深圳气象局网络与信息安全应急预案

深圳市气象局网络与信息安全突发事件应急预案深圳市气象局信息安全指导小组2012年9月目录一总则一1.1创建目的11.2建立依据11.3工作原则11.4适用范围11.5分类等级21.6事件分类21.7事件等级22组织机构和职责42.1指挥机构和职责42.2紧急指挥指导组42.3应急指挥指导组的责任52.4应急处置专业技术组52.5应急处置专业技术小组责任62.6值班集团责任73监测和警告73.1监测73.2警报联合部门的通报和协调74紧急应对74.1阶段响应74.2 IV级响应84.3级响应84.4 II级响应84.5 I类响应94.6信息安全事件处理流程94.7网站异常处理流程114.8网络设备故障114.9域名劫机攻击125紧急终止125.1恢复工作125.2情况总结136紧急保障136.1通信保障136.2应急物资保障136.3技术资料保障137培训和演习147.1培训147.2演习147.3演习要求148附则148.1预案的制定、公布和解释148.2预案修订149其他说明15一总则1.1创建目的建立深圳市气象局网络和信息安全突发事件应急工作体系，完善深圳市气象局网络和信息安全突发事件预防处理善后等工作机制，提高深圳市气象局应对网络和信息安全突发事件的能力和水平，网络和信息安全突发事件给予深圳市气象局1.2建立依据相关规定，例如中华人民共和国国家安全法、中国突发事件应对法、中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际互联网管理暂行规定、计算机病毒防治管理办法、中共中央办公厅、国务院办公厅转发国家信息化领导小组关于加强网络与信息安全保障工作的意见的通知、深圳市网络与信息安全突发事件应急预案等。1.3工作原则(一)以预防为主，建立系统； 坚持“积极防御、综合防范”方针，采取各种先进技术、管理等措施全面监测、监测我部门信息网络，及时发现不良事件的原因。(二)迅速反应，联动处理； 及时跟踪和解决我们部门的网络信息，当天解决当天的问题。 同时加强与高级部门的联系，实现“及时报告、联动处理”，以最快、最佳的方式解决我公司网络信息安全问题。1.4适用范围本预案仅适用于深圳市气象局业务系统(门户、办公自动化系统、决策服务网、审查系统、数据中心系统、邮件发布系统、邻近预报综合平台、综合业务管理系统)和网络信息安全事件的应急处理。1.5分类等级1.6事件分类网络和信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件7大类。(一)有害程序事件包括计算机病毒、计算机蠕虫、计算机特洛伊木马、僵尸网络、混合攻击程序、嵌入网页的恶意代码和其他有害程序等事件。(二)网络攻击事件包括拒绝服务攻击、后门攻击、脆弱性攻击、网络扫描窃听、网络钓鱼、干扰和其他网络攻击。(三)信息破坏事件包括篡改信息、伪造信息、泄露信息、盗取信息、丢失信息、破坏其他信息等事件。(四)信息内容安全事件包括通过互联网传播法律法规禁止的信息，组织违法系列，煽动集会示威和宣传，讨论敏感问题，危害国家安全、社会稳定和公共利益的事件。(五)设备设施故障事件包括硬件和软件本身故障、周边保障设施故障、人为破坏事故和其他设备设施故障等。(六)灾害性事件包括水灾、台风、地震、雷击、火灾、恐怖袭击、战争等不可抗力对网络和信息系统造成的物理破坏事件。(7)其他信息安全事件：不能归类为上述类别，影响和结果严重的信息安全事件。1.7事件等级网络和信息安全事件从高到低分为I级(特别重大级)、ii级(重大级)、iii级(比较大级)、iv级(一般级) 4个阶段。IV级(一般事件):一般事件是指带来小影响和破坏的信息安全事件。 “深圳市气象局信息系统”遭受小系统损失，系统服务中断30分钟，影响系统效率，影响系统业务处理能力，影响系统重要数据的机密性、完整性、可用性，恢复系统正常运行，消除安全事件的负面影响级(大事件):深圳市气象局信息系统造成严重系统损失，系统服务中断60分钟，严重影响系统效率，影响系统业务处理能力，损害系统重要数据的机密性、完整性和可用性，恢复系统正常运行，安全事件减级(重大事件):深圳市气象局信息系统遭受重大系统损失，系统服务中断或局部瘫痪，严重影响业务处理能力，损害系统重要数据的机密性、完整性、可用性，恢复系统正常运行，安全事件负根据市经贸信息委员会2015年11月6日发行的市网安应急办关于组建深圳市网络与信息安全应急处置专业技术队伍的通知 (深经贸信息安字【2015】259号)文件要求，二级以上突发事件需要联系深圳市网络和信息安全应急司令部办公室办理安全事件备案I级(特别重大事件):深圳市气象局信息系统受到特别严重的系统损失，系统服务中断120分钟，业务处理能力丧失，系统重要数据机密性、完整性、可用性严重破坏，恢复系统正常运行，消除安全事件负面影响所需的成本根据市经贸信息委员会2015年11月6日发行的市网安应急办关于组建深圳市网络与信息安全应急处置专业技术队伍的通知 (深经贸信息安字【2015】259号)文件要求，I级以上突发事件应联系深圳市网络和信息安全应急司令部办公室报案。2组织机构和责任2.1指挥机构和职责为提高深圳市气象局对网络和信息安全突发事件的应急处理能力，建立统一领导、职责明确协调的网络安全应急组织体系。 设立应急指挥指导组、值班组和应急处置专业技术组三个机构。2.2应急指挥指导小组紧急指挥指导组组长：兰红平紧急指挥指导组副组长：谭徽章罗华明紧急指挥指导小组成员：肖良忠何宇华胡娟李辉叶文华红彤彤的刘东华2.3应急指挥指导组的职责应急指挥指导小组主要职责：统一指导解决信息系统中发生的各种信息安全事件，统一调动工作安排、人员、物资。2.4应急处置专业技术小组应急处置专业技术组长：负责信息安全事件的技术处置统一和协调以及指挥应急处置专业技术组成员的工作安排。安全管理人员：负责系统紧急恢复期间各安全设备和安全防护手段的实施安全维护人员：负责系统紧急恢复期间的安全维护和技术支持门户系统管理员：负责系统紧急恢复期间的决策、实施和管理门户系统承运人：负责系统紧急恢复期间技术的实现和支持决策服务网络系统管理员：负责系统紧急恢复期间的决策、实施和管理决策服务网络系统承运人：负责系统紧急恢复期间技术的实现和支持审批系统管理员：负责系统紧急恢复期间的决策、实施和管理系统承运人批准：负责系统应急恢复期间技术的实现和支持OA系统和数据中心系统管理员：负责系统紧急恢复期间的决策、实施和管理邮件发送系统管理员：负责系统紧急恢复期间的决策、实施、管理邮递系统和数据中心系统承运人：负责邮递系统和数据中心系统紧急恢复期间技术的实现和支持OA系统承运人：负责OA系统的代码开发和信息系统的运行维护网络和机房管理人员：负责系统应急恢复期间网络和机房设备和资源的配置、实施和管理网络承运人：负责系统紧急恢复期间网络设备和资源的维护和技术支持机房承运人：系统应急恢复期间负责机房设备和资源的维护和技术支持数据库管理员：负责在系统紧急恢复期间决定、实施和管理数据库2.5应急处置专业技术小组的责任应急处理专业技术组的作用：应急处理专业技术组由信息安全专业技术人员组成，提供直接信息安全应急服务，最初时间应对安全事件，直接参与信息安全事件的应急处理。2.6值班组的责任值班组职责：值班组由通信网每天发布信息的值班人员组成，监控系统稳定、安全运行和网页防篡改系统运行状况，发现突发安全事件，报告安全管理人员。3监视和警告3.1监测为保证我局信息系统正常可靠运行，值班人员应按照国家和广东省信息安全等级保护工作要求，重点进行监测，向应急指挥组报告突发安全事件。3.2警报联合部门的通报和协调气象局的系统管理者和安全管理者和系统承运人和安全承运人建立信息状况热线，第三方应当24小时启动手机在遇到网络和信息安全事件时实现最初的时间响应，随时保证技术服务和指导。 具体联系方式见本文第2.1章-2.4章。突发信息网络事件安全预防措施包括定期脆弱性、丰富的信息安全突发事件预案库、定期安全设备分析、应急处理准备、建立网络和公众网监控系统、控制有害信息传播和预先制定信息安全重大事件通报机制。4紧急应对4.1逐步回应4.2 IV级响应级突发事件由应急处置专业技术组开展应急处置。 如果在短时间内结束处理，事后分析案件，汇总报告给应急指挥组的情况严重，需要升级到更高级的案件，应当立即向应急指挥队报告的应急指挥队组织相关案件的应急指挥员，该部门无法处理突发安全案件的，应当立即上市紧急情况下，经紧急指挥指导小组同意，可以采取断网措施。 事故处理完成后，将相关情况提交市网络紧急司令部事务所和广东省气象局。4.3级响应级突发事件应由应急指挥指导组组织应急处理专业技术组开展应急处理，处理过程中应留下相关的截图和证据，简单跟踪事件的发生原因和攻击源。 如果本公司无法处理突发安全事件，应立即向市网络紧急司令部办公室寻求帮助。 在紧急情况下，可以采取断网措施。 事故处理完成后，将相关情况提交市网络紧急司令部事务所和广东省气象局。4.4 II级响应级突发事件应急指挥领导组组织应急处理专业技术组开展应急处理，处理过程中留有相关截图和证据，需要简单跟踪事件发生原因和攻击源的情况需要升级为更高级事件时，立即向市网应急司令部办公室提供支持在紧急情况下，可以采取断网措施。 事故处理完成后，将相关情况提交市网络紧急司令部事务所和广东省气象局。 根据市经贸信息委员会2015年11月6日发行的市网安应急办关于组建深圳市网络与信息安全应急处置专业技术队伍的通知 (深经贸信息安字【2015】259号)文件要求，二级以上突发事件需要联系深圳市网络和信息安全应急司令部办公室办理安全事件备案4.5 I级响应I级突发事件应立即向市网络紧急司令部办公室寻求援助。 同时，应急指挥领导组组织应急处置专业技术组和相关技术人员开展应急处置，处置过程中留有相关截图和证据，需要简单跟踪事件发生原因和攻击源的情况严重、不能在短时间内处理的，可以采取紧急切网措施。 事故处理完毕后，将相关情况提交市网络应急司令部办公室、广东省气象局监测网和勘探数据中心。 根据市经贸信息委员会2015年11月6日发行的市网安应急办关于组建深圳市网络与信息安全应急处置专业技术队伍的通知 (深经贸信息安字【2015】259号)文件要求，二级以上突发事件需要联系深圳市网络和信息安全应急司令部办公室办理安全事件备案4.6信息安全事件处理流程在发生网络和信息安全事件时开始紧急应对，并按照处理信息安全事件的步骤进行操作。4.7网站异常处置过程1 .检查备份站点是否正常2 .如果备份站点正常，则切换备用站点以确保页面有效性和原始性3 .停止后台分发系统4 .确保网页防篡改系统工作正常5 .确保和确保当地安全系统正常运作6 .截取异常页面在非公开目录中保存证据7 .使用备份恢复删除的页面以确保页面有效8 .继续收集、剪切和保存其他异常页面和信息，并替换正常更新9 .全面检查目前发布的网页和备份网页10 .导出与操作系统相关的日志(系统、应用程序、安全性、数据库、存储系统、本地安全系统等)并将其外部保存11 .导出与web分发系统相关的日志(IIS、Weblogic、Webspherre、Apache等分发系统、应用程序系统、中间件日志等)并外部保存12 .导出安全设施日志(防篡改系统、IDS/IPS、网络/WEB防火墙、网络审计系统、认证网关等)并外部保存填写11，事件处置报告，详细记录事件处理的全过程。4.8网络设备故障1 .如果有备份网络设备，则启用备份网络设备2 .将上次备份的配置文件导入备份网络设备3 .检查和确认引进的备份设备配置立即生效4 .进行线路切换，维护现有的网络拓扑结构5 .检查和确认设备工作正常6 .进行通信连接性测试，确认备用设备是否正常切换7 .仔细监视新在线设备的工作状态，进行故障诊断8