国家税务总局关于做好2009年“两会”期间信息安全保障工作的通知

国家税务总局关于做好2009年“两会”期间信息安全保障工作的通知
（国税办函[2009]97号 2009年2月27日）
各省、自治区、直辖市和计划单列市国家税务局、地方税务局，扬州税务进修学院：
为做好十一届全国人大二次会议和全国政协十一届二次会议（以下简称“两会”）期间的网络与信息安全保障工作，有效防范恶意网络攻击、破坏网络信息系统以及传播非法信息等突发事件的发生。按照税务总局应急保障处置要求，现对网络与信息安全保障工作提出如下要求：
一、高度重视做好“两会”期间信息安全保障工作。自3月3日起至“两会”结束，各单位要充分认识信息安全保障工作的极端重要性，进一步增强大局意识、责任意识，切实把思想认识统一到中央的要求上来，高度警惕和严密防范别有用心的人利用网络恶意炒作社会敏感问题和策划群体性事件，高度警惕和严密防范敌对势力利用网络对我进行意识渗透和反动宣传，高度警惕和严密防范敌对势力利用网络插手我人民内部矛盾和制造事端，高度警惕和严密防范敌对势力利用网络对我进行侦查窃密和攻击破坏活动，坚决防止重大信息安全事故的发生，确保税务系统网络和信息系统运行安全。
二、认真落实信息安全管理责任。各单位要认真借鉴北京奥运会期间信息安全保障工作的经验，进一步加强对“两会”期间信息安全保障工作的组织指导，强化协调配合。要按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”和属地化管理的原则，认真履行安全职责，健全信息安全工作机制，完善信息安全规章制度，加强信息安全技术防范，切实做到领导到位、机构到位、人员到位、责任到位、措施到位。
三、采取有效措施保障信息安全。各单位要在2008年信息安全检查工作的基础上，对信息安全防护措施进行有针对性的评估，认真排查安全隐患和安全漏洞并及时整改，坚决防止“两会”期间面向社会服务的重要信息系统出现重大停机事件，确保各应用系统运行安全。要加强对互联网站的安全管理，以防攻击、防病毒、防篡改、防瘫痪、防窃密为重点，进一步强化和落实安全防范措施。要加强网站信息内容安全管理，严格执行信息发布审核制度，保证发布信息内容的准确性和真实性，确保“两会”期间网站信息内容安全。
四、切实做好信息安全应急工作。各单位要根据本单位的实际情况，进一步熟悉和完善应急预案以及应急协调预案，明确应急处置流程、临机处置权限、通信联络渠道，落实应急技术支撑队伍和应急保障条件，切实把工作做深、做细、做实。有条件的单位要在“两会”前组织开展应急演练，检验应急预案的可操作性，保证相关人员熟悉应急预案，提高应急响应与处置能力。各单位要加强部门之间的协调配合，做到各部门职责明确，应急流程协调，责任落实到人，坚持做到早发现、早报告、早处置、早解决，一旦发生重大网络与信息安全事件，要迅速做好先期处置、情况研判和上报工作。
五、加强对重大安全事件的分析研判和通报工作
“两会”期间，各单位如发生具有一定影响的大范围病毒传播、大规模网络攻击、重大网络运行故障等重大信息安全事件，各单位应立即进行核实、分析事件性质、影响范围、危害后果等，并将有关情况及处置措施在2个小时内向税务总局信息中心进行通报。税务总局信息中心接报后，将视情况上报国家网络与信息安全信息通报中心，并为应急处置工作提供指导和支持。
六、加强“两会”期间值守工作。自3月3日起至“两会”结束，全系统实行24小时值班制度，对互联网网站、三级以上重要信息系统、机房等重要部位实行实时监控。“两会”期间，各地要严格落实每日“零事件”报告制度，坚持做到有情况报情况，无情况报平安，在每天中午12时前向税务总局报告当地前一日0时至24时互联网网站和网络与信息系统安全运行状况（监控内容见附件）。网络与信息系统安全运行状况通过“税务系统网络与信息安全支持网站”的“两会保障专题”栏目上报税务总局。
“两会”期间，各单位应确保通信畅通，如发生重大安全事件，应及时上报税务总局。税务总局联系人：苏屹，电话：010-63417643，13581537598
税务总局值班电话：010-63417675，010-63417620
附件：
网络与信息安全监控内容
本文用于指导监控人员进行税务专网信息安全监控、日志整理和分析、监控报告撰写工作。
一、监控对象
根据网络具体结构，确定日常监控工作所包括的对象，包括主要网络设备、安全设备等，其中网络中的边界防火墙、入侵检测系统（IDS）、网络核心交换机和路由器、防病毒系统等必需纳入监控工作。
二、监控工作内容
1．防火墙监控内容：查看防火墙日志，对防火墙的流量和入侵事件要每日记录并分析，对超常流量和入侵事件要及时通报和响应；
2．入侵检测监控内容：对IDS报警日志要重点监控，高级安全事件要追溯其源地址和目的地址，并分析其危害性；
3．防病毒系统：每日要做病毒数量统计和趋势分析，对新增病毒和高危害型病毒要及时通报，避免其迅速扩散和加大危害性。
4．核心交换机和路由器：对于网络核心交换机和路由器，开启日志记录功能，并定时对日志进行分析，对报警信息要与相关维护人员沟通并解决。
5．其它监控设备可参考以上监控重点。
三、监控方法
(一)防火墙监控
防火墙的监控采用后台管理系统中提供的统计分析工具，对防火墙的流量、安全事件、入侵报警等信息进行日统计，并对比前一日和周平均值，填写监控日报。
监控内容包括：
网络流量是否异常
入侵事件类型及是否有增长趋势
网络协议是否有明显变化
防火墙运行状况
(二)入侵检测系统监控
监控人员定时查看报警事件，根据入侵检测系统报警的安全事件级别，对高级安全事件依据处理流程实时响应和处理，采取行动阻止可能发生的破坏行为。对发现的中、低级安全事件则要重点监视和跟踪。入侵检测系统要进行日统计，并对比前一日和周平均值，填写监控报表。监控内容包括：
日报警事件总量
安全事件的级别、类型的统计和分布
对入侵事件分析，并采取应对手段
(三)网络设备监控
网络设备监控要求启用SNMP网管协议，使用网络性能监控器实时查看一次日志警告信息，并检查网络设备硬件健康状况，填写监控报表。监控工作可以使用SolarWinds Engineers Edition、Orion Network Performance Monitor等网络性能监控工具实现。具体内容包括：
网络设备的CPU、内存、端口运行情况
检查分析网络系统数据的流量和性能
定时分析日志报警信息
监控对象：
内网核心交换机、内网核心路由器
监控方法：
可采用以下任意一种监控方法：
方法1：
通过控制台或远程访问登录到交换机/路由器上，进入“enable”模式，在命令行提示符下输入如下命令：
#show process cpu
记录以下红色字符显示的CPU利用率，填入附录表中：
CPU utilization for five seconds： 0%/0%; one minute： 0%; five minutes： 0%
#show memory
记录显示的内存使用情况，填入附录表中
Head Total(b) Used(b) Free(b) Lowest(b) Largest(b)
Processor # # # #
方法2：
通过集中监控平台，实时查看和记录交换机/路由器的CPU和内容使用情况，并填入附录表中。未建立集中监控平台的，可通过SolarWinds Engineers Edition或Orion Network Performance Monitor搭建临时网络设备监控平台，记录设备性能走势图。
SolarWinds Engineers Edition或Orion Network Performance Monitor系统可使用“Network Performance Monitor”功能，新建设备管理地址和SNMP字符串，将网络设备添加入监控菜单。点击被监控设备，在展开的结构中选取“cpu load and memory use”，依次打开不同的监控窗口，实时监控各端口和网络运行情况。其中，Orion Network Performance Monitor可通过WEB页面监控，并生成监控报表。
(四)防病毒系统监控
监控人员须注意每日监测防病毒系统运行状况和病毒高发状况，在病毒高发危机前，须及时发出病毒防范安全警告，并调整防病毒系统策略，配合相关部门做好病毒预防措施。监控人员根据每日病毒服务器运行状况形成日、周统计报表，内容包括：
日病毒总量，并统计出排名前10的病毒类型、数量和地区
每日病毒类型和数量要进行比较，预测病毒发展趋势
对发现的高危病毒要进行说明，并采用有效防范措施
四、趋势分析
在完成日监控内容后，将根据当日监控情况和前几日安全事件发生的状况，分析网络系统目前的安全状态，预测安全事件的发展趋势，对监控时间段内的总体安全情况进行评价、分析和小结。
五、监控报表
2009年“两会”期间，监控人员每日监控本地区的网络和信息系统安全情况，如实填写监控报表，并每日定时上报。上报具体要求如下：
（一）特殊时期每日上报
1．操作方法
（1）访问并登录 “税务系统信息安全保障支持平台”（内网http：//130.9.1.141）；
（2）点击首页导航栏的“两会保障专题”，进入该模块；
（3）点击“两会保障专题”中的“特殊时期每日上报”，进入该子栏目，点击“新增”；
（4）填写“上报人”、“联系方式”，并选择是否平安，然后点击“保存”。
2．注意事项
用户填报完成并保存后，将不可修改。填报信息如有误，请与总局信息中心安全处联络。
（二）监控事件每日上报
1．操作方法
（1）访问并登录 “税务系统信息安全保障支持平台”（内网http：//130.9.1.141）；
（2）点击首页导航栏的“两会保障专题”，进入该模块；
（3）点击“两会保障专题”中的“监控事件每日上报”，进入该子栏目，点击“新增”，可以进入上报页面；
（4）每个页面可以填写一个设备情况，当前表单填写完毕并确认无误后，点击页面右下角的“保存并填报其他表单”，则当前表单保存，并进入下一表单，直至全部表单填写完毕。如果没有当前设备，请点击页面左下角的“跳过”进入下一张表单。
2．注意事项
（1）“监控事件每日上报”包括多个表单，每个表单均可单独保存；
（2）每个表单一经填报并保存，将不可修改。填报信息如有误，请与总局信息中心安全处联络。
（3）如果想对上次填写过程中跳过的表单进行填写，请点击“两会保障专题”中的“监控事件每日上报”，点击“新增”按钮，跳转到相应设备的表单页面进行填报并保存。