商協(xié)助解決；系統(tǒng)修復(fù)啟動后，將第一個數(shù)據(jù)庫備份取出，按照要求將其恢復(fù)到主機系統(tǒng)中；如因第一個備份損壞，導致數(shù)據(jù)庫無法恢復(fù)，則取出第二個數(shù)據(jù)庫備份予以恢復(fù)。

（六）全國林業(yè)專網(wǎng)外部線路中斷處置。專網(wǎng)線路中斷后，應(yīng)當迅速判斷故障節(jié)點，查明故障原因；如屬中心機房內(nèi)部線路故障，立即組織恢復(fù)；如屬通信部門管轄的線路，立即與通信維護部門聯(lián)系，及時進行修復(fù)。

（七）局域網(wǎng)中斷處置。局域網(wǎng)中斷后，應(yīng)當立即判斷故障節(jié)點，查明故障原因；如屬線路故障，迅速組織修復(fù)；如屬路由器、交換機等網(wǎng)絡(luò)設(shè)備故障，立即與設(shè)備供應(yīng)商聯(lián)系修復(fù)；如屬路由器、交換機配置文件破壞，迅速按照要求重新配置；如遇無法解決的技術(shù)問題，立即向國家林業(yè)局信息辦主管負責人或有關(guān)廠商請求支援。

（八）設(shè)備安全處置。發(fā)現(xiàn)服務(wù)器等關(guān)鍵設(shè)備損壞，應(yīng)當立即查明設(shè)備故障原因；能自行恢復(fù)的，立即用備件替換受損部件；難以自行恢復(fù)的，立即與設(shè)備供應(yīng)商聯(lián)系，請求派維修人員前來維修；如設(shè)備一時不能修復(fù)，應(yīng)當及時采取必要措施，并告知有關(guān)單位暫緩上傳、上報數(shù)據(jù)。

（九）機房火災(zāi)處置。一旦機房發(fā)生火災(zāi)，首先切斷所有電源，按響火警警報；檢查自動氣體滅火系統(tǒng)是否啟動，并及時通過119電話向公安消防部門請求支援。

（十）外電中斷處置。外電中斷后，立即切換到備用電源；迅速查明斷電原因，如因內(nèi)部線路故障，馬上組織恢復(fù)；如因供電部門原因，立即與供電單位聯(lián)系，盡快恢復(fù)供電；如被告知將長時間停電，應(yīng)當做好以下工作：預(yù)計停電1小時以內(nèi)，由UPS供電；預(yù)計停電6小時以內(nèi)，關(guān)掉非關(guān)鍵設(shè)備，確保各主機、路由器、交換機供電；預(yù)計停電超過6小時的，做好數(shù)據(jù)備份工作，及時關(guān)閉有關(guān)設(shè)備。

其他沒有列出的不確定因素造成的災(zāi)害，可根據(jù)總的安全原則，結(jié)合具體情況做出相應(yīng)處理；不能處理的可咨詢相關(guān)專業(yè)人員。

第十三條  應(yīng)急支援。發(fā)生Ⅱ級以上（含Ⅱ級）網(wǎng)絡(luò)與信息安全事件，應(yīng)當立即成立由國家林業(yè)局信息辦主要負責人帶隊的應(yīng)急處置小組，督促、指導、協(xié)調(diào)應(yīng)急處置工作；發(fā)生Ⅱ級以下級別網(wǎng)絡(luò)與信息安全事件，應(yīng)當立即成立由國家林業(yè)局信息辦分管負責人帶隊的應(yīng)急處置小組，督促、指導、協(xié)調(diào)應(yīng)急處置工作。應(yīng)急處置小組根據(jù)事態(tài)發(fā)展和處置工作需要，及時聯(lián)系專家小組和應(yīng)急支援單位，并有權(quán)臨時調(diào)動系統(tǒng)內(nèi)必要的物資、設(shè)備，開展應(yīng)急支援。

第十四條  善后處理。應(yīng)急處置工作結(jié)束后，要迅速組織搶修受損設(shè)施，減少損失，盡快恢復(fù)正常工作；對事件造成的損失和影響進行分析評估；調(diào)查事故原因，制定恢復(fù)重建計劃并組織實施。
 

第五章  保障措施
 

第十五條  應(yīng)急隊伍保障。國家林業(yè)局信息辦要組建網(wǎng)絡(luò)與信息安全應(yīng)急處置隊伍（包括安全分析員、應(yīng)急響應(yīng)人員、災(zāi)難恢復(fù)人員等），制定相應(yīng)培訓和演練計劃，提高應(yīng)對網(wǎng)絡(luò)與信息安全事件的能力。

第十六條  設(shè)備保障。根據(jù)工作需要，及時采購應(yīng)急處置工作必需的設(shè)備或工具軟件；加強應(yīng)急處置工具及設(shè)備維護調(diào)試，保證其隨時處于可用狀態(tài)；跟蹤最新技術(shù)發(fā)展動態(tài)，及時收集、整理文件完整性檢測工具、木馬/后門檢測工具等；及時更新病毒庫、脆弱性評估系統(tǒng)插件庫等。

第十七條  數(shù)據(jù)保障。重要信息系統(tǒng)應(yīng)當建立備份系統(tǒng)和相關(guān)工作機制，保證重要數(shù)據(jù)受到破壞后可緊急恢復(fù)。各容災(zāi)備份系統(tǒng)應(yīng)當具有一定兼容性，在特殊情況下各系統(tǒng)之間互為備份。

第十八條  技術(shù)資料保障。全面的技術(shù)資料是高效應(yīng)急處置的前提和基礎(chǔ)。網(wǎng)絡(luò)拓撲結(jié)構(gòu)、重要系統(tǒng)或設(shè)備的型號及配置、主要設(shè)備廠商信息等技術(shù)資料，應(yīng)當建立專門技術(shù)檔案，并及時更新，保證與實際系統(tǒng)相一致。
 

第六章  罰 則
 

第十九條  對違反本辦法的行為，國家林業(yè)局將給予相關(guān)單位或人員通報批評。造成失泄密或重大事故的，將依據(jù)國家有關(guān)法律法規(guī)和有關(guān)規(guī)定追究有關(guān)領(lǐng)導和人員的責任。
 

第七章  附 則
 

第二十條  本預(yù)案由國家林業(yè)局信息辦負責解釋。

第二十一條  本預(yù)案自印發(fā)之日起實施。

本文鏈接：http://m.fl1002.com/law/9259.html

本文關(guān)鍵詞： 林辦發(fā)〔2010〕185號, 國家林業(yè)局, 網(wǎng)絡(luò)信息安全, 應(yīng)急處置, 預(yù)案, 全文