六安市电子政务外网与政务数据安全应急预案
一、编制目的
为贯彻落实省、市关于电子政务外网与政务数据安全保障工作的有关要求,科学有序做好我市电子政务外网和政务数据突发事件应急处置工作,有效保障政务外网、政务云和业务系统安全,制定本预案。
二、适用范围
全市电子政务外网和政务数据安全事件的预防和应急处置工作。
三、工作原则
坚持统一指挥、分级负责、密切协同、快速反应、科学处置;坚持谁主管谁负责、谁运营谁负责、谁使用谁负责,充分发挥各方面力量共同做好政务网络和政务数据安全事件的应急处置工作。
四、应急处置职责分工
(一)应急处置工作领导小组
组建六安市电子政务外网与政务数据安全应急处置工作领导小组(以下简称“领导小组”),在局网络安全与信息化领导小组指导下落实突发事件期间应急处置工作。由局分管负责同志任组长,基础设施安全科、数据资源开发利用科全体人员为成员。领导小组负责制定应急预案,研究解决网络和数据安全保障问题,以及突发事件期间应急联动、统筹协调工作。领导小组下设办公室,办公室设在基础设施安全科,基础设施安全科科长兼任办公室主任。办公室负责统筹突发事件期间各执行团队之间的综合协调调度,以及其他网络和数据安全应急保障任务。
(二)应急处置执行团队
1、业务系统安全团队
责任人:数据资源开发利用科负责人
工作职责:指导督促系统(平台)运维人员维护好“一体化数据基础平台”“安徽政务服务网六安分厅”“皖事通”六安分站、六安市公共数据开放网站等局主管的重要信息系统,定期检查系统(平台)运行情况,出现突发情况时,组织运维人员及时处置。
2、南山政务云数据中心运维团队
责任人:南山数据中心运维团队负责人
工作职责:负责政务云数据中心机房基础环境及虚拟机操作系统部分的应急安全保障,制定应急处置预案,季度组织应急演练及安全加固,及时发现漏洞并落实整改。发生突发事件时边处置边向领导小组报告;协助其他应急处置执行团队和业务系统主管单位做好安全防护,保障市政务云平台平稳运行。
3、电子政务外网运维团队
责任人:电子政务外网交换中心运维负责人
工作职责:负责政务外网交换中心机房基础环境及网络设备的运维工作,全面梳理市县(区)广域网节点设备、市直城域网节点设备运行状态及性能,检查弱口令以及已知高危端口的封堵情况,保障政务外网和网络设备的稳定运行。
4、安全监测团队
责任人:安全监测团队负责人
工作职责:负责网络流量的日常监控、安全事件的应急响应、紧急事件的处理等。一体化安全运营平台运维团队负责政务外网和政务数据整体安全监测;态势感知平台运维团队负责政务外网侧安全监测;城市大脑安全运营平台运维团队负责互联网侧安全监测;数据安全管控平台运维团队负责政务数据安全监测。
5、市政务云灾备中心运维团队
责任人:市政务云灾备中心运维团队负责人
工作职责:按相关运维合同要求负责灾备中心日常运维和管理工作,发生突发事件时,保障已同城灾备的业务系统及时切换到灾备端并提供运行服务。
五、应急处置预案
突发事件发生时,责任团队第一时间组织运维人员及时处置并向领导小组办公室报告,事后填写《政务外网与政务数据突发安全事件报告单》(见附件1)。领导小组办公室预测事态严重的,及时向领导小组组长报告,根据事态发展情况研究是否向市数管局主要负责同志、网信部门、市政府和省数据局报告,必要时向公安部门报警。
(一)电子政务外网安全应急处置
责任团队:安全监测团队
1.黑客攻击事件
(1)立即报告。当安全监测团队发现有黑客正在进行攻击时,立即告知电子政务外网运维团队。
(2)隔离网络。电子政务外网运维团队负责人接到通知后立即组织安全监测团队和南山政务云运维团队进行溯源排查,定位受害资产位置,第一时间将受害资产从网络中隔离出来,防止攻击扩散,保护现场,并将遭受黑客攻击情况及时告知受害资产主管单位和领导小组办公室。
(3)事件处置。电子政务外网运维团队和南山政务云运维团队配合业务系统主管单位清除恶意代码,修复漏洞,恢复系统正常运行。必要时,使用备份数据恢复。
(4)编写报告。安全监测团队对溯源排查情况进行分析后编写分析报告上报领导小组办公室,领导小组办公室分析事件原因和应急响应效果,定期总结并更新应急预案,改进安全措施。
2.木马、病毒等事件
(1)立即报告。安全监测团队、电子政务外网运维团队、南山政务云运维团队通过态势感知、设备日志分析或用户报告等渠道发现可疑活动,由安全监测团队牵头,各团队立即联动定位受害资产。南山政务云运维团队立即联系受害资产主管单位进一步确认,并初步评估感染范围及影响。
(2)隔离网络。快速评估木马、病毒的影响,采取隔离受感染的资产、可疑IP封禁、对受害资产打快照等临时处置措施防止横向扩散。
(3)确定失陷时间并分析失陷原因。安全监测团队和南山政务云运维团队通过态势感知、平台防火墙、IPS等安全设备日志及受害资产告警最早发生时间、CPU、内存使用率、主机宕机的时间,确认事件发生时间,配合系统主管单位结合服务器类型、中间件、容器、框架、数据库、脚本语言、业务架构等,判断失陷原因。
①文件排查。查看开机启动有无异常文件运行,浏览器浏览痕迹、浏览器下载文件、浏览器cookie信息,根据不同浏览器进行排查。
②进程排查。查看目前的网络连接,定位可疑的ip连接。通过检查任务管理器中正在运行的进程,查看是否有占用内存或者CPU较大的异常进程。
③系统信息排查。系统管理查看当前系统用户的会话,使用queryuser查看当前系统的会话,查看是否有人使用远程终端登录服务器。
④日志排查。通过Windows自带的事件查看器分析安全日志,着重查看是否警告或者登录失败的日志记录。
(4)处置措施。如通过以上方式定位到木马或病毒污染的文件或程序,由系统主管部门使用杀毒软件或手动排查清除木马程序,修复漏洞,恢复系统正常运行;如果无法查杀,提取木马、病毒样本反馈运维服务厂商进行分析处理删除木马;以上措施均无法清除,结合备份数据、重新部署应用程序等方式进行恢复。并输出相应的报告以便后期更好地、有效地处理此类问题事件。
(5)编写报告。安全监测团队对溯源排查情况进行分析后编写分析报告上报领导小组办公室,领导小组办公室分析事件原因和应急响应效果,定期总结并更新应急预案,改进安全措施。
(二)电子政务外网交换中心机房安全应急处置
责任团队:电子政务外网运维团队
为确保电子政务外网交换中心机房的基础环境安全,电子政务外网运维团队按职责要求每日对机房基础设施环境进行不少于3次的检查,涵盖对设备、环境、安全等方面的全面检查。
1、机房停电
电子政务外网运维团队日常运维工作中除定期巡检动力设备运行情况外,季度进行备用电源放电测试,确保备用电源有效工作,应急供电时间不少于2小时(《安徽省电子政务外网网络建设技术指南》(2022年版)要求市级网络核心机房后备电池供电时间≥2小时)。
(1)突发停电事故。电子政务外网运维团队发现或被告知机房突然停电,不清楚具体原因及停电时长。
①电子政务外网运维团队立即联系机关事务处、供电部门确认停电原因及停电时长,并上报领导小组办公室。
②供电恢复时间预测不超出2小时,持续关注设备状态和业务状态,1.5小时仍未恢复供电的,报电子政务外网运维团队负责人协调移动发电设备随时调度。
③供电恢复时间预测超出2小时,立即调度移动发电设备并确保燃料充足。
④当使用备用电源供电时,实时监测设备运行温度,一旦出现温度超阈值情况,进行应急散热处置(冰块、风扇等),必要时按优先级关闭设备。
⑤恢复送电时及时启动设备并进行系统使用验证工作,保证系统正常运行。
⑥备用电源无法保障的极端情况下,电子政务外网运维团队负责人立即上报领导小组办公室,领导小组办公室通过网络、办公系统、电话等发布相关信息,部署应对具体措施,通知电子政务外网接入单位及时保存数据,停止业务。
(2)供电部门计划停电。接到计划停电通知后,电子政务外网运维团队根据停电时长及范围,在停电前对机房供电系统进行全面排查,根据停电时长调度移动发电设备。
①检查UPS、备用电源、移动发电机可用状态,准备充足燃料。
②停电时间在2小时以内,持续关注设备状态和业务状态。
③停电时间超出2小时,启动备用发电机。持续关注设备状态和环境参数,并防止设备出现过热现象。
④当设备出现高温,对设备进行散热处置(冰块、风扇等),必要时按优先级关闭设备。
⑤恢复送电时及时启动设备并进行系统使用验证工作,保证系统正常运行。
(3)交换中心机房发生长时间断电的(不可抗拒因素,供电恢复时间无法预估),领导小组办公室及时联系市机关事务管理处,启动备用电源,保证系统正常运转,特殊情况及时上报应急管理部门。
2、机房漏水
(1)机房渗漏水,第一目击者立即通知电子政务外网运维团队,并及时向运维团队负责人报告。电子政务外网运维团队立即使用备用应急雨布封盖设备、查堵漏水点等确保设备安全,清除机房积水,消除隐患。
(2)空调系统渗漏水,电子政务外网运维团队立即安排停用故障空调,清除机房积水,并及时联系设备供应商处理,同时启动备用空调,必要情况下可临时用电扇对网络设备进行降温。
(3)墙体或窗户渗漏水,电子政务外网运维团队立即采取有效措施确保机房安全,及时清除积水,消除渗漏水隐患。
3、通信网络故障
市电子政务外网分为一、二平面,其中一、二平面流量均采用两家不同运营商链路承载独立运行,城域网核心设备双归上行至一、二平面广域网核心设备,实现业务主备负载保护。电子政务外网运维团队季度组织链路故障应急演练。
(1)发生通信线路中断、网络故障、流量异常等故障后,网络维护人员经初步判断后及时告知电子政务外网运维团队和领导小组办公室。
(2)电子政务外网运维团队立即安排技术人员查清通信网络故障原因、影响范围。
①链路故障。流量自动负载至其他链路,保障业务正常运行。电子政务外网运维团队通过查询路由表、流量转发表及路由协议状态定位故障点,立即通知链路运营商(主用电信、备用移动)修复故障链路,并实时监测正常链路负载情况,如单条链路工作出现拥塞,立即调整QOS策略保障重要业务正常,紧急情况下调度至二平面承载。
②节点故障。该节点下所有业务均中断,电子政务外网运维团队需立即将该节点流量调度至二平面承载,并立即通知链路运营商抢修链路。
(3)电子政务外网建设规范要求一、二平面需放置在不同物理机房且上行链路必须使用两家以上运营商、不同物理路由链路,一旦发生两个平面同时中断情况,电子政务外网运维团队立即组织技术人员进行抢修并上报领导小组办公室,及时修复故障。
(4)应急处置结束后一日内,电子政务外网运维团队将故障分析、后续整改等情况书面报告领导小组。
4、核心设备硬件故障
电子政务外网采用双主集群模式部署,所有核心节点均具备冗余配置。核心硬件设备故障是指设备因硬件损坏、配置错误、环境问题或其他原因,导致其无法正常提供预期功能或性能显著下降的情况。电子政务外网运维团队需加强日常巡检,定期联系设备维保单位进行深度健康巡检,定期组织冗余节点故障演练。
(1)发生核心设备硬件故障后,电子政务外网运维团队及时告知运维团队负责人和领导小组办公室,并组织查找、确定故障设备及故障原因,进行先期处置。
(2)设备出现故障后,运维人员立即检查冗余设备、备用设备是否正常启用,网络是否正常运行,同时将故障设备脱离网络,联系设备维保单位进行故障排除或更换问题设备。
(3)应急处置结束后一日内,电子政务外网运维团队将故障调查、后续整改等情况书面报告领导小组。
5、火灾事故
运维团队应当定期检查机房消防设备(消防栓供水情况、消防带是否破损、消防开关是否锈蚀、消防门是否能正常打开、灭火器压力和灭火器类别等),结合应急演练组织消防演练。
(1)发现火情后,电子政务外网运维团队立即告知领导小组办公室,并迅速组织有关人员赶赴现场,根据现场情况,采取必要的灭火措施。如可以进入机房进行扑救,及时关闭网络设备,断开事故部位电源;如火情特别严重,第一时间断开事故部位电源。
(2)根据火灾情况,如需报警,立即报告消防中心(电话119)。
(3)注意事项:
①火灾事故首要的一条是保护人员安全,扑救要在确保人员不受伤害的前提下进行。
②火灾一发生,电子政务外网运维团队应立即切断电源,备好手电。
③机房发生雷击着火事件后,应先仔细检查设备损坏情况,再进行维修处理。在不能确认其他设备未受到冲击时,不能盲目恢复维修好的设备,以防止事故扩大。
6、设备发生人为损害
运维团队对运维人员做好思想稳定工作,确保运维人员政治素质良好,安心本职工作。落实好双人开锁和双人巡查机房制度。
(1)设备发生人为损害时,电子政务外网运维团队立即告知领导小组办公室,同时保护好现场。
(2)电子政务外网运维团队立即检查网络是否正常运行,若网络异常则先行恢复。
(3)领导小组办公室立即向领导小组组长报告,并核实现场情况,通过日志审计、机房监控等手段定位恶意破坏人员,必要时报警。
(4)电子政务外网运维团队应当积极配合公安部门进行调查。
(5)调查结束后一日内,电子政务外网运维团队将调查情况书面报告领导小组。
(三)市政务云安全应急处置
责任团队:南山政务云数据中心运维团队
1、云平台安全事件。云平台侧应急预案适用于市政务管理云平台、安全资源池、备份一体机及配套的网络设备、安全设备软硬件的安全风险处置。出现异常情况,南山数据中心运维团队立即告知领导小组办公室,并尽快处理故障,恢复业务。南山政务云数据中心运维团队在日常运维时间,定期进行健康巡检,资源池具备足够的备用资源,季度组织主备链路、主备设备、云主机高可靠性演练。
(1)在故障发生时,南山数据中心运维团队遵循“先疏通,后排障;先抢通,后处理”的基本原则。首先判明故障所属物理、虚拟设备,尽快在有空闲资源的物理设备上重启虚拟设备恢复业务。
(2)遵循“先虚拟设备、后物理设备”的原则,按照承载业务的部署方式,查清故障位置。
(3)必须对现场各种告警信息、故障显示、故障记录报告等进行认真分析处理,并严格按照各设备厂商提供的故障诊断手册、设备操作手册等规定的命令和操作方法进行处理。
2、云租户安全事件。当故障是由承载的业务自有故障引起时,由业务系统主管单位负责处理,南山政务云数据中心运维团队积极配合。
(1)立即报告。当南山政务云数据中心运维团队发现云服务异常或用户反馈业务问题时,第一时间告知领导小组办公室,必要时与业务系统主管单位联系后采取租户隔离等临时处置措施。
(2)分析溯源。南山政务云数据中心运维团队立即协同业务系统主管单位进行溯源排查,从网络流量、系统和IPS日志记录、桌面日志等判断安全事件类型。
(3)故障处置。针对安全事件来源,对故障进行诊断、分析和解决,并及时将故障处理进展情况告知领导小组办公室。
(4)系统恢复。故障解决后,南山政务云数据中心运维团队配合业务系统安全团队、业务系统主管单位尽快恢复相关业务系统。
(5)安全加固。南山政务云数据中心运维团队对发现的安全漏洞同步汇报领导小组办公室及业务系统主管单位,配合业务系统主管单位进行安全加固,消除安全隐患。
(6)编写报告。应急处置结束后一日内,南山政务云数据中心运维团队将事发经过、造成影响、处置结果等情况书面报告领导小组。
3、云基础环境异常。南山政务云数据中心运维团队负责南山数据中心机房的电力、空调、消防、安全等环境设施保障工作。
(1)立即报告。当南山政务云数据中心运维团队发现基础设施环境异常时,在故障发生5分钟内将初步分析的影响范围及程度报领导小组办公室。
(2)启动预案。南山政务云数据中心运维团队立即启动动环专业应急预案,对预案执行情况进行跟踪,15分钟内确定影响范围和程度,并及时告知领导小组办公室。
(3)紧急调度。南山政务云数据中心运维团队立即启动备用设备、冗余设施保障业务正常运行,若短时间无法解决故障应告知领导小组办公室。领导小组办公室及时通知业务系统主管单位停止业务,对重要数据进行备份。
(4)故障处置。南山政务云数据中心运维团队针对故障来源,对云基础环境进行诊断、分析和解决,并及时将故障处理进展情况告知领导小组办公室。
(5)系统恢复。故障解决后,南山政务云数据中心运维团队配合业务系统安全团队、业务系统主管单位尽快恢复相关业务系统。
(6)编写报告。应急处置结束后一日内,南山政务云数据中心运维团队将障碍事故调查、后续整改等情况书面报告领导小组。
4、同城双活应急调度。当发生云平台安全事件、云租户安全事件、云基础环境异常等导致已同城灾备的业务系统在市政务云生产环境发生宕机事件且无法立即恢复时,经研判启动同城双活应急调度。
(1)决策阶段。已同城灾备的业务系统发生宕机时,南山政务云数据中心运维团队上报领导小组办公室,决策是否切换至灾备端。
(2)切换阶段。市政务云灾备中心运维团队执行业务系统由生产端切换至灾备端工作,业务系统安全团队和南山政务云数据中心运维团队配合验证灾备端业务系统是否正常运行。
(3)回切阶段。业务系统生产端恢复正常后,由市政务云灾备中心运维团队执行业务系统由灾备端切换至生产端及数据同步工作,业务系统安全团队和南山政务云数据中心运维团队配合验证生产端业务系统是否正常运行。
(4)编写报告。根据业务系统切换情况编写详实报告,充分报告过程情况,若存在问题,进行详细描述及并制定下一步改进措施。
六、附则
(一)本预案由市数管局基础设施安全科制订,并根据形势发展变化及时进行修订完善,报市数管局网络安全与信息化领导小组批准后实施。
(二)有关法律、法规、规章、标准发送变化时;市电子政务外网与政务数据安全应急处置工作领导小组职责发生重大调整时;当突发事件风险发生重大变化时;有上述情形之一的,及时修订预案。
本预案自印发之日起实施。
2025年2月26日
皖公网安备 34150102000050号