大府办函〔2021〕59号
大英县人民政府办公室
关于印发《大英县政府网站与电子政务外网
网络安全应急预案》的通知
各镇人民政府,各园区管委会,盐井街道办事处,县级相关部门,县属各企事业单位:
现将《大英县政府网站与电子政务外网网络安全应急预案》印发你们,请结合实际,认真遵照执行。
大英县人民政府办公室
2021年6月24日
大英县政府网站与电子政务外网网络安全应急预案
目 录
1.总则
1.1编制目的
1.2编制依据
1.3工作原则
1.4适用范围
2.网站、网络突发事件的类别、级别
2.1突发事件的类别
2.2突发事件的级别
3.组织机构与职责
3.1网络与信息安全应急领导小组
3.2网络与信息安全领导小组职责
4.预防措施
4.1宣传培训
4.2安全措施
4.3灾前预防技术体系
5.应急处理流程
5.1病毒爆发处理流程
5.2网页非法篡改处理流程
5.3非法入侵处理流程
5.4拒绝服务攻击处理流程
5.5机房物理环境事故应急处理流程
5.6网络线路故障应急处理流程
5.7数据故障应急处理流程
6.监督检查
7.保障措施
7.1机构和人员
7.2技术支撑队伍
7.3情报力量
7.4物质保障
7.5经费保障
7.6责任与奖惩
8.附则
8.1预案管理
8.2预案解释
8.3预案实施时间
1.总则
1.1编制目的
为规范和加强对大英县政府网站、电子政务外网网络的管理,准确掌握和评估重大网络安全事件相关情况,及时协调组织力量进行事件的应急响应处置,降低网络安全事件所造成的损失和影响,特制定本预案。
1.2编制依据
《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《国家突发公共事件总体应急预案》《突发事件应急预案管理办法》《国家网络安全事件应急预案》《四川省网络安全事件应急预案》和《信息安全技术信息安全事件分类分级指南》等相关规定。
1.3工作原则
(1)统一领导,分级负责。大英县政府网站、电子政务外网网络安全应急处理工作由县电子政务外网中心牵头,会同各有关单位,齐抓共管、各负其责,共同提高我县网站、网络安全应急处置水平。
(2)明确责任,依法规范。按照“谁主管、谁负责”的原则,加强网站和网络安全管理,认真落实各项安全管理制度和措施。
(3)防范为主,加强监控。广泛宣传政府网站和电子政务信息安全基本知识,提高对网络安全的认识水平,切实落实信息安全防范措施,强化对政府网站、电子政务外网的监控,减少安全事件可能带来的不良影响。
(4)整合资源,协调处理。加强部门之间的协调与沟通,整合社会资源,提高应急处置能力。
1.4适用范围
本预案所称的网络安全重大事件是指由于自然灾害、人为攻击或破坏、病毒爆发等原因所引发,严重影响到政府网站、电子政务外网的正常运行,造成业务中断、系统瘫痪、数据破坏、信息失窃等,从而对政府形象、社会稳定、公众利益等方面造成严重影响以及造成一定程度直接和间接重大经济损失的事件。
大英县所有单位的网络与信息系统安全事件报告、应急处置,均适用于本预案。
2.网站、网络突发事件的类别、级别
2.1突发事件的类别
根据政务网络安全的发生原因、性质和机理,大英县政府网站、网络安全事件主要分为以下三类:
(1)攻击类事件:指网络系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。
(2)故障类事件:指网络系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。
(3)灾害类事件:指因爆炸、火灾、雷击、地震等外力因素导致网络系统损毁,造成业务中断、系统宕机、网络瘫痪等情况。
2.2突发事件的级别
按照电子政务网络安全事件的性质、严重程度、可控性和影响范围,将其分为特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)和一般(Ⅳ级)四级。
(1)特别重大网络安全事件(Ⅰ级)。指扩散性很强,造成全网的重要政务信息系统大面积瘫痪,影响社会稳定,衍生其他重大安全事件。
(2)重大网络安全事件(Ⅱ级)。指扩散性强,或发生在涉及国计民生的重要政务信息系统。
(3)较大网络安全事件(Ⅲ级)。指基本无扩散性,或发生在本网个别单位的政务网络事件。
(4)一般网络安全事件(Ⅳ级)。指无扩散性,或发生在本网个别单位的政务网络事件。
3.组织机构与职责
3.1网络与信息安全应急领导小组
组长由县政府办公室主任陶虎担任,副组长由县政府办公室副主任蒋长寿担任,小组其他成员由各相关部门负责人担任,网络与信息安全应急领导小组下设办公室在县政府外网中心。
3.2网络与信息安全领导小组职责
研究制订大英县网络与信息安全应急处置工作的规划、计划和政策,协调推进大英县网络信息安全应急机制和工作体系建设;当发生网络与信息安全突发事件后,由应急领导小组确定事件级别,决定是否启动本预案,进入应急处置程序或按程序向上一级呈报,启动更高层次的应急预案。
4.预防措施
4.1宣传培训
各单位应大力宣传网络安全的基本原理、安全事件的预防措施和应急处理的基本知识,强化本单位人员的网络安全意识。
各单位应定期或不定期地举办网络安全基础培训,确保不同岗位的人员都能熟悉并掌握网络系统应急处理的知识和技能。同时应积极参加由市、县举办的各类网络安全培训,通过不同层次、类型的培训或研讨,提高全县网络与信息安全水平,防范网络安全事件发生。
4.2安全措施
各单位应定期对本单位网络与信息安全进行风险评估,了解网络系统目前可能存在的安全隐患和所面临的安全威胁,并针对本单位互联网、电子政务内网、电子政务外网、业务专网等实际,从物理、网络、系统、应用、数据等多个层面实施网络安全保障工作。
各单位应定期对网络系统的运行状态、系统日志、密码管理和安全日志等进行检查,对重要信息系统如网站、核心数据库等应每日进行、密码安全性运行检查,对重要数据要实时和定时进行备份,对核心网络设备定期检查和维护,确保及时发现网络安全事件,减少安全事件所造成的损失。
各单位应定期或不定期组织预案演练,进一步明确应急响应各岗位责任,检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求,对预案中存在的问题和不足及时完善、补充。
4.3灾前预防技术体系
预防供电故障:各单位的网络交换中心和传输节点均应配置防雷击、防静电设备和长延时不间断电源。
预防火险:机房要保持恒温。每天下班前要检查电源接插件,如有烧焦现象,要立即更换。灭火器要保证在保质期内,并放置于每间办公室入口处,所有的工作人员均须学会正确使用灭火器。
预防水渗故障:交换中心、传输节点、通信管沟、分线盒、办公室均应采取防水渗措施。
预防设备丢失:各单位的网络及信息设备均应采取防盗措施,特别是室外交换设备、分线盒要有相应的防盗设施。
预防线路故障:关键服务器区网络出口采用冗余线路。
预防黑客病毒:在电子政务外网的出口设置高性能防火墙、入侵检测系统、防病毒系统。在网络设备和服务器上采用安全策略,安装相应的补丁程序、关闭不用的端口、启动日志记录。
预防内部攻击:在电子政务外网内采用VLAN技术保证不同子网的相互独立。
预防设备故障:对于易损件,要准备必要的备品、备件。
5.应急处理流程
出现灾情后值班人员要及时通过电话、传真、邮件、短信等方式通知单位领导及相关技术负责人。
值班人员根据灾情信息,初步判定灾情程度。能够自己独立解决的,要及时加以解决;如果不能自行解决故障,要报请单位领导现场指挥,协调各部门力量,按照分工负责的原则,组织相关技术人员进入抢险程序。并立即报告网络与信息安全领导小组备案。
5.1病毒爆发处理流程
各单位对外服务信息系统一旦出现感染病毒,应执行以下应急处理流程(附件1):
(1)立即切断感染病毒计算机与网络的联接;
(2)对该计算机的重要数据进行备份;
(3)启用防病毒软件对该计算机进行杀毒处理,同时通过防病毒软件对其他计算机进行病毒扫描和清除工作;
(4)如果满足下列情况之一的,应立即向本单位信息安全负责人通报情况,并向县政府外网中心报告,通知专业技术人员处理:
①现行防病毒软件无法清除该病毒的;
②网站在2小时内无法将病毒处理完毕的;
③业务系统或办公系统在4小时内无法将病毒处理完毕并恢复完善的;
④恢复系统和相关数据,检查数据的完整性;
⑤病毒爆发事件处理完毕,将计算机重新接入网络;
⑥总结事件处理情况,并提出防范病毒再度爆发的解决方案;
⑦实施必要的安全加固。
5.2网页非法篡改处理流程
各单位对外服务网站一旦发现网页被非法篡改,应执行以下应急处理流程(附件2):
(1)发现网站网页出现非法信息时,值班人员应立即向本单位信息安全负责人通报情况,并立即向县政府外网中心报告。情况紧急的,应先采取断网等处理措施,再按程序报告;
(2)本单位信息安全负责人应在接到通知后立即赶到现场,做好必要记录,妥善保存有关记录及日志或审计记录;
(3)县政府外网中心应在接到报告后2小时内赶到现场,追查非法信息来源,相关单位并做好相关配合工作,必要时协调相关部门或公司来协助解决;
(4)在县政府外网中心提取相关数据样本后,清理网站非法信息,强化安全防范措施,然后将网站重新投入使用。如情节严重,构成违法犯罪的,由县公安局立案侦查;
(5)总结事件处理情况,并提出防范再度发生的解决方案;
(6)实施必要的安全加固。
5.3非法入侵处理流程
各单位对外服务信息系统一旦发现被远程控制等非法入侵行为,应执行以下应急处理流程(附件3):
(1)发现系统服务器被远程控制、植入后门程序或发现有黑客正在进行攻击时,应立即向本单位信息安全负责人通报情况,并立即向县政府外网中心报告;
(2)如服务器已被入侵,要立即将被攻击的服务器等设备从网络中隔离出来,保护现场;
(3)本单位信息安全负责人应在接到通知后立即赶到现场,做好必要记录,妥善保存有关记录及日志或审计记录;
(4)县政府外网中心对网站非法入侵事件应在接到报告2小时内赶到现场;对业务系统和办公系统事件应在接到报告4小时内赶到现场,对现场进行分析,追查攻击源,修改防火墙等设备的安全配置阻断黑客继续入侵。相关单位要做好配合工作,必要时协调相关部门或公司来协助解决;
(5)分析后台数据库操作日志,判断是否发生数据失窃。检查、校验数据的完整性和有效性;
(6)在县政府外网中心提取相关数据样本后,恢复与重建被攻击或破坏的系统。如情节严重,构成违法犯罪的,由县公安局立案侦查。重新将恢复后的对外服务系统接入网络;
(7)总结事件处理情况,并提出防范再度发生的解决方案;
(8)实施必要的安全加固。
5.4拒绝服务攻击处理流程
各单位对外服务信息系统一旦发现遭受DDOS等拒绝服务攻击,无法正常访问时应执行以下应急处理流程(附件4):
(1)发现对外服务系统访问流量异常、无法正常访问,可能遭受拒绝服务攻击时,应立即向本单位信息安全负责人通报情况,并立即向县政府外网中心报告;
(2)本单位信息安全负责人应在接到通知后立即赶到现场,做好必要记录,妥善保存有关记录及日志或审计记录;
(3)县政府外网中心对网站事件应在接到报告2小时内赶到现场;对业务系统和办公系统事件应在接到报告4小时内赶到现场,对现场进行分析,追查攻击源,修改路由器、防火墙等设备的安全配置,缓解、消除拒绝服务攻击的影响。相关单位要做好配合工作,必要时协调专业公司来协助解决;
(4)在县政府外网中心提取相关数据样本后,恢复对外系统正常运行。如情节严重,构成违法犯罪的,由县公安局立案侦查;
(5)总结事件处理情况,并提出防范再度发生的解决方案;
