計(jì)算機(jī)信息系統(tǒng)損害事件應(yīng)急預(yù)案

計(jì)算機(jī)信息系統(tǒng)損害事件應(yīng)急預(yù)案1

大事定義及分級(jí)1.1

定義計(jì)算機(jī)信息系統(tǒng)損害大事系指管理處計(jì)算機(jī)信息系統(tǒng)及相關(guān)通信網(wǎng)絡(luò)患病黑客惡意攻擊、大規(guī)模計(jì)算機(jī)病毒攻擊、人為破壞、自然災(zāi)難破壞或其它不行抗力影響，引發(fā)多地點(diǎn)基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)、網(wǎng)站癱瘓，導(dǎo)致關(guān)鍵業(yè)務(wù)中斷或重要信息丟失、泄密，造成或可能造成較大經(jīng)濟(jì)損失或嚴(yán)峻社會(huì)影響的大事。1.2

分級(jí)依據(jù)計(jì)算機(jī)信息系統(tǒng)損害災(zāi)難大事的性質(zhì)、危害程度、波及范圍，可以將其劃分為兩級(jí)：管道分公司及以上級(jí)、管理處級(jí)。1.2.1管道分公司及以上級(jí)計(jì)算機(jī)信息系統(tǒng)損害災(zāi)難大事（1）SCADA系統(tǒng)被惡意攻擊、修改或破壞，導(dǎo)致規(guī)律掌握紊亂，造成系統(tǒng)癱瘓、數(shù)據(jù)丟失、掌握失靈，嚴(yán)峻影響平安生產(chǎn)的大事；（2）主要通信系統(tǒng)損壞，造成SCADA系統(tǒng)無法運(yùn)行的大事；（3）因計(jì)算機(jī)信息系統(tǒng)設(shè)備、軟件故障，造成SCADA系統(tǒng)、OA系統(tǒng)、ERP系統(tǒng)、財(cái)務(wù)管理信息系統(tǒng)、平安信息管理系統(tǒng)等主要計(jì)算機(jī)信息系統(tǒng)大面積癱瘓，嚴(yán)峻影響平安生產(chǎn)、造成公司重大經(jīng)濟(jì)損失或重要信息被泄露的大事；（5）公司大部分辦公電腦被黑客攻擊中毒或網(wǎng)絡(luò)癱瘓無法正常辦公的大事；（6）其它經(jīng)管道分公司應(yīng)急指揮中心危害分析、風(fēng)險(xiǎn)評(píng)估后認(rèn)為屬于管道分公司級(jí)（Ⅱ級(jí)）大事的計(jì)算機(jī)信息系統(tǒng)損害大事。1.2.2

管理處級(jí)計(jì)算機(jī)信息系統(tǒng)損害災(zāi)難大事（1）因計(jì)算機(jī)信息系統(tǒng)設(shè)備、軟件故障，造成SCADA系統(tǒng)規(guī)律掌握紊亂，但可通過切斷與第三方設(shè)備通信方式解決，不會(huì)造成整個(gè)SCADA系統(tǒng)故障的大事；（2）因通信故障或計(jì)算機(jī)軟件故障，僅影響部分站控系統(tǒng)運(yùn)行或RTU閥室上傳信號(hào)，不造成掌握紊亂的大事；（3）通信網(wǎng)絡(luò)、主機(jī)、服務(wù)器信息系統(tǒng)軟、硬件損壞，對(duì)平安生產(chǎn)和重要業(yè)務(wù)造成稍微影響，但可在短時(shí)間內(nèi)進(jìn)行恢復(fù)的大事；（4）局域網(wǎng)內(nèi)多臺(tái)辦公電腦同時(shí)中毒，已影響到正常辦公，但可通過殺毒、重新安裝系統(tǒng)、更換軟件等方式準(zhǔn)時(shí)解決的大事；（5）管理處網(wǎng)頁被惡意攻擊、修改，散布反動(dòng)言論、不良信息的大事；（6）其它經(jīng)危害分析、風(fēng)險(xiǎn)評(píng)估后認(rèn)為屬于管理處級(jí)（Ⅱ級(jí)）大事的計(jì)算機(jī)信息系統(tǒng)損害大事。2

應(yīng)急報(bào)告2.1

報(bào)告程序大事發(fā)生時(shí)，根據(jù)總體預(yù)案中5.1條規(guī)定的程序報(bào)告。2.2

報(bào)告內(nèi)容2.2.1

計(jì)算機(jī)信息系統(tǒng)損害大事發(fā)生時(shí)，應(yīng)馬上向管理處應(yīng)急值班室、管道分公司應(yīng)急指揮中心辦公室報(bào)告，報(bào)告應(yīng)包括但不限于以下內(nèi)容：（（1）大事發(fā)生的時(shí)間、地點(diǎn)和部位、設(shè)備設(shè)施名稱等；（2）大事發(fā)生過程；（3）損害程度及影響范圍；（4）已實(shí)行的應(yīng)急措施；（5）救援要求；（6）報(bào)告人的姓名、職務(wù)和聯(lián)系方式。2.2.2

在大事處置過程中，各單位、了解事態(tài)進(jìn)展?fàn)顩r，隨時(shí)用電話、傳真等方式跟進(jìn)報(bào)告，報(bào)告應(yīng)包括但不限于以下內(nèi)容，報(bào)告應(yīng)包括但不限于表11.1中的內(nèi)容：表11.1

計(jì)算機(jī)信息系統(tǒng)損害大事應(yīng)急報(bào)告表報(bào)告時(shí)間：年

月

日

時(shí)

分單位名稱報(bào)告人聯(lián)系電話通訊地址傳

真電子郵件發(fā)生平安大事的信息系統(tǒng)基本信息名稱及用途硬件及型號(hào)操作系統(tǒng)數(shù)據(jù)庫應(yīng)用軟件系統(tǒng)平安測(cè)評(píng)□是，已經(jīng)通過平安測(cè)評(píng)

□是，但未通過平安測(cè)評(píng)

□否，未經(jīng)過平安測(cè)評(píng)發(fā)生平安大事的網(wǎng)絡(luò)基本信息網(wǎng)絡(luò)概況：

IP地址段：

網(wǎng)絡(luò)結(jié)構(gòu)：

主要網(wǎng)絡(luò)設(shè)備:

其它：負(fù)責(zé)部門負(fù)責(zé)人信息損害大事的簡(jiǎn)要描述（如以前消失過類似狀況也應(yīng)加以說明）初步判定的大事緣由當(dāng)前實(shí)行的應(yīng)對(duì)措施本次大事的初步影響狀況大事后果□業(yè)務(wù)中斷

□系統(tǒng)破壞

□數(shù)據(jù)丟失

□其它

影響范圍□局部

□大面積

□整個(gè)信息系統(tǒng)

□其它

嚴(yán)峻程度□Ⅰ級(jí)

□Ⅱ級(jí)

□Ⅲ級(jí)

□Ⅳ級(jí)值班電話：

傳真：

電子郵箱E-mail：3

應(yīng)急處置3.1

應(yīng)急行動(dòng)3.1.1

現(xiàn)場(chǎng)應(yīng)急指揮部（1）收集現(xiàn)場(chǎng)信息，核實(shí)現(xiàn)場(chǎng)狀況，依據(jù)現(xiàn)場(chǎng)的變化制定和調(diào)整現(xiàn)場(chǎng)應(yīng)急處置方案，并組織實(shí)施；（2）整合、調(diào)配現(xiàn)場(chǎng)應(yīng)急資源，統(tǒng)一指揮搶險(xiǎn)工作；（3）在應(yīng)急處置中，消失特別準(zhǔn)時(shí)向應(yīng)急指揮中心辦公室匯報(bào)、請(qǐng)示并落實(shí)指令；（4）依據(jù)現(xiàn)場(chǎng)處置需要，懇求應(yīng)急指揮中心辦公室協(xié)調(diào)組織其他應(yīng)急資源；（5）核實(shí)應(yīng)急終止條件并向應(yīng)急指揮中心辦公室請(qǐng)示應(yīng)急終止；（6）完成應(yīng)急指揮中心辦公室交辦的其他任務(wù)。3.1.2

各專業(yè)組3.1.2.1

生產(chǎn)運(yùn)行組（1）跟蹤并具體了解計(jì)算機(jī)信息系統(tǒng)損害大事應(yīng)急處置狀況，準(zhǔn)時(shí)向現(xiàn)場(chǎng)應(yīng)急指揮部、應(yīng)急指揮中心辦公室匯報(bào)、請(qǐng)示并落實(shí)指令；（2）執(zhí)行應(yīng)急指揮中心辦公室制訂的應(yīng)急氣量調(diào)配方案；（3）保持現(xiàn)場(chǎng)與應(yīng)急指揮中心辦公室的聯(lián)絡(luò)；（4）根據(jù)應(yīng)急處置方案，組織實(shí)施SCADA系統(tǒng)、光纜通信系統(tǒng)損害搶險(xiǎn)工作。3.1.2.2

技術(shù)支持組（1）進(jìn)行大事發(fā)生現(xiàn)場(chǎng)數(shù)據(jù)采集；（2）通知相關(guān)專業(yè)化服務(wù)隊(duì)伍趕赴現(xiàn)場(chǎng)進(jìn)行處置；（3）結(jié)合大事發(fā)生現(xiàn)場(chǎng)實(shí)際狀況，組織技術(shù)人員制定或調(diào)整相應(yīng)的應(yīng)急處置方案；（4）根據(jù)應(yīng)急處置方案，組織實(shí)施除SCADA系統(tǒng)、光纜通信系統(tǒng)外的計(jì)算機(jī)信息系統(tǒng)損害搶險(xiǎn)工作。（5）負(fù)責(zé)搶險(xiǎn)作業(yè)中的質(zhì)量監(jiān)督。（6）為搶險(xiǎn)工作供應(yīng)技術(shù)支持；（7）依據(jù)應(yīng)急指揮中心辦公室指令，向相關(guān)部門、單位進(jìn)行求援。3.1.2.3

綜合保障組（1）調(diào)配車輛，馬上將現(xiàn)場(chǎng)應(yīng)急指揮部成員送到現(xiàn)場(chǎng)；（2）確定或搭建現(xiàn)場(chǎng)指揮部臨時(shí)辦公地點(diǎn)，做好交通保障工作；（3）支配食品、飲用水、洗滌用品、急救醫(yī)療用品等生活物資，滿意搶險(xiǎn)人員的生活需要；（4）開展宣揚(yáng)，做好員工和群眾心情穩(wěn)定工作；（5）支配專人對(duì)現(xiàn)場(chǎng)狀況及應(yīng)急過程進(jìn)行錄音、錄像；3.2

現(xiàn)場(chǎng)搶險(xiǎn)措施3.2.1計(jì)算機(jī)信息系統(tǒng)損害大事應(yīng)急處置指導(dǎo)原則（1）堅(jiān)持統(tǒng)一指揮、規(guī)范操作、反應(yīng)快速、處理高效的原則。（2）當(dāng)發(fā)生恐怖攻擊危及到計(jì)算機(jī)信息系統(tǒng)平安時(shí)，應(yīng)依據(jù)當(dāng)時(shí)的實(shí)際狀況，在保障人身平安的前提下，保障數(shù)據(jù)的平安和設(shè)備平安。（3）當(dāng)人為或病毒破壞計(jì)算機(jī)信息系統(tǒng)平安時(shí)，根據(jù)計(jì)算機(jī)信息系統(tǒng)平安大事發(fā)生的性質(zhì)可實(shí)行用隔離故障源、臨時(shí)關(guān)閉故障系統(tǒng)、保留痕跡等措施。3.2.2

計(jì)算機(jī)信息系統(tǒng)損害大事應(yīng)急處置措施（1）大事認(rèn)定和評(píng)估l

收集計(jì)算機(jī)信息平安大事相關(guān)信息，識(shí)別大事類別，推斷破壞的來源與性質(zhì)，確保證據(jù)精確?????，以便縮短應(yīng)急響應(yīng)時(shí)間。l

準(zhǔn)時(shí)檢查威逼造成的結(jié)果，評(píng)估大事帶來的影響和損害。如檢查系統(tǒng)、服務(wù)、數(shù)據(jù)的完整性、保密性或可用性；檢查攻擊者是否侵入了系統(tǒng)；以后是否能再次隨便進(jìn)入；損失的程度；確定暴露出的主要危急等。（2）掌握事態(tài)進(jìn)展實(shí)行各種措施抑制大事的影響進(jìn)一步擴(kuò)大，限制潛在的損失與破壞?？赡艿囊种撇呗砸话惆ǎ簂

關(guān)閉服務(wù)或關(guān)閉全部的系統(tǒng)；l

從網(wǎng)絡(luò)上斷開相關(guān)系統(tǒng)的物理鏈接；l

修改防火墻和路由器的過濾規(guī)章；l

封鎖或刪除被攻破的登錄賬號(hào)，阻斷可疑用戶得以進(jìn)入網(wǎng)絡(luò)的通路；l

提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級(jí)別；l

設(shè)置陷阱；啟用緊急大事下的接管系統(tǒng)；l

實(shí)行特別“防衛(wèi)狀態(tài)”平安警戒；反擊攻擊者的系統(tǒng)等。（3）大事消退l

在事態(tài)得到掌握之后，跟蹤并鎖定破壞來源的IP或其它網(wǎng)絡(luò)用戶信息，通過對(duì)有關(guān)惡意代碼或行為的分析結(jié)果，找出大事根源，明確相應(yīng)的補(bǔ)救措施并徹底清除。l

聯(lián)系執(zhí)法部門和其它相關(guān)機(jī)構(gòu)對(duì)攻擊源進(jìn)行定位并實(shí)行合適的措施將其中斷。（4）系統(tǒng)恢復(fù)l

修復(fù)被破壞的信息、清理系統(tǒng)、恢復(fù)數(shù)據(jù)、程序、服務(wù)，恢復(fù)信息系統(tǒng)；把全部被攻破的系統(tǒng)和網(wǎng)絡(luò)設(shè)備徹底還原到它們正常的任務(wù)狀態(tài)。l

恢復(fù)工作應(yīng)實(shí)行相應(yīng)的平安措施，避開消失操作失誤而導(dǎo)致數(shù)據(jù)丟失。l

假如攻擊者獲得了超級(jí)用戶的訪問權(quán)，一次完整的恢復(fù)應(yīng)強(qiáng)制性地修改全部的口令。l

恢復(fù)工作中假如涉及到涉密數(shù)據(jù)，需遵照涉密系統(tǒng)的恢復(fù)要求。l

對(duì)不同任務(wù)的恢復(fù)工作的擔(dān)當(dāng)單位，要有不同的擔(dān)保。（5）大事追蹤l

親密關(guān)注系統(tǒng)恢復(fù)以后的平安狀況，特殊是曾經(jīng)出問題的地方。l

建立跟蹤文檔，規(guī)范記錄跟蹤結(jié)果。l

對(duì)響應(yīng)效果給出評(píng)估，根據(jù)表11.2的內(nèi)容填寫應(yīng)急總結(jié)并上報(bào)上級(jí)主管部門備案。l

對(duì)進(jìn)入司法程序的大事，進(jìn)行進(jìn)一步的調(diào)查，打擊違法犯罪活動(dòng)。表11.2

計(jì)算機(jī)信息系統(tǒng)損害大事處理結(jié)果應(yīng)急報(bào)告表原大事報(bào)告時(shí)間：

年

月

日

時(shí)

分

備案編號(hào)：

年

月

日

第

號(hào)

總第

號(hào)單位名稱聯(lián)系人聯(lián)系電話通信地址傳

真電子郵件發(fā)生大事的計(jì)算機(jī)信息系統(tǒng)基本信息名稱及用途硬件及型號(hào)操作系統(tǒng)數(shù)據(jù)庫應(yīng)用軟件系統(tǒng)平安測(cè)評(píng)□是，已經(jīng)通過平安測(cè)評(píng)□是，但未通過平安測(cè)評(píng)□否，未經(jīng)過平安測(cè)評(píng)發(fā)生大事的網(wǎng)絡(luò)基本信息網(wǎng)絡(luò)概況：

IP地址段：網(wǎng)絡(luò)結(jié)構(gòu)：主要網(wǎng)絡(luò)設(shè)備:其他：信息系統(tǒng)損害大事的補(bǔ)充描述及最終判定的大事緣由對(duì)本次信息系統(tǒng)損害大事的事后影響狀況大事后果□業(yè)務(wù)中斷

□系統(tǒng)破壞

□數(shù)據(jù)丟失

□其他影響范圍□局部

□大面積

□整個(gè)信息系統(tǒng)

□其他嚴(yán)峻程度□Ⅰ級(jí)

□Ⅱ級(jí)

□Ⅲ級(jí)

□Ⅳ級(jí)本次信息系統(tǒng)損害大事的主要處理過程與結(jié)果（必要時(shí)可附文字、框圖、圖片等材料）針對(duì)此類大事應(yīng)實(shí)行的保障網(wǎng)絡(luò)與信息系統(tǒng)平安的措施和建議

報(bào)告人簽章

值班電話：

傳真：

電子信箱E-mail：4

應(yīng)急終止經(jīng)應(yīng)急處置后，管理處現(xiàn)場(chǎng)應(yīng)急指揮部確認(rèn)下列條件同時(shí)滿意時(shí)可下達(dá)應(yīng)急終止指令：（1）計(jì)算機(jī)信息系統(tǒng)攻擊行為被徹底清除或隔離；（2）計(jì)算機(jī)信息系統(tǒng)恢復(fù)正常；（3）社會(huì)影響減到最小。5

應(yīng)急保障5.1

隊(duì)伍保障江蘇管理處計(jì)算機(jī)信息系統(tǒng)損害大事需要調(diào)用和協(xié)調(diào)的應(yīng)急隊(duì)伍有：（1）管理處修理隊(duì)；（2）各計(jì)算機(jī)信息系統(tǒng)開發(fā)商、中油龍慧、中原通訊公司等相關(guān)專業(yè)化服務(wù)隊(duì)伍。5.2

設(shè)備保障管理處計(jì)算機(jī)信息系統(tǒng)損害大事需要配備的基本應(yīng)急救援設(shè)備有：（1）交通運(yùn)輸類設(shè)備：包括越野車等，用于應(yīng)急人員、傷員、設(shè)備、救援物資的運(yùn)輸。（2）施工類設(shè)備：包括工程搶險(xiǎn)車、光纖熔接機(jī)、光功率檢測(cè)儀、光時(shí)域反射儀、發(fā)電機(jī)、筆記本電腦等，用于計(jì)算機(jī)信息系統(tǒng)的檢測(cè)、修理施工作業(yè)。（3）記錄類設(shè)備