信息技术拒绝服务攻击应急预案

第第PAGE\MERGEFORMAT1页共NUMPAGES\MERGEFORMAT1页信息技术拒绝服务攻击应急预案一、总则

1.适用范围

本预案适用于本单位因信息技术拒绝服务攻击导致生产经营活动中断、关键信息系统瘫痪或数据泄露等突发事件的应急响应工作。覆盖范围包括但不限于核心业务系统、数据存储平台、网络基础设施及对外服务接口，涉及部门涵盖信息技术部、网络安全中心、运营管理部及各业务单元。以某金融机构为例，2022年某银行遭受分布式拒绝服务攻击，在3分钟内核心交易系统可用性下降至40%，此次事件印证了本预案对提升跨部门协同处置能力的必要性。应急响应需遵循"统一指挥、分级负责、快速响应、保障恢复"的原则，确保在攻击强度达到DDoS攻击流量峰值每秒10万包以上时启动二级响应机制。

2.响应分级

根据攻击危害程度及影响范围，将应急响应分为三级。一级响应适用于攻击导致关键业务系统完全中断，如数据库集群不可用或核心服务端口全部失效，且预计恢复时间超过8小时的情况。某制造业龙头企业曾遭遇APT攻击，其ERP系统被加密，导致供应链系统停摆，该事件符合一级响应启动条件。二级响应适用于攻击造成部分业务受影响，如应用层拒绝服务导致页面响应延迟超过5秒，但未触发核心系统宕机。2021年某电商平台遭受CC攻击，用户访问量下降30%，属于二级响应范畴。三级响应适用于攻击影响局限于非核心系统，如营销平台可用性降低，不影响主业务连续性。响应分级遵循"逐级提升、按需调整"的动态原则，当二级响应资源不足以控制事态时，可升级至一级响应。

二、应急组织机构及职责

1.应急组织形式及构成单位

应急组织采用"总指挥-专项工作组"模式，总指挥由分管信息安全的副总经理担任，专项工作组下设四个核心小组。构成单位包括信息技术部（负责技术处置）、网络安全中心（负责攻击溯源）、运营管理部（负责业务协调）、综合办公室（负责后勤保障）。各小组负责人均由部门正职担任，确保应急资源调配效率。

2.应急处置职责

总指挥职责：统筹应急处置工作，批准应急响应级别提升，协调跨部门资源。

专项工作组构成及职责：

（1）技术处置组

构成单位：信息技术部网络运维团队、安全设备运维团队

主要职责：实施网络隔离、流量清洗、系统加固等操作，修复系统漏洞，建立攻击防御策略库。需在攻击发生30分钟内完成DDoS防御设备上线，每小时向总指挥提交处置报告。

（2）攻击溯源组

构成单位：网络安全中心威胁情报分析师、法务合规部技术顾问

主要职责：通过日志分析、流量追踪等手段定位攻击源头，评估数据泄露风险，配合公安机关开展调查。某运营商曾因溯源不及时导致境外僵尸网络持续攻击，该案例说明溯源工作需在攻击持续2小时内启动。

（3）业务协调组

构成单位：运营管理部业务骨干、客服中心主管

主要职责：评估业务受影响程度，制定临时业务切换方案，管理客户沟通口径。需在1小时内完成受影响业务清单，每日更新恢复进度。

（4）后勤保障组

构成单位：综合办公室行政专员、财务部出纳

主要职责：保障应急通信畅通，调配备件资源，处理费用报销。需在24小时内完成应急物资清单更新。

3.工作小组行动任务

技术处置组需建立分级处置预案库，包含不同DDoS攻击类型下的阈值判断标准。攻击溯源组需与三大运营商建立应急联动通道，确保IP溯源时效性。业务协调组应设计标准化的客户安抚话术模板。后勤保障组需储备至少3套网络安全应急装备，包括便携式防火墙、流量分析工具等。

三、信息接报

1.应急值守电话

设立24小时应急值守热线12345（内部使用），由网络安全中心值班人员负责接听。同时开通短信预警接口，确保攻击发生时5分钟内接获首次报告。

2.事故信息接收程序

（1）首次接报

接报人需记录来电者身份、事件发生时间、系统受影响范围、攻击类型关键词（如UDPFlood、SYNScan等）。对于疑似重大攻击事件，立即启动"双备份接报机制"，同时通知总指挥秘书处。

（2）信息核实

接报后30分钟内完成初步核实，包括系统状态确认、攻击流量监测。如确认攻击强度超过B类服务等级协议中定义的5级事件（攻击流量>50Gbps），需立即上报技术处置组。

3.内部通报程序

通报方式采用分级推送机制：

一级事件（核心系统瘫痪）-短信+电话直拨总指挥

二级事件（部分业务中断）-企业微信工作群+邮件通报

三级事件（非核心系统异常）-部门例会口头通报

通报内容模板需包含攻击特征、影响范围、处置措施三项核心要素。

4.向上级报告流程

报告时限与内容要求：

（1）向上级单位报告

重大攻击事件（一级响应）需在1小时内完成书面报告，报告内容涵盖攻击发生时间、系统受损情况、已采取措施、预计恢复时间四要素。通过加密邮件系统提交，同时同步至上级单位信息安全监管部门。

（2）向上级主管部门报告

当攻击涉及关键信息基础设施时，需在2小时内通过国家网络安全应急响应中心报送系统提交报告。初期报告需包含攻击来源IP、流量特征、业务影响等要素，后续每日提交处置进展。

5.外部通报方法

（1）相关部门通报

公安机关网络保卫支队：重大攻击事件需在3小时内提供攻击样本、日志数据等材料。行业监管机构：涉及数据泄露时需在6小时内通报事件概要。

（2）通报程序

外部通报需经总指挥审批，通过专用安全通道传输数据。通报内容需符合《网络安全法》中"及时告知用户"的要求，明确风险处置措施和进展更新频率。

6.责任人规定

首次接报责任人：网络安全中心值班工程师

内部通报责任人：各系统负责人（按受影响范围划分）

外部报告责任人：总指挥授权的公关部门经理

重大事件需在接报后15分钟内完成责任人矩阵确认。

四、信息处置与研判

1.响应启动程序

（1）启动方式

达到二级响应条件的，由应急领导小组在接报后60分钟内作出启动决策，通过应急指挥平台发布启动令。达到一级响应条件的，在确认事件满足《信息系统安全等级保护测评要求》中定义的重大安全事件标准后，自动触发响应程序，同步向总指挥发送预警指令。

（2）预警启动机制

当监测到攻击特征接近三级响应阈值（如CC攻击请求率>5000qps且持续15分钟），应急领导小组可启动预警响应，技术处置组提前部署临时防御策略。预警期间每30分钟进行一次事态评估，如攻击强度突破阈值则升级为正式响应。某电商平台曾通过预警启动机制成功拦截针对会员系统的暴力破解攻击。

2.响应级别调整机制

（1）调整条件

跟踪事态发展需重点关注三个指标：攻击流量峰值变化、核心业务RPO（恢复点目标）达成情况、安全设备处置效果。当出现以下情形时需调整级别：

a.二级响应启动后15分钟内，DDoS攻击流量突破80Gbps且清洗设备容量不足；

b.三级响应期间发现存在数据加密或窃取行为，需要溯源分析。

（2）调整流程

由技术处置组提交级别调整建议，经攻击溯源组复核后报应急领导小组批准。调整指令通过应急指挥系统分发给各工作组，同时更新事件状态标签（如"攻击流量超阈值"）。某金融机构在处置某次攻击时，因攻击流量突发性增长导致响应级别从三级升至一级，该案例说明需建立动态阈值库。

3.处置需求分析

响应启动后需同步开展两项分析工作：

a.攻击载荷分析：对捕获的攻击样本进行沙箱测试，判断是否含有APT攻击特征；

b.业务影响评估：基于RTO（恢复时间目标）计算受影响系统恢复窗口，优先保障交易类服务。需在响应启动2小时内完成分析报告，作为后续处置策略的依据。

4.响应终止条件

出现以下任一情形时可建议终止响应：

a.攻击流量降至正常水平且持续30分钟；

b.受影响系统恢复至可用状态且通过压力测试；

c.安全事件调查报告确认攻击已完全停止。终止决定需经应急领导小组集体研究。

五、预警

1.预警启动

（1）发布渠道

预警信息通过加密企业微信工作群、专用短信平台、安全态势感知平台弹窗三种渠道同步发布。核心渠道为企业微信工作群，发布后30秒内需收到全员回执确认。

（2）发布方式

采用分级色码发布机制：黄色预警使用黄色背景标签，内容包含攻击类型、预估影响等级；红色预警采用红色弹窗，附带应急响应流程图。发布时需标注发布时间戳和发布人身份认证信息。

（3）发布内容

基础要素包括：攻击特征关键词（如"DNSAmplification"）、受影响资产范围、建议防御措施（如开启云WAF高级防护）、预警解除条件。重大预警需附带临时防御策略配置清单。某运营商曾通过提前发布DNS放大攻击预警，使受影响用户比例下降60%。

2.响应准备

预警启动后10分钟内需完成以下准备工作：

（1）队伍准备

技术处置组进入24小时待命状态，安全分析师开展攻击流量模拟测试。建立"一人双岗"制度，确保关键岗位人员可立即替换。

（2）物资准备

调备应急通信设备（卫星电话）、备用安全设备（防火墙冗余单元）、系统恢复介质。检查DDoS清洗设备可用容量，补充流量清洗资源。

（3）装备准备

启动安全设备自动升级程序，更新防火墙规则库、入侵防御签名。测试应急响应平台功能，确保态势感知模块正常显示攻击溯源数据。

（4）后勤准备

预备应急会议室，检查投影、白板等设备。为应急人员提供应急餐包、药品等物资。

（5）通信准备

建立应急小组成员对讲机沟通频道，测试与外部协作单位（如运营商）的应急联络协议。确保总指挥手机、值班电话保持24小时畅通。

3.预警解除

（1）解除条件

出现以下任一情形时可申请解除预警：

a.攻击流量监测系统确认攻击特征消失且持续60分钟；

b.临时防御措施成功阻断攻击且受影响系统恢复稳定运行；

c.攻击源头被第三方安全机构成功处置。

（2）解除要求

解除申请需由技术处置组提交解除报告，经网络安全中心负责人审核后报应急领导小组批准。解除指令需同步发送至所有预警接收渠道，并记录解除时间及责任人。

（3）责任人

预警解除责任人：网络安全中心负责人（第一责任人）

支持单位责任人：信息技术部部门主管

监督单位责任人：应急领导小组组长

六、应急响应

1.响应启动

（1）响应级别确定

响应级别依据《网络安全等级保护条例》中定义的事件分级标准：

一级响应：核心系统可用性低于10%，或检测到APT攻击数据窃取行为；

二级响应：非核心系统中断，或攻击流量达到峰值带宽的50%；

三级响应：存在安全漏洞且未受影响，或攻击造成轻微业务延迟。

（2）程序性工作

a.应急会议召开：启动后30分钟内召开首次应急指挥会，确定处置方案。采用视频会议+分会场模式，会议纪要需包含处置决策链。

b.信息上报：按照第三部分规定执行逐级上报，重大事件需同步抄送行业监管平台；

c.资源协调：技术处置组每小时更新资源需求清单，后勤组同步调拨；

d.信息公开：通过官方公告渠道发布预警信息，内容需经法务审核；

e.后勤及财力保障：确保应急通信设备油机供电，财务部准备紧急采购资金通道。某金融APP因DDoS攻击导致交易中断，通过提前储备清洗资源，使恢复时间缩短40%。

2.应急处置

（1）现场处置措施

a.警戒疏散：对受影响机房设置物理隔离带，无关人员禁止进入；

b.人员搜救：启动内部人员定位系统，确认安全工程师位置；

c.医疗救治：准备外伤急救箱，联系定点医院绿色通道；

d.现场监测：部署临时流量分析探针，实时监测攻击特征变化；

e.技术支持：邀请云服务商专家远程接入，提供带宽扩容方案；

f.工程抢险：对受损设备实施热备替换，优先保障数据库服务；

g.环境保护：对含油废弃物（如备用电源）按环保规定处置。

（2）人员防护要求

进入攻击现场人员必须佩戴防静电手环，穿戴防护服，安全距离内需使用防爆工具。针对恶意软件攻击场景，需对防护服进行消毒处理。某运营商机房曾因防护不足导致安全工程师感染键盘木马，该案例要求建立生物识别门禁联动防护体系。

3.应急支援

（1）外部请求程序及要求

a.程序：由总指挥向行业应急中心提交支援请求，附带事件简报；

b.要求：明确支援类型（技术专家/带宽资源）、抵达时限、配合事项。

（2）联动程序及要求

与外部力量对接时需明确：

a.指挥关系：外部专家在技术处置阶段提供专业建议，本单位保留处置主导权；

b.协作要求：建立统一通信频道，使用标准化数据交换格式。某电商平台在遭受国家级APT攻击时，通过公安部应急中心协调到7名溯源专家，使攻击源定位时间从48小时缩短至12小时。

（3）外部力量到达后

安排专人引导，提供受影响系统拓扑图，协助开展联合监测。指定技术接口人全程跟踪支援工作。

4.响应终止

（1）终止条件

出现以下任一情形时可申请终止响应：

a.攻击完全停止且持续24小时；

b.受影响系统恢复至可用状态并通过压力测试；

c.事件调查报告确认风险已完全消除。

（2）终止要求

终止申请需经应急领导小组集体研究，总指挥签署确认文件。终止后7天内需提交处置报告，包含攻击损失评估、改进措施等内容。

（3）责任人

终止决策责任人：应急领导小组组长

报告编制责任人：网络安全中心技术负责人

七、后期处置

1.污染物处理

（1）数据净化：对受损数据库开展数据校验，采用MD5哈希校验法确认数据完整性，对异常数据记录进行隔离分析；

（2）日志清理：对安全设备产生的日志进行归档备份，删除攻击发生前的30天冗余日志；

（3）设备消毒：对受感染终端设备执行格式化重装，对运维人员使用的便携设备进行防病毒扫描。某运营商曾因日志清理不彻底导致攻击行为被延迟溯源12小时，该案例说明需建立日志分级管理制度。

2.生产秩序恢复

（1）系统验证：采用黑盒测试法验证系统功能，重点测试交易类服务的事务一致性；

（2）业务恢复：按优先级顺序恢复服务，优先保障核心交易系统，对受影响营销系统实施临时替代方案；

（3）性能优化：对受攻击系统进行压力测试，建立攻击流量基线阈值，优化应急资源调配算法。某电商平台在DDoS攻击后通过部署WAF集群，使系统可用性提升至99.99%。

3.人员安置

（1）心理疏导：对参与应急处置人员开展心理评估，提供EAP（员工援助计划）服务；

（2）任务调整：对因攻击导致工作积压的岗位实施轮岗补休，优先保障关键岗位人员休息；

（3）绩效考核：对应急处置中表现突出的团队给予专项奖励，对责任事件进行专项审计。某金融机构在处置重大攻击后建立"双备份"岗位制度，使应急响应能力提升50%。

八、应急保障

1.通信与信息保障

（1）联系方式及方法

建立应急通信联络表，包含总指挥、各工作组负责人、外部协作单位（运营商、公安）的加密短号。主要通信方式包括：

a.加密企业微信工作群：用于日常联络和预警发布；

b.卫星电话：作为核心通信备份，存放于应急响应箱内；

c.专用对讲机：频率预先协调至无线电管理机构，用于现场指挥。

（2）备用方案

当主用通信线路中断时，启动以下备用方案：

a.切换至备用运营商线路；

b.启用便携式基站设备；

c.通过安全邮箱传递指令。

（3）保障责任人

通信保障负责人：综合办公室行政主管（兼）；

备用通信设备管理员：信息技术部网络工程师（每班1人轮值）。

2.应急队伍保障

（1）专家资源

建立外部专家资源库，包含安全厂商顾问、高校研究员等12名专家联系方式，通过第三方平台进行动态更新。

（2）专兼职队伍

a.专职队伍：信息技术部安全运维团队（共15人），具备CCNP+CISSP认证；

b.兼职队伍：各业务部门抽调的技术骨干组成（每部门2人），需完成应急培训。

（3）协议队伍

与3家安全服务公司签订应急响应协议，服务范围包括：

a.DDoS攻击清洗服务；

b.APT攻击溯源服务；

c.数据恢复服务。

3.物资装备保障

（1）物资清单

存放于应急响应箱内的物资包括：

a.技术装备：便携式防火墙（2台，带4G模块）、流量分析仪（1台）、网卡（多网卡适配器）；

b.防护用品：防静电服（5套）、手套（20双）、护目镜（10副）；

c.通信设备：应急对讲机（10台）、卫星电话（2部）；

d.其他：应急手电（10个）、打印纸（5箱）、消毒用品（酒精、消毒湿巾）。

（2）装备参数及存放位置

便携式防火墙：存放于网络安全中心设备间，支持5Gbps吞吐量，需每月测试电源适配器；

流量分析仪：存放于综合办公室保险柜，需连接到备用电源插座。

（3）运输及使用条件

a.运输要求：应急响应箱需粘贴"应急物资"标识，通过内部专用电梯运输；

b.使用条件：非应急状态严禁动用，使用后需24小时内完成登记补货。

（4）更新补充时限

a.技术装备：每年12月底完成全面检查，更新过保设备；

b.防护用品：每月盘点数量，消耗量超过20%需立即补充。

（5）管理责任人及联系方式

物资管理员：信息技术部资产管理员（兼）；

联系方式：通过应急联络表中的加密短号联系。

建立电子台账，记录物资出入库时间、使用人、检查日期等信息。

九、其他保障

1.能源保障

（1）电力保障措施：核心机房配备2套300KVAUPS，建立双路供电回路，与市政供电实现自动切换；

（2）备用电源配置：配备4组20Ah应急电池组，用于安全设备断电启动；

（3）发电机准备：存放200KVA柴油发电机（含储油箱），每月开展一次满负荷测试。

2.经费保障

设立应急专项经费账户，包含三个预算区间：

a.日常储备金：50万元，用于购买安全设备备件；

b.应急启动金：200万元，用于支付外部服务采购；

c.专项处置金：100万元，用于应急响应人员补贴。经费使用需经财务部审核，重大支出报分管副总批准。

3.交通运输保障

（1）应急车辆：配备2辆应急保障车，车载应急发电车（含20KVA发电机）、通信设备箱；

（2）运输协调：与本地汽车租赁公司签订协议，明确应急调度流程；

（3）路线规划：建立备用运输路线图，避开隧道、桥梁等易拥堵路段。

4.治安保障

（1）现场安保：应急响应启动后，由综合办公室协调安保部门开展机房外围警戒；

（2）车辆通行：与公安交警部门建立应急通道协议，保障应急车辆通行优先；

（3）身份验证：临时启用人脸识别门禁系统，限制非授权人员进入。

5.技术保障

（1）平台维护：确保安全态势感知平台7x24小时运行，每季度与厂商进行一次系统升级；

（2）工具库建设：建立应急响应工具库，包含Nmap、Wireshark等开源工具的离线安装包；

（3）知识库更新：每次应急响应后需补充处置案例，形成《攻击处置知识库》。

6.医疗保障

（1）急救物资：应急响应箱内配备AED急救仪、外伤处理包、常用药品；

（2）合作医院：与2家三甲医院签订绿色通道协议，明确急症转诊流程；

（3）心理援助：与专业EAP机构合作，提供远程心理咨询服务。

7.后勤保障

（1）餐饮保障：应急期间由后勤部门提供盒饭或组织临时厨房；

（2）住宿保障：为外聘专家预留3间单间，配备必要生活用品；

（3）环境保障：确保应急区域空调、温湿度计等设备正常运行。

十、应急预案培训

1.培训内容

培训内容覆盖应急预案全流程，重点包含：

（1）应急响应术语体系：如RTO/RPO、事件分级、攻击类型（CC攻击、DNS放大等）定义；

（2）应急处置工具使用：安全设备（防火墙、WAF）配置实操，日志分析工具（Wireshark）应用；

（3）协同配合机制：跨部门沟通流程，与外部机构（运营商、公安）协作规范；

（4）法律法规要求：涉及《网络安全法》中事件上报时限、数据备份义务等条款。

2.关键培训人员

识别标准：承担应急响应核心职责的岗位人员，包括：

a.总指挥及各小组负责人；

b.技术处置组骨干（具备SIEM平台操作经验）；

c.攻击溯源分析师（需掌握Honeypot部署技术）；

d.业务协调组人员（熟悉系统SLA指标）。

3.参加培训人员

分级培训：

（1）全员培训：每年9月组织《应急预案概述》培训，覆盖所有部门