一、總則

（一）編制目的

為提高自治區(qū)財政廳對外網(wǎng)站安全突發(fā)公共事件的應對能力，加強網(wǎng)站網(wǎng)絡和信息安全保障工作，形成科學、有效、反應迅速的應急工作機制，確保網(wǎng)站的實體安全、運行安全和數(shù)據(jù)安全，最大限度減輕網(wǎng)站安全突發(fā)公共事件的危害，維護正常的財政工作秩序，特編制本預案。

（二）編制依據(jù)

《中華人民共和國計算機信息系統(tǒng)安全保護條例》

《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》

《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》

《中華人民共和國突發(fā)事件應對法》

《新疆維吾爾自治區(qū)信息化促進條例》

《國家突發(fā)公共事件總體應急預案》

《信息安全事件分類分級指南》（GB/Z 20986-2007）

《信息安全事件管理指南》（GB/Z 20985-2007）

《新疆維吾爾自治區(qū)財政廳網(wǎng)絡信息安全保密工作制度（2008年7月）》

《自治區(qū)“兩會重點保障”網(wǎng)絡安全事件應急預案》（新黨網(wǎng)信明電【2017】6號）

國家和自治區(qū)有關(guān)網(wǎng)絡與信息安全事件應急預案。

（三）適用范圍

本預案適用于自治區(qū)財政廳門戶網(wǎng)站及其下轄的二級網(wǎng)站的突發(fā)安全公共事件的應對處置。本預案所指網(wǎng)站的重要性是根據(jù)其在國家安全、經(jīng)濟建設、社會生活和財政工作中的重要程度，遭到破壞后對國家安全，社會秩序，經(jīng)濟建設，公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度來確定的。

（四）工作原則

1.積極防御，綜合防范

立足安全防護，加強預警，抓好預防、監(jiān)控、應急處理、應急保障和打擊犯罪等環(huán)節(jié)，在制度、管理、技術(shù)、人才等方面，采取多種措施，充分發(fā)揮各方面的作用，共同構(gòu)筑網(wǎng)站網(wǎng)絡與信息安全保障體系。 

2.明確責任，分級負責，分業(yè)務歸口負責

按照“誰主管誰負責，誰使用誰負責，誰建設誰負責，誰運營誰負責”、歸口管理和分級負責的原則，建立和完善安全責任制、協(xié)調(diào)管理機制和聯(lián)動工作機制。

3.科學規(guī)范，平戰(zhàn)結(jié)合

加強技術(shù)儲備，規(guī)范應急處置措施和操作流程，實現(xiàn)網(wǎng)站網(wǎng)絡與信息安全突發(fā)公共事件應急處置工作的科學化、程序化與規(guī)范化。樹立常備不懈的觀念，定期進行預案演練，確保應急預案切實可行。

（五）分類分級

本預案所指的網(wǎng)站安全突發(fā)公共事件是指重要網(wǎng)站與信息系統(tǒng)突然遭受不可預知外力的破壞、毀損、故障，發(fā)生對國家、社會、公眾造成或者可能造成重大危害，危及公共安全的緊急事件。

1.事件分類

根據(jù)網(wǎng)站網(wǎng)絡與信息安全突發(fā)公共事件的發(fā)生過程、性質(zhì)和特征，網(wǎng)站網(wǎng)絡與信息安全突發(fā)公共事件可劃分為網(wǎng)絡安全突發(fā)事件和信息安全突發(fā)事件。網(wǎng)絡安全突發(fā)事件是指自然災害，事故災難和人為破壞引起的網(wǎng)站網(wǎng)絡與信息系統(tǒng)的損壞；信息安全突發(fā)事件是指利用信息網(wǎng)絡進行有組織的大規(guī)模的反動宣傳、煽動和滲透等破壞活動。自然災害是指地震、臺風、雷電、火災、洪水等。事故災難是指電力中斷、網(wǎng)絡損壞或者是軟件、硬件設備故障等。人為破壞是指人為破壞網(wǎng)絡線路、通信設施、黑客攻擊、病毒攻擊、恐怖襲擊等事件。

2.事件分級

根據(jù)《信息安全事件分類分級指南》（GB/Z 20986-2007），按照財政廳對外網(wǎng)站安全突發(fā)公共事件的可控性、嚴重程度和影響范圍，將網(wǎng)站突發(fā)公共事件分為四級：I級（特別重大）、II級（重大）、III級（較大）、IV級（一般）。國家有關(guān)法律法規(guī)有明確規(guī)定的按國家有關(guān)規(guī)定執(zhí)行。

I級（特別重大）：網(wǎng)站網(wǎng)絡與信息系統(tǒng)發(fā)生全疆性大規(guī)模癱瘓，事態(tài)發(fā)展超出自己的控制能力，對國家安全社會秩序經(jīng)濟建設和公共利益造成特別嚴重損害的突發(fā)公共事件。 

II級（重大）：網(wǎng)站網(wǎng)絡與信息系統(tǒng)造成全疆性癱瘓，對國家安全、社會秩序、經(jīng)濟建設和公共利益造成嚴重損害需要跨部門協(xié)同處置的突發(fā)公共事件。

III（較大）：某一級或獨立的網(wǎng)站網(wǎng)絡與信息系統(tǒng)癱瘓，對國家安全、社會秩序、經(jīng)濟建設和公共利益造成一定損害，但不需要跨部門、跨地縣協(xié)同處置的突發(fā)公共事件。

IV（一般）：網(wǎng)站網(wǎng)絡與信息系統(tǒng)受到一定程度的損壞，對公民、法人和其他組織的權(quán)益有一定影響，但不危害國家安全、社會秩序經(jīng)濟建設和公共利益的突發(fā)公共事件。

二、組織體系

（一）外網(wǎng)網(wǎng)站安全應急領(lǐng)導小組

組  長： 鄭軍（財政廳黨組成員、主管信息化工作副廳長）

代萬斌（財政廳副巡視員辦公室主任）

副組長： 阿布來提·納曼（財政廳會計處處長）

李詠（財政廳非稅收入管理處處長）

地力木拉提·尼亞孜（農(nóng)業(yè)綜合開發(fā)辦公室副主任）

劉海燕（PPP項目管理辦公室負責人）

楊云鵬（政府采購管理辦公室主任）

楊林(財政廳信息網(wǎng)絡中心（金財辦）主任。

董信軍（政府采購中心調(diào)研員）

俞曉剛（財政廳企業(yè)處副調(diào)研員）

（二）領(lǐng)導小組下設辦公室成員

陳巖嶺（財政廳辦公室）

陳海濱（財政廳信息網(wǎng)絡中心（金財辦）

崔魯新（財政廳企業(yè)處）

冀  承（財政廳會計處）

晏  斌（財政廳非稅收入管理處）

雍  曦（農(nóng)業(yè)綜合開發(fā)辦公室）

阿吉木（財政扶貧資金管理辦公室）

洪  源（政府采購管理辦公室）

吳海朝（財政監(jiān)督檢查局）

張文成（政府采購中心）

楊  偉（自治區(qū)信息中心）

肖  平（中科天翔（杭州）科技有限公司）

曹立軍（新疆中軟遠達科技有限公司）

郭濟剛（新疆天晟科技有限公司）

王偉東（山大歐碼軟件有限公司）

潘麗鴻（新疆久其科技有限公司）

崔康鋒（HP西北區(qū)經(jīng)理）

韓  磊（新疆志冠科技有限公司）

（四）網(wǎng)站安全應急領(lǐng)導小組主要職責

1.研究制定外網(wǎng)網(wǎng)站安全應急處置工作的規(guī)劃、計劃和政策，協(xié)調(diào)推進網(wǎng)絡與信息安全應急機制和工作體系建設；決定啟動本預案，組織應急處置工作。

2.指導應對網(wǎng)絡與信息安全突發(fā)公共事件的科學研究、預案演習、宣傳培訓、督促應急保障體系建設。

3.負責對網(wǎng)站安全應急處置工作的指導、協(xié)調(diào)、監(jiān)督與檢查工作，并組織力量進行援救。

4.及時收集網(wǎng)站網(wǎng)絡與信息安全突發(fā)公共事件相關(guān)信息，分析重要信息并設置處置方案。

5.設立年度安全應急預算，報廳黨組審批后執(zhí)行。

6.安全應急事件發(fā)生后，根據(jù)事件等級，上報自治區(qū)信息安全相關(guān)部門，協(xié)調(diào)其他部門和單位共同開展應急工作。

（五）網(wǎng)站安全應急領(lǐng)導小組辦公室的主要職責

1.執(zhí)行外網(wǎng)網(wǎng)站安全應急處置工作的規(guī)劃、計劃和政策，執(zhí)行本預案，組織應急處置工作。

2執(zhí)行對網(wǎng)絡與信息安全突發(fā)公共事件的科學研究、預案演習、宣傳培訓。

3.執(zhí)行對網(wǎng)站安全應急處置工作的指導、協(xié)調(diào)、監(jiān)督與檢查工作，并組織力量進行援救。

4.及時收集網(wǎng)站網(wǎng)絡與信息安全突發(fā)公共事件相關(guān)信息，分析重要信息并設置處置方案。

6.網(wǎng)站管理和使用單位，網(wǎng)站開發(fā)和建設單位，網(wǎng)絡運營商和網(wǎng)站運維單位應安排專人定期檢查、監(jiān)控各網(wǎng)站的健康運行情況，發(fā)現(xiàn)網(wǎng)站安全應急事件，及時上報網(wǎng)站安全應急協(xié)調(diào)領(lǐng)導小組，按照領(lǐng)導小組的統(tǒng)一安排，開展各項應急處置工作。

7.網(wǎng)站管理和使用單位，在提出網(wǎng)站建設、升級和改造需求時，應提出安全防護需求，應充分分析網(wǎng)站業(yè)務對各方面的影響，在發(fā)生安全應急事件后，應妥善安排好各項業(yè)務工作，建立沒有信息系統(tǒng)仍能確保財政業(yè)務工作正常開展的預案。

8.網(wǎng)站開發(fā)和建設單位，應按照國家相關(guān)規(guī)定，提供安全可靠的信息系統(tǒng)產(chǎn)品，提供第三方出具的安全檢測報告，簽訂安全責任承諾書，在發(fā)生網(wǎng)站安全應急事件后，根據(jù)相應的情況，及時重建系統(tǒng)，修改、完善系統(tǒng)漏洞。

9.網(wǎng)絡運營商，應實時監(jiān)控網(wǎng)絡連接情況，阻止網(wǎng)絡攻擊、病毒傳播等網(wǎng)絡安全事件的發(fā)生，在網(wǎng)絡安全應急事件發(fā)生后，根據(jù)相關(guān)情況，及時重建、修復網(wǎng)絡。

10.網(wǎng)站軟硬件平臺環(huán)境維護單位，應在網(wǎng)站建設、升級和改造需求審核過程中，嚴格按照國家、自治區(qū)和金財工程網(wǎng)絡和信息安全相關(guān)要求進行把關(guān)，建立定期的網(wǎng)站檢查制度，建立安全防范技術(shù)體系，定期備份網(wǎng)站數(shù)據(jù)，在網(wǎng)站安全應急事件發(fā)生后，能夠協(xié)助相關(guān)部門保護現(xiàn)場，督促網(wǎng)站建設和開發(fā)單位修改完善系統(tǒng)，及時恢復網(wǎng)站系統(tǒng)的正常運行。

11.安全防護單位，協(xié)助財政廳做好安全防御體系的建設部署工作，做好網(wǎng)站安全防護的技術(shù)保障工作，協(xié)助財政廳在網(wǎng)站遭受攻擊時排查攻擊形式，查找攻擊痕跡及源頭，為下一步安全偵查提供技術(shù)支持。

三、預防預警

（一）信息監(jiān)測與報告

1.進一步完善網(wǎng)站網(wǎng)絡與信息安全突發(fā)公共事件監(jiān)測、預測、預警制度。要落實責任制，按照“早發(fā)現(xiàn)、早報告、早處置”的原則，加強對各類網(wǎng)站網(wǎng)絡與信息安全突發(fā)公共事件和可能引發(fā)突發(fā)公共事件的有關(guān)信息的收集、分析判斷和持續(xù)監(jiān)測。當發(fā)生網(wǎng)站網(wǎng)絡與信息安全突發(fā)公共事件時，網(wǎng)站安全應急各成員單位按規(guī)定及時向網(wǎng)站安全應急領(lǐng)導小組報告，初次報告最遲不得超過半小時，重大和特別重大的網(wǎng)站網(wǎng)絡與信息安全突發(fā)公共事件實行態(tài)勢進程報告和日報告制度。報告內(nèi)容主要包括信息來源、影響范圍、事件性質(zhì)、事件發(fā)展趨勢和采取的措施等。

2.建立網(wǎng)站網(wǎng)絡與信息安全報告制度。發(fā)現(xiàn)下列情況時應及時向網(wǎng)站安全應急領(lǐng)導小組報告：利用網(wǎng)絡從事違法犯罪活動的情況；網(wǎng)站網(wǎng)絡或信息系統(tǒng)通信和資源使用異常，網(wǎng)站網(wǎng)絡和信息系統(tǒng)癱瘓，應用服務中斷或數(shù)據(jù)篡改，丟失等情況；網(wǎng)絡恐怖活動的嫌疑情況和預警信息；其他影響網(wǎng)站網(wǎng)絡與信息安全的信息。

（二）預警處理與發(fā)布

1.對于可能發(fā)生或已經(jīng)發(fā)生的網(wǎng)站網(wǎng)絡與信息安全突發(fā)公共事件，立即采取措施控制事態(tài)，并在1小時內(nèi)進行風險評估，判定事件等級。必要時啟動相應的預案，同時向網(wǎng)站安全應急領(lǐng)導小組通報情況。

2.網(wǎng)站安全應急領(lǐng)導小組接到報警信息后應及時組織網(wǎng)站安全應急成員單位對信息進行技術(shù)分析、研判，根據(jù)問題的性質(zhì)、危害程度，提出安全警報級別。

3.網(wǎng)站安全應急領(lǐng)導小組接到報告后，對發(fā)生和可能發(fā)生I級或II級的網(wǎng)站網(wǎng)絡與信息安全突發(fā)公共事件時，應迅速召開協(xié)調(diào)會議，研究確定網(wǎng)絡與信息安全突發(fā)公共事件的等級，決定啟動本預案，同時確定指揮人員，向相關(guān)部門進行通報，爭取支援。

（三）重點業(yè)務

1.重點關(guān)注問題

 （1）網(wǎng)頁篡改，網(wǎng)頁（尤其是主頁）被惡意更改，影響財政廳形象。

 （2）DDOS攻擊。遭受大流量攻擊，網(wǎng)站癱瘓，不能對外提供服務，影響財政廳正常宣傳及業(yè)務辦理。

2.啟動條件

 網(wǎng)絡安全應急領(lǐng)導小組成員監(jiān)控到網(wǎng)頁篡改或者DDOS攻擊情況，立即啟動應急預案。

3.執(zhí)行原則

（1）發(fā)現(xiàn)網(wǎng)頁面被篡改后立即切斷網(wǎng)站對外服務網(wǎng)絡。

（2）及時上報，及時處置原則。

發(fā)現(xiàn)問題切斷網(wǎng)絡后，第一時間向安全應急領(lǐng)導小組進行匯報，接到指令第一時間處置。

（3）系統(tǒng)恢復，業(yè)務保障原則.

在保證現(xiàn)場環(huán)境，攻擊痕跡不被破壞的前提下，首要考慮系統(tǒng)正常工作和保障業(yè)務正常運轉(zhuǎn)。

四、應急流程

1.當發(fā)生網(wǎng)站網(wǎng)絡與信息安全突發(fā)公共事件時，安全值班人員應做好先期應急處置工作，立即采取措施控制事態(tài)，同時向應急領(lǐng)導小組進行逐級報告。

2.網(wǎng)站安全應急領(lǐng)導小組在接到網(wǎng)絡與信息安全突發(fā)公共事件發(fā)生或可能發(fā)生的信息后，應加強與有關(guān)方面的聯(lián)系，掌握最新發(fā)展動態(tài)，做好啟動本預案的各項準備。如事態(tài)嚴重則電話上報自治區(qū)網(wǎng)信辦（網(wǎng)絡安全協(xié)調(diào)處），傳真函件隨后。電話：0991-6788081；傳真：0991-6788023.

3.本預案啟動后，要抓緊收集相關(guān)信息，掌握現(xiàn)場處置工作狀態(tài)，分析事件發(fā)展態(tài)勢，研究提出處置方案，統(tǒng)一指揮網(wǎng)站網(wǎng)絡與信息安全應急處置工作。

4.需要成立現(xiàn)場指揮部的，應立即在現(xiàn)場開設指揮部，現(xiàn)場指揮部要根據(jù)事件性質(zhì)迅速組建各類應急工作組，開展應急處置工作。

5．本預案啟動后，立即成立應急響應先遣小組，督促、指導和協(xié)調(diào)處置工作。網(wǎng)站安全應急領(lǐng)導小組根據(jù)事態(tài)的發(fā)展和處置工作需要，及時增派專家小組，調(diào)動必需的物資、設置，支援應急工作。參加現(xiàn)場處置工作的各有關(guān)部門和單位在現(xiàn)場指揮部的統(tǒng)一指揮下，協(xié)助開展處置行動。  

6．安全應急領(lǐng)導小組第一時間安排網(wǎng)絡安全管理技術(shù)人員及相關(guān)協(xié)同人員進行排障恢復及安全事件追蹤跟進，將處置結(jié)果及時上報自治區(qū)黨委網(wǎng)信辦等相關(guān)部門。

7．限時整改完成后，請網(wǎng)信辦協(xié)調(diào)網(wǎng)絡安全測評機構(gòu)對網(wǎng)站整改效果進行審查。

五．重點業(yè)務應急措施

1.恢復頁面

在網(wǎng)信辦及安全評測機構(gòu)指導下，由網(wǎng)站管理員自行刪除被篡改頁面，替換備份頁面。

2.分析攻擊原因

緊急協(xié)調(diào)安全服務提供商到場服務，分析網(wǎng)站日志，及安全設備日志。

3.處置應對

由網(wǎng)站開發(fā)單位對存在的漏洞的頁面代碼進行修復；利用安全漏洞掃描工具進行安全檢測。加強WAF等安全設備的策略配置。

4.立案偵查 

     當發(fā)生III級以上的安全事件請求網(wǎng)信辦要求公安網(wǎng)監(jiān)，分析查找攻擊源，立案偵查。

六、后期處置

（一）善后處理

在應急處置工作結(jié)束后，要迅速采取措施，抓緊組織搶修受損的基礎設施，減少損失，盡快恢復正常工作。統(tǒng)計各種數(shù)據(jù)，查明原因，對事件造成的損失和影響以及恢復重建能力進行分析評估，認真制定恢復重建計劃，并迅速組織實施。有關(guān)部門要提供必要的人員和技術(shù)、物資和裝備以及資金支持，并將善后處置的有關(guān)情況報網(wǎng)站安全應急領(lǐng)導小組。

（二）調(diào)查評估

在應急處置工作結(jié)束后，網(wǎng)站安全應急領(lǐng)導小組應立即組織有關(guān)人員和專家組成事件調(diào)查組，全面調(diào)查事件發(fā)生及處置過程，查清事件發(fā)生的原因及財產(chǎn)損失情況，總結(jié)經(jīng)驗教訓，寫出調(diào)查評估報告，根據(jù)問責制的有關(guān)規(guī)定，對有關(guān)責任人做出處理。

七、保障措施

（一）應急裝備保障

在建設網(wǎng)站系統(tǒng)時應事先預留一定的應急設備，（如：備份服務器，防火墻，WEB漏洞掃描等）在網(wǎng)站網(wǎng)絡與信息安全突發(fā)公共事件發(fā)生時，由網(wǎng)站安全應急領(lǐng)導小組負責統(tǒng)一調(diào)用。

（二）數(shù)據(jù)保障

重要信息系統(tǒng)均應建立異地容災備份系統(tǒng)和相關(guān)工作機制，保證重要數(shù)據(jù)在受到破壞后可緊急恢復。各容災備份系統(tǒng)應具有一定兼容性，在特殊情況下各系統(tǒng)間可互為備份。

（三）應急隊伍保障

各成員單位應建立網(wǎng)站網(wǎng)絡信息安全應急保障隊伍。

八、監(jiān)督管理

（一）宣傳教育

充分利用各種傳播媒介及有效的形式，加強網(wǎng)站網(wǎng)絡與信息安全突發(fā)公共事件應急和處置的有關(guān)法律法規(guī)和政策的宣傳，開展預防、預警、自救、互救和減災等知識的宣講活動，普及應急救援的基本知識，提高公眾防范意識應急處置能力。要加強對網(wǎng)站網(wǎng)絡與信息安全等方面的知識培訓，提高防范意識及技能，指定專人負責安全技術(shù)工作。將網(wǎng)站網(wǎng)絡與信息安全突發(fā)公共事件的應急管理、工作流程等列為培訓內(nèi)容，增強應急處置工作的組織能力。

（二）演練

建立應急預案定期演練制度。通過演練，發(fā)現(xiàn)應急工作體系和工作機制存在的問題，不斷完善應急預案，提高應急處置能力。

（三）責任與獎懲

網(wǎng)站安全應急成員單位要認真貫徹落實預案的各項要求與任務，建立監(jiān)督檢查和獎懲機制。網(wǎng)站安全應急領(lǐng)導小組不定期進行檢查，對各項制度、計劃、方案、人員、物資等進行實地驗證，以演練的評定結(jié)果作為是否有效落實預案的依據(jù)，對不符合預案各項規(guī)定的單位進行通報批評，責令限期改正。

九、附則

（一）本預案由網(wǎng)站安全應急領(lǐng)導小組負責制定和解釋。

（二）本預案自印發(fā)之日起實施。