晉城市電子政務網路安全應急預案

發文單位：山西省晉城市人民政府辦公廳

文　號：晉市政辦（2008）2號

發布日期：2008-1-4

執行日期：2008-1-4

各縣（市、區）人民政府，市直及駐市各單位：

《晉城市網際網路網路安全應急預案》和《晉城市電子政務網路安全應急預案》已經市人民政府同意，現印發給你們，請認真遵照執行。

晉城市人民政府辦公廳

二○○八年一月四日

1.1編制目的

為規範和加強晉城市電子政務網路重大安全事件的報告管理工作，及時掌握和評估重大網路安全事件有關情況，協調組織力量進行事件的應急回響處理，降低網路安全事件所造成的損失和影響，制定本預案。

1.2 編制依據

根據晉市政辦（2007）9號《晉城市人民政府關於實施晉城市突發公共事件總體應急預案的決定》的通知和有關法律、法規的規定，結合晉城市電子政務實際。

1.3工作原則

明確責任，依法規範。應從晉城市電子政務網路安全保障的高度出發，明確應急處理管理部門和各級政府單位的安全責任，嚴格依照國家法律和相關規定進行應急處理工作。

防範為主，加強監控。應廣泛宣傳電子政務信息安全基本知識，提高對電子政務網路安全的認識水平，切實落實信息安全防範措施，強化對電子政務網路系統的監控，減少安全事件可能帶來的不良影響。

整合資源，協調處理。晉城市電子政務網路信息安全應急處理工作應充分調動專業信息安全機構的積極性，加強協調與溝通，整合社會資源，提高晉城市電子政務應急處理能力。

1.4適用範圍

本規範所稱的網路安全重大事件是指由於自然災害、人為攻擊或破壞以及病毒爆發等原因所引發，嚴重影響到我市電子政務網路與信息系統的正常運行，造成業務中斷、系統癱瘓、數據破壞或信息失竊等，從而在政府形象、社會穩定或公眾利益等方面造成嚴重影響以及造成一定程度直接和間接重大經濟損失的事件。

晉城市各級政府部門的網路與信息系統安全事件報告、應急處理，均適用於本規範。

不屬於本規範適用範圍的單位可以參照本規範執行。

2.1 突發事件的類別

根據政務網路安全的發生原因、性質和機理，晉城市電子政務網網路安全主要分為以下三類：

（1）攻擊類事件：指網路系統因計算機病毒感染、非法入侵等導致業務中斷、系統宕機、網路癱瘓等情況。

（2）故障類事件：指網路系統因計算機軟硬體故障、人為誤操作等導致業務中斷、系統宕機、網路癱瘓等情況。

（3）災害類事件：指因爆炸、火災、雷擊、地震、颱風等外力因素導致網路系統損毀，造成業務中斷、系統宕機、網路癱瘓等情況。

2.2突發事件的級別

按照網路安全事件的性質、嚴重程度、可控性和影響範圍，將其分為特別重大（Ⅰ級）、重大（Ⅱ級）、較大（Ⅲ級）和一般（Ⅳ級）四級。

（1）特別重大網路安全事件（Ⅰ級）。指擴散性很強，造成全市的重要政務信息系統大面積癱瘓，影響社會穩定，衍生其他重大安全事件。

（2）重大網路安全事件（Ⅱ級）。指擴散性強，或發生在涉及國計民生的重要政務信息系統。

（3）較大網路安全事件（Ⅲ級）。指基本無擴散性，或發生在本市個別單位的政務網路事件。

（4）一般網路安全事件（Ⅳ級）。指無擴散性，或發生在本市個別單位的政務網路事件。

3.1領導機構

成立晉城市電子政務網網路安全應急處理領導組

組　長：郭長青 市委常委、常務副市長

副組長：任建宏 市政府秘書長

王克平 市財政局局長

郭宗澤 市信息辦主任

3.2 工作機構

晉城市電子政務網路安全應急處理的組織機構包括：市信息辦、市公安局網監處、各縣（市、區）人民政府信息辦（中心）以及各級政府部門。

市信息辦是晉城市電子政務網路安全應急處理管理機構，負責全市電子政務網路安全事件應急處理協調和領導工作。各縣（市、區）信息中心負責所屬地區的電子政務網路安全事件應急處理管理工作。

市信息辦負責研究制訂全市電子政務網路安全應急處理工作的規劃和政策。協調我市各職能部門、相應的電信運營商，共同推進全市電子政務網路安全應急機制建設，制定全市電子政務網路信息安全整體應急回響預案，以及全網應急回響演練計畫，並組織實施和整體協調，檢查和監督晉城市各級政府部門應急處理流程的執行情況。

市公安局網監處負責監督、檢查、指導計算機信息系統安全保護工作。負責對重大計算機病毒疫情和大規模網路攻擊事件進行預防和處置。依法查處網上散布謠言、製造恐慌、擾亂社會秩序、惡意攻擊黨和政府的有害信息。打擊攻擊、破壞網路安全運行、製造網上恐怖事件的違法犯罪行為。

市各級政府部門負責在市信息辦和市公安局網監處的指導和協調下，根據本規範建立本單位內部的信息安全事件應急流程和應急預案，確保相應的人力、物力和資金保障，嚴格按照本規範的要求執行信息安全事件的處理。

4.1組織機構

各單位應建立信息安全管理組織機構，明確崗位職責，確定崗位人員名單、聯繫方式，名單上報市信息辦和市公安局網監處備案。

各單位建立網路安全一把手負責制，指定一名信息化主管領導作為網路安全負責人，管理安全事故應急處理，行使決策職責，並至少配備一名應急處理技術人員，負責網路安全應急處理流程的實際執行，提交重大網路安全事件報告和應急處理工作的結果報告。

4.2制度規範

各單位應根據實際情況和需要制定基本的安全管理制度，對重要網路設備、軟體和業務數據的安全性進行規範、可靠的管理，提高本單位網路系統的安全防護能力。包括制定機房管理制度、設備管理制度、病毒防治管理制度、數據備份與恢複製度、網站管理制度、值班制度、安全審計制度和應急回響制度等。各單位要針對內部網路系統制定安全運行管理流程，建立安全事件應急預案，以提高本單位網路安全應急回響能力。

各單位應根據本規範細化安全應急事件處理流程，包括事件的發現、判斷、評估、上報和處理等階段，並落實本單位和應急處理管理機構的接口部門和人員，確保應急處理流程得到有效執行，網路安全事件得到有效控制和處理。

各單位應接受和配合市信息辦對安全應急處理的指導，並將本單位制定的應急回響相關制度在市信息辦和市公安局網監處備案，將本單位的應急體系納入到全市統一的應急回響體系中。應急回響相關制度如果發生變化，各單位應及時將最新的制度在市信息辦和市公安局網監處備案。

4.3宣傳培訓

各單位應大力宣傳網路安全的基本原理、安全事件的預防措施和應急處理的基本知識，提高本單位人員的網路安全意識水平。

各單位應定期或不定期地舉辦網路安全基礎培訓，使不同崗位的人員都能熟悉並掌握網路系統應急處理的知識和技能。同時應積極參加由市信息辦或市公安局網監處舉辦的各類網路安全培訓，通過不同層次、類型的培訓或研討，提高全市電子政務網路安全水平，減少網路安全事件數量。

4.4安全措施

各單位應定期進行風險評估，了解網路系統目前可能存在的安全隱患和所面臨的安全威脅，並針對本單位電子政務的實際情況，從物理、網路、系統、套用和數據等多個層面實施網路安全保障工作。

各單位應定期對網路系統的運行狀態、系統日誌和安全日誌等進行檢查，對重要信息系統如網站、核心資料庫等應每日進行運行檢查，對重要數據要實時和定時進行備份，對核心網路設備定期檢查和維護，確保及時發現網路安全事件，減少安全事件所造成的損失。

各單位應定期或不定期組織預案演練，進一步明確應急回響各崗位責任，檢驗應急預案各環節之間的通信、協調、指揮等是否符合快速、高效的要求，對預案中存在的問題和不足及時補充、完善。

4.5災前預防技術體系

預防供電故障：各單位的網路交換中心和傳輸節點均應配置防雷擊、防靜電設備和長延時不間斷電源。

預防火險：機房空調要保持恆溫。每天下班前要檢查電源接外掛程式，如有燒焦現象，要立即更換。滅火器要保證在保質期內，並放置於每間辦公室入口處，所有的工作人員都要學會正確使用滅火器。

預防水滲故障：交換中心、傳輸節點、通信管溝、分線盒、辦公室均應採取防水滲措施。

預防設備丟失：各單位的網路及信息設備均應採取防盜措施，特別是室外交換設備、分線盒要有相應的防盜設施。

預防線路故障：在城域網內部和網路出口採用冗餘線路。

預防黑客病毒：在城域網的出口設定高性能防火牆、入侵檢測系統、防病毒系統。在網路設備和伺服器上採用安全策略，安裝相應的補丁程式、關閉不用的連線埠、啟動日誌記錄。

預防內部攻擊：在城域網內採用VPN、VLAN技術保證不同子網的相互獨立。

預防數據丟失：在各單位自己備份的基礎上，市信息辦建立全市統一本地備份和遠程備份（100公里外）。

預防設備故障：對於易損件，準備必要的備品、備件。

出現災情後值班人員要及時通過電話、傳真、郵件、簡訊等方式通知單位領導及相關技術負責人。

值班人員根據災情信息，初步判定災情程度。能夠自身解決，要及時加以解決；如果不能自行解決故障，由單位領導現場指揮，協調各部門力量，按照分工負責的原則，組織相關技術人員進入搶險程式。

5.1病毒爆發處理流程

各單位對外服務信息系統一旦發現感染病毒，應執行以下應急處理流程：

（1）。立即切斷感染病毒計算機與網路的聯接；

（2）。對該計算機的重要數據進行數據備份；

（3）。啟用防病毒軟體對該計算機進行防毒處理，同時通過防病毒軟體對其他計算機進行病毒掃描和清除工作；

（4）。如果滿足下列情況之一的，應立即向本單位信息安全負責人通報情況，並向市信息辦報告：

1）現行防病毒軟體無法清除該病毒的；

2）網站在2小時內無法處理完畢的；

3）業務系統或辦公系統在4小時內無法處理完畢的。

（5）。恢復系統和相關數據，檢查數據的完整性；

（6）。病毒爆發事件處理完畢，將計算機重新接入網路；

（7）。總結事件處理情況，並提出防範病毒再度爆發的解決方案；

（8）。實施必要的安全加固。

5.2網頁非法篡改處理流程

各單位對外服務網站一旦發現網頁被非法篡改，應執行以下應急處理流程：

（1）。發現網站網頁出現非法信息時，值班人員應立即向本單位信息安全負責人通報情況，並立即向市公安局網監處和市信息辦報告。情況緊急的，應先及時採取斷網等處理措施，再按程式報告；

（2）。本單位信息安全負責人應在接到通知後立即趕到現場，做好必要記錄，妥善保存有關記錄及日誌或審計記錄；

（3）。市公安局網監處應在接到報告後2小時內趕到現場，追查非法信息來源。市信息中心做好各種相關的配合工作，必要時協調相關部門或公司來協助解決；

（4）。在市公安局網監處提取相關數據樣本後，清理網站非法信息，強化安全防範措施，然後將網站重新投入使用。如情節嚴重，構成違法犯罪的，由市公安局網監處立案偵查；

（5）。總結事件處理情況，向市信息辦和市公安局網監處備案，並提出防範再度發生的解決方案；

（6）。實施必要的安全加固。

5.3非法入侵處理流程

各單位對外服務信息系統一旦發現被遠程控制等非法入侵行為，應執行以下應急處理流程：

（1）。發現系統伺服器被遠程控制、植入後門程式，或發現有黑客正在進行攻擊時，應立即向本單位信息安全負責人通報情況，並立即向市公安局網監處和市信息辦報告；

（2）。如伺服器已被入侵，將被攻擊的伺服器等設備從網路中隔離出來，保護現場；

（3）。本單位信息安全負責人應在接到通知後立即趕到現場，做好必要記錄，妥善保存有關記錄及日誌或審計記錄；

（4）。市公安局網監處對網站事件應在接到報告2小時內趕到現場；對業務系統和辦公系統事件應在接到報告4小時內趕到現場，對現場進行分析，追查攻擊源，修改防火牆等設備的安全配置阻斷黑客繼續入侵。相關單位做好相關的配合工作，必要時協調相關部門或公司來協助解決；

（5）。分析後台資料庫操作日誌，判斷是否發生數據失竊。檢查、校驗數據的完整性和有效性；

（6）。在市公安局網監處提取相關數據樣本後，恢復與重建被攻擊或破壞的系統。如情節嚴重，構成違法犯罪的，由晉城市公安局網監處立案偵查。重新將恢復後的對外服務系統接入網路；

（7）。總結事件處理情況，向市信息辦和市公安局網監處備案，並提出防範再度發生的解決方案；

（8）。實施必要的安全加固。

5.4拒絕服務攻擊處理流程

各單位對外服務信息系統一旦發現遭受DDoS等拒絕服務攻擊，無法正常訪問時應執行以下應急處理流程：

（1）。發現對外服務系統訪問流量異常、無法正常訪問，可能遭受拒絕服務攻擊時，應立即向本單位信息安全負責人通報情況，並立即向市公安局網監處和市信息辦報告；

（2）。本單位信息安全負責人應在接到通知後立即趕到現場，做好必要記錄，妥善保存有關記錄及日誌或審計記錄；

（3）。市公安局網監處對網站事件應在接到報告2小時內趕到現場；對業務系統和辦公系統事件應在接到報告4小時內趕到現場，對現場進行分析，追查攻擊源，修改路由器、防火牆等設備的安全配置，緩解、消除拒絕服務攻擊的影響。相關部門做好相關的配合工作，必要時協調專業公司來協助解決；

（4）。在市公安局網監分局提取相關數據樣本後，恢復對外系統正常運行。如情節嚴重，構成違法犯罪的，由市公安局網監處立案偵查；

（5）。總結事件處理情況，向市信息辦和市公安局網監處備案，並提出防範再度發生的解決方案；

（6）。實施必要的安全加固。

5.5機房物理環境事故應急處理流程

供電故障：如果出現短路，切斷電源，更換短路器件，恢復供電；如果出現斷路，切斷電源，連線斷開線路，恢復供電；防雷防靜電設備故障，切斷電源，跳過防雷防靜電設備直接供電，及時維修損壞設備並更換；UPS故障，跳過逆變輸出，及時維修損壞設備並更換。

火災：切斷電源，使用滅火器滅火；向119指揮中心報告火警，請求支援；如有人員遇險，應先救人後救物。

水滲故障：切斷電源，更換浸水設備，採取防水滲措施。

5.6網路線路故障應急處理流程

城域網內部線路故障：如果有環路或冗餘線路，通過自動路由或手動設定、聯接等技術措施保障網路暢通。對於需要搶修的線路，如果屬於自建線路，維護人員趕赴現場搶修；如果是租用其它電信運營商的線路，通知相關運營商及時搶修；如果線路無法修復，協調架設臨時線路。

網際網路出口線路故障：啟用備份線路，通知線路維護人員及時搶修。

5.7數據故障應急處理流程

數據丟失或損壞：從數據備份伺服器上提取數據，儘快恢復，保證系統在最短時間內能夠正常運行；分析造成事故的原因，針對具體問題，採取相應安全策略。

根據需要，可通過網站、報紙、電台、電視台等向社會公眾發布災情及救災信息。

各單位應根據本規範制定本單位的信息安全事件應急處理規範，對發生的信息安全事件嚴格按照本規範要求及時如實地報告並處理，確保電子政務信息系統的正常運行和服務。

市信息辦和市公安局網監處負責對各單位執行本規範的情況進行監督、檢查。

對違反本規範進行操作而導致嚴重不良後果的單位和負責人，將會同有關部門追究其相應的責任。

本預案由晉城市人民政府信息化管理辦公室負責解釋。

各單位可參照本規範，結合本單位實際情況，制定具體的實施辦法。

本預案自印發之日起實施。