绍兴市财政局网络安全事件综合应急预案及操作方法

　　为建立健全我局网络安全事件应急工作机制，明确应急相关指挥体系和工作流程，提高对网络安全突发事件的应对能力，减少重大网络安全突发事件造成的损失和危害，保障业务系统运行平稳、安全、有序、高效，制定本应急预案。

　　提高全局干部职员的网络安全防护意识，加强信息系统安全体系建设，建立完善的网络安全管理制度，按照信息系统建设运行的特点和规律积极做好日常安全工作，开展网络安全教育和培训工作，提升全局干部职员应对突发网络安全事件的能力。

　　建立网络安全预警和事件快速反应机制，建立高效的事件汇报渠道，强化人力、物资、技术储备，增强应急解决能力。保证对网络安全事件做到早发现、早报告、早处理、早恢复等环节的紧密衔接，如果出现影响信息系统的安全事件，快速反应，及时准确处置。

　　把保障财政公信力作为第一个任务，网络安全事件发生后，应最大程度地减少损害，降低影响，维护财政形象。

　　加快应急制度建设和完善，规范应急处置措施与操作的过程，明确网络安全应急响应工作的角色和职责，定时进行预案演练，实现应急响应工作的规范化、制度化和流程化。

　　本预案适用于绍兴市财政局网络、计算机及相关配套设备、运行环境及财政各信息系统安全事件的应急响应工作。

　　综合考虑网络与信息安全事件的起因、表现、结果等，网络与信息安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、内容信息安全事件、设备设施故障、灾害性事件和别的信息安全事件等7个基本分类，每个基本分类分别包括若干个子类。

　　有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件。

　　网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

　　信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件。

　　信息内容安全事件是指利用互联网传播法律和法规禁止信息，组织非法串联、煽动集会或炒作敏感问题并危害国家安全、社会稳定和公共利益的事件。

　　设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故、和其它设备设施故障。

　　根据网络安全事件造成后果的严重程度，财政网络安全事件可划分为4个等级，其中1级危害程度最高，4级危害程度最低，各级网络安全事件的描述如下：

　　1级网络安全事件（红色）：特别重大网络安全事件。我局重要网络和信息系统遭受很严重的系统损失，造成系统瘫痪，丧失业务解决能力；重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对我局工作造成特别极度影响的网络安全事件；其他对我局、社会秩序、经济建设和公众利益构成很严重威胁、造成特别极度影响的网络安全事件。

　　2级网络安全事件（橙色）：重大安全事件。我局重要网络和信息系统遭受严重的系统损失，造成系统长时间中断，业务解决能力受到极大影响；部分重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对我局工作造成严重影响的网络安全事件；其他对我局、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。

　　3级网络安全事件（黄色）：较大安全事件。我局重要网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率，业务解决能力受一定的影响；少量重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对我局工作造成较大影响的网络安全事件；其他对我局、社会秩序、经济建设和公众利益构成较大威胁、造成较大影响的网络安全事件。

　　4级网络安全事件（蓝色）：一般安全事件。造成我局信息系统短暂中断但可立即修复，业务解决能力受一定的影响较小；未达到3级及以上网络安全事件所描述情形，但对我局、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件。

　　绍兴市财政系统信息安全响应的组织机构包括领导决策层、管理协调层和应急执行层三层。

　　网络与信息安全专家组为各层级提供应急响应咨询、论证、技术上的支持等辅助工作。

　　（1）统筹协调组织市局网络安全事件应对工作，推进市局网络安全事件应急机制和工作体系建设。

　　（1）平时负责和处理网络安全日常工作，当本预案启动后，信安办整体转为网络与信息安全应急办公室（简称应急办），进入应急处置模式，进行应急处置管理与协调。

　　（2）研究提出网络安全应急机制建设规划和工作规划，检查、指导和督促市局网络安全应急机制建设。

　　（3）负责市局应急预案管理，指导督促重要信息系统应急预案的修订和完善，检查落实预案执行情况。

　　（5）负责较大网络安全事件的组织和协调，经领导小组授权后，负责重大网络安全事件的组织和协调。

　　（1）安全事件接警确认、分析及安全事件初定级，根据事件等级上报信安办（应急办）。

　　（3）参与应急响应决策过程，从技术方面考虑，为领导小组及其办公室决策提供建议。

　　（1）负责对外预警信息的草拟，负责向上级单位信安办（应急办）、市网络与信息安全信息通报中心等单位报告文书的草拟（模板事前拟定）。

　　（1）参与应急响应决策过程，从业务方面考虑，为领导小组及其办公室决策提供建议。

　　（2）根据应急响应工作的需要，采取对应的应急处置措施，组织实施业务的中断与恢复。

　　网络安全事件发生后，根据真实的情况，采取对应处置措施，以下是安全事件应急响应流程图：

　　1．有关人员接到安全事件报告并做相关确认后，立即通知应急响应技术组组长，应急响应技术组组长应立即组织有关人员对安全事件做出详细的调查分析和评估工作，并对安全事件级别作出初步判断，必要时向专家组咨询，同时应填写《绍兴市财政局网络安全事件应急处置单》（附件一）。

　　2．若初步判断为4级网络安全事件，由各应急小组直接处理：应急响应技术组进行技术处置；应急响应业务组进行业务处置，并重视安全事件的发展；应急响应综合组分别通知涉及的部门、人员做好安全事件事态恶化的有关应急处置准备工作。

　　3．若初步判断为3级以上（含3级）的网络安全事件，应急响应技术组在实施前期应急处置的同时应立即向信安办（应急办）报告，各应急响应组做好准备工作的同时向信安办（应急办）提出应急处置建议。信安办（应急办）对安全事件进行进一步分析、评估，必要时向专家组咨询。若确认为3级网络安全事件的，由信安办（应急办）进行现场统一指挥和决策，事后向领导小组报告；若认为属2级（含2级）以上网络安全事件的，立即向领导小组报告。

　　4．领导小组在接到报告后，应立即召集专题会议，必要时向专家组咨询，确定安全事件级别为2级（含2级）以上的，组织有关人员进行现场指挥。

　　5．网络安全事件为3级的，由信安办（应急办）组织向市网络与信息安全信息通报中心报告安全事件情况；安全事件为2级及以上的，经领导小组批准,由信安办（应急办）及时向市网络与信息安全信息通报中心报告安全事件情况。安全事件情况报告的内容与格式参见附件二。

　　6．应急响应技术组应将相关信息通报相关设备及服务提供商，以获得必要的应急响应支持。

　　应急响应技术组接到报告后，要立即采取临时应对措施，防止事态扩大，尽可能减少损失与影响。同时，保护事件现场，获取安全事件证据，备份相关系统日志与审计记录。

　　安全事件为3级的，由信安办（应急办）启动特定系统应急预案；2级及以上安全事件，领导小组启动或授权信安办（应急办）启动特定系统应急预案。

　　（1）处置过程中，假如发现应急处置措施确实存在缺陷，4级网络安全事件由各应急响应组决定是不是变更和怎么样做调整；3级网络安全事件由信安办（应急办）研究决定是否变更和如何做调整；2级及以上网络安全事件由领导小组组织研究和分析，决定是不是变更和怎么样做调整。

　　（2）应急处置中，如果因事态变化而造成网络安全事件等级变化，各应急响应组应当立即向信安办（应急办）报告，调整为2级及以上的安全事件报领导小组研究决定，调整为3级及以下安全事件由信安办（应急办）研究决定，各应急响应组按照新的事件等级进行处置。

　　（4）应急处置结束后，各应急响应组要继续监控网络与信息系统的运行，直至确定可持续正常运行为止。

　　安全事件为3级的，由信安办（应急办）按要求对外统一发布；安全事件为2级及以上的，经领导小组审核批准后，由信安办（应急办）按要求对外统一发布。发布的内容应包括预警级别色标、事件的类别、可能波及的范围、可能危害程度、可能延续时间、提醒事宜和应采取的措施等。

　　市局因特网门户网站、预算单位门户、FOA邮件、钉钉、微信、QQ、电话、短信、传线）其他要求

　　安全事件经应急处置并得到一定效果控制后，安全事件为3级的，由信安办（应急办）宣布应急结束；安全事件为2级及以上的，由信安办（应急办）提出应急结束的建议，经领导小组批准后执行。应急结束必须同时具备以下条件：

　　在应急结束后，应急响应技术组和应急响应业务组要迅速采取一定的措施，对事件造成的损失和影响以及恢复重建能力做多元化的分析评估，确认隐患已消除，解除临时应对措施，迅速组织实施信息系统重建，恢复系统正常运行。

　　应急工作结束后，各应急响应组向信安办（应急办）提交书面应急工作总结报告（格式参见附件三），由信安办（应急办）进行汇总，并向领导小组汇报。

　　总结结束后，网络安全事件为3级的，由信安办（应急办）组织及时向市网络与信息安全信息通报中心报告事件情况、处置过程、处置结果等详情；网络安全事件为2级及以上的，经领导小组批准，由信安办（应急办）向市网络与信息安全信息通报中心报告事件情况、处置过程、处置结果等详细情况。

　　1．组织机构中的人员，要根据变动情况及时来更新，经常性对横向（外单位）及纵向（上级和下级部门）联系对象进行沟通了解，及时根据人员机构变动调整联系对象，确保在紧急状况下联系方式的可靠性。

　　2．对重要系统、网络、设备、软件等都明确责任人，对重要系统、关键设备及软件的维护设置A、B角岗位。

　　2．做好通信与信息保障工作。应急响应综合组要加强应急通信设施与工具的配备。

　　定期组织并且开展网络与信息系统的应急演练，以检验应急通讯、应急人员、应急设备、应急操作流程的可靠性和可用性。通过应急演练，发现并及时修改应急预案中存在的缺陷和不足，检验各部门的应急保障能力、应急人员对应急响应工作的了解程度和实际操作技能。

　　1．各应急响应组应定期识别评估职责范围内的业务和技术风险，并结合实际应急响应、系统调整、人员变动、业务变化及应急演练中发现的问题等进行动态维护和更新。信安办（应急办）负责综合应急预案、应急预案操作方法的动态维护，应急响应技术组、业务组负责特定系统应急预案的动态维护。

　　2．应急预案的更新应及时通知所涉及到的有关人员，并落实到每一次的培训和测试中。

　　网络安全事件应急处置是一项综合性工作，涉及内容多。为既要遵循预案的规范性、全面性，又要兼顾可操作性和灵活性，结合实际，我局网络安全事件应急预案分为四部分：综合应急预案及操作方法、各特定系统应急预案和应急处置的组织机构。

　　综合应急预案及操作方法既是面向整体的、全面的、综合性应急预案，又能以直观化方式体现，具有很强的可操作性，能有效指导应急工作的开展。本预案即为综合应急预案及操作方法。

　　特定系统应急预案是综合应急预案及操作方法的延伸和细化。面向的对象主要是负责具体处置的工作人员，通过图表的形式对特定系统的具体处置工作作出周密、细致的安排，规范各岗位的应急处置职责。由于有业务处置和技术处置两方面的工作，具体可分为特定系统业务应急预案和特定系统技术应急预案。可另行发文。

　　应急处置的组织机构即网络与信息安全领导小组及其办公室，是综合应急预案及操作办法不可或缺的重要组成部分。为避免由于人员、岗位变动而需频繁重新发布综合应急预案，可另行发文。

　　□有害程序事件 □网络攻击事件 □信息破坏事件 □内容信息安全事件 □设备设施故障（软硬件自身故障）□灾害性事件 □其它事件