目 录
1 总则
1.1 编制目的
1.2 编制依据
1.3 适用范围
1.4 事件分级
1.5 工作原则
2 组织机构与职责
2.1 领导机构与职责
2.2 办事机构与职责
2.3 各单位职责
3 监测与预警
3.1 预警分级
3.2 预警监测
3.3 预警研判和发布
3.4 预警响应
3.4.1 红色预警响应
3.4.2 橙色预警响应
3.4.3 黄色、蓝色预警响应
3.5 预警级别调整和解除
4 应急处置
4.1 基本响应
4.2 应急响应
4.2.1 Ⅰ级响应
4.2.2 Ⅱ级响应
4.2.3 Ⅲ、Ⅳ级响应
4.3 应急结束
4.3.1 Ⅰ级响应结束
4.3.2 Ⅱ级响应结束
5 恢复重建、调查与评估、经验总结
5.1 恢复重建
5.2 调查与评估
5.3 经验总结
5.4 责任与奖惩
5.4.1 奖励
5.4.2 责任追究
6 预防工作
6.1 日常管理
6.2 演练
6.3 宣传
6.4 培训
6.5 沟通与协作
6.6 重要敏感时期的预防措施
6.7 监督检查与应急能力考评
6.7.1 监督检查
6.7.2 应急能力考评
7 保障措施
7.1 机构和人员
7.2 技术支撑队伍
7.3 专家队伍
7.4 社会资源
7.5 基础平台
7.6 情报力量
7.7 物资保障
7.8 通信保障
7.9 经费保障
8 附则
8.1 预案管理
8.2 预案解释
8.3 预案实施时间
1 总则
1.1 编制目的
建立健全乌审旗网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,保护公众利益,维护我旗网络安全、公共安全和社会秩序。
1.2 编制依据
《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《国家突发公共事件总体应急预案》《突发事件应急预案管理办法》《信息安全技术信息安全事件分类分级指南》(GB/Z20986-2007)《内蒙古自治区各级党委(党组)网络安全工作责任制实施细则(试行)》《中共乌审旗委员会办公室关于<党委(党组)网络意识形态工作责任制任务分解表>的通知》(乌党办发〔2017〕18号)《国家网络安全事件应急预案》《内蒙古自治区网络安全事件应急预案》和《鄂尔多斯市网络安全事件应急预案》等相关规定。
1.3 适用范围
本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。
本预案适用于网络安全事件的应对工作。
1.4 事件分级
网络安全事件分为四级:特别重大网络安全事件(Ⅰ级)、重大网络安全事件(Ⅱ级)、较大网络安全事件(Ⅲ级)、一般网络安全事件(Ⅳ级)。
(1)符合下列情形之一的,为特别重大网络安全件事件(Ⅰ级):
①重要网络和信息系统中断运行2小时以上,影响人数100万人以上。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁,或导致1亿元人民币以上的经济损失。
③其他对国家安全、民族团结、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。
(2)符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件(Ⅱ级):
①重要网络和信息系统中断运行1小时以上,影响人数10万人以上。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁,或导致1000万元人民币以上的经济损失。
③其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
(3)符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件(Ⅲ级):
①重要网络和信息系统遭受较大的系统损失,造成系统中断0.5小时,明显影响系统效率,影响人数2万人以上。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁,或导致100万元人民币以上的经济损失。
③其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。
(4)除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件(Ⅳ级)。
1.5 工作原则
坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;坚持谁主管谁负责、谁运营谁负责,充分发挥各方面力量共同做好网络安全事件的预防和处置工作。
2 组织机构与职责
2.1 领导机构与职责
在旗委网络安全和信息化委员会(以下简称“旗委网信委”)的领导下,旗委网络安全和信息化委员会办公室(以下简称“旗委网信办”)统筹协调组织全旗网络安全事件应对工作,建立健全跨部门联动处置机制,必要时成立乌审旗网络安全事件应急指挥部(以下简称“乌审旗网安应急指挥部”),负责特别重大网络安全事件的组织指挥和协调。旗委网信委成员单位按照职责分工负责相关网络安全事件应对工作。
2.2 办事机构与职责
乌审旗网络安全事件应急具体工作由旗委网信办承担,负责网络安全应急跨部门、跨地区协调工作和乌审旗网安应急指挥部的事务性工作,组织指导乌审旗网络安全应急技术支撑队伍做好应急处置的技术支撑工作。旗委网信委成员单位和涉事单位派负责相关工作的科级干部为联络员,联络网络安全事件应急工作。
旗委网信办在旗委网信委的统一领导下,统筹协调组织全旗网络和信息系统网络安全事件的预防、监测、报告和应急处置工作:
(1)承担乌审旗网安应急指挥部的值守应急工作;
(2)收集、分析工作信息,及时上报重要信息;
(3)负责乌审旗网络安全的监测预警和风险评估控制、隐患排查整改工作;
(4)负责发布和解除预警信息、调整预警响应级别;
(5)负责组织相关部门开展乌审旗网络安全突发事件新闻报道相关工作;
(6)组织制定、修订与乌审旗网安应急指挥部职能相关的专项应急预案,指导各地区、各部门制定、修订网络安全突发事件相关的应急预案;
(7)负责组织协调网络安全突发事件应急演练;
(8)负责乌审旗应对网络安全突发事件的宣传教育培训。
2.3 各单位职责
各单位按照职责和权限,负责本地区、本行业、本部门网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。
3 监测与预警
3.1 预警分级
网络安全事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。
3.2 预警监测
各单位按照“谁主管谁负责,谁运行谁负责”的要求,组织对本单位本部门建设运行的网络和信息系统开展网络安全监测工作。重点行业主管或监管部门组织指导做好本行业本领域网络安全监测工作。旗委网信办借助上级网络安全态势感知平台通报预警信息,结合我旗实际统筹组织开展对全旗网络和信息系统的网络安全预警工作。
旗委网信委成员单位以及乌审旗应急技术支撑队伍应通过媒体、网站等途径公布网络安全事件接报电话、传真、电子邮箱等信息,加强宣传警示工作,做好来自社会公众和网络与信息系统运管使用单位的预警信息、事件信息的接收,定期向旗委网信办移交相关数据,建立并完善网络安全事件信息的接收机制。各地区、各部门将重要监测信息报旗委网信办,旗委网信办及时上报市委网信办。
3.3 预警研判和发布
各地区、各部门组织对监测信息进行研判,认为需要立即采取防范措施的,应当及时通知有关部门和单位,对可能发生较大及以上网络安全事件的信息及时向旗委网信办报告。旗委网信办进行研判后对于可能发生重大及以上网络安全事件的信息经旗委网信委同意后立即上报市委网信办。
红色预警和涉及多旗区、多部门、多行业的预警由旗委网信办上报市委网信部门组织研判,确定和发布。旗委网信办组织研判,确定和发布橙色预警。各地区、各部门可根据监测研判情况,在旗委网信办的指导下,发布本地区、本单位、本行业的黄色及以下预警。
预警信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。
3.4 预警响应
预警信息发布后,各相关地区、部门依据发布的预警级别,启动相应的应急预案,组织部署技术力量立即响应,进入应急状态,履行承担的职责。
3.4.1 红色、橙色预警响应
(1)市委网信办指导组织开展预警响应。
(2)旗委网信办和旗网络安全事件应急指挥机构实行24小时值班,相关人员保持通讯联络畅通。加强网络安全事件监测和事态发展信息搜索工作,组织指导应急支撑队伍、相关运行单位开展应急处置和准备、风险评估和控制工作,重要情况及时上报。
3.4.2 黄色预警响应
(1)旗委网信办组织预警响应工作,联系专家和有关机构,组织对事态发展情况进行跟踪研判,研究制定防范措施和应急工作方案,协调组织资源调度和部门联动的各项准备工作。
(2)有关单位网络安全事件应急指挥机构实行24小时值班,相关人员保持通讯联络畅通。加强网络安全事件监测和事态发展信息搜索工作,组织指导应急支撑队伍、相关运行单位开展应急处置和准备、风险评估和控制工作,重要情况及时逐级上报。
(3)旗网络安全应急技术支撑队伍进入待命状态,针对预警信息研究制定应对方案,检查应急车辆、设备、软件工具等,确保处于良好状态。
3.4.3 蓝色预警响应
旗委网络安全事件应急指挥机构启动相应应急预案,指导组织开展预警响应。
3.5 预警级别调整和解除
预警发布部门应当根据事态发展实际情况和采取措施的效果适当调整预警级别,当判断不可能发生网络安全事件或危险已经消除时,确定是否解除预警,适时终止相关措施,及时发布预警解除信息。
4 应急处置
4.1 基本响应
网络安全事件发生后,事发单位立即启动应急预案,实施处置并及时报送信息。
(1)控制事态发展,防控蔓延。事发单位先期处置,采取各种技术措施,及时控制事态发展,最大限度地防止事态蔓延。
(2)快速判断事件性质和危害程度。尽快分析事件发生原因,根据网络和信息系统运行和承载业务情况,初步判断事件的影响、危害和可能波及的范围,提出应对措施建议。
(3)及时报告信息。事发单位在先期处置的同时要按照预案要求,及时向上级主管部门、旗委网信办和公安机关报告事件信息。对于初步判断为特别重大、重大网络安全事件的,应在规定时间内报告旗委网信办和旗公安局,旗委网信办和旗公安局第一时间向上级部门报告。
报告的信息应该包含网络安全事件发生的时间、单位、影响人数、预计损失及发生网络安全事件的系统概况等。
对可能发生为特别重大网络安全事件的单位,应该在事件发生后1小时内逐级上报旗委网信办、旗公安局和上级主管部门;对可能发生为重大网络安全事件的单位,应该在事件发生后2小时内报旗委网信办、旗公安局和上级部门。
(4)做好事件发生、发展、处置的记录和证据留存。
4.2 应急响应
网络安全事件应急响应分为四级,分别对应特别重大、重大、较大和一般网络安全事件。Ⅰ级为最高响应级别。
4.2.1 Ⅰ级响应
市委网信办启动Ⅰ级响应。
4.2.2 Ⅱ级响应
旗委网信办组织对事件信息进行研判,属重大网络安全事件的及时向旗委网信委提出启动Ⅱ级响应的建议,经旗委网信委批准后,成立乌审旗网安应急指挥部。
(1)事件发生地区或部门的应急指挥机构进入应急状态,按照相关应急预案做好应急处置工作。
(2)事件发生地区或部门及时将事态发展变化情况报旗委网信办。旗委网信办将有关重大事项及时通报相关地区和部门。
(3)处置中需要其他有关地区,部门和旗网络安全应急技术支撑队伍配合和支持的,商旗委网信办予以协调。相关地区、部门和旗网络安全应急技术支撑队伍应根据各自职责,职级配合、提供支持。
(4)有关地区和部门根据旗委网信办的通报,结合各自实际有针对性地加强防范,防止造成更大范围影响和损失。
4.2.3 Ⅲ、Ⅳ级响应
事件发生地区和部门在旗委网信办指导下按相关预案进行应急响应。
4.3 应急结束
4.3.1 Ⅰ级响应结束
市委网信办及时通报有关地旗区和部门。
4.3.2 Ⅱ级响应结束
旗委网信办提出建议,报乌审旗网安应急指挥部批准后,及时通报有关地区和部门,并报市委网信办。
5 恢复重建、调查与评估、经验总结
5.1 恢复重建
恢复重建工作按照“谁主管谁负责,谁运行谁负责”的原则,由事发单位负责组织制定恢复、整改或重建方案,报相关主管部门审核实拖。
5.2 调查与评估
特别重大网络安全事件由旗委网信办在市委网信办指导下,组织有关部门和旗区进行调查处理和总结评估,并按程序上报。重大网络安全事件由旗委网信办组织有关部门和地区进行调查处理和总结评估,并上报市委网信办。较大及以下网络安全事件由事件发生地区或部门自行组织调查处理和总结评估,其中重大网络安全事件相关总结调查报告报旗委网信办。总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措拖。
事件的调查处理和总结评估工作原则上在应急响应结束后30天内完成。
5.3 经验总结
网络安全突发事件应急处置工作结束后,乌审旗网安应急指挥部或旗委网信办及主管部门应分析应急经验教训,提出改进应急处置工作的建议,于应急终止后20个工作日内,完成应急总结报告,报旗委网信委。
旗委网信办组织有关地区和部门对网络安全突发事件应急处置工作中先进的经验进行交流和推广。
5.4 责任与奖惩
5.4.1 奖励
在网络安全突发事件应急处置工作中有下列表现之一的单位和个人,应依据有关规定给予奖励:
(1)出色完成应急处置任务,成绩显著的;
(2)使国家、集体及个人的财产免受损失或者减少损失,成绩显著的;
(3)对应急处置工作提出重大建议,经实施效果显著的;
(4)有其他特殊贡献的。
5.4.2 责任追究
网络安全事件应急处置工作实行责任追究制度。
在应急处置工作中有下列行为之一的,对有关责任单位和责任人员依法予以处理;其中,对国家公务员和国家行政机关任命的其他人员,分别由任免机关或者行政监察机关责令改正;情节严重或者造成严重后果的,依法给予行政处分;属于违反治安管理行为的,由公安机关依照有关法律规定予以处罚:构成犯罪的,由司法机关依法追究刑事责任:
(1)不按规定制定网络安全事件应急预案开展预防、准备工作,导致网络安全事件发生,或者未采取必要的防范措施,导致网络安全事件造成损失或增大损失的;
(2)不按规定报送和公布有关网络安全事件信息或者瞒报、谎报、迟报、漏报的;
(3)拒不执行网络安全事件应急预案,不服从命令和指挥,或者拒绝履行应急准备义务,或者在应急响应时临阵脱逃的;
(4)不及时采取措施处置网络安全事件或者处置不当,导致事件扩大,造成严重后果的;
(4)盗窃、挪用、贪污网络安全事件应急工作物资和设备的;
(5)阻碍应急处置工作人员依法执行任务或者进行破坏活动的;
(6)散布谣言,扰乱社会秩序的;
(7)有其他危害应急处置工作行为的。
6 预防工作
6.1 日常管理
各地区、各部门按职责做好网络安全事件日常预防工作,制定完善本地区本部门本行业相应应急预案,做好网络安全检查、隐患排查、风险评估和容灾备份,减少和避免网络安全事件的发生及危害,提高应对网络安全事件的能力。
6.2 演练
旗委网信办指导、协调有关部门定期组织演练,检验和完善预案,提高实战能力。各地区、各部门每年至少组织一次预案演练,模拟处置重大或较大网络安全事件,提高实践能力,检验和完善预案。各单位在演练结束后,将演练总结以书面形式报送旗委网信办备案。
6.3 宣传
旗委网信办制定应对网络安全事件的宣传教育工作计划,组织有关部门、专家、技术支撑队伍编制网络安全事件宣传资料,组织开展宣传教育活动。
各地区、各部门应充分利用各种传播媒介及其他有效的宣传形式,加强网络安全法律法规、网络安全基本知识的宣传活动。
6.4 培训
旗委网信办组织各有关单位,开展网络安全事件预案编制、风险评估、事件分析处置、安全防护等方面的专业技术培训。
各地区、各部门要将网络安全事件的应急知识列为领导干部和有关人员的培训内容,加强网络安全法律法规、网络安全知识的培训,提高防范意识及技能。
6.5 沟通与协作
旗委网信办和有关部门应与其他旗县和周边旗区网络安全事件应急机构建立经常性的联系,尤其是与网络安全事件多发的旗区及周边地区应急机构的联系,组织参加其他旗区和周边地区的网络安全事件应急处置活动,开展区域间的交流与合作。
6.6 重要敏感时期的预防措施
在国家、自治区、市和我旗重要活动、会议等重要敏感时期,各地区、各部门要加强网络安全事件的防范和应急响应,确保网络安全。旗委网信办统筹协调网络安全保障工作,在市委网信办指导下,根据需要要求有关地区、部门启动红色预警响应。有关地区、部门加强网络安全检测和分析研判,及时预警可能造成重大影响的风险和隐患。
6.7 监督检查与应急能力考评
6.7.1 监督检查
旗委网信办对网络安全事件应急、处置过程进行监督检查。
6.7.2 应急能力考评
为保障网络安全事件应急体系始终处于良好的战备状态,不断提高应急处置能力,旗委网信办定期对全旗各级、各类网络安全事件应急机构的设置、制度和工作程序的建立与执行、队伍的建设和人员培训与考核情况、应急装备和设备管理与使用情况等进行督查和能力考评。
7 保障措施
7.1 机构和人员
各地区、各部门、各单位要落实网络安全应急工作责任制,把责任制落到具体单位、具体岗位和个人,并建立健全应急工作机制。
7.2 技术支撑队伍
加强网络安全应急技术支撑队伍建设,做好网络安全事件的监测预警、预防防护、应急处置、应急技术支援工作。旗委网信办参照上级网信办的技术支撑队伍评估认定标准,制定符合我旗实际的评估认定标准,组织评估和认定我旗网络安全应急技术支撑队伍。各地区、各部门应配备必要的网络安全专业技术人才,并加强与网络安全相关技术单位的沟通、协调,建立必要的网络安全信息共享机制。
技术支撑队伍承担以下主要职责:
(1)按照乌审旗网安应急指挥部及旗委网信办的指令,开展应急救援;
(2)开展网络安全事件应急处置工作的培训;
(3)负责救援队伍设备、器材及相关软件的日常管理和维护工作;
(4)负责网络安全社会应急力量的联系和组织工作;
(5)负责协助做好网络安全事件应急演练工作;
(6)根据事发单位应急支援请求,提供应急救援服务;
(7)承担乌审旗网安应急指挥部和旗委网信办交办的其他工作。
7.3 专家队伍
建立乌审旗网络安全应急专家组,为网络安全事件的预防和处置提供技术咨询和决策建议。各地区、各部门加强各自的专家队伍建设,充分发挥专家在应急处置工作中的作用。
应急专家组承担以下主要职责:
(1)在网络安全突发事件预防和应急处置时,提供咨询和建议,必要时参与值班;
(2)在制定网络安全应急有关规定、预案、制度的过程中提供参考意见;
(3)及时反映网络安全应急工作中存在的问题与不足,并提出改进建议;
(4)对网络安全突发事件发生和发展趋势、处置措施、恢复方案等进行研究、评估,并提出相关建议;
(5)参与网络安全突发事件应急培训及相关教材编审等工作。
7.4 社会资源
从教育科研机构、企事业单位、协会中选拔网络安全人才,汇集技术与数据资源,建立网络安全事件应急服务体系,提高应对特别重大、重大网络安全事件的能力。
7.5 基础平台
旗委网信办统筹全旗网络安全预警和决策指挥能力建设,借助上级网信部门网络安全态势感知平台,实现全旗、全天候、全方位、全领域网络安全预警监测、分析研判、决策指挥、应急处置。各地区、各部门加强网络安全应急基础平台和管理平台建设,做到对本地区本部门本领域网络安全风险早发现、早预警、早响应、提高应急处置能力。
7.6 情报力量
旗人武部、政法委、公安局等有关部门加强网络安全有关情报搜集能力建设,完善情报共享机制,为网络安全应急工作提供情报支撑。
7.7 物资保障
加强对网络安全应急装备、工具的储备,及时调整、升级软件硬件工具,不断增强应急技术支撑能力。
7.8 通信保障
建立健全突发网络安全事件应急通信保障体系,确保应急通信联络和信息传递需要。
7.9 经费保障
财政部门为网络安全事件应急处置提供必要的资金保障。有关部门利用现有政策和资金渠道,支持网络安全应急技术支撑队伍建设、专家队伍建设、基础平台建设、情报力量建设、预防演练、物资保障等工作发展。各地区、各部门为网络安全应急工作提供必要的经费保障。
8 附则
8.1 预案管理
本预案原则上每年评估一次,根据实际情况适时修订。修订工作由旗委网信办负责。
各地区、各部门要根据本预案制定或修订本地区、本部门、本行业网络安全事件应急预案和有关专项应急预案,并报旗委网信办备案。
8.2 预案解释
本预案由旗委网信办负责解释。
8.3预案实拖时间
本预案自印发之日起实拖。
附件:1.网络安全事件分类
2.名词术语
3.网络和信息系统损失程度划分说明
4.典型网络安全事件应对措施
5.乌审旗网络安全事件应急处置流程图
6.常见网络安全事件应急处置流程图
附件1
网络安全事件分类
网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。
1.有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
2.网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
3.信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
4.信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
5.设备设施故障分为软硬件自身故障、外围故障设施故障、人为破坏事故和其他设备设施故障。
6.灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
7.其他事件是指不能归为以上分类的网络安全事件。
附件2
名词术语
一、重要网络与信息系统
所承载的业务与国家安全、社会秩序、经济建设、公众利益密切相关的网络和信息系统。
(参考依据:《信息安全技术信息安全事件分类分级指南》(GB/Z20986-2007)
二、重要敏感信息
不涉及国家秘密,但与国家安全、经济发展、社会稳定以及企业和公众利益密切相关的信息,这些信息一旦未经授权披露、丢失、滥用、篡改或销毁,可能造成以下后果:
1.损害国防、国际关系;
2.损害国家财产、公共利益以及个人财产或人身安全;
3.影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等;
4.影响行政机关依法调查处理违法、渎职行为,或涉嫌违法、渎职行为;
5.干扰政府部门依法公正地开展监督、管理、检查、审计等行政活动,妨碍政府部门履行职责;
6.危害国家关键信息基础设施、政府信息系统安全;
7.影响市场秩序,造成不公平竞争,破坏市场规律;
8.可推论出国家秘密事项;
9.侵犯个人隐私、企业商业秘密和知识产权;
10.损害国家、企业、个人的其他利益和声誉。
(参考依据:《信息安全技术云计算服务安全指南》(GB/T31167-2014)
附件3
网络和信息系统损失程度划分说明
网络和信息系统损失是指由于网络安全事件对系统的软硬件、功能及数据的破坏,导致系统业务中断,从而给事发组织所造成的损失,其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价,划分为特别严重的系统损失、严重的系统损失、较大的系统损失和较小的系统损失,说明如下:
1.特别严重的系统损失:造成系统大面积瘫痪,使其丧失业务处理能力,或系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大,对于事发组织是不可承受的;
2.严重的系统损失:造成系统长时间中断或局部瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所付出的代价巨大,但对于事发组织是可承受的;
3.较大的系统损失:造成系统中断,明显影响系统效率,使重要信息系统或一般信息系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所付出的代价较大,但对于事发组织是完全可以承受的;
4.较小的系统损失:造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出得代价较小。
附件4
典型网络安全事件应对措施
一、网页内容篡改事件
常见网页内容篡改事件:网页出现反动标语,破坏民族团结言论,迷信、赌博信息,谣言等。所属网站网页遭篡改时,应采取以下措施:
1.第一时间终止网站互联网服务(联系网管人员断网或拔出网线,或联系网站托管方、网群运维单位等下线网站,或协调通管部门紧急断网屏蔽网站),尽可能降低影响和损失,防止攻击者再次恶意破坏系统日志、数据等,断网后不要关闭服务器,为公安部门取证、追踪提供依据。
2.同时向网信、公安等部门报告事件情况。在相关部门完成取证、保存系统日志等工作以后,即刻开展与网站建设相关软硬件系统的修复工作,包括修补操作系统漏洞、网站开发中间件漏洞、网站自身漏洞,加强系统口令、关闭共享端口、加固安全策略、配备安全防护的软硬件等。
3.问题网站责任单位将事件的调查、系统修复情况及时报网信部门。
4.问题网站责任单位完成修复整改后,应当邀请第三方网络安全机构对问题网站进行风险评估,评估情况报网信部门,确保隐患已消除,没有高危漏洞并具备上线条件时,再投入运行。
二、大规模病毒爆发事件
当网络遭大规模病毒攻击时(如勒索病毒),应采取以下措施:
1.要第一时间物理隔离感染网络病毒设备,拨掉网线、禁用网卡、关闭无线网络,防止病毒进一步扩散;
2.请专业技术人员对局域网内每一台计算机进行病毒查杀,修补漏洞;
3.修改被感染服务器的登录密码,密码采取大小写字母、数字、特殊字符组合,至少15位以上,确保计算机安全时再接入网络;
4.修改安全策略,关闭445、139、135、3389等不必要端口;要尽量避免开放打印机共享、远程桌面等高风险端口;
5.报告网信、公安部门,联系专业机构尝试恢复文件。切勿对感染病毒的机器硬盘反复读写,可能导致本可恢复的文件彻底无法恢复。
三、信息系统瘫痪
当重要信息系统遭受攻击,系统无法正常运行时,应采取以下措施:
1.要切断信息系统与互联网的连接,防止系统遭受进一步的破坏,同步做好信息系统数据备份工作,若事态严重,及时向网信、公安等部门报告调查取证;
2.邀请信息系统运维服务机构或第三方应急技术支撑队伍,开展系统漏洞排查、整改工作。重点排查信息系统是否存在弱口令、安全策略不生效、软件系统漏洞、病毒库不升级、访问控制不全面、边界防护失效等问题;
3.开展系统修复工作,重要信息系统若修复时间超过2小时,应及时启用备用系统,恢复业务。
4.系统在上线运行前,应当进行风险评估,事发单位将整改修复情况分级报送网信部门。
四、网络中断
当地区、部门出现大面积网络中断,无法访问互联网时,应采取的措施:
1.首先联系网管人员,排除是否内部局域网故障;
2.通知所属电信运营商企业客户经理,要求开展网络通信保障工作;
3.根据网络中断影响范围,确认网络安全事件等级;
4.较大网络安全事件及以上,应当及时报送旗委网信办、旗工信和科技局;
五、信息系统高危漏洞
当责任单位收到旗委网信办发布的《网络安全风险通报》或从其他可靠途径渠道了解到所部署的系统存在安全风险时,应采取措施:
1.立即联系信息系统开发商、运维机构等相关人员,按照通报要点,逐项排查、修补高危漏洞;
2.如无维护人员或技术力量薄弱,可邀请第三方应急技术支撑单位,协助开展漏洞修补工作;遇节假日等重要时期,可采取临时断网措施,待系统修复后再上线。
3.漏洞修复完成后,信息系统在上线运行前,应当进行风险评估,收到通报后7日内,将整改情况报旗委网信办。
蒙公网安备 15062602000034号
