网络应急预案.doc

镇雄供电有限公司镇雄供电有限公司 网络与信息安全应急预案网络与信息安全应急预案 编制部门 镇雄供电有限公司生产技术部 颁布日期 修订日期 I 目录目录 1 1总总 则则 1 1 1编制目的 1 1 2编制依据 1 1 3适用范围 1 1 4工作原则 1 1 5与其他预案的关系 2 2 2风险与资源分析风险与资源分析 2 2 1风险分析 2 2 2资源分析 3 3 3突发事件分级突发事件分级 3 3 1一级事件 3 3 2二级事件 3 4 4组织机构及职责组织机构及职责 3 4 1应急机构设置 3 4 2应急工作小组职责 4 5 5预防与预警预防与预警 4 5 1预警分级 4 5 2预警监测 5 5 3预警发布与行动 5 5 4预警调整与解除 6 6 6应急响应与处置应急响应与处置 7 6 1应急响应分级 7 6 2信息报告 9 6 3响应程序 11 6 4应急结束 13 6 5信息发布 13 6 6后期处置 14 7 7应急保障应急保障 14 7 1应急队伍 14 7 2应急物资与装备 14 7 3通信与信息 14 7 4经费 15 7 5其他 15 8 8附则附则 15 8 1应急培训 15 8 2预案演练 15 8 3预案备案 15 8 4维护和更新 15 8 5制定与解释 16 8 6实施时间 16 9 9附件附件 16 附件附件 17 附件 1预警信息通报单 17 II 附件 2预警发布单 18 附件 3网络与信息安全事故初始信息报告流程图 19 附件 4网络与信息安全事故应急信息报告单 20 附件 5镇雄供电有限公司网络与信息安全事故预警响应范围调整单 23 附件 6镇雄供电有限公司网络与信息安全事故预警解除单 24 附件 7网络与信息安全应急预案应急响应流程图 26 附件 8预案启动样本 27 附件 9预案解除样本 28 附件 10镇雄供电有限公司网络架构建设拓扑图 29 1 1总 则 1 1编制目的 为了保证镇雄供电有限公司网络与信息系统因突发事件 自然灾害等的安全 稳定运行 保障 网络系统 主营业务系统和数据系统的正常运转 减少因各类网络与信息突发事件造成的损失和影 响 建立网络与信息系统紧急情况下有效的应急机制 结合镇雄供电有限公司工作实际制定本预案 1 2编制依据 本预案依据以下规章制度和应急预案编制 1 云南电网公司网络与信息安全应急预案 2 镇雄供电有限公司突发事件总体应急预案 3 镇雄供电有限公司应急管理工作规定 4 镇雄供电有限公司突发事件信息管理办法 5 镇雄供电有限公司突发事件应急响应分级标准 1 3适用范围 本预案适用于镇雄供电有限公司网络与信息安全应急响应工作 当网络与信息系统发生突发事 件达到 级及以上响应标准时 启动本预案 本预案启动后 与镇雄供电有限公司上级单位信息安全应急预案相冲突的 按上级部门预案执 行 1 4工作原则 1 统一指挥 协调配合 在应急指挥机构的统一指挥 调配下 各应急力量快速就位 快 速地开展网络与信息安全事故应急处置行动 督促相关部门遵照 统一领导 分级负责 各司其职 协调配合 的原则协同配合 开展应急工作 2 快速行动 有序处置 发生网络与信息安全突发事件时 要按照处置优先 快速反应的 机制 及时获取充分而准确的信息 跟踪研判 果断决策 充分利用现有网络与信息安全应急设施 整合内 外部的信息安全应急力量 充分依靠系统内外信息安全应急力量 形成信息安全应急工作 合力 按照相关应急预案进行迅速处置 最大程度地减少危害和影响 2 1 5与其他预案的关系 1 5 1与镇雄供电有限公司专项应急预案的关系 本预案是镇雄供电有限公司突发事件专项应急预案之一 在自然灾害 通信中断事件发生或处 置过程中 当发生网络系统 应用系统和数据系统中断等网络与信息安全事故 且网络与信息安全 事故达到 级及以上应急响应标准时 应按本预案开展网络与信息安全事故的应急救援 并配合相 关应急预案的应急行动 本预案可能配合的其它专项应急预案包括 1 镇雄供电有限公司自然灾害应急预案 1 5 2与上下级预案的关系 当发生的网络与信息安全事故为 级应急响应时 由本预案与昭通供电局网络与信息安全专项 应急预案衔接和配合 1 5 3与政府预案的关系 当发生的网络与信息安全事故为 级应急响应时 由本预案配合昭通市公安厅网络与信息安全 应急预案的指挥 协调行动 2风险与资源分析 2 1风险分析 镇雄供电有限公司网络与信息系统存在计算机病毒 网络攻击 数据安全以及设备设施故障等 风险 由此引起的网络系统 应用系统和数据系统突发事件包括 1 有害程序类突发事件 指受到有害程序的影响而导致的网络与信息安全突发事件 有害 程序类事件包含 但不限于 计算机病毒 蠕虫 特洛伊木马 僵尸网络 混合攻击程序 网页内 嵌恶意代码等事件 2 网络攻击类突发事件 指通过网络或其它技术手段 利用配置缺陷 协议缺陷 程序缺 陷等攻击网络与信息系统 造成网络与信息系统异常或不可用的网络与信息安全突发事件 网络攻 击类事件包括 但不限于 拒绝服务攻击 后门攻击 漏洞攻击 网络扫描窃听 网络钓鱼 干扰 等事件 3 信息安全破坏类突发事件 指通过网络或其它技术手段 造成网络与信息系统中的信息 被篡改 假冒 泄漏 窃取等而导致系统瘫痪 数据毁坏 数据泄漏的突发事件 信息安全破坏类 事件包括信息篡改 信息假冒 信息泄漏 信息窃取 信息丢失等事件 4 系统故障类突发事件 指网络与信息系统因自身或外围设备设施故障 以及人为误操作 等导致的信息安全突发事件 系统故障类事件包括软硬件自身故障 外围保障设施故障 人为破坏 3 事故 人为误操作事故和机房电源事故等 5 灾害破坏类突发事件 指由于不可抗力对网络与信息系统造成物理破坏而导致的网络与 信息安全突发事件 灾害类事件包括水灾 台风 冰灾 火灾 雷击 地震 坍塌 恐怖袭击 战 争等导致的网络与信息安全突发事件 2 2资源分析 2 2 1内部应急力量 镇雄供电有限公司所属的所有网络与信息系统维护人员 系统管理员 管理人员等人员是本公 司网络与信息安全事件应急处理的力量 另外电网系统内网络与信息专业人员均可作为本网络与信 息安全事件应急处理的内部应急力量 2 2 2外部应急力量 地方政府相关部门 软硬件制造商 供应商 系统集成商以及技术服务提供商 均可作为外部 应急力量 2 2 3物资和装备资源 镇雄供电有限公司所属硬件备件 软件介质 数据备份 专业检测及维修工具 消防工具 通 讯器材 交通工具等 均可作为应急的物资装备资源 3突发事件分级 3 1一级事件 凡发生下列情况之一者 评价为一级事件一次 1 发生网络攻击或有害程序破坏造成局域网全部瘫痪超过 24 个小时及以上 2 违反网络与信息设备操作规程造成人身伤亡或经济损失价值为 10 万元及以上 3 2二级事件 凡发生下列情况之一者 评价为二级事件一次 1 发生网络攻击或有害程序破坏造成局域网部分瘫痪超过 24 个小时及以上 2 交换机故障全停 15 分钟 3 机房网络与服务器设备供电电源全部中断一次 4组织机构及职责 4 1应急机构设置 当镇雄供电有限公司系统发生网络与信息安全事故需要启动本预案时 由镇雄供电有限公司信 4 息安全小组负责相关事务处理 并指定专门应急信息技术专责 公司应急办协助事件处置 4 2应急工作小组职责 4 2 1应急工作小组职责 镇雄供电有限公司网络与信息安全应急小组的主要职责如下 1 负责按照本预案指挥网络与信息安全应急处置工作 2 负责指导 协调网络与信息安全应急处置工作 3 负责向镇雄供电有限公司应办报告网络与信息安全应急处置进展情况 4 当网络与信息安全涉及启动地方政府相关部门应急预案时 配合地方政府相关部门相关 应急机构开展应急处置工作 4 2 2应急处置工作内容 1 与网络与信息安全事故的事发现场和事发单位 部门 建立通信联络 掌握相关人员 的联系方式 2 与应急办和其他相关部门建立通信联络 3 文件 资料等的打印 复印 递送 4 协调车辆 保障应急人员 应急物资的运送 5 应急技术方案的处理工作 6 事故演习过程具体技术操作 7 接收事发单位 部门 报送的应急信息 8 向公司应急办公室报送应急信息 9 各类应急信息的收集 汇总和编辑 10 记录应急指挥工作过程信息 11 赶赴事发现场指导事发单位的应急处置工作 12 协助事发单位调度外部应急力量和应急物资 13 及时向上级应急机构或部门报告事发现场应急状况 14 消除网络与信息安全事故的影响 恢复网络与信息系统运行 15 负络与信息安全事故的调查处理 16 向外包单位索赔 5预防与预警 5 1预警分级 镇雄供电有限公司网络与信息安全事故分为一般 较大 重大和特别重大四个级别 按照网 5 络与信息安全事故的级别和发生的可能性 网络与信息安全事故预警分为四个级别 由高到低依次 为红色预警 橙色预警 黄色预警 蓝色预警 1 特别重大的网络与信息安全事故即将发生或者发生的可能性增大时 构成红色预警 2 重大的网络与信息安全事故即将发生或者发生的可能性增大时 构成橙色预警 3 较大的网络与信息安全事故即将发生或者发生的可能性增大时 构成黄色预警 4 一般的网络与信息安全事故即将发生或者发生的可能性增大时 构成蓝色预警 5 2预警监测 1 镇雄供电有限公司信息化管理部门 负责管辖全司的网络与信息安全事故风险监测工作 网络与信息安全事故风险监测的重点包括 计算机病毒 蠕虫 木马 恶意代码等入侵的风险 漏洞攻击 后门攻击 拒绝服务 网络窃听 网络钓鱼等网络攻击的风险 信息丢失 信息窃取 信息泄露 信息假冒等信息安全风险 利用网站发布或传播违法 违规等负面信息 机房设备故障 系统软硬件故障 人为破坏 误操作等系统故障风险 系统变更导致的不可预测风险 因系统业务量增加致使系统资源不够 系统高压力状态下运行的业务风险 2 在风险监测中 应通过多种方式获取预警支持信息 一般包括以下方式 通过风险监测和风险分析获得的数据 上级应急办公室 信息化管理部门传达的网络与信息安全事故预警信息 地方政府相关部门发布的网络与信息安全事故预警信息等 5 3预警发布与行动 5 3 1预警信息报告 信息化管理部门通过对网络与信息安全事故预警支持信息的分析和评估 认为构成预警的 应 立即将预警支持信息的分析和评估结果作为预警信息 向应急办公室报告 应急办公室在获取网络 与信息安全事故预警信息后 通过进一步分析和确认 认为构成黄色及以上级别预警的 应立即向 供电局应急办公室报告 认为构成蓝色及以上级别预警的 应按照预警发布程序发布该预警 认为 构成蓝色及以上级别预警但不需要供电局发布的 应及时向可能受到影响的部门传达该预警信息 网络与信息安全事故预警信息通过 预警信息通报单 的形式进行报告和传达 预警信息通报单的 格式见附件 1 6 5 3 2预警信息发布 镇雄供电有限公司应急办公室负责网络与信息安全事故预警的发布和预警响应范围的确定 1 镇雄供电有限公司应急办公室有权发布针对本单位内部的蓝色预警 黄色预警 橙色预 警和红色预警 2 应急办公室在发布网络与信息安全事故预警时 应明确预警的响应范围和公开程度 或 保密要求 3 应急办公室在发布网络与信息安全事故预警后 应通过公文 传真 电话 短信 电子 邮件等多种方式 将预警尽快传达到相关部门和人员 4 正式的网络与信息安全事故预警通过下发 预警发布单 的形式进行发布 预警发布单 的格式见附件 2 5 3 3预警行动 1 在网络与信息安全事故预警发布后 预警响应范围内的单位 部门 应配合公司信息安 全小组针对可能发生的网络与信息安全事故 及时采取有效的防范和应对措施 控制网络与信息安 全事故风险 避免网络与信息安全事故发生 可以根据具体情况采取以下措施 内存及系统病毒 木马 蠕虫 恶意代码查杀清除 安装必要的系统安全补丁 关闭不必要端口 检查是否存在系统后门 做好重要数据安全保障及备份工作 定期更换用户密码 安全信息专人专管 准备常用备品备件 实时监控系统资源情况 规范人工操作 限制操作员权限 严格管理 超级管理员权限 避免不必要的系统变更 并对必要变更做好记录及回退准备 重启相应高负载业务或系统资源不足的设备 2 在网络与信息安全事故预警发布后 预警响应范围内的各级信息化管理部门 应对网络 与信息安全事故风险进行持续监测 为预警响应行动 预警级别与范围调整和预警解除提供支持信 息 5 4预警调整与解除 在网络与信息安全事故预警发布后 预警响应范围内的各级信息化管理部门 应对网络与信息 安全事故风险进行持续监测 为预警响应行动 预警级别与范围调整和预警解除提供支持信息 并 根据风险变化及时报告公司应急办公室 公司应急办公室在获取网络与信息安全事故预警级别与范围调整 预警解除信息后 经分析和 确认 及时调整预警级别和预警响应范围 直至预警状态结束 7 5 4 1预警调整 当外部条件变化或已采取相应控制措施 网络与信息安全事故发出的风险降低后 应急办应按 具体情况通过下发 预警调整单 的形式对已经发布的预警予以调整 预警调整单的通知格式见附 件 6 当预警响应范围内的某一部门 单位 或场所 的网络与信息安全风险已经全部消除或被有效 控制时 由该部门 单位 或场所 通过书面形式向局应急办申请解除预警状态 经应急办分析后 认为可以解除的 由应急办下发 预警调整单 将该部门 单位 或场所 从预警响应范围内删除 在提高预警级别时 须经同级应急机构批准 若提升至橙色及以上级别预警的 立即向上级应 急部门报告 5 4 2预警解除 当网络与信息安全事故发生的风险已经消除或被有效控制 或者突发事件已经发生 应急办应 按具体情况通过下发 预警解除单 的形式对已经发布的预警予以解除 预警解除单的通知格式见 附件 7 1 能够充分确认网络与信息安全事故风险已经全部消除或被有效控制 或者预警响应范围内 的部门单位 或场所 全部解除预警状态时 解除预警 2 当预警的突发事件已经在预警响应范围内的某一部门 单位 或场所 发生时 该部门 单位 或场所 的预警状态自动解除 6应急响应与处置 6 1应急响应分级 6 1 1应急响应分级标准 6 1 1 1网络与信息安全事故分级 按照网络与信息安全事故的严重程度 镇雄供电有限公司的网络与信息安全事故分为一般网络 与信息安全事故 较大网络与信息安全事故 重大网络与信息安全事故和特别重大网络与信息安全 事故四个级别 1 一般网络与信息安全事故 因故障导致单位内部主要应用系统服务不可用或服务质量 严重劣化累计时长已经 或预期 达 24 小时 时间 应用系统 因故障导致一半及以上办公用户 内部网络访问中断或服务质量严重劣化时长已经 或预期 达 6 小时 因故障导致单位外部广域网 访问中断或服务质量严重劣化时长已经 或预期 达 12 小时 因故障导致内部主要应用系统丢失 数据累计已经 或预期 达 10 工作日数据 8 2 较大网络与信息安全事故 因故障导致单位内部主要应用系统服务不可用或服务质量 严重劣化累计时长已经 或预期 达 36 小时 时间 应用系统 因故障导致一半及以上办公用户 内部网络访问中断或服务质量严重劣化时长已经 或预期 达 12 小时 因故障导致单位外部广域 网访问中断或服务质量严重劣化时长已经 或预期 达 24 小时 因故障导致内部主要应用系统丢 失数据累计已经 或预期 达 20 工作日数据 3 重大网络与信息安全事故 因故障导致单位内部主要应用系统服务不可用或服务质量 严重劣化累计时长已经 或预期 达 48 小时 时间 应用系统 因故障导致一半及以上办公用户 内部网络访问中断或服务质量严重劣化时长已经 或预期 达 24 小时 因故障导致单位外部广域 网访问中断或服务质量严重劣化时长已经 或预期 达 48 小时 因故障导致内部主要应用系统丢 失数据累计已经 或预期 达 30 工作日数据 单位内部主要应用系统重要 机密数据泄密或被篡 改 对单位造成一定负面影响或产生一定威胁 4 特别重大网络与信息安全事故 因故障导致单位内部所有主要应用系统服务不可用或 服务质量严重劣化累计时长已经 或预期 达 72 小时 因故障导致内部网络系统中断或服务质量 严重劣化累计时长已经 或预期 达 72 小时 因故障导致单位外部广域网访问中断或服务质量严 重劣化时长已经 或预期 达 72 小时 单位内部主要应用系统重要 机密数据泄密或被篡改 对 单位造成明显的负面影响或重大威胁 6 1 1 2网络与信息安全事故应急响应分级 镇雄供电有限公司网络与信息安全事故应急响应按照事故级别和响应范围分为四级 由低到高 依次为 级响应 级响应 级响应和 级响应 1 已经或预期同时满足下列条件的应急响应 为 级响应 网络与信息安全事故为一般网络与信息安全事故的 本单位网络与信息安全事故应急力量可以应对 且不需要地方政府相关部门应急力量配合 的 2 已经或预期同时满足下列条件的应急响应 为 级响应 网络与信息安全事故为较大网络与信息安全事故的 或者网络与信息安全事故为一般网络 与信息安全事故且超出 级响应条件的 本单位网络与信息安全事故的应急力量可以单独应对的 或者需要政府相关部门应急力量 配合应对的 3 已经或预期同时满足下列条件的应急响应 为 级响应 网络与信息安全事故为重大或者特别重大网络与信息安全事故的 或者网络与信息安全事 9 故为较大网络与信息安全事故且超出 级响应条件的 或者网络与信息安全事故为一般网络与信息 安全事故且超出 级响应条件的 本单位网络与信息安全事故的应急力量无法单独应对 必需要地方政府相关部门或其它外 部应急力量配合的 4 已经或预期同时满足下列条件的应急响应 为 级响应 网络与信息安全事故为重大或者特别重大网络与信息安全事故且超出 级响应条件的 或 者网络与信息安全事故为较大网络与信息安全事故且超出 级响应条件的 或者网络与信息安 全事故为一般网络与信息安全事故且超出 级响应条件的 本单位网络与信息安全事故的应急力量无法单独应对 必需要地方政府相关部门和云南电 网公司系统的应急力量配合应对的 6 1 2网络与信息安全事故分级响应及处置主体 1 满足 级应急响应标准的网络与信息安全事故 由事发单位 部门 启动事发现场的 现场处置方案进行应急响应 2 满足 级应急响应标准的网络与信息安全事故 由事发单位 部门 根据本预案要求 采取必要的应急措施并启动现场处置方案进行应急响应 3 满足 级应急响应标准的网络与信息安全事故 由镇雄供电有限公司应急办批准启动 镇雄供电有限公司网络与信息安全事故应急预案 即本预案 和现场处置方案进行应急响应 4 满足 级应急响应标准的网络与信息安全事故 由云南电网公司统一指挥 启动镇雄 供电有限公司网络与信息安全事故应急预案 即本预案 和现场处置方案进行应急响应 6 1 3本预案启动程序 1 镇雄供电有限公司应急办在接到网络与信息安全事故初始信息后 召集公司相关部门 工作人员分析事故 2 应急办公室分析判断事故的应急响应级别 当响应级别达到 级及以上时 向公司应 急办申请启动本预案 当响应级别未达到 级 持续关注事态发展 3 应急办到预案启动申请后 经研究决定是否批准该申请 4 本预案启动申请被批准后 公司信息安全小组负责网络与信息安全事故应急处置 6 2信息报告 6 2 1应急接警电话 相关应急机构 部门 人员的联络方式见附件 8 和公司经理工作部印发的 通讯录 10 6 2 2网络与信息安全事故初始事件分析 网络与信息安全事故初始信息一般包括以下内容 1 事故的类型 发生时间 发生地点 2 事故的原因 性质 范围 经初步判断的严重程度 3 网络与信息系统故障的严重程度 典型症状 4 网络与信息系统受损部件列表 具体情况描述 5 事故发生单位 部门 已采取的控制措施及其他应对措施 6 事故报告单位 部门 联系人员及通讯方式 6 2 3网络与信息安全事故初始信息报告 1 当网络与信息系统发生一般及以上级别网络与信息安全事故时 应在事故发生后 30 分钟 内 向局应急办公室报告网络与信息安全事故初始信息 2 应急办公室在接到一般及以上级别网络与信息安全事故初始信息报告后 应对网络与信 息安全事故初始信息进行确认 并在确认后立即向公司应急办相关人员报告 应急办公室在接到一 般及以上级别网络与信息安全事故初始信息报告后 经应急办相关人员批准 在接到报告后 40 分 钟内向供电局应急机构报告 3 在报告网络与信息安全事故初始信息时 应做到及时 客观 真实 不得迟报 谎报 瞒报 漏报 4 网络与信息安全事故初始信息报告流程图见附件 3 6 2 4网络与信息安全事故应急信息 网络与信息安全事故应急信息是指在网络与信息安全事故应急响应过程中 与网络与信息安全 事故和网络与信息安全事故应急响应有关的数据和信息 一般包括网络与信息安全事故最新概况 应急处置进展情况 应急资源调度情况 下一步应急工作部署等内容 1 网络与信息安全事故最新概况 2 应急处置进展情况 包括已开展的应急处置行动 已取得的应急成果 当前主要应急 处置工作和政府部门的参与情况 3 应急资源调度情况 包括应急人员调动情况 应急物资调配情况和应急资源需求情况 4 下一步应急工作部署 包括应急处置进展情况预估和应急处置行动计划 5 网络与信息安全事故应急信息报告的通用格式见附件 5 在网络与信息安全事故应急 信息的收集和报告中 相关部门可以根据具体需要选择其中的全部或部分内容 或者自行增加需要 11 的内容 6 2 5网络与信息安全事故应急信息报告 1 在网络与信息安全事故 级及以上应急响应过程中 由启动现场处置方案的应急指挥 机构 负责收集应急处置范围内的网络与信息安全事故应急信息 并负责向公司应急办应急信息 2 在网络与信息安全事故 级及以上应急响应过程中 由公司应急办公室负责收集网络 与信息安全事故应急信息 并负责向公司应急办相关成员报告 经应急办领导批准 负责按规定向 上级应急办公室和地方地方政府相关部门报告应急信息 3 网络与信息安全事故应急信息报告流程图见附件 3 6 3响应程序 6 3 1应急响应流程 本预案的应急响应可以分为应急启动 应急行动 应急响应扩大和应急结束四个过程 应急响 应流程图见附件 3 6 3 2应急启动 1 经镇雄供电有限公司应办领导批准 由镇雄供电有限公司网络与信息安全事故应急小组 启动本预案 2 镇雄供电有限公司网络与信息安全事故应急办和各应急处置工作人员就位 3 由通信联络工作组负责与事故现场建立通信联系 6 3 3应急行动 1 指挥事故现场应急人员积极进行系统恢复 2 由信息技术工作组负责收集 整理事故应急信息 对事故的发展态势进行动态监测 及 时掌握应急处置状况 3 做好系统备份恢复及相应回退准备工作 6 3 4应急响应扩大 1 在应急处置过程中 当网络或主营业务系统瘫痪影响的范围增加时 应急办应及时增加 应急力量投入 2 在应急处置过程中 当事故发展为 级应急响应时 应急办公室应及时向上级主管部门 和 或 公安部门汇报 申请应急支援 6 3 5应急处置措施 1 有害程序类突发事件 检查系统 服务 数据的完整性 可用性 中断应用系统或企业服务 从软件层面进行排 12 查 系统升级 安全防御等操作 尽快减少此类有害程序的破坏和影响 断开网络 避免传染更多主机 进行病毒类型诊断 通知其它部门进行该类型病毒的防范与检测 使用专业杀毒软件 工具按照专业流程进行病毒及木马查杀 追踪病毒传播途径 制定该类型病毒防治规范 对有关恶意代码或行为的分析结果 找出事件根源 明确相应的补救措施并彻底清除 2 网络攻击类突发事件 在网络攻击中如拒绝服务攻击 后门攻击 漏洞攻击 网络扫描窃听等 首先如检查网络 系统 服务 数据的保密性或可用性 损失的程度 确定暴露出的主要危险等 判断攻击类型与手段 评估系统现状 定位攻击路径 在业务中断允许的时间范围内追查攻击者位置 在尽可能靠近攻击源的节点切断攻击源 继续对攻击者的位置与攻击手段进行分析并搜集原始资料 可能的话关闭问题服务 系统漏洞升级 抑制事件的影响进一步扩大 限制潜在的损失与破坏 可能的抑制策略一般包括 关闭服 务或关闭所有的系统 从网络上断开相关系统的物理链接 修改防火墙和路由器的过滤规则 封锁 或删除被攻破的登录账号 阻断可疑用户得以进入网络的通路 提高系统或网络行为的监控级别 设置陷阱 启用紧急事件下的接管系统 实行特殊 防卫状态 安全警戒 反击攻击者的系统等 3 信息安全破坏类突发事件 保护企业的信息安全 应急指挥部门和其他相关人员将对攻击源进行定位并采取合适的措 施将其中断 定位攻击路径 在业务中断允许的时间范围内追查攻击者位置 在尽可能靠近攻击源的节点切断攻击源 判断攻击类型与手段 评估系统现状 继续对攻击者的位置与攻击手段进行分析并搜集原始资料 系统漏洞升级 在出现信息篡改事件 信息假冒事件 信息泄漏事件 信息窃取事件 信息丢失事件后 应迅速定位问题的缘由 如果攻击者获得了超级用户的访问权 一次完整的恢复应强制性地修改所 13 有的口令 如果出现了信息泄漏或窃取等 应尽快减少信息的传播途径 最大限度的保护企业信息 安全 如果出现了信息篡改或假冒 通过信息和应用的备份回退至改前状态 4 负面信息安全类突发事件 出现负面信息安全类事件后 应急指挥机构应迅速分析其负面影响 通过各种方式澄清事 实 纠正错误信息 同时排查其信息传播的渠道 以备彻底解决此类事件 5 系统故障类突发事件 出现硬件自身或外围设备设施故障 首先保障企业核心数据和应用的主机 服务器等硬件 快速恢复 根据相应的故障应急手册尽快恢复网络业务 尽可能保留现场 搜集现场情况 根据故障现象及现场情况定位故障原因 在人为破坏事故 人为误操作事故和机房电源事故引起硬件故障中 迅速定位问题根源 有针对性根据事故等级进行快速响应 完成应急处理措施 无法短时间完成恢复的 应及时启动备份和灾备应急措施 6 灾害破坏类突发事件 在水灾 台风 冰灾 火灾 雷击 地震 坍塌 恐怖袭击 战争等事故中 在保证人身 安全的情况下 首先企业的核心数据信息备份介质 以便之后的应急恢复 在各类自然灾害面前 优先对公司核心应用系统和网络进行恢复和应急处理 在此类灾害面前 一切的网络和信息安全事故应急均以人身安全为先 之后才考虑企业信息的还原 6 4应急结束 当网络与信息安全事故应急处置满足下列条件之一时 经公司应急办批准并宣布本预案的应急 结束 停止本预案 1 本预案应对的网络与信息安全事故应急响应级别已降至 级以下 2 本预案应对的网络与信息安全事故势态受到有效控制 事发单位 部门 已经能够独 立应对 不再需要本预案的支持 3 本预案应对的网络与信息安全事故已经完成下列工作 受影响业务已恢复 系统资源 已恢复到正常状态 必要系统补丁安装后系统安全稳定运行 受损数据已通过备份恢复 6 5信息发布 公司应急办负责网络与信息安全事故信息的对外发布 网络与信息安全事故信息发布必须经过 严格审核和批准 保证发布信息的一致性 避免出现矛盾信息 网络与信息安全事故信息发布流程 及要求如下 14 1 在网络与信息安全事故发生后 需要对外发布网络与信息安全事故初始信息的 须经信 息主管领导批准 由应急办公室组织上报及对外发布 2 各部门及员工未经授权 不得上报和对外发布 散布 网络与信息安全事故信息或发表 对网络与信息安全事故的评论 6 6后期处置 6 6 1 恢复生产 网络与信息安全事故应急结束后 在公司应急办的指导下 由公司信息安全小组具体负责督促 网络与信息安全事故善后处理工作 指导事发部门制定可行的工作计划 快速 有效地消除网络与 信息安全事故造成的不利影响 尽快恢复生产秩序 6 6 2事件调查 1 按照国家和上级主管部门事故调查规定 组织事故调查组对网络与信息安全事故进行 调查 2 事故调查组应准确 及时 公正地查清事故的性质 原因和责任 总结经验教训 提 出防范措施 并对责任者提出处理意见 6 6 3总结及改进 网络与信息安全事故应急结束后 在应急指办组织下 由公司信息化领导小组具体负责对本预 案和应急救援处置过程进行全面地总结 评估 找出不足并明确改进方向 及时对本预案的不足之 处予以修订 7应急保障 7 1应急队伍 镇雄供电有限公司信息安全小组为事故应急救援队伍 应加强网络与信息的应急技术交流和技 术培训 提高镇雄供电有限公司网络与信息安全整体应急响应能力 根据本单位的实际情况 考虑 借助第三方技术力量 为网络与信息安全应急处置工作提供支持 7 2应急物资与装备 应按需要配备一定数量的网络系统 数据系统的备品备件 专业的软硬件检测工具 交通工具 通讯装备等 7 3通信与信息 1 网络与信息安全事故应急通信联络和信息交换的渠道主要有调度电话 系统程控电话 外线电话 移动电话 传真 电子邮件等方式 15 2 与本预案有关人员用于工作联系的移动电话 应保持每天 24 小时处于开机状态 7 4经费 镇雄供电有限公司信息安全小组负责申报网络与信息安全突发事件应急工作经费 经镇雄供电 有限公司应急办审批后 列入镇雄供电有限公司年度预算 应急经费的使用由镇雄供电有限公司应 急办负责统一管理 本预案启动后 应急工作所需资金经镇雄供电有限公司应急办批准 由镇雄供 电有限公司财务部门负责提供 7 5其他 为了保障网络与信息安全事故应急救援时 能够快速获得地方政府相关部门的支持 应与地方 政府相关部门建立有效的沟通渠道和协作机制 8附则 8 1应急培训 1 由公司信息化领导工作小组负责组织与本预案相关的应急培训 培训对象主要为应急 预案中的相关人员 2 本预案的培训可以采用案例教学 情景模拟 交流研讨 案例分析 应急演练 对策 研究等方式进行 3 本预案的培训重点是网络与信息安全事故应急响应流程 网络与信息安全事故应急信 息报送流程和网络与信息安全应急处置的知识和技能 8 2预案演练 1 由信息安全小组负责制定本预案的年度演练计划并报公司应急办 2 本预案每两年至少进行一次演练 由公司信息化领导工作小组负责组织 本预案演练 的主要内容为应急人员对预案应急流程的熟悉和各应急处置工作组之间的配合 3 本预案演练结束后 由公司信息化领导工作小组负责对演练情况进行评估和总结 针 对应急演练中暴露出的问题 制订相应的整改措施 对本预案的不足之处进行修订 8 3预案备案 本预案由镇雄供电有限公司应急办报送昭通供电局备案 8 4维护和更新 镇雄供电有限公司信息化领导工作小组牵头负责对本预案每年评审一次 并提出修订意见 并 负责按照修订意见修改和更新本预案 16 8 5制定与解释 本预案由镇雄供电有限公司应急办负责组织制定 由公司信息化领导工作小组负责解释 8 6实施时间 本预案自批准发文之日起实施 本预案高版本发布实施后 其低版本自动失效 全局各相关部 门 单位应及时识别 更新 确保在用预案的有效性 9附件 附件 1 镇雄供电有限公司预警信息通报单 附件 2 镇雄供电有限公司预警发布单 附件 3 网络与信息安全事故初始信息报告流程图 附件 5 网络与信息安全事故应急信息报告单 附件 6 镇雄供电有限公司网络与信息安全事故预警响应范围调整单 附件 7 镇雄供电有限公司网络与信息安全事故预警解除单 附件 9 网络与信息安全应急预案应急响应流程图 附件 10 预案启动样本 附件 11 预案解除样本 附件 12 镇雄供电有限公司网络架构建设拓扑图 17 附件 1 预警信息通报单 编号 镇雄供电有限公司预警信息通报单 发出单位 部门 发出时间 年 月 日 时 分 批准发出人 接收单位 部门 预警信息名称 可能构成的预警级别 红色预警 橙色预警 黄色预警 蓝色预警 一 信息来源一 信息来源 二 风险分析 可能发生的网络与信息安全事故 网络与信息安全事故可能造成影响 网络与信息二 风险分析 可能发生的网络与信息安全事故 网络与信息安全事故可能造成影响 网络与信息 安全事故发生的可能性 安全事故发生的可能性 18 附件 2 预警发布单 编号 镇雄供电有限公司预警发布单 签发 预警名称 预警级别 红色预警 橙色预警 黄色预警 蓝色预警 发布时间 年 月 日 时 分 响应范围 公开程度 或保密要求 发布部门 一 警情描述一 警情描述 二 应对要求二 应对要求 19 附件 3 网络与信息安全事故初始信息报告流程图 附件 4 网络与信息安全事故应急信息报告单 编号 注 为事件名称 网络与信息安全事故应急信息报告单 信息报告单位 信息报告时间 年 月 日 时 分 信息报告人 一 网络与信息安全事故最新概况 表表 1 1 网络与信息系统故障情况统计表网络与信息系统故障情况统计表 序序 号号 系统名称系统名称设备名称设备名称故障类型故障类型发生时间发生时间具体影响范围具体影响范围 1 2 3 按需 增加 二 应急处置进展情况 一 已开展的应急处置工作 一 已开展的应急处置工作 二 当前主要应急处置工作 二 当前主要应急处置工作 三 外部应急力量的参与情况 三 外部应急力量的参与情况 三 应急资源调