商丘市质量技术监督局关于转发河南省质量技术监督局关于印发《河南省质量技术监督局网络安全事件应急预案》的通知的通知
作者: 来源: 时间: 2017-12-01 浏览: 人次

商质监〔2017〕303号

 

 

商丘市质量技术监督局

关于转发河南省质量技术监督局关于印发《河南省

质量技术监督局网络安全事件应急预案》的通知的通知

 

各县(工商)质量技术监督局,直属各二级机构、各分局:

现将河南省质量技术监督局关于印发《河南省质量技术监督局网络安全事件应急预案》的通知(豫质监字〔2017〕79号)转发你们,请各单位组织有关人员认真学习,并按要求严格执行。

 

                       商丘市质量技术监督局

                                               2017年10月31日





河南省质量技术监督局网络安全事件

应急预案

 

为保障河南省质量技术监督局信息系统安全,形成科学有效、反应迅速的处置机制,提高网络与信息安全事件应急处置能力,最大限度地保障系统的设备安全、数据安全和运行安全,依据《中华人民共和国网络安全法》、《国家网络与信息安全事件应急预案》、《信息安全技术信息安全事件分类分级指南》(GB/Z20986-2007)等有关法律法规和规定要求,参照国家质检总局《质检网络安全事件应急管理预案》,结合我局实际,制定本预案。

第一条:适用范围

河南省质量技术监督局电子政务信息系统及信息网络(以下统称信息系统),包括门户网站群、12365系统以及其他通过计算机网络行使政府管理职能和提供公共服务的信息系统。凡遭受各种人为攻击、破坏或自然毁损等灾情,造成系统中断、设备损坏、数据丢失等故障的网络与信息安全事件,均适用本预案。

第二条:事件分级

网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。

(一)符合下列情形之一的,为特别重大网络安全事件:

1.重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。

2.国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。

3.其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

(二)符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件:

1.重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。

2.国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。

3.其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。

(三)符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件:

1.重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。

2.国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。

3.其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。

(四)除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。

第三条:组织体系与职责

遵循“谁主管,谁负责;谁运营,谁负责;谁使用,谁负责”的原则,省局网络安全与信息化工作领导小组办公室(以下简称省局网信办)为安全应急处置的组织协调机构,负责应急处置工作的组织、协调和监督;信息中心和各有关处室(单位)共同组成应急保障队伍,负责信息系统及信息网络的规划、建设、管理和维护,应急期间负责协调各有关部门,保障基础网络通信设施,处理相关网络和信息安全事件的报告、应急处置等工作。

第四条:预防预警

(一)网络信息监测

坚持以预防为主的方针,不断加强网络与信息安全监测,及时收集、分析、研判监测信息,主动发现网络与信息安全事件倾向或苗头,及早采取有效措施加以防范,使各种安全隐患消除在萌芽状态。以门户网站群作为监控重点,尽早发现问题,解决问题。

(二)网络线路保障

信息中心负责提供互联网接入和内部网络接入,并负责保证线路的正常、稳定运行。若运营商有线路维护或设备变更,一定程度影响信息系统正常运行的,要提前通知各有关单位,早作预备。需要向社会公众发公告的,提前发公告。

(三)预警发布处理

1.信息中心对网络信息监测中发现可能发生网络与信息安全事件的,要及时上报主管领导,并对有关部门发出预警信息。

2.信息中心根据预警信息,应迅速组织有关人员进行技术分析,并根据问题性质和危害程度,提出安全警报级别及处置意见。

(四)事件报告

当发生网络与信息安全突发事件时,发生事故信息系统的负责人要立即将情况告知信息中心,报告时间不得超过发生事件后1个小时,信息中心要将情况及时报告上级领导,报告时间最迟不得超过事件发生后2个小时,报告内容主要包括事件特征、事件性质、影响范围、事件趋势和拟采取措施等。

第五条:应急响应

(一)应急处置方法

当发生网络与信息安全事件时,首先应区分事件性质,然后再根据不同情况分别进行处置。

1.根据事件性质,网络与信息安全事件可划分为以下三类:

A.自然灾害。指地震、雷电、火灾、洪水等灾害引起的计算机网络与信息系统的损坏。

B.事故损毁。指电力中断、网络损坏或是软件、硬件设备故障等引起的计算机网络与信息系统的损坏。

C.人为破坏。指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖袭击等引起的计算机网络与信息系统的损坏。

2.针对上述各类事件的处置办法:

1)属A类事件时,应根据实际情况,在保障人身安全的前提下,首先保障数据安全,然后再保障设备安全(包括硬盘拔出与保存、设备断电与拆卸、搬迁设备等)。

2)属B类事件时,应迅速分析故障特征,查明原因,若信息中心不能独立处理,必须立刻通知相关单位(供电局、网络运营商、软硬件产品维护单位等),马上组织人员进行系统修复。

3)属C类事件时,应首先判断破坏来源与性质,然后断开影响安全的网络设备,断开与破坏来源的网络连接,跟踪并锁定破坏来源IP地址或其它用户信息,修复被破坏的信息,恢复信息系统。

(二)故障处置方法

1.有害信息处置

1)指派专人对存在问题的网站、网页及邮件信息等进行全时监控;

2)尽快采取屏蔽、删除等有效措施对有害信息进行清理,并做好相关记录;

3)采取技术手段追查有害信息来源。

如发现涉及国家安全、稳定的重大有害信息,还要及时向公安厅网监总队报告。

2.黑客攻击处置

当发现网页内容被篡改或通过入侵检测系统发现黑客攻击时,采取以下措施处理:

1)将被攻击服务器等设备从网络中隔离;

2)然后采取技术手段追查非法攻击来源;

3)召开信息安全评估会,评估破坏程度,并视其严重程度,决定是否需向公安厅网监大队报告;

4)恢复或重建被破坏的系统。

3.病毒侵入处置

当发现计算机系统感染病毒后,采取以下措施处理:

1)立即将该计算机从网络上物理隔离,同时备份硬盘数据;

2)启用防病毒软件进行杀毒处理,并使用病毒检测软件对其他机器进行病毒扫描和清除;

3)一时无法查杀的新病毒,要迅速与相关病毒软件供应商联系解决;

4)如感染病毒的是服务器或主机系统,要立即告知使用部门并做好相应清查工作。

4.软件遭受破坏性攻击处置

重要软件系统及其相对应的数据必须存有备份,同时还要采取异地避灾等方式保存于安全处。软件遭受破坏性攻击,采取以下措施处理:

1)应立即报告和停止系统运行;

2)检查日志等资料,确认攻击来源;

3)恢复软件系统和数据,

4)采取有效措施防范类似问题出现。

5.数据库安全防范处置

各数据库系统至少要准备两个以上数据库备份,一份放在东区机房,一份放在省局老机房。一旦数据库崩溃,采取以下措施处理:

1)立即通知有关单位暂缓上传、上报数据;

2)组织人员对主机系统进行维修;

3)如遇无法解决的问题,立即请求软硬件供应商协助解决;

4)系统修复启动后,将第一个备份数据库取出,并按照要求将其恢复到主机系统中;如第一个备份数据库损坏无法恢复,则取出第二个数据库备份予以恢复。

6.网络线路中断处置

网络线路中断后,采取以下措施处理:

1)迅速判断故障节点,查明原因,能自主修复的尽快修复;

2)属网络运营商负责维护运营线路的,立即与运行商维护部门联系,及时进行修复;

3)属局域网内部线路故障的,应立即判断故障节点,查明故障原因,迅速组织人员进行修复;

4)属路由器、交换机等网络设备故障的,立即与设备供应商联系修复;如属路由器、交换机配置文件破坏,迅速按照要求重新配置;如遇无法解决的技术问题,立即向有关厂商请求支援。

7.设备安全处置

发现服务器等关键设备损坏,采取以下措施处理:

1)立即查明设备故障原因;

2)能自行恢复的,立即用备件替换受损部件;

3)难以自行恢复的,立即与设备供应商联系,请求派维修人员前来维修;

4)若设备一时不能修复,告知有关单位暂缓上传、上报数据,并采取更换设备等必要措施进行处理。

8.机房火灾处置

机房发生火灾,采取以下措施处理:

1)切断所有电源,按响火警警报;

2)检查自动喷淋系统是否启动,并使用灭火器进行灭火;

3)必要时通过119电话向公安消防部门请求支援。

9.外电中断处置

1)外电中断后,立即切换到备用电源;

2)迅速查明断电原因,如因内部线路故障,马上组织恢复;

3)如因供电部门原因,立即与供电单位联系,尽快恢复供电。

如被告知将长时间停电,应做好以下工作:

1)预计停电2小时以内的,由UPS供电;

2)预计停电2-4小时的,关掉非关键设备,确保各主机、路由器、交换机供电;

3)预计停电超过4小时的,做好数据备份工作,及时关闭有关设备。

10.其他故障处置

上述没有列出的、属不确定因素造成的灾害,可根据总体安全原则,结合具体情况做出相应处理;不能处理的可咨询相关专业人员。

(三)后期处置

1.善后处理

在应急处置工作结束后,应迅速采取措施,抓紧组织抢修受损的基础设施,减少损失,尽快恢复正常工作。统计各种数据,查明原因,对事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,并迅速组织实施。

2.调查评估

在应急处置工作结束后,应立即组织有关人员和专家组成事件调查组,在有关部门的配合下,对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失情况,总结经验教训。

第六条:应急演练

省局网信办每年组织一次由相关处室(单位)参加的网络与信息安全应急演练,模拟处置网络与信息安全突发事件,检验预案的可执行性。通过演练,及时发现和改进应急体系和工作机制存在的问题,完善应急预案,提高应急处置能力。

第七条:保障措施

(一)应急队伍保障

由信息中心和各相关单位共同组建信息安全应急处置队伍(包括安全分析员、应急响应人员、灾难恢复人员等),制定相应培训和演练计划,提高应对网络与信息安全事件的能力。

(二)设备保障

结合实际工作需要,提前配备应急处置工作所必须的设备或工具软件,并加强应急处置工具及设备的维护调试,保证其随时处于可用状态。特别是一些容易坏损的设备和模板,更要提前配置备件,以便应急时可及时替代更换。

(三)数据保障

东区检测基地核心机房重要信息系统数据都在省局老机房进行避灾备份,保证重要数据受到破坏后可紧急恢复。

(四)技术资料保障

全面的技术资料是高效应急处置的前提和基础。网络拓扑结构、重要系统或设备的型号及配置、主要设备厂商信息等技术资料,应建立专门技术档案,并及时更新,保证与实际系统相一致。

(五)监督检查制度

省局网信办应加强对电子政务系统安全应急工作的监督和检查,做到居安思危、常备不懈。

第八条:附则

本预案由省局网信办负责解释、修订,并根据应急处置实践和信息技术的发展,及时对本预案进行完善。