渭南市网络与信息安全事件应急预案.doc

一、总则 为加强网络与信息安全管理，提高应急防范能力，保障基础信息网络和重要信息系统安全，维护国家安全与社会稳定，促进国民经济与社会信息化健康发展，制定本预案。 1.1 编制目的 确保全市基础网络、电子政务系统与其他重要信息系统的日常业务能够持续运行；确保信息的保密性、完整性、可靠性；保证全市突发公共事件信息传输的畅通。 1.2 编制依据 （1）中华人民共和国计算机信息系统安全保护条例；（2）中华人民共和国突发事件应对法；（3）全国人民代表大会常务委员会关于维护互联网安全的决定；（4）陕西省人民政府有关部门和单位制订和修订突发公共事件应急预案框架指南（陕政办函2004121号）；（5）信息安全事件分类分级指南（GB/Z20986-2007）；（6）陕西省网络与信息安全事件应急预案。1.3 工作原则 （1）坚持积极防御，综合防范的方针。 （2）坚持统一领导、分级负责和“谁主管谁负责、谁运营谁负责”的原则。 （3）坚持条块结合、以块为主的原则。 （4）坚持依法管理、规范有序的原则。（5）坚持部门联动、快速反应的原则。1.4 适用范围 全市各县市区、市级机关的网络与信息系统，重点是：信息基础设施、重要业务系统。 二、预警级别 网络与信息安全重大事件是指由于自然灾害、设备软硬件故障、内部人为失误或破坏、黑客攻击、利用计算机病毒进行破坏，境内外敌对势力、敌对分子利用信息网络进行有组织的大规模宣传、煽动和渗透活动，以及对国内信息网络或设施、重点网站进行大规模的破坏活动等原因，严重影响到本市各级机关网络与信息系统、关系到国计民生的基础性网络设施、重要网络和信息系统的正常运行，出现业务中断、系统破坏、数据破坏、信息失窃密或泄密等，从而在国家安全、社会稳定及公众利益等方面形成不良影响并造成一定程度直接或间接经济损失的事件。根据陕西省人民政府有关部门和单位制订和修订突发公共事件应急预案框架指南（陕政办函2004121号）；信息安全事件分类分级指南（GB/Z20986-2007）；陕西省网络与信息安全事件应急预案的内容要求，全市网络与信息安全突发事件划分为四个等级：（1）级(特别重大)。重要网络与信息系统发生全市性大规模瘫痪，事态发展超出地方政府和市级主管部门的控制能力，对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的突发公共事件。（2）级(重大)。重要网络与信息系统造成全市性瘫痪，对国家安全、社会秩序、经济建设和公共利益造成严重损害，需要跨部门、跨地区协同处置的突发公共事件。（3）级(较大)。某一区域的重要网络与信息系统瘫痪，对国家安全、社会秩序、经济建设和公共利益造成一定损害，但不需要跨部门、跨地区协同处置的突发公共事件。（4）级(一般)。重要网络与信息系统受到一定程度的损坏，对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益的突发公共事件。全市网络与信息安全突发事件实行分等级响应、处置的制度。三、应急组织领导体系及职责任务3.1 应急组织领导体系 全市网络与信息安全事件防范及应急处置工作由市网络与信息安全事件应急指挥小组(以下简称指挥小组)统一领导、指挥、协调。 （1）指挥小组组成： 组 长：市人民政府主管副市长 副组长：市委主管副秘书长 市人民政府主管副秘书长 市信息化工作办公室主任 成 员：市委组织部、市委宣传部、市发改委、市教育局、市科技局、市公安局、市国家安全局、市财政局、市安监局、市信息化工作办公室、市文化局、市广电局、市质监局、市保密局、市委机要局、中国人民银行渭南分行、中国电信渭南分公司、中国联通渭南分公司、中国移动渭南分公司等单位分管领导。 （2）渭南市网络与信息安全事件应急办公室 成立渭南市网络与信息安全事件应急办公室（以下简称指挥小组办公室），设在市信息化工作办公室，其组成： 主任：市信息化工作办公室主任 副主任：市公安局、市保密局、市委机要局、市国家安全局、市广电局、市财政局、市信息化工作办公室分管领导。 成员：市信息化工作办公室、市公安局、市保密局、市委机要局、市国家安全局、市广电局、市财政局等有关科室负责人组成。 3.2 职责及任务 （1）指挥小组承担市网络与信息安全方面的工作，其主要职责及任务：审查批准全市信息与网络安全事件应急方案。决定I、II级安全事件应急预案的启动，督促检查级和级安全事件处置工作；对各县市区政府、市级各部门、各有关单位贯彻执行有关法律法规、制定应急处置预案、应急处置准备情况进行督促检查； 对各县市区政府、市级各部门、各有关单位在安全事件处置工作中履行职责情况进行督促检查，开展表彰奖励活动；向省人民政府、市人民政府、省工信厅等报告安全事件以及应急处置情况；按照省网络与信息安全事件应急指挥机构的要求开展处置工作。 （2）市信息化工作办公室承担安全事件的日常工作。其主要职责及任务：组织制定网络与信息安全事件应急方案；统筹规划建立应急处理技术平台，会同成员单位制定相关应急措施；提出相应级别预案的启动，加强或撤销控制措施的建议和意见；协调各县市区、市级各部门、中省驻渭企事业单位及驻渭部队共同做好网络与信息安全事件的处置工作；督促、检查应急措施的落实情况；配合省通信管理局，协调全市通信、网络等基础设施的安全应急保障工作，确保信息传输通畅。负责电子政务网络应急指挥系统的建设与管理。负责及时收集、上报和通报应急事件的有关情况，向市政府报告有关工作情况。 （3）市公安局：负责互联网信息监控及网络运行安全监测，实施互联网信息网络安全报警处置平台建设；负责对网上有害信息传播的处置；负责对影响社会稳定的网上热点问题恶意炒作事件的处置；负责对重大敏感时期、重要活动、重要会议期间重点网站发生信息安全事件的处置；负责计算机病毒疫情和大规模网络攻击事件的处置；会同有关部门提出信息网络安全事件的具体等级标准。 （4）市国家安全局：负责处置利用信息网络危害国家安全的违法犯罪活动等。 （5）市国家保密局：负责组织协调有关部门查处利用计算机网络泄露国家秘密的违法行为。 （6）市委机要局：负责加快对全市各县市区、市级各部门、重要业务系统的密码、密钥管理和推广应用；建立以区域密钥管理为主的CA认证（数字认证）体系，保证信息安全。 （7）市广电局：负责全市广播电视网络等基础设施的安全应急保障工作，确保信息传输通畅。 （8）市财政局：负责建立市网络与信息安全事件应急处置经费保障机制，保证应急处理体系建设和安全事件应急处置所需经费。 （9）市网络与信息安全专家小组主要负责网络与信息安全技术方面重大问题的咨询和处理。（10）各县市区、市级各有关部门负责各自范围内的网络与信息安全管理和突发事件应急处置工作，应参照本预案，建立本地区、本部门应急处置机制。对基础网络设施、重要业务系统坚持“谁主管谁负责、谁运营谁负责”的原则。 四、应急处置 4.1 应急事件报告 (1)发生信息安全事件的单位应当在事件被发现时，立即向当地网络和信息安全事件指挥机构报告。各县市区网络和信息安全事件指挥机构接到报告后，应立即向指挥小组办公室报告。市直单位直接向指挥小组办公室报告。 (2)发生信息安全事件的单位应当立即对发生的事件进行调查核实、保存相关证据，确定事件等级，上报相关材料或提出启动预案申请。4.2 应急响应程序“级/一般”级别的网络与信息安全事件由各单位根据情况自行处置。当指挥小组办公室接到各单位关于我市发生或可能发生“级/预警”、“级/报警”、“级/紧急”级别的网络与信息安全事件的紧急报告时，报请指挥小组批准，指示各县（市）区网络与信息安全事件主管部门启动应急预案并进入分级响应的工作程序。在市内发生特别重大突发公共事件以及召开重要会议、重大活动等特殊重要时期，没有发生级以上重大网络与信息安全事件时，指挥小组办公室根据指挥小组的指示，通知各单位按照“级/预警”安全事件的处理要求和流程做好应急准备；当发生或可能发生级及以上重大网络与信息安全事件时，各单位要根据本预案，按高一级安全事件的处理要求和流程进行各项应急处理。4.3 应急处理流程4.3.1 级/预警安全事件的应急响应在级/预警安全事件发生或可能发生的情况下，按以下流程进行处理：（1）指挥小组办公室向市直和县（市）区、各经营性互联单位通报安全事件情况，要求立即启动相应的级/预警事件应急处理程序。（2）信息、公安、国家安全、通信等部门按照指挥小组的指令，针对具体安全事件类别采取如下的相应措施：立即对事件的特点、机理、危害、解决方案进行研究，并及时将结果上报指挥小组办公室；持续跟踪和收集相关信息，观测数据变化动态，每24小时向指挥小组办公室上报事件动态；及时将有关情况通报所有互联单位。（3）各单位根据本网的实际，针对具体的的安全事件类别采取以下的相应措施：针对新出现的攻击方法，密切关注涉及协议/端口的流量变化，及时采取防范和消除手段；积极组织对本网的安全加固，密切关注相同原因造成的流量变化，及时上报发现的网络异常情况；针对网络性能下降和瘫痪事件，立即组织恢复网络的正常运行，组织技术人员对事件原因进行深入调查，对网络采取相应的技术处理措施。（4）各单位应当及时向指挥小组办公室报告级/预警安全事件的发展情况，并由指挥小组办公室及时将情况上报指挥小组。4.3.2 级/报警安全事件的应急响应在级/预警安全事件发生或可能发生的情况下，按以下流程进行处理：（1）指挥小组办公室向市直和县（市）区、各经营性互联单位通报安全事件情况，要求立即启动相应的级/预警事件应急处理程序。（2）信息、公安、国家安全、通信等部门按照指挥小组的指令，针对具体安全事件类别采取如下的相应措施：立即组织研究该事件的特点、机理和危害，在8小时内提出建议方案；立即组织相关技术人员对安全事件进行监测，跟踪和收集相关信息，每12小时向指挥小组办公室上报一次事件发展情况；及时将有关情况通报所有互联单位。（3）各单位根据本网的实际，针对具体的的安全事件类别采取以下的相应措施：针对漏洞和蠕虫事件，密切关注该漏洞攻击和网络蠕虫传播所涉及的协议/端口的流量变化，每12小时上报事件动态，及时采取防范和消除手段；针对网络存在大量后门主机事件，立即采取有效恢复措施；针对网络性能下降和瘫痪事件，立即组织技术力量恢复相关网络的正常运行，并在12小时内将事件分析报告上报指挥小组办公室，对事件原因进行深入调查，在1小时内对相关网络采取相应的技术处理措施；针对来自境外的网络瘫痪事件，积极组织对本网的安全加固，并密切关注相同原因造成的本网的流量变化，每12小时向指挥小组办公室上报运行情况；针对骨干网设备失控事件，立即组织人员恢复设备正常运行，并在8小时内将事件原因上报指挥小组办公室；在24小时内对相邻的其它骨干网设备进行登录访问检查和加固，在72小时内对全网范围内的骨干网设备进行登录访问抽样检查和加固，并将处理结果上报指挥小组办公室。（4）各单位应当及时向指挥小组办公室报告级/报警安全事件的发展情况，进行调查核实及时分析、判断是否会发展成为更高等级的安全事件及时将分析结果上报指挥小组办公室。4.3.3 级/紧急安全事件的应急响应在级/紧急安全事件发生或可能发生的情况下，按以下流程进行处理：（1）事发单位和地区应当在1小时内立即将安全事件发生的基本情况电话报告至指挥小组办公室。根据汇总的安全事件信息和初步判断指挥小组在向省上网络与信息安全事件应急指挥部办公室报告的同时，立即向各县市区、市级各部门、各经营性互联单位通报安全事件情况，要求立即启动相应的级/紧急事件应急处理程序。（2）信息、公安、国家安全、通信等部门按照指挥小组的指令，针对具体安全事件类别采取如下的相应措施：紧急组织技术力量，在最短的时间内研究事件的特点、机理、危害、解决方案；每小时向指挥小组办公室报告工作进展；指挥小组办公室组织技术力量对事件进行监测，并根据事件的发展变化情况，及时向指挥小组和省上网络与信息安全事件应急指挥部办公室报告事件动态；及时将有关情况通报所有互联单位。（3）各单位根据本网的实际，针对具体的的安全事件类别采取以下的相应措施：针对网络瘫痪事件，立即组织力量全力抢修瘫痪的网络，每小时向指挥小组办公室汇报抢修工作进展；立即组织力量分析网络瘫痪的原因和有效遏制手段；积极组织对本网的安全加固，并密切关注相同原因造成的本网的流量变化，每12小时向上报运行情况；立即组织对本网采取相应的措施；针对大量骨干网设备失控事件：紧急恢复失去控制的骨干网设备，并在4小时内将事件原因上报指挥小组办公室；在12小时内对相邻的其它骨干网设备进行登陆访问检查和加固，在24小时内对全网范围内的骨干网设备进行登陆访问抽样检查和加固，并将处理结果上报指挥小组办公室。（4）各单位应当及时向指挥小组办公室报告所掌握的级/紧急安全事件的发展情况，办公室应及时向指挥小组上报事件的发展情况。4.4 应急预案终止 （1）发生信息安全事件的单位根据信息安全事件的处置进展情况，及时向指挥小组办公室、各县市区政府、市直各部门提出终止应急预案建议。 （2） 指挥小组办公室、各县市区政府、市直各部门接到终止应急预案建议后，组织相关部门及本级专家对信息安全事件的处置情况进行综合评估，按预案级别做出决定，并报市指挥小组备案。 （3）总结。回顾并整理发生事件的各种相关信息，详细记录所有情况，认真总结经验教训，提出改进措施，逐级上报调查报告。 五、保障措施 各县市区政府、市信息化工作办公室、市公安局、市国家安全局、市国家保密局、市委机要局、市广电局、市财政局等相关部门和单位要在指挥小组的统一领导下，认真履行各自职责，落实任务，密切配合，确保应急预案有效实施，并做好各项保障措施。 （1）高度重视网络与信息安全事件应急预案工作。各县市区、市直各部门及各有关单位要充分认