北银政办发〔2009〕96号
det 365.com办公室
关于印发银海区网络与信息安全
应急处置预案的通知
各镇人民政府,区政府各部门,区直各企事业单位:
《银海区网络与信息安全应急处置预案》已经区人民政府同意实施,现印发给你们,请认真贯彻执行。
二○○九年九月二十八日
北海市银海区网络与信息安全应急处置预案
为加强银海区网络与信息的安全防范与应急处置,形成科学有效、反应迅速的应急处置机制,提高网络与信息安全事件的应急处置能力,最大限度地保障网络系统的设备安全、数据安全和运行安全,根据《中华人民共和国突发事件应对法》、公安部《关于信息安全等级保护工作的实施意见》、《广西壮族自治区政府系统电子政务安全保密管理办法》(桂政办发〔2008〕64号)和《北海市突发公共事件应急预案》等有关法律法规和规定要求,结合我区实际,制定本预案。
第一条:适用范围
银海区电子政务应用系统及信息网络(以下统称电子政务系统),包括银海区人民政府门户网站、网上办公系统以及其他通过计算机网络行使政府管理职能和提供公共服务的信息系统。凡遭受各种人为攻击、破坏或自然毁损等灾情,造成系统中断、设备损坏、数据丢失等故障的网络与信息安全事件,均适用本预案。
第二条:事件分级
根据事件发生的可控性、严重程度和影响范围,网络与信息安全事件共分为四级:
1.I级(特别重大):电子政务系统发生大规模瘫痪,事态发展超出管理单位的控制能力,对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的突发公共事件,超过工作时间16小时不能恢复。
2.II级(重大):电子政务系统发生较大规模瘫痪,对国家安全、社会秩序、经济建设和公共利益造成严重损害,超过工作时间8小时未能恢复,需要跨部门协同处置的突发公共事件。
3.III级(较大):电子政务系统发生瘫痪,对国家安全、社会秩序、经济建设和公共利益造成一定损害,但在工作时间8小时内可以恢复,不需要跨部门协同处置的突发公共事件。
4.Ⅳ级(一般):电子政务系统受到一定程度的损坏,对所在用户的权益有一定影响,但在工作时间4小时内可以恢复,不危害国家安全、社会秩序、经济建设和公共利益的突发公共事件。
第三条:组织体系与职责
遵循“谁管理,谁负责”的原则,区各级部门作为所负责管理的电子政务系统安全应急处置机构;区应急管理办公室(以下简称区应急办)为全区电子政务系统安全应急处置的组织协调机构,负责全区电子政务系统应急处置工作的组织、协调和监督;区政府办是全区电子政务网络与信息安全工作的主管部门,其职责是:负责全区电子政务应用系统及信息网络的规划、建设、管理和维护,应急期间负责协调各电信运营企业及有关部门,保障基础网络通信设施,配合区应急办处理相关网络和信息安全事件的报告、应急处置等工作。
第四条:预防预警
(一)网络信息监测。
坚持以预防为主的方针,不断加强网络与信息安全监测,及时收集、分析、研判监测信息,主动发现网络与信息安全事件倾向或苗头,及早采取有效措施加以防范,使各种安全隐患消除在萌芽状态。以银海区人民政府门户网站作为监控重点,由市公安局网警支队提供技术支撑,尽早发现问题,解决问题。
(二)网络线路保障。
要求提供互联网接入和内部光纤网络接入的网络运营商必须保证负责其线路的正常、稳定运行。若运营商方有线路维护或设备变更,一定程度影响电子政务系统正常运行,要求运营商必须提前2小时通知区政府办,然后由区政府办通知各相关单位,早作预备。
(三)论坛统一管理。
不能开设单独的互动式网络论坛,确有必要的,经批准可在区政府门户网站开设内部交流论坛,并且只能采取实名制登录使用,论坛内可再细分讨论区给各部门单位使用。
(四)网站集中管理。
各级政府部门现有或待建的网站要实现集中管理,可托管到区电子政务系统核心机房或使用电子政务系统提供的虚拟主机服务,以充分利用和共享电子政务系统的安全技术资源以及信息网络资源。
(五)预警发布处理。
1.对网络信息监测中发现可能发生网络与信息安全事件的,发现部门要及时发出预警信息,在2小时内报区政府办,并在4小时内向区应急办报告。
2.区政府办接到报警后应迅速组织有关人员进行技术分析,并根据问题性质和危害程度,提出安全警报级别及处置意见。
3.由区保密办、区公安分局等单位发布的预警信息,区政府办、区应急办应根据时效性和严重程度,提前做好有关网络与信息安全应急处置的准备工作。
(六)事件报告。
当网络与信息安全事件发生时,事发单位要将情况及时报告区应急办及区政府办。初次报告时间最迟不得超过事件发生后2个小时,报告内容主要包括事件特征、事件性质、影响范围、事件趋势和拟采取措施等。属III级以上事件的,区应急办要将事件情况报告区人民政府;属I级事件时,区政府办公室还要书面向市人民政府办公室说明故障原因及处理结果。
第五条:应急响应
(一)应急处置方法。
当发生网络与信息安全事件时,首先应区分事件性质,然后再根据不同情况分别进行处置。
1.根据事件性质,网络与信息安全事件可划分为以下三类:
A.自然灾害。指地震、雷电、火灾、洪水等灾害引起的计算机网络与信息系统的损坏。
B.事故损毁。指电力中断、网络损坏或是软件、硬件设备故障等引起的计算机网络与信息系统的损坏。
C.人为破坏。指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖袭击等引起的计算机网络与信息系统的损坏。
2.针对上述各类事件的处置办法:
(1)属A类事件时,应根据实际情况,在保障人身安全的前提下,首先保障数据安全,然后再保障设备安全(包括硬盘拔出与保存、设备断电与拆卸、搬迁设备等)。
(2)属B类事件时,应迅速分析故障特征,查明原因,若区政府办不能独立处理,必须立刻通知相关单位(市供电局、网络运营商、软硬件产品维护单位等),马上组织人员进行系统修复。
(3)属C类事件时,应首先判断破坏来源与性质,然后断开影响安全的网络设备,断开与破坏来源的网络连接,跟踪并锁定破坏来源IP地址或其它用户信息,修复被破坏的信息,恢复信息系统。
(二)故障处置方法。
1.有害信息处置。
首先,指派专人对存在问题的网站、网页及邮件信息等进行全时监控;其次,尽快采取屏蔽、删除等有效措施对有害信息进行清理,并做好相关记录;再次,采取技术手段追查有害信息来源;此外,如发现涉及国家安全、稳定的重大有害信息,还要及时向市公安局网警支队报告。
2.黑客攻击处置。
当发现网页内容被篡改或通过入侵检测系统发现黑客攻击时,首先将被攻击服务器等设备从网络中隔离;然后采取技术手段追查非法攻击来源;第三,召开信息安全评估会,评估破坏程度,并视其严重程度,决定是否需向市公安局网警支队报告;最后,恢复或重建被破坏的系统。
3.病毒侵入处置。
当发现计算机系统感染病毒后,首先,立即将该计算机从网络上物理隔离,同时备份硬盘数据;然后再启用防病毒软件进行杀毒处理,并使用病毒检测软件对其他机器进行病毒扫描和清除;一时无法查杀的新病毒,要迅速与相关病毒软件供应商联系解决;如感染病毒的是服务器或主机系统,要立即告知使用部门并做好相应清查工作。
4.软件遭受破坏性攻击处置。
重要软件系统及其相对应的数据必须存有备份,同时还要采取异地避灾等方式保存于安全处。一旦软件遭受破坏性攻击,应立即报告和停止系统运行;然后检查日志等资料,确认攻击来源,并采取有效措施,恢复软件系统和数据。
5.数据库安全防范处置。
各数据库系统至少要准备两个以上数据库备份,一份放在机房,一份放在异地。一旦数据库崩溃,首先立即通知有关单位暂缓上传、上报数据,然后再组织人员对主机系统进行维修;如遇无法解决的问题,立即请求软硬件供应商协助解决。系统修复启动后,将第一个数据库备份取出,并按照要求将其恢复到主机系统中;如因第一个备份损坏,导致数据库无法恢复,则取出第二个数据库备份予以恢复。
6.网络线路中断处置。
网络线路中断后,应迅速判断故障节点,查明原因、尽快修复。如属网络运营商负责维护运营的线路,立即与运行商维护部门联系,及时进行修复。如属局域网内部线路故障,应立即判断故障节点,查明故障原因,迅速组织修复;如属路由器、交换机等网络设备故障,立即与设备供应商联系修复;如属路由器、交换机配置文件破坏,迅速按照要求重新配置;如遇无法解决的技术问题,立即向市政府经济信息中心或有关厂商请求支援。
7.设备安全处置。
发现服务器等关键设备损坏,应立即查明设备故障原因;能自行恢复的,立即用备件替换受损部件;难以自行恢复的,立即与设备供应商联系,请求派维修人员前来维修;若设备一时不能修复,应及时采取必要措施,并告知有关单位暂缓上传、上报数据。
8.机房火灾处置。
一旦机房发生火灾,首先切断所有电源,按响火警警报;检查自动喷淋系统是否启动,并使用灭火器进行灭火;必要时向公安消防部门请求支援。
9.外电中断处置。
外电中断后,立即切换到备用电源;迅速查明断电原因,如因内部线路故障,马上组织恢复;如因供电部门原因,立即与供电单位联系,尽快恢复供电;如被告知将长时间停电,应做好以下工作:(1)预计停电1小时以内的,由UPS供电;(2)预计停电1-4小时的,关掉非关键设备,确保各主机、路由器、交换机供电;(3)预计停电超过4小时的,做好数据备份工作,及时关闭有关设备。
10.其他故障处置。
上述没有列出的、属不确定因素造成的灾害,可根据总的安全原则,结合具体情况做出相应处理;不能处理的可咨询相关专业人员。
(三)应急联动。
当发生Ⅱ级以上(含Ⅱ级)网络与信息安全事件时,由区应急办、区政府办组织协调应急处置工作,并根据事态发展和处置工作需要,可临时组织专家小组、应急支援单位和调动系统内必要的物资、设备等,迅速开展应急救援的处置工作。
(四)后期处置。
1.善后处理。
在应急处置工作结束后,事发单位(部门)应迅速采取措施,抓紧组织抢修受损的基础设施,减少损失,尽快恢复正常工作。统计各种数据,查明原因,对事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,并迅速组织实施。有关主管部门应提供必要的人员、技术、物资和装备以及资金等支持,并将善后处置的有关情况报区政府办及区应急办,不断改进网络与信息安全应急工作。
2.调查评估。
在应急处置工作结束后,应立即组织有关人员和专家组成事件调查组,在有关部门的配合下,对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失情况,总结经验教训,写出调查评估报告,报区应急办及区政府办,并根据问责制的有关规定,对有关责任人员作出处理。特别重大网站信息安全突发事件的调查评估报告,应经区应急办审核后报区政府,必要时采取新闻发布会的形式向社会公众通报。
3.责任与奖惩。
电子政务系统各相关单位应指定一名单位(部门)领导具体负责此项工作的落实。按照有关规定,对在网络与信息安全事件应急过程中表现突出的单位和个人给予表彰,对不认真执行本预案,贻误时机,给电子政务系统安全造成重大损失的,追究相关人员的责任。
第六条:保障措施
(一)应急队伍保障。
各相关单位要组建电子政务系统安全应急处置队伍(包括安全分析员、应急响应人员、灾难恢复人员等),制定相应培训和演练计划,提高应对网络与信息安全事件的能力。
(二)设备保障。
各相关单位要结合实际工作需要,提前配备应急处置工作所必须的设备或工具软件,并加强应急处置工具及设备的维护调试,保证其随时处于可用状态。特别是一些容易坏损的设备和模板,更要提前配置备件,以便应急时可及时替代更换。
(三)数据保障。
重要信息系统应建立异地避灾备份系统和相关工作机制,保证重要数据受到破坏后可紧急恢复。各避灾备份系统应具有一定兼容性,在特殊情况下各系统之间互为备份。
(四)技术资料保障。
全面的技术资料是高效应急处置的前提和基础。网络拓扑结构、重要系统或设备的型号及配置、主要设备厂商信息等技术资料,应建立专门技术档案,并及时更新,保证与实际系统相一致。
(五)经费保障。
电子政务系统应设立安全应急处置资金,并列入部门年度财政预算。
(六)监督检查制度。
各相关单位应急工作组应加强对电子政务系统安全应急工作的监督和检查,做到居安思危、常备不懈。
第七条:附则
本预案由区应急管理办公室负责解释、修订,并根据应急处置实践和信息技术的发展,及时对本预案进行完善。
抄送:区委各部门,区人武部,各人民团体
区人大办、区政协办,区法院、区检察院,银海区各分局。
det 365.com办公室 2009年9月28日印发
(共印58份)