广西东兴国家重点开发开放试验区网站应急预案

    一、编制目的

    为进一步加强网站网络信息安全保障工作，形成科学、有效、反应迅速的应急工作机制，确保“广西东兴国家重点开发开放试验区网站”的实体安全、运行安全和数据安全，最大限度地减轻网站网络与信息安全突发公共事件的危害，维护正常网站宣传秩序，制订本预案。

    二、编制依据

    《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》（国务院令第195号）、《计算机信息网络国际互联网安全保护管理办法》（公安部令第33号）、《互联网信息服务管理办法》（国务院令第292号）、《计算机病毒防治管理办法》（公安部令第51号）、《信息系统安全事件分类分级指南》（GB/Z 20986-2007）、《信息安全事件管理指南》（GB/Z 20985-2007）、

    三、适用范围

    本预案适用于广西东兴国家重点开发开放试验区网站安全突发事件的应对处置。

    四、网站应急管理领导小组

    组长：东兴试验区管委会常务副主任

    副组长：东兴试验区管委会副主任

    成员：各处室（中心）负责人

    领导小组下设办公室，设在综合服务中心，由综合服务中心主任兼任办公室主任，成员由宣传科负责人和网站管理员组成。

    五、应急处置原则

    网站应急处置应坚持“积极预防、快速反应、科学处置”的原则。在认真做好日常管理和监控的基础上，充分做好紧急情况下网站运作管理的应急准备，健全防控措施，完善处理机制。实行24小时值班制度，重大节假日和全国“两会”期间要加强值守。加强应急演练，确保在应急情况下反应迅速，处置果断，保障到位。

    六、启动应急预案的情形

    （一）本网站受到黑客攻击，主页被恶意篡改，民意反馈等栏目里存在煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度的言论；煽动抗拒、破坏宪法和国家法律、行政法规的实施；捏造或者歪曲事实，故意散布谣言，扰乱社会秩序；公然侮辱他人或者捏造事实诽谤他人；宣扬封建迷信、淫秽色情、暴力、凶杀、恐怖；发送危害国家安全、邪教及宗教极端势力的信息；破坏社会稳定的信息及损害国家、我委声誉和稳定的谣言。

    （二）网站应用服务器被非法入侵，应用服务器上的数据被非法拷贝、修改、删除，发生泄密事件。

    （三）网站设备感染计算机病毒。

    （四）软件系统遭受破坏性攻击。

    （五）网站数据库发生崩溃。

    （六）网络设备损坏。

    （七）其它需应急响应的情形。

    七、应急响应程序

    网站应急响应流程主要分为：发现和报告、分析确认、启动应急预案，故障修复、恢复运行、总结提高等。

    （一）网站管理员通过多种渠道收到或发现网站问题，及时逐级上报。

    （二）网站应急管理领导小组办公室根据领导小组组长或副组长的批示，及时取证、分析、查找原因。必要时邀请第三方专业技术公司参与。

    （三）根据网站发生的情形，对照第六项，经领导小组同意，启动应急预案。

    （四）领导小组办公室立即组织人员采取相应的应急处置措施，对故障、危害信息等网站异常现象进行排除和修复，防止危害扩大。

    （五）当网站异常现象消除，经检查确认无误后，可恢复网站的正常运行。同时密切注意观察，做好二次防备。

    （六）及时总结，找出网站漏洞，提出针对性的解决方案。同时根据实战应用情况，进一步完善应急预案。

    八、应急措施

    （一）网站、网页出现非法言论时的紧急处置措施

    1、当发现或接到举报网上出现非法信息时，网站管理员应立即向领导小组办公室主任汇报情况，该主任再向领导小组报告；情况紧急的应先及时采取删除等处理措施，再按程序报告。

    2、网站管理员根据领导的指示，尽快清理非法信息，作好必要的记录，强化安全防范措施，再将网站网页重新投入运行。必要时请第三方专业公司提供技术支持。

    3、网站管理员应认真追查非法信息来源，妥善保存有关记录及日志。

    4、领导小组办公室经调查后，形成书面材料，将有关情况向领导小组汇报有关情况。

    （二）黑客攻击时的紧急处置措施

    1、当值班人员发现网页内容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时,应立即向网站管理员通报情况。

    2、网站管理员应在三十分钟内赶到现场，并首先应将被攻击的服务器等设备从网络中隔离出来，保护现场，并逐级向上汇报。

    3、网站管理员会同第三方专业公司对被破坏系统进行恢复与重建。

    4、领导小组办公室协同有关部门共同追查非法信息来源。必要时向公安部门报警。

    （三）病毒安全紧急处置措施

    1、当发现计算机感染有病毒后，应立即将该机从网络上隔离出来，对该设备的硬盘进行数据备份。

    2、启用反病毒软件对该机进行杀毒处理，同时进行病毒检测软件对其他机器进行病毒扫描和清除工作。

    3、如发现反病毒软件无法清除该病毒，应作好相关记录，同时立即向领导小组报告，并迅速联系有关厂商研究解决。

    4、如果感染病毒的设备是服务器或者主机系统，应立即告知有关单位做好相应的清查工作。

    5、经会商后，认为情况严重，应立即向公安部门报警。

    （四）软件系统遭受破坏性攻击的紧急处置措施

    1、重要的软件系统平时必须存有备份，与软件系统相对应的数据必须有多日备份，并将它们保存于安全处。

    2、一旦软件遭到破坏性攻击，应立即将系统停止运行。

    3、重装软件系统，并恢复数据。

    4、网站管理员检查网站日志等资料，确认攻击来源。

    5、经会商后，认为情况严重，应立即向公安部门报警。

    （五）数据库安全紧急处置措施

    1、各数据库系统要至少准备两个以上数据库备份，平时一份放在机房，另一份放在另一安全的建筑物中。

    2、一旦数据库崩溃，网站管理员应暂缓上传上报数据。

    3、对主机系统进行维修，如遇无法解决的问题，立即向软硬件提供商请求支援。

    4、系统修复启动后，将第一个数据库备份取出，按照要求将其恢复到主机系统中。如因第一个备份损坏，导致数据库无法恢复，则应取出第二套数据库备份加以恢复。如果两个备份均无法恢复，应立即向有关厂商请求紧急支援。

    （六）设备安全紧急处置措施

    1、如服务器等关键设备损坏后，网站管理员应立即按程序向上报告，并查明原因。

    2、如果能够自行恢复，应立即用备件替换受损部件。如果不能自行恢复的，立即与厂商联系，请求派维修人员前来维修。

    3、如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调试畅通。如遇无法解决的技术问题，立即向上级主管部门或有关厂商请求支援。

    4、如属线路故障，应重新安装线路。

    5、如果设备一时不能修复，应向领导小组汇报，暂缓上传数据。

    九、后期防范

    （一）领导小组办公室定期组织演练，检验和完善预案，提高实战能力，每年至少组织一次预案演练，以提高应急事件处理能力。

    （二）充分利用各种传播媒介及其他有效的宣传形式，加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传，开展网络安全基本知识和技能的宣传活动。

    （三）在国家重要活动、会议期间，各处室（中心）要加强网络安全事件的防范和应急响应，确保网站安全。

    （四）领导小组办公室要加强网络安全监测和分析研判，及时预警可能造成重大影响的风险和隐患，及时发现和处置网络安全事件隐患。