湖南省网络与信息安全事件应急预案
目 录
1.总 则
1.1 编制目的
1.2 编制依据
1.3 适用范围
1.4 工作原则
2.应急指挥体系及职责
2.1 应急组织机构
2.2 应急组织机构职责
2.3 现场应急处置工作组
3.预防预警机制
3.1 信息监测与报告
3.2 预警支持系统
4.应急响应
4.1 应急响应级别
4.2 应急响应行动
4.3信息发布
4.4 应急结束
5.善后工作
5.1 善后处置
5.2 总结评估
6.应急保障
6.1 队伍保障
6.2 物资保障
6.3 技术储备保障
6.4 交通运输保障
6.5 经费保障
7.监督管理
7.1 宣传、培训和演练
7.2 奖励与责任
7.3 监督检查
8.附 则
8.1 名词术语解释
8.2 预案管理与更新
8.3 预案解释部门
8.4 预案实施时间
 
 
1.总则
1.1编制目的
建立健全网络与信息安全事件应急机制，科学应对网络与信息安全事件，有效预防、及时控制和最大程度地消除网络与信息安全事件的危害和影响，维护公共安全和社会稳定。
1.2编制依据
《中华人民共和国突发事件应对法》、《中华人民共和国电信条例》、《中华人民共和国计算机信息系统安全保护条例》、《湖南省信息化条例》、《湖南省突发公共事件总体应急预案》、《湖南省通信保障应急预案》等法律、法规和有关规定。
1.3适用范围
本预案适用于本省行政区域网络与信息安全事件的防范和应急处置。
1.4工作原则
统一领导、分工负责，及时预警、协作配合，快速处置、确保恢复。
2.应急指挥体系及职责
省、市州、县市区人民政府设立网络与信息安全事件应急指挥机构，负责本行政区域网络与信息安全事件的应对工作。
2.1应急组织机构
省人民政府设立湖南省网络与信息安全事件应急指挥部（以下简称省信息应急指挥部），由省人民政府分管副省长任指挥长，省人民政府分管副秘书长、省信息产业厅厅长任副指挥长，省公安厅、省国家安全厅、省财政厅、省广电局、省通信管理局、省政府新闻办、省委610办、省发改委、省教育厅、省科技厅、省国家保密局、省国家密码管理局负责人为指挥部成员。
省信息应急指挥部办公室（以下简称省信息应急办）设在省信息产业厅，由省信息产业厅分管副厅长兼任办公室主任。
2.2应急组织机构职责
2.2.1省信息应急指挥部
研究决定全省网络与信息安全事件应急工作的有关重大问题；研究制订全省网络与信息安全事件应急工作规划、计划和政策，协调推进全省网络与信息安全事件应急工作机制和体系建设；启动本预案，组织开展应急处置工作；监督、指导市州网络与信息安全事件应急指挥机构的工作；做好省人民政府和国家通信保障应急领导小组交办事项。
2.2.2省信息应急办
承担省信息应急指挥部的日常工作；拟订或组织拟订本省应对网络与信息安全事件的工作规划和应急预案，经批准后组织实施；组织有关部门（单位）落实网络与信息安全事件应急处理技术措施；督促、检查、指导市州网络与信息安全事件应急指挥机构和有关专业技术机构的信息监测、预防预警工作。
2.2.3省信息应急指挥部成员单位
省信息产业厅 统筹规划建设网络与信息安全事件应急处理技术平台，会同有关部门（单位）组织制定全省网络与信息安全事件应急工作政策文件及技术方案；制定部门网络与信息安全建设方案，开展部门信息风险评估并进行等级划分，负责网络信任体系建设；督查网络与信息安全建设情况；负责安全知识培训以及无线电频率安全管理，及时收集、上报和通报网络与信息安全事件情况，并向省人民政府和国家通信保障应急领导小组报告有关工作情况。
省公安厅 监督、检查、指导计算机信息系统安全保护和信息安全等级保护工作；严密监控境内互联网有害信息传播情况，制止互联网上发生对社会热点和敏感问题的恶意炒作，监测政府网站、新闻网站、门户网站和国家重大活动、会议期间重点网站网络运行安全；对发生重大计算机病毒疫情和大规模网络攻击事件进行预防和处置；依法查处网上散布谣言、制造恐慌、扰乱社会秩序、恶意攻击党和政府的有害信息；依法查处未建立安全保护管理制度、未对网络用户进行安全教育和培训、未落实互联网安全保护技术措施的互联网使用单位和责任人员；打击攻击、破坏网络安全运行、制造网上恐怖事件、危害计算机信息系统安全的各种违法活动。
省国家安全厅 收集潜在的国外敌人攻击计划和能力信息，依法对间谍组织以及敌对势力、民族分裂势力、邪教势力等内外勾结利用计算机网络危害国家安全的行为开展各种侦察工作，依法对涉嫌危害国家安全和在计算机网络上窃取国家秘密或制作、传播危害国家安全信息的违法活动进行查处。
省财政厅 制定经费保障相关政策方案，保障网络与信息安全事件应急工作所需经费。
省通信管理局 负责基础通信网络的信息安全应急处理工作，协调各电信运营企业及有关部门（单位）；在应急期间指挥系统的通信保障和基础通信设施的保障、修复，开展对基础信息网络事故的调研、报告、应急处置等工作。
省政府新闻办、省广电局 负责网络与信息安全事件的宣传报道和信息发布工作。
省委610办、省发改委、省教育厅、省科技厅、省国家保密局、省国家密码管理局 根据应急工作需要开展相应工作。
2.3现场应急处置工作组
网络与信息安全事件发生后，成立现场应急处置工作组，由相关成员单位领导、处室负责人和技术人员组成，负责保障安全策略的制定与执行；识别网络与信息系统正常运行的主要威胁；在出现问题时决定所采取行动的先后顺序，做出关键决定；批准例外的特殊情况；从技术方面处理发生问题的系统；检测入侵事件，并采取技术手段降低损失；负责网络与信息安全风险评估、等级划分、技术咨询、网络与信息安全知识技能培训等。
3.预防预警机制
3.1信息监测与报告
各级网络与信息安全事件应急指挥机构按属地原则,坚持在当地人民政府领导下,积极预防网络与信息安全事件的发生，有效开展信息监测和应急处置工作。信息、公安、国家安全、通信等部门应加强网络与信息安全事件监测、分析和预警工作，及时向省信息应急办报告本省发生或可能发生网络与信息安全事件等情况。
网络与信息安全事件发生单位应立即对事件进行调查核实、保存相关证据，迅速向相应的市州信息化主管部门报告。市州信息化主管部门接报后，立即向省信息应急办报告。省信息应急办接报后，应核实情况，研究分析可能造成损害的程度，提出初步行动对策，并及时将情况报告省人民政府。
3.2预警支持系统
各互联单位应建设必要的安全保障技术平台，逐步实现对本单位网络运行状态数据的汇总分析。省信息应急办应建立和完善信息监测、传递网络和指挥决策支持系统，保障资源共享、运转正常、指挥有力。
4.应急响应
4.1应急响应级别
网络与信息安全事件根据其可控性、严重程度和影响范围，分为一般网络与信息安全事件(Ⅳ级)、较大网络与信息安全事件(Ⅲ级)、重大网络与信息安全事件(Ⅱ级)、特别重大网络与信息安全事件(Ⅰ级)四级。
4.1.1一般网络与信息安全事件(Ⅳ级)：指重要网络与信息系统受到一定程度的损坏，对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益的突发事件。
4.1.2较大网络与信息安全事件(Ⅲ级)：指某一区域的重要网络与信息系统瘫痪，对国家安全、社会秩序、经济建设和公共利益造成一定损害，但不需要跨部门、跨地区协同处置的突发事件。
4.1.3重大网络与信息安全事件(Ⅱ级)：指重要网络与信息系统造成全省性瘫痪，对国家安全、社会秩序、经济建设和公共利益造成严重损害，需要跨部门、跨地区协同处置的突发事件。
4.1.4特别重大网络与信息安全事件(Ⅰ级)：指重要网络与信息系统发生全省性大规模瘫痪，事态发展超出地方人民政府和省级主管部门的控制能力，对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的突发事件。
4.2应急响应行动
在本省召开重要会议、重大活动等特殊重要时期，各单位应按照Ⅲ级应急响应程序做好应急准备。在发生或可能发生Ⅲ级及以上网络与信息安全事件时，各单位应按高一个级别的应急响应程序进行各项应急处置。
当省信息应急办接到关于本省发生或可能发生Ⅲ级、Ⅱ级、Ⅰ级网络与信息安全事件的报告时，报请省信息应急指挥部批准，要求各市州信息化主管部门启动应急预案并进入分级响应程序。
4.2.1Ⅳ、Ⅲ级
一般网络与信息安全事件由各单位根据情况自行处置。发生较大网络与信息安全事件后，按以下程序进行处置：
（1）省信息应急办向有关部门（单位）和市州通报事件情况，省通信管理局向各经营性互联单位通报情况,要求立即启动相应的Ⅲ级响应。
（2）信息、公安、国家安全、通信等部门按照省信息应急指挥部的指令，针对事件类别立即采取相应措施：对事件的特点、机理、危害、解决方案进行研究，并将结果报告省信息应急办；持续跟踪和收集相关信息，观测数据变化动态，每24小时向省信息应急办上报事件动态；及时将有关情况通报所有互联单位。
（3）各单位根据本网实际和事件类别采取相应措施：针对新出现的攻击方法，密切关注涉及协议或端口的流量变化，及时采取防范和消除手段；积极组织对本网的安全加固，密切关注相同原因造成的流量变化，及时报告发现的网络异常情况；针对网络性能下降和瘫痪事件，立即组织恢复网络的正常运行，组织技术人员对事发原因进行深入调查，对网络采取相应的技术处理措施。
（4）各单位应及时向省信息应急办报告事件发展情况，省信息应急办接报后及时将情况报告省人民政府。
4.2.2Ⅱ级
发生重大网络与信息安全事件后，按以下程序进行处置：
（1）省信息应急办向有关部门（单位）和市州通报事件情况，省通信管理局向各经营性互联单位通报情况,要求立即启动相应的Ⅱ级响应。
（2）信息、公安、国家安全、通信等部门按照省信息应急指挥部的指令，针对事件类别立即采取相应措施：组织调研该事件的特点、机理和危害，在8小时内提出建议方案；组织相关技术人员对事件进行监测，跟踪和收集相关信息，每12小时向省信息应急办报告有关情况，并及时将情况通报所有互联单位。
（3）各单位根据本网实际和事件类别采取相应措施：针对漏洞和蠕虫事件，密切关注该漏洞攻击和网络蠕虫传播所涉及的协议端口的流量变化，每12小时上报事件动态，及时采取防范和消除手段；针对网络存在大量后门主机事件，采取有效恢复措施；针对网络性能下降和瘫痪事件，组织技术力量恢复相关网络的正常运行，并在12小时内将事件分析报告报送省信息应急办，对事发原因进行深入调查，在1小时内对相关网络采取相应的技术处理措施；针对来自境外的网络瘫痪事件，积极组织对本网的安全加固，并密切关注相同原因造成的本网流量变化，每12小时向省信息应急办报告运行情况；针对骨干网设备失控事件，立即组织人员恢复设备正常运行，并在8小时内将事发原因报告省信息应急办；在24小时内对相邻的其它骨干网设备进行登录访问检查和加固，在72小时内对全网范围内的骨干网设备进行登录访问抽样检查和加固，并将处置结果报送省信息应急办。
（4）各单位应及时向省信息应急办报告事件发展情况，省信息应急办接报后及时分析判断事件发展态势并报告省人民政府和国家通信保障应急领导小组。
4.2.3Ⅰ级
发生特别重大网络与信息安全事件后，按以下程序进行处置：
（1）省信息应急指挥部立即向国家通信保障应急领导小组和省人民政府报告事件情况，根据初步判断提出处置方案和建议。省信息应急办向有关部门（单位）和市州通报事件情况，省通信管理局向各经营性互联单位通报情况,要求立即启动相应的Ⅰ级响应。
（2）信息、公安、国家安全、通信等部门按照省信息应急指挥部的指令，针对事件类别立即采取相应措施：组织技术力量，在最短的时间内研究事件的特点、机理、危害、解决方案；每小时向省信息应急办报告工作进展情况；省信息应急办组织技术力量对事件进行监测，并根据事件的发展变化情况，迅速向省人民政府和国家通信保障应急领导小组报告事件动态，并将有关情况通报所有互联单位。
（3）各单位根据本网实际和事件类别立即采取相应措施：针对网络瘫痪事件，组织力量全力抢修瘫痪的网络，每小时向省信息应急办报告抢修工作进展；组织力量分析网络瘫痪的原因和有效遏制手段；积极组织对本网的安全加固，密切关注相同原因造成的本网流量变化，每12小时向省信息应急办报告运行情况；组织对本网采取相应措施；针对大量骨干网设备失控事件，采取紧急措施恢复失去控制的骨干网设备，并在4小时内将事发原因报告省信息应急办；在12小时内对相邻的其它骨干网设备进行登陆访问检查和加固，在24小时内对全网范围内的骨干网设备进行登陆访问抽样检查和加固，并将处置结果报送省信息应急办。
（4）各单位应及时向省信息应急办报告所掌握的事件发展情况，省信息应急办接报后及时向省人民政府和国家通信保障应急领导小组报告事件发展情况。
4.3信息发布
网络与信息安全事件信息发布遵循实事求是、及时准确的原则。
省信息产业厅会同省政府新闻办，按照《湖南省突发公共事件新闻发布应急预案》的有关规定，做好网络与信息安全事件信息发布工作。
4.4应急结束
省信息应急办根据网络与信息安全事件的处置进展情况和现场应急处置工作组的意见，组织相关部门（单位）及专家组对网络与信息安全事件的处置情况进行综合评估，确定事件已得到有效控制后，由省信息应急指挥部宣布应急结束。
5.善后工作
5.1善后处置
当地人民政府负责做好相关善后处置工作。对因网络与信息安全事件造成重大损失的，经专家和有关部门确认，依法予以补偿、赔偿。省信息应急办应指导市州人民政府开展灾后重建等善后处置工作。
5.2总结评估
省信息应急办会同事发地人民政府，组织专家组和有关部门（单位）人员对网络与信息安全事件造成的损失进行评估，分析事发原因，吸取经验教训，提出整改措施，在应急结束后15个工作日内将完整的情况记录归档。发生重大网络与信息安全事件的单位应在应急结束后5个工作日内将应急处置情况形成书面材料报省信息应急办、省信息产业厅备案。
6.应急保障
6.1队伍保障
大力发展信息安全服务业，加强网络与信息安全人才培养，强化信息安全宣传教育，建设一支高素质、高技术的信息安全核心人才和管理队伍，提高全社会信息安全防御意识，增强社会应急救援力量。
6.2物资保障
各级信息化主管部门应根据建设规划和物质储备要求，做好物资储备保障。省信息化专项资金中应安排一定的资金用于预防或应对网络与信息安全事件，优化网络与信息安全事件应急处置工作的物资保障条件。
6.3技术储备保障
省信息应急办应组织有关专家和科研力量，开展应急运作机制、应急处置技术、预警控制等研究，推广和普及新的应急技术。
6.4交通运输保障
各级网络与信息安全事件应急指挥机构办公室应配置专用交通车辆，公安部门负责做好专用车辆通行证发放工作，保障网络与信息安全事件应急工作交通运输畅通。
6.5经费保障
各级财政部门应按照《湖南省财政应急保障预案》的规定，保障网络与信息安全事件应急工作所需经费。
7.监督管理
7.1宣传、培训和演练
7.1.1各级网络与信息安全事件应急指挥机构应利用各种新闻媒介向社会大众广泛宣传网络与信息安全应急法律、法规，定期或不定期地举办不同层次、不同类型的培训班或研讨会，提高预防和处置工作水平。
7.1.2各级网络与信息安全事件应急指挥机构应定期或不定期组织应急预案演练，提高应急救援人员和队伍的实战能力。
7.2奖励与责任
对在网络与信息安全事件应急处置工作中作出突出贡献的单位和个人予以表彰奖励。对不认真履行职责、玩忽职守且造成重大损失的，有关部门（单位）要依法给予责任人行政处分；违反法律的，依法追究法律责任。
7.3监督检查
省信息产业厅、省应急管理办公室（省人民政府总值班室）会同有关部门（单位）对预案实施情况进行监督检查，确保应急措施到位。
8.附则
8.1名词术语解释
网络与信息安全事件：指重要社会信息系统突然遭受不可预知外力的破坏、毁损、故障，对国家、社会、公众造成或者可能造成重大危害，危及公共安全的突发事件。主要包括以下三类：
（1）自然灾害：指地震、台风、雷电、火灾、洪水等引起的网络与信息系统的损坏。
（2）事故灾难：指电力中断、网络损坏或者软件、硬件设备故障等引起的网络与信息系统的损坏。
（3）人为破坏：指人为破坏网络线路、通信设施，黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息系统的损坏。
8.2预案管理与更新
省信息产业厅根据情况变化，及时对预案进行修订完善。
8.3预案解释部门
本预案经省人民政府批准后实施,由省信息产业厅印发并负责解释。
8.4预案实施时间
本预案自印发之日起施行。