关于印发《海州区司法局网络安全事件应急预案》的通知

海司〔2021〕18号

关于印发《海州区司法局网络安全事件应急预案》的通知

各司法所，局机关各科室，各直属单位:

现将《海州区司法局网络安全事件应急预案》印发给你们,请结合实际，切实抓好贯彻落实。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　海州区司法局

　　　　　　　　　　　　　　　　　　　　　　　　　　　　2021年6月25日

海州区司法局网络安全事件应急预案

1总则

　1.1编制目的
　　　　为提高应对和处置网络与信息安全突发事件的能力，形成科学、有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大程度地预防和减少网络与信息安全突发事件造成的损害，保障信息资产安全，编制本预案。
　　　　1.2编制依据
　　　　依据《中华人民共和国网络安全法)》《连　云港市突发公共事件总体应急预案》《连云港市网络安全事件应急预案》等相关规定。
　　　　1.3适用范围
　　　　本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件，可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。本预案适用于我局网络安全突发事件的应急处置和恢复工作。

1.4事件分级

根据网络与信息安全突发事件的可控性、严重程度和影响范围，一般分为四级:　I级(特别重大)、II级(重大)、II1级(较大)和IV级(一般)。
　　　(1)符合下列情形之一的，为特别重大网络安全事件(I级)　:
　　　①重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫疾，丧失业务处理能力。
　　　②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁。
　　　③其他对国家安全、社会秩序、经济建设和公众利益构.成特别严重威胁、造成特别严重影响的网络安全事件。
　　　(2)符合列情形之一且未达到特别重大网络安全事件的，为重大网络安全事件(II级)　:
　　　①重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫瘓，业务处理受到极大影响。
　　　②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁。

③其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
　　　　(3)符合列情形之一且未达到重大网络安全事件的，为较大网络安全事件(III级)　:
　　　　①重要网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率，业务处理受到影响。
　　　　②国家秘密信息、重要敏感信息和关键数据丢失或被窃.取、篡改、假冒，对国家安全和社会稳定构成较严重威胁。
　　　　③其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。
　　　　(4)除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件，为一般网络安全事件(IV级)。
　　　　2组织体系与职责
　　　　2.1领导机构
　　　　局党组统一领导、处置网络安全事件工作，局成立应急处置工作领导小组(以下简称“应急领导小组”)，负责统一组织和协调我局网络安全突发事件的应急处理工作。

(1)应急领导小组成员

组长:局党组书记

副组长:分管网络安全工作的局党组成员员

成员:　局机关各科室主要负责人

　　(2)工作职责
　　　　①全面负责我局网络安全事件应急管理的领导工作，统一协调和组织开展网络安全事件应急管理工作，部署和指导应急预案和相关制度的制订和修订。
　　　　②发生信息系统突发事件时，下达应急保障任务，指挥全局应急保障行动，及时向相关部门报告有关情况。
　　　　③对应急方案的实施、计划和预算进行审议和决策。研究和评估应急体系和实施成效，部署和督查应急计划、培训、演练等事宜。
　　　　④对每次实施应急预案后的应急情况，　及时进行总结和分析，并对实施情况进行评估。
　　　2.2实施机构
　　　应急领导小组下设网络安全事件应急工作领导小组办公室(以下简称“应急办公室”)，设在局办公室，具体负责综合协调和应急处置工作。
　　　(1)应急办公室成员
　　　　办公室主任:局办公室主任

成员:办公室负责网络及系统管理、安全保密、网站维护、安全审计等工作的人员，局机关各科室负责信息化、系统维护等工作的人员。处理较大安全事件时，应急办公室可视情成立技术保障组、后勤保障组和对外发布组等应急小组。
　　　　(2)应急办公室职责
　　　　①汇总有关网络安全突发事件的各种重要信息，进行综合分析。
　　　　②及时联系相关设备厂　商、软件开发商、系统集成商、运维服务商等，为安全事件处理提供技术支持。
　　　　③开展应急先期处置和应　急保障工作，及时向应急领导小组报告有关情况。
　　　　④制定、修订应急预案，并提交应急领导小组审定与发布。定期开展应急预案的培训、演练工作，保证应急方案的可用性。
　　　　⑤负责落实各项应急措施，落实关键设备备品备件和应急器材储备。定期进行安全检测，加强预警监测能力建设，落实信息安全技术支撑机构。
　　　　⑥根据应急领导小组下达的命令和指示，负责组织指挥、协调应急保障行动，完成应急保障任务。.
　　　　⑦根据发生的安　全事件的等级，分别按照应急流程进行分析、处理、恢复、跟踪等工作，并全过程记录。

3监测、预警

局办公室负责日常的网络与信息安全技术保障工作，贯彻落实网络安全法要求，落实信息安全等级保护要求，做好网络与信息安全突发事件的隐患排查，定期开展网络与信息安全检测评估，发现问题及时采取有效措施，减少和避免网络安全事件的发生及其危害。对可能存在的风险和故障影响,及时向各部门发布预警信息。
　　　　4应急响应
　　　　4.1信息报告
　　　　网络安全事件发生后，应急办公室在做好先期处置工作的同时，遵从前述事件分级标准，对事件进行预判，立即报告应急领导小组，并及时向市网络安全安全应急管理办公室报告有关情况。报告内容包括以下要素:事件发生的时间、地点、事件基本情况、初判级别、已采取措施等。

4.2先期处置

当发生网络与信息突发事件时，应急办公室应做好先期应急处置工作，立即采取措施控制事态。先期处置应做好以下几方面(但不限于)工作:
　　　①评估信息安全事件对网络或系统数据的影响，确定有关数据是否已被信息安全事件破坏或感染，确定被破坏或感染的设备数量和范围;
　　　　②保护敏感或关键数据和重要信息系统。将关键数据转移或备份至与发生信息安全事件的系统或网络相对分离的其他介质;
　　　　③决定是否需要暂时断开发生信　息安全事件的网络或暂停系统服务;
　　　　④保留发生信息安全事件系统的当　前记录，以供后续调查，并作为日后采取跟进行动的证据;
　　　　⑤检查通过共享网络服务或任何可信赖关系与发生信息安全事件的系统连接的系统;
　　　　⑥记录这一阶段采取的措施。

4.3分级响应

(　1)　I、II、III级响应

属特别重大、重大网络安全事件的，及时启动I、II级响应工作，启用应急预案，落实国家和省组织的I级、II级响应工作。属较大网络安全事件的，及时启动III级响应工作,启用应急预案，按照市、区网络安全应急管理办公室要求开展相关工作。
　　　　(2)IV级响应.
　　　　(1)启动指挥体系应急领导小组进入应急状态，履行应急处置工作的领导、指挥、协调职责。

应急办公室进入应急状态，在应急领导小组的统一领导、指挥、协调下开展应急处置工作，实行24小时值班。
　　　　(2)通报事件动态
　　　　跟踪事态发展，及时向市网络安全应急管理办公室报告事件动态及处置进展情况，同时防范次生、衍生事件。
　　　　(3)处置实施
　　　　依据应急处置方案开展处置工作，尽快控制事态、有针对性地加强防范，防止事态蔓延，恢复受破坏网络和信息系统正常运行。保留应急恢复过程中的相关证据。
　　　　4.4安全事件应急处置

4.4.1　办公网络安全事件

(1)　接到蠕虫病毒紧急预警应急

办公室接到市委、区委网信办等安全管理机构危害严重的病毒紧急预警通知时，第一时间向应急领导小组报告预警信息。
　　　　①应急办公室根据预警通知，迅速拟定本单位病毒防范方案建议报应急领导小组，根据严重程度提出是否断开办公网络连接或暂停业务服务的建议;
　　　　②应急办公室联系服务商安排人员断开服务器网络连接，进行病毒检测、补丁安装和安全加固工作，并做好记录;
　　　　③应急办公室通知各业务处室，所有工作人员按照病毒防范方案将办公终端断开网络连接，进行病毒查杀、系统补丁安装和终端加固，办公室及时提供技术支持;

④应急办公室及时统计病毒处置情况，报告应急领导小组，认为情况严重的，应立即向公安部门报警。
　　　　⑤如果感染病毒的设备是主服务器，应急办公室应告知各单位做好相应的清查工作。

⑥对整个事件的时间、现象、处理过程作出详细记录。

(2)机关办公网终端发生大面积病毒感染

①当工作人员发现有计算机大面积被感染上病毒后，应立即向应急办公室报告。

②应急办公室将所有中毒的计算机断开网络连接，备份中毒设备的硬盘数据。
　　　　③使用杀毒软件或专杀工具对染毒计算机进行杀毒处理，同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
　　　　④如果现行反病毒软件无法清除该病毒，迅速联系防病毒厂商研究解决。

⑤应急办公室经会商，报告应急领导小组，认为情况严重的，应立即向公安部门报警。
　　　　⑥对整个事件的时间、现象、处理过程作出详细记录。
　　　(2)广域网外部线路中断应急处置
　　　　①广域网中断后，应立即向应急办公室报告。
　　　　②应急办公室接到报告后，应迅速判断故障节点，查明故障原因。
　　　　③如属我局管辖范围，由网络技术人员尽快予以恢复。
　　　　④如属通信部门管辖范围，立即与通信部门联系，要求修复。
　　　　⑤对整个事件的时间、现象、处理过程作出详细记录。
　　　(3)局域网中断应急处置
　　　　　①网络技术人员平时应准备好网络备用设备，存放在指定的位置。
　　　　　②局域网中断后，网络技术人员应立即判断故障节点，查明故障原因，并向应急办公室汇报。
　　　　　③如属线路故障，应重新安装线路。
　　　　　④如属路由器、交换机等网络设备故障，应尽快联系抢修;若无法在8小时内排除故障，应想办法联系设备厂商租借备用设备接上，并调试通畅。
　　　　　⑤对整个事件的时间、现象、处理过程作出详细记录。

　　　4.4.2信息系统安全事件
　　　(1)信息泄露应急处置
　　　①当发现信息泄露时，立即调查信息泄露的内容、波及范围、事件起因、事件性质、事件发生时间和责任人等
　　　②采取果断措施，追查泄露信息的流失渠道，收缴流失的信息资料，防止失泄密范围进一步扩大。
　　　③组织人员调查可能传播的途径与范围，防止媒体、网络对事件的不实报道和炒作。

④利用舆情监测系统，将泄露的信息内容纳入监测范围，进行24小时全网监测。若发现泄漏信息有关内容，第一时间报区委网信办、公安局等部门采取措施，尽可能控制信息传播范围，追查消息来源，锁定相关嫌疑人。
　　　　⑤对事件起因、性质、影响和责任等进行调查，提出处理意见和改进措施。
　　　　⑥实施必要的安全升级加固。
　　　(2)数据库被非法篡改或删除应急处置
　　　　①主要数据库系统应按双机热备设置。
　　　　②一旦数据库崩溃，应急值班人员应立即启动备用系统，并向应急办公室报告。
　　　　③在备用系统运行期间，联系服务商对主用系统进行维修并作数据恢复。

　　　　④如果两套系统均崩溃而无法恢复，　应立即向有关厂商请求紧急支援。
　　　　⑤对整个事件的时间、现象、处理过程作出详细记录。

(3)　应用系统遭受拒绝服务攻击应急处置

①当发现重要应用系统访问流量异常、授权用户无法正常访问，可能遭受拒绝服务攻击时，应立即向应急办公室报告，负责人在收到报告后应立刻安排技术人员赶到现场，技术人员应迅速判断是否遭到了拒绝服务攻击。
　　　　②技术人员对现场进行分析，追查攻击源，修改路由器、防火墙等设备的安全配置，缓解、消除拒绝服务攻击的影响，恢复系统正常服务。若发现外部攻击流量过大，应当立即联系通信服务商，请其协助处理。
　　　　③如认为事态严重或确认为黑客攻击的，应立即向公安部门报警，请其立案侦查。
　　　　④做好必要记录，妥善保存有关记录及日志。
　　　　⑤查找系统软件或系统配置中可能存在的安全漏洞或安全故障，确定系统遭受拒绝服务攻击的真正原因。
　　　　⑥总结事件处理情况，提出防范再度发生的解决方案。
　　　　⑦实施必要的安全升级加固。
　　　(4)系统漏洞造成业务操作失误和数据错误
　　　　①重要的软件系统平时必须存有备份，与软件系统相对应的数据必须按本单位容灾备份规定的间隔按时进行备份，并将它们保存于安全场所。
　　　　②如果存在严重漏洞，　网络技术人员应向应急办公室汇报情况，并停止该系统运行。

③应急办公室和业务系统软件开发商商议解决方案，限期修补漏洞，恢复正确的数据。
　　　　④对整个事件的时间、现象、处理过程作出详细记录。
　　　　4.4.3关键设备故障事件
　　　　核心交换机、边界防火墙、重要服务器、机房空调和主要供配电等关键设备突发故障，不能正常工作。
　　　　①关键设备损坏后，设备管理人员应立即向应急办公室负责人报告。
　　　　②应急办公室应安排人员尽快查明原因。
　　　　③如果故障设备有备件能够自行恢复的，应立即用备件替换受损部件。
　　　　④如果不能自行恢复的，立即与设备提供商或设备维保商联系，请求派维护人员前来维修。同时采取补救措施，尽可能降低事故损失。
　　　　⑤对整个事件的时间、现象、处理过程作出详细记录。
　　　　　4.5应急结束
　　　　　(1)　I、II级响应结束
　　　　由省网络安全应急办公室通报结束应急响应。
　　　　　(2)　III级响应结束
　　　　　由市网络安全应急办公室通报结束应急响应。

　　　　(3)IV级响应结束.

由区网络安全应急办公室通报结束应急响应。
　　　　5后期处置
　　　　5.1恢复与重建
　　　　在应急处置工作结束后，按照业务影响分析结果，确定优先顺序，迅速恢复网络和系统的正常运行。抓紧组织恢复受损网络或系统，减少损失，尽快恢复正常工作。
　　　　5.2调查与评估
　　　　根据突发事件涉及的网络故障和故障出现的损失程度进.行清理工作。对故障设备和相关系统进行修复和恢复，并进行调测和优化，提高抗御风险的能力。具体工作如下(但不限于):
　　　(1)核实突发事件造成的各种损失。
　　　(2)做好次生、衍生事件的发生预防工作。
　　　(3)落实资金、设备和技术保障，做好各项恢复工作，
确保计算机信息系统的正常运行。
　　　(4)根据设备损坏情况，及时做好相关设备的补充和备
分。

5.3责任与奖惩
为提高应急保障工作的效率和积极性，对在应急保障工作和应急恢复行动中表现突出的部门和个人，按有关规定给予表扬;对不作为、失职或行动迟缓造成损失的部门和个人按有关规定追究责任。
　　　　6保障措施
　　　　6.1应急保障队伍
　　　　应急办公室和相关职能部门要加强应急保障队伍的建设工作，通过设立应急业务小组，进行专业化分工，不断提高应急保障工作的有效性。
　　　　6.2宣传、培训与演练
　　　　日常应加强对计算机信息系统安全和应急保障的宣传工作，要加强对相关人员的技术培训，根据实际定期或不定期地组织突发事件应急保障演练，以保证应急预案的有效性，不断提高应急处置能力。
　　　　6.3督促检查
　　　　应急办公室负责对计算机信息系统应急保障工作进行不定期的督促检查主要督促检查内容如下.

(1)计算机信息系统各项应急保障行动方案的制定、执行情况。
(2)重要信息系统软件和数据的备份情况。
(3)应急保障所需备品、备件的储备情况。
(4)应急预案的演练情况。
(5)突发情况处理后的原因分析、责任划分、今后的改进防范措施等情况。
7附则
(1)本预案由局办公负责解释，适时更新完善。
(2)本预案自发布之日起施行。

手机扫一扫查看当前页面