通政辦發〔2009〕68號

各縣（市）、區人民政府，市經濟技術開發區管委會，市各委、辦、局，市各直屬單位：

　　為了保障“中國南通”政府網站群穩定運行，切實做好“中國南通”政府網站群的應急管理工作，現印發《“中國南通”政府網站群應急預案》，請遵照執行。

　　“中國南通”政府網站群應急預案

　　1.總 則

　　1.1 編制目的和依據

　　為加強“中國南通”政府網站群突發事件的應急處理工作，提高我市處置“中國南通”政府網站群突發事件的能力和水平，最大限度地減輕或消除突發事件的危害與影響，確保“中國南通”政府網站群安全，依據《國家信息化領導組關于加強信息安全保障工作的意見》（中辦發〔2003〕27號）及國家、省、市突發公共事件總體應急預案等有關規定，結合我市工作實際，制定本預案。

　　1.2 “中國南通”政府網站群應急的原則

　　堅持統一領導、分級負責、及時預警、協同配合、快速處理、確保在最短的時間內完成恢復的原則。

　　按照“誰主管、誰負責”的原則，各地、各有關部門、單位須高度重視信息安全，對信息內容嚴格把關，先審后上。

　　1.3“中國南通”政府網站群定義與適用范圍

　　1.3.1定義

　　（1）“中國南通”政府網站群由一個主站點和若干子站點構成，運行在市政府信息網絡管理中心統一規劃、統一標準的系統平臺上，實現分級管理、分級維護、數據能夠交互共享的網站集合。

　　（2）“中國南通”政府網站群子站點指運行在“中國南通”政府網站群系統平臺上，可以獨立管理的市級機關各部門、各事業單位的網站。

　　1.3.2.適用范圍

　　（1）“中國南通”政府網站群內的信息安全；

　　（2）“中國南通”政府網站群相關的系統（含網絡、硬件、軟件系統）安全；

　　（3）“中國南通”政府網站群子站點安全。

　　1.4“中國南通”政府網站群突發安全事件的分級

　　“中國南通”政府網站群突發安全事件，分為四級：

　　第一級，特別重大網絡安全事件。擴散性強，造成全市乃至全國重要網絡與信息系統大規模癱瘓，影響社會穩定及衍生的其他安全事件。

　　第二級，重大網絡安全事件。有擴散性，影響全市重要網絡與信息系統安全及衍生的其他安全事件。

　　第三級，較大網絡安全事件。基本無擴散性，發生在網群內、對社會有一定的危害，但不需要跨部門、跨地區協同處置。

　　第四級，一般網絡安全事件。無擴散性，發生在網群內的、無社會影響個別安全事件。

　　2.安全應急組織機構及職責

　　2.1　“中國南通”政府網站群應急組織機構

　　成立“中國南通”政府網站群應急領導小組（以下簡稱“網群應急領導小組”），由市電子政務協調小組辦公室主任任組長、副主任任副組長，下設“中國南通”政府網站群應急處置辦公室（以下簡稱“網群應急處置辦”）和“中國南通”政府網站群應急處置技術服務組（以下簡稱“網群應急技術組”），分別由市政府辦公室、市政府信息網絡管理中心領導和處室負責同志及“中國南通”政府網站技術依托單位技術人員擔任。

　　2.2　“中國南通”政府網站群應急領導小組職責

　　（1）研究制定“中國南通”政府網站群安全事件應急處置工作規劃、計劃；

　　（2）協調推進“中國南通”政府網站群相關系統安全應急機制和工作體系建設；

　　（3）決定是否啟動本預案，進入“中國南通”政府網站群安全應急處置程序；

　　（4）確定發生“中國南通”政府網站群安全突發事件的響應等級。

　　2.3　“中國南通”政府網站群應急處置辦職責

　　（1）協調組織人員開展“中國南通”政府網站群應急救援工作，實施先期處置；

　　（2）配合相關部門和上級應急隊伍實施相關救援行動；

　　（3）開展“中國南通”政府網站群相關的安全技術培訓和應急演練；

　　（4）協助網群應急領導小組處理其他工作事宜。

　　2.4　“中國南通”政府網站群應急技術組職責

　　（1）及時處置網群內發生的各類突發安全事件；

　　（2）對政府網站群各系統進行日常檢查、排查隱患、風險分析，預防安全事故的發生;

　　（3）制訂相關安全事件的預警方案和解決方案。

　　3.安全事件分類與應急處置措施

　　3.1　安全事件主要分類:

　　（1）故障類事件：指網絡系統因計算機軟硬件故障、人為誤操作等導致平臺中斷、系統宕機、網絡癱瘓等情況。

　　（2）攻擊類事件：指網絡系統因計算機病毒感染、非法入侵等導致平臺中斷、系統宕機、網絡癱瘓等情況。

　　（3）災害類事件：指因爆炸、火災、雷擊、地震、臺風等外力因素導致網絡系統損毀，造成平臺中斷、系統宕機、網絡癱瘓等情況。

　　3.2　網絡線路中斷故障的處置措施

　　（1）一旦發生網絡線路中斷，“中國南通”政府網站工作人員須立即向網群應急處置辦匯報。

　　（2）網站群日常維護人員在確認故障后，立即啟用備用線路或重新安裝線路。

　　（3）如果無法快速恢復網絡線路，網站群日常維護人員須立即向網群應急處置辦匯報，向相關部門和廠商請求支援。

　　（4）相關專家趕赴現場修復網絡線路。

　　（5）必要時，告之各相關部門，暫緩上報數據信息。

　　3.3　電路中斷的處置措施

　　（1）外電中斷后，立即啟用備用電源設備。

　　（2）機房值班人員應立即查明原因，并向網群應急處置辦匯報。

　　（3）因機關內部線路引起的故障，請機關事務服務部門迅速恢復；因供電部門引起的，應立即與供電部門聯系，請供電部門迅速恢復供電。

　　（4）如果供電部門告知需長時間停電，應做如下安排：

　　預計停電4小時以內，由UPS供電；預計停電24小時，關掉非關鍵設備，確保各主機、路由器、交換機供電；預計停電超過72小時，白天工作時間關鍵設備運行，晚上所有設備停機；預計停電超過72小時，應聯系小型發電機自行發電。

　　3.4 硬件設備故障的處置措施

　　（1）發生硬件設備故障，工作人員須立即向網群應急處置辦匯報。

　　（2）維護人員展開先期處理，啟用應急設備，對受損硬件進行檢測。

　　（3）立即與設備提供商聯系，請求派維修人員前來維修或更換。

　　（4）硬件設備測試正常后，重新接入網絡。

　　（5）必要時，告之各相關部門，暫緩上報數據信息。

　　3.5  操作系統故障的處置措施

　　（1）操作系統發生一般故障，維護人員對操作系統故障進行處理，處理完成后向網群應急處置辦匯報。

　　（2）操作系統發生重大故障，維護人員做好相關數據備份，對操作系統故障展開預處理，同時向網群應急處置辦匯報，事后形成故障分析報告。

　　（3）系統發生特大故障，及時匯報給網群應急處置辦；網群應急處置辦組織人員到現場解決故障；事后形成異常分析報告和預警方案。

　　（4）遇到無法解決的故障，立即匯報給網群應急處置辦，響應其他技術力量，請求相關部門和廠商專家協助解決。

　　（5）特殊情況下，經網群應急處置辦討論通過后，可重新安裝操作系統，恢復應用程序和相關數據。

　　（6）必要時，告之有關單位操作系統出故障，暫緩上報數據。

　　3.6  應用系統故障的處置措施

　　（1）應用系統發生一般故障，維護人員先對應用系統故障進行處理，事后向網群應急處置辦匯報。

　　（2）應用系統發生重大故障，工作人員應快速查明故障原因，展開預處理，并將處理情況及時向網群應急處置辦匯報，事后形成故障分析報告。

　　（3）應用系統發生特大故障，須及時匯報給網群應急處置辦；網群應急處置辦組織相關人員到現場解決故障；事后形成故障分析報告和預警方案。

　　（4）遇到無法解決的應用系統故障，向網群應急處置辦匯報，請求相關部門和廠商專家協助解決。

　　（5）經網群應急處置辦同意，進行應用系統程序的恢復、升級和加固。

　　（6）必要時，告之有關單位應用系統出故障，暫緩上報數據。

　　3.7  計算機病毒的處置措施

　　（1）發現網絡內用戶計算機感染病毒后，維護人員須立即切斷該計算機與網絡的連接，查明病毒源；對該計算機進行數據備份，啟用防病毒軟件對該計算機進行殺毒處置；檢測其他計算機是否受到病毒感染；向網群應急處置辦匯報，并分析計算機中毒的原因。

　　（2）發現網絡內重要計算機設備感染病毒后，維護人員立即向網群應急處置辦匯報；啟用備用設備，切斷中毒計算機的網絡鏈接；對該機的重要數據進行備份，啟用防病毒軟件進行殺毒處置，同時檢測其他計算機是否受到病毒感染，查明病毒源；事后向網群應急處置辦匯報，并分析計算機中毒的原因。

　　（3）無法清除病毒時，須立即向網群應急處置辦匯報，并通過其他技術力量，請求反病毒專家協助清除病毒。

　　（4）確認計算機病毒被清除后，應實施必要的安全加固，恢復計算機系統和相關數據，檢查數據的完整性，將計算機重新接入網絡。

　　（5）總結本次事件處置情況，形成分析報告。

　　3.8　網頁遭受非法篡改的處置措施

　　（1）網頁出現非法信息后，工作人員應立即取證存檔，刪除非法信息，向網群應急處置辦匯報。

　　（2）發現網頁遭到非法篡改，工作人員應立即取證存檔，并展開預處理；查看軟件程序是否有異常，有沒有感染木馬、病毒或受黑客攻擊；網頁恢復正常后，向網群應急處置辦匯報，并給出分析報告。

　　（3）遇到網頁無法恢復正常時，應立即向網群應急處置辦匯報，并通過其他技術力量，請求反病毒專家協助處理。

　　（4）確認網頁恢復正常后，對系統程序實施必要的安全加固，加強網頁監控和值班管理。

　　（5）總結本次事件處置情況，形成分析報告與預警方案。

　　3.9　應用服務器遭受非法入侵的處置措施

　　（1）發現應用服務器被遠程控制或被植入木馬程序后，須立即網群應急處置辦匯報。

　　（2）將已被入侵的應用服務器從網絡中隔離出來，啟用備用服務器。

　　（3）分析后臺數據庫操作日志,查找遭受非法入侵的原因，追查攻擊源，修改防火墻等安全設備的配置，阻斷黑客繼續入侵。

　　（4）必要時，通過其他技術力量，請求反黑客專家技術支持。

　　（5）分析程序的完整性和有效性,恢復被攻擊或破壞的系統，實施必要的安全加固，重新將對外應用服務系統接入網絡。

　　（6）總結事件處置情況，形成分析報告與預警方案。

　　3.10　數據庫服務器數據丟失處置措施

　　（1）發現數據庫數據被非法拷貝、修改、刪除，維護人員須立即向網群應急處置辦匯報。

　　（2）網群應急處置辦通知相關維護人員，啟用備用數據庫服務器。

　　（3）對問題數據庫服務器進行完整性檢查和分析，導入備份數據加以恢復。

　　（4）遇到無法恢復備份數據，應立即向網群應急處置辦匯報，響應其他技術力量，請求相關部門和供應商緊急支援。

　　（5）檢查數據的完整性，實施必要的安全加固，重新將數據庫服務接入網絡。

　　（6）總結事件處置情況，形成分析報告與預警方案。

　　3.11　發生自然災害的處置措施

　　（1）因自然災害導致重要設備損壞，值班人員立即向網群應急處置辦匯報。

　　（2）緊急啟用備用設備，同時向上級單位或有關廠商請求支援，擬定重建方案。

　　（3）新設備到達現場后，尋找安全可靠的地點，重新搭建網絡系統，恢復操作系統與相關應用系統，檢查數據的完整性，并接入網絡。

　　（4）經測試符合要求后，相關安全應急處置機構才能撤離。

　　4、應急處置相關的工作規范

　　4.1　應急處置人員工作規范

　　（1） “中國南通”政府網站群應急處置成員在處置突發事件時，應做好數據及應用系統備份，做好相應的操作記錄，確保每一步過程可逆。

　　（2）網群應急技術組成員必須與南通市政府信息網絡管理中心簽定保密協議，在處置突發事件過程中，所涉及到的信息不得外泄。

　　（3）突發事件處理完畢，網群應急技術組成員必須銷毀額外的數據及材料，不得帶離。

　　5、附 則

　　5.1　其 他

　　（1）對違反規定而導致嚴重后果的部門和個人，網群應急領導小組將提請有關部門追究其相應的責任。

　　（2）本預案由市政府信息網絡管理中心負責解釋。

　　（3）本預案自發布之日起施行。