3.由市保密局、市公安局等单位发布的预警信息,市经济信息中心应根据时效性和严重程度,提前做好有关网络与信息安全应急处置的准备工作。
(六)事件报告。
当网络与信息安全事件发生时,事发单位要将情况及时报告市应急办及市经济信息中心。初次报告时间最迟不得超过事件发生后2个小时,报告内容主要包括事件特征、事件性质、影响范围、事件趋势和拟采取措施等。属Ⅲ级以上事件的,市应急办要将事件情况报告市人民政府;属I级事件时,市政府办公室还要书面向自治区人民政府办公厅说明故障原因及处理结果。
第五条 应急响应
(一)应急处置方法。
当发生网络与信息安全事件时,首先应区分事件性质,然后再根据不同情况分别进行处置。
1.根据事件性质,网络与信息安全事件可划分为以下三类:
A.自然灾害。指地震、雷电、火灾、洪水等灾害引起的计算机网络与信息系统的损坏。
B.事故损毁。指电力中断、网络损坏或是软件、硬件设备故障等引起的计算机网络与信息系统的损坏。
C.人为破坏。指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖袭击等引起的计算机网络与信息系统的损坏。
2.针对上述各类事件的处置办法:
(1)属A类事件时,应根据实际情况,在保障人身安全的前提下,首先保障数据安全,然后再保障设备安全(包括硬盘拔出与保存、设备断电与拆卸、搬迁设备等)。
(2)属B类事件时,应迅速分析故障特征,查明原因,若市政府信息中心不能独立处理,必须立刻通知相关单位(供电局、网络运营商、软硬件产品维护单位等),马上组织人员进行系统修复。
(3)属C类事件时,应首先判断破坏来源与性质,然后断开影响安全的网络设备,断开与破坏来源的网络连接,跟踪并锁定破坏来源IP地址或其它用户信息,修复被破坏的信息,恢复信息系统。
(二)故障处置方法。
1.有害信息处置。
首先,指派专人对存在问题的网站、网页及邮件信息等进行全时监控;其次,尽快采取屏蔽、删除等有效措施对有害信息进行清理,并做好相关记录;再次,采取技术手段追查有害信息来源;此外,如发现涉及国家安全、稳定的重大有害信息,还要及时向市公安局网警支队报告。
2.黑客攻击处置。
当发现网页内容被篡改或通过入侵检测系统发现黑客攻击时,首先将被攻击服务器等设备从网络中隔离;然后采取技术手段追查非法攻击来源;第三,召开信息安全评估会,评估破坏程度,并视其严重程度,决定是否需向市公安局网警支队报告;最后,恢复或重建被破坏的系统。
3.病毒侵入处置。
