1.总则 1.1编制目的 为科学应对网络与信息安全突发事件,有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响,保障信息系统的实体安全、运行安全和数据安全。 1.2编制依据 《中华人民共和国计算机信息系统安全保护条例》;《中其中央办公厅、国务院办公厅转发<国家信息化领导小组关于加强网络与信息安全保障工作的意见>的通知》;《**省信息化促进条例》、《**省网络与信息安全应急预案》;《市委办公室、市政府办公室转发<市信息化领导小组关于加强信息安全保障工作的意见>的通知》;《**市人民政府突发公共事件总体应急预案》;《**市网络与信息安全应急预案》;《**市劳动保障信息系统建设与安全运行管理暂行规定》;《**市劳动和社会保障信息一体化工作制度》等。 1.3基本原则 1.3.1统一领导,协同作战。全市劳动保障系统网络与信息安全突发事件应急工作由市局网络与信息安全应急协调领导小组统一领导和协调,各县区劳动保障局、市局机关各科室、各直属单位遵照“统一领导、归口负责、综合协调、各司其职”的原则开展工作。 1.3.2明确责任,依法规范。各有关部门,按照“属地管理、分级响应、及时发现、及时报告、及时处置、及时控制"的要求,依法对网络与信息安全突发事件进行防范、监测、预警、报告、响应、指挥和协调、控制。按照“谁主管、谁负责,谁运营、谁负责”的原则,实行责任制和责任追究制。 1.3.3防范为主,加强监控。开展安全教育和培训工作,提高全市劳动保障系统的信息安全防护意识和水平,积极做好日常安全工作,提高全市劳动保障系统应对突发网络与信息安全事件的能力。建立和完善信息安全监控体系,加强对网络与信息安全隐患的日常监测,建立完善的信息系统安全监控和管理机制,保证对网络与信息安全事件做到快速觉察、快速反应、及时处理、及时恢复。 1.4适用范围 凡在我市劳动保障系统范围内发生的严重影响网络与信息系统正常运行,造成系统中断、系统破坏、数据破坏或者国家秘密信息被窃取、泄露等,对社会稳定或公众利益等方面造成不良影响以及造成一定程度经济损失的重大网络与信息安全事件,适用本预案。 2.组织指挥体系及职责任务 2.1网络与信息安全应急协调领导小组 在**市网络与信息安全应急协调领导小组的统一领导下,成立市劳动保障网络与信息安全应急协调领导小组,组长由局主要领导担任,副组长由局分管领导担任,成员由有关科室、单位负责人组成。负责网络与信息安全应急响应工作的整体规划、组织协调和决策指挥。 2.2领导小组办公室 市局网络与信息安全应急协调领导小组办公室(以下简称领导小组办公室)设在市局信息中心(与局信息化领导小组办公室合署办公),办公室主任由信息中心主要负责人担任。领导小组办公室主要负责市网络与信息安全应急协调领导小组的日常工作,负责建立健全协调机制和信息通报机制,制定相应的应急处理工作流程,明确各部门在应急协调工作中的任务和责任;负责协调组织各项应急准备工作,主要包括应急响应规划制定、应急队伍建设、应急资源准备、灾难恢复准备、发布预警信息、应急响应培训和演练及其他应急响应相关工作;按照网络与信息安全应急协调领导小组的命令和指示,组织协调各成员单位,落实网络与信息安全应急保障工作。 3.预警和预防机制 3.1信息监测及预警报告 制定和完善网络与信息安全突发公共事件监测、预警、报告制度,加强网络与信息安全监测、分析和预警工作,建立网络与信息安全事故通报制度。发生网络与信息安全突发事件的单位应当在事件发生后,对发生的事件进行调查核实、保存相关证据,并向有关部门和领导小组办公室报告。领导小组办公室建立和健全信息监测、指挥决策支持及预警发布系统,及时发布预警信息。 3.2预防机制 积极推行信息安全等级保护,逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑应急备份与灾难恢复,制定并不断完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件,各相关部门建立制度化、程序化的处理流程。 4.应急响应启动条件 实施预警信息等级制度,按照事件严重性和紧急程度及对社会影响的大小,分为以下五级: 1级:本级网络与信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益基本不影响或损害极小; 2级:本级网络与信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益有一定的影响或破坏;对国家安全、社会秩序、经济建设和公共利益产生一定危害; 3级:本级网络与信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有较为严重的影响或破坏,对国家安全、社会秩序、经济建设和公共利益产生较大危害; 4级:本级网络与信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有极其严重的影响或破坏,对国家安全、社会秩序、经济建设和公共利益产生严重危害。 5级:本级网络与信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有灾难性的影响或破坏,对国家安全、社会秩序、经济建设和公共利益产生特别严重的危害; 当发生2级和2级以上的网络与信息安全事件时,启动本预案,并向市局应急领导小组办公室报告。 5.应急响应流程 在发生网络与信息安全事件时,各单位应第一时间报告到领导小组办公室(市劳动保障信息中心,电话:31628373162897),如有必要,领导小组办公室报告市网络与信息安全应急协调领导小组办公室。同时与相关的产品技术支持单位联系,获得必要的技术支持。 5.1预案启动 在发生网络与信息安全事件后,事件发生单位和现场应急响应小组尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,以确定事件范围和评估事件带来的影响和损害,确认为网络与信息安全事件后,对事件进行定级和上报。按照应急响应流程,由网络与信息安全应急协调领导小组决定启动应急预案,并由领导小组办公室负责应急处理协调工作。 5.2应急处理 5.2.1确认阶段。事件发生单位要初步确定应急处理方式,检查威胁造成的结果,评估事件带来的影响和损害:如检查系统、服务、数据的完整性、保密性或可用性,检查攻击者是否侵入了系统,以后是否能再次随意进入,损失的程度,确定暴露出的主要危险等。应根据事件具体情况采取抑制措施,抑制事件进一步扩散,并根除事件影响,恢复系统运行。 如果以自身力量无法处理的事件,应提出应急支援请求,由领导小组办公室协调派出应急支援技术力量进行信息安全应急支援。 5.2.2遏制阶段。及时采取行动遏制事件发展,限制潜在的损失与破坏,同时要确保封锁方法对涉及相关业务影响最小。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路,提高系统或网络行为的监控级别,设置陷阱,启用紧急事件下的接管系统,实行特殊“防卫状态”安全警戒等。 5.2.3根除阶段。 在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。与此同时,将对攻击源进行定位并采取合适的措施将其中断。清理系统、数据恢复、运行程序、继续服务。把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应该十分小心,避免出现误操作导致数据的丢失。另外,恢复工作中如果涉及到机密数据,需要额外遵照机密系统的恢复要求。对不同任务的恢复工作的承担单位,要有不同的担保。如果攻击者获得了超级用户的访问权,一次完整的恢复应该强制性地修改所有的口令。 在事件被抑制之后,通过对有关事件或行为的分析结果,找出事件根源,明确相应的补救措施,彻底消除安全隐患。 5.2.4恢复和跟踪阶段。在确保安全问题解决后,要及时清理系统、恢复数据、程序、服务。恢复工作应避免出现误操作导致数据的丢失。另外,恢复工作中如果涉及到机密数据,需遵照机密系统的恢复要求。 5.2.5对于重点业务系统,发生问题后在采取技术措施解决的同时,还要加强宣传,公布危害性和解决办法,以避免产生社会恐慌。 5.3应急支援 本预案启动后,领导小组办公室立即组织网络与信息安全应急响应技术队伍赶赴事发地,督促、指导和协调应急处置工作,并根据事态的发展和处置工作的需要,及时调动必需的物资、设备,支援应急工作。当采用一般应急处置措施仍无法控制事态时,要迅速研究采取有利于控制事态的非常措施,并向市网络与信息安全应急领导小组办公室请求支援。 5.4安全事件的处理记录 在事件的上报、接收和处理过程中,事件接收人、处理负责人应及时作好完整的过程记录。事件处理完成后归档。 5.5结束响应 系统恢复正常运行后,事件发生单位应急响应小组对事件造成的损失、事件处理流程和应急预案进行评估,对响应流程、预案提出修改意见,总结事件处理经验和教训,撰写事件处理报告,同时确定是否需要上报该事件及其处理过程,需要上报的应及时准备相关材料,上报相关部门。 对于蠕虫病毒等易造成大范围传播的网络与信息安全事件,应及时向领导小组办公室提交预警信息。 因为重大自然灾害而引起的网络与信息安全事件,可根据灾害造成的损失情况参照上述流程进行应对。 6.演练及维护 6.1建立定期演练制度 每年组织一次应急演练,模拟处置影响较大的信息安全事件,发现并解决应急工作体系和工作机制存在的问题,检验物资器材的完好情况,提高应急处理能力。 6.2预案的修订完善 领导小组办公室负责应急预案的修订完善。网络与信息安全技术组成员应针对应急响应工作中遇到的问题,分析应急预案的科学性和合理性,及时向领导小组办公室提出修改建议。在上级预案或相关的法律法规修改后,本预案应进行调整与其保持一致。 7.保障措施 7.1应急队伍保障 7.1.1各部门要不断加强信息安全人才培养,进一步强化信息安全宣传教育,努力建设一支高素质、高技术的信息安全核心人才和管理队伍,增强信息安全防御意识。加强应急力量配备,指定专人负责,并开展技术培训和应急演练,提高应急响应技术队伍素质,保证应急情况下应急机制的迅速启动和有效处置。 7.1.2由领导小组办公室在全市范围内组织建立网络与信息安全应急响应技术队伍(包括安全分析员、应急响应人员、灾难恢复人员等)。成立市网络与信息安全应急响应技术队伍,为应急救援决策提供咨询和技术支持。根据工作需要,领导小组办公室可从有关单位抽调工作人员,各单位应服从协调和安排。 7.2应急设备保障 7.2.1各单位在信息系统建设和运行过程中应建立信息网络预留硬件、软件和应急救援设备等应急物资储备。根据工作需要,各单位应急响应工作缺乏的设备或工具软件应及时采购。在网络与信息安全突发事件发生时,应急物资储备可由领导小组办公室调度使用。 7.2.2应急响应技术队伍应加强对应急工具及设备的维护调试,保证其随时处于可用状态,保证在发生网络与信息安全事件时应急工具及设备能够立即投入使用,有效地支持应急响应工作。 7.2.3应急响应技术队伍应注意跟踪最新的技术发展动态,收集、整理其他应急响应相关工具,包括文件完整性检测工具、木马、后门检测工具等等。对于病毒库、脆弱性评估系统插件库等应及时更新。 7.3技术资料保障 全面的技术资料是高效的应急响应工作的前提和基础,应急技术资料是网络和信息系统重要技术信息,包括网络拓扑结构、重要系统或设备的型号及配置(操作系统及版本号、应用软件及版本号等)、主要设备厂商信息等。信息中心应将这些信息建立技术档案并及时更新,以保证与实际系统的一致性。 7.4经费保障 在应急响应工作中,协调财政部门应对所需的相关经费给予充分保障。 7.5后勤保障 各有关科室、单位要做好应急响应工作后勤保障,确保应急响应工作的顺利开展。 8、监督检查与奖惩 8.1预案执行监督 应急领导小组办公室负责对预案实施的全过程进行监督检查,督促成员单位按本预案指定的职责采取应急措施,确保及时、到位。 8.1.1发生重大信息安全事件的单位应当按照规定及时如实地报告事件的有关信息,不得瞒报、缓报。 8.1.2应急行动结束后,应急响应领导小组办公室对相关成员单位采取的应急行动的及时性、有效性进行评估。 8.2奖惩与责任 8.2.1对下列情况经网络与信息安全应急响应领导小组办公室评估审核,报网络与信息安全应急响应领导小组批准后予以奖励。 在应急行动中做出特殊贡献的先进单位或个人;在应急行动中提出重要建议方案,节约大量应急资源或避免重大损失的人员;在应急行动第一线做出重大成绩的现场作业人员。 8.2.2在发生重大信息安全事件后,有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的,将予以通报批评;对造成严重不良后果的,将视情节追究责任领导和责任人的行政责任;构成犯罪的,由有关部门依法追究其法律责任。 8.2.3对未及时落实指令,影响应急行动的效果的单位或个人,按《国务院关于特大安全事故行政责任追究的规定》追究相关人员的责任。 附件l: 一、网络与信息安全响应协调领导小组 组长:** 副组长:** 成员:*** 二、网络与信息安全响应协调领导小组办公室 主任:高宗喜 成员:***
附件2:
重大信息安全事件报告表
报告时间: 年 月 日 时 分 单位名称: 报告人: 联系电话: 通讯地址: 传真: 电子邮件:
发生重大信息安全事件的网络与信息系统名称及用途: 负责部门: 负责人: 重大信息安全事件的简要描述(如以前出现过类似情况也应加以说明):
初步判定的事故原因: 当前采取的应对措施: 本次重大信息安全事件的初步影响状况:
事件后果: 影响范围:
严重程度:
值班电话:
传真:
附件3:
重大信息安全事件处理结果报告表 原事件报告时间:备案编号:年 单位名称: 联系人: 通讯地址: 年 月 日 时 分 月 日 第 号总第号
联系电话: 网络或信息系统名称及用途: 已采用的安全措施: 重大信息安全事件的补充描述及最后判定的事故原因:
对本次重大信息安全事件的事后影响状况: 事件后果: 影响范围: 严重程度: 本次重大信息安全事件的主要处理过程及结果:
针对此类事件应采取的保障网络与信息系统安全的措施和建议:
报告人签名:
附件4: 网络与信息安全应急处理指南 1、网站、网页出现非法言论事件紧急处置措施 (1)网站、网页由主办部门的值班人员负责随时密切监视信息内容。 (2)发现在网上出现非法信息时,值班人员应立即向本单位信息安全负责人通报情况; (3)信息安全相关负责人应在接到通知后立即赶到现场,作好必要记录,清理非法信息,妥善保存有关记录及日志或审计记录,强化安全防范措施,并将网站网页重新投入使用。 (4)追查非法信息来源,并将有关情况向本单位网络领导小组汇报。 (5)信息化领导小组组长召开小组会议,如认为事态严重,则立即报市网络与信息安全应急领导小组或向公安部门报警。 2、黑客攻击事件紧急处置措施 (1)当有关值班人员发现网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向信息安全负责人通报情 况。 (2)信息安全相关负责人应在接到通知后立即赶到现场,并首先将被攻击的服务器等设备从网络中隔离出来,保护现场,并 将有关情况向本单位信息化领导小组汇报。 (3)对现场进行分析,并写出分析报告存档。 (4)恢复与重建被攻击或破坏系统。 (5)信息化领导小组组长召开小组会议,如认为事态严重,则立即报市网络与信息安全应急领导小组或向公安部门报警。
3、病毒事件紧急处置措施 (1)当发现有计算机被感染上病毒后,应立即向信息安全负责人报告,将该机从网络上隔离开来。 (2)信息安全相关负责人员在接到通报后立即赶到现场。 (3)启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。 (4)如果现行反病毒软件无法清除该病毒,应立即向本单位信息化领导小组报告,并迅速联系有关产品商研究解决。 (5)信息化领导小组经会商,认为情况严重的,应立即报市网络与信息安全应急领导小组或向公安部门报警。 (6)如果感染病毒的设备是主服务器,经本单位信息化领导小组同意,应立即告知各下属单位做好相应的清查工作。 4、软件系统遭破坏性攻击的紧急处置措施 重要的软件系统平时必须做好备份工作,并将它们保存到安全的地方;一旦软件遭到破坏性攻击,应立即向信息安全负责人报告,并将该系统暂停运行;信息安全负责人要认真检查信息系统的目志等资料,确定攻击来源,并将有关情况向本单位信息化领导小组汇报,再恢复软件系统和数据;信息化领导小组组长召开小组会议,如认为事态严重,则立即报市网络与信息安全应急领导小组或向公安部门报警。 5、数据库安全紧急处置措施 主要数据库系统应做多个数据库备份;一旦数据库崩溃,值班人员应立即启动备用系统,并向信息安全负责人报告;在备用系统运行期间,信息安全工作人员应对主机系统进行维修并作数据恢复。 6、广域网外部线路中断紧急处置措施 (1)广域网线路中断后,值班人员应立即向信息安全负责人报告。 (2)信息安全相关负责人员接到报告后,应迅速判断故障节点,查明故障原因。 (3)如属我方管辖范围,由信息安全工作人员立即予以恢复。 (4)如属电信、网通、联通部门管辖范围,立即与其维护部门 联系,要求修复。 7、局域网中断紧急处置措施 设备管理部门平时应准备好网络备用设备,存放在指定的位置。局域网中断后,信息安全相关负责人员应立即判断故障节点,查明故障原因,有必要时并向网络安全组组长汇报。如属线路故障,应重新安装线路。如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅。如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调测通畅。 8、设备安全紧急处置措施 如果服务器等关键设备损坏后,值班人员应立即向信息安全负责人报告。信息安全相关负责人员要立即查明原因。如果能够自行恢复,应立即用备件替换受损部件。如属不能自行恢复的, 立即与设备提供商联系,请求派维护人员前来维修。如果设备一时不能修复,应向本单位信息化领导小组汇报.
相关新闻
