关于印发《湘西州公共资源交易中心信息网络安全应急处置预案(修订)》的通知
州公资发〔2021〕4号
根据《中华人民共和国网络安全法》《公共资源交易平台管理暂行办法》(国家发改委等〔2016〕第39号令)、《公共资源交易平台服务标准(试行)》(发改办法规〔2019〕509号)、《湖南省公共资源交易监督管理办法》(湖南省人民政府令第295号)等法律法规及有关规定,为加强中心网络与信息安全管理,形成科学高效、反应迅速、处置及时的响应机制,提高对信息网络安全事件应急处置能力,最大限度地保障软件系统、交易数据和设备运行安全,保障项目交易顺利开展,制定本预案。
第一章 适用范围
州公共资源交易中心(以下简称中心)建设运行和使用的所有网络系统,以及开标、评标、办公使用的网络电子设备遭受各种人为攻击、破坏、电力中断或自然毁损等灾情,造成网络中断、系统宕机、设备损坏、数据丢失等严重影响交易业务正常开展的信息网络安全事件,均适用本预案。具体包括:
1、交易系统服务器、政务云平台发生故障,出现停电等不可抗力因素,导致无法正常实施网上交易活动;
2、交易系统遭受黑客攻击、网络中断、病毒入侵、等系统和网络故障,导致无法正常实施网上交易活动;
3、交易系统本身出现故障,导致无法正常实施网上交易活动;
4、CA认证系统故障,导致无法正常实施网上交易活动;
5、银行系统、保证金交纳系统故障,导致无法正常缴纳、查询保证金;
6、竞买人提供有效证据证明在限时竞价结束前不能正常报价,导致交易结果异常的;
7、其他网络系统问题,导致无法正常开展交易活动的。
第二章 应急处置程序
(一)简易程序
在巡查或网络信息系统使用过程中,发现网络、软件系统、硬件设备故障或其他信息安全问题,对项目交易有一定影响需要进行应急处置的,发现者应及时报告科室负责人和中心应急处置工作领导小组。事件被认定为Ⅳ级(一般)级别的(具体事件分类标准详见附件:事件分类),由具体负责管理相应系统和设备的科室配合信息科及技术人员进行及时处置,并做好记录。
(二)一般程序
在巡查或网络信息系统使用过程中出现对项目交易、软硬件系统运行有严重影响的突发情况,如:黑客攻击、系统崩溃、网络中断、停电等,被认定为III级(较大)及以上事件的,发现者应立即报告科室负责人和中心应急处置工作领导小组,应急处置组应立即对突发情况进行评估,组织抢救恢复系统。如果短时间内不能恢复,必须暂停项目交易的,相应业务科室应及时对接项目业主、行政监管部门、公管办等进行协商,及时发布暂停项目交易公告,并按要情专报有关制度及时上报;虽短时间内不能恢复,但可采取其他方式确保正常交易的,相应业务科室应及时对接项目业主、行政监管部门、公管办等进行协商,采取有效措施依法依规进行处理,并按要情专报有关制度及时上报。
第三章 故障处置
(一)处置分类
1、有害信息处置
指派专人对存在问题的网站、网页及邮件信息等进行全时监控;尽快采取屏蔽、删除等有效措施对有害信息进行清理,并做好相关记录;采取技术手段追查有害信息来源;如发现涉及国家安全、稳定的重大有害信息,还要及时向州大数据中心、州公安局网警支队报告。
2、黑客攻击处置
当发现网页内容被篡改或通过入侵检测系统发现黑客攻击时,首先将被攻击服务器等设备从网络中隔离;如果是政务云服务器被攻击应第一时间告知云平台管理方,并采取技术手段追查非法攻击来源;必要时召开信息安全评估会,评估破坏程度,并视其严重程度,决定是否需向州公安局网警支队报告;最后,恢复或重建被破坏的系统。
3、病毒侵入处置
当发现计算机系统感染病毒后,立即将该计算机从网络上物理隔离,同时备份硬盘数据,如果是云服务器中毒,应第一时间告知云平台管理方;然后再启用防病毒软件进行杀毒处理,并使用病毒检测软件对其他机器进行病毒扫描和清除;一时无法查杀的新病毒,要迅速与相关病毒软件供应商联系解决;如感染病毒的是服务器或主机系统,要立即告知使用部门并做好相应清查工作。
4、软件遭受破坏性攻击处置
重要软件系统及其相对应的数据应有备份机制,采取异地灾备等方式保存于安全处。一旦软件遭受破坏性攻击,应立即报告和停止系统运行;然后检查日志等资料,确认攻击来源,并采取有效措施,恢复软件系统和数据。
5、数据库安全防范处置
各数据库系统至少要准备两个以上数据库备份,一份放在机房,一份放在异地。一旦数据库崩溃,首先立即通知有关单位暂缓上传、上报数据,然后再组织人员对主机系统进行维修;如遇无法解决的问题,立即请求软硬件供应商协助解决。系统修复启动后,将第一个数据库备份取出,并按照要求将其恢复到主机系统中;如因第一个备份损坏,导致数据库无法恢复,则取出第二个数据库备份予以恢复。
6、网络线路中断处置
网络线路中断后,应迅速判断故障节点,查明原因、尽快修复。如属网络运营商负责维护运营的线路,立即与运行商维护部门联系,及时进行修复。如属局域网内部线路故障,应立即判断故障节点,查明故障原因,迅速组织修复;如属路由器、交换机等网络设备故障,立即与设备供应商联系修复;如属路由器、交换机配置文件破坏,迅速按照要求重新配置;如遇无法解决的技术问题,立即向有关厂商请求支援。
7、设备安全处置
发现服务器等关键设备损坏,应立即查明设备故障原因;能自行恢复的,立即用备件替换受损部件;难以自行恢复的,立即与设备供应商联系,请求派维修人员前来维修;若设备一时不能修复,应及时采取必要措施,并告知有关单位暂缓上传、上报数据。
8、机房火灾处置
一旦机房发生火灾,首先切断所有电源,按响火警警报;检查自动灭火系统是否启动,并使用灭火器进行灭火;及时通过119电话向消防部门报警。
9、外部电力中断处置
外部电力中断后,立即切换到备用电源;迅速查明断电原因,如因内部线路故障,马上组织恢复;如因供电部门原因,立即与供电单位联系,尽快恢复供电;如被告知将长时间停电,应做好以下工作:(1)预计停电1小时以内的,由UPS供电;(2)预计停电1-4小时的,关掉非关键设备,确保各主机、路由器、交换机供电;(3)预计停电超过4小时的,做好数据备份工作,及时关闭有关设备。
10、其他故障处置
上述没有列出的、属不确定因素造成的灾害,可根据总的安全原则,结合具体情况做出相应处理;不能处理的可咨询相关专业人员。
(二)应急联动
根据事态发展和处置工作需要,由领导小组协调应急处置工作,并可临时组织专家小组、应急支援单位和调动中心可用的必要物资、设备等,迅速开展应急救援的处置工作。
(三)后期处置
1、善后处理
在应急处置工作结束后,事发科室应迅速采取措施,抓紧组织抢修受损的基础设施,减少损失,尽快恢复正常工作。统计各种数据,查明原因,对事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,并迅速组织实施。有关科室应提供必要的人员、技术、物资和装备以及资金等支持,并将善后处置的有关情况报领导小组,不断改进网络与信息安全应急工作。
2、调查评估
在应急处置工作结束后,应立即组织有关人员或专家成立事件调查组,对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失情况,总结经验教训,写出调查评估报告,报领导小组,并根据有关规定,对有关责任人员作出处理。
第四章 奖惩措施
信息网络安全工作应坚持以预防为主的方针,不断加强网络与信息安全监测,及时收集、分析、研判监测信息,主动发现网络与信息安全事件倾向或苗头,及早采取有效措施加以防范,使各种安全隐患消除在萌芽状态。对在信息网络安全事件应急过程中表现突出的单位和个人给予表彰,对不认真执行信息网络安全有关管理制度要求,导致发生网络安全事故的,以及不按照本预案执行贻误时机,导致危害进一步扩大,造成重大损失,对相关责任人严格追责。
第五章 保障措施
(一)加强组织保障
成立湘西州公共资源交易信息网络安全类突发事件应急处置工作领导小组(以下简称领导小组),由主要领导任组长,副主任任副组长,各科室相关负责人为成员。领导小组下设办公室,由信息管理科负责具体日常工作。同时成立应急处置组,办公室设立在信息管理科,应急处置组在领导小组的指导下,开展应急处置工作。领导小组主要职责如下:
1、负责编制、修订中心信息网络安全应急处置预案。
2、通过国内外安全网络信息组织交流等手段获取安全预警信息,周期性或即时性地向中心内部和代理机构、各交易主体等发布;对异常流量来源进行监控,并妥善处理各种异常情况。
3、对接州智慧办、州大数据中心等机构,及时组织专业技术机构对中心信息网络安全突发事件指导开展应急处置;负责网络与信息安全突发事件的调查和处置情况报告,并按照相关规定作好善后工作。
4、负责组建信息网络安全应急救援队伍并组织培训和演练。
(二)加强技术保障
1、加强日常巡查。按照《湘西州公共资源交易平台日巡查督办制度》,坚持做好每日巡查。各科室对所使用和负责的交易系统、监控系统及业务电脑等软硬件系统每日进行检查,重点排查可能影响项目交易的信息网络安全隐患,对巡查中发现的问题及时进行处置,防患于未然。各科室要结合实际工作需要,提前配备应急处置工作所必须的设备或工具软件,特别是一些容易坏损的设备和工具,更要提前配置备件,以便应急时可及时替代更换。
2、节假日、周末提前测试。法定节假日、周末双休日结束前一天,各科室应对所负责的软件系统进行登录检查,查看系统是否正常运行。软件技术公司驻场人员应在国土、产权网上竞价项目竞价前一天对竞价系统进行模拟竞价测试,并将测试结果及时反馈至资源科、产权科、信息科。如果测试中发现问题,应立即组织技术人员对系统进行修复。
3、加强安全保障。进一步落实漏洞扫描、渗透测试、等保测评、数据备份等保障措施,各数据库系统至少要准备两个数据库备份,一份放在机房,一份放在异地。一旦数据库崩溃,立即通知有关单位暂缓上传、上报数据,再组织人员对主机系统进行维修。系统修复启动后,将第一个数据库备份取出,并按照要求将其恢复到主机系统中;如因第一个备份损坏,导致数据库无法恢复,则取出第二个数据库备份予以恢复。
(三)加强资金保障。中心安排专项经费用于维护系统正常运行和应急处置,如所需投入经费不足,应根据应急处置保障工作实际需要,及时向州政府、州财政反映,争取财政专项资金投入,进一步落实各项应急保障措施,确保整个交易平台安全稳定。
(四)加大培训演练
一是多方式开展培训。通过开展集中培训、网上培训、实操演练等多种方式,开展信息安全教育培训。信息科负责提供信息网络安全培训资料,组织集中学习培训,各科室应将信息网络安全应急处置内容纳入科室学习计划,认真组织学习。二是开展应急演练。由信息科牵头拟定信息网络安全应急演练方案,每年至少开展1次信息网络安全演练。各科室要明确网络与信息安全应急处置人员,根据自身业务制定更为详尽、可操作性强的应急预案,提高应对信息网络安全紧急事件能力。
附件:事件分级标准
根据事件发生的可控性、严重程度和影响范围,网络与信息安全事件共分为四级:
1.I级(特别重大):系统发生大规模瘫痪,事态发展超出本中心的控制能力,对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的突发公共事件,超过工作时间16小时不能恢复。
2.II级(重大):系统发生较大规模瘫痪,对国家安全、社会秩序、经济建设和公共利益造成严重损害,超过工作时间8小时未能恢复,需要跨部门协同处置的突发公共事件。
3.III级(较大):系统发生瘫痪,对国家安全、社会秩序、经济建设和公共利益造成一定损害,但在工作时间8小时内可以恢复,不需要跨部门协同处置的突发公共事件。
4.Ⅳ级(一般):系统受到一定程度的损坏,对所在用户的权益有一定影响,但在工作时间4小时内可以恢复,不危害国家安全、社会秩序、经济建设和公共利益的突发公共事件。