各分局，市局各处室、各直属单位：

    为进一步加强上海市工商行政管理局网络与信息安全管理工作，细化《上海市工商行政管理局网络与信息安全事件专项应急预案》，市局制定了《上海市工商行政管理局网络与信息安全事件专项应急处置规程》，现印发给你们，请遵照执行。

二Ｏ一二年十二月七日

上海市工商行政管理局网络和信息安全事件专项应急处置规程

    一、编制目的

    在《上海市工商行政管理局网络与信息安全事件专项应急预案》（沪工商办〔2009〕334号）的基础上，进一步完善信息安全应急处置机制，细化网络与信息安全事件的处置规则与程序，确保应急处置工作迅速、高效、有序进行，及时控制、最大限度地消除各类信息安全事件的危害和影响，切实保障上海市工商行政管理计算机信息系统稳定安全运行。

    二、编制依据

    市政府办公厅《上海市网络与信息安全事件专项应急预案》（沪府办〔2009〕70号）、市局《上海市工商行政管理局网络与信息安全事件专项应急预案》、《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239－2008）、《信息安全事件分类分级指南》（GB/Z 20986－2007）等相关规定。

    三、适用范围

    本规程适用于上海市工商行政管理计算机信息系统网络与信息安全事件的预防和处置工作，安全事件包括自然灾害、系统故障及攻击破坏。

    四、工作原则

    （一）统一领导，分级负责

    网络和信息安全事件应急处置工作要在市局信息安全领导小组的统一领导下开展，坚持预防为主、分级处置、逐级上报的原则。各级信息化管理机构应根据各自的信息安全管理职责及技术能力，按照本规程及时处置网络和信息安全事件。

    （二）有效应对，快速响应

    当网络和信息安全事件发生，且暂时无法立即恢复业务系统运行时，各相关业务部门应立即启动手工业务应急响应措施，全系统各业务受理窗口应备有受理业务的相关纸质文书，并做好对企业及社会公众的解释说明工作，把握好正确的舆论导向。

    （三）安全有序，分类处置

    处置网络和信息安全事件应规范、快速、有序、安全。当发生自然灾害时，应在保障人身安全的前提下，首先取出并保存数据存储载体，保障数据安全，然后对设备进行断电、拆卸、搬迁。发生系统故障时，应在判断故障的来源与性质后，断开影响安全与稳定的信息网络设备，断开与破坏来源的网络物理连接，跟踪并锁定破坏行为的来源，修复被破坏的信息，恢复信息系统正常运行。

    五、事件处置

    （一）有害、敏感信息处置

    1．发现网站网页出现有害、敏感信息时，及时清理、屏蔽。紧急情况下可直接关闭网站服务器。同时，向本单位的网站主管部门和网站运营部门报告。必要时，组织、协调相关专业技术力量进行技术支援。

    2．清理有害信息时，做好有害信息取证留样工作，并做好相关记录，采取技术手段追查有害信息来源，收集相关证据。

    3．发现涉及国家安全、稳定的重大有害、敏感信息，及时向上级信息安全主管部门报告。

    （二）黑客攻击处置

    1．发现信息系统被黑客攻击时，首先将被攻击服务器等设备从网络中隔离。

    2．采取技术手段追查非法攻击来源，封堵漏洞，恢复或重建被破坏的系统。

    （三）未知病毒侵入处置

    1．现有计算机病毒防护系统无法对计算机病毒查杀时，应立即将该计算机从网络上予以物理隔离。

    2．先行调整防护措施和防护策略，并安排专人跟踪处置效果。

    3．向信息安全保障工作小组报告情况，进行信息安全评估，并组织技术力量进行处置。

    （四）核心设备性能异常报警处置和设备故障处置

    1．核心设备性能异常处置。发现核心设备（小型机、PC服务器、核心交换机、路由器和安全设备）性能异常报警时，采取技术手段进行分析，追查问题根源，及时恢复设备正常运行。

    2．设备故障处置。发现服务器、网络、安全等关键设备损坏，应立即查明设备故障原因。能自行恢复的，立即用备件替换受损部件；难以自行恢复的，可优先选用旁路技术予以应急处理，同时及时联系技术服务单位排除故障，恢复系统正常运行。

    3．若系统性能或设备故障一时不能修复，并对业务系统产生严重影响，应及时采取减轻系统使用负载、启用备用系统等措施。

    （五）应用软件不可用处置

    1．一旦应用软件不可用，业务应用使用部门暂停系统使用。

    2．先行重启应用软件，重启失败的，再启用相关的应急响应软件。

    3．组织技术力量对软件代码、配置、运行日志进行分析，查找故障原因，及时修复软件错误，直至恢复应用系统正常运行。

    （六）数据安全处置

    1．数据发生丢失、篡改时，业务应用使用部门暂停业务访问和数据交换。

    2．分析业务数据、系统日志信息，查找原因，修复数据。

    3．当数据无法修复时，应及时向信息安全保障工作小组报告情况，进行信息安全评估，恢复备份数据。

    （七）数据库系统安全防范处置

    1．数据库系统异常或不可用时，业务应用使用部门暂停业务访问和数据交换。

    2．先行重新启动数据库，分析系统日志，同时通知相关技术服务单位协助查找故障原因。

    3．根据故障原因调整数据库参数设置，必要时升级数据库补丁。

    4．如果数据库系统无法恢复正常运行，向信息安全保障工作小组报告情况，进行信息安全评估，由应急处置小组组织技术力量进行应急处置，采取减轻系统使用负载、恢复备份数据、启用灾备应急系统等措施，直至恢复数据库正常运行。

    （八）业务处理与数据中心不可用处置

    市局业务处理与数据中心灾难发生或短期不可恢复时，向信息安全保障工作小组报告情况，进行信息安全评估，如需启用灾备系统的，应经批准后，由应急处置小组按《灾备中心启动执行手册》执行。

    （九）网络中断处置

    1．广域网主线路中断后，由系统自动启用备份线路。

    2．局域网中断后，应立即判断故障节点，如属路由器、交换机等网络设备配置文件破坏，迅速按照要求重新配置；如属线路故障，迅速组织修复。

    3．上述措施无效时，向信息安全保障工作小组报告情况，评估故障危害程度，组织技术力量进行诊断，如属系统内部故障，采用修复设备、启动备份设备等措施进行修复；如属系统外部故障，应通知线路运营商及时进行修复。

    （十）机房火灾处置

    1．机房发生火灾，应遵循下列原则：首先确保人生安全；其次确保关键设备、业务数据安全；三是保证其它设备和数据安全。

    2．人员疏散、灭火程序：按照本单位制定的消防应急预案启动火警警报，进行人员疏散及灭火。

    （十一）电力中断处置

    1．属于机房电源设备故障的，如防雷防静电设备、开关设备等故障，应及时维修损坏设备并更换；属于大楼内部线路故障的，应通知大楼物业迅速组织力量恢复电力；属于供电部门供电故障的，应立即与供电部门联系，请其迅速恢复供电。

    2．UPS外部电力供应发生故障、无法恢复时，应先确保UPS正常运行。如果短时间内无法恢复UPS外部供电，应做如下安排：预计停电在UPS后备电源可维持时间以内，由UPS后备电源供电；如超出UPS后备电源供电时间，应先关闭非关键设备，降低UPS系统负载，如有必要，关闭全部设备，必要时启动灾备系统。

    （十二）其他事件处置

    其他没有列出的由不确定因素造成的事件，可根据总的安全原则，结合具体情况做出相应处理。