深圳气象局网络与信息安全应急预案v18Word文档下载推荐.docx

1、1.6事件分类网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个类别。（1）有害程序事件包括：计算机病毒、计算机蠕虫、计算机木马、僵尸网络、混合攻击程序、网页内嵌恶意代码和其它有害程序等事件。（2）网络攻击事件包括：拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰和其它网络攻击等事件。（3）信息破坏事件包括：信息篡改、信息假冒、信息泄露、信息窃取、信息丢失和其它信息破坏等事件。（4）信息内容安全事件包括：通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作、讨论敏感问题，并危害国家安全、社会

2、稳定和公众利益的事件。（5）设备设施故障事件包括：软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障等事件。（6）灾害性事件包括：水灾、台风、地震、雷击、火灾、恐怖袭击、战争等不可抗力因素对网络及信息系统造成的物理破坏导致的事件。（7）其他信息安全事件：不能归为以上类别分类且造成影响或后果较为严重的信息安全事件。1.7事件分级网络与信息安全事件分为四级：由高到低划分为级（特别重大级）、级（重大级）、级（较大级）、级（一般级）4个级别。IV级（一般事件）：一般事件是指能够导致较小影响或破坏的信息安全事件。会使“深圳市气象局信息系统”遭受较小的系统损失，即造成系统服务中断30分钟，影

3、响系统效率，使系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到影响，恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。 级（较大事件）：会使深圳市气象局信息系统遭受较大的系统损失，即造成系统服务中断60分钟，明显影响系统效率，使系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价较大，但对于深圳市气象局是完全可以承受的；II级（重大事件）：会使深圳市气象局信息系统遭受重大的系统损失，即造成系统服务中断90分钟或局部瘫痪，使其业务处理能力受到极大影响，或系统关键数据的保密性、完整性、可用性遭到破

4、坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大，但对于深圳市气象局是可承受的。根据市经贸信息委2015年11月6日下发的市网安应急办关于组建深圳市网络与信息安全应急处置专业技术队伍的通知（深经贸信息信安字【2015】259号）文件要求：II级以上突发事件需联系深圳市网络与信息安全应急指挥部办公室进行安全事件备案；I级（特别重大事件）：会使深圳市气象局信息系统遭受特别重大的系统损失，即造成系统服务中断120分钟，使其丧失业务处理能力，或系统关键数据的保密性、完整性、可用性遭到严重破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大，对于深圳市气象局是不可承受的。I级以

5、上突发事件需联系深圳市网络与信息安全应急指挥部办公室进行安全事件备案。2组织机构与职责2.1指挥机构与职责为提高深圳市气象局对网络与信息安全突发事件的应急处理能力，建立统一领导、职责明确、协调配合的网络安全应急组织体系。成立应急指挥领导小组、值班组和应急处置专业技术组三个机构。2.2 应急指挥领导小组应急指挥领导小组组长：兰红平应急指挥领导小组副组长：谭徽罗华明应急指挥领导小组成员：肖良忠何宇华胡娟 李辉叶汶华罗红艳刘东华2.3 应急指挥领导小组职责应急指挥领导小组主要职责：对信息系统发生的各类信息安全事件的解决进行统一领导，工作的统一部署，人员、物资的统一调动。2.4 应急处置专业技术组应急

6、处置专业技术组组长：负责对信息安全事件的技术处置统筹和协调和指挥应急处置专业技术组的成员的工作调度。安全管理员：负责系统应急恢复期间各项安全设备和安全防护手段的实施；安全维护人员：负责系统应急恢复期间的安全维护和技术支持；门户网站系统管理员：负责系统应急恢复期间决断、实施和管理；门户网站系统运维人员：负责系统应急恢复期间技术实现和支持；决策服务网系统管理员：决策服务网系统运维人员：审批系统系统管理员：审批系统系统运维人员：OA系统与数据中心系统系统管理员：短信群发系统系统管理员：短信群发系统和数据中心系统运维人员：负责短信群发系统和数据中心系统应急恢复期间技术实现和支持；OA系统运维人员：负责

7、OA系统的代码开发和信息系统运行维护工作；网络和机房管理员：负责系统应急恢复期间网络和机房设备和资源的调配、实施和管理；网络运维人员：负责系统应急恢复期间网络设备和资源维护和技术支持；机房运维人员：负责系统应急恢复期间机房设备和资源维护和技术支持；数据库管理员：负责系统应急恢复期间数据库的决断、实施和管理；2.5应急处置专业技术组职责应急处置专业技术组职责：应急处置专业技术组由信息安全专业技术人员组成，直接提供信息安全应急服务，第一时间对安全事件做出反应并直接参与信息安全事件的应急处置工作。2.6 值班组职责值班组职责：值班组由信网处每日信息发布值班人员组成，监控系统稳定、安全的运行和网页防篡

8、改系统的运行情况，发现突发安全事件，向安全管理员报告。3监测与预警3.1 监测为保我局信息系统正常可靠地运行，值班组人员按照国家和广东省信息安全等级保护工作要求，重点做好监测工作，及时向应急指挥领导小组报告突发安全事件。3.2预警协作部门的通报与协调气象局的系统管理员和安全管理员与系统运维人员及安全运维人员要建立信息情况热线通道，三方保持手机24小时开机以备遇到网络与信息安全事件时做到第一时间响应，保证随时的技术服务与指导。具体联系方式见本文2.1章节-2.4章节。突发信息网络事件安全预防措施包括定期进行漏洞、丰富信息安全突发事件预案库、定期对安全设备进行分析、准备应急处置措施、建立网络和公众

9、网的监测体系、控制有害信息的传播和预先制定信息安全重大事件的通报机制。4 应急响应4.1 分级响应4.2 IV级响应级突发事件由应急处置专业技术组开展应急处置工作。如果在短时间内完成处理，则事后分析事件，并形成报告总结汇报至应急指挥领导小组；如果事态严重需要升级至更高级事件，应立即上报至应急指挥领导小组；应急指挥领导小组组织相关事件应急指挥，如果本单位无法处理突发安全事件，应立即市网络应急指挥部办公室寻求支援。紧急情况下，经应急指挥领导小组同意，可采取断网措施。事故处置完成后将相关情况报送至市网络应急指挥部办公室和广东省气象局。4.3级响应级突发事件由应急指挥领导小组组织应急处置专业技术组开展

10、应急处置工作，处理过程中需要保留相关截图及证据，方便时候追踪事件的发生原因及攻击源。如果本单位无法处理突发安全事件，应立即向市网络应急指挥部办公室寻求支援。紧急情况下，可采取断网措施。4.4 II级响应II级突发事件由应急指挥领导小组组织应急处置专业技术组开展应急处置工作，处理过程中需要保留相关截图及证据，方便时候追踪事件的发生原因及攻击源；如果事态严重需要升级至更高级事件，应立即向市网络应急指挥部办公室寻求支援。4.5 I级响应I级突发事件应立即向市网络应急指挥部办公室寻求支援。同时应急指挥领导小组组织应急处置专业技术组及相关技术人员开展应急处置工作，处理过程中需要保留相关截图及证据，方便时

11、候追踪事件的发生原因及攻击源；如果事态严重无法短时间内处理，紧急情况下，可采取断网措施。事故处置完成后将相关情况报送至市网络应急指挥部办公室和广东省气象局监网处和探测数据中心。4.6信息安全事件处置流程当发生网络与信息安全事件时立即启动应急响应,并且遵从信息安全事件处置流程进行处理。4.7网站网页异常处置流程1、检查备份网站是否正常；2、备份网站正常的情况下进行切换备用网站，确保页面的有效性和原始性；3、停止后台发布系统；4、检查并确保网页防篡改系统正常工作；5、检查并确保本地安全系统正常工作；6、剪切异常页面到非发布目录保存证据；7、使用备份恢复已移除的页面，确保页面的有效性；8、继续收集其

12、他异常页面及信息，剪切保存，并替换正常更新；9、对当前发布页面和备份页面进行全面的挂马检测；10、导出操作系统相关日志（系统、应用、安全、数据库、存储系统、本地安全系统等）并进行外部保存；11、导出WEB发布系统相关日志（IIS、Weblogic、Webspherre、Apache等发布系统、应用系统、中间件日志等）并进行外部保存；12、导出安全设备日志（防篡改系统、IDS/IPS、网络/WEB防火墙、网络审计系统、认证网关等）并进行外部保存；11、填写事件处置报告，详细记录事件处置的全过程。4.8网络设备故障1、如果有备份网络设备，启用备份网络设备；2、将最近一次备份的配置文件导入到备份网络

13、设备；3、检查并确认导入备份设备的配置及时生效；4、进行线路切换，并保持原有的网络拓扑结构；5、检查并确认设备工作正常；6、进行通信连通性测试，确保备用设备已经成功切换；7、密切监视新上线的设备工作状态、直至故障排除；8、导出网络设备相关日志并进行外部保存；9、填写事件处置报告，详细记录事件处置的全过程。4.9域名劫持攻击1、第一时间联系域名服务提供商和ISP（互联网服务提供商），就发生的攻击现象进行简要说明；2、进一步确认受攻击影响的范围（区、市、省等）；3、在可正常访问网站的用户端（未遭受域名劫持攻击的用户），使用ping命令尝试解析域名并记录返回的IP地址；4、在受影响的用户端（遭受域名

14、劫持攻击的用户），使用ping命令尝试解析域名并记录返回的IP地址；5、将记录的非正常IP地址存档并提交给受攻击影响的域名服务提供商和ISP（互联网服务提供商）；6、在本地服务器对网站进行全面的安全检测，确保网站本身未受到破坏；7、密切配合ISP和域名服务提供商对事件进行处理；8、在2小时内，如果无法恢复正常服务，指派专人协助域名服务提供商和ISP并跟踪事件处理；9、密切监视域名解析服务状态，直至危害排除；10、填写事件处置报告，详细记录事件处置的全过程。5 应急结束5.1恢复工作应急处置工作结束后，按照风险评估结果，迅速组织人员制定网络信息系统重建和恢复计划，按照业务影响分析结果，确定优先顺

15、序，迅速恢复网络信息系统的正常运行，减少损失，尽快恢复正常工作。5.2情况总结网络信息安全事件应急任务结束后，应急指挥领导小组应做好突发事件中信息系统、网络设施损失情况的统计、汇总和相关资料的归档、任务完成情况的总结汇报，对遭受破坏的信息系统做出风险分析，并且重新制定防范措施，保障同类安全事件不再发生，并且对相关责任人保留追究权利，同时对应急预案不定期修订改进。6应急保障6.1通信保障协调小组负责收集、建立突发信息网络事件应急处置工作小组内部及其他相关部门的应急联络信息。信息网络事件应急小组应在重要部位醒目位置公布报警电话，信息网络事件应急小组全体人员保证全天24小时通讯畅通。6.2 应急物资

16、保障单位在建设信息系统时应适当配备必要的信息网络硬件、软件、应急救援设备等应急物资，突发安全事件时应急指挥领导小组统一调用。应急处置专业技术组须储备相应的应急基础设备、软件。6.3 技术资料保障单位应将应急技术资料，包括网络拓扑结构、重要系统或设备的型号及配置（操作系统及版本号、应用软件及版本号等）、主要设备厂商信息、设备使用人员的详细信息等，建立技术档案并及时更新，以保证与实际系统的一致性。还应根据需要对信息系统进行风险评估，随时掌握信息系统安全状况和存在的风险。7 培训和演练7.1 培训应急处置专业技术组和值班组小组成员应不定期加强对网络与信息安全等方面的知识培训，提高防范意识及技能，指定

17、专人负责安全技术工作。并将网络与信息安全突发事件的应急管理、工作流程等列为培训内容，增强应急处置工作的组织能力。7.2 演练本单位应当组织网络信息安全应急演练，检验本预案的可执行性。通过演练，及时发现和改进应急体系、工作机制存在的问题，完善应急预案，提高应急处置能力。7.3 演练要求本单位在组织进行应急演练时，各演练系统在进行演练时应该具备多种可行性方案，且制定应急演练响应及故障处理考核时间标准，在进行演练时对各岗位人员进行考核；并且考核情况需以截图为证。8 附则8.1预案制定、发布及解释本预案由应急指挥领导小组负责制定、发布及解释。8.2 预案修订有下列情形之一的，应当及时修订应急预案：（1）有关法律、行政法规、规章、标准、上位预案中的有关规定发生变化的；（2）应急指挥机构及其职责发生重大调整的；（3）面临的风险发生重大变化的；（4）重要应急资源发生重大变化的；（5）预案中的其他重要信息发生变化的；（6）在突发事件实际应对和应急演练中发现问题需要作出重大调整的；（7）应急预案制定单位认为应当修订的其他情况。