0.3　應急響應場景三

人員角色如圖0-1所示。

0.3.1　事件發現及報告

時間：9:25:00。

門戶網站運維工程師收到網站監測系統短信告警，發現門戶網站網頁被篡改，馬上電話報告辦公室網站安全管理員。

門戶網站運維工程師：“辦公室嗎？剛收到網站監測系統預警短信，咱們的門戶網站頁面被篡改了。”

辦公室網站安全管理員：“好的，我查實一下。”辦公室網站安全管理員立即登錄門戶網站，確認篡改頁面的范圍為網站首頁，登錄發現后臺頁面正常，并將情況上報給信息中心安全管理員。

辦公室網站安全管理員：“信息中心嗎？門戶網站監測系統短信報警我局門戶網站首頁被篡改。”

信息中心安全管理員：“好，請密切關注。”信息中心安全管理員登錄網站，確認篡改頁面的范圍為門戶網站首頁，并第一時間報告信息中心主任。

信息中心安全管理員：“報告主任，門戶網站監測系統短信報警門戶網站首頁被篡改了，經查情況屬實。”

信息中心主任：“保存好原始日志，立即進行排查。”

0.3.2　預案啟動

時間：9:40:00。

信息中心主任立即報告領導小組組長（省局領導）。

信息中心主任：“局長，門戶網站首頁于9時25分被黑客篡改，建議召開應急領導小組會議，啟動應急預案。”

領導小組組長（省局領導）：“好，馬上召開應急領導小組會議，你抓緊召集相關人員到我辦公室開會。”

時間：9:45:00。

信息中心主任主持召開網絡與信息安全領導小組會議，參加人員為領導小組組長（省局領導）、辦公室主任、基層工作處處長、信息中心主任、納稅服務中心主任。

信息中心主任：我局門戶網站首頁于9時25分被黑客篡改，預計網站4小時內能恢復正常，根據總局相關規定，此次事件等級應定為網絡與信息安全四級事件（辦公時段業務中斷1小時以上4小時以下），建議立即啟動四級應急響應綜合預案，并同時啟動《門戶網站系統網頁篡改應急處置專項預案》，相關單位應采取以下應急處置。

（1）納稅服務中心馬上啟動相關專項處置方案，統一編制電話答復和各納稅大廳張貼的文稿內容，做好對納稅人書面和電話的解釋工作。

（2）辦公室安排門戶網站運維公司使用臨時服務器替換原服務器，將首頁更換成臨時告知頁面。

（3）信息中心根據《門戶網站系統網頁篡改應急處置專項預案》著手進行應急處置，迅速查明原因。為避免事態擴大，信息中心網絡科負責立即斷開門戶網站與互聯網的鏈接，并由安全組、網絡科、安全公司系統檢查事件原因。

（4）基層工作處應密切關注涉稅輿情。

領導小組組長（省局領導）：“好，立即啟動四級應急綜合預案，各部門抓緊分頭處置，有情況及時報告。”

0.3.3　應急處置

1. 信息中心

信息中心安全管理員安排網絡安全公司，排查事件原因。

信息中心審計員備份網站系統的數據，保留日志文件，為調查取證做準備。網站運維人員將備份數據還原后，發現Web訪問日志中存在可執行文件上傳請求，確認網站存在上傳漏洞，立即修復和加固，并修改了網站后臺口令。

網絡安全公司駐場人員仔細查勘了網絡安全日志，查明事故原因的確為黑客利用門戶網站上傳漏洞進行了攻擊，同時發現網站目錄中存在Webshell后門利用程序并立即刪除（備份）。

時間：11:20:00，事件處置完畢。

信息中心開始編制相關總結和報告。

2. 納稅服務中心

納稅服務中心主任立即組織人員開會，并啟動了《納稅服務應急處置方案》。

納稅服務中心主任：“我局門戶網站首頁上午9時25分被篡改，門戶網站將暫時斷網，為消除影響，將采取以下措施，即統一編制對納稅人電話答復的文稿，并要求各局納稅大廳張貼文稿，一定要切實做好對納稅人書面和電話的解釋工作。”

納稅服務業務負責人電話通知各分局納稅服務大廳：“因門戶網站出現短暫網絡問題，門戶網站將暫時停止運行，預計4小時內恢復正常。向納稅人統一答復的文稿已通過公文下發，請及時張貼在大廳的顯著位置，做好對納稅人的解答工作。”

稅務局服務大廳負責人：“好，馬上收文件，立即落實。”

時間：10:00:00，各基層分局納稅服務大廳均根據統一要求張貼了公告。

0.3.4　事件升級

時間：11:35:00。

基層工作處輿情管理員通過輿情監控預警系統發現某論壇上出現散播我省地稅局門戶網站被不法人員篡改的負面報道的帖子，并有截圖，立即電話上報信息中心安全管理員。

基層工作處輿情管理員：“信息中心嗎？輿情監控預警系統發現某論壇上出現散播我省地稅局門戶網站被不法人員篡改的留言帖。”

信息中心安全管理員：“好的，請繼續密切關注輿情發展情況。”

信息中心安全管理員上報信息中心主任。

信息中心主任將此事上報給領導小組組長（省局領導）。

信息中心主任再次召開領導小組會議：目前門戶網站已經恢復正常，但是網上出現了負面的言論，對我局聲譽造成一定的影響，因此建議將此次應急事件升級為三級。

建議處置方案如下。

（1）基層工作處立即啟動《系統涉稅輿情應急預案（試行）》，有效控制或消除負面影響。

（2）網站安全隱患解除后，立即恢復網站正常運行。

（3）12時電話上報總局應急辦，著手編寫書面報告，應于11時35分前上報完畢。

領導小組組長（省局領導）：“好，同意主任的建議，立即啟動三級應急綜合預案，各部門抓緊分頭處置，有情況及時報告。”

時間：12:00:00。

信息中心主任上報總局應急辦：“我局門戶網站今早9時25分網頁被篡改，我們啟動了四級應急綜合預案，11時20分網站恢復正常。但在11時35分，某論壇上出現了負面言論，導致事件升級，目前我們已經啟動了三級應急綜合預案，正在努力消除負面影響。報告完畢。”

總局應急辦：“好的，請之后上報書面報告，密切關注事態發展情況。”

0.3.5　后續處置

運維人員已恢復門戶網站系統與互聯網的連接，并繼續對網站頁面進行監控。

基層工作處處長主持會議：“今天上午9時25分，我局門戶網站首頁被黑客篡改，目前網站已經恢復正常，但是上午11時35分網上出現負面言論，對我局聲譽造成了一定的影響，必須馬上采取措施消除網站負面影響。現啟動《系統涉稅輿情應急預案（試行）》，請輿情管理員做好應急處置。”

0.3.6　應急結束

4小時后，輿情監控系統未發現有負面信息擴大的情況。

信息中心主任向領導小組組長（省局領導）匯報情況：“目前，門戶網站網頁篡改的風險已消除，網站服務恢復正常，論壇負面影響已消除，并尚未發現負面輿情擴散情況。建議終止三級應急綜合預案。”

領導小組組長（省局領導）：“好，請上報總局應急辦申請終止。”

信息中心主任：“報告總局，我局門戶網站9時25分發現網頁被篡改，11時20分網站已加固，功能恢復正常，目前論壇負面影響已消除，并尚未發現負面輿情擴散情況，建議終止三級應急綜合預案。”

總局應急辦領導：“同意終止三級應急綜合預案。”

應急響應結束，由總局應急辦通知全局相關單位和部門，并撰寫安全事件調查結果報告，上報總局。同時，根據此次事件對相關預案進行重新評估和修訂，并發布更新。