0.3　应急响应场景三

人员角色如图0-1所示。

0.3.1　事件发现及报告

时间：9:25:00。

门户网站运维工程师收到网站监测系统短信告警，发现门户网站网页被篡改，马上电话报告办公室网站安全管理员。

门户网站运维工程师：“办公室吗？刚收到网站监测系统预警短信，咱们的门户网站页面被篡改了。”

办公室网站安全管理员：“好的，我查实一下。”办公室网站安全管理员立即登录门户网站，确认篡改页面的范围为网站首页，登录发现后台页面正常，并将情况上报给信息中心安全管理员。

办公室网站安全管理员：“信息中心吗？门户网站监测系统短信报警我局门户网站首页被篡改。”

信息中心安全管理员：“好，请密切关注。”信息中心安全管理员登录网站，确认篡改页面的范围为门户网站首页，并第一时间报告信息中心主任。

信息中心安全管理员：“报告主任，门户网站监测系统短信报警门户网站首页被篡改了，经查情况属实。”

信息中心主任：“保存好原始日志，立即进行排查。”

0.3.2　预案启动

时间：9:40:00。

信息中心主任立即报告领导小组组长（省局领导）。

信息中心主任：“局长，门户网站首页于9时25分被黑客篡改，建议召开应急领导小组会议，启动应急预案。”

领导小组组长（省局领导）：“好，马上召开应急领导小组会议，你抓紧召集相关人员到我办公室开会。”

时间：9:45:00。

信息中心主任主持召开网络与信息安全领导小组会议，参加人员为领导小组组长（省局领导）、办公室主任、基层工作处处长、信息中心主任、纳税服务中心主任。

信息中心主任：我局门户网站首页于9时25分被黑客篡改，预计网站4小时内能恢复正常，根据总局相关规定，此次事件等级应定为网络与信息安全四级事件（办公时段业务中断1小时以上4小时以下），建议立即启动四级应急响应综合预案，并同时启动《门户网站系统网页篡改应急处置专项预案》，相关单位应采取以下应急处置。

（1）纳税服务中心马上启动相关专项处置方案，统一编制电话答复和各纳税大厅张贴的文稿内容，做好对纳税人书面和电话的解释工作。

（2）办公室安排门户网站运维公司使用临时服务器替换原服务器，将首页更换成临时告知页面。

（3）信息中心根据《门户网站系统网页篡改应急处置专项预案》着手进行应急处置，迅速查明原因。为避免事态扩大，信息中心网络科负责立即断开门户网站与互联网的链接，并由安全组、网络科、安全公司系统检查事件原因。

（4）基层工作处应密切关注涉税舆情。

领导小组组长（省局领导）：“好，立即启动四级应急综合预案，各部门抓紧分头处置，有情况及时报告。”

0.3.3　应急处置

1. 信息中心

信息中心安全管理员安排网络安全公司，排查事件原因。

信息中心审计员备份网站系统的数据，保留日志文件，为调查取证做准备。网站运维人员将备份数据还原后，发现Web访问日志中存在可执行文件上传请求，确认网站存在上传漏洞，立即修复和加固，并修改了网站后台口令。

网络安全公司驻场人员仔细查勘了网络安全日志，查明事故原因的确为黑客利用门户网站上传漏洞进行了攻击，同时发现网站目录中存在Webshell后门利用程序并立即删除（备份）。

时间：11:20:00，事件处置完毕。

信息中心开始编制相关总结和报告。

2. 纳税服务中心

纳税服务中心主任立即组织人员开会，并启动了《纳税服务应急处置方案》。

纳税服务中心主任：“我局门户网站首页上午9时25分被篡改，门户网站将暂时断网，为消除影响，将采取以下措施，即统一编制对纳税人电话答复的文稿，并要求各局纳税大厅张贴文稿，一定要切实做好对纳税人书面和电话的解释工作。”

纳税服务业务负责人电话通知各分局纳税服务大厅：“因门户网站出现短暂网络问题，门户网站将暂时停止运行，预计4小时内恢复正常。向纳税人统一答复的文稿已通过公文下发，请及时张贴在大厅的显著位置，做好对纳税人的解答工作。”

税务局服务大厅负责人：“好，马上收文件，立即落实。”

时间：10:00:00，各基层分局纳税服务大厅均根据统一要求张贴了公告。

0.3.4　事件升级

时间：11:35:00。

基层工作处舆情管理员通过舆情监控预警系统发现某论坛上出现散播我省地税局门户网站被不法人员篡改的负面报道的帖子，并有截图，立即电话上报信息中心安全管理员。

基层工作处舆情管理员：“信息中心吗？舆情监控预警系统发现某论坛上出现散播我省地税局门户网站被不法人员篡改的留言帖。”

信息中心安全管理员：“好的，请继续密切关注舆情发展情况。”

信息中心安全管理员上报信息中心主任。

信息中心主任将此事上报给领导小组组长（省局领导）。

信息中心主任再次召开领导小组会议：目前门户网站已经恢复正常，但是网上出现了负面的言论，对我局声誉造成一定的影响，因此建议将此次应急事件升级为三级。

建议处置方案如下。

（1）基层工作处立即启动《系统涉税舆情应急预案（试行）》，有效控制或消除负面影响。

（2）网站安全隐患解除后，立即恢复网站正常运行。

（3）12时电话上报总局应急办，着手编写书面报告，应于11时35分前上报完毕。

领导小组组长（省局领导）：“好，同意主任的建议，立即启动三级应急综合预案，各部门抓紧分头处置，有情况及时报告。”

时间：12:00:00。

信息中心主任上报总局应急办：“我局门户网站今早9时25分网页被篡改，我们启动了四级应急综合预案，11时20分网站恢复正常。但在11时35分，某论坛上出现了负面言论，导致事件升级，目前我们已经启动了三级应急综合预案，正在努力消除负面影响。报告完毕。”

总局应急办：“好的，请之后上报书面报告，密切关注事态发展情况。”

0.3.5　后续处置

运维人员已恢复门户网站系统与互联网的连接，并继续对网站页面进行监控。

基层工作处处长主持会议：“今天上午9时25分，我局门户网站首页被黑客篡改，目前网站已经恢复正常，但是上午11时35分网上出现负面言论，对我局声誉造成了一定的影响，必须马上采取措施消除网站负面影响。现启动《系统涉税舆情应急预案（试行）》，请舆情管理员做好应急处置。”

0.3.6　应急结束

4小时后，舆情监控系统未发现有负面信息扩大的情况。

信息中心主任向领导小组组长（省局领导）汇报情况：“目前，门户网站网页篡改的风险已消除，网站服务恢复正常，论坛负面影响已消除，并尚未发现负面舆情扩散情况。建议终止三级应急综合预案。”

领导小组组长（省局领导）：“好，请上报总局应急办申请终止。”

信息中心主任：“报告总局，我局门户网站9时25分发现网页被篡改，11时20分网站已加固，功能恢复正常，目前论坛负面影响已消除，并尚未发现负面舆情扩散情况，建议终止三级应急综合预案。”

总局应急办领导：“同意终止三级应急综合预案。”

应急响应结束，由总局应急办通知全局相关单位和部门，并撰写安全事件调查结果报告，上报总局。同时，根据此次事件对相关预案进行重新评估和修订，并发布更新。