深圳市司法局门户网站应用系统应急预案应急管理

为科学应对网络与信息安全(以下简称“信息安全”)突发事件，建立健全信息安全应急响应机制，有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响，保证深圳市司法局门户网站的稳定运行和数据安全，最大限度地减轻网络与信息安全突发事件造成的损失，制定本应急预案。

1.2编制依据

根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机病毒防治管理办法》、《中共中央办公厅、国务院办公厅转发〈国家信息化领导小组关于加强网络与信息安全保障工作的意见〉的通知》，《中华人民共和国国家安全法》、《中国突发事件应对法》、国务院办公厅印发《省（区、市）人民政府突发公共事件总体应急预案框架指南》、《深圳市人民政府突发公共事件总体应急预案》等有关法规和规章制度，制定本预案。

1.3适用范围

本应急预案适用于深圳市司法局门户网站系统发生网络和信息应急事件时进行的应急处理。

1.4指导思想

应坚持“积极预防，严格控制，防控并重”的原则。在认真做好日常管理和监控的基础上，充分做好紧急情况下门户网站系统运行管理的应急准备，健全防控措施，完善处理机制，加强应急演练，确保在应急情况下做到反应迅速，处置果断，保障到位。

1.5工作原则

（1）积极防御，综合防范。立足安全防护，加强预警，抓好预防、监控、应急处理、应急保障和打击犯罪等环节，在法律、管理、技术、人才等方面，采取多种措施，充分发挥各方面的作用，共同构筑网络与信息安全保障体系。

（2）明确责任，分级负责。按照“谁主管谁负责，谁运营谁负责”的原则，建立和完善安全责任制，协调管理机制和联动工作机制。

（3）以人为本，快速反应。把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务，及时采取措施，最大限度地避免公民财产遭受损失。网络与信息安全突发事件发生时，要按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处置，最大程度地减少危害和影响。

(4)依靠科学，平战结合。加强技术储备，规范应急处置措施与操作流程，实现网络与信息安全突发事件应急处置工作的科学化、程序化与规范化。树立常备不懈的观念，定期进行预案演练，确保应急预案切实可行。

2、分类分级与预案启动

本预案所指的网络与信息安全突发事件，是指重要网络与信息系统突然遭受不可预知外力的破坏、毁损、故障，发生对网络和信息系统造成或者可能造成重大危害，影响深圳市司法局门户网站对外提供信息服务、影响司法局形象的事件。

2.1事件分类

根据网络与信息安全突发事件的发生过程、性质和特征，网站信息安全事件一般有网页无法访问、网页被挂马、网页被篡改（含危害国家安全和社会稳定信息或其他恶意信息）、域名被劫持以及其他物理或者认为造成的信息安全事件。

2.2事件分级

根据网络与信息安全突发事件的可控性、严重程度、影响范围和司法局信息系统的实际情况，分为四级：Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)和Ⅳ级(一般)。国家有关法律法规有明确规定的，按国家有关规定执行。

IV级（一般事件）：一般事件是指能够导致较小影响或破坏的信息安全事件。会使深圳市司法局门户网站遭受较小的系统损失，即造成系统短暂中断，影响系统效率，使系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到影响，恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。包括但不仅限于我局网站子页面无法访问、网页被挂马、网页被篡改、域名被劫持和其他涉及网站或者对外服务的安全事件等，均属于IV级一般事件。

Ⅲ级（较大事件）：会使深圳市司法局门户网站遭受较大的系统损失，即造成系统中断，明显影响系统效率，使系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价较大。包括但不仅限于我局网站首页无法访问（达24小时）、网页被挂马、网页被篡改、域名被劫持和其他涉及网站或者对外服务的安全事件等，均属于Ⅲ级较大事件。

I级（特别重大事件）：会使深圳市司法局门户网站遭受特别重大的系统损失，即造成系统大面积瘫痪，使其丧失业务处理能力，或系统关键数据的保密性、完整性、可用性遭到严重破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大。凡是我局网站出现网页篡改涉及危害国家安全和破坏社会公共秩序的政治言论和标识内容以及泄密等，均为I级特别重大事件。

2.3分级处置与预防预警

2.3.1分级处置

IV级事件发生时，由深圳市司法局组织自有系统和安全维护人员进行处理。处理不了的，请求信息安全应急响应服务公司指派专家协助处理。

III级事件发生时，首先由我局组织自有系统和安全维护人员进行处理，时限为两小时，两小时后仍无法解决的，联系维护支撑单位协助处理。处理不了的，请求信息安全应急响应服务公司指派信息安全应急处理专家协助处理。

II和I级事件发生时，直接启动相应的应急处置程序。处理不了的，请求信息安全应急响应服务公司指派信息安全应急处理专家协助处理。

2.3.2信息监测及报告

a)我局应急响应小组应加强信息安全监测、分析和预警工作，建立信息安全事件报告制度；

b)当发生信息安全突发事件后，立即向应急响应小组报告。

2.3.3预警

应急响应小组接到信息安全突发事件报告后，应当经初步核实后，将有关情况及时向应急处理领导小组报告，进一步进行情况综合，研究分析可能造成损害的程度，提出初步行动对策，并及时报局领导。局领导根据情况召集协调会，决策行动方案，发布指示和命令。同时启动应急流程，自行不能解决的，应紧急请求信息安全应急响应服务公司指派信息安全应急处理专家协助处理，并同步安排门户网站系统维护单位调度应急技术人员、团队立刻对我局进行技术支援，力求将影响控制在最小范围，并要保障网站24小时运行。

2.3.4预防机制

积极推行信息安全等级保护，逐步实行信息安全风险评估。基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复，制定并不断完善信息安全应急响应计划。

（1）日常运行维护

每天对我局门户网站进行一次完整的巡检，确认系统所有功能都能正常提供服务。

每天对我局门户网站的操作系统、数据库状态进行一次巡检，确认系统环境是否正常。

每周对我局门户网站系统的硬件设备进行一次巡检，检查硬件设备是否存告警等报警信息。

（2）数据备份策略

（3）备用设备保障

准备一台服务器，需安装好操作系统、数据库和应用程序，操作系统、数据库、应用程序版本需与网站服务器保持一致，保障网站服务器出现故障时能及时将系统迁移至备用服务器。

（4）人员技术保障

（5）应急处理物资保障

准备应用系统所依托的所有平台的安装盘，数据库平台安装盘，必要的硬件、软件、应急救援设备，保障服务器出现故障时有对应的维护工具。

3、应急组织机构

当发生安全事件时，将启动相应的应急处置程序。组织成立深圳市司法局应急响应工作组人员组成如下：

组长：黄明

副组长：魏宾

成员：温飞、刘剑、陈志伟、袁军

4、应急响应程序

4.1公众网站出现非法言论（Ⅰ级）

事件：当发现在深圳市司法局门户网站上出现非法信息时，启动Ⅰ级处置程序。

恢复目标：将该删除非法信息，作好必要记录，强化安全防范措施。

恢复流程：

（1）情况紧急的应先及时采取删除等处理措施将该非法信息从网站清掉。

（3）在强化安全防范措施的基础上，修复网站后，并将网站网页重新投入使用。

4.2公众网站信息遭到完整性破（Ⅰ级）

事件：当发现在深圳市司法局门户网站被挂马、内容被篡改或遭破坏性攻击时，启动Ⅰ级处置程序。

恢复目标：恢复与重建被攻击或被破坏的系统，恢复系统数据。

（1）首先应将被攻击服务器等设备从网络中隔离出来，保护好现场。

（2）恢复与重建被攻击或被破坏的系统，恢复系统数据。

4.3拒绝服务攻击事件（II级）

事件：当司法局门户网站有以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行时。启动II级处置程序。

（1）立即查看门户网站CPU、内存、及网络带宽资源被占用情况，做详细的记录，通知网络技术维护人员和网络安全员。

（2）网络技术维护人员和网络安全员立即赶到现场，并检查门户网站系统服务器的周边安全设备，如果发现有异常IP有大流量的行为，并将异常情况做记录。

（3）在防火墙上配置将该异常的IP地址禁止访问本网络资源，再将防拒绝服务攻击策略在防火墙开启。

4.4远程与探测扫描攻击（II级）

事件：当司法局门户网站系统遭受远程探测扫描攻击时，启动Ⅱ级处置程序。

（1）首先检查系统当前连接与系统服务器的周边安全设备，如果发现有异常IP有大流量的行为，并将异常情况做记录。

（2）检查防火墙的ARP欺骗攻击策略、拒绝服务器攻击策略、ICMP策略等安全策略是否正常开启，如未开启需要立即手动开启并在防火墙上配置将该异常的IP地址禁止访问本网络资源。

4.5病毒安全紧急处置措施（Ⅱ级）

事件：当发现在司法局门户网站感染病毒是，启动Ⅱ级处置程序。

（1）首先应将该机从网络中隔离出来，并对设备的硬盘数据进行备份。

（2）启动反病毒软件对该机进行杀毒处理，确定病毒传播途径，作好防范工作，同时用病毒检测软件对其他机器进行病毒扫描和清除工作。

（4）安全领导小组经会商后，认为情况极为严重，应立即向公安部门或上级机关报告。

4.6软件系统完整性遭受破坏（Ⅱ级）

事件：当发现在司法局门户网站的软件系统遭受破坏性攻击时，启动Ⅱ级处置程序。

恢复目标：获得最近一次备份的数据对系统进行完整性恢复。

（1）重要的软件系统平时必须存有备份，与软件系统相对应的数据必须按本单位容灾备份规定的间隔按时进行备份，并将它们保存于安全处。

（2）一旦软件遭到破坏性攻击，有关人员应立即向网络技术维护人员和网络安全员报告，并将系统停止运行。

（4）安全领导小组认为情况极为严重的，应立即向公安部门或上级机关报告。

4.7数据库安全紧急处置措施（Ⅱ级）

事件：当发现在司法局门户网站的数据库崩溃时，启动Ⅱ级处置程序。

恢复目标：恢复数据库系统或重新安新装数据库，导入备份的数据。

（1）各数据库系统要至少准备两个以上数据库备份，平时一份放在机房，另一份放在另一安全的建筑物中。一旦数据库崩溃，应立即向网络安全员报告，同时通知各下属单位暂缓上传上报数据。

（2）网络安全员和网络技术维护人员应对主机系统进行维修，如遇无法解决的问题，立即向上级单位或软硬件提供商请求支援。

（3）系统修复启动后，将第一个数据库备份取出，按照要求将其恢复到主机系统中。

（4）如因第一个备份损坏，导致数据库无法恢复，则应取出第二套数据库备份加以恢复。

（5）如果两个备份均无法恢复，应立即向有关厂商请求紧急支援。

4.8网站服务器更换新机器（II级）

事件：网站服务器依托的硬件平台需要更换新机器，需要切换网络。启动II级处置程序。

（1）获得安装所需的硬件部件；

（3）获得异地备份数据库数据、配置文件、应用包文件和其它备份文件；

（4）在新机器中安装操作系统及补丁；

（5）恢复旧机器中的数据和应用程序；

（6）将新机器组成局域网；

（7）重启服务器，成功访问各应用系统；

（9）成功访问门户网站；

4.9外部电源中断（II级）

事件：当发现外部电源中断故障时，启动II级处置程序。

恢复目标：查明断电原因，如停电超过1小时，关闭机房所有设备。

（1）立即查明断电原因。

（2）如因司法局内部线路故障，迅速联系大楼管理处恢复供电。

（3）预计停电1小时以内，由UPS供电。

（4）停电超过1小时，关闭服务器设备。

5、后期处置

5.1善后处理

在应急处置工作结束后，要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作。统计各种数据，查明原因，对事件造成的损失和影响以及恢复重建能力进行分析评估，认真制定恢复重建计划，并迅速组织实施。有关部门要提供必要的人员和技术、物资和装备以及资金等支持。

5.2调查评估

在应急处置工作结束后，应立即组织有关人员和专家组成事件调查组，对事件发生及其处置过程进行全面的调查，查清事件发生的原因及财产损失情况，总结经验教训，写出调查评估报告，报应急领导小组，并根据问责制的有关规定，对有关责任人员做出处理。

6、保障措施

6.1应急装备保障

重要网络与信息系统在建设系统时应事先预留一定的应急设备，建立信息网络硬件、软件、应急救援设备等应急物资库。在网络与信息安全突发事件发生时，由应急小组负责统一调用。

6.2数据保障

6.3应急队伍保障

按照一专多能的要求建立网络信息安全应急保障队伍。选择若干经国家有关部门资质认可的、管理规范、服务能力较强的部门作为局网络与信息安全的应急支援单位，提供技术支持与服务。

6.4经费保障

网络与信息安全突发事件应急处置专项经费，应列入年度预算，切实予以保障。

7监督管理

7.1宣传教育

要加强对网络与信息安全等方面的知识培训，提高防范意识及技能，指定专人负责安全技术工作。并将网络与信息安全突发事件的应急管理、工作流程等列为培训内容，增强应急处置工作的组织能力。

7.2演练

建立应急预案定期演练制度。通过演练，发现应急工作体系和工作机制存在的问题，不断完善应急预案，提高应急处置能力。