1、总则
1.1编制目的
为科学应对网络与信息安全(以下简称“信息安全”)突发事件,建立健全信息安全应急响应机制,有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响,保证深圳市司法局门户网站的稳定运行和数据安全,最大限度地减轻网络与信息安全突发事件造成的损失,制定本应急预案。
1.2编制依据
根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机病毒防治管理办法》、《中共中央办公厅、国务院办公厅转发〈国家信息化领导小组关于加强网络与信息安全保障工作的意见〉的通知》,《中华人民共和国国家安全法》、《中国突发事件应对法》、国务院办公厅印发《省(区、市)人民政府突发公共事件总体应急预案框架指南》、《深圳市人民政府突发公共事件总体应急预案》等有关法规和规章制度,制定本预案。
1.3适用范围
本应急预案适用于深圳市司法局门户网站系统发生网络和信息应急事件时进行的应急处理。
1.4指导思想
应坚持“积极预防,严格控制,防控并重”的原则。在认真做好日常管理和监控的基础上,充分做好紧急情况下门户网站系统运行管理的应急准备,健全防控措施,完善处理机制,加强应急演练,确保在应急情况下做到反应迅速,处置果断,保障到位。
1.5工作原则
坚持在应急处置领导小组(信息安全管理领导小组)统一领导、统一指挥、分级负责。贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等相关法律法规,坚持积极防御、综合防范的方针,本着以防为主、注重应急工作原则,预防和控制风险,在发生信息安全事故或事件时最大程度地减少损失、维护社会和深圳市司法局信息系统的稳定,尽快使网络和系统恢复正常,做好网络运行和信息安全保障工作。
(1)积极防御,综合防范。立足安全防护,加强预警,抓好预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。
(2)明确责任,分级负责。按照“谁主管谁负责,谁运营谁负责”的原则,建立和完善安全责任制,协调管理机制和联动工作机制。
(3)以人为本,快速反应。把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免公民财产遭受损失。网络与信息安全突发事件发生时,要按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。
(4)依靠科学,平战结合。加强技术储备,规范应急处置措施与操作流程,实现网络与信息安全突发事件应急处置工作的科学化、程序化与规范化。树立常备不懈的观念,定期进行预案演练,确保应急预案切实可行。
2、分类分级与预案启动
本预案所指的网络与信息安全突发事件,是指重要网络与信息系统突然遭受不可预知外力的破坏、毁损、故障,发生对网络和信息系统造成或者可能造成重大危害,影响深圳市司法局门户网站对外提供信息服务、影响司法局形象的事件。
2.1事件分类
根据网络与信息安全突发事件的发生过程、性质和特征,网站信息安全事件一般有网页无法访问、网页被挂马、网页被篡改(含危害国家安全和社会稳定信息或其他恶意信息)、域名被劫持以及其他物理或者认为造成的信息安全事件。
2.2事件分级
根据网络与信息安全突发事件的可控性、严重程度、影响范围和司法局信息系统的实际情况,分为四级:Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)和Ⅳ级(一般)。国家有关法律法规有明确规定的,按国家有关规定执行。
IV级(一般事件):一般事件是指能够导致较小影响或破坏的信息安全事件。会使深圳市司法局门户网站遭受较小的系统损失,即造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。包括但不仅限于我局网站子页面无法访问、网页被挂马、网页被篡改、域名被劫持和其他涉及网站或者对外服务的安全事件等,均属于IV级一般事件。
Ⅲ级(较大事件):会使深圳市司法局门户网站遭受较大的系统损失,即造成系统中断,明显影响系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大。包括但不仅限于我局网站首页无法访问(达24小时)、网页被挂马、网页被篡改、域名被劫持和其他涉及网站或者对外服务的安全事件等,均属于Ⅲ级较大事件。
II级(重大事件):会使深圳市司法局门户网站遭受重大的系统损失,即造成系统长时间中断或局部瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大。
I级(特别重大事件):会使深圳市司法局门户网站遭受特别重大的系统损失,即造成系统大面积瘫痪,使其丧失业务处理能力,或系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大。凡是我局网站出现网页篡改涉及危害国家安全和破坏社会公共秩序的政治言论和标识内容以及泄密等,均为I级特别重大事件。
2.3分级处置与预防预警
2.3.1分级处置
IV级事件发生时,由深圳市司法局组织自有系统和安全维护人员进行处理。处理不了的,请求信息安全应急响应服务公司指派专家协助处理。
III级事件发生时,首先由我局组织自有系统和安全维护人员进行处理,时限为两小时,两小时后仍无法解决的,联系维护支撑单位协助处理。处理不了的,请求信息安全应急响应服务公司指派信息安全应急处理专家协助处理。
II和I级事件发生时,直接启动相应的应急处置程序。处理不了的,请求信息安全应急响应服务公司指派信息安全应急处理专家协助处理。
充分利用现有的网络和信息系统监测系统和服务,防范网络中断和信息系统异常中止和非法篡改,发生相应安全事件时,预警系统要在第一时间通过邮件和手机短讯方式通知安全管理人员,系统管理人员根据实际情况启动应急预案。第一时间上报信息安全事件。
2.3.2信息监测及报告
a) 我局应急响应小组应加强信息安全监测、分析和预警工作,建立信息安全事件报告制度;
b)当发生信息安全突发事件后,立即向应急响应小组报告。
2.3.3预警
应急响应小组接到信息安全突发事件报告后,应当经初步核实后,将有关情况及时向应急处理领导小组报告,进一步进行情况综合,研究分析可能造成损害的程度,提出初步行动对策,并及时报局领导。局领导根据情况召集协调会,决策行动方案,发布指示和命令。同时启动应急流程,自行不能解决的,应紧急请求信息安全应急响应服务公司指派信息安全应急处理专家协助处理,并同步安排门户网站系统维护单位调度应急技术人员、团队立刻对我局进行技术支援,力求将影响控制在最小范围,并要保障网站24小时运行。
2.3.4预防机制
积极推行信息安全等级保护,逐步实行信息安全风险评估。基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定并不断完善信息安全应急响应计划。
(1)日常运行维护
每天对我局门户网站进行一次完整的巡检,确认系统所有功能都能正常提供服务。
每天对我局门户网站的操作系统、数据库状态进行一次巡检,确认系统环境是否正常。
每周对我局门户网站系统的硬件设备进行一次巡检,检查硬件设备是否存告警等报警信息。
(2)数据备份策略
每月安排技术人员到信息中心机房或者远程登录服务器进行一次本地完整备份,备份文件以文件形式存放在本机;
(3)备用设备保障
准备一台服务器,需安装好操作系统、数据库和应用程序,操作系统、数据库、应用程序版本需与网站服务器保持一致,保障网站服务器出现故障时能及时将系统迁移至备用服务器。
(4)人员技术保障
确保至少有两名以上的技术人员能熟练掌握门户网站的操作流程,包括系统的配置、安装、调式等。应定期组织对技术人员进行相关的技术培训,保障技术人员的技术能力能够应对突发事件的处理。
(5)应急处理物资保障
准备应用系统所依托的所有平台的安装盘,数据库平台安装盘,必要的硬件、软件、应急救援设备,保障服务器出现故障时有对应的维护工具。
3、应急组织机构
当发生安全事件时,将启动相应的应急处置程序。组织成立深圳市司法局应急响应工作组人员组成如下:
组 长:黄明
副组长:魏宾
成 员:温飞、刘剑、陈志伟、袁军
4、应急响应程序
4.1公众网站出现非法言论(Ⅰ级)
事件:当发现在深圳市司法局门户网站上出现非法信息时,启动Ⅰ级处置程序。
恢复目标:将该删除非法信息,作好必要记录,强化安全防范措施。
恢复流程:
(1)情况紧急的应先及时采取删除等处理措施将该非法信息从网站清掉。
(2)记录当前连接,妥善保存有关记录、日志或审计记录;追查非法信息来源,向上级主管部门上报。
(3)在强化安全防范措施的基础上,修复网站后,并将网站网页重新投入使用。
4.2公众网站信息遭到完整性破(Ⅰ级)
事件:当发现在深圳市司法局门户网站被挂马、内容被篡改或遭破坏性攻击时,启动Ⅰ级处置程序。
恢复目标:恢复与重建被攻击或被破坏的系统,恢复系统数据。
恢复流程:
(1)首先应将被攻击服务器等设备从网络中隔离出来,保护好现场。
(2)恢复与重建被攻击或被破坏的系统,恢复系统数据。
(3)追查非法信息来源,向上级主管部门上报。
4.3拒绝服务攻击事件(II级)
事件:当司法局门户网站有以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源,从而影响信息系统正常运行时。启动II级处置程序。
恢复目标:首先使系统CPU、内存,及网络带宽等资源恢复正常,追查攻击来源。
恢复流程:
(1)立即查看门户网站CPU、内存、及网络带宽资源被占用情况,做详细的记录,通知网络技术维护人员和网络安全员。
(2)网络技术维护人员和网络安全员立即赶到现场,并检查门户网站系统服务器的周边安全设备,如果发现有异常IP有大流量的行为,并将异常情况做记录。
(3)在防火墙上配置将该异常的IP地址禁止访问本网络资源,再将防拒绝服务攻击策略在防火墙开启。
(4)网络安全员将进一步的追查拒绝服务攻击来源,安全领导小组认为情况极为严重的,向上级主管部门上报,需要支援的,立即请求技术支援。
4.4远程与探测扫描攻击(II级)
事件:当司法局门户网站系统遭受远程探测扫描攻击时,启动Ⅱ级处置程序。
恢复目标:首先追查攻击来源,禁止异常IP地址访问。
恢复流程:
(1)首先检查系统当前连接与系统服务器的周边安全设备,如果发现有异常IP有大流量的行为,并将异常情况做记录。
(2)检查防火墙的ARP欺骗攻击策略、拒绝服务器攻击策略、ICMP策略等安全策略是否正常开启,如未开启需要立即手动开启并在防火墙上配置将该异常的IP地址禁止访问本网络资源。
(3)网络安全员将进一步的追查数据攻击者的来源,安全领导小组认为情况极为严重的,向上级主管部门上报。
4.5病毒安全紧急处置措施(Ⅱ级)
事件:当发现在司法局门户网站感染病毒是,启动Ⅱ级处置程序。
恢复目标:清理系统中病毒,确定病毒来源,恢复系统网络正常运作。
恢复流程:
(1)首先应将该机从网络中隔离出来,并对设备的硬盘数据进行备份。
(2)启动反病毒软件对该机进行杀毒处理,确定病毒传播途径,作好防范工作,同时用病毒检测软件对其他机器进行病毒扫描和清除工作。
(3)如发现反病毒软件无法清楚该病毒,应立即做好相关记录,同时立即向安全领导小组副组长报告,并迅速联系有关产品商研究解决。
(4)安全领导小组经会商后,认为情况极为严重,应立即向公安部门或上级机关报告。
4.6软件系统完整性遭受破坏(Ⅱ级)
事件:当发现在司法局门户网站的软件系统遭受破坏性攻击时,启动Ⅱ级处置程序。
恢复目标:获得最近一次备份的数据对系统进行完整性恢复。
恢复流程:
(1)重要的软件系统平时必须存有备份,与软件系统相对应的数据必须按本单位容灾备份规定的间隔按时进行备份,并将它们保存于安全处。
(2)一旦软件遭到破坏性攻击,有关人员应立即向网络技术维护人员和网络安全员报告,并将系统停止运行。
(3)检查信息系统的日志等资料,确定攻击来源,并将有关情况向信息安全小组汇报,再恢复软件系统和数据。
(4)安全领导小组认为情况极为严重的,应立即向公安部门或上级机关报告。
4.7数据库安全紧急处置措施(Ⅱ级)
事件:当发现在司法局门户网站的数据库崩溃时,启动Ⅱ级处置程序。
恢复目标:恢复数据库系统或重新安新装数据库,导入备份的数据。
恢复流程:
(1)各数据库系统要至少准备两个以上数据库备份,平时一份放在机房,另一份放在另一安全的建筑物中。一旦数据库崩溃,应立即向网络安全员报告,同时通知各下属单位暂缓上传上报数据。
(2)网络安全员和网络技术维护人员应对主机系统进行维修,如遇无法解决的问题,立即向上级单位或软硬件提供商请求支援。
(3)系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中。
(4)如因第一个备份损坏,导致数据库无法恢复,则应取出第二套数据库备份加以恢复。
(5)如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。
4.8网站服务器更换新机器(II级)
事件:网站服务器依托的硬件平台需要更换新机器,需要切换网络。启动II级处置程序。
恢复目标:在网络切换时,为确保系统能够顺利从老服务器过渡到新服务器,切换时间应选择下班时间,如果在第二天上班前两个时前还未能正常切换,应立即切回老服务器。
恢复流程:
(1)获得安装所需的硬件部件;
(3)获得异地备份数据库数据、配置文件、应用包文件和其它备份文件;
(4)在新机器中安装操作系统及补丁;
(5)恢复旧机器中的数据和应用程序;
(6)将新机器组成局域网;
(7)重启服务器,成功访问各应用系统;
(8)选择下班时间切换网络,将新机器切换到实际网络;
(9)成功访问门户网站;
4.9外部电源中断(II级)
事件:当发现外部电源中断故障时,启动II级处置程序。
恢复目标:查明断电原因,如停电超过1小时,关闭机房所有设备。
恢复流程:
(1)立即查明断电原因。
(2)如因司法局内部线路故障,迅速联系大楼管理处恢复供电。
(3)预计停电1小时以内,由UPS供电。
(4)停电超过1小时,关闭服务器设备。
5、后期处置
5.1善后处理
在应急处置工作结束后,要迅速采取措施,抓紧组织抢修受损的基础设施,减少损失,尽快恢复正常工作。统计各种数据,查明原因,对事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,并迅速组织实施。有关部门要提供必要的人员和技术、物资和装备以及资金等支持。
5.2调查评估
在应急处置工作结束后,应立即组织有关人员和专家组成事件调查组,对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失情况,总结经验教训,写出调查评估报告,报应急领导小组,并根据问责制的有关规定,对有关责任人员做出处理。
6、保障措施
6.1应急装备保障
重要网络与信息系统在建设系统时应事先预留一定的应急设备,建立信息网络硬件、软件、应急救援设备等应急物资库。在网络与信息安全突发事件发生时,由应急小组负责统一调用。
6.2数据保障
重要信息系统均应建立备份系统和相关工作机制,保证重要数据在受到破坏后,可紧急恢复。
6.3应急队伍保障
按照一专多能的要求建立网络信息安全应急保障队伍。选择若干经国家有关部门资质认可的、管理规范、服务能力较强的部门作为局网络与信息安全的应急支援单位,提供技术支持与服务。
6.4经费保障
网络与信息安全突发事件应急处置专项经费,应列入年度预算,切实予以保障。
7监督管理
7.1宣传教育
要加强对网络与信息安全等方面的知识培训,提高防范意识及技能,指定专人负责安全技术工作。并将网络与信息安全突发事件的应急管理、工作流程等列为培训内容,增强应急处置工作的组织能力。
7.2演练
建立应急预案定期演练制度。通过演练,发现应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力。
7.3责任与奖惩
各相关部门和单位要认真贯彻落实本预案的各项要求,安全领导小组办公室将不定期组织检查,对未有效落实预案各项规定的单位和部门进行通报批评。对在网络与信息安全突发事件应急处置中做出突出贡献的集体和个人,给予表彰奖励;对在网络与信息安全突发事件预防和应急处置中有玩忽职守、失职等行为者,依法追究责任。
附件下载: