1  事件定义及分级

1.1  定义

计算机信息系统损害事件系指管理处计算机信息系统及相关通信网络遭受黑客恶意攻击、大规模计算机病毒袭击、人为破坏、自然灾害破坏或其它不可抗力影响，引发多地点基础网络、重要信息系统、网站瘫痪，导致关键业务中断或重要信息丢失、泄密，造成或可能造成较大经济损失或严重社会影响的事件。

1.2  分级

根据计算机信息系统损害灾害事件的性质、危害程度、波及范围，可以将其划分为两级：管道分公司及以上级、管理处级。

1.2.1 管道分公司及以上级计算机信息系统损害灾害事件

（1）SCADA系统被恶意攻击、修改或破坏，导致逻辑控制紊乱，造成系统瘫痪、数据丢失、控制失灵，严重影响安全生产的事件；

（2）主要通信系统损坏，造成SCADA系统无法运行的事件；

（3）因计算机信息系统设备、软件故障，造成SCADA系统、OA系统、ERP系统、财务管理信息系统、安全信息管理系统等主要计算机信息系统大面积瘫痪，严重影响安全生产、造成公司重大经济损失或重要信息被泄露的事件；

（5）公司大部分办公电脑被黑客攻击中毒或网络瘫痪无法正常办公的事件；

（6）其它经管道分公司应急指挥中心危害分析、风险评估后认为属于管道分公司级（Ⅱ级）事件的计算机信息系统损害事件。

1.2.2  管理处级计算机信息系统损害灾害事件

（1）因计算机信息系统设备、软件故障，造成SCADA系统逻辑控制紊乱，但可通过切断与第三方设备通信方式解决，不会造成整个SCADA系统故障的事件；

（2）因通信故障或计算机软件故障，仅影响部分站控系统运行或RTU阀室上传信号，不造成控制紊乱的事件；

（3）通信网络、主机、服务器信息系统软、硬件损坏，对安全生产和重要业务造成轻微影响，但可在短时间内进行恢复的事件；

（4）局域网内多台办公电脑同时中毒，已影响到正常办公，但可通过杀毒、重新安装系统、更换软件等方式及时解决的事件；

（5）管理处网页被恶意攻击、修改，散布反动言论、不良信息的事件；

（6）其它经危害分析、风险评估后认为属于管理处级（Ⅱ级）事件的计算机信息系统损害事件。

2  应急报告

2.1  报告程序

事件发生时，按照总体预案中5.1条规定的程序报告。

2.2  报告内容

2.2.1  计算机信息系统损害事件发生时，应立即向管理处应急值班室、管道分公司应急指挥中心办公室报告，报告应包括但不限于以下内容：

（（1）事件发生的时间、地点和部位、设备设施名称等；

（2）事件发生过程；

（3）损害程度及影响范围；

（4）已采取的应急措施；

（5）救援要求；

（6）报告人的姓名、职务和联系方式。

2.2.2  在事件处置过程中，各单位、了解事态进展情况，随时用电话、传真等方式跟进报告，报告应包括但不限于以下内容，报告应包括但不限于表11.1中的内容：

表11.1  计算机信息系统损害事件应急报告表

报告时间：        年    月    日    时    分

值班电话：            传真：                电子邮箱E-mail：

3  应急处置

3.1  应急行动

3.1.1  现场应急指挥部

（1）收集现场信息，核实现场情况，根据现场的变化制定和调整现场应急处置方案，并组织实施；

（2）整合、调配现场应急资源，统一指挥抢险工作；

（3）在应急处置中，出现异常及时向应急指挥中心办公室汇报、请示并落实指令；

（4）根据现场处置需要，请求应急指挥中心办公室协调组织其他应急资源；

（5）核实应急终止条件并向应急指挥中心办公室请示应急终止；

（6）完成应急指挥中心办公室交办的其他任务。

3.1.2  各专业组

3.1.2.1  生产运行组

（1）跟踪并详细了解计算机信息系统损害事件应急处置情况，及时向现场应急指挥部、应急指挥中心办公室汇报、请示并落实指令；

（2）执行应急指挥中心办公室制订的应急气量调配方案；

（3）保持现场与应急指挥中心办公室的联络；

（4）按照应急处置方案，组织实施SCADA系统、光缆通信系统损害抢险工作。

3.1.2.2  技术支持组

（1）进行事件发生现场数据采集；

（2）通知相关专业化服务队伍赶赴现场进行处置；

（3）结合事件发生现场实际情况，组织技术人员制定或调整相应的应急处置方案；

（4）按照应急处置方案，组织实施除SCADA系统、光缆通信系统外的计算机信息系统损害抢险工作。

（5）负责抢险作业中的质量监督。

（6）为抢险工作提供技术支持；

（7）根据应急指挥中心办公室指令，向相关部门、单位进行求援。

3.1.2.3  综合保障组

（1）调配车辆，立即将现场应急指挥部成员送到现场；

（2）确定或搭建现场指挥部临时办公地点，做好交通保障工作；

（3）安排食品、饮用水、洗涤用品、急救医疗用品等生活物资，满足抢险人员的生活需要；

（4）开展宣传，做好员工和群众情绪稳定工作；

（5）安排专人对现场情况及应急过程进行录音、录像；

3.2  现场抢险措施

3.2.1计算机信息系统损害事件应急处置指导原则

（1）坚持统一指挥、规范操作、反应迅速、处理高效的原则。

（2）当发生恐怖袭击危及到计算机信息系统安全时，应根据当时的实际情况，在保障人身安全的前提下，保障数据的安全和设备安全。

（3）当人为或病毒破坏计算机信息系统安全时，按照计算机信息系统安全事件发生的性质可采取用隔离故障源、暂时关闭故障系统、保留痕迹等措施。

3.2.2  计算机信息系统损害事件应急处置措施

（1）事件认定和评估

l       收集计算机信息安全事件相关信息，识别事件类别，判断破坏的来源与性质，确保证据准确，以便缩短应急响应时间。

l       及时检查威胁造成的结果，评估事件带来的影响和损害。如检查系统、服务、数据的完整性、保密性或可用性；检查攻击者是否侵入了系统；以后是否能再次随意进入；损失的程度；确定暴露出的主要危险等。

（2）控制事态发展

采取各种措施抑制事件的影响进一步扩大，限制潜在的损失与破坏。可能的抑制策略一般包括：

l       关闭服务或关闭所有的系统；

l       从网络上断开相关系统的物理链接；

l       修改防火墙和路由器的过滤规则；

l       封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路；

l       提高系统或网络行为的监控级别；

l       设置陷阱；启用紧急事件下的接管系统；

l       实行特殊“防卫状态”安全警戒；反击攻击者的系统等。

（3）事件消除

l       在事态得到控制之后，跟踪并锁定破坏来源的IP或其它网络用户信息，通过对有关恶意代码或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。

l       联系执法部门和其它相关机构对攻击源进行定位并采取合适的措施将其中断。

（4）系统恢复

l       修复被破坏的信息、清理系统、恢复数据、程序、服务，恢复信息系统；把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。

l       恢复工作应采取相应的安全措施，避免出现操作失误而导致数据丢失。

l       如果攻击者获得了超级用户的访问权，一次完整的恢复应强制性地修改所有的口令。

l       恢复工作中如果涉及到涉密数据，需遵照涉密系统的恢复要求。

l       对不同任务的恢复工作的承担单位，要有不同的担保。

（5）事件追踪

l       密切关注系统恢复以后的安全状况，特别是曾经出问题的地方。

l       建立跟踪文档，规范记录跟踪结果。

l       对响应效果给出评估，按照表11.2的内容填写应急总结并上报上级主管部门备案。

l       对进入司法程序的事件，进行进一步的调查，打击违法犯罪活动。

表11.2  计算机信息系统损害事件处理结果应急报告表

原事件报告时间：    年  月  日  时  分     备案编号：  年  月  日    第    号  总第   号

值班电话：            传真：                  电子信箱E-mail：

4  应急终止

经应急处置后，管理处现场应急指挥部确认下列条件同时满足时可下达应急终止指令：

（1）计算机信息系统攻击行为被彻底清除或隔离；

（2）计算机信息系统恢复正常；

（3）社会影响减到最小。

5  应急保障

5.1  队伍保障

江苏管理处计算机信息系统损害事件需要调用和协调的应急队伍有：

（1）管理处维修队；

（2）各计算机信息系统开发商、中油龙慧、中原通讯公司等相关专业化服务队伍。

5.2  设备保障

管理处计算机信息系统损害事件需要配备的基本应急救援设备有：

（1）交通运输类设备：包括越野车等，用于应急人员、伤员、设备、救援物资的运输。

（2）施工类设备：包括工程抢险车、光纤熔接机、光功率检测仪、光时域反射仪、发电机、笔记本电脑等，用于计算机信息系统的检测、维修施工作业。

（3）记录类设备：包括照相机、摄像机等，用于记录现场情况。

5.3  物资保障

江苏管理处计算机信息系统损害事件需要配备的基本应急救援物资有：

（1）应急抢险类物资：包括计算机系统备件、24芯光缆、16芯光缆、光纤电子标识、光缆接头盒、超五类双绞网线、相关软件安装光盘等，用于损坏计算机维修、损伤光缆接续、病毒查杀、操作系统和软件恢复等。

（2）保障类物资：包括食物、饮用水等，用于现场应急人员后勤生活保障需要。

6  附则

本预案由江苏管理处生产技术部负责解释。