一、总则
(一)编制目的
为建立健全我局网络安全事件应急工作机制,提高应对网络安全事件的组织指挥和应急处置能力,保证应急指挥调度工作迅速、高效、有序进行,保障重要网络和信息系统安全运行,预防和减少网络安全事件造成的损失和危害,依据有关规定,制定本预案。
(二)编制依据
依据《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《国家突发公共事件总体应急预案》《国家网络安全事件应急预案》《国家防汛抗旱应急预案》《信息安全技术信息安全事件分类分级指南》《信息系统安全等级保护基本要求》和《水利信息网运行管理办法》等有关法律规定,以及《水利网络安全事件应急预案》《湖北水利网络安全事件应急预案(试行)》,制定本预案。
(三)基本原则
(1)统一领导,分级负责。在鄂北局网络安全与信息化领导小组的统一领导下,按照“谁主管谁负责、谁运行谁负责”的原则,加强协调与配合,共同做好网络安全事件的预防和处置工作。
(2)统一指挥,快速反应。发生网络安全事件时,各部门听从统一指挥,密切协同,快速反应,科学处置,最大程度地减少网络安全事件造成的危害和影响。
(3)预防为主,防治结合。加强网络安全事件预警监测机制建设,预防和最大程度减少网络安全事件的发生;加强应急处置措施建设,提高应急响应能力,减少网络安全事件造成的损失。
(四)适用范围
本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害、对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。
本预案适用于鄂北局网络安全事件的应对工作。其中有关信息内容安全事件的应对遵循国家有关要求,秘密信息泄露事件的应对遵循国家保密有关法律法规要求。
二、组织体系
(一)领导机构与职责
鄂北局网络安全与信息化领导小组(以下简称“领导小组”)负责统筹全局网络安全应急处置工作。鄂北局网络与信息安全领导小组办公室(以下简称“局网信办”)为网络安全事件管理的日常机构,负责建立健全应急联络机制,指导各部门应对网络安全突发事件预案演习,组织全局网络安全事件的研判、预警响应、信息通报及资源协调等工作。
(二)局各部门职责
我局建立应急联络机制,各部门应明确网络安全联系人,紧急联系人。组织开展日常网络安全的预防,按照要求及时上报预警和事件信息,配合开展应急演练,领导、指挥、协调、实施本部门职责范围发生的一般事件的应急处置工作,在领导小组的领导下,配合做好较大事件及以上的应急处置工作。
(三)技术支撑单位职责
我局技术支撑单位由调度运行部负责,由调度运行部和信息化运维、网络安全、云平台等相关企业组成,负责在事件预防、监测、研判、应急处置、调查评估等工作中提供技术支持。
三、监测与预警
(一)预警分级
网络安全事件预警等级分为四级,由高到低分别为:红色预警、橙色预警、黄色预警和蓝色预警,分别对应发生或可能发生的特别重大、重大、较大和一般网络安全事件。
(二)预警监测
按照“谁主管谁负责、谁运行谁负责”的要求,局各部门负责所管理的网络和信息系统的安全监测工作,建立预警监测机制,加强预警信息的监测收集工作,重要监测信息及时报送局网信办。
(三)预警研判和发布
局各部门监测或收到预警信息后立即进行研判,采取防范和应对措施,并即时通知局网信办。局网信办对初判可能发生一般事件的预警信息及时发布蓝色预警,对初判可能发生较大及以上安全事件的预警信息及时将有关情况上报厅网信办。
预警信息内容包含事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机构等信息内容。
(四)预警响应
1.红色、橙色、黄色预警响应
上级应急办、网信办等发布涉及我局的红色、橙色、黄色预警时,局网信办、技术支撑单位、事件相关部门实行24小时值班,相关人员保持通信联络畅通。事件相关部门负责事件监测和事态发展信息搜集工作,每日向局网信办报告预警响应情况,重要情况立即上报。局网信办负责协调应急车辆、设备、软件等应急工具,做好应急准备,及时将重要情况报送厅网信办,并根据指示进行预警重大事项通报。
2.蓝色预警响应
预警信息相关系统管理部门组织开展预警响应工作,组织做好风险评估、应急准备和风险控制工作。加强事件监测和事态发展信息搜集工作,及时将事态发展重要情况上报局网信办。局网信办根据事态发展情况向有关部门进行通报。
(五)预警解除
局网信办根据实际情况及时发布预警变更或解除信息:
1. 预警事件级别发生变化的,发布预警级别变更信息;
2. 预警事件经研判在一定时间内不会发生的,发布预警解除信息;
3. 预警事件经研判属于不实信息的,发布预警解除信息;
4. 预警事件已经发生、转入应急处置阶段的,在处置结束后发布预警解除信息。
四、应急处置
(一)先期处置
1. 按照“早发现、早报告、早处置”的原则,局各部门加强对有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发公共事件时,第一时间实施处置并向局网信办报告事件信息。
事件报告方式分为电话、短信等口头快报和书面报告。报告内容应该包括事件来源、影响范围、事件性质、事件发展趋势和已采取的措施等。书面报告填写鄂北局网络安全事件报告表。
判定涉及局调度系统或可能为较大事件的,应于发现安全事件后1 小时内快报、2 小时内书面报告至局网信办。判定为重大或特别重大的网络安全事件的,应20分钟内快报、40分钟内书面报告至局网信办。
2. 局网信办接到事件报告后,应详细记录事件信息,了解事件造成的损失、影响以及现场控制情况,研判事件级别。判定为较大及以上事件的,应组织相应部门将事件信息,处置情况及时报告领导小组、厅网信办。研判结果为一般事件的,应即时处置并报告领导小组。
(二)应急响应
网络安全事件应急响应级别分为四级:Ⅰ级响应、Ⅱ级响应、Ⅲ级响应和Ⅳ级响应,分别对应特别重大、重大、较大和一般网络安全事件。Ⅰ级为最高响应级别。
我局发生较大及以上网络安全事件时,局网信办按照上级主管部门要求启动相应应急响应。属于一般事件,局网信办根据情况启动一般事件的应急响应。
1. Ⅰ级、Ⅱ级、Ⅲ级响应
局网信办组织落实上级应急处置工作的决策部署,局网信办、事件相关部门实行24小时值班,相关人员保持通信联络畅通。局网信办协同事件相关部门及时跟踪事态发展,上报处置情况。局网信办根据上级重大事件的通报指示进行信息通报。
2. Ⅳ级响应
我局发生一般网络安全事件时,局网信办、事件相关部门实行24小时值班,相关人员保持通信联络畅通。局网信办组织协调事件应急处置和支援保障工作,研究部署应对措施,指导应急处置工作。局相关部门及技术支撑单位根据应对处置要求,组织开展应急处置工作和支援保障工作,及时跟踪收集事态发展变化情况和处置进展情况,并上报局网信办。
(三)应急结束
局网信办根据上级主管部门要求适时终止应急响应,并通知厅网信办。局网信办根据一般事件的处置情况,报请领导小组同意后,适时终止IV级别响应,转入常态管理。
五、应急预案
(一)对外服务的网站、网页出现非法言论时的应急处置
1. 发现在网上出现非法信息时,责任部门立即向局网信办报告情况,并作好记录。按要求组织清理非法信息,采取必要的安全防范措施。
2. 情况紧急的,应组织运维单位先关停网站服务,及时采取删除等处理措施,清理完成后,报请领导小组将网站、网页重新投入使用。
3. 责任部门组织运维单位调看有关记录、日志并妥善保管,排查安全隐患,加强安全防范。
(二)黑客攻击或软件系统遭破坏性攻击时的应急预案
1. 重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日的备份,并将它们保存于安全处。
2. 当管理员通过入侵监测系统发现有黑客正在进行攻击时,应立即向局网信办报告。软件遭破坏性攻击(包括严重病毒)时要将系统停止运行。
3. 责任部门及时组织将被攻击(或病毒感染)的服务器设备从网络中隔离出来,保护现场,并同时向局网信办报告情况。
4. 责任部门组织技术支撑单位恢复与重建被攻击或被破坏的系统,恢复系统数据,并及时追查非法信息来源。
5. 事态严重的,立即向领导小组报告,并向厅网信办进行汇报。
(三)数据库发生故障时的应急预案
1. 责任部门组织运维单位立即进行数据及系统修复,修复困难的,可向外包技术服务公司咨询,以取得相应的技术支持。
2. 在此情况下无法修复的,应向局网信办报告,在征得许可的情况下,可立即向软硬件提供商请求支援。
(四)设备安全发生故障时的应急预案
1. 局各部门管理的工作机、服务器等关键设备损坏后,应立即组织运维单位等查明原因,并向局网信办报告。
2. 如果能够自行恢复,应用备件替换受损部件,保障系统正常运行。如属不能自行恢复的,应与运维单位及设备提供商联系,请求派维护人员前来维修。
3. 如果设备一时不能修复,应向领导小组汇报,直到故障排除设备恢复正常使用。
(五)内部局域网故障中断时的应急预案
1. 局域网中断后,局网信办应立即组织人员判断故障节点,查明故障原因。
2. 局网信办组织人员排除网络故障,恢复网络通信,如有必要需向相关部门寻求支持帮助。
3. 如果恢复时间预计超过三小时,应立即向领导小组汇报。
(六)广域网外部线路中断时的应急预案
1. 广域网线路中断后,管理员应向局网信办报告。
2. 网络安全管理员接到报告后,应迅速判断故障节点,查明故障原因。
3. 如属可即时恢复范围,由网络安全管理员立即予以恢复。
4. 如属电信运营商管辖范围,应立即与电信运营商的维护部门联系,要求尽快修复。
5. 如果恢复时间预计超过三小时,应立即向领导小组汇报。
(七)外部供电中断后的应急预案
1. 外部供电中断后,值班人员应立即向局综合部、局网信办汇报情况。
2. 如因局内线路故障,由综合部通知维修人员迅速恢复。
3. 如果是局外部的原因,由综合部立即与供电局联系,查明原因,请供电局迅速恢复供电。如果短时间不能及时解决的,及时向领导小组报告。
六、调查评估
在应急处置工作结束后,局网信办应组织有关人员和专家组成事件调查组,对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失情况,总结经验教训,写出调查评估报告,报领导小组,并根据问责制的有关规定,对有关责任人员作出处理。
七、预防工作
(一)日常管理
局各部门按照职责做好网络安全事件日常预防工作,做好网络安全检查、隐患排查、风险评估和容灾备份等工作,健全网络安全信息通报机制,及时采取有效措施,减少和避免网络安全事件的发生及危害,提高应对网络安全事件的能力。局网信办加强网络安全督办检查,提高全局网络安全防范和处置能力。运维管理单位定期进行病毒扫描、更新补丁、备份数据等安全防控措施,协助开展网络安全检查,做好网络安全技术防范。
(二)演练
每年应至少组织一次应急预案的演练,模拟发生不同级别及不同类型事件的应急响应和处置,提高应急实战能力。演练结束后应对演练情况进行评估并根据评估结果完善预案内容。
(三)培训和宣传
局网信办负责组织网络安全应急预案的培训,局各部门将网络安全事件应急知识列为党员干部学习内容,提高防范意识。针对发生的网络安全事件,应总结经验教训,组织相关人员进行事后教育和培训,防范事件的再次发生。
(四)重要敏感时期的预防控制
在国家重要活动、会议等重要敏感时期,局网信办按网络安全保障工作要求,统筹协调全局网络安全保障工作,采取预防控制措施。局各部门在此期间要按照职责加强网络安全监测和分析研判,及时预警可能造成重大影响的风险和隐患,加强巡检巡查,及时发现和处置网络安全事件隐患。
八、保障措施
(一)数据保障
重要信息系统均应建立备份系统和相关工作机制,保证重要数据在受到破坏后,可紧急恢复。
(二)应急队伍保障
按照一专多能的要求建立网络信息安全应急保障队伍,充分发挥技术支撑合作单位、外包服务单位在人才队伍、技术支持方面的优势。
(三)经费保障
局规划与财务部配合局网信办落实网络安全突发事件的应急处置资金。
(四)后勤保障
局综合部负责通勤车辆、辅助工具、办公楼其他单位协调、信访维稳、新闻宣传等后勤保障工作。
(五)通信联络保障
各部门应明确网络安全事件应急处理的一般和紧急两级联系人,其中一般联系人主要是进行日常的信息沟通,紧急联系人主要是在发生较大及以上网络安全事件情况下的直接沟通。联系人及联系方式发生变化时要及时向局网信办报告。启动应急响应后,紧急联系人应确保7Í24小时联络畅通。
九、附则
(一)预案管理
本预案由鄂北局网信办负责制订、管理并定期进行评估,根据实际情况进行适时修订。
(二)预案解释
本预案由鄂北局网信办负责解释。
(三)预案实施时间
本预案自发布之日起施行。
文章作者:崔文露,责任编辑:黄艳,审核签发:廖潘腾子
