1? 事件定義及分級(jí)
1.1? 定義
計(jì)算機(jī)信息系統(tǒng)損害事件系指管理處計(jì)算機(jī)信息系統(tǒng)及相關(guān)通信網(wǎng)絡(luò)遭受黑客惡意攻擊����、大規(guī)模計(jì)算機(jī)病毒襲擊、人為破壞��、自然災(zāi)害破壞或其它不可抗力影響��,引發(fā)多地點(diǎn)基礎(chǔ)網(wǎng)絡(luò)�、重要信息系統(tǒng)、網(wǎng)站癱瘓���,導(dǎo)致關(guān)鍵業(yè)務(wù)中斷或重要信息丟失�����、泄密��,造成或可能造成較大經(jīng)濟(jì)損失或嚴(yán)重社會(huì)影響的事件�。
1.2? 分級(jí)
根據(jù)計(jì)算機(jī)信息系統(tǒng)損害災(zāi)害事件的性質(zhì)��、危害程度�����、波及范圍,可以將其劃分為兩級(jí):管道分公司及以上級(jí)�����、管理處級(jí)�。
1.2.1 管道分公司及以上級(jí)計(jì)算機(jī)信息系統(tǒng)損害災(zāi)害事件
(1)SCADA系統(tǒng)被惡意攻擊、修改或破壞�,導(dǎo)致邏輯控制紊亂,造成系統(tǒng)癱瘓����、數(shù)據(jù)丟失、控制失靈�����,嚴(yán)重影響安全生產(chǎn)的事件�����;
(2)主要通信系統(tǒng)損壞���,造成SCADA系統(tǒng)無(wú)法運(yùn)行的事件���;
(3)因計(jì)算機(jī)信息系統(tǒng)設(shè)備、軟件故障��,造成SCADA系統(tǒng)����、OA系統(tǒng)、ERP系統(tǒng)�、財(cái)務(wù)管理信息系統(tǒng)、安全信息管理系統(tǒng)等主要計(jì)算機(jī)信息系統(tǒng)大面積癱瘓����,嚴(yán)重影響安全生產(chǎn)、造成公司重大經(jīng)濟(jì)損失或重要信息被泄露的事件�;
(5)公司大部分辦公電腦被黑客攻擊中毒或網(wǎng)絡(luò)癱瘓無(wú)法正常辦公的事件;
(6)其它經(jīng)管道分公司應(yīng)急指揮中心危害分析����、風(fēng)險(xiǎn)評(píng)估后認(rèn)為屬于管道分公司級(jí)(Ⅱ級(jí))事件的計(jì)算機(jī)信息系統(tǒng)損害事件。
1.2.2 ?管理處級(jí)計(jì)算機(jī)信息系統(tǒng)損害災(zāi)害事件
(1)因計(jì)算機(jī)信息系統(tǒng)設(shè)備�、軟件故障,造成SCADA系統(tǒng)邏輯控制紊亂���,但可通過切斷與第三方設(shè)備通信方式解決����,不會(huì)造成整個(gè)SCADA系統(tǒng)故障的事件;
(2)因通信故障或計(jì)算機(jī)軟件故障�����,僅影響部分站控系統(tǒng)運(yùn)行或RTU閥室上傳信號(hào)����,不造成控制紊亂的事件;
(3)通信網(wǎng)絡(luò)���、主機(jī)�、服務(wù)器信息系統(tǒng)軟�����、硬件損壞�,對(duì)安全生產(chǎn)和重要業(yè)務(wù)造成輕微影響,但可在短時(shí)間內(nèi)進(jìn)行恢復(fù)的事件����;
(4)局域網(wǎng)內(nèi)多臺(tái)辦公電腦同時(shí)中毒,已影響到正常辦公,但可通過殺毒����、重新安裝系統(tǒng)��、更換軟件等方式及時(shí)解決的事件�����;
(5)管理處網(wǎng)頁(yè)被惡意攻擊、修改�,散布反動(dòng)言論、不良信息的事件����;
(6)其它經(jīng)危害分析、風(fēng)險(xiǎn)評(píng)估后認(rèn)為屬于管理處級(jí)(Ⅱ級(jí))事件的計(jì)算機(jī)信息系統(tǒng)損害事件。
2? 應(yīng)急報(bào)告
2.1? 報(bào)告程序
事件發(fā)生時(shí)�����,按照總體預(yù)案中5.1條規(guī)定的程序報(bào)告����。
2.2? 報(bào)告內(nèi)容
2.2.1 ?計(jì)算機(jī)信息系統(tǒng)損害事件發(fā)生時(shí),應(yīng)立即向管理處應(yīng)急值班室、管道分公司應(yīng)急指揮中心辦公室報(bào)告���,報(bào)告應(yīng)包括但不限于以下內(nèi)容:
((1)事件發(fā)生的時(shí)間�、地點(diǎn)和部位、設(shè)備設(shè)施名稱等��;
(2)事件發(fā)生過程;
(3)損害程度及影響范圍;
(4)已采取的應(yīng)急措施��;
(5)救援要求;
(6)報(bào)告人的姓名��、職務(wù)和聯(lián)系方式。
2.2.2 ?在事件處置過程中�,各單位���、了解事態(tài)進(jìn)展情況�����,隨時(shí)用電話�����、傳真等方式跟進(jìn)報(bào)告���,報(bào)告應(yīng)包括但不限于以下內(nèi)容��,報(bào)告應(yīng)包括但不限于表11.1中的內(nèi)容:
表11.1? 計(jì)算機(jī)信息系統(tǒng)損害事件應(yīng)急報(bào)告表
報(bào)告時(shí)間:??? ????年? ??月? ??日? ??時(shí)? ??分
| 單位名稱 |
| 報(bào)告人 |
|
| 聯(lián)系電話 |
| 通訊地址 |
|
| 傳??? 真 |
| 電子郵件 |
|
| 發(fā)生安全事件的信息系統(tǒng)基本信息 | 名稱及用途 | 硬件及型號(hào) | 操作系統(tǒng) | 數(shù)據(jù)庫(kù) | 應(yīng)用軟件 | 系統(tǒng)安全測(cè)評(píng) |
|
|
|
|
| □ 是���,已經(jīng)通過安全測(cè)評(píng)
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?□ 是�,但未通過安全測(cè)評(píng)
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?□ 否���,未經(jīng)過安全測(cè)評(píng) |
| 發(fā)生安全事件的網(wǎng)絡(luò)基本信息 | 網(wǎng)絡(luò)概況:?????????????????????? ? ?????????????????????????????????????
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?IP地址段:?????????????????????? ??????????????????????????????????????
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?網(wǎng)絡(luò)結(jié)構(gòu):?????????????????????? ? ???????????????????????????????????????
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?主要網(wǎng)絡(luò)設(shè)備: ???????????????????????????????????
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?其它:?????????????????????????? ???????????????? |
| 負(fù)責(zé)部門 |
| 負(fù)責(zé)人 |
|
| 信息損害事件的簡(jiǎn)要描述(如以前出現(xiàn)過類似情況也應(yīng)加以說明) |
|
| 初步判定的事件原因 |
|
| 當(dāng)前采取的應(yīng)對(duì)措施 |
|
| 本次事件的初步影響狀況 | 事件后果 | □業(yè)務(wù)中斷 ?□系統(tǒng)破壞 ?□數(shù)據(jù)丟失 ?□其它????????????????? |
| 影響范圍 | □局部 ?□大面積 ?□整個(gè)信息系統(tǒng)? □其它???????????????? |
| 嚴(yán)重程度 | □Ⅰ級(jí) ?□Ⅱ級(jí) ?□Ⅲ級(jí)? □Ⅳ級(jí) |
|
|
|
|
|
|
|
|
|
值班電話:? ??????????傳真: ???????????????電子郵箱E-mail:
3? 應(yīng)急處置
3.1? 應(yīng)急行動(dòng)
3.1.1? 現(xiàn)場(chǎng)應(yīng)急指揮部
(1)收集現(xiàn)場(chǎng)信息�,核實(shí)現(xiàn)場(chǎng)情況�����,根據(jù)現(xiàn)場(chǎng)的變化制定和調(diào)整現(xiàn)場(chǎng)應(yīng)急處置方案,并組織實(shí)施;
(2)整合��、調(diào)配現(xiàn)場(chǎng)應(yīng)急資源,統(tǒng)一指揮搶險(xiǎn)工作;
(3)在應(yīng)急處置中�����,出現(xiàn)異常及時(shí)向應(yīng)急指揮中心辦公室匯報(bào)���、請(qǐng)示并落實(shí)指令�;
(4)根據(jù)現(xiàn)場(chǎng)處置需要�,請(qǐng)求應(yīng)急指揮中心辦公室協(xié)調(diào)組織其他應(yīng)急資源���;
(5)核實(shí)應(yīng)急終止條件并向應(yīng)急指揮中心辦公室請(qǐng)示應(yīng)急終止����;
(6)完成應(yīng)急指揮中心辦公室交辦的其他任務(wù)��。
3.1.2? 各專業(yè)組
3.1.2.1? 生產(chǎn)運(yùn)行組
(1)跟蹤并詳細(xì)了解計(jì)算機(jī)信息系統(tǒng)損害事件應(yīng)急處置情況�,及時(shí)向現(xiàn)場(chǎng)應(yīng)急指揮部、應(yīng)急指揮中心辦公室匯報(bào)�����、請(qǐng)示并落實(shí)指令;
(2)執(zhí)行應(yīng)急指揮中心辦公室制訂的應(yīng)急氣量調(diào)配方案����;
(3)保持現(xiàn)場(chǎng)與應(yīng)急指揮中心辦公室的聯(lián)絡(luò);
(4)按照應(yīng)急處置方案����,組織實(shí)施SCADA系統(tǒng)、光纜通信系統(tǒng)損害搶險(xiǎn)工作�����。
3.1.2.2? 技術(shù)支持組
(1)進(jìn)行事件發(fā)生現(xiàn)場(chǎng)數(shù)據(jù)采集�����;
(2)通知相關(guān)專業(yè)化服務(wù)隊(duì)伍趕赴現(xiàn)場(chǎng)進(jìn)行處置��;
(3)結(jié)合事件發(fā)生現(xiàn)場(chǎng)實(shí)際情況�����,組織技術(shù)人員制定或調(diào)整相應(yīng)的應(yīng)急處置方案���;
(4)按照應(yīng)急處置方案�����,組織實(shí)施除SCADA系統(tǒng)�、光纜通信系統(tǒng)外的計(jì)算機(jī)信息系統(tǒng)損害搶險(xiǎn)工作�����。
(5)負(fù)責(zé)搶險(xiǎn)作業(yè)中的質(zhì)量監(jiān)督�����。
(6)為搶險(xiǎn)工作提供技術(shù)支持��;
(7)根據(jù)應(yīng)急指揮中心辦公室指令�����,向相關(guān)部門����、單位進(jìn)行求援。
3.1.2.3? 綜合保障組
(1)調(diào)配車輛����,立即將現(xiàn)場(chǎng)應(yīng)急指揮部成員送到現(xiàn)場(chǎng)���;
(2)確定或搭建現(xiàn)場(chǎng)指揮部臨時(shí)辦公地點(diǎn),做好交通保障工作��;
(3)安排食品�、飲用水、洗滌用品��、急救醫(yī)療用品等生活物資���,滿足搶險(xiǎn)人員的生活需要�����;
(4)開展宣傳�,做好員工和群眾情緒穩(wěn)定工作�;
(5)安排專人對(duì)現(xiàn)場(chǎng)情況及應(yīng)急過程進(jìn)行錄音、錄像��;
3.2? 現(xiàn)場(chǎng)搶險(xiǎn)措施
3.2.1計(jì)算機(jī)信息系統(tǒng)損害事件應(yīng)急處置指導(dǎo)原則
(1)堅(jiān)持統(tǒng)一指揮�、規(guī)范操作、反應(yīng)迅速�����、處理高效的原則。
(2)當(dāng)發(fā)生恐怖襲擊危及到計(jì)算機(jī)信息系統(tǒng)安全時(shí)����,應(yīng)根據(jù)當(dāng)時(shí)的實(shí)際情況��,在保障人身安全的前提下�����,保障數(shù)據(jù)的安全和設(shè)備安全�����。
(3)當(dāng)人為或病毒破壞計(jì)算機(jī)信息系統(tǒng)安全時(shí)�����,按照計(jì)算機(jī)信息系統(tǒng)安全事件發(fā)生的性質(zhì)可采取用隔離故障源�����、暫時(shí)關(guān)閉故障系統(tǒng)�、保留痕跡等措施����。
3.2.2 ?計(jì)算機(jī)信息系統(tǒng)損害事件應(yīng)急處置措施
(1)事件認(rèn)定和評(píng)估
l?????? 收集計(jì)算機(jī)信息安全事件相關(guān)信息����,識(shí)別事件類別,判斷破壞的來源與性質(zhì)���,確保證據(jù)準(zhǔn)確����,以便縮短應(yīng)急響應(yīng)時(shí)間�����。
l?????? 及時(shí)檢查威脅造成的結(jié)果�����,評(píng)估事件帶來的影響和損害�。如檢查系統(tǒng)、服務(wù)����、數(shù)據(jù)的完整性����、保密性或可用性�����;檢查攻擊者是否侵入了系統(tǒng)����;以后是否能再次隨意進(jìn)入�����;損失的程度�;確定暴露出的主要危險(xiǎn)等。
(2)控制事態(tài)發(fā)展
采取各種措施抑制事件的影響進(jìn)一步擴(kuò)大���,限制潛在的損失與破壞�?�?赡艿囊种撇呗砸话惆ǎ?/p>
l?????? 關(guān)閉服務(wù)或關(guān)閉所有的系統(tǒng)����;
l?????? 從網(wǎng)絡(luò)上斷開相關(guān)系統(tǒng)的物理鏈接���;
l?????? 修改防火墻和路由器的過濾規(guī)則;
l?????? 封鎖或刪除被攻破的登錄賬號(hào)�,阻斷可疑用戶得以進(jìn)入網(wǎng)絡(luò)的通路;
l?????? 提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級(jí)別���;
l?????? 設(shè)置陷阱���;啟用緊急事件下的接管系統(tǒng);
l?????? 實(shí)行特殊“防衛(wèi)狀態(tài)”安全警戒���;反擊攻擊者的系統(tǒng)等�。
(3)事件消除
l?????? 在事態(tài)得到控制之后���,跟蹤并鎖定破壞來源的IP或其它網(wǎng)絡(luò)用戶信息���,通過對(duì)有關(guān)惡意代碼或行為的分析結(jié)果,找出事件根源�,明確相應(yīng)的補(bǔ)救措施并徹底清除。
l?????? 聯(lián)系執(zhí)法部門和其它相關(guān)機(jī)構(gòu)對(duì)攻擊源進(jìn)行定位并采取合適的措施將其中斷���。
(4)系統(tǒng)恢復(fù)
l?????? 修復(fù)被破壞的信息����、清理系統(tǒng)、恢復(fù)數(shù)據(jù)����、程序、服務(wù)�����,恢復(fù)信息系統(tǒng)�����;把所有被攻破的系統(tǒng)和網(wǎng)絡(luò)設(shè)備徹底還原到它們正常的任務(wù)狀態(tài)�。
l?????? 恢復(fù)工作應(yīng)采取相應(yīng)的安全措施�����,避免出現(xiàn)操作失誤而導(dǎo)致數(shù)據(jù)丟失�。
l?????? 如果攻擊者獲得了超級(jí)用戶的訪問權(quán),一次完整的恢復(fù)應(yīng)強(qiáng)制性地修改所有的口令���。
l?????? 恢復(fù)工作中如果涉及到涉密數(shù)據(jù)�����,需遵照涉密系統(tǒng)的恢復(fù)要求��。
l?????? 對(duì)不同任務(wù)的恢復(fù)工作的承擔(dān)單位�,要有不同的擔(dān)保。
(5)事件追蹤
l?????? 密切關(guān)注系統(tǒng)恢復(fù)以后的安全狀況�����,特別是曾經(jīng)出問題的地方�����。
l?????? 建立跟蹤文檔�����,規(guī)范記錄跟蹤結(jié)果���。
l?????? 對(duì)響應(yīng)效果給出評(píng)估���,按照表11.2的內(nèi)容填寫應(yīng)急總結(jié)并上報(bào)上級(jí)主管部門備案�����。
l?????? 對(duì)進(jìn)入司法程序的事件���,進(jìn)行進(jìn)一步的調(diào)查,打擊違法犯罪活動(dòng)�。
表11.2? 計(jì)算機(jī)信息系統(tǒng)損害事件處理結(jié)果應(yīng)急報(bào)告表
原事件報(bào)告時(shí)間:??? 年? 月? 日? 時(shí)? 分???? 備案編號(hào):? 年? 月? 日??? 第??? 號(hào)? 總第?? 號(hào)
| 單位名稱 |
| 聯(lián)系人 |
|
| 聯(lián)系電話 |
| 通信地址 |
|
| 傳??? 真 |
| 電子郵件 |
|
| 發(fā)生事件的計(jì)算機(jī)信息系統(tǒng)基本信息 | 名稱及用途 | 硬件及型號(hào) | 操作系統(tǒng) | 數(shù)據(jù)庫(kù) | 應(yīng)用軟件 | 系統(tǒng)安全測(cè)評(píng) |
|
|
|
|
| □ 是,已經(jīng)通過安全測(cè)評(píng) |
| □ 是���,但未通過安全測(cè)評(píng) |
| □ 否���,未經(jīng)過安全測(cè)評(píng) |
| 發(fā)生事件的網(wǎng)絡(luò)基本信息 | 網(wǎng)絡(luò)概況:? |
| IP地址段: |
| 網(wǎng)絡(luò)結(jié)構(gòu): |
| 主要網(wǎng)絡(luò)設(shè)備: |
| 其他: |
| 信息系統(tǒng)損害事件的補(bǔ)充描述及最后判定的事件原因 |
|
| 對(duì)本次信息系統(tǒng)損害事件的事后影響狀況 | 事件后果 | □業(yè)務(wù)中斷? □系統(tǒng)破壞? □數(shù)據(jù)丟失? □其他 |
| 影響范圍 | □局部? □大面積? □整個(gè)信息系統(tǒng)? □其他 |
| 嚴(yán)重程度 | □Ⅰ級(jí) ?□Ⅱ級(jí) ?□Ⅲ級(jí)? □Ⅳ級(jí) |
| 本次信息系統(tǒng)損害事件的主要處理過程與結(jié)果(必要時(shí)可附文字、框圖�、圖片等材料) |
|
|
| 針對(duì)此類事件應(yīng)采取的保障網(wǎng)絡(luò)與信息系統(tǒng)安全的措施和建議 |
| ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ??
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ??
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ??
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ??
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ??
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ????????????????????????????????? ????????????報(bào)告人簽章??? |
值班電話:??????????? 傳真:????????????????? 電子信箱E-mail:
4? 應(yīng)急終止
經(jīng)應(yīng)急處置后,管理處現(xiàn)場(chǎng)應(yīng)急指揮部確認(rèn)下列條件同時(shí)滿足時(shí)可下達(dá)應(yīng)急終止指令:
(1)計(jì)算機(jī)信息系統(tǒng)攻擊行為被徹底清除或隔離�;
(2)計(jì)算機(jī)信息系統(tǒng)恢復(fù)正常;
(3)社會(huì)影響減到最小��。
5? 應(yīng)急保障
5.1? 隊(duì)伍保障
江蘇管理處計(jì)算機(jī)信息系統(tǒng)損害事件需要調(diào)用和協(xié)調(diào)的應(yīng)急隊(duì)伍有:
(1)管理處維修隊(duì)���;
(2)各計(jì)算機(jī)信息系統(tǒng)開發(fā)商、中油龍慧�����、中原通訊公司等相關(guān)專業(yè)化服務(wù)隊(duì)伍。
5.2? 設(shè)備保障
管理處計(jì)算機(jī)信息系統(tǒng)損害事件需要配備的基本應(yīng)急救援設(shè)備有:
(1)交通運(yùn)輸類設(shè)備:包括越野車等�����,用于應(yīng)急人員��、傷員�����、設(shè)備��、救援物資的運(yùn)輸��。
(2)施工類設(shè)備:包括工程搶險(xiǎn)車����、光纖熔接機(jī)、光功率檢測(cè)儀�、光時(shí)域反射儀、發(fā)電機(jī)�、筆記本電腦等,用于計(jì)算機(jī)信息系統(tǒng)的檢測(cè)����、維修施工作業(yè)�。
(3)記錄類設(shè)備:包括照相機(jī)�、攝像機(jī)等,用于記錄現(xiàn)場(chǎng)情況���。
5.3? 物資保障
江蘇管理處計(jì)算機(jī)信息系統(tǒng)損害事件需要配備的基本應(yīng)急救援物資有:
(1)應(yīng)急搶險(xiǎn)類物資:包括計(jì)算機(jī)系統(tǒng)備件����、24芯光纜����、16芯光纜、光纖電子標(biāo)識(shí)�����、光纜接頭盒����、超五類雙絞網(wǎng)線、相關(guān)軟件安裝光盤等���,用于損壞計(jì)算機(jī)維修�����、損傷光纜接續(xù)���、病毒查殺、操作系統(tǒng)和軟件恢復(fù)等����。
(2)保障類物資:包括食物、飲用水等�����,用于現(xiàn)場(chǎng)應(yīng)急人員后勤生活保障需要�。
6? 附則
本預(yù)案由江蘇管理處生產(chǎn)技術(shù)部負(fù)責(zé)解釋。
