國家稅務(wù)總局關(guān)于做好2009年“兩會”期間信息安全保障工作的通知
（國稅辦函[2009]97號 2009年2月27日）
各省、自治區(qū)、直轄市和計(jì)劃單列市國家稅務(wù)局、地方稅務(wù)局，揚(yáng)州稅務(wù)進(jìn)修學(xué)院：
為做好十一屆全國人大二次會議和全國政協(xié)十一屆二次會議（以下簡稱“兩會”）期間的網(wǎng)絡(luò)與信息安全保障工作，有效防范惡意網(wǎng)絡(luò)攻擊、破壞網(wǎng)絡(luò)信息系統(tǒng)以及傳播非法信息等突發(fā)事件的發(fā)生。按照稅務(wù)總局應(yīng)急保障處置要求，現(xiàn)對網(wǎng)絡(luò)與信息安全保障工作提出如下要求：
一、高度重視做好“兩會”期間信息安全保障工作。自3月3日起至“兩會”結(jié)束，各單位要充分認(rèn)識信息安全保障工作的極端重要性，進(jìn)一步增強(qiáng)大局意識、責(zé)任意識，切實(shí)把思想認(rèn)識統(tǒng)一到中央的要求上來，高度警惕和嚴(yán)密防范別有用心的人利用網(wǎng)絡(luò)惡意炒作社會敏感問題和策劃群體性事件，高度警惕和嚴(yán)密防范敵對勢力利用網(wǎng)絡(luò)對我進(jìn)行意識滲透和反動宣傳，高度警惕和嚴(yán)密防范敵對勢力利用網(wǎng)絡(luò)插手我人民內(nèi)部矛盾和制造事端，高度警惕和嚴(yán)密防范敵對勢力利用網(wǎng)絡(luò)對我進(jìn)行偵查竊密和攻擊破壞活動，堅(jiān)決防止重大信息安全事故的發(fā)生，確保稅務(wù)系統(tǒng)網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)行安全。
二、認(rèn)真落實(shí)信息安全管理責(zé)任。各單位要認(rèn)真借鑒北京奧運(yùn)會期間信息安全保障工作的經(jīng)驗(yàn)，進(jìn)一步加強(qiáng)對“兩會”期間信息安全保障工作的組織指導(dǎo)，強(qiáng)化協(xié)調(diào)配合。要按照“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”和屬地化管理的原則，認(rèn)真履行安全職責(zé)，健全信息安全工作機(jī)制，完善信息安全規(guī)章制度，加強(qiáng)信息安全技術(shù)防范，切實(shí)做到領(lǐng)導(dǎo)到位、機(jī)構(gòu)到位、人員到位、責(zé)任到位、措施到位。
三、采取有效措施保障信息安全。各單位要在2008年信息安全檢查工作的基礎(chǔ)上，對信息安全防護(hù)措施進(jìn)行有針對性的評估，認(rèn)真排查安全隱患和安全漏洞并及時整改，堅(jiān)決防止“兩會”期間面向社會服務(wù)的重要信息系統(tǒng)出現(xiàn)重大停機(jī)事件，確保各應(yīng)用系統(tǒng)運(yùn)行安全。要加強(qiáng)對互聯(lián)網(wǎng)站的安全管理，以防攻擊、防病毒、防篡改、防癱瘓、防竊密為重點(diǎn)，進(jìn)一步強(qiáng)化和落實(shí)安全防范措施。要加強(qiáng)網(wǎng)站信息內(nèi)容安全管理，嚴(yán)格執(zhí)行信息發(fā)布審核制度，保證發(fā)布信息內(nèi)容的準(zhǔn)確性和真實(shí)性，確?！皟蓵逼陂g網(wǎng)站信息內(nèi)容安全。
四、切實(shí)做好信息安全應(yīng)急工作。各單位要根據(jù)本單位的實(shí)際情況，進(jìn)一步熟悉和完善應(yīng)急預(yù)案以及應(yīng)急協(xié)調(diào)預(yù)案，明確應(yīng)急處置流程、臨機(jī)處置權(quán)限、通信聯(lián)絡(luò)渠道，落實(shí)應(yīng)急技術(shù)支撐隊(duì)伍和應(yīng)急保障條件，切實(shí)把工作做深、做細(xì)、做實(shí)。有條件的單位要在“兩會”前組織開展應(yīng)急演練，檢驗(yàn)應(yīng)急預(yù)案的可操作性，保證相關(guān)人員熟悉應(yīng)急預(yù)案，提高應(yīng)急響應(yīng)與處置能力。各單位要加強(qiáng)部門之間的協(xié)調(diào)配合，做到各部門職責(zé)明確，應(yīng)急流程協(xié)調(diào)，責(zé)任落實(shí)到人，堅(jiān)持做到早發(fā)現(xiàn)、早報告、早處置、早解決，一旦發(fā)生重大網(wǎng)絡(luò)與信息安全事件，要迅速做好先期處置、情況研判和上報工作。
五、加強(qiáng)對重大安全事件的分析研判和通報工作
“兩會”期間，各單位如發(fā)生具有一定影響的大范圍病毒傳播、大規(guī)模網(wǎng)絡(luò)攻擊、重大網(wǎng)絡(luò)運(yùn)行故障等重大信息安全事件，各單位應(yīng)立即進(jìn)行核實(shí)、分析事件性質(zhì)、影響范圍、危害后果等，并將有關(guān)情況及處置措施在2個小時內(nèi)向稅務(wù)總局信息中心進(jìn)行通報。稅務(wù)總局信息中心接報后，將視情況上報國家網(wǎng)絡(luò)與信息安全信息通報中心，并為應(yīng)急處置工作提供指導(dǎo)和支持。
六、加強(qiáng)“兩會”期間值守工作。自3月3日起至“兩會”結(jié)束，全系統(tǒng)實(shí)行24小時值班制度，對互聯(lián)網(wǎng)網(wǎng)站、三級以上重要信息系統(tǒng)、機(jī)房等重要部位實(shí)行實(shí)時監(jiān)控?！皟蓵逼陂g，各地要嚴(yán)格落實(shí)每日“零事件”報告制度，堅(jiān)持做到有情況報情況，無情況報平安，在每天中午12時前向稅務(wù)總局報告當(dāng)?shù)厍耙蝗?時至24時互聯(lián)網(wǎng)網(wǎng)站和網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行狀況（監(jiān)控內(nèi)容見附件）。網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行狀況通過“稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全支持網(wǎng)站”的“兩會保障專題”欄目上報稅務(wù)總局。
“兩會”期間，各單位應(yīng)確保通信暢通，如發(fā)生重大安全事件，應(yīng)及時上報稅務(wù)總局。稅務(wù)總局聯(lián)系人：蘇屹，電話：010-63417643，13581537598
稅務(wù)總局值班電話：010-63417675，010-63417620
附件：
網(wǎng)絡(luò)與信息安全監(jiān)控內(nèi)容
本文用于指導(dǎo)監(jiān)控人員進(jìn)行稅務(wù)專網(wǎng)信息安全監(jiān)控、日志整理和分析、監(jiān)控報告撰寫工作。
一、監(jiān)控對象
根據(jù)網(wǎng)絡(luò)具體結(jié)構(gòu)，確定日常監(jiān)控工作所包括的對象，包括主要網(wǎng)絡(luò)設(shè)備、安全設(shè)備等，其中網(wǎng)絡(luò)中的邊界防火墻、入侵檢測系統(tǒng)（IDS）、網(wǎng)絡(luò)核心交換機(jī)和路由器、防病毒系統(tǒng)等必需納入監(jiān)控工作。
二、監(jiān)控工作內(nèi)容
1．防火墻監(jiān)控內(nèi)容：查看防火墻日志，對防火墻的流量和入侵事件要每日記錄并分析，對超常流量和入侵事件要及時通報和響應(yīng)；
2．入侵檢測監(jiān)控內(nèi)容：對IDS報警日志要重點(diǎn)監(jiān)控，高級安全事件要追溯其源地址和目的地址，并分析其危害性；
3．防病毒系統(tǒng)：每日要做病毒數(shù)量統(tǒng)計(jì)和趨勢分析，對新增病毒和高危害型病毒要及時通報，避免其迅速擴(kuò)散和加大危害性。
4．核心交換機(jī)和路由器：對于網(wǎng)絡(luò)核心交換機(jī)和路由器，開啟日志記錄功能，并定時對日志進(jìn)行分析，對報警信息要與相關(guān)維護(hù)人員溝通并解決。
5．其它監(jiān)控設(shè)備可參考以上監(jiān)控重點(diǎn)。
三、監(jiān)控方法
(一)防火墻監(jiān)控
防火墻的監(jiān)控采用后臺管理系統(tǒng)中提供的統(tǒng)計(jì)分析工具，對防火墻的流量、安全事件、入侵報警等信息進(jìn)行日統(tǒng)計(jì)，并對比前一日和周平均值，填寫監(jiān)控日報。
監(jiān)控內(nèi)容包括：
網(wǎng)絡(luò)流量是否異常
入侵事件類型及是否有增長趨勢
網(wǎng)絡(luò)協(xié)議是否有明顯變化
防火墻運(yùn)行狀況
(二)入侵檢測系統(tǒng)監(jiān)控
監(jiān)控人員定時查看報警事件，根據(jù)入侵檢測系統(tǒng)報警的安全事件級別，對高級安全事件依據(jù)處理流程實(shí)時響應(yīng)和處理，采取行動阻止可能發(fā)生的破壞行為。對發(fā)現(xiàn)的中、低級安全事件則要重點(diǎn)監(jiān)視和跟蹤。入侵檢測系統(tǒng)要進(jìn)行日統(tǒng)計(jì)，并對比前一日和周平均值，填寫監(jiān)控報表。監(jiān)控內(nèi)容包括：
日報警事件總量
安全事件的級別、類型的統(tǒng)計(jì)和分布
對入侵事件分析，并采取應(yīng)對手段
(三)網(wǎng)絡(luò)設(shè)備監(jiān)控
網(wǎng)絡(luò)設(shè)備監(jiān)控要求啟用SNMP網(wǎng)管協(xié)議，使用網(wǎng)絡(luò)性能監(jiān)控器實(shí)時查看一次日志警告信息，并檢查網(wǎng)絡(luò)設(shè)備硬件健康狀況，填寫監(jiān)控報表。監(jiān)控工作可以使用SolarWinds Engineers Edition、Orion Network Performance Monitor等網(wǎng)絡(luò)性能監(jiān)控工具實(shí)現(xiàn)。具體內(nèi)容包括：
網(wǎng)絡(luò)設(shè)備的CPU、內(nèi)存、端口運(yùn)行情況
檢查分析網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的流量和性能
定時分析日志報警信息
監(jiān)控對象：
內(nèi)網(wǎng)核心交換機(jī)、內(nèi)網(wǎng)核心路由器
監(jiān)控方法：
可采用以下任意一種監(jiān)控方法：
方法1：
通過控制臺或遠(yuǎn)程訪問登錄到交換機(jī)/路由器上，進(jìn)入“enable”模式，在命令行提示符下輸入如下命令：
#show process cpu
記錄以下紅色字符顯示的CPU利用率，填入附錄表中：
CPU utilization for five seconds： 0%/0%; one minute： 0%; five minutes： 0%
#show memory
記錄顯示的內(nèi)存使用情況，填入附錄表中
Head Total(b) Used(b) Free(b) Lowest(b) Largest(b)
Processor # # # #
方法2：
通過集中監(jiān)控平臺，實(shí)時查看和記錄交換機(jī)/路由器的CPU和內(nèi)容使用情況，并填入附錄表中。未建立集中監(jiān)控平臺的，可通過SolarWinds Engineers Edition或Orion Network Performance Monitor搭建臨時網(wǎng)絡(luò)設(shè)備監(jiān)控平臺，記錄設(shè)備性能走勢圖。
SolarWinds Engineers Edition或Orion Network Performance Monitor系統(tǒng)可使用“Network Performance Monitor”功能，新建設(shè)備管理地址和SNMP字符串，將網(wǎng)絡(luò)設(shè)備添加入監(jiān)控菜單。點(diǎn)擊被監(jiān)控設(shè)備，在展開的結(jié)構(gòu)中選取“cpu load and memory use”，依次打開不同的監(jiān)控窗口，實(shí)時監(jiān)控各端口和網(wǎng)絡(luò)運(yùn)行情況。其中，Orion Network Performance Monitor可通過WEB頁面監(jiān)控，并生成監(jiān)控報表。
(四)防病毒系統(tǒng)監(jiān)控
監(jiān)控人員須注意每日監(jiān)測防病毒系統(tǒng)運(yùn)行狀況和病毒高發(fā)狀況，在病毒高發(fā)危機(jī)前，須及時發(fā)出病毒防范安全警告，并調(diào)整防病毒系統(tǒng)策略，配合相關(guān)部門做好病毒預(yù)防措施。監(jiān)控人員根據(jù)每日病毒服務(wù)器運(yùn)行狀況形成日、周統(tǒng)計(jì)報表，內(nèi)容包括：
日病毒總量，并統(tǒng)計(jì)出排名前10的病毒類型、數(shù)量和地區(qū)
每日病毒類型和數(shù)量要進(jìn)行比較，預(yù)測病毒發(fā)展趨勢
對發(fā)現(xiàn)的高危病毒要進(jìn)行說明，并采用有效防范措施
四、趨勢分析
在完成日監(jiān)控內(nèi)容后，將根據(jù)當(dāng)日監(jiān)控情況和前幾日安全事件發(fā)生的狀況，分析網(wǎng)絡(luò)系統(tǒng)目前的安全狀態(tài)，預(yù)測安全事件的發(fā)展趨勢，對監(jiān)控時間段內(nèi)的總體安全情況進(jìn)行評價、分析和小結(jié)。
五、監(jiān)控報表
2009年“兩會”期間，監(jiān)控人員每日監(jiān)控本地區(qū)的網(wǎng)絡(luò)和信息系統(tǒng)安全情況，如實(shí)填寫監(jiān)控報表，并每日定時上報。上報具體要求如下：
（一）特殊時期每日上報
1．操作方法
（1）訪問并登錄 “稅務(wù)系統(tǒng)信息安全保障支持平臺”（內(nèi)網(wǎng)http：//130.9.1.141）；
（2）點(diǎn)擊首頁導(dǎo)航欄的“兩會保障專題”，進(jìn)入該模塊；
（3）點(diǎn)擊“兩會保障專題”中的“特殊時期每日上報”，進(jìn)入該子欄目，點(diǎn)擊“新增”；
（4）填寫“上報人”、“聯(lián)系方式”，并選擇是否平安，然后點(diǎn)擊“保存”。
2．注意事項(xiàng)
用戶填報完成并保存后，將不可修改。填報信息如有誤，請與總局信息中心安全處聯(lián)絡(luò)。
（二）監(jiān)控事件每日上報
1．操作方法
（1）訪問并登錄 “稅務(wù)系統(tǒng)信息安全保障支持平臺”（內(nèi)網(wǎng)http：//130.9.1.141）；
（2）點(diǎn)擊首頁導(dǎo)航欄的“兩會保障專題”，進(jìn)入該模塊；
（3）點(diǎn)擊“兩會保障專題”中的“監(jiān)控事件每日上報”，進(jìn)入該子欄目，點(diǎn)擊“新增”，可以進(jìn)入上報頁面；
（4）每個頁面可以填寫一個設(shè)備情況，當(dāng)前表單填寫完畢并確認(rèn)無誤后，點(diǎn)擊頁面右下角的“保存并填報其他表單”，則當(dāng)前表單保存，并進(jìn)入下一表單，直至全部表單填寫完畢。如果沒有當(dāng)前設(shè)備，請點(diǎn)擊頁面左下角的“跳過”進(jìn)入下一張表單。
2．注意事項(xiàng)
（1）“監(jiān)控事件每日上報”包括多個表單，每個表單均可單獨(dú)保存；
（2）每個表單一經(jīng)填報并保存，將不可修改。填報信息如有誤，請與總局信息中心安全處聯(lián)絡(luò)。
（3）如果想對上次填寫過程中跳過的表單進(jìn)行填寫，請點(diǎn)擊“兩會保障專題”中的“監(jiān)控事件每日上報”，點(diǎn)擊“新增”按鈕，跳轉(zhuǎn)到相應(yīng)設(shè)備的表單頁面進(jìn)行填報并保存。