銀行網絡系統(tǒng)及應急預案

1、銀行通信網絡系統(tǒng)應急預案1事故類型和危害程度分析1.1 編制目的為有效預防、及時控制和最大限度地減少本銀行由于電力供應、通信線路以及計算機系統(tǒng)各類突發(fā)事件的危害和影響， 確保通信網絡 系統(tǒng)的安全、穩(wěn)定運行和業(yè)務的連續(xù)性，維護正常的經濟、生產秩序。1.2 編制依據1.2.1 中華人民共和國計算機信息系統(tǒng)安全保護條例。1.2.2 國家突發(fā)公共事件總體應急預案。1.2.3 中國人民銀行突發(fā)事件應急預案管理辦法1.2.4 中華人民共和國中國人民銀行法1.3 適用范圍本預案適用于本銀行III、IV級應急處理工作和具體響應，I、 II級應急處理工作。1.4 危險源與危害程度分析1.4.1 由于網絡設備或者

2、計算機損壞，造成通信系統(tǒng)無法連接或 軟件系統(tǒng)運行中斷。1.4.2 由于外部通信線路被毀造成銀行系統(tǒng)使用中斷。1.4.3 由于電力系統(tǒng)故障造成無法正常通信或系統(tǒng)無法正常使 用。1.4.4 由于病毒破壞，造成行內網絡癱瘓或軟件數據丟失。1.4.5 由于黑客入侵，造成行內重要信息泄露及通信網絡癱瘓。2應急處置基本原則2.1 統(tǒng)一領導，協(xié)同作戰(zhàn)。通信網絡系統(tǒng)突發(fā)事件應急工作由應急指揮部統(tǒng)一領導和協(xié)調，督促信息中心遵照“統(tǒng)一領導、歸口負責、逐級上報、各司其職的原 則協(xié)同配合、具體實施，完善應急工作體系和機制。2.2 明確責任，依法規(guī)范。各分行和支行，按照“屬地管理、分級響應、及時發(fā)現(xiàn)、及時報 告、及時救

3、治、及時控制”的要求，依法對通信網絡系統(tǒng)突發(fā)事件進 行防范、監(jiān)測、預警、報告、響應、指揮和協(xié)調、控制。按照“誰主 管、誰負責，誰運行、誰負責”的原則，實行責任制和責任追究制。2.3 防范為主，加強監(jiān)控。宣傳普及通信網絡系統(tǒng)防范知識， 貫徹預防為主的思想，樹立常 備不懈的觀念，經常性地做好應對突發(fā)事件的思想準備、預案準備、 機制準備和工作準備，提高公共防范意識以及基礎網絡和重要軟件系 統(tǒng)的信息安全綜合保障水平。加強對信息安全隱患的日常監(jiān)測， 發(fā)現(xiàn) 和防范重大通信網絡突發(fā)性事件， 及時采取有效的可控措施，迅速控 制事件影響范圍，力爭將損失降到最低程度。3組織機構及職責通信網絡系統(tǒng)應急救援組織機構分

4、為一、二級編制，總行和各分 行設置為應急預案實施的一級應急組織機構， 各支行設置為應急計劃 實施的二級應急組織機構?？傂型ㄐ啪W絡系統(tǒng)應急救援領導小組組長由總行長擔任，副組長為分管通信安全的副行長擔任，組員由各部門中層組成。領導小組的 日常辦事機構為總行。主要負責協(xié)調出現(xiàn)通信網絡系統(tǒng)故障后的總體 協(xié)調指揮工作，并做好善后處理工作。各支行應急救援領導小組組長由各支行長擔任， 不設副組長，組 員由各支行所有成員組成。主要負責通信網絡系統(tǒng)發(fā)生故障后的及時 處置及上報工作。4預防與預警4.1 危險源監(jiān)控定期定時地檢測銀行內部通信線路是否順暢，并利用現(xiàn)有的防火墻、殺毒軟件等技術，加強各通信網絡系統(tǒng)的監(jiān)測和

5、預警工作，進一 步提高信息分析能力，加大對網絡入侵、病毒破壞、數據庫損壞等事 件的防范力度，建立信息安全事故報告制度。4.2 預警行動二級應急組織機構在接到通信網絡系統(tǒng)突發(fā)事件報告后，應當經初步核實后，將有關情況及時向一級應急組織機構報告，并進一步進行情況綜合，研究分析可能造成損害的程度，提出初步行動對策。一 級應急組織機構視情況召集協(xié)調會，決策行動方案，發(fā)布指示和命令。4.3 信息報告程序4.3.1 發(fā)生通信網絡系統(tǒng)突發(fā)事件的分行或者支行， 應當立即對 發(fā)生的事件進行調查核實、保存相關證據，并在事件被發(fā)現(xiàn)或應當被 發(fā)現(xiàn)時起2小時內將有關材料報至一級應急指揮部。4.3.2 報送方式通過電話聯(lián)系

6、及電子郵件的方式，在整個突發(fā)事 件處理過程中，事發(fā)單位應及時保持與總行一級應急組織機構的聯(lián) 系。4.3.3 報送的有關材料應包括事件發(fā)生的時間、地點、已經造成的危害、事件發(fā)生前的操作等。4.3.4 如遇二級應急組織機構無法及時處理的事件，應立即上報 一級應急組織機構。5應急處置5.1 響應分級5.1.1 銀行通信網絡系統(tǒng)安全事件分級的參考要素包括信息密 級、公眾影響、業(yè)務影響和資產損失等四項。各參考要素分別說明如下：5.1.1.1 信息密級是衡量因信息失竊或泄密所造成的通信網絡 安全事件中所涉及信息的重要程度的要素；5.1.1.2 公眾影響是衡量通信網絡安全事件所造成的負面影響 范圍和程度的要

7、素；5.1.1.3 業(yè)務影響是衡量通信網絡安全事件對事發(fā)單位正常業(yè) 務開展所造成的負面影響程度的要素；5.1.1.4 資產損失是衡量恢復系統(tǒng)正常運行和消除通信網絡安 全事件負面影響所需付出資金代價的要素。5.1.2 通信網絡系統(tǒng)突發(fā)事件級別分為四級：一般 （IV級）、較 大（III級）、重大（II級）和特別重大（I級），對應顏色依次為藍色、 黃色、橙色和紅色。5.1.2.1 IV 級：支行局部范圍或個人出現(xiàn)并可能造成損害的通 信網絡系統(tǒng)安全事件。5.1.2.2 m級：直屬分行的網絡系統(tǒng)、軟件系統(tǒng)、電力系統(tǒng)和通 信設施受到嚴重破壞或損壞，對分行及下屬支行業(yè)務造成無法正常運 營的通信網絡系統(tǒng)安全事

8、件。5.1.2.3 II 級：總行重要信息系統(tǒng)、數據系統(tǒng)，軟件系統(tǒng)癱瘓 導致業(yè)務中斷，縱向或橫向延伸可能造成嚴重影響或較大經濟損失的 通信網絡系統(tǒng)安全事件。5.1.2.4 I級：黑客利用網絡信息進行有組織的大規(guī)模的入侵破 壞活動，或者多個分行，多個支行的基礎網絡、重要信息系統(tǒng)、多個 軟件系統(tǒng)癱瘓，導致業(yè)務中斷，造成或可能造成巨大經濟損失的通信 網絡安全事件。5.2 響應程序5.2.1 發(fā)生IV級通信網絡系統(tǒng)安全事件后，支行應啟動相應預 案，并進行應急處理工作；發(fā)生I、II、田級的信息安全突發(fā)事件后， 上報一級應急指揮機構，并由其統(tǒng)一部署處理工作。5.2.2 一級應急組織機構接到報告后，應當立即

9、會同相關成員或 部門盡快組織技術人員對突發(fā)事件性質、 級別及啟動預案的時機進行 評估。5.2.3 在決定啟動預案后，一級應急組織機構應立即啟動應急處 理工作。5.2.4 事件發(fā)生現(xiàn)場應急處理工作機構盡最大可能收集事件相 關信息，事件類別，確定事件來源，保護證據，以便縮短應急響應時 間。5.2.5 檢查突發(fā)事件造成的結果，評估事件帶來的影響和損害： 如檢查系統(tǒng)、服務、數據庫的完整性、保密性或可用性，檢查是否有 人侵入了系統(tǒng)，確定暴露出的主要危險等。5.2.6 抑制事件的影響進一步擴大，限制潛在的損失與破壞。可 能的抑制策略一般包括：關閉服務或關閉所有的系統(tǒng)，從網絡上斷開 相關系統(tǒng)，修改防火墻和路

10、由器的過濾規(guī)則，封鎖或刪除被攻破的登 錄賬號，阻斷可疑用戶進入網絡的通路，提高系統(tǒng)或網絡行為的監(jiān)控 級別，設置陷阱，啟用緊急事件下的接管系統(tǒng)，實行特殊“防衛(wèi)狀態(tài)” 安全警戒，反擊攻擊者的系統(tǒng)等。5.2.7 根除。在事件被抑制之后，通過對有關惡意代碼或行為的 分析結果，找出事件根源，明確相應的補救措施并徹底清除。5.2.8 清理系統(tǒng)，恢復數據、程序、服務。把所有被攻破的系統(tǒng) 和網絡設備徹底還原到它們正常的任務狀態(tài)。恢復工作應該十分小 心，避免出現(xiàn)誤操作導致數據的丟失。如果攻擊者獲得了超級用戶的 訪問權，一次完整的恢復應該強制性地修改所有的口令。5.3 處置措施5.3.1 行內網站、網頁出現(xiàn)非法言

11、論事件緊急處置措施5.3.1.1 網站、網頁由主辦部門的值班人員負責隨時密切監(jiān)視信 息內容5.3.1.2 發(fā)現(xiàn)在網上出現(xiàn)非法信息時，值班人員應立即向一級應 急組織機構匯報。5.3.1.3 一級應急組織機構成員追查非法信息來源，并將有關情況向總行領導匯報，對非法信息采取屏蔽、刪除等處置措施。5.3.2 黑客攻擊事件緊急處置措施5.3.2.1 當有關人員發(fā)現(xiàn)網頁內容被篡改，或通過入侵檢測系統(tǒng) 發(fā)現(xiàn)有黑客正在進行攻擊銀行系統(tǒng)時，應立即向應急組織機構匯報5.3.2.2 應急指揮中心應在接到通知后首先將被攻擊的服務器等設備從網絡中隔離出來，保護現(xiàn)場，并根據實際情況向領導匯報。5.3.2.3 對現(xiàn)場進行分

12、析，寫出分析報告存檔，必要時上報。5.3.2.4 如系統(tǒng)已經遭受破壞，應急組織機構成員應立即恢復或 重建被攻擊或破壞系統(tǒng)，無法立即恢復的，應啟用應急設備。5.3.3 大規(guī)模病毒事件緊急處置措施5.3.3.1 當發(fā)現(xiàn)有部分網絡計算機被感染上病毒后，應立即向應急組織機構報告。5.3.3.2 應急組織機構人員在接到通報后立即趕到現(xiàn)場。5.3.3.3 對此類設備的硬盤重要數據進行備份。5.3.3.4 啟用反病毒軟件對此類計算機進行殺毒處理，同時通過病毒檢測軟件對其他機器進行病毒掃描和清除工作。5.3.3.5 如果現(xiàn)行反病毒軟件無法清除該病毒，應通過其他途徑 解決。5.3.3.6 如果情況特別嚴重，立即

13、將感染病毒的機器隔離。5.3.4 銀行業(yè)務系統(tǒng)遭破壞性攻擊的緊急處置措施5.3.4.1 業(yè)務系統(tǒng)平時必須存有備份，與業(yè)務系統(tǒng)相對應的數據必須按容災備份規(guī)定的間隔按時進行備份，并將它們保存于安全處。5.3.4.2 使用單位一旦發(fā)現(xiàn)業(yè)務系統(tǒng)出現(xiàn)異常或遭到破壞性攻 擊，應立即向應急組織機構報告。5.3.4.3 應急組織機構成員檢查業(yè)務系統(tǒng)的日志等資料，確定異常來源，并將有關情況向領導匯報。5.3.4.4 對業(yè)務系統(tǒng)遭受破壞特別嚴重的，一級應急組織機構在 匯報后有權停止系統(tǒng)的暫時運行，查明狀況原因后，再恢復業(yè)務系統(tǒng) 和數據，無法及時恢復的，應啟用備份數據。5.3.5 分行或支行通信網絡中斷緊急處置措施

14、5.3.5.1 應急組織機構平時應準備好網絡備用設備，存放在指定的位置。5.3.5.2 接到分行或者支行的通信網絡中斷突發(fā)事件報告后， 一 級應急機構應立即安排人員應判斷故障點， 查明故障原因，并向總行 領導匯報。5.3.5.3 如屬通信線路故障，應重新安裝線路。如自行無法完成 的，請外部單位協(xié)助重新安裝。5.3.5.4 如屬路由器、交換機等網絡設備故障，應立即從指定位 置將備用設備取出接上，并調試通暢。5.3.5.5 如屬路由器、交換機配置文件破壞，應迅速按照要求重 新配置，并調測通暢。5.3.6 服務器等關鍵設備損壞的緊急處置措施5.3.6.1 服務器等關鍵設備損壞后，應急組織機構人員應立

15、即向 總行領導報并立即查明原因。5.3.6.2 如果能夠自行恢復，應立即用備件替換受損部件，保證 各業(yè)務系統(tǒng)不受影響。5.3.6.3 如不能自行恢復的，立即與設備提供商聯(lián)系，請求派維 護人員前來維修。5.3.6.4 如果設備一時不能修復，應向領導匯報并啟用應急設 備。5.3.7 電力電纜中斷的緊急處置措施5.3.7.1 各分行或者支行如發(fā)現(xiàn)電力電纜出現(xiàn)中斷的突發(fā)事件 后，應立即向一級應急組織機構報告并請求派人維修。5.3.7.2 一級應急組織機構在接到報告后，立即派維修人員趕赴 現(xiàn)場，查看電力電纜中斷原因并進行維修。5.3.7.3 如屬于內部電力設施中斷并可以自行修復的，立即進行維修并做好善后

16、工作。5.3.7.4 如果是由于外部電力線路等原因造成中斷的，維修人員 在確認故障原因后及時向應急組織機構匯報， 并向供電部門求助，派 人維修。5.3.8 計算機硬件或操作系統(tǒng)出現(xiàn)故障的緊急處置措施5.3.8.1 分行或者支行的個別計算機若發(fā)現(xiàn)存在硬件或操作系 統(tǒng)故障，導致無法辦理正常業(yè)務的，應先判斷影響的大小及故障可能 的原因。5.3.8.2 如能自行修復的，應立即進行修復并恢復正常業(yè)務辦理 狀態(tài)，之后再向應急組織機構報告說明情況。5.3.8.3 如屬于自行無法修復的故障，應及時上報應急組織機 構，一級應急組織機構在接到報告后，立即派維修人員趕赴現(xiàn)場，排 除故障，屬于硬件損壞的，更換硬件設備

17、；屬于操作系統(tǒng)故障的，備 份硬盤數據庫重新安裝操作系統(tǒng)，并恢復到業(yè)務系統(tǒng)正常運行的狀o5.3.8.4 如屬于無法維修的，應及時上報申請更換計算機。6保障措施6.1 通信與信息保障發(fā)生通信網絡系統(tǒng)突發(fā)性事件時，相關人員應采取固定電話、移 動電話、互聯(lián)網等方式進行通信聯(lián)絡。6.2 應急隊伍保障加強信息安全人才培養(yǎng)，強化信息安全宣傳教育，建設一支高素 質、高技術的信息安全核心人才和管理隊伍，提高全行信息安全防御 意識。大力發(fā)展信息安全服務，增強全行應急能力。6.3 應急物資保障在建設通信網絡系統(tǒng)時應事先預留一定的應急設備， 在網絡系統(tǒng) 或軟件系統(tǒng)安全突發(fā)公共事件發(fā)生時，由一級應急組織機構負責統(tǒng)一 調用。應急物資主要有：應急服務器、應急路由器、應急網絡交換機、 應急存儲器、應急UPS7培訓與演練7.1 培訓為確保網絡安全應急預案有效運行，行內應定期或不定期地舉辦 不同層次、不同類型的培訓班或研討會，以便不同崗位的應急人員都 能全面熟悉并掌握通信網絡安全應急處理的知識和技能。7.2 演練為提高網絡系統(tǒng)或軟件系統(tǒng)突發(fā)事件應急響應水平，行內應定期 或不定期組織預案演練；檢驗應急預案各環(huán)節(jié)之間的通信、協(xié)調