市政务服务中心网站应急预案
1 总则
1.1 编制目的和依据
为及时、有效、妥善处置XX市人民政府政务服务中心(以下简称“市政务中心”)网络与信息安全突发事件,建立和完善相关应急工作制度,加强和规范网络与信息安全事件应急处置工作,提高网络与信息安全事件应急处置能力,预防和减少网络与信息安全事件的发生,控制和降低网络与信息安全事件带来的危害和损失,保障信息基础设施和重要信息系统网络与信息安全,依据《中华人民共和国突发事件应对法》、《中华人民共和国计算机信息系统安全保护条例》、《国家突发公共事件总体应急预案》、《国家网络与信息安全事件应急预案》、《信息安全事件分类分级指南》、等法律法规、规章政策,结合市政务中心实际,制定本预案。
1.2适用范围
适用于市政务中心信息系统网络与信息安全事件的预防、监测、报告和应急处置工作。
1.3 事件分类分级
网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。
1.3.1 事件分类
(1)有害程序事件:分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件
和其他有害程序事件。
(2)网络攻击事件:分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件:分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件:指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障事件:分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件:指由自然灾害等其他突发事件导致的网络与信息安全事件。
1.3.2事件分级
网络与信息安全突发事件由高到低划分为四级:特别重大网络与信息安全事件(Ⅰ级)、重大网络与信息安全事件(Ⅱ级)、较大网络与信息安全事件(Ⅲ级)、一般网络与信息安全事件(Ⅳ级)。
(1)特别重大网络与信息安全事件(Ⅰ级)
符合下列情况之一的,为特别重大网络与信息安全事件(Ⅰ级):
①信息系统中断运行2小时以上、影响用户数100万以上;
②信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁,或导致10亿元人民币以上的经济损失。
③通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成特别严重危害的事件。
④其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络与信息安全突发事件。
(2)重大网络与信息安全事件(Ⅱ级)
符合下列情形之一且未达到特别重大网络与信息安全事件(Ⅰ级)的,为重大网络与信息安全事件(Ⅱ级):
①信息系统中断运行30分钟以上、影响用户数10万人以上;
②信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁,或导致1亿元人民币以上的经济损失。
③通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成严重危害的事件。
④其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络与信息安全突发事件。
(3)较大网络与信息安全事件(Ⅲ级)
符合下列情形之一且未达到重大网络与信息安全事件(Ⅱ级)的,为较大网络与信息安全事件(Ⅲ级):
①信息系统中断运行造成较严重影响的;
②信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较大威胁,或导致1000万元人民币以上经济损失。
③通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成较严重危害的事件。
④其他对国家安全、社会秩序、经济建设和公众利益构成较大威胁、造成较大影响的网络与信息安全突发事件。
(4)一般网络与信息安全事件(Ⅳ级)
除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络与信息安全突发事件,为一般网络与信息安全事件(Ⅳ级)。
1.4 工作原则
统一领导、分级负责、预防为主、防处结合、快速应对、保障有力。
2组织体系及职责
2.1领导机构
成立市政务中心网络与信息安全工作领导小组(以下简称“领导小组”),作为市政务中心网络与信息安全应急处置领导机构,负责中心网络与信息安全工作的统一领导,以及中心网络与信息安全突发事件应急处置工作的决策、指挥、协调和监督。
2.2 处置机构
领导小组下设办公室,作为中心网络与信息安全应急处置部门,负责中心网络与信息安全工作的日常联络、事务处理和突发事件的具体应急处置工作。
3预防与监测预警
3.1 预防
加强对信息系统的日常运行维护和管理,健全完善各类应对网络
与信息安全事件的设备和基础设施,制定和完善相关应急预案,组织做好信息系统的安全等级保护、风险评估、灾难备份和隐患排查工作,预防网络与信息安全事件的发生,降低网络与信息安全事件的危害和损失。
3.2 监测
坚持预防为主的方针,加强网络与信息安全日常监测,及时收集、分析、研判监测信息,及时发现网络与信息安全事件倾向或苗头,迅速采取有效措施加以防范,及早消除安全隐患。
3.3预警及响应
3.3.1 网络与信息安全事件预警等级分为Ⅰ级(特别严重)、Ⅱ级(严重)、Ⅲ级(较重)、Ⅳ级(一般)四个等级,从高到低依次以红色预警、橙色预警、黄色预警和蓝色预警表示,分别对应即将发生或可能发生特别重大、重大、较大和一般的网络与信息安全事件。
3.3.2 预警信息报送
(1)领导小组办公室负责中心网络与信息安全监测预警工作,按照“早发现、早报告、早处置”的原则,加强对各类网络与信息安全突发事件和可能引发突发事件的信息的整理收集、分析判断和持续监测,并及时向市网安办报送相关信息,对重要的网络与信息安全事件监测预警信息要及时通报信息系统的各使用部门。
(2)网络与信息系统发现异常情况时,领导小组办公室应立即组织有关人员进行技术分析,及时向领导小组报告,并根据问题性质和危害程度在30分钟内向市网安办报告,特别重大、重大和较大的网
络与信息系统异常情况实行动态报告和日报告制度。紧急情况下,采取先电话报告后书面报告的形式。
3.3.3 预警响应
领导小组接到预警信息后,应根据预警级别立即启动相应的应急预案,组织中心技术力量和应急救援队伍立即响应,进入应急状态,履行承担的职责。
3.3.3.1 蓝色、黄色预警响应
(1)安排有关人员实行24小时值班,保持通信联络畅通,密切关注事态发展,及时收集、汇总、上报监测信息和重要信息。
(2)网络与信息安全应急队伍进入应急状态,确保80%应急技术人员处于待命状态,检查应急设备、软件工具等,确保处于可用状态;针对预警内容研究制定防范措施,做好安全加固和预防工作。
(3)公布热线电话、电子邮箱等公众沟通渠道,安排专业人员值守;及时发布避免或减轻事件危害的科学常识和人民政府处理事件的相关信息,同时积极监测社会舆情,引导社会舆论,疏导社会情绪。
3.3.3.2 橙色、红色预警响应
在黄色预警响应的基础上,进一步强化以下措施:
(1)责令网安应急队伍全面进入紧急状态,做好应急准备。
(2)按照上级指令作好网安应急物资准备,检查调试有关物资、设备。
(3)采取隔离或停用相关网络等强制措施,控制事态扩大。
3.3.4 预警的调整和解除
根据事态发展和上级指示,按照有关规定适时调整预警级别。当确定网络与信息安全突发事件不可能发生或危险已经解除时,按照有关程序报请解除预警。
4 应急响应与处置
4.1 信息报告
网络与信息安全事件发生后,领导小组在做好先期处置的同时立即组织研判,保存相关证据,按照突发事件信息报送要求,及时向市网安办报告处置情况。根据事态发展,及时续报应急处置等有关情况。Ⅰ、Ⅱ级事件发生后应立即上报,最迟不超过事件发生后1小时报告市网安办;对于Ⅲ、Ⅳ级事件,必须在事件发生后30分钟内报告市网安办。
4.2 先期处置
网络与信息安全突发事件发生后,领导小组根据突发事件等级,立即启动相应的应急预案,组织有关人员实施先期处置。做好现场划定,实行有效的现场管控措施,通报信息系统各使用部门,快速组织开展应急救援,快速恢复系统运行,防止事态扩大等先期处置工作;按照信息报送规定上报安全事件信息和先期处置情况。
4.3 应急响应
(1)应急处置
当发生网络与信息安全事件时,首先应区分事件性质为自然灾害事件或人为破坏事件,根据两种情况分别采用不同处置流程。
流程一:当事件为自然灾害事件时,应根据实际情况,在保障人身
安全的前提下,首先保障数据安全,然后保障设备安全。具体方法有:硬盘拔出与保存,设备断电与拆卸、搬迁等。
流程二:当事件为人为攻击或病毒破坏事件时,首先判断破坏来源与性质,然后断开影响安全的网络设备,断开与破坏来源的网络连接,跟踪并锁定破坏来源IP地址或其它用户信息,修复被破坏的信息,恢复信息系统。
(2)具体处置方法:
①有害信息处置
中心信息系统出现非法信息时,应确定专人全时监控网站、网页及邮件信息,对有害信息采取屏蔽、删除等措施;清理有害信息,并做好相关记录;协助、配合有关部门采取技术手段追查有害信息来源;发现涉及国家安全、稳定的重大有害信息,及时向公安部门网络监察机构报告。
②网络攻击处置
当发现信息系统遭受网络攻击时,首先将被攻击服务器等设备从网络中隔离;协助、配合有关部门采取技术手段追查非法攻击来源;评估破坏程度;恢复或重建被破坏的系统。
③病毒入侵处置
当发现信息系统感染病毒后,立即寻找并断开传播源,同时备份相关数据,必要时可断开相应端口或网络;判断病毒的类型、性质、可能的危害范围,启用防病毒软件进行杀毒处理,并使用病毒检测软件对系统内其他设备进行病毒扫描和清除;一时无法查杀的新病毒,
迅速与相关防病毒软件供应商联系解决。
④数据库安全防范处置
各数据库系统至少要准备两个以上数据库备份;一旦数据库崩溃,立即通知有关单位暂缓上传、上报数据;组织对主机系统进行维修,如遇无法解决的问题,立即请求软硬件供应商协助解决;系统修复启动后,立即对数据进行恢复。
⑤网络中断处置
发生信息系统网络中断后,应迅速判断故障节点,查明故障原因;如属中心内部线路故障,应立即协调市信息中心组织恢复;如属通信部门管辖的线路,立即与通信维护部门联系,及时进行修复;如属路由器、交换机等网络设备故障,立即与设备供应商联系修复;如属路由器、交换机配置文件破坏,迅速按照要求重新配置;如遇无法解决的技术问题,立即向有关厂商请求支援。
⑥设备安全处置
发现服务器等关键设备损坏,应立即查明设备故障原因;能自行恢复的,立即用备件替换受损部件;难以自行恢复的,立即与设备供应商联系,请求派维修人员前来维修;若设备一时不能修复,应及时采取必要措施,并告知有关单位暂缓上传、上报数据。
⑦机房火灾处置
机房发生火灾后,应立即启动中心消防应急预案,按照消防应急预案有关规定处置。
⑧外部电源中断处置
外部电源中断后,应迅速查明断电原因,如因内部线路故障,马上组织恢复;如因供电部门原因,立即与供电单位联系,尽快恢复供电;如被告知将长时间停电,应做好以下工作:预计停电1小时以内,由UPS供电;预计停电6小时以内,关闭非关键设备,确保各主机、路由器、交换机供电;预计停电超过6小时的,做好数据备份工作,及时关闭有关设备。
其他没有列出的不确定因素造成的灾害,可根据总的安全原则,结合具体情况做出相应处理;不能处理的可咨询相关专业人员。
(3)应急支援
发生网络与信息安全突发事件后,成立由中心各处室有关人员及各运维单位技术人员组成的应急处置小组,由领导小组有关领导带队,督促、指导、协调、安排应急处置工作。处置小组根据事态发展和处置工作需要,及时联系有关专家和应急支援单位,并有权临时调动系统内必要的物资、设备,开展应急支援。
5后期处置
5.1 恢复重建
应急处置工作结束后,要迅速组织抢修受损设施,减少损失,并使用应急处置设备尽快恢复事件涉及的基础信息网络、重要信息系统正常运行,制定恢复重建计划并组织实施。
5.2 总结评估
对事件造成的损失和影响进行分析评估,对网络与信息安全突发事件的起因、性质、影响、责任等进行调查总结,提出处理意见和改