深圳气象局网络与信息安全应急预案

深圳市气象局网络与信息安全突发事件应急预案深圳市气象局信息安全领导小组二零一六年九月目录1总则11.1编制目的11.2 编制依据11.3工作原则11.4 适用范围11.5 分类分级21.6事件分类21.7事件分级22组织机构与职责42.1指挥机构与职责42.2 应急指挥领导小组42.3 应急指挥领导小组职责52.4 应急处置专业技术组52.5应急处置专业技术组职责62.6 值班组职责73监测与预警73.1 监测73.2预警协作部门的通报与协调74 应急响应74.1 分级响应74.2 IV级响应84.3级响应84.4 II级响应84.5 I级响应94.6信息安全事件处置流程94.7网站网页异常处置流程114.8网络设备故障114.9域名劫持攻击125 应急结束125.1恢复工作125.2情况总结136应急保障136.1通信保障136.2 应急物资保障136.3 技术资料保障137 培训和演练147.1 培训147.2 演练147.3 演练要求148 附则148.1预案制定、发布及解释148.2 预案修订149其他说明151总则1.1 编制目的建立深圳市气象局网络与信息安全突发事件应急工作体系，健全深圳市气象局网络与信息安全突发事件的预防、处置、善后等工作机制，提高深圳市气象局应对网络与信息安全突发事件的能力和水平，预防、减少网络与信息安全突发事件对深圳市气象局造成的损失和危害，维护深圳市气象局的网络与信息安全处于相对安全状态。1.2 编制依据中华人民共和国国家安全法、中国突发事件应对法、中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际互联网管理暂行规定、计算机病毒防治管理办法、中共中央办公厅、国务院办公厅转发国家信息化领导小组关于加强网络与信息安全保障工作的意见的通知和深圳市网络与信息安全突发事件应急预案等相关规定。1.3工作原则（1）预防为主，构筑体系。坚持“积极防御、综合防范”的方针，采取各类先进技术、管理等措施对我单位的信息网络实行全面监测、监控，及时发现不良事件的源头。（2）快速反应，联动处置。及时对我单位的网络信息进行跟踪解决，做到当天问题当天解决。同时，加强和上级部门的沟通联系，做到“及时汇报，联动处理”，以最快、最优的方式解决我单位的网络信息安全问题。1.4 适用范围本预案仅适用于深圳市气象局业务系统（门户网站、OA系统、决策服务网、审批系统、数据中心系统、短信群发系统、临近预报综合平台、综合业务管理系统）及网络信息安全事件的应急处置。1.5 分类分级1.6事件分类网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个类别。（1）有害程序事件包括：计算机病毒、计算机蠕虫、计算机木马、僵尸网络、混合攻击程序、网页内嵌恶意代码和其它有害程序等事件。（2）网络攻击事件包括：拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰和其它网络攻击等事件。（3）信息破坏事件包括：信息篡改、信息假冒、信息泄露、信息窃取、信息丢失和其它信息破坏等事件。（4）信息内容安全事件包括：通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作、讨论敏感问题，并危害国家安全、社会稳定和公众利益的事件。（5）设备设施故障事件包括：软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障等事件。（6）灾害性事件包括：水灾、台风、地震、雷击、火灾、恐怖袭击、战争等不可抗力因素对网络及信息系统造成的物理破坏导致的事件。（7）其他信息安全事件：不能归为以上类别分类且造成影响或后果较为严重的信息安全事件。1.7事件分级网络与信息安全事件分为四级：由高到低划分为级（特别重大级）、级（重大级）、级（较大级）、级（一般级）4个级别。IV级（一般事件）：一般事件是指能够导致较小影响或破坏的信息安全事件。会使“深圳市气象局信息系统”遭受较小的系统损失，即造成系统服务中断30分钟，影响系统效率，使系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到影响，恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。 级（较大事件）：会使深圳市气象局信息系统遭受较大的系统损失，即造成系统服务中断60分钟，明显影响系统效率，使系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价较大，但对于深圳市气象局是完全可以承受的；II级（重大事件）：会使深圳市气象局信息系统遭受重大的系统损失，即造成系统服务中断90分钟或局部瘫痪，使其业务处理能力受到极大影响，或系统关键数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大，但对于深圳市气象局是可承受的。根据市经贸信息委2015年11月6日下发的市网安应急办关于组建深圳市网络与信息安全应急处置专业技术队伍的通知（深经贸信息信安字【2015】259号）文件要求：II级以上突发事件需联系深圳市网络与信息安全应急指挥部办公室进行安全事件备案； I级（特别重大事件）：会使深圳市气象局信息系统遭受特别重大的系统损失，即造成系统服务中断120分钟，使其丧失业务处理能力，或系统关键数据的保密性、完整性、可用性遭到严重破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大，对于深圳市气象局是不可承受的。根据市经贸信息委2015年11月6日下发的市网安应急办关于组建深圳市网络与信息安全应急处置专业技术队伍的通知（深经贸信息信安字【2015】259号）文件要求：I级以上突发事件需联系深圳市网络与信息安全应急指挥部办公室进行安全事件备案。2组织机构与职责2.1指挥机构与职责为提高深圳市气象局对网络与信息安全突发事件的应急处理能力，建立统一领导、职责明确、协调配合的网络安全应急组织体系。成立应急指挥领导小组、值班组和应急处置专业技术组三个机构。2.2 应急指挥领导小组应急指挥领导小组组长：兰红平应急指挥领导小组副组长：谭徽罗华明应急指挥领导小组成员：肖良忠何宇华胡娟 李辉叶汶华罗红艳刘东华2.3 应急指挥领导小组职责应急指挥领导小组主要职责：对信息系统发生的各类信息安全事件的解决进行统一领导，工作的统一部署，人员、物资的统一调动。2.4 应急处置专业技术组应急处置专业技术组组长：负责对信息安全事件的技术处置统筹和协调和指挥应急处置专业技术组的成员的工作调度。安全管理员：负责系统应急恢复期间各项安全设备和安全防护手段的实施；安全维护人员：负责系统应急恢复期间的安全维护和技术支持；门户网站系统管理员：负责系统应急恢复期间决断、实施和管理；门户网站系统运维人员：负责系统应急恢复期间技术实现和支持；决策服务网系统管理员：负责系统应急恢复期间决断、实施和管理；决策服务网系统运维人员：负责系统应急恢复期间技术实现和支持；审批系统系统管理员：负责系统应急恢复期间决断、实施和管理；审批系统系统运维人员：负责系统应急恢复期间技术实现和支持；OA系统与数据中心系统系统管理员：负责系统应急恢复期间决断、实施和管理；短信群发系统系统管理员：负责系统应急恢复期间决断、实施和管理；短信群发系统和数据中心系统运维人员：负责短信群发系统和数据中心系统应急恢复期间技术实现和支持；OA系统运维人员：负责OA系统的代码开发和信息系统运行维护工作；网络和机房管理员：负责系统应急恢复期间网络和机房设备和资源的调配、实施和管理；网络运维人员：负责系统应急恢复期间网络设备和资源维护和技术支持；机房运维人员：负责系统应急恢复期间机房设备和资源维护和技术支持；数据库管理员：负责系统应急恢复期间数据库的决断、实施和管理；2.5应急处置专业技术组职责应急处置专业技术组职责：应急处置专业技术组由信息安全专业技术人员组成，直接提供信息安全应急服务，第一时间对安全事件做出反应并直接参与信息安全事件的应急处置工作。2.6 值班组职责值班组职责：值班组由信网处每日信息发布值班人员组成，监控系统稳定、安全的运行和网页防篡改系统的运行情况，发现突发安全事件，向安全管理员报告。3监测与预警3.1 监测为保我局信息系统正常可靠地运行，值班组人员按照国家和广东省信息安全等级保护工作要求，重点做好监测工作，及时向应急指挥领导小组报告突发安全事件。3.2预警协作部门的通报与协调气象局的系统管理员和安全管理员与系统运维人员及安全运维人员要建立信息情况热线通道，三方保持手机24小时开机以备遇到网络与信息安全事件时做到第一时间响应，保证随时的技术服务与指导。具体联系方式见本文2.1章节-2.4章节。突发信息网络事件安全预防措施包括定期进行漏洞、丰富信息安全突发事件预案库、定期对安全设备进行分析、准备应急处置措施、建立网络和公众网的监测体系、控制有害信息的传播和预先制定信息安全重大事件的通报机制。4 应急响应4.1 分级响应4.2 IV级响应级突发事件由应急处置专业技术组开展应急处置工作。如果在短时间内完成处理，则事后分析事件，并形成报告总结汇报至应急指挥领导小组；如果事态严重需要升级至更高级事件，应立即上报至应急指挥领导小组；应急指挥领导小组组织相关事件应急指挥，如果本单位无法处理突发安全事件，应立即市网络应急指挥部办公室寻求支援。紧急情况下，经应急指挥领导小组同意，可采取断网措施。事故处置完成后将相关情况报送至市网络应急指挥部办公室和广东省气象局。4.3级响应级突发事件由应急指挥领导小组组织应急处置专业技术组开展应急处置工作，处理过程中需要保留相关截图及证据，方便时候追踪事件的发生原因及攻击源。如果本单位无法处理突发安全事件，应立即向市网络应急指挥部办公室寻求支援。紧急情况下，可采取断网措施。事故处置完成后将相关情况报送至市网络应急指挥部办公室和广东省气象局。4.4 II级响应II级突发事件由应急指挥领导小组组织应急处置专业技术组开展应急处置工作，处理过程中需要保留相关截图及证据，方便时候追踪事件的发生原因及攻击源；如果事态严重需要升级至更高级事件，应立即向市网络应急指挥部办公室寻求支援。紧急情况下，可采取断网措施。事故处置完成后将相关情况报送至市网络应急指挥部办公室和广东省气象局。根据市经贸信息委2015年11月6日下发的市网安应急办关于组建深圳市网络与信息安全应急处置专业技术队伍的通知（深经贸信息信安字【2015】259号）文件要求：II级以上突发事件需联系深圳市网络与信息安全应急指挥部办公室进行安全事件备案；4.5 I级响应I级突发事件应立即向市网络应急指挥部办公室寻求支援。同时应急指挥领导小组组织应急处置专业技术组及相关技术人员开展应急处置工作，处理过程中需要保留相关截图及证据，方便时候追踪事件的发生原因及攻击源；如果事态严重无法短时间内处理，紧急情况下，可采取断网措施。事故处置完成后将相关情况报送至市网络应急指挥部办公室和广东省气象局监网处和探测数据中心。根据市经贸信息委2015年11月6日下发的市网安应急办关于组建深圳市网络与信息安全应急处置专业技术队伍的通知（深经贸信息信安字【2015】259号）文件要求：II级以上突发事件需联系深圳市网络与信息安全应急指挥部办公室进行安全事件备案；4.6信息安全事件处置流程当发生网络与信息安全事件时立即启动应急响应,并且遵从信息安全事件处置流程进行处理。4.7网站网页异常处置流程1、检查备份网站是否正常；2、备份网站正常的情况下进行切换备用网站，确保页面的有效性和原始性；3、停止后台发布系统；4、检查并确保网页防篡改系统正常工作；5、检查并确保本地安全系统正常工作；6、剪切异常页面到非发布目录保存证据；7、使用备份恢复已移除的页面，确保页面的有效性；8、继续收集其他异常页面及信息，剪切保存，并替换正常更新；9、对当前发布页面和备份页面进行全面的挂马检测；10、导出操作系统相关日志（系统、应用、安全、数据库、存储系统、本地安全系统等）并进行外部保存；11、导出WEB发布系统相关日志（IIS、Weblogic、Webspherre、Apache等发布系统、应用系统、中间件日志等）并进行外部保存；12、导出安全设备日志（防篡改系统、IDS/IPS、网络/WEB防火墙、网络审计系统、认证网关等）并进行外部保存；11、填写事件处置报告，详细记录事件处置的全过程。4.8网络设备故障1、如果有备份网络设备，启用备份网络设备；2、将最近一次备份的配置文件导入到备份网络设备；3、检查并确认导入备份设备的配置及时生效；4、进行线路切换，并保持原有的网络拓扑结构；5、检查并确认设备工作正常；6、进行通信连通性测试，确保备用设备已经成功切换；7、密切监视新上线的设备工作状态、直至故障排除；8、导出网络设备相关日志并进行外部保存；9、填写事件处置报告，详细记录事件处置的全过程。4.9域名劫持攻击1、第一时间联系域名服务提供商和ISP（互联网服务提供商），就发生的攻击现象进行简要说明；2、进一步确认受攻击影响的范围（区、市、省等）；3、在可正常访问网站的用户端（未遭受域名劫持攻击的用户），使用ping命令尝试解析域名并记录返回的IP地址；4、在受影响的用户端（遭受域名劫持攻击的用户），使用ping命令尝试解析域名并记录返回的IP地址；5、将记录的非正常IP地址存档并提交给受攻击影响的域名服务提供商和ISP（互联网服务提供商）；6、在本地服务器对网站进行全面的安全检测，确保网站本身未受到破坏；7、密切配合ISP和域名服务提供商对事件进行处理；8、在2小时内，如果无法恢复正常服务，指派专人协助域名服务提供商和ISP并跟踪事件处理；9、密切监视域名解析服务状态，直至危害排除；10、填写事件处置报告，详细记录事件处置的全过程。5 应急结束5.1恢复工作应急处置工作结束后，按照风险评估结果，迅速组织人员制定网络信息系统重建和恢复计划，按照业务影响分析结果，确定优先顺序，迅速恢复网络信息系统的正常运行，减少损失，尽快恢复正常工作。5.2情况总结网络信息安全事件应急任务结束后，应急指挥领导小组应做好突发事件中信息系统、网络设施损失情况的统计、汇总和相关资料的归档、任务完成情况的总结汇报，对遭受破坏的信息系统做出风险分析，并且重新制定防范措施，保障同类安全事件不再发生，并且对相关责任人保留追究权利，同时对应急预案不定期修订改进。6应急保障6.1通信保障协调小组负责收集、建立突发信息网络事件应急处置工作小组内部及其他相关部门的应急联络信息。信息网络事件应急小组应在重要部位醒目位置公布报警电话，信息网络事件应急小组全体人员保证全天24小时通讯畅通。6.2 应急物资保障单位在建设信息系统时应适当配备必要的信息网络硬件、软件、应急救援设备等应急物资，突发安全事件时应急指挥领导小组统一调用。应急处置专业技术组须储备相应的应急基础设备、软件