网络安全应急预案

河北省交通运输厅网络安全事件应急预案河北省交通运输厅年月201712预警研判及发布

3.2网络安全事件预警，是指依据国家、省部网络安全机构、专业技术服务机构等发布的可靠风险信息或汇总监测信息，判断有安全事件发生可能后，或在重要敏感时期，为强化II级以上安全事件防范，发出提醒或告警的行为预警信息包括事件类别、预警级别、起始及终止时间、可能影响范围、应采取措施等内容预警分I级（特别重大）、II级（重大）两级，厅科技处负责组织对可能为n级以上风险进行研判，认为需立即采取防范措施的，及时报领导小组，并发布相应级别预警如可能发生I级事件，由领导小组向省网络安全应急办报告预警响应

3.

33.II级预警响应（特别重大）

3.领导小组组织预警响应工作，组织开展形势研判，研究防范措施及应急方案，协调调度应急资源，并做好与省网络安全应急办进行24小时沟通协调的准备各单位相关人员紧急进入待命状态，保持24小时联络通畅；运行维护单位加强监测分析和信息搜集工作，实行7X24小时值班制，协调技术支持队伍、基础条件保障单位、落实应急设备及人员等必备条件，做好风险管控和应急准备工作

3.211级预警响应（重大）

4.在领导小组指导下，厅科技处组织预警响应工作，组织专家及机构开展形势研判、研究防范措施及应急方案、协调调度应急资源各单位相关人员进入待命状态，保持24小时联络通畅;运行维护单位加强监测分析和信息搜集工作，实行7X24小时值班制，协调技术支持队伍、基础条件保障单位、落实应急设备及人员等必备条件，做好风险管控和应急准备工作

3.3IH级预警响应一般

5.由运行维护单位组织做好预警响应工作

3.4预警解除

6.预警发布单位根据实际情况，确定是否解除预警，及时发布预警解除信息应急处置

7.事件报告

7.1网络安全事件发生后，第一发现接报人应立即报告运行维护单位应急处置联络人，运行维护单位接报后，应根据事件类型迅速组织开展初步处置，控制事态，经合理分析判断后，认为可能为I、II级事件的，应会同业务系统主管单位及时将事件情况报送厅科技处初步处置

7.21当确定网页上出现国家秘密或重要内部敏感信息、反动信息、煽动性言论、谣言等的内容安全事件发生时，应于第一时间切断相应服务器网络连接，并保留证据2对信息窃取事件及信息破坏事件，应立即核实关联的信息系统，暂时关闭相关系统对外服务，并保留证据3对网络服务异常事件，应立即核查访问量、软硬件设备配置及运行等情况，分析评估服务异常原因，并保留证据

（4）对有害程序事件，应首先将发现被感染的主机或计算机从网络上隔离开来，立即分析评估有害程序感染范围和破坏程度，并保留证据

（5）对设备设施故障事件，应立即核查故障设备情况,如果能够自行恢复，应立即用备件替换受损部件；如属不能自行恢复的，立即与设备供应商联系，请求派维护人员前来维修，并分析评估事件影响

（6）对灾害性事件，应在确保人员安全的前提下，按照各类灾害应急方法予以科学处置

4.应急响应3厅科技处组织相关业务系统主管单位、专业技术支撑单位、网络安全专家、运行维护单位等开展事件研判，初判为n级（重大）以上网络安全事件的，应立即报告网络安全分管厅领导，建议成立领导小组，并建议领导小组决策启动I级、n级应急响应

5.

3.1I级应急响应

（1）启动指挥体系领导小组决定启动I级响应后，向省网络安全应急办报告事件情况根据需要，领导小组成员赶赴现场，成立现场指挥组，领导小组和相关单位进入应急状态，所有单位相关人员保持24小时联络畅通厅科技处联合省网络安全应急办，并组织业务系统主管单位、专业技术支撑单位、运行维护单位、网络安全专家等研究对策，提出处置方案建议，为领导小组决策提供支撑2掌握事件动态跟踪事态发展初步处置后，运行维护单位会同业务系统主管单位及时将事态发展变化情况和处置进展情况上报厅科技处，并及时告知业务系统主管单位检查影响范围厅科技处、业务系统主管单位及时掌握信息系统运行情况及事件影响情况，厅宣传中心负责开展网上舆情监测，厅科技处汇总相关信息，及时报领导小组及时上传下达厅科技处负责掌握事件动态发展情况，及时报送省网络安全应急办，并将上级有关要求、事件处置情况等通报有关单位3决策部署领导小组根据省网络安全应急办要求，组织厅科技处、相关业务系统主管单位、专业技术支撑单位、运行维护单位、网络安全专家等，及时研究对策，对应急处置工作进行决策部署4处置实施根据省网络安全应急办要求，由厅科技处联合省网络安全应急办等单位，指导组织厅机关运行维护单位或指导厅直属单位组织其运行维护单位开展应急处置实施工作控制事态防止蔓延采取各种技术措施、管控手段，最大限度地阻止和控制事态发展，防止事态蔓延消除隐患恢复系统根据事件发生原因，针对性制定具体的解决方案，组织实施处置，对业务连续性要求高的受破坏网络与信息系统要及时组织恢复调查取证运行维护单位在已保存证据的基础上，开展问题定位和溯源追踪工作，将网络安全事件报当地公安机关，配合开展调查取证工作信息发布根据实际需要，经报领导小组核准，可在处置中、处置后组织召开新闻发布会

4.

3.2n级应急响应1启动指挥体系领导小组和相关单位进入应急状态，各单位相关人员保持联络畅通厅科技处组织业务系统主管单位、专业技术支撑单位、运行维护单位、网络安全专家等研究对策，提出处置方案建议，为领导小组决策提供支撑2掌握事件动态跟踪事态发展初步处置后，运行维护单位应及时将事态发展变化情况和处置进展情况上报厅科技处，并及时告知业务系统主管单位检查影响范围厅科技处、业务系统主管单位及时掌握信息系统运行情况及事件影响情况，厅宣传中心负责开展网上舆情监测，厅科技处汇总相关信息，及时报领导小组及时通报情况厅科技处根据省网络安全通报工作要求，及时将情况报有关单位3决策部署领导小组组织厅科技处、相关业务系统主管单位、专业技术支撑单位、运行维护单位、网络安全专家等，及时研究对策，对应急处置工作进行决策部署4处置实施厅科技处指导组织厅机关运行维护单位或指导厅直属单位组织其运行维护单位开展应急处置实施工作控制事态防止蔓延采取各种技术措施、管控手段，最大限度地阻止和控制事态发展，防止事态蔓延消除隐患恢复系统根据事件发生原因，针对性制定具体的解决方案，组织实施处置，对业务连续性要求高的受破坏网络与信息系统要及时组织恢复调查取证运行维护单位在已保存证据的基础上，开展问题定位和溯源追踪工作，将网络安全事件报当地公安机关，配合开展调查取证工作争取国家支持处置中需要省技术支持的，由领导小组协调省网络安全应急办予以支持

4.

3.3III级应急响应ni级响应系统由运行维护单位具体负责，参照n级响应进行事件应急处置工作，处置完成后，应按照网络安全信息通报相关规定，及时向厅报送情况报告响应终止

4.4网络安全事件应急处置基本完成后，风险得到控制，由领导小组或其授权厅科技处宣布I、II级应急处置工作终止调查和评估

5.5事件调查和评估，原则上应在应急响应结束后30天内完成调查评估报告应对事件的起因、性质、影响、责任等进行分析评估，提出处理意见和改进措施I级安全事件调查评估按省相关要求执行，经厅应急工作领导小组审核后，将调查报告报省网络安全应急办II级事件调查评估，由厅科技处牵头，会同业务系统主管单位，组织专业工作机构开展，调查报告报厅应急工作领导小组；m级事件调查评估由业务系统主管单位自行组织，调查报告报厅科技处应急保障

5.网络和信息系统应急预防是一项长期的、持续的、深层次的和各阶段相互联系的工作，是有组织的科学的社会行为，而不是随每次事件的发生而开始和结束的活动因此，必须做好应急保障工作队伍保障

5.1建立符合要求的网络和信息系统安全保障技术支持力量，重视人员的建设与保障，开展技术培训和应急演练，提高应急响应技术队伍素质，保证应急情况下应急机制的迅速启动和有效处置经费保障

5.2网络和信息系统突发事件应急处置资金，应列入交通运输厅、部门年度财政预算物资保障

5.3网络和信息系统在建设和运行过程中应要求集成商和设备供应商为核心设备建立应急物资储备技术人员加强对应急工具及设备的维护调试，保证其随时处于可用状态，在发生网络和信息系统安全事件时应急工具及设备能够立即投入使用，有效地支持应急响应工作同时，应注意跟踪最新的技术发展动态，收集、整理其他应急响应相关材料，包括文件完整性检测工具等对于病毒库、脆弱性评估系统插件库等应及时更新技术资料保障

5.4全面的技术资料是高效的应急响应工作的前提和基础，应急技术资料是网络和信息系统重要技术信息，包括网络拓扑结构、重要系统或设备的型号及配置（操作系统及版本号、应用软件及版本号等）、主要设备厂商信息等将这些信息建立技术档案并及时更新，以保证与实际系统的一致性并根据需要对系统进行风险评估，随时掌握系统安全状况数据保障

5.5网络和信息系统应建立异地容灾备份系统和相关工作机制，保证重要数据在受到破坏后，可迅速恢复容灾备份系统应具有一定兼容性，在特殊情况下各系统间可互为备份宣传教育和培训

5.6充分利用各种传播媒介及有效的形式，加强网络和信息系统突发事件应急处置的有关办法、方案的宣传，开展预防、预警、自救、互救和减灾等知识的宣讲活动，普及应急救援的基本知识，提高防范意识和应急处置能力加强对使用单位网络和信息系统安全等方面的知识培训，提高防范意识及技能，增强应急处置工作的组织能力应急演练

6.7建立应急预案定期演练制度通过演练，发现和解决应急工作体系和工作机制存在的问题，不断完善应急预案，提高应急处置能力附则

7.预案管理与更新

7.1结合网络和信息系统快速发展和经济社会发展状况，配合相关法律法规的制定、修改和完善，适时修订本预案预案制定

1.12本预案由河北省交通运输厅负责制订预案解释

6.3本预案由河北省交通运输厅负责解释预案实施

6.4本预案自河北省交通运输厅发布之日起实施附件具体应急预案

6.5目录总则

1.编制依据

1.2事件分级

1.3适用范围

1.4工作原则

1.5组织体系

2.应急领导小组

3.1厅科技处

4.2业务系统主管单位

5.3厅办公室

6.4厅宣传中心

7.5系统运行维护单位

8.6专业技术支撑单位

9.7系统开发单位

10.基础条件保障单位

11.9预防与预警

3.安全监测

3.1预警研判及发布

3.2预警响应

12.3应急处置

4.事件报告

4.1初步处置

4.2应急响应

4.3响应终止

4.4调查和评估

13.5应急保障

5.队伍保障

5.1经费保障

5.2物资保障

5.3技术资料保障

5.4数据保障

5.5宣传教育和培训

5.6应急演练

14.7则

15.预案管理与更新

16.1预案制定

6.2预案解释

6.3预案实施

6.4附件具体应急预案

6.5总则

1.编制目的

1.1为提高河北省交通运输厅处理网络和信息系统突发事件的能力，形成科学、有效、反应迅速的应急工作机制，确保重要网络和信息系统的实体安全、运行安全和数据安全，最大程度地预防和减少网络和信息系统突发事件所造成的危害和损失，保障网络和信息系统的正常稳定运行，特制订本预案编制依据

1.2根据《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《国家网络安全事件应急预案》、《河北省人民政府突发公共事件总体应急预案》、《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《计算机病毒防治管理办法》等相关法规、规定、文件精神，制定本预案事件分级

1.3网络安全事件分为三级I级（特别重大）、II级（重大）、III级（一般）

1.

3.1符合下列情形之一的，为I级（特别重大）网络安全事件

（1）重要敏感时期，交通运输厅门户网站等的主页发生信息内容安全事件，造成国家秘密或重要内部敏感信息、反动信息、煽动性信息、谣言等大面积传播，对国家安全、社会稳定和政府形象造成特别严重损害的

（2）国家关键信息基础设施和重要业务系统的重要敏感数据发生大规模丢失或被窃取、篡改，对国家安全和社会稳定造成特别严重损害的

（3）在交通运输厅服务保障国家、省重大灾害及紧急突发事件应急处置期间，因遭受网络攻击、设备故障、灾害等，导致国家关键信息基础设施、重要业务系统服务中断4小时以上，并对国家、省开展应急处置工作的应急保障造成特别严重影响，或平时中断48小时以上，对政府形象造成特别严重损害的

（4）其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成特别严重损害的网络安全事件

1.

3.2符合下列情形之一，且未达到特别重大网络安全事件的，为n级（重大）网络安全事件

（1）交通运输厅门户网站主页或重要敏感时期门户网站的子站页面发生信息内容安全事件，造成国家秘密或重要内部敏感信息、反动信息、煽动性信息、谣言等大面积传播,对国家安全、社会稳定和政府形象造成严重损害的

（2）国家关键信息基础设施和厅直各单位主管重要业务系统的重要敏感数据发生大规模丢失或被窃取、篡改，对国家安全、社会稳定、行业运行造成严重损害的

（3）交通运输厅的100台以上工作计算机或国家关键信息基础设施、厅直各单位主管重要业务系统的大部分关键网络设备发生大规模有害程序事件，对正常办公、公众服务或重要业务运行造成严重影响的4在交通运输厅服务保障国家、省重大灾害及紧急突发事件应急处置期间，因遭受网络攻击、设备故障、灾害等，导致国家关键信息基础设施、重要业务系统服务中断4小时以上，并对国家、省开展应急处置工作的应急保障造成严重影响，或平时中断24小时以上，对政府形象造成严重损害的5其他对政府形象、重要业务运行和公众出行等造成严重损害的网络安全事件

3.3除上述情形外，对单位形象、公众利益构成一定威

1.胁，并造成一定影响的网络安全事件，为ni级一般网络安全事件适用范围本预案适用于厅机关各处室、直属各单位

1.4工作原则

1.

51、预防为主根据《计算机信息安全管理规定》的要求，建立、健全交通运输厅计算机信息安全管理制度，有效预防网络与信息安全事故的发生

2、分级负责按照“谁主管谁负责，谁运营谁负责”的原则，建立和完善安全责任制各部门应积极支持和协助应急处置工作

3、果断处置一旦发生网络与信息安全事故，应迅速反应，及时启动应急处置预案，尽最大力量减少损失，尽快恢复网络与系统运行组织体系

2.应急领导小组

2.1成立河北省交通运输厅网络和信息系统突发事件应急处置领导小组，负责统一指挥和协调网络和信息系统突发事件应急处置工作，领导小组组长由厅主要领导或经厅主要领导授权的分管厅领导担任，副组长由厅科技处主要负责人担任，厅办公室、安全监督处（应急办）、省交通通信管理局、省交通宣传中心的部门负责人为常设成员根据事件实际情况，吸纳业务系统主管单位主要负责人担任领导小组成员，如厅公路局、港航局，省民航办、道路运输管理局、铁路管理局、高速公路管理局、城市客运管理局，河北交通投资集团等应急领导小组下设办公室（设在厅科技处）应急领导小组职责负责贯彻落实国家、河北省有关网络和信息系统应急工作的方针、政策；指挥、协调、推进河北省交通运输行业网络和信息系统突发事件安全应急机制和工作体系建设工作；负责编制、修订河北省交通运输信息保障应急预案；负责调查和处置网络和信息系统突发事件，并按照相关规定做好善后工作；负责组建网络和信息系统安全应急救援队伍并组织培训和演练厅科技处

2.2厅科技处负责组织落实领导小组任务部署，协调业务系统主管单位研判事件，对接省、部网络安全工作机构，建立应急联络机制，组织开展应急演练和事件调查评估等业务系统主管单位

2.4业务系统主管单位是指主管该业务系统的厅内各处室及厅直各单位业务系统主管单位负责参与研判事件，配合厅科技处组织运行维护单位按照领导小组要求开展网络安全事件应急处置，配合组织开展应急演练厅办公室

2.5厅办公室负责根据领导小组工作部署，做好向省委网络安全和信息化领导小组办公室报送事件和厅政务信息管理工作，组织开展涉及国家秘密和重要内部敏感信息网络安全事件应急处置厅宣传中心

2.6厅宣传中心根据领导小组工作部署，组织开展涉及敏感舆情、重大影响的网络安全事件的舆情监测、研判和引导，并对接省网信办、新闻媒体等机构系统运行维护单位

2.6系统运行维护单位是指对系统开展信息化运行技术支撑工作，保障系统正常运行的单位，也是系统的运营单位系统运行维护单位是应急处置的直接责任单位和一线处置单位，负责落实应急处置工作要求，提出应急处置工作建议，参与制定应急工作方案并承担具体处置工作；负责组织开展应急处置，做好应急技术和设备保障，组织调度系统开发单位参与应急，定期开展技术培训和应急演练，开展事件调查评估等专业技术支撑单位

3.7专业技术支撑单位是从事网络安全专业技术支持和服务的单位，包括国家级及省级网络安全技术机构、交通运输网络安全专业技术机构、网络安全相关设备集成商、供货商以及其他专门从事网络安全工作的企事业单位等网络安全专业技术支撑单位负责为厅科技处提供处置决策咨询建议，向运行维护单位提供监测预警信息、处置措施建议，并配合开展安全事件应急处置工作系统开发单位

4.8系统开发单位是指根据业务系统主管单位需求，具体研制、开发和部署系统应用软件的单位系统开发单位负责配合系统运行维护单位开展安全事件应急处置工作基础条件保障单位

5.9电力公司、网络运营商、CDN服务商、域名解析服务商、高速公路通信专网运维单位等负责配合系统运行维护单位及时开展电力及网络恢复等相关工作预防与预警

6.安全监测

6.1业务系统主管单位负责组织加强对其主管关键信息基础设施、行业重要业务应用系统等网络安全监测，并应主动纳入以交通运输厅网络安全监测预警平台为核心的监测体系，并依托信息通报等工作机制实现重要监测信息共享厅科技处负责及时协调专业技术支撑单位等获取预警信息，协调跨部门、跨行业的监测信息共享事宜。