神华巴蜀江油发电厂
网络与信息安全应急预案
编制部门:巴蜀江油发电厂工程设备技术部
颁布日期:2012年6月26日
修订日期:2012年9月28日
(姜工:按厂办规定,将序号改为:第 章 第 条 (一)„
、„ ) 1
目录
1 总 则 .............................................................................................................................................................. 1
1.1
1.2
1.3
1.4
1.5
2 编制目的 ............................................................................................................................................ 1 编制依据 .......................................................................................................... 错误!未定义书签。 适用范围 ............................................................................................................................................ 1 工作原则 ............................................................................................................................................ 1 与其他预案的关系 .......................................................................................... 错误!未定义书签。 风险与资源分析 ............................................................................................................................................ 1
2.1
2.2 风险分析 ............................................................................................................................................ 1 资源分析 ............................................................................................................................................ 2
3 突发事件分级 ................................................................................................................................................ 2
3.1
3.2 一级事件 ............................................................................................................................................ 2 二级事件 ............................................................................................................................................ 2
4 组织机构及职责 ............................................................................................................................................ 3
4.1
4.2 应急机构设置 .................................................................................................................................... 3 应急工作小组职责 ............................................................................................................................ 3
5 预防与预警 .................................................................................................................................................... 4
5.1
5.2
5.3
5.4 预警分级 ............................................................................................................................................ 4 预警监测 ............................................................................................................................................ 4 预警发布与行动 ................................................................................................................................ 4 预警调整与解除 ................................................................................................................................ 5
6 应急响应与处置 ............................................................................................................................................ 6
6.1
6.2
6.3
6.4
6.5
6.6 应急响应分级 .................................................................................................................................... 6 信息报告 ............................................................................................................................................ 8 响应程序 ............................................................................................................................................ 9 应急结束 .......................................................................................................................................... 11 信息发布 .......................................................................................................................................... 12 后期处置 .......................................................................................................................................... 12
7 应急保障 ...................................................................................................................................................... 12
7.1
7.2
7.3
7.4
7.5 应急队伍 .......................................................................................................................................... 12 应急物资与装备 .............................................................................................................................. 12 通信与信息 ...................................................................................................................................... 13 经费 .................................................................................................................. 错误!未定义书签。 其他 .................................................................................................................................................. 13
8 附则 .............................................................................................................................................................. 13
8.1
8.2
8.3
8.4
8.5
8.6 应急培训 .......................................................................................................................................... 13 预案演练 .......................................................................................................................................... 13 预案备案 .......................................................................................................................................... 13 维护和更新 ...................................................................................................................................... 13 制定与解释 ...................................................................................................................................... 14 实施时间 .......................................................................................................................................... 14
1 总 则
1.1 编制目的
为保证巴蜀江油发电厂网络与信息系统的正常运转,减少因各类网络与信息突发事件造成的损失和影响,建立网络与信息系统紧急情况下有效的应急机制,结合巴蜀江油发电厂工作实际制定本预案。
1.2 适用范围
本预案适用于巴蜀江油发电厂网络与信息安全应急响应工作,当网络与信息系统发生突发事件达到Ⅱ级及以上响应标准时,启动本预案。
1.3 工作原则
(1)统一指挥,协调配合。在应急指挥机构的统一指挥、调配下,各应急力量快速就位,快速开展网络与信息安全事故应急处置行动。督促相关部门遵照“统一领导、分级负责、各司其职、协调配合”的原则协同配合,开展应急工作。
(2)快速行动,有序处置。发生网络与信息安全突发事件时,要按照处置优先、快速反应的机制,及时获取充分而准确的信息,跟踪研判,果断决策,充分利用现有网络与信息安全应急设施,整合内、外部的信息安全应急力量,充分依靠系统内外信息安全应急力量,形成信息安全应急工作合力。按照相关应急预案进行迅速处置,最大程度地减少危害和影响。
2 风险与资源分析
2.1 风险分析
巴蜀江油发电厂网络与信息系统存在计算机病毒、网络攻击、数据安全以及设备设施故障等风险,由此引起的网络系统、应用系统和数据系统突发事件包括:
(1)有害程序类突发事件:指受到有害程序的影响而导致的网络与信息安全突发事件。有害程序类事件包含(但不限于)计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合攻击程序、网页内嵌恶意代码等事件。
(2)网络攻击类突发事件:指通过网络或其它技术手段,利用配置缺陷、协议缺陷、程序缺陷等攻击网络与信息系统,造成网络与信息系统异常或不可用的网络与信息安全突发事件。网络攻击类事件包括(但不限于)拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰等事件。
(3)信息安全破坏类突发事件:指通过网络或其它技术手段,造成网络与信息系统中的信息被篡改、假冒、泄漏、窃取等而导致系统瘫痪、数据毁坏、数据泄漏的突发事件。信息安全破坏类事件包括信息篡改、信息假冒、信息泄漏、信息窃取、信息丢失等事件。
(4)系统故障类突发事件:指网络与信息系统因自身或外围设备设施故障、以及人为误操作等导致的信息安全突发事件。系统故障类事件包括软硬件自身故障、外围保障设施故障、人为破坏事故、人为误操作事故和机房电源事故等。
(5)灾害破坏类突发事件:指由于不可抗力对网络与信息系统造成物理破坏而导致的网络与信息安全突发事件。灾害类事件包括水灾、台风、冰灾、火灾、雷击、地震、坍塌、恐怖袭击、战争等导致的网络与信息安全突发事件。
2.2
2.2.1 资源分析 内部应急力量
巴蜀江油发电厂所属的网络与信息系统管理人员、系统管理员等是网络与信息安全事件应急处理的力量,神华集团系统内网络与信息专业人员可作为本网络与信息安全事件应急处理的内部应急力量。
2.2.2 外部应急力量
地方政府相关部门、软硬件制造商、供应商、系统集成商以及技术服务提供商,均可作为外部应急力量。
2.2.3 物资和装备资源
巴蜀江油发电厂所属硬件备件、软件介质、数据备份、专业检测及维修工具、消防工具、通讯器材、交通工具等,均可作为应急的物资装备资源。
3 突发事件分级
3.1 一级事件
凡发生下列情况之一者,评价为一级事件一次。
(1) 发生网络攻击或有害程序破坏造成局域网全部瘫痪超过24个小时及以上。
(2) 违反网络与信息设备操作规程造成人身伤亡或经济损失价值为10万元及以上.
3.2 二级事件
凡发生下列情况之一者,评价为二级事件一次。
(1) 发生网络攻击或有害程序破坏造成局域网部分瘫痪超过24个小时及以上。
(2) 交换机故障全停15分钟。
(3) 机房网络与服务器设备供电电源全部中断一次。
4 组织机构及职责
4.1 应急机构设置
成立巴蜀江油发电厂信息安全小组,当发生网络与信息安全事故需要启动本预案时,由巴蜀江油发电厂信息安全小组负责相关事务处理,并指定应急信息技术专责。
信息安全小组组长:总经理
副组长:总工程师 技术副总经理
成员:车间(部门)第一负责人 通信网络专责
4.2 应急工作小组职责
4.2.1 应急工作小组职责
巴蜀江油发电厂网络与信息安全应急小组的主要职责如下:
(1)负责按照本预案指挥网络与信息安全应急处置工作;
(2)负责指导、协调网络与信息安全应急处置工作;
(3)负责向巴蜀电力公司报告网络与信息安全应急处置进展情况;
(4)当网络与信息安全涉及启动地方政府相关部门应急预案时,配合地方政府相关部门相关应急机构开展应急处置工作。
4.2.2 应急处置工作内容
(1)与网络与信息安全事故的事发现场和事发单位(部门)建立通信联络,掌握相关人员的联系方式;
(2)与应急办和其他相关部门建立通信联络;
(3)文件、资料等的打印、复印、递送;
(4)协调车辆,保障应急人员、应急物资的运送。
(5)应急技术方案的处理工作;
(6)事故演习过程具体技术操作。
(7)接收事发单位(部门)报送的应急信息;
(8)向公司应急办公室报送应急信息;
(9)各类应急信息的收集、汇总和编辑;
(10) 记录应急指挥工作过程信息。
(11) 赶赴事发现场指导事发单位的应急处置工作;
(12) 协助事发单位调度外部应急力量和应急物资;
(13) 及时向上级应急机构或部门报告事发现场应急状况。
(14) 消除网络与信息安全事故的影响,恢复网络与信息系统运行;
(15) 负络与信息安全事故的调查处理;
(16) 向外包单位索赔。
5 预防与预警
5.1 预警分级
巴蜀江油发电厂网络与信息安全事故分为一般、较大、重大和特别重大四个级别,按照网络与信息安全事故的级别和发生的可能性,网络与信息安全事故预警分为四个级别,由高到低依次为红色预警、橙色预警、黄色预警、蓝色预警。
(1)特别重大的网络与信息安全事故即将发生或者发生的可能性增大时,构成红色预警。
(2)重大的网络与信息安全事故即将发生或者发生的可能性增大时,构成橙色预警。
(3)较大的网络与信息安全事故即将发生或者发生的可能性增大时,构成黄色预警。
(4)一般的网络与信息安全事故即将发生或者发生的可能性增大时,构成蓝色预警。
5.2 预警监测
(1)工程设备技术部负责全厂网络与信息安全事故风险监测工作,网络与信息安全事故风险监测的重点包括:
⏹ 计算机病毒、蠕虫、木马、恶意代码等入侵的风险;
⏹ 漏洞攻击、后门攻击、拒绝服务、网络窃听、网络钓鱼等网络攻击的风险;
⏹ 信息丢失、信息窃取、信息泄露、信息假冒等信息安全风险;
⏹ 利用网站发布或传播违法、违规等负面信息;
⏹ 机房设备故障、系统软硬件故障、人为破坏、误操作等系统故障风险;
⏹ 系统变更导致的不可预测风险;
⏹ 因系统业务量增加致使系统资源不够,系统高压力状态下运行的业务风险。
(2)在风险监测中,应通过多种方式获取预警支持信息,一般包括以下方式:
⏹ 通过风险监测和风险分析获得的数据;
⏹ 上级应急办公室、信息化管理部门传达的网络与信息安全事故预警信息;
⏹ 地方政府相关部门发布的网络与信息安全事故预警信息等。
5.3 预警发布与行动
5.3.1 预警信息报告
通过对网络与信息安全事故预警支持信息的分析和评估,认为构成预警的,应立即将预警支持
信息的分析和评估结果作为预警信息,向厂应急办公室报告。
5.3.2 预警信息发布
巴蜀江油发电厂应急办公室负责网络与信息安全事故预警的发布和预警响应范围的确定。
(1)应急办公室有权发布针对本单位内部的蓝色预警、黄色预警、橙色预警和红色预警。
(2)应急办公室在发布网络与信息安全事故预警时,应明确预警的响应范围和公开程度(或保密要求)。
(3)应急办公室在发布网络与信息安全事故预警后,应通过公文、传真、电话、短信、电子邮件等多种方式,将预警尽快传达到相关部门和人员。
5.3.3 预警行动
(1)在网络与信息安全事故预警发布后,预警响应范围内的单位(部门)应配合厂信息安全小组针对可能发生的网络与信息安全事故,及时采取有效的防范和应对措施,控制网络与信息安全事故风险,避免网络与信息安全事故发生;可以根据具体情况采取以下措施:
⏹ 内存及系统病毒、木马、蠕虫、恶意代码查杀清除;
⏹ 安装必要的系统安全补丁,关闭不必要端口,检查是否存在系统后门;
⏹ 做好重要数据安全保障及备份工作、定期更换用户密码、安全信息专人专管;
⏹ 准备常用备品备件、实时监控系统资源情况、规范人工操作、限制操作员权限、严格管理超
级管理员权限;
⏹ 避免不必要的系统变更,并对必要变更做好记录及回退准备;
⏹ 重启相应高负载业务或系统资源不足的设备;
(2)在网络与信息安全事故预警发布后,预警响应范围内的各级信息化管理部门,应对网络与信息安全事故风险进行持续监测,为预警响应行动、预警级别与范围调整和预警解除提供支持信息。
5.4 预警调整与解除
在网络与信息安全事故预警发布后,预警响应范围内的各信息化相关部门,应对网络与信息安全事故风险进行持续监测,为预警响应行动、预警级别与范围调整和预警解除提供支持信息,并根据风险变化及时报告厂应急办公室。
厂应急办公室在获取网络与信息安全事故预警级别与范围调整、预警解除信息后,经分析和确认,及时调整预警级别和预警响应范围,直至预警状态结束。
5.4.1 预警解除
当网络与信息安全事故发生的风险已经消除或被有效控制,或者突发事件已经发生,厂应急办应按具体情况对已经发布的预警予以解除。
(1)能够充分确认网络与信息安全事故风险已经全部消除或被有效控制,或者预警响应范围内的部门单位(或场所)全部解除预警状态时,解除预警。
(2)当预警的突发事件已经在预警响应范围内的某一部门、单位(或场所)发生时,该部门、单位(或场所)的预警状态自动解除。
6 应急响应与处置
6.1 应急响应分级
6.1.1 应急响应分级标准
6.1.1.1 网络与信息安全事故分级
按照网络与信息安全事故的严重程度,网络与信息安全事故分为一般网络与信息安全事故、较大网络与信息安全事故、重大网络与信息安全事故和特别重大网络与信息安全事故四个级别。
(1)一般网络与信息安全事故:因故障导致单位内部主要应用系统服务不可用或服务质量严重劣化累计时长已经(或预期)达24小时(时间/应用系统);因故障导致一半及以上办公用户内部网络访问中断或服务质量严重劣化时长已经(或预期)达6小时;因故障导致单位外部广域网访问中断或服务质量严重劣化时长已经(或预期)达12小时;因故障导致内部主要应用系统丢失数据累计已经(或预期)达10工作日数据。
(2)较大网络与信息安全事故:因故障导致单位内部主要应用系统服务不可用或服务质量严重劣化累计时长已经(或预期)达36小时(时间/应用系统);因故障导致一半及以上办公用户内部网络访问中断或服务质量严重劣化时长已经(或预期)达12小时;因故障导致单位外部广域网访问中断或服务质量严重劣化时长已经(或预期)达24小时;因故障导致内部主要应用系统丢失数据累计已经(或预期)达20工作日数据。
(3)重大网络与信息安全事故:因故障导致单位内部主要应用系统服务不可用或服务质量严重劣化累计时长已经(或预期)达48小时(时间/应用系统);因故障导致一半及以上办公用户内部网络访问中断或服务质量严重劣化时长已经(或预期)达24小时;因故障导致单位外部广域网访问中断或服务质量严重劣化时长已经(或预期)达48小时;因故障导致内部主要应用系统丢失数据累计已经(或预期)达30工作日数据;单位内部主要应用系统重要、机密数据泄密或被篡改,对单位造成一定负面影响或产生一定威胁。
(4)特别重大网络与信息安全事故:因故障导致单位内部所有主要应用系统服务不可用或服务质量严重劣化累计时长已经(或预期)达72小时;因故障导致内部网络系统中断或服务质量严重劣化累计时长已经(或预期)达72小时;因故障导致单位外部广域网访问中断或服务质量严重劣化时长已经(或预期)达72小时;单位内部主要应用系统重要、机密数据泄密或被篡改,对单位造成明
显的负面影响或重大威胁。
6.1.1.2 网络与信息安全事故应急响应分级
巴蜀江油发电厂网络与信息安全事故应急响应按照事故级别和响应范围分为四级,由低到高依次为Ⅳ级响应、Ⅲ级响应、Ⅱ级响应和Ⅰ级响应。
(1)已经或预期同时满足下列条件的应急响应,为Ⅳ级响应:
⏹ 网络与信息安全事故为一般网络与信息安全事故的;
⏹ 本单位网络与信息安全事故应急力量可以应对,且不需要地方政府相关部门应急力量配合的。
(2)已经或预期同时满足下列条件的应急响应,为Ⅲ级响应:
⏹ 网络与信息安全事故为较大网络与信息安全事故的,或者网络与信息安全事故为一般网络与信息安全事故且超出Ⅳ级响应条件的;
⏹ 本单位网络与信息安全事故的应急力量可以单独应对的,或者需要政府相关部门应急力量配合应对的。
(3)已经或预期同时满足下列条件的应急响应,为Ⅱ级响应:
⏹ 网络与信息安全事故为重大或者特别重大网络与信息安全事故的,或者网络与信息安全事故为较大网络与信息安全事故且超出Ⅲ级响应条件的,或者网络与信息安全事故为一般网络与信息安全事故且超出Ⅳ、Ⅲ级响应条件的;
⏹ 本单位网络与信息安全事故的应急力量无法单独应对,必需要地方政府相关部门或其它外部应急力量配合的。
(4)已经或预期同时满足下列条件的应急响应,为Ⅰ级响应:
⏹ 网络与信息安全事故为重大或者特别重大网络与信息安全事故且超出Ⅱ级响应条件的,或者网络与信息安全事故为较大网络与信息安全事故且超出Ⅲ、Ⅱ级响应条件的,或者网络与信息安全事故为一般网络与信息安全事故且超出Ⅳ、Ⅲ、Ⅱ级响应条件的;
⏹ 本单位网络与信息安全事故的应急力量无法单独应对,必需要地方政府相关部门和云南电网公司系统的应急力量配合应对的。
6.1.2 网络与信息安全事故分级响应及处置主体
(1)满足Ⅳ级应急响应标准的网络与信息安全事故,由事发单位(部门)启动事发现场的现场处置方案进行应急响应。
(2)满足Ⅲ级应急响应标准的网络与信息安全事故,由事发单位(部门)根据本预案要求采取必要的应急措施并启动现场处置方案进行应急响应。
(3)满足Ⅱ级应急响应标准的网络与信息安全事故,由巴蜀江油发电厂应急办批准启动网络与信息安全事故应急预案(即本预案)和现场处置方案进行应急响应。
(4)满足Ⅰ级应急响应标准的网络与信息安全事故,由巴蜀电力公司统一指挥,启动网络与信息安全事故应急预案(即本预案)和现场处置方案进行应急响应。
6.1.3 本预案启动程序
(1)巴蜀江油发电厂应急办在接到网络与信息安全事故初始信息后,召集相关部门工作人员分析事故;
(2)分析判断事故的应急响应级别,当响应级别达到Ⅱ级及以上时,向应急办申请启动本预案,当响应级别未达到Ⅱ级,持续关注事态发展;
(3)应急办到预案启动申请后,经研究决定是否批准该申请;
(4)本预案启动申请被批准后,信息安全小组负责网络与信息安全事故应急处置。
6.2 信息报告
6.2.1 应急电话
相关应急机构、部门、人员的联络方式见附件 1和巴蜀江油发电厂办公室印发的“通讯录”。
6.2.2 网络与信息安全事故初始事件分析
网络与信息安全事故初始信息一般包括以下内容:
(1)事故的类型、发生时间、发生地点;
(2)事故的原因、性质、范围、经初步判断的严重程度;
(3)网络与信息系统故障的严重程度、典型症状;
(4)网络与信息系统受损部件列表、具体情况描述;
(5)事故发生单位(部门)已采取的控制措施及其他应对措施;
(6)事故报告单位(部门)、联系人员及通讯方式。
6.2.3 网络与信息安全事故初始信息报告
(1)当网络与信息系统发生一般及以上级别网络与信息安全事故时,应在事故发生后30分钟内向应急办公室报告网络与信息安全事故初始信息。
(2)应急办公室在接到一般及以上级别网络与信息安全事故初始信息报告后,应对网络与信息安全事故初始信息进行确认,经应急办相关人员批准,在接到报告后40分钟内向巴蜀电力公司应急机构报告。
(3)在报告网络与信息安全事故初始信息时,应做到及时、客观、真实,不得迟报、谎报、瞒报、漏报。
6.2.4 网络与信息安全事故应急信息
网络与信息安全事故应急信息是指在网络与信息安全事故应急响应过程中,与网络与信息安全事故和网络与信息安全事故应急响应有关的数据和信息,一般包括网络与信息安全事故最新概况、应急处置进展情况、应急资源调度情况、下一步应急工作部署等内容。
(1)网络与信息安全事故最新概况。
(2)应急处置进展情况,包括已开展的应急处置行动、已取得的应急成果、当前主要应急处置工作和政府部门的参与情况。
(3)应急资源调度情况,包括应急人员调动情况、应急物资调配情况和应急资源需求情况。
(4)下一步应急工作部署,包括应急处置进展情况预估和应急处置行动计划。
6.2.5 网络与信息安全事故应急信息报告
(1)在网络与信息安全事故Ⅳ级及以上应急响应过程中,由启动现场处置方案的应急指挥机构,负责收集应急处置范围内的网络与信息安全事故应急信息,并负责向公司应急办应急信息。
(2)在网络与信息安全事故Ⅲ级及以上应急响应过程中,由应急办公室负责收集网络与信息安全事故应急信息,并负责向巴蜀电力公司应急办相关成员报告;经巴蜀电力公司应急办领导批准,负责按规定向上级应急办公室和地方地方政府相关部门报告应急信息。
6.3 响应程序
6.3.1 应急响应流程
本预案的应急响应可以分为应急启动、应急行动、应急响应扩大和应急结束四个过程,
应急启动
(1)经巴蜀江油发电厂应急办领导批准,由网络与信息安全事故应急小组启动本预案;
(2)网络与信息安全事故应急办和各应急处置工作人员就位;
(3)由通信联络工作组负责与事故现场建立通信联系。
6.3.2 应急行动
(1)指挥事故现场应急人员积极进行系统恢复;
(2)由信息技术工作组负责收集、整理事故应急信息,对事故的发展态势进行动态监测,及时掌握应急处置状况;
(3)做好系统备份恢复及相应回退准备工作。
6.3.3 应急响应扩大
(1)在应急处置过程中,当网络或重要信息系统瘫痪影响的范围增加时,应急办应及时增加应急力量投入;
(2)在应急处置过程中,当事故发展为Ⅰ级应急响应时,应急办公室应及时向上级主管部门和(或)公安部门汇报,申请应急支援。
6.3.4 应急处置措施
(1)有害程序类突发事件
⏹ 检查系统、服务、数据的完整性、可用性,中断应用系统或企业服务,从软件层面进行排查、系统升级、安全防御等操作,尽快减少此类有害程序的破坏和影响。
⏹ 断开网络,避免传染更多主机;
⏹ 进行病毒类型诊断;
⏹ 通知其它部门进行该类型病毒的防范与检测;
⏹ 使用专业杀毒软件/工具按照专业流程进行病毒及木马查杀;
⏹ 追踪病毒传播途径,制定该类型病毒防治规范;
⏹ 对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。
(2)网络攻击类突发事件
⏹ 在网络攻击中如拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听等,首先如检查网络、系统、服务、数据的保密性或可用性;损失的程度;确定暴露出的主要危险等。
⏹ 判断攻击类型与手段,评估系统现状;
⏹ 定位攻击路径;
⏹ 在业务中断允许的时间范围内追查攻击者位置;
⏹ 在尽可能靠近攻击源的节点切断攻击源;
⏹ 继续对攻击者的位置与攻击手段进行分析并搜集原始资料;
⏹ 可能的话关闭问题服务,系统漏洞升级;
⏹ 抑制事件的影响进一步扩大,限制潜在的损失与破坏。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统的物理链接,修改防火墙和路由器的过滤规则;封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路;提高系统或网络行为的监控级别;设置陷阱;启用紧急事件下的接管系统;实行特殊“防卫状态”安全警戒;反击攻击者的系统等。
(3)信息安全破坏类突发事件
⏹ 保护企业的信息安全,应急指挥部门和其他相关人员将对攻击源进行定位并采取合适的措施将其中断。
⏹ 定位攻击路径;
⏹ 在业务中断允许的时间范围内追查攻击者位置;
⏹ 在尽可能靠近攻击源的节点切断攻击源;
⏹ 判断攻击类型与手段,评估系统现状;
⏹ 继续对攻击者的位置与攻击手段进行分析并搜集原始资料;
⏹ 系统漏洞升级;
⏹ 在出现信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件后,应迅速定位问题的缘由,如果攻击者获得了超级用户的访问权,一次完整的恢复应强制性地修改所有的口令;如果出现了信息泄漏或窃取等,应尽快减少信息的传播途径,最大限度的保护企业信息安全;如果出现了信息篡改或假冒,通过信息和应用的备份回退至改前状态。
(4)负面信息安全类突发事件
⏹ 出现负面信息安全类事件后,应急指挥机构应迅速分析其负面影响,通过各种方式澄清事实,纠正错误信息,同时排查其信息传播的渠道,以备彻底解决此类事件。
(5)系统故障类突发事件
⏹ 出现硬件自身或外围设备设施故障,首先保障企业核心数据和应用的主机、服务器等硬件快速恢复。
⏹ 根据相应的故障应急手册尽快恢复网络业务,尽可能保留现场;搜集现场情况;
⏹ 根据故障现象及现场情况定位故障原因;
⏹ 在人为破坏事故、人为误操作事故和机房电源事故引起硬件故障中,迅速定位问题根源,有针对性根据事故等级进行快速响应,完成应急处理措施。
⏹ 无法短时间完成恢复的,应及时启动备份和灾备应急措施。
(6)灾害破坏类突发事件
⏹ 在水灾、台风、冰灾、火灾、雷击、地震、坍塌、恐怖袭击、战争等事故中,在保证人身安全的情况下,首先企业的核心数据信息备份介质,以便之后的应急恢复。
⏹ 在各类自然灾害面前,优先对重要应用系统和网络进行恢复和应急处理。
在此类灾害面前,一切的网络和信息安全事故应急均以人身安全为先,之后才考虑企业信息的还原。
6.4 应急结束
当网络与信息安全事故应急处置满足下列条件之一时,经应急办批准并宣布本预案的应急结束,停止本预案;
(1)本预案应对的网络与信息安全事故应急响应级别已降至Ⅱ级以下;
(2)本预案应对的网络与信息安全事故势态受到有效控制,事发单位(部门)已经能够独立应对,不再需要本预案的支持;
(3)本预案应对的网络与信息安全事故已经完成下列工作:受影响业务已恢复、系统资源已恢复到正常状态、必要系统补丁安装后系统安全稳定运行、受损数据已通过备份恢复。
6.5 信息发布
应急办负责网络与信息安全事故信息的对外发布,网络与信息安全事故信息发布必须经过严格审核和批准,保证发布信息的一致性,避免出现矛盾信息。网络与信息安全事故信息发布流程及要求如下:
(1)在网络与信息安全事故发生后,需要对外发布网络与信息安全事故初始信息的,须经信息主管领导批准,由应急办公室组织上报及对外发布。
(2)各部门及员工未经授权,不得上报和对外发布(散布)网络与信息安全事故信息或发表对网络与信息安全事故的评论。
6.6 后期处置
6.6.1 恢复生产
网络与信息安全事故应急结束后,在公司应急办的指导下,由公司信息安全小组具体负责督促网络与信息安全事故善后处理工作,指导事发部门制定可行的工作计划,快速、有效地消除网络与信息安全事故造成的不利影响,尽快恢复生产秩序。
6.6.2 事件调查
(1)按照国家和上级主管部门事故调查规定,组织事故调查组对网络与信息安全事故进行调查。
(2)事故调查组应准确、及时、公正地查清事故的性质、原因和责任,总结经验教训,提出防范措施,并对责任者提出处理意见。
6.6.3 总结及改进
网络与信息安全事故应急结束后,在应急指办组织下,由信息化领导小组具体负责对本预案和应急救援处置过程进行全面地总结、评估,找出不足并明确改进方向,及时对本预案的不足之处予以修订。
7 应急保障
7.1 应急队伍
巴蜀江油发电厂信息安全小组为事故应急救援队伍,应加强网络与信息的应急技术交流和技术培训,提高网络与信息安全整体应急响应能力。根据本单位的实际情况,考虑借助第三方技术力量,为网络与信息安全应急处置工作提供支持。
7.2 应急物资与装备
应按需要配备一定数量的网络系统、数据系统的备品备件、专业的软硬件检测工具、交通工具、
通讯装备等。
7.3 通信与信息
(1)网络与信息安全事故应急通信联络和信息交换的渠道主要有办公电话、外线电话、移动电话、传真、电子邮件等方式。
(2)与本预案有关人员用于工作联系的移动电话,应保持每天24小时处于开机状态。
7.4 其他
为了保障网络与信息安全事故应急救援时,能够快速获得地方政府相关部门的支持,应与地方政府相关部门建立有效的沟通渠道和协作机制。
8 附则
8.1 应急培训
(1)由信息化领导工作小组负责组织与本预案相关的应急培训,培训对象主要为应急预案中的相关人员。
(2)本预案的培训可以采用案例教学、情景模拟、交流研讨、案例分析、应急演练、对策研究等方式进行。
(3)本预案的培训重点是网络与信息安全事故应急响应流程、网络与信息安全事故应急信息报送流程和网络与信息安全应急处置的知识和技能。
8.2 预案演练
(1)由信息安全小组负责制定本预案的年度演练计划并报应急办。
(2)本预案每两年至少进行一次演练,由信息化领导工作小组负责组织;本预案演练的主要内容为应急人员对预案应急流程的熟悉和各应急处置工作组之间的配合。
(3)本预案演练结束后,由信息化领导工作小组负责对演练情况进行评估和总结,针对应急演练中暴露出的问题,制订相应的整改措施,对本预案的不足之处进行修订。
8.3 预案备案
本预案由巴蜀江油发电厂应急办报送巴蜀电力公司备案。
8.4 维护和更新
巴蜀江油发电厂信息化领导工作小组牵头负责对本预案每年评审一次,并提出修订意见,并负责按照修订意见修改和更新本预案。
8.5 制定与解释
本预案由巴蜀江油发电厂工程设备部负责组织制定,由信息化领导工作小组负责解释。
8.6 实施时间
本预案自批准发文之日起实施。
附件1
神华巴蜀江油发电厂应急办通讯录
神华巴蜀江油发电厂工程设备部通讯录
神华巴蜀江油发电厂网络通讯室通讯录
神华巴蜀江油发电厂
网络与信息安全应急预案
编制部门:巴蜀江油发电厂工程设备技术部
颁布日期:2012年6月26日
修订日期:2012年9月28日
(姜工:按厂办规定,将序号改为:第 章 第 条 (一)„
、„ ) 1
目录
1 总 则 .............................................................................................................................................................. 1
1.1
1.2
1.3
1.4
1.5
2 编制目的 ............................................................................................................................................ 1 编制依据 .......................................................................................................... 错误!未定义书签。 适用范围 ............................................................................................................................................ 1 工作原则 ............................................................................................................................................ 1 与其他预案的关系 .......................................................................................... 错误!未定义书签。 风险与资源分析 ............................................................................................................................................ 1
2.1
2.2 风险分析 ............................................................................................................................................ 1 资源分析 ............................................................................................................................................ 2
3 突发事件分级 ................................................................................................................................................ 2
3.1
3.2 一级事件 ............................................................................................................................................ 2 二级事件 ............................................................................................................................................ 2
4 组织机构及职责 ............................................................................................................................................ 3
4.1
4.2 应急机构设置 .................................................................................................................................... 3 应急工作小组职责 ............................................................................................................................ 3
5 预防与预警 .................................................................................................................................................... 4
5.1
5.2
5.3
5.4 预警分级 ............................................................................................................................................ 4 预警监测 ............................................................................................................................................ 4 预警发布与行动 ................................................................................................................................ 4 预警调整与解除 ................................................................................................................................ 5
6 应急响应与处置 ............................................................................................................................................ 6
6.1
6.2
6.3
6.4
6.5
6.6 应急响应分级 .................................................................................................................................... 6 信息报告 ............................................................................................................................................ 8 响应程序 ............................................................................................................................................ 9 应急结束 .......................................................................................................................................... 11 信息发布 .......................................................................................................................................... 12 后期处置 .......................................................................................................................................... 12
7 应急保障 ...................................................................................................................................................... 12
7.1
7.2
7.3
7.4
7.5 应急队伍 .......................................................................................................................................... 12 应急物资与装备 .............................................................................................................................. 12 通信与信息 ...................................................................................................................................... 13 经费 .................................................................................................................. 错误!未定义书签。 其他 .................................................................................................................................................. 13
8 附则 .............................................................................................................................................................. 13
8.1
8.2
8.3
8.4
8.5
8.6 应急培训 .......................................................................................................................................... 13 预案演练 .......................................................................................................................................... 13 预案备案 .......................................................................................................................................... 13 维护和更新 ...................................................................................................................................... 13 制定与解释 ...................................................................................................................................... 14 实施时间 .......................................................................................................................................... 14
1 总 则
1.1 编制目的
为保证巴蜀江油发电厂网络与信息系统的正常运转,减少因各类网络与信息突发事件造成的损失和影响,建立网络与信息系统紧急情况下有效的应急机制,结合巴蜀江油发电厂工作实际制定本预案。
1.2 适用范围
本预案适用于巴蜀江油发电厂网络与信息安全应急响应工作,当网络与信息系统发生突发事件达到Ⅱ级及以上响应标准时,启动本预案。
1.3 工作原则
(1)统一指挥,协调配合。在应急指挥机构的统一指挥、调配下,各应急力量快速就位,快速开展网络与信息安全事故应急处置行动。督促相关部门遵照“统一领导、分级负责、各司其职、协调配合”的原则协同配合,开展应急工作。
(2)快速行动,有序处置。发生网络与信息安全突发事件时,要按照处置优先、快速反应的机制,及时获取充分而准确的信息,跟踪研判,果断决策,充分利用现有网络与信息安全应急设施,整合内、外部的信息安全应急力量,充分依靠系统内外信息安全应急力量,形成信息安全应急工作合力。按照相关应急预案进行迅速处置,最大程度地减少危害和影响。
2 风险与资源分析
2.1 风险分析
巴蜀江油发电厂网络与信息系统存在计算机病毒、网络攻击、数据安全以及设备设施故障等风险,由此引起的网络系统、应用系统和数据系统突发事件包括:
(1)有害程序类突发事件:指受到有害程序的影响而导致的网络与信息安全突发事件。有害程序类事件包含(但不限于)计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合攻击程序、网页内嵌恶意代码等事件。
(2)网络攻击类突发事件:指通过网络或其它技术手段,利用配置缺陷、协议缺陷、程序缺陷等攻击网络与信息系统,造成网络与信息系统异常或不可用的网络与信息安全突发事件。网络攻击类事件包括(但不限于)拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰等事件。
(3)信息安全破坏类突发事件:指通过网络或其它技术手段,造成网络与信息系统中的信息被篡改、假冒、泄漏、窃取等而导致系统瘫痪、数据毁坏、数据泄漏的突发事件。信息安全破坏类事件包括信息篡改、信息假冒、信息泄漏、信息窃取、信息丢失等事件。
(4)系统故障类突发事件:指网络与信息系统因自身或外围设备设施故障、以及人为误操作等导致的信息安全突发事件。系统故障类事件包括软硬件自身故障、外围保障设施故障、人为破坏事故、人为误操作事故和机房电源事故等。
(5)灾害破坏类突发事件:指由于不可抗力对网络与信息系统造成物理破坏而导致的网络与信息安全突发事件。灾害类事件包括水灾、台风、冰灾、火灾、雷击、地震、坍塌、恐怖袭击、战争等导致的网络与信息安全突发事件。
2.2
2.2.1 资源分析 内部应急力量
巴蜀江油发电厂所属的网络与信息系统管理人员、系统管理员等是网络与信息安全事件应急处理的力量,神华集团系统内网络与信息专业人员可作为本网络与信息安全事件应急处理的内部应急力量。
2.2.2 外部应急力量
地方政府相关部门、软硬件制造商、供应商、系统集成商以及技术服务提供商,均可作为外部应急力量。
2.2.3 物资和装备资源
巴蜀江油发电厂所属硬件备件、软件介质、数据备份、专业检测及维修工具、消防工具、通讯器材、交通工具等,均可作为应急的物资装备资源。
3 突发事件分级
3.1 一级事件
凡发生下列情况之一者,评价为一级事件一次。
(1) 发生网络攻击或有害程序破坏造成局域网全部瘫痪超过24个小时及以上。
(2) 违反网络与信息设备操作规程造成人身伤亡或经济损失价值为10万元及以上.
3.2 二级事件
凡发生下列情况之一者,评价为二级事件一次。
(1) 发生网络攻击或有害程序破坏造成局域网部分瘫痪超过24个小时及以上。
(2) 交换机故障全停15分钟。
(3) 机房网络与服务器设备供电电源全部中断一次。
4 组织机构及职责
4.1 应急机构设置
成立巴蜀江油发电厂信息安全小组,当发生网络与信息安全事故需要启动本预案时,由巴蜀江油发电厂信息安全小组负责相关事务处理,并指定应急信息技术专责。
信息安全小组组长:总经理
副组长:总工程师 技术副总经理
成员:车间(部门)第一负责人 通信网络专责
4.2 应急工作小组职责
4.2.1 应急工作小组职责
巴蜀江油发电厂网络与信息安全应急小组的主要职责如下:
(1)负责按照本预案指挥网络与信息安全应急处置工作;
(2)负责指导、协调网络与信息安全应急处置工作;
(3)负责向巴蜀电力公司报告网络与信息安全应急处置进展情况;
(4)当网络与信息安全涉及启动地方政府相关部门应急预案时,配合地方政府相关部门相关应急机构开展应急处置工作。
4.2.2 应急处置工作内容
(1)与网络与信息安全事故的事发现场和事发单位(部门)建立通信联络,掌握相关人员的联系方式;
(2)与应急办和其他相关部门建立通信联络;
(3)文件、资料等的打印、复印、递送;
(4)协调车辆,保障应急人员、应急物资的运送。
(5)应急技术方案的处理工作;
(6)事故演习过程具体技术操作。
(7)接收事发单位(部门)报送的应急信息;
(8)向公司应急办公室报送应急信息;
(9)各类应急信息的收集、汇总和编辑;
(10) 记录应急指挥工作过程信息。
(11) 赶赴事发现场指导事发单位的应急处置工作;
(12) 协助事发单位调度外部应急力量和应急物资;
(13) 及时向上级应急机构或部门报告事发现场应急状况。
(14) 消除网络与信息安全事故的影响,恢复网络与信息系统运行;
(15) 负络与信息安全事故的调查处理;
(16) 向外包单位索赔。
5 预防与预警
5.1 预警分级
巴蜀江油发电厂网络与信息安全事故分为一般、较大、重大和特别重大四个级别,按照网络与信息安全事故的级别和发生的可能性,网络与信息安全事故预警分为四个级别,由高到低依次为红色预警、橙色预警、黄色预警、蓝色预警。
(1)特别重大的网络与信息安全事故即将发生或者发生的可能性增大时,构成红色预警。
(2)重大的网络与信息安全事故即将发生或者发生的可能性增大时,构成橙色预警。
(3)较大的网络与信息安全事故即将发生或者发生的可能性增大时,构成黄色预警。
(4)一般的网络与信息安全事故即将发生或者发生的可能性增大时,构成蓝色预警。
5.2 预警监测
(1)工程设备技术部负责全厂网络与信息安全事故风险监测工作,网络与信息安全事故风险监测的重点包括:
⏹ 计算机病毒、蠕虫、木马、恶意代码等入侵的风险;
⏹ 漏洞攻击、后门攻击、拒绝服务、网络窃听、网络钓鱼等网络攻击的风险;
⏹ 信息丢失、信息窃取、信息泄露、信息假冒等信息安全风险;
⏹ 利用网站发布或传播违法、违规等负面信息;
⏹ 机房设备故障、系统软硬件故障、人为破坏、误操作等系统故障风险;
⏹ 系统变更导致的不可预测风险;
⏹ 因系统业务量增加致使系统资源不够,系统高压力状态下运行的业务风险。
(2)在风险监测中,应通过多种方式获取预警支持信息,一般包括以下方式:
⏹ 通过风险监测和风险分析获得的数据;
⏹ 上级应急办公室、信息化管理部门传达的网络与信息安全事故预警信息;
⏹ 地方政府相关部门发布的网络与信息安全事故预警信息等。
5.3 预警发布与行动
5.3.1 预警信息报告
通过对网络与信息安全事故预警支持信息的分析和评估,认为构成预警的,应立即将预警支持
信息的分析和评估结果作为预警信息,向厂应急办公室报告。
5.3.2 预警信息发布
巴蜀江油发电厂应急办公室负责网络与信息安全事故预警的发布和预警响应范围的确定。
(1)应急办公室有权发布针对本单位内部的蓝色预警、黄色预警、橙色预警和红色预警。
(2)应急办公室在发布网络与信息安全事故预警时,应明确预警的响应范围和公开程度(或保密要求)。
(3)应急办公室在发布网络与信息安全事故预警后,应通过公文、传真、电话、短信、电子邮件等多种方式,将预警尽快传达到相关部门和人员。
5.3.3 预警行动
(1)在网络与信息安全事故预警发布后,预警响应范围内的单位(部门)应配合厂信息安全小组针对可能发生的网络与信息安全事故,及时采取有效的防范和应对措施,控制网络与信息安全事故风险,避免网络与信息安全事故发生;可以根据具体情况采取以下措施:
⏹ 内存及系统病毒、木马、蠕虫、恶意代码查杀清除;
⏹ 安装必要的系统安全补丁,关闭不必要端口,检查是否存在系统后门;
⏹ 做好重要数据安全保障及备份工作、定期更换用户密码、安全信息专人专管;
⏹ 准备常用备品备件、实时监控系统资源情况、规范人工操作、限制操作员权限、严格管理超
级管理员权限;
⏹ 避免不必要的系统变更,并对必要变更做好记录及回退准备;
⏹ 重启相应高负载业务或系统资源不足的设备;
(2)在网络与信息安全事故预警发布后,预警响应范围内的各级信息化管理部门,应对网络与信息安全事故风险进行持续监测,为预警响应行动、预警级别与范围调整和预警解除提供支持信息。
5.4 预警调整与解除
在网络与信息安全事故预警发布后,预警响应范围内的各信息化相关部门,应对网络与信息安全事故风险进行持续监测,为预警响应行动、预警级别与范围调整和预警解除提供支持信息,并根据风险变化及时报告厂应急办公室。
厂应急办公室在获取网络与信息安全事故预警级别与范围调整、预警解除信息后,经分析和确认,及时调整预警级别和预警响应范围,直至预警状态结束。
5.4.1 预警解除
当网络与信息安全事故发生的风险已经消除或被有效控制,或者突发事件已经发生,厂应急办应按具体情况对已经发布的预警予以解除。
(1)能够充分确认网络与信息安全事故风险已经全部消除或被有效控制,或者预警响应范围内的部门单位(或场所)全部解除预警状态时,解除预警。
(2)当预警的突发事件已经在预警响应范围内的某一部门、单位(或场所)发生时,该部门、单位(或场所)的预警状态自动解除。
6 应急响应与处置
6.1 应急响应分级
6.1.1 应急响应分级标准
6.1.1.1 网络与信息安全事故分级
按照网络与信息安全事故的严重程度,网络与信息安全事故分为一般网络与信息安全事故、较大网络与信息安全事故、重大网络与信息安全事故和特别重大网络与信息安全事故四个级别。
(1)一般网络与信息安全事故:因故障导致单位内部主要应用系统服务不可用或服务质量严重劣化累计时长已经(或预期)达24小时(时间/应用系统);因故障导致一半及以上办公用户内部网络访问中断或服务质量严重劣化时长已经(或预期)达6小时;因故障导致单位外部广域网访问中断或服务质量严重劣化时长已经(或预期)达12小时;因故障导致内部主要应用系统丢失数据累计已经(或预期)达10工作日数据。
(2)较大网络与信息安全事故:因故障导致单位内部主要应用系统服务不可用或服务质量严重劣化累计时长已经(或预期)达36小时(时间/应用系统);因故障导致一半及以上办公用户内部网络访问中断或服务质量严重劣化时长已经(或预期)达12小时;因故障导致单位外部广域网访问中断或服务质量严重劣化时长已经(或预期)达24小时;因故障导致内部主要应用系统丢失数据累计已经(或预期)达20工作日数据。
(3)重大网络与信息安全事故:因故障导致单位内部主要应用系统服务不可用或服务质量严重劣化累计时长已经(或预期)达48小时(时间/应用系统);因故障导致一半及以上办公用户内部网络访问中断或服务质量严重劣化时长已经(或预期)达24小时;因故障导致单位外部广域网访问中断或服务质量严重劣化时长已经(或预期)达48小时;因故障导致内部主要应用系统丢失数据累计已经(或预期)达30工作日数据;单位内部主要应用系统重要、机密数据泄密或被篡改,对单位造成一定负面影响或产生一定威胁。
(4)特别重大网络与信息安全事故:因故障导致单位内部所有主要应用系统服务不可用或服务质量严重劣化累计时长已经(或预期)达72小时;因故障导致内部网络系统中断或服务质量严重劣化累计时长已经(或预期)达72小时;因故障导致单位外部广域网访问中断或服务质量严重劣化时长已经(或预期)达72小时;单位内部主要应用系统重要、机密数据泄密或被篡改,对单位造成明
显的负面影响或重大威胁。
6.1.1.2 网络与信息安全事故应急响应分级
巴蜀江油发电厂网络与信息安全事故应急响应按照事故级别和响应范围分为四级,由低到高依次为Ⅳ级响应、Ⅲ级响应、Ⅱ级响应和Ⅰ级响应。
(1)已经或预期同时满足下列条件的应急响应,为Ⅳ级响应:
⏹ 网络与信息安全事故为一般网络与信息安全事故的;
⏹ 本单位网络与信息安全事故应急力量可以应对,且不需要地方政府相关部门应急力量配合的。
(2)已经或预期同时满足下列条件的应急响应,为Ⅲ级响应:
⏹ 网络与信息安全事故为较大网络与信息安全事故的,或者网络与信息安全事故为一般网络与信息安全事故且超出Ⅳ级响应条件的;
⏹ 本单位网络与信息安全事故的应急力量可以单独应对的,或者需要政府相关部门应急力量配合应对的。
(3)已经或预期同时满足下列条件的应急响应,为Ⅱ级响应:
⏹ 网络与信息安全事故为重大或者特别重大网络与信息安全事故的,或者网络与信息安全事故为较大网络与信息安全事故且超出Ⅲ级响应条件的,或者网络与信息安全事故为一般网络与信息安全事故且超出Ⅳ、Ⅲ级响应条件的;
⏹ 本单位网络与信息安全事故的应急力量无法单独应对,必需要地方政府相关部门或其它外部应急力量配合的。
(4)已经或预期同时满足下列条件的应急响应,为Ⅰ级响应:
⏹ 网络与信息安全事故为重大或者特别重大网络与信息安全事故且超出Ⅱ级响应条件的,或者网络与信息安全事故为较大网络与信息安全事故且超出Ⅲ、Ⅱ级响应条件的,或者网络与信息安全事故为一般网络与信息安全事故且超出Ⅳ、Ⅲ、Ⅱ级响应条件的;
⏹ 本单位网络与信息安全事故的应急力量无法单独应对,必需要地方政府相关部门和云南电网公司系统的应急力量配合应对的。
6.1.2 网络与信息安全事故分级响应及处置主体
(1)满足Ⅳ级应急响应标准的网络与信息安全事故,由事发单位(部门)启动事发现场的现场处置方案进行应急响应。
(2)满足Ⅲ级应急响应标准的网络与信息安全事故,由事发单位(部门)根据本预案要求采取必要的应急措施并启动现场处置方案进行应急响应。
(3)满足Ⅱ级应急响应标准的网络与信息安全事故,由巴蜀江油发电厂应急办批准启动网络与信息安全事故应急预案(即本预案)和现场处置方案进行应急响应。
(4)满足Ⅰ级应急响应标准的网络与信息安全事故,由巴蜀电力公司统一指挥,启动网络与信息安全事故应急预案(即本预案)和现场处置方案进行应急响应。
6.1.3 本预案启动程序
(1)巴蜀江油发电厂应急办在接到网络与信息安全事故初始信息后,召集相关部门工作人员分析事故;
(2)分析判断事故的应急响应级别,当响应级别达到Ⅱ级及以上时,向应急办申请启动本预案,当响应级别未达到Ⅱ级,持续关注事态发展;
(3)应急办到预案启动申请后,经研究决定是否批准该申请;
(4)本预案启动申请被批准后,信息安全小组负责网络与信息安全事故应急处置。
6.2 信息报告
6.2.1 应急电话
相关应急机构、部门、人员的联络方式见附件 1和巴蜀江油发电厂办公室印发的“通讯录”。
6.2.2 网络与信息安全事故初始事件分析
网络与信息安全事故初始信息一般包括以下内容:
(1)事故的类型、发生时间、发生地点;
(2)事故的原因、性质、范围、经初步判断的严重程度;
(3)网络与信息系统故障的严重程度、典型症状;
(4)网络与信息系统受损部件列表、具体情况描述;
(5)事故发生单位(部门)已采取的控制措施及其他应对措施;
(6)事故报告单位(部门)、联系人员及通讯方式。
6.2.3 网络与信息安全事故初始信息报告
(1)当网络与信息系统发生一般及以上级别网络与信息安全事故时,应在事故发生后30分钟内向应急办公室报告网络与信息安全事故初始信息。
(2)应急办公室在接到一般及以上级别网络与信息安全事故初始信息报告后,应对网络与信息安全事故初始信息进行确认,经应急办相关人员批准,在接到报告后40分钟内向巴蜀电力公司应急机构报告。
(3)在报告网络与信息安全事故初始信息时,应做到及时、客观、真实,不得迟报、谎报、瞒报、漏报。
6.2.4 网络与信息安全事故应急信息
网络与信息安全事故应急信息是指在网络与信息安全事故应急响应过程中,与网络与信息安全事故和网络与信息安全事故应急响应有关的数据和信息,一般包括网络与信息安全事故最新概况、应急处置进展情况、应急资源调度情况、下一步应急工作部署等内容。
(1)网络与信息安全事故最新概况。
(2)应急处置进展情况,包括已开展的应急处置行动、已取得的应急成果、当前主要应急处置工作和政府部门的参与情况。
(3)应急资源调度情况,包括应急人员调动情况、应急物资调配情况和应急资源需求情况。
(4)下一步应急工作部署,包括应急处置进展情况预估和应急处置行动计划。
6.2.5 网络与信息安全事故应急信息报告
(1)在网络与信息安全事故Ⅳ级及以上应急响应过程中,由启动现场处置方案的应急指挥机构,负责收集应急处置范围内的网络与信息安全事故应急信息,并负责向公司应急办应急信息。
(2)在网络与信息安全事故Ⅲ级及以上应急响应过程中,由应急办公室负责收集网络与信息安全事故应急信息,并负责向巴蜀电力公司应急办相关成员报告;经巴蜀电力公司应急办领导批准,负责按规定向上级应急办公室和地方地方政府相关部门报告应急信息。
6.3 响应程序
6.3.1 应急响应流程
本预案的应急响应可以分为应急启动、应急行动、应急响应扩大和应急结束四个过程,
应急启动
(1)经巴蜀江油发电厂应急办领导批准,由网络与信息安全事故应急小组启动本预案;
(2)网络与信息安全事故应急办和各应急处置工作人员就位;
(3)由通信联络工作组负责与事故现场建立通信联系。
6.3.2 应急行动
(1)指挥事故现场应急人员积极进行系统恢复;
(2)由信息技术工作组负责收集、整理事故应急信息,对事故的发展态势进行动态监测,及时掌握应急处置状况;
(3)做好系统备份恢复及相应回退准备工作。
6.3.3 应急响应扩大
(1)在应急处置过程中,当网络或重要信息系统瘫痪影响的范围增加时,应急办应及时增加应急力量投入;
(2)在应急处置过程中,当事故发展为Ⅰ级应急响应时,应急办公室应及时向上级主管部门和(或)公安部门汇报,申请应急支援。
6.3.4 应急处置措施
(1)有害程序类突发事件
⏹ 检查系统、服务、数据的完整性、可用性,中断应用系统或企业服务,从软件层面进行排查、系统升级、安全防御等操作,尽快减少此类有害程序的破坏和影响。
⏹ 断开网络,避免传染更多主机;
⏹ 进行病毒类型诊断;
⏹ 通知其它部门进行该类型病毒的防范与检测;
⏹ 使用专业杀毒软件/工具按照专业流程进行病毒及木马查杀;
⏹ 追踪病毒传播途径,制定该类型病毒防治规范;
⏹ 对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。
(2)网络攻击类突发事件
⏹ 在网络攻击中如拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听等,首先如检查网络、系统、服务、数据的保密性或可用性;损失的程度;确定暴露出的主要危险等。
⏹ 判断攻击类型与手段,评估系统现状;
⏹ 定位攻击路径;
⏹ 在业务中断允许的时间范围内追查攻击者位置;
⏹ 在尽可能靠近攻击源的节点切断攻击源;
⏹ 继续对攻击者的位置与攻击手段进行分析并搜集原始资料;
⏹ 可能的话关闭问题服务,系统漏洞升级;
⏹ 抑制事件的影响进一步扩大,限制潜在的损失与破坏。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统的物理链接,修改防火墙和路由器的过滤规则;封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路;提高系统或网络行为的监控级别;设置陷阱;启用紧急事件下的接管系统;实行特殊“防卫状态”安全警戒;反击攻击者的系统等。
(3)信息安全破坏类突发事件
⏹ 保护企业的信息安全,应急指挥部门和其他相关人员将对攻击源进行定位并采取合适的措施将其中断。
⏹ 定位攻击路径;
⏹ 在业务中断允许的时间范围内追查攻击者位置;
⏹ 在尽可能靠近攻击源的节点切断攻击源;
⏹ 判断攻击类型与手段,评估系统现状;
⏹ 继续对攻击者的位置与攻击手段进行分析并搜集原始资料;
⏹ 系统漏洞升级;
⏹ 在出现信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件后,应迅速定位问题的缘由,如果攻击者获得了超级用户的访问权,一次完整的恢复应强制性地修改所有的口令;如果出现了信息泄漏或窃取等,应尽快减少信息的传播途径,最大限度的保护企业信息安全;如果出现了信息篡改或假冒,通过信息和应用的备份回退至改前状态。
(4)负面信息安全类突发事件
⏹ 出现负面信息安全类事件后,应急指挥机构应迅速分析其负面影响,通过各种方式澄清事实,纠正错误信息,同时排查其信息传播的渠道,以备彻底解决此类事件。
(5)系统故障类突发事件
⏹ 出现硬件自身或外围设备设施故障,首先保障企业核心数据和应用的主机、服务器等硬件快速恢复。
⏹ 根据相应的故障应急手册尽快恢复网络业务,尽可能保留现场;搜集现场情况;
⏹ 根据故障现象及现场情况定位故障原因;
⏹ 在人为破坏事故、人为误操作事故和机房电源事故引起硬件故障中,迅速定位问题根源,有针对性根据事故等级进行快速响应,完成应急处理措施。
⏹ 无法短时间完成恢复的,应及时启动备份和灾备应急措施。
(6)灾害破坏类突发事件
⏹ 在水灾、台风、冰灾、火灾、雷击、地震、坍塌、恐怖袭击、战争等事故中,在保证人身安全的情况下,首先企业的核心数据信息备份介质,以便之后的应急恢复。
⏹ 在各类自然灾害面前,优先对重要应用系统和网络进行恢复和应急处理。
在此类灾害面前,一切的网络和信息安全事故应急均以人身安全为先,之后才考虑企业信息的还原。
6.4 应急结束
当网络与信息安全事故应急处置满足下列条件之一时,经应急办批准并宣布本预案的应急结束,停止本预案;
(1)本预案应对的网络与信息安全事故应急响应级别已降至Ⅱ级以下;
(2)本预案应对的网络与信息安全事故势态受到有效控制,事发单位(部门)已经能够独立应对,不再需要本预案的支持;
(3)本预案应对的网络与信息安全事故已经完成下列工作:受影响业务已恢复、系统资源已恢复到正常状态、必要系统补丁安装后系统安全稳定运行、受损数据已通过备份恢复。
6.5 信息发布
应急办负责网络与信息安全事故信息的对外发布,网络与信息安全事故信息发布必须经过严格审核和批准,保证发布信息的一致性,避免出现矛盾信息。网络与信息安全事故信息发布流程及要求如下:
(1)在网络与信息安全事故发生后,需要对外发布网络与信息安全事故初始信息的,须经信息主管领导批准,由应急办公室组织上报及对外发布。
(2)各部门及员工未经授权,不得上报和对外发布(散布)网络与信息安全事故信息或发表对网络与信息安全事故的评论。
6.6 后期处置
6.6.1 恢复生产
网络与信息安全事故应急结束后,在公司应急办的指导下,由公司信息安全小组具体负责督促网络与信息安全事故善后处理工作,指导事发部门制定可行的工作计划,快速、有效地消除网络与信息安全事故造成的不利影响,尽快恢复生产秩序。
6.6.2 事件调查
(1)按照国家和上级主管部门事故调查规定,组织事故调查组对网络与信息安全事故进行调查。
(2)事故调查组应准确、及时、公正地查清事故的性质、原因和责任,总结经验教训,提出防范措施,并对责任者提出处理意见。
6.6.3 总结及改进
网络与信息安全事故应急结束后,在应急指办组织下,由信息化领导小组具体负责对本预案和应急救援处置过程进行全面地总结、评估,找出不足并明确改进方向,及时对本预案的不足之处予以修订。
7 应急保障
7.1 应急队伍
巴蜀江油发电厂信息安全小组为事故应急救援队伍,应加强网络与信息的应急技术交流和技术培训,提高网络与信息安全整体应急响应能力。根据本单位的实际情况,考虑借助第三方技术力量,为网络与信息安全应急处置工作提供支持。
7.2 应急物资与装备
应按需要配备一定数量的网络系统、数据系统的备品备件、专业的软硬件检测工具、交通工具、
通讯装备等。
7.3 通信与信息
(1)网络与信息安全事故应急通信联络和信息交换的渠道主要有办公电话、外线电话、移动电话、传真、电子邮件等方式。
(2)与本预案有关人员用于工作联系的移动电话,应保持每天24小时处于开机状态。
7.4 其他
为了保障网络与信息安全事故应急救援时,能够快速获得地方政府相关部门的支持,应与地方政府相关部门建立有效的沟通渠道和协作机制。
8 附则
8.1 应急培训
(1)由信息化领导工作小组负责组织与本预案相关的应急培训,培训对象主要为应急预案中的相关人员。
(2)本预案的培训可以采用案例教学、情景模拟、交流研讨、案例分析、应急演练、对策研究等方式进行。
(3)本预案的培训重点是网络与信息安全事故应急响应流程、网络与信息安全事故应急信息报送流程和网络与信息安全应急处置的知识和技能。
8.2 预案演练
(1)由信息安全小组负责制定本预案的年度演练计划并报应急办。
(2)本预案每两年至少进行一次演练,由信息化领导工作小组负责组织;本预案演练的主要内容为应急人员对预案应急流程的熟悉和各应急处置工作组之间的配合。
(3)本预案演练结束后,由信息化领导工作小组负责对演练情况进行评估和总结,针对应急演练中暴露出的问题,制订相应的整改措施,对本预案的不足之处进行修订。
8.3 预案备案
本预案由巴蜀江油发电厂应急办报送巴蜀电力公司备案。
8.4 维护和更新
巴蜀江油发电厂信息化领导工作小组牵头负责对本预案每年评审一次,并提出修订意见,并负责按照修订意见修改和更新本预案。
8.5 制定与解释
本预案由巴蜀江油发电厂工程设备部负责组织制定,由信息化领导工作小组负责解释。
8.6 实施时间
本预案自批准发文之日起实施。
附件1
神华巴蜀江油发电厂应急办通讯录
神华巴蜀江油发电厂工程设备部通讯录
神华巴蜀江油发电厂网络通讯室通讯录