巴中市恩阳区审计局网络安全事件应急预案

第一章  总  则

    第一条  为完善网络安全事件应急工作机制，提高应对网络安全事件能力，预防和减少网络安全事件造成的损失和危害，保证网络安全事件应急处置工作迅速、高效、有序执行，依据《国家网络安全事件应急预案》（中网办发〔2017〕4号）和《审计署办公局关于印发审计署网络安全事件应急预案的通知》（审办计发〔2017〕57号）及《四川省审计局办公室关于印发四川省审计局网络安全事件应急预案的通知》（川审办〔2017〕73号）制定本预案。

    第二条  坚持统一指挥、密切协同、快速反应、科学处置；坚持以预防为主，预防与应急相结合；坚持谁主管谁负责、谁运行谁负责等原则，充分发挥各方面的力量，共同做好网络安全事件的预防与处置工作。

    第三条  本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对局网络和信息系统或者其中数据造成危害，对社会造成不良影响的事件。本预案适用于网络安全事件的应对工作。

 

第二章  组织机构与职责

    第四条  成立网络安全应急办公室（以下简称“网络安全应急办”），负责局网络安全事件预防与应急处置工作，包括网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。

    第五条  网络安全应急办设在信息中心，具体承担局网络安全事件应对工作。信息中心负责人全面负责处置网络安全事件的组织、指挥、协调工作。下设应急工作组和技术支持组。

（一）信息中心主要职责：

1．组织落实局信息化建设的部署要求，协调和调动各部门应对网络安全事件应急相关工作；

2．网络安全风险评估控制、隐患排查和整改；

3．制定完善局网络安全事件应急预案，指导县（区）审计机关制定（完善）网络与信息安全事件应急预案；

4．组织协调局网络安全事件应急预案演练；

5．网络安全事件的宣传教育与培训；

6．局网络安全事件应急支撑队伍的组建。

（二）应急工作组职责：

应急工作组负责现场应急指挥处置。应急工作组在信息中心授权下，行使现场应急指挥、协调、处置等职责。

1．根据事件性质，迅速调集相关人员组成事件处置工作组，为网络安全应急办提供决策支持；

2．根据网络安全应急办指令，负责现场应急指挥工作，针对网络安全事件发展的事态，制定和调整相应网络安全事件处置、恢复和预防方案；

3．核实应急终止条件并向网络安全应急办请示应急终止；

4．收集、整理应急处置过程资料，编写现场应急工作总结报告；

5．协调相关部门和单位，确保技术支撑专家第一时间到达现场；

6．负责现场处置所需要的计算机、网络等设备设施的到位和畅通。

（三）技术支持组职责：

组建局网络安全事件应急技术支撑队伍。从网络信息安全相关技术服务单位中选择相关专家和技术人员，与我局有关单位技术人员组成局网络安全应急技术支撑队伍。

1．为网络安全事件应急处置方案提供技术支持和建议；

2．为应急预案及管理工作提出建议，参与应急工作重大事项的决策和实施。

 

第三章  事件分类分级

    第六条  网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件等。

（一）有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件；

（二）网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件；

（三）信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件；

（四）信息内容安全事件是指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件；

（五）设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障；

（六）灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件；

（七）其他事件是指不能归为以上分类的网络安全事件。

    第七条  局网络安全事件分为四级：由高到低划分为特别重大（Ⅰ级）、重大（Ⅱ级）、较大（Ⅲ级）、一般（Ⅳ级）4个级别，其中特别重大（Ⅰ级）、重大（Ⅱ级）遵循《国家网络安全事件应急预案》分级标准进行分级，较大（Ⅲ级）、一般（Ⅳ级）分级标准由局按照严重程度、可控性和影响范围等因素确定。

    第八条  符合下列情形之一的，为较大级网络安全事件：

      （一）机房、网络配线间火灾或面临火灾威胁；

      （二）因断电、水害、设备失灵等，造成局内部网络5个工作日以上的中断，对工作造成严重影响；

      （三）数据丢失或系统故障，影响系统正常运行且5个工作日内不能恢复，对工作造成严重影响；

      （四）局网站内容被恶意篡改，互动交流栏目发布有害信息，对工作造成严重影响；

（五）病毒和木马入侵导致局内部网络30%以上的服务器、计算机感染，对工作造成严重影响；

（六）除上述情况外，其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络与信息安全事件。

      第九条  符合下列情形之一的，为一般级网络安全事件：

      （一）因断电、水害、设备失灵等，造成局内部网络1个工作日以上的网络中断，对工作造成一定影响；

      （二）数据丢失或系统故障，影响系统正常运行且1个工作日内不能恢复，对工作造成一定影响；

      （三）局官方网站被攻击导致1个工作日以上不能正常发布内容，对工作造成一定影响；

    （四）病毒和木马入侵导致局审计专网10%以上的服务器、计算机感染，对工作造成一定影响；

（五）除上述情况外，其他对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络与信息安全事件。

第四章  监测与预警

    第十条  建立网络安全事件信息接收机制，信息中心通过审计行业网络与信息安全通报机制渠道接收预警信息、事件信息：

（一）巴中市公安局恩阳分局网安支队等部门向局告知的预报信息；

（二）国家互联网应急中心、国家信息安全漏洞共享平台等机构通过新闻媒体公开发布的网络安全事件预警信息；

（三）巴中市审计局下发的网络安全事件预警信息；

（四）经第三方测评单位风险评估认定的可能发生的网络安全事件。

    第十一条  按照“谁主管谁负责、谁运行谁负责”的要求，信息中心负责局机关审计专网局域网和因特网的网络安全监测工作，并督促和指导各县（区）的网络安全监测工作；各县（区）负责本单位的网络安全监测工作。

    第十二条  信息中心负责统筹组织开展网络和信息系统的网络安全监测工作，网络安全监测工作包括：应用系统、系统软件、网络及网络设备、安全设备、主机、外设、终端、电力、空调等基础环境的可用性和连续性的监测。

    第十三条  局网络安全事件预警等级遵循《国家网络安全事件应急预案》的分级标准，由高到低依次为：红色预警、橙色预警、黄色预警和蓝色预警，分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。

    第十四条  信息中心负责组织对局监测信息进行研判，对需要立即采取防范措施的，立即向局领导报告，同时组织实施对应的预防工作并结合事件具体情况在局发布黄色及以下预警。

对可能发生重大及以上网络安全事件的信息及时向巴中市恩阳区应急办报告。

    第十五条  信息中心负责组织局的网络安全事件应急响应工作。

对国家应急办发布关于网络安全红色预警事件，局网络安全应急办实行24小时值班，应急工作组全员保持通信联络畅通。网络安全应急办组织应急支撑队伍开展应急处置或准备、风险评估和控制工作。发现重要情况向市应急办报告。

对国家、省应急办发布的关于网络安全橙色预警事件，局网络安全应急办组织开展应急响应工作，结合实际情况及时开展风险评估、应急准备和风险控制工作。

对国家、省、市应急办发布的关于网络安全黄色和蓝色预警事件，局网络安全应急办启动相应应急预案，协调应急工作组、技术支持组开展应急处置。重要情况向市应急办报告。

第十六条  对局发布的关于网络安全黄色及以下预警事件，局网络安全应急办启动相应应急预案，指导组织开展预警响应，并督促和指导各县（区）审计局开展预警响应；各县（区）审计局负责本单位的网络安全预警响应工作。局网络安全应急办根据实际情况，报请局办公室审核后，确定是否解除局应急办发布的黄色及以下预警。

 

第五章  应急处置

    第十七条  局网络安全事件应急处置工作在局网络安全应急办统一调度下开展工作。

发生较大级网络安全事件时，事故发现人必须在第一时间向信息中心负责人报告；信息中心负责人必须在30分钟内向分管局领导报告。

发生一般级网络安全事件时，事故发现人必须在30分钟内向信息中心负责人报告；信息中心负责人必须在1小时内向分管局领导报告。

信息中心负责人、相关小组人员进入应急状态，组织开展勘察、研判、处置、恢复、信息通报和管理应急状态，必要时组织相关网络信息安全技术服务单位专家参与。

    第十八条  较大级网络安全事件、一般级网络安全事件处置完毕后，局网络安全应急办应当组织编制网络安全事件处置报告，并视情况向市应急办报告。

网络安全事件处置报告应结合分析系统日志、运行记录、值班记录等资料，评估事件造成的后果、产生的影响，统计处置所发生的费用和造成损失，分析事件产生的原因，提出应当采取规避的措施。

    第十九条  有害程序事件的紧急处置措施。

（一）危害系统运行的病毒暴发。

1．网络管理员得到多个病毒事件报告或者得到重要应用服务器感染病毒报告后，应当指导计算机或者服务器的使用者将染毒计算机和服务器从网络上隔离，启用反病毒软件杀毒；

2．当认为查杀病毒可能对服务器数据造成损害时，网络管理员通知系统管理员，对服务器数据进行备份；

3．启用最新版本反病毒软件查杀，无效时，通知反病毒软件公司、技术支撑专家队伍，提供病毒样本，寻求支持解决；

4．确认反病毒软件有效时，网络管理员经信息中心负责人批准发布公告，组织全网计算机统一清查杀毒；

5．网络管理员分析查明病毒暴发原因。必要时可请技术支撑单位参与分析研究。原因查明后，视需要向市相关机构报告。

（二）重要系统被植入木马或间谍程序。

1．抓取能够证明被植入木马或间谍程序的界面，注意保存好相关系统日志；

2．分析研判，慎重确定重要系统确实被植入木马或间谍程序；

3．分析研究系统运行或者存储的信息性质、一旦被泄露后的危害，评估风险；

4．分析追查木马或间谍程序，必要时可请信息安全机构和技术支撑单位参与分析研究。查明后，视需要向市相关机构报告或向公安部门报警。

    第二十条  网络攻击事件的紧急处置措施。

（一）网络管理员发现网络攻击后，抓取能够证明被网络攻击的界面，注意保存好相关系统日志；

（二）将被攻击计算机和服务器从网络上隔离开来。采取查杀病毒或者升级漏洞补丁方式，避免再次遭受攻击；

（三）分析研究攻击性质，评估风险。必要时可请信息安全机构和技术支撑单位参与分析研究。查明后，视需要向区相关机构报告或向公安部门报警。

    第二十一条  信息破坏事件的紧急处置措施。

（一） 局官方网站内容被恶意篡改。

1．按照局网站安全管理有关规定，由办公室和信息中心人员负责监测网站信息内容，并做好监测记录；

2．发现有关局官方网站内容被恶意篡改，应急工作组应切断网站与因特网的联接，并按程序报告（同时向信息中心负责人，办公室负责人报告）；

3．应急工作组应立刻组织现场负责小组开展实地处理，启动局备份网站，技术支持组持续对网站进行监测；

4．抓取保存被恶意篡改内容的全部网页页面，编制抓取过程记录，注意保存好系统日志；

5．网站运维人员删除恶意信息，并重新加载正确信息，经检查发布无误、排除相关攻击。请示分管局领导同意后，恢复网站访问；

6.  分析追查非法信息来源，必要时可请相关信息安全技术服务单位参与分析研究。查明后，视需要向市相关机构报告或向公安部门报警。

（二）因误删除造成电子数据丢失。

1．因误删除造成电子数据丢失时，操作人员应立即停止操作，并向电子数据审计科负责人报告；

2．查看备份系统中是否有备份数据，其他介质中是否有可使用的备份数据。如有备份数据，电子数据审计科负责恢复数据，恢复完成后调试系统至运行正常；

3．数据无法从备份系统中或其他介质中自行恢复，但人工恢复工作量可以接受的，电子数据审计科负责组织人工恢复；无法人工恢复的，电子数据审计科负责寻求专业数据恢复公司恢复。

（三）因硬盘故障造成电子数据丢失。

1．因硬盘故障造成电子数据丢失时，操作人员应立即停止操作，并向电子数据审计科负责人报告；

2．检查数据是否完整、RAID机制是否起作用。如数据完整，更换硬盘，监视系统至运行正常；

3．检查磁盘阵列有关的配置，属于配置破坏造成的数据丢失，电子数据审计科应备份原配置文件，保存好系统日志，重新配置，调试至系统正常，属于磁盘阵列硬件故障的，信息中心负责联系相关厂商维修；

4．查看备份系统中是否有备份数据，其他介质中是否有可使用的备份数据。如有备份数据，电子数据审计科负责恢复数据，恢复完成后调试系统至运行正常；

5．数据无法从备份系统中或其他介质中恢复，但人工恢复工作量可以接受的，电子数据审计科负责组织人工恢复；无法人工恢复的，电子数据审计科负责寻求专业数据恢复公司恢复。

    第二十二条  信息内容安全事件的紧急处置措施

局门户网站等重要信息系统有恶意信息发布的处置。

（一）接到有关信息系统存在恶意信息要求采取措施的情况通报后，或者办公室、信息中心人员发现恶意信息，应联系相关股室立即撤下恶意信息，同时报告信息中心负责人；

（二）信息中心负责抓取保存恶意信息的全部网页页面，编制抓取过程记录，注意保存好系统日志；

（三）信息中心负责分析追查非法信息来源，必要时可请信息安全机构参与分析研究。查明后，向分管局领导或相关部门报告。

    第二十三条  设备设施故障的紧急处置措施

（一）系统软件故障。

1．审计管理系统、审计实施系统等所使用的操作系统、数据库管理系统、中间件等系统软件发生故障影响系统运行时，系统管理员查明故障原因，判断故障模块；

2．如属于配置的原因，应备份原配置文件，保存好系统日志，重新配置，调试至系统正常；

3．不能判断故障原因时，联系应用软件开发集成商、系统软件开发商，提出解决方案。

（二）应用软件故障。

1．审计管理系统、审计实施系统等发生影响运行的故障时，系统管理员查明故障原因，判断故障模块；

2．检查系统数据保存、备份情况是否正常，必要时采取补救措施；

3．先行停用部分功能，维持系统其他功能正常运行；

4．联系应用软件开发集成商，提出解决方案。

（三）机房空调非正常停机。

1．如机房空调系统出现故障后，导致机房温湿度无法达到正常范围内，机房管理员向信息中心负责人报告，同时采取开门窗降温等措施，在尽量保持主要业务网络畅通的情况下，关闭部分网络设备、部分服务器，及时联系精密空调维保厂商处理相关故障；

2．空调正常运行后，开启关闭的设备和服务器，机房管理员监视机房温度维持在正常范围。

（四）通信设备故障或线路中断。

1．路由器等通信设备发生故障，或者ISP运营商的通信线路中断，造成审计专网中断运行时，网络管理员应迅速确认故障产生节点；

2．属于路由器等通信设备发生故障，应立即与相关厂家联系维修，必要时联系相关厂家提供应急设备；

3．属于ISP运营商的通讯线路中断，应立即与相关通信网络提供商联系，要求查明原因，恢复线路。

（五）网络设备故障。

1．防火墙、交换机等网络设备发生故障造成审计专网中断运行时，网络管理员应迅速确认故障节点，尽快排除故障；

2．确认属于设备硬件故障后，应立即与相关厂家联系维修，必要时联系相关厂家提供应急设备；

3．确认属于设备配置文件破坏后，应备份原配置文件，保存好系统日志，重新配置，调试恢复。

（六）服务器故障。

1．服务器发生故障造成审计专网应用中断时，相关管理人员应迅速确认故障节点，尽快排除故障；

2．确认属于服务器硬件故障后，应注意保存磁盘数据，避免反复重启，并立即与相关厂家联系维修；

3．使用替代服务器，调试后投入使用。

    第二十四条  灾害性事件的紧急处置措施。

（一）发生火灾时的紧急处置措施。

1．机房内发生火警时，置身起火现场的人员在确保自身安全的前提下呼喊提醒同事协助，立即切断主机房供电，并报告信息中心负责人及消防部门等，信息中心负责人向分管局领导报告相关情况及处理措施；

2．初期火灾不能扑灭时，全部工作人员有组织地撤出火灾现场；

3．信息中心人员应配合消防队员的工作，听从统一指挥进行扑救；

4．火灾扑灭后，协助消防部门保护现场，查明起火原因，清理现场，尽可能保全设备资产和信息资源；

5．办公楼其他部位发生火警时，信息中心人员在时间许可的情况下应关闭电源、房门后撤离，以减少火灾殃及机房等重要区域、重要设施设备的可能性。

（二）发生断电时的紧急处置措施。

1．未接到通知的情况下发生外电源中断，机房管理人员应立即查明原因，并向信息中心负责人报告；

2．如因大楼内部线路故障，联系有关人员迅速恢复；如属于外部供电环节的原因，应立刻与相关部门联系，确定恢复来电时间，如果需长时间停电，应做如下安排：

（1）预计停电1小时以内，由UPS供电，机房管理人员监控机房温湿度情况，并根据实际情况关闭部分设备；

（2）预计停电超过1小时，信息中心负责人应立即向办公室及分管局领导报告，经批准后关停机房网络系统。

3．信息中心负责关闭机房网络系统及其它相关设备，并配合办公室通知相关股室关闭有关系统并保存相关数据；

4．恢复供电后，信息中心负责启动机房空调、网络系统、服务器等相关设备，监视至系统重新正常运行；

5．接到外电源中断通知，机房管理员应提前做好正常关闭设备的准备，恢复电源后，启动设备并监测各设备是否都工作正常。

（三）发生水害时的紧急处置措施。

1．如果机房发生漏水，应确定漏水位置，对漏水源进行快速处理，如不能处理，应联系相关部门人员立刻进行现场处理，并报告信息中心负责人；

2．如办公楼内发生自来水、污水泄漏，或因办公楼窗户开启大量雨水可能进入机房时，机房管理人员应立即关闭机房电源并通知信息中心负责人应立即联系办公室负责人并向分管局领导报告；

3．确认水害消除，达到设备和线路所需要的干燥程度时，恢复供电和系统运行，机房管理员监视机房温度维持在正常范围。

    第二十五条  其他事件的紧急处置措施。

（一）人身触电。

1．机房间、配电间发现人身触电，应立即切断电源或者采取安全方式使触电人脱离电源；

2．触电人身体遭遇伤害的，及时呼叫120进行救治；

3．信息中心负责人组织查明触电原因，采取相关措施并向分管局领导报告。

（二）由各类紧急情况次生、衍生的对关键基础设施、信息系统造成危害的紧急情况。

1．信息中心负责人召集会议，研究次生、衍生紧急情况的原因，找出主要矛盾，部署处置顺序。必要时可以局部或者全部停止系统运行；

2．相关股室根据商定的处置顺序，分头解决问题；

3．联合调试至系统恢复正常。

    第二十六条  日常工作中遇到与本预案相似情形但不能判定是否属于紧急情况的，先行按照一般网络安全事件处置。

 

第六章  调查与评估

    第二十七条  网络安全事件处置完毕，局网络安全应急办应组织对应急响应工作进行分析和回顾，形成总结报告，总结经验并部署采取适当的后续措施。

    第二十八条  对应急响应工作进行分析和回顾包括：

（一）应急响应工作的充分性和针对性；

（二）应急事件发生的原因、数量及频率；

（三）应急事件处置的经验和教训；

（四）应急事件的趋势信息；

（五）网络信息系统中潜在的类似隐患。

    第二十九条  网络安全事件处置完毕，局网络安全应急办应组织对应急响应工作有效性和实效性进行评估，提出改进内容。

 

第七章  预防工作

    第三十条  信息中心负责局网络安全事件日常预防工作，定期检测排查网络安全隐患，开展风险评估和容灾备份工作，不断完善网络安全信息通报机制，提高网络安全应对能力，减少和避免网络安全事件的发生与危害。

    第三十一条  信息中心负责局网络安全应急预案的演练工作，每一年选择一个专题开展一次应急演练，根据演练结果评估应急预案并进一步完善。

    第三十二条  信息中心配合办公室、法规科等单位负责局的网络安全事件预防和处置有关法律、法规和政策的宣传。办公室应每年开展一次网络安全事件应急知识培训，提高网络安全防范意识及技能。

    第三十三条  在国家、省重要活动、会议等敏感时期，局网络安全应急办加强网络安全的检测和分析研判，及时预警可能造成的重大影响的风险和隐患。

信息中心负责在国家、省重要活动和会议前，按照相关主管部门的要求，委托安全机构对局因特网网站开展渗透测试或开展防护演练。按照有关部门预警要求，信息中心及时组织相关人员实行24小时现场或电话值班制度，及时发现和处置网络安全事件隐患。

第八章  保障措施

第三十四条  信息中心每年将网络安全事件应急经费列入计算机网络运行维护项目。

第三十五条  信息中心配合局办公室与有关部门要建立对外合作渠道，必要时通过对外合作共同应对网络与信息安全突发事件。

第三十六条  在局统一领导下，信息中心与公安局、网信办、保密委等加强网络与信息安全有关情报搜集能力建设，为网络与信息安全应急工作提供情报支撑，做到早发现、早预警、早响应，提高应急处置能力。

    第三十七条  实行网络安全事件处置责任追究制。对迟报、谎报、瞒报和漏报网络安全事件，造成不良后果的，按照局有关规定处理。

 

第九章  附  则

    第三十八条  本预案由信息中心负责解释。

第三十九条  本预案由信息中心制定并组织实施，每年信息中心组织对本预案进行评估，并根据实际情况进行修订。本预案自公布之日起执行。