一、总则
1.1 目的
为科学应对网络与信息安全突发事件,完善应急响应机制,规范信息安全应急响应工作内容和工作流程,有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响,确保信息系统的安全、稳定运行和业务的连续性,根据国家、省有关要求,结合我厅实际,特制定本预案。
1.2 编制依据
根据 《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《山东省网络与信息安全应急预案》等相关法规、规定、文件精神,制定本预案。
1.3 适用范围
凡在我厅范围内发生的由于自然灾害、软硬件设备故障、人为失误或者破坏等原因严重影响到网络与信息系统的正常运行,出现系统中断、系统破坏、数据破坏或者秘密信息泄露等,造成不良影响或经济损失的重大信息安全事件,适用本预案。
1.4 分类分级
实施预警信息等级制度,按照事件严重性和紧急程度及对社会影响的大小,分为以下五级:
1级:本级信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益基本不影响或损害极小。
2级:本级信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益有一定的影响或破坏;对国家安全、社会秩序、经济建设和公共利益产生一定危害
3级:本级信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有较为严重的影响或破坏,对国家安全、社会秩序、经济建设和公共利益产生较大危害;
4级:本级信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有极其严重的影响或破坏,对国家安全、社会秩序、经济建设和公共利益产生严重危害;
5级:本级信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有灾难性的影响或破坏,对国家安全、社会秩序、经济建设和公共利益产生一定特别严重的危害;
当发生3级和3级以上的信息安全事件时,启动本预案。
1.5 工作原则
(1) 积极防御,综合防范。立足安全防护,加强预警,抓好预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。
(2) 明确责任,分级负责。按照“谁主管谁负责,谁运营谁负责”的原则,建立和完善安全责任制,协调管理机制和联动工作机制。
(3) 依靠科学,管控结合。加强技术储备,规范应急处置措施与操作流程,实现网络与信息安全突发公共事件应急处置工作的科学化、程序化与规范化。树立常备不懈的观念,定期进行预案演练,确保应急措施切实可行。
二、组织指挥体系及职责任务
2.1 应急领导小组
建立网络与信息安全事件应急领导小组,负责网络信息安全事件的组织指挥和应急处置工作。分管厅领导任组长,厅办公室、财务处、市场信息处、机关党委、信息中心等处室、单位主要负责人为成员。
2.2 应急领导小组办公室
厅网络与信息安全应急领导小组办公室(以下简称应急领导小组办公室)设在信息中心,其职责是:加强日常管理,建立健全协调机制和信息通报机制,明确各处室、单位在应急协调工作中的任务,明确相互间协调要求、工作流程和责任等。负责各项应急准备工作,包括制定应急响应规划、技术队伍建设、应急资源准备、灾难恢复准备、发布预警信息、应急响应培训和演练、关系协调及其他应急响应相关日常工作;负责向应急领导小组汇报应急工作进展,传达领导指示。
2.3 各成员单位的主要职责
厅办公室负责对网上出现的涉及“三农”等重大情况进行应急协调工作,做好应急情况下网上热点敏感问题处理和舆论引导工作,并对网上涉及国家秘密的信息进行检查,督促各有关处室、单位履行各自职能分工、加强相互配合;厅市场信息处负责处理因突发事件引起的全省系统内的网络运行安全问题;厅财务处负责对网络与信息安全工作所需的相关经费给予保障;厅机关党委负责防范和处理网上邪教问题的处理及做好网上反邪教的社会宣传工作;信息中心负责牵头制定专项应急预案,技术队伍建设与系统备份,网络病毒预防软硬件建设,并接受省网络与信息安全应急领导小组办公室的指导。
三、预警和预防机制
3.1 信息监测及预警报告
厅办公室、机关党委、信息中心等部门应加强信息安全监测、分析和预警工作,建立信息安全事故报告制度,发生信息安全突发事件的处室、单位应在事件发生后,对发生的事件进行调查核实、保存相关证据,并向厅网络与信息安全应急领导小组报告。
3.2 预防机制
在全厅范围内积极推行信息安全等级保护,逐步实行信息安全风险评估。重要信息系统建设要充分考虑安全性与灾难恢复,制定并不断完善信息安全应急处理预案。
四、应急响应流程
在发生信息安全事件时,各处室、单位应第一时间报告厅网络与信息安全应急领导小组办公室(电话:0531-67866375),如有必要,领导小组办公室报告省政府值班室(电话:0531-86062094、86910629)。同时与相关的产品技术支持单位联系,获得必要的技术支持。
4.1 预案启动
在发生三级以上网络信息安全事件后,现场应急处理工作组尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,以确定事件范围和评估事件带来的影响和损害,确认为信息安全事件后,对事件进行定级和上报。由应急领导小组决定启动应急响应预案,并由应急领导小组办公室负责应急处理工作。
4.2 现场应急处理
现场应急处理分为四个阶段。一是确认阶段,确定应急处理方式;二是遏制阶段,及时采取行动遏制事件发展;三是根除阶段,彻底解决问题隐患;四是恢复和跟踪阶段,及时清理系统,恢复数据、程序、服务等。
把所有被攻破的系统和网络设备彻底还原到正常的任务状态。恢复工作应该严格避免出现误操作导致数据的丢失。对不同任务恢复工作的承担单位,应有不同的担保。如果攻击者获得了超级用户的访问权,一次完整的恢复应该强制性地修改所有的口令。关注系统恢复以后的安全状况,特别是曾经出问题的地方。对于进入司法程序的事件,应进行进一步的调查,配合有关部门打击违法犯罪活动。
4.3 安全事件的处理记录
在事件的上报、接收和处理过程中,事件接收人、处理负责人应及时作好完整的过程记录。在事件处理过程中,应对防火墙、防病毒、IDS和漏洞扫描系统配置或规则的修改进行记录,事件处理完成后归档。
4.4 结束响应
系统恢复运行后,厅网络与信息安全应急领导小组应对事件造成的损失、事件处理流程和应急预案进行评估,对响应流程、预案提出修改意见,总结事件处理经验和教训,撰写事件处理报告,同时确定是否需要上报该事件及其处理过程。需要上报的,应及时准备相关材料报相关部门。对于蠕虫病毒等易造成大范围传播的信息安全事件,应及时向省应急领导小组办公室提交预警信息。
五、演练及维护
为保证应急行动的能力,每年至少组织一次应急行动演练,以提高处理应急事件的能力,检验物资器材的完好情况。
5.1 演练步骤
1)由厅网络与信息安全应急领导小组确定应急响应演练的目标和应急响应演练的范围;
2)由厅网络与信息安全应急领导小组办公室制定应急响应演练的方案;
3) 厅网络与信息安全应急领导小组调配应急响应演练所需的各项资源,并协调应急响应演练过程中涉及的部门和单位;
4)厅网络与信息安全应急领导小组办公室组织相关部门和单位进行应急响应演练;
5)厅网络与信息安全应急领导小组对应急演练进行评估,并通报应急响应演练结果;
6)厅网络与信息安全应急领导小组办公室总结经验,根据演练结果对应急预案的更新,并对应急工作进行整改。
5.2 预案的修改
在每次应急响应过程结束之后,厅网络与信息安全应急领导小组办公室应针对应急响应工作过程中遇到的问题,分析应急响应预案的科学性和合理性,针对预案中的问题向厅网络与信息安全应急领导小组提出修改建议。
在上级预案或相关的法律标准修改后,本预案应进行调整与其保持一致。调整后,厅网络与信息安全应急领导小组应组织专家组进行评审,评审通过后发布实施。
六、保障措施
6.1 应急队伍保障
厅网络与信息安全应急领导小组办公室应在全厅范围内建立应急响应工作需要的应急响应小组(包括安全分析人员、应急响应人员、灾难恢复人员等)。为提高应急响应小组的人员素质,制定并实施完善、高效、合理的人员培训和演练计划。
6.2 设备保障
为保证在发生信息安全事件时应急工具及设备能够立即投入使用,有效地支持应急响应工作,应加强工具及设备的日常维护调试,保证其随时处于可用状态。
6.3 技术资料保障
应建立全面的技术资料档案,包括网络拓扑结构、重要系统或设备的型号及配置(操作系统及版本号、应用软件及版本号等)、主要设备厂商信息、设备使用人员详细信息等。
6.4 后勤保障
在应急响应工作中,厅网络与信息安全应急领导小组办公室应做好充分的后勤保障工作,包括应急人员的饮食,交通工具和通信联络,以及所需的相关经费等,确保应急响应工作的顺利开展。
七、附则
本应急预案由厅网络与信息安全应急领导小组办公室负责解释。
本应急预案自公布之日起实施。
