一、总则
(一)编制目的
为进一步贯彻落实习近平总书记关于网络强国的重要思想,建立健全银川市西夏区网络安全事件应急工作机制,提高应对突发网络安全事件能力,预防和减少网络安全事件造成的损失和危害,维护国家安全、公共安全和社会秩序,保护公众利益,制定本预案。
(二)编制依据
依据《中华人民共和国网络安全法》《中华人民共和国突发事件应对法》《国家突发事件总体应急预案》《国家网络安全事件应急预案》《国家网络安全事件报告管理办法》《宁夏回族自治区突发事件总体应急预案》《宁夏回族自治区网络安全事件应急预案》《银川市网络安全事件应急预案》等相关规定制定。
(三)适用范围
本预案所指网络安全事件是指由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素,对网络和信息系统或者其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件,可分为恶意程序事件、网络攻击事件、数据安全事件、信息内容安全事件、设备设施故障事件、违规操作事件、安全隐患事件、异常行为事件、不可抗力事件和其他事件。
本预案适用于西夏区行政区域内发生的网络安全事件,以及发生在其他地区影响本辖区网络与信息系统运行的网络安全事件的预防、监测、报告和处置等工作。
(四)工作原则
遵循“统一领导、分级负责,预防为主、防应结合,快速反应、协同联动,依法依规、科学处置”的工作原则,在发生网络安全事件后,各级人民政府和有关部门立即自动按照本预案,充分发挥各方面力量共同做好网络安全事件的预防和处置工作。
二、事件分级
依据《网络安全事件分级标准》,网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。(分级标准详见附件1)。
三、指挥体系与职责
(一)西夏区网络安全事件应急指挥部
在银川市西夏区委、区政府的统一领导下,银川市西夏区网络安全事件应急指挥部负责组织、协调和指挥全区网络安全事件应对处置工作。指挥长由区委常委、区委宣传部部长担任,
副指挥长由区委网信办主任担任。
主要成员:区委办(国安办)、区政府办、区委网信办、区发改局、工科局、公安分局、应急管理局。根据应对工作需要,增加事发单位和相关行业领域主管部门负责同志。
(二)指挥部职责
贯彻落实国家、自治区、银川市、西夏区关于网络安全事件应急处置工作的法律法规和决策部署。研究部署全区网络安全事件应急处置工作,拟定区级网络安全事件应急处置有关政策和制度。研究核准、通报应急预警及响应级别并组织实施,需报市委网信办、自治区党委网信办核准通报的,待市委网信办、自治区党委网信办通报后组织实施。指导协调网络安全事件应急处置工作,指导有关单位网络安全事件调查取证和处置工作。
(三)成员单位及其他有关单位职责
区委网信办:在西夏区委网络安全和信息化委员会(以下简称西夏区委网信委)领导下,统筹协调各镇街、各部门(单位)开展网络安全监测预警、信息收集、分析通报、应急处置等工作,建立网络安全工作联席会议制度,健全跨区域、跨部门应急联动机制,承担重大及以上网络安全事件应急处置的统一联络,督导较大及以下网络安全事件的整改落实,及时向西夏区委网信委和市委网信办、自治区党委网信办报送网络安全事件处置情况。协调上级网信部门对银川市西夏区网络安全事件进行检测、预警、通报、现场处置等工作,并向事发镇街和部门(单位)提供网络安全事件应急处置技术支持和服务。
区委办(国安办):负责电子政务外网等网络基础设施的网络安全事件应急处置工作,指导各镇街、各部门(单位)政务外网安全事件应急处置工作。开展电子政务外网安全防护的规划、建设和日常保障工作,组织开展网络安全监测、检查、处置、风险评估和应急演练。从反间谍和防渗透、防窃密的角度,参与指导、监督本区重要信息基础设施(如能源、交通、金融、通信等核心系统)的网络安全和数据安全防护工作,查处通过网络非法提供、获取、泄露国家秘密的案件,防范和打击利用网络策划、实施暴恐活动、窃取国家秘密和情报的行为。
区政府办:负责西夏区政府门户网站、电子政务公共云平台等网络基础设施的网络安全事件应急处置工作,指导各镇街、各部门(单位)门户网站网络安全事件应急处置工作。
工业信息化和科学技术局:负责指导西夏区工业和科技领域网络安全工作,特别是工业控制系统、工业互联网等系统的网络安全事件应急处置相关工作,督导工业企业制定网络安全事件应急处置预案,组织开展应急演练。协调西夏区通信行业网络安全应急处置工作,保障通信网络安全畅通。
公安分局:落实国家网络安全等级保护制度,负责关键信息基础设施保护,开展网络安全事件的监测、预警、通报、应对处置与取证评估等工作,负责指导协调督促事发部门(单位)调查网络安全事件发生原因、溯源攻击路径、恢复事发网络与信息系统正常上线运行。负责打击网络犯罪,依法开展涉及国家安全和网络违法犯罪事件案件的侦查侦办。
应急管理局:参与西夏区网络安全事件联合处置与调查评估,防范和化解因网络安全事件而引发的突发事件或者生产安全事故风险。
发展改革局:督促西夏区算力基础设施、数据中心建设运营单位履行网络安全责任,强化公共数据运营管理部门数据安全保护能力。
区直其他部门、区属国有企事业单位、电信运营企业:落实网络安全工作责任制,负责本部门、本行业、本领域网络与信息系统网络安全事件的预防、监测、报告和应急处置工作。在发生网络安全事件时,依法履行应急处置相关责任和义务。
网信办在本级党委网络安全和信息化委员会的统一领导下,统筹协调督导本地区网络安全事件的监测、预警、通报、现场处置等工作。
属地网络运营者及网络产品、服务提供者:网络运营者及网络产品、服务的提供者要严格落实国家法律法规和有关网络安全管理制度。网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
四、监测与预警
(一)预警分级
网络安全事件预警等级分为四级,由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。
(二)监测预警
各镇街、部门(单位)按照“谁主管谁负责、谁运行谁负责”的原则,组织对本单位建设运行的网络和信息系统开展网络安全监测工作。按照“属地管理、分级负责”的原则,统筹组织开展对本地区网络和信息系统的安全监测工作。各镇街、各部门(单位)要及时将重要监测信息报区委网信办,区委网信办、政府办、公安分局、发改局等涉网监管部门统筹推进全区网络安全监测预警体系建设,开展全区网络安全信息共享。
(三)预警信息发布
各镇街、各部门(单位)组织对监测信息进行研判,需要立即采取防范措施的,应当及时通知相关部门和单位,对可能发生重大及以上网络安全事件的信息立即报区委网信办。各镇街、各部门(单位)可根据监测研判情况,发布本地区本行业蓝色预警。区委网信办组织研判、确定和发布黄色预警和涉及多镇街、多部门、多行业的预警。橙色预警和红色预警报请市委网信办、自治区党委网信办研判。
预警信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。
(四)预警响应
1.红色预警响应
(1)红色预警响应报请区委网信委、市委网信办、自治区党委网信办统一组织实施,会同政府办、公安分局等涉网监管部门,研究制定防范措施和应急工作方案,协调资源调度和部门联动的各项准备工作,有关情况及时报告区委网信委、市委网信办。
(2)相关镇街、部门(单位)网络安全事件应急指挥机构实行24小时在岗值班,相关人员保持通信联络畅通,加强网络安全事件监测和事态发展信息搜集工作,组织指导应急支撑队伍、相关运行单位开展应急处置准备、风险评估和控制工作,准确及时将相关情况报区委网信办。
(3)西夏区网络安全应急技术支撑单位进入待命状态,针对预警信息制定应对方案,区委网信办、公安分局等涉网监管部门积极向上级部门(单位)协调申请应急资源,检查本地应急车辆、设备、软件工具等,确保处于随时可以启用状态。
2.橙色预警响应
(1)区委网信办统筹协调相关镇街、部门(单位)启动应急预案,会同公安分局等涉网监管部门,督导开展预警响应工作,密切关注事态发展,做好风险评估、应急准备和风险控制工作,重大事项及时报告区委网信委、市委网信办和自治区党委网信办,并通报相关镇街、部门(单位)。
(2)相关镇街、部门(单位)网络安全事件应急指挥机构实行24小时值班,相关人员保持通信联络畅通,加强网络安全事件监测和事态发展信息搜集工作,组织指导应急支撑队伍、相关运行单位开展应急处置准备、风险评估和控制工作,准确及时将相关情况报区委网信办。
(3)西夏区网络安全应急技术支撑单位进入待命状态,检查本地应急车辆、设备、软件工具等,确保处于良好状态。
3.黄色、蓝色预警响应
相关部门(单位)网络安全事件应急指挥机构启动应急预案,做好风险评估、应急准备和风险控制工作,督导网络安全机构开展预警响应工作。
4.预警解除
预警发布部门(单位)根据实际情况,确定是否解除预警,及时发布预警解除信息。
五、应急处置
(一)事件报告
网络安全事件发生后,事发单位应向区委网信办报送信息并立即启动应急预案,组织先期处置,控制事态,消除隐患,同时组织研判,注意保存证据,做好信息通报工作。对于初判为特别重大、重大网络安全事件的,应立即报市委网信办。
(二)应急响应
网络安全事件应急响应分为四级,分别对应特别重大、重大、较大和一般网络安全事件。
1.Ⅰ级响应
自治区、银川市网络安全应急指挥部发布涉及西夏区特别重大网络安全事件时,西夏区委网信委决定启动Ⅰ级应急响应,并按程序成立西夏区网络安全应急指挥部,履行应急处置工作的统一领导、指挥、协调职责。相关镇街、部门(单位)应急指挥机构进入应急状态,实施24小时在岗值班,在西夏区网络安全应急指挥部的统一领导、指挥、协调下,负责本辖区本部门(单位)应急处置工作或支援保障工作。
相关镇街、部门(单位)配合国家、区市、西夏区有关部门单位做好事件调查取证和应急处置工作,西夏区网络安全应急指挥部及时将事态发展变化情况、处置进展情况报银川市、自治区网络安全应急指挥部。
2.Ⅱ级响应
发生重大网络安全事件,区委网信办按程序报请区委网信委、银川市委网信办、自治区党委网信办同意后决定启动Ⅱ级应急响应,按程序成立西夏区网络安全应急指挥部,履行应急处置工作的统一领导、指挥、协调职责,事件发生镇街、部门(单位)的应急指挥机构进入应急状态,实施24小时值班,在西夏区网络安全应急指挥部领导下,按照相关应急预案做好应急处置工作。处置中需要其他相关镇街、部门(单位)配合和支持的,西夏区网络安全应急指挥部予以协调,相关部门(单位)应积极配合、提供支持。西夏区网络安全应急指挥部及时将事态发展变化情况、处置进展情况报银川市、自治区网络安全应急指挥部。
3.Ⅲ级响应
发生较大网络安全事件,区委网信办按程序报请区委网信委、银川市委网信办同意后决定启动Ⅲ级应急响应,按程序成立西夏区网络安全应急指挥部,履行应急处置工作的统一领导、指挥、协调职责,事件发生镇街、部门(单位)的应急指挥机构进入应急状态,实施24小时值班,在西夏区网络安全应急指挥部领导下,按照相关应急预案做好应急处置工作。处置中需要其他相关镇街、部门(单位)配合和支持的,西夏区网络安全应急指挥部予以协调,相关部门(单位)应积极配合、提供支持。需要上级网信部门配合和支持的,由区委网信办报请市委网信办给予协调支持。
西夏区网络安全事件应急指挥部将相关重大事项及时通报相关镇街、部门(单位),接到通报的相关镇街、部门(单位)结合各自实际有针对性地加强防范,防止造成更大范围影响和损失。
4.Ⅳ级响应
发生一般网络安全事件,由西夏区委网信办和各镇街、各部门(单位)按程序决定启动Ⅳ级应急响应。西夏区网络安全应急指挥部密切关注事态发展变化情况,按程序启动应急响应,组织做好应急处置工作。
(三)技术措施
现场处置手段根据发生的网络安全事件类型进行选择,网络安全事件分为恶意程序事件、网络攻击事件、数据安全事件、信息内容安全事件、设备设施故障事件、违规操作事件、安全隐患事件、异常行为事件、不可抗力事件和其他事件等10类:
1.恶意程序事件。指在网络蓄意制造或传播恶意程序而导致业务损失或造成社会危害的网络安全事件,主要包括:计算机病毒事件、网络蠕虫事件、特洛伊木马事件、恶意代码内嵌网页事件、恶意代码宿主站点事件、僵尸网络事件、勒索软件事件、挖矿病毒事件、混合攻击程序事件、其他恶意程序事件。发生此类网络安全事件时可进行如下处置:
(1)立即切断已感染或疑似感染的主机与整体网络的连接,对于关键服务器,若不可立即断电,需在防火墙或核心交换机上设置ACL规则,严格限制其仅能与管理员IP进行必要通信,保障整个系统的可用性,防止恶意程序传播。
(2)提取恶意样本进行溯源和分析,并根据研判结果,使用专杀工具清除恶意程序,组织全区各单位使用统一部署的终端安全管理软件或杀毒软件进行全面病毒查杀。
(3)使用未被感染的最新备份恢复数据和系统,全面排查系统漏洞并安装相应的补丁,堵住恶意程序利用的攻击入口。
(4)立即将事件情况(包括样本哈希、受影响IP、时间线等IOC信息)向网信部门报告,预警全区相关单位进行自查和防护。
2.网络攻击事件。指通过技术手段对网络实施攻击而导致业务损失或造成社会危害的网络安全事件,主要包括:网络扫描探测事件、网络钓鱼事件、漏洞利用事件、后门利用事件、后门植入事件、凭据攻击事件、信号干扰事件、拒绝服务事件、网页篡改事件、暗链植入事件、域名劫持事件、域名转嫁事件、DNS污染事件、WLAN劫持事件、流量劫持事件、BGP劫持攻击事件、广播欺诈事件、失陷主机事件、供应链攻击事件、APT事件、其他网络攻击事件。发生此类网络安全事件时可进行如下处置:
(1)立即隔离被攻陷的主机或系统服务器,防止恶意攻击者继续进行内网横向攻击。
(2)保护现场,镜像受损服务器磁盘和内存,留存所有系统日志、应用日志、防火墙日志等,供网信部门溯源取证。
(3)对溯源发现的系统漏洞进行紧急修补,并深度排查网内其他系统是否存在可利用的漏洞。
(4)深度检索失陷系统服务器或主机的文件及进程,确保后门文件及恶意进程都已被清除,无法确保清除的情况下需重装操作系统后方可继续使用。
3.数据安全事件。指通过技术手段或其他手段对数据实施篡改、假冒、泄露、窃取等导致业务损失或造成社会危害的网络安全事件,主要包括:数据篡改事件、数据假冒事件、数据泄露事件、社会工程事件、数据窃取事件、数据拦截事件、位置检测事件、数据投毒事件、数据滥用事件、隐私侵犯事件、数据损失事件、其他数据安全事件。发生此类网络安全事件时可进行如下处置:
(1)立即断开疑似泄露的数据源(数据库、文件服务器、大数据平台)的网络访问或直接下线并暂停相关业务系统的运行,冻结涉及数据操作的账号权限。
(2)迅速确定泄露数据的类型(公民个人信息、企业商业秘密、重要数据)、数量、范围(涉及人数)、可能用途和危害程度,初步判定事件等级。
(3)按规定向区委网信办、公安分局、行业主管部门报告。
(4)联合技术支撑单位彻查泄露原因(外部攻击、内部人员违规、系统漏洞等),全面整改数据安全薄弱环节,如加密存储、访问权限审计、数据脱敏、操作日志记录等。
4.信息内容安全事件。指通过网络传播危害国家安全、社会稳定、公共安全和利益的有害信息导致业务损失或造成社会危害的网络安全事件,主要包括:反动宣传事件、暴恐宣扬事件、色情传播事件、虚假信息传播事件、权益侵害事件、信息滥发事件、网络欺诈事件、其他信息内容安全事件。发生此类网络安全事件时可进行如下处置:
(1)区委网信办会同公安分局快速鉴定信息内容是否违法有害(如暴恐、色情、谣言等)。
(2)立即通知相关网络平台(网站、APP运营方)履行主体责任,对有害信息采取删除、屏蔽、断开链接等措施,对境外无法快速处置的源头,协调基础电信企业予以处置。
(3)区委宣传部和区委网信办组织权威媒体发布正面信息,澄清事实,批驳谣言,有效引导社会舆论。
(4)公安机关对信息发布者和主要传播者依法进行调查处理。
5.设备设施故障事件。指由于网络自身出现故障或设备设施受到破坏或干扰而导致业务损失或造成社会危害的网络安全事件,主要包括:技术故障事件、配套设施故障事件、物理损害事件、辐射干扰事件、其他设备设施故障事件。发生此类网络安全事件时可进行如下处置:
(1)发生电力故障时,立即启用UPS和备用发电机,保障核心设备运行,联系供电公司紧急抢修。发生网络中断时,立即启用备用光纤链路或微波链路同时协调运营商抢修。发生硬件故障时,启用备品备件进行更换并启用负载均衡将业务切换至冗余设备。
(2)立即启动备用方案,优先保障核心业务系统功能可用,通过政务新媒体等渠道发布服务延迟或中断公告。
(3)故障修复后,逐步恢复业务,召开复盘会,分析根本原因,完善预防性维护制度与备用方案。
6.违规操作事件。指人为故意或意外损害网络功能而导致业务损失或造成社会危害的网络安全事件,主要包括:权限滥用事件、权限伪造事件、行为抵赖事件、故意违规操作事件、误操作事件、人员可用性破坏事件、资源未授权使用事件、版权违反事件、其他违规操作事件。发生此类网络安全事件时可进行如下处置:
(1)通过技术手段或管理命令立即终止违规操作进程,暂停涉事员工的所有系统访问权限。
(2)评估员工操作对系统配置、数据完整性、业务连续性造成的影响。
(3)尽可能利用版本控制、系统快照、数据库回滚或备份恢复等功能将系统恢复至操作前状态。
(4)封存操作日志、录像等证据,上报相关部门介入调查,依规处理。
7.安全隐患事件。指网络中出现能被攻击者利用的漏洞或隐患,一旦被利用可能对网络造成破坏,进而导致业务损失或造成社会危害的网络安全事件,主要包括:网络漏洞事件、网络配置合规缺陷事件、其他安全隐患事件。发生此类网络安全事件时可进行如下处置:
(1)对网络中出现的漏洞进行技术研判,评估其被利用的可能性和影响范围。
(2)通过区网络安全通报平台发布紧急安全公告,明确描述隐患、影响范围、修复方案或临时缓解措施。
(3)要求各相关单位在规定时限内(如24小时内)完成修补、口令强化或配置修改,并反馈整改结果。
(4)区委网信办组织技术支撑单位对重点单位的整改情况进行抽查或远程扫描验证,确保漏洞及时修复。
8.异常行为事件。指网络本身稳定性不足或违规访问网络造成访问、流量等异常行为,进而导致业务损失或造成社会危害的网络安全事件,主要包括:访问异常事件、流量异常事件、其他异常行为事件。发生此类网络安全事件时可进行如下处置:
(1)对异常流量、登录时间、访问频率、数据外传量等进行关联分析,判定是误操作、内部恶意行为还是外部攻击者访问。
(2)确认为恶意行为后,立即阻断异常会话或连接,隔离发起异常行为的终端或者服务器。
(3)对终端或服务器日志及安全设备日志进行排查,确定攻击者入侵途径,排查是否已经造成数据泄露或系统破坏。
(4)修复系统漏洞,清除恶意程序,加强员工网络安全意识培训,防止异常行为再次出现。
9.不可抗力事件。指因突发事件损害网络的可用性而导致业务损失或造成社会危害的网络安全事件,主要包括:自然灾害事件、事故灾难事件、公共卫生事件、社会安全事件、其他不可抗力事件。发生此类网络安全事件时可进行如下处置:
(1)首先确保人员生命安全,组织进行安全撤离。
(2)启动异地灾备系统,恢复业务系统运行。
(3)紧急协调应急管理、电力、通信、交通等部门,抢修受损设施,恢复供电和网络连接。
10.其他事件。指未归位上述的分类网络安全事件。发生此类网络安全事件时,由西夏区网络安全事件应急指挥部召集成员单位和网络安全技术支撑单位专家进行紧急会商,根据事件的具体情况,制定应急处置方案,并报市委网信办批准后执行。
(四)应急结束
Ⅰ级响应结束由西夏区网络安全事件应急指挥部按照区委网信委、市委网信办、自治区党委网信办要求报送事件处置情况和建议后决定,并在全区范围内传达学习国家、自治区党委网信办、市委网信办相关通报精神。Ⅱ级响应结束由西夏区网络安全事件应急指挥部报请区委网信委、市委网信办和自治区党委网信办同意后决定,并通报相关镇街和部门(单位)。Ⅲ级、Ⅳ级响应结束由西夏区网络安全事件应急指挥部按程序决定并通报。
六、调查与评估
特别重大网络安全事件由西夏区网络安全事件应急指挥部配合市委网信办、自治区党委网信办组织调查处理和总结评估,并按程序上报。重大网络安全事件由西夏区网络安全事件应急指挥部调查处理和总结评估,按程序上报市委网信办和自治区党委网信办,并通报相关镇街和部门(单位)。较大和一般网络安全事件由西夏区网络安全事件应急指挥部在市委网信办具体指导下,自行组织调查处理和总结评估,总结调查报告报市委网信办备案。
事件的调查处理和总结评估工作原则上在应急响应结束后15个工作日内完成。总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。
七、预防工作
(一)日常管理
区委网信办统筹协调区委办、区政府办、公安分局等涉网监管部门,做好全西夏区网络安全事件日常预防工作,指导督促相关镇街、部门(单位)做好网络安全检查、隐患排查、风险评估和容灾备份。全西夏区涉网镇街、部门(单位)指派网络安全联络员,及时接收网络安全风险提示和预警信息,并采取有效措施减少和避免网络安全事件的发生及危害,确保网络与信息系统安全可靠运行。
(二)应急演练
区委网信办会同区委办、区政府办、公安分局等涉网监管部门,指导督促相关镇街、部门(单位)定期组织、参与应急预案演练,相关镇街、部门(单位)每年至少要组织、参与一次应急预案演练。
(三)宣传和培训
各镇街、各部门(单位)要充分利用各种传播媒介及其他有效的宣传形式,加强网络安全相关法律、法规、政策和网络安全知识技能的宣传活动。要加强对领导干部和相关人员的网络安全知识技能培训,提高网络安全风险防范意识和应对处置能力。
(四)重要活动期间的预防保障措施
在国家、自治区、银川市、西夏区重要活动和会议期间,区委网信办会同区委办、区政府办、公安分局等相关部门统筹协调网络安全保障工作。各镇街、各部门(单位)要加强网络安全事件的监测预警和分析研判,及时报告可能造成重大影响的风险和隐患,重点部门(单位)、岗位实施24小时值班和每日情况报告制度,做好网络安全风险防范和应急响应,及时处置网络安全事件。
八、保障措施
(一)机构和人员
各镇街、各部门(单位)要建立网络安全工作责任制度,把责任落实到具体部门、岗位和个人,健全完善网络安全事件应急工作机制。
(二)技术支撑队伍
区委网信办、区委办、区政府办、区公安分局要加强全西夏区网络安全应急技术支撑单位建设,组织评估和认定西夏区网络安全应急技术支撑队伍,建立网络安全事件应急服务体系,为关键信息基础设施和重要信息系统及各镇街、各部门(单位)提供应急处置服务。各镇街、各部门(单位)应配备必要的网络安全专业技术人才,并加强与自治区、银川市、西夏区网络与信息安全相关技术单位的沟通、协调,建立网络安全信息共享机制。支持网络安全企业提升应急处置能力,提供应急技术支援。
(三)物资保障
加强对网络安全应急装备、工具的储备,及时调整、升级软件硬件工具,不断增强应急技术支撑能力。
(四)经费保障
财政部门应为网络安全事件应急处置提供必要的资金保障。相关镇街、部门(单位)利用现有政策和资金渠道,支持网络安全应急技术支撑队伍建设、基础平台建设、预案演练、物资保障等工作开展,为网络安全应急工作提供必要的经费保障。
(五)责任与奖惩
网络安全事件应急处置工作实行责任追究制。各镇街、各部门(单位)要严格按照网络安全工作责任制开展工作,区委网信办会同相关部门(单位)对网络安全事件应急管理工作中作出突出贡献的先进集体和个人给予通报表扬,对不按照规定制定预案和组织开展演练,迟报、谎报、瞒报和漏报网络安全事件重要情况或者应急管理工作中有其他失职、渎职行为的,依照相关规定对相关责任人给予处分,构成犯罪的,依法追究刑事责任。
九、附则
(一)预案管理
本预案修订工作由西夏区委网信办牵头组织,各镇街、各部门(单位)要根据本预案制定或修订本部门、本行业、本单位网络安全事件应急预案。
(二)预案解释
本预案由西夏区委网信办负责解释。
(三)预案实施时间
本预案自印发之日起实施。
附件1
网络安全事件分级标准
网络安全事件分级标准主要依据《国家网络安全事件报告办法》及《网络安全事件分级指南》,分为四个级别,具体如下:
一、特别重大网络安全事件
符合下列情形之一的,为特别重大网络安全事件:
1.重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。
2.核心数据、重要数据、海量公民个人信息丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。
3.其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。
通常情况下,满足下列条件之一的,可判别为特别重大网络安全事件:
1.省级以上党政机关门户网站、重点新闻网站因攻击、故障,导致24小时以上不能访问。
2.关键信息基础设施整体中断运行6小时以上或主要功能中断运行24小时以上。
3.影响一个或多个省级行政区50%以上人口,或者1000万人以上用水、用电、用气、用油、取暖、交通出行、就医、购物等工作、生活。
4.核心数据、重要数据泄露或被窃取,对国家安全和社会稳定构成特别严重威胁。
5.泄露1亿人以上个人信息。
6.省级以上党政机关门户网站、重点新闻网站、网络平台等重要信息系统被攻击篡改,导致违法有害信息特大范围传播。以下情况之一,可认定为“特大范围”:
(1)在主页上出现并持续6小时以上,或在其他页面出现并持续24小时以上;
(2)通过社交平台转发10万次以上;
(3)浏览或点击次数100万以上;
(4)省级以上网信部门、公安机关认定为是“特大范围传播”的。
7.造成1亿元以上的直接经济损失。
8.其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。
二、重大网络安全事件
符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件:
1.重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。
2.核心数据、重要数据、大量公民个人信息丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。
3.其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
通常情况下,满足下列条件之一的,可判别为重大网络安全事件:
1.地市级以上党政机关门户网站、重点新闻网站因攻击、故障,导致6小时以上不能访问。
2.关键信息基础设施整体中断运行2小时以上或主要功能中断运行6小时以上。
3.影响一个或多个地市级行政区50%以上人口,或者100万人以上用水、用电、用气、用油、取暖、交通出行、就医、购物等工作、生活。
4.核心数据、重要数据泄露或被窃取,对国家安全和社会稳定构成严重威胁。
5.泄露1000万人以上个人信息。
6.地市级以上党政机关门户网站、重点新闻网站、网络平台等被攻击篡改,导致违法有害信息大范围传播。以下情况之一,可认定为“大范围”:
(1)在主页上出现并持续2小时以上,或在其他页面出现并持续12小时以上;
(2)通过社交平台转发1万次以上;
(3)浏览或点击次数10万以上;
(4)省级以上网信部门、公安机关认定为是“大范围传播”的。
7.造成2000万元以上的直接经济损失。
8.其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
三、较大网络安全事件
符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件:
1.重要网络和信息系统遭受较大系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。
2.重要数据、较大量公民个人信息丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。
3.其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。
通常情况下,满足下列条件之一的,可判别为较大网络安全事件:
1.地市级以上党政机关、企事业单位门户网站,省级以上重点新闻网站因攻击、故障,导致2小时以上不能访问。
2.关键信息基础设施整体中断运行10分钟以上或主要功能中断运行30分钟以上。
3.影响一个或多个地市级行政区30%以上人口,或者10万人以上用水、用电、用气、用油、取暖、交通出行、就医、购物等工作、生活。
4.重要数据泄露或被窃取,对国家安全和社会稳定构成较严重威胁。
5.泄露100万人以上个人信息。
6.党政机关门户网站、重点新闻网站、网络平台等被攻击篡改,导致违法有害信息较大范围传播。以下情况之一,可认定为“较大范围”:
(1)在主页上出现并持续30分钟以上,或在其他页面出现并持续2小时以上;
(2)通过社交平台转发1000次以上;
(3)浏览或点击次数1万以上;
(4)省级以上网信部门、公安机关认定为是“较大范围传播”的。
7.造成500万元以上的直接经济损失。
8.其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。
四、一般网络安全事件
除上述网络安全事件外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件。
注:本指南中的“以上”均包括本数
附件2
名词术语
一、网络安全事件及其分类
1.网络安全事件
网络安全事件是指由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素,对网络和信息系统或者其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件
2.网络安全事件分类
网络安全事件分为恶意程序事件、网络攻击事件、数据安全事件、信息内容安全事件、设备设施故障事件、违规操作事件、安全隐患事件、异常行为事件、不可抗力事件和其他事件。
(1)恶意程序事件:包括计算机病毒事件、网络蠕虫事件、特洛伊木马事件、僵尸网络事件、恶意代码内嵌网页事件、恶意代码宿主站点事件、勒索软件事件、挖矿病毒事件、混合攻击程序事件和其他恶意程序事件等10个子类。
(2)网络攻击事件:包括网络扫描探测事件、网络钓鱼事件、漏洞利用事件、后门利用事件、后门植入事件、凭据攻击事件、信号干扰事件、拒绝服务事件、网页篡改事件、暗链植入事件、域名劫持事件、域名转嫁事件、DNS污染事件、WLAN劫持事件、流量劫持事件、BGP劫持攻击事件、广播欺诈事件、失陷主机事件、供应链攻击事件、APT事件和其他网络攻击事件等21个子类。
(3)数据安全事件:包括数据篡改事件、数据假冒事件、数据泄露事件、社会工程事件、数据窃取事件、数据拦截事件、位置检测事件、数据投毒事件、数据滥用事件、隐私侵犯事件、数据损失事件和其他数据安全事件等12个子类。
(4)信息内容安全事件:包括反动宣传事件、暴恐宣扬事件、色情传播事件、虚假信息传播事件、权益侵害事件、信息滥发事件、网络欺诈事件和其他信息内容安全事件等8个子类。
(5)设备设施故障事件:包括技术故障事件、配套设施故障事件、物理损害事件、辐射干扰事件和其他设备设施故障事件等5个子类。
(6)违规操作事件:包括权限滥用事件、权限伪造事件、行为抵赖事件、故意违规操作事件、误操作事件、人员可用性破坏事件、资源未授权使用事件、版权违反事件和其他违规操作事件等9个子类。
(7)安全隐患事件:包括网络漏洞事件、网络配置合规缺陷事件、其他安全隐患事件等3个子类。
(8)异常行为事件:包括访问异常事件、流量异常事件和其他异常行为事件等3个子类。
(9)不可抗力事件:包括自然灾害事件、事故灾难事件、公共卫生事件、社会安全事件和其他不可抗力事件等5个子类。
(10)其它事件:指未归为上述分类的网络安全事件。
二、关键信息基础设施
《中华人民共和国网络安全法》规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定”。
三、重要网络与信息系统
重要网络与信息系统是指所承载的业务与国家安全、社会秩序、经济建设、公众利益密切相关的网络和信息系统。
四、重要敏感信息
重要敏感信息是指不涉及国家秘密,但与国家安全、经济发展、社会稳定、以及企业和公众利益密切相关的信息。这些信息一旦未经授权披露、丢失、滥用、篡改或销毁,可能造成以下后果:
1.损害国防、国际关系;
2.损害国家财产、公共利益以及个人财产和人身安全;
3.影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等;
4.影响行政机关依法调查处理违法、渎职行为,或涉嫌违法、渎职行为;
5.干扰政府部门依法公正地开展监督、管理、检查、审计等行政活动,妨碍政府部门履行职责;
6.危害国家关键基础设施、政府信息系统安全;
7.影响市场秩序,造成不公平竞争,破坏市场规律;
8.可推论出国家秘密事项;
9.侵犯个人隐私、企业商业秘密和知识产权;
10.损害国家、企业、个人的其他利益和声誉。
扫一扫 手机浏览
