建黨100周年網絡安全事件

專項應急預案

第一章?總則

一、編制目的為提高建黨100周年處置網絡安全突發事件的能力，形成科學、有效、反應迅速的應急工作機制，確保重要計算機信息系統的實體安全、運行安全和數據安全，最大程度地預防和減少網絡安全突發事件及其造成的損害，特制定本預案。

二、編制依據

依據《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際聯網安全保護管理辦法》等有關法規文件精神。

三、分類分級

1.事件分類

根據網絡與信息安全突發事件的性質、機理和發生過程，網絡與信息安全突發事件主要分為以下三類：

（1）自然災害。指地震、臺風、雷電、火災、洪水等引起的網絡信息系統的故障。

（2）事故災難。指電力中斷、網絡損壞或是軟件、硬件設備故障等引起的網絡信息系統的故障。

（3）人為破壞。指人為破壞網絡線路、通信設施，黑客攻擊、病毒攻擊、恐怖襲擊等引起的網絡信息系統的故障。

2.事件分級

根據網絡與信息安全突發事件的可控性、嚴重程度和影響范圍，一般分為四級：Ⅰ級（特別重大）、Ⅱ級（重大）、Ⅲ級（較大）和Ⅳ級（一般）。

（1）I級（特別重大）、Ⅱ級（重大）。重要網絡信息系統發生全局大規模癱瘓，事態發展超出客站建設指揮部的控制能力，需要由集團公司信息網絡安全應急小組協調解決，對國家安全、社會秩序、經濟建設和公共利益造成特別嚴重損害的信息網絡安全突發事件。

（2）Ⅲ級（較大）。某一部分的重要網絡信息系統癱瘓，對保障安全生產重要監測監控系統造成一定影響,有可能發生安全事故,但在客站建設指揮部控制之內的突發事件。

（3）Ⅳ級（一般）。某節點的網絡或網絡終端發生故障,影響部分職工使用的網絡事件。

四、適用范圍

本預案是慶祝建黨100周年網絡安全事件的專項預案，適用于建黨100周年發生或可能導致發生網絡與信息安全突發事件的應急處置工作。

第二章?組織機構及職責分工

一、組織體系

成立以指揮長、黨委書記為組長，各項目副指揮長為副組長，相關部門部長為組員的網絡安全領導小組。

二、工作職責

1.研究提出信息網絡安全應急機制建設規劃，檢查、指導和督促網絡與信息安全應急機制建設。指導督促重要信息系統應急預案的修訂和完善，檢查落實預案執行情況。

2.發生I級、Ⅱ級、Ⅲ級信息網絡安全突發事件后，決定啟動本預案，組織應急處置工作。如信息網絡安全突發事件屬于I級、Ⅱ級的，向集團公司有關部門通報并協調配合處理。

3.指導應對信息網絡安全突發事件的科學研究、預案演習、宣傳培訓，督促應急保障體系建設。

4.及時收集信息網絡安全突發事件相關信息，分析重要信息并提出處置建議。對可能演變為I級、Ⅱ級、Ⅲ級的網絡與信息安全突發事件，應及時向領導小組提出啟動本預案的建議。

5.負責提供技術咨詢、技術支持，參與重要信息的研判，信息網絡安全突發事件的調查和總結評估工作，進行應急處置工作。

第三章?監測、預警和先期處置

一、信息監測與報告

1.要進一步完善信息網絡安全突發事件監測、預測、預警制度。按照“早發現、早報告、早處置”的原則，加強對各類信息網絡安全突發事件和可能引發信息網絡安全突發事件的有關信息的收集、分析判斷和持續監測。當發生信息網絡安全突發事件時，在按規定向有關部門報告的同時，按緊急信息報送的規定及時向領導匯報，匯報內容主要包括信息來源、影響范圍、事件性質、事件發展趨勢和采取的措施等。

2.建立24小時值班制度，避免因信息網絡安全突發事件發生后，必要的信息通報與指揮協調通信渠道中斷。

二、預警處理與預警發布

1.對于可能發生或已經發生的信息網絡安全突發事件，系統管理員應立即采取措施控制事態，并在2小時內進行風險評估，判定事件等級并發布預警。必要時應啟動相應的預案，同時向信息安全領導小組匯報。

2.領導小組接到匯報后應立即組織搶修，查明事件狀態及原因，技術人員應及時對信息進行技術分析、研判，根據問題的性質、危害程度，提出安全警報級別。

三、先期處置

1.當發生信息網絡安全突發事件時，及時做好先期應急處置工作并立即采取措施控制事態，必要時采用斷網、關閉服務器等方式防止事態進一步擴大，同時向信息網絡安全領導小組通報。

2.信息網絡安全領導小組在接到信息網絡安全突發事件發生或可能發生的信息后，應加強與有關方面的聯系，掌握最新發展態勢。對有可能演變為Ⅲ級信息網絡安全突發事件，技術人員提出建議方案，并作好啟動本預案的各項準備工作。信息安全領導小組根據網絡與信息安全突發事件發展態勢，視情況決定現場指導、組織設備廠商或系統集成商應急支援力量，做好應急處置工作。對有可能演變為Ⅱ級或I級的信息網絡安全突發事件，要根據集團公司的要求，上報集團公司有關部門，趕赴現場指揮、組織應急支援力量，積極做好應急處置工作。

第四章?應急處置

一、應急指揮

1.本預案啟動后，領導小組要迅速建立通訊聯系。抓緊收集相關信息，掌握現場處置工作狀態，分析事件發展趨勢，研究提出處置方案，調集和配置應急處置所需要的人、財、物等資源，統一指揮信息網絡安全應急處置工作。

2.需要成立現場指揮部的，立即在現場開設指揮部，并提供現場指揮運作的相關保障。現場指揮部要根據事件性質迅速組建各類應急工作組，開展應急處置工作。

二、應急處置

在信息安全事件發生時，技術人員應對事件進行動態監測、評估，及時將事件的性質、危害程度和損失情況及處置工作等情況及時報領導小組，屬于I級、Ⅱ級信息安全事件的，同時報集團公司。

根據自然事件或人為破壞這兩種情況把應急處置方法分為兩個流程。

流程一：當發生的信息安全事件為自然安全事件時，應根據當時的實際情況，在保障人身安全的前提下，首先保障數據的安全，然后是設備安全。具體方法包括：硬盤的拔出與保存，設備的斷電與拆卸、搬遷等。

流程二：當人為或病毒破壞的信息安全事件發生時，具體按以下順序進行：判斷破壞的來源與性質，斷開影響安全與穩定的信息網絡設備，斷開與破壞來源的網絡物理連接，跟蹤并鎖定破壞來源的IP或其它網絡用戶信息，修復被破壞的信息，恢復信息系統。按照信息安全事件發生的性質分別采用以下方案：

(1)病毒傳播：針對這種現象，要及時斷開傳播源，判斷病毒的性質、采用的端口，然后關閉相應的端口，公布病毒攻擊信息以及防御方法。

(2)入侵：對于網絡入侵，首先要判斷入侵的來源，區分外網與內網。入侵來自外網的，定位入侵的IP地址，及時關閉入侵的端口，限制入侵地IP地址的訪問，在無法制止的情況下可以采用斷開網絡連接的方法。入侵來自內網的，查清入侵來源，如IP地址、上網帳號等信息，同時斷開對應的交換機端口。然后針對入侵方法建設或更新入侵檢測設備。

(3)信息被篡改：這種情況，要求一經發現馬上斷開相應的信息上網鏈接，并盡快恢復。

(4)網絡故障：一旦發現，可根據相應工作流程盡快排除。

(5)其它沒有列出的不確定因素造成的網絡安全事件，可根據總的安全原則，結合具體的情況，做出相應的處理。不能處理的可以請示相關的專業人員。

三、擴大應急

經應急處置后，事態難以控制或有擴大發展趨勢時，應實施擴大應急行動。要迅速召開信息安全工作領導小組會議，根據事態情況，研究采取有利于控制事態的非常措施，并向集團公司信息網絡安全應急小組請求支援。

四、應急結束

信息網絡安全突發事件經應急處置后，得到有效控制，將各監測統計數據報信息安全工作領導小組，提出應急結束的建議，經領導批準后實施。

五、后期處置

在應急處置工作結束后，信息安全工作領導小組應立即組織有關人員和專家組成事件調查組，對事件發生及其處置過程進行全面的調查，查清事件發生的原因及財產損失狀況和總結經驗教訓，寫出調查評估報告。

第五章?應急保障

一、通信與信息保障

領導小組各成員應保證電話24小時開機，以確保發生信息安全事故時能及時聯系到位。

二、應急裝備保障

各重要信息系統在建設系統時應事先預留出一定的應急設備，做好信息網絡硬件、軟件、應急救援設備等應急物資儲備工作。在網絡與信息安全突發事件發生時，由領導小組負責統一調用。

三、數據保障

重要信息系統建立容災備份系統和相關工作機制，保證重要數據在受到破壞后，可緊急恢復。

四、應急隊伍保障

按照一專多能的要求建立網絡與信息安全應急保障隊伍。

五、經費保障

網絡信息系統突發公共事件應急處置資金，應列入年度工作經費預算，切實予以保障。

第六章?責任追究

一、從嚴落實紅線管理規定

對于發生一機兩網、違規上線部署、敏感信息和關鍵數據違規部署等違反紅線管理規定的行為，建指將按照《網絡安全事件調查處理和定責考核管理辦法》（成鐵辦科信〔2020〕32號）從嚴從重從速進行定責考核。

二、加強網絡安全定責考核

對于所有被扣分的系統,將按照發生網絡安全事件進行定責，按照相關規定追究事發部門、及個人的責任。