XX市国家税务局网络与信息安全应急预案资料.docVIP

XX市国家税务局网络与 信息安全应急预案 目录 一、总则 1 1.1目的 1 1.2基本原则 1 1.3启动条件 2 1.4适用性规章制度 2 1.5发布与生效 2 二、组织结构及分工 2 2.1网络与信息安全领导小组 2 2.2网络与信息安全领导小组办公室（简称信安办） 3 2.3领导小组办公室下设应急响应工作组 4 三、应急响应流程 6 3.1事件分析 6 3.2事件处理 8 3.3结束响应 8 四、安全事件应急处置 9 4.1网站出现不良信息 9 4.2蠕虫病毒感染 10 4.3黑客攻击 10 4.4网络通信中断 11 4.5电力中断 12 4.6机房漏水 13 4.7软件系统故障 14 4.8核心主机故障 14 五、演练及维护 15 六、保障措施 16 七、附件 17 附件1：网络与信息安全领导小组成员名单 17 附件2：信安办成员名单 18 附件3：主要设备配置及其负责人清单 18 附件4：主要软硬件及服务提供商清单 18 一、总则 1.1目的 为了规范本单位应急响应工作内容和工作流程，提高自身的应急响应能力，完善应急响应机制，确保信息系统的安全和业务的连续性，制定本应急预案。 1.2基本原则 （1）坚持预防为主 提高本单位的信息安全防护意识和水平，加强信息系统安全体系建设，按照税务系统信息系统建设运行的特点和规律积极做好日常安全工作，开展安全教育和培训工作，建立完善的安全管理、监督和审查制度，提高各单位应对突发信息安全事件的能力。 （2）提高快速反应能力 建立预警和快速反应机制，强化人力、物力、财力储备，增强应急处理能力。保证发现、报告、、等环节紧密衔接，一旦出现，快速反应，及时准确处置。 图1 应急响应流程 1）在发生信息安全事件后，应急响应工作组对事件进行确认。 2）确认为信息安全事件后，根据《税务系统网络与信息安全事件分级分类指南》、《税务系统重大网络与信息安全事件报告制度》对事件进行定级和上报。 3）根据对事件的初步分析，确定应急处理方式，如果应急响应工作组以自身力量无法处理的事件，由信安办向上级机关提出应急支援请求。 3.2事件处理 事件处理主要包括以下内容： 1）分析是否存在针对该事件的特定系统预案，如果存在则启动特定系统应急预案，如果涉及多个特定系统预案，应同时启动所有涉及的特定系统预案。 2）分析是否存在针对该事件的专题预案，如果存在则启动专题预案，如果事件涉及多个专题预案，应同时启动所有涉及的专题预案。 3）如果没有针对该事件的应急预案，应根据事件具体情况，采取抑制措施，抑制事件进一步扩散，并根除事件影响，恢复系统运行； 3.3结束响应 系统恢复运行后，应急响应工作组对事件造成的损失、事件处理流程、应急预案进行评估，对响应流程、预案提出修改意见，撰写事件处理报告。应急响应工作组应根据《税务系统重大信息安全事件报告制度》要求，确定是否需要上报该事件及其处理过程，需要上报的应及时准备相关材料，上报上级机关。 应急响应流程结束。 四、安全事件应急处置 4.1网站出现不良信息 1、网站由主办部门的值班人员负责密切监控信息内容。 2、发现网站上出现涉及反动、色情、敏感内容等不良信息时，值班人员应立即向综合组组长通报情况。 3、技术组相关人员应在十分钟内赶到现场。首先通过截屏等手段对不良信息网页进行现场保留，采集事实和证据。然后分析、确定不良信息的产生方式。 4、若不良信息是通过信息发布的方式产生，则直接将其删除。若情况紧急、不良信息量大范围广，则应及时将受影响的网站隔离，暂停外界访问，然后再进行删除工作。待不良信息彻底清除后，将网站恢复正常使用。 5、若不良信息来自网页篡改等攻击方式，则立即将主机从网络中隔离，按“4.3黑客攻击”事件进行处理。 5、对网站相关日志进行备份保存，对不良信息的来源进行追查。 6、各应急响应工作组会商后，将有关情况向信安办和领导小组逐级汇报。 7、领导小组认为事态严重的，应立即向公安部门或上级机关报告。 4.2蠕虫病毒感染 1、当发现蠕虫病毒在网络内大量传播时，应立即报告技术组组长。 2、技术组相关人员迅速确定被感染主机，对其进行网络隔离。 3、备份所有系统日志，保存当前进程信息。备份主机上的数据。将备份置于安全的移动存储介质或磁带保存。 4、下载最新的杀毒软件病毒库、专杀工具、操作系统补丁，通过移动存储介质复制到被感染主机，对蠕虫病毒进行查杀，对操作系统漏洞进行修补，对染毒文件进行修复或重新安装。 5、若现有工具无法清除蠕虫病毒，则立即与防病毒服务商联系、一同研究解决。 6、确认蠕虫病毒被清除后，对系统进行进一步的检查和加固。确保所有相关的漏洞都已被修补完毕。 7、对受损的软件进行修复，对受损的数据进行数据恢复。 8、通知各下级单位，对网络中的计算机进行全网清查。 9、重新