天津市和平区发展和改革委员会

网络信息安全及应急处置预案

 

为科学应对网络突发事件，形成科学、有效、反应迅速的应急工作机制，有效预防、及时控制和最大限度地降低网络系统各类突发事件的危害和影响，保障诚信办网站平台系统安全，提高处置网络突发事件的能力，特制定本预案。

一、适用范围

本预案适用于和平区信用信息共享平台和“信用中国（天津和平）”网站发生或可能发生网络突发事件时的应急处置工作。

二、组织机构及职责

区发展改革委为区信用信息共享平台和信用门户网站主管部门，并成立和平区发改委网络安全工作领导小组，主要负责人任组长，负责网络安全的总体管理工作；分管副主任为副组长，负责直接指导管理工作；科室负责人、区信用信息共享平台和“信用中国（天津和平）”网站运维人员以及联通公司相关技术人员按职责分工负责具体的应急处置执行工作。

三、事件分级

根据网络安全事件的危害程度，分为重大、较大和一般网络安全事件。

（一）重大网络安全事件

符合下列情形之一的，为重大网络安全事件：

1.由于网络、硬件故障，导致网站无法访问，时间超过24小时，造成重大影响。

2.由于受到网络攻击，导致网站首页被篡改，显著位置出现虚假、不良、反动信息，造成重大影响。

3.由于信用信息共享平台系统故障，导致信用信息共享平台功能无法使用，时间超过24小时，造成重大影响。

4.其他造成重大损失或不良影响的网络安全事件。

（二）较大网络安全事件

符合下列情形之一的，为较大网络安全事件：

1.由于网络、硬件故障，导致网站无法访问，时间超过2小时，造成较大影响。

2.由于受到网络攻击，导致网站子栏目被篡改，出现虚假、不良或反动信息，造成较大影响。

3.由于信用信息共享平台系统故障，导致信用信息共享平台功能无法使用，时间超过2小时，造成较大影响。

4.其他造成较大损失或不良影响的网络安全事件。

（三）一般网络安全事件

符合下列情形之一的，为一般网络安全事件：

1.由于网络、硬件故障，导致网站无法访问，时间超过30分钟，造成不良影响。

2.由于受到网络攻击，导致网站新闻页被篡改，出现虚假、不良或反动信息，造成不良影响。

3.由于信用信息共享平台系统故障，导致信用信息共享平台功能无法使用，时间超过30分钟，造成不良影响。

4.其他造成损失或不良影响的网络安全事件。

四、监测预警

（一）平台巡检

1.应用服务器状态检查

每日09:00、16:00检查平台服务器的运行情况，包括但不限于CPU使用率、硬盘使用率、内存使用率等。

2.网站页面及可用性检查

每日08:30、15:00检查网站是否正常访问、页面是否发生篡改，各栏目加载是否正常，功能模块是否正常工作。

3.支撑软件运行状态检查

每日10:00、16:00检查数据库、中间件等支撑软件运行状态。

4.系统日志检查

每日10:00、16:00检查平台系统日志，分析错误信息、警告信息，排查处理潜在风险隐患。

5.数据库检查

每日10:00检查数据库运行、连接情况，发现问题进行优化。

（二）安全监测

1.网站漏洞扫描

对网站页面进行漏洞扫描，检测网站页面代码及应用漏洞。

监测频率：每年1次

2.错误和失效链接

检查网站上的链接地址是否有指向错误地址和无法访问的情况。

监测频率：每天1次

3.可用性监测

模拟用户访问，对网站进行可用性监测。

监测频率：每2小时

4.流量监测

通过云防火墙监测网站数据流量过程中是否有恶意攻击IP，发现后进行IP地址屏蔽。

监测频率：每1小时

5.web漏洞扫描

对Web服务器进行安全扫描，及时发现存在的安全漏洞，并指导修复。

监测频率：每年1次

（三）预警响应

运维人员每日监测平台及网站运行状态，对系统运行环境存在的安全风险及其可能造成的影响进行分析评估，发现网络安全事件第一时间向网络安全工作领导小组汇报。

汇报安全事件信息时，应当说明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和有关建议，并做好记录。

五、应急处置

科室负责人和运维人员确认网络安全事件级别及类型，上报网络安全工作领导小组，并根据实际情况启动应急流程，按照预定流程执行，及时化解系统运行风险，并保存有关证据。

（一）先行处置

系统运维人员快速定位问题，对故障进行应急修复和处置，采取一切必要措施降低故障影响面，并第一时间将问题反馈给网络安全工作领导小组。

（二）响应分析

网络安全事件应急响应分为三级：1级、2级、3级，分别对应已经发生的重大、较大、一般事件的应急响应。事件的响应等级按照“事件分级”标准判定。

（三）启动响应

1级、2级事件经网络安全工作领导小组批准后启动，运维人员实行24小时值班，保持联络通畅，同时按相关要求，及时将重要情况上报网络安全工作领导小组。

3级事件经科室负责人批准后启动，由运维人员开展事件响应、处理及恢复，同时将处理情况上报网络安全工作领导小组。

（四）事件处置

科室负责人和运维人员确定事件类型，按照事件类型，迅速采取措施，并及时将事态发展变化、处置进展情况、相关舆情报网络安全工作领导小组。

（五）结束响应

安全事件的影响和危害得到控制或消除，通知网络安全工作领导小组，1级、2级响应经网络安全工作领导小组批准结束，网络安全事故处置完毕后，由科室负责人及网站运维人员记录应急处置过程，形成应急处置报告，报告内容包括时间、地点、影响范围、应对处置、改进措施等，并将应急处置报告及时报送网络安全主管部门。3级响应由科室负责人批准结束并报网络安全工作领导小组。

六、处置措施

（一）平台及网站出现非法言论时的紧急处置措施

1.信用信息共享平台由平台技术维护人员定时密切监视信息内容，“信用中国（天津和平）”网站由网站技术维护人员定时密切监视信息内容。

2.发现非法信息时，相应的技术维护人员应立即停止网站对外开放，并向安全领导小组汇报，接着登录后台，删除该非法信息。

3.平台及网站技术维护人员应妥善保存相关记录及日志或审计记录，并向安全领导小组汇报。

4.当遇技术维护人员在2小时内无法处理的问题时，则应协调相关人员排查并解决问题，每1小时向安全领导小组汇报进展情况，直至问题解决。

5.安全领导小组收到技术维护人员的情况汇报后，应及时组织会商，如认为情况严重，应及时向有关上级机关和公安部门报警。

（二）网站遭受黑客攻击时的紧急处置措施

1. 当网站技术维护人员发现网页内容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时，应先行停止网站对外开放，并向安全领导小组汇报。接着在十分钟内与平台技术维护人员和云服务平台维护人员取得联系，并将被攻击的服务器等设备从网络中隔离出来，保护现场，若经评估，受攻击的影响在2小时内不能解除，则每1小时向安全领导小组汇报进展情况，直至问题解决。

2. 问题处置成功后，技术维护人员应将问题处置结果向安全领导小组汇报，并提交问题处置报告。

3. 技术维护人员负责被破坏系统的恢复与重建工作。

4. 安全领导小组应协同有关部门共同追查非法信息来源。

5. 经安全领导小组会商后，如认为情况严重，则立即向公安部门或上级机关报警。

（三）病毒安全紧急处置措施

1. 当平台或网站技术维护人员发现服务器主机感染病毒后，应立即将该服务器从网络上隔离出来，网站暂不对外开放，并向安全领导小组汇报。

2. 技术维护人员对该服务器设备的硬盘进行数据备份，并立即联系安全处置的其他相关人员，启用反病毒软件对该机进行杀毒处理，同时利用病毒检测软件对其他机器进行病毒扫描和清除工作。

3. 若技术维护人员经评估，2小时内无法清除该病毒，则每1小时向安全领导小组汇报进展情况。若经确认无法查杀该病毒，应做好相关记录，同时立即向安全领导小组报告，并迅速联系有关厂商研究解决。

4. 安全领导小组相关负责人员在接到通报后，应尽快赶到现场，或者立即通过网络远程及时处置和解决。

5. 病毒被彻底查杀后，技术维护人员应将问题处置结果向安全领导小组汇报，并提交问题处置报告。

6. 经安全领导小组会商后，如认为情况极为严重，应立即向公安部门或上级机关报告。

7. 如果感染病毒的设备是服务器或者主机系统，经安全领导小组组长同意，应立即告知各信源单位做好相应的清查工作。

（四）服务器软件系统遭受破坏性攻击的紧急处置措施

1. 服务器上所有重要的软件系统日常须存有备份，与软件系统相对应的数据必须有多日备份，并将其保存于安全处。

2. 一旦服务器软件系统遭到破坏性攻击，平台/网站技术维护人员和云服务平台运维人员应先停止网站对外开放，并向安全领导小组汇报。接着技术维护人员负责软件系统和数据的恢复。若经评估，在2小时内无法将系统、数据恢复正常的，则每1小时向安全领导小组汇报进展情况，直至攻击被解除，系统、数据恢复正常。

3. 攻击被彻底解除后，技术维护人员通过检查日志等资料，确认攻击来源，向安全领导小组提交问题处置报告。

4. 经安全领导小组会商后，如认为情况极为严重，应立即向公安部门或上级机关报告。

（五）数据库安全紧急处置措施

1. 技术维护人员日常要定期对各数据库系统进行数据库备份，备份放在云机房存储。

2. 若发现数据库崩溃，技术维护人员应立即停止网站对外开放，并向安全领导小组报告，同时通知各信源单位暂缓上传、上报数据。

3. 技术维护人员要协调安全处置的其他人员对主机系统进行维修，如2小时内无法解决问题，需及时向安全领导小组汇报，后续每1小时向安全领导小组汇报进展情况，直至数据库系统恢复启动。

4. 数据库系统修复启动后，相应的技术维护人员将数据库备份取出，按照要求将其恢复到主机系统中。

5. 数据库备份成功恢复到主机系统后，技术维护人员应向安全领导小组汇报，并提交处置报告。

6. 如遇备份无法恢复，技术维护人员应立即向有关厂商请求紧急支援。

（六）广域网外部线路中断紧急处置措施

1. 安全处置人员发现广域网主线路中断后，应立即向安全领导小组报告。云服务平台维护人员和信息中心相关人员应立判断故障节点，查明故障原因后，尽快与其他相关领导和工作人员研究恢复措施。

2. 如属区政府管辖范围，由云服务平台维护人员协同区信息中心相关人员予以恢复。如遇无法恢复的情况，尽快向有关厂商请求恢复。

3. 广域网恢复正常后，云服务平台维护人员应通知平台/网站技术维护人员，并向安全领导小组汇报。

4. 经安全领导小组组长同意，应通告各单位相关原因，并暂缓上传、上报数据。

（七）局域网中断紧急处置措施

1. 发现局域网中断后，应立即向安全领导小组报告。云服务平台维护人员和信息中心相关人员应立即判断故障节点，查明故障原因。

2. 如属线路故障，云服务平台维护人员应重新安装线路。

3. 如属路由器、交换机等网络设备故障，云服务平台维护人员应立即更换备用设备并设备提供商联系，并调试畅通。

4. 如属路由器、交换机配置文件破坏，云服务平台维护人员应迅速按照要求恢复或重新配置，并调试畅通。如遇无法解决的技术问题，立即向上级单位或有关厂商请求支援。

5. 局域网恢复正常后，云服务平台维护人员应通知平台/网站技术维护人员，并向安全领导小组汇报。

（八）设备安全紧急处置措施

1. 小型机、服务器等关键设备损坏后，云服务平台维护人员应立即停止网站对外开放，并向安全领导小组报告，接着查明设备损坏原因。

2. 若能自行恢复，云服务平台维护人员应立即用备件替换受损部件。

3. 若不能自行恢复，云服务平台维护人员应立即与设备提供商联系，请求派维修人员前来维修。

4. 若设备2小时内无法修复，云服务平台维护人员应向安全领导小组领导汇报，后续每1小时向安全领导小组汇报进展情况，并联系平台/网站技术人员，通知信源单位暂缓上传、上报数据，直至设备恢复正常。

七、后期处置

（一）调查总结

网络安全事件应急响应结束后，科室负责人和运维人员要及时调查突发事件的起因（包括直接原因和间接原因）、经过、责任，评估突发事件造成的影响和损失，总结安全事件防范和应急处置工作的经验教训，提出处理意见和改进措施，在应急响应结束后10个工作日内将网络和数据安全事件处置情况报网络安全工作领导小组，由网络安全工作领导小组汇总分析研究后形成报告，报送网络安全主管部门。

（二）事件通报

科室负责人和运维人员尽快将事件原因、性质、影响、处置结果报网络安全工作领导小组，并组织运维团队对故障发生前所进行过的业务操作进行检查，核对业务数据是否正确或有无缺失，不正确或有丢失的，立即更正或补录，确保数据的正确和完整。

（三）奖惩问责

对在网络和信息系统应急事件处置中作出突出贡献的集体和个人，提出表彰奖励建议；对玩忽职守，造成不良影响或严重后果的，追究其责任。

八、预防与保障措施

（一）完善制度措施

提升网络安全技术手段，不断完善网络安全防护技术措施，进一步提高应对网络安全事件的能力。完善系统和数据备份机制，保障重要数据在受到破坏后可紧急恢复。

（二）定期开展自检

每年最少开展一次网络安全自查和风险评估，根据服务器运行状态及时升级扩容相关计算和存储资源，及时消除隐患和风险。

（三）完善预警机制

完善安全事件预测预警机制，包括平台和网站事故征兆预警，以及突发的可能对平台和网站产生重大影响的事件警报。

（四）强化安全教育

每年至少组织一次信息网络安全教育和培训，提升相关人员的信息安全防范意识和能力。

（五）组织应急演练

每年至少组织一次网络安全事件应急演练，提高网络安全事件应对能力。