成都高新区电子政务网络安全应急预案
各街道办事处,各部门,各直属单位:现将《成都高新区电子政务网络安全应急预案》印发给你们,请认真遵照执行。
成都高新区信息办
二〇〇八年八月五日
附件:
成都高新区电子政务网络安全应急预案
1 、总则
1.1、编制目的
为规范和加强高新区电子政务网络重大安全事件的报告管理工作,及时掌握和评估重大网络安全事件有关情况,协调组织力量进行事件的应急响应处理,降低网络安全事件所造成的损失和影响,制定本预案。
1.2 、编制依据
根据《成都高新区信息网络安全工作方案》和有关法律、法规的规定,结合高新区电子政务实际制定本预案。
1.3、工作原则
统一领导,归口管理。高新区电子政务网络安全应急处理工作由高新区信息办牵头,会同各有关单位,齐抓共管、各负其责,共同提高高新区电子政务网络安全应急处理水平。
明确责任,依法规范。各办学单位按照“谁主管、谁负责”的原则,加强网络安全管理,认真落实各项安全管理制度和措施。
防范为主,加强监控。广泛宣传电子政务信息安全基本知识,提高对电子政务网络安全的认识水平,切实落实信息安全防范措施,强化对电子政务网络系统的监控,减少安全事件可能带来的不良影响。
整合资源,协调处理。高新区电子政务网络信息安全应急处理工作应充分调动专业信息安全机构的积极性,加强协调与沟通,整合社会资源,提高高新区电子政务网应急处理能力。
1.4、适用范围
本规范所称的网络安全重大事件是指由于自然灾害、人为攻击或破坏以及病毒爆发等原因所引发,严重影响到电子政务网络与信息系统的正常运行,造成业务 中断、系统瘫痪、数据破坏或信息失窃等,从而在政府形象、社会稳定或公众利益等方面造成严重影响以及造成一定程度直接和间接重大经济损失的事件。
高新区所有单位部门的网络与信息系统安全事件报告、应急处理,均适用于本规范。
2 、电子政务网络突发事件的类别、级别
2.1 、突发事件的类别
根据政务网络安全的发生原因、性质和机理,高新区电子政务网网络安全主要分为以下三类:
(1)攻击类事件:指网络系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。
(2)故障类事件:指网络系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。
(3)灾害类事件:指因爆炸、火灾、雷击、地震、台风等外力因素导致网络系统损毁,造成业务中断、系统宕机、网络瘫痪等情况。
2.2、突发事件的级别
按照网络安全事件的性质、严重程度、可控性和影响范围,将其分为特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)和一般(Ⅳ级)四级。
(1)特别重大网络安全事件(Ⅰ级)。指扩散性很强,造成全网的重要政务信息系统大面积瘫痪,影响社会稳定,衍生其他重大安全事件。
(2)重大网络安全事件(Ⅱ级)。指扩散性强,或发生在涉及国计民生的重要政务信息系统。
(3)较大网络安全事件(Ⅲ级)。指基本无扩散性,或发生在本网个别单位的政务网络事件。
(4)一般网络安全事件(Ⅳ级)。指无扩散性,或发生在本网个别单位的政务网络事件。
3、组织机构
3.1、网络与信息安全领导小组组成
组长由管委会分管信息化工作副主任担任,副组长由信息办主任担任,成员由各部门相关负责人担任。
3.2、网络与信息安全领导小组职责
研究制订高新区络与信息安全应急处置工作的规划、计划和政策,协调推进高新区网络信息安全应急机制和工作体系建设;当发生网络信息安全突发事件后,由应急小组确定事件级别,决定是否启动本预案,进入应急处置程序或按程序向上一级呈报,启动更高层次的应急预案。
4、 预防措施
4.1、宣传培训
各单位应大力宣传网络安全的基本原理、安全事件的预防措施和应急处理的基本知识,提高本单位人员的网络安全意识水平。
各单位应定期或不定期地举办网络安全基础培训,使不同岗位的人员都能熟悉并掌握网络系统应急处理的知识和技能。同时应积极参加由信息办举办的各类网络安全培训,通过不同层次、类型的培训或研讨,提高全网电子政务网络安全水平,减少网络安全事件数量。
4.2、安全措施
各单位应定期进行风险评估,了解网络系统目前可能存在的安全隐患和所面临的安全威胁,并针对本单位电子政务的实际情况,从物理、网络、系统、应用和数据等多个层面实施网络安全保障工作。
各单位应定期对网络系统的运行状态、系统日志和安全日志等进行检查,对重要信息系统如网站、核心数据库等应每日进行运行检查,对重要数据要实时和定时进行备份,对核心网络设备定期检查和维护,确保及时发现网络安全事件,减少安全事件所造成的损失。
各单位应定期或不定期组织预案演练,进一步明确应急响应各岗位责任,检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求,对预案中存在的问题和不足及时补充、完善。
4.3、灾前预防技术体系
预防供电故障:各单位的网络交换中心和传输节点均应配置防雷击、防静电设备和长延时不间断电源。
预防火险:机房空调要保持恒温。每天下班前要检查电源接插件,如有烧焦现象,要立即更换。灭火器要保证在保质期内,并放置于每间办公室入口处,所有的工作人员都要学会正确使用灭火器。
预防水渗故障:交换中心、传输节点、通信管沟、分线盒、办公室均应采取防水渗措施。
预防设备丢失:各单位的网络及信息设备均应采取防盗措施,特别是室外交换设备、分线盒要有相应的防盗设施。
预防线路故障:关键服务器区网络出口采用冗余线路。
预防黑客病毒:在电子政务网的出口设置高性能防火墙、入侵检测系统、防病毒系统。在网络设备和服务器上采用安全策略,安装相应的补丁程序、关闭不用的端口、启动日志记录。
预防内部攻击:在电子政务网内采用VLAN技术保证不同子网的相互独立。
预防设备故障:对于易损件,准备必要的备品、备件。
5 、应急处理流程
出现灾情后值班人员要及时通过电话、传真、邮件、短信等方式通知单位领导及相关技术负责人。
值班人员根据灾情信息,初步判定灾情程度。能够自身解决,要及时加以解决;如果不能自行解决故障,由单位领导现场指挥,协调各部门力量,按照分工负责的原则,组织相关技术人员进入抢险程序。并立即报告信息办备案。
5.1、病毒爆发处理流程
各单位对外服务信息系统一旦发现感染病毒,应执行以下应急处理流程:
病毒爆发处理流程图
(1).立即切断感染病毒计算机与网络的联接;
(2).对该计算机的重要数据进行数据备份;
(3).启用防病毒软件对该计算机进行杀毒处理,同时通过防病毒软件对其他计算机进行病毒扫描和清除工作;
(4).如果满足下列情况之一的,应立即向本单位信息安全负责人通报情况,并向信息办报告:
1)现行防病毒软件无法清除该病毒的;
2)网站在2小时内无法处理完毕的;
3)业务系统或办公系统在4小时内无法处理完毕的;
(5).恢复系统和相关数据,检查数据的完整性;
(6).病毒爆发事件处理完毕,将计算机重新接入网络;
(7).总结事件处理情况,并提出防范病毒再度爆发的解决方案;
(8).实施必要的安全加固。
5.2、网页非法篡改处理流程
各单位对外服务网站一旦发现网页被非法篡改,应执行以下应急处理流程:
网页非法篡改处理流程图
(1).发现网站网页出现非法信息时,值班人员应立即向本单位信息安全负责人通报情况,并立即向信息办报告。情况紧急的,应先及时采取断网等处理措施,再按程序报告;
(2).本单位信息安全负责人应在接到通知后立即赶到现场,做好必要记录,妥善保存有关记录及日志或审计记录;
(3).信息办应在接到报告后2小时内赶到现场,追查非法信息来源。信息办做好各种相关的配合工作,必要时协调相关部门或公司来协助解决;
(4).在信息办提取相关数据样本后,清理网站非法信息,强化安全防范措施,然后将网站重新投入使用。如情节严重,构成违法犯罪的,由公安局网立案侦查;
(5).总结事件处理情况,并提出防范再度发生的解决方案;
(6).实施必要的安全加固。
5.3、非法入侵处理流程
各单位对外服务信息系统一旦发现被远程控制等非法入侵行为,应执行以下应急处理流程:
非法入侵处理流程图
(1).发现系统服务器被远程控制、植入后门程序,或发现有黑客正在进行攻击时,应立即向本单位信息安全负责人通报情况,并立即向信息办报告;
(2).如服务器已被入侵,将被攻击的服务器等设备从网络中隔离出来,保护现场;
(3).本单位信息安全负责人应在接到通知后立即赶到现场,做好必要记录,妥善保存有关记录及日志或审计记录;
(4).信息办对网站事件应在接到报告2小时内赶到现场;对业务系统和办公系统事件应在接到报告4小时内赶到现场,对现场进行分析,追查攻击源,修改防火墙等设备的安全配置阻断黑客继续入侵。相关单位做好相关的配合工作,必要时协调相关部门或公司来协助解决;
(5).分析后台数据库操作日志,判断是否发生数据失窃。检查、校验数据的完整性和有效性;
(6).在信息办提取相关数据样本后,恢复与重建被攻击或破坏的系统。如情节严重,构成违法犯罪的,由公安局立案侦查。重新将恢复后的对外服务系统接入网络;
(7).总结事件处理情况,并提出防范再度发生的解决方案;
(8).实施必要的安全加固。
5.4、拒绝服务攻击处理流程
各单位对外服务信息系统一旦发现遭受DDoS等拒绝服务攻击,无法正常访问时应执行以下应急处理流程:
拒绝服务攻击处理流程图
(1).发现对外服务系统访问流量异常、无法正常访问,可能遭受拒绝服务攻击时,应立即向本单位信息安全负责人通报情况,并立即向信息办报告;
(2).本单位信息安全负责人应在接到通知后立即赶到现场,做好必要记录,妥善保存有关记录及日志或审计记录;
(3).信息办对网站事件应在接到报告2小时内赶到现场;对业务系统和办公系统事件应在接到报告4小时内赶到现场,对现场进行分析,追查攻击源,修改路由器、防火墙等设备的安全配置,缓解、消除拒绝服务攻击的影响。相关部门做好相关的配合工作,必要时协调专业公司来协助解决;
(4).在信息办提取相关数据样本后,恢复对外系统正常运行。如情节严重,构成违法犯罪的,由公安局立案侦查;
(5).总结事件处理情况,并提出防范再度发生的解决方案;
(6).实施必要的安全加固。
5.5、机房物理环境事故应急处理流程
供电故障:如果出现短路,切断电源,更换短路器件,恢复供电;如果出现断路,切断电源,连接断开线路,恢复供电;防雷防静电设备故障,切断电源,跳过防雷防静电设备直接供电,及时维修损坏设备并更换;UPS故障,跳过逆变输出,及时维修损坏设备并更换。
火灾:切断电源,使用灭火器灭火;向119指挥中心报告火警,请求支援;如有人员遇险,应先救人后救物。
水渗故障:切断电源,更换浸水设备,采取防水渗措施。
5.6、网络线路故障应急处理流程
网络内部线路故障:如果有环路或冗余线路,通过自动路由或手动设置、联接等技术措施保障网络畅通。对于需要抢修的线路,如果属于自建线路,维护人员赶赴现场抢修;如果是租用其它电信运营商的线路,通知相关运营商及时抢修;如果线路无法修复,协调架设临时线路。
互联网出口线路故障:启用备份线路,通知线路维护人员及时抢修。
5.7、数据故障应急处理流程
数据丢失或损坏:从数据备份服务器上提取数据,尽快恢复,保证系统在最短时间内能够正常运行;分析造成事故的原因,针对具体问题,采取相应安全策略。
根据需要,可通过网站、报纸、电台、电视台等向社会公众发布灾情及救灾信息。
6、 监督检查
各单位应根据本规范制定本单位的信息安全事件应急处理规范,对发生的信息安全事件严格按照本规范要求及时如实地报告并处理,确保电子政务网信息系统的正常运行和服务。
信息办负责对各单位执行本规范的情况进行监督、检查。
对违反本规范进行操作而导致严重不良后果的单位和负责人,将会同有关部门追究其相应的责任。
来源:国家级成都高新技术产业开发区管理委员会
