網絡與資訊安全應急處置預案

為加強北海市電子政務系統的安全管理，形成科學有效、反應迅速的處置機制，提高網絡與資訊安全事件的應急處置能力，最大限度地保障系統的裝置安全、資料安全和運作安全，根據《中華人民共和國突發事件應對法》、公安部《關于資訊安全等級保護工作的實施意見》、《廣西壯族自治區政府系統電子政務安全保密管理辦法》（桂政辦發〔2008〕64号）和《北海市突發公共事件應急預案》等有關法律法規和規定要求，結合我市實際，制定本預案。

第一條：适用範圍

北海市電子政務應用系統及資訊網絡（以下統稱電子政務系統）包括北海市各級政府網站、網上辦公系統以及其他通過計算機網絡行使政府管理職能和提供公共服務的資訊系統。凡遭受各種人為攻擊、破壞或自然毀損等災情，造成系統中斷、裝置損壞、資料丢失等故障的網絡與資訊安全事件，均适用本預案。

第二條：事件分級

根據事件發生的可控性、嚴重程度和影響範圍，網絡與資訊安全事件共分為四級：

1.I級（特别重大）：電子政務系統發生大規模癱瘓，事态發展超出管理機關的控制能力，對國家安全、社會秩序、經濟建設和公共利益造成特别嚴重損害的突發公共事件，超過工作時間16小時不能恢複。

　　2.II級（重大）：電子政務系統發生較大規模癱瘓，對國家安全、社會秩序、經濟建設和公共利益造成嚴重損害，超過工作時間8小時未能恢複，需要跨部門協同處置的突發公共事件。

3.III級（較大）：電子政務系統發生癱瘓，對國家安全、社會秩序、經濟建設和公共利益造成一定損害，但在工作時間8小時内可以恢複，不需要跨部門協同處置的突發公共事件。

4.Ⅳ級（一般）：電子政務系統受到一定程度的損壞，對所在使用者的權益有一定影響，但在工作時間4小時内可以恢複，不危害國家安全、社會秩序、經濟建設和公共利益的突發公共事件。

第三條：組織體系與職責

遵循“誰管理，誰負責”的原則，市各級部門作為所負責管理的電子政務系統安全應急處置機構；市應急管理辦公室（以下簡稱市應急辦）為全市電子政務系統安全應急處置的組織協調機構，負責全市電子政務系統應急處置工作的組織、協調和監督；市經濟資訊中心是全市電子政務網絡與資訊安全工作的主管部門，其職責是：負責全市電子政務應用系統及資訊網絡的規劃、建設、管理和維護，應急期間負責協調各電信營運企業及有關部門，保障基礎網絡通信設施，配合市應急辦處理相關網絡和資訊安全事件的報告、應急處置等工作。

第四條：預防預警

（一）網絡資訊監測。

堅持以預防為主的方針，不斷加強網絡與資訊安全監測，及時收集、分析、研判監測資訊，主動發現網絡與資訊安全事件傾向或苗頭，及早采取有效措施加以防範，使各種安全隐患消除在萌芽狀态。以北海市政府門戶網站作為監控重點，由市警察局網警支隊提供技術支撐，盡早發現問題，解決問題。

（二）網絡線路保障。

要求提供網際網路接入和内部光纖網絡接入的網絡營運商必須保證負責其線路的正常、穩定運作。若營運商方有線路維護或裝置變更，一定程度影響電子政務系統正常運作，要求營運商必須提前2小時通知市經濟資訊中心，然後由市經濟資訊中心通知各相關機關，早作預備。

（三）論壇統一管理。

各縣區和政府機關不能開設單獨的互動式網絡論壇，确有必要的，經準許可在市政府門戶網站開設内部交流論壇，并且隻能采取實名制登入使用，論壇内可再細分讨論區給各縣區和各機關使用。

（四）網站集中管理。

各級政府部門現有或待建的網站要實作集中管理，可托管到市電子政務系統核心機房或使用電子政務系統提供的虛拟主機服務，以充分利用和共享電子政務系統的安全技術資源以及資訊網絡資源。

（五）預警釋出處理。

1.對網絡資訊監測中發現可能發生網絡與資訊安全事件的，發現部門要及時發出預警資訊，在2小時内報市經濟資訊中心，并在4小時内向市應急辦報告。

2.市經濟資訊中心接到報警後應迅速組織有關人員進行技術分析，并根據問題性質和危害程度，提出安全警報級别及處置意見。

3.由市保密局、市警察局等機關釋出的預警資訊，市經濟資訊中心應根據時效性和嚴重程度，提前做好有關網絡與資訊安全應急處置的準備工作。

（六）事件報告。

當網絡與資訊安全事件發生時，事發機關要将情況及時報告市應急辦及市經濟資訊中心。初次報告時間最遲不得超過事件發生後2個小時，報告内容主要包括事件特征、事件性質、影響範圍、事件趨勢和拟采取措施等。屬III級以上事件的，市應急辦要将事件情況報告市人民政府；屬I級事件時，市政府辦公室還要書面向自治區人民政府辦公廳說明故障原因及處理結果。

第五條：應急響應

（一）應急處置方法。

當發生網絡與資訊安全事件時，首先應區分事件性質，然後再根據不同情況分别進行處置。

1.根據事件性質，網絡與資訊安全事件可劃分為以下三類：

A.自然災害。指地震、雷電、火災、洪水等災害引起的計算機網絡與資訊系統的損壞。

B.事故損毀。指電力中斷、網絡損壞或是軟體、硬體裝置故障等引起的計算機網絡與資訊系統的損壞。

C.人為破壞。指人為破壞網絡線路、通信設施，黑客攻擊、病毒攻擊、恐怖襲擊等引起的計算機網絡與資訊系統的損壞。

2.針對上述各類事件的處置辦法：

（1）屬A類事件時，應根據實際情況，在保障人身安全的前提下，首先保障資料安全，然後再保障裝置安全（包括硬碟拔出與儲存、裝置斷電與拆卸、搬遷裝置等）。

（2）屬B類事件時，應迅速分析故障特征，查明原因，若市政府資訊中心不能獨立處理，必須立刻通知相關機關（供電局、網絡營運商、軟硬體産品維護機關等），馬上組織人員進行系統修複。

（3）屬C類事件時，應首先判斷破壞來源與性質，然後斷開影響安全的網絡裝置，斷開與破壞來源的網絡連接配接，跟蹤并鎖定破壞來源IP位址或其它使用者資訊，修複被破壞的資訊，恢複資訊系統。

（二）故障處置方法。

1.有害資訊處置。

首先，指派專人對存在問題的網站、網頁及郵件資訊等進行全時監控；其次，盡快采取屏蔽、删除等有效措施對有害資訊進行清理，并做好相關記錄；再次，采取技術手段追查有害資訊來源；此外，如發現涉及國家安全、穩定的重大有害資訊，還要及時向市警察局網警支隊報告。

2.黑客攻擊處置。

當發現網頁内容被篡改或通過入侵檢測系統發現黑客攻擊時，首先将被攻擊伺服器等裝置從網絡中隔離；然後采取技術手段追查非法攻擊來源；第三，召開資訊安全評估會，評估破壞程度，并視其嚴重程度，決定是否需向市警察局網警支隊報告；最後，恢複或重建被破壞的系統。

3.病毒侵入處置。

當發現計算機系統感染病毒後，首先，立即将該計算機從網絡上實體隔離，同時備份硬碟資料；然後再啟用防病毒軟體進行殺毒處理，并使用病毒檢測軟體對其他機器進行病毒掃描和清除；一時無法清除的新病毒，要迅速與相關病毒軟體供應商聯系解決；如感染病毒的是伺服器或主機系統，要立即告知使用部門并做好相應清查工作。

4.軟體遭受破壞性攻擊處置。

重要軟體系統及其相對應的資料必須存有備份，同時還要采取異地避災等方式儲存于安全處。一旦軟體遭受破壞性攻擊，應立即報告和停止系統運作；然後檢查日志等資料，确認攻擊來源，并采取有效措施，恢複軟體系統和資料。

5.資料庫安全防範處置。

各資料庫系統至少要準備兩個以上資料庫備份，一份放在機房，一份放在異地。一旦資料庫崩潰，首先立即通知有關機關暫緩上傳、上報資料，然後再組織人員對主機系統進行維修；如遇無法解決的問題，立即請求軟硬體供應商協助解決。系統修複啟動後，将第一個資料庫備份取出，并按照要求将其恢複到主機系統中；如因第一個備份損壞，導緻資料庫無法恢複，則取出第二個資料庫備份予以恢複。

6.網絡線路中斷處置。

網絡線路中斷後，應迅速判斷故障節點，查明原因、盡快修複。如屬網絡營運商負責維護營運的線路，立即與運作商維護部門聯系，及時進行修複。如屬區域網路内部線路故障，應立即判斷故障節點，查明故障原因，迅速組織修複；如屬路由器、交換機等網絡裝置故障，立即與裝置供應商聯系修複；如屬路由器、交換機配置檔案破壞，迅速按照要求重新配置；如遇無法解決的技術問題，立即向市政府經濟資訊中心或有關廠商請求支援。

7.裝置安全處置。

發現伺服器等關鍵裝置損壞，應立即查明裝置故障原因；能自行恢複的，立即用備件替換受損部件；難以自行恢複的，立即與裝置供應商聯系，請求派維修人員前來維修；若裝置一時不能修複，應及時采取必要措施，并告知有關機關暫緩上傳、上報資料。

8.機房火災處置。

一旦機房發生火災，首先切斷所有電源，按響火警警報；檢查自動噴淋系統是否啟動，并使用滅火器進行滅火；必要時通過119電話向公安消防部門請求支援。

9.外電中斷處置。

外電中斷後，立即切換到備用電源；迅速查明斷電原因，如因内部線路故障，馬上組織恢複；如因供電部門原因，立即與供電機關聯系，盡快恢複供電；如被告知将長時間停電，應做好以下工作：（1）預計停電1小時以内的，由UPS供電；（2）預計停電1-4小時的，關掉非關鍵裝置，確定各主機、路由器、交換機供電；（3）預計停電超過4小時的，做好資料備份工作，及時關閉有關裝置。

10.其他故障處置。

上述沒有列出的、屬不确定因素造成的災害，可根據總的安全原則，結合具體情況做出相應處理；不能處理的可咨詢相關專業人員。

（三）應急關聯。

當發生Ⅱ級以上（含Ⅱ級）網絡與資訊安全事件時，由市應急辦及市政府經濟資訊中心組織協調應急處置工作，并根據事态發展和處置工作需要，可臨時組織專家小組、應急支援機關和調動系統内必要的物資、裝置等，迅速開展應急救援的處置工作。

（四）後期處置。

　　1.善後處理。

　　在應急處置工作結束後，事發機關（部門）應迅速采取措施，抓緊組織搶修受損的基礎設施，減少損失，盡快恢複正常工作。統計各種資料，查明原因，對事件造成的損失和影響以及恢複重建能力進行分析評估，認真制定恢複重建計劃，并迅速組織實施。有關主管部門應提供必要的人員、技術、物資和裝備以及資金等支援，并将善後處置的有關情況報市應急辦及市政府經濟資訊中心，不斷改進網絡與資訊安全應急工作。

　　2.調查評估。

　　在應急處置工作結束後，應立即組織有關人員和專家組成事件調查組，在有關部門的配合下，對事件發生及其處置過程進行全面的調查，查清事件發生的原因及财産損失情況，總結經驗教訓，寫出調查評估報告，報市應急辦及市政府經濟資訊中心，并根據問責制的有關規定，對有關責任人員作出處理。特别重大網站資訊安全突發事件的調查評估報告，應經市應急辦稽核後報市政府，必要時采取新聞釋出會的形式向社會公衆通報。

　　3.責任與獎懲。

電子政務各相關機關應指定一名機關（部門）上司具體負責此項工作的落實。按照有關規定，對在網絡與資訊安全事件應急過程中表現突出的機關和個人給予表彰，對不認真執行本預案，贻誤時機，給電子政務系統安全造成重大損失的，追究相關人員的責任。

第六條：保障措施

（一）應急隊伍保障。

各相關機關要組建電子政務系統安全應急處置隊伍（包括安全分析員、應急響應人員、災難恢複人員等），制定相應教育訓練和演練計劃，提高應對網絡與資訊安全事件的能力。

（二）裝置保障。

各相關機關要結合實際工作需要，提前配備應急處置工作所必須的裝置或工具軟體，并加強應急處置工具及裝置的維護調試，保證其随時處于可用狀态。特别是一些容易壞損的裝置和模闆，更要提前配置備件，以便應急時可及時替代更換。

（三）資料保障。

重要資訊系統應建立異地避災備份系統和相關工作機制，保證重要資料受到破壞後可緊急恢複。各避災備份系統應具有一定相容性，在特殊情況下各系統之間互為備份。

（四）技術資料保障。

全面的技術資料是高效應急處置的前提和基礎。網絡拓撲結構、重要系統或裝置的型号及配置、主要裝置廠商資訊等技術資料，應建立專門技術檔案，并及時更新，保證與實際系統相一緻。

（五）經費保障。

電子政務系統應設立安全應急處置資金，并列入部門年度财政預算。

（六）監督檢查制度。

各相關機關應急工作組應加強對電子政務系統安全應急工作的監督和檢查，做到居安思危、常備不懈。

第七條：附則

本預案由市應急管理辦公室負責解釋、修訂，并根據應急處置實踐和資訊技術的發展，及時對本預案進行完善。