1、市气象局重大社会活动期间网络安全事件应急处置预案一、编制目的为有效应对各类重大社会活动期间可能发生的信息网络系统网络安全事件,确保发生网络、信息安全问题时各项应急工作高效、有序地进行,最大限度降低影响,建立健全我局网络与信息安全事件应急工作机制,提高应对突发网络与信息安全事件能力,保障网络和信息系统的安全运行,特制定本预案。二、组织领导根据网络安全保卫工作的总体部署,成立市气象局重大社会活动信息安全领导小组(以下简称领导小组),人员组成如下:组 长: 副组长: 成 员:各县(市、区)气象局、市局各单位负责人。领导小组下设网络与信息安全领导小组办公室(简称信安办),挂靠市局信息网络与装备保障中心
2、,信息网络与装备保障中心主要负责人兼任办公室主任,具体负责日常协调工作。三、责任分工领导小组是指挥和决策机构,属于领导决策层。信安办是领导小组关于应急响应工作的日常办事机构,负责对领导小组的决策进行落实和督办,属于管理协调层。信安办下设二个应急响应组:应急响应综合组和应急响应技术组,负责应急响应综合协调和相应的应急响应工作,属于应急执行层。网络与信息安全专家组为领导小组及其办公室、各应急响应组提供应急响应咨询、论证、技术支持等辅助工作。(1)应急响应综合组 组 长: 副组长:丁光义、江彩英 成员:市局各单位负责人、各县(市、区)气象局办公室主任。(2)应急响应技术组 组 长: 副组长: 成员:
3、信息网络与装备保障中心全体人员,气象台总工、雷达站副站长、服务中心副主任、各县(市、区)气象局分管领导。(3)网络与信息安全专家组网络与信息安全专家组由市网安办相关人员、省气象局信息中心相关人员、市气象局信息网络与装备保障中心全体人员组成。四、重大网络安全突发事件处置4.1 启动条件 (1)严重影响市局核心业务,业务系统中断(或运行效率明显下降)1小时以上。(2)气象信息系统数据丢失或被窃取、篡改、假冒,对国家经济建设和公众利益构成严重威胁,或对气象业务工作产生严重影响。(3)通过气象网络、网站传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成严重危害。(4)其他对国家安全、
4、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络与信息安全事件。4.2 事件处置流程4.2.1 有害程序事件处置(1)通过网络监控系统,实时对网络系统进行检测。当网络出现丢包严重、利用率突增的情况时,综合运用各种检测工具及时发现传播源,切断其网络连接,保证其他网络的通畅。(2)判断有害程序的性质、采用的端口,然后关闭相应的端口,清除已感染机器上的相关文件,如有需要,联系有关厂商技术人员研究解决方法,必要时在网上公布该有害程序攻击信息以及防御方法。(3)确保问题已处理后才恢复其网络通信。(4)对有害程序事件发生的原因进行排查确定,必要时追究相关责任人的责任。(5)当短时间内大范围网络
5、无法恢复的或严重影响到业务正常进行的,及时告知有关业务部门,有关业务部门视情况决定是否启动业务应急预案。(6)从事故一发生到处理事件的整个过程,必须及时向领导小组汇报、解释此次事故的发生情况、发生原因、处理过程。4.2.2 网络攻击事件处置(1)发现出现网络恶意攻击、被黑客攻击修改了网页,网络受到威胁,立刻紧急切断网站服务器及网络连接,以保护重要数据及信息,保护现场,同时向信息安全领导小组办公室主任汇报情况。(2)利用监控手段和检测工具,尽快查明网络攻击事件类别,网络管理员协同有关部门共同追查定位攻击来源。 (3)信息安全领导小组会商后,如认为情况严重,则立即向公安部门或上级机关报警。(4)网
6、站管理员负责被破坏系统的恢复与重建工作。(5)当短时间内大范围网络无法恢复的或严重影响到业务正常进行的,及时告知有关业务部门,有关业务部门视情况决定是否启动业务应急预案。(6)从事故一发生到处理事件的整个过程,必须及时向领导小组汇报、解释此次事故的发生情况、发生原因、处理过程。4.2.3 信息破坏事件处置(1)发现网上出现不良信息时,应立即向信息安全领导小组通报情况;情况紧急的应立即将含有不良信息的服务器脱网,启用备份服务器,再按程序报告。(2)将被篡改、假冒、泄露、窃取的信息和其他相关系统信息作为证据进行存档,妥善保存有关记录及日志或审计记录。(3)清理不良信息,同时作好必要的记录,强化安全
7、防范措施,并将网站网页重新投入使用。(4)利用技术手段和其他方法,尽快追查信息被篡改、假冒、泄露、窃取、删除的途径和嫌疑人,必要时要追究其相关责任。(5)情况特别严重的,应立即向公安部门报警,同时向上级机关报告。(6)从事故一发生到处理事件的整个过程,必须及时向领导小组汇报、解释此次事故的发生情况、发生原因、处理过程。4.2.4 设备设施故障事件处置(1)关键设备设施应建立备份系统或措施,尽量实现热备份。当设备设施发生故障时,应立即启用备份系统或措施,并发出报警信息给相关人员。(2)发现设备设施故障后,管理员应立即判断故障节点,查明故障原因,并向网络安全领导小组办公室主任汇报。(3)判定设备设
8、施故障对业务的影响范围、程度以及事件处置所需的时间,预计在短时间内无法解决时,应及时告知有关业务部门,有关业务部门视情况决定是否启动业务应急预案。(4)如能自行修复,应立即进行处置,如属硬件设备故障,有备件的立即更换修复,否则应立即与设备提供商联系更换设备,并调试畅通。(5)从事故一发生到处理事件的整个过程,必须及时向领导小组汇报、解释此次事故的发生情况、发生原因、处理过程。4.2.5 灾害性事件处置(1)当发生自然灾害危及网络与信息安全时,根据灾害发生时情况,在确保在场人员人身安全前提下,首先保障数据安全,其次是设备安全。具体方法包括:安全关机、数据设备强行关机、数据备份物理转移等。(2)及
9、时查明灾害对网络及信息系统造成的破坏,调配资源,组织抢修,各有关单位应积极配合。(3)从事故一发生到处理事件的整个过程,必须及时向领导小组汇报、解释此次事故的发生情况、发生原因、处理过程。4.3 结束条件(1)确认技术故障已排除,可恢复至正常工作状态。(2)确认各业务系统已得到有效恢复,并运行稳定。(3)领导小组确定网络与信息安全事件已得到控制或预期处置结果后,宣布应急行动结束。4.4 事件总结重大网络与信息安全事件由业务科组织有关部门对事件的起因、性质、影响、责任等进行调查,提出处理意见和改进措施,并上报领导小组。一般网络与信息安全事件由信息网络与装备保障中心组织进行调查、总结和评估。五、本
10、单位信息系统应急处置清单序号系统名称等保等级应急处置人联系方式1省气象信息通信网络系统市分系统2级2市气象信息综合分析处理和预报预测系统2级3全省天气会商与会议系统市分系统2级4市气象服务系统2级5市气象办公系统2级6市气象局门户网站2级7雷达分析处理与显示系统2级8省气象信息通信网络系统市分系统的县(市、区)分系统2级9县(市、区)气象服务系统2级10防恐作战装备(移动气象站等)六、注释重大网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障事件处置和灾害性事件等。(一)有害程序事件:分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。(二)网络攻击事件:分为拒绝服务攻击事件、域名劫持事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。(三)信息破坏事件:分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。(四)设备设施故障事件:分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设施故障。(五)灾害性事件:指由自然灾害等其他突发事件导致的重大网络安全事件。 7 / 8
