信息系统突发事件应急预案

中国银河证券股份有限公司中国银河证券股份有限公司 信息系统突发事件应急预案信息系统突发事件应急预案 二 一一年一月 I 目目 录录 1总则 1 1 1 编制目的 1 1 2 编制依据 1 1 3 工作原则 1 1 4 适用范围 2 2应急组织与职责 2 2 1 突发事件管理领导小组 2 2 2 信息系统突发事件管理小组 2 2 3 信息技术部 3 2 4 各证券营业部 4 2 5 其他部门 4 3事件通报和处置 4 3 1 总部集中交易系统技术故障事件通报和处置 4 3 1 1 事件通报流程 4 3 1 2 事件处置流程 5 3 2 网上交易系统技术故障事件通报和处置 7 3 2 1 事件通报流程 7 3 2 2 事件处置流程 8 3 3 网上交易系统遭受恶意攻击事件通报和处置 9 3 3 1 事件通报流程 9 II 3 3 2 事件处置流程 10 3 4 证券营业部行情 交易等业务系统技术故障事件通报和处 置11 3 4 1 事件通报流程 11 3 4 2 事件处置流程 12 3 5 证券营业部行情 交易等业务系统遭受恶意侵入事件通报 和处置 14 3 5 1 事件通报流程 14 3 5 2 事件处置流程 14 3 6 三方存管系统技术故障事件通报和处置 14 3 6 1 事件通报流程 14 3 6 2 事件处置流程 15 3 7 网站技术故障事件通报和处置 16 3 7 1 事件通报流程 16 3 7 2 事件处置流程 17 3 8 网站遭受恶意攻击事件通报和处置 18 3 8 1 网络仿冒事件处置 18 3 8 2 网站遭受 DDOS 攻击或其他恶意攻击事件处置流程 19 3 9 总部机房电力故障事件通报和处置 20 3 9 1 事件通报流程 20 3 9 2 事件处置流程 21 3 10机房火灾事件通报和处置 22 III 3 11大规模蠕虫 病毒爆发事件通报和处置 23 3 11 1事件通报流程 23 3 11 2事件处置流程 23 4后续处置 24 5培训和演练 25 5 1 培训 25 5 2 演练 25 6附则 25 6 1 预案管理 25 6 2 预案解释部门 25 1 1总则 1 1编制目的 建立健全中国银河证券股份有限公司 以下简称公司 信息系 统安全事件应急工作机制 提高公司应对信息系统安全事件的应急 处置能力 预防和减少信息系统安全事件造成的损失和危害 维护 公司稳定和健康发展 维护社会稳定 保护投资者合法权益 1 2编制依据 中国证监会证券期货业信息化工作领导小组办公室发布的 证 券期货业网络与信息安全事件应急预案 和公司发布的 中国银河 证券股份有限公司突发事件管理办法 1 3工作原则 1 统一指挥 密切协同 快速反应 科学处置 在公司突发 事件领导小组的统一领导下 各部门合理分工 相互协作 形成快 速 稳妥地处置网络与信息安全事件的工作机制 2 谁主管谁负责 谁运行谁负责 按照公司总部各部门 各 营业部的职责划分 分级处理 层层负责 共同做好网络与信息安 全事件的预防和处置工作 3 预防与处置相结合 以预防为主 加强风险排查 减少故 障隐患 做好应急处置的各项准备 严格执行信息系统监控值守制 度 确保故障及早发现 4 果断处置 有效应对 发生网络与信息安全事件时要按应 急报告流程及时报告 快速启动应急预案进行应急处置 最大程度 2 减少网络与信息安全事件造成的危害和影响 5 及时报告 联络畅通 明确突发事件报告路线和报告渠道 一旦发生突发事件或出现潜在的危机事件 要保证能及时通知到相 关人员 1 4适用范围 本预案适用于公司本部 中心机房和各证券营业部 本预案所指的信息系统包括但不限于集中交易系统 网上交易 系统 法人清算系统 网站系统 ETF 套利系统 QFII 投资交易系 统 机房动力环境 营业部交易业务系统等 2应急组织与职责 2 1突发事件管理领导小组 根据公司 突发事件管理办法 的有关规定 公司突发事件管 理采取长期性的管理机构和临时工作小组相结合 职能部门牵头归 口管理和各单位逐级落实相结合的组织架构 公司突发事件管理领导小组负责全面领导 指导 协调和指挥 处置公司重大突发事件 2 2信息系统突发事件管理小组 信息系统突发事件管理小组 即公司 突发事件管理办法 中 设立的通信技术事件管理小组 由信息技术部负责人任组长 信息 技术部副总经理任副组长 成员由信息技术部各二级部门团队负责 人组成 公司信息系统突发事件管理小组负责指导 协调和指挥信息系 3 统突发事件的应急处置工作 2 3信息技术部 信息技术部负责处置网络 集中交易等相关技术系统突发事件 的应急处置工作 具体分工如下 1 信息技术部技术管理团队负责 协助北京国企中心机房 中 航信中心机房 上证通中心机房对相关技术系统进行应急通报和处 置 协助证券营业部对相关技术系统应急通报和处置 2 信息技术部运维团队负责 负责对各运维团队维护的集中交 易系统 清算系统 总部交易系统等相关技术系统的应急通报和处 置 对中心机房所管理维护的系统网络 机房电力 动力环境系统 等系统突发事件进行应急通报和处置 3 信息技术部安全管理团队负责 公司本部机房电力 UPS 空调系统的应急通报和处置 大规模病毒 网络攻击的应急通报和 处置 网络运行中断和异常的应急通报和处置 4 信息技术部软件开发团队负责 团队负责的公司本部其它交 易及管理技术系统突发事件的应急通报和处置 5 信息技术部网上交易运行团队负责 网上交易双子星系统 海王星系统 智慧星系统 手机炒股系统 期货系统等系统的突发 事件的应急处置工作 6 信息技术部网站开发运行团队负责 网站技术故障事件通报 和处置 网站遭受恶意攻击事件通报和处置 4 2 4各证券营业部 对证券营业部行情 委托 通信 机房 UPS 等信息系统突发 事件进行应急通报和处置 2 5其他部门 公司总裁办 相关业务部门 各证券营业部负责协助处置因信 息系统故障引发的各类安全维稳事件 3事件通报和处置 3 1总部集中交易系统技术故障事件通报和处置 3 1 1事件通报流程 当总部集中交易系统发生软 硬件技术故障 可能导致或已经 造成公司交易中断时 事件通报流程如下 1 信息技术部集中交易系统运维人员立即向系统运维团队负责 人报告 系统运维团队负责人立即向信息技术部负责人报告 同时 邮件通知集中交易系统故障涉及证券营业部 并指定一名或两名运 维人员作为本次故障联络人 故障联络人负责接听证券营业部网点 电话 负责向公司本部信息技术部技术管理团队沟通联系 通报故 障问题及处理进度情况 报告内容 事发机构名称 时间 地点 故障现象简要描述 可能影响的业务范围及事态发展趋势 已采取或拟采取的应对措施 故障恢复的大致预期等内容 2 信息技术部技术管理团队接到故障通报后 立即向公司信息 技术部负责人汇报 并负责通知公司本部各相关部门 协助排查故 5 障及相关善后工作 3 信息技术部负责人向公司分管信息技术副总裁报告 公司分 管副总裁视事件影响情况向公司突发事件领导小组组长 副组长汇 报 4 公司总值班室根据公司突发事件领导小组的决定和指示 向 北京证监局 上海证券交易所和深圳证券交易所 人行营业管理部 等监管部门报告 报告时应先电话口头汇报 然后填写 网络与信 息安全事件情况报告书 见附件 1 按上述单位要求报送 若技 术故障影响到登记结算业务 还应同时向中国证券登记结算公司上 海分公司和深圳分公司报告 5 公司总值班室要随时保持与北京证监局 上交所和深交所 中登公司 人行营业管理部的联系 并每隔 30 分钟上报一次 直至 系统恢复正常运行 6 集中交易系统恢复正常运行后 系统运维人员向相关营业部 发送通知 告知系统恢复正常运行 3 1 2事件处置流程 当总部集中交易系统发生软 硬件技术故障 可能导致或已经 造成公司交易中断时 事件处置流程如下 1 信息技术部系统运维团队负责人接到事件报告后 应立即组 织集中交易系统运维人员赶到故障现场 排查故障原因 2 根据故障点的具体情况提出解决建议 1 如果是服务器硬件 通讯线路设备硬件问题 及时启用备 6 份系统 2 如果是软件问题 及时联系开发商 查找故障原因并解决 3 如果是通信线路问题 及时与运营商联系并启用备份线路 4 如果是数据库的问题 及时启用备份数据库 同时联系数 据库供应商及时解决 5 如果是与交易所通讯问题 及时切换到备份线路 若是地面线路故障 切换到卫星线路 若是卫星线路故障 切换到地面线路 3 系统运维团队负责人首先口头请示信息技术部负责人 先行 开展应急处置 然后由系统运维人员填写 故障处置方案审批表 见附件 2 由系统运维团队负责人签字后 报信息技术部负责人 公司突发事件管理领导小组审批 4 信息技术部将仍然可用的交易手段或其他替代手段 如场内 报单 通告给有关部门 各部门共同采取各种适当方式尽快让投资 者了解情况 并采用仍然可用的交易手段或其他替代手段 5 信息技术部接到故障报告后协调公司本部各相关部门及相关 交易所 登记公司 银行 运营商 技术支持厂商等资源 协助排 查故障及相关善后工作 6 公司突发事件领导小组后续将根据事件进展情况按如下方式 进行处理 7 1 协调公司本部各相关部门及相关政府部门 交易所 登记 公司 银行 运营商 技术支持厂商 媒体等资源 协助排查故障 及相关善后工作 2 通知证券营业部做好客户的安抚工作 3 如果因集中交易系统故障使营业场所发生群体性事件 将 按照公司 突发事件管理办法 的有关预案开展应急处置工作 4 决定 组织其他措施等 3 2网上交易系统技术故障事件通报和处置 3 2 1事件通报流程 当网上交易系统发生突发技术故障事件时 事件通报流程如下 1 网上交易系统管理人员立即向信息技术部网上交易运行团队 负责人报告 网上交易运行团队负责人立即向信息技术部负责人报 告 并指定一名或两名管理人员作为本次故障联络人 联络相关厂 商技术人员并指导营业部 客户切换备份系统 报告内容 事发机构名称 时间 地点 故障现象简要描述 可能影响的业务范围及事态发展趋势 已采取或拟采取的应对措施 故障恢复的大致预期等内容 2 信息技术部负责人向公司分管信息技术副总裁报告 公司分 管副总裁视事件影响情况向公司突发事件领导小组组长 副组长汇 报 3 如果网上交易系统故障 30 分钟内没有恢复 公司总值班室 8 根据公司突发事件领导小组的决定和指示 向北京证监局报告 报 告时应先电话口头汇报 然后填写 网络与信息安全事件情况报告 书 见附件 1 按上述单位要求报送 4 公司要随时保持与北京证监局的联系 并每隔 30 分钟上报 一次 直至系统恢复正常运行 3 2 2事件处置流程 当网上交易系统发生软 硬件 线路技术故障 可能导致或已 经造成公司网上行情 交易中断时 事件处置流程如下 1 信息技术部网上交易运行团队负责人接到事件报告后 应立 即组织相关系统管理人员 开发厂商技术人员赶到故障现场 排查 故障原因 2 网上交易系统管理人员根据故障点的具体情况提出解决建议 1 如果是服务器硬件 通讯线路设备硬件问题 及时启用备 份系统 2 如果是软件问题 及时联系开发商 查找故障原因并解决 3 如果是通信线路问题 及时与运营商联系并启用备份线路 4 如果是数据库的问题 及时启用备份数据库 同时联系数 据库供应商及时解决 3 信息技术部网上交易运行团队负责人首先口头请示信息技术 部负责人 先行开展应急处置 然后由系统运维人员填写 故障处 9 置方案审批表 见附件 2 由网上交易运行团队负责人签字后 报信息技术部负责人 公司突发事件管理领导小组审批 4 信息技术部将仍然可用的行情交易手段或其他替代手段 如 电话 自助等 通告给有关部门 各部门共同采取各种适当方式尽 快让投资者了解情况 并采用仍然可用的交易手段或其他替代手段 5 公司突发事件领导小组后续将根据事件进展情况按如下方式 进行处理 1 协调公司本部各相关部门及相关政府部门 交易所 登记 公司 银行 运营商 技术支持厂商 媒体等资源 协助排查故障 及相关善后工作 2 通知证券营业部做好客户的安抚工作 3 如果因网上交易系统故障使营业场所发生群体性事件 将 按照公司 突发事件管理办法 的有关预案开展应急处置工作 4 决定 组织其他措施等 3 3网上交易系统遭受恶意攻击事件通报和处置 3 3 1事件通报流程 当网上交易系统遭受 DDOS 攻击或恶意攻击时 事件通报流程如 下 1 网上交易安全管理监控人员立即向网上交易运行团队负责人 报告 网上交易运行团队负责人立即向信息技术部负责人报告 同 时通报信息技术部安全管理团队并指定一名或两名管理人员作为本 10 次故障联络人 联络相关安全顾问厂商技术人员查找原因 并指导 营业部 客户切换备份系统 报告内容 事发机构名称 时间 地点 攻击现象简要描述 可能影响的业务范围及事态发展趋势 已采取或拟采取的应对措施 故障恢复的大致预期等内容 2 信息技术部负责人向公司分管信息技术副总裁报告 公司分 管副总裁视事件影响情况向公司突发事件领导小组组长 副组长汇 报 3 如果网上交易系统遭受 DDOS 攻击或恶意攻击持续 1 小时 公司总值班室根据公司突发事件领导小组的决定和指示 向北京证 监局报告 报告时应先电话口头汇报 然后填写 网络与信息安全 事件情况报告书 见附件 1 按上述单位要求报送 必要时 向 北京市公安局网监处报案 报案网址为 http bj cyberpolice c n index htm 4 公司要随时保持与北京证监局 北京市公安局网监处的联系 并每隔 30 分钟上报一次 直至系统恢复正常运行 3 3 2事件处置流程 当网上交易系统因遭受恶意攻击时 可能导致或已经造成公司 网上行情 交易阻塞中断时 事件处置流程如下 1 网上交易运行团队负责人接到事件报告后 应立即组织安全 监控管理人员 相关安全厂商技术人员赶到故障现场 信息技术部 11 安全管理团队相关人员也要赶到现场 协助排查故障原因 2 网上交易技术维护人员根据攻击的具体情况提出解决建议 1 若网上交易系统遭受入侵 设置防火墙策略封闭攻击源 IP 2 若网上交易系统遭受 DDOS 攻击 技术维护人员应联系安 全运维厂商 紧急部署抗 DDOS 产品 3 信息技术部将仍然可用的行情交易手段或其他替代手段 如 电话 自助等 通告给有关部门 各部门共同采取各种适当方式尽 快让投资者了解情况 并采用仍然可用的交易手段或其他替代手段 4 公司突发事件领导小组后续将根据事件进展情况按如下方式 进行处理 1 协调公司本部各相关部门及相关政府部门 交易所 登记 公司 银行 运营商 技术支持厂商 媒体等资源 协助排查故障 及相关善后工作 2 通知证券营业部做好客户的安抚工作 3 如果因网上交易系统遭受恶意攻击导致投资者群体性事件 将按照公司 突发事件管理办法 的有关预案开展应急处置工作 4 决定 组织其他措施等 3 4证券营业部行情 交易等业务系统技术故障事件通报和处置 3 4 1事件通报流程 当证券营业部出现行情 现场委托 通讯系统等交易业务系统 12 技术故障突发事件时 事件通报流程如下 1 证券营业部负责人 或现场最高负责人 现场立即指定一名 或两名合适人员作为本次故障报告联络人 向公司总部信息技术部 技术管理团队 经纪管理总部客户服务团队以及当地代表处负责人 汇报 报告方式 首先电话汇报 其次邮件汇报 报告内容 事发机构名称 时间 地点 故障现象简要描述 可能影响的业务范围及事态发展趋势 已采取或拟采取的应对措施 故障恢复的大致预期 联络人姓名和联系方式等内容 2 故障联络人要随时保持与公司信息技术部 经纪管理总部以 及中航信中心机房的联系 3 信息技术部技术管理团队接到故障通报后 立即向信息技术 部负责人报告 信息技术部负责人视事件影响情况向公司分管信息 技术副总裁报告 公司分管副总裁视事件影响情况向公司突发事件 领导小组组长 副组长汇报 4 经纪管理总部接到故障通报后 立即向经纪管理总部负责人 报告 经纪管理总部负责人视事件影响情况向公司分管经纪业务副 总裁报告 公司分管副总裁视事件影响情况向公司突发事件领导小 组组长 副组长汇报 5 如果证券营业部故障使现场所有客户交易中断 且 30 分钟 内没有恢复 公司总值班室根据公司突发事件领导小组的决定和指 示 向北京证监局 事发营业部所在证监局报告 报告时应先电话 13 口头汇报 然后填写 网络与信息安全事件情况报告书 见附件 1 按上述单位要求报送 6 公司要随时保持与北京证监局 事发营业部所在证监局的联 系 并每隔 30 分钟上报一次 直至系统恢复正常运行 3 4 2 事件处置流程 当证券营业部出现行情 现场委托 通讯系统等交易业务系统 技术故障时 具体应急预案如下 1 证券营业部负责人 当地代表处 营业部交易服务部应立即 派相关人员到故障现场 技术主管岗和技术助理岗应坚守岗位 2 技术管理人员根据故障点的具体情况 根据本部应急预案提 出解决建议 1 如果是硬件故障 及时启用备份系统 2 如果是通信线路问题 及时启用备份线路 3 如果是行情出现问题 及时切换到备份行情系统 若是地面行情故障 切换到卫星行情 若是卫星行情故障 切换到地面行情 3 技术管理人员首先口头请示营业部负责人 先行开展应急处 置 然后填写 故障处置方案审批表 见附件 2 由营业部负责 人审批 4 证券营业部负责人安排人员做好客户的安抚工作 并接听客 户咨询电话 采用适当方式尽快让投资者了解情况 并采用仍然可 用的交易手段或其他替代手段 14 5 信息技术部接到故障报告后 协调公司本部各相关部门及交 易所 登记公司 银行 运营商 技术支持厂商等资源 协助排查 故障及相关善后工作 6 公司突发事件领导小组后续将根据事件进展情况按如下方式 进行处理 1 决定 组织当地代表处所有力量 将故障营业部的客户转 移到邻近的兄弟营业部进行交易 2 如果因营业部系统故障引发投资者群体性事件 将按照公 司 突发事件管理办法 的有关预案开展应急处置工作 3 决定 组织其他措施等 3 5证券营业部行情 交易等业务系统遭受恶意侵入事件通报和 处置 3 5 1事件通报流程 事件通报流程同 3 4 1 的有关内容 不同点在于 1 信息技术部技术管理团队接到营业部事件报告后 向信息技 术部负责人报告的同时 应向安全管理团队进行通报 2 营业部负责人视事件影响情况向当地公安网监部门报案 请 求给予协助 3 5 2事件处置流程 事件处置流程同 3 4 2 的有关内容 不同点在于 信息技术部 安全管理团队接到营业部交易业务系统遭受恶意入侵事件报告后 协助 指导营业部开展应急处置工作 15 同时 营业部应做好有关数据备份 保留有关攻击日志信息 3 6三方存管系统技术故障事件通报和处置 3 6 1事件通报流程 当总部三方存管系统突发技术故障事件时 事件通报流程如下 1 中心机房三方存管值班人员向营业部电脑部组发送公司邮件 通报三方存管技术故障 同时向系统运维团队负责人报告 向系统 涉及的存管银行值班人员 各银行三方存管联系方式见附件 3 通 报事件情况 2 系统运维团队负责人立即向信息技术部负责人报告 3 信息技术部负责人视事件影响情况向公司分管信息技术副总 裁报告 公司分管副总裁视事件影响情况向公司突发事件领导小组 组长 副组长汇报 4 若公司三方存管系统或外联单位三方存管系统瘫痪 造成严 重影响 且 30 分钟内没有恢复 公司总值班室根据公司突发事件领 导小组的决定和指示 向北京证监局报告 报告时应先电话口头汇 报 然后填写 网络与信息安全事件情况报告书 见附件 1 按 上述单位要求报送 5 公司要随时保持与北京证监局的联系 并每隔 30 分钟上报 一次 直至系统恢复正常运行 6 系统恢复正常运行后 中心机房三方存管值班人员向营业部 电脑部组发送公司邮件 通知三方存管系统恢复正常运行 16 3 6 2事件处置流程 当三方存管系统突发技术故障事件时 具体处置流程如下 1 系统运维团队负责人立即组织三方存管系统管理员等有关人 员到故障现场 2 技术维护人员根据故障点的具体情况提出解决建议 1 如果是公司总部三方存管系统软 硬件故障 及时启用备 份系统 2 如果是与公司相连的外联的三方存管系统系统出现故障 则及时保持与事发单位的联系 3 如果是通信线路问题 及时启用备份线路 3 系统运维团队负责人首先口头请示信息技术部负责人 先行 开展应急处置 然后由系统运维人员填写 故障处置方案审批表 见附件 2 由系统运维团队负责人签字后 报信息技术部负责人 公司突发事件管理领导小组审批 4 公司突发事件领导小组后续将根据事件进展情况按如下方式 进行处理 1 协调公司本部各相关部门及相关政府部门 交易所 登记 公司 银行 运营商 技术支持厂商 媒体等资源 协助排查故障 及相关善后工作 2 通知证券营业部做好客户的安抚工作 3 如果因三方存管系统故障使营业场所发生群体性事件 将 按照公司 突发事件管理办法 的有关预案开展应急处置工作 17 4 决定 组织其他措施等 3 7网站技术故障事件通报和处置 3 7 1事件通报流程 当公司网站系统出现技术故障时 事件通报流程如下 1 网站监控人员立即向信息技术部网站开发运行团队负责人汇 报 汇报方式 首先电话汇报 其次邮件汇报 报告内容 事发机构名称 时间 地点 故障现象简要描述 可能影响的业务范围及事态发展趋势 已采取或拟采取的应对措施 故障恢复的大致预期等内容 2 网站开发运行团队负责人立即将网站技术故障具体情况向信 息技术部负责人汇报 3 信息技术部负责人视事件影响情况向公司分管信息技术副总 裁报告 公司分管副总裁视事件影响情况向公司突发事件领导小组 组长 副组长汇报 4 公司总值班室根据公司突发事件领导小组的决定和指示 向 北京证监局报告 报告时应先电话口头汇报 然后填写 网络与信 息安全事件情况报告书 见附件 1 按上述单位要求报送 5 公司随时保持与北京证监局的联系 并每隔 30 分钟上报一 次 直至系统恢复正常运行 3 7 2事件处置流程 1 网站负责人和相关技术人员根据具体故障判定故障点 根据 18 故障点的具体情况及时处理问题 1 如果是硬件问题 网站负责人安排相关技术人员及时赶到 北京电信托管机房 起用备用硬件 2 如果是软件问题 及时查找软件 bug 同时联系软件开发 商 按最短时间原则处理问题 如果自己无法短时间解决 就要求 开发商第一时间解决 3 如果是通信线路问题 及时将情况告知安全管理团队 朱 红 苑永革 邱龙 与运营商联系并解决 4 如果是数据库的问题 有系统维护人员根据问题的实际情 况进行处理 若果无法短时间解决 立即联系数据库供应商及时解 决 3 如果网站的通信通道仍然是畅通的 根据故障情况 由指定 系统维护人员启动临时主页 10 1 50 16 标示 系统正在维护 请稍后访问 如果无法启动应用 则关闭网站 3 8网站遭受恶意攻击事件通报和处置 3 8 1网络仿冒事件处置 3 8 1 1 事件通报流程 根据公司领导的指示 我司成立了有信息技术部 总裁办 法 律合规部 经纪管理总部相关人员组成的假冒网站处理小组 发现 假冒网站后 具体通报流程如下 1 信息技术部网站开发运行团队维护人员将假冒网站的具体情 况利用公司邮件通报公司假冒网站处理小组 同时向信息技术部负 19 责人汇报 2 信息技术部负责人视事件影响情况向公司分管信息技术副总 裁报告 公司分管副总裁视事件影响情况向公司突发事件领导小组 组长 副组长汇报 3 公司总值班室根据公司突发事件领导小组的决定和指示 向 北京证监局报告 报告时应先电话口头汇报 然后填写 网络与信 息安全事件情况报告书 见附件 1 按上述单位要求报送 必要 时 向北京市公安局网监处报案 报案网址为 http bj cyberpolice cn index htm 3 8 1 2 事件处置流程 1 信息技术部网站开发运行团队对于 cn 域名的假冒网站 将 地址发给 中国反钓鱼网站联盟 由该联盟统一进行处理 2 信息技术部网站开发运行团队在公司门户网站 对假冒网站地址进行公示 提醒投 资者不要访问防范假冒网站 3 总裁办公室视事件影响情况 向有关媒体和仿冒机构进行交 涉 或在媒体上发布公告 澄清相关事件 法律合规部提供法律支 持 3 8 2网站遭受 DDOS 攻击或其他恶意攻击事件处置流程 3 8 2 1 事件通报流程 当网站系统遭受 DDOS 攻击或其他恶意攻击时 事件通报流程如 20 下 1 网站监控人员立即向信息技术部网站开发运行团队负责人汇 报 报告方式 首先电话汇报 其次邮件汇报 报告内容 事发机构名称 时间 地点 故障现象简要描述 可能影响的业务范围及事态发展趋势 已采取或拟采取的应对措施 故障恢复的大致预期等内容 2 网站开发运行团队负责人将网站遭受攻击情况向信息技术部 负责人汇报 同时通报信息技术部安全管理团队 3 信息技术部负责人视事件影响情况向公司分管信息技术副总 裁报告 公司分管副总裁视事件影响情况向公司突发事件领导小组 组长 副组长汇报 4 网站遭受恶意攻击 30 分钟内仍然没有解决的 公司总值班 室根据公司突发事件领导小组的决定和指示 向北京证监局 报告 时应先电话口头汇报 然后填写 网络与信息安全事件情况报告书 见附件 1 按上述单位要求报送 必要时 向北京市公安局网监 处报案 报案网址为 5 公司随时保持与北京证监局的联系 并每隔 30 分钟上报一 次 直至系统恢复正常运行 3 8 2 2 事件处置流程 1 信息技术部安全管理团队负责人 网站开发运行团队负责人 立即组织相关技术人员到故障现场 备份网站日志信息 查看入侵 21 监测日志和防火墙日志 分析事件原因 2 根据攻击的具体情况提出解决建议 1 若网页被篡改 则及时恢复相关页面或删除非法图片和页 面 2 若网站遭受 DDOS 攻击 技术维护人员应将网站线路通过 F5 切换至部署有抗 DDOS 产品的线路上 3 9总部机房电力故障事件通报和处置 3 9 1事件通报流程 当公司总部机房电力系统出现故障时 事件通报流程如下 1 工作时间内 总部机房电力发生停电事件后 信息技术部安 全管理团队应立即将事件报告信息技术部负责人 同时联系应急发 电车厂商 动力环境运维厂商到现场应急 安全管理团队通知运维 团队 国企大厦 软件开发团队 技术管理团队关闭非关键业务系 统 非工作时间内 总部机房电力发生停电事件后 公司 4 层保安 立即将事件通知安全管理团队 同时联系应急发电车 动力环境运 维厂商到现场应急 安全管理团队将事件报告信息技术部负责人 同时通知运维团队 国企大厦 软件开发团队 技术管理团队各部 门负责人 2 技术管理团队向证券营业部发通知 通报公司非关键系统关 闭 3 信息技术部负责人视事件影响情况向公司分管副总裁报告 公司分管副总裁视事件影响情况向公司突发事件领导小组组长 副 22 组长汇报 4 公司总值班室根据公司突发事件领导小组的决定和指示 向 北京证监局报告 报告时应先电话口头汇报 然后填写 网络与信 息安全事件情况报告书 见附件 1 按上述单位要求报送 若机 房停电故障影响到登记结算业 还应同时向中国证券登记结算公司 上海分公司和深圳分公司报告 5 公司随时保持与北京证监局 登记结算公司等单位的联系 并每隔 30 分钟上报一次 直至系统恢复正常运行 6 电力正常供电后 安全管理团队负责人向信息技术部负责人 报告 通知信息技术部各二级部门开启相关系统 技术管理团队再 次向证券营业部发通知 通报公司非关键系统已经开启 3 9 2事件处置流程 1 总部机房电力发生停电事件后 信息技术部安全管理团队立 即联系应急发电车 动力环境运维厂商到现场应急 协调保卫处预 留大厦东门车位 以备发电车入场 若非工作时间内发生机房停电 事件 4 层保安立即联系应急发电车 动力环境运维厂商到现场应 急 协调预留大厦东门车位 以备发电车入场 2 安全管理团队和公司总部 4 层保安打开 UPS 间大门通风降温 安全管理团队通知运维团队 国企大厦 软件开发团队 技术管理 团队关闭各自负责的非关键业务系统 3 安全管理团队做好一层 UPS 间的准备工作 等待应急发电 车接入 23 4 动力环境厂商 发电车到场后与安全处接驳电源 5 动力环境厂商检查发电车供电合格后切换供电系统到发电车 6 发电车供电后信息技术部系统维护人员检查相应负责的系统 运行情况 安全管理团队持续监控机房温度情况 检查空调运行状 态 7 市电恢复后由动力环境厂商协调安全管理团队将发电车供电 断开 切换至市电供电 8 安全管理团队同动力环境厂商检查空调运行状态 9 安全管理团队向部门内发通知 要求各系统运维人员检查所 负责的系统运行情况 并逐步恢复非关键业务系统 10 技术管理团队通知证券营业部非关键系统恢复正常运行 3 10 机房火灾事件通报和处置 机房突发火灾事件的通报和处置依据 中国银河证券股份有限 公司火灾突发事件应急预案 的有关规定执行 3 11 大规模蠕虫 病毒爆发事件通报和处置 3 11 1事件通报流程 当公司信息技术部安全管理团队监测或接收到公司发生大规模 蠕虫 病毒事件 可能导致集中交易系统等重要信息系统运行中断 或运行缓慢时 事件通报流程如下 1 信息技术部安全管理团队安全员应立即将事件情况上报团队 负责人 安全管理团队负责人立即将事件报告信息技术部负责人 24 2 信息技术部安全管理团队维护人员视事件影响情况以 安全 员 的名义向全公司发布病毒攻击信息 3 信息技术部负责人视事件影响情况向公司分管信息技术副总 裁报告 公司分管副总裁视事件影响情况向公司突发事件领导小组 组长 副组长汇报 4 若 30 分钟内病毒传播仍然没有得到控制 公司总值班室根 据公司突发事件领导小组的决定和指示 向北京证监局报告 报告 时应先电话口头汇报 然后填写 网络与信息安全事件情况报告书 见附件 1 按上述单位要求报送 5 公司随时保持与北京证监局的联系 并每隔 30 分钟上报一 次 直至受影响系统恢复正常运行 3 11 2事件处置流程 公司信息技术部安全管理团队监测或接收到公司发生大规模蠕 虫 病毒事件后 立即启动本预案 迅速开展处置 1 向全公司发布病毒攻击预警信息 提示开启防病毒软件 2 查看公司入侵检测系统和防火墙 启动抓包工具 查找 定 位病毒源 3 对总部感染病毒的计算机进行病毒查杀 必要时 将感染病 毒的计算机进行断网 4 必要时通过交换机 路由器等设备封闭病毒传播端口 防止 影响范围扩大 5 向证券营业部发布病毒查杀方法和示例 指导分支机构进行 25 病毒的查杀 6 病毒查杀完毕后 信息技术部安全管理团队向全公司发布病 毒应急事件结束信息 4后续处置 事件应急处置结束后 事发部门应在 4 小时内提交事件分析总 结报告 经公司突发工作领导小组确认后 加盖公司公章送公司总 值班室 由公司总值班室在自系统恢复运行后 12 小时内 将事件分 析总结报告上报北京证监局和中国证券业协会 涉及远程接入交易 所系统的故障 应同时上报有关交易所 事件总结报告内容应包括但不限于 一 事件概况 包括事件发生时间 地点 事件经过 事件 影响范围 影响程度 影响人数 经济损失和导致的后果等 二 应急处置过程 包括事件上报过程 采取的措施及效果 三 事件发生的主要原因分析 事件性质 结论 暂时无法 确定事件原因的 应给出事件的初步原因 并组织力量尽快查找原 因