國家稅務總局關于做好2009年“兩會”期間信息安全保障工作的通知
（國稅辦函[2009]97號 2009年2月27日）
各省、自治區、直轄市和計劃單列市國家稅務局、地方稅務局，揚州稅務進修學院：
為做好十一屆全國人大二次會議和全國政協十一屆二次會議（以下簡稱“兩會”）期間的網絡與信息安全保障工作，有效防范惡意網絡攻擊、破壞網絡信息系統以及傳播非法信息等突發事件的發生。按照稅務總局應急保障處置要求，現對網絡與信息安全保障工作提出如下要求：
一、高度重視做好“兩會”期間信息安全保障工作。自3月3日起至“兩會”結束，各單位要充分認識信息安全保障工作的極端重要性，進一步增強大局意識、責任意識，切實把思想認識統一到中央的要求上來，高度警惕和嚴密防范別有用心的人利用網絡惡意炒作社會敏感問題和策劃群體性事件，高度警惕和嚴密防范敵對勢力利用網絡對我進行意識滲透和反動宣傳，高度警惕和嚴密防范敵對勢力利用網絡插手我人民內部矛盾和制造事端，高度警惕和嚴密防范敵對勢力利用網絡對我進行偵查竊密和攻擊破壞活動，堅決防止重大信息安全事故的發生，確保稅務系統網絡和信息系統運行安全。
二、認真落實信息安全管理責任。各單位要認真借鑒北京奧運會期間信息安全保障工作的經驗，進一步加強對“兩會”期間信息安全保障工作的組織指導，強化協調配合。要按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”和屬地化管理的原則，認真履行安全職責，健全信息安全工作機制，完善信息安全規章制度，加強信息安全技術防范，切實做到領導到位、機構到位、人員到位、責任到位、措施到位。
三、采取有效措施保障信息安全。各單位要在2008年信息安全檢查工作的基礎上，對信息安全防護措施進行有針對性的評估，認真排查安全隱患和安全漏洞并及時整改，堅決防止“兩會”期間面向社會服務的重要信息系統出現重大停機事件，確保各應用系統運行安全。要加強對互聯網站的安全管理，以防攻擊、防病毒、防篡改、防癱瘓、防竊密為重點，進一步強化和落實安全防范措施。要加強網站信息內容安全管理，嚴格執行信息發布審核制度，保證發布信息內容的準確性和真實性，確保“兩會”期間網站信息內容安全。
四、切實做好信息安全應急工作。各單位要根據本單位的實際情況，進一步熟悉和完善應急預案以及應急協調預案，明確應急處置流程、臨機處置權限、通信聯絡渠道，落實應急技術支撐隊伍和應急保障條件，切實把工作做深、做細、做實。有條件的單位要在“兩會”前組織開展應急演練，檢驗應急預案的可操作性，保證相關人員熟悉應急預案，提高應急響應與處置能力。各單位要加強部門之間的協調配合，做到各部門職責明確，應急流程協調，責任落實到人，堅持做到早發現、早報告、早處置、早解決，一旦發生重大網絡與信息安全事件，要迅速做好先期處置、情況研判和上報工作。
五、加強對重大安全事件的分析研判和通報工作
“兩會”期間，各單位如發生具有一定影響的大范圍病毒傳播、大規模網絡攻擊、重大網絡運行故障等重大信息安全事件，各單位應立即進行核實、分析事件性質、影響范圍、危害后果等，并將有關情況及處置措施在2個小時內向稅務總局信息中心進行通報。稅務總局信息中心接報后，將視情況上報國家網絡與信息安全信息通報中心，并為應急處置工作提供指導和支持。
六、加強“兩會”期間值守工作。自3月3日起至“兩會”結束，全系統實行24小時值班制度，對互聯網網站、三級以上重要信息系統、機房等重要部位實行實時監控。“兩會”期間，各地要嚴格落實每日“零事件”報告制度，堅持做到有情況報情況，無情況報平安，在每天中午12時前向稅務總局報告當地前一日0時至24時互聯網網站和網絡與信息系統安全運行狀況（監控內容見附件）。網絡與信息系統安全運行狀況通過“稅務系統網絡與信息安全支持網站”的“兩會保障專題”欄目上報稅務總局。
“兩會”期間，各單位應確保通信暢通，如發生重大安全事件，應及時上報稅務總局。稅務總局聯系人：蘇屹，電話：010-63417643，13581537598
稅務總局值班電話：010-63417675，010-63417620
附件：
網絡與信息安全監控內容
本文用于指導監控人員進行稅務專網信息安全監控、日志整理和分析、監控報告撰寫工作。
一、監控對象
根據網絡具體結構，確定日常監控工作所包括的對象，包括主要網絡設備、安全設備等，其中網絡中的邊界防火墻、入侵檢測系統（IDS）、網絡核心交換機和路由器、防病毒系統等必需納入監控工作。
二、監控工作內容
1．防火墻監控內容：查看防火墻日志，對防火墻的流量和入侵事件要每日記錄并分析，對超常流量和入侵事件要及時通報和響應；
2．入侵檢測監控內容：對IDS報警日志要重點監控，高級安全事件要追溯其源地址和目的地址，并分析其危害性；
3．防病毒系統：每日要做病毒數量統計和趨勢分析，對新增病毒和高危害型病毒要及時通報，避免其迅速擴散和加大危害性。
4．核心交換機和路由器：對于網絡核心交換機和路由器，開啟日志記錄功能，并定時對日志進行分析，對報警信息要與相關維護人員溝通并解決。
5．其它監控設備可參考以上監控重點。
三、監控方法
(一)防火墻監控
防火墻的監控采用后臺管理系統中提供的統計分析工具，對防火墻的流量、安全事件、入侵報警等信息進行日統計，并對比前一日和周平均值，填寫監控日報。
監控內容包括：
網絡流量是否異常
入侵事件類型及是否有增長趨勢
網絡協議是否有明顯變化
防火墻運行狀況
(二)入侵檢測系統監控
監控人員定時查看報警事件，根據入侵檢測系統報警的安全事件級別，對高級安全事件依據處理流程實時響應和處理，采取行動阻止可能發生的破壞行為。對發現的中、低級安全事件則要重點監視和跟蹤。入侵檢測系統要進行日統計，并對比前一日和周平均值，填寫監控報表。監控內容包括：
日報警事件總量
安全事件的級別、類型的統計和分布
對入侵事件分析，并采取應對手段
(三)網絡設備監控
網絡設備監控要求啟用SNMP網管協議，使用網絡性能監控器實時查看一次日志警告信息，并檢查網絡設備硬件健康狀況，填寫監控報表。監控工作可以使用SolarWinds Engineers Edition、Orion Network Performance Monitor等網絡性能監控工具實現。具體內容包括：
網絡設備的CPU、內存、端口運行情況
檢查分析網絡系統數據的流量和性能
定時分析日志報警信息
監控對象：
內網核心交換機、內網核心路由器
監控方法：
可采用以下任意一種監控方法：
方法1：
通過控制臺或遠程訪問登錄到交換機/路由器上，進入“enable”模式，在命令行提示符下輸入如下命令：
#show process cpu
記錄以下紅色字符顯示的CPU利用率，填入附錄表中：
CPU utilization for five seconds： 0%/0%; one minute： 0%; five minutes： 0%
#show memory
記錄顯示的內存使用情況，填入附錄表中
Head Total(b) Used(b) Free(b) Lowest(b) Largest(b)
Processor # # # #
方法2：
通過集中監控平臺，實時查看和記錄交換機/路由器的CPU和內容使用情況，并填入附錄表中。未建立集中監控平臺的，可通過SolarWinds Engineers Edition或Orion Network Performance Monitor搭建臨時網絡設備監控平臺，記錄設備性能走勢圖。
SolarWinds Engineers Edition或Orion Network Performance Monitor系統可使用“Network Performance Monitor”功能，新建設備管理地址和SNMP字符串，將網絡設備添加入監控菜單。點擊被監控設備，在展開的結構中選取“cpu load and memory use”，依次打開不同的監控窗口，實時監控各端口和網絡運行情況。其中，Orion Network Performance Monitor可通過WEB頁面監控，并生成監控報表。
(四)防病毒系統監控
監控人員須注意每日監測防病毒系統運行狀況和病毒高發狀況，在病毒高發危機前，須及時發出病毒防范安全警告，并調整防病毒系統策略，配合相關部門做好病毒預防措施。監控人員根據每日病毒服務器運行狀況形成日、周統計報表，內容包括：
日病毒總量，并統計出排名前10的病毒類型、數量和地區
每日病毒類型和數量要進行比較，預測病毒發展趨勢
對發現的高危病毒要進行說明，并采用有效防范措施
四、趨勢分析
在完成日監控內容后，將根據當日監控情況和前幾日安全事件發生的狀況，分析網絡系統目前的安全狀態，預測安全事件的發展趨勢，對監控時間段內的總體安全情況進行評價、分析和小結。
五、監控報表
2009年“兩會”期間，監控人員每日監控本地區的網絡和信息系統安全情況，如實填寫監控報表，并每日定時上報。上報具體要求如下：
（一）特殊時期每日上報
1．操作方法
（1）訪問并登錄 “稅務系統信息安全保障支持平臺”（內網http：//130.9.1.141）；
（2）點擊首頁導航欄的“兩會保障專題”，進入該模塊；
（3）點擊“兩會保障專題”中的“特殊時期每日上報”，進入該子欄目，點擊“新增”；
（4）填寫“上報人”、“聯系方式”，并選擇是否平安，然后點擊“保存”。
2．注意事項
用戶填報完成并保存后，將不可修改。填報信息如有誤，請與總局信息中心安全處聯絡。
（二）監控事件每日上報
1．操作方法
（1）訪問并登錄 “稅務系統信息安全保障支持平臺”（內網http：//130.9.1.141）；
（2）點擊首頁導航欄的“兩會保障專題”，進入該模塊；
（3）點擊“兩會保障專題”中的“監控事件每日上報”，進入該子欄目，點擊“新增”，可以進入上報頁面；
（4）每個頁面可以填寫一個設備情況，當前表單填寫完畢并確認無誤后，點擊頁面右下角的“保存并填報其他表單”，則當前表單保存，并進入下一表單，直至全部表單填寫完畢。如果沒有當前設備，請點擊頁面左下角的“跳過”進入下一張表單。
2．注意事項
（1）“監控事件每日上報”包括多個表單，每個表單均可單獨保存；
（2）每個表單一經填報并保存，將不可修改。填報信息如有誤，請與總局信息中心安全處聯絡。
（3）如果想對上次填寫過程中跳過的表單進行填寫，請點擊“兩會保障專題”中的“監控事件每日上報”，點擊“新增”按鈕，跳轉到相應設備的表單頁面進行填報并保存。