通政办发〔2009〕68号

各县（市）、区人民政府，市经济技术开发区管委会，市各委、办、局，市各直属单位：

　　为了保障“中国南通”政府网站群稳定运行，切实做好“中国南通”政府网站群的应急管理工作，现印发《“中国南通”政府网站群应急预案》，请遵照执行。

　　“中国南通”政府网站群应急预案

　　1.总 则

　　1.1 编制目的和依据

　　为加强“中国南通”政府网站群突发事件的应急处理工作，提高我市处置“中国南通”政府网站群突发事件的能力和水平，最大限度地减轻或消除突发事件的危害与影响，确保“中国南通”政府网站群安全，依据《国家信息化领导组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）及国家、省、市突发公共事件总体应急预案等有关规定，结合我市工作实际，制定本预案。

　　1.2 “中国南通”政府网站群应急的原则

　　坚持统一领导、分级负责、及时预警、协同配合、快速处理、确保在最短的时间内完成恢复的原则。

　　按照“谁主管、谁负责”的原则，各地、各有关部门、单位须高度重视信息安全，对信息内容严格把关，先审后上。

　　1.3“中国南通”政府网站群定义与适用范围

　　1.3.1定义

　　（1）“中国南通”政府网站群由一个主站点和若干子站点构成，运行在市政府信息网络管理中心统一规划、统一标准的系统平台上，实现分级管理、分级维护、数据能够交互共享的网站集合。

　　（2）“中国南通”政府网站群子站点指运行在“中国南通”政府网站群系统平台上，可以独立管理的市级机关各部门、各事业单位的网站。

　　1.3.2.适用范围

　　（1）“中国南通”政府网站群内的信息安全；

　　（2）“中国南通”政府网站群相关的系统（含网络、硬件、软件系统）安全；

　　（3）“中国南通”政府网站群子站点安全。

　　1.4“中国南通”政府网站群突发安全事件的分级

　　“中国南通”政府网站群突发安全事件，分为四级：

　　第一级，特别重大网络安全事件。扩散性强，造成全市乃至全国重要网络与信息系统大规模瘫痪，影响社会稳定及衍生的其他安全事件。

　　第二级，重大网络安全事件。有扩散性，影响全市重要网络与信息系统安全及衍生的其他安全事件。

　　第三级，较大网络安全事件。基本无扩散性，发生在网群内、对社会有一定的危害，但不需要跨部门、跨地区协同处置。

　　第四级，一般网络安全事件。无扩散性，发生在网群内的、无社会影响个别安全事件。

　　2.安全应急组织机构及职责

　　2.1　“中国南通”政府网站群应急组织机构

　　成立“中国南通”政府网站群应急领导小组（以下简称“网群应急领导小组”），由市电子政务协调小组办公室主任任组长、副主任任副组长，下设“中国南通”政府网站群应急处置办公室（以下简称“网群应急处置办”）和“中国南通”政府网站群应急处置技术服务组（以下简称“网群应急技术组”），分别由市政府办公室、市政府信息网络管理中心领导和处室负责同志及“中国南通”政府网站技术依托单位技术人员担任。

　　2.2　“中国南通”政府网站群应急领导小组职责

　　（1）研究制定“中国南通”政府网站群安全事件应急处置工作规划、计划；

　　（2）协调推进“中国南通”政府网站群相关系统安全应急机制和工作体系建设；

　　（3）决定是否启动本预案，进入“中国南通”政府网站群安全应急处置程序；

　　（4）确定发生“中国南通”政府网站群安全突发事件的响应等级。

　　2.3　“中国南通”政府网站群应急处置办职责

　　（1）协调组织人员开展“中国南通”政府网站群应急救援工作，实施先期处置；

　　（2）配合相关部门和上级应急队伍实施相关救援行动；

　　（3）开展“中国南通”政府网站群相关的安全技术培训和应急演练；

　　（4）协助网群应急领导小组处理其他工作事宜。

　　2.4　“中国南通”政府网站群应急技术组职责

　　（1）及时处置网群内发生的各类突发安全事件；

　　（2）对政府网站群各系统进行日常检查、排查隐患、风险分析，预防安全事故的发生;

　　（3）制订相关安全事件的预警方案和解决方案。

　　3.安全事件分类与应急处置措施

　　3.1　安全事件主要分类:

　　（1）故障类事件：指网络系统因计算机软硬件故障、人为误操作等导致平台中断、系统宕机、网络瘫痪等情况。

　　（2）攻击类事件：指网络系统因计算机病毒感染、非法入侵等导致平台中断、系统宕机、网络瘫痪等情况。

　　（3）灾害类事件：指因爆炸、火灾、雷击、地震、台风等外力因素导致网络系统损毁，造成平台中断、系统宕机、网络瘫痪等情况。

　　3.2　网络线路中断故障的处置措施

　　（1）一旦发生网络线路中断，“中国南通”政府网站工作人员须立即向网群应急处置办汇报。

　　（2）网站群日常维护人员在确认故障后，立即启用备用线路或重新安装线路。

　　（3）如果无法快速恢复网络线路，网站群日常维护人员须立即向网群应急处置办汇报，向相关部门和厂商请求支援。

　　（4）相关专家赶赴现场修复网络线路。

　　（5）必要时，告之各相关部门，暂缓上报数据信息。

　　3.3　电路中断的处置措施

　　（1）外电中断后，立即启用备用电源设备。

　　（2）机房值班人员应立即查明原因，并向网群应急处置办汇报。

　　（3）因机关内部线路引起的故障，请机关事务服务部门迅速恢复；因供电部门引起的，应立即与供电部门联系，请供电部门迅速恢复供电。

　　（4）如果供电部门告知需长时间停电，应做如下安排：

　　预计停电4小时以内，由UPS供电；预计停电24小时，关掉非关键设备，确保各主机、路由器、交换机供电；预计停电超过72小时，白天工作时间关键设备运行，晚上所有设备停机；预计停电超过72小时，应联系小型发电机自行发电。

　　3.4 硬件设备故障的处置措施

　　（1）发生硬件设备故障，工作人员须立即向网群应急处置办汇报。

　　（2）维护人员展开先期处理，启用应急设备，对受损硬件进行检测。

　　（3）立即与设备提供商联系，请求派维修人员前来维修或更换。

　　（4）硬件设备测试正常后，重新接入网络。

　　（5）必要时，告之各相关部门，暂缓上报数据信息。

　　3.5  操作系统故障的处置措施

　　（1）操作系统发生一般故障，维护人员对操作系统故障进行处理，处理完成后向网群应急处置办汇报。

　　（2）操作系统发生重大故障，维护人员做好相关数据备份，对操作系统故障展开预处理，同时向网群应急处置办汇报，事后形成故障分析报告。

　　（3）系统发生特大故障，及时汇报给网群应急处置办；网群应急处置办组织人员到现场解决故障；事后形成异常分析报告和预警方案。

　　（4）遇到无法解决的故障，立即汇报给网群应急处置办，响应其他技术力量，请求相关部门和厂商专家协助解决。

　　（5）特殊情况下，经网群应急处置办讨论通过后，可重新安装操作系统，恢复应用程序和相关数据。

　　（6）必要时，告之有关单位操作系统出故障，暂缓上报数据。

　　3.6  应用系统故障的处置措施

　　（1）应用系统发生一般故障，维护人员先对应用系统故障进行处理，事后向网群应急处置办汇报。

　　（2）应用系统发生重大故障，工作人员应快速查明故障原因，展开预处理，并将处理情况及时向网群应急处置办汇报，事后形成故障分析报告。

　　（3）应用系统发生特大故障，须及时汇报给网群应急处置办；网群应急处置办组织相关人员到现场解决故障；事后形成故障分析报告和预警方案。

　　（4）遇到无法解决的应用系统故障，向网群应急处置办汇报，请求相关部门和厂商专家协助解决。

　　（5）经网群应急处置办同意，进行应用系统程序的恢复、升级和加固。

　　（6）必要时，告之有关单位应用系统出故障，暂缓上报数据。

　　3.7  计算机病毒的处置措施

　　（1）发现网络内用户计算机感染病毒后，维护人员须立即切断该计算机与网络的连接，查明病毒源；对该计算机进行数据备份，启用防病毒软件对该计算机进行杀毒处置；检测其他计算机是否受到病毒感染；向网群应急处置办汇报，并分析计算机中毒的原因。

　　（2）发现网络内重要计算机设备感染病毒后，维护人员立即向网群应急处置办汇报；启用备用设备，切断中毒计算机的网络链接；对该机的重要数据进行备份，启用防病毒软件进行杀毒处置，同时检测其他计算机是否受到病毒感染，查明病毒源；事后向网群应急处置办汇报，并分析计算机中毒的原因。

　　（3）无法清除病毒时，须立即向网群应急处置办汇报，并通过其他技术力量，请求反病毒专家协助清除病毒。

　　（4）确认计算机病毒被清除后，应实施必要的安全加固，恢复计算机系统和相关数据，检查数据的完整性，将计算机重新接入网络。

　　（5）总结本次事件处置情况，形成分析报告。

　　3.8　网页遭受非法篡改的处置措施

　　（1）网页出现非法信息后，工作人员应立即取证存档，删除非法信息，向网群应急处置办汇报。

　　（2）发现网页遭到非法篡改，工作人员应立即取证存档，并展开预处理；查看软件程序是否有异常，有没有感染木马、病毒或受黑客攻击；网页恢复正常后，向网群应急处置办汇报，并给出分析报告。

　　（3）遇到网页无法恢复正常时，应立即向网群应急处置办汇报，并通过其他技术力量，请求反病毒专家协助处理。

　　（4）确认网页恢复正常后，对系统程序实施必要的安全加固，加强网页监控和值班管理。

　　（5）总结本次事件处置情况，形成分析报告与预警方案。

　　3.9　应用服务器遭受非法入侵的处置措施

　　（1）发现应用服务器被远程控制或被植入木马程序后，须立即网群应急处置办汇报。

　　（2）将已被入侵的应用服务器从网络中隔离出来，启用备用服务器。

　　（3）分析后台数据库操作日志,查找遭受非法入侵的原因，追查攻击源，修改防火墙等安全设备的配置，阻断黑客继续入侵。

　　（4）必要时，通过其他技术力量，请求反黑客专家技术支持。

　　（5）分析程序的完整性和有效性,恢复被攻击或破坏的系统，实施必要的安全加固，重新将对外应用服务系统接入网络。

　　（6）总结事件处置情况，形成分析报告与预警方案。

　　3.10　数据库服务器数据丢失处置措施

　　（1）发现数据库数据被非法拷贝、修改、删除，维护人员须立即向网群应急处置办汇报。

　　（2）网群应急处置办通知相关维护人员，启用备用数据库服务器。

　　（3）对问题数据库服务器进行完整性检查和分析，导入备份数据加以恢复。

　　（4）遇到无法恢复备份数据，应立即向网群应急处置办汇报，响应其他技术力量，请求相关部门和供应商紧急支援。

　　（5）检查数据的完整性，实施必要的安全加固，重新将数据库服务接入网络。

　　（6）总结事件处置情况，形成分析报告与预警方案。

　　3.11　发生自然灾害的处置措施

　　（1）因自然灾害导致重要设备损坏，值班人员立即向网群应急处置办汇报。

　　（2）紧急启用备用设备，同时向上级单位或有关厂商请求支援，拟定重建方案。

　　（3）新设备到达现场后，寻找安全可靠的地点，重新搭建网络系统，恢复操作系统与相关应用系统，检查数据的完整性，并接入网络。

　　（4）经测试符合要求后，相关安全应急处置机构才能撤离。

　　4、应急处置相关的工作规范

　　4.1　应急处置人员工作规范

　　（1） “中国南通”政府网站群应急处置成员在处置突发事件时，应做好数据及应用系统备份，做好相应的操作记录，确保每一步过程可逆。

　　（2）网群应急技术组成员必须与南通市政府信息网络管理中心签定保密协议，在处置突发事件过程中，所涉及到的信息不得外泄。

　　（3）突发事件处理完毕，网群应急技术组成员必须销毁额外的数据及材料，不得带离。

　　5、附 则

　　5.1　其 他

　　（1）对违反规定而导致严重后果的部门和个人，网群应急领导小组将提请有关部门追究其相应的责任。

　　（2）本预案由市政府信息网络管理中心负责解释。

　　（3）本预案自发布之日起施行。