1 总则
1.1 编制目的
为迅速、有效地处置铁路网络和信息系统安全事故和突发事件,最大限度地保证铁路信息系统的正常运行,维护铁路运输安全、畅通,特制定本预案。
1.2 编制依据
按照《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)的要求,根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统保密管理暂行规定》、《铁路计算机信息系统安全保护办法》等法规、规章,制定本预案。
1.3 工作原则
按照统一领导、集中指挥、归口负责、分级管理、信息共享、分工协作、反应及时的原则,迅速处置网络与信息系统安全事故和突发事件。
1.4 适用范围
本预案适用于国家铁路和国家铁路控股的合资铁路各类网络信息系统发生大规模“病毒”感染、非法入侵、内部故障及不可预测的、突发性的影响网络与信息安全的事故和事件。
2 组织机构和职责
2.1 应急组织机构
铁路网络与信息安全事故应急领导小组由铁路信息化领导小组成员组成,铁道部部长任组长,分管副部长和总工程师任副组长,铁路信息化领导小组办公室(简称信息办)、办公厅、计划司、财务司、科技司、建设司、运输局、公安局、宣传部、信息技术中心、资金清算中心为成员单位。
铁路网络与信息安全事故应急领导小组办公室由铁路信息化领导小组办公室成员组成。
铁道部应急领导小组根据事故情况,下设现场指挥、事故救援、事故调查、后勤保障、善后处理、宣传报道等应急处理协调组,分别由办公厅、信息办、运输局、公安局、信息中心、宣传部等相关部门及发生地铁路单位组成。各应急处理协调组在应急领导小组的统一指挥下,各负其责,按要求组织实施本预案。
2.2 应急组织机构职责
2.2.1 应急领导小组的主要职责:
(1)统一领导指挥铁路网络与信息安全事故应急救援工作;
(2)决定启动相关应急预案;
(3)需要国务院有关部门支援时,负责与有关部门的沟通;
(4)决定向国家应急领导机构请求支援和报告;
(5)负责有关紧急事项的决策。
2.2.2 应急领导小组办公室职责:
(1)负责研究提出铁路网络信息系统应急预案总体框架;
(2)负责组织指导各专业系统研究制定本系统安全事故和突发事件的应急预案,检查应急预案的应变及快速反应能力;
(3)负责各信息系统应急处置的组织、协调工作,遇重大情况负责与国务院信息化工作办公室、国家网络与信息安全信息通报中心联系,通报情况,取得支持;
(4)负责日常具体工作。
2.2.3 有关部门职责:
办公厅负责后勤保障组工作,协调各应急工作组工作。
信息办负责协调各信息系统主管部门(办公厅、运输局、信息中心、资金中心)做好信息系统的恢复工作;会同公安局负责事故调查组的工作。
宣传部负责宣传报道组的工作,负责新闻报道和对外新闻发布工作。
各专业系统主管部门按照国家及铁路信息化领导小组的要求,根据实际情况负责制定、落实本系统的应急预案。按照“谁主管谁负责,谁运营谁负责”的原则,负责本系统的网络与信息安全工作。
2.3 组织体系框架
组织体系框架如下图:
运输局基础部负责铁路运输调度指挥系统安全事故、突发事件的应急处置工作,负责制定本系统的应急预案,建立应急反应机制。
运输局营运部负责铁路客票发售和预定系统安全事故、突发事件的应急处置工作,负责制定本系统的应急预案,建立应急反应机制。
信息技术中心负责铁路运输管理信息系统安全事故、突发事件的应急处置工作,负责制定本系统的应急预案,建立应急反应机制。
办公厅会同信息技术中心负责铁路办公信息系统安全事故、突发事件的应急处置工作,负责制定本系统的应急预案,建立应急反应机制。
资金清算中心负责铁道货币资金结算及管理信息系统安全事故、突发事件的应急处置工作,负责制定本系统的应急预案,建立应急反应机制。
运输局基础部及各铁路局电务部门会同中国铁通集团有限公司(简称铁通公司)及其分公司负责铁路运输通信、各信息系统网络通道的畅通、安全、管理及技术服务,并制定应急预案。
各铁路局信息技术所(处)和各信息系统归口管理部门负责制定局管内信息系统应急预案的制定,建立应急反应机制。
3 预防预警
3.1 预防预警机制
铁道部信息办会同公安局共同负责全路网络与信息安全信息通报的管理、组织、协调工作;信息技术中心承担铁路网络与信息安全信息通报中心职能,负责铁路各专业系统预警信息的通报工作,负责各通报单位网络与安全信息通报的接收、核实和跟踪了解;信息安全监察专职人员负责信息通报的汇总、分析和研判。
网络与信息安全事件、预警信息随时通报,通报时间为发生安全事件或预警信息2小时内;安全状况、形势分析、网络环境计算机感染病毒情况每月通报。
3.2 预警支持
铁路网络与信息安全预警实行主管部门与技术支持部门分工负责制,信息系统主管部门负责本系统的管理、协调工作;信息技术支持部门负责本单位各信息系统的技术支持和维护工作。
4 应急响应
4.1分级响应
4.1.1分级响应标准
铁路网络和信息系统安全事故(含突发事件)应急响应按事故灾难的严重程度和影响范围,原则上分为Ⅰ、Ⅱ、Ⅲ、Ⅳ四级。
Ⅰ级应急响应的网络信息安全事故是指铁路运输调度指挥、客票发售和预定、运输管理、办公、货币资金结算及管理五大重要信息系统由于外部攻击及不可抗拒因素造成信息系统严重破坏,导致全路性的信息系统崩溃,中断运行8小时及以上,铁路运输无法正常运行,造成巨大经济损失和政治影响的事故。
Ⅱ级应急响应的网络信息安全事故是指铁路运输调度指挥、客票发售和预定、运输管理、办公、货币资金结算及管理五大重要信息系统由于攻击、设备损毁、数据丢失等原因,导致信息系统瘫痪,中断运行4小时及以上,造成经济损失并严重影响全国铁路运输生产的事故。
Ⅲ级应急响应的网络信息安全事故是指铁路运输调度指挥、客票发售和预定、运输管理、办公、货币资金结算及管理五大重要信息系统由于攻击、设备损毁和故障、数据丢失等原因,导致信息系统中断运行2小时及以上,造成经济损失并在铁路局范围内严重影响铁路运输生产的事故。
Ⅳ级应急响应的网络信息安全事故是指铁路运输调度指挥、客票发售和预定、运输管理、办公、货币资金结算及管理五大重要信息系统由于攻击、设备损毁和故障、数据丢失等原因,导致信息系统中断运行1小时以上,造成经济损失并在局部范围内严重影响铁路运输的事故。
4.1.2应急响应行动
(1)Ⅰ级应急响应行动
Ⅰ级应急响应由铁道部报请国务院,由国务院或国务院授权铁道部启动。
①铁道部接到事故报告后,立即报告国务院,同时根据事故情况,通知有关部门和单位。必要时,由国务院领导指导、协调应急救援工作。
②铁道部开通与国务院有关部门应急救援指挥机构以及现场救援指挥部的通信联系通道,随时掌握事故进展情况。
③通知有关专家对应急救援方案进行咨询。
④根据专家的建议以及国务院其他部门的意见,铁道部确定事故救援的支援和协调方案。
⑤派出有关人员和专家赶赴现场参加、指导现场应急救援。
⑥协调事故现场救援指挥部提出的其他支援请求。
⑦在可能影响铁路运输安全的情况下,同时启动相关预案。
(2)Ⅱ级应急响应行动
Ⅱ级应急响应由铁道部负责启动。
①铁道部信息化领导小组办公室立即通知铁道部应急领导小组有关成员前往指挥地点,并根据事故具体情况通知有关专家参加,应急指挥地点设在运输局或办公厅(部长办公室)。
②应急领导小组根据事故情况设立事故救援、事故调查、医疗救护、后勤保障、善后处理、宣传报道、治安保卫等应急协调组和现场救援指挥部,分别由铁道部办公厅、信息办、科技司、计划司、财务司、建设司、运输局、公安局、宣传部、信息中心和资金清算中心及发生地铁路运输企业的有关人员组成。
③开通与事故发生地铁路运输企业应急救援指挥机构、事故现场救援指挥部、各应急协调组的通信联系通道,随时掌握事故进展情况。
④根据专家和各应急协调组的建议,应急指挥小组确定事故救援的支援和协调方案。
⑤派出有关人员和专家赶赴现场参加、指导现场应急救援工作。
⑥协调事故现场救援指挥部提出的支援请求。
⑦向国务院报告有关事故情况。
⑧超出本级应急救援处置能力时,及时报请国务院。
(3)Ⅲ级应急响应行动
Ⅲ级应急响应由铁路局负责启动,响应程序和内容在铁路局网络与信息安全事故应急预案中具体规定。
(4)Ⅳ级应急响应行动
Ⅳ级应急响应由铁路局负责启动,响应程序和内容在铁路局网络与信息安全事故应急预案中具体规定。
4.2信息报告
铁路网络和信息系统安全事故信息实行逐级上报制度。顺序为基层站段、铁路局、铁道部。网络和信息系统发生故障时,系统值班人员要在30分钟内立即上报,并按照各信息系统制定的应急预案对故障进行分析、判断,迅速确定故障类型、影响范围,通知相关责任部门迅速处理,处理结果记录要在2小时内上报主管部门。造成重大影响的突发事件直接上报铁道部信息办。铁道部根据有关规定报国务院。
信息报告流程图:
4.3 应急处置
4.3.1 处置要求
铁路各信息系统是铁路运输生产、客货营销、经营管理的重要支撑手段,发生各种突发事件时要有相应的备用和应急手段,并能及时对系统和数据进行恢复。各系统、各单位要保留必要的、传统的运输生产指挥、管理方法,并经常进行演练,以应付各种突发事件的发生,将对铁路运输生产的影响减少到最低程度。
针对自然灾害(地震、洪水等)、战争及不可预测的灾难情况,各单位、各部门要在铁道部的统一部署下,做好系统和数据的灾难备份。同时,各系统要做好原始基础数据的日常备份工作,为系统数据恢复提供保证。
4.3.2 病毒入侵处置
各信息系统要密切注意系统漏洞,及时做好系统升级,实时进行监控。发生大规模病毒入侵引起系统瘫痪,要从物理上与外部隔断,内部及时对系统进行快速处置、恢复,防止数据丢失。
4.3.3 非法入侵处置
在全路网络范围内,铁道部、铁路局各个关键部位要安装入侵监测系统(IDS),实时监测对重要网段的主机系统的非法攻击行为。发生非法入侵,发生系统要关闭网关,阻断非法攻击,实行内部封闭运行,确保系统和信息安全。
4.3.4 系统故障处置
各系统、各单位要负责管辖范围内的7×24小时网络和系统监控。完善各项管理办法,针对系统硬件故障、操作失误等各类情况引起的系统故障,制定具体的、便于操作的应急处置工作流程,迅速反应,尽快恢复,排除故障。
4.3.5 停电事故处置
各系统主机房要配备两路以上电源供电,可以不间断地进行电源切换。配置相应的不间断电源设备,确保在断电情况下完成数据备份。重要系统主机房应考虑配备发电设备,遇重大断电事故,保证系统的正常运转,确保运输指挥工作的正常开展。
4.3.6 火灾事故处置
各系统、各单位机房要配备符合机房防火要求的防火设施,制定相应的管理办法,并对机房工作人员进行培训、演练,确保能够及时快速处置火险、火情。并按照火灾事故应急预案处理。
4.3.7 网络通道故障处置
铁道部至铁路局及各铁路局间干线通道故障,由系统值班员报铁道部电务调度,再由铁道部电务调度通知相关通信运营商处理。
铁路局以下局线通道故障,由各系统值班员报铁路局电务调度处理。
铁通公司要确保铁路网络通道的畅通,遇网络突发事件,要及时通报相关的电务调度,并及时倒通备用通道。
4.4 新闻发布
坚持实事求是、把握适度、及时全面的原则,统一由铁道部新闻主管部门负责进行新闻发布。必要时,请新闻办组织协调。
4.5 应急结束
铁路网络与信息安全事故处理完毕,信息系统恢复正常运行,应视为应急结束。遵循“谁启动,谁结束”的原则,由相应的组织负责宣布应急结束。
5 保障措施
5.1 组织保证
各系统、各单位要成立网络信息安全应急处理领导小组,明确机构、职能、人员及工作制度,落实责任。发生网络安全事故,各信息系统主管部门负责人要到事故或突发事件第一现场进行指挥、组织、协调。
5.2 资源储备保障
要将网络与信息安全摆在与运输安全同样重要的位置,从人员、技术、设备等方面做好储备,建立系统及数据的备份机制,以应对各类突发事件的发生。
5.3 资金保障
发生网络安全事故,各单位财会部门要采取得力措施,确保事故应急处置的资金需求。
5.4 技术保障
各系统、各单位要明确系统及硬件技术支持单位和支持方式,建立计算机硬件、网络系统维护、支持专家库,明确联系方式,定期充实更新。
5.5 应急培训
各单位、各系统要加强具体工作人员的应急预案的培训、学习,熟练掌握应急处置的应知应会内容,正确处理事故或突发事件。并做好应急预案的演练。
5.6 信息共享
发生网络信息安全事故,要及时沟通应急处置过程的相关信息,并按照有关程序通知其他信息系统做好预警、防范工作。
6 后期处置
6.1 善后处理
事故或突发事件处理后,主管部门要深入调查、分析原因,进行整改。
6.2 总结修改预案
对全过程进行全面总结,形成文案,备今后参考借鉴,并完善修改预案,报上级主管部门。
本预案修改后,报国务院备案,并抄送有关部门和单位。
7 奖励和处罚
7.1 奖励
对处理事故有突出贡献、表现优异人员,根据国家、部有关规定办理。
7.2 处罚
由于失职、玩忽职守、推诿责任及所有影响系统恢复的人员,视情节和危害后果,根据国家、部有关法律法规规定给予处罚,直至追究刑事责任。
8 附则
8.1 本预案自颁布之日起实行。
8.2 地方铁路、非国家铁路控股的合资铁路参照执行。
8.3 本预案由铁道部制定并负责解释。
9 附录
1.铁路网络与信息安全事故应急领导小组成员及联系方式(略)
2.铁路信息化领导小组办公室成员及联系方式(略)
3.铁道部重要信息系统应急处置联系人(略)
4.铁路突发事件新闻发布格式(略)
5.铁路突发事件预案启动格式(略)
6.铁路突发事件应急结束宣布格式(略)
7.相关应急预案目录(略)
8.《铁路网络与信息安全事故应急预案》编制说明(略)
上一篇: 信息系统安全应急预案
下一篇: 天然气门站10KV配电事故应急预案