江苏省公共互联网网络安全应急预案文档格式.docx
《江苏省公共互联网网络安全应急预案文档格式.docx》由会员分享,可在线阅读,更多相关《江苏省公共互联网网络安全应急预案文档格式.docx(20页珍藏版)》请在冰点文库上搜索。
7.附则15
7.1名词术语说明15
7.2预案解释部门15
7.3预案生效时间15
附件二:
信息报送项目19
1.总则
1.1编制目的
建立健全我省公共互联网网络安全应急工作机制,提高应对突发公共互联网网络安全事件的能力,预防和减少公共互联网网络安全事件造成的损失、危害和影响,维护公共互联网安全可靠运行。
1.2编制依据
《中华人民共和国电信条例》等法律、行政法规,《公共互联网网络安全应急预案》、《江苏省突发公共事件总体应急预案》、《江苏省通信保障应急预案》等相关规定。
1.3工作原则
公共互联网网络安全应急工作坚持统一指挥、分工负责、及时预警、分级响应、密切协同、快速处置、确保恢复的原则。
1.4适用范围
本预案适用于以下事件的预防和处置工作。
(1)省内公共互联网网络安全事件。
(2)依托江苏省公共互联网运行的关系国计民生、社会稳定的国家重要计算机信息系统(以下简称重要信息系统)发生网络安全事件且需要江苏省通信管理局协调提供应急支援的。
(3)非经营性互联单位发生网络安全事件且需要江苏省通信管理局协调提供应急支援的。
省内发生的重大活动或其他敏感时期的网络安全应急工作从相关专项保障预案或应急预案之规定。
发生网络安全事件涉及到对违法犯罪行为进行打击的,由相关职能部门处理。
1.5事件分类分级
根据公共互联网网络安全事件的性质和影响,将其分为Ⅰ级(特别重大网络安全事件)、Ⅱ级(重大网络安全事件)、Ⅲ级(较大网络安全事件)和Ⅳ级(一般网络安全事件)四级。
省内公共互联网网络安全事件分类分级规范由江苏省通信管理局根据工业和信息化部相关规范负责制定和调整。
2.组织机构与职责
2.1机构
江苏省通信管理局负责全省公共互联网网络安全应急工作的指挥、协调和监督管理。
负责成立江苏省的互联网网络安全应急机构,组织、协调本地区的江苏省互联网应急中心、经营性互联单位、域名服务机构、IDC、机构网络应用服务提供商等相关单位,开展互联网网络安全应急工作。
江苏省通信管理局设立省通信保障应急领导小组,领导小组下设省互联网应急处理工作办公室(以下简称省互联网应急办),省互联网应急办主任由省通信管理局分管领导担任,成员由省通信管理局互联网管理处、通信发展与保障处、市场监管处,国家计算机网络应急技术处理协调中心江苏分中心(以下简称江苏省互联网应急中心),省内各经营性互联单位负责互联网网络安全应急处理工作的部门组成。
负责我省公共互联网网络安全应急工作方面的日常事务处理及互联网网络安全应急响应期间的具体组织协调工作。
2.2职责
省互联网应急办承担省通信保障应急领导小组在互联网网络安全应急工作方面的日常事务处理。
其职责如下:
1、日常联络及事务处理。
负责与省内相关部门、经营性互联单位、江苏省互联网应急中心间的日常协调沟通,保持信息上报、通报等沟通联络渠道的畅通;
对应急准备工作进行指导、监督和检查,组织开展应急演练;
就互联网应急管理工作向省通信保障应急领导小组提出相关建议,处理领导小组交办的相关事务。
2、应急处置期间的运转枢纽。
在应急处置期间,按照省通信保障应急领导小组下达的命令和指示,具体协调和组织实施互联网网络安全应急处置工作,包括:
对各经营性互联单位和江苏省互联网应急中心进行指挥调度,组织研究应急处置方案或对外支援方案,并协调落实相关处理与支援措施;
履行信息值守和信息研判职责,及时收集、汇总、分析各有关单位上报的事件信息,向省通信保障应急领导小组报告并提出应对建议。
2.3相关单位职责
(1)江苏省互联网应急中心:
负责江苏省公共互联网网络安全事件的辅助监测和技术处置协调,为省通信管理局、省互联网应急办提供技术支撑,向经营性互联单位、增值电信业务经营者、域名服务机构提供技术支援,为重要信息系统单位的网络安全应急工作提供必要技术协助。
(2)经营性互联单位:
负责本单位与互联网业务相关的网络或系统的网络安全事件预防监测、信息报告和应急处置工作,并为其他单位的相关网络安全事件提供处置支援配合。
(3)增值电信业务经营者:
(4)域名服务机构:
负责本单位所运行域名业务系统的网络安全事件预防监测、信息报告和应急处置工作,并为其他单位的相关网络安全事件提供处置支援配合。
3.预防预警
3.1预防措施
经营性互联单位、增值电信业务经营者、域名服务机构应根据本预案,制定本单位的互联网网络安全应急预案。
经营性互联单位、增值电信业务经营者、域名服务机构应按照通信网络安全防护的有关政策和标准,组织开展自有网络和系统的分级保护、风险评估和灾难备份工作。
省互联网应急办负责对上述安全预防工作进行监督检查。
3.2预警分级
预警信息是指存在潜在安全威胁或隐患但尚未造成实际危害和影响的信息,或者对事件信息分析后得出的预防性信息。
公共互联网网络安全事件预警等级分为四级:
Ⅰ级(特别严重)、Ⅱ级(严重)、Ⅲ级(较重)和Ⅳ级(一般),I级为最高级,依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大、一般网络安全事件。
3.3监测上报
经营性互联单位、增值电信业务经营者、江苏省互联网应急中心、域名服务机构等应建立并完善本单位网络安全监测机制,提高监测能力,自主监测、自主定级涉及本单位管理范围内的预警信息并按照如下要求报送。
I级、II级预警信息,应于2小时内向省互联网应急办报告,抄送江苏省互联网应急中心。
III级预警信息,应于4小时内向省互联网应急办报告,抄送江苏省互联网应急中心。
IV级预警信息,应于5个工作日内报送江苏省互联网应急中心,抄送省互联网应急办。
经营性互联单位省级公司负责汇总、核实、报送市级分公司/子公司的信息。
江苏省互联网应急中心在接到预警信息后,应立即组织对预警信息进行跟踪、分析,有重要情况应及时向省互联网应急办报告。
省互联网应急办根据信息性质、内容、紧急程度等,必要时组织相关单位、专家进行研判。
各单位应以书面形式报送信息,并加盖单位公章。
紧急情况可以先电话联系,后补书面报告。
预警信息报送的内容应包括:
(1)信息基本情况描述;
(2)可能产生的危害及程度;
(3)可能影响的用户及范围;
(4)截至信息报送时,已知晓该信息的单位/人员范围;
(5)建议应采取的应对措施及建议。
(各单位预警信息上报内容见附件二)
3.4预警发布
对于I级、II级、III级预警信息,由省互联网应急办审核后,根据有关规定直接或委托江苏省互联网应急中心及时通告相关单位、人员或互联网用户省互联网应急办;
对于IV级预警信息,由江苏省互联网应急中心根据实际情况及时向相关单位、人员通告,并抄送省互联网应急办。
预警信息通告内容主要包括:
受影响的系统、可能产生的危害和危害程度、可能影响的用户及范围、建议应采取的应对措施及建议。
4.应急处置
4.1先期处置
网络安全事件发生后,涉事单位、江苏省互联网应急中心应及时组织力量,依照有关法律法规和应急预案的规定采取有效、适当的先期处置措施。
省互联网应急办负责对本地区的先期处置工作进行指挥和协调。
涉事单位在先期处置时根据需要可直接向江苏省互联网应急中心或相关单位请求支援,有关单位在接到支援请求后,应依照有关法律法规和应急预案的规定提供必要的协助和配合。
4.2信息报告
经营性互联单位、增值电信业务经营者、域名服务机构应按照网络安全事件分类分级规范(见附件一)自主进行分类、定级,并按照下述要求报送网络安全事件信息。
I级、II级事件信息应于2小时内向省互联网应急办报告,抄送江苏省互联网应急中心。
III级事件信息,应于4小时内向省互联网应急办报告,抄送江苏省互联网应急中心;
对于IV级事件信息,应按月及时汇总,于次月5个工作日内报送江苏省互联网应急中心,抄送省互联网应急办。
事件发生后出现新情况的,信息报送单位应当及时补报。
事件信息报送的内容应包括:
(1)事件发生单位概况;
(2)事件发生时间;
(3)事件简要经过;
(4)初步估计的危害和影响;
(5)已采取的措施;
(6)其他应当报告的情况。
(各单位事件信息上报内容见附件二)
4.3应急响应
4.3.1I级、II级响应
接到I级、II级事件信息报告后,省互联网应急办组织江苏省互联网网络安全专家进行研判。
对定级不当的,应进行调整;
确属I、II级事件的,应及时向领导小组组长报告并提出启动响应建议,经领导小组组长批准后启动应急响应流程,并按照有关规定报江苏省人民政府、工业和信息化部应急办和相关部门。
(1)加强应急值守
省互联网应急办实行24小时电话值班,履行应急处置工作的指挥、协调和监督职责。
领导小组成员和互联网应急办联络员保持24小时联络畅通。
江苏省互联网应急中心、经营性互联单位、增值电信业务经营者、域名服务机构启动应急响应流程,在省互联网应急办的统一指挥、协调下,组织开展本地区、本单位的应急处置工作和支援保障工作,有必要时实行24小时值班,并根据省互联网应急办的要求派出联络员参加值守工作。
(2)掌握事件动态
跟踪事态发展。
事件相关单位要密切跟踪事态发展变化情况和处置工作进展,并将相关情况及时、主动上报省互联网应急办。
检查影响范围。
事件相关单位应做好本单位受影响网络和系统、用户的统计工作,并将有关情况及时、主动上报省互联网应急办。
做好信息通报。
省互联网应急办负责汇总、整理上述有关情况,及时报告应急领导小组,通报领导小组成员。
重大事项按照有关规定报省政府应急办和相关部门。
(3)决策部署
省互联网应急办组织召开研判会,分析事件原因和发展态势,研究应急工作对策建议,明确各单位的应急工作任务,指导、协调和监督应急处置。
各相关单位应如实提供事件相关数据资料和信息,为应急决策提供信息支撑。
(4)处置实施
控制事态蔓延。
各相关单位应按照互联网应急办部署,落实应急处置和安全防范措施,加强针对性预防,防止事件范围、影响进一步扩大及次生事故的发生。
省互联网应急办负责对上述工作进行指导和监督,江苏省互联网应急中心提供技术配合和辅助性监测支持。
消除安全隐患。
事发单位要根据事件发生原因,采取针对性措施消除根源,尽快恢复网络和系统的正常运行。
省互联网应急办对上述工作进行指导,江苏省互联网应急中心提供技术支持与配合。
开展调查取证。
事发单位在应急处置过程中应保留相关证据,对于人为故意破坏活动,可向公安机关报案,并按时向省互联网应急办报告有关情况(同预警信息、事件信息的上报时限要求)。
江苏省互联网应急中心提供相关技术支持与配合。
信息发布。
信息发布工作遵循及时、准确、客观、全面的原则。
省互联网应急办负责对外发布应急工作的全局性信息,各相关部门和单位为互联网应急办的信息发布工作提供数据和信息支持。
各相关部门和单位根据职责范围向本网(单位)用户及时发布信息,对受影响公众进行解释、疏导,I级、II级事件的信息发布应经互联网应急办审核。
对外协调。
应急响应期间,省互联网应急办负责开展同省内外政府机构的协调;
江苏省互联网应急中心负责省内外网络安全组织及网络安全厂商的协调;
其他单位可利用自有渠道开展协调。
4.3.2III级响应
III级事件的应急响应,由事件涉及单位根据事件的性质和情况确定。
(1)事件发生涉及单位启动应急响应流程,按照相关预案做好应急处置管理工作。
(2)事件发生涉及单位及时将事态发展变化情况和应急处置工作情况报省互联网应急办。
省互联网应急办将有关重大事项报领导小组,并通报相关单位。
(3)对于跨地区、跨接入服务商网络安全事件,由省互联网应急办直接协调事件涉及单位进行处置,其它相关单位应予以积极配合和支持。
(4)其他单位应根据省互联网应急办的通报,结合各自实际组织开展有针对性的防范工作,防止造成更大范围影响和损失。
4.3.3IV级响应
IV级事件由事发单位按相关预案进行应急响应。
4.4应急结束
在互联网网络安全事件随着处置工作的实施而得到有效控制、事件影响逐步消除时,应适时终止应急响应。
I级、II级响应结束由省互联网应急办提出建议,经批准后通报领导小组成员,并按照有关规定报省政府应急办和相关部门。
III级响应结束一般由事发单位决定,并报告省互联网应急办;
对于省互联网应急办直接协调的跨地区、跨接入服务商网络安全事件,由省互联网应急办决定响应结束。
IV级事件由事发单位根据情况适时终止。
5.后期处置
5.1事件总结与评估
特别重大、重大、较大网络安全事件处置结束后,事发单位应当对事件造成的损失进行评估,做好受影响用户的解释与安抚工作,按照实事求是、尊重科学的原则,客观、准确查清事件原因,调查事件性质和责任,总结事件教训,提出和落实整改措施。
特别重大、重大、较大事件的损失评估和事件调查、处理工作情况应当于网络安全事件处置结束后15日内向省互联网应急办报送书面报告。
省互联网应急办认为必要时,可以组织事件调查组对特别重大、重大和较大事件进行调查。
5.2表彰与惩处
对在事件应对过程中表现突出的部门和个人应给予表彰和奖励,对于处理不当、给国家和社会造成重大损失的单位和个人依照相关规定进行惩处。
6.保障措施
6.1专家队伍建设
江苏省通信管理局组织成立江苏省互联网网络安全专家组,为江苏省互联网应急管理工作提供技术咨询和决策支撑。
经营性互联单位、增值电信业务经营者、江苏省互联网应急中心、域名服务机构等相关单位加强本地区、本单位的专家队伍建设,充分发挥专家作用。
6.2应急演练
根据江苏省互联网网络安全形势发展和应急工作需要,省互联网应急办不定期组织江苏省公共互联网网络安全应急演练,必要时组织跨部门、跨行业应急演练。
经营性互联单位、增值电信业务经营者、域名服务机构根据需要组织开展本地区或本单位的互联网网络安全应急演练。
6.3研判会商机制
省互联网应急办负责建立江苏省互联网网络安全研判会商机制,定期或不定期对江苏省公共互联网网络安全形势和应急工作进行探讨交流。
经营性互联单位、域名服务机构等相关单位应建立本地区或本单位的研判会商机制。
6.4宣传培训
江苏省通信管理局、江苏省互联网应急中心、经营性互联单位、增值电信业务经营者、域名服务机构等单位应充分利用各种媒介及其他有效宣传手段,加强突发互联网安全事件预防和处置的有关法律、法规和政策的宣传,开展网络与信息安全基本知识和技能的宣讲活动。
应建立健全本单位的应急工作培训制度,对应急工作人员进行培训,使其熟悉应急预案、规则和流程,学习网络安全应急技术,提高应急工作技能,确保应急预案的有效实施。
6.5国内合作交流
省互联网应急办加强同省外政府机构间的网络安全应急管理工作交流。
江苏省互联网应急中心加强同国内网络安全组织间的交流合作,建立跨省网络安全应急协作机制。
经营性互联单位、域名服务机构等相关单位根据自身业务范围和工作层面自行开展相关国内合作。
7.附则
7.1名词术语说明
经营性互联单位
特指中国电信股份有限公司江苏分公司、中国移动通信集团江苏有限公司、中国联合网络通信集团有限公司江苏省分公司、中国铁通江苏分公司四家基础电信运营企业。
增值电信业务经营者
指IDC、ISP、门户网站、搜索引擎、即时通讯、在线音视频等互联网服务提供商。
重要信息系统
指政府部门、军队以及银行、海关、税务、电力、铁路、证券、保险、民航等关系国计民生的重要行业使用的信息系统。
域名服务机构
除注册管理机构以外的域名注册或权威解析服务提供者。
7.2预案解释部门
本预案由江苏省通信管理局负责解释。
7.3预案生效时间
本预案自2010年7月1日起实施。
附件一:
公共互联网网络安全事件分类分级规范
分类
对象
特别重大事件
重大事件
较大事件
一般事件
IP业务
互联网接入(含宽带、窄带接入,固定、移动或无线接入)
基础电信业务经营者本单位全省网内10万以上互联网接入用户无法正常访问互联网1小时以上。
基础电信业务经营者本单位全省网内1万以上互联网接入用户无法正常访问互联网1小时以上。
基础电信业务经营者本单位某市网内0.5万以上互联网接入用户无法正常访问互联网1小时以上。
基础电信业务经营者本单位某市网内0.1~0.5万互联网接入用户无法正常访问互联网1小时以上。
专线接入
N/A
基础电信业务经营者本单位专线接入业务50端口以上阻断1小时以上。
基础电信业务经营者本单位专线接入业务10端口以上阻断1小时以上。
基础电信业务经营者本单位专线接入业务2端口以上阻断1小时以上。
重要信息系统数据通信
造成某个全省级重要信息系统用户数据通信中断1小时以上。
造成某个省级重要信息系统用户数据通信中断1小时以上。
造成某个地市级重要信息系统用户数据通信中断1小时以上。
国内骨干网互联
某个全网直连点1个以上互联单位方向全阻1小时以上。
某全网直连点1个互联单位方向网间直连(或某个交换中心)全阻1小时以上。
交换中心1个互联单位方向全阻1小时以上。
直连设备、电路阻断,但未造成上述严重后果。
运营单位IP网
2个以上城域网(或2个以上3.1级以上城域网)脱网或严重拥塞1小时以上。
1个城域网(或1个以上3级以上城域网)脱网或严重拥塞1小时以上。
1个以上县、区互联网网(3级以下)脱网或严重拥塞1小时以上。
IP骨干网重要节点或链路阻断,但未造成上述严重后果。
IDC
3级以上IDC全阻或严重拥塞1小时以上。
2级IDC全阻或严重拥塞1小时以上。
其它IDC全阻或严重拥塞1小时以上。
省级域名
省级域名解析系统瘫痪,对全省互联网用户的域名解析服务失效。
省级域名解析系统半数及以上解析成功率低于50%或解析响应时间高于5秒;
省级域名解析数据缺失或出错超过0.1%;
省级域名解析系统重点域名相关解析数据出错。
省级域名解析系统半数以下解析成功率低于50%或解析响应时间高于5秒;
省级域名顶级节点解析数据缺失或出错超过0.01%;
省级域名系统注册服务不可用4小时以上。
省级域名系统注册服务性能下降或查询服务不可用。
域名注册服务机构管理的权威域和递归解析服务器
1家或多家重点注册服务机构域名解析服务瘫痪。
1家或多家重点注册服务机构域名解析服务性能下降,解析成功率低于50%或解析响应时间高于5秒,或解析数据缺失或出错,超过1%。
注册服务机构域名系统核心数据库丢失或非正常修改,并影响到省级域名核心数据库导致产生国家顶级域名重大事件。
1家或多家注册服务机构域名解析服务性能下降,解析成功率低于80%或解析响应时间高于5秒,或解析数据缺失或出错,超过0.1%。
1家或多家注册服务机构域名注册系统服务不可用。
基础和增值运营企业的权威域域名解析服务器
重点域名解析权威服务器瘫痪1小时以上。
基础运营企业的递归服务器
为一个或多个地市提供服务的递归服务器瘫痪1小时以上。
N/A
基础电信运营企业网上营业厅、移动WAP业务、门户网站
系统瘫痪或故障,造成业务中断1个小时以上,或造成10万以上用户数据丢失、泄漏。
系统瘫痪或故障,造成业务中断1个小时以下,或造成1万以上用户数据丢失、泄漏。
系统瘫痪或故障,造成业务中断或造成1千以上用户数据丢失、泄漏。
系统瘫痪或故障,但未造成上述严重后果。
公共互联网环境
计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件
涉及全省范围或省级行政区域的大范围病毒和蠕虫传播事件,或单个木马和僵尸网络规模达10万个以上IP,对社会造成特别重大影响。
涉及全省范围或省级行政区域的大范围病毒和蠕虫传播事件,或同一时期存在一个或多个木马和僵尸网络总规模达5万个以上IP,对社会造成重大影响。
涉及全省范围或省级行政区域的大范围病毒和蠕虫传播事件,或同一时期存在一个或多个木马和僵尸网络总规模达1万个以上IP,对社会造成较大影响。
涉及全省范围或省级行政区域的大范围病毒和蠕虫传播事件、木马和僵尸网络事件等,对社会造成一定影响,但未造成上述严重后果。
域名劫持事件、网络仿冒事件、网页篡改事件
发生涉及重点域名、重要信息系统网站的域名劫持、仿冒、篡改事件,导致1万以上网站用户受影响,或造成重大社会影响。
发生涉及重点域名、重要信息系统网站的域名劫持、仿冒、篡改事件,导致1千以上网站用户受影响,或造成较大社会影响。
其他域名劫持、网络仿冒、网页篡改事件,造成一定社会影响,但未造成上述严重后果。
网页挂马事件
发生涉及重要信息系统网站、重要门户网站的网页挂马事件,受影响网站用户达10万人以上,造成特别重大社会影响。
发生涉及重要信息系统网站、重要门户网站的网页挂马事件,受影响网站用户达1万人以上,造成重大社会影响。
发生涉及重要信息系统网站、重要门户网站的网页挂马事件,受影响网站用户达1千人以上,造成较大社会影响。
其他网页挂马事件,但未造成上述严重后果。
拒绝服务攻击事件
发生涉及全省级重要信息系统的拒绝服务攻击,造成重大社会影响。
发生涉及市重要信息系统的拒绝服务攻击,造成较大社会影响。
其他拒绝服务攻击,造成一定社会影响。
后门漏洞事件、非授权访问事件、垃圾邮件事件及其他网络安全事件
发生涉及全省级重要信息系统的后门漏洞事件、非授权访问事件、垃圾邮件事件及其他网络安全事件,造成重大社会影响。
发生涉及市级重要信息系统的后门漏洞事件、非授权访问事件、垃圾邮件事件及其他网络安全事件,造成较大社会影响。
发生的后门漏洞事件、非授权访问事件、垃圾邮件事件及其他网络安全事件,造成一定社会影响。
〔注〕:
1、严重拥塞是指链路时延>
110ms或丢包率超过8%。
2、“信息分级规范”中所称“以上”包括本数,所称“以下”不包括本数。
信息报送项目
(一)基础电信业务经营者
1、本单位提供互联网接入服务的普通电信用户、专线用户、重要信息系统用户业务发生阻断、拥塞等异常情况。
2、本单位IP基础网络设施,包括互联网国际设施、国内互联网设备和链路、IDC等发生瘫痪、阻断等异常情况。
3、本单位域名解析服务系统发生瘫痪、解析异常、域名劫持等异常情况。
4、本单位网上营业厅、门户网站、移动WAP类业务,或与互联网相连的网络和系统发生系统瘫痪、阻断、用户数据丢失等异常情况。
5、影响互联网业务正常运营、影响用户正常访问互联网、造成重大社会影响和经济损失等异常情况。
6、本单位网内漏洞等网络安全隐患及处置情况。
7、本单位网内发
升级会员 