1? 事件定義及分級
1.1? 定義
計算機信息系統(tǒng)損害事件系指管理處計算機信息系統(tǒng)及相關(guān)通信網(wǎng)絡(luò)遭受黑客惡意攻擊、大規(guī)模計算機病毒襲擊、人為破壞�����、自然災害破壞或其它不可抗力影響,引發(fā)多地點基礎(chǔ)網(wǎng)絡(luò)�、重要信息系統(tǒng)、網(wǎng)站癱瘓����,導致關(guān)鍵業(yè)務中斷或重要信息丟失��、泄密,造成或可能造成較大經(jīng)濟損失或嚴重社會影響的事件�����。
1.2? 分級
根據(jù)計算機信息系統(tǒng)損害災害事件的性質(zhì)�����、危害程度�、波及范圍,可以將其劃分為兩級:管道分公司及以上級�����、管理處級��。
1.2.1 管道分公司及以上級計算機信息系統(tǒng)損害災害事件
(1)SCADA系統(tǒng)被惡意攻擊����、修改或破壞,導致邏輯控制紊亂����,造成系統(tǒng)癱瘓�����、數(shù)據(jù)丟失���、控制失靈,嚴重影響安全生產(chǎn)的事件����;
(2)主要通信系統(tǒng)損壞,造成SCADA系統(tǒng)無法運行的事件�;
(3)因計算機信息系統(tǒng)設(shè)備、軟件故障�����,造成SCADA系統(tǒng)�����、OA系統(tǒng)�、ERP系統(tǒng)、財務管理信息系統(tǒng)���、安全信息管理系統(tǒng)等主要計算機信息系統(tǒng)大面積癱瘓��,嚴重影響安全生產(chǎn)�、造成公司重大經(jīng)濟損失或重要信息被泄露的事件;
(5)公司大部分辦公電腦被黑客攻擊中毒或網(wǎng)絡(luò)癱瘓無法正常辦公的事件���;
(6)其它經(jīng)管道分公司應急指揮中心危害分析、風險評估后認為屬于管道分公司級(Ⅱ級)事件的計算機信息系統(tǒng)損害事件��。
1.2.2 ?管理處級計算機信息系統(tǒng)損害災害事件
(1)因計算機信息系統(tǒng)設(shè)備�����、軟件故障����,造成SCADA系統(tǒng)邏輯控制紊亂,但可通過切斷與第三方設(shè)備通信方式解決���,不會造成整個SCADA系統(tǒng)故障的事件����;
(2)因通信故障或計算機軟件故障����,僅影響部分站控系統(tǒng)運行或RTU閥室上傳信號��,不造成控制紊亂的事件���;
(3)通信網(wǎng)絡(luò)、主機���、服務器信息系統(tǒng)軟���、硬件損壞,對安全生產(chǎn)和重要業(yè)務造成輕微影響�,但可在短時間內(nèi)進行恢復的事件;
(4)局域網(wǎng)內(nèi)多臺辦公電腦同時中毒��,已影響到正常辦公���,但可通過殺毒�、重新安裝系統(tǒng)��、更換軟件等方式及時解決的事件���;
(5)管理處網(wǎng)頁被惡意攻擊�、修改,散布反動言論�、不良信息的事件;
(6)其它經(jīng)危害分析����、風險評估后認為屬于管理處級(Ⅱ級)事件的計算機信息系統(tǒng)損害事件。
2? 應急報告
2.1? 報告程序
事件發(fā)生時���,按照總體預案中5.1條規(guī)定的程序報告��。
2.2? 報告內(nèi)容
2.2.1 ?計算機信息系統(tǒng)損害事件發(fā)生時,應立即向管理處應急值班室����、管道分公司應急指揮中心辦公室報告,報告應包括但不限于以下內(nèi)容:
((1)事件發(fā)生的時間��、地點和部位���、設(shè)備設(shè)施名稱等�;
(2)事件發(fā)生過程���;
(3)損害程度及影響范圍��;
(4)已采取的應急措施����;
(5)救援要求;
(6)報告人的姓名�、職務和聯(lián)系方式。
2.2.2 ?在事件處置過程中��,各單位�����、了解事態(tài)進展情況���,隨時用電話��、傳真等方式跟進報告�,報告應包括但不限于以下內(nèi)容�,報告應包括但不限于表11.1中的內(nèi)容:
表11.1? 計算機信息系統(tǒng)損害事件應急報告表
報告時間:??? ????年? ??月? ??日? ??時? ??分
| 單位名稱 |
| 報告人 |
|
| 聯(lián)系電話 |
| 通訊地址 |
|
| 傳??? 真 |
| 電子郵件 |
|
| 發(fā)生安全事件的信息系統(tǒng)基本信息 | 名稱及用途 | 硬件及型號 | 操作系統(tǒng) | 數(shù)據(jù)庫 | 應用軟件 | 系統(tǒng)安全測評 |
|
|
|
|
| □ 是,已經(jīng)通過安全測評
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?□ 是�����,但未通過安全測評
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?□ 否�����,未經(jīng)過安全測評 |
| 發(fā)生安全事件的網(wǎng)絡(luò)基本信息 | 網(wǎng)絡(luò)概況:?????????????????????? ? ?????????????????????????????????????
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?IP地址段:?????????????????????? ??????????????????????????????????????
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?網(wǎng)絡(luò)結(jié)構(gòu):?????????????????????? ? ???????????????????????????????????????
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?主要網(wǎng)絡(luò)設(shè)備: ???????????????????????????????????
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?其它:?????????????????????????? ???????????????? |
| 負責部門 |
| 負責人 |
|
| 信息損害事件的簡要描述(如以前出現(xiàn)過類似情況也應加以說明) |
|
| 初步判定的事件原因 |
|
| 當前采取的應對措施 |
|
| 本次事件的初步影響狀況 | 事件后果 | □業(yè)務中斷 ?□系統(tǒng)破壞 ?□數(shù)據(jù)丟失 ?□其它????????????????? |
| 影響范圍 | □局部 ?□大面積 ?□整個信息系統(tǒng)? □其它???????????????? |
| 嚴重程度 | □Ⅰ級 ?□Ⅱ級 ?□Ⅲ級? □Ⅳ級 |
|
|
|
|
|
|
|
|
|
值班電話:? ??????????傳真: ???????????????電子郵箱E-mail:
3? 應急處置
3.1? 應急行動
3.1.1? 現(xiàn)場應急指揮部
(1)收集現(xiàn)場信息,核實現(xiàn)場情況���,根據(jù)現(xiàn)場的變化制定和調(diào)整現(xiàn)場應急處置方案��,并組織實施�;
(2)整合���、調(diào)配現(xiàn)場應急資源��,統(tǒng)一指揮搶險工作��;
(3)在應急處置中���,出現(xiàn)異常及時向應急指揮中心辦公室匯報�、請示并落實指令;
(4)根據(jù)現(xiàn)場處置需要�����,請求應急指揮中心辦公室協(xié)調(diào)組織其他應急資源�;
(5)核實應急終止條件并向應急指揮中心辦公室請示應急終止��;
(6)完成應急指揮中心辦公室交辦的其他任務����。
3.1.2? 各專業(yè)組
3.1.2.1? 生產(chǎn)運行組
(1)跟蹤并詳細了解計算機信息系統(tǒng)損害事件應急處置情況�,及時向現(xiàn)場應急指揮部、應急指揮中心辦公室匯報�、請示并落實指令;
(2)執(zhí)行應急指揮中心辦公室制訂的應急氣量調(diào)配方案�;
(3)保持現(xiàn)場與應急指揮中心辦公室的聯(lián)絡(luò);
(4)按照應急處置方案���,組織實施SCADA系統(tǒng)�、光纜通信系統(tǒng)損害搶險工作�����。
3.1.2.2? 技術(shù)支持組
(1)進行事件發(fā)生現(xiàn)場數(shù)據(jù)采集��;
(2)通知相關(guān)專業(yè)化服務隊伍趕赴現(xiàn)場進行處置����;
(3)結(jié)合事件發(fā)生現(xiàn)場實際情況,組織技術(shù)人員制定或調(diào)整相應的應急處置方案;
(4)按照應急處置方案�����,組織實施除SCADA系統(tǒng)�����、光纜通信系統(tǒng)外的計算機信息系統(tǒng)損害搶險工作�����。
(5)負責搶險作業(yè)中的質(zhì)量監(jiān)督�。
(6)為搶險工作提供技術(shù)支持;
(7)根據(jù)應急指揮中心辦公室指令�,向相關(guān)部門、單位進行求援����。
3.1.2.3? 綜合保障組
(1)調(diào)配車輛,立即將現(xiàn)場應急指揮部成員送到現(xiàn)場�����;
(2)確定或搭建現(xiàn)場指揮部臨時辦公地點����,做好交通保障工作;
(3)安排食品�����、飲用水�、洗滌用品、急救醫(yī)療用品等生活物資�����,滿足搶險人員的生活需要�����;
(4)開展宣傳����,做好員工和群眾情緒穩(wěn)定工作;
(5)安排專人對現(xiàn)場情況及應急過程進行錄音�、錄像;
3.2? 現(xiàn)場搶險措施
3.2.1計算機信息系統(tǒng)損害事件應急處置指導原則
(1)堅持統(tǒng)一指揮��、規(guī)范操作��、反應迅速、處理高效的原則�。
(2)當發(fā)生恐怖襲擊危及到計算機信息系統(tǒng)安全時,應根據(jù)當時的實際情況�����,在保障人身安全的前提下����,保障數(shù)據(jù)的安全和設(shè)備安全。
(3)當人為或病毒破壞計算機信息系統(tǒng)安全時����,按照計算機信息系統(tǒng)安全事件發(fā)生的性質(zhì)可采取用隔離故障源、暫時關(guān)閉故障系統(tǒng)���、保留痕跡等措施���。
3.2.2 ?計算機信息系統(tǒng)損害事件應急處置措施
(1)事件認定和評估
l?????? 收集計算機信息安全事件相關(guān)信息,識別事件類別����,判斷破壞的來源與性質(zhì),確保證據(jù)準確�����,以便縮短應急響應時間��。
l?????? 及時檢查威脅造成的結(jié)果����,評估事件帶來的影響和損害。如檢查系統(tǒng)��、服務��、數(shù)據(jù)的完整性����、保密性或可用性;檢查攻擊者是否侵入了系統(tǒng)�����;以后是否能再次隨意進入��;損失的程度��;確定暴露出的主要危險等�。
(2)控制事態(tài)發(fā)展
采取各種措施抑制事件的影響進一步擴大��,限制潛在的損失與破壞��?�?赡艿囊种撇呗砸话惆ǎ?/p>
l?????? 關(guān)閉服務或關(guān)閉所有的系統(tǒng)����;
l?????? 從網(wǎng)絡(luò)上斷開相關(guān)系統(tǒng)的物理鏈接����;
l?????? 修改防火墻和路由器的過濾規(guī)則;
l?????? 封鎖或刪除被攻破的登錄賬號�����,阻斷可疑用戶得以進入網(wǎng)絡(luò)的通路���;
l?????? 提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級別��;
l?????? 設(shè)置陷阱���;啟用緊急事件下的接管系統(tǒng);
l?????? 實行特殊“防衛(wèi)狀態(tài)”安全警戒�����;反擊攻擊者的系統(tǒng)等。
(3)事件消除
l?????? 在事態(tài)得到控制之后�����,跟蹤并鎖定破壞來源的IP或其它網(wǎng)絡(luò)用戶信息�,通過對有關(guān)惡意代碼或行為的分析結(jié)果����,找出事件根源,明確相應的補救措施并徹底清除����。
l?????? 聯(lián)系執(zhí)法部門和其它相關(guān)機構(gòu)對攻擊源進行定位并采取合適的措施將其中斷。
(4)系統(tǒng)恢復
l?????? 修復被破壞的信息�����、清理系統(tǒng)��、恢復數(shù)據(jù)���、程序��、服務�����,恢復信息系統(tǒng)��;把所有被攻破的系統(tǒng)和網(wǎng)絡(luò)設(shè)備徹底還原到它們正常的任務狀態(tài)��。
l?????? 恢復工作應采取相應的安全措施�����,避免出現(xiàn)操作失誤而導致數(shù)據(jù)丟失�。
l?????? 如果攻擊者獲得了超級用戶的訪問權(quán),一次完整的恢復應強制性地修改所有的口令��。
l?????? 恢復工作中如果涉及到涉密數(shù)據(jù)�����,需遵照涉密系統(tǒng)的恢復要求�。
l?????? 對不同任務的恢復工作的承擔單位,要有不同的擔保�。
(5)事件追蹤
l?????? 密切關(guān)注系統(tǒng)恢復以后的安全狀況,特別是曾經(jīng)出問題的地方。
l?????? 建立跟蹤文檔�����,規(guī)范記錄跟蹤結(jié)果���。
l?????? 對響應效果給出評估��,按照表11.2的內(nèi)容填寫應急總結(jié)并上報上級主管部門備案�。
l?????? 對進入司法程序的事件�����,進行進一步的調(diào)查�����,打擊違法犯罪活動��。
表11.2? 計算機信息系統(tǒng)損害事件處理結(jié)果應急報告表
原事件報告時間:??? 年? 月? 日? 時? 分???? 備案編號:? 年? 月? 日??? 第??? 號? 總第?? 號
| 單位名稱 |
| 聯(lián)系人 |
|
| 聯(lián)系電話 |
| 通信地址 |
|
| 傳??? 真 |
| 電子郵件 |
|
| 發(fā)生事件的計算機信息系統(tǒng)基本信息 | 名稱及用途 | 硬件及型號 | 操作系統(tǒng) | 數(shù)據(jù)庫 | 應用軟件 | 系統(tǒng)安全測評 |
|
|
|
|
| □ 是�,已經(jīng)通過安全測評 |
| □ 是�����,但未通過安全測評 |
| □ 否���,未經(jīng)過安全測評 |
| 發(fā)生事件的網(wǎng)絡(luò)基本信息 | 網(wǎng)絡(luò)概況:? |
| IP地址段: |
| 網(wǎng)絡(luò)結(jié)構(gòu): |
| 主要網(wǎng)絡(luò)設(shè)備: |
| 其他: |
| 信息系統(tǒng)損害事件的補充描述及最后判定的事件原因 |
|
| 對本次信息系統(tǒng)損害事件的事后影響狀況 | 事件后果 | □業(yè)務中斷? □系統(tǒng)破壞? □數(shù)據(jù)丟失? □其他 |
| 影響范圍 | □局部? □大面積? □整個信息系統(tǒng)? □其他 |
| 嚴重程度 | □Ⅰ級 ?□Ⅱ級 ?□Ⅲ級? □Ⅳ級 |
| 本次信息系統(tǒng)損害事件的主要處理過程與結(jié)果(必要時可附文字�����、框圖���、圖片等材料) |
|
|
| 針對此類事件應采取的保障網(wǎng)絡(luò)與信息系統(tǒng)安全的措施和建議 |
| ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ??
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ??
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ??
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ??
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ??
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ????????????????????????????????? ????????????報告人簽章??? |
值班電話:??????????? 傳真:????????????????? 電子信箱E-mail:
4? 應急終止
經(jīng)應急處置后����,管理處現(xiàn)場應急指揮部確認下列條件同時滿足時可下達應急終止指令:
(1)計算機信息系統(tǒng)攻擊行為被徹底清除或隔離���;
(2)計算機信息系統(tǒng)恢復正常����;
(3)社會影響減到最小��。
5? 應急保障
5.1? 隊伍保障
江蘇管理處計算機信息系統(tǒng)損害事件需要調(diào)用和協(xié)調(diào)的應急隊伍有:
(1)管理處維修隊��;
(2)各計算機信息系統(tǒng)開發(fā)商����、中油龍慧、中原通訊公司等相關(guān)專業(yè)化服務隊伍。
5.2? 設(shè)備保障
管理處計算機信息系統(tǒng)損害事件需要配備的基本應急救援設(shè)備有:
(1)交通運輸類設(shè)備:包括越野車等����,用于應急人員、傷員���、設(shè)備�、救援物資的運輸���。
(2)施工類設(shè)備:包括工程搶險車���、光纖熔接機��、光功率檢測儀�、光時域反射儀、發(fā)電機����、筆記本電腦等,用于計算機信息系統(tǒng)的檢測�����、維修施工作業(yè)。
(3)記錄類設(shè)備:包括照相機�、攝像機等,用于記錄現(xiàn)場情況����。
5.3? 物資保障
江蘇管理處計算機信息系統(tǒng)損害事件需要配備的基本應急救援物資有:
(1)應急搶險類物資:包括計算機系統(tǒng)備件、24芯光纜�、16芯光纜、光纖電子標識����、光纜接頭盒、超五類雙絞網(wǎng)線�、相關(guān)軟件安裝光盤等,用于損壞計算機維修����、損傷光纜接續(xù)、病毒查殺�、操作系統(tǒng)和軟件恢復等。
(2)保障類物資:包括食物����、飲用水等,用于現(xiàn)場應急人員后勤生活保障需要�。
6? 附則
本預案由江蘇管理處生產(chǎn)技術(shù)部負責解釋�。
