工业控制系统（若有）网络攻击应急预案

第第PAGE\MERGEFORMAT1页共NUMPAGES\MERGEFORMAT1页工业控制系统（若有）网络攻击应急预案一、总则

1适用范围

本预案适用于本单位工业控制系统（ICS）遭受网络攻击，导致生产中断、数据泄露、设备损坏或关键业务功能异常等情况。覆盖范围包括但不限于控制系统网络、工业服务器、SCADA系统、DCS系统、MES系统及关联的业务数据库。预案旨在规范网络攻击事件应急响应流程，降低事件对生产经营的影响，确保系统快速恢复，保障安全生产。以某化工厂MES系统遭受勒索软件攻击导致生产计划瘫痪为例，事件涉及工控数据篡改和业务中断，符合本预案适用条件。

2响应分级

依据事故危害程度、影响范围及控制事态能力，将应急响应分为三级。

2.1一级响应

适用于重大网络攻击事件，表现为ICS核心系统瘫痪、关键数据被窃或篡改，或造成人员伤亡。例如，某钢厂DCS系统被植入后门程序，导致关键工艺参数异常，需启动一级响应。触发条件包括：控制系统核心组件受损、核心生产数据丢失、或攻击范围波及跨区域系统。一级响应原则为“快速遏制”，需立即启动跨部门总指挥部，协调网络安全、生产、安全等部门。

2.2二级响应

适用于较大网络攻击事件，表现为部分ICS子系统功能受限，或非核心业务数据泄露。如某制药厂SCADA系统遭受拒绝服务攻击，导致部分生产线停摆，但未影响核心工艺安全。触发条件包括：子系统通信中断、非关键数据泄露（如非生产日志）、或攻击仅限于单一工厂。二级响应原则为“分区恢复”，由工厂级应急小组负责，优先保障安全联锁功能。

2.3三级响应

适用于一般网络攻击事件，表现为非ICS网络渗透或低影响数据异常。如某企业邮件系统被钓鱼攻击，未波及控制系统。触发条件包括：仅限于办公网络异常、无ICS组件受损、或影响范围限于单台终端。三级响应原则为“常规处置”，由IT部门按既定流程处理，每日统计处置进度。

分级遵循“分级负责、逐级提升”原则，确保响应资源与事件级别匹配，避免误判导致响应滞后。以某水泥厂为例，MES系统被试探性攻击时，按三级响应启动，若攻击者尝试横向移动至DCS系统，则升级至二级响应。

二、应急组织机构及职责

1应急组织形式及构成单位

成立网络攻击应急指挥部，下设技术处置、生产保障、安全保卫、外部协调四个工作组，构成单位包括网络安全部、信息中心、生产部、设备部、安全环保部、办公室等。指挥部由总经理担任总指挥，副总经理担任副总指挥，成员单位负责人为成员。应急指挥部负责统筹决策，统一调度资源。技术处置组作为核心执行单元，由网络安全部牵头，信息中心、外部安全顾问公司技术专家参与。生产保障组由生产部、设备部组成，负责受影响工控系统的隔离与恢复。安全保卫组由安全环保部、办公室组成，负责现场秩序维护与信息安全通报。外部协调组由办公室、网络安全部组成，负责与监管机构、公安机关联络。

2工作小组职责分工及行动任务

2.1技术处置组

构成单位：网络安全部（负责态势感知平台分析）、信息中心（负责网络设备管控）、外部安全顾问公司（负责攻击溯源与漏洞修复）、第三方应急响应团队（负责技术支持）。职责：实时监控攻击路径，快速执行网络隔离与访问控制；分析攻击载荷，识别恶意代码特征；修复系统漏洞，恢复受控设备；编制攻击溯源报告，评估系统脆弱性。行动任务包括：30分钟内完成受影响ICS网络区域隔离，6小时内完成恶意代码清杀，72小时内完成系统漏洞修复验证。

2.2生产保障组

构成单位：生产部（负责工艺参数监控）、设备部（负责设备状态检查）、操作工段（负责现场设备确认）。职责：动态监测受影响工控系统运行状态，调整非关键设备运行模式；组织操作工段对现场设备进行安全确认，防止误操作；协调备品备件更换，保障核心工艺安全连锁功能。行动任务包括：2小时内完成非关键设备切换至手动模式，12小时内恢复关键设备自动控制权，24小时内完成备件更换与测试。

2.3安全保卫组

构成单位：安全环保部（负责厂区警戒）、办公室（负责信息发布）、应急演练专员（负责现场协调）。职责：设立临时警戒区，禁止无关人员进入核心区域；监控视频异常情况，防止次生事件；统一发布内部通报，稳定员工情绪。行动任务包括：1小时内完成厂区关键路口管控，4小时内完成全员安全培训，每日两次发布系统恢复进度通报。

2.4外部协调组

构成单位：办公室（负责官方联络）、网络安全部（负责技术对接）。职责：联系公安机关网安部门进行攻击溯源取证，通报事件处置进展；协调行业监管机构进行合规审查；寻求供应链合作伙伴技术支持。行动任务包括：24小时内完成公安机关技术对接，48小时内提交监管机构初步报告，72小时内汇总供应链技术方案。

各小组执行过程中需通过应急指挥平台实时共享日志与报告，指挥部每日召开协调会研判进展，确保各环节衔接。

三、信息接报

1应急值守电话

设立24小时应急值守热线（电话号码预留），由办公室指定专人负责值守，确保第一时间接收信息。网络安全部、信息中心保持值班人员手机畅通，遇重大事件立即上报指挥部。值守电话需在单位内部公告栏、应急平台醒目位置公示。

2事故信息接收

信息接收渠道包括但不限于：网络安全监测平台告警、操作工段异常报告、员工举报、外部机构通报。接收程序要求：值班人员接报后立即核实报告人身份，记录事件要素（时间、地点、现象、影响范围），判断事件等级初判，并第一时间上报指挥部总指挥或授权副总指挥。对于涉及ICS核心系统的攻击，需在5分钟内通知技术处置组核心成员。

3内部通报程序与方式

通报程序遵循“分级递进”原则。一般事件由值班人员向生产部、网络安全部同步，12小时内通过内部办公系统发布通报；较大事件由指挥部指定办公室起草，24小时内向全体员工发布简报，说明事件处置进展与防范要求；重大事件由指挥部总指挥签发，立即向单位所有部门、分子公司同步，并同步至企业安全生产委员会。通报方式包括内部公告、邮件推送、应急广播、部门会议同步。责任人：办公室负责信息汇总与发布，生产部负责生产受影响情况通报，网络安全部负责技术细节通报。

4向上级报告事故信息

报告流程：接报后1小时内向单位上级主管部门报告事件初步信息（时间、地点、初步影响），4小时内提交详细报告（事件性质、响应措施、潜在风险）。报告内容必须包含：事件发生时间、涉及ICS系统名称、攻击类型（如APT攻击、拒绝服务）、受影响设备数量、已采取措施、预计恢复时间。报告时限依据事件等级确定：一般事件24小时内补报处置结果，较大事件48小时提交复盘报告，重大事件72小时内提交完整处置报告。责任人：办公室牵头，网络安全部提供技术信息，生产部提供业务影响数据。

5向外部单位通报事故信息

通报范围：公安机关网安部门、行业主管部门、受影响上下游企业、认证机构等。通报程序：重大事件发生后2小时内，由指挥部授权办公室联系公安机关网安部门，同步事件要素与溯源需求；12小时内向行业主管部门提交书面报告，附技术分析报告；若涉及供应链风险，24小时内通知相关企业。通报方式采用书面函件、安全传真、加密邮件，重要事项需当面沟通。责任人：办公室统筹联络，网络安全部提供技术报告，法务部审核敏感信息。所有外部通报需留存记录，并按监管要求归档。

四、信息处置与研判

1响应启动程序与方式

响应启动遵循“分级授权、动态调整”原则。技术处置组在确认事件要素后，立即向应急指挥部总指挥或授权副总指挥提交启动建议，包含事件性质、影响范围、可控性评估。总指挥或授权副总指挥结合应急指挥部研判结果，决定启动级别（一级、二级或三级）并宣布执行。对于达到重大事件标准的攻击（如核心控制逻辑被篡改、关键数据丢失），可实行“自动触发”响应，即技术处置组确认后，无需逐级上报，直接启动一级响应准备，同时通知指挥部启动。

2预警启动与准备

当事件未达响应启动条件，但存在升级风险时（如攻击者持续探测ICS网络、监测到异常流量但未造成实质损害），应急指挥部可决定启动预警响应。预警响应级别低于正式响应，主要任务是：技术处置组加强监测频率，每小时输出分析报告；生产保障组检查受影响系统备件与切换预案；安全保卫组进行厂区重点区域巡检；外部协调组评估潜在影响，准备上报材料。预警响应持续期间，若事件升级至响应启动条件，则立即转为相应级别响应。

3响应级别调整机制

响应启动后，应急指挥部每4小时组织一次研判会议，技术处置组提供最新攻击态势分析，包括受控系统数量、数据篡改范围、攻击者持久化手段等。根据研判结果，可对响应级别进行调整：若发现攻击范围扩大至其他ICS子系统，或攻击者采用零日漏洞攻击，则升级响应级别；若通过隔离措施有效遏制攻击，且受影响系统恢复至安全状态，则可降级响应。级别调整需由指挥部决策，并通知所有成员单位。调整后的响应措施需补充完善，确保覆盖新增风险点。

4事态发展与处置需求分析

响应过程中，技术处置组需实时分析攻击载荷特征、通信协议、数据篡改模式，判断攻击者意图（如窃取商业秘密、破坏生产秩序）。结合生产保障组反馈的设备状态、安全联锁功能完好性，评估事件对安全生产的实质影响。处置需求分析结果用于指导资源调配，如决定是否引入外部应急响应团队、是否申请政府技术支持。每日需输出《事态发展与处置需求分析报告》，作为调整响应级别的重要依据。

五、预警

1预警启动

预警启动条件：监测到异常攻击行为但未造成实质性损失，如ICS网络出现疑似恶意IP访问、检测到未知恶意代码样本、关键系统遭受拒绝服务攻击但未突破防御、或监测到供应链软件漏洞被利用的风险。预警信息发布需在30分钟内完成。发布渠道包括：内部应急广播、生产车间告示屏、办公系统弹窗通知、各部门负责人短信通知。发布方式采用分级推送，先向技术处置组、生产保障组、安全保卫组核心人员推送，随后扩大至全体员工。预警信息内容必须明确：风险类型（如DDoS攻击、漏洞扫描）、影响范围（如特定ICS子网）、初步研判的潜在后果（如可能导致生产中断）、建议的防范措施（如加强访问控制、检查备份数据）。

2响应准备

预警启动后，应急指挥部立即启动响应准备工作，重点做好以下事项：

队伍准备：技术处置组进入24小时待命状态，关键岗位人员手机保持畅通；生产保障组检查应急切换预案的完备性；安全保卫组加强厂区巡逻频次。

物资准备：检查备用服务器、网络设备、关键备件库存，确保可用；技术处置组准备应急工具包（包括网络流量分析工具、恶意代码分析环境、应急补丁包）。

装备准备：启动网络安全态势感知平台实时监控，启用备份防火墙策略，检查通信线路冗余情况。

后勤准备：为应急人员提供临时工作场所与餐饮保障，协调外部住宿需求。

通信准备：技术处置组建立加密通信群组，确保指令与情报传递安全；安全保卫组检查厂区视频监控系统与应急照明设备状态。

3预警解除

预警解除条件：发布预警后2小时内，经技术处置组确认攻击行为停止、或采取的临时性控制措施（如隔离受影响区域）有效，且未观察到新的攻击迹象。解除要求包括：由技术处置组提交《预警解除评估报告》，经应急指挥部审核通过；通过原发布渠道发布解除通知，明确解除时间与后续观察期。责任人：技术处置组负责任务核实，应急指挥部总指挥或授权副总指挥负责解除决策与通知发布。解除后仍需保持7天重点监控，期间若出现新情况，重新启动预警程序。

六、应急响应

1响应启动

1.1响应级别确定

响应启动后，应急指挥部立即组织技术处置组、生产保障组、安全保卫组进行初步研判，依据《应急组织机构及职责》中明确的分级标准，确定响应级别。研判依据包括：受影响ICS系统重要性（核心控制系统vs非核心系统）、攻击后果严重性（数据泄露vs生产中断）、攻击范围（单一工厂vs跨区域）、以及本单位控制能力（能否在规定时间内遏制事态）。例如，针对导致关键DCS参数异常、威胁核心工艺安全的攻击，直接启动一级响应。

1.2程序性工作

响应启动后立即开展以下工作：

（1）应急会议：1小时内召开指挥部第一次应急会议，明确分工，部署任务，会议纪要需详细记录决策事项。随后根据处置进展，每日召开总结协调会。

（2）信息上报：按《信息接报》要求，1小时内向单位上级主管部门报告初步情况，后续按时限要求提交详细报告。

（3）资源协调：技术处置组编制《应急资源需求清单》，包括专业技术人员、安全防护装备、备用物资、外部专家等，由办公室牵头协调落实。

（4）信息公开：根据事件影响范围与性质，由办公室负责制定信息发布口径，经指挥部批准后，通过内部公告、网站、官方账号等渠道发布权威信息，避免谣言传播。

（5）后勤及财力保障：办公室负责协调应急人员食宿、交通，财务部门保障应急物资采购、专家咨询费用等必要支出，实行专款专用。

2应急处置

2.1事故现场处置

（1）警戒疏散：安全保卫组立即设立警戒区域，禁止无关人员进入，疏散非必要人员至安全地带。对可能受影响区域（如受损设备附近）设置警示标识。

（2）人员搜救：若事件导致人员受伤，由安全环保部协调医疗机构进行救治，并安抚家属情绪。

（3）医疗救治：指定厂内医务室或联系外部医疗机构，做好受伤人员的转运与治疗准备。

（4）现场监测：技术处置组利用网络流量分析工具、主机安全扫描仪等设备，对受影响网络段进行实时监控，检测异常行为或攻击反弹迹象。

（5）技术支持：技术处置组与外部安全顾问公司协作，进行攻击溯源、恶意代码分析、漏洞验证等工作。

（6）工程抢险：生产保障组、设备部负责检查受影响设备状态，必要时启动备用设备，或对受损设备进行抢修。

（7）环境保护：安全环保部监测生产环境（如废水、废气），防止因系统异常导致环境污染。

2.2人员防护

技术处置组人员在进入受污染网络区域前，需穿戴防静电服、佩戴防静电手环，使用专用工具进行数据恢复或设备修复操作。安全保卫组人员需佩戴工作证件，配备对讲机、急救包等防护装备。

3应急支援

3.1外部支援请求

当本单位资源不足以控制事态时（如遭遇国家级APT攻击、关键设备彻底损毁），由应急指挥部授权办公室向以下单位发出支援请求：

（1）公安机关网安部门：请求协助攻击溯源、网络取证。

（2）国家或地方应急响应中心：请求专业技术支持与漏洞库服务。

（3）行业主管部门：请求政策指导与协调区域资源。

请求程序：办公室起草支援请求函，明确事件简报、需求清单、联系人信息，通过加密渠道发送。

3.2联动程序

接到支援请求后，由应急指挥部指定联络员，负责与外部力量对接，提供必要的技术文档与现场条件。外部力量到达后，由指挥部总指挥决定指挥关系，通常采取“统一指挥、分级负责”模式，重要决策由指挥部集体研究。技术处置组负责技术层面的对接与协作。

3.3外部力量指挥

外部力量参与处置期间，需遵守本单位安全规定，并接受技术指导。指挥部定期召开协调会，通报进展，解决协作问题。处置结束后，需配合完成技术总结与资料移交。

4响应终止

4.1终止条件

满足以下条件方可终止应急响应：

（1）攻击完全停止，恶意代码清除，系统漏洞修复；

（2）受影响ICS系统恢复正常运行，生产秩序恢复稳定；

（3）环境监测符合相关标准，无次生风险；

（4）经技术处置组连续72小时监测，未发现新的攻击迹象。

4.2终止要求

终止响应需由应急指挥部总指挥签署《应急响应终止决定书》，并通过原发布渠道通知所有成员单位与相关方。终止后28天内，需提交《应急响应总结报告》，内容涵盖事件经过、处置过程、资源消耗、经验教训等。

4.3责任人

应急响应终止由应急指挥部总指挥最终决策，办公室负责文书工作，技术处置组负责技术评估，安全环保部负责环境确认。

七、后期处置

1污染物处理

针对网络攻击可能导致的非传统“污染物”（如被篡改的生产数据、异常的工艺参数记录、潜在的病毒木马残留），需进行系统性清理与验证。技术处置组负责对受影响的工业控制系统数据库、日志文件进行溯源分析，识别并清除恶意代码或其留下的后门；联合生产保障组，对被篡改的生产参数进行核查，必要时恢复至安全的历史基准点。安全保卫组负责对网络设备、终端主机进行病毒扫描与漏洞修复。所有清理工作需形成详细记录，并由第三方安全服务机构进行确认，确保无残余风险。

2生产秩序恢复

生产秩序恢复遵循“先核心后辅助、先验证后运行”原则。生产保障组根据技术处置组提供的系统恢复评估报告，制定分阶段恢复方案，优先保障核心生产流程的自动控制功能。恢复过程中，增加对关键控制点的手动监控频次，实施异常工况的快速干预预案。设备部负责对修复后的设备进行功能性测试与性能验证。信息中心负责验证生产数据链路的完整性。恢复后72小时内，需持续监控系统运行状态，每月进行一次安全演练，确认系统稳定性。

3人员安置

若网络攻击导致员工工作场所受影响（如信息系统瘫痪影响办公），办公室负责协调提供临时办公场所或远程办公条件，确保员工能够正常开展工作。安全环保部负责对可能因系统异常导致工作环境风险（如通风、温控系统异常）的区域进行评估，必要时组织人员暂时撤离。对因事件导致工作能力影响的员工，由人力资源部门根据相关规定提供支持。同时，需组织开展心理疏导，由办公室牵头，工会配合，帮助员工缓解因事件引发的焦虑情绪。

八、应急保障

1通信与信息保障

1.1保障单位及人员

网络安全部负责应急通信的技术支持，信息中心负责网络基础设施保障，办公室负责协调外部通信资源。应急指挥部成员单位负责人为通信联络人，需保持24小时通讯畅通。

1.2通信联系方式和方法

建立应急通信录，包含指挥部成员、成员单位联络人、外部协作单位（如公安机关、安全顾问公司）的加密电话、对讲机频道、即时通讯账号。优先保障卫星电话、专用网络线路等硬隔离通信手段。信息传递采用分级发送原则，重要指令通过加密邮件、安全传真发送。

1.3备用方案

针对核心通信线路中断，备用方案包括：启用移动通信基站信号增强设备，部署便携式自组网（Mesh）设备，利用对讲机进行近距离指挥。信息传递备用方案为：采用U盘等物理介质传递关键数据，利用可信第三方平台进行加密文件交换。

1.4保障责任人

信息中心负责人为通信保障总责任人，网络安全部指定专人负责加密通信设备的维护，办公室负责外部通信资源的协调。每日检查应急通信设备状态，每月进行一次通信演练。

2应急队伍保障

2.1人力资源

（1）专家库：组建由内部资深工程师、外部安全顾问公司专家、高校教授构成的应急专家库，建立专家信息库及联系方式。

（2）专兼职应急救援队伍：网络安全部组建5人专兼职技术处置队，负责日常监测与应急响应；生产部、设备部抽调10人组成生产保障队，负责工艺与设备协调。

（3）协议应急救援队伍：与2家具备ICS安全资质的第三方应急响应团队签订合作协议，明确服务范围、响应流程及费用标准。

2.2队伍管理

定期组织应急队伍培训和演练，检验队伍的协同作战能力。专家库实行动态管理，每年更新一次。专兼职队伍每半年进行一次技能考核。

3物资装备保障

3.1物资装备清单

（1）应急通信装备：卫星电话2部、便携式Mesh路由器3套、加密对讲机20部、应急电源柜5套。

（2）技术处置装备：网络流量分析设备2套、主机安全检测仪10台、恶意代码分析工作站2套、工业控制系统仿真器1台。

（3）生产保障物资：备用服务器主板2套、关键传感器备件20套、应急照明设备10套、临时电源线500米。

（4）防护装备：防静电服20套、防静电手环50个、急救包20套。

3.2管理要求

所有应急物资装备统一存放于信息中心指定的专用库房，建立《应急物资装备台账》，详细记录物资名称、规格型号、数量、存放位置、购置日期、有效期等信息。台账实行动态更新，每年盘点一次。

3.3使用与维护

物资装备实行领用登记制度，由办公室统一调配，用后及时归还。技术处置装备需定期校准，确保性能完好。应急通信设备每月进行一次功能测试。

3.4更新补充

根据应急演练评估结果和新技术发展，每年评估物资装备的适用性，及时补充或更新。例如，网络流量分析设备需升级至支持最新网络协议版本。

3.5管理责任人

信息中心负责人为物资装备保障总责任人，指定专人负责台账管理，办公室负责协调采购与运输。

九、其他保障

1能源保障

确保应急期间关键负荷的电力供应。由设备部负责检查备用电源（如发电机、UPS系统）的完好性，定期进行启动测试。制定重点负荷切换方案，确保ICS系统、核心生产设备、应急照明、通信系统等获得持续供电。与电力供应商建立应急联系机制，必要时请求优先供电。

2经费保障

设立应急专项经费，由财务部门管理，专项用于应急物资采购、专家咨询费、外部服务费、设施修复等。经费使用需遵循审批程序，重大支出由应急指挥部决策。每年根据风险评估结果，修订经费预算。

3交通运输保障

由办公室负责协调应急期间的交通运输需求。准备应急车辆（如越野车、运输车辆），确保能够运送应急人员、物资装备到达指定地点。与外部运输公司签订应急运输协议，保障应急物资的快速运输。

4治安保障

安全保卫组负责应急期间的厂区治安管理，增设巡逻力量，封锁可能被攻击者利用的入口。协调公安机关协助维护厂区及周边秩序，防止无关人员干扰或次生事件发生。对重要设施区域实施重点监控。

5技术保障

信息中心作为技术保障主体，负责应急通信、网络隔离、数据备份与恢复等技术的支持。保持与科研机构、行业组织的联系，获取技术支持与情报共享。建立外部技术专家库，应急时快速引入专业支持。

6医疗保障

与就近医疗机构建立绿色通道，确保应急人员受伤后能得到及时救治。应急指挥部指定人员负责医疗联络，准备常用药品和急救用品。对可能因系统异常导致健康风险的岗位（如高风险化学品操作）加强监测。

7后勤保障

办公室负责应急期间的后勤服务，包括应急人员食宿、饮水供应、临时办公场所安排等。确保应急人员能够集中、高效地开展工作。建立后勤服务联络清单，包含供应商信息与联系方式。

十、应急预案培训

1培训内容

培训内容涵盖应急预案体系