1 總則

1.1 編制目的

為迅速、有效地處置鐵路網絡和信息系統安全事故和突發事件，最大限度地保證鐵路信息系統的正常運行，維護鐵路運輸安全、暢通，特制定本預案。

1.2 編制依據

按照《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發〔2003〕27號)的要求，根據《中華人民共和國計算機信息系統安全保護條例》、《計算機信息系統保密管理暫行規定》、《鐵路計算機信息系統安全保護辦法》等法規、規章，制定本預案。

1.3 工作原則

按照統一領導、集中指揮、歸口負責、分級管理、信息共享、分工協作、反應及時的原則，迅速處置網絡與信息系統安全事故和突發事件。

1.4 適用范圍

本預案適用于國家鐵路和國家鐵路控股的合資鐵路各類網絡信息系統發生大規模“病毒”感染、非法入侵、內部故障及不可預測的、突發性的影響網絡與信息安全的事故和事件。

2 組織機構和職責

2.1 應急組織機構

鐵路網絡與信息安全事故應急領導小組由鐵路信息化領導小組成員組成，鐵道部部長任組長，分管副部長和總工程師任副組長，鐵路信息化領導小組辦公室（簡稱信息辦）、辦公廳、計劃司、財務司、科技司、建設司、運輸局、公安局、宣傳部、信息技術中心、資金清算中心為成員單位。

鐵路網絡與信息安全事故應急領導小組辦公室由鐵路信息化領導小組辦公室成員組成。

鐵道部應急領導小組根據事故情況，下設現場指揮、事故救援、事故調查、后勤保障、善后處理、宣傳報道等應急處理協調組，分別由辦公廳、信息辦、運輸局、公安局、信息中心、宣傳部等相關部門及發生地鐵路單位組成。各應急處理協調組在應急領導小組的統一指揮下，各負其責，按要求組織實施本預案。

2.2 應急組織機構職責

2.2.1 應急領導小組的主要職責：

（1）統一領導指揮鐵路網絡與信息安全事故應急救援工作；

（2）決定啟動相關應急預案；

（3）需要國務院有關部門支援時，負責與有關部門的溝通；

（4）決定向國家應急領導機構請求支援和報告；

（5）負責有關緊急事項的決策。

2.2.2 應急領導小組辦公室職責：

（1）負責研究提出鐵路網絡信息系統應急預案總體框架；

（2）負責組織指導各專業系統研究制定本系統安全事故和突發事件的應急預案，檢查應急預案的應變及快速反應能力；

（3）負責各信息系統應急處置的組織、協調工作，遇重大情況負責與國務院信息化工作辦公室、國家網絡與信息安全信息通報中心聯系，通報情況，取得支持；

（4）負責日常具體工作。

2.2.3 有關部門職責：

辦公廳負責后勤保障組工作，協調各應急工作組工作。

信息辦負責協調各信息系統主管部門（辦公廳、運輸局、信息中心、資金中心）做好信息系統的恢復工作；會同公安局負責事故調查組的工作。

宣傳部負責宣傳報道組的工作，負責新聞報道和對外新聞發布工作。

各專業系統主管部門按照國家及鐵路信息化領導小組的要求，根據實際情況負責制定、落實本系統的應急預案。按照“誰主管誰負責，誰運營誰負責”的原則，負責本系統的網絡與信息安全工作。

2.3 組織體系框架

組織體系框架如下圖：

運輸局基礎部負責鐵路運輸調度指揮系統安全事故、突發事件的應急處置工作，負責制定本系統的應急預案，建立應急反應機制。

運輸局營運部負責鐵路客票發售和預定系統安全事故、突發事件的應急處置工作，負責制定本系統的應急預案，建立應急反應機制。

信息技術中心負責鐵路運輸管理信息系統安全事故、突發事件的應急處置工作，負責制定本系統的應急預案，建立應急反應機制。

辦公廳會同信息技術中心負責鐵路辦公信息系統安全事故、突發事件的應急處置工作，負責制定本系統的應急預案，建立應急反應機制。

資金清算中心負責鐵道貨幣資金結算及管理信息系統安全事故、突發事件的應急處置工作，負責制定本系統的應急預案，建立應急反應機制。

運輸局基礎部及各鐵路局電務部門會同中國鐵通集團有限公司（簡稱鐵通公司）及其分公司負責鐵路運輸通信、各信息系統網絡通道的暢通、安全、管理及技術服務，并制定應急預案。

各鐵路局信息技術所（處）和各信息系統歸口管理部門負責制定局管內信息系統應急預案的制定，建立應急反應機制。

3 預防預警

3.1 預防預警機制

鐵道部信息辦會同公安局共同負責全路網絡與信息安全信息通報的管理、組織、協調工作；信息技術中心承擔鐵路網絡與信息安全信息通報中心職能,負責鐵路各專業系統預警信息的通報工作，負責各通報單位網絡與安全信息通報的接收、核實和跟蹤了解；信息安全監察專職人員負責信息通報的匯總、分析和研判。

網絡與信息安全事件、預警信息隨時通報,通報時間為發生安全事件或預警信息2小時內;安全狀況、形勢分析、網絡環境計算機感染病毒情況每月通報。

3.2 預警支持

鐵路網絡與信息安全預警實行主管部門與技術支持部門分工負責制，信息系統主管部門負責本系統的管理、協調工作；信息技術支持部門負責本單位各信息系統的技術支持和維護工作。

4 應急響應

4.1分級響應

4.1.1分級響應標準

鐵路網絡和信息系統安全事故（含突發事件）應急響應按事故災難的嚴重程度和影響范圍，原則上分為Ⅰ、Ⅱ、Ⅲ、Ⅳ四級。

Ⅰ級應急響應的網絡信息安全事故是指鐵路運輸調度指揮、客票發售和預定、運輸管理、辦公、貨幣資金結算及管理五大重要信息系統由于外部攻擊及不可抗拒因素造成信息系統嚴重破壞，導致全路性的信息系統崩潰，中斷運行8小時及以上，鐵路運輸無法正常運行，造成巨大經濟損失和政治影響的事故。

Ⅱ級應急響應的網絡信息安全事故是指鐵路運輸調度指揮、客票發售和預定、運輸管理、辦公、貨幣資金結算及管理五大重要信息系統由于攻擊、設備損毀、數據丟失等原因，導致信息系統癱瘓，中斷運行4小時及以上，造成經濟損失并嚴重影響全國鐵路運輸生產的事故。

Ⅲ級應急響應的網絡信息安全事故是指鐵路運輸調度指揮、客票發售和預定、運輸管理、辦公、貨幣資金結算及管理五大重要信息系統由于攻擊、設備損毀和故障、數據丟失等原因，導致信息系統中斷運行2小時及以上，造成經濟損失并在鐵路局范圍內嚴重影響鐵路運輸生產的事故。

Ⅳ級應急響應的網絡信息安全事故是指鐵路運輸調度指揮、客票發售和預定、運輸管理、辦公、貨幣資金結算及管理五大重要信息系統由于攻擊、設備損毀和故障、數據丟失等原因，導致信息系統中斷運行1小時以上，造成經濟損失并在局部范圍內嚴重影響鐵路運輸的事故。

4.1.2應急響應行動

(1)Ⅰ級應急響應行動

Ⅰ級應急響應由鐵道部報請國務院，由國務院或國務院授權鐵道部啟動。

①鐵道部接到事故報告后，立即報告國務院，同時根據事故情況，通知有關部門和單位。必要時，由國務院領導指導、協調應急救援工作。

②鐵道部開通與國務院有關部門應急救援指揮機構以及現場救援指揮部的通信聯系通道，隨時掌握事故進展情況。

③通知有關專家對應急救援方案進行咨詢。

④根據專家的建議以及國務院其他部門的意見，鐵道部確定事故救援的支援和協調方案。

⑤派出有關人員和專家趕赴現場參加、指導現場應急救援。

⑥協調事故現場救援指揮部提出的其他支援請求。

⑦在可能影響鐵路運輸安全的情況下，同時啟動相關預案。

（2）Ⅱ級應急響應行動

Ⅱ級應急響應由鐵道部負責啟動。

①鐵道部信息化領導小組辦公室立即通知鐵道部應急領導小組有關成員前往指揮地點，并根據事故具體情況通知有關專家參加，應急指揮地點設在運輸局或辦公廳（部長辦公室）。

②應急領導小組根據事故情況設立事故救援、事故調查、醫療救護、后勤保障、善后處理、宣傳報道、治安保衛等應急協調組和現場救援指揮部，分別由鐵道部辦公廳、信息辦、科技司、計劃司、財務司、建設司、運輸局、公安局、宣傳部、信息中心和資金清算中心及發生地鐵路運輸企業的有關人員組成。

③開通與事故發生地鐵路運輸企業應急救援指揮機構、事故現場救援指揮部、各應急協調組的通信聯系通道，隨時掌握事故進展情況。

④根據專家和各應急協調組的建議，應急指揮小組確定事故救援的支援和協調方案。

⑤派出有關人員和專家趕赴現場參加、指導現場應急救援工作。

⑥協調事故現場救援指揮部提出的支援請求。

⑦向國務院報告有關事故情況。

⑧超出本級應急救援處置能力時，及時報請國務院。

（3）Ⅲ級應急響應行動

Ⅲ級應急響應由鐵路局負責啟動，響應程序和內容在鐵路局網絡與信息安全事故應急預案中具體規定。

（4）Ⅳ級應急響應行動

Ⅳ級應急響應由鐵路局負責啟動，響應程序和內容在鐵路局網絡與信息安全事故應急預案中具體規定。

4.2信息報告

鐵路網絡和信息系統安全事故信息實行逐級上報制度。順序為基層站段、鐵路局、鐵道部。網絡和信息系統發生故障時，系統值班人員要在30分鐘內立即上報，并按照各信息系統制定的應急預案對故障進行分析、判斷，迅速確定故障類型、影響范圍，通知相關責任部門迅速處理，處理結果記錄要在2小時內上報主管部門。造成重大影響的突發事件直接上報鐵道部信息辦。鐵道部根據有關規定報國務院。

信息報告流程圖：

4.3 應急處置

4.3.1 處置要求

鐵路各信息系統是鐵路運輸生產、客貨營銷、經營管理的重要支撐手段，發生各種突發事件時要有相應的備用和應急手段，并能及時對系統和數據進行恢復。各系統、各單位要保留必要的、傳統的運輸生產指揮、管理方法，并經常進行演練，以應付各種突發事件的發生，將對鐵路運輸生產的影響減少到最低程度。

針對自然災害(地震、洪水等)、戰爭及不可預測的災難情況，各單位、各部門要在鐵道部的統一部署下，做好系統和數據的災難備份。同時，各系統要做好原始基礎數據的日常備份工作，為系統數據恢復提供保證。

4.3.2 病毒入侵處置

各信息系統要密切注意系統漏洞，及時做好系統升級，實時進行監控。發生大規模病毒入侵引起系統癱瘓，要從物理上與外部隔斷，內部及時對系統進行快速處置、恢復，防止數據丟失。

4.3.3 非法入侵處置

在全路網絡范圍內，鐵道部、鐵路局各個關鍵部位要安裝入侵監測系統（IDS），實時監測對重要網段的主機系統的非法攻擊行為。發生非法入侵，發生系統要關閉網關，阻斷非法攻擊，實行內部封閉運行，確保系統和信息安全。

4.3.4 系統故障處置

各系統、各單位要負責管轄范圍內的7×24小時網絡和系統監控。完善各項管理辦法，針對系統硬件故障、操作失誤等各類情況引起的系統故障，制定具體的、便于操作的應急處置工作流程，迅速反應，盡快恢復，排除故障。

4.3.5 停電事故處置

各系統主機房要配備兩路以上電源供電，可以不間斷地進行電源切換。配置相應的不間斷電源設備，確保在斷電情況下完成數據備份。重要系統主機房應考慮配備發電設備，遇重大斷電事故，保證系統的正常運轉，確保運輸指揮工作的正常開展。

4.3.6 火災事故處置

各系統、各單位機房要配備符合機房防火要求的防火設施，制定相應的管理辦法，并對機房工作人員進行培訓、演練，確保能夠及時快速處置火險、火情。并按照火災事故應急預案處理。

4.3.7 網絡通道故障處置

鐵道部至鐵路局及各鐵路局間干線通道故障，由系統值班員報鐵道部電務調度，再由鐵道部電務調度通知相關通信運營商處理。

鐵路局以下局線通道故障，由各系統值班員報鐵路局電務調度處理。

鐵通公司要確保鐵路網絡通道的暢通，遇網絡突發事件，要及時通報相關的電務調度，并及時倒通備用通道。

4.4 新聞發布

堅持實事求是、把握適度、及時全面的原則，統一由鐵道部新聞主管部門負責進行新聞發布。必要時，請新聞辦組織協調。

4.5 應急結束

鐵路網絡與信息安全事故處理完畢，信息系統恢復正常運行，應視為應急結束。遵循“誰啟動，誰結束”的原則，由相應的組織負責宣布應急結束。

5 保障措施

5.1 組織保證

各系統、各單位要成立網絡信息安全應急處理領導小組，明確機構、職能、人員及工作制度，落實責任。發生網絡安全事故，各信息系統主管部門負責人要到事故或突發事件第一現場進行指揮、組織、協調。

5.2 資源儲備保障

要將網絡與信息安全擺在與運輸安全同樣重要的位置，從人員、技術、設備等方面做好儲備，建立系統及數據的備份機制，以應對各類突發事件的發生。

5.3 資金保障

發生網絡安全事故，各單位財會部門要采取得力措施，確保事故應急處置的資金需求。

5.4 技術保障

各系統、各單位要明確系統及硬件技術支持單位和支持方式，建立計算機硬件、網絡系統維護、支持專家庫，明確聯系方式，定期充實更新。

5.5 應急培訓

各單位、各系統要加強具體工作人員的應急預案的培訓、學習，熟練掌握應急處置的應知應會內容，正確處理事故或突發事件。并做好應急預案的演練。

5.6 信息共享

發生網絡信息安全事故，要及時溝通應急處置過程的相關信息，并按照有關程序通知其他信息系統做好預警、防范工作。

6 后期處置

6.1 善后處理

事故或突發事件處理后，主管部門要深入調查、分析原因，進行整改。

6.2 總結修改預案

對全過程進行全面總結，形成文案，備今后參考借鑒，并完善修改預案，報上級主管部門。

本預案修改后，報國務院備案，并抄送有關部門和單位。

7 獎勵和處罰

7.1 獎勵

對處理事故有突出貢獻、表現優異人員，根據國家、部有關規定辦理。

7.2 處罰

由于失職、玩忽職守、推諉責任及所有影響系統恢復的人員，視情節和危害后果，根據國家、部有關法律法規規定給予處罰，直至追究刑事責任。

8 附則

8.1 本預案自頒布之日起實行。

8.2 地方鐵路、非國家鐵路控股的合資鐵路參照執行。

8.3 本預案由鐵道部制定并負責解釋。

9 附錄

1.鐵路網絡與信息安全事故應急領導小組成員及聯系方式(略)

2.鐵路信息化領導小組辦公室成員及聯系方式(略)

3.鐵道部重要信息系統應急處置聯系人(略)

4.鐵路突發事件新聞發布格式(略)

5.鐵路突發事件預案啟動格式(略)

6.鐵路突發事件應急結束宣布格式(略)

7.相關應急預案目錄(略)

8.《鐵路網絡與信息安全事故應急預案》編制說明(略)