2024年银行网络安全预案

银行通信网络系统应急预案

1事故类型和危害程度分析

1.1编制目的

为有效防止、及肘控制和最大程度地减少本银行由于电力供应、

通信线路以及计算机系统各类突发事件的危害和影响，保证通信网络

系统的安全、稳定运行和业务的持续性，维护正常的经济、生产秩序。

1.2编制根据

《中华人民共和国计算机信息系统安全保护条例》。

《国家突发公共事件总体应急预案》。

《中国人民银行突发事件应急预案管理措施》

《中华人民共和国中国人民银行法》

1.3合用范围

本预案合用于本银行III、IV级应急处理工作和详细响应，I、

II级应急处理工作。

1.4危险源与危害程度分析

由于网络设备或者计算机损坏，导致通信系统无法连接或软件

系统运行中断。

由于外部通信线路被毁导致银行系统使用中断。

由于电力系统故障导致无法正常通信或系统无法正常使用。

由于病毒破坏，导致行内网络瘫痪或软件数据丢失。

由于黑客入侵，导致行内重要信息泄露及通信网络瘫痪。

2应急处置基本原则

2.1统一领导，协同作战。

通信网络系统突发事件应急工作由应急指挥部统一领导和协调，

督促信息中心遵照“统一领导、归口负责、逐层上报、各司其职的原

则协同配合、详细实行，完善应急工作体系和机制。

2.2明确责任，依法规范。

各分行和支行，按照“属地管理、分级响应、及时发现、及时汇

报、及时救治、及时控制”日勺规定，依法对通信网络系统突发事件进

行防备、监测、预警、汇报、响应、指挥和协调、控制。按照“谁主

管、谁负责，谁运行、谁负责”的原则，实行责任制和责任追究制。

2.3防备为主，加强监控。

宣传普及通信网络系统防备知识，贯彻防止为主日勺思想，树立常

备不懈日勺观念，常常性地做好应对突发事件的思想准备、预案准备、

机制准备和工作准备，提高公共防备意识以及基础网络和重要软件系

统日勺信息安全综合保障水平。加强对信息安全隐患日勺平常监测，发现

和防备重大通信网络突发性事件，及时采用有效日勺可控措施，迅速控

制事件影响范围，力争将损失降到最低程度。

3组织机构及职责

通信网络系统应急救援组织机构分为一、二级编制，总行和各分

行设置为应急预案实行的一级应急组织机构，各支行设置为应急计划

实行的二级应急组织机构。

总行通信网络系统应急救援领导小组组长由总行长担任，副组长

为分管通信安全的副行长担任，组员由各部门中层构成。领导小组的

平常办事机构为总行。重要负责协调出现通信网络系统故障后的总体

协调指挥工作，并做好善后处理工作。

各支行应急救援领导小组组长由各支行长担任，不设副组长，组

员由各支行所有组员构成。重要负责通信网络系统发生故障后的及时

处置及上报工作。

4防止与预警

4.1危险源监控

定期定期地检测银行内部通信线路与否顺畅，并运用既有的防火

墙、杀毒软件等技术，加强各通信网络系统的监测和预警工作，深入

提高信息分析能力，加大对网络入侵、病毒破坏、数据库损坏等事件

日勺防备力度，建立信息安全事故汇报制度。

4.2预警行动

二级应急组织机构在接到通信网络系统突发事件汇报后，应当经

初步核算后，将有关状况及时向一级应急组织机构汇报，并深入进行

状况综合，研究分析也许导致损害的程度，提出初步行动对策。一级

应急组织机构视状况召集协调会，决策行动方案，公布指示和命令。

4.3信息汇报程序

发生通信网络系统突发事件时分行或者支行，应当立即对发生

日勺事件进行调查核算、保留有关证据，并在事件被发现或应当被发现

时起2小时内将有关材料报至一级应急指挥部。

报送方式通过联络及电子邮件日勺方式，在整个突发事件处理

过程中，事发单位应及时保持与总行一级应急组织机构的联络。

报送的有关材料应包括事件发生日勺时间、地点、已经导致日勺危

害、事件发生前的操作等。

如遇二级应急组织机构无法及时处理的事件，应立即上报一级

应急组织机构。

5应急处置

5.1响应分级

银行通信网络系统安全事件分级的参照要素包括信息密级、公

众影响、业务影响和资产损失等四项。各参照要素分别阐明如下：

.1信息密级是衡量因信息失窃或泄密所导致的通信网络安全事

件中所波及信息的重要程度的要素；

.2公众影响是衡量通信网络安全事件所导致的负面影响范围和

程度日勺要素；

.3业务影响是衡量通信网络安全事件对事发单位正常业务开展

所导致日勺负面影响程度的要素；

.4资产损失是衡量恢复系统正常运行和消除通信网络安全事件

负面影响所需付出资金代价的要素。

通信网络系统突发事件级别分为四级：一般（IV级）、较大（III

级）、重大（II级）和尤其重大（I级），对应颜色依次为蓝色、黄色、

橙色和红色。

.1IV级：支行局部范围或个人出现并也许导致损害的通信网络

系统安全事件。

.2in级：直属分行日勺网络系统、软件系统、电力系统和通信设

施受到严重破坏或损坏，对分行及下属支行业务导致无法正常运行日勺

通信网络系统安全事件。

.3H级：总行重要信息系统、数据系统，软件系统瘫痪导致业

务中断，纵向或横向延伸也许导致严重影响或较大经济损失的通信网

络系统安全事件。

.4I级：黑客运用网络信息进行有组织的大规模的入侵破坏活

动，或者多种分行，多种支行的基础网络、重要信息系统、多种软件

系统瘫痪，导致业务中断，导致或也许导致巨大经济损失的通信网络

安全事件。

5.2响应程序

发生IV级通信网络系统安全事件后，支行应启动对应预案，并

进行应急处理工作；发生I、n、in级的信息安全突发事件后，上报

一级应急指挥机构，并由其统一布署处理工作。

一级应急组织机构接到汇报后，应当立即会同有关组员或部门

尽快组织技术人员对突发事件性质、级别及启动预案的时机进行评

估。

在决定启动预案后，一级应急组织机构应立即启动应急处理工

作。

事件发生现场应急处理工作机构尽最大也许搜集事件有关信

息，事件类别，确定事件来源，保护证据，以便缩短应急响应时间。

检查突发事件导致的成果，评估事件带来的影响和损害：如检

查系统、服务、数据库日勺完整性、保密性或可用性，检查与否有人侵

入了系统，确定暴露出的重要危险等。

克制事件的影响深入扩大，限制潜在日勺损失与破坏。也许的克

制方略一般包括：关闭服务或关闭所有的系统，从网络上断开有关系

统，修改防火墙和路由器的过滤规则，封锁或删除被攻破日勺登录账号,

阻断可疑顾客进入网络的通路，提高系统或网络行为的监控级别，设

置陷阱，启用紧急事件下的接管系统，实行特殃“防卫状态”安全警

戒，反击袭击者的系统等。

根除。在事件被克制之后，通过对有关恶意代码或行为日勺分析

成果，找出事件本源，明确对应日勺补救措施并彻底清除。

清理系统，恢复数据、程序、服务。把所有被攻破的系统和网

络设备彻底还原到它们正常日勺任务状态。恢复工作应当十分小心，防

止出现误操作导致数据时丢失。假如袭击者获得了超级顾客的访问

权，一次完整的恢复应当强制性地修改所有的口令。

5.3处置措施

行内网站、网页出现非法言论事件紧急处置措施

.1网站、网页由主办部门的值班人员负责随时亲密监视信息内

容O

.2发目前网上出现非法信息时，值班人员应立即向一级应急组

织机构汇报。

.3一级应急组织机构组员追查非法信息来源，并将有关状况向

总行领导汇报，对非法信息采用屏蔽、删除等处置措施。

黑客袭击事件紧急处置措施

.1当有关人员发现网页内容被篡改，或通过入侵检测系统发既

有黑客正在进行袭击银行系统时，应立即向应急组织机构汇报

.2应急指挥中心应在接到告知后首先将被袭击的服务器等设备

从网络中隔离出来，保护现场，并根据实际状况向领导汇报。

.3对现场进行分析，写出分析汇报存档，必要时上报。

.4如系统已经遭受破坏，应急组织机构组员应立即恢复或重建

被袭击或破坏系统，无法立即恢复日勺，应启用应急设备。

大规模病毒事件紧急处置措施

.1当发既有部分网络计算机被感染上病毒后，应立即向应急组

织机构汇报。

.2应急组织机构人员在接到通报后立即赶到现场。

.3对此类设备的硬盘重要数据进行备份。

.4启用反病毒软件对此类计算机进行杀毒处理，同步通过病毒

检测软件对其他机器上行病毒扫描和清除工作。

.5假如现行反病毒软件无法清除该病毒，应通过其他途径处理。

.6假如状况尤其严重，立即将感染病毒日勺机器隔离。

银行业务系统遭破坏性袭击的紧急处置措施

.1业务系统平时必须存有备份，与业务系统相对应日勺数据必须

按容灾备份规定时间隔准时进行备份，并将它们保留于安全处。

.2使用单位一旦发现业务系统出现异常或遭到破坏性袭击，应

立即向应急组织机构汇报。

.3应急组织机构组员检查业务系统的日志等资料，确定异常来

源，并将有关状况向领导汇报。

.4对业务系统遭受破坏尤其严重的，一级应急组织机构在汇报

后有权停止系统的临射运行，查明状况原因后，再恢复业务系统和数

据，无法及时恢复的，应启用备份数据。

分行或支行通信网络中断紧急处置措施

.1应急组织机构平时应准备好网络备用设备，寄存在指定的位

置。

.2接到分行或者支行的通信网络中断突发事件汇报后，一级应

急机构应立即安排人员应判断故障点，查明故障原因，并向总行领导

汇报。

.3如属通信线路故障，应重新安装线路。如自行无法完毕日勺，

请外部单位协助重新安装。

.4如属路由器、互换机等网络设备故障，应立即从指定位置将

备用设备取出接上，并调试畅通。

.5如属路由器、互换机配置文献破坏，应迅速按照规定重新配

置，并调测畅通。

服务器等关键设备损坏的紧急处置措施

.1服务器等关键设备损坏后，应急组织机构人员应立即向总行

领导报并立即查明原因。

.2假如可以自行恢复，应立即用备件替代受损部件，保证各业

务系统不受影响。

.3如不能自行恢复日勺，立即与设备提供商联络，祈求派维护人

员前来维修。

.4假如设备一时不能修复，应向领导汇报并启用应急设备。

电力电缆中断的紧急处置措施

.1各分行或者支行如发现电力电缆出现中断的突发事件后，应

立即向一级应急组织机构汇报并祈求派人维修。

.2一级应急组织机构在接到汇报后，立即派维修人员赶赴现场,

查看电力电缆中断原因并进行维修。

5.3.7.3如属于内部电力设施中断并可以自行修复的，立即进行

维修并做好善后工作。

5.3.7.4假如是由于外部电力线路等原因导致中断的，维修人员

在确认故障原因后及肘向应急组织机构汇报，井向供电部门求援，派

人维修。

计算机硬件或操作系统出现故障的紧急处置措施

.1分行或者支行的个别计算机若发现存在硬件或操作系统故

障，导致无法办理正常业务的，应先判断影响的大小及故障也许的原

因。。

.2如能自行修复的，应立即进行修复并恢复正常业务办理状态，

之后再向应急组织机构汇报阐明状况。

.3如属于自行无法修复的故障，应及时上报应急组织机构，一

级应急组织机构在接到汇报后，立即派维修人员赶赴现场，排除故障,

属于硬件损坏的，更换硬件设备；属于操作系统故障的，备份硬盘数

据库重新安装操作系统，并恢复到业务系统正常运行的状态。

5.3.8.4如属于无法维修日勺，应及时上报申请更换计算机。

6保障措施

6.1通信与信息保障

发生通信网络系统突发性事件时，有关人员应采用固定、移

动、互联网等方式进行通信联络。

6.2应急队伍保障

加强信息安全人才培养，强化信息安全宣传教育，建设一支高素

质、高技术的信息安全关键人才和管理队伍，提高全行信息安全防御

意识。大力发展信息安全服务，增强全行应急能力。

6.3应急物资保障

在建设通信网络系统时应事先预留一定的应急设备，在网络系统

或软件系统安全突发公共事件发生时，由一级应急组织机构负责统一

调用。