1、銀行通信網絡系統應急預案1事故類型和危害程度分析1.1 編制目的為有效預防、及時控制和最大限度地減少本銀行由于電力供應、通信線路以及計算機系統各類突發事件的危害和影響， 確保通信網絡 系統的安全、穩定運行和業務的連續性，維護正常的經濟、生產秩序。1.2 編制依據1.2.1 中華人民共和國計算機信息系統安全保護條例。1.2.2 國家突發公共事件總體應急預案。1.2.3 中國人民銀行突發事件應急預案管理辦法1.2.4 中華人民共和國中國人民銀行法1.3 適用范圍本預案適用于本銀行III、IV級應急處理工作和具體響應，I、 II級應急處理工作。1.4 危險源與危害程度分析1.4.1 由于網絡設備或者

2、計算機損壞，造成通信系統無法連接或 軟件系統運行中斷。1.4.2 由于外部通信線路被毀造成銀行系統使用中斷。1.4.3 由于電力系統故障造成無法正常通信或系統無法正常使 用。1.4.4 由于病毒破壞，造成行內網絡癱瘓或軟件數據丟失。1.4.5 由于黑客入侵，造成行內重要信息泄露及通信網絡癱瘓。2應急處置基本原則2.1 統一領導，協同作戰。通信網絡系統突發事件應急工作由應急指揮部統一領導和協調，督促信息中心遵照“統一領導、歸口負責、逐級上報、各司其職的原 則協同配合、具體實施，完善應急工作體系和機制。2.2 明確責任，依法規范。各分行和支行，按照“屬地管理、分級響應、及時發現、及時報 告、及時救

3、治、及時控制”的要求，依法對通信網絡系統突發事件進 行防范、監測、預警、報告、響應、指揮和協調、控制。按照“誰主 管、誰負責，誰運行、誰負責”的原則，實行責任制和責任追究制。2.3 防范為主，加強監控。宣傳普及通信網絡系統防范知識， 貫徹預防為主的思想，樹立常 備不懈的觀念，經常性地做好應對突發事件的思想準備、預案準備、 機制準備和工作準備，提高公共防范意識以及基礎網絡和重要軟件系 統的信息安全綜合保障水平。加強對信息安全隱患的日常監測， 發現 和防范重大通信網絡突發性事件， 及時采取有效的可控措施，迅速控 制事件影響范圍，力爭將損失降到最低程度。3組織機構及職責通信網絡系統應急救援組織機構分

4、為一、二級編制，總行和各分 行設置為應急預案實施的一級應急組織機構， 各支行設置為應急計劃 實施的二級應急組織機構。總行通信網絡系統應急救援領導小組組長由總行長擔任，副組長為分管通信安全的副行長擔任，組員由各部門中層組成。領導小組的 日常辦事機構為總行。主要負責協調出現通信網絡系統故障后的總體 協調指揮工作，并做好善后處理工作。各支行應急救援領導小組組長由各支行長擔任， 不設副組長，組 員由各支行所有成員組成。主要負責通信網絡系統發生故障后的及時 處置及上報工作。4預防與預警4.1 危險源監控定期定時地檢測銀行內部通信線路是否順暢，并利用現有的防火墻、殺毒軟件等技術，加強各通信網絡系統的監測和

5、預警工作，進一 步提高信息分析能力，加大對網絡入侵、病毒破壞、數據庫損壞等事 件的防范力度，建立信息安全事故報告制度。4.2 預警行動二級應急組織機構在接到通信網絡系統突發事件報告后，應當經初步核實后，將有關情況及時向一級應急組織機構報告，并進一步進行情況綜合，研究分析可能造成損害的程度，提出初步行動對策。一 級應急組織機構視情況召集協調會，決策行動方案，發布指示和命令。4.3 信息報告程序4.3.1 發生通信網絡系統突發事件的分行或者支行， 應當立即對 發生的事件進行調查核實、保存相關證據，并在事件被發現或應當被 發現時起2小時內將有關材料報至一級應急指揮部。4.3.2 報送方式通過電話聯系

6、及電子郵件的方式，在整個突發事 件處理過程中，事發單位應及時保持與總行一級應急組織機構的聯 系。4.3.3 報送的有關材料應包括事件發生的時間、地點、已經造成的危害、事件發生前的操作等。4.3.4 如遇二級應急組織機構無法及時處理的事件，應立即上報 一級應急組織機構。5應急處置5.1 響應分級5.1.1 銀行通信網絡系統安全事件分級的參考要素包括信息密 級、公眾影響、業務影響和資產損失等四項。各參考要素分別說明如下：5.1.1.1 信息密級是衡量因信息失竊或泄密所造成的通信網絡 安全事件中所涉及信息的重要程度的要素；5.1.1.2 公眾影響是衡量通信網絡安全事件所造成的負面影響 范圍和程度的要

7、素；5.1.1.3 業務影響是衡量通信網絡安全事件對事發單位正常業 務開展所造成的負面影響程度的要素；5.1.1.4 資產損失是衡量恢復系統正常運行和消除通信網絡安 全事件負面影響所需付出資金代價的要素。5.1.2 通信網絡系統突發事件級別分為四級：一般 （IV級）、較 大（III級）、重大（II級）和特別重大（I級），對應顏色依次為藍色、 黃色、橙色和紅色。5.1.2.1 IV 級：支行局部范圍或個人出現并可能造成損害的通 信網絡系統安全事件。5.1.2.2 m級：直屬分行的網絡系統、軟件系統、電力系統和通 信設施受到嚴重破壞或損壞，對分行及下屬支行業務造成無法正常運 營的通信網絡系統安全事

8、件。5.1.2.3 II 級：總行重要信息系統、數據系統，軟件系統癱瘓 導致業務中斷，縱向或橫向延伸可能造成嚴重影響或較大經濟損失的 通信網絡系統安全事件。5.1.2.4 I級：黑客利用網絡信息進行有組織的大規模的入侵破 壞活動，或者多個分行，多個支行的基礎網絡、重要信息系統、多個 軟件系統癱瘓，導致業務中斷，造成或可能造成巨大經濟損失的通信 網絡安全事件。5.2 響應程序5.2.1 發生IV級通信網絡系統安全事件后，支行應啟動相應預 案，并進行應急處理工作；發生I、II、田級的信息安全突發事件后， 上報一級應急指揮機構，并由其統一部署處理工作。5.2.2 一級應急組織機構接到報告后，應當立即

9、會同相關成員或 部門盡快組織技術人員對突發事件性質、 級別及啟動預案的時機進行 評估。5.2.3 在決定啟動預案后，一級應急組織機構應立即啟動應急處 理工作。5.2.4 事件發生現場應急處理工作機構盡最大可能收集事件相 關信息，事件類別，確定事件來源，保護證據，以便縮短應急響應時 間。5.2.5 檢查突發事件造成的結果，評估事件帶來的影響和損害： 如檢查系統、服務、數據庫的完整性、保密性或可用性，檢查是否有 人侵入了系統，確定暴露出的主要危險等。5.2.6 抑制事件的影響進一步擴大，限制潛在的損失與破壞。可 能的抑制策略一般包括：關閉服務或關閉所有的系統，從網絡上斷開 相關系統，修改防火墻和路

10、由器的過濾規則，封鎖或刪除被攻破的登 錄賬號，阻斷可疑用戶進入網絡的通路，提高系統或網絡行為的監控 級別，設置陷阱，啟用緊急事件下的接管系統，實行特殊“防衛狀態” 安全警戒，反擊攻擊者的系統等。5.2.7 根除。在事件被抑制之后，通過對有關惡意代碼或行為的 分析結果，找出事件根源，明確相應的補救措施并徹底清除。5.2.8 清理系統，恢復數據、程序、服務。把所有被攻破的系統 和網絡設備徹底還原到它們正常的任務狀態。恢復工作應該十分小 心，避免出現誤操作導致數據的丟失。如果攻擊者獲得了超級用戶的 訪問權，一次完整的恢復應該強制性地修改所有的口令。5.3 處置措施5.3.1 行內網站、網頁出現非法言

11、論事件緊急處置措施5.3.1.1 網站、網頁由主辦部門的值班人員負責隨時密切監視信 息內容5.3.1.2 發現在網上出現非法信息時，值班人員應立即向一級應 急組織機構匯報。5.3.1.3 一級應急組織機構成員追查非法信息來源，并將有關情況向總行領導匯報，對非法信息采取屏蔽、刪除等處置措施。5.3.2 黑客攻擊事件緊急處置措施5.3.2.1 當有關人員發現網頁內容被篡改，或通過入侵檢測系統 發現有黑客正在進行攻擊銀行系統時，應立即向應急組織機構匯報5.3.2.2 應急指揮中心應在接到通知后首先將被攻擊的服務器等設備從網絡中隔離出來，保護現場，并根據實際情況向領導匯報。5.3.2.3 對現場進行分

12、析，寫出分析報告存檔，必要時上報。5.3.2.4 如系統已經遭受破壞，應急組織機構成員應立即恢復或 重建被攻擊或破壞系統，無法立即恢復的，應啟用應急設備。5.3.3 大規模病毒事件緊急處置措施5.3.3.1 當發現有部分網絡計算機被感染上病毒后，應立即向應急組織機構報告。5.3.3.2 應急組織機構人員在接到通報后立即趕到現場。5.3.3.3 對此類設備的硬盤重要數據進行備份。5.3.3.4 啟用反病毒軟件對此類計算機進行殺毒處理，同時通過病毒檢測軟件對其他機器進行病毒掃描和清除工作。5.3.3.5 如果現行反病毒軟件無法清除該病毒，應通過其他途徑 解決。5.3.3.6 如果情況特別嚴重，立即

13、將感染病毒的機器隔離。5.3.4 銀行業務系統遭破壞性攻擊的緊急處置措施5.3.4.1 業務系統平時必須存有備份，與業務系統相對應的數據必須按容災備份規定的間隔按時進行備份，并將它們保存于安全處。5.3.4.2 使用單位一旦發現業務系統出現異常或遭到破壞性攻 擊，應立即向應急組織機構報告。5.3.4.3 應急組織機構成員檢查業務系統的日志等資料，確定異常來源，并將有關情況向領導匯報。5.3.4.4 對業務系統遭受破壞特別嚴重的，一級應急組織機構在 匯報后有權停止系統的暫時運行，查明狀況原因后，再恢復業務系統 和數據，無法及時恢復的，應啟用備份數據。5.3.5 分行或支行通信網絡中斷緊急處置措施

14、5.3.5.1 應急組織機構平時應準備好網絡備用設備，存放在指定的位置。5.3.5.2 接到分行或者支行的通信網絡中斷突發事件報告后， 一 級應急機構應立即安排人員應判斷故障點， 查明故障原因，并向總行 領導匯報。5.3.5.3 如屬通信線路故障，應重新安裝線路。如自行無法完成 的，請外部單位協助重新安裝。5.3.5.4 如屬路由器、交換機等網絡設備故障，應立即從指定位 置將備用設備取出接上，并調試通暢。5.3.5.5 如屬路由器、交換機配置文件破壞，應迅速按照要求重 新配置，并調測通暢。5.3.6 服務器等關鍵設備損壞的緊急處置措施5.3.6.1 服務器等關鍵設備損壞后，應急組織機構人員應立

15、即向 總行領導報并立即查明原因。5.3.6.2 如果能夠自行恢復，應立即用備件替換受損部件，保證 各業務系統不受影響。5.3.6.3 如不能自行恢復的，立即與設備提供商聯系，請求派維 護人員前來維修。5.3.6.4 如果設備一時不能修復，應向領導匯報并啟用應急設 備。5.3.7 電力電纜中斷的緊急處置措施5.3.7.1 各分行或者支行如發現電力電纜出現中斷的突發事件 后，應立即向一級應急組織機構報告并請求派人維修。5.3.7.2 一級應急組織機構在接到報告后，立即派維修人員趕赴 現場，查看電力電纜中斷原因并進行維修。5.3.7.3 如屬于內部電力設施中斷并可以自行修復的，立即進行維修并做好善后

16、工作。5.3.7.4 如果是由于外部電力線路等原因造成中斷的，維修人員 在確認故障原因后及時向應急組織機構匯報， 并向供電部門求助，派 人維修。5.3.8 計算機硬件或操作系統出現故障的緊急處置措施5.3.8.1 分行或者支行的個別計算機若發現存在硬件或操作系 統故障，導致無法辦理正常業務的，應先判斷影響的大小及故障可能 的原因。5.3.8.2 如能自行修復的，應立即進行修復并恢復正常業務辦理 狀態，之后再向應急組織機構報告說明情況。5.3.8.3 如屬于自行無法修復的故障，應及時上報應急組織機 構，一級應急組織機構在接到報告后，立即派維修人員趕赴現場，排 除故障，屬于硬件損壞的，更換硬件設備

17、；屬于操作系統故障的，備 份硬盤數據庫重新安裝操作系統，并恢復到業務系統正常運行的狀o5.3.8.4 如屬于無法維修的，應及時上報申請更換計算機。6保障措施6.1 通信與信息保障發生通信網絡系統突發性事件時，相關人員應采取固定電話、移 動電話、互聯網等方式進行通信聯絡。6.2 應急隊伍保障加強信息安全人才培養，強化信息安全宣傳教育，建設一支高素 質、高技術的信息安全核心人才和管理隊伍，提高全行信息安全防御 意識。大力發展信息安全服務，增強全行應急能力。6.3 應急物資保障在建設通信網絡系統時應事先預留一定的應急設備， 在網絡系統 或軟件系統安全突發公共事件發生時，由一級應急組織機構負責統一 調用。應急物資主要有：應急服務器、應急路由器、應急網絡交換機、 應急存儲器、應急UPS7培訓與演練7.1 培訓為確保網絡安全應急預案有效運行，行內應定期或不定期地舉辦 不同層次、不同類型的培訓班或研討會，以便不同崗位的應急人員都 能全面熟悉并掌握通信網絡安全應急處理的知識和技能。7.2 演練為提高網絡系統或軟件系統突發事件應急響應水平，行內應定期 或不定期組織預案演練；檢驗應急預案各環節之間的通信、協調