1、国家税务局蠕虫病毒感染、黑客攻击等网络与信息安全应急预案编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: 目录一、总则31.1目的31.2基本原则31.3启动条件41.4适用性规章制度51.5发布与生效5二、组织结构及分工52.1网络与信息安全领导小组52.2网络与信息安全领导小组办公室（简称信安办）6主 任：XXX（分管信息中心的局领导）62.3领导小组办公室下设应急响应工作组7三、应急响应流程93.1事件分析93.2事件处理113.3结束响应11四、安全事件应急处置124.1网站出现不良信息121、网站由主办部门的值班人员负责密2、切监控信息内容。125、对网站相关日志进行备份保存，对不良信息的来源进行追查。127、领导小组认为事态严重的，应立即向公安部门或上级机关报告。124.2蠕虫病毒感染134.3黑客攻击134.4网络通信中断142、技术组相关人员应立即启用备用线路。155、线路恢复正常后，切换回主线路。151、 电信光modem状态指示灯152、联通线路光端机故障。观察光端机告警指示灯，分别处理：162M中断 表示2M不通，可能是收发线反或高频头不好164、三层交换机和路由器故障。174.5电力中断184.6机房漏水194、若为墙体、窗户漏水，应迅速联系相关人员进行维修处理。194.7软件系统故障194.8核心主3、机故障20五、演练及维护21六、保障措施22七、附件23附件1：网络与信息安全领导小组成员名单23附件2：信安办成员名单24附件3：主要设备配置及其负责人清单24附件4：主要软硬件及服务提供商清单24一、总则1.1目的为了规范本单位应急响应工作内容和工作流程，提高自身的应急响应能力，完善应急响应机制，确保信息系统的安全和业务的连续性，制定本应急预案。1.2基本原则（1）坚持预防为主提高本单位的信息安全防护意识和水平，加强信息系统安全体系建设，按照税务系统信息系统建设运行的特点和规律积极做好日常安全工作，开展安全教育和培训工作，建立完善的安全管理、监督和审查制度，提高各单位应对突发信息安全事件的4、能力。（2）提高快速反应能力建立信息安全预警和事件快速反应机制，建立高效的事件汇报渠道，强化人力、物力、财力储备，增强应急处理能力。保证对信息安全事件做到早发现、早报告、早处理、早恢复等环节的紧密衔接，一旦出现影响信息系统的安全事件，快速反应，及时准确处置。（3）加强安全监管建立完善的信息系统安全监控和管理机制，对各应用系统和网络状况进行持续和重点监控，及时发现信息安全隐患和事件迹象，进行安全预警并采取针对性的应对措施。（4）责任到人、制度保障明确信息安全应急响应工作的角色和职责，保证各项工作责任到人，建立应急响应各项工作的处理流程，实现应急响应工作的规范化、制度化和流程化。1.3启动条件当发5、生税务系统网络与信息安全事件分级分类指南中定义的重大网络与信息安全事件时，启动本预案。1.4适用性规章制度税务系统网络与信息安全防范处置预案税务系统重大信息安全事件调查处理办法税务系统网络与信息安全事件分级分类指南税务系统重大信息安全事件报告制度1.5发布与生效本预案于2010年3月1日起正式发布并生效。二、组织结构及分工2.1网络与信息安全领导小组组 长：XX（局长）副组长：XX（纪检组长）成 员：XXX（信息中心主任）XXX（办公室主任）网络与信息安全领导小组成员联系方式参见附件1。领导小组在应急响应工作中的主要职责：负责审核和批准税务系统网络与信息安全应急响应总体规划、重大网络与信息安全6、事件报告；负责统筹规划税务系统网络与信息安全应急基础设施建设；对重大网络与信息安全事件的应急响应工作进行宏观决策和应急指挥；协调重大网络与信息安全事件的调查处理；必要时接受专家顾问组的咨询服务。2.2网络与信息安全领导小组办公室（简称信安办）主 任：XXX（分管信息中心的局领导）副主任：XXX（负责常务工作）副主任：XXX（征管科副科长）XXX（办公室副主任）XXX（信息中心副主任） 安全管理岗成员：XXX其他成员：办公室、征管科、信息中心相关工作人员信安办成员联系方式参见附件2。信安办在应急响应工作中的主要职责：组建并调整应急响应工作组；定期组织本单位网络与信息系统的风险评估和整改；组织制订7、应急响应相关预案并定期演练；编制重大网络与信息安全事件报告；组织各项应急准备工作；组织对本系统发生重大网络与信息安全事件的调查、通报工作；组织和协调各种应急资源；管理本系统范围内的应急响应工作；与跨部门应急协调机构进行沟通。2.3领导小组办公室下设应急响应工作组应急响应工作组由综合组、技术组和业务组组成，负责信息安全事件的应急响应工作，各小组联系方式参见附件3。综合组：组长：XXX（服务中心主任）成员：办公室及服务中心相关人员综合组主要职责：1）负责应急行动的后勤供应，包括车辆安排、人员食宿安排等；2）负责应急响应工作中的会议组织、资金保障和饮食、设备等物资供应3）负责通信联络和信息的发布工作8、；4）负责组织保安、保卫工作；5）负责技术工作小组和业务工作小组之间的协调工作；6）负责向网络与信息安全领导小组及信安办汇报事件处理进展情况；7）向小组成员传达上级领导指示精神。业务组：组长：XXX（征管科科长）成员：征管科相关人员业务组主要职责：1) 参与应急响应处理决策过程，从业务方面考虑，为处理提供建议；2) 根据应急响应工作的需要，依据相应的专项预案，调整业务安排；3）根据应急响应工作的需要，根据相应的专项预案，组织小组实施业务的中断与恢复；4）在应急响应工作完成后，编写应急响应业务工作报告。技术组：组长：XXX（信息中心主任）成员：信息中心相关人员技术组主要职责：参与应急响应处理决策9、过程，从技术方面考虑，为处理提供建议；根据应急响应工作的需要，依据相应的专项预案，组织小组施行技术作业；负责向网络与信息安全领导小组及信安办汇报事件技术处理进展情况；对于涉及到业务的调整、中断和恢复的技术作业，负责与业务组进行沟通；在应急响应工作完成后，编写应急响应技术工作报告，对系统和预案提出整改意见。三、应急响应流程在发生信息安全事件时，启动下列应急响应流程，应急响应流程如图1所示。3.1事件分析事件分析主要完成如下工作：图1 应急响应流程1）在发生信息安全事件后，应急响应工作组对事件进行确认。2）确认为信息安全事件后，根据税务系统网络与信息安全事件分级分类指南、税务系统重大网络与信息安全10、事件报告制度对事件进行定级和上报。3）根据对事件的初步分析，确定应急处理方式，如果应急响应工作组以自身力量无法处理的事件，由信安办向上级机关提出应急支援请求。3.2事件处理事件处理主要包括以下内容：1）分析是否存在针对该事件的特定系统预案，如果存在则启动特定系统应急预案，如果涉及多个特定系统预案，应同时启动所有涉及的特定系统预案。2）分析是否存在针对该事件的专题预案，如果存在则启动专题预案，如果事件涉及多个专题预案，应同时启动所有涉及的专题预案。3）如果没有针对该事件的应急预案，应根据事件具体情况，采取抑制措施，抑制事件进一步扩散，并根除事件影响，恢复系统运行；3.3结束响应系统恢复运行后，应11、急响应工作组对事件造成的损失、事件处理流程、应急预案进行评估，对响应流程、预案提出修改意见，撰写事件处理报告。应急响应工作组应根据税务系统重大信息安全事件报告制度要求，确定是否需要上报该事件及其处理过程，需要上报的应及时准备相关材料，上报上级机关。应急响应流程结束。四、安全事件应急处置4.1网站出现不良信息1、网站由主办部门的值班人员负责密切监控信息内容。2、发现网站上出现涉及反动、色情、敏感内容等不良信息时，值班人员应立即向综合组组长通报情况。3、技术组相关人员应在十分钟内赶到现场。首先通过截屏等手段对不良信息网页进行现场保留，采集事实和证据。然后分析、确定不良信息的产生方式。4、若不良信息12、是通过信息发布的方式产生，则直接将其删除。若情况紧急、不良信息量大范围广，则应及时将受影响的网站隔离，暂停外界访问，然后再进行删除工作。待不良信息彻底清除后，将网站恢复正常使用。5、若不良信息来自网页篡改等攻击方式，则立即将主机从网络中隔离，按“4.3黑客攻击”事件进行处理。5、对网站相关日志进行备份保存，对不良信息的来源进行追查。6、各应急响应工作组会商后，将有关情况向信安办和领导小组逐级汇报。7、领导小组认为事态严重的，应立即向公安部门或上级机关报告。4.2蠕虫病毒感染1、当发现蠕虫病毒在网络内大量传播时，应立即报告技术组组长。2、技术组相关人员迅速确定被感染主机，对其进行网络隔离。3、备13、份所有系统日志，保存当前进程信息。备份主机上的数据。将备份置于安全的移动存储介质或磁带保存。4、下载最新的杀毒软件病毒库、专杀工具、操作系统补丁，通过移动存储介质复制到被感染主机，对蠕虫病毒进行查杀，对操作系统漏洞进行修补，对染毒文件进行修复或重新安装。5、若现有工具无法清除蠕虫病毒，则立即与防病毒服务商联系、一同研究解决。6、确认蠕虫病毒被清除后，对系统进行进一步的检查和加固。确保所有相关的漏洞都已被修补完毕。7、对受损的软件进行修复，对受损的数据进行数据恢复。8、通知各下级单位，对网络中的计算机进行全网清查。9、重新恢复系统与网络的连接，恢复正常使用。10、各应急响应工作组会商后，将有关情14、况向信安办和领导小组逐级汇报。4.3黑客攻击1、当发现网络被非法入侵、网页内容被篡改，服务器上的数据被非法拷贝、修改、删除，或通过入侵检测系统发现有黑客正在进行攻击时，相关人员应立即报告技术组组长。2、技术组相关人员应迅速将被攻击主机从网络中隔离，并密切监视相关主机是否有黑客攻击的迹象。3、备份所有系统日志，保存当前进程信息。备份主机上的数据。将备份置于安全的移动存储介质或磁带保存。4、清除可以进程、清除可疑文件。5、修改所有帐号口令，删除非法账户。6、修改其他相关系统的口令列表。7、联系安全服务厂商对系统进行彻底扫描，找出存在的漏洞，对系统漏洞进行修补。8、检查系统软件和数据是否遭到破坏，若15、是则开展系统和数据恢复工作。9、确认系统正常后，重新恢复正常使用。10、会同安全服务厂商追查攻击来源。11、各应急响应工作组会商后，将有关情况向信安办和领导小组逐级汇报。12、领导小组认为事态严重的，应立即向公安部门或上级机关报告。4.4网络通信中断1、若局域网线路、广域网主、备线路其中一条发生中断，应立即向综合组组长报告。2、技术组相关人员应立即启用备用线路。3、技术组相关人员应迅速判断故障节点、查明故障原因，立即进行修复工作。4、若属通信网络运营商方面的原因，立即与其相关部门进行联系，要求其修复故障。5、线路恢复正常后，切换回主线路。6、各应急响应工作组会商后，将有关情况向信安办和领导小组16、逐级汇报。针对各种网络设备故障，对应的应急措施：网络故障和信息安全应急原则：统一领导，统一调度，协调配合，做到处乱不惊、有条不紊；恢复网络系统时，应本着最短时间原则和业务优先原则，即要求在最短时间内恢复关键税收业务系统的正常运行。1、 电信光modem状态指示灯指示灯含义正常状态PWR指示光MODEM加电情况常亮光口LNK指示光口收纤是否畅通常亮光口RX指示光口是否在收数据常闪光口TX指示光口是否在发数据常闪电口LNK指示电口接的网线是否畅通常亮电口RX指示电口是否在收数据常闪电口TX指示电口是否在发数据常闪若光MODEM 电口LNK灯不亮或电口的LNK灯亮但电口的RX灯不闪，内部网线可能有问17、题，检查网线，直到变亮。光MODEM的其它指示灯异常情况，与电信联系报故障。2、联通线路光端机故障。观察光端机告警指示灯，分别处理：告警灯：设备面板上包括告警指示灯有：电源、收无光、失步、10-3/10-6 、2M中断、对告、环回、呼叫、截铃、支路X等。其中 收无光 表示本端未收到光信号 2M中断 表示2M不通，可能是收发线反或高频头不好 对告 表示对端有告警 支路X X可为18，哪一个灯亮，表示这个2M中断 正常工作时，应该只有电源灯或工作灯亮,光端机的其它指示灯亮时，请与联通联系报故障。按扭：截铃按钮 当有告警时，铃声会响，按下截铃按扭，铃声停，截铃灯亮，告警仍在。3、联通G/E转换器故障18、，观察G/E转换器告警指示灯，分别处理：指示灯含义正常状态POWER指示G/E转换器加电情况绿灯常亮COL以太网冲突指示点冲突时黄点亮L/A以太网工作指示点以太网有联接时绿灯亮，有数据时闪烁10/100以太网速率指示灯以太网工作在100M时亮绿灯Dup以太口全双工指示灯以太网工作在全双工时亮绿灯SYNL帧失步告警指示灯帧失步时亮红灯WORKE1接口工作指示灯E1接口收到信号时亮绿灯RA对告指示灯对端帧失步时亮黄灯RUN系统工作指示灯系统正常工作时绿灯闪烁应根据各指示灯的情况，初步判断故障原因，如有异常，及时与联通公司联系。4、三层交换机和路由器故障。（1） 市局的核心三层交换机承担着上联总局、19、省局，下联各区局网络的重任，其中配置了OSPF、VRRP、ESRP等协议，OSPF协议实现各主备线路的自动切换，VRRP协议实现了两台三层交换机的互相热备份，ESRP协议实现了至各楼层交换机的线路备份和自动切换。两台核心交换机都配置了三个电源。如一台核心交换机故障，另一台核心交换机将自动接管故障交换机的工作，自动启动该正常交换机上联接的广域网和局域网备份线路。可恢复大部分税务业务软件的运行。如果交换机在短时间内无法修复，管理人员需手工进行如下处理：由于市局核心交换机接入多条线路，有的线路并无备份线路，当单线路的交换机故障又无法在短时间内恢复正常时，管理人员应及时参照网络拓扑结构图，在正常的交换20、机上配置单一线路的参数，调整单线路网络的线路走向，恢复单线路网络的工作，（2） 及时与网络设备服务商取得联系，尽快修复故障网络设备。平时应做好网络设备的配置参数备份，当故障设备修复后，导入备份的网络设备配置参数，恢复网络设备的正常运行。针对线路故障，按照以上介绍的网络结构，省局至市局，市局至各区局均有两条光纤线路，在其中一条线路故障时，市局网管系统能在第一时间发现故障，另一条线路应能在30秒内自动切换运行，如备用线路没有正常切换，市局信息中心应立即与省局或区局信息中心联系，查看设备配置情况，线路联接情况，在10分钟之内仍不能自动启用备用线路的情况下，应能手工启动备用线路。同时与线路运营商联系修21、复线路。待线路恢复正常后，检查主备线路的工作情况，在业务空闲时间，恢复网络状态。4.5电力中断1、当接到机房监控系统的外电中断报警，或值班人员发现外电中断时，应立即向技术组组长报告。2、技术组相关人员迅速确认UPS系统是否已自动启动接管，接管后运行状态是否正常。3、迅速确认断电原因，如为单位内部线路故障，请机关服务部门立即维修。如为供电公司原因，立即与其联系，要求其迅速恢复供电。4、密切监控机房温度和UPS系统剩余电量，并根据估计断电时间的长短应采取不同应对措施。5、预计停电时间在UPS持续时间内的，应立即关闭不重要的设备，降低电力消耗，同时开始重要系统的备份工作，以防万一情况继续发生恶化。恢22、复供电后，将关闭的设备依次重新开启。6、预计停电时间超出UPS持续时间的，应立即开始重要设备的关机工作。确保数据正常写入存储设备。恢复供电后，重启设备，重启软件系统，恢复各系统正常运行。7、各应急响应工作组会商后，将有关情况向信安办和领导小组逐级汇报。4.6机房漏水1、当接到机房监控系统的机房漏水报警，或值班人员发现漏水时，应立即向技术组组长报告。2、技术组相关人员应立即确认漏水的影响程度和范围。若积水严重，应立即开始清除机房积水，并检查是否有设备收到漏水影响，关闭已受影响的设备。对即将影响到的设备和区域采取必要的临时阻隔措施。3、若为空调系统漏水，则立即联系空调系统服务商赶到现场一同处理维修23、。若须停止部分空调，则必须密切监控机房温度，并酌情关闭不必要的设备，降低发热量。4、若为墙体、窗户漏水，应迅速联系相关人员进行维修处理。5、对受影响的设备进行维修和更换，对受影响的数据进行恢复工作。6、各应急响应工作组会商后，将有关情况向信安办和领导小组逐级汇报。4.7软件系统故障1、当系统管理员发现集群中有应用服务器或数据库服务器发生严重故障停止运转时，应立即向技术组组长报告。2、技术组相关人员应立即确认集群中其他应用服务器或其他数据库实例是否已自动接管系统，确保整个系统继续对外提供服务。3、密切监控整个集群的负载情况，若发现负荷超出可承受范围，则考虑对相关系统参数进行调整，以适应现有状况。24、4、若故障影响较大，须进行系统停机，各应急相应工作组应立即向信安办和领导小组逐级汇报。组织好系统停机的相关工作。5、迅速分析事件原因，必要时与软件提供商联系，寻求技术支援，尽快排除故障。对宕机的应用服务器或数据库实例进行恢复操作，恢复完毕后重新投入使用。6、各应急响应工作组整理相关资料，将有关情况向信安办和领导小组逐级汇报。4.8核心主机故障1、当系统管理员发现集群中有主机发生严重故障停止运转时，应立即向技术组组长报告。2、技术组相关人员应立即确认集群中的另一台主机的各分区是否已分别自动接管系统，确保各分区应用系统继续对外提供服务。3、密切监控所剩主机上各分区应用系统的负载情况，若发现负荷超出25、可承受范围，则考虑对相关系统参数进行调整，以适应现有状况。4、若故障影响较大，须进行系统停机，各应急相应工作组应立即向信安办和领导小组逐级汇报。组织好系统停机的相关工作。5、迅速联系主机服务厂商赶到现场，分析事件原因，尽快排除故障，修复完毕后将主机重新投入使用。6、各应急响应工作组整理相关资料，将有关情况向信安办和领导小组逐级汇报。五、演练及维护为保证应急行动的能力，应每年至少组织一次应急行动演练，以提高处理应急事件的能力，检验物资器材的完好情况。应急响应演练按如下步骤进行：1）由网络与信息安全领导小组确定应急响应演练的目标和应急响应演练的范围；2）按网络与信息安全领导小组的要求，由信安办组织26、应急响应工作组制定应急响应演练的方案；3）信安办调配应急响应演练所需的各项资源，并协调应急响应演练过程中涉及的部门和单位；4）信安办组织并监督应急响应工作小组进行应急演练；5）信安办对应急演练进行评估，并向领导小组报告演练结果；6）网络与信息安全领导小组总结经验，根据演练结果对应急预案进行更新，并对本单位的应急工作进行整改。在应急响应演练结束之后，应急响应工作组应针对应急响应工作过程中遇到的问题，分析应急响应预案的科学性和合理性，针对预案中的问题向信安办提出修改建议。信安办组织对修改意见进行评估，修改后的预案应经评估通过后，上报领导小组，经批准后发布实施。在上级机关预案或相关的法律标准修改后，27、本预案应进行调整与其保持一致。调整后，信安办应组织专家组对其评审，评审通过后上报领导小组，经批准后发布实施。六、保障措施人员保障人力资源的保障是应急保障措施中的一项重要工作内容。为了提高应急响应工作组的人员素质，应针对本单位的应急响应工作任务，制定并实施完善、高效、合理的人员培训和演练计划。在应急响应工作中，各部门工作人员应服从信安办的统一协调和安排。设备保障为保证在发生信息安全事件时应急工具及设备能够立即投入使用，有效地支持应急响应工作，应加强对这些工具及设备的日常维护调试，保证其随时处于可用状态。另外，应急响应工作组还应注意跟踪最新的技术发展动态，收集、整理其他应急响应相关工具。根据工作需28、要，应急响应工作缺乏的设备或工具软件应及时采购。技术资料保障全面的技术资料是高效的应急响应工作的前提和基础，应急技术资料是网络和信息系统重要技术信息，包括重要系统或设备的型号、负责人、厂商信息等。这些信息必须及时更新，以保证与实际系统的一致性。经费保障财务部门应在每年的财务预算中安排应急响应工作所需网络与信息安全专项经费20万元。后勤保障在应急响应工作中，机关服务中心应做好充分的后勤保障工作，包括应急人员的饮食，交通工具和通信联络等等，确保应急响应工作的顺利开展。七、附件附件1：网络与信息安全领导小组成员名单附件2：信安办成员名单附件3：主要设备配置及其负责人清单附件4：主要软硬件及服务提供商清单