当前位置:一、总则
(一)编制目的
为建立健全市交通运输局网络与信息安全应急保障工作机制,提升应对突发网络与信息安全事件的处置能力,预防和减少安全事件造成的危害和影响,保障网络与信息安全,制定本预案。
(二)编制依据
1.《中华人民共和国网络安全法》
2.《国家网络安全事件应急预案》
3《中华人民共和国个人信息保护法》
4.《浙江省网络与信息安全应急预案》
5.《浙江省关键信息基础设施网络安全事件应急处置指南
(试行)》
6.《计算机病毒防治管理办法》
7.《信息技术信息安全管理使用规则》GB/T19716-2005
8.《信息安全技术信息系统通用安全技术要求》GB/T
20271-2006
9.《信息安全技术个人信息安全规范》GB/T35273
10.《浙江省交通运输厅网络与信息安全事件应急预案(试行)》
(三)基本原则
1.明确职责。按照“谁主管谁负责,谁建设谁负责,谁使用谁负责”的原则,分级分类建立和完善安全责任制度、协调管理机制和联动工作机制,形成合力,履行应急处置工作的管理职责。
2.预防为主。做好安全防护,强化预警能力建设,积极管控风险漏洞有效预防网络与信息安全事件的发生。
3.快速处置。一旦发生网络与信息安全事件,应迅速启动应急处置预案,减少损失,尽快恢复网络与系统运行。
(四)适用范围
本预案适用于市交通运输局本级统一运行管理的信息系统网络与信息安全突发事件和可能导致网络与信息安全突发事件的处置工作。局属各单位应结合实际,参照本预案编制相应预案。
二、应急组织体系
(一)组织机构
市交通运输局网络安全和信息化领导小组(以下简称“局网信领导小组”)
组 长:市交通运输局书记、局长
副组长:市交通运输局各副职领导
成 员:局直属各单位、局机关各处室负责人
领导小组办公室(简称“网信办”)设在局科教信息化处。
(二)主要职责
1.局网信领导小组
统一领导、统筹协调网络信息安全工作,负责指挥特别重大网络安全事件(Ⅰ级)、重大网络安全事件(Ⅱ级)的应急响应。
2.局网信办
落实局网信领导小组任务部署,具体组织实施局网络安全事件的应急响应和应急处置工作。具体组织局网络安全应急演练和网络安全培训工作。指导局系统网络安全管理工作。对口联络上级网络安全和信息化领导小组办公室。
3.局其他各处室
参与研判相关事件等级及Ⅰ级、Ⅱ级事件应急工作方案制订,配合局网信办组织运行维护单位开展Ⅰ级、Ⅱ级事件应急处置,配合开展应急演练。加强办公电脑病毒、木马系统漏洞等安全风险防范,做好计算机系统、应用安全升级和杀毒软件病毒库更新工作,做好移动存储设备(如 U盘、移动硬盘等)病毒安全防范和重要数据文件存储备份工作。
4.硬件设备运行维护单位
负责落实应急处置工作要求,提出应急处置工作建议,参与制定Ⅰ级、Ⅱ级事件应急工作方案并承担具体处置工作;负责组织开展其他级别事件应急处置,做好应急技术和设备保障,组织调动硬件厂商参与应急处置,协助开展技术培训和应急演练,配合做好事件评估等工作。加强硬件系统数据的备份和恢复工作,日常防范包括负责网络安全事件预防,完善风险信息收集和管控机制,及时更新服务器杀毒软件病毒库和系统安全补丁,加强安全巡检、风险评估和容灾备份,及时整改硬件相关安全隐患。
5.专业技术支撑单位
网络安全专业技术支持和服务单位要加强日常网络安全风险防范和管理工作。负责提供应急处置决策咨询建议和监测预警信息、处置措施建议,并配合开展安全事件应急处置工作。
6.软件开发运维单位
负责配合硬件系统运维单位做好安全事件应急处置工作。完善系统功能,加强服务器日常病毒、木马系统漏洞等安全风险防范,做好数据库、中间件等软件安全补丁升级工作,做好应用代码防篡改、数据传输防泄漏和重要数据文件异地备份工作。
7.基础条件保障单位
网络运营商等负责配合各系统运维单位及时开展网络恢复等相关工作。加强网络性能、稳定性和数据流量日常监测。
三、安全事件分级分类
(一)安全事件分类
参照《浙江省信息系统网络安全事件隐患分级分类指南》,将局网络与信息安全事件分为:有害程序事件、网络攻击事件、系统入侵事件、数据破坏事件、异常情况事件、个人信息安全事件及其他事件等七类事件。
1.有害程序事件:即遭受蓄意制造、传播有害程序损害,或因有害程序导致系统受到损害的事件,具体包括:
(1)计算机病毒,感染蓄意制造、传播计算机病毒,或因有害程序导致系统受到损害的事件。
(2)网络蠕虫,感染蓄意制造、传播蠕虫或因网络蠕虫而导致系统受到损害的事件。
(3)特洛伊木马事件,感染蓄意制造、传播特洛伊木马或因特洛伊木马而导致系统受到损害的事件。
(4)僵尸网络,利用僵尸工具软件导致僵尸网络的事件。
(5)网页内嵌恶意代码,遭受蓄意制造、传播网页内嵌恶意代码或因网页内嵌恶意代码而导致系统受到损害的事件。
(6)综合性恶意程序,遭受蓄意制造、传播功能综合的恶意程序或综合性恶意程序影响而导致的事件。
2.网络攻击事件:即遭受恶意访问或干扰系统正常应用的事件。具体如下:
(1)拒绝服务攻击,利用信息系统缺陷、或通过暴力攻击的手段,大量消耗信息系统的 CPU、内存、磁盘空间或网络带宽资源,进而影响信息系统正常运行的时间。
(2)域名解析服务异常,由于 DNS服务器中缓存了仿冒的恶意数据或域名映射记录被恶意篡改,导致域名被解析为不正确的IP地址,从而影响终端对该域名访问的事件。
(3)WIFI劫持,利用应用程序漏洞、协议漏洞、配置错误安全隐患对强制有用户访问某些网站的事件。
3.系统入侵事件:即以破坏信息系统安全性为主要目的非授权访问且成功达到目的的行为。绝大多数系统入侵是采用隐蔽的手段,利用信息系统的脆弱性,获得访问权限,进而获得或控制有价值的资源,具体如下:
(1)后门入侵,攻击者利用事先植入的后门程序或利用对合法后门程序的非授权访问,成功进入到信息系统中的事件。
(2)域名仿冒,利用外观接近的仿冒网站骗取访问该网站用户的身份信息或诱使访问者安装恶意程序的事件。
(3)身份仿冒事件指利用非授权获得的身份和认证信息,进入信息系统,进而执行各种恶意操作的事件。
(4)高级威胁,由多个环节组成的一系列威胁行为的组合事件。
4.数据破坏事件:即通过网络或其他技术手段,造成信息系统中的数据被篡改、假冒、泄露、窃取而导致的网络安全事件。
具体如下:
(1)数据篡改,未经授权将信息系统中的网页或数据进行变更等行为。
(2)数据泄露,因误操作、软硬件缺陷或电磁泄露因素导致信息系统中敏感、个人隐私信息,发生未经授权的暴露的事件。
(3)数据窃取,未经授权,利用技术手段恶意获取信息系统中数据的事件。
(4)数据损毁,因误操作、蓄意破坏或软硬件缺陷等因素导致信息系统中数据可用性遭到破坏。
5.异常情况事件:指运行监测发现的明显异常的情况。具体如下:
(1)设备设施故障,因存储设备、服务器、交换机、防火墙硬件设备故障、或运行物理环境发生变化等原因导致的信息系统不能正常稳定提供服务。
(2)服务异常,因域名服务、发布服务、数据库服务、数据联网交换故障等原因导致的信息系统不能正常稳定提供服务。
(3)流量异常,因线路中断、监测发现某一或多个网络服务实体(如 IP地址、服务端口等)流量统计指标值偏离正常基
线的事件。
6.个人信息安全事件:因各种原因造成的用户个人信息发生泄露。
7.其他事件:指属异常情况类的、不能归为以上分类的其他网络安全事件。
(二)安全事件分级
根据影响程度、严重程度、影响范围和可控性,局网络与信息安全事件分为四级:特别重大网络安全事件(Ⅰ级)、重大网络安全事件(Ⅱ级)、较大网络安全事件(Ⅲ级)和一般网络安全事件(Ⅳ级)。
1.特别重大网络安全事件(Ⅰ级)
特别重大网络安全事件是指能够导致严重影响或破坏的网络安全事件,包括以下情况:
(1)对外提供服务的网站类应用系统,其页面被篡改为反动信息、煽动性信息等造成严重政治影响的;
(2)造成5万条及以上数据泄露;
(3)造成5万人的个人信息泄露;
(4)其他造成重大损失或重大的不良影响的安全事件。
2.重大网络安全事件(Ⅱ级)
重大网络安全事件是指能够导致重大范围影响或破坏的数据安全事件,包括以下情况:
(1)造成5万条以下5千条及以上数据泄露;
(2)造成5万人以下5千人及以上的个人信息泄露;
(3)对外提供服务的网站类应用系统其页面被篡改,发布虚假或诈骗等信息并已造成较大的经济和社会影响;
(4)其他造成较大损失或较大的不良影响的安全事件;
(5)当Ⅱ级网络安全事件12小时内未完成处置,则升级为Ⅰ级网络安全事件。
3.较大网络安全事件(Ⅲ级)
较大网络安全事件是指能够导致较大范围影响或破坏的数据安全事件,包括以下情况:
(1)对外提供服务的网站类应用系统其页面被篡改,发布虚假或诈骗等信息并已造成一般的经济和社会影响;
(2)造成5千条以下50条及以上数据泄露;
(3)造成5千人以下50人及以上个人信息泄露;
(4)其他造成严重损失或严重的不良影响的安全事件;
(5)当Ⅲ级网络安全事件24小时内未完成处置,则升级为Ⅱ级网络安全事件。
4.一般网络安全事件(Ⅳ级)
一般网络安全事件是指能够导致轻微影响或破坏的网络安全事件,包括以下情况:
(1)造成50条及以下数据泄露;
(2)造成50人及以下个人信息泄露;
(3)当Ⅳ级网络安全事件48小时内未被完成处置,则升级
为Ⅲ级网络安全事件。
(4)其他造成轻微损失或轻微的不良影响的安全事件。
四、应急响应启动和处置
(一)应急响应启动程序
特别重大网络安全事件(Ⅰ级)、重大网络安全事件(Ⅱ级)、较大网络安全事件(Ⅲ级)、一般网络安全事件(Ⅳ级)分别对应安全事件Ⅰ级、Ⅱ级、Ⅲ级、Ⅳ级应急响应。使用信息系统的各业务部门以及安全保障团队等,发现信息系统异常、故障时,应立即向指挥中心(24小时值班电话:2285023)报告,描述异常问题细节。局网信办了解问题后对问题做出安全事件分级分类预判,初步判断属于特别重大、重大安全事件的,应立即要求安全保障团队紧急采取物理断网等应急处置,同时向局网信领导小组报告,提出安全事件分级分类建议,由局网信领导小组启动安全事件Ⅱ级或Ⅰ级应急响应;属于较大、一般安全事件的,由局网信办视情采取物理断网等措施后,启动安全事件Ⅳ级或Ⅲ级应急响应;尚未达到一般及以上安全事件分级的,局网信办督促相应系统运维保障团队抓紧处理,并进行跟踪,根据实际情况适时调整安全事件分级。
(二)安全事件Ⅳ级应急响应
局网信办启动安全事件Ⅳ级应急响应后,做好以下响应行动:
1.局网信办立即协调安全保障团队、相应系统运维保障团队,充分利用应急解决方案及资源准备,采取有力措施组织故障排除及网络安全事件处理。发生个人信息泄露时,应及时将相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体,并上报市委网信办。
2.相关运维工程师在接到通知后,应立即查看故障点状态,并分析故障原因,排查出故障后着手解决。
3.在故障排除后,相关运维工程师应立即报告应急实施组,并对故障原因及解决办法进行记录,对故障点进行跟踪检查。
4.局网信办检查确认后,通知安全保障团队解除物理断网等紧急应急处置措施,同时通知信息系统的各业务部门、单位恢复使用,结束安全事件Ⅳ级应急响应。
5.局网信办及时总结应急处理全过程出现的问题,积累网络安全事件应急处置方法和经验,并及时改进应急预案。
(三)安全事件Ⅲ级应急响应局网信办启动安全事件Ⅲ级应急响应时,做好以下响应行动:
1.局网信办立即协调安全保障团队、相应系统运维保障团队,充分利用应急解决方案及资源准备,采取有力措施组织故障排除及网络安全事件处理。发生个人信息泄露时,应及时将相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体,并上报市委网信办。
2.相关运维工程师在接到通知后,应立即查看故障点状态,并分析故障原因,排查出故障后着手解决。
3.在故障排除后,相关运维工程师应立即报告局网信办,并对故障原因及解决办法进行记录,对故障点进行跟踪检查。
4.局网信办检查确认后,通知安全保障团队解除物理断网等紧急应急处置措施,同时通知信息系统的各业务部门、单位恢复使用,结束安全事件Ⅲ级应急响应,并向局网信领导小组报告事件处理的基本情况。
5.局网信办及时总结应急处理全过程出现的问题,积累网络安全事件应急处置方法和经验,并及时改进应急预案。
(四)安全事件Ⅱ级应急响应
局网信领导小组启动安全事件Ⅱ级应急响应时,做好以下响应行动:
1.局网信办立即协调安全保障团队、相应系统运维保障团队,充分利用应急解决方案及资源准备,采取有力措施组织故障排除。发生个人信息泄露时,应及时将相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体,并上报市委网信办。
2.相关运维工程师在接到通知后,应立即查看故障点状态,并分析故障原因,排查出故障后着手解决。
3.局网信办会同使用信息系统的业务部门、单位,在事件发生、发现2小时内将事件性质、影响范围、危害情况、已采取的处置措施、下一步工作等情况报告局网信领导小组,在24小时
内以书面形式向通报上级单位报告详细情况。
4.局网信领导小组立即召开专题会议,组织相关人员分析研判安全事件的影响,研究解决方案,并制订应急处置工作方案。
5.局网信办会同使用信息系统的业务部门(单位),根据专题会议讨论结果逐一落实各项应急处置工作。
6.在故障排除后,相关运维工程师应立即报告应急实施组,并对故障原因及解决办法进行记录,对故障点进行跟踪检查。
7.局网信办检查确认后,向局网信领导小组报告事件处理的基本情况,提出恢复系统使用建议。
8.局网信领导小组确定恢复系统使用,由局网信办通知信息系统的各业务部门、单位恢复使用,结束安全事件Ⅱ级应急响应。
9.局网信领导小组组织召开安全事件应急处置总结专题会议,进一步确定安全事件的原因,评估安全事件影响范围及损失程度。
10.局网信领导小组、局网信办及时总结应急处理全过程出现的问题,积累网络安全事件应急处置方法和经验,并及时改进应急预案。
(五)安全事件Ⅰ级应急响应
局网信领导小组启动安全事件Ⅰ级应急响应时,做好以下响应行动:
1.局网信办立即协调安全保障团队、相应系统运维保障团队,充分利用应急解决方案及资源准备,采取有力措施组织故障排除。发生个人信息泄露时,应及时将相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体,并上报市委网信办。
2.相关运维工程师在接到通知后,应立即查看故障点状态,并分析故障原因,排查出故障后着手解决。
3.局网信办会同使用信息系统的业务部门(单位),在事件发生、发现2小时内将事件性质、影响范围、危害情况、已采取的处置措施、下一步工作等情况报告局网信领导小组,在24小时内以书面形式向通报上级单位报告详细情况。
4.局网信领导小组立即召开专题会议,联合分析有害程序入侵途径、信息数据受破坏的原因、信息内容被篡改的原因、路径,评估损失、影响,研究解决方案,制订应急处置工作方案,并及时向上级网络安全主管部门报告。
5.局网信办会同使用信息系统的业务部门(单位),根据专题会议讨论结果逐一落实各项应急处置工作。
6.在故障排除后,相关运维工程师应立即报告局网信办,并对故障原因及解决办法进行记录,对故障点进行跟踪检查。
7.局网信办检查确认后,向局网信领导小组报告事件处理的基本情况,提出恢复系统使用建议。
8.局网信领导小组确定恢复系统使用,由局网信办通知信息系统的各业务部门、单位恢复使用,结束安全事件Ⅰ级应急响应,并向上级网信领导小组报告事件处理的基本情况。
9.局网信领导小组组织召开安全事件应急处置总结专题会议,进一步确定故障级别,分析故障产生的原因,评估故障、影响范围及损失程度,了解事后跟踪情况,及时总结故障处置的工作经验,制订后续的整改工作方案。
10.局网信领导小组、局网信办及时总结应急处理全过程出现的问题,积累网络安全事件应急处置方法和经验,并及时改进应急预案。
五、预防工作
(一)日常管理
要组织做好网络安全事件日常预防工作,落实网络安全检查、隐患排查、风险评估和容灾备份,健全网络安全信息通报机制,及时采取有效措施,减少和避免数据安全事件的发生及危害,提高应对数据安全事件的能力。
(二)宣传和培训
要组织做好针对应急响应相关管理人员和技术人员、局机关各处室、局直属各单位的干部职工两个重点群体的宣传和培训工作。充分利用各种传播媒介及其他有效的宣传形式,如下发宣传手册、利用网络、宣传彩页、期刊、视频会议等手段开展应急预案的宣传。
1.定期组织应急响应相关管理人员和技术人员的应急预案培训,同时在应急预案的首次制定颁布、修订等关键节点要组织开展应急预案的不定期培训。尤其对于重要系统的专项应急预案在组织培训的基础上,应通过实际的应急响应演练过程,帮助相关人员不断更新应急响应的知识和技能,提高各类人员的应急工作熟练程度,提高突发事件发生时应急响应的效率,并认真做好培训效果的反馈和培训计划的更新。
2.组织局机关各处室、局直属各单位的干部职工进行应急预案普及宣传培训,加强数据安全事件预防和处置的有关法律、法规和政策的宣传,开展数据安全基本知识和技能的宣传活动,提高全体工作人员的应急意识和应急基本常识。
(三)应急演练
要定期开展应急演练,检验和完善预案,提高实战能力,每年至少组织一次预案演练。在更新应急预案后或者遇到可预见的安全事件时,应及时开展应急响应演练,以检验应急预案的正确性,不断强化人员的应急安全意识和应急响应的熟练程度。
(四)管理和维护
局网信办要组织做好应急预案的维护工作,保证应急预案的有效性。应确保应急预案分发给所有应急相关人员,采用不同形式在多个地点进行保存,以确保预案在紧急情况下可用;预案在
每次调整后,确保所有的拷贝统一更新,按照有关规定及时销毁旧版本;应急演练和数据安全事件发生后实际执行时,对实际执行过程进行详细记录,评估效果,对不足之处进行相应的调整;应定期评审和调整应急预案文档,保证应急预案准确性和有效性。
(五)重要活动期间的预防措施
局网信领导小组统筹协调重要活动期间网络安全保障工作,局网信办在重要活动期间进一步加强网络安全监测和分析研判,加强网络安全事件的防范和应急响应,其中,核心网络和重要信息系统的重点岗位应保持24小时值班,及时发现和处置数据安全事件隐患。
六、保障措施
(一)组织保障
要层层传导压力,明晰各层级、各岗位责任,建立完善责任的体系。加强应急人才队伍建设,确保应急处置人员具备应急工作必要的技术能力,定期组织人员培训以满足应急工作的要求,并通过应急演练,保证应急处置人员的熟练度;建立长效的应急人员保障机制,包括设立专门的应急管理岗位。建立应急技术专家队伍,为数据安全事件的预防和处置提供技术咨询和决策建议。应急响应专家队伍成员可由内部和外部对应急响应工作经验丰富或数据安全应急方面资深人员组成。
(二)经费保障
要建立费必要的经费保障制度,每年所需经费经相关程序后列入年度预算,保障各项工作顺利推进。
(三)技术保障
应急实施组落实技术保障工作,加强数据安全防范技术研究,不断改进技术装备,为应急响应工作提供技术支撑。加强政策引导,重点支持数据安全监测预警、预防防护、处置救援、应急服务等方向,提升数据安全应急产业整体水平与核心竞争力,增强防范和处置数据安全事件的产业支撑能力。加强与第三方应急专业机构和社会资源的联系,包括网信办、经信局、公安机关、信息安全企业、通信运营商、供应商、供电部门等外部技术和业务支持单位等。
七、附则
本预案由舟山市交通运输局负责解释。
本预案自发布之日起施行。
