1? 事件定義及分級

1.1? 定義

計算機信息系統(tǒng)損害事件系指管理處計算機信息系統(tǒng)及相關(guān)通信網(wǎng)絡(luò)遭受黑客惡意攻擊、大規(guī)模計算機病毒襲擊、人為破壞、自然災(zāi)害破壞或其它不可抗力影響，引發(fā)多地點基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)、網(wǎng)站癱瘓，導(dǎo)致關(guān)鍵業(yè)務(wù)中斷或重要信息丟失、泄密，造成或可能造成較大經(jīng)濟損失或嚴重社會影響的事件。

1.2? 分級

根據(jù)計算機信息系統(tǒng)損害災(zāi)害事件的性質(zhì)、危害程度、波及范圍，可以將其劃分為兩級：管道分公司及以上級、管理處級。

1.2.1 管道分公司及以上級計算機信息系統(tǒng)損害災(zāi)害事件

（1）SCADA系統(tǒng)被惡意攻擊、修改或破壞，導(dǎo)致邏輯控制紊亂，造成系統(tǒng)癱瘓、數(shù)據(jù)丟失、控制失靈，嚴重影響安全生產(chǎn)的事件；

（2）主要通信系統(tǒng)損壞，造成SCADA系統(tǒng)無法運行的事件；

（3）因計算機信息系統(tǒng)設(shè)備、軟件故障，造成SCADA系統(tǒng)、OA系統(tǒng)、ERP系統(tǒng)、財務(wù)管理信息系統(tǒng)、安全信息管理系統(tǒng)等主要計算機信息系統(tǒng)大面積癱瘓，嚴重影響安全生產(chǎn)、造成公司重大經(jīng)濟損失或重要信息被泄露的事件；

（5）公司大部分辦公電腦被黑客攻擊中毒或網(wǎng)絡(luò)癱瘓無法正常辦公的事件；

（6）其它經(jīng)管道分公司應(yīng)急指揮中心危害分析、風(fēng)險評估后認為屬于管道分公司級（Ⅱ級）事件的計算機信息系統(tǒng)損害事件。

1.2.2 ?管理處級計算機信息系統(tǒng)損害災(zāi)害事件

（1）因計算機信息系統(tǒng)設(shè)備、軟件故障，造成SCADA系統(tǒng)邏輯控制紊亂，但可通過切斷與第三方設(shè)備通信方式解決，不會造成整個SCADA系統(tǒng)故障的事件；

（2）因通信故障或計算機軟件故障，僅影響部分站控系統(tǒng)運行或RTU閥室上傳信號，不造成控制紊亂的事件；

（3）通信網(wǎng)絡(luò)、主機、服務(wù)器信息系統(tǒng)軟、硬件損壞，對安全生產(chǎn)和重要業(yè)務(wù)造成輕微影響，但可在短時間內(nèi)進行恢復(fù)的事件；

（4）局域網(wǎng)內(nèi)多臺辦公電腦同時中毒，已影響到正常辦公，但可通過殺毒、重新安裝系統(tǒng)、更換軟件等方式及時解決的事件；

（5）管理處網(wǎng)頁被惡意攻擊、修改，散布反動言論、不良信息的事件；

（6）其它經(jīng)危害分析、風(fēng)險評估后認為屬于管理處級（Ⅱ級）事件的計算機信息系統(tǒng)損害事件。

2? 應(yīng)急報告

2.1? 報告程序

事件發(fā)生時，按照總體預(yù)案中5.1條規(guī)定的程序報告。

2.2? 報告內(nèi)容

2.2.1 ?計算機信息系統(tǒng)損害事件發(fā)生時，應(yīng)立即向管理處應(yīng)急值班室、管道分公司應(yīng)急指揮中心辦公室報告，報告應(yīng)包括但不限于以下內(nèi)容：

（（1）事件發(fā)生的時間、地點和部位、設(shè)備設(shè)施名稱等；

（2）事件發(fā)生過程；

（3）損害程度及影響范圍；

（4）已采取的應(yīng)急措施；

（5）救援要求；

（6）報告人的姓名、職務(wù)和聯(lián)系方式。

2.2.2 ?在事件處置過程中，各單位、了解事態(tài)進展情況，隨時用電話、傳真等方式跟進報告，報告應(yīng)包括但不限于以下內(nèi)容，報告應(yīng)包括但不限于表11.1中的內(nèi)容：

表11.1? 計算機信息系統(tǒng)損害事件應(yīng)急報告表

報告時間：??? ????年? ??月? ??日? ??時? ??分

值班電話：? ??????????傳真： ???????????????電子郵箱E-mail：

3? 應(yīng)急處置

3.1? 應(yīng)急行動

3.1.1? 現(xiàn)場應(yīng)急指揮部

（1）收集現(xiàn)場信息，核實現(xiàn)場情況，根據(jù)現(xiàn)場的變化制定和調(diào)整現(xiàn)場應(yīng)急處置方案，并組織實施；

（2）整合、調(diào)配現(xiàn)場應(yīng)急資源，統(tǒng)一指揮搶險工作；

（3）在應(yīng)急處置中，出現(xiàn)異常及時向應(yīng)急指揮中心辦公室匯報、請示并落實指令；

（4）根據(jù)現(xiàn)場處置需要，請求應(yīng)急指揮中心辦公室協(xié)調(diào)組織其他應(yīng)急資源；

（5）核實應(yīng)急終止條件并向應(yīng)急指揮中心辦公室請示應(yīng)急終止；

（6）完成應(yīng)急指揮中心辦公室交辦的其他任務(wù)。

3.1.2? 各專業(yè)組

3.1.2.1? 生產(chǎn)運行組

（1）跟蹤并詳細了解計算機信息系統(tǒng)損害事件應(yīng)急處置情況，及時向現(xiàn)場應(yīng)急指揮部、應(yīng)急指揮中心辦公室匯報、請示并落實指令；

（2）執(zhí)行應(yīng)急指揮中心辦公室制訂的應(yīng)急氣量調(diào)配方案；

（3）保持現(xiàn)場與應(yīng)急指揮中心辦公室的聯(lián)絡(luò)；

（4）按照應(yīng)急處置方案，組織實施SCADA系統(tǒng)、光纜通信系統(tǒng)損害搶險工作。

3.1.2.2? 技術(shù)支持組

（1）進行事件發(fā)生現(xiàn)場數(shù)據(jù)采集；

（2）通知相關(guān)專業(yè)化服務(wù)隊伍趕赴現(xiàn)場進行處置；

（3）結(jié)合事件發(fā)生現(xiàn)場實際情況，組織技術(shù)人員制定或調(diào)整相應(yīng)的應(yīng)急處置方案；

（4）按照應(yīng)急處置方案，組織實施除SCADA系統(tǒng)、光纜通信系統(tǒng)外的計算機信息系統(tǒng)損害搶險工作。

（5）負責(zé)搶險作業(yè)中的質(zhì)量監(jiān)督。

（6）為搶險工作提供技術(shù)支持；

（7）根據(jù)應(yīng)急指揮中心辦公室指令，向相關(guān)部門、單位進行求援。

3.1.2.3? 綜合保障組

（1）調(diào)配車輛，立即將現(xiàn)場應(yīng)急指揮部成員送到現(xiàn)場；

（2）確定或搭建現(xiàn)場指揮部臨時辦公地點，做好交通保障工作；

（3）安排食品、飲用水、洗滌用品、急救醫(yī)療用品等生活物資，滿足搶險人員的生活需要；

（4）開展宣傳，做好員工和群眾情緒穩(wěn)定工作；

（5）安排專人對現(xiàn)場情況及應(yīng)急過程進行錄音、錄像；

3.2? 現(xiàn)場搶險措施

3.2.1計算機信息系統(tǒng)損害事件應(yīng)急處置指導(dǎo)原則

（1）堅持統(tǒng)一指揮、規(guī)范操作、反應(yīng)迅速、處理高效的原則。

（2）當發(fā)生恐怖襲擊危及到計算機信息系統(tǒng)安全時，應(yīng)根據(jù)當時的實際情況，在保障人身安全的前提下，保障數(shù)據(jù)的安全和設(shè)備安全。

（3）當人為或病毒破壞計算機信息系統(tǒng)安全時，按照計算機信息系統(tǒng)安全事件發(fā)生的性質(zhì)可采取用隔離故障源、暫時關(guān)閉故障系統(tǒng)、保留痕跡等措施。

3.2.2 ?計算機信息系統(tǒng)損害事件應(yīng)急處置措施

（1）事件認定和評估

l?????? 收集計算機信息安全事件相關(guān)信息，識別事件類別，判斷破壞的來源與性質(zhì)，確保證據(jù)準確，以便縮短應(yīng)急響應(yīng)時間。

l?????? 及時檢查威脅造成的結(jié)果，評估事件帶來的影響和損害。如檢查系統(tǒng)、服務(wù)、數(shù)據(jù)的完整性、保密性或可用性；檢查攻擊者是否侵入了系統(tǒng)；以后是否能再次隨意進入；損失的程度；確定暴露出的主要危險等。

（2）控制事態(tài)發(fā)展

采取各種措施抑制事件的影響進一步擴大，限制潛在的損失與破壞。可能的抑制策略一般包括：

l?????? 關(guān)閉服務(wù)或關(guān)閉所有的系統(tǒng)；

l?????? 從網(wǎng)絡(luò)上斷開相關(guān)系統(tǒng)的物理鏈接；

l?????? 修改防火墻和路由器的過濾規(guī)則；

l?????? 封鎖或刪除被攻破的登錄賬號，阻斷可疑用戶得以進入網(wǎng)絡(luò)的通路；

l?????? 提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級別；

l?????? 設(shè)置陷阱；啟用緊急事件下的接管系統(tǒng)；

l?????? 實行特殊“防衛(wèi)狀態(tài)”安全警戒；反擊攻擊者的系統(tǒng)等。

（3）事件消除

l?????? 在事態(tài)得到控制之后，跟蹤并鎖定破壞來源的IP或其它網(wǎng)絡(luò)用戶信息，通過對有關(guān)惡意代碼或行為的分析結(jié)果，找出事件根源，明確相應(yīng)的補救措施并徹底清除。

l?????? 聯(lián)系執(zhí)法部門和其它相關(guān)機構(gòu)對攻擊源進行定位并采取合適的措施將其中斷。

（4）系統(tǒng)恢復(fù)

l?????? 修復(fù)被破壞的信息、清理系統(tǒng)、恢復(fù)數(shù)據(jù)、程序、服務(wù)，恢復(fù)信息系統(tǒng)；把所有被攻破的系統(tǒng)和網(wǎng)絡(luò)設(shè)備徹底還原到它們正常的任務(wù)狀態(tài)。

l?????? 恢復(fù)工作應(yīng)采取相應(yīng)的安全措施，避免出現(xiàn)操作失誤而導(dǎo)致數(shù)據(jù)丟失。

l?????? 如果攻擊者獲得了超級用戶的訪問權(quán)，一次完整的恢復(fù)應(yīng)強制性地修改所有的口令。

l?????? 恢復(fù)工作中如果涉及到涉密數(shù)據(jù)，需遵照涉密系統(tǒng)的恢復(fù)要求。

l?????? 對不同任務(wù)的恢復(fù)工作的承擔(dān)單位，要有不同的擔(dān)保。

（5）事件追蹤

l?????? 密切關(guān)注系統(tǒng)恢復(fù)以后的安全狀況，特別是曾經(jīng)出問題的地方。

l?????? 建立跟蹤文檔，規(guī)范記錄跟蹤結(jié)果。

l?????? 對響應(yīng)效果給出評估，按照表11.2的內(nèi)容填寫應(yīng)急總結(jié)并上報上級主管部門備案。

l?????? 對進入司法程序的事件，進行進一步的調(diào)查，打擊違法犯罪活動。

表11.2? 計算機信息系統(tǒng)損害事件處理結(jié)果應(yīng)急報告表

原事件報告時間：??? 年? 月? 日? 時? 分???? 備案編號：? 年? 月? 日??? 第??? 號? 總第?? 號

值班電話：??????????? 傳真：????????????????? 電子信箱E-mail：

4? 應(yīng)急終止

經(jīng)應(yīng)急處置后，管理處現(xiàn)場應(yīng)急指揮部確認下列條件同時滿足時可下達應(yīng)急終止指令：

（1）計算機信息系統(tǒng)攻擊行為被徹底清除或隔離；

（2）計算機信息系統(tǒng)恢復(fù)正常；

（3）社會影響減到最小。

5? 應(yīng)急保障

5.1? 隊伍保障

江蘇管理處計算機信息系統(tǒng)損害事件需要調(diào)用和協(xié)調(diào)的應(yīng)急隊伍有：

（1）管理處維修隊；

（2）各計算機信息系統(tǒng)開發(fā)商、中油龍慧、中原通訊公司等相關(guān)專業(yè)化服務(wù)隊伍。

5.2? 設(shè)備保障

管理處計算機信息系統(tǒng)損害事件需要配備的基本應(yīng)急救援設(shè)備有：

（1）交通運輸類設(shè)備：包括越野車等，用于應(yīng)急人員、傷員、設(shè)備、救援物資的運輸。

（2）施工類設(shè)備：包括工程搶險車、光纖熔接機、光功率檢測儀、光時域反射儀、發(fā)電機、筆記本電腦等，用于計算機信息系統(tǒng)的檢測、維修施工作業(yè)。

（3）記錄類設(shè)備：包括照相機、攝像機等，用于記錄現(xiàn)場情況。

5.3? 物資保障

江蘇管理處計算機信息系統(tǒng)損害事件需要配備的基本應(yīng)急救援物資有：

（1）應(yīng)急搶險類物資：包括計算機系統(tǒng)備件、24芯光纜、16芯光纜、光纖電子標識、光纜接頭盒、超五類雙絞網(wǎng)線、相關(guān)軟件安裝光盤等，用于損壞計算機維修、損傷光纜接續(xù)、病毒查殺、操作系統(tǒng)和軟件恢復(fù)等。

（2）保障類物資：包括食物、飲用水等，用于現(xiàn)場應(yīng)急人員后勤生活保障需要。

6? 附則

本預(yù)案由江蘇管理處生產(chǎn)技術(shù)部負責(zé)解釋。