發(fā)電廠網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案

1、神華巴蜀江油發(fā)電廠神華巴蜀江油發(fā)電廠 網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案 編制部門：巴蜀江油發(fā)電廠工程設(shè)備技術(shù)部 頒布日期：2012 年 6 月 26 日 修訂日期：2012 年 9 月 28 日 i 目錄目錄 1 1總總 則則 .1 1.1編制目的.1 1.2適用范圍.1 1.3工作原則.1 2 2風(fēng)險與資源分析風(fēng)險與資源分析 .1 2.1風(fēng)險分析.1 2.2資源分析.2 3 3突發(fā)事件分級突發(fā)事件分級 .2 3.1一級事件.2 3.2二級事件.2 4 4組織機(jī)構(gòu)及職責(zé)組織機(jī)構(gòu)及職責(zé) .3 4.1應(yīng)急機(jī)構(gòu)設(shè)置.3 4.2應(yīng)急工作小組職責(zé).3 5 5預(yù)防與預(yù)警預(yù)防與預(yù)警 .4 5.1

2、預(yù)警分級.4 5.2預(yù)警監(jiān)測.4 5.3預(yù)警發(fā)布與行動.4 5.4預(yù)警調(diào)整與解除.5 6 6應(yīng)急響應(yīng)與處置應(yīng)急響應(yīng)與處置 .6 6.1應(yīng)急響應(yīng)分級.6 6.2信息報告.8 6.3響應(yīng)程序.9 6.4應(yīng)急結(jié)束.11 6.5信息發(fā)布.12 6.6后期處置.12 7 7應(yīng)急保障應(yīng)急保障 .12 7.1應(yīng)急隊伍.12 7.2應(yīng)急物資與裝備.12 7.3通信與信息.13 7.4其他.13 8 8附則附則 .13 8.1應(yīng)急培訓(xùn).13 8.2預(yù)案演練.13 8.3預(yù)案備案.13 8.4維護(hù)和更新.13 8.5制定與解釋.14 8.6實(shí)施時間.14 1 1總 則 1.1編制目的 為保證巴蜀江油發(fā)電廠網(wǎng)絡(luò)與信

3、息系統(tǒng)的正常運(yùn)轉(zhuǎn)，減少因各類網(wǎng)絡(luò)與信息突發(fā)事件造成的損 失和影響，建立網(wǎng)絡(luò)與信息系統(tǒng)緊急情況下有效的應(yīng)急機(jī)制，結(jié)合巴蜀江油發(fā)電廠工作實(shí)際制定本 預(yù)案。 1.2適用范圍 本預(yù)案適用于巴蜀江油發(fā)電廠網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)工作，當(dāng)網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生突發(fā)事件 達(dá)到級及以上響應(yīng)標(biāo)準(zhǔn)時，啟動本預(yù)案。 1.3工作原則 （1）統(tǒng)一指揮，協(xié)調(diào)配合。在應(yīng)急指揮機(jī)構(gòu)的統(tǒng)一指揮、調(diào)配下，各應(yīng)急力量快速就位，快 速開展網(wǎng)絡(luò)與信息安全事故應(yīng)急處置行動。督促相關(guān)部門遵照“統(tǒng)一領(lǐng)導(dǎo)、分級負(fù)責(zé)、各司其職、 協(xié)調(diào)配合”的原則協(xié)同配合，開展應(yīng)急工作。 （2）快速行動，有序處置。發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)事件時，要按照處置優(yōu)先、快速反應(yīng)

4、的 機(jī)制，及時獲取充分而準(zhǔn)確的信息，跟蹤研判，果斷決策，充分利用現(xiàn)有網(wǎng)絡(luò)與信息安全應(yīng)急設(shè)施， 整合內(nèi)、外部的信息安全應(yīng)急力量，充分依靠系統(tǒng)內(nèi)外信息安全應(yīng)急力量，形成信息安全應(yīng)急工作 合力。按照相關(guān)應(yīng)急預(yù)案進(jìn)行迅速處置，最大程度地減少危害和影響。 2風(fēng)險與資源分析 2.1風(fēng)險分析 巴蜀江油發(fā)電廠網(wǎng)絡(luò)與信息系統(tǒng)存在計算機(jī)病毒、網(wǎng)絡(luò)攻擊、數(shù)據(jù)安全以及設(shè)備設(shè)施故障等風(fēng) 險，由此引起的網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)系統(tǒng)突發(fā)事件包括： （1）有害程序類突發(fā)事件：指受到有害程序的影響而導(dǎo)致的網(wǎng)絡(luò)與信息安全突發(fā)事件。有害 程序類事件包含（但不限于）計算機(jī)病毒、蠕蟲、特洛伊木馬、僵尸網(wǎng)絡(luò)、混合攻擊程序、網(wǎng)頁內(nèi) 嵌惡意

5、代碼等事件。 （2）網(wǎng)絡(luò)攻擊類突發(fā)事件：指通過網(wǎng)絡(luò)或其它技術(shù)手段，利用配置缺陷、協(xié)議缺陷、程序缺 陷等攻擊網(wǎng)絡(luò)與信息系統(tǒng)，造成網(wǎng)絡(luò)與信息系統(tǒng)異?；虿豢捎玫木W(wǎng)絡(luò)與信息安全突發(fā)事件。網(wǎng)絡(luò)攻 擊類事件包括（但不限于）拒絕服務(wù)攻擊、后門攻擊、漏洞攻擊、網(wǎng)絡(luò)掃描竊聽、網(wǎng)絡(luò)釣魚、干擾 等事件。 （3）信息安全破壞類突發(fā)事件：指通過網(wǎng)絡(luò)或其它技術(shù)手段，造成網(wǎng)絡(luò)與信息系統(tǒng)中的信息 2 被篡改、假冒、泄漏、竊取等而導(dǎo)致系統(tǒng)癱瘓、數(shù)據(jù)毀壞、數(shù)據(jù)泄漏的突發(fā)事件。信息安全破壞類 事件包括信息篡改、信息假冒、信息泄漏、信息竊取、信息丟失等事件。 （4）系統(tǒng)故障類突發(fā)事件：指網(wǎng)絡(luò)與信息系統(tǒng)因自身或外圍設(shè)備設(shè)施故障、以及人

6、為誤操作 等導(dǎo)致的信息安全突發(fā)事件。系統(tǒng)故障類事件包括軟硬件自身故障、外圍保障設(shè)施故障、人為破壞 事故、人為誤操作事故和機(jī)房電源事故等。 （5）災(zāi)害破壞類突發(fā)事件：指由于不可抗力對網(wǎng)絡(luò)與信息系統(tǒng)造成物理破壞而導(dǎo)致的網(wǎng)絡(luò)與 信息安全突發(fā)事件。災(zāi)害類事件包括水災(zāi)、臺風(fēng)、冰災(zāi)、火災(zāi)、雷擊、地震、坍塌、恐怖襲擊、戰(zhàn) 爭等導(dǎo)致的網(wǎng)絡(luò)與信息安全突發(fā)事件。 2.2資源分析 2.2.1內(nèi)部應(yīng)急力量 巴蜀江油發(fā)電廠所屬的網(wǎng)絡(luò)與信息系統(tǒng)管理人員、系統(tǒng)管理員等是網(wǎng)絡(luò)與信息安全事件應(yīng)急處 理的力量，神華集團(tuán)系統(tǒng)內(nèi)網(wǎng)絡(luò)與信息專業(yè)人員可作為本網(wǎng)絡(luò)與信息安全事件應(yīng)急處理的內(nèi)部應(yīng)急 力量。 2.2.2外部應(yīng)急力量 地方政府相

7、關(guān)部門、軟硬件制造商、供應(yīng)商、系統(tǒng)集成商以及技術(shù)服務(wù)提供商，均可作為外部 應(yīng)急力量。 2.2.3物資和裝備資源 巴蜀江油發(fā)電廠所屬硬件備件、軟件介質(zhì)、數(shù)據(jù)備份、專業(yè)檢測及維修工具、消防工具、通訊 器材、交通工具等，均可作為應(yīng)急的物資裝備資源。 3突發(fā)事件分級 3.1一級事件 凡發(fā)生下列情況之一者，評價為一級事件一次。 （1）發(fā)生網(wǎng)絡(luò)攻擊或有害程序破壞造成局域網(wǎng)全部癱瘓超過 24 個小時及以上。 （2）違反網(wǎng)絡(luò)與信息設(shè)備操作規(guī)程造成人身傷亡或經(jīng)濟(jì)損失價值為 10 萬元及以上. 3.2二級事件 凡發(fā)生下列情況之一者，評價為二級事件一次。 （1）發(fā)生網(wǎng)絡(luò)攻擊或有害程序破壞造成局域網(wǎng)部分癱瘓超過 24

8、 個小時及以上。 （2）交換機(jī)故障全停 15 分鐘。 （3）機(jī)房網(wǎng)絡(luò)與服務(wù)器設(shè)備供電電源全部中斷一次。 3 4組織機(jī)構(gòu)及職責(zé) 4.1應(yīng)急機(jī)構(gòu)設(shè)置 成立巴蜀江油發(fā)電廠信息安全小組，當(dāng)發(fā)生網(wǎng)絡(luò)與信息安全事故需要啟動本預(yù)案時，由巴蜀 江油發(fā)電廠信息安全小組負(fù)責(zé)相關(guān)事務(wù)處理，并指定應(yīng)急信息技術(shù)專責(zé)。 信息安全小組組長：總經(jīng)理 副組長：總工程師 技術(shù)副總經(jīng)理 成員：車間（部門）第一負(fù)責(zé)人 通信網(wǎng)絡(luò)專責(zé) 4.2應(yīng)急工作小組職責(zé) 4.2.1應(yīng)急工作小組職責(zé) 巴蜀江油發(fā)電廠網(wǎng)絡(luò)與信息安全應(yīng)急小組的主要職責(zé)如下： （1）負(fù)責(zé)按照本預(yù)案指揮網(wǎng)絡(luò)與信息安全應(yīng)急處置工作； （2）負(fù)責(zé)指導(dǎo)、協(xié)調(diào)網(wǎng)絡(luò)與信息安全應(yīng)急處置工

9、作； （3）負(fù)責(zé)向巴蜀電力公司報告網(wǎng)絡(luò)與信息安全應(yīng)急處置進(jìn)展情況； （4）當(dāng)網(wǎng)絡(luò)與信息安全涉及啟動地方政府相關(guān)部門應(yīng)急預(yù)案時，配合地方政府相關(guān)部門相關(guān) 應(yīng)急機(jī)構(gòu)開展應(yīng)急處置工作。 4.2.2應(yīng)急處置工作內(nèi)容 （1）與網(wǎng)絡(luò)與信息安全事故的事發(fā)現(xiàn)場和事發(fā)單位（部門）建立通信聯(lián)絡(luò)，掌握相關(guān)人員 的聯(lián)系方式； （2）與應(yīng)急辦和其他相關(guān)部門建立通信聯(lián)絡(luò)； （3）文件、資料等的打印、復(fù)印、遞送； （4）協(xié)調(diào)車輛，保障應(yīng)急人員、應(yīng)急物資的運(yùn)送。 （5）應(yīng)急技術(shù)方案的處理工作； （6）事故演習(xí)過程具體技術(shù)操作。 （7）接收事發(fā)單位（部門）報送的應(yīng)急信息； （8）向公司應(yīng)急辦公室報送應(yīng)急信息； （9）各類應(yīng)急信

10、息的收集、匯總和編輯； （10）記錄應(yīng)急指揮工作過程信息。 （11）趕赴事發(fā)現(xiàn)場指導(dǎo)事發(fā)單位的應(yīng)急處置工作； （12）協(xié)助事發(fā)單位調(diào)度外部應(yīng)急力量和應(yīng)急物資； （13）及時向上級應(yīng)急機(jī)構(gòu)或部門報告事發(fā)現(xiàn)場應(yīng)急狀況。 （14）消除網(wǎng)絡(luò)與信息安全事故的影響，恢復(fù)網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行； 4 （15）負(fù)絡(luò)與信息安全事故的調(diào)查處理； （16）向外包單位索賠。 5預(yù)防與預(yù)警 5.1預(yù)警分級 巴蜀江油發(fā)電廠網(wǎng)絡(luò)與信息安全事故分為一般、較大、重大和特別重大四個級別，按照網(wǎng)絡(luò)與 信息安全事故的級別和發(fā)生的可能性，網(wǎng)絡(luò)與信息安全事故預(yù)警分為四個級別，由高到低依次為紅 色預(yù)警、橙色預(yù)警、黃色預(yù)警、藍(lán)色預(yù)警。 （1）特

11、別重大的網(wǎng)絡(luò)與信息安全事故即將發(fā)生或者發(fā)生的可能性增大時，構(gòu)成紅色預(yù)警。 （2）重大的網(wǎng)絡(luò)與信息安全事故即將發(fā)生或者發(fā)生的可能性增大時，構(gòu)成橙色預(yù)警。 （3）較大的網(wǎng)絡(luò)與信息安全事故即將發(fā)生或者發(fā)生的可能性增大時，構(gòu)成黃色預(yù)警。 （4）一般的網(wǎng)絡(luò)與信息安全事故即將發(fā)生或者發(fā)生的可能性增大時，構(gòu)成藍(lán)色預(yù)警。 5.2預(yù)警監(jiān)測 （1）工程設(shè)備技術(shù)部負(fù)責(zé)全廠網(wǎng)絡(luò)與信息安全事故風(fēng)險監(jiān)測工作，網(wǎng)絡(luò)與信息安全事故風(fēng)險 監(jiān)測的重點(diǎn)包括： 計算機(jī)病毒、蠕蟲、木馬、惡意代碼等入侵的風(fēng)險； 漏洞攻擊、后門攻擊、拒絕服務(wù)、網(wǎng)絡(luò)竊聽、網(wǎng)絡(luò)釣魚等網(wǎng)絡(luò)攻擊的風(fēng)險； 信息丟失、信息竊取、信息泄露、信息假冒等信息安全風(fēng)險； 利

12、用網(wǎng)站發(fā)布或傳播違法、違規(guī)等負(fù)面信息； 機(jī)房設(shè)備故障、系統(tǒng)軟硬件故障、人為破壞、誤操作等系統(tǒng)故障風(fēng)險； 系統(tǒng)變更導(dǎo)致的不可預(yù)測風(fēng)險； 因系統(tǒng)業(yè)務(wù)量增加致使系統(tǒng)資源不夠，系統(tǒng)高壓力狀態(tài)下運(yùn)行的業(yè)務(wù)風(fēng)險。 （2）在風(fēng)險監(jiān)測中，應(yīng)通過多種方式獲取預(yù)警支持信息，一般包括以下方式： 通過風(fēng)險監(jiān)測和風(fēng)險分析獲得的數(shù)據(jù)； 上級應(yīng)急辦公室、信息化管理部門傳達(dá)的網(wǎng)絡(luò)與信息安全事故預(yù)警信息； 地方政府相關(guān)部門發(fā)布的網(wǎng)絡(luò)與信息安全事故預(yù)警信息等。 5.3預(yù)警發(fā)布與行動 5.3.1預(yù)警信息報告 通過對網(wǎng)絡(luò)與信息安全事故預(yù)警支持信息的分析和評估，認(rèn)為構(gòu)成預(yù)警的，應(yīng)立即將預(yù)警支持 信息的分析和評估結(jié)果作為預(yù)警信息，向廠應(yīng)

13、急辦公室報告。 5 5.3.2預(yù)警信息發(fā)布 巴蜀江油發(fā)電廠應(yīng)急辦公室負(fù)責(zé)網(wǎng)絡(luò)與信息安全事故預(yù)警的發(fā)布和預(yù)警響應(yīng)范圍的確定。 （1）應(yīng)急辦公室有權(quán)發(fā)布針對本單位內(nèi)部的藍(lán)色預(yù)警、黃色預(yù)警、橙色預(yù)警和紅色預(yù)警。 （2）應(yīng)急辦公室在發(fā)布網(wǎng)絡(luò)與信息安全事故預(yù)警時，應(yīng)明確預(yù)警的響應(yīng)范圍和公開程度（或 保密要求） 。 （3）應(yīng)急辦公室在發(fā)布網(wǎng)絡(luò)與信息安全事故預(yù)警后，應(yīng)通過公文、傳真、電話、短信、電子 郵件等多種方式，將預(yù)警盡快傳達(dá)到相關(guān)部門和人員。 5.3.3預(yù)警行動 （1）在網(wǎng)絡(luò)與信息安全事故預(yù)警發(fā)布后，預(yù)警響應(yīng)范圍內(nèi)的單位（部門）應(yīng)配合廠信息安全 小組針對可能發(fā)生的網(wǎng)絡(luò)與信息安全事故，及時采取有效的防范

14、和應(yīng)對措施，控制網(wǎng)絡(luò)與信息安全 事故風(fēng)險，避免網(wǎng)絡(luò)與信息安全事故發(fā)生；可以根據(jù)具體情況采取以下措施： 內(nèi)存及系統(tǒng)病毒、木馬、蠕蟲、惡意代碼查殺清除； 安裝必要的系統(tǒng)安全補(bǔ)丁，關(guān)閉不必要端口，檢查是否存在系統(tǒng)后門； 做好重要數(shù)據(jù)安全保障及備份工作、定期更換用戶密碼、安全信息專人專管； 準(zhǔn)備常用備品備件、實(shí)時監(jiān)控系統(tǒng)資源情況、規(guī)范人工操作、限制操作員權(quán)限、嚴(yán)格管理 超級管理員權(quán)限； 避免不必要的系統(tǒng)變更，并對必要變更做好記錄及回退準(zhǔn)備； 重啟相應(yīng)高負(fù)載業(yè)務(wù)或系統(tǒng)資源不足的設(shè)備； （2）在網(wǎng)絡(luò)與信息安全事故預(yù)警發(fā)布后，預(yù)警響應(yīng)范圍內(nèi)的各級信息化管理部門，應(yīng)對網(wǎng)絡(luò) 與信息安全事故風(fēng)險進(jìn)行持續(xù)監(jiān)測，為預(yù)

15、警響應(yīng)行動、預(yù)警級別與范圍調(diào)整和預(yù)警解除提供支持信 息。 5.4預(yù)警調(diào)整與解除 在網(wǎng)絡(luò)與信息安全事故預(yù)警發(fā)布后，預(yù)警響應(yīng)范圍內(nèi)的各信息化相關(guān)部門，應(yīng)對網(wǎng)絡(luò)與信息安 全事故風(fēng)險進(jìn)行持續(xù)監(jiān)測，為預(yù)警響應(yīng)行動、預(yù)警級別與范圍調(diào)整和預(yù)警解除提供支持信息，并根 據(jù)風(fēng)險變化及時報告廠應(yīng)急辦公室。 廠應(yīng)急辦公室在獲取網(wǎng)絡(luò)與信息安全事故預(yù)警級別與范圍調(diào)整、預(yù)警解除信息后，經(jīng)分析和確 認(rèn)，及時調(diào)整預(yù)警級別和預(yù)警響應(yīng)范圍，直至預(yù)警狀態(tài)結(jié)束。 5.4.1預(yù)警解除 當(dāng)網(wǎng)絡(luò)與信息安全事故發(fā)生的風(fēng)險已經(jīng)消除或被有效控制，或者突發(fā)事件已經(jīng)發(fā)生，廠應(yīng)急辦 應(yīng)按具體情況對已經(jīng)發(fā)布的預(yù)警予以解除。 6 （1）能夠充分確認(rèn)網(wǎng)絡(luò)與信

16、息安全事故風(fēng)險已經(jīng)全部消除或被有效控制，或者預(yù)警響應(yīng)范圍內(nèi) 的部門單位（或場所）全部解除預(yù)警狀態(tài)時，解除預(yù)警。 （2）當(dāng)預(yù)警的突發(fā)事件已經(jīng)在預(yù)警響應(yīng)范圍內(nèi)的某一部門、單位（或場所）發(fā)生時，該部門、 單位（或場所）的預(yù)警狀態(tài)自動解除。 6應(yīng)急響應(yīng)與處置 6.1應(yīng)急響應(yīng)分級 6.1.1應(yīng)急響應(yīng)分級標(biāo)準(zhǔn) 6.1.1.1網(wǎng)絡(luò)與信息安全事故分級 按照網(wǎng)絡(luò)與信息安全事故的嚴(yán)重程度，網(wǎng)絡(luò)與信息安全事故分為一般網(wǎng)絡(luò)與信息安全事故、較 大網(wǎng)絡(luò)與信息安全事故、重大網(wǎng)絡(luò)與信息安全事故和特別重大網(wǎng)絡(luò)與信息安全事故四個級別。 （1）一般網(wǎng)絡(luò)與信息安全事故：因故障導(dǎo)致單位內(nèi)部主要應(yīng)用系統(tǒng)服務(wù)不可用或服務(wù)質(zhì)量 嚴(yán)重劣化累計

17、時長已經(jīng)（或預(yù)期）達(dá) 24 小時（時間/應(yīng)用系統(tǒng)） ；因故障導(dǎo)致一半及以上辦公用戶 內(nèi)部網(wǎng)絡(luò)訪問中斷或服務(wù)質(zhì)量嚴(yán)重劣化時長已經(jīng)（或預(yù)期）達(dá) 6 小時；因故障導(dǎo)致單位外部廣域網(wǎng) 訪問中斷或服務(wù)質(zhì)量嚴(yán)重劣化時長已經(jīng)（或預(yù)期）達(dá) 12 小時；因故障導(dǎo)致內(nèi)部主要應(yīng)用系統(tǒng)丟失 數(shù)據(jù)累計已經(jīng)（或預(yù)期）達(dá) 10 工作日數(shù)據(jù)。 （2）較大網(wǎng)絡(luò)與信息安全事故：因故障導(dǎo)致單位內(nèi)部主要應(yīng)用系統(tǒng)服務(wù)不可用或服務(wù)質(zhì)量 嚴(yán)重劣化累計時長已經(jīng)（或預(yù)期）達(dá) 36 小時（時間/應(yīng)用系統(tǒng)） ；因故障導(dǎo)致一半及以上辦公用戶 內(nèi)部網(wǎng)絡(luò)訪問中斷或服務(wù)質(zhì)量嚴(yán)重劣化時長已經(jīng)（或預(yù)期）達(dá) 12 小時；因故障導(dǎo)致單位外部廣域 網(wǎng)訪問中斷或服務(wù)

18、質(zhì)量嚴(yán)重劣化時長已經(jīng)（或預(yù)期）達(dá) 24 小時；因故障導(dǎo)致內(nèi)部主要應(yīng)用系統(tǒng)丟 失數(shù)據(jù)累計已經(jīng)（或預(yù)期）達(dá) 20 工作日數(shù)據(jù)。 （3）重大網(wǎng)絡(luò)與信息安全事故：因故障導(dǎo)致單位內(nèi)部主要應(yīng)用系統(tǒng)服務(wù)不可用或服務(wù)質(zhì)量 嚴(yán)重劣化累計時長已經(jīng)（或預(yù)期）達(dá) 48 小時（時間/應(yīng)用系統(tǒng)） ；因故障導(dǎo)致一半及以上辦公用戶 內(nèi)部網(wǎng)絡(luò)訪問中斷或服務(wù)質(zhì)量嚴(yán)重劣化時長已經(jīng)（或預(yù)期）達(dá) 24 小時；因故障導(dǎo)致單位外部廣域 網(wǎng)訪問中斷或服務(wù)質(zhì)量嚴(yán)重劣化時長已經(jīng)（或預(yù)期）達(dá) 48 小時；因故障導(dǎo)致內(nèi)部主要應(yīng)用系統(tǒng)丟 失數(shù)據(jù)累計已經(jīng)（或預(yù)期）達(dá) 30 工作日數(shù)據(jù)；單位內(nèi)部主要應(yīng)用系統(tǒng)重要、機(jī)密數(shù)據(jù)泄密或被篡 改，對單位造成一定負(fù)面

19、影響或產(chǎn)生一定威脅。 （4）特別重大網(wǎng)絡(luò)與信息安全事故：因故障導(dǎo)致單位內(nèi)部所有主要應(yīng)用系統(tǒng)服務(wù)不可用或 服務(wù)質(zhì)量嚴(yán)重劣化累計時長已經(jīng)（或預(yù)期）達(dá) 72 小時；因故障導(dǎo)致內(nèi)部網(wǎng)絡(luò)系統(tǒng)中斷或服務(wù)質(zhì)量 嚴(yán)重劣化累計時長已經(jīng)（或預(yù)期）達(dá) 72 小時；因故障導(dǎo)致單位外部廣域網(wǎng)訪問中斷或服務(wù)質(zhì)量嚴(yán) 重劣化時長已經(jīng)（或預(yù)期）達(dá) 72 小時；單位內(nèi)部主要應(yīng)用系統(tǒng)重要、機(jī)密數(shù)據(jù)泄密或被篡改，對 7 單位造成明顯的負(fù)面影響或重大威脅。 6.1.1.2網(wǎng)絡(luò)與信息安全事故應(yīng)急響應(yīng)分級 巴蜀江油發(fā)電廠網(wǎng)絡(luò)與信息安全事故應(yīng)急響應(yīng)按照事故級別和響應(yīng)范圍分為四級，由低到高依 次為級響應(yīng)、級響應(yīng)、級響應(yīng)和級響應(yīng)。 （1）已經(jīng)或

20、預(yù)期同時滿足下列條件的應(yīng)急響應(yīng)，為級響應(yīng)： 網(wǎng)絡(luò)與信息安全事故為一般網(wǎng)絡(luò)與信息安全事故的； 本單位網(wǎng)絡(luò)與信息安全事故應(yīng)急力量可以應(yīng)對，且不需要地方政府相關(guān)部門應(yīng)急力量配合 的。 （2）已經(jīng)或預(yù)期同時滿足下列條件的應(yīng)急響應(yīng)，為級響應(yīng)： 網(wǎng)絡(luò)與信息安全事故為較大網(wǎng)絡(luò)與信息安全事故的，或者網(wǎng)絡(luò)與信息安全事故為一般網(wǎng)絡(luò) 與信息安全事故且超出級響應(yīng)條件的； 本單位網(wǎng)絡(luò)與信息安全事故的應(yīng)急力量可以單獨(dú)應(yīng)對的，或者需要政府相關(guān)部門應(yīng)急力量 配合應(yīng)對的。 （3）已經(jīng)或預(yù)期同時滿足下列條件的應(yīng)急響應(yīng)，為級響應(yīng)： 網(wǎng)絡(luò)與信息安全事故為重大或者特別重大網(wǎng)絡(luò)與信息安全事故的，或者網(wǎng)絡(luò)與信息安全事 故為較大網(wǎng)絡(luò)與信息安

21、全事故且超出級響應(yīng)條件的，或者網(wǎng)絡(luò)與信息安全事故為一般網(wǎng)絡(luò)與信息 安全事故且超出、級響應(yīng)條件的； 本單位網(wǎng)絡(luò)與信息安全事故的應(yīng)急力量無法單獨(dú)應(yīng)對，必需要地方政府相關(guān)部門或其它外 部應(yīng)急力量配合的。 （4）已經(jīng)或預(yù)期同時滿足下列條件的應(yīng)急響應(yīng)，為級響應(yīng)： 網(wǎng)絡(luò)與信息安全事故為重大或者特別重大網(wǎng)絡(luò)與信息安全事故且超出級響應(yīng)條件的，或 者網(wǎng)絡(luò)與信息安全事故為較大網(wǎng)絡(luò)與信息安全事故且超出、級響應(yīng)條件的，或者網(wǎng)絡(luò)與信息安 全事故為一般網(wǎng)絡(luò)與信息安全事故且超出、級響應(yīng)條件的； 本單位網(wǎng)絡(luò)與信息安全事故的應(yīng)急力量無法單獨(dú)應(yīng)對，必需要地方政府相關(guān)部門和云南電 網(wǎng)公司系統(tǒng)的應(yīng)急力量配合應(yīng)對的。 6.1.2網(wǎng)絡(luò)與

22、信息安全事故分級響應(yīng)及處置主體 （1）滿足級應(yīng)急響應(yīng)標(biāo)準(zhǔn)的網(wǎng)絡(luò)與信息安全事故，由事發(fā)單位（部門）啟動事發(fā)現(xiàn)場的 現(xiàn)場處置方案進(jìn)行應(yīng)急響應(yīng)。 （2）滿足級應(yīng)急響應(yīng)標(biāo)準(zhǔn)的網(wǎng)絡(luò)與信息安全事故，由事發(fā)單位（部門）根據(jù)本預(yù)案要求 采取必要的應(yīng)急措施并啟動現(xiàn)場處置方案進(jìn)行應(yīng)急響應(yīng)。 8 （3）滿足級應(yīng)急響應(yīng)標(biāo)準(zhǔn)的網(wǎng)絡(luò)與信息安全事故，由巴蜀江油發(fā)電廠應(yīng)急辦批準(zhǔn)啟動網(wǎng) 絡(luò)與信息安全事故應(yīng)急預(yù)案（即本預(yù)案）和現(xiàn)場處置方案進(jìn)行應(yīng)急響應(yīng)。 （4）滿足級應(yīng)急響應(yīng)標(biāo)準(zhǔn)的網(wǎng)絡(luò)與信息安全事故，由巴蜀電力公司統(tǒng)一指揮，啟動網(wǎng)絡(luò) 與信息安全事故應(yīng)急預(yù)案（即本預(yù)案）和現(xiàn)場處置方案進(jìn)行應(yīng)急響應(yīng)。 6.1.3本預(yù)案啟動程序 （1）巴

23、蜀江油發(fā)電廠應(yīng)急辦在接到網(wǎng)絡(luò)與信息安全事故初始信息后，召集相關(guān)部門工作人 員分析事故； （2）分析判斷事故的應(yīng)急響應(yīng)級別，當(dāng)響應(yīng)級別達(dá)到級及以上時，向應(yīng)急辦申請啟動本 預(yù)案，當(dāng)響應(yīng)級別未達(dá)到級，持續(xù)關(guān)注事態(tài)發(fā)展； （3）應(yīng)急辦到預(yù)案啟動申請后，經(jīng)研究決定是否批準(zhǔn)該申請； （4）本預(yù)案啟動申請被批準(zhǔn)后，信息安全小組負(fù)責(zé)網(wǎng)絡(luò)與信息安全事故應(yīng)急處置。 6.2信息報告 6.2.1應(yīng)急電話 相關(guān)應(yīng)急機(jī)構(gòu)、部門、人員的聯(lián)絡(luò)方式見附件 1 和巴蜀江油發(fā)電廠辦公室印發(fā)的“通訊錄” 。 6.2.2網(wǎng)絡(luò)與信息安全事故初始事件分析 網(wǎng)絡(luò)與信息安全事故初始信息一般包括以下內(nèi)容： （1）事故的類型、發(fā)生時間、發(fā)生地點(diǎn)；

24、 （2）事故的原因、性質(zhì)、范圍、經(jīng)初步判斷的嚴(yán)重程度； （3）網(wǎng)絡(luò)與信息系統(tǒng)故障的嚴(yán)重程度、典型癥狀； （4）網(wǎng)絡(luò)與信息系統(tǒng)受損部件列表、具體情況描述； （5）事故發(fā)生單位（部門）已采取的控制措施及其他應(yīng)對措施； （6）事故報告單位（部門） 、聯(lián)系人員及通訊方式。 6.2.3網(wǎng)絡(luò)與信息安全事故初始信息報告 （1）當(dāng)網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生一般及以上級別網(wǎng)絡(luò)與信息安全事故時，應(yīng)在事故發(fā)生后 30 分鐘 內(nèi)向應(yīng)急辦公室報告網(wǎng)絡(luò)與信息安全事故初始信息。 （2）應(yīng)急辦公室在接到一般及以上級別網(wǎng)絡(luò)與信息安全事故初始信息報告后，應(yīng)對網(wǎng)絡(luò)與信 息安全事故初始信息進(jìn)行確認(rèn)，經(jīng)應(yīng)急辦相關(guān)人員批準(zhǔn)，在接到報告后 40

25、分鐘內(nèi)向巴蜀電力公司 應(yīng)急機(jī)構(gòu)報告。 （3）在報告網(wǎng)絡(luò)與信息安全事故初始信息時，應(yīng)做到及時、客觀、真實(shí)，不得遲報、謊報、 瞞報、漏報。 9 6.2.4網(wǎng)絡(luò)與信息安全事故應(yīng)急信息 網(wǎng)絡(luò)與信息安全事故應(yīng)急信息是指在網(wǎng)絡(luò)與信息安全事故應(yīng)急響應(yīng)過程中，與網(wǎng)絡(luò)與信息安全 事故和網(wǎng)絡(luò)與信息安全事故應(yīng)急響應(yīng)有關(guān)的數(shù)據(jù)和信息，一般包括網(wǎng)絡(luò)與信息安全事故最新概況、 應(yīng)急處置進(jìn)展情況、應(yīng)急資源調(diào)度情況、下一步應(yīng)急工作部署等內(nèi)容。 （1）網(wǎng)絡(luò)與信息安全事故最新概況。 （2）應(yīng)急處置進(jìn)展情況，包括已開展的應(yīng)急處置行動、已取得的應(yīng)急成果、當(dāng)前主要應(yīng)急 處置工作和政府部門的參與情況。 （3）應(yīng)急資源調(diào)度情況，包括應(yīng)急人員

26、調(diào)動情況、應(yīng)急物資調(diào)配情況和應(yīng)急資源需求情況。 （4）下一步應(yīng)急工作部署，包括應(yīng)急處置進(jìn)展情況預(yù)估和應(yīng)急處置行動計劃。 6.2.5網(wǎng)絡(luò)與信息安全事故應(yīng)急信息報告 （1）在網(wǎng)絡(luò)與信息安全事故級及以上應(yīng)急響應(yīng)過程中，由啟動現(xiàn)場處置方案的應(yīng)急指揮 機(jī)構(gòu)，負(fù)責(zé)收集應(yīng)急處置范圍內(nèi)的網(wǎng)絡(luò)與信息安全事故應(yīng)急信息，并負(fù)責(zé)向公司應(yīng)急辦應(yīng)急信息。 （2）在網(wǎng)絡(luò)與信息安全事故級及以上應(yīng)急響應(yīng)過程中，由應(yīng)急辦公室負(fù)責(zé)收集網(wǎng)絡(luò)與信 息安全事故應(yīng)急信息，并負(fù)責(zé)向巴蜀電力公司應(yīng)急辦相關(guān)成員報告；經(jīng)巴蜀電力公司應(yīng)急辦領(lǐng)導(dǎo)批 準(zhǔn)，負(fù)責(zé)按規(guī)定向上級應(yīng)急辦公室和地方地方政府相關(guān)部門報告應(yīng)急信息。 6.3響應(yīng)程序 6.3.1應(yīng)急響應(yīng)

27、流程 本預(yù)案的應(yīng)急響應(yīng)可以分為應(yīng)急啟動、應(yīng)急行動、應(yīng)急響應(yīng)擴(kuò)大和應(yīng)急結(jié)束四個過程， 應(yīng)急啟動應(yīng)急啟動 （1） 經(jīng)巴蜀江油發(fā)電廠應(yīng)急辦領(lǐng)導(dǎo)批準(zhǔn)，由網(wǎng)絡(luò)與信息安全事故應(yīng)急小組啟動本預(yù)案； （2） 網(wǎng)絡(luò)與信息安全事故應(yīng)急辦和各應(yīng)急處置工作人員就位； （3） 由通信聯(lián)絡(luò)工作組負(fù)責(zé)與事故現(xiàn)場建立通信聯(lián)系。 6.3.2應(yīng)急行動 （1） 指揮事故現(xiàn)場應(yīng)急人員積極進(jìn)行系統(tǒng)恢復(fù)； （2） 由信息技術(shù)工作組負(fù)責(zé)收集、整理事故應(yīng)急信息，對事故的發(fā)展態(tài)勢進(jìn)行動態(tài)監(jiān)測，及 時掌握應(yīng)急處置狀況； （3） 做好系統(tǒng)備份恢復(fù)及相應(yīng)回退準(zhǔn)備工作。 6.3.3應(yīng)急響應(yīng)擴(kuò)大 （1） 在應(yīng)急處置過程中，當(dāng)網(wǎng)絡(luò)或重要信息系統(tǒng)癱瘓影響的

28、范圍增加時，應(yīng)急辦應(yīng)及時增加 10 應(yīng)急力量投入； （2） 在應(yīng)急處置過程中，當(dāng)事故發(fā)展為級應(yīng)急響應(yīng)時，應(yīng)急辦公室應(yīng)及時向上級主管部門 和（或）公安部門匯報，申請應(yīng)急支援。 6.3.4應(yīng)急處置措施 （1）有害程序類突發(fā)事件 檢查系統(tǒng)、服務(wù)、數(shù)據(jù)的完整性、可用性，中斷應(yīng)用系統(tǒng)或企業(yè)服務(wù)，從軟件層面進(jìn)行排 查、系統(tǒng)升級、安全防御等操作，盡快減少此類有害程序的破壞和影響。 斷開網(wǎng)絡(luò)，避免傳染更多主機(jī)； 進(jìn)行病毒類型診斷； 通知其它部門進(jìn)行該類型病毒的防范與檢測； 使用專業(yè)殺毒軟件/工具按照專業(yè)流程進(jìn)行病毒及木馬查殺； 追蹤病毒傳播途徑，制定該類型病毒防治規(guī)范； 對有關(guān)惡意代碼或行為的分析結(jié)果，找出事

29、件根源，明確相應(yīng)的補(bǔ)救措施并徹底清除。 （2）網(wǎng)絡(luò)攻擊類突發(fā)事件 在網(wǎng)絡(luò)攻擊中如拒絕服務(wù)攻擊、后門攻擊、漏洞攻擊、網(wǎng)絡(luò)掃描竊聽等，首先如檢查網(wǎng)絡(luò)、 系統(tǒng)、服務(wù)、數(shù)據(jù)的保密性或可用性；損失的程度；確定暴露出的主要危險等。 判斷攻擊類型與手段，評估系統(tǒng)現(xiàn)狀； 定位攻擊路徑； 在業(yè)務(wù)中斷允許的時間范圍內(nèi)追查攻擊者位置； 在盡可能靠近攻擊源的節(jié)點(diǎn)切斷攻擊源； 繼續(xù)對攻擊者的位置與攻擊手段進(jìn)行分析并搜集原始資料； 可能的話關(guān)閉問題服務(wù)，系統(tǒng)漏洞升級； 抑制事件的影響進(jìn)一步擴(kuò)大，限制潛在的損失與破壞?？赡艿囊种撇呗砸话惆ǎ宏P(guān)閉服 務(wù)或關(guān)閉所有的系統(tǒng)，從網(wǎng)絡(luò)上斷開相關(guān)系統(tǒng)的物理鏈接，修改防火墻和路由器的過

30、濾規(guī)則；封鎖 或刪除被攻破的登錄賬號，阻斷可疑用戶得以進(jìn)入網(wǎng)絡(luò)的通路；提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級別； 設(shè)置陷阱；啟用緊急事件下的接管系統(tǒng)；實(shí)行特殊“防衛(wèi)狀態(tài)”安全警戒；反擊攻擊者的系統(tǒng)等。 （3）信息安全破壞類突發(fā)事件 保護(hù)企業(yè)的信息安全，應(yīng)急指揮部門和其他相關(guān)人員將對攻擊源進(jìn)行定位并采取合適的措 施將其中斷。 定位攻擊路徑； 在業(yè)務(wù)中斷允許的時間范圍內(nèi)追查攻擊者位置； 11 在盡可能靠近攻擊源的節(jié)點(diǎn)切斷攻擊源； 判斷攻擊類型與手段，評估系統(tǒng)現(xiàn)狀； 繼續(xù)對攻擊者的位置與攻擊手段進(jìn)行分析并搜集原始資料； 系統(tǒng)漏洞升級； 在出現(xiàn)信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件后

31、， 應(yīng)迅速定位問題的緣由，如果攻擊者獲得了超級用戶的訪問權(quán)，一次完整的恢復(fù)應(yīng)強(qiáng)制性地修改所 有的口令；如果出現(xiàn)了信息泄漏或竊取等，應(yīng)盡快減少信息的傳播途徑，最大限度的保護(hù)企業(yè)信息 安全；如果出現(xiàn)了信息篡改或假冒，通過信息和應(yīng)用的備份回退至改前狀態(tài)。 （4）負(fù)面信息安全類突發(fā)事件 出現(xiàn)負(fù)面信息安全類事件后，應(yīng)急指揮機(jī)構(gòu)應(yīng)迅速分析其負(fù)面影響，通過各種方式澄清事 實(shí)，糾正錯誤信息，同時排查其信息傳播的渠道，以備徹底解決此類事件。 （5）系統(tǒng)故障類突發(fā)事件 出現(xiàn)硬件自身或外圍設(shè)備設(shè)施故障，首先保障企業(yè)核心數(shù)據(jù)和應(yīng)用的主機(jī)、服務(wù)器等硬件 快速恢復(fù)。 根據(jù)相應(yīng)的故障應(yīng)急手冊盡快恢復(fù)網(wǎng)絡(luò)業(yè)務(wù)，盡可能保留現(xiàn)場

32、；搜集現(xiàn)場情況； 根據(jù)故障現(xiàn)象及現(xiàn)場情況定位故障原因； 在人為破壞事故、人為誤操作事故和機(jī)房電源事故引起硬件故障中，迅速定位問題根源， 有針對性根據(jù)事故等級進(jìn)行快速響應(yīng)，完成應(yīng)急處理措施。 無法短時間完成恢復(fù)的，應(yīng)及時啟動備份和災(zāi)備應(yīng)急措施。 （6）災(zāi)害破壞類突發(fā)事件 在水災(zāi)、臺風(fēng)、冰災(zāi)、火災(zāi)、雷擊、地震、坍塌、恐怖襲擊、戰(zhàn)爭等事故中，在保證人身 安全的情況下，首先企業(yè)的核心數(shù)據(jù)信息備份介質(zhì)，以便之后的應(yīng)急恢復(fù)。 在各類自然災(zāi)害面前，優(yōu)先對重要應(yīng)用系統(tǒng)和網(wǎng)絡(luò)進(jìn)行恢復(fù)和應(yīng)急處理。 在此類災(zāi)害面前，一切的網(wǎng)絡(luò)和信息安全事故應(yīng)急均以人身安全為先，之后才考慮企業(yè)信息的還原。 6.4應(yīng)急結(jié)束 當(dāng)網(wǎng)絡(luò)與信

33、息安全事故應(yīng)急處置滿足下列條件之一時，經(jīng)應(yīng)急辦批準(zhǔn)并宣布本預(yù)案的應(yīng)急結(jié)束， 停止本預(yù)案； （1）本預(yù)案應(yīng)對的網(wǎng)絡(luò)與信息安全事故應(yīng)急響應(yīng)級別已降至級以下； （2）本預(yù)案應(yīng)對的網(wǎng)絡(luò)與信息安全事故勢態(tài)受到有效控制，事發(fā)單位（部門）已經(jīng)能夠獨(dú) 立應(yīng)對，不再需要本預(yù)案的支持； 12 （3）本預(yù)案應(yīng)對的網(wǎng)絡(luò)與信息安全事故已經(jīng)完成下列工作：受影響業(yè)務(wù)已恢復(fù)、系統(tǒng)資源 已恢復(fù)到正常狀態(tài)、必要系統(tǒng)補(bǔ)丁安裝后系統(tǒng)安全穩(wěn)定運(yùn)行、受損數(shù)據(jù)已通過備份恢復(fù)。 6.5信息發(fā)布 應(yīng)急辦負(fù)責(zé)網(wǎng)絡(luò)與信息安全事故信息的對外發(fā)布，網(wǎng)絡(luò)與信息安全事故信息發(fā)布必須經(jīng)過嚴(yán)格 審核和批準(zhǔn)，保證發(fā)布信息的一致性，避免出現(xiàn)矛盾信息。網(wǎng)絡(luò)與信息安

34、全事故信息發(fā)布流程及要 求如下： （1）在網(wǎng)絡(luò)與信息安全事故發(fā)生后，需要對外發(fā)布網(wǎng)絡(luò)與信息安全事故初始信息的，須經(jīng)信 息主管領(lǐng)導(dǎo)批準(zhǔn)，由應(yīng)急辦公室組織上報及對外發(fā)布。 （2）各部門及員工未經(jīng)授權(quán)，不得上報和對外發(fā)布（散布）網(wǎng)絡(luò)與信息安全事故信息或發(fā)表 對網(wǎng)絡(luò)與信息安全事故的評論。 6.6后期處置 6.6.1 恢復(fù)生產(chǎn) 網(wǎng)絡(luò)與信息安全事故應(yīng)急結(jié)束后，在公司應(yīng)急辦的指導(dǎo)下，由公司信息安全小組具體負(fù)責(zé)督促 網(wǎng)絡(luò)與信息安全事故善后處理工作，指導(dǎo)事發(fā)部門制定可行的工作計劃，快速、有效地消除網(wǎng)絡(luò)與 信息安全事故造成的不利影響，盡快恢復(fù)生產(chǎn)秩序。 6.6.2事件調(diào)查 （1）按照國家和上級主管部門事故調(diào)查規(guī)定，組織事故調(diào)查組對網(wǎng)絡(luò)與信息安全事故