点击率 |
第一章总则
一、预案制定目的。为保障我局政府网站安全,预防和遏制网站突发事件(事故)的发生,减轻和消除突发事件(事故)造成的危害和影响,特制定《杭州市经济和信息化局网站安全应急处置预案》(以下简称预案)。
二、应急工作指导思想,工作常态化及职责。预案以《计算机信息网络国际联网安全保护管理办法》、《杭州市计算机信息网络安全保护管理条例》等为指导思想,总结工作中行之有效的经验,以构建预防为主、防治结合的网站安全长效管理与应急处理机制,以保证系统安全稳定运行,努力将网站安全工作纳入制度化、科学化和规范化轨道,以提高网站快速反应和应急处理能力。同时应急处置除各网站开办单位外,各网络运营商负责基础网络设施的安全,同样要做好相应应急处置工作。
三、网站管理应急处置应坚持“预防为主,防控结合”的原则。在认真做好日常管理和监控的基础上,充分做好紧急情况下网站运作管理的应急准备,健全防控措施,完善处理机制,加强应急演练,确保在应急情况下作出反应迅速、处置果断。
四、当出现以下所列情况之一时,确认已达到应急情况标准,就迅速启动相应的应急处理程序。
(一)网站网页内容被恶意篡改。
(二)网站出现违法信息。
(三)其他紧急情况。
第二章 应急处理机构及职责
五、为保证应急情况下应急机制的迅速启动和指挥顺畅,应急组织设立指挥组、行动组。
(一)指挥组
指挥组组长由主管领导担任,应急预案启动后,负责应急行动工作的总体组织指挥工作。行动组在指挥组的统一领导下开展工作。其主要职责为:
1、应急行动期间的总体组织指挥,研究布置应急行动有关具体事宜。
2、向上级汇报应急行动的进展情况和向有关部门通报相关情况。
3、负责与有关部门进行重大事项的工作协调。
4、负责应急行动其它的有关组织领导工作。
(二)行动组
行动组由各重要网站分管领导、具体负责人组成。展开行动后,行动组根据指挥组的指挥开展相应的应急行动。其主要职责为:
1、执行指挥组下达的应急指令。
2、负责处理现场一切故障现象。
3、随时向指挥组汇报应急工作的进展情况。
4、负责联系相关服务商和技术人员,获取技术支持。
第三章 应急响应的处置流程和主要内容
六、应急响应处置流程。
(一)监测阶段:
由网站监测人员对网站监测结果进行分析,判断网站是否存在被攻击的情况,如网站正在遭受攻击或已经出现网页被篡改等异常情况,则立即上报上级领导,确定危险等级,同时上报指挥组。指挥组启动应急预案,安排行动组运维人员进行处理。
(二)抑制阶段
行动组运维人员接到应急指令后,首先联系系统服务商省集约化平台运维人员,切断网站网络,关停网站,并将相关日志则交由省集约化平台安全人员进行分析。同时由行动组运维人员完成数据和模板等信息的备份,将处置结果反馈给指挥组。
(三)分析阶段
安全人员在收到日志后,马上对日志进行分析,确认存在的相关问题,同时对系统安全和漏洞进行检测分析。待确定具体所受攻击原因后,将结果反馈回省集约化平台运维人员。
(四)根除阶段
省集约化平台运维人员在确定存在的漏洞后,立即完成后门清除和漏洞修复,并在确认安全的情况下联系行动组运维人员。行动组运维人员确认无误后,将处置结果上报指挥组,并请示恢复网站。
(五)恢复阶段
指挥组检查确认后,向运维人员下达网站恢复指令,运维人员在省集约化平台运维人员的协助下完成网页和数据的恢复和确认。并重新启动网站的访问。
(六)总结阶段
指挥组针对此次漏洞存在的问题总结具体原因,分析所受到的影响,在日常维护中制定新的工作要求,并将此次漏洞的相关问题记录完整,方便后续的预防。
七、网站、网页出现违法信息、网页内容被篡改等的紧急处置措施。
(一)事前预防:
网站、网页由各单位网站负责人(值班人员)随时密切监视信息内容。每天早、中、晚三次不少于一小时巡查。
(二)事中处置:
发现网上出现违法信息、网页被篡改时:
1、负责人员应立即向单位分管领导报告情况;
2、对网站问题页面进行固定截图保留痕迹;
3、网站运维单位(杭州瑞成信息技术有限公司)技术人员应在接到通知后立即对问题页面进行修改并重新发布;
4、如页面内容修改异常则应立即调整网站首页为“网站维护中”的模板;
5、联系省集约化平台技术维护人员通过服务器删除问题页面,并同时取消域名解析;
6、对网站问题页面进行处理,并在确保安全的情况下再重新投入使用;
7、网站维护人员应妥善保存好有关记录及日志或审计记录。
(三)事后处理:
网站分管领导、负责人、维护人员配合公安机关调查,提供相关数据、档案,由公安机关进行行为溯源,打击违法犯罪。
1、在单位分管领导的领导下,配合有关部门,组织调查,查明原因和具体责任等情况。
2、对事件(事故)产生原因,由公安部门做好事件调查工作。
3、公安机关根据调查结果和有关法律、法规及规章制度,对相关部门、人员进行处理、处罚。
4、根据处理、处罚结果和领导的指示,由有关部门发文进行通报,以示警示。
八、关键人员不在岗的紧急处置措施
(一)对于关键岗位平时应做好人员储备,“双保险”。各单位应确保同一项工作有两人能操作,并建立应急联系名册,应急人员应24小时手机保持通畅,网站应急维护人员如下:
(二)一旦发生关键人员不在岗的情况,分管领导先期处置。关键人员不在岗,首先应向单位值班领导、网站安全分管领导汇报情况,并由分管领导联系相关技术人员进行处置。
第四章 应急行动的基本制度
九、网站安全日常管理(24小时值守)制度。特殊时段及应急程序启动后,网站开办单位应安排专门人员进行24小时值守。
十、网站安全报告制度。日常巡查和应急程序实施期间,在遇有重大情况和自身不能处理的事项均应立即向上级领导、部门请示报告。
十一、网站安全责任追究制度。单位明确网站安全负责人,使责任有着落,同时明确协助相关部门进行调查的工作职责,一旦发生网络安全事件(事故),原因有查处,责任有去处。
杭州市经济和信息化局
2022年06月30日