鹹陽市網路與信息安全突發事件應急預案
1、總則
為加強網路與信息安全管理,提高應急防範能力,保障基礎信息網路和重要信息系統安全,維護國家安全與社會穩定,促進國民經濟與社會信息化健康發展,制定本預案。
1.1 編制目的
確保全市基礎網路、
電子政務系統與其他重要信息系統的日常業務能夠持續運行;確保信息的保密性、完整性、可靠性;保證全市
突發公共事件信息傳輸的暢通。
1.2 編制依據
(3)《中華人民共和國保守國家秘密法》
(4)《信息安全事件分類分級指南》(GB/Z20986-2007)
(5)中華人民共和國計算機信息系統安全保護條例。
(7)全國人民代表大會常務委員會《關於維護網際網路安全的決定》。
(8)公安部、國家保密局、國家密碼管理委員會辦公室和
國務院信息化工作辦公室《關於信息安全等級保護工作的實施意見》(公通字〔2004〕66號)。
(9)網路與信息安全主要威脅及隱患現象。當前我市網路與信息安全保障工作仍存在一些亟待解決的問題:網上有害信息傳播、病毒入侵和網路攻擊日趨嚴重,網路失泄密事件屢有發生,網路犯罪呈快速上升趨勢,境內外敵對勢力針對廣播電視衛星、有線電視、地面網路的攻擊破壞活動以及利用信息網路進行的反動宣傳日益猖獗;網路與信息系統的防護水平不高,應急能力不強;信息安全管理和技術人才缺乏,少數政務網站安全設施配置不夠到位,產業缺乏核心競爭力;信息安全法律法規和標準不完善;全社會信息安全意識不強,信息安全管理薄弱;隨著我市信息化的逐步推進,特別是網際網路的廣泛套用,信息安全還將面臨更多新的挑戰。
1.3事件分類等級
根據網路與信息安全
突發公共事件的可控性、嚴重程度和影響範圍,一般分為四級:
Ⅰ級(特別重大)信息安全事件
重要網路與信息安全系統發生大規模癱瘓,事態發展超出的市政府和省級主管部門的控制能力,對國家安全、社會秩序、經濟建設和公共利益造成特別嚴重損害的突發公共事件。
(1)信息系統中斷運行2小時以上、影響人數100萬人以上。信息系統中的數據丟失或被竊取、篡改、假冒,對國家安全和社會穩定構成特別嚴重威脅,或導致10億元人民幣以上經濟損失。
(2)通過網路傳播反動信息、煽動性信息、涉密信息、謠言等,對國家安全和社會穩定構成特別嚴重危害事件。
(3)其他對國家安全、社會秩序、經濟建設和公眾利益構成特別嚴重威脅、造成特別嚴重影響的網路與信息安全事件。
Ⅱ級(重大)網路與信息安全事件
重要網路與信息安全系統發生大規模癱瘓,對國家安全、社會秩序、經濟建設和公共利益造成嚴重損害,需要跨部門、跨地區協同處置的突發公共事件。
(1)信息系統中斷運行30分鐘以上,影響人數10萬人以上。
(2)信息系統中的數據丟失或被竊取、篡改、假冒,對國家安全和社會穩定構成嚴重威脅,或導致1億元人民幣以上的損失。
(3)通過網路傳播反動信息、煽動性信息、涉密信息、謠言等,對國家安全和社會穩定構成特別嚴重危害事件。
(4)其他對國家安全、社會秩序、經濟建設和公眾利益構成特別嚴重威脅、造成特別嚴重影響的網路與信息安全事件。
Ⅲ級(較大)網路與信息安全事件
某一網路與信息系統發生較大規模癱瘓,對國家安全、社會秩序、經濟建設和公共利益造成較嚴重損害,本地區政府和本部門主管領導能夠組織相關力量處置的突發公共事件。
(1)信息系統中斷運行造成嚴重影響的。
(2)信息系統中的數據丟失或被竊取、篡改、假冒,對國家安全和社會穩定構成嚴重威脅,或導致1000萬人民幣以上的損失。
(3)通過網路傳播反動信息、煽動性信息、涉密信息、謠言等,對國家安全和社會穩定構成較嚴重危害事件。
(4)其他對國家安全、社會秩序、經濟建設和公眾利益構成特別嚴重威脅、造成較嚴重影響的網路與信息安全事件。
Ⅳ級(一般)網路與信息安全事件
重要網路與信息安全受到一定程度的損壞,對國家安全、社會秩序、經濟建設和公共利益構成一定威脅,對公民、法人和其他組織的權益有一定影響突發公共事件為一般網路與信息安全事件。
1.4 適用範圍
全市各縣市區、市級機關的網路與信息系統,重點是:
信息基礎設施、重要業務系統。
1.5 工作原則
(1)堅持防禦為主,綜合防範;
(2)堅持統一領導、分級負責和"誰主管誰負責、誰運行誰負責、誰使用誰負責"的原則;
(3)堅持條塊結合、以塊為主;
(4)堅持以人為本,快速反應;
(5)依靠科學,常備不懈。
2、應急組織領導體系及職責任務
2.1 應急組織領導體系
全市網路與信息安全突發事件防範及應急處置工作由市網路與信息安全協調小組統一領導、指揮、協調。
(1)鹹陽市網路與信息安全協調領導小組組成:
組 長:市人民政府主管副市長
副組長:市委主管副秘書長
市人民政府主管副秘書長
市工業和信息化委員會主任
成 員:市委組織部、市委宣傳部、市應急辦、市發改委、市教育局、市科技局、市公安局、市國家安全局、市財政局、市安監局、市工業和信息化委員會、市文廣新局、市質監局、市保密局、市委機要局、市人行、市政務信息辦公室。
(2)鹹陽市網路與信息安全突發事件應急辦公室
成立鹹陽市網路與信息安全突發事件應急辦公室,設在市工業和信息化管理委員會,其組成:
主 任:市工業和信息化委員會主任
副主任:市委組織部、市委宣傳部、市應急辦、市發改委、市公安局、市保密局、市委機要局、市國家安全局、市文廣新局、市財政局、市工業和信息化委員會、市政務信息化辦公室分管領導。
成 員:市工業和信息化委員會、市公安局、市保密局、市委機要局、市國家安全局、市文廣新局、市財政局、市政務信息化工作辦公室、中國移動陝西有限公司鹹陽分公司、中國電信陝西省鹹陽分公司、中國聯通有限公司鹹陽分公司、陝西廣電網路鹹陽分公司等有關科室負責人組成。
2.2 職責及任務
(1)市網路與信息安全協調小組承擔網路與信息安全方面突發應急事件的主要職責及任務:
①審查批准全市信息與網路安全突發事件應急方案。決定四級突發事件應急預案的啟動,督促檢查Ⅲ級和Ⅳ級突發事件處置工作;
②對各縣市區政府、市級各部門、各有關單位貫徹執行有關法律法規、制定應急處置預案、應急處置準備情況進行督促檢查;
③對各縣市區政府、市級各部門、各有關單位在突發事件處置工作中履行職責情況進行督促檢查,開展表彰獎勵活動;
④向省人民政府、市人民政府、省信息廳等報告突發事件以及應急處置情況;
⑤按照省網路與信息安全協調小組的要求開展處置工作。
(2)市網路與信息安全突發事件應急辦公室承擔突發應急事件的日常工作。其主要職責及任務:
①組織制定網路與信息安全突發事件應急方案;
②統籌規劃建立應急處理技術平台,會同成員單位制定相關應急措施;
③提出啟動預案,加強或撤銷控制措施的建議和意見;
④協調各縣市區、市級各部門、中省駐鹹企事業單位及駐鹹部隊共同做好網路與信息安全突發事件的處置工作;
⑤督促、檢查應急措施的落實情況;
⑥配合省通信管理局,協調全市通信、網路等基礎設施的安全應急保障工作,確保信息傳輸通暢。
⑦協調市政務信息辦做好電子政務網路應急指揮系統的建設與管理。
⑧負責及時收集、上報和通報應急事件的有關情況,向市政府報告有關工作情況。
市政府應急辦:參與協調網路與信息安全突發事件處置工作,負責向上級政府報送信息,同時向下傳達有關領導指示。
a.市公安局:負責網際網路信息監控及網路運行安全監測,實施網際網路信息網路安全報警處置平台建設;負責對網上有害信息傳播的處置;負責對影響社會穩定的網上熱點問題惡意炒作事件的處置;負責查處打擊惡意攻擊網站和傳播有害網站的責任人;負責對重大敏感時期、重要活動、重要會議期間重點網站發生信息安全事件的處置;負責計算機病毒疫情和大規模網路攻擊事件的處置;會同有關部門提出信息網路安全突發事件的具體等級標準。
b.市國家安全局:負責處置利用信息網路危害國家安全的
違法犯罪活動等。
c.市國家保密局:負責組織協調有關部門查處利用計算機網路泄露國家秘密的違法行為。
d.市委機要局:負責加快對全市各縣市區、市級各部門、
重要業務系統的密碼、密鑰管理和推廣套用;建立以區域密鑰管理為主的CA認證(數字認證)體系, 保證信息安全。
e.市文廣新局:負責全市廣播電視網路等基礎設施的安全應急保障工作,確保信息傳輸通暢。
f.市財政局:負責建立市網路與信息安全突發事件應急處
置經費保障機制,保證應急處理體系建設和突發事件應急處置所需經費。
g.市政務信息化辦公室:負責電子政務網路應急指揮系統的建設與管理。
h.市網路與信息安全專家小組主要負責網路與信息安全技術方面重大問題的諮詢和處理。
i.各運營商:負責與公安系統配合檢查網路安全工作,負責本系統的安全保障工作。
j.各縣市區、市級各有關部門負責各自範圍內的網路與信息安全管理和突發事件應急處置工作,應參照本預案, 建立本地區、本部門應急處置機制。
對基礎網路設施、重要業務系統堅持"誰主管誰負責、誰運行誰負責、誰使用誰負責"的原則。
3、監測、預警與先期處理
3.1信息監測與報告
全市相關職能部門所屬主管網路與信息安全的技術機構應加強網路與信息安全監測、分析和跟蹤工作。收集、分析判斷和持續監測引發網路與信息安全事件的信息來源、影響範圍、事件性質和事件發展趨勢,及時向省網路與信息安全事件應急辦公室做出我市發生或可能發生網路與信息安全事件的報告。
3.2安全事件預警與先期處置
(1)Ⅰ級、Ⅱ級網路與信息安全事件預警與處置
對本地區/部門發生或可能發生Ⅰ級/(特別嚴重)、Ⅱ級(嚴重)網路與信息安全事件,事發單位地區應當在事件被發現時立即進入緊急(應急)工作狀態,積極組織力量做好安全事件的應急回響工作,研究分析安全策略,制定安全應急解決方案,立即安排隱患排查,並派人24小時輪流值班,蒐集有關信息和重要情況,及時做好上報工作。開展安全事件的調查核實工作、保存相關數據及證據,確定事件等級。研究該安全事件產生的原因、危害、機理等,提出啟動預案申請等。
(2)特殊重要時期的預警與處置
特殊重要時期,各有關單位按照"Ⅲ級/預警"安全事件處理要求和流程做好應急準備;當發生或可能發生"Ⅲ級/預警"及以上重大網路與信息安全事件時,按高一級安全事件的處理要求和流程進行各項應急處置。
(3)Ⅲ級網路與信息安全事件的預警與處置
對Ⅲ級(較重)的網路與信息安全事件,事發單位和地區應當按照有關應急預案處置程式處置,並報市網路與信息安全事件應急辦公室備案。
(4)網路與信息安全事件預警發布
根據其可能造成的危害程度、緊急程度和發展態勢,預警級別分別用藍色(一般)、黃色(較重)、橙色(嚴重)和紅色(特別嚴重)來表示。預警信息應包括事件的類別、可能波及的範圍、可能危害程度、可能持續時間、提醒事宜和應採取的措施等。
4、應急處置
4.1應急回響程式
當本地區/部門可能發生或已經發生"Ⅲ級/預警"、"Ⅱ級/報警"、"Ⅰ級/緊急"級別的網路與信息安全事件,事發單位應立即電話報告市網路與信息安全事件應急辦公室。市網路與信息安全事件應急辦公室接到緊急報告時,立即報告市網路與信息安全協調領導小組並報告省網路與信息安全突發事件應急辦公室。報請市網路與信息安全事件領導小組批准,指示事發單位和相關部門是否啟動應急預案並進入應急回響程式。
4.2應急回響
(1)各縣市區、市直各部門應當及時作出是否啟動本級預案的決定,並報市網路與信息安全突發事件應急辦公室備案,或向市網路與信息安全突發事件應急辦公室提出啟動市級預案的申請。
(2)市網路與信息安全突發事件應急辦公室接到申請後,應立即上報市網路與信息安全協調小組的領導,並會同成員單位儘快組織專家對突發事件時間、性質、級別及啟動預案的時機進行評估,提出啟動預案的意見,報市網路與信息安全協調小組批准。
(3)市網路與信息安全協調小組在作出是否啟動市級預案的決定後,立即通知與應急處理相關的各縣市區人民政府、市直各部門。
4.3 現場應急處理
發生信息安全突發事件的單位按各縣市區、市直各部門作出啟動本級預案的決定,或報經市網路與信息安全協調小組批准啟動市級預案,須作好現場應急處理。
(1)盡最大可能收集事件相關信息,正確定位威脅和安全事件的來源,縮短回響時間。
(2)檢查威脅造成的結果:如檢查系統、服務、數據的完整性、保密性或可用性,檢查攻擊者是否侵入了系統,再次侵入的可能性,損失的程度,確定暴露出的主要危險等。
(3)抑制事件的影響進一步擴大,限制潛在的損失與破壞。可能的抑制策略一般包括:關閉服務或關閉所有的系統,從網路上斷開相關係統,修改防火牆和路由器的過濾規則,封鎖或刪除被攻破的登錄賬號,阻斷可疑用戶得以進入網路的通路,提高系統或網路行為的監控級別,設定陷阱,啟用緊急事件下的接管系統,實行特殊防衛狀態安全警戒,反擊攻擊者的系統等。
(4)在事件被抑制之後,通過對有關惡意代碼或行為的分析結果,找出事件根源,明確回響的補救措施並徹底清除。與此同時,對攻擊源進行定位並採取合適的措施將其中斷。
(5)恢覆信息。恢複數據、程式、服務、系統。清理系統,把所有被攻擊的系統和網路設備徹底還原到它們正常的任務狀態。恢復中涉及機密數據,需要嚴格遵照機密系統的恢復要求。
4.4 應急結束
(1)發生信息安全突發事件的單位根據信息安全事件的處置進展情況,及時向市應急辦、各縣市區政府、市直各部門提出終止應急預案建議。
(2)市網路與信息安全突發事件應急辦公室、各縣市區政府、市直各部門接到終止應急預案建議後,組織相關部門及本級專家對信息安全事件的處置情況進行綜合評估,按預案級別做出決定,並報市網路與信息安全協調小組備案。