时间:2024-09-30 15:47:00 来源: 字体显示:大 中 小
一、总则
(一)适用范围
本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。
本预案适用于网络安全事件的应对工作。其中,有关信息内容安全事件的应对,另行制定专项预案。
(二)编制依据
《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)等相关规定。
(三)事件分级
网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。
(一)符合下列情形之一的,为特别重大网络安全事件:
1、重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。
2、国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。
3、其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。
(二)符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件:
1、重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。
2、国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。
3、其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
(三)符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件:
1、重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。
2、国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。
3、其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。
(四)除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
(四)基本原则
坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责,充分发挥各方面力量共同做好网络安全事件的预防和处置工作。
二、组织机构
为做好突发网络与信息安全事故的处置工作,提高应急处置能力,设立网络安全与信息化工作领导小组,负责领导、组织、协调网络与信息安全工作。
组 长:陈鸿罡 党组书记
副组长:张辰源 党组成员、副厅长
孙立君 党组成员、副厅长
金振林 党组成员、副厅长
宋 薇 党组成员、副厅长
成 员:刘成阳 办公室主任
徐文超 综合处处长
宫大鹏 人事处处长
戴东升 财务处处长
张 鹏 艺术处处长
冯长国 公共处处长
赵 利 宣传处处长
吴 桐 市场处处长
朱 红 非遗处处长
张云伟 产业处处长
吕先勇 资源处处长
贾 鑫 冰雪办主任
吕伟鹏 乡村旅游处处长
杨福德 执法局局长
范 敏 国际处处长
张轶峰 文保处处长
张立军 博物馆处处长
姜 彪 文管处处长
吴丽丹 革命文物处处长
王 勇 科教处处长
曾宪委 政策法规处副处长
李永权 监管处处长
张纪军 航线办主任
杨智勇 审批办主任
李 华 机关党委专职副书记
领导小组下设办公室,分别由办公室、宣传处、机关党委、信息中心等相关人员组成,负责领导小组日常工作。具体任务分工如下:
办公室: 主要负责网络安全的综合协调,负责厅机关和直属单位网络(信息系统)安全管理,以及网络安全保密等工作。
宣传处:主要负责网络舆情处置,新媒体信息发布和信息安全等工作。
机关党委:主要负责网络意识形态相关工作。
信息中心:主要负责网络安全和信息化建设的技术保障工作,归口网信办、政数局等部门开展相关工作。
三、应急处置措施与预案
(一)信息系统出现非法信息时的紧急处置措施
1、系统由与信息管理人员维护与管理,要求随时密切监视和各种信息系统的内容。每天上、下午各不少于两次监控。
2、若发现出现涉密敏感、低俗信息等非法信息时,信息管理人员应立即报告情况,采取紧急措施,留存记录,删除处理,若为攻击系统的应及时恢复系统,再按程序报告。
3、信息管理人员不能处理的应及时报告负责人,做好必要的记录,清理非法信息,采取必要的安全防范措施,确保系统重新投入正常使用。
4、信息管理人员应妥善保存有关记录及日志或审计记录。
5、信息管理人员和网络技术安全人员应了解追查非法信息来源。
6、信息管理人员和网络技术安全人员会商后,应及时将有关情况报告部门主管或负责人,不能处理的,情况比较严重的应及时按领导小组架构逐级报告。
(二)黑客攻击时的紧急处置措施
1、网络以及各信息系统管理人员应时刻监控网络和各信息系统的运行情况,若发现系统内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击,应立即向网络安全管理人员通报。
2、网络技术人员应尽快赶赴设备现场,首先将被攻击的服务器或相关的设备与网络断开,保护现场,同时向网络责任人或负责人汇报有关情况。
3、网络技术维护人员应及时恢复被破坏系统,或重建系统。
4、网络技术人员应追查非法信息来源,阻断其攻击。
5、网络技术人员,不能处理的,应及时报告部门主管和负责人,情况比较严重的应及时按领导小组架构逐级报告。
(三)病毒入侵的紧急处置措施
1、网络技术和信息管理人员应加强网络和各种信息系统防病毒管理和监控,定期升级和维护监控日志,发现问题应及时处理。
2、当发现服务器、交换机以及相关的信息系统感染病毒,应立即将该机从网络上隔离。查杀病毒,处理病毒,备份数据,及时检查关联的和其他系统,可采用备份、备机等多种办法恢复系统。
3、对于采用防病毒软件和相应措施不能处理的病毒,应及时报告部门负责人,情况比较严重的应及时按领导小组架构逐级报告。
(四)网络及信息系统软件遭受破坏性攻击的紧急处置措施
1、各种系统软件、应用软件、数据库系统,必须建立相应的档案管理,并有多重备份,一般不应少于3份,并在所内不同的楼宇存放。各种重要的应用系统的数据,必须有多日备份,备份的方案不少于3种,如定期备份、服务器磁盘RAD方式工作、服务器互备、远程备份等,重要的应定期存档和放在安全处。
2、一旦发现网络和信息管理系统软件遭到破坏性攻击,相关人员应立即报告主管或部门负责人,应采取应急措施停止或限制系统运行。
3、网络和各信息系统的技术人员,应及时检查日志等资料,了解确认攻击来源,采取必要的措施阻断攻击和破坏。
4、网络和各信息系统的技术和管理人员,可利用备份、备机,及时恢复系统、软件和数据。
5、对于不能处理的问题,应及时报告部门负责人,情况比较严重的应及时按领导小组架构逐级报告。
(五)数据库系统安全紧急处置措施
1、各种数据库系统至少要准备3个以上数据库备份,平时一份放在机房,一份放档案室,另一份存在其他安全的建筑物中。
2、一旦数据库崩溃,应立即向主管报告,同时通知涉及单位或人员暂缓使用,查处和解决问题。
3、网络安全技术人员应对主机系统进行检查维护和维修,如遇无法解决的问题,应立即报告有关领导,及时联系软硬件提供商或开发商支援,协助处理和解决问题。
4、系统修复后,应先备份,不能备份的,应启用预留的备份,按照要求将其恢复到主机系统中。如第一套备份损坏,导致数据库无法恢复,则应取第二套数据库备份恢复,直到正常工作。
5、对于不能处理的问题,应及时报告部门负责人,情况比较严重的应及时按领导小组架构逐级报告。
(六)互联网外部线路中断紧急处置措施
1、为了保障互联网的畅通,应有两种以上的备用方案,比如一条线路故障,启用另一条或加载在另一条线路上。
2、网络和各信息系统,需通过宽带供应商提供的接入服务,可通过防火墙监控、网络管理系统确认是否与国际互联网外部线路接通,若不通应迅速确定情况,启动备用方案。
3、网络管理人员应迅速判断故障节点,查明故障原因,如属我方管辖范围,应尽快解决问题进行恢复,如属电信部门管辖范围问题,应立即与电信维护部门联系,请求修复。
4、对于出现的故障,应迅速查明原因,迅速解决,启用备份,启用新交换机等。若不能及时解决,应迅速报告网络管理人员和部门领导,重要的问题应及时按领导小组架构逐级报告。
(七)内部网络、专线网络等中断紧急处置措施
1、网络维护、维修和管理人应时时监控网络的运行,发现、查到或接到故障的报告后应在10分钟内响应,及时确定故障的范围,若在2-3级及以下层面,发生在各楼宇或社区,由委托的维修人员迅速解决,若发生在主干交换机和所服务器系统,信息中心网络维护管理人员应迅速解决。
2、如属线路故障,应维护或重新安装线路。如属路由器、交换机等网络设备故障,应立即更换备用设备,并要调试畅通。如属路由器、交换机配置文件破坏,应迅速启用备份配置,按照要求恢复或重新配置,并要调试畅通。
3、不能及时解决的问题,应迅速报告网络管理人员和部门负责人,联系有关厂商支援,重要的问题应及时按领导小组架构逐级报告。
(八)设备安全紧急处置措施
1、重要的信息设备,如交换机、服务器、光猫等应有备机。
2、网络系统管理人员应加强网络和重要信息系统硬件设备的监控,发现问题应迅速查明原因,及时处理、报告。
3、若遇设备软件问题应启用软件备用方案,硬件问题,应启用备机或备件方案。
4、对于不能解决的重要技术问题,可联系设备供应商,维修人员维修或技术支持解决。
5、若不能及时解决问题的,应迅速报告网络管理人员和部门领导,重要的问题应及时按领导小组架构逐级报告。
(九)机房灭火与人员疏散预案
1、机房应按电器设备和信息设备的要求,配置相应的消防和报警设施,应配备足够数量的灭火器,所有人员有责任和义务做好日常消防工作,除加强监管监控外,应有防护方案。
2、一旦机房发生火灾,应迅速扑灭和报警。若不能及时扑灭应遵照下列原则:首先保人员安全;其次保关键设备、数据安全;三是保一般设备安全。
3、人员疏散的程序是:机房工作人员立即按响火警警报,并通过119电话向公安消防部门请求支援,所有不参与灭火的人员按照预先确定的安全线路,迅速从机房中撤出。
4、人员灭火的程序:首先切断所有电源,灭火人员应做好自身防护,如戴好防毒面具等,从指定位置取出灭火器进行灭火。
5、人员逃生,对无法处理的火灾,所有人员应迅速离开现场。
6、发生火灾后,应第一时间按领导小组架构逐级报告。
(十)供电系统中断后的应急措施
1、机房配备两套电源动力系统,并将所有重要的信息设备接入UPS。当其中一套电源系统发生故障时,手动启动第二套电源系统,若两套电源均出现故障,将由UPS供电。网络系统管理人员应加强电力供应的监控和监管,发现问题应迅速查明原因,及时处置,及时报告网络管理人员和部门负责人。
2、如因内部电气线路故障或供电局的原因,联系后勤服务部门迅速恢复。
3、如果停电时间较长,应做如下安排:
(1)预计停电1小时以内,由UPS供电。因空调没有UPS,室内温度会很快升高,可采用开窗的办法,也可先关掉热量大和不重要的系统,保留系统工作。
(2)预计停电时间超过1小时以上的,由网络技术维护人员等手工关掉所有设备,确保所有设备正常关机。
(十一)关键人员不在岗的紧急处置措施
1、对网络的工作人员,同样的工作必须有两人或两人以上会操作,确保能够及时处理各种问题,所有工作人员必须熟知应急处理方法和应急预案,各主管负责人须指导和教会网络所有工作人员的应急处理技能。
2、一旦发生问题,在岗人员无能力处置时,应迅速报告网络管理人员和部门负责人,重要的问题应及时按领导小组架构逐级报告。
3、可采取远程技术指导的办法,或及时邀请相关的专业人员处置。
(十二)各信息系统的安全责任和应急预案
各处室、各单位独立建造、使用的信息系统,参照本预案的应急管理和处置方案,按照谁主管,谁负责,谁运行、谁负责的原则,管理和使用部门承担相应信息安全责任。
(十三)重要信息系统数据备份与恢复管理措施
1、OA办公系统备份
oA办公系统应用服务器每天23点30进行全量备份、备份文件保留7天,备份完毕后同步推送到备份服务器数据盘中进行异地存储。数据库应用每天23点进行物理备份和逻辑备份、备份文件保留15天,备份完毕后同步推送到备份服务器数据盘中进行异地存储。
2、其他重要信息系统备份
四、保障措施
(一)责任与奖惩
网络安全事件应急处置工作实行责任追究制。
对不按照规定制定预案和组织开展演练,迟报、谎报、瞒报和漏报网络安全事件重要情况或者应急管理工作中有其他失职、渎职行为的,依照相关规定对有关责任人给予处分;构成犯罪的,依法追究刑事责任。
(二)宣传与培训
充分利用各种传播媒介及其他有效的宣传形式,加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传,开展网络安全基本知识和技能的宣传活动。
要将网络安全事件的应急知识列为领导干部和有关人员的培训内容,加强网络安全特别是网络安全应急预案的培训,提高防范意识及技能。
(三)管理与演练
各部门按职责做好网络安全事件日常预防工作,制定完善相关应急预案,做好网络安全检查、隐患排查、风险评估和容灾备份,健全网络安全信息通报机制,及时采取有效措施,减少和避免网络安全事件的发生及危害,提高应对网络安全事件的能力。
定期组织演练,检验和完善预案,提高实战能力。每年至少组织一次预案演练,并将演练情况报中央网信办。
(四)其他保障
加强对网络安全应急装备、工具的储备,及时调整、升级软件硬件工具,不断增强应急技术支撑能力。
为网络安全事件应急处置提供必要的资金保障,支持网络安全应急技术支撑队伍建设、专家队伍建设、基础平台建设、技术研发、预案演练、物资保障等工作开展。
加强网络安全应急技术支撑队伍建设,做好网络安全事件的监测预警、预防防护、应急处置、应急技术支援工作。
吉公网安备 22010402000814号