计算机信息系统损害事件应急预案

计算机信息系统损害事件应急预案1

大事定义及分级1.1

定义计算机信息系统损害大事系指管理处计算机信息系统及相关通信网络患病黑客恶意攻击、大规模计算机病毒攻击、人为破坏、自然灾难破坏或其它不行抗力影响，引发多地点基础网络、重要信息系统、网站瘫痪，导致关键业务中断或重要信息丢失、泄密，造成或可能造成较大经济损失或严峻社会影响的大事。1.2

分级依据计算机信息系统损害灾难大事的性质、危害程度、波及范围，可以将其划分为两级：管道分公司及以上级、管理处级。1.2.1管道分公司及以上级计算机信息系统损害灾难大事（1）SCADA系统被恶意攻击、修改或破坏，导致规律掌握紊乱，造成系统瘫痪、数据丢失、掌握失灵，严峻影响平安生产的大事；（2）主要通信系统损坏，造成SCADA系统无法运行的大事；（3）因计算机信息系统设备、软件故障，造成SCADA系统、OA系统、ERP系统、财务管理信息系统、平安信息管理系统等主要计算机信息系统大面积瘫痪，严峻影响平安生产、造成公司重大经济损失或重要信息被泄露的大事；（5）公司大部分办公电脑被黑客攻击中毒或网络瘫痪无法正常办公的大事；（6）其它经管道分公司应急指挥中心危害分析、风险评估后认为属于管道分公司级（Ⅱ级）大事的计算机信息系统损害大事。1.2.2

管理处级计算机信息系统损害灾难大事（1）因计算机信息系统设备、软件故障，造成SCADA系统规律掌握紊乱，但可通过切断与第三方设备通信方式解决，不会造成整个SCADA系统故障的大事；（2）因通信故障或计算机软件故障，仅影响部分站控系统运行或RTU阀室上传信号，不造成掌握紊乱的大事；（3）通信网络、主机、服务器信息系统软、硬件损坏，对平安生产和重要业务造成稍微影响，但可在短时间内进行恢复的大事；（4）局域网内多台办公电脑同时中毒，已影响到正常办公，但可通过杀毒、重新安装系统、更换软件等方式准时解决的大事；（5）管理处网页被恶意攻击、修改，散布反动言论、不良信息的大事；（6）其它经危害分析、风险评估后认为属于管理处级（Ⅱ级）大事的计算机信息系统损害大事。2

应急报告2.1

报告程序大事发生时，根据总体预案中5.1条规定的程序报告。2.2

报告内容2.2.1

计算机信息系统损害大事发生时，应马上向管理处应急值班室、管道分公司应急指挥中心办公室报告，报告应包括但不限于以下内容：（（1）大事发生的时间、地点和部位、设备设施名称等；（2）大事发生过程；（3）损害程度及影响范围；（4）已实行的应急措施；（5）救援要求；（6）报告人的姓名、职务和联系方式。2.2.2

在大事处置过程中，各单位、了解事态进展状况，随时用电话、传真等方式跟进报告，报告应包括但不限于以下内容，报告应包括但不限于表11.1中的内容：表11.1

计算机信息系统损害大事应急报告表报告时间：年

月

日

时

分单位名称报告人联系电话通讯地址传

真电子邮件发生平安大事的信息系统基本信息名称及用途硬件及型号操作系统数据库应用软件系统平安测评□是，已经通过平安测评

□是，但未通过平安测评

□否，未经过平安测评发生平安大事的网络基本信息网络概况：

IP地址段：

网络结构：

主要网络设备:

其它：负责部门负责人信息损害大事的简要描述（如以前消失过类似状况也应加以说明）初步判定的大事缘由当前实行的应对措施本次大事的初步影响状况大事后果□业务中断

□系统破坏

□数据丢失

□其它

影响范围□局部

□大面积

□整个信息系统

□其它

严峻程度□Ⅰ级

□Ⅱ级

□Ⅲ级

□Ⅳ级值班电话：

传真：

电子邮箱E-mail：3

应急处置3.1

应急行动3.1.1

现场应急指挥部（1）收集现场信息，核实现场状况，依据现场的变化制定和调整现场应急处置方案，并组织实施；（2）整合、调配现场应急资源，统一指挥抢险工作；（3）在应急处置中，消失特别准时向应急指挥中心办公室汇报、请示并落实指令；（4）依据现场处置需要，恳求应急指挥中心办公室协调组织其他应急资源；（5）核实应急终止条件并向应急指挥中心办公室请示应急终止；（6）完成应急指挥中心办公室交办的其他任务。3.1.2

各专业组3.1.2.1

生产运行组（1）跟踪并具体了解计算机信息系统损害大事应急处置状况，准时向现场应急指挥部、应急指挥中心办公室汇报、请示并落实指令；（2）执行应急指挥中心办公室制订的应急气量调配方案；（3）保持现场与应急指挥中心办公室的联络；（4）根据应急处置方案，组织实施SCADA系统、光缆通信系统损害抢险工作。3.1.2.2

技术支持组（1）进行大事发生现场数据采集；（2）通知相关专业化服务队伍赶赴现场进行处置；（3）结合大事发生现场实际状况，组织技术人员制定或调整相应的应急处置方案；（4）根据应急处置方案，组织实施除SCADA系统、光缆通信系统外的计算机信息系统损害抢险工作。（5）负责抢险作业中的质量监督。（6）为抢险工作供应技术支持；（7）依据应急指挥中心办公室指令，向相关部门、单位进行求援。3.1.2.3

综合保障组（1）调配车辆，马上将现场应急指挥部成员送到现场；（2）确定或搭建现场指挥部临时办公地点，做好交通保障工作；（3）支配食品、饮用水、洗涤用品、急救医疗用品等生活物资，满意抢险人员的生活需要；（4）开展宣扬，做好员工和群众心情稳定工作；（5）支配专人对现场状况及应急过程进行录音、录像；3.2

现场抢险措施3.2.1计算机信息系统损害大事应急处置指导原则（1）坚持统一指挥、规范操作、反应快速、处理高效的原则。（2）当发生恐怖攻击危及到计算机信息系统平安时，应依据当时的实际状况，在保障人身平安的前提下，保障数据的平安和设备平安。（3）当人为或病毒破坏计算机信息系统平安时，根据计算机信息系统平安大事发生的性质可实行用隔离故障源、临时关闭故障系统、保留痕迹等措施。3.2.2

计算机信息系统损害大事应急处置措施（1）大事认定和评估l

收集计算机信息平安大事相关信息，识别大事类别，推断破坏的来源与性质，确保证据精确     ，以便缩短应急响应时间。l

准时检查威逼造成的结果，评估大事带来的影响和损害。如检查系统、服务、数据的完整性、保密性或可用性；检查攻击者是否侵入了系统；以后是否能再次随便进入；损失的程度；确定暴露出的主要危急等。（2）掌握事态进展实行各种措施抑制大事的影响进一步扩大，限制潜在的损失与破坏。可能的抑制策略一般包括：l

关闭服务或关闭全部的系统；l

从网络上断开相关系统的物理链接；l

修改防火墙和路由器的过滤规章；l

封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路；l

提高系统或网络行为的监控级别；l

设置陷阱；启用紧急大事下的接管系统；l

实行特别“防卫状态”平安警戒；反击攻击者的系统等。（3）大事消退l

在事态得到掌握之后，跟踪并锁定破坏来源的IP或其它网络用户信息，通过对有关恶意代码或行为的分析结果，找出大事根源，明确相应的补救措施并彻底清除。l

联系执法部门和其它相关机构对攻击源进行定位并实行合适的措施将其中断。（4）系统恢复l

修复被破坏的信息、清理系统、恢复数据、程序、服务，恢复信息系统；把全部被攻破的系统和网络设备彻底还原到它们正常的任务状态。l

恢复工作应实行相应的平安措施，避开消失操作失误而导致数据丢失。l

假如攻击者获得了超级用户的访问权，一次完整的恢复应强制性地修改全部的口令。l

恢复工作中假如涉及到涉密数据，需遵照涉密系统的恢复要求。l

对不同任务的恢复工作的担当单位，要有不同的担保。（5）大事追踪l

亲密关注系统恢复以后的平安状况，特殊是曾经出问题的地方。l

建立跟踪文档，规范记录跟踪结果。l

对响应效果给出评估，根据表11.2的内容填写应急总结并上报上级主管部门备案。l

对进入司法程序的大事，进行进一步的调查，打击违法犯罪活动。表11.2

计算机信息系统损害大事处理结果应急报告表原大事报告时间：

年

月

日

时

分

备案编号：

年

月

日

第

号

总第

号单位名称联系人联系电话通信地址传

真电子邮件发生大事的计算机信息系统基本信息名称及用途硬件及型号操作系统数据库应用软件系统平安测评□是，已经通过平安测评□是，但未通过平安测评□否，未经过平安测评发生大事的网络基本信息网络概况：

IP地址段：网络结构：主要网络设备:其他：信息系统损害大事的补充描述及最终判定的大事缘由对本次信息系统损害大事的事后影响状况大事后果□业务中断

□系统破坏

□数据丢失

□其他影响范围□局部

□大面积

□整个信息系统

□其他严峻程度□Ⅰ级

□Ⅱ级

□Ⅲ级

□Ⅳ级本次信息系统损害大事的主要处理过程与结果（必要时可附文字、框图、图片等材料）针对此类大事应实行的保障网络与信息系统平安的措施和建议

报告人签章

值班电话：

传真：

电子信箱E-mail：4

应急终止经应急处置后，管理处现场应急指挥部确认下列条件同时满意时可下达应急终止指令：（1）计算机信息系统攻击行为被彻底清除或隔离；（2）计算机信息系统恢复正常；（3）社会影响减到最小。5

应急保障5.1

队伍保障江苏管理处计算机信息系统损害大事需要调用和协调的应急队伍有：（1）管理处修理队；（2）各计算机信息系统开发商、中油龙慧、中原通讯公司等相关专业化服务队伍。5.2

设备保障管理处计算机信息系统损害大事需要配备的基本应急救援设备有：（1）交通运输类设备：包括越野车等，用于应急人员、伤员、设备、救援物资的运输。（2）施工类设备：包括工程抢险车、光纤熔接机、光功率检测仪、光时域反射仪、发电机、笔记本电脑等，用于计算机信息系统的检测、修理施工作业。（3）记录类设备