人为破坏计算机安全应急预案

第第PAGE\MERGEFORMAT1页共NUMPAGES\MERGEFORMAT1页人为破坏计算机安全应急预案一、总则

1适用范围

本预案适用于本单位内部因人为故意或疏忽导致计算机系统遭受攻击、破坏或数据泄露等安全事件，包括但不限于网络钓鱼、勒索软件感染、拒绝服务攻击（DDoS）、系统漏洞利用、内部人员恶意操作等引发的应急响应工作。事件处置需遵循《信息安全技术网络安全事件分类分级指南》（GB/T35273）对安全事件的定级标准，确保在规定时间内完成系统恢复、业务连续性保障及证据保全。例如，某金融机构曾因员工误点钓鱼邮件导致核心交易系统瘫痪，日均交易量下降35%，此类事件直接影响关键业务运行且难以通过常规维护手段快速控制，需启动应急响应。

2响应分级

依据事件对业务影响程度、攻击复杂性和系统恢复难度，将应急响应分为四个等级。

2.1一级响应

适用于大规模攻击导致核心系统（如ERP、数据库）完全瘫痪，或遭受国家级APT组织定向攻击，造成直接经济损失超500万元、客户数据泄露超过10万条（涉及敏感信息）等严重后果。例如，某制造业龙头企业遭遇勒索软件加密全部生产数据，导致停产超过72小时，必须启动跨区域应急资源协调。

2.2二级响应

适用于重要系统（如财务、CRM）出现服务中断，或中等规模DDoS攻击使外部访问延迟超过5秒，但未达核心数据损坏标准。某零售企业因内部人员误操作删除促销活动数据，需在24小时内恢复非关键业务功能。

2.3三级响应

适用于非核心系统感染病毒或出现账号异常登录，影响范围局限在单部门，未造成数据实质性损失。例如，办公邮件系统出现零星钓鱼邮件，经隔离处理后未扩散。

2.4四级响应

适用于系统日志异常但未影响运行，如临时端口扫描等低风险事件，通过日常监控即可处置。分级原则基于《生产安全事故应急响应分级指南》（GB/T29639）中的资源调动量化指标，优先考虑业务中断时长、数据恢复成本和合规风险。

二、应急组织机构及职责

1应急组织形式及构成单位

成立计算机网络应急指挥中心（以下简称“指挥中心”），实行主任负责制，由主管信息安全的副总裁担任主任。成员单位包括信息技术部、网络安全处、运营管理部、人力资源部、财务部及公关部。信息技术部为牵头执行单位，网络安全处负责技术分析与溯源，运营管理部协调业务部门恢复，人力资源部负责人员管理，财务部保障应急资金，公关部负责对外沟通。指挥中心下设四个专业工作组。

2应急组织职责分工

2.1计算机网络应急指挥中心

负责制定应急预案及年度演练计划，批准启动或终止应急响应，统一调度应急资源。事件处置期间，每日召开应急会议，评估进展并调整策略。

2.2技术处置组

构成单位：信息技术部（核心团队3人）、网络安全处（安全分析师2人）、外部安全顾问（按需引入）。

职责：

a.立即切断受感染网络段，实施网络隔离与访问控制；

b.运用漏洞扫描工具（如Nessus）和威胁情报平台（如AlienVault），定位攻击源头与传播路径；

c.对受影响系统执行病毒查杀、补丁修复，或从离线备份恢复数据；

d.编制攻击事件技术报告，记录关键操作日志（需符合《信息安全技术网络安全日志规范》GB/T32918）。

2.3业务保障组

构成单位：运营管理部（项目经理1人）、受影响业务部门（骨干员工各1名）。

职责：

a.评估事件对业务流程（如生产计划、订单处理）的影响，制定临时业务切换方案；

b.调动备用服务器或云资源（如阿里云ECS弹性伸缩），保障核心交易链路；

c.维护客户服务渠道畅通，发布临时运营公告（需经公关部审核）。

2.4后勤保障组

构成单位：人力资源部（行政专员1人）、财务部（出纳1人）、公关部（新媒体运营1人）。

职责：

a.协调应急物资（如备用终端、通信设备）与技术专家；

b.处理应急期间人员调度与费用报销；

c.监控社交媒体舆情，发布官方声明（内容需经法律合规审核）。

3行动任务衔接

技术处置组完成系统修复后，需向业务保障组提交《系统恢复确认函》，双方共同验证功能可用性。业务恢复后，后勤保障组整理事件处置报告并归档至文档管理系统（如SharePoint），同时启动常态化安全意识培训（每年至少4次）。

三、信息接报

1应急值守电话

设立24小时应急值守热线（电话号码保密），由信息技术部值班人员负责接听。值守人员需掌握《信息安全技术应急响应流程》（GB/T28448）基本处置口径，能初步判断事件级别并启动内部通知程序。

2事故信息接收与内部通报

2.1接收程序

a.任何部门发现计算机异常（如系统蓝屏、数据篡改）均需立即向值守热线报告；

b.值守人员记录事件发生时间、现象、涉及范围，并派发《内部事件通知单》至技术处置组；

c.接报后30分钟内，技术处置组核心成员需完成初步研判，确定是否需提升响应级别。

2.2通报方式

重大事件（三级及以上）通过加密即时通讯群组（如企业微信安全群）同步至全体成员，同时通过内部公告系统（如钉钉公告）推送至全公司。一般事件通过邮件同步至部门负责人。

3向上级主管部门和单位报告

3.1报告流程

a.一级/二级事件发生2小时内，由指挥中心主任向主管上级单位安全监管部门提交《重大安全事件报告》（内容需包含事件概述、影响评估、已采取措施）；

b.报告需附技术分析报告初稿（至少说明攻击类型、损失统计），按上级要求加密传输。

3.2报告时限与内容

按照行业监管要求（如《网络安全等级保护条例》），涉及重要数据泄露需在6小时内上报网信部门，具体格式遵循《网络安全应急响应工作指南》。报告核心要素包括事件时间轴、系统受影响清单、已采取的隔离措施（如DNS解析拦截）。

3.3责任人

信息技术部负责人为报告提交第一责任人，指挥中心主任负总责。

4向外部单位通报

4.1通报对象与程序

涉及客户数据泄露（超过1000条）或违反《个人信息保护法》，需在72小时内通知受影响个人（通过注册邮箱或手机短信），并通报行业监管机构（如工信部）。通报函需由法务部审核，内容包含数据泄露原因、影响范围及补救措施。

4.2通报方法

通过官方邮箱发送《个人信息泄露说明函》，抄送至监管机构电子邮箱。敏感信息采用PGP加密。

4.3责任人

公关部经理负责对外联络，法务部提供合规支持，信息技术部提供技术细节。

四、信息处置与研判

1响应启动程序

1.1启动条件判定

依据《网络安全应急响应能力成熟度模型》（CMMI）分级标准，结合事件特征判定是否满足响应启动条件。判定要素包括：攻击类型（如DDoS攻击流量超过1000Gbps）、系统瘫痪时长（核心业务系统停机超过1小时）、数据损失规模（如客户数据库完整性受损）。技术处置组需在接报后45分钟内出具《事件初步评估报告》，包含上述要素的量化指标。

1.2决策与宣布程序

a.达到三级响应条件时，由指挥中心召开临时会议，信息技术部、网络安全处、运营管理部负责人到场，30分钟内完成决策；

b.达到一级/二级响应时，必须上报指挥中心主任及主管副总裁，60分钟内形成决策；

c.决策通过加密邮件或内部应急平台发布《应急响应启动令》，令中明确响应级别、指挥架构及各小组任务。

1.3自动启动机制

预设自动触发条件：如核心数据库出现多线程暴力破解尝试，且防护系统（如WAF）确认无法阻断时，防火墙规则自动执行阻断策略，并同步告警至值守热线。此机制需每年通过模拟攻击进行验证。

2预警启动与准备

2.1预警启动条件

出现以下情形启动预警：系统检测到未知病毒样本（如通过ESETNOD32云端威胁情报库识别）、非核心系统出现异常登录次数超过阈值（如每分钟3次）。预警状态下，技术处置组每日进行一次全量日志分析（需覆盖HTTP、SMTP、DNS协议）。

2.2应急准备行动

a.启用备用网络线路（如电信专线备份）；

b.从冷备份恢复非关键数据（需验证数据完整性哈希值）；

c.组织安全专家进行威胁场景推演（至少覆盖SQL注入、APT攻击两种类型）。

3响应级别动态调整

3.1调整依据

a.事件影响扩大（如从单点故障演变为区域性中断）；

b.新型攻击变种出现（如勒索软件加密算法更新）；

c.外部监管介入要求（如公安部网络安全保卫局通报）。

3.2调整程序

各工作组每日15:00提交《响应进展评估表》，指挥中心根据表格中的量化指标（如业务恢复率、攻击流量变化趋势）召开调整会，必要时提升或降低响应级别。调整决定需记录在案，并存档至知识管理系统。

3.3避免误判措施

引入多源信息融合分析（如结合威胁情报平台AlienVault与内部SIEM平台Splunk），建立置信度评分模型，单个信息源告警需至少两个独立源确认才启动响应。

五、预警

1预警启动

1.1发布渠道与方式

预警信息通过公司内部应急平台（如钉钉安全频道）发布，同时推送至全体员工手机通知栏。涉及技术细节的预警，附加发送至技术团队专用邮件组。发布内容包含风险类型（如“SQL注入攻击检测”）、影响区域（如“CRM系统”）、建议措施（如“立即更新密码”）。

1.2发布内容规范

预警级别分为蓝、黄两级，蓝级预警包含威胁样本哈希值（需符合ISO27036标准）、检测规则关键词（如“shellshock漏洞利用尝试”）、参考处置指南链接。黄级预警需增加攻击者IP段（需经防火墙策略验证）。

2响应准备

2.1队伍准备

a.技术处置组进入24小时待命状态，核心成员手机开通紧急呼叫功能；

b.人力资源部完成应急小组成员通讯录更新，确保关键岗位（如数据库管理员）可随时联络。

2.2物资与装备准备

a.网络安全处检查备用防火墙（需支持BGP多路径切换）、应急响应工具箱（内含Honeypot诱捕系统）；

b.信息技术部准备隔离网络环境（需配置独立的/16子网），确保可快速部署沙箱环境（如CuckooSandbox）。

2.3后勤与通信准备

a.公关部准备媒体沟通口径模板，需覆盖病毒事件、DDoS攻击两种场景；

b.财务部预拨30万元应急经费至信息技术部专项账户，确保采购授权即时生效；

c.通信保障小组检查卫星电话与应急发电机，确保断网情况下维持指挥中心通信。

3预警解除

3.1解除条件

a.威胁源被完全清除（需通过安全扫描工具如Nessus验证无残留）；

b.检测系统连续72小时未监测到相关攻击特征；

c.行业监测机构（如国家互联网应急中心CNCERT）确认威胁已解除。

3.2解除要求

预警解除由网络安全处提出申请，经指挥中心审核后，通过原发布渠道发布《预警解除公告》，明确解除时间及后续安全加固措施（如开展全员密码强度校验）。

3.3责任人

网络安全处处长为预警解除技术确认责任人，指挥中心主任负总责。

六、应急响应

1响应启动

1.1响应级别确定

依据事件造成的服务中断时长（核心系统≥4小时）、数据损失量（关键数据表>10%）及攻击复杂度（是否涉及零日漏洞利用），对照《网络安全应急响应能力成熟度模型》确定响应级别。例如，某银行核心交易系统遭遇勒索软件，且攻击者索要赎金500万美元，直接判定为一级响应。

1.2程序性工作

a.应急会议：启动后2小时内召开首次指挥中心会议，确定应急指挥体系，信息技术部每4小时汇报进展；

b.信息上报：二级响应需4小时内向主管上级单位报送《网络安全事件临时报告》（需包含攻击载荷样本MD5值）；

c.资源协调：启动令发布后1小时内完成应急队伍集结，启动备用数据中心（需验证存储卷LUN状态）；

d.信息公开：公关部根据运营管理部提供的业务影响评估，发布临时公告（如“XX系统暂停服务，预计恢复时间XX时”）；

e.后勤保障：后勤保障组12小时内送达应急通讯设备（如便携式Wi-Fi热点），财务部24小时内完成应急采购审批流程；

f.财力保障：设立应急专项账户，授权信息技术部先行支付不超过50万元的应急费用。

2应急处置

2.1事故现场处置

a.警戒疏散：如攻击导致服务器机房温度超85℃，由设施部门拉响警报，疏散非关键人员；

b.人员搜救：针对内部人员恶意操作，人力资源部配合公安机关进行人员对峙取证；

c.医疗救治：若系统故障导致员工中暑，由行政专员联系急救中心（需说明员工人数及症状）；

d.现场监测：网络安全处部署Snort规则组，实时捕获攻击特征码，监测流量基线（如正常用户访问峰值）；

e.技术支持：调用外部安全厂商（如赛门铁克）专家，需提供事件发生时间戳及系统架构图；

f.工程抢险：信息技术部执行“三备份恢复法”（数据库备份+对象存储备份+磁带库备份），恢复前需进行数据校验（如通过ddrescue工具）；

g.环境保护：如使用化学灭火器扑灭机房火灾，需由环境监测部门检测有害气体浓度。

2.2人员防护要求

a.进入隔离网络区域需佩戴防静电手环，穿戴防护服（需符合GB12014标准）；

b.操作应急电源切换设备时，需穿戴绝缘手套（如Gloves500V）；

c.使用网络嗅探工具时，需限制抓包范围（如仅捕获目标IP流量）。

3应急支援

3.1外部请求程序

a.当事态无法控制时，由指挥中心指定联络人（通常为网络安全处处长）向网信办、公安机关发送《应急支援请求函》（需附事件影响评估报告及《网络安全等级保护测评报告》）；

b.请求函需说明事件性质（如“银行级DDoS攻击”）、当前处置措施（如“已部署云清洗服务”）、需支援类型（技术专家/带宽资源）；

c.公安机关响应时限参照《网络安全法》规定。

3.2联动程序

a.外部力量到达前，由信息技术部提供网络拓扑图（需标注设备SNMPOID）、系统配置清单（需包含数据库版本号）；

b.联动会议每2小时召开一次，明确分工（如“公安部负责溯源，运营商负责流量清洗”）；

c.建立联合指挥组，由请求方牵头，外部力量副职参与决策。

3.3外部力量指挥关系

a.响应期间保持原指挥体系不变，外部力量接受双重领导，技术执行听命于原指挥中心，重大决策需经请求方负责人审批；

b.协同处置完毕后，需联合出具《应急支援工作总结》（需包含攻击者IP归属地分析）。

4响应终止

4.1终止条件

a.攻击行为完全停止（需通过蜜罐系统持续验证无新攻击）；

b.所有受影响系统功能恢复（需通过压力测试验证性能指标）；

c.外部监管机构确认无次生风险。

4.2终止要求

a.由指挥中心组织评估组，评估需覆盖系统完整性（如通过Tripwire进行文件校验）和业务连续性（如恢复交易成功率）；

b.终止决定需经主管副总裁批准，通过应急平台发布《应急响应终止公告》；

c.事件处置报告需45天内完成，存档至符合《信息安全技术电子文档管理系统安全要求》（GB/T35273）的长期存储系统。

4.3责任人

指挥中心主任为终止决策责任人，信息技术部负实施责任。

七、后期处置

1污染物处理

1.1网络污染物清理

a.对受感染主机执行多级清洗流程：使用KasperskyTDSSKiller清除驱动级Rootkit->采用Wireshark分析网络流量清除恶意载荷->通过数据库备份恢复受损数据表（需验证数据一致性哈希值）；

b.清理后的系统需通过漏洞扫描工具（如Qualys）验证无残留风险，方可重新上线；

c.恶意代码样本需封存至数字证据保管系统（需符合《电子数据存储和管理规范》GB/T32918）。

1.2物理污染物处置

a.若机房设备因断电导致硬件损坏，由设施部门联系专业维修厂商（需提供ISO9001认证）；

b.废弃硬盘需按《信息安全技术磁性介质信息安全等级保护要求》（GB/T28448）进行物理销毁，销毁记录需双人签字存档。

2生产秩序恢复

2.1业务功能恢复

a.恢复顺序遵循“核心业务优先”原则：ERP系统优先于CRM系统（需基于业务依赖性矩阵）；

b.恢复过程中采用灰度发布策略，先对备用系统进行压力测试（如使用JMeter模拟峰值流量）；

c.对受影响数据执行差分备份恢复（需验证日志文件LSN号连续性）。

2.2安全加固措施

a.启用纵深防御策略：防火墙策略增加攻击者IP黑名单（需每月更新CNCERT公布的攻击源IP）；

b.部署行为分析系统（如Sentinel）监控异常登录行为，设置告警阈值（如连续5次密码错误）；

c.重启所有服务器服务（需记录服务重启顺序及时间戳）。

3人员安置

3.1员工安抚

a.公关部发布事件调查进展通报，避免谣言传播（需说明“公司已启动刑事报案”）；

b.人力资源部对受影响员工进行心理疏导，提供远程办公设备（需符合《信息安全技术人员安全》GB/T20984标准）。

3.2经验总结

a.指挥中心组织专题复盘会，需覆盖技术处置（如“未及时更新Sysmon规则”）、管理协同（如“跨部门沟通存在时差”）两个维度；

b.复盘报告需纳入《信息安全事件知识库》，作为年度培训材料（需包含《网络安全意识培训规范》要求的场景模拟）。

八、应急保障

1通信与信息保障

1.1保障单位及人员联系方式

a.建立应急通讯录电子版，包含指挥中心24小时热线、各工作组负责人手机、外部协作单位（如运营商、安全厂商）接口人联系方式；

b.联系方式按分组分类存储，需每季度通过模拟呼叫验证有效性，确保加密通讯工具（如Signal）账号可用。

1.2通信方式及备用方案

a.主用通信方式：公司内部应急平台、加密即时通讯群组；备用通信方式：卫星电话、对讲机（需覆盖所有办公区域及数据中心）；

b.预案中明确各通信方式适用场景，如DDoS攻击时优先使用卫星电话同步作战指令。

1.3保障责任人

公关部经理为通信保障总责任人，信息技术部需配备至少2名具备CCNP认证的通信工程师，负责应急通信设备维护。

2应急队伍保障

2.1人力资源构成

a.专家组：由3名内部资深网络工程师（需具备CISSP认证）和1名外部顾问组成，每月召开一次情报分享会；

b.专兼职队伍：信息技术部30人（需通过年度安全技能考核）、网络安全处5人（需持CISP证书）；

c.协议队伍：与3家安全公司签订应急响应协议（需包含“4小时到场响应”服务承诺），协议费用纳入年度预算。

2.2队伍管理

a.实行AB角制度，确保每班次至少有2名具备PMP认证的指挥人员；

b.每半年组织一次队伍集结演练，检验人员熟悉程度（如“30分钟内找到指定专家”）。

3物资装备保障

3.1物资与装备清单

a.类型及存放位置：

-备用电源设备（4台UPS100KVA，存放于数据中心机房B区）；

-通信设备（2套便携式Wi-Fi基站，存放于行政部储藏室）；

-安全工具（1套Hacking工具箱，存放于网络安全处保险柜）；

-防护用品（10套防静电服、20副防割手套，存放于设施部门）；

b.技术参数：所有设备需记录序列号、保修期，并标注适用场景（如“Wi-Fi基站适用于断网环境指挥通信”）。

3.2运输及使用条件

a.重要物资（如应急发电机）需配备专用运输车，运输途中使用防震包装（需符合IEC60068标准）；

b.使用前需检查设备状态（如通过IPMI检测UPS电池健康度），确保符合《信息安全技术应急响应工具规范》要求。

3.3更新及补充时限

a.备用电源设备每季度进行满载测试，每年更新电池组；

b.协议队伍合同每年续签，每两年组织一次应急演练考核服务质量。

3.4管理责任人及其联系方式

信息技术部副部长为物资装备管理责任人，需指定专人（如具备RHP认证的库管员）负责台账维护，联系方式登记于应急通讯录。

九、其他保障

1能源保障

1.1供电方案

a.数据中心配备2套独立市电进线及1台2000KW应急发电机组，确保核心设备双路供电；

b.制定发电机启动预案，要求在市电中断后10分钟内启动，优先保障精密空调、服务器集群供电。

1.2责任人

设施部门经理为能源保障第一责任人，需每月测试发电机自动启动功能。

2经费保障

2.1预算安排

a.年度预算中设立200万元应急专项资金，包含30万元用于外部专家咨询、50万元用于备用物资采购；

b.支付流程实行“先斩后奏”，授权信息技术部负责人在应急状态下先行支付不超过20万元的费用。

2.2责任人

财务部主管会计负责专项账户管理，确保资金及时到位。

3交通运输保障

3.1车辆调配

a.配备2辆应急保障车（含4G移动基站），需确保车辆GPS定位系统可用；

b.危急情况下，通过公务用车平台申请支援。

3.2责任人

行政部司机负责车辆维护，主管每天检查车辆状况。

4治安保障

4.1现场管控

a.若事件引发外部人员围观（如黑客攻击导致股价波动），由公关部协调保安公司维持秩序，必要时请求公安机关支援；

b.设置警戒区域，无关人员未经许可不得进入网络中心。

4.2责任人

保安部主管负责现场治安，需佩戴对讲机与指挥中心保持联络。

5技术保障

5.1外部支持

a.与3家安全厂商签订技术支持协议，明确“重大事件24小时响应”承诺；

b.预案中包含各厂商技术专家联系方式及沟通流程。

5.2内部支撑

a.建立私有云备份平台（需符合《信息安全技术云计算安全指南》GB/T35273），确保数据多副本存储；

b.定期测试数据恢复流程（如使用Veeam备份软件验证恢复时间目标RTO）。

5.3责任人

网络安全处负责人统筹技术保障，需确保协议厂商及时到场。

6医疗保障

6.1应急救治

a.数据中心配备急救药箱（需包含《急救手册》GB/T28842），指定2名员工通过红十字会急救培训；

b.与就近医院（需距离不超过5公里）签订绿色通道协议，应急预案中标注联系方式。

6.2责任人

行政部负责急救物资管理，人力资源部主管协调医疗联络。

7后勤保障

7.1生活保障

a.为应急人员提供临