第一篇:电力网络信息系统安全事故应急预案
日照旭日发电有限公司电力网络信息系统安全事故
应急预案 总则 1.1编制目的
高效、有序地处置电力网络信息系统安全突发事件,确保重要信息系统的实体安全、运行安全和数据安全,避免和减轻重大经济损失及政治影响,保障员工生命和企业财产安全,维护社会稳定。1.2编制依据
《中华人民共和国突发事件应对法》
《生产经营单位安全生产事故应急预案编制导则》 《电力企业专项应急预案编制导则》 1.3适用范围
适用于本企业电力网络信息系统安全突发事件的应急处置和应急救援工作。2 应急处置基本原则
遵循“安全第一,预防为主,综合治理”的方针,坚持防御和救援相结合的原则,统一领导、分工负责、加强联动、快速响应,最大限度的减少突发事件造成的损失。3 事故类型和危害程度分析 3.1事故风险的来源、特性
通过危险源辨识和风险评估,在过去的公司生产经营过程中,存在如下安全风险,可能会导致发生电力网络信息系统安全突发事件。3.1.1由于自然灾害引起的网络与信息系统安全事故。3.1.2由于事故灾难引起的网络与信息系统安全事故。3.1.3由于人为破坏引起的网络与信息系统安全事故。3.2事故类型、影响范围及后果
3.2.1自然灾害:指地震、台风、雷电、火灾、洪水等。
3.2.2事故灾难:指电力中断、网络损坏或是软件、硬件设备故障等。
3.2.3人为破坏:指人为破坏网络线路、通讯设施,黑客攻击,病毒攻击,恐怖袭击等。4 事件分级 按照事件性质、严重程度、可控性和影响范围等因素,电力网络信息系统安全突发事件一般分为四级Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)、Ⅳ级(一般),具体情况如下: 4.1Ⅰ级:电力网络信息系统瘫痪和失控造成风电公司或风电场负有责任的电网事故、特大或对风电公司产生严重负面影响的突发事件。
4.2 Ⅱ级:电力网络信息系统瘫痪和失控造成或可能造成全风场对外停电的重大设备事故或对风电公司产生重大负面影响的突发事件。
4.3 Ⅲ级:电力网络信息系统瘫痪和失控造成或可能造成一条集电线路或其中的单台机组被迫停止运行或对公司产生较大负面影响的突发事件。
4.4 Ⅳ级:造成或可能造成电力网络信息系统主要功能故障的突发事件。5 应急指挥机构及职责 5.1应急指挥机构 5.1.1应急指挥领导小组 组长:总经理 副组长:生产副总经理
成员:经理部经理、财经部经理、安生部经理、规划部经理。5.1.2应急处置工作
继保应急组 继保人员
信息应急组 信息中心人员
运行应急组 当值运行人员
后勤保障组 经理工作部人员
通讯保障组 运行信息人员
设备应急组 运行维护人员
安全保卫组 安监部人员、保卫人员 5.2 应急指挥机构的职责 5.2.1应急指挥领导小组职责:
(1)贯彻落实国家及国家电网公司有关安全生产事故应急工作的法律法规和要求。(2)接受国家电网公司和地方政府应急指挥机构的领导,请求和提供应急救援。(3)统一领导电力网络信息系统安全事故的预防和应急处置工作。
(4)组织制定电力网络信息系统安全事故应急预案管理制度等,并定期对其进行评估和修订。(5)发布电力网络信息系统安全事故应急预案的启动命令和终止命令。(6)统一指挥协调电力网络信息系统安全事故应急预案的实施工作。(7)发布电力网络信息系统安全事故的进展与处置情况。5.2.2运行应急组职责
(1)负责在应急指挥组的统一领导下,保证机组的安全运行。(2)值长负责向上级调度汇报事故情况和处理进展情况。(3)组织各应急小组采取有效措施保证机组的安全运行。5.2.3继保应急组职责
负责在“电力网络故障”后组织力量赶赴现场,组织电力网络系统检查分析及应急处理。
5.2.4信息应急组职责
负责信息设备检查分析及应急处理,确保信息设备安全运行。5.2.5后勤保障组职责
负责组织救护车辆,安排事故恢复所必需的生产车辆及提供救援人员食宿等后勤保障工作。
5.2.6通讯保障组职责
提供生产调度通信保障,包括固定电话、移动电话、载波通信、对讲机等,确保生产调度通讯畅通。5.2.7设备应急组职责
(1)按照专业分工尽快到达现场
(2)事故处理期间,要求各岗位尽责尽职,根据情况对设备采取相应保护、隔离措施,对可能产生的不良影响提出事故处理方案。5.2.8安全保卫保障组职责
(1)发生事故后维持现场秩序、现场警戒,划定警戒区域。(2)控制现场人员,无关人员不准出入现场。
(3)负责抢险现场安全隔离措施的检查,并督促相关部门执行到位。(4)组织实施事故恢复所必须采取的临时性措施。
(5)协助完成事故(发生原因、处理经过)调查报告的编写和上报工作。6 预防与预警 6.1风险监测 6.1.1电力网络应用功能监测
安全生产部当值运行人员负责,监测风电机组控制系统SCADA,SVC控制系统、自动控制装置、五防系统、电能量采集装置、继电保护、故障录波等运行是否正常,收集事件的类型、发生时间、发生地点、事件的原因、性质、范围、严重程度、事件已经造成的影响和发展趋势、已采取的控制措施及效果,发现异常立即上报值长。6.1.2通讯监测
安全生产部当值运行人员负责,监视通讯机房内设备运行状况,收集事件的类型,发生时间、发生地点、事件的原因、性质、范围、严重程度、事件已经造成的影响和发展趋势、已采取的控制措施及效果,发现异常立即上报值长。6.1.3信息报告程序
风险监测所获得信息的报告程序:获得的信息人直接报告值长,值长按汇报程序通知本预案相关人员。6.2预警发布与预警行动
预警分为四级预警,具体分类如下:
Ⅰ级预警:发电厂电力网络信息系统异常影响调度中心电力网络正常运行。
Ⅱ级预警:两台及以上风电机组公用电力网络信息系统异常。Ⅲ级预警:单台机组电力网络信息系统异常。Ⅳ级预警:电力网络信息系统单个或多个功能异常。6.2.1预警的发布程序和相关要求
当发生电力网络信息系统异常时,发现人应立即汇报值长,值长启动预警行动,要求记录异常发生的时间、过程和处理经过。6.2.2预警发布后的应对程序和措施
当运行人员发现电力网络信息系统异常时,应联系相关单位询问相关系统运行状况,进行初步分析、判断和处理,必要时向调度申请退出异常的系统功能保证机组的安全运行。
检修人员根据异常情况对可能造成的危害和影响进行分析判断,查明异常原因进行处理。6.3预警结束
6.3.1 Ⅰ级结束预警的条件:设备异常原因明确,调度中心同意异常原因和处理方案,系统已恢复正常运行。
6.3.2 Ⅱ级结束预警的条件:设备异常原因明确,系统已恢复正常运行。异常的风电机组已恢复正常运行。
6.3.3 Ⅲ级结束预警的条件:设备异常原因明确,系统已恢复正常运行。异常的风电机组已恢复正常运行。
6.3.4 Ⅳ级结束预警的条件:设备异常原因明确,系统已恢复正常运行。7 信息报告
7.1发生电力网络安全事故后,立即汇报值长。7.2值长汇报风场场长,并按规定向上级单位汇报。
7.3报告内容主要包括:报告单位、报告人,联系人、联系方式,报告时、地点和现场情况:事件的简要经过、人员伤亡和财产损失情况的初步估计;事件原因的初步分析,事件发生后已经采取的措施、效果及下一步工作方案;其他需要报告的事项。8 应急响应 8.1响应分级
按照电力网络安全事故的严重程度和影响范围,应急响应级别分为四级响应。8.1.1 Ⅰ级响应
由于电力网络信息系统瘫痪和失控造成或可能造成公司负有责任的电网事故、特大或对风电分公司产生严重负面影响的突发事件。8.1.2 Ⅱ级响应
由于电力网络信息系统瘫痪和失控造成或可能造成全风场对外停电的重大设备事故或对风电分公司产生重大负面影响的突发事件。8.1.3 Ⅲ级响应
由于电力网络信息系统瘫痪和失控造成或可能造成整条集电线路所有机组被迫停运或对风电分公司产生较大负面影响的突发事件。8.1.4 Ⅳ级响应
造成或可能造成电力网络信息系统主要功能故障。8.2 响应程序
8.2.1该预案由总经理宣布启动,8.2.2各岗位人员按照本预案处理。
8.2.3各应急小组人员及时进入现场进行应急处理。8.3 应急处置 8.3.1 Ⅰ级应急处置
(1)先期处置:运行应急组向调度中心申请退出与调度中心相关的自动功能系统,确保机组安全。
(2)应急处置:接受调度中心指挥,通讯应急小组向调度中心申请断开与调度中心的联络通道;运行应急小组应终止机组重大操作,确定机组负荷,积极与调度中心沟通升降负荷,保证电网稳定。
(3)扩大应急响应:经应急处置后,事态难以控制或有扩大发展趋势时,应急指挥领导小组研究决定下达扩大应急响应命令。8.3.2 Ⅱ级应急处置
(1)先期处置:运行应急组确保停机机组安全停机,确保机组安全停机。在控制室之间设隔离带。
(2)应急处置:了解事件基本情况,对故障系统进行检查,检查与事件有关的仪表、自动装置、保护、故障录波器、遥测遥信、遥控和计算机等记录和动作情况,分析事件原因,对故障系统进行抢修或可靠隔离。发生全场停电时,启动全场停电应急预案。
(3)扩大应急响应:经应急处置后,事态难以控制或有扩大发展趋势时,应急指挥领导小组研究决定下达扩大应急响应命令。8.3.3 Ⅲ级应急处置
(1)先期处置:运行应急组确保停机机组安全停机,确保机组安全停机。在控制室之间设隔离带。
(2)应急处置:了解事件基本情况,对故障系统进行检查,检查与事件有关的仪表、自动装置、保护、故障录波器、遥测遥信、遥控和计算机等记录和动作情况,分析事件原因,对故障系统进行抢修或可靠隔离。
(3)扩大应急响应:经应急处置后,事态难以控制或有扩大发展趋势时,应急指挥领导小组研究决定下达扩大应急响应命令。8.3.4 Ⅳ级应急处置
(1)先期处置:运行应急组退出故障系统。
(2)应急处置:了解事件基本情况,对故障系统进行检查,分析事件原因,对故障系统进行抢修或可靠隔离。
(3)扩大应急响应:经应急处置后,事态难以控制或有扩大发展趋势时,应急指挥领导小组研究决定下达扩大应急响应命令。8.4 应急结束
当故障消除时,机组运行稳定,事故现场已得到恢复后由总经理宣布本预案结束。9 后期处置 9.1后期处置内容
各单位生产人员在公共系统发生故障后,在人生安全不受危害的情况下要坚守本职岗位,使生产、生活秩序正常运行。9.2事故调查与应急评估
9.2.1按照国家法律法规、法规规定组成事故调查组进行事故调查。事故调查坚持实事求是、尊重科学的原则,客观、公正、准确及时地查清事故原因、发生经过、恢复情况、事故损失、事故责任等,提出防范措施和事故责任处理意见。
9.2.2组织或聘请有关专家对事件应急处置过程进行评估,并形成评估报告。评估内容的报告应包括:事故发生的经过、现场调查结果;事故发生的主要原因分析、责任认定等结论性意见;事故处理结果或初步处理意见;事故的经验教训、存在的问题与困难;改进工作的建议和应对措施等。9.3应急工作总结与评价
设备故障所涉及的相关单位应及时总结应急处置工作的经验和教训,对故障所做的技术分析以及各单位采取的整改措施开展技术交流,进一步完善和改进突发事件的应急处置、应急救援、事故抢修等的保障体系,提高整体应急处置能力。10 应急保障 10.1应急队伍
按照一专多能的要求,建立电力网络信息安全应急救援队伍,由安全生产部负责组建,经理工作部、财务经营部、规划发展部和维护单位相互配合。选择技术水平较高、熟悉现场设备系统、具有相关作业资质、管理协调能力较强、服务能力较强的人员,必要时能够有效调动华北电科院、生产厂家等保障力量,进行技术支援。10.2应急物资与装备
各重要电力网络信息系统的责任专业在建设系统时,应事先预留出一定的应急设备,建立信息网络硬件、软件、应急救援设备等应急物资库。电力网络信息安全突发事件发生后时,有应急指挥领导小组负责统一调用。10.3通信与信息
建立包括公司领导及各部门领导、专业负责人和电网调度等人员在内的通讯录,并保证主管以上岗位人员手机24小时联系畅通。事故情况下直接拨打值长电话,值长按汇报程序,通知本方案组相关人员。10.4 经费
应急处置资金列入本企业年度财政预算。10.5 其他 11 培训和演练
11.1为确保突发事件发生时相关人员能及时、正确应对,应加强员工教育,提高员工对危及事件的认识、分析、判断、处理的能力,力求险情发生后在预案实施过程中各级人员各尽其责,迅速投入到抢险工作中去,从而有效预防和减小影响和损失。
11.2应急领导小组、专业应急小组人员熟悉本预案内容,每年组织相关部门的员工对本预案进行学习。
11.3演练要求:每年组织一次演练,按照应急预案要求,根据实际情况进行模拟,由总指挥布置、安全生产部组织,各相关部门具体实施。
第二篇:网络信息系统应急预案
网络信息系统应急预案
一、总则
(一)目的
为科学应对网络与信息安全(以下简称信息安全)突发事件,建立健全信息安全应急响应机制,有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响,制订本应急预案。
(二)工作原则
1.统一领导,协同配合。全局信息安全突发事件应急工作由省局统一领导和协调,相关部门按照“统一领导、归口负责、综合协调、各司其职”的原则协同配合,具体实施。
2.明确责任,依法规范。各单位各部门按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求,依法对信息安全突发事件进行防范、监测、预警、报告、响应、协调和控制。按照“谁主管、谁负责,谁运营、谁负责”的原则,实行责任分工制和责任追究制。
3.条块结合,整合资源。充分利用现有信息安全应急支援服务设施,整合我局所属信息安全工作力量。充分依靠局各有关部门在地方的信息安全工作力量,进一步完善应急响应服务体系,形成局域信息安全保障工作合力。
4.防范为主,加强监控。宣传普及信息安全防范知识,牢固树立“预防为主、常抓不懈”的意识,经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备,提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测,发现和防范重大信息安全突发性事件,及时采取有效的可控措施,迅速控制事件影响范围,力争将损失降到最低程度。
二、预警和预防机制
(一)预警
省保障中心接到信息安全突发事件报告后,在经初步核实后,将有关情况及时向上级主管部门报告。在进一步综合情况,研究分析可能造成损害程度的基础上,提出初步行动对策,视情况召集协调会,并根据应急委的决策实施行动方案,发布指示和命令。
(二)预防机制
积极推行信息安全等级保护,逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件,各相关部门建立制度化、程序化的处理流程。
三、应急处理程序
(一)级别的确定
根据《信息系统安全等级保护定级报告》确定信息安全事件等级。
(二)预案启动
根据网络信息安全事件等级的不同,相关部门启动相应预案,并负责应急处理工作。
(三)现场应急处理
事件发生单位和现场应急处理工作组尽最大可能收集事件相关信息,判别事件类别,确定事件来源,保护证据,以便缩短应急响应时间。
检查威胁造成的结果,评估事件带来的影响和损害:如检查系统、服务、数据的完整性、保密性或可用性;检查攻击者是否侵入了系统;以后是否能再次随意进入;损失的程度;确定暴露出的主要危险等。
抑制事件的影响进一步扩大,限制潜在的损失与破坏。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统的物理链接,修改防火墙和路由器的过滤规则;封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路;提高系统或网络行为的监控级别;设置陷阱;启用紧急事件下的接管系统;实行特殊“防卫状态”安全警戒;反击攻击者的系统等。
在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。与此同时,执法部门和其他相关机构对攻击源进行准确定位并采取合适的措施将其中断。
清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到正常的任务状态。恢复工作应十分小心,避免出现操作失误而导致数据丢失。另外,恢复工作中如果涉及机密数据,需要额外按照机密系统的恢复要求。如果攻击者获得了超级用户的访问权,一次完整的恢复应强制性地修改所有的口令。
(四)报告和总结
回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。发生重大信息安全事件的单位应当在事件处理完毕后将处理结果报上级主管部门备案。
(五)应急行动结束
根据信息安全事件的处置进展情况和现场应急处理工作组意见,省局组织相关部门及专家组对信息安全事件处置情况进行综合评估,并提出应急行动结束建议,报相关部门审批。应急行动是否结束,相关主管部门决定。
四、保障措施
(一)技术支撑保障
省局建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力:从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。
(二)应急队伍保障
加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息安全核心人才和管理队伍,提高全社会信息安全防御意识。大力发展信息安全服务业,增强社会应急支援能力。
(三)物资条件保障
安排信息化建设专项资金用于预防或应对信息安全突发事件,提供必要的经费保障,强化信息安全应急处理工作的物资保障条件。
(四)技术储备保障
省局组织有关专家和科研力量,开展应急运作机制、应急处理技术、预警和控制等研究,组织参加相关培训,推广和普及新的应急技术。
五、宣传、培训和演习
(一)公众信息交流
省局在应急预案修订、演练的前后,应利用各种新闻媒介开展宣传;不定期地利用各种安全活动向社会大众宣传信息安全应急法律、法规和预防、应急的常识。
(二)人员培训
为确保信息安全应急预案有效运行,定期或不定期举办不同层次、不同类型的培训班或研讨会,以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。
(三)应急演习
为提高信息安全突发事件应急响应水平,定期或不定期组织预案演练;检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充、完善。计算机系统或网络系统。依据计算机系统和网络系统的特点,信息安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。
第三篇:网络信息系统应急预案
网络信息系统应急预案
一、总则
(一)制定目的为科学应对网络与信息安全(以下简称信息安全)突发事件,建立健全信息安全应急响应机制,有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响,制订本应急预案。
(二)工作原则
1.统一领导,协同配合。支队信息安全突发事件应急工作由安全管理小组负责人统一领导和协调,相关部门按照“统一领导、综合协调、分级管理、各司其职”的原则协同配合,具体实施。
2.明确责任,依法规范。各单位各部门按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求,依法对信息安全突发事件进行防范、监测、预警、报告、响应、协调和控制。按照“谁主管、谁负责,谁使用、谁负责”的原则,实行责任分工制和责任追究制。
3.条块结合,整合资源。充分利用现有信息安全应急支援服务设施,整合信息安全工作力量。充分依靠各有关部门在地方的信息安全工作力量,进一步完善应急响应服务体系,形成局域信息安全保障工作合力。
4.防范为主,加强监控。宣传普及信息安全防范知识,牢固树立“预防为主、常抓不懈”的意识,经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备,提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测,发现和防范重大信息安全突发性事件,及时采取有效的可控措施,迅速控制事件影响范围,力争将损失降到最低程度。
二、预警和预防机制
(一)预警
在信息安全突发事件发生后,应及时将有关情况向上级主管部门报告。在进一步综合情况,研究分析可能造成损害程度的基础上,提出初步行动对策,视情况召集协调会,并根据所研究出的决策实施行动方案,发布指示和命令。
(二)预防机制
积极推行信息安全等级保护,逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件,各相关部门建立制度化、程序化的处理流程。
三、应急处理程序
(一)按照国家有关规定保护现场、相应的日志文件及可以保护的重要数据,通知有关单位并及时初步上报有关部门所发生的情况。
(二)联系上级单位应急小组,协调是否采取网络隔离措施,同时获得必要的技术支持。
(三)对所发生的安全事件进行分析,通过行政和技术手段排出存在的隐患;
(四)对系统进行恢复和加固处理,及时恢复网络通讯和信息服务。
(五)密切监测本单位网络及信息系统情况,确保运行状态稳定。
(六)将安全事件处理结果上报有关部门。
四、保障措施
(一)技术支撑保障
建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力:从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。
(二)应急队伍保障
加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息安全核心人才和管理队伍。
(三)物资条件保障
安排信息化建设专项资金用于预防或应对信息安全突发事件,提供必要的经费保障,强化信息安全应急处理工作的物资保障条件。
(四)技术储备保障
组织有关专家和科研力量,开展应急运作机制、应急处理技术、预警和控制等研究,组织参加相关培训,推广和普及新的应急技术。
第四篇:网络安全事故应急预案
网络与信息安全应急预案
为保证我局信息系统安全,加强和完善网络与信息安全应急管理措施,层层落实责任,有效预防、及时控制和最大限度地消除信息安全突发事件的危害和影响,确保信息系统和网络的通畅运行,结合实际,特制定本应急预案。
1.工作原则
统一领导,分级负责,以人为本,预防为主,加强管理,依靠科技,资源整合,快速反应,协同合作。
2.预警防御机制
(一)事件分类及等级
根据网络与信息安全突发事件的性质,机理和发生过程,公司网络与信 息安全事件分为有害程序事件,网络攻击事件,信息破坏事件,信息内容安全事件,设备设施故障和灾害性事件。
根据网络与信息安全突发事件的可控性,严重程度和影响范围,分为四级:一级(特别重大网络与安全事件),二级(重大网络与信息安全事件),三级(较大网络与信息安全事件),四级(一般网络与信息安全事件)。
(二)监控与预警信息报送
学校信息中心承担网络与信息安全检测工作。发现网络与信息安全预警信息,应及时上报并协同上级有关部门进行处判,提出预警等级建议,遇到可能造成严重后果的一至三级信息安全预警事件,应按照相关规定提报领导审查后发出预警。
(三)预警响应 信息安全部门应保持24小时通信畅通,接到预警信息后,应立即启 动应急预案,进入预警状态,做好应急处理各项准备工作。
(四)预警解除
一至三级预警解除后根据要求,经向领导请示同意后,及时进行解除安全事件预警。
3.应急措施
(一)信息报告
发生网络与信息安全事件后,信息安全部门应立即通知其他各部门负责人,并进行研判后,保存证据,检查影响范围和危害程度,提出应急处理建议,报领导同意后,启动应急预案。
(二)先期处理
当发生网络与信息安全突发事件时,相关工作人员做好前期应急处理工作,采取措施控制事态,必要时采取断网,关闭服务器等方式防止事态进一步扩大。
(三)应急处理 1.网络中断紧急处理流程
(1)故障排除。网络中断后,相关技术人员要迅速判断故障节点,查 明故障原因。
(2)故障排除
如属于新路故障,应重新安装线路。
如属于路由器,交换机等网络设备故障,应立即检修并调试畅通。如路由器交换机配置文件破坏,信息安全部门应迅速按照要求重新配置。
第五篇:网络安全事故应急预案
网络安全事故应急预案
一、总则
(一)编制目的
提高处置突发事件的能力,促进互联网应急通信、指挥、调度、处理工作迅速、高效、有序地进行,满足突发情况下互联网通信保障应急和通信恢复工作的需要,维护企业利益,为保障生产的顺利进行创造安全稳定可靠的网络环境。
(二)编制依据
《中华人民共和国电信条例》、《国家通信保障应急预案》、《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《非经营型互联网信息服务备案管理办法》、《互联网IP地址资源备案管理办法》和《中国互联网域名管理办法》等有关法规和规章制度。
(三)适用范围
本预案是《秦皇岛港务集团有限公司总体应急预案》的专项预案,适用于在秦皇岛港务集团有限公司发生的本预案定义的I级、II级、III级、IV级网络与信息安全突发事件和可能导致I级、II级、III级、IV级网络与信息安全突发事件的应对处置工作。
(四)工作原则
在集团公司领导的领导下,互联网通信保障和通信恢复工作坚持统一指挥、分级负责,严密组织、密切协同、快速反应,平战结合、保障有力的原则。
二、组织指挥体系及职责
设立信息网络安全事故应急指挥小组,负责信息网络安全事故的组织指挥和应急处置工作。总指挥由技术中心主要领导担任,副总指挥由分管领导担任,指挥部成员由技术中心运行科、综合科、开发科部门相关人员组成。
三、预测、预警机制及先期处置
(一)危险源分析及预警级别划分 1.1 危险源分析
根据网络与信息安全突发公共事件的发生过程、性质和机理,网络与信息安全突发公共事件主要分为以下三类:
(1)自然灾害。指地震、台风、雷电、火灾、洪水等引起的网络与信息系统的损坏。
(2)事故灾难。指电力中断、网络损坏或是软件、硬件设备故障等引起的网络与信息系统的损坏。
(3)人为破坏。指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息系统的损坏。2.2 预警级别划分
1、预警级别划分
根据预测分析结果,预警划分为四个等级:Ⅰ级(特别严重)、Ⅱ级(严重)、Ⅲ级(较重)、Ⅳ级(一般)。
Ⅰ级(特别严重):因特别重大突发公共事件引发的,有可能造成整个集团公司互联网通信故障或大面积骨干网中断、通信枢纽设备遭到破坏或意外损坏等情况,及需要通信保障应急准备的重大情况;通信网络故障可能升级为造成整个集团公司互联网通信故障或大面积骨干网中断的情况。计算机房发现火情或其他重大自然灾害或存在重大自然灾害隐患的。
Ⅱ级(严重):因重大突发公共事件引发的,有可能造成集团公司多个下属分公司网络通信中断或某个重要业务系统瘫痪,及需要通信保障应急准备的情况;通信网络故障可能升级为造成集团公司多个下属分公司网络通信中断或某个重要业务系统瘫痪的情况。
Ⅲ级(较重):因较大突发公共事件引发的,有可能造成集团公司某个下属子公司所属网络通信故障的情况;通信网络故障可能升级为造成集团公司某个下属子公司所属网络通信故障的情况。
Ⅳ级(一般):因一般突发公共事件引发的,有可能造成局域网内某个交换点所属局部网通信故障(不影响正常一般通信)的情况。
(二)预防机制
信息网络安全事故应急指挥小组应加强对各级通信保障机构及全网通信网络安全防护工作和应急处置工作的监督检查,保障通信网络的安全畅通。
(三)预警监测
各重要信息系统重要负责人和主管科室要进一步完善网络与信息安全突发公共事件监测、预测、预警制度。要落实责任,制定本单位信息通报工作制度。按照“早发现、早报告、早处置”的原则,加强对各类网络与信息安全突发公共事件和可能引发网络与信息安全突发公共事件的有关信息的收集、分析判断和持续监测。
(四)先期处置 当发生网络与信息安全突发公共事件时,发现事故的人员在按规定向相关系统管理员报告的同时,及时向信息网络安全事故应急指挥小组相关领导报告。负责人员在接手事故报告后要向信息网络安全事故应急指挥小组进行应急工作进程报告和事故分析报告。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
四、应急响应
(一)应急处置分级和应急处置程序
突发事件发生时应急通信保障工作和通信恢复工作,按照快速、机动、灵活的原则,根据响应的预警级别分别进行处置。
Ⅰ级:突发事件造成全集团公司通信故障或大面积骨干网中断、通信枢纽设备遭到破坏等情况,及接到集团公司下达的通信保障任务,由信息网络安全事故应急指挥小组负责组织和协调。负责人员要迅速准确的定位故障源,如果是核心设备故障要及时切换到备用核心设备上并测试调通;如果是骨干网物理链路故障要第一时间通知相关部门(通信公司)进行抢修并切换到备用线路上测试调通。面对黑客攻击或恶意破坏等人为造成的网络故障,要及时通知公安机关,同时采取紧急行动如切断数据源等将损失控制在最小范围。对于发现的重大自然灾害隐患,要及时汇报信息网络安全事故应急指挥小组并迅速通知消防局等相关部门,准备好临时处理灾情需要用到的工具。火灾属于常见灾情,发现火情后按如下步骤处置:
(1)发现火情要立即切断电源,值班员及时应用消防器材进行处理。
(2)立即上报领导做好事故处理记录。
(3)如切断电源并使用机房消防器灭火都不能控制火情,要及时报警(报警电话:119),报警时要准确说清火灾的地点和火灾状况,并留下联系电话。
(4)出现危急情况要利用各种手段及时逃生。
Ⅱ级:突发事件造成本集团公司多个下属分公司网络通信中断或接到集团公司有关部门下达的通信保障任务时,由信息网络安全事故应急指挥小组负责组织和协调。负责人员要迅速准确的定位故障源,如果是关键部位网络设备故障要及时切换到备用设备上并测试调通;如果是骨干网物理链路故障要第一时间通知相关部门(通信公司)进行抢修并切换到备用线路上测试调通。如果是业务系统发生故障按如下办法处置:
一、OA系统服务器:
1、当OA系统出现以下情况时,值班员负责重启OA服务器
(1)、双击IE,不弹出“输入网络密码”对话框,下方状态栏一直显示正在“查找站点:192.1.1.168”时。
(2)、双击IE进入OA时,报“该页无法显示” 时。(3)、其他类似非正常情况。
2、重启OA服务器后系统仍然不能正常运行,则立即通知系统管理员处理,并及时做好故障现象及处理过程记录。
3、当系统管理员经过一小时处理仍未排除故障时,应通知科长协调处理。
二、趋势防病毒服务器:
1、当趋势防病毒服务器出现以下情况时,值班员应负责重启趋势防病毒服务器
(1)、双击IE安装页面,出现“该页无法显示” 时。(2)、大量用户申告客户端无法连接服务器。
2、重启服务器后系统仍然不能正常应用,则立即通知系统管理员,并及时做好故障现象及处理过程记录。
3、当系统管理员经过一小时处理仍未排除故障时,应通知科长协调处理。
三、Landesk服务器:
1、Landesk无法正常安装客户端及其他非正常情况时,值班员应负责重启Landesk服务器。
2、重启服务器后系统仍然不能正常应用,则立即通知系统管理员,并及时做好故障现象及处理过程记录。
3、当系统管理员经过一小时处理仍未排除故障时,应通知科长协调处理。
四、调度系统
1、当调度系统出现以下情况时,值班员应按下列要求进行操作:(1)、调度系统登录页面不能打开或打开速度慢:在机房测试登录 页面是否能够正常打开,若可以,服务器没有故障,判断是用户操作问题还是网络问题,若是网络问题,通知网络管理员;若不可以打开或速度非常慢,通知调度系统管理员,接到管理员通知后,重启应用服务器。(2)、调度系统登录失败:使用测试帐号登录,若成功,服务器没 有问题,通知用户找业务部相关人员咨询用户名和帐号;若无法登录,通知数据库服务器管理员。
(3)、调度系统中某个功能无法执行:通知调度系统管理员,接到 管理员通知后,重启应用服务器。
2、在重启应用服务器过程中出现问题,或是重启后问没有解决,通知应用服务器管理员处理,同时做好故障现象及处理过程记录。
3、当应用服务器管理员经过一小时处理仍未排除故障时,应通知科长协调处理。
五、煤炭系统
1、当煤炭系统出现以下情况时,值班员应按下列要求进行操作:
(1)、煤炭系统登录页面不能打开或打开速度慢:在机房测试登录页
面是否能够正常打开,若可以,服务器没有故障,判断是用户操作问题还是网络问题,若是网络问题,通知网络管理员;若不可以打开或速度非常慢,通知煤炭系统管理员,接到管理员通知后,重启应用服务器。
(2)、煤炭系统登录失败:使用测试帐号登录,若成功,服务器没有问题,通知用户找业务部相关人员咨询用户名和帐号;若无法登录,通知数据库服务器管理员。
(3)、煤炭系统中某个功能无法执行:通知煤炭系统管理员,接到管理员通知后,重启应用服务器。
2、在重启应用服务器过程中出现问题,或是重启后问题没有解决,通知应用服务器管理员处理,同时做好故障现象及处理过程记录。
3、当系统管理员经过一小时处理仍未排除故障时,应通知科长协调处理。
六、杂货系统
1、当杂货煤系统出现以下情况时,值班员应进行以下操作:(1)、杂货系统登录页面不能打开或打开速度慢:在机房测试登录页面是否能够正常打开,若可以,服务器没有故障,判断是用户操作问题还是网络问题,若是网络问题,通知网络管理员;若不可以打开或速度非常慢,通知杂货系统管理员,接到管理员通知后,重启应用服务器。
(2)、杂货系统登录失败:使用测试帐号登录,若成功,服务器没有问题,通知用户找业务部相关人员咨询用户名和帐号;若无法登录,通知数据库服务器管理员。
(3)、杂货系统中某个功能无法执行:通知杂货系统管理员,接到管理员通知后,重启应用服务器。
2、在重启应用服务器过程中出现问题,或是重启后问题没有解决,通知应用服务器管理员处理,同时做好故障现象及处理过程记录。
3、当系统管理员经过一小时处理仍未排除故障时,应通知科长协调处理。
六、海图系统
1、海图系统首页无法打开,不能正常显示海图时,值班员应重启应用服务器p650app2(192.1.1.206)。
2、在重启应用服务器过程中出现问题,或是重启后问题没有解决,通知服务器管理员处理,同时做好故障现象及处理过程记录。
3、当系统管理员经过一小时处理仍未排除故障时,应通知科长协调处理。
七、劳资系统
1、值班员如果接到用户申告劳资系统不能使用时,应进行以下操作:
(1)、值班人员ping 192.68.2.1,如果不通,通知管理员解决;如果能ping 通则转2。
(2)、让申告用户ping 192.168.2.1,如果不通,则说明其本单位网络不通,让其查看本单位网络是否有故障。如果能ping通则通知管理员来解决。(3)、其他异常现象。
2、当系统管理员经过一小时处理仍未排除故障时,应通知科长,科长上报技术中心领导。
Ⅲ级:突发事件造成集团公司某个下属子公司所属网络通信故障时,由相关负责人进行恢复故障处理,如有需要可要求该分公司相关负责人进行配合,同时及时报告工作进程给信息网络安全事故应急指挥小组。
Ⅳ级:突发事件造成局域网内某个交换点所属局部网通信故障(不影响正常一般通信)时,由相关负责人进行恢复故障处理并做好故障处理记录。
(二)应急保障任务结束
事故现场得以控制,网络环境符合有关标准,导致次生、衍生事故隐患消除后可确认网络通信保障和通信恢复应急工作任务完成。由信息网络安全事故应急指挥小组下达解除任务通知书,现场应急指挥机构收到通知书后,任务正式结束。
(三)调查、处理、后果评估与监督检查
信息网络安全事故应急指挥小组负责对重大通信事故原因进行调查、分析和处理,对事故后果进行评估,并对事故责任处理情况进行监督检查。
(四)信息发布
信息网络安全事故应急指挥小组负责有关信息的发布工作。
(五)通讯
在突发事件的应急响应过程中,要确保应急处置系统内部机构之间的通信畅通。通信联络方式主要采用固定电话、小灵通、移动电话、卫星电话、传真等。
五、后期处置
(一)情况汇报和经验总结
在突发事件应急响应过程中,信息网络安全事故应急指挥小组应做好突发事件中网络设施损失情况的统计、汇总、原因分析、应急处置情况总结等,并按程序上报。如有需要维护修理的设备要及时处理。
(二)奖惩评定及表彰
为提高通信保障应急工作的效率和积极性,对于在应对突发事件过程中表现突出的单位和个人应给予通报表扬;对保障不力,给企业造成损失的单位和个人按有关规定进行处理。
六、保障措施
(一)物资保障
信息网络安全事故应急指挥小组应建立必要的通信保障应急资源的保障机制,根据通信保障应急工作要求,配备必要的通信保障应急装备,加强对应急资源及装备的管理、维护和保养,以备随时紧急调用。
(二)人员保障
通信保障应急队伍主要由技术中心各科室相关人员组成。信息网络安全事故应急指挥小组人员要不断提高自身专业水平并听从组长的指挥。
(三)宣传、培训和演习
信息网络安全事故应急指挥小组应加强对通信网络安全和通信保障应急的宣传教育工作,定期或不定期地对信息网络安全事故应急指挥小组主要技术人员进行技术培训和应急演练,保障应急预案的有效实施,不断提高通信保障应急的能力。
(五)通信保障应急工作监督检查制度
信息网络安全事故应急指挥小组应加强对通信保障应急工作的监督和检查,做到居安思危、常备不懈。
(六)需要其它部门保障的工作
1、交通保障
突发事件发生时,为了保证相关人员及时到达事发现场,由技术中心派车接送。
2、电力保障 突发事件发生时,为了保证通信网络设备的正常运行供电需求,由信息网络安全事故应急指挥小组与相应电力部门进行联系,取得支持。具体停电应急方案如下:
停电后,值班员应及时与电力公司调度3093645联系问明停电时间,如在1小时内能恢复供电或在1小时内已由柴油发电机供电,可只在值班日志中记录不做任何处理。
当停电时间超过1小时,值班员必须做设备下电操作。(1).下电操作: 1. 2. 3. 4. 5. 6. 关闭空调及新风机电源 所有PC服务器下电 IBM小型机下电 HP ALPHA小型机下电 网络设备下电 UPS下电
(2).来电操作
1. UPS上电启动 2. 网络设备上电启动 3. HP ALPHA小型机上电启动 7. IBM小型机上电启动
4. 所有PC服务器上电启动 5. 空调及新风机电源上电启动
(3).停电、来电时间由值班员在值班日志中记录。
3、经费保障
由信息网络安全事故应急指挥小组根据通信应急保障需要,提出项目支出预算申请,报集团公司批准后执行。