建党100周年网络安全事件

专项应急预案

第一章 总则

一、编制目的为提高建党100周年处置网络安全突发事件的能力，形成科学、有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大程度地预防和减少网络安全突发事件及其造成的损害，特制定本预案。

二、编制依据

依据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》等有关法规文件精神。

三、分类分级

1.事件分类

根据网络与信息安全突发事件的性质、机理和发生过程，网络与信息安全突发事件主要分为以下三类：

（1）自然灾害。指地震、台风、雷电、火灾、洪水等引起的网络信息系统的故障。

（2）事故灾难。指电力中断、网络损坏或是软件、硬件设备故障等引起的网络信息系统的故障。

（3）人为破坏。指人为破坏网络线路、通信设施，黑客攻击、病毒攻击、恐怖袭击等引起的网络信息系统的故障。

2.事件分级

根据网络与信息安全突发事件的可控性、严重程度和影响范围，一般分为四级：Ⅰ级（特别重大）、Ⅱ级（重大）、Ⅲ级（较大）和Ⅳ级（一般）。

（1）I级（特别重大）、Ⅱ级（重大）。重要网络信息系统发生全局大规模瘫痪，事态发展超出客站建设指挥部的控制能力，需要由集团公司信息网络安全应急小组协调解决，对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的信息网络安全突发事件。

（2）Ⅲ级（较大）。某一部分的重要网络信息系统瘫痪，对保障安全生产重要监测监控系统造成一定影响,有可能发生安全事故,但在客站建设指挥部控制之内的突发事件。

（3）Ⅳ级（一般）。某节点的网络或网络终端发生故障,影响部分职工使用的网络事件。

四、适用范围

本预案是庆祝建党100周年网络安全事件的专项预案，适用于建党100周年发生或可能导致发生网络与信息安全突发事件的应急处置工作。

第二章 组织机构及职责分工

一、组织体系

成立以指挥长、党委书记为组长，各项目副指挥长为副组长，相关部门部长为组员的网络安全领导小组。

二、工作职责

1.研究提出信息网络安全应急机制建设规划，检查、指导和督促网络与信息安全应急机制建设。指导督促重要信息系统应急预案的修订和完善，检查落实预案执行情况。

2.发生I级、Ⅱ级、Ⅲ级信息网络安全突发事件后，决定启动本预案，组织应急处置工作。如信息网络安全突发事件属于I级、Ⅱ级的，向集团公司有关部门通报并协调配合处理。

3.指导应对信息网络安全突发事件的科学研究、预案演习、宣传培训，督促应急保障体系建设。

4.及时收集信息网络安全突发事件相关信息，分析重要信息并提出处置建议。对可能演变为I级、Ⅱ级、Ⅲ级的网络与信息安全突发事件，应及时向领导小组提出启动本预案的建议。

5.负责提供技术咨询、技术支持，参与重要信息的研判，信息网络安全突发事件的调查和总结评估工作，进行应急处置工作。

第三章 监测、预警和先期处置

一、信息监测与报告

1.要进一步完善信息网络安全突发事件监测、预测、预警制度。按照“早发现、早报告、早处置”的原则，加强对各类信息网络安全突发事件和可能引发信息网络安全突发事件的有关信息的收集、分析判断和持续监测。当发生信息网络安全突发事件时，在按规定向有关部门报告的同时，按紧急信息报送的规定及时向领导汇报，汇报内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。

2.建立24小时值班制度，避免因信息网络安全突发事件发生后，必要的信息通报与指挥协调通信渠道中断。

二、预警处理与预警发布

1.对于可能发生或已经发生的信息网络安全突发事件，系统管理员应立即采取措施控制事态，并在2小时内进行风险评估，判定事件等级并发布预警。必要时应启动相应的预案，同时向信息安全领导小组汇报。

2.领导小组接到汇报后应立即组织抢修，查明事件状态及原因，技术人员应及时对信息进行技术分析、研判，根据问题的性质、危害程度，提出安全警报级别。

三、先期处置

1.当发生信息网络安全突发事件时，及时做好先期应急处置工作并立即采取措施控制事态，必要时采用断网、关闭服务器等方式防止事态进一步扩大，同时向信息网络安全领导小组通报。

2.信息网络安全领导小组在接到信息网络安全突发事件发生或可能发生的信息后，应加强与有关方面的联系，掌握最新发展态势。对有可能演变为Ⅲ级信息网络安全突发事件，技术人员提出建议方案，并作好启动本预案的各项准备工作。信息安全领导小组根据网络与信息安全突发事件发展态势，视情况决定现场指导、组织设备厂商或系统集成商应急支援力量，做好应急处置工作。对有可能演变为Ⅱ级或I级的信息网络安全突发事件，要根据集团公司的要求，上报集团公司有关部门，赶赴现场指挥、组织应急支援力量，积极做好应急处置工作。

第四章 应急处置

一、应急指挥

1.本预案启动后，领导小组要迅速建立通讯联系。抓紧收集相关信息，掌握现场处置工作状态，分析事件发展趋势，研究提出处置方案，调集和配置应急处置所需要的人、财、物等资源，统一指挥信息网络安全应急处置工作。

2.需要成立现场指挥部的，立即在现场开设指挥部，并提供现场指挥运作的相关保障。现场指挥部要根据事件性质迅速组建各类应急工作组，开展应急处置工作。

二、应急处置

在信息安全事件发生时，技术人员应对事件进行动态监测、评估，及时将事件的性质、危害程度和损失情况及处置工作等情况及时报领导小组，属于I级、Ⅱ级信息安全事件的，同时报集团公司。

根据自然事件或人为破坏这两种情况把应急处置方法分为两个流程。

流程一：当发生的信息安全事件为自然安全事件时，应根据当时的实际情况，在保障人身安全的前提下，首先保障数据的安全，然后是设备安全。具体方法包括：硬盘的拔出与保存，设备的断电与拆卸、搬迁等。

流程二：当人为或病毒破坏的信息安全事件发生时，具体按以下顺序进行：判断破坏的来源与性质，断开影响安全与稳定的信息网络设备，断开与破坏来源的网络物理连接，跟踪并锁定破坏来源的IP或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照信息安全事件发生的性质分别采用以下方案：

(1)病毒传播：针对这种现象，要及时断开传播源，判断病毒的性质、采用的端口，然后关闭相应的端口，公布病毒攻击信息以及防御方法。

(2)入侵：对于网络入侵，首先要判断入侵的来源，区分外网与内网。入侵来自外网的，定位入侵的IP地址，及时关闭入侵的端口，限制入侵地IP地址的访问，在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的，查清入侵来源，如IP地址、上网帐号等信息，同时断开对应的交换机端口。然后针对入侵方法建设或更新入侵检测设备。

(3)信息被篡改：这种情况，要求一经发现马上断开相应的信息上网链接，并尽快恢复。

(4)网络故障：一旦发现，可根据相应工作流程尽快排除。

(5)其它没有列出的不确定因素造成的网络安全事件，可根据总的安全原则，结合具体的情况，做出相应的处理。不能处理的可以请示相关的专业人员。

三、扩大应急

经应急处置后，事态难以控制或有扩大发展趋势时，应实施扩大应急行动。要迅速召开信息安全工作领导小组会议，根据事态情况，研究采取有利于控制事态的非常措施，并向集团公司信息网络安全应急小组请求支援。

四、应急结束

信息网络安全突发事件经应急处置后，得到有效控制，将各监测统计数据报信息安全工作领导小组，提出应急结束的建议，经领导批准后实施。

五、后期处置

在应急处置工作结束后，信息安全工作领导小组应立即组织有关人员和专家组成事件调查组，对事件发生及其处置过程进行全面的调查，查清事件发生的原因及财产损失状况和总结经验教训，写出调查评估报告。

第五章 应急保障

一、通信与信息保障

领导小组各成员应保证电话24小时开机，以确保发生信息安全事故时能及时联系到位。

二、应急装备保障

各重要信息系统在建设系统时应事先预留出一定的应急设备，做好信息网络硬件、软件、应急救援设备等应急物资储备工作。在网络与信息安全突发事件发生时，由领导小组负责统一调用。

三、数据保障

重要信息系统建立容灾备份系统和相关工作机制，保证重要数据在受到破坏后，可紧急恢复。

四、应急队伍保障

按照一专多能的要求建立网络与信息安全应急保障队伍。

五、经费保障

网络信息系统突发公共事件应急处置资金，应列入年度工作经费预算，切实予以保障。

第六章 责任追究

一、从严落实红线管理规定

对于发生一机两网、违规上线部署、敏感信息和关键数据违规部署等违反红线管理规定的行为，建指将按照《网络安全事件调查处理和定责考核管理办法》（成铁办科信〔2020〕32号）从严从重从速进行定责考核。

二、加强网络安全定责考核

对于所有被扣分的系统,将按照发生网络安全事件进行定责，按照相关规定追究事发部门、及个人的责任。