手机版
images/ban_1.jpg
images/ban_2.jpg
images/ban_3.jpg
images/ban_4.jpg
images/ban_5.jpg
images/ban_6.jpg

贵州省工商局经济信息中心网络与信息安全应急预案


一、 总则

(一)编制的目的

为科学应对网络与信息安全(以下简称信息安全)突发事件,建立健全信息安全应急响应机制,有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响,制定本应急预案。

(二)编制依据

根据《中华人民共和国突发事件应对法》、《贵州省信息化条例》等法律法规,《国家网络与信息安全事件应急预案》、《信息安全事件分类分级指南》(GB/Z20986-2007)、《贵州省人民政府突发安全事件总体应急预案》、《贵州省网络与信息安全事件应急预案》等相关规定,制定本预案。

(三)适用范围

本预案适用于贵州省工商局自建自管信息系统发生网络与安全事件的预防和处置工作。

(四)事件分类

网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备实施故障和灾害性事件等六类。

1、有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

2、网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

3、信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

4、信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。

5、设备设施故障事件分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

6、灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。

(五)事件等级

网络与信息安全事件分为四级:特别重大(Ⅰ级别)、重大(Ⅱ)、较大(Ⅲ级)、一般(Ⅳ级)。

Ⅰ级 (特别重大):网络与信息系统发生全局性大规模瘫痪,事态发展超出自己的控制能力,对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的突发公共事件。  

Ⅱ级 (重大):网络与信息系统造成全局性瘫痪,对国家安全、社会秩序、经济建设和公共利益造成严重损害需要跨部门协同处置的突发公共事件。   

Ⅲ级 (较大):某一部分的网络与信息系统瘫痪,对国家安全、社会秩序、经济建设和公共利益造成一定损害,但不需要跨部门、跨地区协同处置的突发公共事件。       

Ⅳ级 (一般):网络与信息系统受到一定程度的损坏,对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益的突发公共事件。

二、 组织指挥体系与职责

网络与信息安全应急指挥系统由分管责任领导和信息中心的工作人员组成。分管责任领导姚元怀,第一责任人徐林,直接责任人陈堃、车煜晖。

省局或全省工商系统发生网络与信息安全应急事件期间,自动成立应急安全紧急响应领导小组,领导小组组长由姚元怀担任,副组长由徐林担任,车煜晖、陈堃、王海燕、苏绍涛、张靓为小组成员。应急安全紧急响应领导小组负责直接对应急事件处理的指挥、调度、协调。

其主要职责是:统一领导和组织指挥重大网络与信息安全突发事件的应急响应处置工作; 

应急时期服从局机关的总体调度,中心全部人员投入应急工作,安排专人24小时值班。

三、工作原则 

(一)统一领导,协同配合。在局机关统一部署下,积极履行职责,采用先进的预测、预警、预防和应急保障手段,提高应对突发事件的障能力和管理水平。

(二)明确责任,依法规范。按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求,依法对网络与信息安全突发事件进行防范、监测、预警、报告、响应、协调和控制。按照“谁主管、谁负责”的原则,运维科、技术科分别实行责任分工制、网络与信息安全值班制度和责任追究制,将网络与信息安全责任、安全值班责任落实到每一个人头上。 

(三)条块结合,整合资源。充分利用现有网络与信息安全应急支援服务设施,整合我局所属信息安全工作力量。充分依靠局机关各有关部门的信息安全工作力量,进一步完善应急响应服务体系,形成局域信息安全保障工作合力。 

(四)防范为主,加强监控。宣传普及信息安全防范知识,牢固树立“预防为主、常抓不懈”的意识,经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备,提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测,发现和防范重大信息安全突发性事件,及时采取有效的可控措施,迅速控制事件影响范围,力争将损失降到最低程度。

四、预案启动

   出现下列任何一种情况,启动本预案。

(一)大规模病毒入侵或非法入侵,造成的系统瘫痪及崩溃;

(二)意外情况导致数据库瘫痪、挂起、丢失及非法篡改;

(三)非法入侵引起的系统、门户网站被篡改、数据库被破坏;

(四)工商信息网络出现长时间、大面积中断或局机关启动其他应急预案,需要信息中心保障网络通畅;

(五)各种不可预见的人为、自然灾害造成的系统崩溃、重大设备毁损、网络长时间中断;

(六)其他需要启动应急响应的问题发生。

五、 应急响应


网络与信息安全事件应急响应分为四个级别:Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)、Ⅳ级(一般)。

(一)Ⅰ级、Ⅱ级应急响应

按国家、省有关预案规定执行。

特别重大或者重大突发公共事件发生后,各地区、各部门要立即报告,最迟不得超过4小时,同时通报有关地区和部门。应急处置过程中,要及时续报有关情况。

(二)Ⅲ级应急响应

领导小组启动Ⅲ级响应,按照预案进行应急处置。

1、启动指挥体系

领导小组成立现场指挥部,并组织相关专家现场指导处置。

2、掌握事件动态

事发单位及时报告受破坏的情况及影响范围。

3、处置实施

控制事态。现场指挥部及时采取技术措施防止事态蔓延;领导小组办公室发布预警信息,督促、指导相关单位有针对性地加强防范。

消除隐患。尽快分析事件发生原因,并根据原因有针对性地采取措施,恢复受破坏的网络与信息系统。

(三)Ⅳ级响应

由事发单位启动Ⅳ级响应,参照本预案做好处置工作,有关事件信息、处置进展情况要及时向领导小组办公室报告。

六、应急措施:

(一)预防措施

1、日志管理

对网络及其服务器设备的日常运行日志进行记录、收集和统一管理,防止不法分子入侵某个具体的设备,同时篡改日志记录,从而影响对问题的了解和解决。

2、入侵检测管理

严密监控网络,能根据网络内各具体真实IP地址的流量情况做出相应响应,特别是流量异常等情况。(被防火墙屏蔽的IP地址除外)

3、数据备份

将有重要数据的网络服务器设备数据进行备份处理,在相应服务器设备出现问题时能及时修复,保证重要数据的安全。

4、定期进行网站安全评估。

(二)保障措施

1、技术支撑保障 

重视网络信息系统的建设和升级换代,重视网络安全整体方案的不断完善,加强技术管理,确保网络信息系统的稳定与安全,为应急处置过程提供技术支持。

2、应急队伍保障 

加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息安全核心人才和管理队伍,提高信息安全防御意识,增强应急支援能力。

(三)补救措施

初步确定应急处置方式,根据事件引发原因分为灾害类、故障或攻击类两种情况,区别对待。

灾害类:根据实际情况,在保障人身安全的前提下,首先保障数据安全,然后是设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁、恢复等。

故障或攻击类:判断故障或攻击的来源与性质,断开影响安全与稳定的信息网络设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质分别采用以下方案:

1、病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时由技术人员寻找并公布病毒攻击信息,公布杀毒、防御方法。

2、外部入侵:判断入侵的来源,区分外网与内网,评价入侵可能或已经造成的危害。对入侵不成功、未造成损害的,且评价威胁很小的外网入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和带来恶劣影响。

3、内部入侵:查清入侵来源,如IP地址、所在办公室等信息,同时断开对应的交换机端口。然后针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备。

4、网络故障:判断故障发生点和故障原因,能够迅速解决的尽快排除故障;必要时向计算机网络公司求助技术援助,并优先保证主要应用系统的运转。

5、其它没有列出的不确定因素造成的事件,可根据总的安全原则,结合具体的情况,做出相应的处理。

七、日常管理

(一)对所有网络和信息系统、数据库实行安全值班;

(二)及时更新服务器的防病毒软件病毒库;

(三)定期对所有服务器进行漏洞扫描、补丁修复。