网络与信息安突发事件演练.doc

.网络与信息安全突发事件应急预案一 总则（一） 编制的目的为及时、有效、妥善处置上虞区网络与信息安全突发事件，建立和完善相关应急工作制度，加强和规范网络与信息安全事件应急处置工作，提高网络与信息安全事件应急处置能力，预防和减少网络与信息安全事件的发生，控制和降低网络与信息安全事件带来的危害和损失，保障信息基础设施、重要信息系统和重要工业控制系统网络与信息安全，促进全县经济社会全面、协调、可持续的健康发展，维护国家信息安全和社会稳定，（二） 编制的依据依据中华人民共和国突发事件应对法、中华人民共和国计算机信息系统安全保护条例、浙江省信息化条例、浙江省网络与信息安全事件应急预案、绍兴市计算机信息网络安全保护管理办法、信息安全事件分类分级指南等法律法规、规章政策，结合我区实际，制定本预案。（三） 适用范围适用于我区自管信息系统网络与信息安全事件的预防、监测、报告和应急处置工作。其中，有关通信保障和通信恢复、互联网舆论和其他信息内容等安全事件的预防和处置工作按有关预案和规定执行。（四） 事件分类分级网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。1、 事件分类（1）有害程序事件：分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。（2）网络攻击事件：分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。（3）信息破坏事件：分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。（4）信息内容安全事件：指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。（5）设备设施故障事件：分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。（6）灾害性事件：指由自然灾害等其他突发事件导致的网络与信息安全事件。2、事件分级网络与信息安全突发事件由高到低划分为四级：特别重大网络与信息安全事件（级）、重大网络与信息安全事件（级）、较大网络与信息安全事件（级）、一般网络与信息安全事件（级）。（1）特别重大网络与信息安全事件（级）符合下列情况之一的，为特别重大网络与信息安全事件（级）：信息系统中断运行2小时以上、影响用户数100万以上；信息系统中的数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁，或导致10亿元人民币以上的经济损失。通过网络传播反动信息、煽动性信息、涉密信息、谣言等，对国家安全和社会稳定构成特别严重危害的事件。其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络与信息安全突发事件。（2）重大网络与信息安全事件（级）符合下列情形之一且未达到特别重大网络与信息安全事件（级）的，为重大网络与信息安全事件（级）：信息系统中断运行30分钟以上、影响用户数10万人以上；信息系统中的数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁，或导致1亿元人民币以上的经济损失；通过网络传播反动信息、煽动性信息、涉密信息、谣言等，对国家安全和社会稳定构成严重危害的事件；其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络与信息安全事件。（三） 较大网络与信息安全事件（级）符合下列情形之一且未达到重大网络与信息安全事件（级）的，为较大网络与信息安全事件（级）：信息系统中断运行造成较严重影响的；信息系统中的数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较大威胁，或导致1000万元人民币以上经济损失；通过网络传播反动信息、煽动性信息、涉密信息、谣言等，对国家安全和社会稳定构成较严重危害的事件；其他对国家安全、社会秩序、经济建设和公众利益构成较大威胁、造成较大影响的网络与信息安全突发事件。（4）一般网络与信息安全事件（级）除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络与信息安全突发事件，为一般网络与信息安全突发事件（级）。三 预防与监测预警（一） 预防县各级人民政府要统筹规划安排应对网络与信息安全事件的设备和基础设施。各信息系统主管部门应组织做好信息系统的安全等级保护、风险评估、灾难备份和隐患排查工作；信息系统安全基础设施建设要和系统建设同规划、同建设、同运行，并将安全运行维护经费列入预算；要制定相关应急预案，进行应急演练并不断修改完善，预防网络与信息安全事件的发生，降低网络与信息安全事件的危害和损失。（2） 监测建立全县突发网络与信息安全事件监测、报告、通报和安全隐患评估等制度；充分利用和整合已有的监测平台，加强对全县电子政务网络、基础信息网络、重要工业控制系统和涉及民生的公益性网络的安全监测和预警；组织开展网络与信息安全日常监测和信息通报及交流会商；县工信局负责对监测工作管理和监督。在全县开展网络与信息安全专项检查和日常安全监测，及时汇总发现安全事件隐患信息，采取有效措施督促整改；当发现重大安全隐患或网络异常情况时，要立即向本级人民政府和上一级信息化主管部门报告，向可能受到危害的相关地区人民政府通报。（3）预警分级预警响应1、 预警级别网络与信息安全事件预警等级分为四级：I级（特别严重）、II级（严重）、III级（较重），IV级（一般）四个等级，从高到低依次：红色预警、橙色预警、黄色预警和蓝色预警表示，分别对应即将发生或可能发生特别重大、重大、较大和一般的网络与信息安全事件。由工信局综合评估提出预警级别建议，报同级人民政府同意。2、预警信息报送、发布（1）县工信局、县公安局、县国安办、县保密局、县旅文局、县政府新闻办以及各重要信息系统主管部门，各单位共同承担我县网络与信息安全监测预警工作，按照早发现、早报告、早处置的原则，加强对各类网络与信息安全突发事件和可能引发突发事件的信息的整理收集、分析判断和持续监测，及时填报网络与信息安全事件预警信息表（见附件91），对重要的网络与信息安全事件监测预警信息要及时通报有关部门。（2）网络与信息系统发现异常情况时，监测单位应及时填写网络与信息系统发生异常情况报告表（见附件92）向县工信局报告，初次报告在发现可能发生事件的异常情况后20分钟内，特别重大、重大和较大的网络与信息系统异常情况实行动态报告和日报告制度。紧急情况下，采取先电话报告后书面报告的形式。县工信局接到报告后，要及时对情况进行分析，并根据问题的性质、危害程度，迅速组织有关专家研判并提出预警级别和处置工作的具体建议方案，及时向县人民政府报告。（3）各重要网络与信息系统的主管部门、运营单位及相关职能部门负责人要确立1个以上的即时联系方式，避免因突发事件发生后，必要的信息通报与指挥协调通信渠道中断。红色、橙色、黄色预警信息由按程序报上级批准，并根据相关要求发布。蓝色预警信息由属地政府负责发布。3、预警响应预警信息发布后，各相关部门、单位应依据发布的预警级别，启动相应的应急预案，组织部署所属技术力量，应急救援队伍立即响应，进入应急状态，履行承担的职责。（1） 蓝色、黄色预警响应1.1各级各有关单位安排有关人员实行24小时值班，保持通信联络畅通，密切关注事态发展，收集、汇总监测信息和重要信息。1.2县级网络与信息安全应急队伍进入应急状态，确保80%应急技术人员处于待命状态，检查应急车辆、设备、软件工具等，确保处于可用状态；针对预警内容研究制定防范措施，指导各网络与信息系统运营使用管理单位做好安全加固和预防工作；联系社会应急力量做好应急支援准备工作。1.3公布热线电话、电子邮箱等公众沟通渠道，安排专业人员值守；及时发布避免或减轻事件危害的科学常识和人民政府处理事件的相关信息，同时积极监测社会舆情，引导社会舆论，疏导社会情绪。（2） 橙色、红色预警响应在黄色预警响应的基础上，应进一步强化以下措施。1.1责令网安应急队伍全面进入紧急状态，动员后备队伍做好应急准备。1.2发布各级网安应急物质准备动员指令，检查调试有关物质、设备。1.3采取隔离或停用相关网络等强制管制措施，控制事态扩大。1.4预警的调整和解除网安主管部门应根据事态的发展，按照有关规定适时调整预警级别并重新发布。当确定网络与信息安全突发事件不可能发生或危险已经解除时，发布预警的部门应立即报请宣布解除预警。4应急响应与处置（1） 信息报告任何单位和个人都有义务向县政府、县工信局、县公安局报告网络与信息安全事件及其隐患或异常情况。网络与信息安全事件发生后，事发地人民政府及其信息化主管部门在做好先期处置的同时应立即组织研判，注意保存证据，按照突发事件信息报送要求，填写网络与信息安全事件处置报告表（见附件93），向上一级人民政府及其信息化主管部门报告。根据事态发展，及时续报应急处置等有关情况并通报同级政府新闻办。、级事件发生后应立即上报，最迟不超过事件发生后2小时报至省网安应急指挥部办公室、省政府；对于III级、级事件，必须在事件发生后1小时内报告市政府。（2） 先期处置突发网络与信息安全事件发生后，事发地人民政府根据突发事件等级，立即启动相应的应急预案，组织信息化、公安、安全、保密、互联网信息等相关单位实施先期处置。做好现场划定，实行有效的现场管控措施，快速组织各方面力量，开展应急救援，快速恢复系统运行，防止事态扩大等先期处置工作；明确临时救援人员及装备集结地域，并根据处置工作的需要，有计划地组织救援人员及装备到达事发地区；按照信息报送规定上报安全事件信息和先期处置情况。（3）应急响应启动、调整与终止3.1应急响应启动3.1.1判定为I级事件的，启动I级应急响应后，县政府按省政府、市政府的要求做好相关应急处置工作。3.1.2判定为II级事件的，启动II级应急响应后，县政府在按市政府的要求做好相关应急处置工作。3.1.3判定为III级事件的，县工信局要及时报县政府同意启动III级响应，并按照本预案开展应急处置工作。3.1.4判定为级事件的，由属地政府启动应急响应。3.2应急响应的终止I级响应、II级响应的终止按照国家、省、市有关规定执行。III级响应的结终止由县网安应急指挥部提出建议，报县政府同意后结束应急，同时报市网安应急指挥部办公室。级响应调整与终止由事件发生地区县级人民政府批准，同时报市级信息化主管部门。（4）事件分级处置措施4.1、级处置4.1.1启动县级网安指挥部工作。在省、市网安应急指挥部的统一领导、指挥下开展我县应急处置工作。县网安应急指挥部立即进入应急状态，在省网安应急指挥部启动I级响应前，履行应急处置工作的统一领导、指挥、协调职责。省网安应急指挥部启动I级响应后，县网安应急指挥部成员保持24小时联络畅通。（4.1.2掌握事件动态。跟踪事态发展。事发地或部门及时把事态发展变化情况和处置进展情况报市网安应急指挥部（网络与信息安全事件处置报告表见附件93）。检查影响范围。信息系统主管部门立即全面了解本部门主管范围内的信息系统是否受到事件的波及或影响，并将有关情况及时报县网安应急指挥部。及时上报情况。网安应急指挥部负责汇总上述有关情况，及时报省网安应急指挥部办公室。4.1.3决策部署。县网安应急指挥部组织专家组和应急技术支撑队伍及时研究对策意见和建议，报市网安应急指挥部，由省和市就对应对工作进行决策部署。4.1.4处置实施。按照国家、省和市对应急工作进行决策部署，县网安应急指挥部应立即采取以下措施进行应急处置。情况紧急时边处置边报告。控制事态蔓延。有关部门和单位要负责组织实施，安排网安应急技术支撑队伍采取技术措施，尽快控制事态；组织、督促相关运行单位有针对性地加强防范，防止事件蔓延至其他信息系统。对于信息内容安全事件要及时采取必要的管控措施，防止有害信息传播扩散。快速恢复运行，消除隐患。有关部门和单位要根据事件发生原因，有针对性地采取措施，恢复受破坏信息系统正常运行开展调查取证。事发单位在应急恢复过程中应尽量保留相关证据，对于人为破坏活动，县公安局、县国安办、县保密局按职责分工负责组织开展侦查和调查工作，并及时向县网安应急指挥部通报有关情况。4.1.5指挥部根据实际情况决定采取的其他处置措施。4.2 II级处置4.2.1启动县级网安指挥部工作。县网安应急指挥部立即进入应急状态，在市网安应急指挥部启动II级响应之前，履行应急处置工作的统一领导、指挥、协调职责。在启动II级响应之后，由市网安应急指挥部履行应急处置工作的统一领导、指挥、协调职责。市网安应急指挥部成员保持24小时联络畅通。相关乡（镇、社区）、部门指挥机构进入应急状态，在县网安应急指挥部的统一领导、指挥、协调下，负责本部门应急处置工作或支援保障工作，24小时值班，并派出联络员参加市网安应急指挥部办公室工作。4.2.2掌握事件动态。跟踪事态发展。事件地或部门及时将事态发展变化情况和处置进展情况报县网安应急指挥部（网络与信息安全事件处置报告表见附件93）。检查影响范围。信息系统主管部门全面了解本部门主管范围内的信息系统是否受到事件的波及或影响，并将有关情况及时报县网安应急指挥部。及时通报情况。县网安应急指挥部负责汇总上述有关情况，重大事项及时报市网安应急指挥部办公室，并向县网安应急指挥部成员单位通报。4.2.3决策部署。县网安应急指挥部组织专家组和应急技术支撑队伍及时研究对策意见，报市网安应急指挥部，由市网安应急指挥部就应对工作进行决策部署。4.2.4处置实施。县网安应急指挥部按照市网安应急指挥部的要求，采取以下措施进行应急处置。控制事态防止蔓延。有关部门和单位要负责组织实施，安排网安应急技术支撑队伍采取技术措施，尽快控制事态；组织、督促相关运行单位有针对性地加强防范，防止事件蔓延至其他信息系统。对于信息内容安全事件要及时采取必要的管控措施，防止有害信息传播扩散。快速恢复运行，消除隐患。有关部门和单位要根据事件发生原因，有针对性地采取措施，恢复受破坏信息系统正常运行。开展调查取证。事发单位在应急恢复过程中应尽量保留相关证据，对于人为破坏活动，县公安局、县国安办、县保密局按职责分工负责组织开展侦查和调查工作，并及时向县应急指挥部通报有关情况。4.2.5协作与协调。针对网络与信息安全事件可能涉及或波及其它地区等实际，县工信局、县公安局等部门应积极开展对外协调工作，建立跨地区合作渠道建立共同应对网络与信息安全事件。4.2.6指挥部根据实际情况决定采取的其他处置措施。4.3III级处置4.3.1启动县级网安指挥部工作。县网安应急指挥部立即进入应急状态，履行应急处置工作的统一领导、指挥、协调职责。县网安应急指挥部成员保持24小时联络畅通。相关单位和部门指挥机构进入应急状态，在县网安应急指挥部的统一领导、指挥、协调下，负责本本部门网安应急处置工作，并24小时值班。4.3.2决策部署。按照市网安应急指挥部决策，县网安应急指挥部副指挥长组织成员单位、专家组和网络与信息安全应急技术支撑队伍等方面及时研究对策意见，就应对工作进行部署。4.3.3掌握事件动态。跟踪事态发展。事发地或部门及时将事态发展变化情况和处置进展情况报县网安应急指挥部（网络与信息安全事件处置报告表见附件93）。检查影响范围。信息系统主管部门立即全面了解本部门主管范围内的信息系统是否受到事件的波及或影响，并将有关情况及时报县网安应急指挥部。情况报告。县网安应急指挥部综合协调组负责汇总上述有关情况，并向市网安应急指挥部报告。4.3.4处置实施。县网安应急指挥采取以下措施进行应急处置。控制事态防止蔓延。有关部门和单位要负责组织实施，安排应急技术支撑队伍采取技术措施，尽快控制事态；组织、督促相关运行单位有针对性地加强防范，防止事件蔓延至其他信息系统。对于信息内容安全事件要及时采取必要的管控措施，防止有害信息传播扩散。快速恢复运行，积极消除隐患。有关部门和单位要根据事件发生原因，有针对性地采取措施，恢复受破坏信息系统正常运行。开展调查取证。事发单位在应急恢复过程中应尽量保留相关证据，对于人为破坏活动，县公安局、县国全办、县保密局按职责分工负责组织开展侦查和调查工作，并及时向县网安应急指挥部通报有关情况。4.3.5协作与协调。针对网络与信息安全事件可能涉及或波及其它地区等实际，县工信局、县公安局等部门应积极开展对外协调工作，建立跨地区合作渠道建立共同应对网络与信息安全事件。4.3.6指挥部根据实际情况决定采取的其他处置措施。4.4 IV级处置属地政府按相关预案进行应急响应和处置。县网安应急指挥部各主要成员单位应对IV级响应的实施给予指导。4.5其他信息系统事件的处置我县行政区内其它信息系统如发生III级及以上网络与信息安全事件，信息系统主管部门应及时向县工信局报告事态发展和响应情况。在必要情况下，县工信局委报请县政府同意后，按相应级别启动应急响应，配合省、市信息系统主管部门做好事件的处置工作。4.5事件分类处置措施事件分类包括有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件等类别。各类处置措施按照国家和省网络与信息安全事件应急预案规定执行。4.6信息发布与舆论引导我县各级人民政府要在突发网络与信息安全事件发生后加强网络和手机短信内容的监控和舆情分析，引导公众依法、理性表达意见，形成积极健康的社会舆论。任何单位和各人不得编造、传播有关突发网络与信息安全事件事态发展或应急处置工作的虚假信息。五 后期处置（一） 恢复重建应急响应终止后，属地人民政府要尽快消除事件产生的影响，立即组织制定恢复或重建计划，责成信息系统建设管理单位使用应急处置设备尽快恢复事件涉及的基础信息网络、重要信息系统和重要工业控制系统正常运行，恢复社会秩序。（二） 责任与奖惩有关单位和部门对在网络与信息安全应急处置工作中表现突出的单位和个人要按照相关规定给予表彰；对保障不力、瞒报漏报网络与信息安全突发事件，给国家和社会造成严重损失的单位和个人依照相关规定追究责任。（三）总结评估各级网络与信息安全突发事件应急处置机构应对事件的起因、性质、影响、责任等进行调查总结，提出处理意见和改进措施。级、级网络与信息安全突发事件的应急处置工作总结评估按照国家、省的相关规定执行。级网络与信息安全突发事件由市工业和信息化委组织有关门总结评估，报省网安应急指挥部办公室。级网络与信息安全突发事件由属地政府组织有关部门总结评估，报市政府。、级网络与信息安全突发事件的调查处理和总结评估工作原则上在应急响应结束后20天内完成。六 保障措施（一） 应急队伍建设县工信局会同公安、安全、保密加强全县网络与信息安全应急处置行政管理和专业技术人才队伍建设，确保处置工作得到有效的支撑。（二）基础平台县工信局会同公安、安全、保密建设市网络与信息安全监控、预警、通报和应急处置基础平台，建设重点领域网络与信息系统数据库等网络与信息安全应急