关于印发《上海海事职业技术学院网络与信息安全事件应急处置管理实施细则》的通知

 

各部门:

为加强学院网络安全管理工作,《上海海事职业技术学院网络与信息安全事件应急处置管理实施细则》经上海海事职业技术学院2024年11月18日第29次院长办公会审议通过,现予以发布,本细则自发布之日起施行。

 

    附件:上海海事职业技术学院网络与信息安全事件应急

          处置管理实施细则

 

上海海事职业技术学院

20241118

  

 

上海海事职业技术学院行政事务部        2024年11月21日印发

 

 

 

 

上海海事职业技术学院

网络与信息安全事件应急处置管理

实施细则

第一章  总则

第一条  为提升上海海事职业技术学院(以下简称“学院”)网络与信息安全(以下简称“网信安全”)事件的防范和应急处理能力,建立健全网信安全应急响应机制,减轻或消除事件的危害和影响,依据《国家网络安全事件应急预案》《中国远洋海运人才发展院网络与信息安全事件应急处置管理细则》等规定,修订完善本实施细则(以下简称“细则”)。

第二条  本实施细则所称网信安全事件,是指由于网络与信息系统遭受攻击、侵入、干扰、破坏和非法使用,或发生意外事故,破坏网络与信息系统稳定可靠运行状态,损害数据保密性、完整性和可用性等安全属性,产生负面影响或造成经济损失的事件。

第二章  机构和职责

第三条  成立网络与信息安全事件应急指挥部(以下简称“指挥部”)。

总指挥:分管网信安全工作副院长

 员:各部门行政负责人

网信应急指挥部办公室(以下简称“网信应急办公室”)设在行政事务部。

第四条  指挥部履行以下职责:

(一)组织召开专题会议,分析网信安全事件的重要信息、研判发展趋势,并就事件防范与处置工作中的重大问题及重要事项进行决策;

(二)承担事件现场指挥部职责。负责指挥和协调事件应急保障和处置工作,根据事件情况,积极布置落实各类应急保障措施,下达行动命令,组织人员进行应急处理;

(三)决定启动和终止应急响应;

(四)负责编制、修订网信安全事件应急处置管理细则。

第五条  网络应急办公室履行以下职责:

(一)负责组织落实网信应急指挥部部署的工作、决定和指示;

(二)负责校园网信安全的监测预警和风险评估控制、隐患排查整改工作;

(三)负责网信安全预警信息的收集、整理,并结合学院实际,拟定网信安全预警信息;

(四)及时上报事件情况,根据事件造成的影响,按照相关规定做好应急处置与善后处理工作;

(五)负责组织协调网信安全事件应急演练;

(六)负责学院应对网信安全事件的宣传教育与培训;

(七)完成集团公司网信安全应急管理机构、中国远洋海运人才发展院网信应急指挥部等交办的其他工作。

第三章  事件分类分级

第六条  遵循国家对网信安全事件的分类方法,根据网信安全事件的起因、表现和结果,将事件分为七类:

(一)有害程序类事件:指受到有害程序的影响而导致的网信安全事件。有害程序类事件包含计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合攻击程序、网页内嵌恶意代码和其他有害程序等事件;

(二)网络攻击类事件:指通过网络或其它技术手段,利用配置缺陷、协议缺陷、程序缺陷或使用暴力攻击等攻击手段,造成信息系统异常或潜在危害的网信安全事件。网络攻击类事件包括拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰和其他网络攻击等事件;

(三)信息破坏类事件:指通过网络或其它技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的网信安全事件。信息破坏类事件包括信息篡改、信息假冒、信息泄漏、信息窃取、信息丢失和其他信息破坏等事件;

(四)信息内容安全类事件:指利用网络发布、传播危害国家安全、社会稳定和公共利益等违法内容的网信安全事件。涉及安全类事件的信息内容包括违反宪法和法律、行政法规;针对社会事项进行讨论、评论形成网上敏感的舆论热点,出现一定规模操作;组织串连、煽动集会游行的信息;以及其他信息内容安全存在违法问题等事件;

(五)故障类事件:指网络与信息系统因自身或外围设备设施故障、以及人为误操作等导致的网信安全事件。故障类事件包括软硬件自身故障、外围保障设施故障、人为蓄意破坏事故、人为误操作事故和其他设备设施故障等;

(六)灾害类事件:指由于不可抗力对网络与信息系统造成物理破坏而导致的网信安全事件。灾害类事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的网信安全事件;

(七)其它类事件:指不能归为以上6类的网信安全事件。

第七条  根据网信安全事件的影响对象(重要性)和严重程度(影响范围、持续时间),将事件分为三级:

(一)Ⅰ级(重大事件)

学院网络和信息系统发生网信安全事件,恢复网络和信息系统正常运行和消除安全事件负面影响所需付出的代价巨大;学院涉及的自有商业秘密信息、其他敏感信息以及关键数据丢失或被泄露、篡改、损坏,对国家安全、社会稳定造成影响,对学院形象和运营业务造成严重损害的;其他未对国家、社会造成影响,但对学院形象和运营业务造成严重影响的网信安全事件。

(二)II级(较大事件)

学院网络和信息系统发生网信安全事件,恢复网络和信息系统正常运行和消除安全事件负面影响所需付出的代价一般;学院涉及的自有商业秘密信息、其他敏感信息以及关键数据丢失或被泄露、篡改、损坏,仅对学院形象和运营业务造成一般损害的;其他对学院形象和运营业务造成一般影响的网信安全事件。

(三)III级(一般事件)

学院网络和信息系统发生网信安全事件,恢复网络和信息系统正常运行和消除安全事件负面影响所需付出的代价很小;学院涉及的内部信息以及数据丢失或被泄露、篡改、损坏,对学院形象和运营业务造成的影响可忽略不计;其他对学院形象和运营业务造成轻微影响、以及不属于其他等级的网信安全事件。

特殊时期(如重大活动、会议等)发生网信安全事件的级别应当在原有级别上提升一级,重大安全事件级别不再向上提升。

第四章  监测与预警

第八条  采取必要的预防措施,保障网络基本环境安全。

(一)建立安全、稳定的机房环境。能够防火、防盗、防雷电、防水、防静电、防尘,配备备份电源系统;

(二)采用可靠、稳定的硬件设备,落实硬件设备的定时巡检制度;

(三)落实信息系统和数据的备份机制,遵守安全操作规范;

(四)关注非法侵入技术的发展,建立网关控制、内容过滤等控制手段;

(五)安装防病毒软件,及时更新升级扫描引擎;

(六)加强对所有用户和信息系统管理员的安全技术培训。

第九条  监测上级单位发布的网络与信息安全预警信息,做好对师生员工在网络中的信息监控和信息查询。

第十条  网信安全事件预警等级分为三级,分别为重大(I)、较大(II)和一般(III)网信安全事件。网信安全事件预警信息内容应当包括:事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机构等。

第五章  应急响应和处置

第十一条  应急响应步骤如下:

(一)员工或专业技术人员发现网信安全事件相关迹象后,应当通过各类渠道(电话、邮件、即时通讯工具等)立即报告网信应急办公室,清晰描述事件发生的迹象和影响;

(二)网信应急办公室应确保24小时通信联络畅通,加强网络安全事件监测和事态发展信息收集工作,组织网信安全应急处置或准备、风险评估和控制工作,重要情况报上级单位网信安全应急管理机构;

(三)网信应急指挥部根据预警情况决定是否启动预警处置流程,组织开展预警响应工作,做好风险评估、应急准备和风险控制工作,并及时向上级单位上报事态发展情况;

(四)根据“谁发布,谁解除”的原则,网信应急办公室根据实际情况,评估外部形势、内部已采取措施,无特殊情况2周后自动解除预警,否则应当在确认风险可控后再及时发布预警解除信息。

第十二条  应急处置步骤如下:

(一)网信应急办公室在接到报告后,对事件进行核实,并根据事件的表现和初步影响,预评估事件等级,并将研判情况上报网信应急指挥部,指挥部协调人员立即组织先期处置,控制事态,处置过程中应当注意保存证据,对于II级及以上事件形成网信安全事件快报(详见附件2),由网信应急办公室上报学院安委会及上级单位。先期处置可视情况采取以下应急处置手段:

1.封锁。对于扩散性较强的网信安全事件,立即采取措施,切断其网络连接,保障整个系统的可用性,防止继续扩散;

2.缓解。采取措施,缓解网信安全事件造成的影响,保障系统正常运行,尽量降低网信安全事件带来的损失;

3.消除。分析网信安全事件的特点,采取措施消除事件。

(二)对于事件预估等级达到Ⅰ级(重大)标准的,网信应急办公室应当立即上报上级单位网信安全应急管理机构协同处置。网信应急办公室应当实时跟踪事态发展,检查影响范围,及时将事态变化情况、处置进展情况上报上级单位网信安全应急管理机构。对于II级(较大)、III级(一般)标准的事件,网信应急办公室应当立即进入应急状态,按照相关应急预案做好应急处置工作。

(三)应急处置程序实施完毕后,网信应急办公室应对处置结果进行检验。若事件影响有所缓解,应当继续跟踪监控并做好后续解决工作;若事件影响消除,则应当保存好相关过程资料,上报网络应急指挥部,指挥部宣布应急响应结束。宣布应急结束后,应安排人员持续监控,避免事件复发。如果在预评估级别事件对应的解决时间内仍无法控制事件影响的,网信应急办公室应及时对事件进行升级,按照新等级对应的事件处理流程处置。应急处置工作结束后,要迅速组织人员,统计各种数据,查明原因和事件性质,对事件造成的损失和影响以及恢复重建能力进行分析评估,确认事件最终等级和后续改进措施,对于II级及以上事件形成总结报告(详见附件3),上报学院安委会及上级单位。属于人为责任的,对有关责任人员给出处理意见。

第六章  日常应急保障措施

第十三条  按照网信安全事件类别,根据学院实际情况和可能遇到的应急场景,考虑基础设施、设备、系统、人员、数据等要素,按照保护对象或特定场景分别制定对应的专项应急预案(详见附件4),详细描述应急保护对象的基本情况、应急资源情况、应急组织情况、应急响应流程和应急步骤。

第十四条  按照学院对网络与信息系统安全、数据安全等方面的要求落实各项管理措施和技术措施,加强隐患排查,根据获得的各类预警信息落实防范措施,按职责做好各项预防工作,减少各类网信安全事件发生的可能性;对于员工、服务供应商以及其他机构发现的系统或服务中的安全缺陷或漏洞,应当安排人员进行积极收集,并尽快完成整改加固,防止引发相应网信安全事件。

第十五条  每年第一季度应当根据学院专项应急预案制定年度应急演练计划,每年至少演练1次,计划中需明确各预案演练内容、时间、方式、经费、参与人数及责任部门等要素,并按时开展应急演练工作,保留应急演练方案、过程记录、演练总结等文档。

第十六条  面向员工积极宣传常见网信安全事件的各类症状、防范手段、应急处置方法和流程,提高普通员工对网信安全事件的认识水平、防范能力以及应急告警能力。加强网信应急办公室的专业能力培训,成员必须熟悉各种网信安全事件的症状、防范手段、应急处置方法和应急处理流程,完全掌握学院应急管理要求和各类专项应急预案,提高应急处置能力。

第七章  责任与奖惩

第十七条  网信应急指挥部不定期组织对各项制度、计划、方案、人员及物资等进行检查,对在网络和信息安全事件应急处置中做出突出贡献的集体和个人,提出表彰奖励建议;对违反网信安全应急管理相关要求,迟报、谎报、瞒报、漏报网信安全事件,应急处置不力导致事件影响扩大的,依法依规提出处理意见,追究其责任。

第八章  附则

第十八条  结合应急处置和演练总结评估情况,配合相关法律法规的制定、修改和完善,适时修订本细则,由行政事务部负责制定并解释。

第十九条  本细则自发布之日起施行。

第二十条  上海海运学校参照此细则执行。


 

附件:1.上海海事职业技术学院网络与信息安全事件报

告流程图

2.上海海事职业技术学院网络与信息安全事件快

3.上海海事职业技术学院网络与信息安全事件总

结报告模板

4.上海海事职业技术学院网络与信息安全事件应

急专项预案


 

附件1

上海海事职业技术学院

网络与信息安全事件报告流程图

 

 

 

 

 

 

 

 

 

 

 

 

 


 

附件2

上海海事职业技术学院网络与信息安全事件快报

 

事件上报部门

 

事件联络人

 

联络人电话

 

联络人邮箱

 

事件名称

(事件名称)

受影响系统

(事件影响的信息系统名称)

受影响范围

(全部、集团、本单位、指定用户、社会公众、其他)

受影响用户数

(0-99,100-499,500-999,1000 以上)

中断时长

(小时)

受影响数据量

(数据丢失/泄露少,数据丢失/泄露中,数据丢失/泄露多)

社会影响程度

(一般的社会影响,较大的社会影响,重大的社会影响)

 

事件类型

(有害程序事件 MI、网络攻击事件 NAI、信息破坏事件 IDI、信息内容安全事件 ICSI、设备设施故障 FF、灾害性事件 DI、其他事件 OI)

事件性质

(人为事故、非人为事故)

事件严重性

(重大事件 I 级、较大事件 II 级、一般事件 III 级)

受影响数据重要程度

(一般数据/对外公开、重要数据/内部使用、关键数据/商业秘密、核心数据/国家秘密)

发生时间

(****年**月**日  **:**:**)

其他说明内容

(可另附说明附件)

 

附件3

上海海事职业技术学院

网络与信息安全事件总结报告模板

 

{事件概述}。现将事件经过、造成影响、发生原因及后

续处置情况汇报如下:

一、事件处置过程

{故障现象}。接到事件报障,XX部门立即组织XX、XX等人对事件进行了响应处置,具体处理步骤和执行人如下表所示:

表格1:事件处置过程表

 

日期

开始时间

结束时间

处理步骤

执行人

 

 

 

 

 

二、事件造成影响

本次事件对XX系统造成了较大影响。具体影响分析结果如下表所示:

表格2:事件影响分析表

序号

受影响系统

具体影响概述

影响用户数

影响时长

是否造成社会影响

 

 

 

 

 

 

三、事件原因分析

经过XXXX的故障排查,确定本次事件由{故障原因}引起。事件原因分析过程如下:

(一){分析过程描述,截图}

(二){分析过程描述,截图}

四、事件分类分级

本次事件属于{事件类别名称}({事件类别定义}),是由{人为因素/非人为因素}引起。本次事件已经达到{事件等级}({事件等级定义})。

五、后续改进措施

{改进措施,完成时间}

六、责任认定及奖惩

按照{单位员工奖惩制度名称},对本次事件相关责任人进行责任认定,并对参与事件处置的人员进行奖励,具体奖惩安排如下:{具体的责任人认定过程及奖惩安排}

 

{上报部门名称,盖章}

{上报日期}


附件4

上海海事职业技术学院

网络与信息安全事件应急专项预案

 

1.专项预案应急流程

将信息安全事件应急响应流程分成准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。

(1)准备阶段:在事件发生前,完成安全事件的预判、响应和取证方案制定、人员物资调配等工作,为后续应急响应及溯源取证的顺利进行提供保障;

(2)检测阶段:通过特征比对与行为分析相结合,完成现场或远程排查分析、制定响应策略等工作,确定事件类型,评估事件影响,制定详细的应急响应策略;

(3)抑制阶段:限制攻击/破坏所波及范围,限制潜在的损失。所抑制活动必须结合检测阶段发现的安全事件的现象、性质、范围等属性,制定并实施正确的抑制策略;

(4)根除阶段:在准确的抑制事件后,找出事件的根源并彻底根除它,以避免攻击者再次使用相同手段攻击系统,引发安全事件;

(5)恢复阶段:根据抑制和根除阶段情况,最大程度恢复系统功能,通过备份、升级补丁、修改策略等方式对系统脆弱性进行加固,防止再次被攻击;

(6)总结阶段:通过对以上各阶段处理过程进行总结,输出应急响应报告,优化网络安全防护体系,调整应急响应预案。

2.专项场景应急处置

2.1定义

根据《国家网络安全事件应急预案》对网络安全事件进行分类,按照不同安全事件执行专项预案进行处置。本预案主要立足防范和消除以下事件:

2.2有害程序事件

有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。本节以勒索病毒为例。

2.2.1勒索病毒应急场景

2.2.1.1场景描述

勒索病毒是指以加密数据、锁定设备、损坏文件为主要攻击方式使计算机无法正常使用或者数据无法正常访问,并以此向受害者勒索钱财的一些恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式,向电脑或服务器植入病毒,进以加密硬盘上的文档乃至整个硬盘,并索要数额不等的赎金。

2.2.1.2应急响应流程

2.2.1.2.1准备阶段

通过数据备份系统,定期对重要信息系统、服务器系统打快照并进行数据备份,可及时通过备份恢复数据;并部署有防病毒系统对恶意程序进行清除;定期开展网络安全教育,提高个人的网络安全意识,避免点击下载来历不明的邮件或文件。

工作内容:

(1)定期对重要数据、文件进行容灾备份工作,重要系统应采取双活容灾备份。确保系统未被勒索的前提下,存在数据变化较小的数据备份。

(2)对重要服务器、主机安装防病毒软件。开启防勒索病毒防护,周期对服务器、主机全盘查杀。

(3)周期性开展网络安全培训。

2.2.1.2.2检测阶段

勒索病毒会在受害主机上显示有明显特征。勒索病毒检测手段包括通过态势感知平台和防病毒系统集中监控等。发现有明显勒索病毒流量特征的安全事件时,综合分析确认,并按照模板上报。

工作流程:

(1)系统维护人员或安全技术人员在日常巡检和安全设备日志告警中发现系统被植入勒索病毒。

(2)发现异常情况后,在三十分钟之内响应并形成安全事件报告指挥部,由指挥部统一领导、指挥、协调。对于初判为特别重大、重大网络安全事件的,立即报告上级监管单位。

(3)确定安全事件的性质和影响范围。

(4)确定安全事件的应急处理方案。

2.2.1.2.3抑制阶段

感染勒索病毒的服务器、主机应立即采用物理隔离的方式切断其网络连接,或通过防火墙、ACL策略等逻辑隔离。

2.2.1.2.4根除阶段

根除阶段的主要任务是通过事件分析查明事件危害的方式,并且给出清除危害的解决方案。

(1)查明勒索病毒植入方式。

(2)通过勒索病毒特征在第三方威胁情报中查询是否可解密,如可解密,则确认解密方案。如无法解密,则立即上报指挥部,等待指挥部协调。

2.2.1.2.5恢复阶段

(1)指挥部下达数据恢复决定,技术人员立即恢复系统至最近的快照节点或重装系统,并从数据备份系统中恢复数据。

(2)相关操作人员尽快通知使用人员,并对故障发生前所进行过的业务操作进行检查,核对业务数据是否正确或有无丢失,不正确或有丢失的应马上从备份恢复或者重新录入。

(3)针对勒索病毒植入的原因,对信息系统服务器进行加固,禁用高危端口,部署防病毒软件,防止再次出现安全事件。

2.2.1.2.6跟踪阶段

(1)形成事件处理的最终报告。

(2)检查应急响应过程中存在的问题,重新评估和修改事件响应过程,必要时修订应急响应预案。

(3)评估应急响应人员相互沟通在事件处理上存在的缺陷,以促进事后进行有针对性的培训。

2.3网络攻击事件

网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。本节以黑客恶意攻击为例。

2.3.1黑客恶意攻击应急场景

2.3.1.1场景描述

黑客恶意攻击是指恶意攻击者利用SQL 注入攻击、Ddos攻击、Web程序漏洞、零日漏洞等对信息系统实施攻击的一种行为。通常会对门户网站、对外系统发起攻击,控制服务器或者取得敏感数据为目的。

2.3.1.2应急响应流程

2.3.1.2.1准备阶段

学院部署有防火墙、入侵检测系统、Web应用防火墙等安全设备,可有效针对Ddos攻击、扫描攻击、漏洞攻击、Web程序漏洞利用攻击等进行防护。

工作内容:

(1)日常安全设备巡检工作,确保安全设备授权许可在有效范围内;确保入侵防检测统、Web应用防火墙等规则库保持最新状态。

2.3.1.2.2检测阶段

黑客恶意攻击检测手段包括通过防火墙、入侵防御系统、Web应用防火墙、态势感知平台、反病毒系统等。

工作流程:

(1)系统维护人员或安全技术人员在日常巡检和安全设备日志告警中发现存在黑客恶意攻击告警。

(2)发现异常情况后,在三十分钟之内响应并形成安全事件报告指挥部,由指挥部统一领导、指挥、协调。对于初判为特别重大、重大网络安全事件的,立即报告上级监管单位。

(3)确定安全事件的性质和影响范围。

(4)确定安全事件的应急处理方案。

2.3.1.2.3抑制阶段

告警中存被黑客恶意攻击成功告警的服务器,应该立即:

(1)采用物理隔离的方式切断其网络连接,或通过防火墙、ACL策略等逻辑隔离。

(2)修改防火墙或的过滤规则;

(3)封锁或删除被利用的登录账号;

(4)关闭可被攻击利用的服务功能。

2.3.1.2.4根除阶段

根除阶段的主要任务是通过事件分析查明事件危害的方式,并且给出清除危害的解决方案。

(1)查明黑客恶意攻击入口及攻击方式。通过系统日志、异常行为、安全设备结合分析,找出攻击者的活动轨迹以及攻击者在系统中植下的攻击代码和后门程序。

(2)针对因业务系统版本过低引起的漏洞应由技术人员或第三方运维单位制定升级修复方案。

(3)联系安全设备厂商,确保下次能够正确拦截该恶意攻击。

2.3.1.2.5恢复阶段

(1)指挥部下达决定后,技术人员应使用防病毒软件对攻击者留下的后门程序进行清除,并做好重要数据备份。

(2)按照修复方案修复漏洞,对信息系统进行加固。

(3)通过数据备份系统恢复被恶意攻击者删除的数据。

(4)相关操作人员尽快通知使用人员,并对故障发生前所进行过的业务操作进行检查,核对业务数据是否正确或有无丢失,不正确或有丢失的应马上从备份恢复或者重新录入。

2.3.1.2.6跟踪阶段

(1)形成事件处理的最终报告。

(2)检查应急响应过程中存在的问题,重新评估和修改事件响应过程,必要时修订应急响应预案。

(3)评估应急响应人员相互沟通在事件处理上存在的缺陷,以促进事后进行有针对性的培训。

2.4.1软硬件自身故障应急场景

2.4.1.1场景描述

软硬件自身故障是指计算机系统中软件或硬件组件出现问题,导致系统无法正常工作或执行特定任务。软件和硬件自身故障的一些常见情况:

软件自身故障:程序错误、操作系统问题、文件系统损坏等。

硬件自身故障:硬件组件故障、电源问题、线路问题等。

2.4.1.2应急响应流程

2.4.1.2.1准备阶段

数据备份系统,针对程序错误、文件系统损坏等情况可及时进行数据恢复,关键设备使用双活、冗余部署,避免单台设备故障影响信息系统正常使用。交换设备之间通过链路聚合等方式,提高链路的可靠性。

工作内容:

(1)周期性对网络设备、安全设备等关键设备配置文件进行备份。确保每次改动前都具有最新备份配置,避免由于人员误操作导致设备故障。

(2)周期性进行资产梳理、拓扑修订工作,确保及时对软硬件故障设备处置。

(3)关键链路节点具有可替换备件,定期检查备件状态,确保其可用性。

(4)对关键信息系统通过数据备份系统进行备份,避免因硬盘损坏等情况导致数据丢失。

2.4.1.2.2检测阶段

工作流程:

(1)系统维护人员或安全技术人员在日常巡检中发现软硬件故障情况。考虑信息系统的软硬件损坏程度和范围,以及信息系统数据丢失量大小,判断是否可以进行现场恢复。

(2)如无法及时恢复,则需要在三十分钟之内响应并形成安全事件报告指挥部,由指挥部统一领导、指挥、协调。

(3)确定安全事件的性质和影响范围。

(4)确定安全事件的应急处理方案。

2.4.1.2.3抑制阶段

在软硬件自身故障应急的抑制阶段,关键目标是迅速控制和限制故障,防止其进一步扩大影响,以尽快恢复系统的正常运行。

工作流程:

(1)隔离受影响系统。

(2)停止故障进程或服务。

(3)短期替代或修复,检查连接和电源等。

(4)通知相关人员。

2.4.1.2.4根除阶段

工作流程:

(1)排查并确认软硬件故障原因。

(2)系统维护人员或安全技术人员误操作导致设备故障,需要制定配置恢复方案。

(3)由于交换节点设备损坏导致发生安全事件,需要进行绕过或修改线路需要结合实际情况制定应急处理方案失败的应变和回退措施。

(4)由于信息系统自身硬件设备无法及时维修,需要上报指挥部。

(5)由于文件系统故障,需要制定数据恢复方案,从数据备份系统中恢复。

2.4.1.2.5恢复阶段

(1)指挥部下达决定后,技术人员做好重要数据备份,按照方案执行。

(2)误操作导致故障,对配置进行回退、恢复操作。

(3)拥有备件的设备故障,根据实际情况替换硬件。

(4)文件系统故障时,执行数据恢复方案,恢复完成后相关操作人员尽快通知使用人员,并对故障发生前所进行过的业务操作进行检查,核对业务数据是否正确或有无丢失,不正确或有丢失的应马上从其他备份恢复或者重新录入。

2.4.1.2.6跟踪阶段

(1)形成事件处理的最终报告。

(2)检查应急响应过程中存在的问题,重新评估和修改事件响应过程,必要时修订应急响应预案。

(3)评估应急响应人员相互沟通在事件处理上存在的缺陷,以促进事后进行有针对性的培训。

2.5灾害性事件

灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。

2.5.1火灾应急场景

2.5.1.1场景描述

新的标准中,将火灾定义为在时间或空间上失去控制的燃烧。可能导致机房出现火灾应急场景的原因:设计不完善、电气线缆故障、电气线路短路过载、静电、雷击、UPS电池着火、空调等用电设备等。

2.5.1.2应急响应流程

2.5.1.2.1准备阶段

火灾预防计划,包括定期检查设备和设施,确保符合消防安全标准。定期进行火灾演练,培训员工逃生和使用灭火设备的方法。定期检查和维护电气设备,防止电气问题引发火灾。针对电气火灾部署有七氟丙烷灭火器,并定期进行维护。

2.5.1.2.2检测阶段

工作流程:

(1)发现机房发生火灾。

(2)发现异常情况后,在确保安全情况下,立即通知周围同事和大楼保安机房发生火灾;通过手机、固定电话或短信等方式向主管领导及指挥部报告机房火灾情况。需要报警的情况下,拨打119报警,安排人员等待并指引消防人员。

2.5.1.2.3抑制阶段

工作流程:

(1)通知大楼电力工作人员切断机房电源。

(2)当发现机房有火灾发生,且火势未起时,可以酌情利用现场的灭火器进行灭火。

(3)如火势未能得到控制,在确保人身安全的情况下应马上将相关设备进行撤离。撤离顺序为核心数据服务器-核心网络设备-普通设备。

2.5.1.2.4根除阶段

(1)确认火灾原因,例如设备故障、电器问题等。

(2)针对火灾导致的设备、线路故障,制定恢复方案。

2.5.1.2.5恢复阶段

指挥部下达决定后,根据方案进行恢复。

根据实际情况替换受损的硬件设备,并通过相关备份还原配置文件、数据。

2.5.1.2.6跟踪阶段

(1)形成火灾事件处理的最终报告。

(2)检查应急响应过程中存在的问题,重新评估和修改事件响应过程,必要时修订应急响应预案。

(3)评估应急响应人员相互沟通在事件处理上存在的缺陷,以促进事后进行有针对性的培训。