赣市府办发〔2011〕31号
赣州市人民政府办公厅关于印发
赣州市网络与信息安全事件应急预案的通知
各县(市、区)人民政府,赣州开发区管委会,市政府各部门,市属、驻市各单位:
《赣州市网络与信息安全事件应急预案》已经2011年6月28日市政府第六十三次常务会议审议通过。现印发给你们,请认真贯彻执行。
二〇一一年七月六日
赣州市网络与信息安全事件应急预案
目 录
1 总则 4
1.1 编制目的 4
1.2 编制依据 4
1.3 适用范围 4
1.4 事件分类 4
1.5 事件分级 5
1.6 工作原则 7
2 组织机构与职责 7
2.1 领导机构与职责 7
2.2 办事机构与职责 10
2.3 各县(市、区)政府职责 10
3 预防预警 11
3.1 预防措施 11
3.2 监测预警 11
3.3 预警响应 12
3.4 预警解除 12
4 应急处置 12
4.1 信息报告 12
4.2 应急响应 13
4.3 应急结束 19
5 后期处置 20
5.1 事件总结 20
5.2 表彰和惩处 20
6 保障机制 20
6.1 技术支撑队伍 21
6.2 专家队伍 21
6.3 基础平台 21
6.4 信息搜集 21
6.5 技术研发 21
6.6 合作交流 22
6.7 经费保障 22
7 宣传、培训和演练 22
7.1 宣传教育 22
7.2 培训 22
7.3 演练 22
8 附则 23
8.1 预案管理 23
8.2 预案解释部门 23
8.3 预案实施时间 23
9 附录 23
9.1 名词解释 23
9.2 各种规范化格式文本 27
1 总则
1.1 编制目的
建立健全我市网络与信息安全事件应急工作机制,提高应对网络与信息安全事件能力,预防和减少网络与信息安全事件造成的损失和危害,维护国家安全和社会稳定。
1.2 编制依据
《中华人民共和国突发事件应对法》等法律法规,《国家网络与信息安全事件应急预案》、《江西省突发事件总体应急预案》等相关规定,《信息安全事件分类分级指南》(GB/Z 20986-2007)、《信息系统安全等级保护定级指南》等相关标准。
1.3 适用范围
本预案适用于我市自建自管信息系统网络与信息安全事件的预防、监测、预警、处置工作以及配合有关部门做好其它信息系统网络与信息安全事件的处置工作。其中,有关通信保障和通信恢复应急工作按照《赣州市通信保障应急预案》执行;有关信息内容安全事件的预防和处置工作另有规定的,从其规定。
1.4 事件分类
网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。
(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。
1.5 事件分级
网络与信息安全事件分为四级:I级(特别重大网络与信息安全事件)、II级(重大网络与信息安全事件)、III级(较大网络与信息安全事件)、IV级(一般网络与信息安全事件)。
1.5.1 特别重大网络与信息安全事件(I级事件)
符合下列情形之一的,为特别重大网络与信息安全事件(I级):
(1)信息系统中断运行2小时以上、影响人数l00万人以上。
(2)信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁,或导致10亿元人民币以上的经济损失。
(3)通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成特别严重危害的事件。
(4)其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络与信息安全事件。
1.5.2 重大网络与信息安全事件(II级事件)
符合下列情形之一且未达到特别重大网络与信息安全事件(I级)的,为重大网络与信息安全事件(II级):
(1)信息系统中断运行30分钟以上、影响人数10万人以上。
(2)信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁,或导致1亿元人民币以上的经济损失。
(3)通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成严重危害的事件。
(4)其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络与信息安全事件。
1.5.3 较大网络与信息安全事件(III级事件)
符合下列情形之一且未达到重大网络与信息安全事件(II级)的,为较大网络与信息安全事件(III级)。
(1)信息系统中断运行造成较严重影响的。
(2)信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁,或导致l000万元人民币以上的经济损失。
(3)通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成较严重危害的事件。
(4)其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络与信息安全事件。
1.5.4 一般网络信息安全事件(IV级事件)
除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络与信息安全事件,为一般网络信息安全事件(IV级)。
1.6 工作原则
在市应急委的统一领导下,坚持密切协同、快速反应、科学处置;坚持预防与处置相结合,以预防为主;坚持谁主管谁负责、谁运行谁负责等原则,充分发挥各方面力量共同做好网络与信息安全事件的预防和处置工作。
2 组织机构与职责
2.1 领导机构与职责
2.1.1 领导机构组成
市应急委成立市网络与信息安全事件应急指挥部(以下简称市应急指挥部),统一指挥、协调网络与信息安全事件的应急处置工作。市应急指挥部总指挥由市政府分管信息网络工作的副市长担任,副总指挥由市政府副秘书长、市工业和信息化委员会主任担任。
市应急指挥部成员单位主要有市工业和信息化委员会、市公安局、市国家安全局、市政府新闻办、市文化和广播电影电视局、市国家保密局、赣州军分区、市发展和改革委员会、市财政局、市国家密码管理局、市国家税务局、市地方税务局、市人防办、市科技局、市教育局、中国人民银行赣州中心支行、赣州海关、中国移动赣州分公司、中国电信赣州分公司、中国联通赣州分公司等。
2.1.2 成员单位职责
市应急指挥部成员单位职责:
(1)市工业和信息化委员会:指导监督政府部门、重点行业网络与信息安全事件应对及处置工作,检查各部门、各地区网络与信息安全预案落实情况、相应的宣传培训开展情况以及灾难备份情况,参与组织网络与信息安全应急预演,掌握应急技术支援队伍以及开展应急技术活动情况;监测和定位恶意干扰通信、广播电视的无线电信号。
(2)市公安局:负责打击网络攻击破坏和包括计算机病毒在内的恶意代码传播等违法犯罪活动的应急协调工作;负责对互联网上违法信息进行监控,并开展相关处置工作;指导、监督、检查并组织实施信息网络违法犯罪案件的查处工作;负责组织对涉及网络与信息安全信息的性质、危害程度和可能影响的范围进行分析、研究和评估,提出分析、评估意见。
(3)市国家安全局:搜集有关情报信息,为网络与信息安全应急工作提供情报支持;负责对互联网上涉及国家安全事项的内容进行监督管理,对互联网上危害国家安全的有害敏感信息以及泄密行为进行监控,并开展相关处置工作;依法打击利用互联网进行危害国家安全的违法犯罪活动,会同有关部门依法打击危害社会政治稳定的违法犯罪活动。
(4)市政府新闻办:负责突发事件的网上舆论引导和管理工作;对互联网时政新闻信息进行管理,会同有关部门对手机时政类新闻信息进行管理;通知相关部门或网站及时删除危害国家安全和社会稳定的有害信息、依法关闭严重违规的网站;收集、分析网上舆情,建立跨部门网上舆情研判机制;指导重点新闻网站网络安全事件的预防、监测和应急处置工作。
(5) 市文化和广播电影电视局:负责组织监测发现影响或可能影响广播电视传输网络正常运行的事件,并组织开展处置恢复工作;配合无线电管理部门监测发现无线电干扰广播电视信号事件,配合有关部门开展处置恢复工作;发现卫星干扰广播电视信号事件时,及时将情况汇报给相关单位,并配合进行处置;组织监测发现网上有害、敏感视听节目,并会同有关部门进行处置和管控。
(6)市国家保密局:组织查处互联网泄密事件,对互联网泄密案件有关材料进行密级鉴定;负责网上失泄密事件的应急处置工作。
(7)市发改委:负责电力行业网络与信息安全事件的预防、监测、报告和应急处置工作;协调电力企业为信息系统的正常运行提供电力保障。
(8)中国移动赣州分公司、中国电信赣州分公司、中国联通赣州分公司:负责做好基础信息网络的安全防范工作,开展处置恢复工作;负责建设公共互联网等国家网络基础设施的网络与信息安全监测预警系统,配合有关部门监测发现网络与信息安全事件,包括监测互联网、手机短信、固定电话传播特定有害、敏感信息等事件,并按有关规定具体实施管控措施,为信息系统的正常运行提供基础网络保障。
其他部门按照有关职责和要求,做好网络与信息安全事件的预防、监测、报告和应急处置工作。
2.2 办事机构与职责
市应急指挥部办公室由市工业和信息化委员会牵头设立,主任由市工业和信息化委员会分管负责同志担任,市应急指挥部成员单位有关部门负责同志为联络员。市应急指挥部办公室的主要职责包括:汇总、上报网络与信息安全事件应对工作进展情况;综合分析、研判网络与信息安全事件发展形势,提出具体的应急处置方案和措施建议;对各县(市、区)、各部门应急工作的开展情况进行监督检查;指导协调赣州市网络与信息安全应急技术支撑队伍开展工作;建立联席会议制度和网络信息安全信息定期通报制度;贯彻市应急指挥部的指示和部署。
2.3 各县(市、区)政府职责
负责本县(市、区)自建自管信息系统网络与信息安全事件的预防、监测、报告和应急处置工作,并配合有关部门做好本行政区域内其他网络与信息安全事件的处置工作。市应急指挥部各主要成员单位应为各设区市网络与信息安全事件的预防、监测、预警、处置工作提供指导。
3 预防预警
3.1 预防措施
各县(市、区)和各信息系统主管部门应做好信息系统的安全等级保护、风险评估、灾难备份和隐患排查工作,制定完善相关应急预案,及时采取有效措施,避免和减少网络与信息安全事件的发生及其危害。
3.2 监测预警
3.2.1 预警分级
网络与信息安全事件预警等级分为三级:I级(特别严重)、II级(严重)和III级(较重),依次用红色、橙色和黄色表示,分别对应即将发生或可能发生特别重大、重大和较大的网络与信息安全事件。
3.2.2 监测与发布
市工业和信息化委员会、市公安局、市国家安全局、市文广局、市政府新闻办、市国家保密局以及通信营运商等各重要信息系统主管部门、各县(市、区)政府等共同承担我市网络与信息安全监测预警工作,III级以上网络与信息安全事件监测预警信息除按原有渠道上报外,同时通报市应急指挥部办公室。市应急指挥部办公室及时组织研判,提出预警等级建议,并经市应急指挥部批准后发布预警信息。II级及以上预警信息同时报市应急委和市应急指挥办公室。必要时,市应急指挥部办公室可根据省发布的预警信息和我市网络与信息安全事件预警信息变化态势,及时提出预警调整建议,经市应急指挥部批准后调整预警等级。
我市行政区内其它信息系统的主管部门应参照本预案向市应急指挥部办公室报送预警信息,III级及以上预警信息同时报市应急委。
3.3 预警响应
预警信息发布后,各相关单位按以下要求进行预警响应。
(1)市应急指挥部办公室进入临战状态,迅速召集相关单位联络员、市级网络与信息安全应急技术支撑队伍、专家开会研究对策;相关单位安排人员24小时值班。
(2)预警事件涉及的县(市、区)和部门要密切监测所属网络与信息系统安全状况,及时向市应急指挥部办公室报告监测情况;其他县(市、区)和部门要加强对所属网络与信息系统安全状况的监测,如发现预警事件波及到其所属信息系统必须立即报市应急指挥部办公室。
(3) 市应急指挥部办公室、预警事件涉及的县(市、区)和部门、市级网络与信息安全应急技术支撑队伍要做好应急响应的相关准备工作。
3.4 预警解除
市应急指挥部办公室根据实际情况,提出解除预警建议,并经市应急指挥部批准后发布预警解除信息,III级及以上预警的解除同时报市应急委和市应急指挥部办公室。
4 应急处置
4.1 信息报告
任何单位和个人都有义务向网络与信息安全主管部门报告网络与信息安全事件及其隐患。网络与信息安全事件发生后,各有关县(市、区)及其部门在做好先期处置的同时应立即组织研判,注意保存证据,做好信息通报工作。对于III级及以上事件,必须在事件发生后2小时内按原有渠道上报,并同时报告市应急委、市应急指挥部办公室。市应急委、市应急指挥部办公室在II级及以上事件发生后3小时内上报省应急委、省应急指挥部办公室。
4.2 应急响应
4.2.1 应急响应启动程序
市应急指挥部办公室初步判定为I级事件的,按要求上报省应急指挥部办公室的同时,提出启动I级响应的请示,经省应急指挥部办公室报国家应急指挥部总指挥批准后,进入I级响应状态。在国家应急指挥部总指挥批准I级响应前,可按照I级事件响应进行先行处置。
市应急指挥部办公室初步判定为II级事件的,在按要求上报省应急指挥部办公室的同时,提出启动II级响应的请示,报省应急指挥部总指挥批准后,进入II级响应状态。在省应急指挥部总指挥批准II级响应前,可按照II级事件响应进行先行处置。
市应急指挥部办公室判定为III级事件的,提出启动III级响应的请示,报市应急指挥部总指挥批准后,进入III级响应状态。
4.2.2 I级响应
4.2.2.1 启动指挥体系
市应急指挥部立即进入应急状态,在国家应急指挥部启动I级响应前,履行应急处置工作的统一领导、指挥、协调职责。国家应急指挥部启动I级响应后,在国家应急指挥部的统一领导、指挥、协调下,负责我市应急处置工作或支援保障工作。市应急指挥部成员保持24小时联络畅通。市应急指挥部办公室24小时值班,并派出联络员参加国家网络与信息安全事件应急指挥部办公室工作。
4.2.2.2 掌握事件动态
(1)跟踪事态发展。事件发生县(市、区)或部门及时将事态发展变化情况和处置进展情况报市应急指挥部办公室。
(2)检查影响范围。信息系统主管部门立即全面了解本部门主管范围内的信息系统是否受到事件的波及或影响,并将有关情况及时报市应急指挥部办公室。
(3)及时上报情况。市应急指挥部办公室负责汇总上述有关情况,及时报省应急指挥部办公室。
4.2.2.3 处置实施
(1)控制事态防止蔓延。有关部门和单位要负责组织实施,安排网络与信息安全应急技术支撑队伍采取技术措施,尽快控制事态;组织、督促相关运行单位有针对性地加强防范,防止事件蔓延至其他信息系统。对于信息内容安全事件要及时采取必要的管控措施,防止有害信息传播扩散。
(2)做好处置消除隐患。有关部门和单位要根据事件发生原因,有针对性地采取措施,恢复受破坏信息系统正常运行。
(3)及时开展调查取证。事发单位在应急恢复过程中应尽量保留相关证据,对于人为破坏活动,市公安局、市国家安全局按职责分工负责组织开展侦查和调查工作,并及时向市应急指挥部办公室通报有关情况。
(4)信息发布。市应急指挥部根据国家应急指挥部的授权和委托,通知新闻主管部门组织做好对外信息发布工作,对受影响的公众进行解释、疏导。未经批准,其他部门和单位不得发布相关信息。
4.2.2.4 决策部署
市应急指挥部总指挥组织成员单位、专家组和网络与信息安全应急技术支撑队伍等方面及时研究对策意见,对应对工作进行决策部署。
4.2.3 II级响应
4.2.3.1 启动指挥体系
(1)市应急指挥部立即进入应急状态,在省应急指挥部启动II级响应之前,履行应急处置工作的统一领导、指挥、协调职责。在启动II级响应之后,由省应急指挥部履行应急处置工作的统一领导、指挥、协调职责。市应急指挥部成员保持24小时联络畅通。市应急指挥部办公室24小时值班。
(2)相关县(市、区)、部门指挥机构进入应急状态,在市应急指挥部的统一领导、指挥、协调下,负责本县(市、区)、本部门应急处置工作或支援保障工作,24小时值班,并派出联络员参加省应急指挥部办公室工作。
4.2.3.2 掌握事件动态
(1)跟踪事态发展。事件发生县(市、区)或部门及时将事态发展变化情况和处置进展情况报市应急指挥部办公室。
(2)检查影响范围。信息系统主管部门全面了解本部门主管范围内的信息系统是否受到事件的波及或影响,并将有关情况及时报市应急指挥部办公室。
(3)及时通报情况。市应急指挥部办公室负责汇总上述有关情况,重大事项及时报省应急指挥部办公室,并向市应急指挥部成员单位通报。
4.2.3.3 决策部署
省应急指挥部总指挥组织成员单位、专家组和网络与信息安全应急技术支撑队伍等方面及时研究对策意见,对应对工作进行决策部署。
4.2.3.4 处置实施
(1)控制事态防止蔓延。有关部门和单位要负责组织实施,安排网络与信息安全应急技术支撑队伍采取技术措施,尽快控制事态;组织、督促相关运行单位有针对性地加强防范,防止事件蔓延至其他信息系统。对于信息内容安全事件要及时采取必要的管控措施,防止有害信息传播扩散。
(2)做好处置消除隐患。有关部门和单位要根据事件发生原因,有针对性地采取措施,恢复受破坏信息系统正常运行。
(3)及时开展调查取证。事发单位在应急恢复过程中应尽量保留相关证据,对于人为破坏活动,市公安局、市国家安全局按职责分工负责组织开展侦查和调查工作,并及时向市应急指挥部办公室通报有关情况。
(4)信息发布。新闻主管部门根据省应急指挥部的意见,组织做好对外信息发布工作,对受影响的公众进行解释、疏导。未经批准,其他部门和单位不得发布相关信息。
(5)对外协调。市工业和信息化委员会、市公安局等部门按照各自渠道开展对外协调工作。网络与信息安全应急技术支撑队伍可利用各自渠道开展与其他相关组织的协调。
4.2.4 III级响应
4.2.4.1 启动指挥体系
(1)市应急指挥部立即进入应急状态,履行应急处置工作的统一领导、指挥、协调职责。市应急指挥部成员保持24小时联络畅通。市应急指挥部办公室24小时值班。
(2)相关县(市、区)、部门指挥机构进入应急状态,在市应急指挥部的统一领导、指挥、协调下,负责本县(市、区)、本部门应急处置工作或支援保障工作,24小时值班。
4.2.4.2 掌握事件动态
(1)跟踪事态发展。事件发生县(市、区)或部门及时将事态发展变化情况和处置进展情况报市应急指挥部办公室。
(2)检查影响范围。信息系统主管部门立即全面了解本部门主管范围内的信息系统是否受到事件的波及或影响,并将有关情况及时报市应急指挥部办公室。
(3)及时通报情况。市应急指挥部办公室负责汇总上述有关情况,并向市应急指挥部成员单位通报。
4.2.4.3 决策部署
受市应急指挥部总指挥委托,市应急指挥部副总指挥组织成员单位、专家组和网络与信息安全应急技术支撑队伍等方面及时研究对策意见,对应对工作进行决策部署。
4.2.4.4 处置实施
(1)控制事态防止蔓延。有关部门和单位要负责组织实施,安排网络与信息安全应急技术支撑队伍采取技术措施,尽快控制事态;组织、督促相关运行单位有针对性地加强防范,防止事件蔓延至其他信息系统。对于信息内容安全事件要及时采取必要的管控措施,防止有害信息传播扩散。
(2)做好处置消除隐患。有关部门和单位要根据事件发生原因,有针对性地采取措施,恢复受破坏信息系统正常运行。
(3)及时开展调查取证。事发单位在应急恢复过程中应尽量保留相关证据,对于人为破坏活动,市公安局、市国家安全局按职责分工负责组织开展侦查和调查工作,并及时向市应急指挥部办公室通报有关情况。
(4)信息发布。新闻主管部门根据市应急指挥部的意见,组织做好对外信息发布工作,对受影响的公众进行解释、疏导。未经批准,其他部门和单位不得发布相关信息。
(5)对外协调。市工业和信息化委员会、市公安局等部门按照各自渠道开展对外协调工作。网络与信息安全应急技术支撑队伍可利用各自渠道开展与其他相关组织的协调。
4.2.5 IV级响应
事件发生的有关县(市、区)和部门按相关预案进行应急响应。市应急指挥部各主要成员单位应对IV级响应的实施给予指导。
4.2.6 其他信息系统事件的响应
我市行政区内其它信息系统如发生III级及以上网络与信息安全事件,信息系统主管部门应及时向市应急指挥部办公室报告事态发展和响应情况。在必要情况下,市应急指挥部办公室报请市应急委同意后,按相应级别启动应急响应,配合国家、省信息系统主管部门做好事件的处置工作。
4.3 应急结束
I级响应的结束由市应急指挥部办公室根据国家应急指挥部的决定,提出结束I级响应的请示,经国家应急指挥部总指挥审定批准后应急结束。
II级响应的结束由市应急指挥部办公室根据省应急指挥部的决定,提出结束II级响应的请示,经省应急指挥部总指挥审定批准后应急结束。
III级响应的结束由市应急指挥部办公室提出请示,经市应急指挥部副总指挥审定,报市应急指挥部总指挥批准后应急结束。
市应急指挥部办公室将应急结束的决定及时向有关县(市、区)和部门通报。
5 后期处置
5.1 事件总结
I级网络与信息安全事件由工业和信息化部组织进行调查处理和总结评估,市应急指挥部办公室配合。II级网络与信息安全事件由省应急指挥部办公室组织进行调查处理和总结评估,市应急指挥部办公室配合。III级网络与信息安全事件由市应急指挥部办公室组织县(市、区)和有关部门进行调查处理和总结评估。IV级网络与信息安全事件由事件发生的县(市、区)或部门自行组织调查处理和总结评估,对事件的起因、性质、影响、责任等进行调查,提出处理意见和改进措施。III级网络与信息安全事件的调查处理和总结评估工作原则上在应急响应结束后15天内完成,相关总结调查报告上报省应急委、省应急指挥部。
我市行政区内其它信息系统III级及以上网络与信息安全事件的调查总结应参照本预案,在应急响应结束后15天内完成,上报市应急委,抄送市应急指挥部办公室。
5.2 表彰和惩处
市应急委对在网络与信息安全预防和处置工作中表现突出的单位和个人给予表彰;对保障不力、瞒报漏报网络与信息安全事件,给国家和社会造成严重损失的单位和个人依照相关法律法规进行处理。
6 保障机制
6.1 技术支撑队伍
加强市级网络与信息安全应急技术支撑队伍建设,做好重大网络与信息安全事件的应急技术支援工作。各有关县(市、区)和部门指导网络和信息系统运行单位建立网络与信息安全专业应急支撑队伍,提高应对突发网络与信息安全事件的能力。
6.2 专家队伍
建立我市网络与信息安全应急专家组,为网络与信息安全事件的预防和处置提供技术咨询。各县(市、区)、各部门加强各自的专家队伍建设,充分发挥专家在科学决策中的作用。
6.3 基础平台
各县(市、区)、各部门加强网络与信息安全应急基础平台建设工作,并注意收集、维护本信息系统的数据、信息,如网络拓扑、接入带宽、使用域名、IP地址分配情况等,做到早发现、早预警、早响应、早恢复,提高网络与信息安全应急处置能力。
6.4 信息搜集
市工业和信息化委员会、市公安局、市国家安全局、市国家保密局等部门加强网络与信息安全有关信息搜集能力建设,为网络与信息安全应急工作提供支撑,相关部门应依法及时提供所需的数据、信息。
6.5 技术研发
有关部门加强网络与信息安全防范技术研究,为应急响应工作提供技术支撑。
6.6 合作交流
有关部门应建立对外合作渠道,通过合作共同应对网络与信息安全突发事件。
6.7 经费保障
各级政府将网络与信息安全应急事件的预防、监测、预警、处置工作及网络与信息安全应急专业队伍建设、基础平台建设、情报力量建设、技术研发、预案演练等所需费用作出相应安排。各部门为网络与信息安全应急工作提供必要的经费保障。
7 宣传、培训和演练
7.1 宣传教育
各县(市、区)、各部门应充分利用各种传播媒介及其他有效的宣传形式,加强突发网络与信息安全事件预防和处置的有关法律、法规和政策的宣传,开展网络与信息安全基本知识和技能的宣讲活动。
7.2 培训
各县(市、区)、各部门要将网络与信息安全事件的应急知识等列为行政管理干部和有关人员的培训内容,加强网络与信息安全特别是网络与信息安全应急预案的培训,提高防范意识及技能。
7.3 演练
市应急指挥部办公室每年至少组织一次应急演练,模拟处置重大网络与信息安全事件(II级),提高实战能力,检验和完善预案。
各县(市、区)、各部门每年至少组织一次网络与信息安全事件应急演练,并将演练情况报市应急指挥部办公室。
8 附则
8.1 预案管理
本预案原则上每年评估一次,根据实际情况适时修订。修订工作由市应急指挥部办公室负责,报市应急委批准。
各县(市、区)、各有关部门要结合本预案制定或修订本县(市、区)、本部门网络与信息安全事件相关应急预案,做好预案之间的衔接,并报市政府应急办备案,抄送市应急指挥部办公室。
8.2 预案解释部门
本预案由市政府办公厅负责解释。
8.3 预案实施时间
本预案自印发之日起施行。
9 附录
9.1 名词解释
(1)自建自管信息系统:指我市行政区内除省直属部门、省在我市企业建设和管理的信息系统以外的其它信息系统。
(2)有害程序事件:指蓄意制造、传播有害程序,或是因为受到有害程序的影响而导致的网络信息安全事件。有害程序是指插入到信息系统中的一段程序,有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性,或影响信息系统的正常运行。
(3)计算机病毒事件:指蓄意制造、传播计算机病毒,或是因受到计算机病毒影响而导致的网络信息安全事件。
(4)计算机病毒:指编制或者在计算机程序中插入的一组计算机指令或者程序代码,它可以破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制。
(5)蠕虫事件:指蓄意制造、传播蠕虫,或是因受到蠕虫影响而导致的网络信息安全事件。
(6)蠕虫:指计算机病毒以外,利用信息系统缺陷,通过网络自动复制并传播的有害程序。
(7)特洛伊木马:指蓄意制造、传播特洛伊木马程序,或是因受到特洛伊木马程序影响而导致的网络信息安全事件。
(8)特洛伊木马程序:指伪装在信息系统中的一种有害程序,具有控制该信息系统或进行信息窃取等对该信息系统有害的功能。简称“木马”
(9)僵尸网络事件:指利用僵尸工具软件,形成僵尸网络而导致的网络信息安全事件。
(10)僵尸网络:指网络上受到黑客集中控制的一群计算机,它可以被用于伺机发起网络攻击,进行信息窃取或传播木马、蠕虫等其他有害程序。
(11)混合攻击程序事件:指蓄意制造、传播混合攻击程序,或是因为受到混合攻击程序影响而导致的网络信息安全事件。
(12)混合攻击程序:指利用多种方法传播和感染其他系统的有害程序,可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。混合攻击程序事件也可以是一系列有害程序综合作用的结果,例如一个计算机病毒或蠕虫在侵入系统后安装木马程序等。
(13)网页内嵌恶意代码事件:指蓄意制造、传播网页内嵌恶意代码,或是因受到网页内嵌恶意代码影响而导致的网络信息安全事件。
(14)网页内嵌恶意代码:指内嵌在网页中,未经允许由浏览器执行,影响信息系统正常运行的有害程序。
(15)网络攻击事件:指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的网络信息安全事件。
(16)拒绝服务攻击事件:指利用信息系统缺陷,或通过暴力攻击的手段,以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源,从而影响信息系统正常运行为目的的网络信息安全事件。
(17)后门攻击事件:指利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施的攻击的网络信息安全事件。
(18)漏洞攻击事件:指除拒绝服务攻击事件和后门攻击事件之外,利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞,对信息系统实施攻击的网络信息安全事件。
(19)网络扫描窃听事件:指利用网络扫描或窃听软件,获取信息系统网络配置、端口、服务、存在的脆弱性等特征而导致的网络信息安全事件。
(20)网络钓鱼事件:指利用欺骗性的计算机网络技术,使用户泄漏重要信息而导致的信息安全事件。例如,利用欺骗性电子邮件获取用户银行账号密码等。
(21)干扰事件:指通过技术手段对网络进行干扰,或对广播电视有线或无线传输网络进行插播,对卫星广播电视信号非法攻击等导致的网络信息安全事件。
(22)信息破坏事件:指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的网络信息安全事件。
(23)信息篡改事件:指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的网络信息安全事件,例如网页篡改等导致的网络信息安全事件。
(24)信息假冒事件:指通过假冒他人信息系统收发信息而导致的网络信息安全事件。
(25)信息泄露事件:指因误操作、软硬件缺陷或电磁泄漏等因素导致信息系统中的保密、敏感、个人隐私等信息暴露于未经授权者而导致的网络信息安全事件。
(26)信息窃取事件:指未经授权用户利用可能的技术手段恶意主动获取信息系统中信息而导致的网络信息安全事件。
(27)信息丢失事件:指因误操作、认为蓄意或软硬件缺陷等因素导致信息系统中的信息丢失而导致的网络信息安全事件。
(28)信息内容安全事件:指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。
(29)设备设施故障:指由于信息系统自身故障或外围保障设施故障而导致的网络信息安全事件,以及人为的使用费技术手段有意或无意的造成信息系统破坏而导致的网络信息安全事件。
(30)软硬件自身故障:指因信息系统中硬件设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等而导致的网络信息安全事件。
(31)外围保障设施故障:指由于保障信息系统正常运行所必须的外部设施出现故障而导致的网络信息安全事件,例如电力故障、外围网络故障等导致的网络信息安全事件。
(32)人为破坏事故:指人为蓄意的对保障信息系统正常运行的硬件、软件等实施窃取、破坏造成的网络信息安全事件;或由于人为的遗失、误操作以及其他无意行为造成信息系统硬件、软件等遭到破坏,影响信息系统正常运行的网络信息安全事件。
(33)灾害性事件:指由于不可抗力对信息系统造成物理破坏而导致的网络信息安全事件。
9.2 各种规范化格式文本
格式文本(一)
关于____(预警信息)的情况报告
__字〔 〕__号
市网络与信息安全事件应急指挥部办公室:
___年__月__日__时,在我市___县(市、区)___(信息系统)上,发现_______(预警信息)。造成的原因是_______(或原因正在调查)。可能造成_______(可能造成的影响)。
专此报告
(盖章)
__年__月__日
格式文本(二)
关于____(突发事件)的情况报告
__字〔 〕__号
市网络与信息安全事件应急指挥部办公室:
___年__月__日__时,在我市___县(市、区)___(信息系统)上,发生_______(突发事件)。目前,已造成_______(已经产生的影响),可能_______(可能进一步造成的影响)。造成事件的原因是_______(或原因正在调查)。
事件的进展情况将续报。
专此报告
(盖章)
__年__月__日
格式文本(三)
关于____(突发事件)的情况续报
__字〔 〕__号
市网络与信息安全事件应急指挥部办公室:
现将__年__月__日__时,在我市___县(市、区)___(信息系统)上发生的_______(突发事件)的有关情况续报如下:
截至__月__日__时,______(突发事件)已造成___________(已经产生的影响),可能_______(可能进一步造成的影响)。事件的原因是_______(或原因正在调查)。
事件发生后,____(报告单位)采取了____(采取了应急处置措施等情况)。目前,______(事态情况,或事态得到控制)。
专此报告
(盖章)
__年__月__日
格式文本(四)
关于启动____(应急响应级别)应急响应的通知
__字〔 〕__号
__年__月__日__时,我市___县(市、区)___(信息系统),发生_______(突发事件)。到目前,已造成___________(造成的影响)。事件的原因是_______(或原因正在调查)。
根据《赣州市网络与信息安全事件应急预案》,经市应急委批准,启动____(应急响应级别)。
特此通知
(盖章)
__年__月__日
格式文本(五)
关于结束____(应急响应级别)应急响应的通知
__字〔 〕__号
__年__月__日__时,我市___县(市、区)___(信息系统),发生_______(突发事件)。到目前,已造成___________(造成的影响)。事件的原因是_______(或原因正在调查)。
事件发生后,根据《赣州市网络与信息安全事件应急预案》,经市应急委批准,启动了____(应急流程级别),____(采取的措施),____(取得的成果)。
鉴于事件已得到有效控制(或基本消除),根据《赣州市突发事件总体应急预案》、《赣州市网络与信息安全事件应急预案》的有关规定,经市应急委批准,现结束应急状态。请各有关部门、单位抓紧做好善后工作。
特此通知
(盖章)
__年__月__日
相关文章
