一、总则
(一)编制目的
为提高我局处置网站安全事件能力,形成科学、有效、反应迅速的应急工作机制,确保网站的实体安全、运行安全和数据安全,最大限度地减轻网站的网络与信息安全事件的危害,提高处置网站突发公共事件的能力,保护公众利益,维护正常的经济、政治、社会秩序,促进社会和谐发展。
(二)编制依据
根据《档案法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《浙江省网络与信息安全应急预案》、《宁波市突发公共事件总体应急预案》、《宁波市网络与信息安全应急预案》等有关法规、规定,制定本预案。
(三)适用范围
本预案适用于本文定义的III、IV级应急处理工作。
本预案所指网站的重要性是根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及公民、法人和其他组织合法权益的危害程度来确定的。
网站是指“宁波档案网”信息系统以及相关的服务器、网络系统、数据库系统、操作系统。
(四)分类分级
本预案所指的网络与信息安全事件,是指由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件。
1、事件分类
网站网络与信息安全事件分为不可抗力故障、黑客攻击故障、政务外网故障、互联网故障、局域网故障、服务器故障、网站服务故障和供电中断共8个分类。
不可抗力故障: 遇到因不可抗力如地震、水灾、雷电、火灾等自然灾害引起的以及战争、爆炸等人为的、社会因素引起的破坏情况导致网站不能提供服务。
黑客攻击故障:网站遭受黑客攻击或病毒植入导致首页或内容被篡改,或者不能提供服务。
政务外网故障:因宁波市电子政务外网中断或其域名解析故障导致网站不能提供服务。
互联网故障:因互联网中断或互联网域名解析故障导致网站不能提供服务。
局域网故障:因局域网络中断导致网站不能提供服务。
服务器故障:因网站服务器硬件及操作系统、数据库、WEB应用等系统软件故障导致网站不能提供服务。
网站服务故障:网站多个栏目的页面不能提供服务。
供电中断:因市电或UPS供电故障导致网站不能提供服务。
2、事件分级
根据网站的定位和社会影响,上述网站网络与信息安全事件分为二个等级: III级(较大)、IV级(一般)。
III级(较大):指能够导致较严重影响或破坏的信息安全事件。
IV级(一般):指能够导致较小影响或破坏的信息安全事件。
III级(较大)包括不可抗力故障、黑客攻击故障、政务外网故障、互联网故障四种,IV级(一般)包括局域网故障、服务器故障、网站服务故障和供电中断四种,其中IV级(一般)网站网络和安全事件发生后如不能在48小时内恢复,则级别提升为III级(较大)。
(五)工作原则
以人为本,预防为主;统一领导,分级负责;依法规范,加强管理;快速反应,协同应对;依靠科技,资源整合。
二、工作机构与职责
(一)领导机构
设立局网站网络与信息安全事件应急领导小组,由局应急工作领导小组兼任。主要职责:
按照宁波市电子政务办、宁波市公安局网信办的要求开展处置工作;研究决定网站网络与信息安全应急工作的有关重大问题;决定III级网络与信息安全事件应急响应的启动,组织力量对III级突发事件进行处置;监督检查、协调指导网站网络与信息安全事件预防、应急准备、应急处置、事后恢复和检查工作。
(二)工作机构
设立网站网络与信息安全事件应急响应小组,由局信息技术处、宁波市电子文件备份中心相关人员组成。主要职责:
判断网络与信息安全事件的等级,对网络与安全事件进行分级;组织力量对Ⅳ级网络与信息安全事件进行处置;向网络与信息安全事件应急领导小组报告III级以上网络与信息安全事件;自行决定或根据应急响应令,处理III级网络与信息安全事件;按照领导机构的要求开展处置工作;向宁波市电子政务办、宁波市公安局作网络与信息安全日常性报告。
(三)组织的外部协作
工作机构应与相关管理部门、设备及服务提供商、电信、电力等支持单位保持联络与协作,以确保在网络与信息安全事件发生时能及时通报准确情况和获得适当支持。
三、预防预警
(一)信息监测及报告
工作机构应定期检测和汇总网站服务器群运行状态相关信息,如:WEB服务器、数据库、网络、存储设备、安全设备的访问、运行、报错及流量等日志信息。分析网站安全状况,及时向局网络与信息安全应急响应领导小组作出报告。
1、工作机构应加强网站网络与信息安全的安全检测、分析与预警工作,建立网站网络与信息安全事件报告和通报机制,确定一名应急响应协调人。
2、各处室如发现网站异常或不能提供服务的情况,应及时向工作机构报告。
(二)预警及预防机制
工作机构发现网站网络与信息安全事件后,应经初步核实,进一步进行情况综合,参照研究可能造成损害的程度,提出初步行动对策,并及时向领导机构汇报,领导机构视情况召集协调会,决策行动方案,发布指示和命令。
为减少和避免网站网络与信息安全事件的发生,建立如下预防机制:
1、积极推行网站信息安全等级保护,定期进行信息安全风险评估;
2、遵守局网站管理制度,每年对信息维护员举行一次操作培训;
3、对网站的日常维护进行登记记录;
4、定期备份网站应用软件及重要数据,将网站纳入应急演练内容;
5、对网站定期进行扫描,发现漏洞及时升级补丁。
四、应急响应
(一)信息通报
网站网络与信息安全事件发生后,如果需要,应将相关信息准确通报给设备及服务提供商、电信、电力部门等组织,以获得适当的应急响应支持。同时,工作机构负责人应将网站网络与信息安全事件简要向领导机构进行通报。
(二)信息上报
III级网络与信息安全事件发生后,工作机构成员要主动与国家档案局、省档案局以及市电子政务办、市公安局网信办等市级主管部门取得联系,及时上报有关情况。如属于国家、省、市重大活动期间,应立即按照有关要求和格式填写报告单,并上报。
(三)应急启动
网络与信息安全事件发生后,工作机构按标准对该事件进行评估,确定网络与信息安全事件级别和类别。在事件定级之后立即启动应急,具体操作遵循如下规则:
1、启动原则——快速、有序;
2、启动依据——事件定级最终结果,实行分级响应;
3、启动方法——由领导小组发布应急处理启动令;
(四)应急处理流程
IV级及IV级以下网络与信息安全事件由工作机构选择适当的方案进行处置。
IV级网站网络与信息安全事件,工作机构成员能在60分钟内排除故障的,先处理完故障或突发事件后,再通报领导机构,并填写事件报告单进行记录;如在60分钟内不能准确定位故障原因或处理完故障,应及时上报领导机构,并做好应急准备。领导机构在接到报告后,决定是否启动应急,并发布应急响应令。
III级网站网络与信息安全事件,工作机构应即上报领导机构,并同时做好应急准备,领导机构在收到报告后,应立即向上级部门及市级主管部门进行上报,并做好应急准备。
五、应急响应总结
回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。发生网站网络与信息安全事件后,工作机构应当在事件处理完毕后三个工作日内将处理结果报领导小组。通过对信息安全事件进行分析及总结,不断提高信息安全应急响应能力和水平。
(一)善后处理
发生事故后,必须对事故损坏的网络和设备进行全面检修,经检验合格后方可重新投入使用。
应急救援结束后,工作机构应当做好救助和保险等善后处理事项,并尽快恢复受影响的业务。
(二)调查与评估
按照国家有关规定组织事故调查,并提出调查报告,工作机构适时公布发生事故的原因及预防措施。
(三)后期处理信息采集
收集事故中出现的各种数据资料,为今后预防此类事故的发生和应急预案的修改提供依据。
对网站事故中暴露的问题进行详细记录,组织人员认真分析,总结经验,避免类似事故再次发生。
(四)宣传、培训和演习
工作机构应当做好网站事故的预防、避险、避灾、自救、互救等知识的培训和宣传教育。
经常进行网站应急救援预案的演练,包括模拟故障发生后快速诊断,数据恢复等内容。演练结束后,应当对演练情况进行评估、总结。
(五)监督检查
工作机构应当根据网站的具体使用情况,依照有关技术标准,对网站网络和设备以及提供的服务情况进行定期检查。特别是网站的备份信息是否可恢复是重点检查对象。
六、保障措施
(一)应急人力保障
加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息安全核心人才和管理队伍,提高信息安全防御意识。
(二)物质条件保障
在信息化经费中,安排一定的资金用于预防或应对网站信息安全突发事件,提供必要的常备冗余设备,优化信息安全应急处理工作的物资保障条件。
(三)技术支撑保障
建立机房温湿度监测自动报警平台,有条件的要建立机房运维监测管理平台,进一步提高安全事件的发现和分析能力。从技术上逐步实现发现、预警、处置、通报等多个环节和不同部门之间应急处理的联动机制。
附件:网络与信息安全应急响应处理流程图