平武县人民政府办公室关于印发平武县电子政务外网与信息安全事件应急预案的通知

    各乡镇人民政府，县级各部门，各企事业单位：

经县政府领导同意，现将《平武县电子政务外网与信息安全事件应急预案》印发你们，请抓好贯彻执行。

目   录

一、目的..........................................................................................3

二、编制依据..................................................................................3

三、适用范围..................................................................................3

四、工作原则..................................................................................4

五、组织机构及职责......................................................................4

六、事件分类分级..........................................................................5

七、预防预警...................................................................................7

八、应急响应...................................................................................8

九、后期处置...................................................................................12

十、保障措施...................................................................................12

十一、培训、演练、更新、管理..................................................13

附件:政务外网与信息安全应急响应流程图.................................14

平武县电子政务外网与信息安全事件应急预案

一、目的

为完善平武县电子政务外网与信息安全应急响应机制，规范电子政务外网与信息安全应急响应工作内容和流程，科学应对网络与信息安全突发事件，有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响，保障电子政务外网系统的实体安全、运行安全和数据安全。

以防范为主，加强监控。开展安全教育和培训工作，提高信息安全防护意识和水平，积极做好日常安全工作，提高应对突发电子政务外网与信息安全事件的能力。建立完善的信息系统安全监控和管理机制，保证对电子政务外网与信息安全事件做到快速觉察、快速反应、及时处理、及时恢复。

二、编制依据

根据《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《平武县突发事件总体应急预案（试行）》等有关法律法规和规定要求，结合我县实际，制定本预案。

三、适用范围

适用于平武县电子政务外网和信息系统遭受各种人为攻击、破坏或自然毁损等灾情，造成系统中断、设备损坏、数据丢失等故障的网络与信息安全事件，均适用本预案。

四、工作原则

统一领导、分级负责、以人为本、预防为主、加强管控、依靠技术、整合资源、快速反应、协同合作。

五、组织机构及职责

建立应急团队，在发生信息系统突发事件时，能够做到及时实施专项应急处置工作。应急团队包括应急领导小组、应急执行保障小组。

应急领导小组组成

组  长：郑茂君  县委常委、副县长

副组长：薛  成  县政府办公室主任

成  员：潘  峰  县工信科技局局长

鄢加明  县大数据中心主任

王  静  县网络舆情监测中心主任

黄  乔  县网安大队大队长

涂  杰  县大数据中心副主任

应急领导小组的职责

（一）负责信息系统突发事件的应急指挥、组织协调和过程控制。

（二）负责重大应急响应状态的发布、降级或解除。

（三）向县政府主要领导和分管领导及时报告应急处置进展情况和总结报告。

应急执行保障小组组成

组  长：潘  峰  县工信科技局局长

鄢加明  县大数据中心主任

副组长：任久志  县工信科技局副局长

涂  杰  县大数据中心副主任

成  员：陈  玲  县工科局工信管理股股长

王  丽  县舆情监测中心工作人员

文  甫  县网安大队副大队长

张文静  县大数据中心工作人员

张泞滟  县大数据中心工作人员

强  强  县电信公司总经理

谢中东  县移动公司总经理

应急执行保障小组职责

（一）实施信息系统突发事件的具体应急处置工作。

（二）收集分析信息系统突发事件应急处置过程中的数据信息和日志。

（三）向应急领导小组报告应急处置进展情况和事态发展情况。

（四）建立与电力、通讯、县委网信办、公安和消防等相关外部机构的应急协调机制和应急联动机制。

六、事件分类分级

（一）事件分类

1.电子政务外网与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。

2.有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

3.网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

4.信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

5.信息内容安全事件是指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。

6.设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

7.灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。

（二）事件分级

信息安全事件对业务可能造成的影响或已经造成影响的严重程度并结合资产的重要程度, 把网络与信息安全事件分为四级：Ⅰ级（特别重大网络与信息安全事件）、Ⅱ级（重大网络与信息安全事件）、Ⅲ级（较大网络与信息安全事件）、Ⅳ级（一般网络与信息安全事件）。

I级（特别重大网络与信息安全事件）：电子政务外网网络发生大规模信息安全事件，事态发展超出管理单位的控制能力，对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的突发公共事件，超过工作时间16小时不能恢复。 II级（重大网络与信息安全事件）：电子政务外网网络发生大规模信息安全事件，对国家安全、社会秩序、经济建设和公共利益造成严重损害，超过工作时间8小时未能恢复，需要其他单位协同处置的突发公共事件。

III级（较大网络与信息安全事件）：电子政务外网网络发生大规模信息安全事件，对业务使用单位造成一定损害，但在工作时间8小时内可以恢复的恶意攻击行为。

Ⅳ级（一般）网络与信息安全事件）：电子政务外网网络发生大规模信息安全事件，受到一定程度的损坏，对所在用户的权益有一定影响，但在工作时间4小时内可以恢复。

七、预防预警

（一）预防措施

1.加强信息系统日常管理，做好政务外网和信息系统终端管理、系统监控和运行管理、数据备份和安全管理等工作，加强网络监控（运行状态）工作，做到早发现、早报告、早处置，防患于未然。

2.加强对各类网络与信息安全突发公共事件和可能引发突发网络与信息突发公共事件的有关信息的收集、分析、判断和监测。当检查到有网络与信息安全突发公共事件发生时，立即向应急领导小组报告。报告内容包括信息来源、影响范围、事件性质、事件发展趋势和采取措施建议等。

3.要求提供互联网接入和内部光纤网络接入的网络运营商必须保证负责其线路的正常、稳定运行。若运营商方有临时线路维护或设备变更，一定程度影响政务外网信息系统正常运行，要求运营商必须提前2小时通知大数据中心。

（二）信息报告

当政务外网与信息安全事件发生时，必须在10分钟内电话（只需报送事件时间、地点、已造成后果等基本情况）、30分钟内书面报告（包括事件特征、事件性质、影响范围、事件趋势和拟采取措施等）县大数据中心。

（三）预警处理与发布

1.对于可能发生或已经发生的电子政务外网与信息安全突发公共事件，立即采取措施控制事态，并向应急领导小组汇报情况。

2.应急领导小组接到报告后，应迅速召开应急领导小组会议，研究确定网络与信息安全突发公共事件的等级，根据具体情况启动相应的应急预案，并向相关部门进行汇报。

八、应急响应

（一） 应急处置方法

当发生电子政务外网与信息安全事件时，首先应区分事件性质，然后再根据不同情况分别进行处置。

1.根据事件性质，网络与信息安全事件可划分为以下三类：

A.自然灾害。指地震、雷电、火灾、洪水等灾害引起的计算机网络与信息系统的损坏。

B.事故损毁。指电力中断、网络损坏或是软件、硬件设备故障等引起的计算机网络与信息系统的损坏。

C.人为破坏。指人为破坏网络线路、通信设施，黑客攻击、病毒攻击、恐怖袭击等引起的计算机网络与信息系统的损坏。

2.针对上述各类事件的处置办法：

（1）属A类事件时，应根据实际情况，在保障人身安全的前提下，首先保障数据安全，然后再保障设备安全（包括硬盘拔出与保存、设备断电与拆卸、搬迁设备等）。

（2）属B类事件时，应迅速分析故障特征，查明原因，若不能独立处理，必须立刻通知相关单位（供电局、网络运营商、软硬件产品维护单位等），马上组织人员进行系统修复。

（3）属C类事件时，应首先判断破坏来源与性质，然后断开影响安全的网络设备，断开与破坏来源的网络连接，跟踪并锁定破坏来源IP地址或其它用户信息，修复被破坏的信息，恢复信息系统。

（二）故障处置方法

1.有害信息处置

首先，信息技术人员负责对政务外网各系统进行全时监控；其次，尽快采取屏蔽、删除等有效措施对有害信息进行清理，并做好相关记录；再次，采取技术手段追查有害信息来源；此外，如发现涉及国家安全、稳定的重大有害信息，需及时向县公安局报告。

2.黑客攻击处置

当发现系统信息被篡改或通过入侵检测系统发现黑客攻击时，首先将被攻击服务器等设备从网络中隔离；然后采取技术手段追查非法攻击来源；应急执行保障小组召开信息安全评估会，评估破坏程度，并视其严重程度，决定是否需向公安局报警；最后，恢复或重建被破坏的系统。

3.病毒侵入处置

当发现计算机系统感染病毒后，首先，立即将该计算机从电子政务外网上物理隔离，同时备份硬盘数据；然后再启用防病毒软件进行杀毒处理，并使用病毒检测软件对其他机器进行病毒扫描和清除；一时无法查杀的新病毒，要迅速与相关病毒软件供应商联系解决；如感染病毒的是服务器或主机系统，要立即告知使用部门并做好相应清查工作。

4.软件遭受破坏性攻击处置

重要软件系统及其相对应的数据必须存有备份，一旦软件遭受破坏性攻击，应立即报告和停止系统运行；然后检查日志等资料，确认攻击来源，并采取有效措施，恢复软件系统和数据。

5.数据库安全防范处置

一旦数据库崩溃，首先立即通知使用单位暂缓使用，然后再组织人员对主机系统进行维修；如遇无法解决的问题，立即请求数据库维保单位协助解决。系统修复启动后，将数据库备份取出，并按照要求将其恢复到主机系统中；

6.网络线路中断处置

网络线路中断后，应迅速判断故障节点，查明原因、尽快修复。如属网络运营商负责维护运营的线路，立即与电信运营商维护部门联系，及时进行修复。如属局域网内部线路故障，应立即判断故障节点，查明故障原因，迅速组织修复；如属路由器、交换机等网络设备故障，立即与机房网络维保单位联系修复；如属路由器、交换机配置文件破坏，迅速导出最新配置按照要求重新配置；

7.设备安全处置

发现服务器等关键设备损坏，应立即查明设备故障原因；能自行恢复的，立即用备件替换受损部件；难以自行恢复的，立即与设备维保单位联系，请求派维修人员前来维修；若设备一时不能修复，应及时采取必要措施，并告知用户单位暂缓使用。

8.外电中断处置

外电中断后，UPS系统自动切换到备用电源，检查是否切换成功。迅速查明断电原因，如因内部线路故障，马上组织恢复；如因供电部门原因，立即与供电单位联系，尽快恢复供电；如被告知将长时间停电，需立即启动柴油发电机发电，如遇柴油发电机无法工作应做好以下工作：预计停电1小时以内的，由UPS供电；预计停电1-4小时的，关掉非关键设备，确保各主机、路由器、交换机供电；预计停电超过4小时的，做好数据备份工作，及时关闭有关设备。

9.其他故障处置上述没有列出的、属不确定因素造成的灾害，可根据总的安全原则，结合具体情况做出相应处理；不能处理的可咨询相关专业人员。

（三）应急联动

当发生Ⅱ级以上（含Ⅱ级）网络与信息安全事件时，由县大数据中心牵头联合组织专业技术小组、信息安全事件单位迅速开展应急救援的处置工作。

九后期处置

（一）善后处理

在应急处置工作结束后，应迅速采取措施，抓紧组织抢修系统，尽快恢复正常工作。统计各种数据，查明原因，对事件造成的损失和影响以及恢复重建能力进行分析评估，认真制定恢复重建计划，并迅速组织实施。

（二）调查评估

在应急处置工作结束后，应立即组织有关人员组成事件调查组，对事件发生及其处置过程进行全面的调查，查清事件发生的原因及影响情况，总结经验教训，写出调查评估报告。

十、保障措施

（一）应急队伍保障

组建电子政务外网与信息系统安全应急处置队伍（包括网络安全分析人员、应急响应人员、网络恢复人员等），制定相应培训和演练计划，提高应对网络与信息安全事件的能力。

（二）设备保障

结合实际工作需要，提前配备应急处置工作所必须的设备或工具软件，并加强应急处置工具及设备的维护调试，保证其随时处于可用状态。特别是一些容易坏损的设备和模板，更要提前配置备件，以便应急时可及时替代更换。

（三）数据保障

重要信息系统应建立日常备份系统和相关工作机制，保证重要数据受到破坏后可紧急恢复。备份系统应具有一定兼容性，在特殊情况下各系统之间互为备份。

（四）监督检查制度

应加强对信息安全应急工作的日常监督和检查，做到居安思危、常备不懈。

十一、培训、演练、更新与管理

（一）预案培训

应急领导小组应将《平武县电子政务外网安全事件应急预案》列入年度培训计划，组织人员认真学习，做到人人知晓。综合部应对部门培训情况进行抽查。

（二）预案演练

本预案每年度组织一次应急演练，演练可在全县范围内进行，也可按部门分批次进行。

应急演练由应急工作组负责组织，演练结束后应急工作组成员对演练效果、存在问题、改进措施等进行评估和总结。

（三）预案更新

根据国家、省、市相关预案修订情况和工作实际，适时组织预案更新。

（四）预案管理

本预案自印发之日起实施。本预案由平武县大数据中心负责解释。

附件