網(wǎng)絡(luò)安全應(yīng)急預(yù)案

網(wǎng)絡(luò)安全應(yīng)急預(yù)案第一章總則第一條為建立健全網(wǎng)絡(luò)安全事件應(yīng)急工作機(jī)制，提高應(yīng)對(duì)網(wǎng)絡(luò)安全事件能力，預(yù)防和減少網(wǎng)絡(luò)安全事件造成的損失和危害，依據(jù)國家網(wǎng)絡(luò)安全事件應(yīng)急的有關(guān)規(guī)定，制定本預(yù)案。第二條本預(yù)案所指網(wǎng)絡(luò)安全事件是指由于人為、軟硬件缺陷或故障、自然災(zāi)害等原因，對(duì)我局網(wǎng)絡(luò)和信息系統(tǒng)或者其中數(shù)據(jù)造成危害，對(duì)社會(huì)造成不良影響的事件。第三條堅(jiān)持統(tǒng)一指揮、密切協(xié)同、快速反應(yīng)、科學(xué)處置；堅(jiān)持以預(yù)防為主，預(yù)防與應(yīng)急相結(jié)合；堅(jiān)持“誰主管誰負(fù)責(zé)、誰運(yùn)營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”等原則，充分調(diào)動(dòng)各方力量，共同做好市醫(yī)保局網(wǎng)絡(luò)安全事件的預(yù)防與處置工作。第四條本預(yù)案適用于市醫(yī)保局網(wǎng)絡(luò)安全事件的應(yīng)對(duì)工作。第二章管理機(jī)構(gòu)及職責(zé)第五條市醫(yī)保局成立網(wǎng)絡(luò)安全應(yīng)急辦公室，在局網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組（以下簡(jiǎn)稱領(lǐng)導(dǎo)小組）的領(lǐng)導(dǎo)下開展網(wǎng)絡(luò)安全應(yīng)急工作。網(wǎng)絡(luò)安全應(yīng)急辦公室設(shè)在局辦公室。第六條網(wǎng)絡(luò)安全應(yīng)急辦公室主要職責(zé)：（一）貫徹落實(shí)局黨組決策部署，落實(shí)領(lǐng)導(dǎo)小組工作安排;（二）向領(lǐng)導(dǎo)小組報(bào)告網(wǎng)絡(luò)安全事件應(yīng)對(duì)工作相關(guān)情況，重大事項(xiàng)向局黨組報(bào)告；（三）制定（完善）局網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案；（四）組織技術(shù)力量開展網(wǎng)絡(luò)安全應(yīng)急事件處置工作；（五）開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估控制、隱患排查和整改；（六）開展網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案演練。第三章事件分級(jí)第七條網(wǎng)絡(luò)安全事件分為四級(jí)：由高到低劃分為特別重大(Ⅰ級(jí)）、重大(Ⅱ級(jí)）、較大(Ⅲ級(jí)）、一般(Ⅳ級(jí)）4個(gè)級(jí)別，其中特別重大(Ⅰ級(jí)）、重大(Ⅱ級(jí)）遵循《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》分級(jí)標(biāo)準(zhǔn)進(jìn)行分級(jí)，較大(Ⅲ級(jí)）、一般(Ⅳ級(jí)）分級(jí)標(biāo)準(zhǔn)由我局按照嚴(yán)重程度、可控性和影響范圍等因素確定。第八條符合下列情形之一的，為特別重大網(wǎng)絡(luò)安全事件：（一）重要網(wǎng)絡(luò)和信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失，造成系統(tǒng)大面積癱瘓，喪失業(yè)務(wù)處理能力；（二）國家秘密信息、重要敏感信息和關(guān)鍵數(shù)據(jù)丟失或被竊取、篡改、假冒，對(duì)國家安全和社會(huì)穩(wěn)定構(gòu)成特別嚴(yán)重威脅；（三）其他對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成特別嚴(yán)重威脅、造成特別嚴(yán)重影響的網(wǎng)絡(luò)安全事件。第九條符合下列情形之一的，為重大網(wǎng)絡(luò)安全事件：（一）重要網(wǎng)絡(luò)和信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失，造成系統(tǒng)長(zhǎng)時(shí)間中斷或局部癱瘓，業(yè)務(wù)處理能力受到極大影響；（二）國家秘密信息、重要敏感信息和關(guān)鍵數(shù)據(jù)丟失或被竊取、篡改、假冒，對(duì)國家安全和社會(huì)穩(wěn)定構(gòu)成嚴(yán)重威脅；（三）其他對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成嚴(yán)重威脅、造成嚴(yán)重影響的網(wǎng)絡(luò)安全事件。第十條符合下列情形之一的，為較大網(wǎng)絡(luò)安全事件：（一）網(wǎng)絡(luò)配線間火災(zāi)或面臨火災(zāi)威脅；（二）因中心節(jié)點(diǎn)斷電、水害、故障失靈等，導(dǎo)致網(wǎng)絡(luò)中斷且5個(gè)工作日以內(nèi)不能恢復(fù)正常使用；（三）因數(shù)據(jù)丟失或系統(tǒng)故障，主要信息系統(tǒng)5個(gè)工作日以內(nèi)不能恢復(fù)正常使用；（四）局門戶網(wǎng)站內(nèi)容被惡意篡改；（五）病毒或木馬入侵導(dǎo)致網(wǎng)絡(luò)30%以上的服務(wù)器、計(jì)算機(jī)感染。第十一條符合下列情形之一的，為一般網(wǎng)絡(luò)安全事件：（一）因中心節(jié)點(diǎn)斷電、水害、故障失靈等，導(dǎo)致網(wǎng)絡(luò)中斷且1個(gè)工作日以內(nèi)不能恢復(fù)正常使用；（二）因數(shù)據(jù)丟失或系統(tǒng)故障，主要信息系統(tǒng)1個(gè)工作日以內(nèi)不能恢復(fù)正常使用；（三）局門戶網(wǎng)站被攻擊導(dǎo)致1個(gè)工作日以上不能正常發(fā)布內(nèi)容；（四）病毒或木馬入侵導(dǎo)致網(wǎng)絡(luò)10%以上的服務(wù)器、計(jì)算機(jī)感染。第四章監(jiān)測(cè)與預(yù)警第十二條建立網(wǎng)絡(luò)安全事件信息監(jiān)測(cè)機(jī)制，通過以下途徑獲取預(yù)報(bào)信息：（一）主管部門告知的預(yù)報(bào)信息；（二）國家通過新聞媒體公開發(fā)布的網(wǎng)絡(luò)安全事件預(yù)警信息；（三）各區(qū)縣局上報(bào)的網(wǎng)絡(luò)安全事件預(yù)警信息；（四）網(wǎng)絡(luò)與信息安全通報(bào)機(jī)制渠道接收的網(wǎng)絡(luò)安全預(yù)警信息、事件信息；（五）經(jīng)風(fēng)險(xiǎn)評(píng)估得出的可能發(fā)生的網(wǎng)絡(luò)安全事件；第十三條按照“誰主管誰負(fù)責(zé)、誰運(yùn)營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，分別做好網(wǎng)絡(luò)安全監(jiān)測(cè)工作,辦公室負(fù)責(zé)局門戶網(wǎng)站監(jiān)測(cè)工作。第十四條網(wǎng)絡(luò)安全事件預(yù)警等級(jí)遵循《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》的分級(jí)標(biāo)準(zhǔn)，由高到低依次為：紅色預(yù)警、橙色預(yù)警、黃色預(yù)警和藍(lán)色預(yù)警，分別對(duì)應(yīng)發(fā)生或可能發(fā)生特別重大、重大、較大和一般網(wǎng)絡(luò)安全事件。第十五條網(wǎng)絡(luò)安全應(yīng)急辦公室通過對(duì)監(jiān)測(cè)信息進(jìn)行研判，對(duì)需要立即采取防范措施的，立即向領(lǐng)導(dǎo)小組報(bào)告，同時(shí)組織實(shí)施相應(yīng)預(yù)防工作，并結(jié)合具體情況發(fā)布黃色及以下預(yù)警。對(duì)可能發(fā)生重大及以上網(wǎng)絡(luò)安全事件的信息，在報(bào)經(jīng)領(lǐng)導(dǎo)小組同意后，及時(shí)向市委網(wǎng)信辦報(bào)告。第十六條加強(qiáng)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)工作。對(duì)網(wǎng)絡(luò)安全主管部門發(fā)布的紅色預(yù)警，應(yīng)及時(shí)轉(zhuǎn)發(fā)并指定專人24小時(shí)值班，應(yīng)急工作全部人員保持通信聯(lián)絡(luò)暢通，同時(shí)組織開展應(yīng)急處置或準(zhǔn)備、風(fēng)險(xiǎn)評(píng)估和控制工作。對(duì)網(wǎng)絡(luò)安全主管部門發(fā)布的橙色預(yù)警，應(yīng)及時(shí)轉(zhuǎn)發(fā)并組織開展應(yīng)急響應(yīng)工作，結(jié)合實(shí)際情況及時(shí)開展風(fēng)險(xiǎn)評(píng)估、應(yīng)急準(zhǔn)備和風(fēng)險(xiǎn)控制工作。對(duì)黃色、藍(lán)色預(yù)警，應(yīng)根據(jù)需要轉(zhuǎn)發(fā)并對(duì)事態(tài)的發(fā)展進(jìn)行跟蹤研判，同時(shí)制定防范措施，協(xié)調(diào)開展應(yīng)急處置。上述工作的有關(guān)情況應(yīng)及時(shí)報(bào)告領(lǐng)導(dǎo)小組，發(fā)現(xiàn)重要情況經(jīng)領(lǐng)導(dǎo)小組同意后，及時(shí)向市委網(wǎng)信辦報(bào)告。第十七條網(wǎng)絡(luò)安全應(yīng)急辦公室應(yīng)根據(jù)實(shí)際情況，報(bào)請(qǐng)領(lǐng)導(dǎo)小組審核后，確定是否解除經(jīng)網(wǎng)絡(luò)安全應(yīng)急辦公室發(fā)布的黃色、藍(lán)色預(yù)警。第五章應(yīng)急處置第十八條網(wǎng)絡(luò)安全事件應(yīng)急處置工作在網(wǎng)絡(luò)安全應(yīng)急辦公室統(tǒng)一調(diào)度下開展。發(fā)生較大或一般網(wǎng)絡(luò)安全事件時(shí)，相關(guān)人員必須在1小時(shí)內(nèi)向網(wǎng)絡(luò)安全應(yīng)急辦公室主任報(bào)告，應(yīng)急辦公室主任在知曉情況后，4小時(shí)內(nèi)向領(lǐng)導(dǎo)小組報(bào)告，同時(shí)組織開展應(yīng)急處置工作，必要時(shí)組織外部技術(shù)專家參與。第十九條根據(jù)不同網(wǎng)絡(luò)安全事件，采取針對(duì)性緊急處置措施。（一）設(shè)備設(shè)施故障應(yīng)急處置1．網(wǎng)絡(luò)配線間供電中斷。（1）供電中斷后，值班人員應(yīng)立即告知電力維修人員，同時(shí)記錄相關(guān)信息，開展原因排查；（2）如因內(nèi)部故障（線路、設(shè)備等故障），應(yīng)迅速搶修恢復(fù)；（3）如因外部原因，立即與供電單位聯(lián)系，迅速恢復(fù)供電。2．服務(wù)器故障。（1）系統(tǒng)管理員應(yīng)立即記錄相關(guān)信息，并對(duì)故障原因進(jìn)行排查，如有備用服務(wù)器應(yīng)立即啟用；（2）如屬于軟件故障，應(yīng)先備份好數(shù)據(jù)，再對(duì)系統(tǒng)進(jìn)行修復(fù)或重新安裝；（3）如屬于硬件故障不能恢復(fù)的，應(yīng)注意保存磁盤數(shù)據(jù)，避免反復(fù)重啟，并立即與相關(guān)廠商聯(lián)系維修；（4）如設(shè)備不能及時(shí)修復(fù)，應(yīng)公告各使用單位。3．內(nèi)部局域網(wǎng)中斷。（1）網(wǎng)絡(luò)管理員應(yīng)立即記錄相關(guān)信息，迅速判斷故障節(jié)點(diǎn)，并對(duì)故障原因進(jìn)行排查；（2）如屬線路故障，應(yīng)更換故障線路并調(diào)試通暢；（3）如屬路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備故障，應(yīng)立即啟用備用設(shè)備，并調(diào)試通暢，然后視情況聯(lián)系設(shè)備廠商報(bào)修或購買新設(shè)備；（4）如屬路由器、交換機(jī)配置文件損壞，應(yīng)迅速重新配置，并調(diào)試通暢。4．電信運(yùn)營線路中斷。（1）網(wǎng)絡(luò)管理員應(yīng)立即聯(lián)系電信運(yùn)營商迅速排查故障節(jié)點(diǎn)，查明故障原因；（2）督促電信運(yùn)營商盡快恢復(fù)通信；（3）如預(yù)計(jì)恢復(fù)時(shí)間超過兩小時(shí),應(yīng)告知各使用單位暫停使用網(wǎng)絡(luò)直到網(wǎng)絡(luò)恢復(fù)正常。（二）網(wǎng)絡(luò)攻擊、木馬、病毒等應(yīng)急處置1．網(wǎng)絡(luò)攻擊事件。（1）保護(hù)好現(xiàn)場(chǎng)，記錄好相關(guān)信息，保存好系統(tǒng)日志等；（2）立即通過技術(shù)手段阻止網(wǎng)絡(luò)攻擊的進(jìn)一步升級(jí)，必要時(shí)可切斷網(wǎng)絡(luò)，將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來。若相關(guān)系統(tǒng)遭破壞時(shí)，停止系統(tǒng)運(yùn)行；（3）追查非法網(wǎng)絡(luò)攻擊來源，必要時(shí)可請(qǐng)信息安全機(jī)構(gòu)參與分析研究。查明情況后，經(jīng)領(lǐng)導(dǎo)小組同意，向市委網(wǎng)信辦報(bào)告或向市公安部門報(bào)警；（4）針對(duì)發(fā)現(xiàn)的安全問題，采取相應(yīng)的安全技術(shù)進(jìn)行防護(hù)，避免再次被攻擊，及時(shí)恢復(fù)或重建被攻擊或被破壞的系統(tǒng)。2．重要系統(tǒng)被植入木馬或間諜程序。（1）抓取能證明被植入木馬或間諜程序的界面，注意保存好相關(guān)系統(tǒng)日志；（2）必要時(shí)可切斷網(wǎng)絡(luò)，將被植入木馬或間諜程序的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來；（3）及時(shí)清除木馬或間諜程序，并追查來源，必要時(shí)可請(qǐng)信息安全機(jī)構(gòu)參與分析研究。查明情況后，經(jīng)領(lǐng)導(dǎo)小組同意，向市委網(wǎng)信辦報(bào)告或向市公安部門報(bào)警；（4）針對(duì)發(fā)現(xiàn)的安全問題，采取相應(yīng)的安全技術(shù)進(jìn)行防護(hù)，防止再次被植入木馬或間諜程序。3．危害系統(tǒng)運(yùn)行的病毒暴發(fā)。（1）將染毒計(jì)算機(jī)、服務(wù)器從網(wǎng)絡(luò)上隔離，啟用反病毒軟件殺毒；（2）當(dāng)認(rèn)為查殺病毒可能對(duì)服務(wù)器數(shù)據(jù)造成損害時(shí)，應(yīng)對(duì)服務(wù)器數(shù)據(jù)進(jìn)行備份；（3）啟用反病毒軟件殺毒無效時(shí)，立即升級(jí)最新版本后查殺，仍無效時(shí)，通知反病毒軟件公司或相關(guān)技術(shù)專家，提供病毒樣本，尋求支持解決；（4）確認(rèn)反病毒軟件有效時(shí)，應(yīng)發(fā)布公告，組織全網(wǎng)計(jì)算機(jī)統(tǒng)一清查殺毒。（三）重要信息系統(tǒng)安全事件緊急處置1．局門戶網(wǎng)站內(nèi)容被惡意篡改。（1）立即切斷網(wǎng)站服務(wù)器與互聯(lián)網(wǎng)的聯(lián)接；（2）抓取保存被惡意篡改內(nèi)容的全部網(wǎng)頁頁面，并保存好系統(tǒng)日志；（3）查找系統(tǒng)安全漏洞，采取進(jìn)一步的安全防范措施；（4）清除非法信息，重新加載正確信息，經(jīng)檢查發(fā)布無誤后，聯(lián)通互聯(lián)網(wǎng)，恢復(fù)網(wǎng)站訪問；（5）分析追查非法信息來源，必要時(shí)可請(qǐng)信息安全機(jī)構(gòu)參與分析研究。查明情況后，經(jīng)領(lǐng)導(dǎo)小組同意，向市委網(wǎng)信辦報(bào)告或向市公安部門報(bào)警。2．醫(yī)保信息系統(tǒng)故障。（1）上報(bào)上級(jí)醫(yī)保部門開展系統(tǒng)故障排查工作；（2）如屬系統(tǒng)配置的問題，保存好系統(tǒng)日志，重新配置，調(diào)試至系統(tǒng)正常運(yùn)行；（3）如屬系統(tǒng)服務(wù)停止運(yùn)行，根據(jù)具體情況重啟數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)等服務(wù)。同時(shí)根據(jù)日志等信息分析原因，做好系統(tǒng)修復(fù)；（4）不能判斷故障原因時(shí)，聯(lián)系應(yīng)用軟件開發(fā)集成商、系統(tǒng)軟件開發(fā)商，提出解決方案。（四）災(zāi)害性事件緊急處置1．網(wǎng)絡(luò)配線間發(fā)生火災(zāi)。（1）火災(zāi)剛發(fā)生時(shí)，機(jī)房值班人員或身置起火現(xiàn)場(chǎng)的人員使用滅火器等撲救初期火災(zāi)，呼喊提醒同事協(xié)助，設(shè)法電話聯(lián)系物業(yè)值班室一同處置；（2）火災(zāi)不能及時(shí)撲滅，立即撥打119報(bào)警電話，通過專業(yè)消防實(shí)施撲救。疏散周圍人員迅速離開，同時(shí)關(guān)閉好辦公樓其他房間門窗，以減少火災(zāi)殃及其他區(qū)域的可能性；（3）火災(zāi)撲滅后，協(xié)助專業(yè)消防部門保護(hù)現(xiàn)場(chǎng)，配合調(diào)查起火原因，清理現(xiàn)場(chǎng)，盡可能保全設(shè)備資產(chǎn)和信息資源；（4）研討盡快恢復(fù)系統(tǒng)設(shè)備正常運(yùn)行的最佳解決方案，做好系統(tǒng)恢復(fù)。2．網(wǎng)絡(luò)配線間發(fā)生水害。（1）立即清掃去除積水，加強(qiáng)通風(fēng)，必要時(shí)應(yīng)當(dāng)先切斷電源再行處置；（2）需要系統(tǒng)停止運(yùn)行再行處置的，執(zhí)行相應(yīng)的操作；（3）屬于自來水造成的水害，應(yīng)立即通知物業(yè)值班室關(guān)閉水源；（4）確認(rèn)水害消除，網(wǎng)絡(luò)配線間干燥后，恢復(fù)供電或恢復(fù)系統(tǒng)運(yùn)行。第六章調(diào)查與評(píng)估第二十條網(wǎng)絡(luò)安全事件處置完畢后，網(wǎng)絡(luò)安全應(yīng)急辦公室應(yīng)向領(lǐng)導(dǎo)小組