局机关各科(室)、投资审计中心:
现将《网络安全事件应急预案》印发给你们,请结合工作实际,认真贯彻实施。
2021年6月8日
第一章 总 则
第一条 为完善许昌市审计局网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,保证网络安全事件应急处置工作迅速、高效、有序执行,特制定本预案。
第二条 坚持统一指挥、密切协同、快速反应、科学处置;坚持以预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责等原则。充分发挥各方面的力量,共同做好许昌市审计局网络安全事件的预防与处置工作。
第三条 本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对许昌市审计局网络和信息系统或者其中数据造成危害,对社会造成不良影响的事件。本预案适用于许昌市审计局网络安全事件的应对工作。
第二章 组织机构与职责
第四条 许昌市审计局(以下简称市局)成立网络安全应急领导小组(以下简称应急领导小组),分管信息化工作的局领导任组长,成员由局办公室、法规科相关同志组成,下设办公室,办公室设在法规科。应急领导小组负责市局网络安全事件应对工作,包括网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。
第五条 法规科科长在应急领导小组的领导下全面负责网络安全事件的组织、指挥、协调工作。下设应急工作组、综合保障组和技术支持组。
(一)法规科主要职责:
1.组织落实应急领导小组的决定,协调和调动各部门应对网络安全事件应急相关工作;
2.市局网络安全风险评估控制、隐患排查和整改;
3.组织完善市局网络安全事件应急预案,指导下级审计机关制定(完善)网络与信息安全事件应急预案;
4.组织协调市局网络安全事件应急预案演练;
5.市局网络安全事件的宣传教育与培训;
6.市局网络安全事件应急支撑队伍的组建。
(二)应急工作组职责:
应急工作组负责现场应急指挥处置,由法规科和相关科室组成。应急工作组在法规科授权下,行使现场应急指挥、协调、处置等职责。
1.根据事件性质,迅速调集相关技术专家,组建事件处置工作组,为应急领导小组提供决策支持;
2.根据应急领导小组指令,负责现场应急指挥工作,针对网络安全事件发展的事态,制定和调整相应网络安全事件处置、恢复和预防方案;
3.整合调配现场应急资源;
4.核实应急终止条件并向应急领导小组请示应急终止;
5.收集、整理应急处置过程资料,编写现场应急工作总结报告。
(三)综合保障组职责:
综合保障组负责应急处置期间的综合保障工作,由法规科和相关科室组成。
1.协调相关部门和单位,确保技术支撑专家第一时间到达现场;
2.负责现场处置所需要的计算机、网络等设备设施的到位和畅通。
(四)技术支持组职责:
组建市局网络安全事件应急技术支撑队伍,由法规科和相关科室组成。
1.为网络安全事件应急处置方案提供技术支持和建议;
2.为应急预案及管理工作提出建议,参与应急工作重大事项的决策和实施。
第三章 事件分类分级
第六条 网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件等。
(一)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件;
(二)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件;
(三)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件;
(四)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件;
(五)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障;
(六)灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件;
(七)其他事件是指不能归为以上分类的网络安全事件。
第七条 市局网络安全事件分为四级:由高到低划分为特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)4个级别,其中特别重大(Ⅰ级)、重大(Ⅱ级)遵循《国家网络安全事件应急预案》分级标准进行分级,较大(Ⅲ级)、一般(Ⅳ级)分级标准由市局按照严重程度、可控性和影响范围等因素确定。
第八条 符合下列情形之一的,为较大级网络安全事件:
(一)机房、网络配线间火灾或面临火灾威胁;
(二)因断电、水害、设备失灵等,造成全市审计机关广域网五个工作日以上的中断;
(三)数据丢失或系统故障,影响系统正常运行且五个工作日内不能恢复;
(四)市局官方网站内容被恶意篡改;
(五)病毒和木马入侵导致市局局域网内30%以上的服务器、计算机感染。
第九条 符合下列情形之一的,为一般级网络安全事件:
(一)因断电、水害、设备失灵等,造成市局局域网一个工作日以上的网络中断;
(二)数据丢失或系统故障,影响系统正常运行且一个工作日内不能恢复;
(三)市局官方网站被攻击导致一个工作日以上不能正常发布内容;
(四)病毒和木马入侵导致市局局域网10%以上的服务器、计算机感染。
第四章 监测与预警
第十条 市局建立网络安全事件信息接收机制。
应急领导小组通过以下途径获取预报信息:
(一)主管部门向市局告知的预报信息;
(二)国家通过新闻媒体公开发布的网络安全事件预警信息;
(三)市局直属单位和县(市、区)局上报的网络安全事件预警信息;
(四)经风险评估得出的可能发生的网络安全事件。
第十一条 按照“谁主管谁负责、谁运行谁负责”的要求,法规科和局办公室分别负责市局机关办公楼内审计专网局域网和负责因特网的网络安全监测工作。
第十二条 法规科负责统筹组织开展网络和信息系统的网络安全监测工作,网络安全监测工作包括:应用系统、系统软件、网络及网络设备、安全设备、主机、存储、外设、终端、电力、空调等基础环境的可用性和连续性的监测。
第十三条 市局网络安全事件预警等级遵循《国家网络安全事件应急预案》的分级标准,由高到低依次为:红色预警、橙色预警、黄色预警和蓝色预警,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。
第十四条 法规科负责组织对市局监测信息进行研判,对需要立即采取防范措施的,立即向应急领导小组报告,同时组织实施对应的预防工作并结合事件具体情况在市局发布黄色及以下预警。
对可能发生重大及以上网络安全事件的信息及时向市相关应急管理部门报告。
第十五条 法规科负责组织市局的网络安全事件应急响应工作。
对红色预警,应急领导小组实行24小时值班,法规科和相关科室全员保持通信联络畅通。应急领导小组组织应急支撑队伍开展应急处置或准备、风险评估和控制工作。发现重要情况向市相关应急管理部门报告。
对橙色预警,应急领导小组组织开展市局的应急响应工作,结合市局实际情况及时开展风险评估、应急准备和风险控制工作。
对黄色、蓝色预警,应急领导小组组织支撑队伍和有关机构对事态的发展进行跟踪研判,制定防范措施和应急工作方案,协调法规科及外部有关单位开展应急处置。重要情况向市相关应急管理部门报告。
第十六条 应急领导小组根据实际情况,确定是否解除已发布的黄色、蓝色预警。
第五章 应急处置
第十七条 市局网络安全事件应急处置工作在网络安全应急办统一调度下开展工作。
发生较大级网络安全事件时,现场负责人必须在第一时间向法规科科长报告;法规科科长必须在1小时内向分管局领导报告。
法规科科长、相关科室人员进入应急状态,组织开展勘察、研判,处置、恢复、信息通报和管理应急状态,必要时组织技术支撑单位专家参与。
发生一般级网络安全事件时,现场负责人必须在1小时内向法规科科长报告;法规科科长必须在4小时内向分管局领导报告。
法规科科长、相关科室人员进入应急状态,组织开展勘察、研判,处置、恢复、信息通报和管理应急状态,必要时组织技术支撑单位专家参与。
第十八条 较大级网络安全事件、一般级网络安全事件处置完毕后,应急领导小组应当组织编制网络安全事件处置报告,并视情况向市相关应急管理部门报告。
网络安全事件处置报告应结合分析系统日志、运行记录、值班记录等资料,评估事件造成的后果、产生的影响,统计处置所发生的费用和造成损失,分析事件产生的原因,提出应当采取规避措施的意见。
第十九条 有害程序事件的紧急处置措施。
(一)危害系统运行的病毒暴发。
1.法规科得到多个病毒事件报告或者得到重要应用服务器感染病毒报告后,应当指导计算机或者服务器的使用者将染毒计算机和服务器从网络上隔离,启用反病毒软件杀毒;
2.当认为查杀病毒可能对服务器数据造成损害时,法规科通知相关科室,对服务器数据进行备份;
3.启用反病毒软件杀毒无效时,立即升级最新版本后查杀,仍无效时,通知反病毒软件公司、技术支撑专家队伍,提供病毒样本,寻求支持解决;
4.确认反病毒软件有效时,法规科科长批准以法规科名义发布公告,组织全网计算机统一清查杀毒;
5.法规科分析查明病毒暴发原因。必要时可请技术支撑单位参与分析研究。原因查明后,视需要向市相关管理部门报告。
(二)重要系统被植入木马或间谍程序。
1.抓取能够证明被植入木马或间谍程序的界面,注意保存好相关系统日志;
2.分析研判,慎重确定重要系统确实被植入木马或间谍程序;
3.分析研究系统运行或者存储的信息性质、一旦被泄露后的危害,评估风险;
4.分析追查木马或间谍程序,必要时可请信息安全机构和技术支撑单位参与分析研究。查明后,视需要向市相关管理部门报告或向本级公安部门报警。
第二十条 网络攻击事件的紧急处置措施。
(一)法规科发现网络攻击后,抓取能够证明被网络攻击的界面,注意保存好相关系统日志;
(二)将被攻击计算机和服务器从网络上隔离开来。采取查杀病毒或者升级漏洞补丁方式,避免再次遭受攻击;
(三)分析研究攻击性质,评估风险。必要时可请信息安全机构和技术支撑单位参与分析研究。查明后,视需要向市相关管理部门报告或向本级公安部门报警。
第二十一条 信息破坏事件的紧急处置措施。
(一)官方网站内容被恶意篡改。
1.接到局办公室有关官方网站内容被恶意篡改,要求采取措施的情况通报后,法规科应切断网站与因特网的联接,同时报告法规科科长;
2.法规科人员发现官方网站内容被恶意篡改,应当立即向办公室主任和法规科科长报告,经研究确认后,法规科应切断网站与因特网的联接,同时向局办公室报告;
3.抓取保存被恶意篡改内容的全部网页页面,编制抓取过程记录,注意保存好系统日志;
4.请局办公室删除恶意信息,并重新加载正确信息,经检查发布无误后,联通因特网,恢复网站访问;
5.分析追查非法信息来源,必要时可请信息安全机构参与分析研究。查明后,视需要向市相关管理部门报告或向本级公安部门报警。
(二)因误删除造成数据丢失。
1.因误删除造成数据丢失时,操作人员或者首先发现数据被误删除的法规科人员应立即停止操作,并向对数据负有责任的科室报告;
2.查看备份系统中是否有备份数据,其他介质中是否有可使用的备份数据。如有备份数据,对数据负有责任的科室恢复数据,恢复完成后调试系统至运行正常;
3.法规科科长组织相关单位研究评估数据丢失的影响程度;
4.数据无法从备份系统中或其他介质中自行恢复,且人工恢复工作量可以接受的,组织人工恢复;无法人工恢复的,寻求专业数据恢复公司恢复。
(三)因硬盘故障造成数据丢失。
1.因硬盘故障造成数据丢失时,操作人员或者首先发现数据丢失的法规科人员应立即停止操作,并向对数据负有责任的科室报告;
2.拔出故障硬盘,检查数据是否完整、RAID机制是否起作用。如数据完整,更换硬盘,监视系统至运行正常;
3.查看备份系统中是否有备份数据,其他介质中是否有可使用的备份数据。如有备份数据,对数据负有责任的科室恢复数据,恢复完成后调试系统至运行正常;
4.法规科科长组织相关单位研究评估数据丢失的影响程度;
5.数据无法从备份系统中或其他介质中恢复且人工恢复工作量可以接受的,组织人工恢复;无法人工恢复的,寻求专业数据恢复公司恢复。
(四)磁盘阵列柜故障造成数据丢失。
1.因磁盘阵列柜故障造成数据丢失时,操作人员或者首先发现数据丢失的法规科人员应立即停止操作,并向对数据负有责任的科室报告;
2.检查与磁盘阵列柜有关的配置,属于配置破坏造成的数据丢失,应备份原配置文件,保存好系统日志,重新配置,调试至系统正常;
3.属于磁盘阵列柜硬件故障的,联系相关厂商维修;
4.查看备份系统中是否有备份数据,其他介质中是否有可使用的冗余数据。如有备份数据,对数据负有责任的科室恢复数据,恢复完成后调试系统至运行正常;
5.法规科科长组织相关单位研究评估数据丢失的影响程度;
6.数据无法从备份系统中或其他介质中恢复且人工恢复工作量可以接受的,组织人工恢复。
第二十二条 信息内容安全事件的紧急处置措施
审计专网有恶意信息发布的处置。
(一)接到有关审计专网存在恶意信息要求采取措施的情况通报后,或者法规科人员发现审计专网有恶意信息,应联系相关科室立即撤下恶意信息,同时报告法规科科长;
(二)抓取保存恶意信息的全部网页页面,编制抓取过程记录,注意保存好系统日志;
(三)分析追查非法信息来源,必要时可请信息安全机构参与分析研究。查明后,向局领导或相关部门报告,根据局领导的指示视需要向市相关管理部门报告或向本级公安部门报警。
第二十三条 设备设施故障的紧急处置措施
(一)系统软件故障。
1.审计管理系统所使用的操作系统、数据库管理系统、中间件等系统软件发生故障影响系统运行时,法规科会同相关科室查明故障原因,判断故障模块;
2.如属于配置的原因,应备份原配置文件,保存好系统日志,重新配置,调试至系统正常;
3.不能判断故障原因时,联系应用软件开发集成商、系统软件开发商,提出解决方案。
(二)应用软件故障。
1.审计管理系统发生影响运行的故障时,法规科会同相关科室查明故障原因,判断故障模块;
2.检查系统数据保存、备份情况是否正常,必要时采取补救措施;
3.先行停用部分功能,维持系统其他功能正常运行;
4.联系应用软件开发集成商,提出解决方案。
(三)机房空调非正常停机。
1.发现单台空调非正常停机的法规科人员应立即报告法规科科长,重启空调,尽快降低房间温度,必要时可先开窗、开门降温。法规科向局办公室报告,要求查明原因。属于空调故障时应及时维修,属于人为切断关闭时应要求恢复开启并予以交涉;
2.发现多台空调同时非正常停机应考虑停电因素,法规科向局办公室报告,要求查明原因,判断停电时间。法规科会同相关科室监视房间温度,采取开窗降温等措施。无效时,在尽量保持局域网畅通的情况下,关闭部分网络设备、部分服务器;
3.空调正常运行后,开启关闭的设备和服务器,法规科监视房间温度达到正常要求。
(四)公共通信设备故障或线路中断。
1.路由器等公共通信设备发生故障,或者公共通信线路中断,造成局域网中断运行时,法规科应立即着手确认故障产生节点;
2.属于路由器等公共通信设备发生故障,应立即与相关单位联系维修;
3.属于公共通讯线路中断,应立即与相关通信网络提供商联系,要求查明原因,恢复联通。
(五)网络设备故障。
1.防火墙、交换机等网络设备发生故障造成局域网中断运行时,法规科应立即着手确认故障节点,尽快排除故障;
2.确认属于设备硬件故障后,应立即与相关单位联系维修;
3.确认属于设备配置文件破坏后,应备份原配置文件,保存好系统日志,重新配置,调试联通。
(六)服务器故障。
1.服务器发生故障造成局域网应用中断时,法规科会同相关科室应立即着手确认故障节点,尽快排除故障;
2.确认属于服务器硬件故障后,应注意保存磁盘数据,避免反复重启,并立即与相关单位联系维修;
3.使用替代服务器,调试后投入使用。
第二十四条 灾害性事件的紧急处置措施。
(一)发生火灾时的紧急处置措施。
1.首先发现机房起火、或身置起火现场的人员应使用灭火器等扑救初期火灾,呼喊提醒同事协助,设法电话报告局值班室;
2.初期火灾不能扑灭时,全部人员迅速撤出火灾现场。能够判定义务消防员和专业消防队员即将到达的,撤出火灾现场时不关闭房门;能够判定义务消防员和专业消防队员不能及时到达,而火灾可能蔓延至其他部位时,撤出火灾现场时关闭房门;
3.法规科人员应配合义务消防员和专业消防队员的工作;
4.火灾扑灭后,协助专业消防部门保护现场,查明起火原因,清理现场,尽可能保全设备资产和信息资源;
5.办公楼其他部位发生火警时,法规科人员在时间许可的情况下应关闭窗户和房门后撤离,以减少火灾殃及责任区域的可能性;
6.办公楼以外发生火警时,法规科人员在时间许可的情况下应关闭窗户,以减少火灾殃及责任区域的可能性;撤离时应打开房门,方便责任区域发生次生火灾时的扑救。
(二)发生断电时的紧急处置措施。
1.未接到局办公室的通知而发生两路电源同时中断的情况,首先发现断电、或身置现场的法规科工作人员应立即通知法规科;
2.法规科通知相关科室立即派人监视各服务器正常自动关机;因故不能自动关机的实行手动关机;
3.法规科与局办公室联系,问明情况,判定停电时间,请求尽快恢复供电;
4.恢复供电后,相关科室派人启动运行机房内空调,启动服务器,检查其他设备启动情况,监视至系统重新正常运行。
(三)发生水害时的紧急处置措施。
1.当办公楼内发生自来水、污水泄漏、空调漏水或因窗户开启大量雨水进入机房时,首先发现水害、或身置现场的法规科人员应立即通知法规科;
2.法规科判断水害严重程度,确定所采取的措施。必要时应当先切断电源再行处置;
3.需要系统停止运行再行处置的,相关科室执行相应的操作;
4.属于自来水、污水泄漏造成的水害,法规科通知局办公室尽快阻断关闭水源;
5.清扫去除积水,加强通风,晾晒物品;
6.确认水害消除,达到设备和线路所需要的干燥程度时,恢复供电或恢复系统运行。
第二十五条 其他事件的紧急处置措施。
(一)人身触电。
1.发现人身触电,应立即切断电源或者采取安全方式使触电人脱离电源;
2.触电人身体遭遇伤害的,通知医务室进行救治;
3.法规科科长组织查明触电原因,属于设备漏电的要采取措施。
(二)由各类紧急情况次生、衍生的紧急情况。
1.法规科科长召集会议,研究次生、衍生紧急情况的原因,找出主要矛盾,部署处置顺序。必要时可以局部或者全部停止系统运行;
2.相关科室根据商定的处置顺序,分头解决问题;
3.联合调试至系统恢复正常。
第二十六条 日常工作中遇到与本预案相似情形但不能判定是否属于紧急情况的,先行按照一般网络安全事件处置。
第六章 调查与评估
第二十七条 网络安全事件处置完毕,应急领导小组应组织对应急响应工作进行分析和回顾,形成总结报告,总结经验并部署采取适当的后续措施。
第二十八条 对应急响应工作进行分析和回顾包括:
(一)应急响应工作的充分性和针对性;
(二)应急事件发生的原因、数量及频率;
(三)应急事件处置的经验和教训;
(四)应急事件的趋势信息;
(五)网络信息系统中潜在的类似隐患。
第二十九条 网络安全事件处置完毕,应急领导小组应组织对应急响应工作有效性和实效性进行评估,提出改进目标、改进的具体工作内容。
第七章 预防工作
第三十条 法规科负责市局网络安全事件日常预防工作,定期检测排查网络安全隐患,开展风险评估和容灾备份工作,不断完善网络安全信息通报机制,提高网络安全应对能力,减少和避免网络安全事件的发生与危害。
第三十一条 法规科负责市局网络安全应急预案的演练工作,根据演练结果评估应急预案并进一步完善。
第三十二条 在国家和本市重要活动、会议等敏感时期,应急领导小组应加强网络安全的检测和分析研判,及时预警可能造成的重大影响的风险和隐患。
法规科负责在国家和本市重要活动和会议前,按照相关主管部门的要求,委托安全部门对因特网网站开展一次渗透测试,法规科组织一次因特网网站防护演练。按照有关部门预警要求,法规科及时组织相关部门实行24小时值班制度,及时发现和处置网络安全事件隐患。
第八章 保障措施
第三十三条 法规科每年根据工作需要对网络安全应急技术支撑队伍的人员进行调整和培训。
第三十四条 法规科每年将网络安全事件应急经费列入信息化运行维护项目。
第三十五条 实行网络安全事件处置责任追究制。对迟报、谎报、瞒报和漏报网络安全事件,造成不良后果的,追究失职责任。。
第九章 附 则
第三十六条 本预案由法规科负责解释。
第三十七条 本预案由法规科制定并组织实施,每年法规科组织对本预案进行评估,并根据实际情况进行修订。
