计算机信息系统损害事件应急预案

1、第 页计算机信息系统损害事件应急预案 1 事件定义及分级 1.1 定义 计算机信息系统损害事件系指管理处计算机信息系统及相关通信网络遭受黑客恶意攻击、大规模计算机病毒袭击、人为破坏、自然灾害破坏或其它不可抗力影响，引发多地点基础网络、重要信息系统、网站瘫痪，导致关键业务中断或重要信息丢失、泄密，造成或可能造成较大经济损失或严重社会影响的事件。 1.2 分级 依据计算机信息系统损害灾害事件的性质、危害程度、波及范围，可以将其划分为两级：管道分公司及以上级、管理处级。 1.2.1 管道分公司及以上级计算机信息系统损害灾害事件 1SCADA系统被恶意攻击、修改或破坏，导致逻辑控制紊乱，造成系统瘫痪、

2、数据丢失、控制失灵，严重影响安全生产的事件； 2主要通信系统损坏，造成SCADA系统无法运行的事件； 3因计算机信息系统设备、软件故障，造成SCADA系统、OA系统、ERP系统、财务管理信息系统、安全信息管理系统等主要计算机信息系统大面积瘫痪，严重影响安全生产、造成公司重大经济损失或重要信息被泄露的事件； 5公司大部分办公电脑被黑客攻击中毒或网络瘫痪无法正常办公的事件； 6其它经管道分公司应急指挥中心危害分析、风险评估后认为属于管道分公司级级事件的计算机信息系统损害事件。 1.2.2 管理处级计算机信息系统损害灾害事件 1因计算机信息系统设备、软件故障，造成SCADA系统逻辑控制紊乱，但可通过

3、切断与第三方设备通信方式解决，不会造成整个SCADA系统故障的事件； 2因通信故障或计算机软件故障，仅影响部分站控系统运行或RTU阀室上传信号，不造成控制紊乱的事件； 3通信网络、主机、服务器信息系统软、硬件损坏，对安全生产和重要业务造成稍微影响，但可在短时间内进行恢复的事件； 4局域网内多台办公电脑同时中毒，已影响到正常办公，但可通过杀毒、重新安装系统、改换软件等方式及时解决的事件； 5管理处网页被恶意攻击、修改，散布反动言论、不良信息的事件； 6其它经危害分析、风险评估后认为属于管理处级级事件的计算机信息系统损害事件。 2 应急报告 2.1 报告程序 事件发生时，按照总体预案中5.1条规定

4、的程序报告。 2.2 报告内容 2.2.1 计算机信息系统损害事件发生时，应马上向管理处应急值班室、管道分公司应急指挥中心办公室报告，报告应包括但不限于以下内容： 1事件发生的时间、地点和部位、设备设施名称等； 2事件发生过程； 3损害程度及影响范围； 4已采用的应急措施； 5救援要求； 6报告人的姓名、职务和联系方式。 2.2.2 在事件处置过程中，各单位、了解事态进展状况，随时用 、 等方式跟进报告，报告应包括但不限于以下内容，报告应包括但不限于表11.1中的内容： 表11.1 计算机信息系统损害事件应急报告表 报告时间： 年x月xx日 时 分 单位名称报告人联系通讯地址传 真电子邮件发生

5、安全事件的信息系统基本信息名称及用途硬件及型号操作系统数据库应用软件系统安全测评 是，已经通过安全测评 是，但未通过安全测评 否，未通过过安全测评发生安全事件的网络基本信息网络概况： IP地址段： 网络结构： 主要网络设备: 其它： 负责部门负责人信息损害事件的简要描述如以前出现过类似状况也应加以说明初步判定的事件原因当前采用的应对措施本次事件的初步影响状况事件后果业务中断 系统破坏 数据丢失 其它影响范围局部 大面积 整个信息系统 其它严重程度级 级 级 级 值班 ： ： 电子邮箱E-mail： 3 应急处置 3.1 应急行动 3.1.1 现场应急指挥部 1收集现场信息，核实现场状况，依据现

6、场的变化制定和调整现场应急处置方案，并组织实施； 2整合、调配现场应急资源，统一指挥抢险工作； 3在应急处置中，出现异常及时向应急指挥中心办公室汇报、请示并落实指令； 4依据现场处置必须要，请求应急指挥中心办公室协调组织其他应急资源； 5核实应急终止条件并向应急指挥中心办公室请示应急终止； 6完成应急指挥中心办公室交办的其他任务。 3.1.2 各专业组 3.1.2.1 生产运行组 1跟踪并具体了解计算机信息系统损害事件应急处置状况，及时向现场应急指挥部、应急指挥中心办公室汇报、请示并落实指令； 2执行应急指挥中心办公室制订的应急气量调配方案； 3坚持现场与应急指挥中心办公室的联系； 4按照顾急

7、处置方案，组织实施SCADA系统、光缆通信系统损害抢险工作。 3.1.2.2 技术支持组 1进行事件发生现场数据采集； 2通知相关专业化服务队伍赶赴现场进行处置； 3结合事件发生现场实际状况，组织技术人员制定或调整相应的应急处置方案； 4按照顾急处置方案，组织实施除SCADA系统、光缆通信系统外的计算机信息系统损害抢险工作。 5负责抢险作业中的质量监督。 6为抢险工作提供技术支持； 7依据应急指挥中心办公室指令，向相关部门、单位进行求援。 3.1.2.3 综合保证组 1调配车辆，马上将现场应急指挥部成员送到现场； 2确定或搭建现场指挥部临时办公地点，做好交通保证工作； 3安排食品、饮用水、洗涤

8、用品、急救医疗用品等生活物资，满足抢险人员的生活必须要； 4开展宣扬，做好员工和群众情绪稳定工作； 5安排专人对现场状况及应急过程进行录音、录像； 3.2 现场抢险措施 3.2.1计算机信息系统损害事件应急处置指导原则 1保持统一指挥、规范操作、反应迅速、处理高效的原则。 2当发生恐惧袭击危及到计算机信息系统安全时，应依据当时的实际状况，在保证人身安全的前提下，保证数据的安全和设备安全。 3当人为或病毒破坏计算机信息系统安全时，按照计算机信息系统安全事件发生的性质可采用用隔离故障源、暂时关闭故障系统、保留痕迹等措施。 3.2.2 计算机信息系统损害事件应急处置措施 1事件认定和评估 l 收集计

9、算机信息安全事件相关信息，识别事件类别，推断破坏的来源与性质，保证证据准确，以便缩短应急响应时间。 l 及时检查威胁造成的结果，评估事件带来的影响和损害。如检查系统、服务、数据的完整性、保密性或可用性；检查攻击者是否侵入了系统；以后是否能再次随意进入；损失的程度；确定暴露出的主要危险等。 2控制事态发展 采用各种措施抑制事件的影响进一步扩展，限制潜在的损失与破坏。可能的抑制策略一般包括： l 关闭服务或关闭所有的系统； l 从网络上断开相关系统的物理链接； l 修改防火墙和路由器的过滤规则； l 封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路； l 提升系统或网络行为的监控级别；

10、l 设置陷阱；启用紧急事件下的接管系统； l 执行特别“防卫状态安全警戒；反击攻击者的系统等。 3事件消除 l 在事态得到控制之后，跟踪并锁定破坏来源的IP或其它网络用户信息，通过对有关恶意代码或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。 l 联系执法部门和其它相关机构对攻击源进行定位并采用合适的措施将其中断。 4系统恢复 l 修复被破坏的信息、清理系统、恢复数据、程序、服务，恢复信息系统；把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。 l 恢复工作应采用相应的安全措施，避免出现操作失误而导致数据丢失。 l 如果攻击者获得了超级用户的访问权，一次完整的恢复应强制性

11、地修改所有的口令。 l 恢复工作中如果涉及到涉密数据，必须遵照涉密系统的恢复要求。 l 对不同任务的恢复工作的承当单位，要有不同的担保。 5事件追踪 l 密切关注系统恢复以后的安全状况，特别是曾经出问题的地方。 l 建立跟踪文档，规范记录跟踪结果。 l 对响应效果给出评估，按照表11.2的内容填写应急总结并上报上级主管部门备案。 l 对进入司法程序的事件，进行进一步的调查，打击违法犯罪活动。 表11.2 计算机信息系统损害事件处理结果应急报告表 原事件报告时间： 年x月xx日 时 分 备案编号： 年x月xx日 第 号 总第 号 单位名称联系人联系通信地址传 真电子邮件发生事件的计算机信息系统基

12、本信息名称及用途硬件及型号操作系统数据库应用软件系统安全测评 是，已经通过安全测评 是，但未通过安全测评 否，未通过过安全测评发生事件的网络基本信息网络概况：IP地址段：网络结构：主要网络设备:其他：信息系统损害事件的补充描述及最后判定的事件原因对本次信息系统损害事件的事后影响状况事件后果业务中断 系统破坏 数据丢失 其他影响范围局部 大面积 整个信息系统 其他严重程度级 级 级 级本次信息系统损害事件的主要处理过程与结果必要时可附文字、框图、图片等材料针对此类事件应采用的保证网络与信息系统安全的措施和建议 报告人签章 值班 ： ： 电子信箱E-mail： 4 应急终止 经应急处置后，管理处现

13、场应急指挥部确认以下条件同时满足时可下达应急终止指令： 1计算机信息系统攻击行为被彻底清除或隔离； 2计算机信息系统恢复正常； 3社会影响减到最小。 5 应急保证 5.1 队伍保证 江苏管理处计算机信息系统损害事件必须要调用和协调的应急队伍有： 1管理处修理队； 2各计算机信息系统开发商、中油龙慧、中原通讯公司等相关专业化服务队伍。 5.2 设备保证 管理处计算机信息系统损害事件必须要配备的基本应急救援设备有： 1交通运输类设备：包括越野车等，用于应急人员、伤员、设备、救援物资的运输。 2施工类设备：包括工程抢险车、光纤熔接机、光功率检测仪、光时域反射仪、发电机、笔记本电脑等，用于计算机信息系统的检测、修理施工作业。 3记录类设备：包括照相机、摄像机等，用于