哈尔滨铁路房建集团公司网络与信息安全事件应急预案一、总则 （一）目的为了切实做好哈铁房建集团公司网络突发事件的防范和应急处理工作，进一步提高预防和控制网络突发事件的能力和水平，减轻或消除突发事件的危害和影响，确保哈铁房建集团公司网络与信息安全，结合实际工作，特制定本预案。（二）工作原则1统一领导，协同配合2明确责任，依法规范3条块结合，整合资源4防范为主，加强监控二、组织机构及职责（一）应急指挥机构 网络与信息安全应急领导组组 长：集团公司总经理 集团公司党委书记副组长：集团公司副总经理组 员：综合管理部部长 安全管理部部长 技术设备部部长 网络与信息安全应急办公室由综合管理部、安全管理部、技术设备部组成在集团公司应急领导组的统一领导下，设立集团公司网络与信息安全应急办公室，该应急办公室设在集团公司综合管理部，其主要职责是：1督促各分公司、子公司和直属车间落实应急领导组做出的决定和措施；2拟订或者组织拟订集团公司应对信息安全突发事件的工作规划和应急预案，报区人民政府批准后组织实施； 3督促检查各分公司、子公司和直属车间网络与信息安全专项应急预案的制订、修订和执行情况，并给予指导；4督促检查各分公司、子公司和直属车间的信息安全突发事件监测、预警工作情况，并给予指导； 5汇总有关网络与信息安全突发事件的各种重要信息，进行综合分析，并提出建议； 6监督检查、协调指导各分公司、子公司和直属车间的信息安全突发事件预防、应急准备、应急处置、事后恢复与重建工作；7组织制订网络与信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划；8集团公司网络与信息化工作领导组交办的其他工作。（二）现场应急处理工作组发生安全事件后，集团公司网络与信息安全应急领导组成立现场应急处理工作组，对计算机系统和网络安全事件的处理提供技术支持和指导，按照正确流程，快速响应，提出事件统计分析报告。 三、预警和预防机制（一）信息监测及报告1集团公司综合管理部、技术设备部、安全管理部要加强信息安全监测、分析和预警工作，进一步提高信息安全监察执法能力，加大对计算机犯罪的打击力度。2建立网络与信息安全事故报告制度。发生信息安全突发事件的单位应当在事件发生后，立即对发生的事件进行调查核实、保存相关证据，并在事件被发现或应当被发现时起5小时内将有关材料报至集团公司综合管理部。（二）预警集团公司计算机信息中心接到网络与信息安全突发事件报告后，在经初步核实后，将有关情况及时向集团公司应急领导组报告。在进一步综合情况，研究分析可能造成损害程度的基础上，提出初步行动对策，视情况召集协调会，并根据应急领导组的决策实施行动方案，发布指示和命令。 （三）预警支持系统集团公司计算机信息中心建立和逐步完善信息监测、传递网络和指挥决策支持系统，要保证资源共享、运转正常、指挥有力。 （四）预防机制积极推行信息安全等级保护，逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复，制定完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件，各相关部门建立制度化、程序化的处理流程。四、应急处理程序 （一）预案启动1发生网络信息安全事件后，集团公司启动相应预案，并由集团公司应急领导组负责应急处理工作；发生性质严重信息安全突发事件后，上报路局启动相应预案。2集团公司网络与信息安全应急办公室接到报告后，应当立即上报集团公司应急领导组，并会同相关成员单位尽快组织专家组对突发事件性质、级别及启动预案的时机开展评估，向集团公司应急领导组提出启动预案的建议，由应急领导组批准。3在应急领导组做出启动预案决定后，集团公司网络与信息安全应急办公室立即启动应急处理工作。（三）现场应急处理到事件发生单位和现场后应急处理工作组尽最大可能收集事件相关信息，判别事件类别，确定事件来源，保护证据，以便缩短应急响应时间。检查威胁造成的结果，评估事件带来的影响和损害：如检查系统、服务、数据的完整性、保密性或可用性；检查攻击者是否侵入了系统；以后是否能再次随意进入；损失的程度；确定暴露出的主要危险等。抑制事件的影响进一步扩大，限制潜在的损失与破坏。可能的抑制策略一般包括：关闭服务或关闭所有的系统，从网络上断开相关系统的物理链接，修改防火墙和路由器的过滤规则；封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路；提高系统或网络行为的监控级别；设置陷阱；启用紧急事件下的接管系统；实行特殊“防卫状态”安全警戒；反击攻击者的系统等。在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。与此同时，执法部门和其他相关机构对攻击源进行准确定位并采取合适的措施将其中断。清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到正常的任务状态。恢复工作应十分小心，避免出现操作失误而导致数据丢失。另外，恢复工作中如果涉及到机密数据，需要额外按照机密系统的恢复要求。如果攻击者获得了超级用户的访问权，一次完整的恢复应强制性地修改所有的口令。（四）报告和总结回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中。发生重大信息安全事件的单位应当在事件处理完毕后5个工作日内将处理结果报集团公司信息化工作领导组备案。（五）应急行动结束根据网络与信息安全事件的处置进展情况和现场应急处理工作组意见，集团公司计算机信息中心组织相关部门及专家组对信息安全事件处置情况进行综合评估，并提出应急行动结束建议，报应急领导组批准。应急行动是否结束，由应急领导组决定。五、保障措施 （一）技术支撑保障 集团公司计算机信息中心建立预警与应急处理的技术平台，进一步提高安全事件的发现和分析能力：从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。（二）应急队伍保障加强信息安全人才培养，强化信息安全宣传教育，建设一支高素质、高技术的信息安全核心人才和管理队伍，提高全员信息安全防御意识。大力发展信息安全服务业，增强社会应急支援能力。（三）物资条件保障安排集团公司信息化建设专项资金用于预防或应对信息安全突发事件，提供必要的经费保障，强化信息安全应急处理工作的物资保障条件。（四）技术储备保障 集团公司计算机信息中心组织有关专兼职人员，开展应急运作机制、应急处理技术、预警和控制等研究，组织参加省、市相关培训，推广和普及新的应急技术。六、宣传、培训和演习（一）公众信息交流集团公司计算机信息中心在应急预案修订、演练的前后，应利用各种新闻媒介开展宣传；不定期地利用各种安全活动向社会大众宣传信息安全应急法律、法规和预防、应急的常识。（二）人员培训为确保信息安全应急预案有效运行，集团公司网络与信息安全应急领导组定期或不定期举办不同层次、不同类型的培训班或研讨会，以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。（三）应急演习为提高信息安全突发事件应急响应水平，集团公司网络与信息安全应急领导组办公室定期或不定期组织预案演练；检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习，进一步明确应急响应各岗位责任，对预案中存在的问题和不足及时补充、完善。七、附则 本预案所称网络与信息安全重大突发事件，是指由于自然灾害、设备软硬件故障、内部人为失误或破坏、黑客攻击、无线电频率干扰和计算机病毒破坏等原因，本集团公司网络与信息系统、关系到国计民生的基础性网络及重要信息系统的正常运行受到严重影响，出现业务中断、系统破坏、数据破坏或信息失窃或泄密等现象，以及境内外敌对势力、敌对分子利用信息网络进行有组织的大规模宣传、煽动和渗透活动，或者对国内通信网络或信息设施、重点网站进行大规模的破坏活动，在国家安全、社会稳定或公众利益等方面造成不良影响以及造成一定程度直接或间接经济损失的事件。信息安全事件的主体是指信息安全事件的制造者或造成信息安全事件的最终原因。信息安全事件的客体是指受信息安全事件影响或发生信息安全事件的计算机系统或网络系统。依据计算机系统和网络系统的特点，信息安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。1本预案通过演习、实践检验，以及根据应急力量变更、新技术、新资源的应用和应急事件发展趋势，及时修订和完善；2本预案由集团公司计算机机信息中心负责解释。3本预案日常工作由集团公司计算机信息中心负责。4本预案自发布之日起实施。1