國家稅務總局關(guān)于做好2009年“兩會”期間信息安全保障工作的通知
（國稅辦函[2009]97號 2009年2月27日）
各省、自治區(qū)、直轄市和計劃單列市國家稅務局、地方稅務局，揚州稅務進修學院：
為做好十一屆全國人大二次會議和全國政協(xié)十一屆二次會議（以下簡稱“兩會”）期間的網(wǎng)絡(luò)與信息安全保障工作，有效防范惡意網(wǎng)絡(luò)攻擊、破壞網(wǎng)絡(luò)信息系統(tǒng)以及傳播非法信息等突發(fā)事件的發(fā)生。按照稅務總局應急保障處置要求，現(xiàn)對網(wǎng)絡(luò)與信息安全保障工作提出如下要求：
一、高度重視做好“兩會”期間信息安全保障工作。自3月3日起至“兩會”結(jié)束，各單位要充分認識信息安全保障工作的極端重要性，進一步增強大局意識、責任意識，切實把思想認識統(tǒng)一到中央的要求上來，高度警惕和嚴密防范別有用心的人利用網(wǎng)絡(luò)惡意炒作社會敏感問題和策劃群體性事件，高度警惕和嚴密防范敵對勢力利用網(wǎng)絡(luò)對我進行意識滲透和反動宣傳，高度警惕和嚴密防范敵對勢力利用網(wǎng)絡(luò)插手我人民內(nèi)部矛盾和制造事端，高度警惕和嚴密防范敵對勢力利用網(wǎng)絡(luò)對我進行偵查竊密和攻擊破壞活動，堅決防止重大信息安全事故的發(fā)生，確保稅務系統(tǒng)網(wǎng)絡(luò)和信息系統(tǒng)運行安全。
二、認真落實信息安全管理責任。各單位要認真借鑒北京奧運會期間信息安全保障工作的經(jīng)驗，進一步加強對“兩會”期間信息安全保障工作的組織指導，強化協(xié)調(diào)配合。要按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”和屬地化管理的原則，認真履行安全職責，健全信息安全工作機制，完善信息安全規(guī)章制度，加強信息安全技術(shù)防范，切實做到領(lǐng)導到位、機構(gòu)到位、人員到位、責任到位、措施到位。
三、采取有效措施保障信息安全。各單位要在2008年信息安全檢查工作的基礎(chǔ)上，對信息安全防護措施進行有針對性的評估，認真排查安全隱患和安全漏洞并及時整改，堅決防止“兩會”期間面向社會服務的重要信息系統(tǒng)出現(xiàn)重大停機事件，確保各應用系統(tǒng)運行安全。要加強對互聯(lián)網(wǎng)站的安全管理，以防攻擊、防病毒、防篡改、防癱瘓、防竊密為重點，進一步強化和落實安全防范措施。要加強網(wǎng)站信息內(nèi)容安全管理，嚴格執(zhí)行信息發(fā)布審核制度，保證發(fā)布信息內(nèi)容的準確性和真實性，確?！皟蓵逼陂g網(wǎng)站信息內(nèi)容安全。
四、切實做好信息安全應急工作。各單位要根據(jù)本單位的實際情況，進一步熟悉和完善應急預案以及應急協(xié)調(diào)預案，明確應急處置流程、臨機處置權(quán)限、通信聯(lián)絡(luò)渠道，落實應急技術(shù)支撐隊伍和應急保障條件，切實把工作做深、做細、做實。有條件的單位要在“兩會”前組織開展應急演練，檢驗應急預案的可操作性，保證相關(guān)人員熟悉應急預案，提高應急響應與處置能力。各單位要加強部門之間的協(xié)調(diào)配合，做到各部門職責明確，應急流程協(xié)調(diào)，責任落實到人，堅持做到早發(fā)現(xiàn)、早報告、早處置、早解決，一旦發(fā)生重大網(wǎng)絡(luò)與信息安全事件，要迅速做好先期處置、情況研判和上報工作。
五、加強對重大安全事件的分析研判和通報工作
“兩會”期間，各單位如發(fā)生具有一定影響的大范圍病毒傳播、大規(guī)模網(wǎng)絡(luò)攻擊、重大網(wǎng)絡(luò)運行故障等重大信息安全事件，各單位應立即進行核實、分析事件性質(zhì)、影響范圍、危害后果等，并將有關(guān)情況及處置措施在2個小時內(nèi)向稅務總局信息中心進行通報。稅務總局信息中心接報后，將視情況上報國家網(wǎng)絡(luò)與信息安全信息通報中心，并為應急處置工作提供指導和支持。
六、加強“兩會”期間值守工作。自3月3日起至“兩會”結(jié)束，全系統(tǒng)實行24小時值班制度，對互聯(lián)網(wǎng)網(wǎng)站、三級以上重要信息系統(tǒng)、機房等重要部位實行實時監(jiān)控?！皟蓵逼陂g，各地要嚴格落實每日“零事件”報告制度，堅持做到有情況報情況，無情況報平安，在每天中午12時前向稅務總局報告當?shù)厍耙蝗?時至24時互聯(lián)網(wǎng)網(wǎng)站和網(wǎng)絡(luò)與信息系統(tǒng)安全運行狀況（監(jiān)控內(nèi)容見附件）。網(wǎng)絡(luò)與信息系統(tǒng)安全運行狀況通過“稅務系統(tǒng)網(wǎng)絡(luò)與信息安全支持網(wǎng)站”的“兩會保障專題”欄目上報稅務總局。
“兩會”期間，各單位應確保通信暢通，如發(fā)生重大安全事件，應及時上報稅務總局。稅務總局聯(lián)系人：蘇屹，電話：010-63417643，13581537598
稅務總局值班電話：010-63417675，010-63417620
附件：
網(wǎng)絡(luò)與信息安全監(jiān)控內(nèi)容
本文用于指導監(jiān)控人員進行稅務專網(wǎng)信息安全監(jiān)控、日志整理和分析、監(jiān)控報告撰寫工作。
一、監(jiān)控對象
根據(jù)網(wǎng)絡(luò)具體結(jié)構(gòu)，確定日常監(jiān)控工作所包括的對象，包括主要網(wǎng)絡(luò)設(shè)備、安全設(shè)備等，其中網(wǎng)絡(luò)中的邊界防火墻、入侵檢測系統(tǒng)（IDS）、網(wǎng)絡(luò)核心交換機和路由器、防病毒系統(tǒng)等必需納入監(jiān)控工作。
二、監(jiān)控工作內(nèi)容
1．防火墻監(jiān)控內(nèi)容：查看防火墻日志，對防火墻的流量和入侵事件要每日記錄并分析，對超常流量和入侵事件要及時通報和響應；
2．入侵檢測監(jiān)控內(nèi)容：對IDS報警日志要重點監(jiān)控，高級安全事件要追溯其源地址和目的地址，并分析其危害性；
3．防病毒系統(tǒng)：每日要做病毒數(shù)量統(tǒng)計和趨勢分析，對新增病毒和高危害型病毒要及時通報，避免其迅速擴散和加大危害性。
4．核心交換機和路由器：對于網(wǎng)絡(luò)核心交換機和路由器，開啟日志記錄功能，并定時對日志進行分析，對報警信息要與相關(guān)維護人員溝通并解決。
5．其它監(jiān)控設(shè)備可參考以上監(jiān)控重點。
三、監(jiān)控方法
(一)防火墻監(jiān)控
防火墻的監(jiān)控采用后臺管理系統(tǒng)中提供的統(tǒng)計分析工具，對防火墻的流量、安全事件、入侵報警等信息進行日統(tǒng)計，并對比前一日和周平均值，填寫監(jiān)控日報。
監(jiān)控內(nèi)容包括：
網(wǎng)絡(luò)流量是否異常
入侵事件類型及是否有增長趨勢
網(wǎng)絡(luò)協(xié)議是否有明顯變化
防火墻運行狀況
(二)入侵檢測系統(tǒng)監(jiān)控
監(jiān)控人員定時查看報警事件，根據(jù)入侵檢測系統(tǒng)報警的安全事件級別，對高級安全事件依據(jù)處理流程實時響應和處理，采取行動阻止可能發(fā)生的破壞行為。對發(fā)現(xiàn)的中、低級安全事件則要重點監(jiān)視和跟蹤。入侵檢測系統(tǒng)要進行日統(tǒng)計，并對比前一日和周平均值，填寫監(jiān)控報表。監(jiān)控內(nèi)容包括：
日報警事件總量
安全事件的級別、類型的統(tǒng)計和分布
對入侵事件分析，并采取應對手段
(三)網(wǎng)絡(luò)設(shè)備監(jiān)控
網(wǎng)絡(luò)設(shè)備監(jiān)控要求啟用SNMP網(wǎng)管協(xié)議，使用網(wǎng)絡(luò)性能監(jiān)控器實時查看一次日志警告信息，并檢查網(wǎng)絡(luò)設(shè)備硬件健康狀況，填寫監(jiān)控報表。監(jiān)控工作可以使用SolarWinds Engineers Edition、Orion Network Performance Monitor等網(wǎng)絡(luò)性能監(jiān)控工具實現(xiàn)。具體內(nèi)容包括：
網(wǎng)絡(luò)設(shè)備的CPU、內(nèi)存、端口運行情況
檢查分析網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的流量和性能
定時分析日志報警信息
監(jiān)控對象：
內(nèi)網(wǎng)核心交換機、內(nèi)網(wǎng)核心路由器
監(jiān)控方法：
可采用以下任意一種監(jiān)控方法：
方法1：
通過控制臺或遠程訪問登錄到交換機/路由器上，進入“enable”模式，在命令行提示符下輸入如下命令：
#show process cpu
記錄以下紅色字符顯示的CPU利用率，填入附錄表中：
CPU utilization for five seconds： 0%/0%; one minute： 0%; five minutes： 0%
#show memory
記錄顯示的內(nèi)存使用情況，填入附錄表中
Head Total(b) Used(b) Free(b) Lowest(b) Largest(b)
Processor # # # #
方法2：
通過集中監(jiān)控平臺，實時查看和記錄交換機/路由器的CPU和內(nèi)容使用情況，并填入附錄表中。未建立集中監(jiān)控平臺的，可通過SolarWinds Engineers Edition或Orion Network Performance Monitor搭建臨時網(wǎng)絡(luò)設(shè)備監(jiān)控平臺，記錄設(shè)備性能走勢圖。
SolarWinds Engineers Edition或Orion Network Performance Monitor系統(tǒng)可使用“Network Performance Monitor”功能，新建設(shè)備管理地址和SNMP字符串，將網(wǎng)絡(luò)設(shè)備添加入監(jiān)控菜單。點擊被監(jiān)控設(shè)備，在展開的結(jié)構(gòu)中選取“cpu load and memory use”，依次打開不同的監(jiān)控窗口，實時監(jiān)控各端口和網(wǎng)絡(luò)運行情況。其中，Orion Network Performance Monitor可通過WEB頁面監(jiān)控，并生成監(jiān)控報表。
(四)防病毒系統(tǒng)監(jiān)控
監(jiān)控人員須注意每日監(jiān)測防病毒系統(tǒng)運行狀況和病毒高發(fā)狀況，在病毒高發(fā)危機前，須及時發(fā)出病毒防范安全警告，并調(diào)整防病毒系統(tǒng)策略，配合相關(guān)部門做好病毒預防措施。監(jiān)控人員根據(jù)每日病毒服務器運行狀況形成日、周統(tǒng)計報表，內(nèi)容包括：
日病毒總量，并統(tǒng)計出排名前10的病毒類型、數(shù)量和地區(qū)
每日病毒類型和數(shù)量要進行比較，預測病毒發(fā)展趨勢
對發(fā)現(xiàn)的高危病毒要進行說明，并采用有效防范措施
四、趨勢分析
在完成日監(jiān)控內(nèi)容后，將根據(jù)當日監(jiān)控情況和前幾日安全事件發(fā)生的狀況，分析網(wǎng)絡(luò)系統(tǒng)目前的安全狀態(tài)，預測安全事件的發(fā)展趨勢，對監(jiān)控時間段內(nèi)的總體安全情況進行評價、分析和小結(jié)。
五、監(jiān)控報表
2009年“兩會”期間，監(jiān)控人員每日監(jiān)控本地區(qū)的網(wǎng)絡(luò)和信息系統(tǒng)安全情況，如實填寫監(jiān)控報表，并每日定時上報。上報具體要求如下：
（一）特殊時期每日上報
1．操作方法
（1）訪問并登錄 “稅務系統(tǒng)信息安全保障支持平臺”（內(nèi)網(wǎng)http：//130.9.1.141）；
（2）點擊首頁導航欄的“兩會保障專題”，進入該模塊；
（3）點擊“兩會保障專題”中的“特殊時期每日上報”，進入該子欄目，點擊“新增”；
（4）填寫“上報人”、“聯(lián)系方式”，并選擇是否平安，然后點擊“保存”。
2．注意事項
用戶填報完成并保存后，將不可修改。填報信息如有誤，請與總局信息中心安全處聯(lián)絡(luò)。
（二）監(jiān)控事件每日上報
1．操作方法
（1）訪問并登錄 “稅務系統(tǒng)信息安全保障支持平臺”（內(nèi)網(wǎng)http：//130.9.1.141）；
（2）點擊首頁導航欄的“兩會保障專題”，進入該模塊；
（3）點擊“兩會保障專題”中的“監(jiān)控事件每日上報”，進入該子欄目，點擊“新增”，可以進入上報頁面；
（4）每個頁面可以填寫一個設(shè)備情況，當前表單填寫完畢并確認無誤后，點擊頁面右下角的“保存并填報其他表單”，則當前表單保存，并進入下一表單，直至全部表單填寫完畢。如果沒有當前設(shè)備，請點擊頁面左下角的“跳過”進入下一張表單。
2．注意事項
（1）“監(jiān)控事件每日上報”包括多個表單，每個表單均可單獨保存；
（2）每個表單一經(jīng)填報并保存，將不可修改。填報信息如有誤，請與總局信息中心安全處聯(lián)絡(luò)。
（3）如果想對上次填寫過程中跳過的表單進行填寫，請點擊“兩會保障專題”中的“監(jiān)控事件每日上報”，點擊“新增”按鈕，跳轉(zhuǎn)到相應設(shè)備的表單頁面進行填報并保存。