一、总则

（一）编制目的

要进一步提高政治站位，深入学习贯彻习近平总书记关于网络强国的重要思想，全面贯彻《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等法律法规，规范和加强对宁国市电子政务外网网络的管理，准确掌握和评估重大网络安全事件相关情况，及时协调组织力量进行事件的应急响应处置，降低网络安全事件所造成的损失和影响。确保“国庆节”党的二十大等重要时期电子政务外网安全，为党的二十大胜利召开营造安全稳定的网络环境，特制定本预案。

（二）编制依据

《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《国家突发公共事件总体应急预案》《突发事件应急预案管理办法》《国家网络安全事件应急预案》和《网络完全技术网络完全事件分类分级指南》等相关规定。

（三）工作原则

1.统一领导，分级负责。宁国市电子政务外网网络安全应急处理工作由市数据资源管理局牵头，会同各有关单位，齐抓共管、各负其责，共同提高我市电子政务外网网络安全应急处置水平。

2.明确责任，依法规范。按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，加强网站和网络安全管理，认真落实各项安全管理制度和措施。

3.防范为主，加强监控。广泛宣传电子政务网络完全基本知识，提高对网络安全的认识水平，切实落实网络完全防范措施，强化对电子政务外网的监控，减少安全事件可能带来的不良影响。

4.整合资源，协调处理。加强部门之间的协调与沟通，整合社会资源，提高应急处置能力。

（四）适用范围

本预案所称的网络安全重大事件是指由于自然灾害、人为攻击或破坏、病毒爆发等原因所引发，严重影响到电子政务外网的正常运行，造成业务中断、系统瘫痪、数据破坏、信息失窃等，从而对政府形象、社会稳定、公众利益等方面造成严重影响以及造成一定程度直接和间接重大经济损失的事件。

二、网站、网络突发事件的类别、级别

（一）突发事件的类别

根据电子政务网络安全的发生原因、性质和机理，宁国市电子政务网络安全事件主要分为以下三类：

（1）攻击类事件：指网络系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。

（2）故障类事件：指网络系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。

（3）灾害类事件：指因爆炸、火灾、雷击、地震等外力因素导致网络系统损毁，造成业务中断、系统宕机、网络瘫痪等情况。

（二）突发事件的级别

按照电子政务网络安全事件的性质、严重程度、可控性和影响范围，将其分为特别重大（Ⅰ级）、重大（Ⅱ级）、较大（Ⅲ级）和一般（Ⅳ级）四级。

（1）特别重大网络安全事件（Ⅰ级）。指扩散性很强，造成全网的重要政务信息系统大面积瘫痪，影响社会稳定，衍生其他重大安全事件。

（2）重大网络安全事件（Ⅱ级）。指扩散性强，或发生在涉及国计民生的重要政务信息系统。

（3）较大网络安全事件（Ⅲ级）。指基本无扩散性，或发生在本网个别单位的政务网络事件。

（4）一般网络安全事件（Ⅳ级）。指无扩散性，或发生在本网个别单位的政务网络事件。

三、组织机构与职责

（一）电子政务外网安全应急领导小组

组长由XXXXXXXXXX担任，副组长由XXXXXXXX担任，小组其他成员由各相关部门负责人担任，电子政务外网安全应急领导小组下设办公室在市数据资源管理局。

（二）电子政务外网安全领导小组职责

研究制订宁国市电子政务外网安全应急处置工作的规划、计划和政策，协调推进宁国市网络网络完全应急机制和工作体系建设；当发生电子政务外网安全突发事件后，由应急领导小组确定事件级别，决定是否启动本预案，进入应急处置程序或按程序向上一级呈报，启动更高层次的应急预案。

四、预防措施

（一）宣传培训

各单位应大力宣传电子政务外网网络安全的基本原理、安全事件的预防措施和应急处理的基本知识，强化本单位人员的网络安全意识。

各单位应定期或不定期地举办电子政务外网网络安全基础培训，确保不同岗位的人员都能熟悉并掌握网络系统应急处理的知识和技能。同时应积极参加由市举办的各类网络安全培训，通过不同层次、类型的培训或研讨，提高全市电子政务外网安全水平，防范网络安全事件发生。

（二）安全措施

各单位应定期对本单位电子政务外网安全进行风险评估，了解网络系统目前可能存在的安全隐患和所面临的安全威胁，并针对本单位互联网、电子政务外网、业务专网等实际，从物理、网络、系统、应用、数据等多个层面实施网络安全保障工作。

各单位应定期对网络系统的运行状态、系统日志、密码管理和安全日志等进行检查，对重要信息系统如网站、核心数据库等应每日进行、密码安全性运行检查，对重要数据要实时和定时进行备份，对核心网络设备定期检查和维护，确保及时发现网络安全事件，减少安全事件所造成的损失。

各单位应定期或不定期组织预案演练，进一步明确应急响应各岗位责任，检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求，对预案中存在的问题和不足及时完善、补充。

（三）灾前预防技术体系

预防供电故障：各单位的网络交换中心和传输节点均应配置防雷击、防静电设备和长延时不间断电源。

预防火险：机房要保持恒温。每天下班前要检查电源接插件，如有烧焦现象，要立即更换。灭火器要保证在保质期内，并放置于每间办公室入口处，所有的工作人员均须学会正确使用灭火器。

预防水渗故障：交换中心、传输节点、通信管沟、分线盒、办公室均应采取防水渗措施。

预防设备丢失：各单位的网络及信息设备均应采取防盗措施，特别是室外交换设备、分线盒要有相应的防盗设施。

预防线路故障：关键服务器区网络出口采用冗余线路。

预防黑客病毒：在电子政务外网的出口设置高性能防火墙、入侵检测系统、防病毒系统。在网络设备和服务器上采用安全策略，安装相应的补丁程序、关闭不用的端口、启动日志记录。

预防内部攻击：在电子政务外网内采用VLAN技术保证不同子网的相互独立。

预防设备故障：对于易损件，要准备必要的备品、备件。

五、应急处理流程

出现灾情后值班人员要及时通过电话、传真、邮件、短信等方式通知单位领导及相关技术负责人。

值班人员根据灾情信息，初步判定灾情程度。能够自己独立解决的，要及时加以解决；如果不能自行解决故障，要报请单位领导现场指挥，协调各部门力量，按照分工负责的原则，组织相关技术人员进入抢险程序。并立即报告电子政务外网安全领导小组备案。

（一）病毒爆发处理流程

各单位对外服务信息系统一旦出现感染病毒，应执行以下应急处理流程：

（1）立即切断感染病毒计算机与网络的联接；

（2）对该计算机的重要数据进行备份；

（3）启用防病毒软件对该计算机进行杀毒处理，同时通过防病毒软件对其他计算机进行病毒扫描和清除工作；

（4）如果满足下列情况之一的，应立即向本单位网络完全负责人通报情况，并向市数据资源管理局报告，通知专业技术人员处理：

①现行防病毒软件无法清除该病毒的；

②网站在2小时内无法将病毒处理完毕的；

③业务系统或办公系统在4小时内无法将病毒处理完毕并恢复完善的；

④恢复系统和相关数据，检查数据的完整性；

⑤病毒爆发事件处理完毕，将计算机重新接入网络；

⑥总结事件处理情况，并提出防范病毒再度爆发的解决方案；

⑦实施必要的安全加固。

（二）网页非法篡改处理流程

各单位对外服务网站一旦发现网页被非法篡改，应执行以下应急处理流程：

（1）发现网站网页出现非法信息时，值班人员应立即向本单位网络完全负责人通报情况，并立即向市数据资源管理局报告。情况紧急的，应先采取断网等处理措施，再按程序报告；

（2）本单位网络完全负责人应在接到通知后立即赶到现场，做好必要记录，妥善保存有关记录及日志或审计记录；

（3）市数据资源管理局应在接到报告后2小时内赶到现场，追查非法信息来源，相关单位并做好相关配合工作，必要时协调相关部门或公司来协助解决；

（4）在市数据资源管理局提取相关数据样本后，清理网站非法信息，强化安全防范措施，然后将网站重新投入使用。如情节严重，构成违法犯罪的，由市公安局立案侦查；

（5）总结事件处理情况，并提出防范再度发生的解决方案；

（6）实施必要的安全加固。

（三）非法入侵处理流程

各单位对外服务信息系统一旦发现被远程控制等非法入侵行为，应执行以下应急处理流程：

（1）发现系统服务器被远程控制、植入后门程序或发现有黑客正在进行攻击时，应立即向本单位网络完全负责人通报情况，并立即向市数据资源管理局报告；

（2）如服务器已被入侵，要立即将被攻击的服务器等设备从网络中隔离出来，保护现场；

（3）本单位网络完全负责人应在接到通知后立即赶到现场，做好必要记录，妥善保存有关记录及日志或审计记录；

（4）市数据资源管理局对网站非法入侵事件应在接到报告2小时内赶到现场；对业务系统和办公系统事件应在接到报告4小时内赶到现场，对现场进行分析，追查攻击源，修改防火墙等设备的安全配置阻断黑客继续入侵。相关单位要做好配合工作，必要时协调相关部门或公司来协助解决；

（5）分析后台数据库操作日志，判断是否发生数据失窃。检查、校验数据的完整性和有效性；

（6）在市数据资源管理局提取相关数据样本后，恢复与重建被攻击或破坏的系统。如情节严重，构成违法犯罪的，由市公安局立案侦查。重新将恢复后的对外服务系统接入网络；

（7）总结事件处理情况，并提出防范再度发生的解决方案；

（8）实施必要的安全加固。

（四）拒绝服务攻击处理流程

各单位对外服务信息系统一旦发现遭受DDOS等拒绝服务攻击，无法正常访问时应执行以下应急处理流程：

（1）发现对外服务系统访问流量异常、无法正常访问，可能遭受拒绝服务攻击时，应立即向本单位网络完全负责人通报情况，并立即向市数据资源管理局报告；

（2）本单位网络完全负责人应在接到通知后立即赶到现场，做好必要记录，妥善保存有关记录及日志或审计记录；

（3）市数据资源管理局对网站事件应在接到报告2小时内赶到现场；对业务系统和办公系统事件应在接到报告4小时内赶到现场，对现场进行分析，追查攻击源，修改路由器、防火墙等设备的安全配置，缓解、消除拒绝服务攻击的影响。相关单位要做好配合工作，必要时协调专业公司来协助解决；

（4）在市数据资源管理局提取相关数据样本后，恢复对外系统正常运行。如情节严重，构成违法犯罪的，由市公安局立案侦查；

（5）总结事件处理情况，并提出防范再度发生的解决方案；

（6）实施必要的安全加固。

（五）机房物理环境事故应急处理流程

供电故障：如果出现短路，切断电源，更换短路器件，恢复供电；如果出现断路，切断电源，连接断开线路，恢复供电；防雷防静电设备故障，切断电源，跳过防雷防静电设备直接供电，及时维修损坏设备并更换；UPS故障，跳过逆变输出，及时维修损坏设备并更换。

火灾：切断电源，使用灭火器灭火；向市119指挥中心报告火警，请求支援；如有人员遇险，应先救人后救物。

水渗故障：切断电源，更换浸水设备，采取防水渗措施。

（六）网络线路故障应急处理流程

网络内部线路故障：如果有环路或冗余线路，通过自动路由或手动设置、联接等技术措施保障网络畅通。对于需要抢修的线路，如果属于自建线路，维护人员赶赴现场抢修；如果是租用其它电信运营商的线路，通知相关运营商及时抢修；如果线路无法修复，协调架设临时线路。

互联网出口线路故障：启用备份线路，通知线路维护人员及时抢修。

（七）数据故障应急处理流程

数据丢失或损坏：从数据备份服务器上提取数据，尽快恢复，保证系统在最短时间内能够正常运行；分析造成事故的原因，针对具体问题，采取相应安全策略。

根据需要，可通过网站、报纸、电台、电视台等向社会公众发布灾情及救灾信息。

六、监督检查

各单位应根据本规范制定本单位的网络完全事件应急处理规范，对发生的网络完全事件严格按照本规范要求及时如实地报告并处理，确保电子政务网络信息系统的正常运行和服务。

市数据资源管理局负责对各单位执行本规范的情况进行监督、检查。

对违反本规范进行操作而导致严重不良后果的单位和负责人，市数据资源管理局将会同有关部门追究其相应的责任。

七、保障措施

（一）机构和人员

全市各单位要落实网络安全应急工作责任制，把责任落实到具体部门、具体岗位和个人，并建立健全应急工作机制。

（二）技术支撑队伍

加强网络安全应急技术支撑队伍建设，做好网络安全事件的监测预警、预防防护、应急处置、应急技术支援工作。市数据资源管理局汇集技术与数据资源，建立网络安全事件应急服务体系，为网络安全事件的预防和处置提供技术咨询和决策建议，提高应对网络安全事件的能力。全市各级各部门应配备必要的网络安全专业技术人才，建立各自的专家队伍，充分发挥专家在应急处置工作中的作用。

（三）情报力量

公安、国安等部门加强网络安全有关情报搜集能力建设，完善情报共享机制，为网络安全应急工作提供情报支撑。

（四）物质保障

加强对网络安全应急装备、工具的储备，及时调整、升级软件硬件工具，不断增强应急技术支撑能力。

（五）经费保障

财政部门为网络安全事件应急处置提供必要的资金保障。有关部门利用现有政策和资金渠道，支持网络安全应急技术支撑队伍建设、专家队伍建设、基础平台建设、情报力量建设、预案演练、物质保障等工作开展。全市各级各部门为网络安全应急工作提供必要的经费保障。

（六）责任与奖惩

网络安全事件应急处置工作实行责任追究制。市数据资源管理局及相关部门对网络安全事件应急管理工作中作出突出贡献的先进集体和个人给予表彰。市数据资源管理局及相关部门对不按照规定制定预案和组织开展演练，迟报、谎报、瞒报和漏报网络安全事件重要情况或者在应急管理工作中有其他失职、渎职行为的，依照相关规定会同有关部门对有关责任人追究其相应的责任。

八、附则

（一）预案管理

本预案原则上每年评估一次，根据实际情况适时修订，修订工作由市数据资源管理局负责。

全市各单位要根据本预案，结合本单位实际情况，制定或修订本部门、本行业网络安全事件应急预案，并报市数据资源管理局数据中心备案。

（二）预案解释

本预案由市数据资源管理局负责解释。

（三）预案实施时间

本预案自印发之日起实施。

 

 

                                                2024年5月20日