一、總則
(一)編制目的
爲建立健全我局網絡安全事(shì)件(jiàn)應急工作機(jī)制,提高應對網絡安全事(shì)件(jiàn)的組織指揮和應急處置能力,保證應急指揮調度工作迅速、高效、有序進行,保障重要網絡和信息系統安全運行,預防和減少網絡安全事(shì)件(jiàn)造成的損失和危害,依據有關規定,制定本預案。
(二)編制依據
依據《中華人民共和國突發事(shì)件(jiàn)應對法》《中華人民共和國網絡安全法》《國家突發公共事(shì)件(jiàn)總體(tǐ)應急預案》《國家網絡安全事(shì)件(jiàn)應急預案》《國家防汛抗旱應急預案》《信息安全技術(shù)信息安全事(shì)件(jiàn)分(fēn)類分(fēn)級指南(nán)》《信息系統安全等級保護基本要求》和《水利信息網運行管理辦法》等有關法律規定,以及《水利網絡安全事(shì)件(jiàn)應急預案》《湖北水利網絡安全事(shì)件(jiàn)應急預案(試行)》,制定本預案。
(三)基本原則
(1)統一領導,分(fēn)級負責。在鄂北局網絡安全與信息化領導小組的統一領導下,按照(zhào)“誰主管誰負責、誰運行誰負責”的原則,加強協調與配合,共同做好網絡安全事(shì)件(jiàn)的預防和處置工作。
(2)統一指揮,快(kuài)速反應。發生網絡安全事(shì)件(jiàn)時,各部門(mén)聽從(cóng)統一指揮,密切協同,快(kuài)速反應,科(kē)學處置,最大程度地減少網絡安全事(shì)件(jiàn)造成的危害和影(yǐng)響。
(3)預防爲主,防治結合。加強網絡安全事(shì)件(jiàn)預警監測機(jī)制建設,預防和最大程度減少網絡安全事(shì)件(jiàn)的發生;加強應急處置措施建設,提高應急響應能力,減少網絡安全事(shì)件(jiàn)造成的損失。
(四)适用範圍
本預案所指網絡安全事(shì)件(jiàn)是指由于人爲原因、軟硬件(jiàn)缺陷或故障、自(zì)然災害等,對網絡和信息系統或者其中的數據造成危害、對社會造成負面影(yǐng)響的事(shì)件(jiàn),可(kě)分(fēn)爲有害程序事(shì)件(jiàn)、網絡攻擊事(shì)件(jiàn)、信息破壞事(shì)件(jiàn)、信息内容安全事(shì)件(jiàn)、設備設施故障、災害性事(shì)件(jiàn)和其他(tā)事(shì)件(jiàn)。
本預案适用于鄂北局網絡安全事(shì)件(jiàn)的應對工作。其中有關信息内容安全事(shì)件(jiàn)的應對遵循國家有關要求,秘密信息洩露事(shì)件(jiàn)的應對遵循國家保密有關法律法規要求。
二、組織體(tǐ)系
(一)領導機(jī)構與職責
鄂北局網絡安全與信息化領導小組(以下簡稱“領導小組”)負責統籌全局網絡安全應急處置工作。鄂北局網絡與信息安全領導小組辦公室(以下簡稱“局網信辦”)爲網絡安全事(shì)件(jiàn)管理的日(rì)常機(jī)構,負責建立健全應急聯絡機(jī)制,指導各部門(mén)應對網絡安全突發事(shì)件(jiàn)預案演習,組織全局網絡安全事(shì)件(jiàn)的研判、預警響應、信息通報及資源協調等工作。
(二)局各部門(mén)職責
我局建立應急聯絡機(jī)制,各部門(mén)應明确網絡安全聯系人,緊急聯系人。組織開展日(rì)常網絡安全的預防,按照(zhào)要求及時上報預警和事(shì)件(jiàn)信息,配合開展應急演練,領導、指揮、協調、實施本部門(mén)職責範圍發生的一般事(shì)件(jiàn)的應急處置工作,在領導小組的領導下,配合做好較大事(shì)件(jiàn)及以上的應急處置工作。
(三)技術(shù)支撐單位職責
我局技術(shù)支撐單位由調度運行部負責,由調度運行部和信息化運維、網絡安全、雲平台等相(xiàng)關企業組成,負責在事(shì)件(jiàn)預防、監測、研判、應急處置、調查評估等工作中提供技術(shù)支持。
三、監測與預警
(一)預警分(fēn)級
網絡安全事(shì)件(jiàn)預警等級分(fēn)爲四級,由高到低分(fēn)别爲:紅(hóng)色預警、橙色預警、黃(huáng)色預警和藍色預警,分(fēn)别對應發生或可(kě)能發生的特别重大、重大、較大和一般網絡安全事(shì)件(jiàn)。
(二)預警監測
按照(zhào)“誰主管誰負責、誰運行誰負責”的要求,局各部門(mén)負責所管理的網絡和信息系統的安全監測工作,建立預警監測機(jī)制,加強預警信息的監測收集工作,重要監測信息及時報送局網信辦。
(三)預警研判和發布
局各部門(mén)監測或收到預警信息後立即進行研判,采取防範和應對措施,并即時通知局網信辦。局網信辦對初判可(kě)能發生一般事(shì)件(jiàn)的預警信息及時發布藍色預警,對初判可(kě)能發生較大及以上安全事(shì)件(jiàn)的預警信息及時将有關情況上報廳網信辦。
預警信息内容包含事(shì)件(jiàn)的類别、預警級别、起始時間、可(kě)能影(yǐng)響範圍、警示事(shì)項、應采取的措施和時限要求、發布機(jī)構等信息内容。
(四)預警響應
1.紅(hóng)色、橙色、黃(huáng)色預警響應
上級應急辦、網信辦等發布涉及我局的紅(hóng)色、橙色、黃(huáng)色預警時,局網信辦、技術(shù)支撐單位、事(shì)件(jiàn)相(xiàng)關部門(mén)實行24小時值班,相(xiàng)關人員保持通信聯絡暢通。事(shì)件(jiàn)相(xiàng)關部門(mén)負責事(shì)件(jiàn)監測和事(shì)态發展信息搜集工作,每日(rì)向局網信辦報告預警響應情況,重要情況立即上報。局網信辦負責協調應急車輛(liàng)、設備、軟件(jiàn)等應急工具,做好應急準備,及時将重要情況報送廳網信辦,并根據指示進行預警重大事(shì)項通報。
2.藍色預警響應
預警信息相(xiàng)關系統管理部門(mén)組織開展預警響應工作,組織做好風(fēng)險評估、應急準備和風(fēng)險控制工作。加強事(shì)件(jiàn)監測和事(shì)态發展信息搜集工作,及時将事(shì)态發展重要情況上報局網信辦。局網信辦根據事(shì)态發展情況向有關部門(mén)進行通報。
(五)預警解除
局網信辦根據實際情況及時發布預警變更或解除信息:
1. 預警事(shì)件(jiàn)級别發生變化的,發布預警級别變更信息;
2. 預警事(shì)件(jiàn)經研判在一定時間内不會發生的,發布預警解除信息;
3. 預警事(shì)件(jiàn)經研判屬于不實信息的,發布預警解除信息;
4. 預警事(shì)件(jiàn)已經發生、轉入應急處置階段的,在處置結束後發布預警解除信息。
四、應急處置
(一)先期處置
1. 按照(zhào)“早發現、早報告、早處置”的原則,局各部門(mén)加強對有關信息的收集、分(fēn)析判斷和持續監測。當發生網絡與信息安全突發公共事(shì)件(jiàn)時,第一時間實施處置并向局網信辦報告事(shì)件(jiàn)信息。
事(shì)件(jiàn)報告方式分(fēn)爲電話(huà)、短(duǎn)信等口頭快(kuài)報和書(shū)面報告。報告内容應該包括事(shì)件(jiàn)來(lái)源、影(yǐng)響範圍、事(shì)件(jiàn)性質、事(shì)件(jiàn)發展趨勢和已采取的措施等。書(shū)面報告填寫鄂北局網絡安全事(shì)件(jiàn)報告表。
判定涉及局調度系統或可(kě)能爲較大事(shì)件(jiàn)的,應于發現安全事(shì)件(jiàn)後1 小時内快(kuài)報、2 小時内書(shū)面報告至局網信辦。判定爲重大或特别重大的網絡安全事(shì)件(jiàn)的,應20分(fēn)鍾内快(kuài)報、40分(fēn)鍾内書(shū)面報告至局網信辦。
2. 局網信辦接到事(shì)件(jiàn)報告後,應詳細記錄事(shì)件(jiàn)信息,了解事(shì)件(jiàn)造成的損失、影(yǐng)響以及現場控制情況,研判事(shì)件(jiàn)級别。判定爲較大及以上事(shì)件(jiàn)的,應組織相(xiàng)應部門(mén)将事(shì)件(jiàn)信息,處置情況及時報告領導小組、廳網信辦。研判結果爲一般事(shì)件(jiàn)的,應即時處置并報告領導小組。
(二)應急響應
網絡安全事(shì)件(jiàn)應急響應級别分(fēn)爲四級:Ⅰ級響應、Ⅱ級響應、Ⅲ級響應和Ⅳ級響應,分(fēn)别對應特别重大、重大、較大和一般網絡安全事(shì)件(jiàn)。Ⅰ級爲最高響應級别。
我局發生較大及以上網絡安全事(shì)件(jiàn)時,局網信辦按照(zhào)上級主管部門(mén)要求啓動相(xiàng)應應急響應。屬于一般事(shì)件(jiàn),局網信辦根據情況啓動一般事(shì)件(jiàn)的應急響應。
1. Ⅰ級、Ⅱ級、Ⅲ級響應
局網信辦組織落實上級應急處置工作的決策部署,局網信辦、事(shì)件(jiàn)相(xiàng)關部門(mén)實行24小時值班,相(xiàng)關人員保持通信聯絡暢通。局網信辦協同事(shì)件(jiàn)相(xiàng)關部門(mén)及時跟蹤事(shì)态發展,上報處置情況。局網信辦根據上級重大事(shì)件(jiàn)的通報指示進行信息通報。
2. Ⅳ級響應
我局發生一般網絡安全事(shì)件(jiàn)時,局網信辦、事(shì)件(jiàn)相(xiàng)關部門(mén)實行24小時值班,相(xiàng)關人員保持通信聯絡暢通。局網信辦組織協調事(shì)件(jiàn)應急處置和支援保障工作,研究部署應對措施,指導應急處置工作。局相(xiàng)關部門(mén)及技術(shù)支撐單位根據應對處置要求,組織開展應急處置工作和支援保障工作,及時跟蹤收集事(shì)态發展變化情況和處置進展情況,并上報局網信辦。
(三)應急結束
局網信辦根據上級主管部門(mén)要求适時終止應急響應,并通知廳網信辦。局網信辦根據一般事(shì)件(jiàn)的處置情況,報請(qǐng)領導小組同意後,适時終止IV級别響應,轉入常态管理。
五、應急預案
(一)對外服務的網站(zhàn)、網頁出現非法言論時的應急處置
1. 發現在網上出現非法信息時,責任部門(mén)立即向局網信辦報告情況,并作好記錄。按要求組織清理非法信息,采取必要的安全防範措施。
2. 情況緊急的,應組織運維單位先關停網站(zhàn)服務,及時采取删除等處理措施,清理完成後,報請(qǐng)領導小組将網站(zhàn)、網頁重新投入使用。
3. 責任部門(mén)組織運維單位調看(kàn)有關記錄、日(rì)志并妥善保管,排查安全隐患,加強安全防範。
(二)黑(hēi)客攻擊或軟件(jiàn)系統遭破壞性攻擊時的應急預案
1. 重要的軟件(jiàn)系統平時必須存有備份,與軟件(jiàn)系統相(xiàng)對應的數據必須有多日(rì)的備份,并将它們保存于安全處。
2. 當管理員通過入侵監測系統發現有黑(hēi)客正在進行攻擊時,應立即向局網信辦報告。軟件(jiàn)遭破壞性攻擊(包括嚴重病毒)時要将系統停止運行。
3. 責任部門(mén)及時組織将被攻擊(或病毒感染)的服務器設備從(cóng)網絡中隔離(lí)出來(lái),保護現場,并同時向局網信辦報告情況。
4. 責任部門(mén)組織技術(shù)支撐單位恢複與重建被攻擊或被破壞的系統,恢複系統數據,并及時追查非法信息來(lái)源。
5. 事(shì)态嚴重的,立即向領導小組報告,并向廳網信辦進行彙報。
(三)數據庫發生故障時的應急預案
1. 責任部門(mén)組織運維單位立即進行數據及系統修複,修複困難的,可(kě)向外包技術(shù)服務公司咨詢,以取得(de)相(xiàng)應的技術(shù)支持。
2. 在此情況下無法修複的,應向局網信辦報告,在征得(de)許可(kě)的情況下,可(kě)立即向軟硬件(jiàn)提供商請(qǐng)求支援。
(四)設備安全發生故障時的應急預案
1. 局各部門(mén)管理的工作機(jī)、服務器等關鍵設備損壞後,應立即組織運維單位等查明原因,并向局網信辦報告。
2. 如(rú)果能夠自(zì)行恢複,應用備件(jiàn)替換受損部件(jiàn),保障系統正常運行。如(rú)屬不能自(zì)行恢複的,應與運維單位及設備提供商聯系,請(qǐng)求派維護人員前來(lái)維修。
3. 如(rú)果設備一時不能修複,應向領導小組彙報,直到故障排除設備恢複正常使用。
(五)内部局域網故障中斷時的應急預案
1. 局域網中斷後,局網信辦應立即組織人員判斷故障節點,查明故障原因。
2. 局網信辦組織人員排除網絡故障,恢複網絡通信,如(rú)有必要需向相(xiàng)關部門(mén)尋求支持幫助。
3. 如(rú)果恢複時間預計(jì)超過三小時,應立即向領導小組彙報。
(六)廣域網外部線路(lù)中斷時的應急預案
1. 廣域網線路(lù)中斷後,管理員應向局網信辦報告。
2. 網絡安全管理員接到報告後,應迅速判斷故障節點,查明故障原因。
3. 如(rú)屬可(kě)即時恢複範圍,由網絡安全管理員立即予以恢複。
4. 如(rú)屬電信運營商管轄範圍,應立即與電信運營商的維護部門(mén)聯系,要求盡快(kuài)修複。
5. 如(rú)果恢複時間預計(jì)超過三小時,應立即向領導小組彙報。
(七)外部供電中斷後的應急預案
1. 外部供電中斷後,值班人員應立即向局綜合部、局網信辦彙報情況。
2. 如(rú)因局内線路(lù)故障,由綜合部通知維修人員迅速恢複。
3. 如(rú)果是局外部的原因,由綜合部立即與供電局聯系,查明原因,請(qǐng)供電局迅速恢複供電。如(rú)果短(duǎn)時間不能及時解決的,及時向領導小組報告。
六、調查評估
在應急處置工作結束後,局網信辦應組織有關人員和專家組成事(shì)件(jiàn)調查組,對事(shì)件(jiàn)發生及其處置過程進行全面的調查,查清事(shì)件(jiàn)發生的原因及财産損失情況,總結經驗教訓,寫出調查評估報告,報領導小組,并根據問(wèn)責制的有關規定,對有關責任人員作出處理。
七、預防工作
(一)日(rì)常管理
局各部門(mén)按照(zhào)職責做好網絡安全事(shì)件(jiàn)日(rì)常預防工作,做好網絡安全檢查、隐患排查、風(fēng)險評估和容災備份等工作,健全網絡安全信息通報機(jī)制,及時采取有效措施,減少和避免網絡安全事(shì)件(jiàn)的發生及危害,提高應對網絡安全事(shì)件(jiàn)的能力。局網信辦加強網絡安全督辦檢查,提高全局網絡安全防範和處置能力。運維管理單位定期進行病毒掃描、更新補丁、備份數據等安全防控措施,協助開展網絡安全檢查,做好網絡安全技術(shù)防範。
(二)演練
每年應至少組織一次應急預案的演練,模拟發生不同級别及不同類型事(shì)件(jiàn)的應急響應和處置,提高應急實戰能力。演練結束後應對演練情況進行評估并根據評估結果完善預案内容。
(三)培訓和宣傳
局網信辦負責組織網絡安全應急預案的培訓,局各部門(mén)将網絡安全事(shì)件(jiàn)應急知識列爲黨員幹部學習内容,提高防範意識。針對發生的網絡安全事(shì)件(jiàn),應總結經驗教訓,組織相(xiàng)關人員進行事(shì)後教育和培訓,防範事(shì)件(jiàn)的再次發生。
(四)重要敏感時期的預防控制
在國家重要活動、會議(yì)等重要敏感時期,局網信辦按網絡安全保障工作要求,統籌協調全局網絡安全保障工作,采取預防控制措施。局各部門(mén)在此期間要按照(zhào)職責加強網絡安全監測和分(fēn)析研判,及時預警可(kě)能造成重大影(yǐng)響的風(fēng)險和隐患,加強巡檢巡查,及時發現和處置網絡安全事(shì)件(jiàn)隐患。
八、保障措施
(一)數據保障
重要信息系統均應建立備份系統和相(xiàng)關工作機(jī)制,保證重要數據在受到破壞後,可(kě)緊急恢複。
(二)應急隊伍保障
按照(zhào)一專多能的要求建立網絡信息安全應急保障隊伍,充分(fēn)發揮技術(shù)支撐合作單位、外包服務單位在人才隊伍、技術(shù)支持方面的優勢。
(三)經費保障
局規劃與财務部配合局網信辦落實網絡安全突發事(shì)件(jiàn)的應急處置資金。
(四)後勤保障
局綜合部負責通勤車輛(liàng)、輔助工具、辦公樓其他(tā)單位協調、信訪維穩、新聞宣傳等後勤保障工作。
(五)通信聯絡保障
各部門(mén)應明确網絡安全事(shì)件(jiàn)應急處理的一般和緊急兩級聯系人,其中一般聯系人主要是進行日(rì)常的信息溝通,緊急聯系人主要是在發生較大及以上網絡安全事(shì)件(jiàn)情況下的直接溝通。聯系人及聯系方式發生變化時要及時向局網信辦報告。啓動應急響應後,緊急聯系人應确保7Í24小時聯絡暢通。
九、附則
(一)預案管理
本預案由鄂北局網信辦負責制訂、管理并定期進行評估,根據實際情況進行适時修訂。
(二)預案解釋
本預案由鄂北局網信辦負責解釋。
(三)預案實施時間
本預案自(zì)發布之日(rì)起施行。
文章(zhāng)作者:崔文露,責任編輯:黃(huáng)豔,審核簽發:廖潘騰子
