济宁市旅游发展委员会网络与信息安全应急预案

 

　　一、总则

　　1.1 目的

　　为科学应对网络与信息安全突发事件，完善应急响应机制，规范信息安全应急响应工作内容和工作流程，有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响，确保信息系统安全和稳定运行，根据国家、省市有关要求，结合单位实际，特制定本预案。

　　1.2 编制依据

　　根据《中华人民共和国计算机信息系统安全保护条例》《计算机病毒防治管理办法》《山东省网络与信息安全应急预案》等相关法规、规定、文件精神。

　　1.3 适用范围

　　在市旅游发展委范围内发生的由于自然灾害、软硬件设备故障、人为失误或者破坏等原因严重影响到网络与信息系统的正常运行，出现系统中断、系统破坏、数据破坏或者秘密信息泄露等，造成不良影响或经济损失的重大信息安全事件，适用本预案。

　　1.4 分类分级

　　实施预警信息等级制度，按照事件严重性和紧急程度及对社会影响的大小，分为以下五级：

　　1级：本级信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益基本不影响或危害极小；

　　2级：本级信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益有一定的影响或破坏；对国家安全、社会秩序、经济建设和公共利益产生一定危害；

　　3级：本级信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有较为严重的影响或破坏，对国家安全、社会秩序、经济建设和公共利益产生较大危害；

　　4级：本级信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有极其严重的影响或破坏，对国家安全、社会秩序、经济建设和公共利益产生严重危害；

　　5级：本级信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有灾难性的影响或破坏，对国家安全、社会秩序、经济建设和公共利益产生特别严重的危害；

　　当发生2级和2级以上的信息安全事件时，启动本预案。

　　1.5 工作原则

　　(1) 积极防御，综合防范。立足安全防护，加强预警，抓好预防、监控、应急处理、应急保障和打击犯罪等环节，在法律、管理、技术、人才等方面，采取多种措施，充分发挥各方面的作用，共同构筑网络与信息安全保障体系。

　　(2) 明确责任，分级负责。按照“谁主管谁负责，谁运营谁负责”的原则，建立和完善安全责任制，协调管理机制和联动工作机制。

　　(3) 依靠科学，管控结合。加强技术储备，规范应急处置措施与操作流程，实现网络与信息安全突发公共事件应急处置工作的科学化、程序化与规范化。树立常备不懈的观念，定期进行预案演练，确保应急措施切实可行。

　　二、组织指挥体系及职责任务

　　2.1　应急领导小组

　　成立济宁市旅游发展委员会网络与信息安全应急领导小组（以下简称委应急领导小组），负责网络信息安全事件的组织指挥和应急处置工作。主要领导任组长，分管领导任副组长，有关科室、单位主要负责人为成员。

　　2.2　应急领导小组办公室

　济宁市旅游发展委员会网络与信息安全应急领导小组办公室（以下简称委应急领导小组办公室）设在办公室（政策法规科）和信息数据科，负责向应急领导小组汇报应急工作进展情况，传达领导指示要求。主要职责：负责加强日常综合协调管理，建立健全协调机制和信息通报机制，明确各科室、单位在应急协调工作中的任务，明确相互间协调要求、工作流程和责任等；负责各项应急准备工作，包括制定应急响应规划、技术队伍建设、应急资源准备、灾难恢复准备、发布预警信息、应急响应培训和演练等相关日常工作。

　　2.3 各成员单位的主要职责

　　办公室（政策法规科）负责对网上出现的涉及旅游等重大情况进行应急协调工作，做好应急情况下网上热点敏感问题处理和舆论引导工作，对网络与信息安全工作所需的相关经费给予保障，并对网上涉及国家秘密的信息进行检查，督促各有关科室、单位履行各自职能分工、加强相互配合。信息数据科负责牵头制定专项应急预案，技术队伍建设与系统备份，网络病毒预防软硬件建设。各科室、单位负责本科室、单位内的软硬件日常维护及防杀计算机病毒操作。

　　三、预警和预防机制

　　3.1　信息监测及预警报告

　　各科室应加强信息安全监测、分析和预警工作，建立信息安全事故报告制度，发生信息安全突发事件的科室、事业单位应在事件发生后，对发生的事件进行调查核实、保存相关证据，及时向委网络与信息安全应急领导小组报告。

　　3.2　预防机制

　　在全委范围内积极推行信息安全等级保护，逐步实行信息安全风险评估。重要信息系统建设要充分考虑安全性与灾难恢复，制定并不断完善信息安全应急处理预案。根据不同的网络和信息安全突发事件制定不同的网络应急处置规程（详见附件1）。

　　四、应急响应流程

　　在发生信息安全事件时，各科室、事业单位要第一时间报告委应急领导小组办公室。如有必要，领导小组办公室立即报告上级机关。同时与相关的产品技术支持单位联系，获得必要的技术支持。

　　4.1　预案启动

　　在发生二级以上网络信息安全事件后，现场应急处理工作组尽最大可能收集事件相关信息，鉴别事件性质，确定事件来源，以确定事件范围和评估事件带来的影响和损害，确认为信息安全事件后，对事件进行定级和上报。由应急领导小组决定启动应急响应预案，并由应急领导小组办公室负责应急处理工作。

　　4.2 现场应急处理

　　现场应急处理分为四个阶段。一是确认阶段，确定应急处理方式；二是遏制阶段，及时采取行动遏制事件发展；三是根除阶段，彻底解决问题隐患；四是恢复和跟踪阶段，及时清理系统，恢复数据、程序、服务等。

　　恢复工作应该严格避免出现误操作导致数据的丢失等次生灾害。把所有被攻破的系统和网络设备彻底还原到正常的任务状态。如果攻击者获得了超级用户的访问权，一次完整的恢复应该强制性地修改所有的口令。关注系统恢复以后的安全状况，特别是曾经出问题的地方。

　　4.3　安全事件的处理记录

　　在事件的上报、接收和处理过程中，事件接收人、处理负责人应及时作好完整的过程记录。在事件处理过程中，应对防火墙、防病毒、IDS和漏洞扫描系统配置或规则的修改进行记录，事件处理完成后归档。

　　4.4 结束响应

　　系统恢复运行后，委网络与信息安全应急领导小组应对事件造成的损失、事件处理流程和应急预案进行评估，对响应流程、预案提出修改意见，总结事件处理经验和教训，撰写事件处理报告。需要上报的，应及时准备相关材料报相关部门。对于蠕虫病毒等易造成大范围传播的信息安全事件，应及时向上级机关提交预警信息。

　　五、演练及维护

　　为保证应急行动的能力，每年至少组织一次应急行动演练，以提高处理应急事件的能力，检验物资器材的完好情况。

　　5.1 演练步骤

　　1)由委网络与信息安全应急领导小组确定应急响应演练的目标和应急响应演练的范围；

　　2）由委网络与信息安全应急领导小组办公室制定应急响应演练的方案；

　　3) 委网络与信息安全应急领导小组调配应急响应演练所需的各项资源，并协调应急响应演练过程中涉及的科室和事业单位；

　　4）委网络与信息安全应急领导小组办公室组织相关科室和事业单位进行应急响应演练；

　　5）委网络与信息安全应急领导小组对应急演练进行评估，并通报应急响应演练结果；

　　6）委网络与信息安全应急领导小组办公室总结经验，根据演练结果对应急预案的更新，并对应急工作进行整改。

　　5.2 预案的修改

　　在每次应急响应过程结束之后，委应急领导小组办公室应针对应急响应工作过程中遇到的问题，分析应急响应预案的科学性和合理性，针对预案中的问题向委应急领导小组提出修改建议。

　　在上级预案或相关的法律标准修改后，本预案应及时进行调整与其保持一致。

　　六、保障措施

　　6.1 应急队伍保障

　　委应急领导小组办公室应在全委范围内建立应急响应工作需要的应急响应小组（包括安全分析人员、应急响应人员、灾难恢复人员等）。为提高应急响应小组的人员素质，制定并实施完善、高效、合理的人员培训和演练计划。

　　6.2 设备保障

　　为保证在发生信息安全事件时应急工具及设备能够立即投入使用，有效地支持应急响应工作，应加强工具及设备的日常维护调试，保证其随时处于良好状态。

　　6.3 技术资料保障

　　应建立全面的技术资料档案，包括网络拓扑结构、重要系统或设备的型号及配置（操作系统及版本号、应用软件及版本号等）、主要设备厂商信息、设备使用人员详细信息等。

　　6.4 后勤保障

　　在应急响应工作中，委应急领导小组办公室应做好充分的后勤保障工作，包括应急人员的交通工具和通信联络，以及所需的相关经费等，确保应急响应工作的顺利开展。

　　七、附则

　　本应急预案由委网络与信息安全应急领导小组办公室负责解释。

　　本应急预案自公布之日起实施。

 

附件1:

 

网络和信息安全突发事件应急处置规程

 

　　一、网站出现非法信息的应急处置规程

　　（一）发现网站出现非法信息时，网站内容管理部门应按规定向委领导报告，并立即采取技术手段屏蔽、删除等处理措施，防止信息扩散。

　　（二）委应急领导小组办公室应追查非法信息来源，确定相关责任人。

　　（三）委应急领导小组办公室在查清事件发生原因的基础上，及时总结经验教训，提出强化安全防范的措施，写出调查报告，报委网络与信息安全应急领导小组。

　　（四）委应急领导小组根据调查报告，决定是否追究相关责任人责任。

　　二、黑客攻击的紧急处置规程

　　（一）发现网页内容被篡改，或通过入侵检测手段等发现有黑客正在进行攻击时,应立即向委应急领导小组办公室报告。

　　（二）委应急领导小组办公室首先应将被攻击的服务器等设备从网络中隔离出来，保护现场，同时向委应急领导小组报告。

　　（三）恢复或重建被破坏的系统。

　　（四）追查黑客攻击来源。

　　（五）情况严重时，召开委应急领导小组会议；经会议批准，可向公安部门报警。

　　（六）总结经验教训，采取有效的防范措施。

　　三、病毒防治应急处置规程

　　（一）当计算机使用人员发现其计算机被感染上病毒后，若无法清除该病毒，应第一时间将计算机从网络上物理断开。

　　（二）向委应急领导小组办公室报告，确定病毒的性质和危害，对病毒进行进一步查杀。

　　（三）若该病毒已经在局域网内扩散，并严重影响日常办公及网络安全，应立即向委应急领导小组报告。

　　（四）委应急领导小组根据报告，确定具体的处置方式，保证网络畅通和计算机安全。

　　（五）总结经验教训，采取有效的防范措施。

　　四、软件系统异常应急处置规程

　　（一）对发现系统软件和应用软件响应异常的，应立即向委应急领导小组办公室报告。

　　（二）委应急领导小组办公室对系统软件和应用软件进行检查，视情采取停用、修复和向上级报告等手段。

　　（三）委应急领导小组办公室通过检查访问各类日志记录等资料，确认分析异常原因。

　　（四）情况严重的，召开委应急领导小组会议；

　　（五）总结经验教训，采取有效的防范措施。

　　五、广域网外部线路中断应急处置规程

　　（一）广域网线路若中断后，应立即向委应急领导小组办公室报告。

　　（二）委应急领导小组办公室应迅速判断故障节点，查明故障原因。

　　（三）如属委内部管辖范围，由系统管理员立即予以恢复。如遇无法恢复情况，立即向有关厂商请求支援。

　　（四）如属通信部门管辖范围，立即与通信维护部门联系，请求及时修复。

　　（五）总结经验教训，采取有效的防范措施。

　　六、局域网中断应急处置规程

　　（一）局域网中断后，委应急领导小组办公室应判断故障节点，查明故障原因，并向委应急领导小组汇报。

　　（二）如属线路故障，应立即抢修线路。

　　（三）如属路由器、交换机等网络设备故障，应立即与设备提供商联系更换设备，并调试畅通。

　　（四）如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调试畅通。如遇无法解决的技术问题，立即报告委应急领导小组，向厂方专家支援。

　　（五）总结经验教训，采取有效的防范措施。

　　七、设备故障应急处置规程

　　（一）发现服务器等关键设备损坏后，应立即开展设备故障排查原因，应立即向委应急领导小组办公室报告。

　　（二）委应急领导小组办公室指定系统管理员并向委应急领导小组汇报情况。

　　（三）如果能够自行恢复，应立即用备件替换受损部件。

　　（四）如果不能自行恢复的，立即与设备提供商联系，请求派维修人员前来维修。

　　（五）如果设备一时不能修复，应向委应急领导小组汇报，视情决定是否启动应急预案。

　　（六）总结经验教训，采取有效的防范措施。

 

济宁市旅游发展委员会

网络与信息安全应急领导小组

　　为进一步做好我委网络与信息安全应急领导工作，经研究，决定成立济宁市旅游发展委员会网络与信息安全应急领导小组。现将有关事项通知如下：

　　一、领导小组成员

　　组长：杨凤东市旅游发展委员会主任

　　副组长：杨绪东市旅游发展委员会调研员

　　李楠市旅游发展委员会副主任

　　郑庆军市旅游发展委员会副主任

　　张兴春市旅游发展委员会副调研员

　　季魁洋市旅游发展委员会副调研员

　　成员：王德凯市旅游发展委员会办公室主任

韩寒市旅游发展委员会产业促进科科长

刘艳市旅游发展委员会规划发展科科长

　　王申臣市旅游发展委员会市场开发科科长

　　周鲁宁市旅游发展委员会监督管理科科长

　　王波市旅游发展委员会许可服务科科长

　　刘玉平市旅游发展委员会机关党建科科长

　　赵在方市旅游监察大队队长

　　陈振东市旅游公共服务中心副主任

　　顾非市旅游公共服务中心咨询服务科科长

　　赵洪磊市旅游公共服务中心信息数据科科长

　　唐宏市旅游公共服务中心商品开发科科长

　　王永君市旅游发展委员会工会主任

　　程远英市旅游发展委员会妇委会主任

济宁市旅游发展委员会网络与信息安全应急领导小组办公室设在办公室（政策法规科）和信息数据科，办公室主任由王德凯、赵洪磊兼任。