关于印发《江苏省环境保护厅网络安全事件应急处置预案》的通知
各有关单位:
为提高江苏省环境保护厅处理网络安全事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减少网络与信息安全突发公共事件的危害,保护公众利益,现将《江苏省环境保护厅网络安全事件应急处置预案》印发给你们,请参照实施。
附件:江苏省环境保护厅网络安全事件应急处置预案
江苏省生态环境监控中心
2017年11月2日
附件:
江苏省环境保护厅网络安全事件
应急处置预案
为提高江苏省环境保护厅处理网络安全事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减少网络与信息安全突发公共事件的危害,保护公众利益,特制定本预案。
本预案适用于江苏省环境保护厅发生和可能发生的网络安全事件。
根据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《信息系统安全等级保护实施指南》、《信息安全技术信息安全事件分类分级指南》及国家和江苏省对网络安全相关要求,制定本预案。
江苏省环保厅信息化(网络与信息安全)工作领导小组(以下简称领导小组)作为江苏省环保厅信息化工作的最高领导机构,也是信息和网络安全工作的领导机构。江苏省环保厅信息化(网络与信息安全)工作领导小组办公室(以下简称领导小组办公室)根据职能负责制定网络与信息安全工作制度,组织开展网络与信息安全检查,制定重大突发事件应急预案,组织应急演练等工作的具体落实。
(1)预防为主。立足安全防护,加强预警,重点保护基础信息网络和重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,采取多种措施,共同构筑网络与信息安全保障体系。
(2)快速反应。在网络安全事件发生时,按照快速反应机制,及时获取充分而准确的信息,迅速处置,最大程度地减少危害和影响。
(3)统一领导。网络与信息安全事件应急工作启动、处置对策、对外联络、队伍调动、物资调配等均由领导小组做出决策,各级部门必须坚决服从指令。
(4) 分级负责。按照“条块结合”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强协调与配合,形成合力,共同履行应急处置工作的管理职责。
根据网络与信息系统的重要程度、系统损失和社会影响等要素,将网络安全事件划分为四个级别:特别重大事件、重大事件、较大事件和一般事件。
网络安全事件预警分为四级:由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生和可能发生特别重大、重大、较大和一般网络安全事件。
网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件。
各单位按照“谁主管谁负责、谁运行谁负责”的要求,组织对本单位建设运行的网络和信息系统开展网络安全监测工作。
对监测信息进行研判,认为需要立即采取防范措施的,应当及时向领导小组报告,领导小组对上报信息进行进一步研判,对可能发生较大及以上网络安全事件的信息及时向江苏省网络安全应急办公室报告。
领导小组可发布黄色以下预警。预警信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施、事项要求等。
领导小组启动相应应急预案,组织开展预警响应工作,做好风险评估、应急准备,及时将事态发展情况报江苏省网络安全应急办公室。
领导小组根据实际情况确定是否解除预警,及时发布预警解除信息。
网络安全事件发生后应立即启动应急预案,实施处置并及时报送信息,领导小组办公室针对该事件成立应急工作组开展先期处置,控制事态,消除隐患,组织研判,保存证据,做好信息通报工作。对于初判为较大及以上级别的网络安全事件的,立即报告江苏省网络安全应急办公室。
(1)一旦发现计算机病毒事件、蠕虫事件、木马事件等有害程序事件,应急工作组及时核实事件,将有关情况向领导小组报告。
(2)通过网络监控系统,实时对网络系统进行检测。当网络出现丢包严重、利用率突增的情况时,综合运用各种检测工具查出病毒源所在网段,切断其网络连接,保证其他网络的通畅。
(3)通过客户端监控系统或服务器日志的跟踪定位到具体物理位置,通知安全运维工程师到现场先行处理。
(4)当短时间内大范围网络无法恢复的或严重影响到业务正常进行的,由应急工作组告知有关业务部门,有关业务部门视情况决定是否启动业务应急预案。
(5)确保问题已处理后才恢复其网络通信。
(6)对有害程序事件发生的原因进行排查确定,必要时追究相关责任人的责任。
(1)一旦发现网络攻击事件,应急工作组及时核实事件,提出初步处置意见,将有关情况向领导小组报告。
(2)利用监控手段和检测工具,尽快查明网络攻击事件类别,定位攻击源。
(3)判定攻击事件对单位业务的影响范围、程度以及事件处置所需的时间,预计在短时间内无法解决时,应急工作组应及时告知有关业务部门,业务部门视情况决定是否启动业务应急预案。
(4)确定攻击源后,应立即切断其网络连接,防止危害进一步扩大,待查明攻击事件发生原因,消除安全隐患后,才可恢复其网络连接。
(5)事件处置结束后,应填写事件处置记录,总结经验教训,防范类似事件再次发生。
(1)一旦发现信息被利用技术手段篡改、假冒、泄露、窃取、删除,应急工作组及时核实事件,提出初步处置意见,将有关情况向领导小组报告。
(2)将被篡改、假冒、泄露、窃取的信息和其他相关系统信息作为证据进行存档。
(3)信息被篡改、假冒、删除,利用备份数据进行恢复。当信息短时间内无法恢复的,由应急工作组告知有关业务部门,业务部门视情况决定是否启动业务应急预案。
(4)利用技术手段和其他方法,尽快追查信息被篡改、假冒、泄露、窃取、删除的途径和嫌疑人,必要时要追究其相关责任。
(1)一旦发现通过网络传播法律法规禁止的信息和组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件,应急工作组及时核实事件,提出初步处置意见,将有关情况向领导小组报告。
(2)对于通过网络传播法律法规禁止的信息,迅速采取措施处理:一是要从传播源头上根除;二是要使用技术手段过滤和制止该信息扩散;三是清除已存在计算机或介质上的该信息。
(3)对于组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件,属于小范围情节较轻的应制止和批判教育,并消除影响;属于大范围情节严重的应报请公安部门来制止和疏散人群,取缔用于传播和炒作的物品,并消除影响。
(4)利用技术手段和其他方法,追查组织者或传播者,必要时要追究其相关责任。
(1)一旦发现关键设备设施发生故障,应急工作组及时核实事件,提出初步处置意见,将有关情况向领导小组报告。
(2)当关键设备设施发生故障时,应立即启用备份系统或措施。同时,判定设备设施故障对本关业务的影响范围、程度以及事件处置所需的时间,预计在短时间内无法解决时,应急工作组及时告知有关业务部门,有关业务部门视情况决定是否启动业务应急预案。
(3)应急工作组查明设备损毁情况,组织抢修并寻找可替代设备,各有关单位应积极配合。
(1)一旦发生自然灾害等导致海关网络与信息安全事件,,应急工作组及时核实事件,提出初步处置意见,将有关情况向领导小组报告。
(2)应急工作组应及时判定事件对本关业务的影响范围、程度以及事件处置所需的时间,预计在短时间内无法解决时,应及时告知有关业务部门,有关业务部门视情况决定是否启动业务应急预案。
(3)及时查明灾害对网络及信息系统造成的破坏,调配资源,组织抢修,各有关单位应积极配合。
响应结束后,根据事件级别决定是否需报江苏省网络安全应急办公室。
较大及以下网络安全事件由领导小组组织调查处理和总结评估,较大网络安全事件相关总结调查报告报江苏省网络安全应急办公室。事件调查处理和总结评估工作应在响应结束后30天内完成。
(1)维护安全、可靠、稳定运行的机房环境,防火、防盗、防雷电、防水、防静电、防尘;定期检查测试备份电源系统;增强所有运维人员安全意识。
(2)加强对网络系统的实时监控,避免非法接入和虚假路由信息。定期检查网络安全设备的日志和告警信息,及时排除潜在威胁。定期扫面关键服务器的木马情况,及时删除木马并封堵漏洞。
(3)重要系统采用可靠、稳定硬件,落实数据备份机制,遵守安全操作规范;安装有效的防病毒软件,及时更新升级扫描引擎;加强对所有终端用户和信息系统管理员的安全技术培训。
(4)定期升级安全设备配置,定期开展全网安全扫描,确保设备能够监测恶意攻击、病毒等非法侵入,能控制有害信息经过网络的传播。
将网络安全事件的应急管理、工作流程等列为培训内容,提高技术人员的防范意识及技能,增强应急处置能力。
建立应急预案定期演练制度,通过演练,发现和解决应急工作体系和工作机制存在的问题,提高应急处置能力。
领导小组不定期组织对各项制度、计划、方案、人员及物资等进行检查,对在网络安全事件应急处置中做出突出贡献的集体和个人,提出表彰奖励建议;对玩忽职守,造成不良影响或严重后果的,依法依规提出处理意见,追究其责任。
本预案由江苏省生态环境监控中心制定并解释。
本预案由江苏省生态环境监控中心批准后实施。