1、 专项应急预案华能集团公司重大网络安全事件应急预案中国华能集团公司编制2006年12月13目 录1 总则11.1 编制目的11.2 编制依据11.3 适用范围11.4 应急预案体系11.5 应急工作原则22 危险性与风险分析22.1 现有系统22.2 关键资产22.3 风险分析23 组织机构及职责33.1 应急组织体系33.2 指挥机构及职责44 预防与预警74.1 安全风险的预防74.2 预警行动85 应急响应95.1 响应程序95.2 应急结束96 信息发布97 后期处置98 保障措施98.1 通信与信息保障98.2 应急队伍保障108.3 应急物资装备保障108.4 经费保障109 培训
2、与演练109.1 培训109.2 演练1010 奖惩1111 附则1211.1 术语和定义1211.2 应急预案备案1211.3 维护和更新1211.4 制定与解释1311.5 应急预案实施13华能集团公司重大网络安全事件应急预案1 总则1.1 编制目的为加强集团公司处理重大网络突发事件的能力,提高应对紧急事件的反应速度和协调水平,确保集团公司迅速有效地处理重大网络安全事件,减轻或消除突发事件的危害和影响,确保集团公司网络与信息安全,制定本预案。1.2 编制依据依据国家突发公共事件总体应急预案、中华人民共和国安全生产法、国务院有关部门和单位制定和修订突发公共事件应急预案框架指南和电力二次系统安
3、全防护规定等有关法规和规章制度制定本预案。1.3 适用范围本预案适用于发生在集团公司通信网络的重大网络安全事件应急响应工作。1.4 应急预案体系应急预案体系包括事件定位、影响分析、控制风险、限制损害事故的后果、尽快恢复业务处理、减少事件影响,降低系统风险等。网络安全应急预案体系是集团公司信息安全防御体系的重要组成部分,应急预案体系通过预防措施和恢复控制相结合的方式,使由意外事故(如自然灾害、事故、设备故障和故意行为)引起的破坏减少至可接受的水平。1.5 应急工作原则在集团公司领导下,网络安全工作坚持统一指挥、分级负责,严密组织、密切协同,快速反应、保障有力的原则。2 危险性与风险分析2.1 现
4、有系统华能集团公司通信网络主要指服务于集团公司管理信息化需求的,以集团公司本部为核心,连接各直属单位、分支机构和产业公司的企业通信网络,以及上述单位与其下属企业之间的通信网络。2.2 关键资产系统中的关键资产包括:l 路由器l 核心交换机l 光缆线路l 机房动力、空调l 应用服务器l 数据库服务器l 备份服务器l 数据库服务器中的数据2.3 风险分析2.3.1病毒入侵风险:资产涉及重点服务器、多数PC及网络设备等,事件将使部分业务受到影响,发生的可能性为中等。2.3.2网络入侵风险:资产涉及重点服务器、网络设备等,事件将使部分网络受阻,部分业务中断,发生的可能性较低。2.3.3网络故障风险:资
5、产涉及交换机和路由器等网络设备,事件将使全部或部分网络瘫痪,全部或部分业务中断,发生的可能性较低。2.3.4服务器系统故障风险:资产涉及重点服务器、磁盘阵列等主机设备,事件将使重点业务应用中断,数据丢失,发生的可能性较低。2.3.5软件系统故障风险:资产涉及应用软件、数据库软件等,事件将使重点业务应用中断,发生的可能性较低。2.3.6线路故障风险:资产涉及核心光缆、基础设施等,事件将使全部或部分网络瘫痪,全部或部分业务中断,发生的可能性较低。3 组织机构及职责3.1 应急组织体系领导协调小组系统恢复小组数据恢复小组分析小组安全保障小组基础设施保障小组安全管理员系统管理员系统管理员数据库管理员事
6、发单位负责人保密管理员基础设施提供商设备供应商备份管理员安全服务商保密产品提供商安全提供商软件开发商技术专家应用提供商3.2 指挥机构及职责3.2.1 领导协调小组由集团公司分管信息化的副总经理、集团公司办公厅和信息服务中心有关负责人共同组成领导协调小组(以下简称“领导协调小组”),负责领导重大网络安全事件的处理工作,具体包括:l 提出运行维护和应急响应的具体要求;l 监督检查应急响应的工作落实情况;l 应急预案的批准;l 应急预案的启动或终止决定;l 应急事件的指挥;l 对应急处置过程重大事项进行协调;l 应急事件信息发布;l 警戒与防护指挥;l 非IT措施(切换到手工方式、法律诉讼等)的指
7、挥;l 对相关人力、物力等应急资源进行调配。3.2.2 分析小组由涉及系统管理单位负责人、安全服务提供商项目技术负责人、应用集成商技术负责人、技术专家共同组成。对应急事件分析与应急预案选择与制定负有直接的技术责任,具体包括:l 应急事件分析;l 应急预案选择;l 临时方案设计;l 应急预案设计;l 技术协调;l 应急预案测试;l 应急预案的复审与维护;l 人员培训;l 应急响应指挥支持工作。3.2.3 数据恢复小组数据恢复小组成员由涉及系统单位数据库管理员、备份管理员共同组成,负责日常数据维护与备份工作,应急事件发生时负责数据恢复工作的实施,具体包括:l 日常数据维护;l 日常备份工作;l 备
8、份介质的管理;l 数据恢复措施有效性验证与测试;l 应急数据恢复工作l 其他相关恢复工作。3.2.3 系统恢复小组系统恢复小组成员由涉及系统单位系统管理员、软件开发商、硬件供应商共同组成,负责日常网络、主机、应用系统故障的排除工作,应急事件发生时负责相关恢复工作的实施,具体包括:l 日常网络、主机、应用系统、PC排错工作;l 应急网络设备故障的恢复工作;l 应急主机故障恢复工作;l 应急应用系统故障恢复工作;l 其他相关恢复工作。3.2.4 基础设施保障小组基础保障小组由涉及系统单位系统管理员、基础设施提供商技术支持人员共同组成,负责基础设施的日常保障工作,应急时负责基础设施的保障与恢复工作,
9、具体职责如下:l 日常动力供应保障;l 日常基础防护设施完好性保障;l 日常外联网络畅通保障;l 应急电力供应保障;l 应急基础防护措施保障;l 应急外联网络畅通。3.2.5 安全保障小组安全保障小组由安全管理员、保密管理员、安全保密产品供应商、安全保密软件开发商共同组成,负责系统的日常安全保密工作,以及应急时安全保密分析调查与故障恢复工作,具体职责如下:l 日常系统安全工作(防病毒、入侵检测、漏洞扫描、系统加固、日志查看、防火墙配置、网闸配置等)l 日常系统保密工作(加密机维护、数字证书管理、访问控制列表管理等)l 应急安全事件调查协助工作(入侵检测、日志分析、审计信息、审批记录等)l 应急
10、安全产品故障恢复工作(防火墙、加密机、网闸等)4 预防与预警4.1 安全风险的预防4.1.1 病毒入侵风险的预防:应加强内部安全管理,全面部署防病毒措施,对重要数据进行备份,对网络进行子网划分,并控制子网间的访问。4.1.2 网络入侵风险的预防:应加强网络入侵检测,及时修补系统漏洞,加强内部安全管理,对重要数据和应用系统进行备份。4.1.3 网络设备故障风险的预防:应对网络交换机、路由器等网络设备的重要部件和系统配置进行备份,同时,加强日常维护检查。4.1.4 服务器系统故障风险的预防:应对重要服务器、磁盘阵列柜等主机设备的关键部件和操作系统、应用软件、数据库系统进行备份,同时,加强日常维护检
11、查。4.1.5 软件系统故障风险的预防:应对重要服务器、磁盘阵列柜等主机设备的关键部件和操作系统、应用软件、数据库系统进行备份,同时,加强日常维护检查。4.1.6 线路故障风险的预防:网络通信线路建设时应充分考虑备用线路的建设。4.2 预警行动一旦确认网络系统遭到破坏、紧急状况发生或即将发生,应立即通知应急恢复人员,评估系统损失和执行应急计划。同时将事故情况上报领导协调小组。在通知启动阶段完成后,恢复人员将执行应急措施,恢复系统功能。4.3 信息报告与处置(1)集团公司建立突发事件“三个渠道”报告制度,发生突发事件的所在单位负责人、秘书系统、安监系统应及时向集团公司领导、办公厅及负责安全监督的
12、部门报告。(2)特别紧急的情况下,各基层单位的值班人员可在向本单位负责人报告的同时,直接报告集团公司。(3)根据国家有关法律、法规规定必须向当地政府主管部门报告的,应当及时向当地政府主管部门报告。(4)发生突发事件的有关单位,应在突发事件发生后8小时内提交简要书面报告,在突发事件处理结束后2日内提交专题书面报告。5 应急响应5.1 响应程序事件发生后,由事发单位对事件进行判断,评估系统损失,上报事件情况,继而选择相应的应急计划。并根据领导协调小组的批示意见,在经过事件的定位后,选择相应的应急响应小组成员,执行应急响应预案。5.2 应急结束预案的终止时间由现场工作小组根据现场的实际进展情况,在与
13、有关单位协调后报领导协调小组决定。6 信息发布集团公司建立突发事件信息发布制度,由集团公司办公厅统一管理对外发布突发事件的信息。7 后期处置事发单位要对重大网络安全事件的起因、性质、影响、责任、经验教训和恢复重建等问题进行调查评估,并向领导协调小组和集团公司有关部门作出报告。必要时,集团公司也将负责或配合国家有关主管部门对重大网络安全事件进行调查评估。8 保障措施8.1 通信与信息保障重大网络事件领导小组办公室电话表:计算机处62291601传真62291329集团公司总值班室电话:62291666、62291877、62291777。8.2 应急队伍保障重视应急人员的建设与保障,确保在安全事
14、件发生前的人员值班,事件处置过程和事后系统重建中的人员在岗与处置能力。8.3 应急物资装备保障重视网络信息技术的建设和升级换代,在安全事件发生前确保网络信息系统的强劲与安全,安全事件处置过程中和事后重建中的相关技术支撑。8.4 经费保障将应急经费纳入年度计划和预算,购买相应的应急设施,确保发生重大网络安全事件时应急经费能够及时到位。9 培训与演练9.1 培训对于应急响应的内容以及涉及到的人员需要进行相关的培训与演练,培训包括以下方面:l 关于应急响应预案的培训l 关于人员相关技能的培训l 通过演练进行协作培训9.2 演练应急预案正式批准之前都必须进行演练。演练是组织应急预案完善的重要工作,包括
15、应急预案演练的计划安排、演练过程和效果的详细记录,演练活动的评估报告和应急预案改进建议等。9.2.1 应急预案演练的计划安排应急预案演练应当事先进行周密的组织和安排。要确定应急预案的演练计划,确定应急程序、资源配置和调用情况,以及是否需要其他相关部门的协助。9.2.2 演练过程和效果的详细记录应急预案的演练过程要进行跟踪,并对演练过程和效果进行真实详细的记录,以确定应急预案的实施过程是否符合经济性、合理性和可操作性。9.2.3 评估报告和改进建议应急预案演练的效果应进行评估,评估报告应对应急预案是否可操作、应急程序是否科学合理、应急资源是否迅速到位做出明确的结论,评估报告必须有明确的责任人。应
16、急预案演练中出现的问题,应及时提出改进意见,如果是涉及应急预案演练能否真正进行的重大问题,应当承认演练没有取得成功,建议改进后重新进行演练。组织应当重视应急预案演练的评估报告,对存在的问题进行改进和调整。10 奖惩在发生重大网络安全事件后,有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的,集团公司将予以通报批评;对造成严重不良后果的,将视情节由有关主管部门追究责任领导和责任人的行政责任;构成犯罪的,由有关部门依法追究其法律责任。11 附则11.1 术语和定义本预案所称重大网络安全事件,是指由于自然灾害、设备软硬件故障、内部人为失误或破坏、黑客攻击和计算机病毒破坏等原因,集团公司重要
17、网络信息系统的正常运行受到严重影响,出现业务中断、系统破坏、数据破坏或信息失窃或泄密等现象,以及境内外敌对势力、敌对分子利用信息网络进行有组织的大规模宣传、煽动和渗透活动,对国家安全、社会稳定、公众利益或集团公司运营等方面造成不良影响以及造成一定程度直接或间接经济损失的事件。11.2 应急预案备案本预案报国家安监总局、国资委和电监会备案。11.3 维护和更新由于环境变化,系统业务经常会发生变更,因此需要对应急预案进行定期的复审与更新。当应急预案中涉及的任何部分发生重大变化,应急预案需要进行相应的复审,应急预案全面复审至少每年进行一次。应急预案复审的基础内容如下:l 运行要求l 安全需求l 技术程序l 硬件、软件和其他设备(类型、规格和数量)l 主要设备供应商和联络方式(备品备件)l 应急响应小组成员名字和联络方式l 替代设备和备份需求l 重要记录(电子、纸质)11.4 制定与解释本应急预案由集团公司制定并负责解释。11.5 应急预案实施本应急预案自印发之日起实施。
