洞头县国家税务局信息安全应急预案

   为保证洞头县国税系统信息系统安全，防范蓄意攻击、破坏网络系统及传播、粘贴非法信息等紧急突发事件的发生，根据国家税务总局《税务计算机信息安全管理规定》和省市局有关规定，结合我县实际，特制定本应急预案。

一、工作目标及基本原则

（一）工作目标

保障信息的合法性、完整性、准确性，保障网络、计算机、相关配套设备设施及系统运行环境的安全，其中重点维护金税工程网络、办公系统、征管系统、增值税稽核、协查系统及国税网站、电子邮件系统的安全。

（二）基本原则

1.预防为主。根据《税务计算机信息安全管理规定》的要求，建立、健全税务计算机信息安全管理制度，有效预防网络与信息安全事故的发生。

2.分级负责。税务计算机信息安全管理实行局长负责制。局各单位应积极支持和协助应急处置工作。

3.果断处置。一旦发生网络与信息安全事故，应迅速反应，及时启动应急处置预案，尽最大力量减少损失，尽快恢复网络与系统运行。

二、组织机构

成立洞头县国税局信息安全领导小组。局长任组长，副局长任副组长，局各单位负责人为领导小组成员。领导小组下设日常应急办公室在信息中心。

三、预案的启动

在发生网络与信息安全事故时，应根据具体情况启动相应的应急预案。

四、应急预案

（一）网站、网页出现非法言论时的应急预案

1.网站、网页由信息中心负责随时监控信息内容。

2. 局各单位人员发现在网上出现非法信息时，立即向信息安全领导小组日常应急办公室反映情况；情况紧急的，应先及时采取删除等处理措施，再按程序报告。

3.日常应急办公室应在接到通知后10分钟内派出技术人员赶到现场，作好记录，清理非法信息，强化安全防范措施，并将网站网页重新投入使用。

4.妥善保存有关记录、日志或审计记录，将有关情况向安全领导小组汇报，并及时追查非法信息来源。

5.事态严重的，立即向信息安全领导小组组长报告，并根据指示向上级或公安部门报警。

（二）黑客攻击或软件系统遭破坏性攻击时的应急预案

1.重要的软件系统平时必须存有备份，与软件系统相对应的数据必须有多日的备份，并将它们保存于安全处。

2.当发现网页内容被篡改，或通过入侵监测系统发现有黑客正在进行攻击时，应立即向信息安全领导小组日常应急办公室报告。软件遭破坏性攻击（包括严重病毒）时要将系统停止运行。

3.日常应急办公室负责人员应在10分钟内赶到现场，首先将被攻击（或病毒感染）的服务器等设备从网络中隔离出来，保护现场，并同时向信息安全领导小组通报情况。

4.日常应急办公室负责恢复与重建被攻击或被破坏的系统，恢复系统数据，并及时追查非法信息来源。主机受到病毒感染时，还应立即告知日常应急办公室帮助做好清查补救工作。

5.事态严重的，立即向信息安全领导小组组长报告，并根据指示向上级或公安部门报警。

（三）数据库发生故障时的应急预案

1.主要数据库系统例如征管系统应按双机热备设置，并准备两个以上的数据库备份，平时一个备份放在机房，另一个备份放在另一安全的建筑物中。

2.一旦数据库崩溃，应立即启动备用系统，并向信息安全领导小组报告。同时由日常应急办公室组织人员对主机系统进行维修。

3.如果两套系统均崩溃，日常应急办公室一方面应立即向软硬件提供商请求支援，同时通知各单位暂缓上传上报数据；另一方面，及时向信息安全领导小组报告。

4.系统修复启动后，利用数据库备份，按照要求将其恢复到主机系统中。如果两个备份均无法恢复，应立即向有关厂商请求紧急支援，并报告信息安全领导小组。

（四）网络线路中断或硬件设备故障时的应急预案

1.网络主、备用线路有一条中断或硬件设备发生故障，应立即启动备用线路或备用设备接续工作，同时向信息安全领导小组报告。

2.日常应急办公室接到报告后，应派技术人员迅速判断故障节点，查明故障原因，并及时予以恢复。如广域网线路中断属电信部门原因的，应立即与电信维护部门联系，要求恢复。

3.如果主、备份线路同时中断，或者发生故障的硬件设备一时无法修复的，网络安全岗人员应在判断故障节点，查明故障原因后，尽快研究恢复措施，并立即向信息安全领导小组汇报。经领导小组组长同意后，通知局各单位暂缓上传上报数据。

（五）外部电源中断后的应急预案

1.外部电源中断后，应立即切换到备用电源，并立即查明原因，并立即向信息安全领导小组汇报。

2.如因局内线路故障，请局办公室迅速恢复。

3.如果是供电局的原因，应立即与供电局联系，请供电局迅速恢复供电；如果供电局告知需长时间停电，应做如下安排：

（1）预计停电4小时以内，由UPS供电；

（2）预计停电4-24小时，关掉非关键设备，确保各主机、路由器、交换机供电；

（3）预计停电超过24-72小时，白天工作时间关键设备运行，晚上所有设备停机；

（4）预计停电超过72小时，应联系安装小型发电机自行发电。

（六）机房发生火灾时的应急预案

1.一旦机房发生火灾，应遵循下列原则：首先保证人员安全；其次保证关键设备、数据安全；三是保证一般设备安全。

2.人员灭火和疏散的程序是：应首先切断所有电源，同时通过119电话报警。灭火人员戴好防毒面具，从最近的位置取出灭火器进行灭火，其他人员按照预先确定的路线，迅速从机房中有序撤出。

4.火灾发生后的其他应急措施参照《浙江省国家税务局关于印发局机关重大火灾事故应急处置预案的通知》（浙国税办〔2005〕49号）执行。

（七）发生自然灾害后的应急预案

1.一旦发生自然灾害，导致设备损坏，由灾害发生单位向上级计算机网络与信息安全领导小组请求支援。

2.上级计算机网络与信息安全领导小组接到下级单位的支援请求后，应在24小时内派遣人员携带有关设备赶到现场。

3.支援小组帮助当地构建新的系统和网络，并将有关数据予以恢复，经测试符合要求后，支援小组才能撤离。