银行网络系统应急预案

1、银行通信网络系统应急预案1 事故类型和危害程度分析1.1 编制目的 为有效预防、及时控制和最大限度地减少本银行由于电力供应、 通信线路以及计算机系统各类突发事件的危害和影响， 确保通信网络 系统的安全、稳定运行和业务的连续性， 维护正常的经济、 生产秩序。1.2 编制依据1.2.1 中华人民共和国计算机信息系统安全保护条例 。1.2.2 国家突发公共事件总体应急预案 。1.2.3 中国人民银行突发事件应急预案管理办法1.2.4 中华人民共和国中国人民银行法1.3 适用范围本预案适用于本银行 III 、IV 级应急处理工作和具体响应， I、II 级应急处理工作。1.4 危险源与危害程度分析1.4

2、.1 由于网络设备或者计算机损坏，造成通信系统无法连接或 软件系统运行中断。1.4.2 由于外部通信线路被毁造成银行系统使用中断。1.4.3 由于电力系统故障造成无法正常通信或系统无法正常使 用。1.4.4 由于病毒破坏，造成行内网络瘫痪或软件数据丢失。1.4.5 由于黑客入侵，造成行内重要信息泄露及通信网络瘫痪。2 应急处置基本原则2.1 统一领导，协同作战。通信网络系统突发事件应急工作由应急指挥部统一领导和协调， 督促信息中心遵照“统一领导、归口负责、逐级上报、各司其职的原 则协同配合、具体实施，完善应急工作体系和机制。2.2 明确责任，依法规范。 各分行和支行，按照“属地管理、分级响应、

3、及时发现、及时报 告、及时救治、及时控制”的要求，依法对通信网络系统突发事件进 行防范、监测、预警、报告、响应、指挥和协调、控制。按照“谁主 管、谁负责，谁运行、谁负责”的原则，实行责任制和责任追究制。2.3 防范为主，加强监控。宣传普及通信网络系统防范知识， 贯彻预防为主的思想， 树立常 备不懈的观念，经常性地做好应对突发事件的思想准备、预案准备、 机制准备和工作准备， 提高公共防范意识以及基础网络和重要软件系 统的信息安全综合保障水平。 加强对信息安全隐患的日常监测， 发现 和防范重大通信网络突发性事件， 及时采取有效的可控措施， 迅速控 制事件影响范围，力争将损失降到最低程度。3 组织机

4、构及职责通信网络系统应急救援组织机构分为一、 二级编制， 总行和各分 行设置为应急预案实施的一级应急组织机构， 各支行设置为应急计划 实施的二级应急组织机构。总行通信网络系统应急救援领导小组组长由总行长担任， 副组长 为分管通信安全的副行长担任， 组员由各部门中层组成。 领导小组的 日常办事机构为总行。 主要负责协调出现通信网络系统故障后的总体 协调指挥工作，并做好善后处理工作。各支行应急救援领导小组组长由各支行长担任， 不设副组长， 组 员由各支行所有成员组成。 主要负责通信网络系统发生故障后的及时处置及上报工作4 预防与预警4.1 危险源监控定期定时地检测银行内部通信线路是否顺畅， 并利用

5、现有的防火 墙、杀毒软件等技术，加强各通信网络系统的监测和预警工作，进一 步提高信息分析能力，加大对网络入侵、病毒破坏、数据库损坏等事 件的防范力度，建立信息安全事故报告制度。4.2 预警行动二级应急组织机构在接到通信网络系统突发事件报告后， 应当经 初步核实后， 将有关情况及时向一级应急组织机构报告， 并进一步进 行情况综合，研究分析可能造成损害的程度，提出初步行动对策。一 级应急组织机构视情况召集协调会， 决策行动方案，发布指示和命令。4.3 信息报告程序4.3.1 发生通信网络系统突发事件的分行或者支行，应当立即对 发生的事件进行调查核实、 保存相关证据， 并在事件被发现或应当被 发现时

6、起 2 小时内将有关材料报至一级应急指挥部。4.3.2 报送方式通过电话联系及电子邮件的方式，在整个突发事 件处理过程中，事发单位应及时保持与总行一级应急组织机构的联 系。4.3.3 报送的有关材料应包括事件发生的时间、地点、已经造成 的危害、事件发生前的操作等。4.3.4 如遇二级应急组织机构无法及时处理的事件，应立即上报 一级应急组织机构。5 应急处置5.1 响应分级5.1.1 银行通信网络系统安全事件分级的参考要素包括信息密 级、公众影响、 业务影响和资产损失等四项。各参考要素分别说明如下：5.1.1.1 信息密级是衡量因信息失窃或泄密所造成的通信网络安 全事件中所涉及信息的重要程度的要

7、素；5.1.1.2 公众影响是衡量通信网络安全事件所造成的负面影响范 围和程度的要素；5.1.1.3 业务影响是衡量通信网络安全事件对事发单位正常业务 开展所造成的负面影响程度的要素；5.1.1.4 资产损失是衡量恢复系统正常运行和消除通信网络安全 事件负面影响所需付出资金代价的要素。5.1.2 通信网络系统突发事件级别分为四级：一般 （IV 级 ）、较大 （III 级）、重大 （II 级）和特别重大 （I 级），对应颜色依次为蓝色、黄色、 橙色和红色。5.1.2.1 IV 级：支行局部范围或个人出现并可能造成损害的通信 网络系统安全事件。5.122皿级：直属分行的网络系统、软件系统、电力系统

8、和通 信设施受到严重破坏或损坏， 对分行及下属支行业务造成无法正常运 营的通信网络系统安全事件。5.1.2.3 II 级：总行重要信息系统、数据系统，软件系统瘫痪导 致业务中断，纵向或横向延伸可能造成严重影响或较大经济损失的通 信网络系统安全事件。5.1.2.4 I 级：黑客利用网络信息进行有组织的大规模的入侵破坏 活动，或者多个分行，多个支行的基础网络、重要信息系统、多个软 件系统瘫痪，导致业务中断， 造成或可能造成巨大经济损失的通信网 络安全事件。5.2 响应程序5.2.1 发生 IV 级通信网络系统安全事件后，支行应启动相应预案，并进行应急处理工作；发生I、II、皿级的信息安全突发事件后

9、，上报一级应急指挥机构，并由其统一部署处理工作。5.2.2 一级应急组织机构接到报告后，应当立即会同相关成员或 部门尽快组织技术人员对突发事件性质、 级别及启动预案的时机进行 评估。5.2.3 在决定启动预案后，一级应急组织机构应立即启动应急处 理工作。5.2.4 事件发生现场应急处理工作机构尽最大可能收集事件相 关信息，事件类别，确定事件来源，保护证据，以便缩短应急响应时 间。5.2.5 检查突发事件造成的结果，评估事件带来的影响和损害： 如检查系统、服务、数据库的完整性、保密性或可用性，检查是否有 人侵入了系统，确定暴露出的主要危险等。5.2.6 抑制事件的影响进一步扩大，限制潜在的损失与

10、破坏。可 能的抑制策略一般包括： 关闭服务或关闭所有的系统， 从网络上断开 相关系统， 修改防火墙和路由器的过滤规则， 封锁或删除被攻破的登 录账号，阻断可疑用户进入网络的通路， 提高系统或网络行为的监控 级别，设置陷阱， 启用紧急事件下的接管系统， 实行特殊“防卫状态” 安全警戒，反击攻击者的系统等。5.2.7 根除。在事件被抑制之后，通过对有关恶意代码或行为的 分析结果，找出事件根源，明确相应的补救措施并彻底清除。5.2.8 清理系统，恢复数据、程序、服务。把所有被攻破的系统 和网络设备彻底还原到它们正常的任务状态。恢复工作应该十分小 心，避免出现误操作导致数据的丢失。 如果攻击者获得了超

11、级用户的 访问权，一次完整的恢复应该强制性地修改所有的口令。5.3 处置措施5.3.1 行内网站、网页出现非法言论事件紧急处置措施5.3.1.1 网站、网页由主办部门的值班人员负责随时密切监视信息内容。5.3.1.2 发现在网上出现非法信息时，值班人员应立即向一级应 急组织机构汇报。5.3.1.3 一级应急组织机构成员追查非法信息来源，并将有关情 况向总行领导汇报，对非法信息采取屏蔽、删除等处置措施。5.3.2 黑客攻击事件紧急处置措施5.3.2.1 当有关人员发现网页内容被篡改，或通过入侵检测系统 发现有黑客正在进行攻击银行系统时，应立即向应急组织机构汇报5.3.2.2 应急指挥中心应在接到

12、通知后首先将被攻击的服务器等 设备从网络中隔离出来，保护现场，并根据实际情况向领导汇报。5.3.2.3 对现场进行分析，写出分析报告存档，必要时上报。5.3.2.4 如系统已经遭受破坏，应急组织机构成员应立即恢复或 重建被攻击或破坏系统，无法立即恢复的，应启用应急设备。5.3.3 大规模病毒事件紧急处置措施5.3.3.1 当发现有部分网络计算机被感染上病毒后，应立即向应 急组织机构报告。5.3.3.2 应急组织机构人员在接到通报后立即赶到现场。5.3.3.3 对此类设备的硬盘重要数据进行备份。5.3.3.4 启用反病毒软件对此类计算机进行杀毒处理，同时通过 病毒检测软件对其他机器进行病毒扫描和

13、清除工作。5.3.3.5 如果现行反病毒软件无法清除该病毒，应通过其他途径 解决。5.3.3.6 如果情况特别严重，立即将感染病毒的机器隔离。5.3.4 银行业务系统遭破坏性攻击的紧急处置措施5.3.4.1 业务系统平时必须存有备份，与业务系统相对应的数据 必须按容灾备份规定的间隔按时进行备份，并将它们保存于安全处。5.3.4.2 使用单位一旦发现业务系统出现异常或遭到破坏性攻击，应立即向应急组织机构报告5.3.4.3 应急组织机构成员检查业务系统的日志等资料，确定异 常来源，并将有关情况向领导汇报。5.3.4.4 对业务系统遭受破坏特别严重的，一级应急组织机构在 汇报后有权停止系统的暂时运行

14、， 查明状况原因后， 再恢复业务系统 和数据，无法及时恢复的，应启用备份数据。5.3.5 分行或支行通信网络中断紧急处置措施5.3.5.1 应急组织机构平时应准备好网络备用设备，存放在指定 的位置。5.3.5.2 接到分行或者支行的通信网络中断突发事件报告后，一 级应急机构应立即安排人员应判断故障点， 查明故障原因， 并向总行 领导汇报。5.3.5.3 如属通信线路故障，应重新安装线路。如自行无法完成 的，请外部单位协助重新安装。5.3.5.4 如属路由器、交换机等网络设备故障，应立即从指定位 置将备用设备取出接上，并调试通畅。5.3.5.5 如属路由器、交换机配置文件破坏，应迅速按照要求重

15、新配置，并调测通畅。5.3.6 服务器等关键设备损坏的紧急处置措施5.3.6.1 服务器等关键设备损坏后，应急组织机构人员应立即向 总行领导报并立即查明原因。5.3.6.2 如果能够自行恢复，应立即用备件替换受损部件，保证 各业务系统不受影响。5.3.6.3 如不能自行恢复的，立即与设备提供商联系，请求派维 护人员前来维修。5.3.6.4 如果设备一时不能修复， 应向领导汇报并启用应急设备。5.3.7 电力电缆中断的紧急处置措施5.3.7.1 各分行或者支行如发现电力电缆出现中断的突发事件 后，应立即向一级应急组织机构报告并请求派人维修。5.3.7.2 一级应急组织机构在接到报告后，立即派维修

16、人员赶赴 现场，查看电力电缆中断原因并进行维修。5.3.7.3 如属于内部电力设施中断并可以自行修复的，立即进行 维修并做好善后工作。5.3.7.4 如果是由于外部电力线路等原因造成中断的，维修人员 在确认故障原因后及时向应急组织机构汇报， 并向供电部门求助， 派 人维修。5.3.8 计算机硬件或操作系统出现故障的紧急处置措施5.3.8.1 分行或者支行的个别计算机若发现存在硬件或操作系统 故障，导致无法办理正常业务的， 应先判断影响的大小及故障可能的 原因。5.3.8.2 如能自行修复的，应立即进行修复并恢复正常业务办理 状态，之后再向应急组织机构报告说明情况。5.3.8.3 如属于自行无法

17、修复的故障， 应及时上报应急组织机构， 一级应急组织机构在接到报告后， 立即派维修人员赶赴现场， 排除故 障，属于硬件损坏的，更换硬件设备；属于操作系统故障的，备份硬 盘数据库重新安装操作系统，并恢复到业务系统正常运行的状态。5.3.8.4 如属于无法维修的，应及时上报申请更换计算机。6 保障措施6.1 通信与信息保障发生通信网络系统突发性事件时， 相关人员应采取固定电话、 移 动电话、互联网等方式进行通信联络。6.2 应急队伍保障加强信息安全人才培养， 强化信息安全宣传教育， 建设一支高素 质、高技术的信息安全核心人才和管理队伍， 提高全行信息安全防御 意识。大力发展信息安全服务，增强全行应急能力。6.3 应急物资保障在建设通信网络系统时应事先预留一定的应急设备， 在网络系统 或软件系统安全突发公共事件发生时， 由一级应急组织机构负责统一 调用。应急物资主要有：应急服务器、应急路由器、应急网络交换机、 应急存储器、应急 UPS7 培训与演练7.1 培训为确保网络安全应急预案有效运行， 行内应定期或不定期地举办 不同层次、 不同类型的培训班或研讨会， 以便不同岗位的应急人员都 能全面熟悉并掌握通信网络安全应急处理的知识和技能。7.2 演练为提高网络系统或软件系统突发事件应急响应水平， 行内应定期 或不定期组织预案演练；检验应急预案各环节之间的通信、协调、指