- 索 引 号: sm08125-0200-2023-00004
- 备注/文号: 泰统〔2023〕17号
- 发布机构: 泰宁县统计局
- 公文生成日期: 2023-05-30
- 有效性:有效
- 有效性:有效
- 有效性:失效
- 有效性:废止
按照《三明县统计局网络与信息系统安全应急预案(试行)》(明统办〔2023〕13 号)要求,经研究,现将《泰宁县统计局网络与信息系统安全应急预案(试行)》印发给你们,请认真抓好贯彻落实。
泰宁县统计局
2023年5月30日
泰宁县统计局网络和数据安全事件应急预案
(试行)
一、总则
(一)编制目的
(二)编制依据
(三)适用范围
(四)工作原则
二、事件分级
三、组织机构与职责
(一)领导机构与职责
(二)技术部门职责
(三)各股室(队、中心)职责
(四)各乡(镇)统计站职责
四、监测与预警
(一)预警分级
(二)预警监测
(三)预警研判和发布
(四)预警响应
(五)预警解除
五、应急处置
(一)事件报告
(二)应急响应分级
(三)应急响应
(四)应急结束
六、评估与总结
七、预防工作
(一)日常管理
(二)应急演练
(三)培训和宣传
(四)重要敏感时期的预防控制
八、保障措施
(一)机构和人员
(二)技术支撑队伍
(三)物资保障
(四)经费保障
(五)通信联络保障
九、附则
(一)责任与奖惩
(二)预案管理
一、总则
(一)编制目的
建立健全统计网络和数据安全事件应急工作机制,提高网络和数据安全事件应对能力,保障统计重要网络和信息系统安全运行,预防和减少统计网络和数据安全事件造成的损失和危害,保护公众利益,维护国家安全、公共安全和社会秩序。
(二)编制依据
依据《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规和《信息安全技术信息安全事件分类分级指南》《国家网络安全事件应急预案》《统计网络和数据安全事件应急预案(试行)》等规章制度以及网络和数据安全监测预警和应急处置有关工作规范,结合统计工作实际,制定本预案。
(三)适用范围
本预案所指网络和数据安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对统计工作或社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。
本预案适用于全县统计部门网络和数据安全事件的应对工作。其中有关信息内容安全事件的应对遵循国家有关要求,国家秘密信息事件的应对遵循国家保密有关法律法规要求。
(四)工作原则
坚持统一领导,分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责;坚持上下联动,信息共享,各单位各司其职,充分发挥各方面力量,共同做好网络和数据安全事件的预防和处置工作,最大程度地减少网络和数据安全事件造成的危害和影响。
二、事件分级
网络和数据安全事件分为四级:特别重大、重大、较大和一般网络和数据安全事件。
(一)符合下列情形之一,为特别重大网络和数据安全事件:
1.联网直报系统县级节点、统计业务主干网遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。
2.国家秘密信息和核心统计数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。
3.其他对国家安全、经济建设和社会秩序构成特别严重威胁、造成特别严重影响的统计网络和数据安全事件。
(二)符合下列情形之一,为重大网络和数据安全事件:
1.联网直报系统县级节点、统计业务主干网和统计虚拟化平台等重要信息系统因发生有害程序事件、网络攻击事件、信息破坏事件、设备设施故障事件或灾害性事件等,导致系统在年定报等重要数据生产期间中断运行24小时以上或局部瘫痪,统计数据生产能力和服务能力受到极大影响,造成严重后果。
2.个人信息、县级以上集中存储的统计工作基础数据和重要统计数据大规模丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。
3.其他对国家安全、经济建设和社会秩序构成严重威胁、造成严重影响的统计网络和数据安全事件。
(三)符合下列情形之一,为较大网络和数据安全事件:
1.联网直报系统县级节点、统计业务主干网和统计虚拟化平台等重要信息系统因发生有害程序事件、网络攻击事件、信息破坏事件、设备设施故障事件或灾害性事件等,导致系统在年定报等重要数据生产期间中断运行12小时以上,明显影响系统效率,统计数据生产能力和服务能力受到影响。
2.个人信息、县级以上集中存储的统计工作基础数据和重要统计数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较大威胁。
3.其他对国家安全、经济建设和社会秩序构成较大威胁、造成较大影响的统计网络和数据安全事件。
(四)除上述(一)(二)(三)情形外,对国家安全、经济建设和社会秩序构成一定威胁、造成一定影响的统计网络和数据安全事件,为一般网络和数据安全事件。
三、组织机构与职责
(一)领导机构与职责
泰宁县统计局网络安全领导小组、数据安全工作领导小组(以下统称县局网络和数据安全领导小组)负责全面领导统计网络和数据安全事件应对工作。发生特别重大或重大统计网络和数据安全事件时,县统计局以网络和数据安全领导小组成员为基础成立应急指挥部,负责组织指挥和协调应急处置工作。
泰宁县统计局网络安全领导小组办公室(以下简称县局网安办)负责组织、指导、监督统计网络和数据安全事件应对工作,保持与省统计局网安办、市委网信办、县委网信办等网络与数据安全主管部门等应急组织的密切联系。
(二)技术部门职责
县统计局计算站牵头负责建立应急联络机制,开展风险监测预警、研判、应急处置、信息上报和共享,在预防和调查评估等工作中提供技术支持;负责统一组织联网直报系统县级节点、普查数据处理系统、统计业务主干网和统计虚拟化平台等系统的预防、监测、报告和应急处置工作;牵头会同综合股负责本单位所管理的统计数据汇聚对接平台、官网等系统的网络和数据安全事件的预防、监测、报告和应急处置工作;负责与信息系统建设单位共同做好监测和应急处置工作;负责指导局各股(室)、各乡(镇)统计站网络和数据安全事件应急体系建设工作。
(三)县统计局各股(室)职责
县统计局各股(室)负责组织本股(室)自行建设、运行管理的网络和信息系统的网络和数据安全事件预防、监测、报告和应急处置工作,负责本股(室)所管理数据的安全事件预防、监测、报告和应急处置工作。配合开展特别重大、重大网络和数据安全事件的应急处置工作,配合开展应急演练工作。
县统计局综合股会同有关部门负责组织对重大网络和数据安全事件的舆论引导工作,指导协调有关单位回应事件引发的社会关切,把握正确舆论导向。
(四)各乡(镇)统计站职责
各乡(镇)统计站在县统计局领导下,按照县统计局和属地网络与数据安全主管部门的工作要求,负责本地区本系统的网络和数据安全事件的预防、监测、督导、报告和应急处置工作,结合实际建立完善监测预警和应急处置机制,做好技术保障。
四、监测与预警
(一)预警分级
网络和数据安全事件预警等级分为四级,由高到低分别为:红色预警、橙色预警、黄色预警和蓝色预警,分别对应特别重大、重大、较大和一般网络和数据安全事件。
(二)预警监测
县统计局计算站负责县局统计业务网、全县统计业务网络出入口及本地部署的信息系统的预警监测。有自行建设运行网络和信息系统(含上云的信息系统)的单位负责本单位网络和数据安全事件的预警监测。
各乡(镇)统计站负责组织本地区本系统网络和信息系统的预警监测。对可能发生或已经发生网络和数据安全事件的,第一时间报县局网安办。
(三)预警研判和发布
红色预警由国家应急机构负责发布。
国家统计局网信办、数据管理中心确定和发布橙色预警和涉及多省(区、市)统计部门的黄色和蓝色预警。
省局网安办负责对预警信息组织研判,认为需要立即采取防范措施的,应当及时上报省局网络和数据安全领导小组并通知有关部门和单位,对可能发生重大及以上网络和数据安全事件的信息及时上报国家统计局网信办、数据管理中心,确定和发布涉及多市(县、区)统计部门的黄色和蓝色预警。
市统计局组织本地区本系统预警信息研判和事前防范,对初判可能发生较大及以上网络和数据安全事件的预警信息立即上报省局网安办,确定和发布本地区本系统的黄色和蓝色预警。
县统计局组织本地区本系统预警信息研判和事前防范,对初判可能发生较大及以上网络和数据安全事件的预警信息立即上报县局网安办,确定和发布本地区本系统的黄色和蓝色预警。
预警信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布部门等。
(四)预警响应
1.红色、橙色预警响应。县局网安办负责组织落实有关防范措施和应急工作方案,实行24小时值班,相关人员保持通信联络畅通。协调有关单位加强事件监测和事态发展信息搜集工作,做好风险评估、应急准备和风险控制工作,及时将重要情况上报县局网络和数据安全领导小组及相关应急机构。
2.黄色、蓝色预警响应。各乡(镇)统计站及县局各股(室)启动相应应急预案,组织开展预警响应工作,及时将事态发展重要情况上报县局网安办。
(五)预警解除
红色预警由国家应急机构负责发布解除信息。橙色预警由国家统计局网信办负责发布解除信息。黄色、蓝色预警由发布单位确定并解除信息,并报县局网安办。
五、应急处置
(一)事件报告
网络和数据安全事件发生后,事发单位应立即启动应急预案,第一时间采取断网断电等措施处置,并向上级单位报告事件信息。
对初判结果可能为特别重大或重大事件的,应于20分钟内电话、40分钟内书面报告至县局网安办。判定为较大事件的,应于1小时内电话、2小时内书面报告至县局网安办。书面报告可填报《网络和数据安全事件报告表》(见附件)。
县局网安办组织研判事件级别,对研判结果可能为特别重大、重大网络和数据安全事件的,立即上报市局网络和数据安全领导小组和相关应急机构。
(二)应急响应分级
网络和数据安全事件应急响应级别分为四级:Ⅰ级响应、Ⅱ级响应、Ⅲ级响应和Ⅳ级响应,分别对应特别重大、重大、较大和一般网络和数据安全事件。Ⅰ级为最高响应级别。
(三)应急响应
1.Ⅰ级、Ⅱ级响应
国家启动Ⅰ级响应涉及统计部门时,国家统计局应急指挥部进入应急状态,在国家应急指挥部的统一领导、指挥、协调下,县网安办负责组织全县统计部门开展应急处置工作或支援保障工作,安排24小时专人值班,跟踪事态发展,检查影响范围,保留相关证据,及时将事态发展变化情况、处置进展情况报市局网安办。
2.Ⅲ级、Ⅳ级响应
(1)启动指挥体系。属于重大统计网络和数据安全事件的,县局应急指挥部及时启动Ⅱ级响应,进入应急状态,按照相关应急预案,统一领导、指挥和协调事件应急处置工作。
(2)掌握事件动态。根据县局应急指挥部工作部署,事发单位组织开展应急处置工作,跟踪事态发展;有关单位立即全面了解主管范围内的重要网络和信息系统是否受到事件的波及或影响。事态发展变化情况及影响范围及时报县局网安办。
(3)决策部署。县局应急指挥部组织有关单位研究应对措施,及时将事态发展变化情况报市统计局网安办,必要时通报情况。有关单位根据事件通报情况,结合各自实际有针对性地加强防范,防止事态蔓延,造成更大范围影响和损失。
(4)处置实施。有关单位根据事件发生原因,组织相关运行管理单位有针对性地采取备份数据、保护设备、排查隐患等措施,恢复受破坏网络和信息系统正常运行。事发单位在处置实施过程中应保留相关证据,积极配合公安等行政部门开展调查取证工作。
(5)信息发布。根据安全事件事态形势、舆情监测及工作需要,根据信息发布流程相关规定,由事发单位会同网信和宣传等相关部门,及时发布网络和数据安全事件信息,合理引导社会舆论。
(四)应急结束
1.Ⅰ级响应结束。国家应急机构发布应急结束通报后,终止应急响应。
2.Ⅱ级响应结束。应急处置工作结束、相关危险因素消除后,由国家统计局应急指挥部决定终止应急响应,宣布应急结束。国家统计局网信办通报有关单位,同时报国家应急机构。
3.Ⅲ级、Ⅳ级响应结束。由县局应急指挥部决定终止应急响应,宣布应急结束,同时报市局统计局网安办。
六、评估与总结
县局网安办负责组织开展涉及统计部门的特别重大、重大网络和数据安全事件的调查处理和总结评估,并将总结调查报告及时上报市局网络和数据安全领导小组。较大和一般统计网络和数据安全事件由事发单位自行组织调查处理和总结评估,并将总结调查报告报县局网安办。
总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。事件的调查处理和总结评估工作原则上应在应急响应结束后15个工作日内完成。
七、预防工作
(一)日常管理
各单位按照职责做好网络和数据安全事件日常预防工作,制定完善相关应急预案,做好网络和数据安全检查、隐患排查、风险评估和容灾备份,健全信息通报机制,及时采取有效措施,减少和避免网络和数据安全事件的发生及危害,提高应对网络和数据安全事件的能力。
(二)应急演练
县局网安办每年至少组织一次本地区本系统预案演练,并将演练情况报市局网安办。各乡(镇)统计站每年至少组织一次本地区本系统预案演练,并将演练情况报县局网安办。等级保护3级、统计关键信息基础设施运营单位每年组织专项应急预案的演练工作,并将演练情况报县局网安办。
(三)培训和宣传
各单位要加强网络和数据安全特别是网络和数据安全事件应急预案的培训,建立常态化的应急培训教育体系,将网络和数据安全事件应急知识列为领导干部、管理人员、处置人员的培训内容,提高防范意识及技能。
(四)重要敏感时期的预防控制
在国家重要活动、会议等重要敏感时期,县局网安办根据主管部门有关要求,统筹协调统计网络和数据安全保障工作。各单位要加强网络和数据安全事件的防范和应急响应,技术部门要加强监测和分析研判,及时预警可能造成重大影响的风险和隐患,重点岗位应24小时值班,加强巡检巡查,及时发现和处置安全隐患。原则上不在重要敏感时期对重要网络和信息系统进行调整或升级。
八、保障措施
(一)机构和人员
各单位要按照网络和数据安全工作责任制要求,把责任落实到具体部门、具体岗位和个人,建立健全应急工作机制。
(二)技术支撑队伍
全县各级统计部门应配备必要的网络和数据安全专业技术人才,加强与上级统计部门及地方相关技术单位的沟通协调,建立信息共享机制。加强与社会专业机构的合作,提高应对网络和数据安全事件的能力。
(三)物资保障
加强对应急装备、工具的储备管理、维护和保养,及时调整、升级软硬件工具,不断增强应急技术支撑能力。重要网络和信息系统、关键信息基础设施运行管理单位须整理详细的网络和信息系统使用手册、工作流程、网络拓扑图、网络和设备的配置信息等相关文档资料。
(四)经费保障
县统计局、各乡(镇)应为网络和数据安全事件应急工作提供必要的经费保障,支持技术支撑队伍建设、专家队伍建设、监测预警能力建设、应急宣传和培训、预案演练、物资保障等工作开展,有关经费纳入各单位年度预算。
(五)通信联络保障
各单位应明确网络和数据安全事件应急处理的联系人。发生较大及以上网络和数据安全事件情况时,联系人应确保7×24小时联络畅通。
九、附则
(一)责任与奖惩
网络和数据安全事件应急处置工作实行责任追究制。对网络和数据安全事件应急管理工作中作出突出贡献的集体和个人给予表彰和奖励。
对不按照规定制定预案和组织开展演练,迟报、谎报、瞒报和漏报网络和数据安全事件重要情况或者在应急管理工作中有其他失职、渎职行为的,依照相关规定对有关责任人给予处分;构成犯罪的,依法追究刑事责任。
(二)预案管理
本预案由泰宁县统计局负责制订、管理并定期进行评估,根据实际情况进行适时修订。
本预案由县局网安办负责解释。本预案自发布之日起生效。
附件:1.统计网络和数据安全事件报告表
2.网络安全事件分类
3.数据安全事件分类
4.网络和信息系统损失程度划分说明
5.联网直报系统县级节点等系统网络和数据安全事件专项应急预案
附件1
统计网络和数据安全事件报告表
|
单位名称 |
|
所在地址 |
|
|||
|
报告人 |
|
联系电话 |
|
|||
|
负责人 |
|
联系电话 |
|
|||
|
传真 |
|
电子邮件 |
|
|||
|
报告事件 |
报告时间: 年 月 日 时 分 |
|||||
|
报告类型 |
¨首次报告 ¨持续报告 情况说明: (注:如为同一事件的持续报告,请在此简要概括说明本次报告主要发生变化的内容,如事件级别调整、事件类型变更、影响范围扩大等。) |
|||||
|
发生网络和数据安全事件的对象名称及用途 |
类型 |
¨网络 ¨应用系统 ¨其他 |
是否为关键信息基础设施 ¨是 ¨否 |
|||
|
名称 |
|
|||||
|
用途 |
|
|||||
|
本次网络和数据安全事件初判状况 |
事件后果 |
¨业务中断 ¨系统破坏 ¨数据丢失或被窃取、篡改、假冒 ¨其他 |
||||
|
影响范围 |
¨单台主机 ¨ 台主机 ¨整个信息系统¨整个局域网 ¨其他 |
|||||
|
事件级别 |
¨特别重大 ¨重大 ¨较大 ¨一般 |
|||||
|
网络和数据安全事件的简要描述(如以前出现过类似情况应加以说明) |
¨有害程序事件 |
¨计算机病毒事件 ¨蠕虫事件 ¨特洛伊木马事件 ¨僵尸网络事件 ¨混合程序攻击事件 ¨网页内嵌恶意代码事件 ¨其他有害程序事件 |
||||
|
¨网络攻击事件 |
¨拒绝服务攻击事件 ¨后门攻击事件 ¨漏洞攻击事件 ¨干扰事件 ¨网络扫描窃听事件 ¨网络钓鱼事件 ¨其他网络攻击事件 |
|||||
|
¨信息破坏事件 |
¨信息篡改事件 ¨信息假冒事件 ¨信息泄露事件 ¨信息窃取事件 ¨信息丢失事件 ¨其他信息破坏事件 |
|||||
|
¨设备设施故障 |
¨软硬件自身故障 ¨外围保障设施故障 ¨人为破坏事故 ¨其他设备设施故障 |
|||||
|
¨其他事件 |
事件描述: (注:不能归为以上基本分类或不能确定类型的其他网络和数据安全事件) |
|||||
|
其他事件说明 |
|
|||||
|
初步判定的事故原因 |
|
|||||
|
当前采取的应对措施 |
|
|||||
|
主管部门 意见 |
签名(盖章): 年 月 日 |
|||||
|
备注 |
|
|||||
注:填写表格时根据实际情况选择相关选项,并在相应选项前的“¨”中以“√”标记。
附件2
网络安全事件分类
网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。
(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公共利益的事件。
(5)设备设施故障事件分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
(7)其他事件是指不能归为以上分类的网络安全事件。
附件3
数据安全事件分类
数据安全事件分为数据泄露(丢失)、数据滥用、数据被篡改、数据被损毁、数据违规使用和其他数据安全事件等。
(1)数据泄露(丢失)事件是指因误操作、人为蓄意、软硬件缺陷或电磁泄漏等因素导致网络/系统/平台中的保密、敏感、个人隐私等重要数据暴露于未经授权者,而导致的数据安全事件。
(2)数据滥用事件是指数据使用方任意或超范围收集、使用数据而导致的数据安全事件。
(3)数据被篡改事件是指未经授权将网络/系统/平台中的数据更换为攻击者所提供的数据而导致的数据安全事件。
(4)数据被损毁事件是指因误操作、人为蓄意或软硬件缺陷等因素导致网络/系统/平台的数据删除、乱码、数据完整性破坏、数据存储介质销毁等数据安全事件。
(5)数据违规使用事件是指在数据使用的过程中违反管理规定及相关国家法律法规或条例而导致的数据安全事件。
(6)其他数据安全事件是指不能被包含在以上分类之中的数据安全事件。
附件4
网络和信息系统损失程度划分说明
网络和信息系统损失是指由于网络和数据安全事件对系统的软硬件、功能及数据的破坏,导致系统业务中断,从而给事发组织所造成的损失,其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价,划分为特别严重的系统损失、严重的系统损失、较大的系统损失和较小的系统损失,说明如下:
(1)特别严重的系统损失:造成系统大面积瘫痪,使其丧失业务处理能力,或系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大,对于事发组织是不可承受的;
(2)严重的系统损失:造成系统长时间中断或局部瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大,但对于事发组织是可承受的;
(3)较大的系统损失:造成系统中断,明显影响系统效率,使重要信息系统或一般信息系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大,但对于事发组织是完全可以承受的;
(4)较小的系统损失:造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。
附件5
联网直报系统县级节点等系统网络和数据安全事件专项应急预案
一、编制目的
为科学应对联网直报系统县级节点等重要信息系统网络和数据安全突发事件,建立健全信息系统的应急响应机制,完善应急处置流程和措施,有效预防、及时控制和最大限度地消除各类突发事件的危害和影响,制订本专项应急预案。
二、适用范围
本预案适用于联网直报系统县级节点、统计虚拟化平台、统计综合数据库、统计数据汇聚对接平台、官网等三级及以上重要信息系统的网络与数据安全事件的应急处置。
本预案响应的网络和数据安全事件参照附件2、3。
三、组织机构
成立专项应急工作小组,组长由县局分管领导担任,成员为计算站(数据管理)负责人。
四、机构职责
专项应急工作小组及时响应联网直报市级节点等系统的网络与数据安全事件;负责向局网络和数据安全领导小组报告突发事件,经领导小组批准后组织实施突发事件的处置工作;协调应急保障工作;突发事件处理完成之后,将处理结果报告领导小组,经批准后终止事件处理工作。
县局各股(室)、各乡(镇)统计站承担联网直报等系统相关业务网络和数据安全事件监测和报告等职责,及时向专项应急工作小组报告本部门、本单位相关系统发生的网络和数据安全事件(事故),配合做好相关处置工作。
五、应急处置措施
(一)拒绝服务攻击应急处置措施
|
安全事件 |
发起源 |
类型 |
处理措施 |
|
|
拒绝服务攻击 |
外部 |
系统漏洞类 |
主机系统 |
安全保障人员应立即按照如下顺序进行操作: 紧急措施: 1、 通过防火墙或网络设备配置访问控制列表,过滤DoS发起源的连接; 2、 确认造成系统cpu、内存占用高的进程或者应用; 3、 确认系统存在的漏洞(cve漏洞发布组织查看此版本应用是否存在DoS的漏洞); 4、 如无法解决,立即联系云端防护服务商/网络运营商,开启流量清洗功能。 抑制根除措施: 1、 根据漏洞信息和相应安全建议采取相应的控制措施; 2、 安装相应的补丁修复程序; 3、 联系运营商,要求上级链路协同处理; 4、 部署DDoS防护攻击设备。 |
|
网络设备 |
网络保障人员应立即按照如下顺序进行操作: 紧急措施: 1、如果系统服务无法正常响应,迅速切换到备用设备; 2、利用防火墙或网络设备配置访问控制策略,过滤DoS发起源的连接; 3、确认当前网络设备操作系统及其他设备的操作系统版本; 4、到cve漏洞发布组织查看对应版本操作系统/应用是否存在DoS的漏洞。 抑制根除措施: 1、 根据漏洞信息和相应安全建议采取相应的控制措施; 2、 安装相应的补丁修复程序。 |
|||
|
网络协议漏洞 |
网络设备 |
网络保障人员应立即按照如下顺序进行操作: 紧急措施: 1、 通过网络流量分析,确定数据包类型特征; 2、 在防火墙或网络设备上配置访问控制策略,限制或过滤来自于攻击源的流量。 抑制措施: 1、 如果可行,旁路部署本地DDoS防护系统,将到被攻击目标(主机或网络)的流量牵引到DDoS防护系统上,调整网络层防护参数(ICMP Flood、SYN Flood、UDP Flood、DNS Query Flood)进行防护; 2、 如果是新的网络攻击类型,通过抓包软件的抓包功能,分析攻击包特征,制定有针对性的防护参数和策略; 3、 联系运营商,要求上级链路协同处理。 |
||
|
应用类漏洞 |
安全设备 |
安全保障人员应立即按照如下顺序进行操作: 紧急措施: 1、 通过网络流量分析,确定数据包类型特征; 2、 在防火墙或网络设备上配置访问控制策略,限制或过滤发送源地址的访问。 抑制措施: 1、 在Web或应用服务器限定最大连接数等方式; 2、 如果可行,旁路部署DDoS防护系统,将到被攻击目标(主机或网络)的流量牵引到DDOS防护系统上,调整应用层防护参数(HTTP Get Flood、HTTP Connection Flood、URL防护规则)进行防护; 3、 如果是新的应用攻击类型,通过抓包软件或黑洞的抓包功能,分析攻击包特征,制定有针对性的防护参数和策略。 |
||
|
内部 |
安全设备 |
安全保障人员应立即按照如下顺序进行操作: 紧急措施: 1、 通过网络流量分析软件,确认数据包特征; 2、 确定对外发包的问题主机; 3、 断网隔离被控主机; 4、 调整防火墙或网络设备访问控制策略,严格限制该机器的对外继续发包。 抑制措施: 1、检查并确认被控主机上的恶意进程或恶意程序; 2、关闭恶意进程,清除恶意程序。 根除措施: 1、必要情况下重新安装系统,对系统进行安全加固; 2、重新恢复业务系统并上线运行。 |
||
(二)非授权访问攻击处理措施
|
安全事件 |
类型 |
处理措施 |
|
|
非授权访问攻击 |
网页篡改(含信息篡改) |
安全保障人员应立即按照如下顺序进行操作: 紧急措施: 1、 如紧急情况,可紧急断网,服务器下线处理; 2、 进行系统临时性恢复,迅速恢复系统被篡改的内容; 3、 严格监控对系统的业务访问以及服务器系统登陆情况,确保对再次攻击的行为能进行检测; 4、 将发生安全事件的设备脱网,做好安全审计及系统恢复准备; 5、 在必要情况下,将遭受攻击的主机上系统日志、应用日志、第三方监控设备日志等导出备份,并加以分析判断。 抑制处理: 1、 分析web应用日志,确认有无恶意口令猜解、文件上传、SQL注入等非正常查询; 2、 分析系统日志,确认主机上有无异常权限用户非法登陆,并记录其IP地址、登陆时间等信息; 3、 分析系统目录以及搜索整盘近期被修改的和新创建的文件,查找是否存在可疑文件和后门程序; 4、 分析操作系统的服务、进程、端口等,确认有无可疑项; 5、 结合上述日志审计,确定攻击者的方式、以及入侵后所获得的最大管理权限和是否对被攻击服务器留有后门程序和嗅探程序等。 根除措施: 1、 通过访问控制设备的策略配置严格限制外网恶意地址对该服务器的远程登录及访问请求; 2、 利用工具或设备,对服务器进行系统层和应用层的扫描,查看是否有系统层或应用层漏洞; 3、 对web服务软件和数据库进行安全配置; 4、 对存在问题的web页面代码进行安全修改; 5、 必要情况下进行主机系统重新安装,并恢复数据库系统; 6、 恢复业务数据; 7、 进行业务测试,确定系统完全恢复; 8、 系统上网运行。 |
|
|
非法入侵 |
紧急措施: 1、 如果可行,将业务切换到备用系统; 2、 如果可行,将被入侵的系统脱离网络,或停止其对外的业务运行; 3、 严格监控对备用业务访问以及备用服务器系统登陆情况,确保对再次攻击的行为能进行检测; 4、 将遭受攻击的主机上的系统日志、应用日志、第三方监控设备日志(IDS、防火墙等)导出备份,并加以分析判断。 抑制措施: 1、 查看是否有异常账户、隐藏账户等情况; 2、 分析应用日志,以及第三方安全监控设备日志,以确认有无恶意口令猜解、文件上传、SQL注入等非正常查询; 3、 分析系统日志,确认主机上有无异常权限用户非法登陆,并记录其IP地址、登陆时间等信息; 4、 分析系统目录以及搜索整盘近期被修改的和新创建的文件,查找是否存在可疑文件和后门程序; 5、 分析应用系统目录,查找最近创建、修改的文件,查找可疑文件或后门程序; 6、 分析操作系统的服务、进程、端口等,确认有无可疑项; 7、 针对检查过程中发现的可疑账户、可疑文件、可疑程序等,应当备份保存,必要情况下保存屏幕截图,以便配合相关机构的调查取证; 8、 将系统接入安全网络,进行抓包分析,捕获其网络活动,查找是否有主动向外连接的进程并进行网络特征分析; 9、 结合上述日志审计和分析,确定攻击者的方式、以及入侵后所获得的最大管理权限和是否对被攻击服务器留有后门程序和嗅探程序等。 根除措施: 1、 通过访问控制设备严格限制内部系统对外访问; 2、 如果可行,用本地漏洞检查工具和扫描器对系统进行漏洞检查,根据扫描结果进行安全加固; 3、 对系统进行安全配置加固,设置严格的账户口令策略、最小化权限、最小化系统服务、文件系统安全、审计策略; 4、 必要情况下进行主机系统重新安装,并恢复业务系统和数据; 5、 进行业务测试,确定系统完全恢复; 6、 系统上网运行。 |
||
|
网站仿冒(DNS欺骗、网络钓鱼) |
外部 |
1、 访问仿冒的站点,通过域名解析、whois、IP地址查询等方式定位网站仿冒的服务器的地址信息、分派区域、管理机构等信息; 2、 如有必要,可向公安机关报警,协助调查; 3、 联系仿冒站点的相关管理机构,跟踪、处理网站仿冒的服务器,确认仿冒的具体原因; 4、 如果仿冒的服务器同样是被控制所为,可在相关机构协调许可下对该服务器进行安全检查分析,确定被控制的原因,并进一步逐级确定控制源; 5、 必要情况下通过协调相关机构可对控制源进行进一步检查处理。 |
|
|
内部 |
1、 浏览仿冒的站点,通过域名解析等方式定位网站仿冒的服务器的地址等信息; 2、 将该服务器进行临时断网分析,确认仿冒的行为原因; 3、 对该服务器进行全面的安全检查,如果是服务器被入侵所致,需要进一步确定控制源。对攻击源进行跟踪处理; 4、 清除该服务器的仿冒网站内容及恶意程序; 5、 检查服务器所被利用的漏洞,并修复漏洞,安全测试后入网运行; 6、 必要情况下(发现难以清除的或被植入较多的恶意程序),需要重新安装服务器,并进行安全加固、漏洞修复、安全测试、重新入网,确保设备的安全运行。 |
||
(三)恶意代码攻击处理措施
|
安全事件 |
发起源 |
类型 |
处理措施 |
|
恶意代码 |
外部 |
网络蠕虫 |
紧急措施: 1、 抓包分析或通过IDS的摘要信息,识别网络蠕虫的传播特征; 2、 在相关网络控制设备上设置过滤规则,屏蔽蠕虫传播的端口; 3、 在边界网络设备上设置过滤规则,丢弃该类型数据包; 4、 确保业务系统的运行,不受影响。 抑制根除措施: 1、 根据蠕虫传播特征,检索CVE或相关安全站点,获取相应信息和帮助; 2、 如果已经识别,则根据安全通告建议,对主机设备进行安全加固,以根除蠕虫; 3、 如果是新的蠕虫或新的变种,可提交相关专业安全服务团队进行分析处理; 4、 更新系统补丁、应用软件补丁、强化账户密码强度、升级防病毒软件。 |
|
网络病毒(含邮件病毒) |
紧急措施: 1、 在访问控制设备上配置访问控制策略,限制或过滤来自网络病毒源的通信。 抑制措施: 1、 进行分区分域,限制病毒在系统内部的传播; 2、 采集病毒样本,进行分析,并可提交相关专业安全服务团队进行分析处理; 3、 对内部已经中毒的主机,脱离网络等待处理。 根除措施: 1、 升级系统补丁、强化账户口令策略、更新防病毒库; 2、 根据对病毒样本的分析,了解病毒传播的根源,提供解决方案或临时解决方案; 3、 清除病毒,系统重新接入网络上线。 |
||
|
木马(别的网站被挂马) |
紧急措施: 1、 在访问控制设备上禁止内部系统访问被挂马的网站; 2、 监测并禁止内部系统主动对外的访问(外部可疑站点); 3、 内部如有被挂马主机,如果可行,应立即脱离网络等待处理。 抑制根除措施: 1、 在测试系统上,采集木马样本,运行并分析其网络特征、运行机制等; 2、 根据木马分析结果,提供临时解决方案,在测试系统上验证解决方案的有效性; 3、 确认临时解决方案可靠无误,解决内部已经被挂马的主机系统; 4、 清除完毕,更新系统补丁、更新应用程序补丁; 5、 系统重新接入网络,持续监控; 6、 如果可行,重新安装并配置系统。 |
||
|
内部 |
网络蠕虫 |
紧急措施: 1、 查看防病毒软件或内部的IDS告警日志,以确定是否能识别; 2、 如果不能识别,则联系相关人员进行抓包分析,确定蠕虫爆发的主机; 3、 断网隔离爆发蠕虫的主机。 抑制根除措施: 1、 根据蠕虫传播特征,检索CVE或相关安全站点,获取相应信息和帮助; 2、 如果已经识别,则根据安全通告建议,对主机设备进行安全加固,以根除蠕虫; 3、 如果是新的蠕虫或新的变种,则提交安全厂商进行分析; 4、 更新系统补丁、应用软件补丁、强化账户密码强度、升级防病毒软件。 |
|
|
网络病毒(含邮件病毒) |
紧急措施: 1、 在访问控制设备上配置访问控制策略,限制或过滤网络病毒的传播; 2、 将中毒主机脱离网络处理。 抑制根除措施: 1、 如分析是已知病毒,则升级病毒库或下载专杀工具; 2、 如分析是新病毒或新的变种,则根据分析结果提供临时解决方案,进行查杀; 4、 升级系统补丁、强化账户口令策略、更新防病毒库; 5、 清除病毒,系统重新接入网络上线。 |
||
|
木马 |
紧急措施: 1、 查看防病毒软件、IDS告警日志等,以确定是否可识别; 2、 进行抓包分析,了解木马的网络访问特征(木马对外访问的站点或IP)等; 3、 在防火墙上禁止内部系统对外可疑IP的访问。 抑制根除措施: 1、 提取木马样本,分析其网络特征、运行原理、所利用得漏洞等; 2、 根据木马分析结果,得到解决方案,开始清理木马; 3、 清理木马完毕,进行主机安全加固(更新系统补丁、更新应用程序补丁); 4、 系统重新接入网络,持续监控; 5、 如果可行,重新安装并配置系统。 |
(四)篡改网页处置措施
|
安全事件 |
发起源 |
类型 |
处理措施 |
|
篡改网页 |
外部 |
篡改 |
安全保障人员应立即按照如下顺序进行操作: 紧急措施: 1、立即通知市数政中心关闭被篡改网站; 2、 第一时间备份被攻击主机保留原始证据、流量日志等关键数据文件,以备待查; 3、 结合流量日志、相关安全监测防御日志、主机日志、应用日志、其他日志信息,综合分析,还原事件成因; 4、 确认攻击所利用漏洞和被篡改位置,确定事件影响。 抑制根除措施: 1、 通知市数政中心,在相应安全防护设备上配置针对性策略,优化现有防御; 2、 清理被篡改页面或文件,恢复原始页面,并对主机和页面进行全面安全检查,确保无入侵残留; 3、 修复漏洞并进行漏洞复测,确保漏洞被修复; 4、 总结处置过程,优化现有监测告警机制。 |
(五)网络故障处置措施
|
网络区域 |
重点防护区域 |
应急措施启动条件 |
故障场景 |
处理措施 |
|
统计专网 |
核心网络(局中心机房) |
核心网络不可用 |
设备故障 |
预先防护措施: 1、确保网络设备采用冗余模式和具备自动切换功能; 2、提前配置硬件监控,确保硬件故障问题及时收到反馈; 3、机房值班人员定时对机房设备进行巡检,出现故障指示灯及时汇报至平台负责人员。 紧急措施: 网络保障人员判断是以下哪类故障: (1)设备整机故障,重点保障备用设备,同时联系设备服务商报修; (2)设备端口故障,立即切换可用端口,并配置相关策略,同时联系设备服务商报修。 |
|
网线或光纤故障 |
预先防护措施: 确保主机网卡将2双线路上联。 紧急措施: 机房值班人员判断是以下哪类故障: (1)网线或光纤插头松动,值班人员接口接紧,并立即通知网络保障人员,由网络保障人员进行网络可达验证; (2)网线或光纤故障,联系专人进行网线或光纤的更换。 |
|||
|
人为操作故障 |
预先防护措施: 1、提前配置网络出口端口、带宽、流量、协议网络监控; 2、网络策略配置定期备份到本地; 3、更新网络策略后须立即进行备份。 紧急措施: 网络保障人员做好现有策略备份,并恢复原有可用网络策略。 |
|||
|
中心机房网络不可用 |
紧急措施: 网络保障人员立即电话件通知网络维护负责人员,并做好网络通信恢复协助工作。 |
|||
|
网络线路异常 |
紧急措施: 网络保障人员立即电话并邮件通知线路故障运营商按照应急处理预案进行处理。 |
|||
|
运营商线路 |
机房线路故障 |
光纤线路或运营商自身通信设备异常 |
预先防护措施: 要求运营商提供线路可行的应急处理预案。 紧急措施: 1、重要会议期间,禁止任何安全策略更改操作; 2、网络保障人员做好现有策略备份,并恢复原有可用安全策略。 |
|
|
防火墙 |
防火墙故障引起的网络或业务不可用 |
设备故障 |
预先防护措施: 1、确保防火墙设备采用冗余模式和具备自动切换功能; 2、提前配置硬件监控,确保硬件故障问题及时收到反馈; 3、现场值班人员定时巡检,出现故障指示灯及时汇报运维负责人员。 紧急措施: 网络保障人员判断是以下哪类故障: (1)设备整机故障,重点保障备用设备,同时联系设备服务提供商报修; (2)设备端口故障,立即切换可用端口,并配置相关策略,同时联系设备服务提供商报修。 |
|
|
网线或光纤故障 |
紧急措施: 机房值班人员判断是以下哪类故障: (1)网线或光纤插头松动,值班人员接口接紧,并立即通知网络保障人员,由网络保障人员进行防火墙可用性验证; (2)网线或光纤故障,网络保障人员联系施工队进行网线或光纤的更换。 |
|||
|
人为操作故障 |
预先防护措施: 1、提前配置防火墙的日志、流量监控; 2、安全策略配置定期备份到本地; 3、更新安全策略后须立即进行备份。 紧急措施: 1、重要会议期间,禁止任何安全策略更改操作; 2、网络保障人员做好现有策略备份,并恢复原有可用安全策略。 |
(六)服务器主机故障处置措施
|
故障类型 |
故障场景 |
故障检测依据 |
处理措施 |
|
服务器硬件故障 |
服务器出现硬件故障 |
服务器面板出现指示灯告警 |
预先防护措施: 虚拟化平台自动漂移虚拟服务器主机。 应急措施: 主机系统保障员优先判断故障服务器上是否还有运行虚拟化主机并对外提供服务: (1)服务器上仍然运行虚拟化主机,主机系统保障人员将该台服务器上的虚拟化主机迁移至其他服务器上,随后联系服务器服务提供商进行硬件故障处理并做好故障处理记录; (2)服务器上未运行虚拟化主机,主机系统保障人员联系服务器服务提供商进行硬件故障处理,并做好故障处理记录。 |
|
操作系统故障 |
系统出现中高危漏洞 |
获得官方通报系统漏洞信息 |
应急措施: 主机系统保障人员评估漏洞对业务的影响程度,并向技术主管汇报;针对影响面大、后果严重的漏洞,须制定系统漏洞修复方案和安排技术资源、系统服务提供上,紧急进行修复。 |
(七)机房物理安全处置措施
当机房发现火情、水灾、电力故障等故障时,启动应急预案进行处置。专项应急工作小组应立即赶赴现场,根据受损情况制订修复方案,在最短时间内恢复联网直报业务的正常开展。根据事故分析原因,制定保障措施并实施,避免类似情况发生。
六、应急保障
各单位应做到人员保障、组织保障、环境保障、技术保障、通信保障和处理流程保障等。
(一)联系人制度
各单位要明确应急联络小组的人员及联系方式。联系人和联系方式发生变化时,24小时内通知应急工作小组。
(二)工作要求
各单位在联网直报系统应急处置工作中,必须严格遵守以下工作要求:
1.有关应急工作人员应服从领导,加强协调,遵守工作程序,注意保密;
2.应急值班电话和所有应急工作人员应确保24小时通讯畅通;
3.应急预案启动后,有关应急工作人员必须坚守工作岗位;
4.遇到特殊问题、不能判定或需要上级协调的问题,应及时请示汇报。
扫一扫在手机上查看当前页面
闽公网安备:
