松原市公共资源交易中心

网络与信息安全事件应急预案

一、总 则 

（一）编制目的

为保证松原市公共资源交易中心信息系统安全，加强和完善网络与信息安全应急管理措施，层层落实责任，有效预防、及时控制和最大限度地消除信息安全突发事件的危害和影响，确保信息系统和网络的通畅运行，结合实际，特制定本应急预案。  

（二）编制依据

《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《国家网络安全事件应急预案》。

（三）工作原则

1.积极防御，综合防范

立足安全防护，加强预警，抓好预防、监控、应急处理、应急保障和打击犯罪环节，保障松原市公共资源交易中心系统网络与信息安全体系。

2.明确责任，分级负责

按照“谁管理谁负责，谁运维谁负责”的原则，分级分类建立和完善安全责任制度、协调管理机制和联动机制。

3.科学决策，快速反应

加强技术储备，规范应急处理措施和操作流程，网络与信息安全突发公共事件发生时，要快速反应，及时获取准确信息，跟踪研判，及时报告，果断决策，迅速处理，最大限度地减少危害和影响。

（四）适用范围

本预案适用于松原市公共资源交易中心发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。

二、组织体系

松原市公共资源交易中心成立网络与信息安全应急领导小组和应急工作小组。

（一）应急领导小组

组  长：邹立国

副组长：杨  辉  孙彦安  王佳媛

成  员：孙亚峰  孙静辉  董  威  任修权  陈纪元

负责应急预案启动和终止命令的下达和授权；负责应急实施过程中的决策和授权。

（二）应急工作小组

组  长：孙亚峰

副组长：任修权  陈纪元

组  员：驻场服务软件公司人员

负责处理应急领导小组的日常工作，检查督促应急领导小组决定事项的落实。

三、应急响应流程

（一）预防预警

1.落实工作责任制，按照“早发现、早报告、早处置”的原则，加强对各类网络与信息安全突发公共事件和可能引发突发公共事件的有关信息的收集、分析、判断和持续监测。当发生网络与信息安全突发公共事件时，应立即向应急领导小组报告。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施建议等。领导小组根据事件的严重程度，组织指定小组及时控制信息外漏，按重要程度进行信息控制。

2.发现下列情况应及时向应急领导小组报告：利用网络从事违法犯罪活动；网络或信息系统通信和资源使用异常；网络或信息系统瘫痪；应用服务中断或数据篡改、丢失；网络恐怖活动的嫌疑和预警信息；其它影响网络与信息安全的信息。

3.预警处理与发布，对可能发生或已经发生的网络与信息安全突发公共事件，立即采取措施控制事态，必要时启动相应的预案，同时向应急领导小组报告。应急领导小组接到报告后，对发生和可能发生的网络与信息安全事件，应迅速召开应急领导小组会议，研究确定处置意见，决定启动本预案。对必要的向市公安局网监部门和相关部门报告。

（二）事件分类与定级

1.事件分类：①有害程序事件，指蓄意制造、传播有害程序，或是因受到有害程序的影响导致信息安全事件。②网络攻击事件，指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷用暴力攻击对信息系统进行攻击。③信息（存储视频）破坏事件，指通过网络或其他手段造成信息被篡改、假冒、泄露、窃取等而导致的信息（存储视频）破坏事件。④信息内容安全事件，指利用信息网络发布、传播危害国家社会稳定和公共利益的内容安全事件。

2.信息安全事件分级：①特别重大事件，指会使特别重要信息系统遭受特别严重的损失，产生特别重大的社会影响。②重大事件，指特别重要信息系统遭受严重损失，产生重大社会影响。③较大事件，指能够导致较严重影响的信息安全事件，产生较大社会影响。④一般事件，指不满足以上条件的信息安全事件，产生一般的社会影响。

（三）应急响应

1.网站、网页出现非法言论时的处置流程。

（1）网站、网页由信息技术科负责随时密切监视信息内容。

（2）发现网上出现非法信息时，信息技术科派专人处理，作好必要记录，清除非法信息，确认后，再重新启动网站。

（3）服务器责任人妥善保存有关记录及日志。

（4）信息安全员通过技术手段追查非法信息来源。

（5）向上级领导汇报处理情况。

（6）如果非法信息不能自行处理或属严重事件的，应保留记录资料并立即向公安部门报警。

2.黑客攻击的紧急处置流程。

（1）当发现网页内容被篡改或发现网络正被攻击时，应立即将被攻击的设备从网络中隔离出来，保护现场并立刻向领导通报情况。

（2）进行被攻击、破坏系统的恢复、重建工作。

（3）追查非法来源。

（4）向上级领导汇报处理情况。

（5）如果不能自行处理或属严重事件的，应保留记录资料并立即向公安部门报警。

3.病毒安全紧急处置流程。

（1）当发现计算机被感染上病毒后，将该机从网络上隔离开来。

（2）对该设备的硬盘进行数据备份。

（3）启用杀病毒软件对该机器进行杀毒处理工作。

（4）如果现行反病毒软件无法清除该病毒，在确认数据完全备份后，征求使用人同意重装系统。

4.交易系统故障的紧急处置流程。

（1）用户或中心工作人员在使用过程中出现系统页面无法访问，或登陆出现异常，由应急工作小组应第一时间进行问题排查。

（2）检查机房网络是否故障，中心电脑能否访问外网。如机房网络无故障，不能访问外网则网络出现问题，应急工作小组第一时间联系网络运营商排查情况。

（3）如网站能正常访问，由信息技术科在网站发布系统临时维护公告，如暂时不能访问也应在系统恢复后补发维护公告。

（4）如交易中心网络正常，应急工作小组需第一时间联系服务器管理人员登陆CAS虚拟管理平台，检查虚拟服务器状态是否正常，同时进入机房检查机房情况，服务器故障由服务器管理人员排除故障。

5.广域网线路中断紧急处置流程。

（1）广域网线路中断后，应立即启动线路接续工作，同时向领导报告。

（2）迅速判断故障节点，查明故障原因及时恢复网络。

（3）如故障节点属电信部门管辖范围，立即与电信维护部门联系，要求修复。

6.局域网中断紧急处置流程。

（1）配置好备用网络设备，存放在指定的地方。

（2）局域网中断后，网络维护人员应立即判断故障节点，查明原因。

（3）如属线路故障，应重新安装线路。

（4）如属路由器、交换机等网络设备硬件故障，应立即使用备用设备，并调试通畅。

（5）如属路由器、交换机配置文件破坏等软件故障，应迅速按照要求重新导入备份配置。

（6）向上级领导汇报处理情况。

7.机房漏水紧急处置流程如下：

（1）发生机房漏水时，第一目击者应立即通知机房管理人员。

（2）若空调系统出现渗漏水，机房管理人员应立即安排停用故障空调，清除机房积水，并及时联系设备供应方处理，同时启动备用空调，必要情况下可临时用电扇对服务器进行降温。

（3）若为墙体或窗户渗漏水，机房管理人员应立即采取有效措施确保机房安全，同时安排通知办公室，及时清除积水，维修墙体或窗户，消除渗漏水隐患。

8.机房灭火流程。

一旦发生火灾，应遵循下列原则：

（1）首先确保人员安全；其次保证关键设备、数据的安全；第三确保一般设备安全。

（2）人员疏散程序是：按响火警警报，并通过119电话向消防请求支援，所有不参与灭火的人员按照预先确定的路线撤离。

（3）向上级领导汇报处理情况。

9.雷击事故处置流程：

（1）接到雷暴红色预警天气，应急工作小组人员在下班后应及时关闭所有设备，切断电源，暂停内部计算机网络工作。

（2）雷暴天气结束后，应急工作小组人员应及时开通设备，恢复内部计算机网络工作，对设备和数据进行检查。出现故障的，应急工作小组应将故障情况及时报告领导小组。

（3）因雷击造成损失的，应急工作小组人员应会同相关部门进行核实、报损，并在调查工作结束后一日内书面报告领导小组。

10.电源中断后的处置流程。

（1）电子评标室遇到突然停电，应及时关闭电源，向上级领导汇报处理情况。

（2）视频监控现场录像遇到突然停电，应及时关闭电源，向上级领导汇报处理情况。

13.机房、监控室设备防盗被盗或人为损害紧急处置流程：

（1）机房、监控室管理人员每日查看、清点设备并锁好房门。

（2）监控室管理人员每日检查录像监控服务器状态，确保监控画面正常，并检查每日录像正常性、完整性。

（3）发生设备被盗或人为损害设备情况时，使用者或管理者应立即报告领导小组，同时保护好现场。并通知保安及公安部门，一同核实审定现场情况，清点被盗物资或盘查人为损害情况，做好必要的影像记录和文字记录。

（4）事发当事人应积极配合公安部门进行调查，并将有关情况向领导小组汇报。

(四) 后期处置

应急响应结束后应对安全事件的处理过程予以总结并形成报告，其内容包括:导致事件的原因分析(尽量辨别其属于偶发事件还是必然事件)，事件造成的危害和恢复程度，是否存在遗留问题，以及关于应急响应方面的改进建议等。

本预案自发布之日起执行。

附件1：联系人员清单

附件2：软硬件提供商、运维单位联系单