晋城市人民政府办公厅关于印发《晋城市互联网网络安全应急预案》和《晋城市电子政务网络安全应急预案》的通知
(晋市政办〔2008〕2号)
各县(市、区)人民政府,市直及驻市各单位:
《晋城市互联网网络安全应急预案》和《晋城市电子政务网络安全应急预案》已经市人民政府同意,现印发给你们,请认真遵照执行。
晋城市人民政府办公厅
二○○八年一月四日
二○○八年一月四日
晋城市互联网网络安全应急预案
1 总则
1.1 编制目的
为提高本市应对突发互联网网络安全能力,保障基础信息网络和重要信息系统安全运行,维护网络安全和社会稳定,促进经济社会全面、协调、可持续发展,编制本预案。
1.2 编制依据
依据《中华人民共和国国家安全法》、《中华人民共和国电信条例》、《中华人民共和国无线电管理条例》、《中华人民共和国计算机信息系统安全保护条例》、《国家通信保障应急预案》和《晋城市突发公共事件总体应急预案》等。
1.3 适用范围
本预案适用于本市突发互联网网络安全事件的应急处置。
1.4 工作原则
以人为本,预防为主;统一领导,分级负责;依法规范,加强管理;快速反应,协同应对;依靠科技,资源整合。
2 分类分级
2.1 根据互联网网络安全的发生原因、性质和机理,互联网网络安全主要分为以下三类:
(1)攻击类事件:指互联网网络系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。
(2)故障类事件:指互联网网络系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。
(3)灾害类事件:指因爆炸、火灾、雷击、地震、台风等外力因素导致互联网网络系统损毁,造成业务中断、系统宕机、网络瘫痪等情况。
2.2 按照互联网网络安全事件的性质、严重程度、可控性和影响范围,将其分为特别重大(ⅰ级)、重大(ⅱ级)、较大(ⅲ级)和一般(ⅳ级)四级。
(1)特别重大互联网网络安全事件(ⅰ级)。指扩散性很强,造成全市的重要信息系统大面积瘫痪,影响社会稳定,衍生其他重大安全事件。
(2)重大互联网网络安全事件(ⅱ级)。指扩散性强,或发生在涉及国计民生的重要信息系统。
(3)较大互联网网络安全事件(ⅲ级)。指基本无扩散性,或发生在本市个别单位。
(4)一般互联网网络安全事件(ⅳ级)。指无扩散性,或发生在本市个别单位。
3 组织体系
3.1 领导机构
《晋城市突发公共事件总体应急预案》明确,本市突发公共事件应急管理工作由市委、市政府统一领导;市政府是本市突发公共事件应急管理工作的行政领导机构;市应急委决定和部署本市突发公共事件应急管理工作,其日常事务由市应急办负责。
3.2 应急联动机构
市应急联动中心设在市公安局,作为本市突发公共事件应急联动先期处置的职能机构和指挥平台,履行应急联动处置较大和一般突发公共事件、组织联动单位对特大或重大突发公共事件进行先期处置等职能。各联动单位在各自职责范围内,负责突发公共事件应急联动先期处置工作。
3.3 工作机构
3.3.1 市互联网网络安全协调小组
市互联网网络安全协调小组(以下简称市网安协调小组)作为本市市级议事协调机构之一,主要负责综合协调本市互联网网络安全保障工作。
3.3.2 市互联网网络安全协调小组办公室
市互联网网络安全协调小组办公室(以下简称市网安办)设在市人民政府信息化管理办公室,作为市网安协调小组的办事机构。
3.3.3 市应急处置指挥部
一旦发生重大、特别重大互联网网络安全事件,必要时,网安协调小组转为市互联网网络安全事件应急处置指挥部(以下简称市应急处置指挥部),统一组织指挥本市互联网网络安全事件应急处置行动。
负责本市各类互联网网络安全应急资源的管理与调度,提供互联网网络安全事件应急处置技术支持和服务;建设和完善本市互联网网络安全事件监测预警网络,发布本市相应级别的互联网网络安全事件预警信息。
其他有关单位。按照“谁主管谁负责,谁运营谁负责”原则,组织实施和指导本系统、行业的互联网网络安全事件的应急处置。
3.3.4 现场指挥部
根据互联网网络安全事件的发展态势和实际控制需要,事发地所在县(市、区)政府负责成立现场指挥部,必要时,也可由市信息办组织有关专业机构负责开设,现场指挥部在市应急处置指挥部的统一领导下,具体负责现场应急处置工作。
3.4 专家机构
组建互联网网络安全事件专家咨询组,并与其他相关专家机构建立联络机制,为应急处置工作提供决策建议和技术指导,必要时,参与互联网网络安全事件的应急处置。
4 预警预防机制
4.1 预测预警系统
4.1.1 整合本市信息化、公安、通信管理等相关互联网网络安全监测资源,完善互联网网络安全事件预测预警系统。
4.1.2 本市基础信息网络和各重要信息系统的主管部门或运营单位要根据实际情况建立和完善信息安全监测系统,提高防范网络攻击、病毒入侵、网络窃密等的能力,防止有害信息传播。
4.2 预警信息
4.2.1 互联网网络安全事件预警信息分为面向信息安全重点单位和面向社会公众两类。
4.2.2 各互联网网络安全事件应急管理工作机构要及时、准确地向市网安办报告互联网网络安全事件有关信息。
4.2.3 市网安办要组织专家,分析各工作机构上报的信息和监测预警系统监测到的信息,评估风险等级,并根据确定的风险等级编制预警信息。预警信息包括互联网网络安全事件的类别、预警级别、起始时间、可能影响的范围、警示事项、应采取的措施和发布单位等。
4.3 预警级别与发布
4.3.1 根据信息预测分析结果,对可能发生的互联网网络安全事件进行预警。按照互联网网络安全可能造成的危害、紧急程度和发展势态,预警级别分为四级:ⅰ级(特别严重)、ⅱ级(严重)、ⅲ级(较重)和ⅳ级(一般),依次用红色、橙色、黄色和蓝色表示。
(1)ⅰ级预警(红色)。指发现新的互联网网络安全威胁,可能影响本市所有网络和重要信息系统,并有扩散到全国的可能性。
(2)ⅱ级预警(橙色)。指发现新的互联网网络安全威胁,可能影响本市基础运营网络或2家以上重要信息系统的全部业务,并有继续扩散的可能性。
(3)ⅲ级预警(黄色)。指发现新的互联网网络安全威胁,可能影响本市1至2家基础运营网络或1至2家重要信息系统的全部业务,无扩散性。
(4)ⅳ级预警(蓝色)。指发现新的互联网网络安全威胁,可能影响本市1家基础运营的部分网络或1至2家重要信息系统的部分业务,无扩散性。
4.3.2 市网安办根据互联网网络安全事件的管理权限、危害性和紧急程度,统一发布、调整和解除预警信息,对严重、特别严重或可能衍生其他安全事件的预警信息,应按照市政府的决定由授权部门发布。
4.3.3 面向信息安全重点单位的预警信息的发布、调整和解除,以电话、电子邮件、传真等方式通知到所有相关单位以及相关的应急响应组织人员,所有被通知的单位和人员需要对接收到的预警信息进行确认;面向社会公众的预警信息的发布、调整和解除可通过新闻媒体、通信、信息网络或组织人员等方式进行。
5 应急处置
5.1 信息报告与处理
5.1.1 信息来源主要有以下三类:
(1)预测预警系统监测到的互联网网络安全事件信息;
(2)上级机构或其他职能部门通报的互联网网络安全事件信息;
(3)接到来自社会和各信息安全责任单位的报告信息。
5.1.2 互联网网络安全事件发生后,事发单位、责任单位和相关工作机构要按照相关应急预案和报告制度,在立即组织抢险救援的同时,及时汇总信息并迅速报告上级主管部门和市网安办。
5.1.3 发生一般互联网网络安全事件,事发单位必须在半小时内向市网安办值班室(设在市信息中心)口头报告,在1小时内向市网安办值班室(设在市信息中心)书面报告;较大以上互联网网络安全事件或特殊情况,立即报告。
5.1.4 发生重大互联网网络安全事件,市网安办、相关区县政府、责任单位等必须在接报后1小时内分别向市委、市政府值班室口头报告,在2小时内分别向市委、市政府值班室书面报告;特别重大互联网网络安全事件或特殊情况,立即报告。
5.1.5 信息处理可按以下程序进行:
(1)记录与了解。接到互联网网络安全事件报警后,要先详细记录该事件数据痕迹和细节信息,了解事件造成的损失、影响以及现场控制情况,并尽可能全面了解与事件有关的信息。
(2)事件确认与判断。在汇总相关信息的基础上,及时判断事件性质,并根据判定结果,开展下一步的工作。
①属于互联网网络安全事件的,应参考数据库对该次事件做进一步的事件验证,确认属于互联网网络安全事件的,应进入事件分析流程。
②属于误报的,值班人员应对该事件进行记录和处理。
③对于与互联网网络安全无关的事件,值班人员也应做好记录,并将事件转交给相关主管机构处理。
(3)事件分析。事件确认后,根据掌握的信息,分析事件已经造成的损失和预计损失、事件的严重程度和扩散性等情况。
(4)准备启动应急处置规程。市网安办根据事件分析的结果,按照互联网网络安全事件等级判断标准确定事件等级,并做好启动相应应急预案处置规程的准备。
5.2 应急响应
5.2.1 响应等级
根据互联网网络安全事件的可控性、严重程度和影响范围,应急响应级别分为四级:ⅰ级、ⅱ级、ⅲ级和ⅳ级,分别应对特别重大、重大、较大和一般互联网网络安全事件。
5.2.2 分级响应
(1)ⅰ、ⅱ级应急响应。发生重大或特别重大信息安全事件,市网安办立即报请或由市政府确定应急响应等级和范围,启动相应应急预案,必要时,组建市应急处置指挥部,统一指挥、协调有关单位和部门实施应急处置。
(2)ⅲ、ⅳ级响应。对于一般、较大信息安全事件,市网安办组织协调具有处置互联网网络安全事件职责的职能部门和单位以及事发地区县政府,调度所需应急资源,协助事发单位开展应急处置。
5.2.3 响应程序
(1)应急资源调配
①应急人员协调。市网安办根据具体的互联网网络安全事件,负责组织协调信息安全专家、网络专家、信息系统专家等各类应急响应技术人员。
②相关权限。市网安办负责明确和协调处置机构或人员在应急响应过程中所需的权限。
③其它必要资源。市网安办根据应急数据库中的信息获取处置事件所必需的资源,如网络与通讯资源、计算机设备、网络设备、网络安全设备与软件、处置案例、解决方案等,为处置小组提供参考。
(2)处置方案制订与检验。处置小组制订具体处置方案,交由市网安办组织相关工作机构、事发单位和有关职能部门进行检验,检验结果上报市应急处置指挥部。
(3)处置决策与资源调度。市应急处置指挥部对市网安办上报的检验结果进行评估,经批准后,联络小组及有关部门按处置方案的要求,协调、落实所需的资源。
(4)实施处置。处置小组根据指挥部下达的指令,按照承担职责和操作权限建立运行机制,执行对互联网网络安全事件的应急处置。
5.3 先期处置
5.3.1 互联网网络安全事件发生后,事发单位必须在第一时间实施即时处置,并按职责和规定权限启动相关应急预案处置规程,控制事态发展并及时市网安办、市应急联动中心或事发地区县政府报告。
5.3.2 市网安办应在接报事件信息后,及时掌握事件的发展情况,评估事件的影响和可能波及的范围,研判事件的发展态势,根据需要组织各专业工作机构在各自职责范围内参与互联网网络安全事件的先期应急处置工作。
5.3.3 市网安办会同市应急联动中心组织事发地区县政府和相关联动单位联动处置较大和一般互联网网络安全事件,对特别重大或重大互联网网络安全事件,负责组织实施先期处置。
5.4 应急指挥与协调
5.4.1 一旦发生先期处置仍不能控制的互联网网络安全事件,市网安办应及时研判事件等级并上报市政府,必要时,成立市应急处置指挥部,下设联络小组和处置小组。
5.4.2 现场指挥部由事发地区县政府和市网安办视情设立,在市应急处置指挥部的统一指挥下,负责现场应急处置的指挥协调。现场指挥部由市网安办、发生互联网网络安全事件所在的主管机构与责任单位负责人组成,并根据处置需要组织信息安全专家等参与。
5.5 应急结束
5.5.1 对于重大和特别重大的互联网网络安全事件,在应急处置工作结束,或者相关危险因素消除后,市政府根据市应急处置指挥部的建议,决定终止实施应急措施,转入常态管理。
5.5.2 对于一般和较大的互联网网络安全事件,应急结束的判断标准为信息系统和业务恢复正常,由该事件衍生的其它事件已经消失,安全隐患已经消除。由市网安办宣布应急结束,转入常态管理。
6 后期处置
6.1 善后处置
市网安办、事发地区县政府、事件责任单位和其他相关应急管理工作机构要积极稳妥、深入细致地搞好善后处置。对参与处置的工作人员,以及紧急调集、征用有关单位、个人的物资,要按照规定给予补助或补偿。相关部门商请保险监管机构督促有关保险公司及时搞好有关投保单位和个人损失的理赔。
6.2 调查与评估
市网安办会同事发单位和相关部门对互联网网络安全事件的起因、性质、影响、责任、经验教训和恢复重建等问题进行调查和评估。
(1)责任确定。应急处置工作结束后,应当分析产生该次事件的原因,对事件进行调查,确定责任人。如果涉及违法犯罪行为,由司法机关及时追究当事人的刑事责任。
(2)事件备案与归档。应急处置工作结束后,处置小组实施事件处置的过程和结果须在市网安办备案。
(3)预案维护。应急处置工作结束后,需根据应急过程中暴露的问题和调查评估的结果,对预案进行相应的修改和维护。
6.3 恢复重建
恢复重建工作按照“谁主管谁负责,谁运营谁负责”的原则,由事发单位负责。事发单位和相关职能部门在对可利用的资源进行评估后,制订重建和恢复生产的计划,迅速采取各种有效措施,恢复互联网网络系统的正常运行。
6.4 信息发布
6.4.1 对于已经发生的重大和特别重大事件的相关信息,经市网安办审批后通报给重点单位;一般和较大事件的相关信息,采用简报形式,发到全市各有关单位。
6.4.2 对于造成社会影响的互联网网络安全事件,信息发布应当及时、准确、客观、全面。事件发生后,要及时向社会发布信息,并根据事件处置情况做好后续发布工作。需要向社会发布的信息,经市网安办核定后,由市政府新闻办具体发布。
7 应急保障
有关部门和重点单位要按照职责分工和相关预案,切实做好应对互联网网络安全事件的人力、物力、财力、通讯、科技等保障工作,保证应急救援工作和恢复重建工作的顺利进行。
7.1 应急队伍保障
7.1.1 各职能部门、工作机构、重点单位应当根据本部门、本单位的实际情况,配备相应的应急力量或引进社会化应急服务。
7.1.2 市网安办负责组建本市互联网网络安全事件应急响应专业队伍,培养骨干力量。
7.1.3 社会团体、企事业单位等可按照有关规定,参与应急救援。
7.2 经费保障
7.2.1 各有关单位负责落实互联网网络安全事件应急管理工作专项经费预算。市网安办负责落实互联网网络安全事件应急管理工作的日常运作、应急处置和基础设施运维等应急管理经费预算,纳入市财政预算。
7.2.2 各级财政和审计部门要对互联网网络安全事件应急经费的使用进行监管和评估。
7.3 物资保障
各职能部门、工作机构、重点单位应当根据自己的实际需要做好网络信息系统设备储备工作。
7.4 通信保障
市人民政府信息化管理办公室、中国网通晋城通信分公司、中国移动晋城分公司、中国联通晋城分公司、中国电信晋城分公司、中国铁通晋城分公司、市广电网络公司、市无线电管理局等部门负责建立健全应急通信保障工作体系,完善公用通信网,建立有线和无线相结合、基础电信网络与机动通信系统相配套的应急通信系统,确保通信畅通。
7.5 科技支撑
7.5.1 有关部门和单位要积极开展互联网网络安全领域的科学研究,建立健全本市互联网网络安全应急技术支撑平台,提高互联网网络安全科技水平,发挥企业在互联网网络安全领域的研发作用。
7.5.2 市网安办等专业工作机构应当建立应急处置管理、应急预案管理、应急演练环境、灾难备份等数据系统,为互联网网络安全事件的处置提供科技支撑。
8 监督管理
8.1 宣传教育
市网安办组织编制、出版宣传材料,宣传信息安全相关法律法规和信息安全基础知识,提高公众信息安全应急防范意识。
8.2 培训
市网安办开设应急管理、应急处置及组织指挥等培训课程,对各单位领导干部、管理人员进行培训,并对应急管理和基层处置人员作进行相应的技能培训。
8.3 演练
市网安办每年组织一次演练,模拟处置影响较大的信息安全事件,组织重点单位参加,检验预案的可执行性。各信息安全责任单位每年应当至少组织一次应急演练,市网安办负责进行抽查。
8.4 责任与奖惩
8.4.1 互联网网络安全事件应急处置工作实行行政领导负责制和责任追究制。
8.4.2 对于在应急处置工作中做出突出贡献的先进集体和个人,给予表彰和奖励。对于迟报、谎报、瞒报、漏报互联网网络安全事件重要情况或者应急处置工作中有其他失职、渎职行为的,依法对有关责任人给予行政处分;构成犯罪的,依法追究刑事责任。
8.5 预案管理
8.5.1 预案制定
本预案由市网安办负责编制和解释,报市政府审定。
本市互联网网络安全各相关职能部门、工作机构和重点单位可依据本预案,制定相应的应急预案。
8.5.2 预案修订
市网安办根据实际情况的变化,及时修订本预案,报市应急办审核。
8.5.3 预案实施
本预案由市网安办组织实施。
本预案自印发之日起实施。
晋城市电子政务网络安全应急预案
1 总则
1.1 编制目的
为规范和加强晋城市电子政务网络重大安全事件的报告管理工作,及时掌握和评估重大网络安全事件有关情况,协调组织力量进行事件的应急响应处理,降低网络安全事件所造成的损失和影响,制定本预案。
1.2 编制依据
根据晋市政办〔2007〕9号《晋城市人民政府关于实施晋城市突发公共事件总体应急预案的决定》的通知和有关法律、法规的规定,结合晋城市电子政务实际。
1.3 工作原则
统一领导,归口管理。晋城市电子政务网络安全应急处理工作应在晋城市人民政府信息化管理办公室(以下简称“市信息办”)领导下,会同各县(市、区)政府、市直各单位、相关的电信运营商等相关部门,齐抓共管、各负其责,共同提高晋城市电子政务网络安全应急处理水平。
明确责任,依法规范。应从晋城市电子政务网络安全保障的高度出发,明确应急处理管理部门和各级政府单位的安全责任,严格依照国家法律和相关规定进行应急处理工作。
防范为主,加强监控。应广泛宣传电子政务信息安全基本知识,提高对电子政务网络安全的认识水平,切实落实信息安全防范措施,强化对电子政务网络系统的监控,减少安全事件可能带来的不良影响。
整合资源,协调处理。晋城市电子政务网络信息安全应急处理工作应充分调动专业信息安全机构的积极性,加强协调与沟通,整合社会资源,提高晋城市电子政务应急处理能力。
1.4 适用范围
本规范所称的网络安全重大事件是指由于自然灾害、人为攻击或破坏以及病毒爆发等原因所引发,严重影响到我市电子政务网络与信息系统的正常运行,造成业务中断、系统瘫痪、数据破坏或信息失窃等,从而在政府形象、社会稳定或公众利益等方面造成严重影响以及造成一定程度直接和间接重大经济损失的事件。
晋城市各级政府部门的网络与信息系统安全事件报告、应急处理,均适用于本规范。
不属于本规范适用范围的单位可以参照本规范执行。
2 电子政务网络突发事件的类别、级别
2.1 突发事件的类别
根据政务网络安全的发生原因、性质和机理,晋城市电子政务网网络安全主要分为以下三类:
(1)攻击类事件:指网络系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。
(2)故障类事件:指网络系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。
(3)灾害类事件:指因爆炸、火灾、雷击、地震、台风等外力因素导致网络系统损毁,造成业务中断、系统宕机、网络瘫痪等情况。
2.2 突发事件的级别
按照网络安全事件的性质、严重程度、可控性和影响范围,将其分为特别重大(ⅰ级)、重大(ⅱ级)、较大(ⅲ级)和一般(ⅳ级)四级。
(1)特别重大网络安全事件(ⅰ级)。指扩散性很强,造成全市的重要政务信息系统大面积瘫痪,影响社会稳定,衍生其他重大安全事件。
(2)重大网络安全事件(ⅱ级)。指扩散性强,或发生在涉及国计民生的重要政务信息系统。
(3)较大网络安全事件(ⅲ级)。指基本无扩散性,或发生在本市个别单位的政务网络事件。
(4)一般网络安全事件(ⅳ级)。指无扩散性,或发生在本市个别单位的政务网络事件。
3 应急处理组织机构
3.1 领导机构
成立晋城市电子政务网网络安全应急处理领导组
组 长:郭长青 市委常委、常务副市长
副组长:任建宏 市政府秘书长
王克平 市财政局局长
郭宗泽 市信息办主任
3.2 工作机构
晋城市电子政务网络安全应急处理的组织机构包括:市信息办、市公安局网监处、各县(市、区)人民政府信息办(中心)以及各级政府部门。
市信息办是晋城市电子政务网络安全应急处理管理机构,负责全市电子政务网络安全事件应急处理协调和领导工作。各县(市、区)信息中心负责所属地区的电子政务网络安全事件应急处理管理工作。
市信息办负责研究制订全市电子政务网络安全应急处理工作的规划和政策。协调我市各职能部门、相应的电信运营商,共同推进全市电子政务网络安全应急机制建设,制定全市电子政务网络信息安全整体应急响应预案,以及全网应急响应演练计划,并组织实施和整体协调,检查和监督晋城市各级政府部门应急处理流程的执行情况。
市公安局网监处负责监督、检查、指导计算机信息系统安全保护工作。负责对重大计算机病毒疫情和大规模网络攻击事件进行预防和处置。依法查处网上散布谣言、制造恐慌、扰乱社会秩序、恶意攻击党和政府的有害信息。打击攻击、破坏网络安全运行、制造网上恐怖事件的违法犯罪行为。
市各级政府部门负责在市信息办和市公安局网监处的指导和协调下,根据本规范建立本单位内部的信息安全事件应急流程和应急预案,确保相应的人力、物力和资金保障,严格按照本规范的要求执行信息安全事件的处理。
4 预防措施
4.1 组织机构
各单位应建立信息安全管理组织机构,明确岗位职责,确定岗位人员名单、联系方式,名单上报市信息办和市公安局网监处备案。
各单位建立网络安全一把手负责制,指定一名信息化主管领导作为网络安全负责人,管理安全事故应急处理,行使决策职责,并至少配备一名应急处理技术人员,负责网络安全应急处理流程的实际执行,提交重大网络安全事件报告和应急处理工作的结果报告。
4.2 制度规范
各单位应根据实际情况和需要制定基本的安全管理制度,对重要网络设备、软件和业务数据的安全性进行规范、可靠的管理,提高本单位网络系统的安全防护能力。包括制定机房管理制度、设备管理制度、病毒防治管理制度、数据备份与恢复制度、网站管理制度、值班制度、安全审计制度和应急响应制度等。各单位要针对内部网络系统制定安全运行管理流程,建立安全事件应急预案,以提高本单位网络安全应急响应能力。
各单位应根据本规范细化安全应急事件处理流程,包括事件的发现、判断、评估、上报和处理等阶段,并落实本单位和应急处理管理机构的接口部门和人员,确保应急处理流程得到有效执行,网络安全事件得到有效控制和处理。
各单位应接受和配合市信息办对安全应急处理的指导,并将本单位制定的应急响应相关制度在市信息办和市公安局网监处备案,将本单位的应急体系纳入到全市统一的应急响应体系中。应急响应相关制度如果发生变化,各单位应及时将最新的制度在市信息办和市公安局网监处备案。
4.3 宣传培训
各单位应大力宣传网络安全的基本原理、安全事件的预防措施和应急处理的基本知识,提高本单位人员的网络安全意识水平。
各单位应定期或不定期地举办网络安全基础培训,使不同岗位的人员都能熟悉并掌握网络系统应急处理的知识和技能。同时应积极参加由市信息办或市公安局网监处举办的各类网络安全培训,通过不同层次、类型的培训或研讨,提高全市电子政务网络安全水平,减少网络安全事件数量。
4.4 安全措施
各单位应定期进行风险评估,了解网络系统目前可能存在的安全隐患和所面临的安全威胁,并针对本单位电子政务的实际情况,从物理、网络、系统、应用和数据等多个层面实施网络安全保障工作。
各单位应定期对网络系统的运行状态、系统日志和安全日志等进行检查,对重要信息系统如网站、核心数据库等应每日进行运行检查,对重要数据要实时和定时进行备份,对核心网络设备定期检查和维护,确保及时发现网络安全事件,减少安全事件所造成的损失。
各单位应定期或不定期组织预案演练,进一步明确应急响应各岗位责任,检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求,对预案中存在的问题和不足及时补充、完善。
4.5 灾前预防技术体系
预防供电故障:各单位的网络交换中心和传输节点均应配置防雷击、防静电设备和长延时不间断电源。
预防火险:机房空调要保持恒温。每天下班前要检查电源接插件,如有烧焦现象,要立即更换。灭火器要保证在保质期内,并放置于每间办公室入口处,所有的工作人员都要学会正确使用灭火器。
预防水渗故障:交换中心、传输节点、通信管沟、分线盒、办公室均应采取防水渗措施。
预防设备丢失:各单位的网络及信息设备均应采取防盗措施,特别是室外交换设备、分线盒要有相应的防盗设施。
预防线路故障:在城域网内部和网络出口采用冗余线路。
预防黑客病毒:在城域网的出口设置高性能防火墙、入侵检测系统、防病毒系统。在网络设备和服务器上采用安全策略,安装相应的补丁程序、关闭不用的端口、启动日志记录。
预防内部攻击:在城域网内采用vpn、vlan技术保证不同子网的相互独立。
预防数据丢失:在各单位自己备份的基础上,市信息办建立全市统一本地备份和远程备份(100公里外)。
预防设备故障:对于易损件,准备必要的备品、备件。
5 应急处理流程
出现灾情后值班人员要及时通过电话、传真、邮件、短信等方式通知单位领导及相关技术负责人。
值班人员根据灾情信息,初步判定灾情程度。能够自身解决,要及时加以解决;如果不能自行解决故障,由单位领导现场指挥,协调各部门力量,按照分工负责的原则,组织相关技术人员进入抢险程序。
5.1 病毒爆发处理流程
各单位对外服务信息系统一旦发现感染病毒,应执行以下应急处理流程:
(1)立即切断感染病毒计算机与网络的联接;
(2)对该计算机的重要数据进行数据备份;
(3)启用防病毒软件对该计算机进行杀毒处理,同时通过防病毒软件对其他计算机进行病毒扫描和清除工作;
(4)如果满足下列情况之一的,应立即向本单位信息安全负责人通报情况,并向市信息办报告:
1)现行防病毒软件无法清除该病毒的;
2)网站在2小时内无法处理完毕的;
3)业务系统或办公系统在4小时内无法处理完毕的。
(5)恢复系统和相关数据,检查数据的完整性;
(6)病毒爆发事件处理完毕,将计算机重新接入网络;
(7)总结事件处理情况,并提出防范病毒再度爆发的解决方案;
(8)实施必要的安全加固。
5.2 网页非法篡改处理流程
各单位对外服务网站一旦发现网页被非法篡改,应执行以下应急处理流程:
(1)发现网站网页出现非法信息时,值班人员应立即向本单位信息安全负责人通报情况,并立即向市公安局网监处和市信息办报告。情况紧急的,应先及时采取断网等处理措施,再按程序报告;
(2)本单位信息安全负责人应在接到通知后立即赶到现场,做好必要记录,妥善保存有关记录及日志或审计记录;
(3)市公安局网监处应在接到报告后2小时内赶到现场,追查非法信息来源。市信息中心做好各种相关的配合工作,必要时协调相关部门或公司来协助解决;
(4)在市公安局网监处提取相关数据样本后,清理网站非法信息,强化安全防范措施,然后将网站重新投入使用。如情节严重,构成违法犯罪的,由市公安局网监处立案侦查;
(5)总结事件处理情况,向市信息办和市公安局网监处备案,并提出防范再度发生的解决方案;
(6)实施必要的安全加固。
5.3 非法入侵处理流程
各单位对外服务信息系统一旦发现被远程控制等非法入侵行为,应执行以下应急处理流程:
(1)发现系统服务器被远程控制、植入后门程序,或发现有黑客正在进行攻击时,应立即向本单位信息安全负责人通报情况,并立即向市公安局网监处和市信息办报告;
(2)如服务器已被入侵,将被攻击的服务器等设备从网络中隔离出来,保护现场;
(3)本单位信息安全负责人应在接到通知后立即赶到现场,做好必要记录,妥善保存有关记录及日志或审计记录;
(4)市公安局网监处对网站事件应在接到报告2小时内赶到现场;对业务系统和办公系统事件应在接到报告4小时内赶到现场,对现场进行分析,追查攻击源,修改防火墙等设备的安全配置阻断黑客继续入侵。相关单位做好相关的配合工作,必要时协调相关部门或公司来协助解决;
(5)分析后台数据库操作日志,判断是否发生数据失窃。检查、校验数据的完整性和有效性;
(6)在市公安局网监处提取相关数据样本后,恢复与重建被攻击或破坏的系统。如情节严重,构成违法犯罪的,由晋城市公安局网监处立案侦查。重新将恢复后的对外服务系统接入网络;
(7)总结事件处理情况,向市信息办和市公安局网监处备案,并提出防范再度发生的解决方案;
(8)实施必要的安全加固。
5.4 拒绝服务攻击处理流程
各单位对外服务信息系统一旦发现遭受ddos等拒绝服务攻击,无法正常访问时应执行以下应急处理流程:
(1)发现对外服务系统访问流量异常、无法正常访问,可能遭受拒绝服务攻击时,应立即向本单位信息安全负责人通报情况,并立即向市公安局网监处和市信息办报告;
(2)本单位信息安全负责人应在接到通知后立即赶到现场,做好必要记录,妥善保存有关记录及日志或审计记录;
(3)市公安局网监处对网站事件应在接到报告2小时内赶到现场;对业务系统和办公系统事件应在接到报告4小时内赶到现场,对现场进行分析,追查攻击源,修改路由器、防火墙等设备的安全配置,缓解、消除拒绝服务攻击的影响。相关部门做好相关的配合工作,必要时协调专业公司来协助解决;
(4)在市公安局网监分局提取相关数据样本后,恢复对外系统正常运行。如情节严重,构成违法犯罪的,由市公安局网监处立案侦查;
(5)总结事件处理情况,向市信息办和市公安局网监处备案,并提出防范再度发生的解决方案;
(6)实施必要的安全加固。
5.5 机房物理环境事故应急处理流程
供电故障:如果出现短路,切断电源,更换短路器件,恢复供电;如果出现断路,切断电源,连接断开线路,恢复供电;防雷防静电设备故障,切断电源,跳过防雷防静电设备直接供电,及时维修损坏设备并更换;ups故障,跳过逆变输出,及时维修损坏设备并更换。
火灾:切断电源,使用灭火器灭火;向119指挥中心报告火警,请求支援;如有人员遇险,应先救人后救物。
水渗故障:切断电源,更换浸水设备,采取防水渗措施。
5.6 网络线路故障应急处理流程
城域网内部线路故障:如果有环路或冗余线路,通过自动路由或手动设置、联接等技术措施保障网络畅通。对于需要抢修的线路,如果属于自建线路,维护人员赶赴现场抢修;如果是租用其它电信运营商的线路,通知相关运营商及时抢修;如果线路无法修复,协调架设临时线路。
互联网出口线路故障:启用备份线路,通知线路维护人员及时抢修。
5.7 数据故障应急处理流程
数据丢失或损坏:从数据备份服务器上提取数据,尽快恢复,保证系统在最短时间内能够正常运行;分析造成事故的原因,针对具体问题,采取相应安全策略。
根据需要,可通过网站、报纸、电台、电视台等向社会公众发布灾情及救灾信息。
6 监督检查
各单位应根据本规范制定本单位的信息安全事件应急处理规范,对发生的信息安全事件严格按照本规范要求及时如实地报告并处理,确保电子政务信息系统的正常运行和服务。
市信息办和市公安局网监处负责对各单位执行本规范的情况进行监督、检查。
对违反本规范进行操作而导致严重不良后果的单位和负责人,将会同有关部门追究其相应的责任。
7 附则
本预案由晋城市人民政府信息化管理办公室负责解释。
各单位可参照本规范,结合本单位实际情况,制定具体的实施办法。
本预案自印发之日起实施。
