为妥善应对和处置临汾市政协网络信息系统安全突发事件、确保网络信息系统正常运行,根据《中华人民共和国计算机信息系统安全保护条例》、国务院办公厅《关于加强政府信息系统安全和保密管理工作的通知》等有关精神,结合临汾市政协实际情况,特制定本应急预案。
本预案适用于临汾市政协网络信息系统,主要立足防范和消除以下危害情况的出现:临汾市政协网络信息系统因病毒感染、黑客攻击等原因导致数据被篡改、丢失、泄密,系统不能正常运行。
一、应急组织机构
临汾市政协机关网络安全领导小组遵照“统一领导、综合协调、各司其职”的原则,负责对机关网络与信息安全突发事件的应急处置,规范管理,完善应急工作体系和机制。领导小组办公室具体落实应急措施。
二、应急预防保障措施
(一)做好网络与信息安全日常管理
1、领导小组办公室做好网络信息系统的日常监测、监控,强化安全管理,对可能引发网络与信息安全事件的有关信息,认真收集、分析判断,发现有异常情况时,及时处理并逐级报告。
2、领导小组办公室做好网络信息系统的日志定期检查,以便及时发现并消除安全威胁。
3、领导小组办公室做好网络信息系统和服务器软件的安全漏洞定期扫描、修补,并对木马、病毒进行查杀。
4、领导小组办公室做好网络信息系统服务器重大威胁情报的自查,根据自查结果作相应处置。
5、领导小组办公室做好网络信息系统防火墙告警事件的及时跟踪,第一时间发现入侵并进行防范。
6、领导小组办公室做好网络信息系统数据的日常备份,备份采用完全备份策略与部分备份策略相结合。
7、领导小组成员做好网站及网络信息系统对应版块内容的日常巡查,发现有异常情况时,及时处理并向领导小组办公室通报。
(二)特殊时期启动网络与信息安全应急值班制度
领导小组办公室在特殊时期安排24小时应急值班,对网络和信息数据加强保护,进行不间断监控。
(三)保持与系统开发商沟通渠道的畅通
领导小组办公室确保在应急处理过程中遇到困难或问题时能及时获得系统开发商的技术支援。
三、应急处理基本程序和主要内容
当出现以下所列情况之一时,启动应急预案,并按程序采取措施。
预想情况一:网络信息系统出现非法信息或内容被篡改
1、领导小组成员或工作人员发现系统出现非法信息或内容被篡改时,应第一时间删除非法信息或被篡改内容,并向领导小组办公室通报,领导小组办公室立即将非法信息或篡改信息从网络中隔离出来,并更新相关数据,必要时断开网络服务器,并逐级上报。
2、情况严重时,经领导同意后立即向公安机关报警。
3、领导小组办公室应同时做好必要记录,追查非法信息来源,清理或修复非法信息,妥善保存有关记录,强化安全防范措施,并将系统重新投入运行。
预想情况二:网络信息系统出现无法访问时
1、领导小组成员或工作人员发现网络信息系统无法访问时,应第一时间向领导小组办公室通报,领导小组办公室应立即组织排查系统故障原因,并逐级上报。
2、情况严重时,经领导同意后立即向公安机关报警。
3、领导小组办公室应同时做好必要记录,修复故障,加固系统稳定性,并将系统重新投入运行。
预想情况三:网络信息系统遭受入侵
1、领导小组办公室发现网络信息系统遭到入侵时,应立即禁止入侵IP或隔离服务器或暂停整个网络系统的公网端口访问,并逐级上报。
2、情况严重的,经领导同意后立即向公安机关报警。
3、领导小组办公室应同时作好必要记录,评估入侵威胁,并确定入侵的损害范围,全面分析与排查并修复安全薄弱环节和系统漏洞,全面更新服务器帐号密码与配置,进行网络系统的恢复与重建工作,定位入侵的IP地址,全面追查入侵来源,开启抓包取证工作。
本预案从制定之日起执行。
本预案适用于临汾市政协网络信息系统,主要立足防范和消除以下危害情况的出现:临汾市政协网络信息系统因病毒感染、黑客攻击等原因导致数据被篡改、丢失、泄密,系统不能正常运行。
一、应急组织机构
临汾市政协机关网络安全领导小组遵照“统一领导、综合协调、各司其职”的原则,负责对机关网络与信息安全突发事件的应急处置,规范管理,完善应急工作体系和机制。领导小组办公室具体落实应急措施。
二、应急预防保障措施
(一)做好网络与信息安全日常管理
1、领导小组办公室做好网络信息系统的日常监测、监控,强化安全管理,对可能引发网络与信息安全事件的有关信息,认真收集、分析判断,发现有异常情况时,及时处理并逐级报告。
2、领导小组办公室做好网络信息系统的日志定期检查,以便及时发现并消除安全威胁。
3、领导小组办公室做好网络信息系统和服务器软件的安全漏洞定期扫描、修补,并对木马、病毒进行查杀。
4、领导小组办公室做好网络信息系统服务器重大威胁情报的自查,根据自查结果作相应处置。
5、领导小组办公室做好网络信息系统防火墙告警事件的及时跟踪,第一时间发现入侵并进行防范。
6、领导小组办公室做好网络信息系统数据的日常备份,备份采用完全备份策略与部分备份策略相结合。
7、领导小组成员做好网站及网络信息系统对应版块内容的日常巡查,发现有异常情况时,及时处理并向领导小组办公室通报。
(二)特殊时期启动网络与信息安全应急值班制度
领导小组办公室在特殊时期安排24小时应急值班,对网络和信息数据加强保护,进行不间断监控。
(三)保持与系统开发商沟通渠道的畅通
领导小组办公室确保在应急处理过程中遇到困难或问题时能及时获得系统开发商的技术支援。
三、应急处理基本程序和主要内容
当出现以下所列情况之一时,启动应急预案,并按程序采取措施。
预想情况一:网络信息系统出现非法信息或内容被篡改
1、领导小组成员或工作人员发现系统出现非法信息或内容被篡改时,应第一时间删除非法信息或被篡改内容,并向领导小组办公室通报,领导小组办公室立即将非法信息或篡改信息从网络中隔离出来,并更新相关数据,必要时断开网络服务器,并逐级上报。
2、情况严重时,经领导同意后立即向公安机关报警。
3、领导小组办公室应同时做好必要记录,追查非法信息来源,清理或修复非法信息,妥善保存有关记录,强化安全防范措施,并将系统重新投入运行。
预想情况二:网络信息系统出现无法访问时
1、领导小组成员或工作人员发现网络信息系统无法访问时,应第一时间向领导小组办公室通报,领导小组办公室应立即组织排查系统故障原因,并逐级上报。
2、情况严重时,经领导同意后立即向公安机关报警。
3、领导小组办公室应同时做好必要记录,修复故障,加固系统稳定性,并将系统重新投入运行。
预想情况三:网络信息系统遭受入侵
1、领导小组办公室发现网络信息系统遭到入侵时,应立即禁止入侵IP或隔离服务器或暂停整个网络系统的公网端口访问,并逐级上报。
2、情况严重的,经领导同意后立即向公安机关报警。
3、领导小组办公室应同时作好必要记录,评估入侵威胁,并确定入侵的损害范围,全面分析与排查并修复安全薄弱环节和系统漏洞,全面更新服务器帐号密码与配置,进行网络系统的恢复与重建工作,定位入侵的IP地址,全面追查入侵来源,开启抓包取证工作。
本预案从制定之日起执行。
