建黨100周年網(wǎng)絡(luò)安全事件

專(zhuān)項(xiàng)應(yīng)急預(yù)案

第一章?總則

一、編制目的為提高建黨100周年處置網(wǎng)絡(luò)安全突發(fā)事件的能力，形成科學(xué)、有效、反應(yīng)迅速的應(yīng)急工作機(jī)制，確保重要計(jì)算機(jī)信息系統(tǒng)的實(shí)體安全、運(yùn)行安全和數(shù)據(jù)安全，最大程度地預(yù)防和減少網(wǎng)絡(luò)安全突發(fā)事件及其造成的損害，特制定本預(yù)案。

二、編制依據(jù)

依據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》等有關(guān)法規(guī)文件精神。

三、分類(lèi)分級(jí)

1.事件分類(lèi)

根據(jù)網(wǎng)絡(luò)與信息安全突發(fā)事件的性質(zhì)、機(jī)理和發(fā)生過(guò)程，網(wǎng)絡(luò)與信息安全突發(fā)事件主要分為以下三類(lèi)：

（1）自然災(zāi)害。指地震、臺(tái)風(fēng)、雷電、火災(zāi)、洪水等引起的網(wǎng)絡(luò)信息系統(tǒng)的故障。

（2）事故災(zāi)難。指電力中斷、網(wǎng)絡(luò)損壞或是軟件、硬件設(shè)備故障等引起的網(wǎng)絡(luò)信息系統(tǒng)的故障。

（3）人為破壞。指人為破壞網(wǎng)絡(luò)線路、通信設(shè)施，黑客攻擊、病毒攻擊、恐怖襲擊等引起的網(wǎng)絡(luò)信息系統(tǒng)的故障。

2.事件分級(jí)

根據(jù)網(wǎng)絡(luò)與信息安全突發(fā)事件的可控性、嚴(yán)重程度和影響范圍，一般分為四級(jí)：Ⅰ級(jí)（特別重大）、Ⅱ級(jí)（重大）、Ⅲ級(jí)（較大）和Ⅳ級(jí)（一般）。

（1）I級(jí)（特別重大）、Ⅱ級(jí)（重大）。重要網(wǎng)絡(luò)信息系統(tǒng)發(fā)生全局大規(guī)模癱瘓，事態(tài)發(fā)展超出客站建設(shè)指揮部的控制能力，需要由集團(tuán)公司信息網(wǎng)絡(luò)安全應(yīng)急小組協(xié)調(diào)解決，對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害的信息網(wǎng)絡(luò)安全突發(fā)事件。

（2）Ⅲ級(jí)（較大）。某一部分的重要網(wǎng)絡(luò)信息系統(tǒng)癱瘓，對(duì)保障安全生產(chǎn)重要監(jiān)測(cè)監(jiān)控系統(tǒng)造成一定影響,有可能發(fā)生安全事故,但在客站建設(shè)指揮部控制之內(nèi)的突發(fā)事件。

（3）Ⅳ級(jí)（一般）。某節(jié)點(diǎn)的網(wǎng)絡(luò)或網(wǎng)絡(luò)終端發(fā)生故障,影響部分職工使用的網(wǎng)絡(luò)事件。

四、適用范圍

本預(yù)案是慶祝建黨100周年網(wǎng)絡(luò)安全事件的專(zhuān)項(xiàng)預(yù)案，適用于建黨100周年發(fā)生或可能導(dǎo)致發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)事件的應(yīng)急處置工作。

第二章?組織機(jī)構(gòu)及職責(zé)分工

一、組織體系

成立以指揮長(zhǎng)、黨委書(shū)記為組長(zhǎng)，各項(xiàng)目副指揮長(zhǎng)為副組長(zhǎng)，相關(guān)部門(mén)部長(zhǎng)為組員的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組。

二、工作職責(zé)

1.研究提出信息網(wǎng)絡(luò)安全應(yīng)急機(jī)制建設(shè)規(guī)劃，檢查、指導(dǎo)和督促網(wǎng)絡(luò)與信息安全應(yīng)急機(jī)制建設(shè)。指導(dǎo)督促重要信息系統(tǒng)應(yīng)急預(yù)案的修訂和完善，檢查落實(shí)預(yù)案執(zhí)行情況。

2.發(fā)生I級(jí)、Ⅱ級(jí)、Ⅲ級(jí)信息網(wǎng)絡(luò)安全突發(fā)事件后，決定啟動(dòng)本預(yù)案，組織應(yīng)急處置工作。如信息網(wǎng)絡(luò)安全突發(fā)事件屬于I級(jí)、Ⅱ級(jí)的，向集團(tuán)公司有關(guān)部門(mén)通報(bào)并協(xié)調(diào)配合處理。

3.指導(dǎo)應(yīng)對(duì)信息網(wǎng)絡(luò)安全突發(fā)事件的科學(xué)研究、預(yù)案演習(xí)、宣傳培訓(xùn)，督促應(yīng)急保障體系建設(shè)。

4.及時(shí)收集信息網(wǎng)絡(luò)安全突發(fā)事件相關(guān)信息，分析重要信息并提出處置建議。對(duì)可能演變?yōu)镮級(jí)、Ⅱ級(jí)、Ⅲ級(jí)的網(wǎng)絡(luò)與信息安全突發(fā)事件，應(yīng)及時(shí)向領(lǐng)導(dǎo)小組提出啟動(dòng)本預(yù)案的建議。

5.負(fù)責(zé)提供技術(shù)咨詢(xún)、技術(shù)支持，參與重要信息的研判，信息網(wǎng)絡(luò)安全突發(fā)事件的調(diào)查和總結(jié)評(píng)估工作，進(jìn)行應(yīng)急處置工作。

第三章?監(jiān)測(cè)、預(yù)警和先期處置

一、信息監(jiān)測(cè)與報(bào)告

1.要進(jìn)一步完善信息網(wǎng)絡(luò)安全突發(fā)事件監(jiān)測(cè)、預(yù)測(cè)、預(yù)警制度。按照“早發(fā)現(xiàn)、早報(bào)告、早處置”的原則，加強(qiáng)對(duì)各類(lèi)信息網(wǎng)絡(luò)安全突發(fā)事件和可能引發(fā)信息網(wǎng)絡(luò)安全突發(fā)事件的有關(guān)信息的收集、分析判斷和持續(xù)監(jiān)測(cè)。當(dāng)發(fā)生信息網(wǎng)絡(luò)安全突發(fā)事件時(shí)，在按規(guī)定向有關(guān)部門(mén)報(bào)告的同時(shí)，按緊急信息報(bào)送的規(guī)定及時(shí)向領(lǐng)導(dǎo)匯報(bào)，匯報(bào)內(nèi)容主要包括信息來(lái)源、影響范圍、事件性質(zhì)、事件發(fā)展趨勢(shì)和采取的措施等。

2.建立24小時(shí)值班制度，避免因信息網(wǎng)絡(luò)安全突發(fā)事件發(fā)生后，必要的信息通報(bào)與指揮協(xié)調(diào)通信渠道中斷。

二、預(yù)警處理與預(yù)警發(fā)布

1.對(duì)于可能發(fā)生或已經(jīng)發(fā)生的信息網(wǎng)絡(luò)安全突發(fā)事件，系統(tǒng)管理員應(yīng)立即采取措施控制事態(tài)，并在2小時(shí)內(nèi)進(jìn)行風(fēng)險(xiǎn)評(píng)估，判定事件等級(jí)并發(fā)布預(yù)警。必要時(shí)應(yīng)啟動(dòng)相應(yīng)的預(yù)案，同時(shí)向信息安全領(lǐng)導(dǎo)小組匯報(bào)。

2.領(lǐng)導(dǎo)小組接到匯報(bào)后應(yīng)立即組織搶修，查明事件狀態(tài)及原因，技術(shù)人員應(yīng)及時(shí)對(duì)信息進(jìn)行技術(shù)分析、研判，根據(jù)問(wèn)題的性質(zhì)、危害程度，提出安全警報(bào)級(jí)別。

三、先期處置

1.當(dāng)發(fā)生信息網(wǎng)絡(luò)安全突發(fā)事件時(shí)，及時(shí)做好先期應(yīng)急處置工作并立即采取措施控制事態(tài)，必要時(shí)采用斷網(wǎng)、關(guān)閉服務(wù)器等方式防止事態(tài)進(jìn)一步擴(kuò)大，同時(shí)向信息網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組通報(bào)。

2.信息網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組在接到信息網(wǎng)絡(luò)安全突發(fā)事件發(fā)生或可能發(fā)生的信息后，應(yīng)加強(qiáng)與有關(guān)方面的聯(lián)系，掌握最新發(fā)展態(tài)勢(shì)。對(duì)有可能演變?yōu)棰蠹?jí)信息網(wǎng)絡(luò)安全突發(fā)事件，技術(shù)人員提出建議方案，并作好啟動(dòng)本預(yù)案的各項(xiàng)準(zhǔn)備工作。信息安全領(lǐng)導(dǎo)小組根據(jù)網(wǎng)絡(luò)與信息安全突發(fā)事件發(fā)展態(tài)勢(shì)，視情況決定現(xiàn)場(chǎng)指導(dǎo)、組織設(shè)備廠商或系統(tǒng)集成商應(yīng)急支援力量，做好應(yīng)急處置工作。對(duì)有可能演變?yōu)棰蚣?jí)或I級(jí)的信息網(wǎng)絡(luò)安全突發(fā)事件，要根據(jù)集團(tuán)公司的要求，上報(bào)集團(tuán)公司有關(guān)部門(mén)，趕赴現(xiàn)場(chǎng)指揮、組織應(yīng)急支援力量，積極做好應(yīng)急處置工作。

第四章?應(yīng)急處置

一、應(yīng)急指揮

1.本預(yù)案啟動(dòng)后，領(lǐng)導(dǎo)小組要迅速建立通訊聯(lián)系。抓緊收集相關(guān)信息，掌握現(xiàn)場(chǎng)處置工作狀態(tài)，分析事件發(fā)展趨勢(shì)，研究提出處置方案，調(diào)集和配置應(yīng)急處置所需要的人、財(cái)、物等資源，統(tǒng)一指揮信息網(wǎng)絡(luò)安全應(yīng)急處置工作。

2.需要成立現(xiàn)場(chǎng)指揮部的，立即在現(xiàn)場(chǎng)開(kāi)設(shè)指揮部，并提供現(xiàn)場(chǎng)指揮運(yùn)作的相關(guān)保障?，F(xiàn)場(chǎng)指揮部要根據(jù)事件性質(zhì)迅速組建各類(lèi)應(yīng)急工作組，開(kāi)展應(yīng)急處置工作。

二、應(yīng)急處置

在信息安全事件發(fā)生時(shí)，技術(shù)人員應(yīng)對(duì)事件進(jìn)行動(dòng)態(tài)監(jiān)測(cè)、評(píng)估，及時(shí)將事件的性質(zhì)、危害程度和損失情況及處置工作等情況及時(shí)報(bào)領(lǐng)導(dǎo)小組，屬于I級(jí)、Ⅱ級(jí)信息安全事件的，同時(shí)報(bào)集團(tuán)公司。

根據(jù)自然事件或人為破壞這兩種情況把應(yīng)急處置方法分為兩個(gè)流程。

流程一：當(dāng)發(fā)生的信息安全事件為自然安全事件時(shí)，應(yīng)根據(jù)當(dāng)時(shí)的實(shí)際情況，在保障人身安全的前提下，首先保障數(shù)據(jù)的安全，然后是設(shè)備安全。具體方法包括：硬盤(pán)的拔出與保存，設(shè)備的斷電與拆卸、搬遷等。

流程二：當(dāng)人為或病毒破壞的信息安全事件發(fā)生時(shí)，具體按以下順序進(jìn)行：判斷破壞的來(lái)源與性質(zhì)，斷開(kāi)影響安全與穩(wěn)定的信息網(wǎng)絡(luò)設(shè)備，斷開(kāi)與破壞來(lái)源的網(wǎng)絡(luò)物理連接，跟蹤并鎖定破壞來(lái)源的IP或其它網(wǎng)絡(luò)用戶(hù)信息，修復(fù)被破壞的信息，恢復(fù)信息系統(tǒng)。按照信息安全事件發(fā)生的性質(zhì)分別采用以下方案：

(1)病毒傳播：針對(duì)這種現(xiàn)象，要及時(shí)斷開(kāi)傳播源，判斷病毒的性質(zhì)、采用的端口，然后關(guān)閉相應(yīng)的端口，公布病毒攻擊信息以及防御方法。

(2)入侵：對(duì)于網(wǎng)絡(luò)入侵，首先要判斷入侵的來(lái)源，區(qū)分外網(wǎng)與內(nèi)網(wǎng)。入侵來(lái)自外網(wǎng)的，定位入侵的IP地址，及時(shí)關(guān)閉入侵的端口，限制入侵地IP地址的訪問(wèn)，在無(wú)法制止的情況下可以采用斷開(kāi)網(wǎng)絡(luò)連接的方法。入侵來(lái)自?xún)?nèi)網(wǎng)的，查清入侵來(lái)源，如IP地址、上網(wǎng)帳號(hào)等信息，同時(shí)斷開(kāi)對(duì)應(yīng)的交換機(jī)端口。然后針對(duì)入侵方法建設(shè)或更新入侵檢測(cè)設(shè)備。

(3)信息被篡改：這種情況，要求一經(jīng)發(fā)現(xiàn)馬上斷開(kāi)相應(yīng)的信息上網(wǎng)鏈接，并盡快恢復(fù)。

(4)網(wǎng)絡(luò)故障：一旦發(fā)現(xiàn)，可根據(jù)相應(yīng)工作流程盡快排除。

(5)其它沒(méi)有列出的不確定因素造成的網(wǎng)絡(luò)安全事件，可根據(jù)總的安全原則，結(jié)合具體的情況，做出相應(yīng)的處理。不能處理的可以請(qǐng)示相關(guān)的專(zhuān)業(yè)人員。

三、擴(kuò)大應(yīng)急

經(jīng)應(yīng)急處置后，事態(tài)難以控制或有擴(kuò)大發(fā)展趨勢(shì)時(shí)，應(yīng)實(shí)施擴(kuò)大應(yīng)急行動(dòng)。要迅速召開(kāi)信息安全工作領(lǐng)導(dǎo)小組會(huì)議，根據(jù)事態(tài)情況，研究采取有利于控制事態(tài)的非常措施，并向集團(tuán)公司信息網(wǎng)絡(luò)安全應(yīng)急小組請(qǐng)求支援。

四、應(yīng)急結(jié)束

信息網(wǎng)絡(luò)安全突發(fā)事件經(jīng)應(yīng)急處置后，得到有效控制，將各監(jiān)測(cè)統(tǒng)計(jì)數(shù)據(jù)報(bào)信息安全工作領(lǐng)導(dǎo)小組，提出應(yīng)急結(jié)束的建議，經(jīng)領(lǐng)導(dǎo)批準(zhǔn)后實(shí)施。

五、后期處置

在應(yīng)急處置工作結(jié)束后，信息安全工作領(lǐng)導(dǎo)小組應(yīng)立即組織有關(guān)人員和專(zhuān)家組成事件調(diào)查組，對(duì)事件發(fā)生及其處置過(guò)程進(jìn)行全面的調(diào)查，查清事件發(fā)生的原因及財(cái)產(chǎn)損失狀況和總結(jié)經(jīng)驗(yàn)教訓(xùn)，寫(xiě)出調(diào)查評(píng)估報(bào)告。

第五章?應(yīng)急保障

一、通信與信息保障

領(lǐng)導(dǎo)小組各成員應(yīng)保證電話24小時(shí)開(kāi)機(jī)，以確保發(fā)生信息安全事故時(shí)能及時(shí)聯(lián)系到位。

二、應(yīng)急裝備保障

各重要信息系統(tǒng)在建設(shè)系統(tǒng)時(shí)應(yīng)事先預(yù)留出一定的應(yīng)急設(shè)備，做好信息網(wǎng)絡(luò)硬件、軟件、應(yīng)急救援設(shè)備等應(yīng)急物資儲(chǔ)備工作。在網(wǎng)絡(luò)與信息安全突發(fā)事件發(fā)生時(shí)，由領(lǐng)導(dǎo)小組負(fù)責(zé)統(tǒng)一調(diào)用。

三、數(shù)據(jù)保障

重要信息系統(tǒng)建立容災(zāi)備份系統(tǒng)和相關(guān)工作機(jī)制，保證重要數(shù)據(jù)在受到破壞后，可緊急恢復(fù)。

四、應(yīng)急隊(duì)伍保障

按照一專(zhuān)多能的要求建立網(wǎng)絡(luò)與信息安全應(yīng)急保障隊(duì)伍。

五、經(jīng)費(fèi)保障

網(wǎng)絡(luò)信息系統(tǒng)突發(fā)公共事件應(yīng)急處置資金，應(yīng)列入年度工作經(jīng)費(fèi)預(yù)算，切實(shí)予以保障。

第六章?責(zé)任追究

一、從嚴(yán)落實(shí)紅線管理規(guī)定

對(duì)于發(fā)生一機(jī)兩網(wǎng)、違規(guī)上線部署、敏感信息和關(guān)鍵數(shù)據(jù)違規(guī)部署等違反紅線管理規(guī)定的行為，建指將按照《網(wǎng)絡(luò)安全事件調(diào)查處理和定責(zé)考核管理辦法》（成鐵辦科信〔2020〕32號(hào)）從嚴(yán)從重從速進(jìn)行定責(zé)考核。

二、加強(qiáng)網(wǎng)絡(luò)安全定責(zé)考核

對(duì)于所有被扣分的系統(tǒng),將按照發(fā)生網(wǎng)絡(luò)安全事件進(jìn)行定責(zé)，按照相關(guān)規(guī)定追究事發(fā)部門(mén)、及個(gè)人的責(zé)任。