1? 事件定義及分級(jí)
1.1? 定義
計(jì)算機(jī)信息系統(tǒng)損害事件系指管理處計(jì)算機(jī)信息系統(tǒng)及相關(guān)通信網(wǎng)絡(luò)遭受黑客惡意攻擊、大規(guī)模計(jì)算機(jī)病毒襲擊、人為破壞、自然災(zāi)害破壞或其它不可抗力影響,引發(fā)多地點(diǎn)基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)、網(wǎng)站癱瘓,導(dǎo)致關(guān)鍵業(yè)務(wù)中斷或重要信息丟失、泄密,造成或可能造成較大經(jīng)濟(jì)損失或嚴(yán)重社會(huì)影響的事件。
1.2? 分級(jí)
根據(jù)計(jì)算機(jī)信息系統(tǒng)損害災(zāi)害事件的性質(zhì)、危害程度、波及范圍,可以將其劃分為兩級(jí):管道分公司及以上級(jí)、管理處級(jí)。
1.2.1 管道分公司及以上級(jí)計(jì)算機(jī)信息系統(tǒng)損害災(zāi)害事件
(1)SCADA系統(tǒng)被惡意攻擊、修改或破壞,導(dǎo)致邏輯控制紊亂,造成系統(tǒng)癱瘓、數(shù)據(jù)丟失、控制失靈,嚴(yán)重影響安全生產(chǎn)的事件;
(2)主要通信系統(tǒng)損壞,造成SCADA系統(tǒng)無(wú)法運(yùn)行的事件;
(3)因計(jì)算機(jī)信息系統(tǒng)設(shè)備、軟件故障,造成SCADA系統(tǒng)、OA系統(tǒng)、ERP系統(tǒng)、財(cái)務(wù)管理信息系統(tǒng)、安全信息管理系統(tǒng)等主要計(jì)算機(jī)信息系統(tǒng)大面積癱瘓,嚴(yán)重影響安全生產(chǎn)、造成公司重大經(jīng)濟(jì)損失或重要信息被泄露的事件;
(5)公司大部分辦公電腦被黑客攻擊中毒或網(wǎng)絡(luò)癱瘓無(wú)法正常辦公的事件;
(6)其它經(jīng)管道分公司應(yīng)急指揮中心危害分析、風(fēng)險(xiǎn)評(píng)估后認(rèn)為屬于管道分公司級(jí)(Ⅱ級(jí))事件的計(jì)算機(jī)信息系統(tǒng)損害事件。
1.2.2 ?管理處級(jí)計(jì)算機(jī)信息系統(tǒng)損害災(zāi)害事件
(1)因計(jì)算機(jī)信息系統(tǒng)設(shè)備、軟件故障,造成SCADA系統(tǒng)邏輯控制紊亂,但可通過(guò)切斷與第三方設(shè)備通信方式解決,不會(huì)造成整個(gè)SCADA系統(tǒng)故障的事件;
(2)因通信故障或計(jì)算機(jī)軟件故障,僅影響部分站控系統(tǒng)運(yùn)行或RTU閥室上傳信號(hào),不造成控制紊亂的事件;
(3)通信網(wǎng)絡(luò)、主機(jī)、服務(wù)器信息系統(tǒng)軟、硬件損壞,對(duì)安全生產(chǎn)和重要業(yè)務(wù)造成輕微影響,但可在短時(shí)間內(nèi)進(jìn)行恢復(fù)的事件;
(4)局域網(wǎng)內(nèi)多臺(tái)辦公電腦同時(shí)中毒,已影響到正常辦公,但可通過(guò)殺毒、重新安裝系統(tǒng)、更換軟件等方式及時(shí)解決的事件;
(5)管理處網(wǎng)頁(yè)被惡意攻擊、修改,散布反動(dòng)言論、不良信息的事件;
(6)其它經(jīng)危害分析、風(fēng)險(xiǎn)評(píng)估后認(rèn)為屬于管理處級(jí)(Ⅱ級(jí))事件的計(jì)算機(jī)信息系統(tǒng)損害事件。
2? 應(yīng)急報(bào)告
2.1? 報(bào)告程序
事件發(fā)生時(shí),按照總體預(yù)案中5.1條規(guī)定的程序報(bào)告。
2.2? 報(bào)告內(nèi)容
2.2.1 ?計(jì)算機(jī)信息系統(tǒng)損害事件發(fā)生時(shí),應(yīng)立即向管理處應(yīng)急值班室、管道分公司應(yīng)急指揮中心辦公室報(bào)告,報(bào)告應(yīng)包括但不限于以下內(nèi)容:
((1)事件發(fā)生的時(shí)間、地點(diǎn)和部位、設(shè)備設(shè)施名稱(chēng)等;
(2)事件發(fā)生過(guò)程;
(3)損害程度及影響范圍;
(4)已采取的應(yīng)急措施;
(5)救援要求;
(6)報(bào)告人的姓名、職務(wù)和聯(lián)系方式。
2.2.2 ?在事件處置過(guò)程中,各單位、了解事態(tài)進(jìn)展情況,隨時(shí)用電話(huà)、傳真等方式跟進(jìn)報(bào)告,報(bào)告應(yīng)包括但不限于以下內(nèi)容,報(bào)告應(yīng)包括但不限于表11.1中的內(nèi)容:
表11.1? 計(jì)算機(jī)信息系統(tǒng)損害事件應(yīng)急報(bào)告表
報(bào)告時(shí)間:??? ????年? ??月? ??日? ??時(shí)? ??分
單位名稱(chēng) | 報(bào)告人 | |||||||
聯(lián)系電話(huà) | 通訊地址 | |||||||
傳??? 真 | 電子郵件 | |||||||
發(fā)生安全事件的信息系統(tǒng)基本信息 | 名稱(chēng)及用途 | 硬件及型號(hào) | 操作系統(tǒng) | 數(shù)據(jù)庫(kù) | 應(yīng)用軟件 | 系統(tǒng)安全測(cè)評(píng) | ||
□ 是,已經(jīng)通過(guò)安全測(cè)評(píng) ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?□ 是,但未通過(guò)安全測(cè)評(píng) ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?□ 否,未經(jīng)過(guò)安全測(cè)評(píng) | ||||||||
發(fā)生安全事件的網(wǎng)絡(luò)基本信息 | 網(wǎng)絡(luò)概況:?????????????????????? ? ????????????????????????????????????? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?IP地址段:?????????????????????? ?????????????????????????????????????? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?網(wǎng)絡(luò)結(jié)構(gòu):?????????????????????? ? ??????????????????????????????????????? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?主要網(wǎng)絡(luò)設(shè)備: ??????????????????????????????????? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?其它:?????????????????????????? ???????????????? | |||||||
負(fù)責(zé)部門(mén) | 負(fù)責(zé)人 | |||||||
信息損害事件的簡(jiǎn)要描述(如以前出現(xiàn)過(guò)類(lèi)似情況也應(yīng)加以說(shuō)明) | ||||||||
初步判定的事件原因 | ||||||||
當(dāng)前采取的應(yīng)對(duì)措施 | ||||||||
本次事件的初步影響狀況 | 事件后果 | □業(yè)務(wù)中斷 ?□系統(tǒng)破壞 ?□數(shù)據(jù)丟失 ?□其它????????????????? | ||||||
影響范圍 | □局部 ?□大面積 ?□整個(gè)信息系統(tǒng)? □其它???????????????? | |||||||
嚴(yán)重程度 | □Ⅰ級(jí) ?□Ⅱ級(jí) ?□Ⅲ級(jí)? □Ⅳ級(jí) | |||||||
值班電話(huà):? ??????????傳真: ???????????????電子郵箱E-mail:
3? 應(yīng)急處置
3.1? 應(yīng)急行動(dòng)
3.1.1? 現(xiàn)場(chǎng)應(yīng)急指揮部
(1)收集現(xiàn)場(chǎng)信息,核實(shí)現(xiàn)場(chǎng)情況,根據(jù)現(xiàn)場(chǎng)的變化制定和調(diào)整現(xiàn)場(chǎng)應(yīng)急處置方案,并組織實(shí)施;
(2)整合、調(diào)配現(xiàn)場(chǎng)應(yīng)急資源,統(tǒng)一指揮搶險(xiǎn)工作;
(3)在應(yīng)急處置中,出現(xiàn)異常及時(shí)向應(yīng)急指揮中心辦公室匯報(bào)、請(qǐng)示并落實(shí)指令;
(4)根據(jù)現(xiàn)場(chǎng)處置需要,請(qǐng)求應(yīng)急指揮中心辦公室協(xié)調(diào)組織其他應(yīng)急資源;
(5)核實(shí)應(yīng)急終止條件并向應(yīng)急指揮中心辦公室請(qǐng)示應(yīng)急終止;
(6)完成應(yīng)急指揮中心辦公室交辦的其他任務(wù)。
3.1.2? 各專(zhuān)業(yè)組
3.1.2.1? 生產(chǎn)運(yùn)行組
(1)跟蹤并詳細(xì)了解計(jì)算機(jī)信息系統(tǒng)損害事件應(yīng)急處置情況,及時(shí)向現(xiàn)場(chǎng)應(yīng)急指揮部、應(yīng)急指揮中心辦公室匯報(bào)、請(qǐng)示并落實(shí)指令;
(2)執(zhí)行應(yīng)急指揮中心辦公室制訂的應(yīng)急氣量調(diào)配方案;
(3)保持現(xiàn)場(chǎng)與應(yīng)急指揮中心辦公室的聯(lián)絡(luò);
(4)按照應(yīng)急處置方案,組織實(shí)施SCADA系統(tǒng)、光纜通信系統(tǒng)損害搶險(xiǎn)工作。
3.1.2.2? 技術(shù)支持組
(1)進(jìn)行事件發(fā)生現(xiàn)場(chǎng)數(shù)據(jù)采集;
(2)通知相關(guān)專(zhuān)業(yè)化服務(wù)隊(duì)伍趕赴現(xiàn)場(chǎng)進(jìn)行處置;
(3)結(jié)合事件發(fā)生現(xiàn)場(chǎng)實(shí)際情況,組織技術(shù)人員制定或調(diào)整相應(yīng)的應(yīng)急處置方案;
(4)按照應(yīng)急處置方案,組織實(shí)施除SCADA系統(tǒng)、光纜通信系統(tǒng)外的計(jì)算機(jī)信息系統(tǒng)損害搶險(xiǎn)工作。
(5)負(fù)責(zé)搶險(xiǎn)作業(yè)中的質(zhì)量監(jiān)督。
(6)為搶險(xiǎn)工作提供技術(shù)支持;
(7)根據(jù)應(yīng)急指揮中心辦公室指令,向相關(guān)部門(mén)、單位進(jìn)行求援。
3.1.2.3? 綜合保障組
(1)調(diào)配車(chē)輛,立即將現(xiàn)場(chǎng)應(yīng)急指揮部成員送到現(xiàn)場(chǎng);
(2)確定或搭建現(xiàn)場(chǎng)指揮部臨時(shí)辦公地點(diǎn),做好交通保障工作;
(3)安排食品、飲用水、洗滌用品、急救醫(yī)療用品等生活物資,滿(mǎn)足搶險(xiǎn)人員的生活需要;
(4)開(kāi)展宣傳,做好員工和群眾情緒穩(wěn)定工作;
(5)安排專(zhuān)人對(duì)現(xiàn)場(chǎng)情況及應(yīng)急過(guò)程進(jìn)行錄音、錄像;
3.2? 現(xiàn)場(chǎng)搶險(xiǎn)措施
3.2.1計(jì)算機(jī)信息系統(tǒng)損害事件應(yīng)急處置指導(dǎo)原則
(1)堅(jiān)持統(tǒng)一指揮、規(guī)范操作、反應(yīng)迅速、處理高效的原則。
(2)當(dāng)發(fā)生恐怖襲擊危及到計(jì)算機(jī)信息系統(tǒng)安全時(shí),應(yīng)根據(jù)當(dāng)時(shí)的實(shí)際情況,在保障人身安全的前提下,保障數(shù)據(jù)的安全和設(shè)備安全。
(3)當(dāng)人為或病毒破壞計(jì)算機(jī)信息系統(tǒng)安全時(shí),按照計(jì)算機(jī)信息系統(tǒng)安全事件發(fā)生的性質(zhì)可采取用隔離故障源、暫時(shí)關(guān)閉故障系統(tǒng)、保留痕跡等措施。
3.2.2 ?計(jì)算機(jī)信息系統(tǒng)損害事件應(yīng)急處置措施
(1)事件認(rèn)定和評(píng)估
l?????? 收集計(jì)算機(jī)信息安全事件相關(guān)信息,識(shí)別事件類(lèi)別,判斷破壞的來(lái)源與性質(zhì),確保證據(jù)準(zhǔn)確,以便縮短應(yīng)急響應(yīng)時(shí)間。
l?????? 及時(shí)檢查威脅造成的結(jié)果,評(píng)估事件帶來(lái)的影響和損害。如檢查系統(tǒng)、服務(wù)、數(shù)據(jù)的完整性、保密性或可用性;檢查攻擊者是否侵入了系統(tǒng);以后是否能再次隨意進(jìn)入;損失的程度;確定暴露出的主要危險(xiǎn)等。
(2)控制事態(tài)發(fā)展
采取各種措施抑制事件的影響進(jìn)一步擴(kuò)大,限制潛在的損失與破壞??赡艿囊种撇呗砸话惆ǎ?/p>
l?????? 關(guān)閉服務(wù)或關(guān)閉所有的系統(tǒng);
l?????? 從網(wǎng)絡(luò)上斷開(kāi)相關(guān)系統(tǒng)的物理鏈接;
l?????? 修改防火墻和路由器的過(guò)濾規(guī)則;
l?????? 封鎖或刪除被攻破的登錄賬號(hào),阻斷可疑用戶(hù)得以進(jìn)入網(wǎng)絡(luò)的通路;
l?????? 提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級(jí)別;
l?????? 設(shè)置陷阱;啟用緊急事件下的接管系統(tǒng);
l?????? 實(shí)行特殊“防衛(wèi)狀態(tài)”安全警戒;反擊攻擊者的系統(tǒng)等。
(3)事件消除
l?????? 在事態(tài)得到控制之后,跟蹤并鎖定破壞來(lái)源的IP或其它網(wǎng)絡(luò)用戶(hù)信息,通過(guò)對(duì)有關(guān)惡意代碼或行為的分析結(jié)果,找出事件根源,明確相應(yīng)的補(bǔ)救措施并徹底清除。
l?????? 聯(lián)系執(zhí)法部門(mén)和其它相關(guān)機(jī)構(gòu)對(duì)攻擊源進(jìn)行定位并采取合適的措施將其中斷。
(4)系統(tǒng)恢復(fù)
l?????? 修復(fù)被破壞的信息、清理系統(tǒng)、恢復(fù)數(shù)據(jù)、程序、服務(wù),恢復(fù)信息系統(tǒng);把所有被攻破的系統(tǒng)和網(wǎng)絡(luò)設(shè)備徹底還原到它們正常的任務(wù)狀態(tài)。
l?????? 恢復(fù)工作應(yīng)采取相應(yīng)的安全措施,避免出現(xiàn)操作失誤而導(dǎo)致數(shù)據(jù)丟失。
l?????? 如果攻擊者獲得了超級(jí)用戶(hù)的訪(fǎng)問(wèn)權(quán),一次完整的恢復(fù)應(yīng)強(qiáng)制性地修改所有的口令。
l?????? 恢復(fù)工作中如果涉及到涉密數(shù)據(jù),需遵照涉密系統(tǒng)的恢復(fù)要求。
l?????? 對(duì)不同任務(wù)的恢復(fù)工作的承擔(dān)單位,要有不同的擔(dān)保。
(5)事件追蹤
l?????? 密切關(guān)注系統(tǒng)恢復(fù)以后的安全狀況,特別是曾經(jīng)出問(wèn)題的地方。
l?????? 建立跟蹤文檔,規(guī)范記錄跟蹤結(jié)果。
l?????? 對(duì)響應(yīng)效果給出評(píng)估,按照表11.2的內(nèi)容填寫(xiě)應(yīng)急總結(jié)并上報(bào)上級(jí)主管部門(mén)備案。
l?????? 對(duì)進(jìn)入司法程序的事件,進(jìn)行進(jìn)一步的調(diào)查,打擊違法犯罪活動(dòng)。
表11.2? 計(jì)算機(jī)信息系統(tǒng)損害事件處理結(jié)果應(yīng)急報(bào)告表
原事件報(bào)告時(shí)間:??? 年? 月? 日? 時(shí)? 分???? 備案編號(hào):? 年? 月? 日??? 第??? 號(hào)? 總第?? 號(hào)
單位名稱(chēng) | 聯(lián)系人 | |||||
聯(lián)系電話(huà) | 通信地址 | |||||
傳??? 真 | 電子郵件 | |||||
發(fā)生事件的計(jì)算機(jī)信息系統(tǒng)基本信息 | 名稱(chēng)及用途 | 硬件及型號(hào) | 操作系統(tǒng) | 數(shù)據(jù)庫(kù) | 應(yīng)用軟件 | 系統(tǒng)安全測(cè)評(píng) |
□ 是,已經(jīng)通過(guò)安全測(cè)評(píng) | ||||||
□ 是,但未通過(guò)安全測(cè)評(píng) | ||||||
□ 否,未經(jīng)過(guò)安全測(cè)評(píng) | ||||||
發(fā)生事件的網(wǎng)絡(luò)基本信息 | 網(wǎng)絡(luò)概況:? | |||||
IP地址段: | ||||||
網(wǎng)絡(luò)結(jié)構(gòu): | ||||||
主要網(wǎng)絡(luò)設(shè)備: | ||||||
其他: | ||||||
信息系統(tǒng)損害事件的補(bǔ)充描述及最后判定的事件原因 | ||||||
對(duì)本次信息系統(tǒng)損害事件的事后影響狀況 | 事件后果 | □業(yè)務(wù)中斷? □系統(tǒng)破壞? □數(shù)據(jù)丟失? □其他 | ||||
影響范圍 | □局部? □大面積? □整個(gè)信息系統(tǒng)? □其他 | |||||
嚴(yán)重程度 | □Ⅰ級(jí) ?□Ⅱ級(jí) ?□Ⅲ級(jí)? □Ⅳ級(jí) | |||||
本次信息系統(tǒng)損害事件的主要處理過(guò)程與結(jié)果(必要時(shí)可附文字、框圖、圖片等材料) | ||||||
針對(duì)此類(lèi)事件應(yīng)采取的保障網(wǎng)絡(luò)與信息系統(tǒng)安全的措施和建議 | ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ????????????????????????????????? ????????????報(bào)告人簽章??? |
值班電話(huà):??????????? 傳真:????????????????? 電子信箱E-mail:
4? 應(yīng)急終止
經(jīng)應(yīng)急處置后,管理處現(xiàn)場(chǎng)應(yīng)急指揮部確認(rèn)下列條件同時(shí)滿(mǎn)足時(shí)可下達(dá)應(yīng)急終止指令:
(1)計(jì)算機(jī)信息系統(tǒng)攻擊行為被徹底清除或隔離;
(2)計(jì)算機(jī)信息系統(tǒng)恢復(fù)正常;
(3)社會(huì)影響減到最小。
5? 應(yīng)急保障
5.1? 隊(duì)伍保障
江蘇管理處計(jì)算機(jī)信息系統(tǒng)損害事件需要調(diào)用和協(xié)調(diào)的應(yīng)急隊(duì)伍有:
(1)管理處維修隊(duì);
(2)各計(jì)算機(jī)信息系統(tǒng)開(kāi)發(fā)商、中油龍慧、中原通訊公司等相關(guān)專(zhuān)業(yè)化服務(wù)隊(duì)伍。
5.2? 設(shè)備保障
管理處計(jì)算機(jī)信息系統(tǒng)損害事件需要配備的基本應(yīng)急救援設(shè)備有:
(1)交通運(yùn)輸類(lèi)設(shè)備:包括越野車(chē)等,用于應(yīng)急人員、傷員、設(shè)備、救援物資的運(yùn)輸。
(2)施工類(lèi)設(shè)備:包括工程搶險(xiǎn)車(chē)、光纖熔接機(jī)、光功率檢測(cè)儀、光時(shí)域反射儀、發(fā)電機(jī)、筆記本電腦等,用于計(jì)算機(jī)信息系統(tǒng)的檢測(cè)、維修施工作業(yè)。
(3)記錄類(lèi)設(shè)備:包括照相機(jī)、攝像機(jī)等,用于記錄現(xiàn)場(chǎng)情況。
5.3? 物資保障
江蘇管理處計(jì)算機(jī)信息系統(tǒng)損害事件需要配備的基本應(yīng)急救援物資有:
(1)應(yīng)急搶險(xiǎn)類(lèi)物資:包括計(jì)算機(jī)系統(tǒng)備件、24芯光纜、16芯光纜、光纖電子標(biāo)識(shí)、光纜接頭盒、超五類(lèi)雙絞網(wǎng)線(xiàn)、相關(guān)軟件安裝光盤(pán)等,用于損壞計(jì)算機(jī)維修、損傷光纜接續(xù)、病毒查殺、操作系統(tǒng)和軟件恢復(fù)等。
(2)保障類(lèi)物資:包括食物、飲用水等,用于現(xiàn)場(chǎng)應(yīng)急人員后勤生活保障需要。
6? 附則
本預(yù)案由江蘇管理處生產(chǎn)技術(shù)部負(fù)責(zé)解釋。