政务公开
中心简介
部门领导
部门机构
信息公开年度报告
信息公开指南
信息公开目录
统计公报
规划计划
财政预算
应急预案
行政职权
您的位置:政务公开 > 应急预案
阜新市住房公积金管理中心网络与信息安全应急预案
来源:办公室    时间:2017/3/17
    为了建立健全中心网络与信息安全应急响应工作机制,根据《中华人民共和国计算机信息系统安全保护条例》、《公安部计算机病毒防治管理办法》《中华人民共和国计算机信息网络国际联网安全保护管理办法》、《辽宁省内乡与信息安全事件应急预案》《辽宁省突发事件应对条例》《阜新市人民政府突发公共事件总体应急预案》《关于加强和改进突发事件信息报告工作的通知》《阜新市网络与信息安全应急预案》等有关法规文件精神,结合中心实际情况,特制定本预案。

一、指导思想

维护安全、健康、有序的网络环境,保证网络平台和信息技术支撑中心日常运营、管理、宣传的各项工作正常高效的运行。建立和完善信息安全监控体系,加强对网络与信息安全隐患的日常监测,建立完善的信息系统安全监控和管理机制,保证对网络与信息安全事件做到快速觉察、快速反应、及时处理、及时恢复。

二、适用范围

凡在中心系统范围内发生的严重影响网络与信息系统正常运行,造成系统中断、系统破坏、数据破坏或者国家秘密信息被窃取、泄露等,对社会稳定或公众利益等方面造成不良影响以及造成一定程度经济损失的重大网络与信息安全突发事件,适用本预案。主要有:

1、有害程序事件:指计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其他有害程序事件。

2、网络攻击事件:指中心网络与信息系统因病毒感染、非法入侵等造成中心网站或部门二级网站主页被恶意篡改、交互式栏目和邮件系统发布有害信息;应用服务器与相关应用系统被非法入侵,应用服务器上的数据被非法拷贝、篡改、删除;在网站上发布的内容违反国家的法律法规、侵犯知识版权并造成严重后果等,由此导致的业务中断、系统宕机、网络瘫痪等情况。

3、设施设备故障事件:指中心网络与信息系统因网络设备和计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。

4、信息破坏事件。指信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

5、信息内容安全事件。指通过网络传播法律法规禁止信息,组织非法串联,煽动集会游行、和炒作敏感问题并危害国家安全、社会稳定和公共利益的事件。

6、灾害事件:指因洪水、火灾、雷击、地震、台风等外力因素导致网络与信息系统损毁,造成业务中断、系统宕机、网络瘫痪等情况。

三、组织机构

1.中心信息化工作领导小组负责中心网络与信息安全应急工作的组织领导。

2.信息处作为职能部门负责中心网络与信息安全的防护实施。

四、防护措施

   1.中心网络现有和以后新建的网络通信平台、应用平台、业务系统和信息系统,参照国家有关信息安全等级保护的要求,按照最终确定的保护等级采取相应的安全保障措施。不断完善网络安全防御系统,包括防火墙、入侵检测系统、网络杀毒系统、中心内部网络分布式防御系统等,并对网络设备的安全性进行合理配置,根据实际需要做好升级更新工作。

   2.建立健全安全事件预警预报体系,严格执行中心网络与信息安全管理制度,常年坚持中心网络安全工作值班制度。加强对中心网络与中心网站等重点信息系统的监测、监控和安全管理,做好相关数据日志记录,设立内容过滤系统,确定合理规则,对中心网络进出信息实行过滤及预警。实行信息网上发布审批制度,对可能引发中心网络与信息安全事件的有关信息,要认真收集、分析、判断,发现有异常情况时,及时处理并逐级报告。

  3.做好服务器及数据中心的数据备份及登记工作,建立灾难性数据恢复机制。一旦发生中心网络与信息安全事件,立即启动应急预案,采取应急处置措施,判定事件危害程度,并立即将情况向有关领导报告。在处置过程中,应及时报告处置工作进展情况,直至处置工作结束。

    4.特殊时期,可根据信息化领导小组的统一要求和部署,由信息处进行统一安排,组织专业技术人员对中心网络和信息数据采取加强性保护措施,对中心网络进行不间断的监控。

五、处置流程

(一)实施预警信息等级制度,按照事件严重性和紧急程度及对社会影响的大小,分为以下五级:

一级(特别重大):

1、信息系统中断2小时以上,影响人数10万人以上

2、信息系统中的数据丢失或被窃取、篡改、假冒,对社会稳定构成特别严重的威胁,或导致1亿元以上人民币的经济损失

3、通过网络传播反动信息、煽动性信息、涉密事件、谣言等,对国家安全和社会稳定构成特别严重危害的事件

4、其他对国家、社会、单位利益构成严重威胁,造成特别严重影响的信息安全事件。

二级(重大):

1、信息系统中断1小时以上,影响人数1万人以上

2、信息系统中的数据丢失或被窃取、篡改、假冒,对社会稳定构成特别严重的威胁,或导致1000万元以上人民币的经济损失

3、通过网络传播反动信息、煽动性信息、涉密事件、谣言等,对国家安全和社会稳定构成特别严重危害的事件

4、其他对国家、社会、单位利益构成严重威胁,造成特别严重影响的信息安全事件。

三级(较大):

1、信息系统中断造成较严重影响的

2、信息系统中的数据丢失或被窃取、篡改、假冒,对社会稳定构成特别严重的威胁,或导致100万元以上人民币的经济损失

3、通过网络传播反动信息、煽动性信息、涉密事件、谣言等,对国家安全和社会稳定构成特别严重危害的事件

4、其他对国家、社会、单位利益构成严重威胁,造成特别严重影响的信息安全事件。

四级(一般):

本级网络与信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有一定的影响或威胁,对国家安全、社会秩序、经济建设和公共利益产生一定的危害。

当发生以上网络与信息安全事件时,启动本预案,并向中心应急领导小组报告。

(二)预案启动

1、在发生中心网络与信息安全事件后,网络信息处应尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围和评估事件带来的影响和损害,确认为中心网络与信息安全事件后,对事件进行处置和上报。

2.应急处置

根据事件引发原因分为灾害类、故障或攻击类两种情况,初步确定应急处置方式,区别对待。

1)灾害事件:根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。

2)故障或攻击事件:判断故障或攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质分别采用以下方案:

A、病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时请有关技术人员协助,寻找并公布病毒攻击信息,以及杀毒、防御方法。

B、外部入侵:判断入侵的来源,区分外网与内网,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外网入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和带来恶劣影响。

C、内部入侵:查清入侵来源,如IP地址、所在办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备。

D、网络故障:判断故障发生点和故障原因,能够迅速解决的尽快排除故障;必要时向权威部门求助技术援助,并优先保证主要应用系统的运转。

E、其它未列出的不确定因素造成的事件,可根据总的安全原则,结合具体的情况,做出相应的处理。不能处理的及时咨询信息安全顾问。

3)后续处理

A、安全事件进行最初的应急处置以后,应及时采取行动,抑制其影响的进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小。

B、安全事件被抑制之后,通过对有关事件或行为的分析结果,找出其根源,明确相应的补救措施并彻底清除。

C、在确保安全事件解决后,要及时清理系统、恢复数据、程序、服务,恢复工作应避免出现误操作导致的数据丢失。重要信息系统均应建立异地容灾备份系统和相关工作机制,保证重要数据在受到破坏后,可紧急恢复。各容灾备份系统应具有一定兼容性,在特殊情况下各系统间可互为备份。

4)记录上报

网络与信息安全事件发生时,应及时向中心领导和信息化领导小组汇报,并在事件处置工作中作好完整的过程记录,及时报告处置工作进展情况,保存各相关系统日志,直至处置工作结束。

5)结束响应

系统恢复运行后,信息处对事件造成的损失、事件处理流程和应急预案进行评估,对响应流程、预案提出修改意见,总结事件处理经验和教训,撰写事件处理报告,同时确定是否需要上报该事件及其处理过程,需要上报的应及时准备相关材料;属于重大事件或存在非法犯罪行为的,第一时间向公安机关网络监察部门报案。

六、保障措施

中心网络与信息安全应急处置是一项长期的、持续的、跟踪式的、发展变化的工作,是有组织的科学与社会行为,必须做好各项应急保障工作。

1.队伍保障

重视信息安全队伍的建设,不断加强信息安全人才培养,进一步强化信息安全宣传教育,努力建设一支高素质、高技术的信息安全核心人才和管理队伍,并不断提高工作人员的信息安全防范意识和技术水平,确保安全事件应急处置过程和重建工作中技术人员的在岗与防护能力。加强应急力量配备,指定专人负责,并开展技术培训和应急演练,提高应急响应技术队伍素质,保证应急情况下应急机制的迅速启动和有效处置。

2.技术保障

全面的技术资料是高效的应急响应工作的前提和基础,应急技术资料是网络和信息系统重要技术信息,包括网络拓扑结构、重要系统或设备的型号及配置(操作系统及版本号、应用软件及版本号等)、主要设备厂商信息等。信息中心应将这些信息建立技术档案并及时更新,以保证与实际系统的一致性。应急响应技术队伍应注意跟踪最新的技术发展动态,收集、整理其他应急响应相关工具,包括文件完整性检测工具、木马、后门检测工具等等。对于病毒库、脆弱性评估系统插件库等应及时更新。聘请信息安全顾问为应急处置过程和重建工作提供咨询和技术支持。

3.资金保障

建立信息网络预留硬件、软件和应急救援设备等应急物资储备。信息处应根据中心网络与信息系统安全预防和应急处置工作的实际需要,提出本年度应急处置工作相关设备和工具软件所需经费,并上报财务处纳入年度财政预算,给予资金保障。在网络与信息安全突发事件发生时,应急物资储备可由领导小组办公室调度使用。

4.安全培训

定期举办中心职工网络与信息安全知识培训,加强教职工和学员的计算机操作、信息技能、网络和信息安全等相关知识的宣传普及,增强预防意识和简单应急处置能力。

 

阜新市住房公积金管理中心版权所有 中国阜新辽ICP备14002431号-1